ÉRTESÍTÕ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁG. Utasítások. 19. szám 125. évfolyam június 11. TARTALOM

19. szám

125. évfolyam

2010. június 11.

ÉRTESÍTÕ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁG TARTALOM Oldal

Utasítások 33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról ......................................................................................... 989 34/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Műszaki Mentési és Segítségnyújtási Utasításáról szóló 20/2006. (MÁV Ért 21.) Biztonság – általános vezérigazgató-helyettesi utasítás 2. számú módosításáról ..................................................................................... 1061

Utasítások 33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról 1.0. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT CÉLJA, FELADATA Az Informatikai biztonsági szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társaság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelősségek meghatározása. Az IBSZ általános célja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keretrendszerrel és irányelvekkel szolgál a rendszerszintű informatikai biztonsági szabályzatok kialakításához.

Oldal 35/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás egyes humán tárgyú utasítások hatályon kívül helyezéséről ............................................................................ 1091 36/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás: Külső féltől bérelt munkásszállás igénybevételének rendje............................................................................. 1092

Egyéb közlemények A MÁV Zrt. ÜDSZSZ Könyvtárba újonnan érkezett UIC döntvények ..................................................................................... 1104 Felügyeleti igazolvány érvénytelenítése ..................................... 1106

Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósításához. Előírja, hogy csak olyan informatikai rendszereket, berendezéseket és eljárásokat lehet bevezetni és alkalmazni, amelyekkel a Társaság által működtetett folyamatok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre nagyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladat az újabb hazai és nemzetközi szabványoknak, ajánlásoknak való megfelelés, valamint a Társaság folyamatosan változó szerkezetéhez igazítása. Mindezek mellett szem előtt kell tartani a digitális technológia robbanásszerű fejlődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világának legmeghatározóbb jelensége. Ebből következik a biztonsági szabályozás terén is a harmonizálás megteremtésének szükségessége. Az IBSZ átlátható és nyomon követhető formában rögzíti a Társaság azon szabályait, melyek segítségével az információbiztonság magasabb fokú kialakításának teendői, illetve egyéb szabályzatai, leírásai komplex, a korábbinál átfogóbb és szélesebb körű információbiztonságot

990

A MÁV Zrt. Értesítője

alkot. A Társaság munkatársai részére egységes szemléletet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban. 2.0. HATÁLY ÉS FELELŐSSÉG MEGHATÁROZÁSA 2.1. A szabályzat hatálya 2.1.1. A szabályzat személyi hatálya A szabályzatban meghatározott előírás, feladat, magatartási szabály – beosztásra való tekintet nélkül – kötelező érvényű, és hatálya vonatkozásában kiterjed: – a Társaság Működési és Szervezeti Szabályzatában foglalt valamennyi szervezeti egységre, továbbá valamennyi munkavállalójára,valamint az egyéb munkavégzésre irányuló szerződéses jogviszonyban álló természetes személyre (a továbbiakban: felhasználó), – a Társaság informatikai rendszerével kapcsolatba kerülő további személyekre, amennyiben azok a Társasággal munkavégzésre irányuló egyéb jogviszonyban állnak (pl. megbízási, vállalkozási szerződés). A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhetnek kapcsolatba. Szerződéses jogviszonyban álló személyek esetében a szerződésnek ki kell terjednie az informatikai biztonsági pontokra, illetve jelen szabályzat betartására. Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevőire. 2.2.1 A szabályzat területi hatálya A szabályzat területi hatálya kiterjed a Társasághoz tartozó valamennyi telephelyén elhelyezett, valamennyi szervezeti egységre vonatkozó informatikai rendszerek kialakítására és üzemeltetésére. Az eszközök elhelyezésére szolgáló terület tulajdonviszonyától függetlenül kiterjed a Társaság tulajdonában álló, vagy bármely jogviszony keretében általa használt informatikai rendszerek kialakítására és üzemeltetésére szolgáló területre azzal, hogy ez esetben a szabályzat előírásait a jogviszony keletkeztetését eredményező szerződésben kell rögzíteni. A Társaság informatikai rendszeréhez történő távoli hozzáférés (pl. távmunka) esetén az erre vonatkozó biztonsági kritériumokat az 4.6.8. fejezet ismerteti. 2.3.1. A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: – a Társaság elektronikus adatainak teljes körére, a felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól és az azokat feldolgozó rendszertől függetlenül,

19. szám

– a Társaság tulajdonában, használatában lévő valamennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket közvetve vagy közvetlenül használó berendezésekre, valamint azok műszaki dokumentációira is, – a Társaság használatában lévő rendszer- és felhasználói programokra, – a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására. 2.2. A szabályzat kidolgozása és karbantartása A szabályzat kidolgozásáért és karbantartásáért felelős a Társaság Biztonsági igazgatóság Információvédelmi osztály (továbbiakban IVO) vezetője. 3.0. FOGALMAK MEGHATÁROZÁSA Adat: Tények, elképzelések, utasítások formalizált ábrázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára. Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adatbiztonság: A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényi előírások, valamint az egyéb adat- és minősítettadat-védelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Adatvédelem: A személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik.) Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintű informatikai biztonsági szabályzatok.

19. szám


Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázatkezelő programok, IHIR, GIR, SZIR, KUTINFO, RES, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, kezel. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene. Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan informatikai eszközökre épülő integrált alkalmazás, amelyek közös jellemzője a nagyfokú autonomitás, valamint a fizikai környezettel való intenzív információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysága. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot definiálnak. Három kategóriát (alap – fokozott – kiemelt) különböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény – incidens: A biztonságot fenyegető egy vagy több tényező tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt üzenetek végéhez csatolt és azzal együtt továbbított kódsorozat. Lehetővé teszi, hogy az üzenet olvasója ellenőrizni tudja egyrészt az üzenetet küldő személyazonosságát, másrészt az üzenet sértetlenségét. Nyilvános kulcsú aláírás esetén a küldő privát kulcsával készül és annak publikus kulcsával lehet ellenőrizni eredetiségét. Dokumentumfüggő, azaz ha bármilyen változtatás történik az aláírt üzenetben, akkor az elektronikus aláírás nem fejthető vissza. Egyszerű, fokozott biztonságú és minősített kategóriája létezik.

991

Fenyegető tényezők: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezőtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, külső tényezők általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, számítógépes vírus, programhiba). Fizikai biztonság: Az információt kezelő rendszerek fizikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzője, hiányossága, amelynek révén fenyegető tényezők hatásának van kitéve. Helyi hálózat (LAN) (Local Area Network): A Társaság (fizikailag több helyen levő) infokommunikációs eszközeit összekötő, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver eszközök közös használatára, és esetleg a gépeknek az internethez vagy egy (külső) WAN-hoz való kapcsolására szolgál. Többnyire irodákban, állomási épületekben található, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására. Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülő rendszerelemek kölcsönösen és egyértelműen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára. Infokommunikáció: A számítástechnika a távközlés és az elektronikus média integrált egységességét kifejező megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával működtetett (pl. vezérelt) telepített, vagy mobil berendezések, továbbá rendszerek, eljárások összessége vagy ezek

992


alkotó elemei (pl. asztali és hordozható [notebook, pda, okos telefon stb.] számítógép, pendrive, nyomtató, IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök, szerver, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.]). Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme – az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó előírások, szabványok betartásának vagy mellőzésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között. Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működtetésének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat- és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.) Intranet: Az internetnél is használt TCP/IP protokollra és szoftverekre (e-mail, FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levő) informatikai eszközeit köti össze, és – az internetnek köszönhetően – olcsó, állandóan továbbfejlesztett és könnyen megtanulható megoldást jelent belső információs rendszerek kialakítására. Az internet felől közvetlenül az intranet berendezéseit nem lehet elérni, csak tűzfalon keresztül, aminek feladata, hogy védelmet nyújt a belső gépek és az adatforgalom számára. Jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerződésnek megfelelően használt szoftver. A Társaságnál a jogszerű használat érdekében biztosítani kell a szükséges mennyiségű és tartalmú licencet és az annak megfelelő használatot. Katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkező, természeti erő vagy emberi tevékenység következtében létrejött esemény (beleértve a

19. szám

súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelentős részének a rendeltetésszerű, folyamatos működését. Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó e-mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik. Kockázat: Fenyegető tényező vagy esemény bekövetkeztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. Elemei: a bekövetkezés gyakorisága és a kárnagyság. A kockázatot elemzéssel, a rendszert fenyegető tényezők értékelése útján kell megállapítani. Kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és azon kockázatok között, amelyeket ezekkel az intézkedésekkel csökkenteni szándékoznak. Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettünk, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem tervezünk megelőző intézkedést. Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat. Minősített informatikai rendszer: Olyan informatikai rendszer, amely fokozott vagy kiemelt biztonsági osztályú besorolást kapott (pl. azért, mert stratégiai fontosságú adatot kezel, tárol, dolgoz fel a Társaság üzletvitele szempontjából).

19. szám


Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és időben, a rendeltetésének megfelelő szolgáltatásokat nyújtani tudja. Ide kapcsolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezetben – akár csökkentett terjedelmű szolgáltatással – újraéleszthetőek legyenek. Rendszerüzemeltető: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. Sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti.

993

dekében a vele jogszerűen rendelkező személy (jogosult) az adott helyzetben általában elvárható intézkedéseket megtette. Üzleti titok védelme: az üzleti titokkal jogszerűen rendelkező személy (jogosult) által, annak titokban tartása érdekében megtett olyan intézkedések, amely az adott helyzetben általában elvárható. VPN (Virtual Private Network – virtuális magánhálózat): Olyan virtuális számítógépes hálózat, amely publikus kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, különböző titkosítási technikákat is alkalmaz, miáltal lehetőséget biztosít a Társaság számára, hogy a belső hálózatot elérhetővé tegye az erre feljogosított felhasználók számára, ezzel lehetővé téve a távmunkát végző felhasználók számára is, hogy ezen a kapcsolaton keresztül biztonságosan hozzáférjenek a Társaság hálózatához. 4.0. AZ UTASÍTÁS LEÍRÁSA

Személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Személyes adatok védelme: a törvény rendelkezéseit a Társaság adatvédelmi szabályzata megfelelően szabályozza. Témafelelős: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjobban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállítóval szemben, különös tekintettel a végzett szolgáltatások mennyiségére és a feladatok határidejére. Üzleti titoknak minősülő adat: a gazdasági tevékenységhez kapcsolódó minden, olyan – a közérdekű adat, illetve a közérdekből nyilvános adat fogalomkörén kívül eső – tény, információ vagy egyéb adat, valamint a belőlük álló olyan összeállítás, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult – ide nem értve a magyar államot – jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása ér-

4.1. A MÁV Zrt. informatikai biztonságpolitikája 4.1.1. Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (pro-aktív) szemléletű biztonsági tevékenység az alábbi védelmi alapelveken nyugszik. – A védelmet fizikai, logikai és adminisztratív vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörűség). – Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). – Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). – Az informatikai rendszerek által kezelt adatok védelme erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). – Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani ( folytonosság). – A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A felhasználók különböző rendszerekhez való hozzáférési jogosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság).

994


– A védelemben biztosítani kell a szabályozás – szabály-érvényesítés – ellenőrzés – szankcionálás folyamatát (zárt szabályozási ciklus). – A Társaság üzletmenete szempontjából létfontosságú, kiemelt biztonsági kategóriájú informatikai rendszereket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. – Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, probléma- és változáskezelési eljárások alkalmazásával vezethető be. – A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők. – A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, laptop, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz [vezetékes és mobiltelefon, rádió adóvevő] stb.) – eltérő írásbeli megállapodás hiányában – kizárólag a munka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata nem megengedett. – Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az ellenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén. – Minden felhasználó személyesen felelős saját munkájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekményekért. – A munkáltató jogkör gyakorló felelős annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket. 4.1.2. Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelősnek az egyeztetés folyamatába be kell vonni az IVO-t. A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továbbá hozzáférési szerződést vagy megállapodást írásba kell foglalni, és azt kötelező előzetesen véleményeztetni: – az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiával való illeszkedés biztosítása, az infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerződés nyilvántartásba vétele, – a Pályavasút üzletág Távközlő-, erősáramú- és biztosítóberendezési főosztállyal (TEBF) az infokommunikációs hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá – az IVO-val az informatikai biztonsági megfelelőség garantálása érdekében.

19. szám

A szerződés kizárólag a felsorolt szervezeti egységek állásfoglalásának figyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja. 4.1.3. Az informatikai biztonság dokumentumai 4.1.3.1. Informatikai Biztonsági Szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvető dokumentum, amely tartalmazza a biztonságpolitikát, az alapvető fogalmakat, az informatikai biztonsággal kapcsolatos feladat- és hatásköröket, felelősségeket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén. Karbantartását az IVO végzi. 4.1.3.2. Infokommunikációs Biztonsági Stratégia Az Infokommunikációs stratégia integráns részeként, annak önálló fejezeteként készül el az Infokommunikációs Biztonsági Stratégia melyben átfogóbb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az Infokommunikációs Biztonsági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az IVO-val együttműködve végzi el. 4.1.3.3. Rendszerszintű Informatikai Biztonsági Szabályzatok Az Informatikai biztonsági szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat a rendszerszintű IBSZ-eknek (továbbiakban RIBSZ) kell tartalmaznia. Főbb pontjai: rendszerkörnyezet, feladat-, felelősség- és hatáskörök, informatikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, logikai, fizikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés, működés-folytonosság terv. Tekintettel arra, hogy az ebben foglalt információk illetéktelenek számára kitudódása a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes intézkedést vagy szabályozást. Egyedi esetben az IBSZ-től való eltérést az elnök-vezérigazgató engedélyezheti. A RIBSZ minimális követelményeit tartalmazó mintát a 12. sz. melléklet tartalmazza.

19. szám


4.1.4. A fejlesztés, üzemeltetés és felülvizsgálat irányelvei 4.1.4.1. Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat időben, már a rendszer tervezése során, az IVO egyetértésével definiálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biztonsági előírások igazolt teljesülése esetén szabad használatba venni. Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenőrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok érvényesülésének elsődlegességét. Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az IVO-t is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését követően szabad üzembe helyezni, amelyről az üzleti tulajdonos rendelkezik. 4.1.4.2. Számítógépes és hálózati szolgáltatások biztonságos üzemeltetése A Társaság területén üzemelő informatikai eszközökön és hálózati berendezéseken – feltéve, hogy kifejezetten erre vonatkozó, az IVO által is véleményezett szerződés másként nem rendelkezik – kizárólag a Társaság adatait szabad kezelni, feldolgozni, illetve forgalmazni, kizárólag a Társaság által rendszeresített, jogtiszta, továbbá megfelelő vírusellenőrzésnek alávetett szoftverek alkalmazásával. Szolgáltatási szerződés alapján külső szerveknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtethető legyen az egyes személyek egyéni tudásától és helyismeretétől való túlzott függőség nélkül. Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelő intézkedéseket kell hozni valamenynyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A működés-folytonosság tervezésével el kell érni, hogy kárese-

995

mény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitől. A minősített rendszerekben kért és kiadott jogosultságokat hiteles, védett nyilvántartásban kell megőrizni. A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának a biztonságát és az infrastruktúra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A hálózatok és az informatikai eszközök működtetésének feladatait szét kell választani. A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközöket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távmunka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba (pl. internet, levelező rendszerek) átlépni csak előre definiált és engedélyezett módon szabad. Az üzleti tulajdonos köteles az informatikai biztonság dokumentumait legfeljebb 3 évente átvizsgálni, továbbá akkor, ha a rendszer szempontjából lényeges változtatások valósulnak meg. 4.2 A MÁV Zrt. informatikai biztonságának szervezeti struktúrája A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök-vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság Információvédelmi osztály, az Infokommunikációs igazgatóság és a Távközlő-, erősáramú- és biztosítóberendezési főosztály útján valósul meg. Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el: – IVO: szabályozás kialakítása, felügyelet, ellenőrzés, – IKI: technológiai biztonság kialakítása, informatikai fejlesztések koordinálása, – TEBF: az infokommunikációs hálózat üzemeltetési területén a technológiai biztonság kialakítása, a feladatkörébe tartozó rendszerek biztonságos üzemeltetése. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az Információvédelmi osztály a Társaság valamennyi informatikai fejlesztési és infokommunikációs üzemeletetési szervezeteitől függetlenül kialakított szervezet.

996


4.2.1. Feladat-, felelősség és hatáskörök szétválasztása Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat-, felelősség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását és a felelősségre vonhatóságot. 4.2.2. A MÁV Zrt. informatikai biztonságát irányító vezetők és feladataik Az informatikai biztonság irányításának szereplői: – elnök-vezérigazgató – biztonsági igazgató – információvédelmi osztályvezető – infokommunikációs igazgató 4.2.2.1. Elnök-vezérigazgató a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erőforrást. c) Meghatározza az informatikai biztonsági szervezet működési elveit és a Társaság gazdálkodása útján biztosítja a hatékony működés szervezeti, anyagi, műszaki, személyi, tárgyi feltételeit. d) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság informatikai biztonsági tevékenységét ellenőrző, felügyelő információvédelmi szervezetet. e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenységére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó informatikai biztonsági szabályzatot (IBSZ). f) A Társaság infokommunikációs stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetőjére háruló informatikai biztonsági ellenőrzéseket a biztonsági igazgató közreműködésével gyakorolja, és irányítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezően alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelőzésének és elhárításának feltételeiről, i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd 4.8.5. pont).

19. szám

4.2.2.2. Biztonsági igazgató a) Gondoskodik az informatikai biztonságra vonatkozó jogszabályok végrehajtásáról, továbbá elkészíti a Társaságra vonatkozóan az informatikai biztonságpolitikát, az Informatikai Biztonsági Stratégiát és az Informatikai Biztonsági Szabályzatot. b) Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályok kibocsátását. c) Az informatikai biztonságra is tekintettel, biztonsági szempontból véleményezi a Társaság szabályzatait, szerződéseit. d) Felelős az információvédelmi szervezet működési feltételrendszerének megteremtéséért. Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon való részévelt. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erőforrásokat. e) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatokba épített ellenőrzési feladatait, tevékenységeit. f) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében intézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehajtását az Információvédelmi osztály vezetője útján rendszeresen ellenőrzi. g) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való kizárására. h) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén. i) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. j) Egyetértési jogot gyakorol az üzleti tulajdonosok kijelölése során. 4.2.2.3. Információvédelmi osztályvezető (informatikai biztonsági vezető) Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat. c) Irányítja a területi informatikai biztonsági megbízottak munkájának szakfelügyeletét.

19. szám


d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása, továbbá közreműködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezdeményezi hírlevél kiadását, illetve e-mail útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenőrzi a jelen szabályzatban megfogalmazott követelmények betartását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Intézkedéseket rendel el bűncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. Az informatikai biztonsággal összefüggő incidenseket és egyéb rendkívüli eseményeket jelenti a biztonsági igazgató részére, és részt vesz azok kivizsgálásában. f) Segíti az üzleti tulajdonosokat az előírásszerű biztonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgáltatási szerződések kialakítását, szükség esetén ellenőrzi azok betartását. g) Biztonsági szempontból felügyeli és támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről. h) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatának fejlesztése érdekében. i) Felkérésre állást foglal a szabályzat előírásainak értelmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdésekben. j) Közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire. k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével. Külön felhatalmazás nélkül jogosult: a) Az ellenőrzési, vizsgálati tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatban bármilyen iratba, dokumentumba,

997

okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre, illetve ezekkel kapcsolatban felvilágosítás kérésére. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskörben a Társaság belső adatvédelmi felelőse jogosult ellenőrzést gyakorolni.) b) A Társaság tulajdonában lévő, vagy általa bérelt épületben és azon belül minden – a Társaság tulajdonában, kezelésében vagy használatában lévő – helyiségben az informatikai és távközlési eszközök biztonsági szempontú vizsgálatára. Amennyiben ellenőrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását. 4.2.2.4. Infokommunikációs igazgató a) A Társaság infokommunikációs stratégiájának tervezése és végrehajtása során, továbbá az általa vezetett szervezeti egységek által megvalósított, biztosított és beszerzett informatikai szolgáltatások és eszközök fejlesztésében, tervezésében és teljesítésében figyelembe veszi és elősegíti a Társaság informatikai biztonsági szabályainak érvényesülését. b) Felelős az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásáért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében. 4.2.3. A MÁV Zrt. informatikai biztonságát megvalósító szervezetek és személyek A Társaság azon szervezeti egységei, melyek – a Működési és Szervezeti Szabályzat értelmében – az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, működtetésében feladatai vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelősek a Társaság működését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért. 4.2.3.1. Infokommunikációs igazgatóság Felelős: – a Társaság infokommunikációs stratégiájának kialakítása és végrehajtása során a jelen IBSZ-ben foglalt előírások érvényesüléséért, – a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irányításáért és átvételéért, a Társaságnál való honosításáért, – az üzleti tulajdonos támogatásáért, hogy új informatikai rendszerek megvalósítást célzó projektek előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek,

998


– annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévők korszerűsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, – minden informatikai rendszer tekintetében – a rendszerfejlesztés részeként az üzleti tulajdonossal együttműködve – a fejlesztésért, ennek során a rendszerszintű informatikai biztonsági követelmények (pl.: kockázatelemzésre alapuló RIBSZ [benne a változáskezelés], működés-folytonossági terv) kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, – az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásáért, – informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek az érvényesítéséért, – az informatikai szolgáltatók, szolgáltatási szerződések és SLA-k biztonsági megfelelőségéért, – jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért, – az operációs rendszerek és alkalmazások – a Társaság által ellenőrzött – biztonsági javításainak beszerzéséért és telepítéséért, – társasági szintű Konfigurációkezelési Adatbázis felállításáért és működtetéséért, – felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, – a minősített rendszerekben társasági szinten egységesített elvekre épülő változáskezelés működtetéséért, – a távfelügyelet, a mobil eszközökkel végzett és a távmunka biztonságos feltételeinek kialakításáért (pl. távmunka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez authentikációs és rejtjelző eszközök biztosítása, védett vonalak kialakítása) a TEBF, az IVO és az üzleti tulajdonosok (távmunka engedélyeztetése) közreműködésével, – A PKI (Publikus Kulcsú Infrastruktúra) vonatkozásában a tanúsítvány szolgáltatóknál a Társaság teljes jogkörű képviseletéért és ennek kapcsán kizárólagos jogkörrel – egyutas ügyintézésként – a „kapcsolattartói” feladatkör ellátásáért. – az informatikai biztonsági adminisztráció, így különösen a hozzáférés-menedzsment kialakításáért.

19. szám

4.2.3.2. Pályavasút üzletág Távközlő-, erősáramúés biztosítóberendezési főosztály Távközlési osztály Felelős a Társaság infokommunikációs hálózata vonatkozásában: – a biztonsági osztályok követelményeinek megfelelő adathálózati védelmi rendszerek, eszközök honosításáért, fejlesztések koordinálásáért, szabványosításáért, – a rendszerszintű informatikai biztonsági követelmények és a RIBSZ kialakításáért, valamint az ezekben foglaltak operatív érvényesítéséért, ellenőrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, – Társaság szinten egységes változáskezelési rendszer kialakításáért, – annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, – az adathálózatot megvalósító rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért, – a működtetés biztonságával kapcsolatos rendszerek üzemeltetéséért, az üzemeltetési biztonság operatív ellenőrzéséért. 4.2.3.3. Főtevékenységi kör vezető Köteles főtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk védelméért. Ennek keretében irányítási területén, a felelősségi körébe tartozó informatikai rendszerekre nézve felelős: – a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, – a rendszerfejlesztési projekt előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, – a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, – a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, – az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, – a biztonsági rendszernek a rendszerszintű informatikai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért, – az általános biztonsági kultúra folyamatos gondozásáért,

19. szám


– informatikai biztonsági ügyekben a Biztonsági igazgatósággal és az IKI-vel való együttműködésért. 4.2.3.4. Üzleti tulajdonos Minden informatikai rendszer és eszköz biztonságát egy-egy üzleti tulajdonoshoz kell rendelni, amit az informatikai rendszerfejlesztést kezdeményező tájékoztatása alapján az infokommunikációs igazgató előterjesztése és a biztonsági igazgató egyetértése alapján az elnök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásában is szerepeltetni kell. Mindaddig, amíg az üzleti tulajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató. Az üzleti tulajdonos az a vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen annak a szervezeti egységnek a vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ő a rendszer biztonsági kockázatainak kezelője, felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenőrizzék. A biztonsági előírások érvényesülése szempontjából legfeljebb 3 évenként felül kell vizsgáltatnia a tulajdonolt rendszer működését biztosító informatikai hátteret, a rendszer beszállítóját, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetők tevékenységét. Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában: – a rendszerek tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, ennek alapján az IKI és az IVO vezetőjének egyetértésével a rendszer biztonsági osztályba sorolásáért, – a kockázatok minimalizálásához szükséges ráfordítások, erőforrások, intézkedések menedzseléséért, a maradványkockázat meghatározásáért és elfogadásáért, – a rendszer rendelkezésre állási paramétereinek meghatározásáért, az előre nem várható események (incidensek) esetén a szükséges tevékenység irányításáért, – a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biztosításáért,

999

– a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. kockázatelemzés, rendszerterv, RIBSZ, Működés-folytonossági terv, felhasználói- és üzemeltetői kézikönyvek) elkészítéséért és aktualizálásáért, – a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés), – a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért, – a rendszer használata során a kialakított biztonsági szint fenntartásáért, – a rendszer változása (fizikai, jogi, szervezeti, szoftver, hardver stb.) esetén a lehetséges új kockázati tényezők feltárásáért és értékeléséért, – a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában, – a működés-folytonosság biztosítása érdekében tervezett feladatok végrehajtásának ellenőrzéséért, – a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, – a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért, – a rendszert használók és üzemeltetők jogosultságainak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért, – központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért. Jogosult az általa tulajdonolt rendszer(ek) vonatkozásában: – megbízott kijelölésére, aki a nevében eljár, – a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntések meghozatalára, – a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére, – a rendszer biztonsági osztályba sorolásából következő védelmi intézkedések foganatosítására, illetve kezdeményezésére a Társaság felső vezetése felé, – az esetlegesen előforduló informatikai biztonsági incidensek kivizsgálásában való közreműködésre, a szükséges szankciók kezdeményezésére, – IVO, IKI és más szakmai szervezetek segítségének közvetlen igénybe vételére, – szükség szerint az informatikai biztonsági tevékenység ellátásában közreműködő rendszerszintű informatikai biztonsági megbízott kijelölésére (lásd 4.2.3.9. fejezet). 4.2.3.5. Szakterületi vezetők: Az alábbi kiemelt feladatok vonatkozásában a Társaság egészére kiterjedően felelős: Személyzetfejlesztés vezetője: – Az Infokommunikációs Igazgatóság, illetve a Biztonsági Igazgatóság által igényelt és az éves képzési tervben jóváhagyott informatikai biztonsági képzések, továbbképzések és tréningek megszervezéséért.

1000


Belső ellenőrzési főosztály vezetője: – az informatikai és az informatikai biztonsági szakterület ellenőrzési folyamatai kialakításának szakmai irányításáért és a szakmai szabályzatokban foglaltak előírásszerű végrehajtásának ellenőrzéséért, – az Általános Ellenőrzési Utasítás informatikát érintő tevékenységeinek ellátása során az együttműködés kezdeményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások IVO számára történő átadásáért. Jogi igazgatóság vezetője: – az informatikai rendszerekben előforduló, társasági szintű következményekkel járó biztonsági események értékelésénél az ezek alapján meghozandó munkáltatói intézkedések, szankciók foganatosításáért. Ingatlangazdálkodási igazgatóság vezetője: – a Társaság objektumainak, telephelyeinek az informatikai biztonsági követelményeknek is megfelelő védelme biztosításáért. 4.2.3.6. Felhasználó beosztottal rendelkező vezető Irányítási területén biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglaltakat minden általa vezetett munkavállaló és külső hozzáférő teljes mértékben megismerje és betartsa. Ennek során feladata: – a közvetlen irányítása alá tartozók részére a Társaságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás stb.) kezdeményezése, – a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, minősített rendszerek esetén a munkálatok felügyeletének megszervezése, – a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, és közvetlenül az IVO részére (lásd 4.9.1. fejezet), – szükség esetén a működési területe speciális jellegzetességeit tükröző helyi végrehajtási utasítás kibocsátása vagy oktatások megigénylése, és a hozzátartozó munkavállalók oktatásokon való megjelenésének biztosítása, – a Felhasználók biztonsági kötelezettségei c. dokumentumban (1. sz. melléklet) rögzítettől eltérő használatának észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az IVO részére. 4.2.3.7. Információvédelmi szakértő Az IVO szervezeti keretei között, az információvédelmi szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban:

19. szám

– a rendszerszintű informatikai biztonsági dokumentumok kidolgoztatása, – informatikai fejlesztésekben az IVO képviselete, – az informatikai biztonsági rendszerek, valamint a rendszer-adminisztrátorok és rendszergazdák tevékenységének ellenőrzése, biztonsági felügyelete, – a területi informatikai biztonsági megbízottak munkájának szakfelügyelete, – rendszerüzemeltetési dokumentumok vizsgálata, – informatikai biztonság események (incidensek) kivizsgálása, – javaslattétel a védelmi intézkedésekre, szankciókra, – a fizikai biztonság megvalósulásának felügyelete, – informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, vezetők, felhasználók segítése, – biztonsági naplók ellenőrzése, – szakmai ismereteit felhasználva támogatást nyújt az informatikai biztonsági képzési, oktatási tevékenység részére, az O.1. utasításban szereplő informatikai biztonsági oktatások tematikájának véleményezésében, az oktatások időtartamának és gyakoriságának előírásában, – közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbízottakkal, a projektvezetőkkel, valamint a Társaság leányvállalatainak informatikai biztonságért felelős biztonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re, – biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonsági tevékenységét ellátó szakértőjével. 4.2.3.8. Területi informatikai biztonsági megbízott A Biztonsági igazgatóság területi vasútbiztonsági osztályain létesített biztonsági megbízott munkakör betöltője a területi osztályvezető hatáskörében eljárva, kizárólag neki alárendelten, az IVO szakmai irányításával végzi az informatikai biztonságot támogató munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett: – ellenőrzi az informatikai biztonságra vonatkozó egyszerűbb szabályok betartását, különös tekintettel az illetéktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használatra, a jelszavak illetéktelenek tudomására jutására stb., – informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi osztályvezetőt és az IVO-t, – helyi ismereteit felhasználva részt vesz az informatikai biztonsági rendkívüli események kivizsgálásában, – ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát, – felügyeli a fizikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása).

19. szám


4.2.3.9. Rendszerszintű informatikai biztonsági megbízott Az üzleti tulajdonos egyedi kijelölése alapján, az informatikai fejlesztések és projektek, valamint az informatikai rendszerek üzemeltetése során – az IVO szakmai támogatásával – közreműködik az üzleti tulajdonos rendszer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett: – előkészíti és nyomon követi az informatikai biztonságot érintő dokumentumokat, – előkészítő munkát végez az üzleti tulajdonos döntéseinek támogatása érdekében, – figyelemmel kíséri a biztonsági követelményekre kialakított szabályok betartását, – közreműködik az érintett rendszer informatikai biztonsági feladatainak ellátásában, – informatikai biztonsági rendkívüli események észlelése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost és az IVO-t. 4.2.3.10. Projektvezető A Társaság informatikai rendszereit érintő fejlesztési projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős: – a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, – az adott informatikai rendszerben és annak környezetében megvalósítandó fizikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek meghatározásának kezdeményezéséért, – az informatikai rendszerben kezelendő, üzleti titoknak minősülő adatok titokban tartása érdekében a szükséges intézkedések kezdeményezéséért, – az informatikai rendszer biztonsági osztályba sorolását megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulajdonossal történő jóváhagyatásáért, – A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogosultság kezelő rendszer elveinek érvényesítéséért. – mindaddig, amíg az üzleti tulajdonos nem kerül kijelölésre, annak feladatait a projektvezető látja el, – a fizikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az IVO szakmai együttműködésének a biztosításáért, – a rendszer biztonsági dokumentumainak (Kockázatelemzés, RIBSZ, Működés-folytonossági terv, felhasználói- és rendszer dokumentációk) elkészíttetéséért, – a projekt bevezetéséhez szükséges képzések és oktatások tematikájának felterjesztéséért, a képzésben résztvevők körére és a képzések szervezésének ütemezésére. – a biztonsági rendszernek az éles üzembe történő bevezetéséért.

1001

4.2.3.11. Üzemeltetés-vezető A Társaság kiemelt fontosságú informatikai rendszereinek és koncentrált informatikai erőforrásainak (pl. számítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős: – a hatáskörébe utalt informatikai rendszerekben kezelt információk bizalmasságának, hitelességének és sértetlenségének védelméért, – a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifikus RIBSZ biztonsági előírásainak érvényre juttatásáért, – a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechanizmusainak a védelmi rendszertervben jóváhagyott beállításáért és naprakészen tartásáért, – a biztonsági rendszerben beállt változások dokumentálásáért, – a biztonsági naplók szabályszerű kezeléséért, az észlelt biztonsági események feljegyzéséért, ezekről a rendszer üzleti tulajdonosa és az IVO tájékoztatásáért, – a rendszer működtetésében résztvevő rendszergazdák, biztonsági adminisztrátorok tevékenységének öszszehangolásáért. 4.2.3.12. Rendszeradminisztrátor, rendszergazda A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: – a logikai védelmi rendszer beállítása a védelmi rendszertervnek és a jóváhagyott jogosultságoknak megfelelően, – adatszolgáltatás a jogosultság nyilvántartó rendszer részére, – a biztonsági és védelmi beállítások módosítása, aktualizálása a jóváhagyott változásoknak megfelelően, – RIBSZ betartásának operatív ellenőrzése a biztonsági rendszerek folyamatos felügyeletével, az észlelt rendellenességek kezelése, – az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékenységek biztonsági felügyelete, – különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jogosulatlan licensz-felhasználás jelentése a felettes üzemeltetés-vezető és közvetlenül az IVO részére, – a biztonsági rendszerben történt változások dokumentált követése, – a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és közvetlenül az IVO részére. 4.2.3.13. Felhasználó Aki a Társaság üzleti céljainak elérése érdekében informatikai eszközt kezel, és arra telepített programot (alkalmazást) használ feladatai megoldásához, köteles az

1002


általa kezelt eszközök, rendszerek informatikai biztonságára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonatkozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentációk biztonsága c. fejezetben (4.6.1.1. pont) megjelölt személynek kell a felhasználó rendelkezésére bocsátania. Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentumban foglaltakat megismerni, azt a 2. sz. melléklet aláírásával elfogadni és napi munkájában alkalmazni. 4.2.3.14. Informatikai szolgáltató A Társaság részéről szerződő fél köteles a Társaság informatikai biztonsági előírásait érvényesíteni az informatikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során. Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek ellátása során a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzését, a Társaság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgáltatási szerződésnek megfelelő működést. 4.2.4. Az informatikai biztonság szabályozása a MÁV Zrt. partnereire vonatkozóan 4.2.4.1. Ügyfelek Az ügyfelek informatikai biztonságával kapcsolatos intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő információk kiszivárgását. Ezért a biztonsági gyakorlat az ügyfeleket hasznosságuk mellett, bizonyos mértékű veszélyforrásnak is tekinti. A Társaság ügyfelei nem kötelezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Társaság részére. A szerződéssel rendelkező ügyfelek esetében tájékoztató jelleggel fel kell hívni a figyelmet a szolgáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljárások alkalmazására. 4.2.4.2. Más vasúttársaságok, nemzetközi vasútszervezetek A Társaság informatikai rendszerei több szálon is kapcsolódnak más nemzeti vagy nemzetközi vasúti szervezet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás). Ezekben a kapcsolatokban – megfelelő szakmai előkészítő tárgyalások után – az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biz-

19. szám

tonsági követelményeiben, besorolásában. Az írásba foglalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a biztonság garantálásához alkalmazandó üzemeltetési, felügyeleti és ellenőrzési eljárások részleteit. A Társaság oldalán az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttműködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással. 4.2.4.3. Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég valamely – informatikai biztonságot is érintő – szolgáltatását. Ilyen szolgáltatás lehet: – hálózat (internet) szolgáltatás, – on-line banki szolgáltatás, – hardverkarbantartás, javítás, – hardver/szoftver bérbeadás, – hardver/szoftver üzemeltetés – hosting szolgáltatás – rendszeradminisztráció, vírusvédelem, – szoftverfejlesztés, – alkalmazás-követés (upgrade, patch stb.), – oktatás, – egyéb informatikai szolgáltatás (pl. nyomtatás), – takarítás, őrzés-védelem, – stb. A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásával, mind a szerződések megkötésénél a megfelelő biztonsági garanciák beépítésével. Az informatikai beszállítók kijelölése, kiválasztása az IKI feladata, de a biztonsági megfelelőség megítélésében köteles kikérni és figyelembe venni az IVO véleményét. Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállítói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszernek 3. sz. mellékletben felsorolt elemekből kell felépülnie. A minősítést az IKI igénye alapján az IVO végzi, véleményét (értékelését) írásban megadja, amit a továbbiakban a fejlesztési dokumentumok részeként kell kezelni. 4.2.4.4. Projekt partnerek A Társaság informatikai rendszereinek korszerűsítésére, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyeztetésénél – az érintett rendszer biztonsági besorolásának megfelelően – az informatikai biztonsági előírások maradéktalan érvényesítését is biztosítani kell. A pályázati felhívásban – a funkcionális követelmények mellett – a pályázóktól elvárt informatikai biztonsági követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai

19. szám


rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az IVO állásfoglalását ki kell kérni. A pályázati anyagok elbírálása során a biztonsági besorolás szintje által determinált súlyozással kell figyelembe venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vállalt biztonsági garanciákat. A kiválasztás során alkalmazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert. 4.2.4.5. Partner-Szerződések megkötésének biztonsági szabályai Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fizikai-, illetve logikai hozzáférési lehetőségeket biztosítunk, újabb kockázatok jelennek meg. Ezek kompenzálása érdekében a partnerekkel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek biztonsági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják) a partner számára: – a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, – a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést, – személyes adatok kezelését, – a szerződéssel kapcsolatos információk nyilvánosságra hozatalát, vagy harmadik fél részére történő átadását, – alvállalkozók bevonását; a Társaság számára: – a partner által végzett belső- és külső tevékenységek felügyeletét, ellenőrzését, szükség esetén beavatkozását, – a partner által nyújtandó szolgáltatás szintjének objektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését, – a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését, – biztonsági auditor cégek bevonását. A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is: – titokvédelem, – szerzői jogi és tulajdonjogi kérdések, – hazai, nemzetközi valamint MÁV Zrt. szabványoknak, előírásoknak való megfelelés, – változáskezelés folyamata, – problémakezelés folyamata, – kockázatkezelés, a biztonsági szint fenntartásának folyamata.

1003

A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai szerint történik, de a rendszerek kialakítását vagy módosítását érintő szerződéseknek kötelező informatikai biztonsági fejezetet is tartalmaznia. Minden informatikai rendszert érintő előkészítésbe be kell vonni az IVO-t, a szerződés megkötéséhez állásfoglalását ki kell kérni. A projekt munkaszervezetében az IVO részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd. 4.2.3.9. fejezet) részvételével külön biztonsági alprojektet / projektmodult kell működtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. Beszállítói szerződést csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülő speciális elvárások teljesítését, és lehetőséget biztosít a Társaság számára azok teljesülésének felügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíteniük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásában, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék. 4.2.5. Az informatikai biztonság szabályozása erőforrás-kihelyezés esetén Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a 4.2.4.5. fejezet általános szabályai ezekre az esetekre is érvényesek. Tekintettel arra, hogy az outsourcing típusú szolgáltatások esetén a Társaság – mint megbízó – a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett felelősségnek tükröződnie kell a szerződések tartalmi részében. Egyértelmű szerepkör-elhatárolás szükséges a megbízó és a vállalkozó között az informatikai rendszer üzemeltetési folyamatai tekintetében, hogy egyetlen lényeges tevékenység se maradjon gazdátlanul, illetve ne legyenek indokolatlan párhuzamosságok. Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az IVO együttműködésével környezettanulmányokat kell végezni a potenciális partnereknél. Kiemelt biztonsági osztályba tartozó rendszerek üzemeltetése csak különleges körültekintéssel meghatározott garanciális elemek biztosítása esetén, az üzleti tulajdonos, az IVO és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti döntése esetén adható vállalkozásba.

1004


4.3. Az informatikai eszközök leltárba vétele és ellenőrzése A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfelelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szempontból kiemelten fontos a fizikai vagyon, a szoftver-vagyon és az információ-vagyon számbavétele. 4.3.1. Számadási kötelezettségek az eszközökkel kapcsolatban A Társaság informatikai vagyontárgyait leltárba kell venni. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A vagyonleltár adatai fontos kiindulópontot jelentenek a kockázatkezelés és az informatikai stratégia tervezése során. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva. 4.3.2. Konfigurációkezelési adatbázis (KKA) A Társaság informatikai infrastruktúrája áttekinthetőségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfigurációkezelési adatbázis (KKA), amely – a vagyonleltár részeként vagy külön adatbázisban – a biztonság hatékony menedzseléséhez nélkülözhetetlen adatokat kezel. E naprakész nyilvántartásban kell lekérdezhetővé tenni az összes (nem csupán fizikai jellegű) informatikai rendszerelem, illetve a biztonság menedzselésével összefüggő egyéb entitás (pl. biztonsági tartományok, biztonsági osztály, üzleti tulajdonos, üzemeltetés / tárolás helyszíne, felhasználó, változtatási kérelmek, események, problémák, ismert hibák feljegyzése stb.) adatait, ezek egymás közötti összefüggéseit. A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfigurációs elemekkel összefüggő egyéb információkat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyilván kell tartani. A tevékenység ellátását elősegítheti egy olyan megoldás, amely a teljes körű hardver- és szoftverleltár, valamint a licencgazdálkodás elősegítése érdekében az informatikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára. A KKA kialakítása és naprakészen tartásának biztosítása az IKI feladata, melyet, a vagyonleltárt kezelő rendszerrel összefüggésben – lehetőleg azzal együtt – kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalmazásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az IVO, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üzemeltetését, mennyiségi stb. felügyeletét végzők számára.

19. szám

4.4. Személyi biztonság 4.4.1. Az alkalmazás előtt Az eszközök nem megfelelő használata során biztonsági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben alkalmazást megelőzően szükségessé válik. A munkaszerződés meg vagy újrakötésekor a munkájához informatikai eszköz használatra kötelezett munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben szereplő nyilatkozat aláírásával érvényesíteni kell az informatikai biztonságra vonatkozó követelményeket. A mellékletek átadása és a munkavállalóval való kitöltetése a humánpartner szervezet feladata. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az előzőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk. Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet nem szükséges újból aláíratni, azonban az 1. sz. mellékleltet – az esetlegesen bekerült változások miatt – meg kell ismertetni a felhasználókkal. Az egyéni munkaköri leírásoknak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcsolatos követelményeket a felelősség egyértelmű megjelölésével. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. Amennyiben a Társaság informatikai eszközöket és szolgáltatásokat bocsát a munkakörhöz, a használat szabályairól és az ellenőrzésének lehetőségéről a munkakör betöltésével kapcsolatos eljárás folyamatában a munkavállalókat írásban kell tájékoztatni. 4.4.1.1. A kiemelt fontosságú munkakörök Kiemelt fontosságú munkakörnek tekintjük azon szerepkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználókét, egyúttal több felhasználóra, alkalmazásra vagy rendszerre kiterjedő adatkezelési, döntési stb. jogkörrel rendelkeznek. Az utasítás 4.2.3.8. – 4.2.3.12. pontjaiban szereplő, informatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése során a jelölt előzetes hozzájárulása mellett az interjú jegyzőkönyvet a Humánerőforrás igazgatóság az IVO vezetője részére megküldi, és a kiválasztott jelölt referencia vizsgálatát az IVO elvégzi. A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepeltetni kell.

19. szám


4.4.2. Az alkalmazás alatt Az alkalmazás alatt a munkáltatói jogkör gyakorlójának, az üzleti tulajdonosnak, az IKI-nek, az IVO-nak együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, ezáltal is motiválva legyenek az informatikai biztonsági szabályok betartására. A felhasználókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biztonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében. 4.4.2.1. A vezetők felelőssége Az adott szervezeti egység vezetőjének felelőssége, hogy megkövetelje a felhasználóktól és a szerződő felektől, hogy a biztonsági intézkedéseket az IBSZ-el összhangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik. A Biztonsági Igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informatikai képzések tematikájában megfelelő súllyal szerepeljen. A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése. 4.4.2.2.Oktatás és képzés A felhasználóknak a munkakörüknek megfelelően ismerniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. A felhasználói oktatás tematikáját és időtartamát – mind az informatikai, mind az informatikai biztonsági igényeket figyelembe – véve a Társaság oktatási utasításában (O1) kell szabályozni. Főszabályként belépéskor biztonsági alapképzést, majd évente utánképzést kell megvalósítani. A biztonsági képzések tananyagát a korábban már említett, a 1. sz. mellékletben bemutatott, Felhasználók biztonsági kötelezettségei c. segédlet képezi, amit az adott munkaterület speciális igényei szerinti előadásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs eszközök helyes használatát. 4.4.2.3. Biztonsági események megelőzése, jelentése Minden felhasználónak ismernie kell a Társaság működésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok, pl. vírusfertőzés) jelentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett

1005

munkavállaló ezt a 4.4.1 fejezetben leírtak szerinti Informatikai biztonsági nyilatkozat aláírásával tejesíti. Az informatikai rendszert, vagy a hálózat működését érintő biztonsági rendkívüli eseményt a felhasználói köteles a közvetlen vezetőjének, akadályoztatása esetén az illetékes személyzetnek jelenteni, szükség esetén a kármegelőzési, kárelhárítási intézkedéseket érdekében mindent megtenni. Köteles az eredményes kivizsgálást elősegíteni. A szervezeti egység vezetője jelentését haladéktalanul köteles megtenni az IVO vezetőjének (telefon, fax, e-mail stb.). A jelen IBSZ személyi hatálya alá tartozó vállalkozónak (2.1.1 fejezet 3. bekezdés), továbbá az erre alkalmas rendszerek külső használóinak a velük kötött szerződésben kell felelősséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerződésben való szerepeltetéséért a szerződés Társaság oldali aláírója felelős. Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követően az eseményt előidéző, az esemény okait és lefolyását feltáró, vagy megismerhetővé tevő bizonyítékok ne semmisüljenek meg, azok összegyűjthetők és értékelhetők maradjanak. 4.4.2.4. Felelősség vizsgálata Azokkal a munkavállalókkal szemben, akik a Társaság informatikai biztonsági szabályzatait és eljárásait megsértették fegyelmi eljárást kell indítani. Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyébként hajlamosak lennének arra, hogy a biztonsági szabályokat megszegjék. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssége és egyben kötelessége. A vizsgálat az IVO bevonásával történik. 4.4.3. Az alkalmazás megszűnésekor vagy változásakor A munkaviszony megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal. A munkaviszony megszüntetésekor a Társaság szempontjából biztonsági alapkövetelmény, hogy a munkavállalók rendezett módon hagyják el a szervezetet vagy váltsanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a távozó munkatárs bármely általa használt informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése előtt mentést kell végezni. A munkatárs nyilatkozata alapján, a mentő eszközökről a hitelt érdemlően bizonyítható személyes adatait törölni kell. Az adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a távozó munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban – erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára – feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek.

1006


Távozás során a berendezéseket át-, illetve a nem használt eszközöket le kell adni a hozzáférési jogokat azonnal vissza kell vonni, amelynek ellenőrzéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságokon kívül visszavonásra kerülő vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosítók, beléptető kártyák, előfizetések. Különös figyelemmel kell lenni a munkakörből távozáskor az aktív számlákhoz hozzáférést biztosító jelszavak viszszavonására, illetve megváltoztatására. Amennyiben szükséges a munkaviszony megszűnésekor titoktartási nyilatkozatban, megállapodásban kell rögzíteni a felelősségeket, amelyek még vonatkoznak a távozó munkatársra egy meghatározott időszakon át a munkaviszony megszűnése után is. 4.4.3.1. Az eszközök visszaadása Alapvető biztonsági cél, hogy minden felhasználó szerződése lejártáig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvereket, társasági dokumentumokat, az informatikai eszközöket, hitelkártyákat, beléptető kártyákat, illetve különféle elektronikus adathordozón tárolt információkat. Azokban az esetekben, amikor egy felhasználó megveszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről minden a Társaságot érintő adatot biztonságosan törölni kell (lásd 4.6.4.1. fejezet „h” pont). Ennek megvalósulása érdekében a megállapodás kizárólag az IVO – ennek megtörténtét igazoló – véleményének kiadását követően történhet meg. 4.4.3.2. Az átszervezés biztonsági kérdései Egy átszervezés esetében már a tervezési szinten az IVO bevonásával információvédelmi szempontból is átfogóan elemezni kell a biztonsági kockázatokat, meg kell határozni azokat az informatikai biztonsági követelményeket, intézkedéseket, melyeket szervezetnek érvényesítenie kell. A fájlszervereken lévő megosztott munkakönyvtárak és az alkalmazási rendszer hozzáférés-védelmét ellenőrizni, szükség esetén módosítani kell. Ezek a veszélyforrások csak részben küszöbölhetőek ki technikai biztonsági intézkedésekkel. 4.5. Fizikai és környezeti biztonság A berendezések fizikai védelmének célja az eszközök állagának, információfeldolgozó képességüknek megőrzése, folyamatos működőképességük fizikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben: a) gondatlan emberi magatartásból, helytelen üzemeltetésből, mulasztásból eredő fizikai jellegű veszélyeztetés, b) szándékos emberi beavatkozásból származó fizikai jellegű károkozás, rongálás, c) illetéktelen személyek hozzáférése, beavatkozása okozta károk,

19. szám

d) lopásból eredő károk, e) műszaki meghibásodás, üzemzavar okozta károk, f) természeti csapások, katasztrófa események következtében keletkező károk. A védelmi intézkedések e csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephelyek védelmére, valamint a berendezések folyamatos működéséhez szükséges környezeti feltételek biztosítására szolgál. 4.5.1. Biztonsági szegmensek A fizikai biztonság megalapozását biztonsági területek kijelölésével kell kezdeni. Minden olyan helyiséget, épületet, telephelyet, amely az informatikai rendszer bármely elemének üzemszerű elhelyezésére vagy tárolására szolgál, be kell sorolni az alábbi osztályoknak megfelelően: a) kiemelt biztonsági osztály: különlegesen fontos számítóközpontok és adathálózati központok, kiemelt biztonsági osztályú alkalmazást futtató szerverek helyiségei, b) fokozott biztonsági osztály: számítóközpontok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági osztályú alkalmazást futtató szerverek elhelyezésére szolgáló szerverszobák, helyiségek, c) alap biztonsági osztály: az előző két kategóriába nem sorolt körletek (pl. akár irodában, akár számítóközpontban elhelyezett, alap biztonsági osztályú alkalmazást futtató szerverek helyiségei). Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttműködni az adott területen üzemelő rendszerek üzleti tulajdonosaival. Ezt a személyt az alkalmazás RIBSZ-ekben nevesíteni kell. Bármely biztonsági szintre történő besoroláshoz az IVO – írásba foglalt – állásfoglalása is szükséges. Kiemelt biztonsági szintre történő minősítés csak független biztonsági szakértők bevonásával végzett eredményes auditálást követően történhet. A biztonsági területek definiálása és nyilvántartása – a KKA részeként – az IKI feladata. 4.5.1.1. Fizikai biztonsági védősávok A biztonsági területek határfelületein, ahol alacsonyabb szintű területekkel, vagy a külvilággal érintkeznek, biztonsági védősávokat kell kialakítani, amelyek egy vagy több fizikai természetű veszélyeztetés kivédésére szolgálnak. A 9. sz. mellékleten feltüntetett táblázat összefoglalja a védősávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötelező (K), vagy ajánlott (A). 4.5.2. Beléptetési intézkedések A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni kell. Erre vonatkozóan a Társaság beléptetéssel kapcsolatos szabályzatait, illetve a vagyonvédelem szabályait megfogalma-

19. szám


zó törvény előírásait kell érvényesíteni. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. Külső személyek csak kísérettel tartózkodhatnak a Társaság objektumain belül. Alap biztonsági szintre besorolt területekre a bejutást – a minimális fizikai védelem kialakítása keretében – az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott területen dolgozók személyes felelőssége, hogy minden helyiséghez csak az oda önálló belépésre is feljogosított személyek rendelkezzenek kulccsal, és hogy idegen személyek felügyelet nélkül ne tartózkodhassanak a helyiségben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni – megfelelően biztonságos tárolással –, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására. A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkező személyek be- és kilépését is naplózni kell. A belépés ellenőrzését a beléptető rendszer kártyán túl egyéb hitelesítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni. Minden külső munkatársat, szerződő felet, és minden vendéget meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést. A munkatársak minden esetben jelentsék a biztonsági személyzetnek, ha kísérő nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót. Minden fokozott és kiemelt biztonsági szintű területre az üzleti tulajdonosnak a helyi sajátosságoknak megfelelő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő belépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vonatkozásában. Ebben az utasításban kell lefektetni: a) a személyes azonosító eszközök (kártyák, kitűzők, PIN-kódok) használatának, kiadásának, visszavételének szabályait, b) a területre anyagok, eszközök be- és kiszállításának szabályait, c) a területen munkaidőn túli tartózkodás szabályait, d) az ideiglenes- és vendég jelleggel belépők nyilvántartásának, kísérésének szabályait. A beléptetési utasításokat az IVO egyetértésével kell kiadni. Kamerás megfigyelő rendszerek használatáról a Társaság adatvédelmi szabályzata rendelkezik (lásd 15. sz. melléklet).

1007

4.5.3. Védelem a külső környezeti fenyegetettségek ellen Az adatfeldolgozó, vagy tároló telephelyek kiválasztásakor fontos figyelembe venni, az adott földrajzi elhelyezkedéséből eredő veszélyforrásokat (pl. árvíz, földrengés, erdő vagy bozóttűz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése). Az informatikai berendezések telepítési, elhelyezési helyének megválasztásakor – az adott eszköz rendeltetésétől, biztonsági besorolásától függően biztosítani kell a zavartalan működéshez szükséges feltételeket. Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás), 2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem), 3) külső tényezők (tűz, víz, vihar stb.) elleni védelemre, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükségáramellátással), 5) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették). A RIBSZ-ekben részletesen kell szabályozni: 1) a műszaki berendezések elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) a berendezések karbantartását, 5) a telephelyen kívüli berendezések védelmét, 6) a berendezések biztonságos tárolását és újrafelhasználását. A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és rendelkezésre állásának biztosításában nagy szerepet játszik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével, valamint a Társaság üzletvitele szempontjából betöltött szerepével kell arányban lennie. A fenyegető ténye-

1008


zőket a kockázatelemzés tárja fel. Tekintettel ezek fajlagosan magas árára, a védelem teljes körű és mindenre kiterjedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott biztonság mértékétől. Ilyen helyiségek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok. A megfelelő védelmi szintekhez tartózó feltételeket a Biztonsági osztályok követelményei c. táblázat (10. sz. melléklet) Infrastruktúra (fizikai védelem) része tartalmazza. 4.5.3.1. Energiaellátás A berendezéseket az alább felsorolt lehetőségek alkalmazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépő rendellenességektől. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifikációjának. Azok a lehetőségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply), c) tartalék áramforrás alkalmazását. A folyamatos működést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalmazása ajánlott olyan berendezésekhez, amelyek az üzlet működésére nézve kritikusak. Ajánlatos gondoskodni vészvilágításról is a fő energiaellátás meghibásodása/kimaradása esetére. Villámhárítót ajánlatos felszerelni valamennyi épületre, és villámvédő szűrőket alkalmazni az épületbe belépő kábelekre. 4.5.3.2. A kábelezés biztonsága Az adatkommunikációs kábelek fizikai védelme a nagy földrajzi kiterjedés, a többnyire folyamatos felügyelet nélküli nyomvonal miatt külön szabályok alkalmazását követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen. Az adathálózat elemeit, a legfontosabb műszaki paramétereket, a rájuk kapcsolódó eszközöket stb. a KKAban is nyilván kell tartani. A Társaság infokommunikációs hálózatának fizikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stratégia szerint kell kialakítani. Ennek elkészítése és a benne foglaltak szerinti működés megkövetelése a hálózat üzleti tulajdonosának a feladata.

19. szám

4.5.3.3. A berendezések elhelyezésének szabályai Minden berendezés csak a biztonsági besorolásának megfelelő szintű biztonsági területen telepíthető. Az informatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, érzékeny adatokat tartalmazó adathordozók, fontos dokumentációk stb.) a jobb védhetőség érdekében koncentráltan, magasabb biztonsági szintű területek formájában kialakított számítóközpontokban (szerverszobákban, rendezőszekrényekben) kell elhelyezni, működtetni. Extrém üzemi környezetben (poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan berendezést szabad használni, amely – specifikációja szerint – erre kifejezetten alkalmas. 4.5.4. Hordozható informatikai eszközök védelme Az eszközök nem hagyhatók felügyelet nélkül, amenynyiben nem biztosítható azok előírt védelme. Ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására (pl. notebook védelme Kensington zárral). 4.5.5. Felhasználói munkaállomások védelme Minden számítógépes munkaállomáshoz (teljes konfigurációt figyelembe véve), továbbá önálló nyilvántartási egységet képező más informatikai berendezésekhez vagyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége: a) a berendezések állagának, épségének megóvása a tőle elvárható gondoskodással, b) sérülés, hiány azonnali jelentése a közvetlen vezetőnek, c) hordozható eszközök (pl. notebook számítógép, PDA, mobiltelefon, projektor) esetén a Társaság objektumain kívül történő használat vagy tárolás során a vagyonvédelmi előírások maradéktalan betartása, d) meghibásodásra utaló jelek (szokatlan zajok, melegedés stb.) esetén a készülék azonnali kikapcsolása, karbantartás igénylése, e) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmeneti tárolásáról. A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtől, amely azok sérülését, beszennyezését okozhatja. Informatikai eszközök és tartozékaik eltulajdonítása ellen – ahol ezt a közvetlen munkahelyi vezető indokoltnak tartja – mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasztórendszerébe kapcsolt tárgyvédelemmel kell a veszélyeztetett berendezéseket ellátni. 4.5.6. Informatikai eszközök tárolása, karbantartása, javítása és selejtezése Tárolás A Társaság kulcsfontosságú informatikai eszközeit tartalmazó helyiségek, épületek pontos funkciójára, ki-

19. szám


alakításának körülményeire vonatkozó információkat a nyilvánosság elől rejtve kell kezelni (ne legyenek nyilvános helyen tájékoztató táblák, nyilvános telefonkönyvből, címtárból kiolvasható címek stb.). A biztonsági területeket úgy kell kialakítani, hogy azokon belül az információ-feldolgozó tevékenység teljes lefedéséhez szükséges eszközök rendelkezésre álljanak. Ugyanakkor meg kell tiltani a munkafolyamatok szempontjából oda nem illő eszközök, anyagok tárolását, raktározását. Karbantartás Minden jelentősebb berendezéshez – műszaki specifikációjának előírásai alapján – meg kell határozni a megelőző karbantartások rendjét. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ-ben is rögzíteni kell. Ugyancsak a RIBSZ-ben kell rendelkezni az eseti hibajavító karbantartások kezdeményezésének, végrehajtásának szabályairól. A berendezések valamennyi adathordozó részegységét az üzemeltető szervezet ellenőrizze annak érdekében, hogy az adatok és a vásárolt (licenc szerinti) szoftverek arról eltávolításra és felülírásra kerüljenek, mielőtt mások rendelkezésére bocsájtják. Javítás Meg kell akadályozni, hogy javításra, vagy egyéb célból elszállításra kerülő digitális adattárolásra alkalmas eszközök ellenőrizetlenül kerüljenek ki a Társaságon kívülre. Az elszállítás az Infokommunikációs igazgatóság vezetője által kijelölt személy engedélyéhez kötött. Jegyzőkönyvben, vagy a szállító levélen kell feltüntetni az adathordozót tartalmazó informatikai eszköz gyári számát és egyéb azonosító adatait, típusát. Amennyiben a hiba jellege lehetővé teszi, akkor a benne lévő adathordozó visszaállíthatatlan törlésére kell intézkedni, illetve a javítás idejére el kell távolítani. Erről szóló nyilatkozatot az Társaság informatikai szolgáltatójának munkatársával kell ellenjegyeztetni. Amennyiben az adathordozó eltávolítása nem lehetséges, abban az esetben a Társaság részéről megfelelő informatikai szakértelemmel rendelkező szakértőnek kell figyelemmel kísérni az eszközt a javítás teljes időtartama alatt. Selejtezés A berendezések üzemen kívül helyezésével kapcsolatos eseményeket a KKA-ban is rögzíteni kell. Az eszközök gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez vezethet. A digitális adathordozó eszközöket meg kell semmisíteni, vagy a rajta található adatokat biztonságosan, vissza nem állítható módon kell törölni a felhasználónak, illetve az üzemeltetést végző szakembernek. A selejtezésnek engedélyhez kötöttnek és megfelelően dokumentáltnak kell lennie. Jegyzőkönyvben fel kell tüntetni az alkatrész gyári számát, típusát, valamint a benne lévő adathordozók törléséről szóló nyilatkozatot a felelős

1009

munkatárs aláírásával. A kényes információk kiszivárgásának megelőzése érdekében a selejtezendő adathordozók esetében a sikeres törlés tényét ellenőrizni kell. 4.6. Hálózati szolgáltatások és az üzemeltetés menedzsmentje 4.6.1. Üzemeltetési eljárások és felelősségek 4.6.1.1. A dokumentációk biztonsága Az üzemeltetési eljárásokat és felelősségeket részletesen és szabályszerűen dokumentálni kell, és az üzemeltetés helyén hozzáférhetővé kell tenni. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint: a) az adatkezelés, (-feldolgozás és -tárolás), b) tervezett követelmények, más rendszerek bizalmasságának megsérülhetősége, c) munkaidőn kívüli munkahelyen való tartózkodás, d) hibaesetekre és rendellenes működésre vonatkozó eljárások, e) hardver és szoftver karbantartási eljárások, f) munkavégzés közben fellépő kivételes állapotok kezelése, g) rendszer újraindítása és visszaállítása. Az üzemeltetési és a dokumentált eljárásokat a rendszer tevékenységeire vonatkozóan hivatalos dokumentumként kell kezelni. Az üzemeltetési eljárások, rendszerdokumentációk (pl. RIBSZ) tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordozók tárolási helye, hálózati hozzáférési pontok) ezért ilyen esetekben a titokban tartásuk érdekében elvárható intézkedések megtétele indokolt. A RIBSZ-ben az illetéktelen hozzáféréseket szabályozni kell: a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról. b) Minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentációkhoz. c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről. d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelő módon kell kezelni. e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani. f) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni. g) Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához és üzemeltetéséhez, a

1010


rendszer funkcionalitásának és megbízható üzemeltetésének biztosításához a következő dokumentációk szükségesek: – Architektúra és konfiguráció szintű dokumentáció – Modul szintű dokumentáció – Teljes rendszerdokumentáció – Tesztkövetelmények és eljárások dokumentációja rendszer szinten – Felhasználói dokumentáció – Átadás-átvételi dokumentáció – Üzemeltetési dokumentáció (normál üzemeltetés, hibaelhárítás, újraindítás) – Rendszer biztonsági dokumentumai (kockázatelemzés, RIBSZ, MFT) – Oktatási napló A rendszerek, alrendszerek biztonsági dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Ezeket a dokumentumokat csak az üzleti tulajdonos, illetve az általa kijelölt személyek kezelhetik és bocsáthatják a jogosultak rendelkezésére. Erről az üzleti tulajdonos az IKI-t a KKA-ban történő dokumentum nyilvántartás érdekében, valamint az IVO vezetőjét értesíti. 4.6.1.2. Változáskezelés A biztonsági osztályba sorolástól függetlenül az információs rendszerek, alkalmazói programok és rendszerleíró paraméterek, rendszerszoftver- és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait – a változáskezelési szabályzat alapján – ellenőrzött és dokumentált módon kell elvégezni. A változáskezelési szabályok összessége határozza meg egy informatikai alkalmazás adatszolgáltatási folyamataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemeltetését lehetővé tevő informatikai infrastruktúrában bekövetkező módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetőségét. Ennek során a következő tevékenységeket kell végezni, amelyekben a döntéseket az üzleti tulajdonos hozza: a) változás iránti igény azonosítása, jelentőrendszerbe rögzítése, b) a változások lehetséges hatásainak felmérése, c) döntés a változás megvalósításáról / a változtatási kérelem elutasításáról, d) a változás megvalósításában felelős résztvevők megjelölése, e) a tervezett változások jóváhagyási eljárásainak ellenőrzése, f) a változás kidolgozása, g) a változás tesztelése, nem megfelelőség esetén viszszalépés az f) pontra, h) döntés a bevezetésről, i) az összes érintett értesítése a változások részleteiről,

19. szám

j) a változás bevezetése, k) a tényleges változások dokumentálása, l) a megváltozott környezetről biztonsági mentés készítése. Társasági szinten egységes változáskezelési rendszer kialakítása az IKI, az infokommunikációs hálózatra pedig a TEBF feladata. A teljes változáskezelési folyamatra biztosítani kell az IVO biztonsági felügyeletét. A feladatkörök elhatárolása Az összes adatfeldolgozó eszköz üzemeltetési eljárásait és az üzemeltetéssel járó felelősségi köröket előre definiálni kell, és folyamatosan felül kell vizsgálni. Az egyes feladatok vagy felelősségi körök végrehajtását és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módosítására vagy visszaélésre vezető alkalmak esélyét csökkentsük. Minősített rendszerek esetében ilyen beállítások csak az IVO munkatársa előzetes írásos (pl. e-mail) értesítését követően végezhetők. A jól definiált feladatelhatárolás, minden munkavállaló részére, csak a munkájához szükséges információhoz ad hozzáférést, így jelentősen csökken a gondatlan vagy szándékos visszaélés kockázata. A feladatok szétválasztásának szabályai: – ”éles” üzemben működtetett informatikai rendszerben fejlesztések, tesztelések nem folytathatók, – ”éles” adatokkal tesztelést végezni tilos, teszteléshez mindig tesztadatokat kell készíteni (generálni), – fejlesztés alatt álló rendszerben „éles” üzemi tevékenységet folytatni tilos, – a fordító, szerkesztő és egyéb segédprogramok „éles” üzemi rendszerben csak abban az esetben legyenek elérhetők, ha ezekre a programokra dokumentáltan és engedélyezetten szükség van, – a fejlesztők az üzemi rendszerben rendszergazdai (administrator, root, supervisor stb.) jogosultságokat csak kivételesen és ideiglenes jelleggel kaphatnak; amennyiben erre már nincs szükség, a jelszavakat meg kell változtatni, és a rendszer biztonsági beállításait teljeskörűen felül kell vizsgálni, – az IVO munkatársai részére esetlegesen kiadott adminisztrátori jogosultságok csak a biztonsági tevékenységgel kapcsolatos munkák során, naplózottan használhatók. A biztonsági ellenőrzést a végrehajtó szervezettől függetlenül, az IVO hatáskörében kell működtetni. Kapacitástervezés A rendszerek kapacitásigényét folyamatosan figyelemmel kell kísérni, és a mért értékek alapján meg kell becsülni a jövőre nézve is. A kapacitástervezés célja, hogy időben álljon rendelkezésre a kellő feldolgozási teljesítmény és tárolóhely, az üzleti folyamatok támogatásához. A tervek az újabb üzleti és rendszerkövetelményeket is vegyék figyelembe, valamint a Társaság adatfeldolgozásának folyó és megjósolt trendjeit.

19. szám


4.6.2. Védelem rosszindulatú programok ellen A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak bevinni környezetekbe a hálózati csatlakozásokon vagy hordozható eszközökön keresztül is. Megfelelő biztosítékok nélkül a rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. Aktiválódásakor hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkretehetik az adatállományokat, lelassíthatja a rendszereket. Megjelenésük lehet szándékos tevékenység következménye vagy olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók számára. A rosszindulatú kód a bizalmasság, sértetlenség és rendelkezésre állás elvesztéséhez vezethet. A Társaság rosszindulatú programok elleni védelmi rendszerét erre vonatkozó RIBSZ-ben, az Infokommunikációs Stratégia és annak az Infokommunikációs Biztonsági Stratégia c. fejezete előírásai szerint kell kialakítani. Ebben tervezni kell a vírusvédelmi szoftverek kiválasztásának elveit, beszerzésének gyakoriságát, a szükséges licenc-számot, a rendszeres frissítés módját és felelőseit, továbbá ki kell jelölni a rendszer kialakításának és fenntartásának felelőseit. A rosszindulatú kódok elleni védelmet a következő biztosítékokkal lehet elérni: 1) Keresők: A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális kereső szoftverekkel, amelyeknek biztosítani kell az önműködő frissítését. A keresők aktív és passzív módban üzemelhetnek. Az aktív védelem felfedi (és valószínűleg el is távolítja) a rosszindulatú kódot még mielőtt bármilyen fertőzés történhetne, és károk keletkeznének az informatikai rendszerben. Tudni kell azonban, hogy nem lehet abban bízni, hogy a keresők minden rosszindulatú kódot megtalálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg ezek új formái. 2) Sértetlenség biztosítása: A sértetlenséget ellenőrző szoftverek lényeges részét képezik a rosszindulatú kódok ellen védő technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és programok esetében lehet használni, amelyek nem őriznek meg későbbi használatra szánt állapotinformációkat. (pl. ellenőrző összegeket használnak annak eldöntésére, hogy egy program módosult-e vagy sem) 3) Tűzfalak: feladatuk a hálózat különböző szegmenseinek teljes elválasztása, például a belső (biztonságos) hálózat elválasztása a külső (nem biztonságos) hálózattól. 4) Tartalomszűrés: Az adatforgalom házirend alapú szabályozása vagy teljes blokkolása, ezáltal a biztonsági szint növelése és a biztonsági problémák megelőzése. 5) (pl. fájlcserélők-, kémprogramok-, internetről letölthető hacker programok, azonnali üzenetküldők, hamisított jelszóhalász vagy rosszindulatú weboldalak elleni védelem) 6) Állományok ellenőrzése: RIBSZ-ben kell szabályozni a bizonytalan eredetű hordozható adattárolón vagy a bizalmat nem élvező hálózaton át kapott állományok

1011

használat előtti vírusfertőzöttség ellenőrzését – beleértve minden elektronikusan kapott levélmellékletet és letöltést – valamint a kritikus üzleti folyamatokat segítő rendszerek szoftverének és adattartalmának időközönkénti felülvizsgálatát. 7) Formális szabályzat: Megköveteli a megfelelést a szoftverlicenceknek, és megtiltja a jogtalan szoftverhasználatot, valamint véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külső hálózatokból való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, valamint azt is megadja, hogy milyen védelmi intézkedéseket ajánlatos hozni. 8) Oktatás: A felhasználók biztonsági tudatosságát fenntartó oktatásokat kell tartani, illetve szabályozni, hogy mit kell tenniük, ha rendellenes eseményt észlelnek. 9) Működés-folytonossági terv: Tartalmazza a (pl. vírustámadás utáni) helyreállításra vonatkozó szükséges adatmentési, visszaállítási eljárásokat. A rosszindulatú kódokat leggyakrabban a következő módokon lehet továbbadni/hordozni, ezért különösen fontos e területek pontos szabályozása: a) végrehajtható (futtatható) szoftverek, makrók, scriptek b) kivehető adathordozók pl. floppylemez, Pen Drive, flash memória, CD/DVD c) elektronikus levél (csatolmány is) d) hálózatok, távoli hozzáférés e) aktív tartalmat hordozó weboldalak, letöltések 4.6.3. Hálózatmenedzsment A hálózatmenedzselés során olyan óvintézkedéseket kell megvalósítani, amelyek fenntartják a hálózatokban (LAN, WAN, WLAN, intranet) az adatok biztonságát és védik a szolgáltatásokat a jogtalan és az illetéktelen hozzáféréstől. A hálózati RIBSZ-ben ezért a hálózaton áthaladó adat és az ezt lebonyolító, lehetővé tevő infrastruktúra védelmében szabályozni kell: – a felelősséget a teljes hálózatért, illetve annak logikai és fizikai szegmenseiért, alhálózataiért, és a hálózat változásainak kezeléséért, – az eszközök távoli menedzselésének szabályait, eljárásait és felelőseit, – a nyilvános hálózatokon is áthaladó adatok biztonságát, – a szervezeti határokon átnyúló informatikai szolgáltatások hálózati elemeinek biztonságát, – a hálózathoz való hozzáférés menedzselésének szabályait, különös tekintettel az esetleges külső szolgáltatók és felhasználók hozzáférési lehetőségeire, – a védett, a nyilvános és a vezeték nélküli (WLAN) hálózat biztonságos összekapcsolásának és átjárásának feltételeit, eszközrendszerét, – a hálózati és hálózatfelügyeleti szolgáltatások folyamatos fenntartását biztosító eljárásokat, – a diagnosztikai pontokhoz való hozzáférést, a hálózati események naplózását, és azok rendszeres ellenőrzését.

1012


Hálózatba kapcsolt informatikai eszközök használatakor előnyben kell részesíteni a vezetékes kapcsolódást, amennyiben technikailag lehetséges hálózat azonosítási protokoll (pl. 802.1x) használatával. Vezeték nélküli kapcsolódás csak indokolt esetben engedélyezett (pl. tárgyalókban, vagy ha a munkahelyen nem lehet a vezetékes csatlakozások számát növelni), de ebben az esetben is figyelembe kell venni a megnövekedett kockázati tényezőket, különös figyelemmel a fokozott biztonsági osztályba sorolt rendszerekre. Az érvényes hatásköri feladatmegosztás alapján az IKI és a TEBF engedélye szükséges a vezeték nélküli kapcsolódás létrehozásához. Indokolt esetben az IVO állásfoglalását is ki kell kérni. Az engedélyek nyilvántartását a KKA-ban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Kiemelt biztonsági osztályba sorolt rendszerekhez vezeték nélküli módon kapcsolódni tilos. Internet elérés biztonsága a) Az internetre csatlakozás a Társaság belső hálózatára csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett. b) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek. c) A nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására tartalomszűrést kell működtetni, amelynek a meghatározását az IVO végzi. d) Az internetes tevékenység naplózni kell, melynek során figyelembe kell venni az elektronikus hírközlésről szóló törvény előírásait (lásd: 15. sz. melléklet). e) A fórumok, chat-oldalak, az egyéb file- és videómegosztó valamint az úgynevezett kapcsolatépítő portálok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggésben és azt elősegítő, a közvetlen vezető kezdeményezésére az IVO vezetője adhat engedélyt ezek használatára. Bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatának felülvizsgálását. Vezeték nélküli (WLAN, WiFi) hálózatok Amíg a vezetékes hálózatok fizikai védelme viszonylag jól megoldható a WLAN hálózat nem ér véget az épület falainál, ami jelentős biztonsági problémák forrása. A következő tipikus támadási formák fordulhatnak elő, amelyek ellen védekezni kell: – Passzív lehallgatás: a támadó megfigyeli a hálózati forgalmat és így illetéktelenül jut adatokhoz. Ez a támadás megfelelő eszközökkel egészen nagy távolságról is elvégezhető és mivel passzív, teljességgel felderíthetetlen. – Illetéktelen kapcsolódás a hálózathoz: a támadó rákapcsolódik a WLAN hálózatra és aktívan részt vesz annak működésében. Gyakori, hogy a támadás csak a hálózat (internet-elérés) használatára korlátozódik, a támadó

19. szám

nem akar adatokat lopni, nem is érdekli a hálózati forgalom, csak hozzáférést szeretne. – Kliensek „eltérítése”: a támadó egy „hamis” hálózatot állít fel, és a felhasználók hozzá, nem pedig az eredeti hálózathoz csatlakoznak. Ezek után a kliensek forgalmát a támadó megfigyelheti. WLAN hálózatoknál szabályozni kell a hozzáférést a hálózathoz (lehetőség szerint 802.1x hálózat azonosítási protokoll használatával) illetve titkosítással megakadályozni a forgalom „lehallgatását”. A vezeték nélküli hálózat megfelelő beállítása függ a rendelkezésre álló eszközök által támogatott lehetőségeitől is. A vezeték nélküli hálózatok beállításait a hálózati RIBSZ-ben kell meghatározni, konfigurálásának általános biztonsági követelményei a következőek: a) Access Point-ot (AP) nem szabad minden biztonsági beállítást nélkülöző alapbeállításon hagyni. Előbb végre kell hajtani a megfelelő beállításokat, és csak utána lehet csatlakoztatni a hálózatra. b) A hálózat nevét (SSID) mindenképpen át kell állítani gyári alapértelmezésről, amely lehetőleg semmitmondó vagy értelmetlen szó legyen. c) A legtöbb AP alaphelyzetben hirdeti a hálózat nevét (SSID broadcast). Ezt meg kell szüntetni. d) Törekedni kell MAC (hálózati csatoló azonosítója) szerinti szűrés alkalmazására. Ez a szűrés nem ad megkerülhetetlen védelmet, de nehezíti a támadó dolgát. e) Legalább WPA2 titkosítást kell használni. f) AP-k telepítése engedély nélkül tilos! g) Minősített biztonsági osztályba sorolt rendszerek forgalmát titkosítani kell. h) Az AP-ok úgy legyenek a hálózatra kötve, hogy szükség esetén gyorsan leválaszthatóak legyenek. Az AP-ket lehetőleg külön vezetékes hálózaton és aktív eszközökön keresztül kell összekötni és, egy tűzfalon keresztül kapcsolni a hálózatra. i) Az AP-ok kezelését WLAN hálózaton keresztül le kell tiltani. Így a pusztán vezeték nélküli hozzáféréssel rendelkező támadó nem képes módosításokat tenni az AP-ban. j) Bizonyos beállításokat a klienseken kell megtenni: – Az általában használt hálózatot (SSID) elsődlegesnek kell beállítani, azaz a kliens először ehhez próbáljon csatlakozni. – A kliens tetszőleges hálózathoz nem csatlakozhat! A támadó zavarhatja a hálózatot, és így ráveheti a klienseket arra, hogy az általa felállított „hamis” hálózathoz csatlakozzanak, majd megfigyelheti forgalmukat. Bluetooth biztonság A Bluetooth összetett protokoll nem elsősorban hálózati elérésre szolgál (bár arra is alkalmas), hanem eszközök közötti adatcserére. Így például mobiltelefonok, PDA-k címjegyzékét, naptárbejegyzéseit lehet elérni, de alkalmas például mobiltelefonok és kihangosítók összekapcsolására is.

19. szám


A Bluetooth hatótávolsága a legtöbb hordozható eszköznél néhány méter, így a támadónak fizikailag is közel kell kerülnie az eszközhöz, ami megnehezíti, de nem teszi lehetetlenné a támadásokat. Néhány alapvető beállítással azonban kellően biztonságossá tehető a Bluetooth kapcsolattal rendelkező eszköz: – Az eszköz ne legyen „látható”. – Csak indokolt esetben engedélyezhető a jóváhagyás nélküli kapcsolódás. – Kapcsolódási kérelem esetén gondosan tanulmányozni kell, hogy honnan és milyen célból történik. – Ki kell kapcsolni a Bluetooth szolgáltatást, ha nem állandó kapcsolatra van szükség. A bluetooth kapcsolattal rendelkező eszközök csatlakoztatását a Társaság munkaállomásaihoz az IVO tájékoztatása mellett a szervezeti egység vezetője engedélyezheti. Mobiltelefonos adatátvitel A mobiltelefonos adatátvitel (GPRS, EDGE, 3G stb.) az országos mobiltelefon hálózatokon keresztül valósul meg. Előfizetéses szolgáltatás keretében érhető el, melynek használatához mobiltelefon, Blackberry, mobil internet kártya stb. szükséges. Használatuk során különös figyelmet kell fordítani a szolgáltatás csomag helyes megválasztására, mivel túlforgalmazás esetén többszörös díjat kell fizetni. 4.6.4. Adatmentés A mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. A hatékony biztonsági adatmentések érdekében a munkaállomásokon feldolgozott adatokat a felhasználóknak egy szerveren kialakított könyvtárban, hálózati meghajtón kell tárolnia. A biztonsági osztályba sorolástól függetlenül a számítógépes alkalmazások esetében rendszeresen biztonsági mentéseket kell készíteni a rendszer által kezelt adatokról, amelyek felhasználásával az éles adatállomány szükség esetén reprodukálható. A visszaállításra való alkalmasságot évente egy alkalommal ellenőrizni és a teszt eredményét dokumentálni kell. Az ehhez kapcsolódó RIBSZ-ben az alábbi óvintézkedéseket kell betartani: 1) A megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását a RIBSZ-ben előírt időközönként rendszeresen ellenőrizni kell. 2) A mentési médiákat valamint a visszaállítás dokumentált eljárásait, a rendeltetési helytől távoli helyen érdemes biztonságba helyezni. Elég távol ahhoz, hogy bármely rongálódástól meg legyenek kímélve, ha a rendeltetési helyen katasztrófa következne be. 3) A mentések típusa (pl. teljes vagy differenciált mentés) és gyakorisága álljon arányban a mentett adatok jellegével, fontosságával.

1013

4) A biztonsági mentéseket megfelelő szintű fizikai és környezeti védelemmel ajánlatos ellátni, ugyanazokkal a biztonsági előírásokkal összhangban, mint amelyet a rendeltetési helyén alkalmaztunk. Az adathordozó médiák körére a rendeltetési helyén érvényesített biztonsági intézkedések hatályát a tartalék mentési médiák és eszközök elhelyezési körletére is ki kell kiterjeszteni. 5) A biztonsági mentések adathordozóit, ahol az kivihető, időről időre ajánlatos megvizsgálni annak érdekében, hogy megbizonyosodjunk, használhatóságukról. Fontos figyelemmel kísérni a mentési médiák garanciájának lejárati idejét, lehetséges tárolási és visszaállíthatósági idejét, és a lejárt médiákat ki kell vonni a mentési folyamatokból. 6) A visszaállítási eljárások hatékonyságát időről időre ellenőrizni kell, hogy megbizonyosodjunk, arról hogy azok elvégezhetőek az adott idő alatt. 7) Üzleti titoknak minősülő adatok esetén a mentett adatokat, titokban tartásuk érdekében, az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva is védeni kell. 8) Meg kell határozni a lényeges adatok megőrzési időszakát és az állandóan megtartandó archív példányokra vonatkozó valamennyi követelményt. 9) A mentési eljárások során minden rendszerinformációt, alkalmazást le kell fedni, beleértve a dokumentációkat is. 10) A mentések nyilvántartását a RIBSZ előírásainak megfelelően kell vezetni, és azok helyességét az üzleti tulajdonosnak és az IVO-nak rendszeresen ellenőriznie kell. Az adathordozók biztonságos kezelése A védelmi intézkedések célja, hogy az adathordozók fizikai védelmét szabályozzák, megfelelő eljárásokkal védjék az informatikai eszközök adathordozóit, a bemenet/kimenet adatait és a rendszer dokumentációját a jogosulatlan megszerzésétől, felhasználástól, módosítástól, törléstől és megsemmisüléstől. Az adathordozók kezelésének legfontosabb biztonsági követelményei: a) Gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről. b) Meg kell előzni a dokumentumok, a digitális adathordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését, megsemmisítését. c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését. d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni. e) A Társaságnál – az egyszer írható optikai adathordozók és a floppy lemezek kivételével – csak nyilvántar-

1014


tott és egyedi azonosítóval ellátott adathordozót szabad használni. f) A Társaságon kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helyeken, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások elvégzése után szabad (például vírus ellenőrzés). g) Sérült adathordozók garanciális cseréje esetén – ha a meghibásodott eszköz üzleti titoknak minősülő adatokat is tartalmazott – az eredeti alkatrészt nem, vagy csak az adatok kiolvasását lehetetlenné tevő hatástalanítást követően szabad a karbantartó részére átadni. h) Minden adathordozót újraalkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell. i) Az adattípus felismerhető jelölését az informatikai berendezéssel előállított adattároló és megjelenítő eszközökön biztosítani kell. j) Az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell. Az adathordozók tárolása Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen, a gyártó előírásainak megfelelően kell tárolni, illetve figyelembe kell venni az adott rendszer biztonsági osztályának követelményeit (lásd: 10. sz. melléklet), vagy amennyiben ezek munkaközi példányok, meg kell azokat semmisíteni. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a RIBSZ-ekben meg kell határozni: a) a tárolók környezeti paramétereire vonatkozó előírásokat és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket, b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres átírás), c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat, d) az adathordozók kölcsönzésével kapcsolatos előírásokat, e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó előírásokat. Adathordozók szállítása Az információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen hozzáférésnek és visszaélésnek. Az informatikai adathordozók biztonságos szállítása az alábbi szabályok alkalmazásával történhet: a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el. b) Szállítás során átadás-átvételi bizonylat szükséges. c) A szállítást – lehetőség szerint – több embernek kell végeznie.

19. szám

d) A szállítást végző embereket mindig azonosítani kell. e) Indokolt esetben mérlegelni kell a szállítmány több részre bontását, és a különböző útvonalakon történő szállítását. f) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani. g) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása. h) Épületen kívüli szállítás esetén – például a MABISZ ajánlását figyelembe vevő – megfelelő zárható tárolóeszköz szükséges. i) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerülendő a nyilvánvalóan erős mágneses tér (például nagyfeszültségű távvezetékek). j) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni. k) Az adathordozót tilos őrizetlenül hagyni. l) Az adathordozókat óvni kell a fizikai sérülésektől. m) Speciális csomagolás és zárcímkék használata, láthatóvá teszi a felbontást vagy az arra tett kísérleteket. n) Az adathordozókon a rajta szereplő adatok védelmével kapcsolatos jelölést fel kell tüntetni. o) Meghibásodott eszköz cseréje esetén – még garanciális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került. Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egyidőben tájékoztatnia kell az IVO vezetőjét az eseményről és a megtett intézkedésekről. Az adathordozók selejtezése Az adathordozókat visszaállíthatatlanul, dokumentáltan kell selejtezni. A különféle szabványokban definiált adattörlési és megsemmisítési eljárások a lehető legkisebbre csökkentik az információ kiszivárgásának kockázatát. – Az érzékeny információt tartalmazó adathordozót biztosan visszaállíthatatlan módon kell selejtezni, (pl. égetéssel, aprítással) valamint az eljárásnak arányosnak kell lennie az információ értékével. – Adathordozó selejtezéssel foglalkozó cégekkel való együttműködésekor, kulcsfontosságú biztonsági tényező a megfelelő kvalitású szerződő fél kiválasztása, valamint az informatikai biztonsági feltételek szerződésbe foglalása. – Az érzékeny tételek eltávolítását naplózzák, ha lehet az informatikai biztonsági vizsgálatok kísérő dokumentumaként kezeljék. Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi

19. szám


intézkedések hatóköréből, meg kell semmisíteni. Amenynyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további használata lehetetlen vagy célszerűtlen, azt az ügyviteli szabályok szerint jegyzőkönyvben kell selejtezni. Ebben az esetben – ha lehetséges – a tartalmát visszaállíthatatlan módon törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabályszerű megsemmisítésről. 4.6.5. Hordozható adattárolók kezelése A hordozható adattárolókat biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, ennek során az következő biztonsági követelményeket kell alkalmazni. – Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és az üzleti titokvédelmi szabályzat szerint kell tárolni és kezelni. – Amennyiben a választott adattároló eszköz esetében a technológia rendelkezésre áll, az információkat titkosítva kell tárolni, illetve gondoskodni kell az adott műszakitechnikai színvonalon elérhető korszerű védelmi megoldások alkalmazásáról. Előnyben kell részesíteni a hardver alapú titkosítást, illetve az olyan megoldásokat, amelyek nem teszik lehetővé a védelmi eljárás megkerülését. Optikai adathordozók és floppy lemez esetén A hosszú távú megőrzésre szánt adatokat – a választott adattároló eszköz technológiájától függően – az adatvesztés megelőzése érdekében 3-5 évenként át kell másolni. Az adatok épségének ellenőrzése során kellő körültekintéssel kell eljárni, szükség szerint az informatikai üzemeltető bevonását kell kezdeményezni. Pendrive, külső HDD stb. esetén Csak az IVO által meghatározott paramétereknek megfelelő, az IKI által kiválasztott és beszerzett eszközök használhatók. Az eszközök igénylését a munkáltatói jogkör gyakorlója hagyja jóvá és jelzi az igényt az IKI felé. Amennyiben technológiailag megvalósítható, a nem engedélyezett USB-s tároló eszközök használatát a felhasználói munkaállomásokon le kell tiltani. Az engedélyezett adathordozókat egyedi azonosítóval kell ellátni, amelyek kiadásáról, átadásáról, visszavételezéséről a KKA részeként az IKI-nek elkülönített nyilvántartást kell vezetnie. Társaságon kívüli adathordozó csak kivételes esetben használható (pl. külső fél bemutatója) olyan számítógépen, amely nincs a hálózatra kötve és működik rajta a folyamatosan frissített víruskereső szoftver. Törekedni kell arra, hogy ilyen esetben a bemutató a külső fél hordozható számítógépéről történjen. Memóriakártya esetén Memóriakártya használata csak multimédiás eszközökben engedélyezett (digitális fényképezőgép, videoka-

1015

mera, diktafon, okostelefon stb.), számítógépben való felhasználásuk csak e tartalmak átvitelére, a munkával öszszefüggésben történhet. Hordozható számítógép esetén Azon informatikai eszközök esetében, amelyek amellett, hogy nagy mennyiségű digitális adat tárolására alkalmasak önmagukban is képesek azok feldolgozására (ilyenek pl. laptop, notebook, okostelefon, Blackberry, pda), különös figyelemmel kell lenni az eszköz fizikai biztonságára és logikai hozzáférésére. Laptop, notebook csak úgy adható ki, illetve rajta adat csak úgy tárolható, ha az adatok tárolására szolgáló könyvtár vagy a merevlemez egésze titkosításra kerül. 4.6.6. Perifériák csatlakoztatásának szabályai A szabályzatokban részletezett eseteken túlmenően az IKI kifejezett engedélye szükséges a felhasználói munkaállomásokhoz hardver eszköz (pl. nyomtató, szkenner, digitális fényképezőgép, merevlemez stb.) vagy bármilyen telekommunikációs eszköz (pl. modem, okostelefon stb.) csatlakoztatásához. Indokolt esetben az IVO állásfoglalását is ki kell kérni. Az engedélyek nyilvántartását a KKA-ban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Amennyiben az eszköz valamely szoftver telepítését igényli, abban az esetben kizárólag az erre kiképzett és feljogosított személyzet valósíthatja meg. Munkaállomáshoz csatlakoztatott hordozható adattároló eszközön (pl. pendrive, külső adattároló) biztosítani kell az adatok titkosított tárolását. (lásd 4.6.5. pont) 4.6.7. Adatok és programok cseréje Az adatok és a programok szervezetek közötti átadását, cseréjét ellenőrizni kell. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési, adatátviteli eszközökön keresztül kicserélt információk védelméről. A munkavállalók a távközlési, adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani: a) A telefonbeszélgetések során ügyelniük kell a közvetlen környezetükben tartózkodó emberekre, illetve kihangosítás esetén a hívott félnél tartózkodó személyekre. b) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken. c) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Az üzenetet megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni. d) Amikor fontos a bizalmasság fenntartása, titkosítással kapcsolatos biztosítékokat kell alkalmazni a hálózaton áthaladó adatforgalom titkosítása érdekében.

1016


e) A sértetlenség fenntartása érdekében törekedni kell az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatára a hálózaton áthaladó információk védelmében. f) A faxgépek használata során meg kell akadályozni a dokumentumok és üzenetek – esetleges – téves számra való elküldését, a beépített üzenettárolókhoz való illetéktelen hozzáférést, az üzenetek visszakeresését és lehallgatását. g) A felhasználókat tájékoztatni kell, hogy korszerű faxgépekben és fénymásoló gépekben belső oldalgyorsító memóriatárak, esetlegesen merevlemezek és laptárolók vannak. A problémát ilyen esetben az okozza, hogy a pl. üzleti titoknak minősülő adatait tartalmazó anyagok kinyomtatása is csak akkor folytatódik, ha a hibát kiküszöbölték. A biztonsági intézkedések megtételéig a felhasználó ne hagyja el a helyszínt, és a problémát mihamarabb jelezze az illetékes üzemeltető szakember számára. A Társaság más szervezettel informatikai eszközökön adat- és programcserét kizárólag az IVO által véleményezett írásbeli szerződés alapján bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is. Az adatcsere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni: a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait. b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait. c) Adatvesztéssel kapcsolatos kötelezettséget és felelősséget. d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet előírásait minden érintett félnél. e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfiai kulcsok). f) A hitelesség kritériumait (pl. elektronikus aláírás) 4.6.8. Mobil informatikai tevékenység, távmunka A Társaság hálózatára kétféleképpen csatlakozhat egy felhasználó mobil eszközzel: a) közvetlenül a védett adatátviteli hálózatra csatlakozva, irodai, munkahelyi környezetből b) nem védett környezetből biztonságos hozzáférést garantáló távoli hozzáféréssel (pl. VPN), ami kívül esik a Társaság biztonsági rendszerének zónájából (pl. otthonról) A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek összhangban kell lennie az adott munkavégzés kockázataival. Ennek szabályozását az IVO vezetőjének közvetlenül jóvá kell hagynia. A laptopok, notebook-ok, otthoni munkaállomások használóinak mind a fizikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rendszerszintű IBSZ-ekben foglaltakat kell figyelembe venniük.

19. szám

A távmunka általános biztonsági tényezői A használat során a következő biztonsági tényezőket kell figyelembe venni: – a távmunka helyszínének környezetét és fizikai biztonságát; – a kommunikáció biztonsági követelményeit, figyelembe véve az igényt, hogy távolról kívánnak hozzáférni a Társaság belső rendszereihez, az információ érzékenységét, amelyhez hozzá fognak férni, és amely áthalad a kommunikációs kapcsolaton, és a belső rendszer által kezelt adatok érzékenységét; – a kapcsolathoz használt vezetékes vagy vezeték-nélküli hálózati szolgáltatások konfigurációját. A VPN hozzáférés biztonsági szabályai A távmunka infokommunikációs technológiát használ annak érdekében, hogy lehetővé tegye a felhasználók számára a Társaságon kívüli helyről, távolról történő munkavégzést. Amennyiben a hozzáférés VPN kapcsolaton keresztül valósul meg, a felhasználó ugyanazokat az erőforrásokat (hálózati meghajtók, levelezés) érheti el, mint a munkahelyi környezetből. a) A távmunka során is be kell tartani a Társaság szabályzataiban foglaltakat. b) A VPN szolgáltató szervezet útján technikailag biztosítani kell, hogy csak a központilag nyilvántartott, az azonosítási és hitelesítési feltételeknek egyértelműen megfelelt munkaállomásokról lehessen a rendszerekbe belépni. Hitelesítésre lehetőleg erős authentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosítás). Egységes munkaállomás-névhasználatot kell kialakítani, a hálózatban lévő munkaállomások pontos azonosítása érdekében. c) A VPN kapcsolat megvalósításához a Társaság ellenőrzése alatt nem álló, magántulajdonban lévő berendezés alkalmazása nem megengedett. d) A Társaság informatikai rendszereiben mobil eszközzel és otthoni számítógéppel távoli VPN kapcsolaton keresztül történő munkavégzésre feljogosított felhasználókról (beleértve a Társaság, a MÁV Informatika Zrt. és más informatikai szolgáltatók erre felhatalmazott rendszergazdáit is) a KKA keretében az IKI vezet nyilvántartást, és az abban beállt változásokról folyamatosan tájékoztatja a TEBF-t és az IVO-t. e) A távmunkát végző csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a Társaság hálózatába, amelyet az informatikai üzemeltető(k) határoznak meg. f) A mobil informatikai berendezéseket nyilvános helyeken használók ügyeljenek arra, hogy elkerüljék a jogosulatlan személyek általi betekintés kockázatát. g) A távmunka során biztosítani kell az információhoz vagy erőforrásokhoz való jogosulatlan hozzáférés megakadályozását olyan személyek részéről, akik az adott eszközt egyéb célból használják (pl. a család, barátok). h) A felhasználónak kötelessége gondoskodni a mobil informatikai eszközök megfelelő fizikai védelméről.

19. szám


i) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. Ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására. j) A távoli hozzáféréssel végzett munkához védett (rejtjelzett) csatornáról kell gondoskodni, a kommunikációt titkosítani kell olyan algoritmussal, ami megakadályozza a tartalom visszafejtését. k) Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos. l) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és biztonsági (pl. tűzfal) eszközöknek telepítve kell lenniük, ezeket kötelező folyamatosan használni és frissíteni. m) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell fordítani. A minősített adat védelméről szóló törvény alapján minősített adatokat tárolni tilos, üzleti titoknak minősülő adatot pedig csak az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva szabad. n) A felhasználónak gondoskodnia kell a kritikus működési információ rendszeres mentéséről és a mentések megfelelő védelméről (pl. lopás vagy adatvesztés ellen). o) A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegű munkavégzésből származó többletkockázattal szemben és a bevezetendő intézkedések elfogadtatásával kapcsolatban. p) A távmunkát végző gépek esetében, a kliens gépre telepített VPN kapcsolat használatával egyidőben más internetes csatlakozás tiltott, az esetlegesen szükséges internet elérésnek is a titkosított VPN kapcsolaton keresztül kell működnie. q) Egy adott rendszerben végzendő távmunkát a felhasználó közvetlen vezetőjének és az adott rendszer üzleti tulajdonosának jóváhagyásával ellátott megbízólevélen kell engedélyezni, és az engedély másolatát meg kell küldeni az IVO-nak. Az engedélyben rögzíteni kell: – azon rendszer(ek) megnevezését, amely(ek)re az engedély kiterjed, – a hivatali helyiségeken kívüli munkavégzés engedélyezési időszakát, – a munkavégzéshez a felhasználó részére (otthonában) szükséges vállalati berendezések azonosítását, ill. a szükséges berendezések és anyagok átadási és elszámolási módját, – a felhasználó általi tudomásulvételét annak, hogy a Társaság rendszeresen megvizsgálja a naplókat (logs), a hívások adatait, és szúrópróba szerinti ellenőrzést végez annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó biztonsági előírásoknak. r) A távmunka szabályai betartásának ellenőrzéséért a felhasználó közvetlen vezetője, az adott rendszer üzleti tulajdonosa és üzemeltetője, valamint a VPN szolgáltató egymással együttműködve felelősek. Az IVO jogosult e területen is közvetlen ellenőrzést végezni. A jogosultság megszűnését követően gondoskodni kell a hozzáférési jogosultságok érvénytelenítéséről és a berendezés visszaadásáról.

1017

Elektronikus levelezés távoli elérése A Társaság – az arra feljogosított felhasználói számára – biztosítja a levelezés távoli elérését az OWA (Outlook Web Access) szolgáltatáson keresztül, amelyhez nincs szükség VPN kapcsolatra, csupán internetes hozzáférésre (pl. otthon, internetes kávézóban, repülőtéren). A szolgáltatás használatakor minden esetben be kell tartani a „Kezelési útmutató – A MÁV Zrt. EXCHANGE 2007 levelezőrendszerének Outlook Web Access (OWA) böngészős eléréséhez” című dokumentumban leírt biztonsági előírásokat. 4.6.9. Az elektronikus levelezés biztonsága Az elektronikus üzenetküldésnek a papír alapú adatközléstől jelentősen eltérő kockázatai vannak. Ezek a biztonsági kockázatok magukba foglalják az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának veszélye, emberi hibákból eredő veszélyeztető tényezők, pl. rossz címzés vagy irányítás, bizalmas adatok továbbításának lehetősége és ennek veszélyei, a feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása, a kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek, vagy pedig a távolról bejelentkező felhasználó biztonsági problémái. A Társaságnál folytatott elektronikus levelezés védelmi rendszerét erre vonatkozó RIBSZ-ben kell kialakítani, összhangban az Informatikai biztonsági stratégia dokumentummal. A fontosabb biztonsági szabályok a következők: – Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó elektronikus aláírással hitelesíti magát. – Az elektronikus levelező eszközökről, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfrissítések, service pack-ok és security-patch állományok megjelenését). – Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az interneten keresztül bonyolított elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére a levelezőrendszer üzleti tulajdonosa és az IVO vezetője jogosult. – A nem hitelesíthető, kétes forrásból (pl. adathalász, hoax) származó üzeneteket, továbbá a nagy mennyiségben továbbított kéretlen üzeneteket (spam) az IVO-nak kell jelezni kivizsgálás céljából. – A bizalmas adatok kiszivárgásának elkerülése érdekében biztosítani kell az elektronikus levelezés tartalmi szűrésének lehetőségét. – Tekintettel arra, hogy a levelező rendszer kizárólag a Társaság feladatainak végrehajtására használható, a felhasználókat tájékoztatni kell arról, hogy a Társaság leve-

1018


lező rendszerén tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Társaság szabályzataiban feljogosított ellenőrző szervezeteknek ezekhez az állományokhoz a vizsgálathoz szükséges mértékig betekintési joguk van. A betekintés szabályait a Társaság Adatvédelmi szabályzata tartalmazza. – A Társaság levelező rendszere a Társaság üzletmenetétől idegen (pl. reklám), üzleti célokra nem használható. – A levelező rendszerben egyidejűleg maximálisan 50 címzett számára engedélyezett üzenet küldése. Ez alól az IVO vezetője adhat felmentést. – A Társaság elektronikus levelezési címjegyzéke a Társaságon kívüli szervezetnek a Társaság belső adatvédelmi felelőse egyetértésével, törvényben meghatározott esetekben szolgáltatható ki. – Magáncélra kialakított (nem MÁV-os, pl. Gmail, Hotmail, Freemail, Citromail) postafiók használata a Társaság hálózatába kapcsolt munkaállomásról nem megengedett. – Tilos az elektronikus üzenetek – rendszeres illetve automatikus – átirányítása vagy másolat küldése a Társaságon kívüli e-mail címekre (pl. Freemail, Gmail, Hotmail stb.) 4.6.10. Az elektronikus kereskedelem biztonsága A korszerű piaci igények kielégítésére szolgáló, az interneten keresztül elérhető elektronikus szolgáltatások biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt sor kerülhet. A hatékony védelem megvalósítására integrált biztonságot kell az ilyen rendszer kifejlesztése során kialakítani, melynek legfontosabb feladatai: – a hozzáférés szabályozása és ellenőrzése, – egységes azonosítás és hitelesítés, – az elektronikus aláírások kezelése, rejtjelzés, kulcsmenedzsment (PKI), – a behatolási kísérletek figyelése, – biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez, – az auditálhatóság biztosítása. 4.6.11. A MÁV Zrt. nyilvános rendszereinek biztonsága Nyilvános rendszerben (pl. internet hálózaton keresztül elérhető MÁV Zrt. honlap, Dokumentációs Központ műszaki adatbázisa) esetén szükség van a rendszer joghatóságának területén hatályos törvények, jogszabályok és rendeletek betartására. Az elektronikus hirdető rendszereknél – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az információ közvetlen beléptetését – megfelelő eszközökkel kell gondoskodni arról, hogy: – Az információ megszerzésének módja feleljen meg a 1992. évi LXIII. törvény a személyes adatok védelméről

19. szám

és a közérdekű adatok nyilvánosságáról, illetve 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról rendelkezéseinek. – Időben kerüljön sor a rendszerbe beléptetett információ pontos és hiánytalan feldolgozására. – Az adatok kezelése (gyűjtés, tárolás, feldolgozás) során a szükséges mértékig gondoskodni kell az adatok, valamint – a biztonsági osztálynak megfelelően – az informatikai rendszerek védelméről. – A kiadó rendszerhez való hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik. 4.6.12. Társasági információs rendszerek A Társasági információs rendszerek védelme az információ megjelenési formájának sokszínűsége miatt a legtöbb informatikai biztonsági kockázatot rejti. Különösen megnő a kockázat a rendszerek összekapcsolásakor (pl. üzleti partnerek esetében). A Társasági információs rendszerek összekötésével kapcsolatos biztonsági intézkedések definiálásakor a következőket kell megvizsgálni: a) ismert veszélyforrások azonosítása az adminisztratív és elszámolási rendszerekben, ahol az információ meg van osztva a Társaság különböző egységei között, b) a továbbított és felhasznált adatok sebezhetősége a működési infokommunikációs rendszerekben, pl. telefonhívások rögzítése vagy konferenciahívások (körtelefon), a hívások bizalmassága, a faxok tárolása, postabontás stb., c) információ elosztási irányelvek definiálása, d) az érzékeny információk és a védendő dokumentumok kizárása a rendszerből, e) Az adatok védelmi szintje szerinti kezelése, a biztonsági osztályba sorolásnak megfelelő védelmi követelmények teljesítése, illetve betartásuk ellenőrzése az adattal jogszerűen rendelkező (jogosult) feladata. f) korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. érzékeny projekteken dolgozó személyzet, g) személyzeti, szerződéses vagy üzleti ügyfelek kategóriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhető (lásd 4.2.4. fejezet), h) a kiválasztott berendezések korlátozása egyes felhasználói kategóriákra, i) a felhasználói státus (külső vagy belső) azonosítása, j) A felhasználók hozzáférési jogosultságainak meghatározásánál, kiosztásánál és használatuk ellenőrzése során figyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírásait. k) A rendszeren tárolt adatok mentése (lásd 4.6.4. fejezet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell kezelni és tárolni, ezt részletesen a RIBSZ-ben kell szabályozni. l) Visszalépési követelmények és intézkedések

19. szám


m) A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése stb.) az IVO bevonásával haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzőkönyvezni kell. A kivizsgálás folyamatáért az adott szervezeti egység vezetője a felelős. n) A rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelően az illetéktelen fizikai hozzáférés ellen is védeni kell. 4.7. Hozzáférés-menedzsment 4.7.1. A hozzáférés ellenőrzés üzleti követelményei Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerülnek a rendszer-erőforrások, alkalmazások, külső összeköttetések, adatbázisok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek. Korlátozni kell az információkhoz, informatikai eszközökhöz, hálózatokhoz, alkalmazásokhoz, rendszer erőforrásokhoz, állományokhoz és programokhoz való hozzáférést. A hibákat és felhasználói tevékenységeket eseménynaplókban kell rögzíteni, és a tárolt részleteket elemezni a biztonsági események megfelelő módon való felderítésének és kezelésének érdekében. 4.7.2. A hozzáférés menedzsment általános szabályai A jogosultságkezelési tevékenység ellátásának megszervezése az üzleti tulajdonos feladata az általa tulajdonolt rendszerek vonatkozásában. Tekintettel a Társaság kiterjedt alkalmazás portfóliójára és a felhasználók nagy számára, törekedni kell arra, hogy mielőbb megvalósuljon egy átláthatóbb jogosultsági rendszert összefogó központi adatbázis, amely elősegíti az összehangoltabb működést. Ennek későbbi továbbfejlesztésének feltétele a rendszerek olyan átalakítása, amely a bekapcsolt rendszerek vonatkozásában lehetővé teszi a jogosultságok központi menedzselését. Hozzáférési jogosultság kiadása kizárólag a 2.1.1. pont szerinti személyek, valamint a 4.2.4. pont szerint hozzáférő partnerek kizárólagos írásban kötött hozzáférési szerződés megléte esetén adható. A szerződésnek egyértelműen ki kell mondania, hogy a hozzáférés során teljes körűen betartja az IBSZ-t, valamint a végrehajtási rendelkezéseket tartalmazó RIBSZ-ek előírásait. A hozzáférési jogosultságok megállapításának alapját az érintett dolgozó munkaköri leírásában (beszállítók és karbantartók alkalmazottai esetében a vonatkozó szerződésben) rögzített szerepköre ellátásához szükséges és indokolt adathozzáférési igény képezi. Az informatikai eszközökhöz történő felhasználói hozzáférés ellenőrzés feladata az illetéktelen hozzáférés megakadályozása,

1019

ezért a rendszerben azonosítani kell a felhasználókat. Ennek során a „szükséges minimális jogosultság” elvet érvényesíteni kell: a felhasználó csak a munkájához feltétlenül szükséges adatokhoz és csak a szükséges időtartamban férhessen hozzá. Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési jogosultságok érvényesítése, az adatkezelés eseményeinek nyomon-követhetősége és személyi felelősséghez köthetősége garantálható legyen. A hozzáférési jogosultságokra vonatkozó elképzelést (pl. a jogok korlátozó elvű kiosztását) már a rendszer tervezésének időszakában, a biztonsági osztálynak megfelelő követelményszinten ki kell alakítani. Az informatikai rendszerrel dolgozó minden munkatárs az alkalmazás RIBSZ által meghatározott szerepkörbe sorolandó, amely alapján örökli a szerepkörre meghatározott hozzáférési jogokat. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás használata fokozott és kiemelt szinten kötelező. A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók. A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során pedig az üzleti tulajdonosnak kell meghatározni és az IVO vezetőjével egyeztetni. A kiosztott hozzáférési jogosultságokat minden felhasználó esetében felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A visszaélések elkerülése érdekében a kiemelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni. A Társaság dolgozóinak felhasználói azonosítóját munkaviszonyuk megszűnésével, a külső munkavállalók felhasználói azonosítóját megbízatásuk lejártával haladéktalanul le kell tiltani. Akinek munkaviszonya megszűnt a rendszer szolgáltatásait nem veheti igénybe, és erőforrásait nem használhatja. A munkaviszonyukat huzamosabb ideig szüneteltető (pl. gyermek szülése), illetve a tartósan más okból távollevő (pl. külföldi kiküldetés, elhúzódó gyógykezelés) dolgozók felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell. A dolgozók áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltása, jogosultságok törlése, új azonosítók vagy jogosultságok létrehozása stb.) az áthelyezéssel egy időben, haladéktalanul át kell vezetni. Ennek kezdeményezése az áthelyezés előtti és az áthelyezés utáni közvetlen vezető feladata. A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus email üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. A levelező rendszer adminisztrátora vezetői engedély alapján – de legfeljebb 3 hónap múlva – törölje a postafiókot, annak archiválását követően.

1020


Azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének időpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), erről a felhasználót, valamint a munkahelyi vezetőjét értesíteni szükséges. Amennyiben az ezt követő 15 napon belül nem történik belépés a rendszerbe, azonosítóját le kell tiltani. Erről ismét értesítést kell küldeni, megjelölve az érvénytelenítés okát. A felhasználó-azonosítónak fő szabályként egyedinek kell lennie. Ennek érdekében a felhasználói azonosítók képzésére központi névkonvenciós szabályt kell meghatározni az IKI kezelésében. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) minden rendszerben külön-külön naplózni kell. A rendszergazdai azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható lemezvagy páncélszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. A listákat az üzleti tulajdonos által kijelölt vezetőnek kell tárolnia úgy, hogy azok rendkívüli esetben hozzáférhetőek legyenek. Felhasználók csak az IKI külön engedélyével rendelkezhetnek a munkaállomáson helyi (lokális) rendszergazdai jogosultságokkal, amelyhez az IVO állásfoglalását is ki kell kérni. Hálózati rendszergazdai jogosultságok nem adhatók ki a felhasználók számára. A jogosultságot a KKA-ban nyilván kell tartani. Minden számítógépen kötelező a rendszer jelszavas képernyővédőjét beállítani, illetve azt kézzel bekapcsolni (a Windows+L billentyű egyidejű lenyomásával), ha azt a kezelő ideiglenesen magára hagyja. A képernyővédelem beállításait csak rendszergazda változtathatja meg, valamint minden munkaállomáson az automatikus bekapcsolási időt 10 percben kell meghatározni. Amennyiben az alkalmazott munkafolyamat indokolja, a biztonsági szempontok mérlegelése alapján, az IVO vezetője adhat egyedi felmentést a funkció használata alól. 4.7.3. A távfelügyeleti megoldások biztonsága Távfelügyeleti megoldás alkalmazása esetén a felhasználói munkaállomás meghibásodása vagy a felhasználó segítségkérése esetén a HelpDesk szolgáltatást nyújtó szervezet nem jelenik meg fizikailag a helyszínen, hanem hálózaton keresztül (távolról) csatlakozik a felhasználó számítógépére, így oldva meg a felmerült problémát. A távfelügyeletet végző személy ebben az esetben átveszi a gép irányítását és megkapja a felhasználó rendelkezésre álló jogosultságokat is, így bármit tehet a számítógéppel. Ez fokozott kockázatot jelent, ezért távfelügyelet csak az alábbi feltételek esetén jöhet létre: – a létrejövő kapcsolat nem futhat harmadik félen is keresztül,

19. szám

– a távfelügyelet ideje alatt folyamatos telefonos kapcsolat szükséges a támogató és a felhasználó személy között, – a felhasználók minden esetben kísérjék figyelemmel a PC munkaállomásukat érintő üzemeltetési, (táv)karbantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjüket, – az üzleti tulajdonos ellenkező értelmű utasításának hiányában a támogató szervezetnek jelentést kell írnia az elvégzett munkáról, amit meg kell küldenie a felhasználónak, – a rendszer Kockázatelemzés és RIBSZ dokumentumai rendelkezzenek e folyamatokról. A kockázatok minimalizálása érdekében a távfelügyeleti rendszerek használata során ellenőrizni és szabályozni kell: – az alkalmazandó megoldás (szoftver) biztonsági megfelelőségét és dokumentáltságát, – ingyenes szoftverek esetén a gyártói támogatást és a verziókövetés meglétét, – erős azonosítási és hitelesítési mechanizmusok meglétét és használatát, – a kommunikációs csatorna titkosságát, – a felhasználó gépén működő kliens program háttérben (service-ként) való állandó futásának szükségességét, – külső fél által nyújtott támogatás esetén csak az eseti kapcsolódás engedélyezett (nem futhat a háttérben állandóan a kliens program), – a fájl átvitel szükségességét (amennyiben nincs rá szükség, a funkció legyen elérhetetlen), – a felhasználók egyértelmű tájékoztatását, hogy távfelügyelik a munkaállomását, – a lehetőséget a felhasználói beavatkozásra (pl. kapcsolat engedélyezése vagy megszakítása), – a felhasználók és a segítségnyújtók oktatását és tájékoztatását, – a naplózás meglétét és szintjét, – a segítségnyújtók körét (név szerint), amit a távfelügyelt rendszer üzleti tulajdonos hagy jóvá. A Társaság hálózatán működő számítógépek távfelügyeletét az IVO jóváhagyása mellett az IKI engedélyezi. Fokozott és kiemelt biztonsági osztályba tartozó rendszerek távfelügyelete esetén a biztonság szempontjából legszigorúbb előírásokat kell alkalmazni. 4.7.4. A felhasználó hozzáférési jogosultságának ellenőrzése Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelő legyen. Ennek érdekében: – A jogosultságokat az üzleti tulajdonosnak rendszeres időközönként ellenőrizni kell. Az általános felhasználók

19. szám


esetében ezt évente, a fokozott biztonsági besorolású rendszerekben félévente, míg a kiemelt besorolásúban 3 havonta kell megtenni. Az ellenőrzéskor az IHIR SAP HR rendszerből lekért adatokkal is össze kell vetni. – A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelően módosítani kell. 4.7.5. A felhasználói jelszavak kezelése Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó megadása. A felhasználói jelszavak kezelésére a következő szabályok a mérvadók: a) A felhasználónak kötelezően alá kell írnia egy nyilatkozatot, melyben felelősséget vállal személyes, (esetleg csoportos) jelszavainak bizalmas kezelésére. b) Belépéskor megkapott, ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes – például személyes – azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező. c) A jelszó elfelejtése esetén a felhasználó közvetlen vezetője kérheti email-en a jelszó alaphelyzetbe állítását, amelyben feltünteti a saját maga és a beosztottja azonosításához szükséges adatokat (pl. szervezet, név, telefon, email cím stb.). A jelszó megváltoztatása az első bejelentkezés alkalmával kötelező. d) Telefonon vagy faxon történő kérésre jelszóváltoztatás nem kezdeményezhető. e) A jelszónak minden felhasználó számára – a jelszópolitika határain belül – szabadon megváltoztathatónak kell lennie. f) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését: minimális jelszóhossz megadása, a jelszó egyediségét (történeti tárolás), a központi jelszó megadás utáni első bejelentkezéskor a kötelező jelszó cseréjét, a jelszó maximális élettartamát, a jelszó minimális élettartamát, a jelszó zárolását, a jelszó képzési szabályainak – bonyolultsági kritériumnak – meghatározását. – Az informatikai rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelő rejtjelzési védelemmel kell ellátni. – A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. – A felhasználói jelszó hosszával, ill. szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket minden esetben az határozza meg, hogy milyen a kiszolgálón tárolt adatok érzékenységi besorolása és ebből következően a kiszolgáló informatikai biztonsági osztályba sorolása.

1021

Jelszó használat A Társaság informatikai rendszereit használó valamennyi felhasználónak a következő jelszóhasználati szabályokat kell betartania: a) A jelszavak bármilyen tárolási formáját (pl. jelszó, hash) bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók. b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, azokat két különböző helyen, lemezvagy páncélszekrényben tárolni. c) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. d) A jelszó hossza legkevesebb 8 karakter legyen, ne tartalmazzon egymást követő azonos karaktereket, vagy számokat, mert ez meglehetősen megkönnyíti a feltörhetőséget, pl. az ún. kipróbálásos (brute force) támadások esetében. e) A jelszó kívülálló számára ne legyen egyszerűen kitalálható vagy könnyen megjegyezhető, ne tartalmazzon a felhasználó személyére utaló információkat (például neveket, telefonszámokat, születési dátumokat), összefüggő szövegként ne legyen olvasható. f) A jelszó lehetőleg ne legyen szótárakban is szereplő értelmes szó, mivel ez igen megkönnyíti a feltörhetőséget, pl. az ún. szótártámadások (dictionary attack) esetében. g) A felhasználói jelszavakat rendszeresen (a biztonsági osztály előírásainak megfelelően), vagy a hozzáférések számától függően cserélni kell a rendszerben, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát. h) Az átlag jogosultságoktól eltérő, előjogokkal rendelkező felhasználók jelszavait (pl. rendszergazdai jogosultságok, telepítési jogosultsággal rendelkező felhasználók esetében) sokkal gyakrabban kell cserélni. i) Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani. j) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. k) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmeztetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót. l) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell. m) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „terhére” könyveli el, és azokért személyesen felel. A jelszó házirendet a fentiekkel összefüggésben, rendszerfüggően, a RIBSZ-ben kell rögzíteni.

1022


4.7.6. Naplózás Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és rögzíteni kell a megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához, és segítséget nyújtsanak az IBSZ aktualizálásához. A biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell. A naplózás általános szabályai Alapvető naplózási követelmények: a) Kerüljön naplózásra a biztonságot érintő összes tevékenység, a naplófájlok tartalmát megadott időintervallum alapján képernyőn és nyomtatón is meg lehessen jeleníteni, a személyes adatokat nem tartalmazó naplóállományokat tilos megsemmisíteni, felülírni, módosítani, azokat archiválni kell. A naplóállományok legyenek kódoltak, ellenőrző összeggel ellátottak. A fokozott és kiemelt biztonsági osztályba sorolt rendszerek biztonsági naplóit egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen), valamint rögzíteni kell a hibás bejelentkezési kísérletek adatait és a jelszócsere dátumát. b) Nyilván kell tartani, hogy adott alkalmazáshoz melyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilvántartásra, melyből az kérdezhető le, hogy egy adott felhasználói csoport mely alkalmazáshoz és milyen joggal férhet hozzá. c) A biztonsági napló adatait az IKI rendszeresen, de legalább havonta egy alkalommal ellenőrzi és archiválja. d) A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzőkönyvezni, melyek azok az események, amelyekről soron kívül, vagy a következő munkanapon kell jelentést adni az IKI és az IVO vezetőjének, akik egyeztetést követően döntenek az üzleti tulajdonos tájékoztatásáról. e) A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni. f) A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetéktelen hozzáféréstől, ezért az adott rendszer adminisztrátorának is csak olvasási joga lehet felettük. g) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotának regisztrálhatónak és dokumentálhatónak kell lennie. h) A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát. i) Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

19. szám

j) A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelően kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági célokra lehet felhasználni ezeket. k) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenőrizni lehet a hozzáférések jogosultságát, meg lehet állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét. l) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A következő eseményeket (sikeres/sikertelen) feltétlenül naplózni kell: rendszerindítások, leállítások, rendszeróra-állítások, beés kijelentkezések, programleállások, az azonosítási és a hitelesítési mechanizmus használata, hozzáférési jog érvényesítése azonosítóval ellátott fájlokhoz vagy erőforráshoz, azonosítóval ellátott fájl, erőforrás létrehozása vagy törlése, felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni, és azt a hozzáférés nyomon követhetősége érdekében meg kell őrizni. A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következő adatokat is rögzíteni kell: A felhasználó azonosítása és hitelesítése esetén: dátum, időpont, a felhasználó azonosítója, az eszköz (például terminál) azonosítója, amelyről az azonosítási és hitelesítési művelet kezdeményezése történt, a hozzáférési művelet eredményessége vagy sikertelensége. Az olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáférési jogok ellenőrzése kötelező: dátum, időpont, a felhasználó azonosítója, az erőforrás azonosítója, a hozzáférési kezdeményezés típusa, a hozzáférés eredményessége vagy sikertelensége. Az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező: dátum, időpont, a felhasználó azonosítója, az erőforrás azonosítója, a kezdeményezés típusa, a művelet eredményessége vagy sikertelensége. A felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan műveletei esetén, amelyek a rendszer biztonságát érintik: dátum, időpont, a műveletet végző azonosítója, az erőforrás azonosítója, amelyre a művelet vonatkozik, a művelet eredményessége vagy sikertelensége. A rendszer használat megfigyelése A felhasználók által elvégzett tevékenységeket – az ellenőrizhetőség érdekében – rögzíteni, naplózni kell: a) Az informatikai rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, ame-

19. szám


lyet az IKI, illetve az IVO vezetőjének döntése alapján ellenőrizni kell. b) Az informatikai rendszer üzemeltetéséről nyilvántartást (adatkérések, -szolgáltatások, feldolgozások stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenőriznie kell. c) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani. d) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. Fokozott, és kiemelt szinten: a) Az ellenőrzési rendszernek riasztania kell támadás esetén, meg kell szakítania és le kell tiltania a támadó folyamatot (process-t) és a felhasználói fiókot (felhasználót), vagy szolgáltatást és meg kell szakítsa a kapcsolatot. b) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. Naplózási információk védelme Különös figyelmet kell fordítani a naplózó eszközök biztonságára, mert ha meghamisítják, akkor hamis biztonságérzetet kelthetnek. Óvintézkedéseket kell alkalmazni azért, hogy megvédjük az olyan illetéktelen változtatásoktól és üzemeltetési problémáktól, mint az olyan naplózási rendszer, amit kiiktattak, üzenetfajták, amelyeket rögzítés után módosítottak, naplófájlok, amelyeket átszerkesztettek vagy töröltek, naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet már velük az eseményekről feljegyzést készíteni, vagy önmagukat írják felül. A biztonsági naplókat a rendszertől külön kell archiválni, mint a rendszerhasználat bizonyítékait, így ezek az információk (bizonyítékok) későbbi vizsgálatokhoz is felhasználhatóak. Adminisztrátori és operátori tevékenységek naplózása Az informatikai rendszer üzemeltetése során operátori (rendszergazdai) naplót kell vezetni az üzemeltetési eseményekről, amit az üzleti tulajdonosnak és az IVO-nak rendszeresen ellenőriznie kell. Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.

1023

A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A minimálisan regisztrálandó események a következők: – rendszerindítások, -leállások, leállítások, – rendszerhibák és korrekciós intézkedések, – programindítások és -leállások, leállítások, – az azonosítási és hitelesítési mechanizmus használata, – hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz, – az adatállományok és kimeneti adatok kezelésének visszaigazolása, – azonosítóval ellátott erőforrás létrehozása vagy törlése, – felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik. A további naplózandó eseményeket (pl. az azonosítási és hitelesítési mechanizmus használata) rendszerfüggően kell meghatározni és a RIBSZ-ben tételesen rögzíteni. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét. Az informatikai rendszer üzemeltetéséről nyilvántartást kell vezetni, amelyet az informatikai vezető által kijelölt személynek rendszeresen ellenőriznie kell. Rendszerhibák naplózása Az üzemzavarok bejelentését követően korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt hibákat naplózni kell. Az üzemzavarok kezelésének szabályai: – A hibanapló vizsgálata és a hiba kezelésének, elhárításának ellenőrzése. – Korrekciós intézkedések vizsgálata, illetve ezek végrehajtásának és a kezdeményezett intézkedések engedélyezésének szabályosságának ellenőrzése. Rendszerórák szinkronizálása Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és -idő beállítására, mert minden tevékenység visszakereshetőségének alapja a hiteles, pontos dátum és idő. A felhasználók nem jogosultak saját gépükön a dátum és idő megváltoztatására. 4.8. Informatikai rendszerek fejlesztése Új rendszer fejlesztésében – illetve meglevőnek a továbbfejlesztésében, átalakításában értelemszerűen – az alábbi szabályoknak kell teljesülni. Amennyiben a kialakítandó rendszer komplexitása vagy egy új technológia bevezetése igényli, célszerű megvalósíthatósági tanulmányt készíteni a rendszer kialakítása előtt és ennek eredményét figyelembe venni a tervezéskor.

1024


4.8.1. Döntés a rendszer kialakításáról A döntés fázisban egyértelmű elhatározás születik a rendszer megvalósításáról, az érintett vezetők elkötelezik magukat a rendszer használata mellett. A döntés pillanatától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit, amelynek kialakításába az IKI-t és az IVO-t is be kell vonni. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevő állapotát és színvonalát. A fejlesztés céljának megfogalmazása során meg kell határozni az összes biztonsági követelményt (lásd: 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai). Az ott leírtakat a nem projektszerűen végrehajtott valamint a kisebb fejlesztésekben értelemszerűen kell alkalmazni. Ezeket a követelményeket és szükséges megoldásokat az informatikai rendszer fejlesztésének részeként kell megtervezni, egyeztetni és dokumentálni. 4.8.2. A rendszerfejlesztés előkészítése Az előkészítés lépéseit az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) Projektindítás) összefoglaltak szerint kell elvégezni. A felsorolt feladatok végrehajtója a projektvezető, illetve, ha ilyen még nincs kijelölve – vagy a fejlesztés nem projektszerűen folyik – akkor a fejlesztést kezdeményező szervezeti egység vezetője. Az előkészítésnek fontos lépése az üzleti tulajdonos kijelölése (lásd 4.2.3.4. fejezet „üzleti tulajdonos” rész). Mindaddig, amíg ez nem történik meg, a projektvezető kötelezettsége az üzleti tulajdonos számára e szabályzatban meghatározott feladatok ellátása. A rendszer biztonságát az üzleti tulajdonos a saját igényei és lehetőségei szerint valósítja meg, és döntési kompetenciával rendelkezik az ehhez szükséges források mozgósításához. Az informatikai beruházások előkészítési, tervezési fázisában figyelemmel kell kísérni a következő biztonsági szempontok érvényesítését: a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a rendelkezésre állás szempontjából történő elemzése és a védelmi célkitűzések meghatározása, b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása, c) az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. Ezek álljanak arányban a lehetséges kockázatokkal, károkkal. Az előző pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentősen megnöveli az információbiztonsági kockázatokat, valamint a későbbi kiadásokat.

19. szám

A kiírásban szerepeltetni kell a létrehozandó (fejlesztendő, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének – a projekt (fejlesztés) keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit, valamint az informatikai biztonságra vonatkozó követelményeket (pl. a védelmi igényt és célokat, a kezelendő adatok érzékenységét, a rendszerrel szemben támasztott rendelkezésre állási igényt, a jogszabályokból és egyéb vállalati belső utasításokból fakadó biztonsági kötelezettségeket). A kiírásban szerepeltetni kell, hogy az ajánlat biztonsági szempontból csak akkor fogadható el, ha: – a kitűzött védelmi célokra megfelelő szinten reagáló fejezetet (részeket) tartalmaz, továbbá ajánlattevő nyilatkozik arról, hogy – csak jogtiszta szoftver rendszert szállít, – biztonsági rendszer megvalósítását csak a projektben (fejlesztésben) megjelölt személyek / alvállalkozók végzik, – elfogadja a Társaságnál érvényes informatikai biztonsági szabályokat a rendszer kialakításában. Előnyben kell részesíteni azt a pályázót, aki / amely rendelkezik informatikai vagy informatikai biztonsági színvonalát bizonyító minősítéssel vagy deklaráltan a legújabb szabványok szerint dolgozik (jelenleg ezek: MSZ EN ISO 9001:2009, MSZ ISO/IEC 27001:2006, MSZ ISO/IEC 27002:2007 stb.). A 3. sz. mellékletben bemutatott biztonsági minősítési rendszert a pályázók besorolásánál is alkalmazni kell. A fejlesztésre vonatkozó szerződésnek külön fejezetben kell foglalkoznia az informatikai biztonsággal. Ebben a fejezetben szerepeltetni kell a szállítandó szoftver és a kapcsolódó termék: – teljesítendő informatikai biztonsági követelményeit, – biztonsági tanúsításával, minősítésével kapcsolatos feltételeket, – dokumentációjának biztosításával, a dokumentációiba történő betekintéssel kapcsolatos követelményeket, – használati (futtatható) illetve forráskód felhasználásának és ellenőrzési jogának, a licencek felhasználásának a feltételeit, – szavatosságával, jótállásával, auditálhatóságával kapcsolatos feltételeket, – garanciális időn túlmenő szervizelési feltételeit, úgymint rendelkezésre állási idő, reakció-idő, tartalék alkatrész biztosítása, cserefeltételek, tartalék eszközök, – titoktartási (ha a rendszer üzleti titoknak minősülő adatokat is kezel), és adatvédelmi (ha a rendszer személyes adatokat is kezel) követelményeket, megállapodásokat, – a szállító nyilatkozatát, hogy a védelmi rendszer tervezéséhez és megvalósításához használt információkat és dokumentumokat átadják, – a szállító nyilatkozatát, hogy az informatikai rendszer fejlesztése során eleget tesznek a Társaság valamenynyi szabályzatának, különös tekintettel az IBSZ-re.

19. szám


További lényeges, a biztonságot is érintő elvárás a szerződéssel kapcsolatban, hogy az ajánlattevő szükség szerint az alábbiakról is nyilatkozzon: – a megkötendő szerződés alapján létrejött szellemi termékre a MÁV Zrt. valamennyi szervezeti egysége – működési körén belül – korlátlan felhasználási joggal rendelkezik majd; – a megkötendő szerződés alapján szállított szoftverek használati joga átkerül majd – a MÁV Zrt.-hez; – szavatol azért, hogy a majdan szállított szoftverek rendeltetésszerű használatra alkalmasak és rendelkeznek a hardver, szoftver leírásokban meghatározott paraméterekkel (kellékszavatosság); – szavatol azért, hogy a majdan szállított szoftverek és hardverek fölött harmadik személynek nincs olyan joga, amely a megkötendő szerződés teljesítésében feleket gátolná (jogszavatosság); – kártalanítania fogja Ajánlatkérőt minden olyan igény esetén, amely valamely szabadalmi, védjegy, szoftverrel összefüggő jogok stb. megsértéséből származik azáltal, hogy azt szerződő felek a majdan megkötendő szerződés során felhasználták. A pályázat kiírásába és értékelésébe, a szerződés szövegének kialakításába, továbbá a fejlesztés és tesztelés folyamatába minden esetben be kell vonni az IVO-t. A Rendszerkoncepció, vagy a Projekt alapító okirat nevű dokumentumban meg kell határozni az alapvető informatikai biztonsági követelményeket. A rendszer biztonságával kapcsolatosan meg kell határozni a szereplőket, meg kell nevezni a biztonsági határokat, adatátviteli hálózat biztonsági feltételeit, az életciklus kezelési feltételeit. 4.8.3. A kockázatok kezelése A fejlesztendő rendszer megvalósítása során az informatikai biztonságot a rendszerbe integrálva kell kialakítani, amihez ismerni kell a rendszert konkrétan fenyegető veszélyeket, ismerni kell a várható biztonsági kockázatokat. A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet b) Kockázatelemzés) összefoglaltak szerint kell elvégezni. Az ott felsorolt feladatokat az üzleti tulajdonos irányítja és a rendszerre vonatkozó biztonsági igényei alapján a beszállítóval végezteti a megvalósítási szerződés keretében. A kockázatelemzés szakaszban részletesen fel kell tárni a rendszert fenyegető tényezőket. Ehhez csoportosítani kell a vizsgálandó szempontokat legalább a:

1025

– környezeti infrastruktúra, – hardver eszközök, – adathordozók, – dokumentumok, – szoftver, – adatok, – kommunikáció, – szolgáltatások, – személyi elemcsoportok vonatkozásban. Ezekhez a csoportokhoz kell egyedenként meghatározni a fenyegető tényezőket a Kockázatelemzés lépései c. táblázat szerint (6. sz. melléklet). A kapcsolódó kárértékek besorolási táblázatát a 7. sz. melléklet tartalmazza. A későbbiekben valamennyi védelmi intézkedést (pl. az adatok és rendszerek biztonsági osztályba sorolását) ezek tükrében kell megtenni. 4.8.4. Adatok, informatikai rendszerek biztonsági osztályba sorolása A Társaság informatikai rendszereit a bennük kezelt adatok érzékenysége, az adatokat és a rendszert fenyegető tényezők veszélyessége és előfordulási gyakorisága alapján biztonsági osztályba kell sorolni. A biztonsági osztályozás célja az informatikai vagyontárgyak szükséges védelmi szintjének előírása. Ezt a besorolást minden esetben az adat, illetve az adatot feldolgozó rendszer üzleti tulajdonosa állapítja meg a kockázatelemzés eredménye alapján. Az adatok minősítése maga után vonja az azokat tároló, feldolgozó többi informatikai rendszerelem, illetve a teljes informatikai rendszer biztonsági besorolását is. A létrejött dokumentumokból, valamint a tervezés során felállított követelményrendszerből levonható informatikai biztonsági következtetéseknek egyértelműen arányban kell állniuk a fejlesztendő rendszernek a Társaság üzletvitele szempontjából betöltött fontosságával. A biztonsági osztályba sorolás általános menete során az üzleti tulajdonos feladatai: – Nyilatkozik a rendszerrel szemben támasztott rendelkezésre állási igényéről (5/A. sz. melléklet). – A rendszer által kezelt adatkörök elemeztetésével meghatározza, hogy a rendszer kezel-e személyes adatokat, minősített adatokat, vagy üzleti titoknak minősülő adatokat. – Meghatároztatja, hogy az elvárt rendelkezésre állás melyik biztonsági osztálynak megfelelő intézkedésekkel biztosítható (10. sz. melléklet). – A biztonsági osztály megállapításakor előzetesen kikéri az IKI és az IVO állásfoglalását. – Amennyiben az üzleti tulajdonos a javasoltnál alacsonyabb biztonsági osztályba történő besorolás mellett dönt, köteles annak jóváhagyása érdekében az állásfoglalásokkal együtt felterjeszteni az elnök-vezérigazgató részére. Amennyiben az üzleti tulajdonos által meghatározott alacsonyabb szintű besorolást az elnök-vezérigazgató nem hagyja jóvá, abban az esetben az üzleti tulajdonos a

1026


rendszer fejlesztésének céljait, a ráfordításait úgy módosítja, hogy a biztonsági osztályba sorolás tekintetében végül megegyező álláspont alakuljon ki. – A kockázatelemzés által feltárt, a rendszert fenyegető tényezők alapján intézkedik azok megszüntetéséről vagy minimális értékre való csökkentéséről. – Elfogadja a maradványkockázatokat, továbbá a rendszert információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás szempontjából biztonsági osztályba sorolja, amelyet írásban kell rögzíteni a biztonsági dokumentumokban (lásd nyilatkozat a 11. sz. mellékletben). A biztonságnövelő intézkedések egy része nem tesz különbséget a két fenyegetettség (információvédelem és rendelkezésre állás) között, ebben az esetben az adat védelmét a két besorolás közül a magasabb fokozatú szerint kell megvalósítani. – A besorolásról értesíti az IKI-t, a KKA-ban eltárolás érdekében. A védelmi profilok jelölésére a 8. sz. mellékletet (Védelmi profilok azonosítási rendszerét) kell használni. Alap biztonsági osztályba kell sorolni minden olyan rendszert, amely nem igényel fokozott vagy kiemelt biztonsági besorolást. Fokozott biztonsági osztályba kell sorolni: – a Társaság üzletvitele szempontjából stratégiai jelentőségű rendszereket, – az üzleti titoknak minősülő adatokat valamint a nagy mennyiségű, vagy különleges személyes adatot feldolgozó rendszert. Bizalmasság szempontjából fokozott kategóriába sorolt adatokra vonatkozóan, az üzleti tulajdonosnak meg kell vizsgálni az egyezőséget a Társaság üzletititok-védelmi szabályzat titokköri jegyzékével, és szükség esetén intézkedni kell annak kiegészítésére. A minősített adat védelméről szóló törvény alapján minősített adat védelme érdekében, az azt feldolgozó rendszert kiemelt biztonsági osztályba kell sorolni. E szabályzat rendelkezéseit a jogszabályok által előírt elektronikus biztonsági intézkedések és eljárási rend figyelembe vételével kell alkalmazni. 4.8.5. A rendszer biztonságának tervezése A következő fázisban Rendszerszintű Informatikai Biztonsági Szabályzatot (RIBSZ) – melynek vázlata a 12. sz. mellékletben található – (kisebb rendszerekben a Rendszertervben informatikai biztonsági fejezetet) kell kialakítani. RIBSZ-et kell készíteni különösen, ha a rendszer: – fokozott vagy kiemelt biztonsági osztályba van sorolva, – a Társaság üzletvitele szempontjából stratégiai, kiemelt fontosságú, – nagy mennyiségű személyes adatot kezel.

19. szám

Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. Biztonsági szempontból az IVO vezetője felügyeli és támogatja az informatikai fejlesztéseket, projekteket, ennek során állást foglal a rendszerszintű informatikai biztonsági szabályzatok megfelelőségéről. Az RIBSZ (illetve a Rendszerterv informatikai biztonsági fejezete) tartalmának szigorú összhangban kell lennie a korábbi fázisban meghatározott biztonsági osztályra vonatkozó informatikai biztonsági követelményekkel és a kockázatelemzés által előírt intézkedésekkel. A védelmet fizikai, logikai és adminisztratív területen kell megvalósítani. Ezek részleteit a Biztonsági osztályok követelményei című táblázat (10. sz. melléklet) a besorolási osztályokra bontva tartalmazza. A fejlesztési folyamat minden lépésében konzultálni kell mind az üzemeltetőkkel (operátorokkal), mind a felhasználókkal a rendszer hatékonyságának érdekében. A rendszer tervezése, valamint az informatikai biztonsági osztály meghatározása után világosan látszik, hogy kell-e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az RIBSZben, illetve a Rendszerterv informatikai biztonsági fejezetében részletesen ki kell dolgozni az ide vonatkozó védelmi intézkedéseket is. Ilyen szolgáltatással rendelkező rendszerben a kulcsokat külön védeni kell az elvesztés és illetéktelenek tudomására jutása ellen, hogy a sértetlenség, titkosítás, hitelesség rendszere ne sérüljön. 4.8.6. A rendszer használatba vétele Tesztelés A rendszerben megvalósuló valamennyi elemet a rendszer használatba vételét megelőzően biztonsági megfelelőség szempontjából tesztelni kell. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet d) A rendszer használatba vétele) összefoglaltak szerint kell elvégezni. A biztonsági teszt-feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesztelési folyamatok irányítására – amennyiben indokolt – egy szervezetet kell létrehozni, aminek a vezetője az üzleti tulajdonos által kijelölt teszt menedzser. Tagjai továbbá a rendszer méretétől (bonyolultságától) függő létszámban a teszt tervező(k), tesztelő(k), értékelő(k). A tesztelésbe a felhasználó környezetéből is be kell vonni személyeket, akiket az üzleti tulajdonos vagy a projekt menedzser jelöl ki. A tesztelés végrehajtására a teszt menedzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Ennek legfőbb elemei a következők: – a teszt céljainak meghatározása, – a teszt lépéseinek meghatározása, – a rendszer tesztelendő elemeinek behatárolása,

19. szám


– tesztelési mód, teszt környezet, teszt adatbázis meghatározása, – tesztek értékelési módszerének kialakítása, – teszteredmények megfelelőségi kritériumainak definiálása, – dokumentálási faladatok meghatározása, – a tesztelési szervezet kialakítása, személyek meghatározása, szerepkörök, felelősségi leírása, – ütemterv meghatározása. A tesztelés tervét a rendszertervvel párhuzamosan kell elkészíteni, mivel a biztonsági követelmények addigra már ismertek. Lehetőleg az informatikai tesztelésekkel párhuzamosan meg kell kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rendszerrel szembeni biztonsági elvárásainak időbeni teljesülését. A tesztek (modul-, integrációs-, rendszer-, teljesítmény- stb.) eredményét a 13. sz. melléklet szerinti Biztonsági tesztelési jegyzőkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell őrizni. A használatba vétel feltételei A rendszer csak akkor vehető használatba, ha rendelkezésre állnak az alábbi dokumentumok: a) Felhasználói Kézikönyv az összes kezelési szintre benne olyan funkciókkal, mint az informatikai biztonsági rendkívüli eseményekre való reagálás, a működésfolytonosság biztosítása és a felhasználók személyes adatainak kezelése fejezet. A RIBSZ-ben szereplő informatikai biztonsági szabályokat ezen a módon kell a felhasználóknak eljuttatni. b) Üzemeltetési kézikönyv, c) Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ) tartalmazza a rendszer összes konkrét védelmi intézkedését, önálló fejezetben vagy különálló mellékletben a felhasználókkal kapcsolatos biztonsági előírások rendszerszintű szabályait, d) Működés-folytonossági terv e) Üzleti tulajdonos nyilatkozatai a rendszerrel szemben támasztott rendelkezésre állási igényről, a biztonsági osztályba sorolásról, a maradó kockázat és az elkészült dokumentumok elfogadásáról, f) Jegyzőkönyvek a biztonsági tesztfeltételeknek való megfelelésről, g) Megfelelőségi tanúsítvány amely minősített rendszer esetében független auditortól származik. Az átvétel során ellenőrizni kell továbbá: a) a teljesítőképességi és a számítógépkapacitás-követelményeket, b) a hibajavító és az újraindítási eljárások vészterveit, c) a rutin üzemeltetési eljárások előkészítését és bevizsgálását, d) a megállapodások szerinti biztonsági óvintézkedések megtételét, e) a hatékony kézi (manuális) eljárásokat,

1027

f) a működés folyamatosságának érdekében a 4.10.1. fejezet által megkívánt elrendezéseket, g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkező, káros hatással a meglévő rendszerekre, különösen nem a feldolgozási csúcsidőkben. h) annak bizonyítékait, hogy figyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a Társaság általános biztonságára, i) az új rendszerek üzemeltetésének valamint használatának a betanítását, oktatását. 4.9. Az informatikai biztonsági incidensek kezelése Alapvető cél, hogy a biztonsági események és zavarok okozta kár minimális legyen, a biztonsági események folyamatosan nyomon legyenek követve, biztosítva legyen a mielőbbi normális üzemre való visszaállás és a megfelelő következtetéseket az illetékesek levonják. Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a napi feldolgozást hátráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek. Minden munkavállalónak és vállalkozónak ismernie és alkalmaznia kell a Társaság működésének és az általa használt eszközök használatának biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok) jelentésének eljárási szabályait. Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elkerülhetők az elhamarkodott döntések, bizonyítékot lehet használni és megőrizni az esemény forrásának lenyomozásához és azonosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható, és nem csak az esemény, de a válasz költségei is csökkenthetők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók. Minden szervezetnek fel kell készülnie a biztonsági események bekövetkezésére, ezért a következő lépéseket kell megtenni: a) felkészülés – előre dokumentált megelőző intézkedések, eseménykezelési útmutatások és eljárások (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges dokumentumok, valamint működés-folytonossági tervek, b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek jelentsék az eseményeket, c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meghatározásában, d) irányítás – eljárások és felelősségek az eseményekkel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájékoztatásakor, e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor, f) áttekintő vizsgálat – eljárások és felelősségek az eseményt követő tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését.

1028


4.9.1. A biztonsági események, gyenge pontok jelentése A Társaság minden informatikai eszközén, folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhasználók nem veszik figyelembe, ezért ennek fontosságát a felhasználókkal is tudatosítani kell. Teendők rendszer-, illetve alkalmazáshiba esetén: a) Figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket. Rendszer-, vagy alkalmazáshiba esetén az adott számítógépen fel kell függeszteni a munkát. A hibaüzenetet a felhasználó nem törölheti a képernyőről, amíg az illetékes informatikai munkatárs azt nem látta vagy azt meg nem beszélte vele. A felhasználó semmiféle kísérletet nem tehet az informatikai rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem ha kellő felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az illetékes informatikai munkatárs jogosult. b) Amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás, vagy vírustámadás okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, továbbá szükség esetén gondoskodni kell a hibernálás aktiválásáról vagy a kikapcsolásról. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is, melyeket az illetékes informatikai munkatársnak vizsgálat céljára át kell adni. c) A Társaság hozzáférési, és egyéb adatvédelmi rendszereinek működés zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetőjének és az IVO-nak. d) A meghibásodott informatikai eszközben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más berendezésekben. A biztonságot érintő eseményeket – amilyen gyorsan csak lehet – a megfelelő vezetői csatornákon jelenteni kell. Az IVO az eseményt a lehető legrövidebb idő alatt vizsgálja ki, és amennyiben a felelősségre vonás szükségessége fennáll, értesítse a biztonsági igazgatón keresztül a munkáltatói jogkör gyakorlóját, hogy a munkavállalóval szemben a kötelességszegés gyanúja esetén alkalmazott intézkedést meg kell indítani.

19. szám

törekedni kell az összes bizonyíték feltárására, megőrzésére és a nyomozó hatóság illetve a bíróság részére történő megfelelő átadásra. 4.10. Működés-folytonosság kezelése Működési hibák, különböző fokozatú rendkívüli állapotok (pl. természeti katasztrófa) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkező hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából fokozott és kiemelt biztonsági osztályba sorolt informatikai rendszerének – annak kiterjedésétől függetlenül – kötelező rendelkeznie Működés-folytonossági tervvel. Alap biztonsági osztályba sorolt rendszereknél is indokolt ennek elkészítése. A tervezés olyan hibák és jelenségek kezelésére szolgál, amelyek a rendszer működése során gyakran előfordulhatnak a helytelen munkavégzésből, figyelmetlenségből, vagy a technikai körülmények előnytelen változásaiból, személyek változásából, illetve elháríthatatlan okból (pl. természeti katasztrófa). A katasztrófa súlyosságú működés-folytonossági események informatikát érintő kezeléséről a Társaság katasztrófavédelmi és polgári védelmi feladatainak ellátásáról szóló utasítás Intézkedések informatikai vészhelyzet megelőzésére c. melléklete rendelkezik. (lásd: 15. sz. melléklet ’t’ pont) 4.10.1. A működés-folytonosság menedzselése A működés-folytonossági tervezést az üzleti tulajdonos irányítja.

4.9.2. Az informatikai biztonsági incidensek értékelése Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monitorozási rendszer működési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerűsítését.

Első lépésben meg kell határoznia a rendszer azon kiesési idejét, amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása számára üzletileg még elviselhető, és aminek leteltével életbe kell léptetni a rendkívüli események kezelésére szolgáló intézkedéseket. Ennek megfelelően alapvetően három alappillérre támaszkodik: a) magas színvonalú, jó minőségű technológia és üzemeltetés; b) megfelelő szabályozottság, dokumentáltság és informatikai szervezet; c) az előre nem látható eseményekre történő előzetes felkészülés. A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is figyelembe kell venni. A működésfolytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerű működést. Ezek lehetnek például hardver meghibásodások, adatátviteli útvonalon történő zavar, tartós szakadás, programhiba, vagy tűzeset, vízkár.

Szükség van arra, hogy kellő bizonyítékkal rendelkezzünk ahhoz, hogy fegyelmi, vagy jogi eljárást folytassunk egy személy vagy szervezet ellen. Amennyiben az informatikai biztonsági incidens jogi felelősséget vet fel,

A tervezés az alábbi kulcsfontosságú elemekből áll: – fel kell készülni mindazokra a kockázatokra (lásd: kockázatelemzés, maradványkockázat) melyek bekövetkezése reális, és befolyásolja az üzleti folyamatokat,

19. szám


– megfelelő stratégiát kell kidolgozni, hogy a kockázatok minimálisak legyenek, – meg kell állapítani a felelősségi területeket, a követendő eljárási tematikát, – meg kell határozni a reagálási és a helyreállítási stratégiát, annak idejét, – tervezni kell az oktatást, hogy a működtető személyzet (rendszergazdák, operátorok stb.) maradéktalanul ismerje a teendőket, a szabályozási rendet, – szimulált hibák létrehozásával gyakorolni kell a helyreállítási folyamatot (a rendszer biztonsági osztályba sorolása függvényében legalább: alap 3 évenként, fokozott 2 évenként és kiemelt osztályú rendszerekben évente), – minden működés-folytonossági eseményt dokumentálni kell és ezen tudásbázis alapján intézkedéseket kell tenni a rendszeresen ismétlődő hibák megelőzésére, – a tervet időszakonként felül kell vizsgálni és a szükségletnek megfelelően módosítani kell, – ki kell dolgozni a közönségkapcsolatok, a média kezelésének szabályait. 4.10.2. A tervezés keretrendszere A működés-folytonossági terv általános tematikáját a 14. sz. melléklet tartalmazza. A dokumentumnak szoros logikai kapcsolatban kell állnia az IBSZ, RIBSZ és Felhasználói kézikönyv dokumentumokkal. A tematikai vázlatot az alábbi tervezési szempontok figyelembe vételével kell alkalmazni: – ki kell alakítani a terv szinkronját az üzleti stratégiához, biztosítani kell alkalmazkodását a változó jogi előírásokhoz, – rögzíteni kell a meglevő és a helyreállításra igénybe vehető erőforrások térbeli és minőségi helyzetét, – fel kell mérni azokat a környezeti szereplőket, amelyeket valamilyen formában értesíteni, vagy bevonni kell egy rendkívüli helyzet esetén (pl. MÁV Informatika Zrt. területileg illetékes informatikai központja, közvetlen munkahelyi vezető, üzleti tulajdonos, MÁV-os rendszergazda, tűzoltóság, rendőrség, katasztrófa-védelem, írott és elektronikus sajtó), – meg kell különböztetni az incidenskezelést a katasztrófahelyzet kezelésétől, figyelembe véve azonban, hogy a katasztrófa-esemény az üzletmenetet hátrányosan befolyásoló, azt különböző mértékben érintő tényezők legdurvább előfordulási módja ugyan, de csak egy a káros hatású tényezők sorában, – a kockázatoknak megfelelően tartalék erőforrásokat kell feltárni, elemezni kell a rendszer külső beszállítóinak szolgáltatásait, – nagyobb rendszerben asztali modellezéssel különböző forgatókönyveket kell készíteni a különböző típusú káresetek megelőzésére, illetve kezelésére, – vizsgálni kell a műszaki helyreállítás lehetőségeit (az eszközök üzembe történő visszaállítása, tartalék eszközök üzembe helyezése, melegtartalék kezelése, alternatív helyszín igénybe vétele) figyelembe véve a rendszerre vonatkozó kapacitás-igényt,

1029

– el kell végezni a tartalék helyszín megfelelőségi vizsgálatát, – tervezni kell a helyreállítási fázisok részfelelőseinek folyamatos beszámoltatási kötelezettségét, – ki kell alakítani az érintettek listáját, rögzíteni kell elérhetőségüket (cím, telefonszám), és a listát az üzemeltető személyzet számára könnyen elérhetővé kell tenni, – minél rövidebb terjedelmű, működési zavarral terhelt környezetben dolgozó (esetleg katasztrófa-helyzetben pánik-közeli állapotba került) munkatársak számára is könnyen érthető, elméleti fejtegetéseket teljes mértékben mellőző feladatleírást, cselekvési tervet kell kialakíttatni, ami egyértelműen és kizárólag a végrehajtandó feladatokat tartalmazza, meghatározva azok sorrendjét és felelőseit, – valamennyi részelemnek – függetlenül az üzleti tulajdonos mindenre kiterjedő biztonsági felelősségétől – további felelőse kell, hogy legyen, aki felel a felelősségi körébe tartozó rendszerelemek működésének helyreállításáért, annak feladatait ismeri és készség szintjén begyakorolta. 4.10.3. A terv felülvizsgálata és karbantartása A Működés-folytonossági tervet az üzleti tulajdonos köteles évente vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy előfordulhatnak hibás feltételezések, személyi változások, vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, hanem ismerni kell annak időbeliségét, hatását és következményeit is. 4.10.4. A rendszerek és a programok működési zavarainak értékelése A Társaság minden szerverén és munkaállomásán, (amennyiben a működtető szoftver ezt lehetővé teszi) aktiválni kell a folyamatos rendszer vagy alkalmazás naplózást, az esetleges hibaüzenetek visszakereshetősége vagy incidensek feltárása érdekében. A hibaüzenetek fontosságát a működés-folytonosság fenntartásában a felhasználókkal is tudatosítani kell. Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdonosnak évente elemeznie, értékelnie kell. Az elemzés alapján – szükség esetén – kezdeményeznie kell az IVOnál jelen szabályzat, illetve saját hatáskörében az adott rendszer Működés-folytonossági tervének és RIBSZének a korszerűsítését. 4.11. Megfelelés a jogszabályoknak 4.11.1. A jogszabályi előírások betartása Az Informatikai biztonsági szabályzat alkalmazása során bevezetett védelmi intézkedések nem ütközhetnek büntetőjogi vagy polgári jogi szabályozásba, nem eredményezhetik a Társaság törvényes, szabályozói vagy

1030


szerződéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhetőek, illetve valósíthatóak meg, amelyek a jogszabályi és egyéb előírásoknak megfelelően biztosítják az informatikai infrastruktúra védelmét. A szabályzat kialakításánál a 15. sz. mellékletben felsorolt jogforrások és előírások normái voltak irányadók, amelyekre az informatikai biztonság irányítása és megvalósítása során az abban részt vevőknek kiemelt figyelmet kell fordítaniuk. Az informatikai rendszerekkel kezelt és feldolgozott – minősített adat védelméről szóló törvény hatálya alá tartozó adatok és az üzleti titoknak minősülő adatok védelmét a Társaság biztonsági vezetője a vonatkozó jogszabályok és szabályzatok szerint, – személyes adatok védelmét a Társaság belső adatvédelmi felelőse a Társaság Adatvédelmi szabályzata szerint lássa el. 4.11.2. Az informatikai biztonság megfelelőségi felülvizsgálata A Társaság informatikai biztonsági szintjét folyamatosan és célirányosan ellenőrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel-e a mindenkori tárgybani jogforrásoknak, az informatikai biztonság megvalósítását végző személyektől, szervezeti egységektől független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg: a) az IVO munkaszervezete folyamatosan, napi szaktevékenysége részeként rutinszerűen ellenőrzi a rendszereket, felügyeli a rendszerek biztonságának megvalósításában feladattal megbízott, a 4.2.2. és 4.2.3. fejezetekban felsorolt szervezeti egységeknek és személyeknek a rendszerbe jelen szabályzattal beépített biztonsági mechanizmusaival kapcsolatos tevékenységét, b) a Belső Ellenőrzési Főosztály – saját hatáskörében kidolgozott eljárásrend szerint – esetenként, de rendszeresen (az egyes szakterületek tevékenységének vizsgálata során) belső auditálás formájában, komplexen ellenőrzi és értékeli az informatikai biztonság helyzetét, beleértve az IVO a) pontban leírt felügyeleti tevékenységét is, c) a Társaságon kívüli, független szakértők megbízásával külső auditálást kell végeztetniük az érintett rendszerek üzleti tulajdonosainak az alábbi esetekben: – fokozott biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, – kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, majd 2 évenként rendszeresen. 4.12. Kivételkezelés Az IBSZ által nem szabályozott esetekben az üzleti tulajdonosok, projektvezetők és a munkáltatói jogkört gyakorló vezetők kezdeményezhetik az IVO-nál az adott kér-

19. szám

déskörben eligazodást adó döntés meghozatalát. Az IVO vezetője szükség szerint az IKI, a TEB, illetve egyéb érintett szakterület bevonásával, az érvényes jogszabályok, szabványok, ajánlások, továbbá az aktuális informatikai fejlettségi szint ismeretében javaslatot tesz a Biztonsági igazgató számára, aki saját hatáskörben döntést hoz, vagy ha az eset körülményeiből más következik, akkor vezérigazgató vagy elnök-vezérigazgató elé terjeszti döntés meghozatalára. 5.0. HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK – 19/2005. (VI. 17. MÁV Ért. 24.) VIG. sz. vezérigazgatói utasítás a MÁV Rt. Informatikai Biztonsági Szabályzatáról, valamint a – 18/2005. (VI. 17. MÁV. Ért. 24.) Biztonság (IVF) – Vezérigazgatói utasítás a MÁV Rt. informatikai biztonsági irányelveiről, valamint módosításáról szóló 40/2002. (MÁV Ért. 20.) ADV.F.sz. utasítás. 6.0. HATÁLYBA LÉPTETÉS Jelen szabályzat a kiadása napján, de legkorábban 2010. április 30-án lép hatályba. 7.0. MELLÉKLETEK JEGYZÉKE 1. Felhasználók biztonsági kötelezettségei 2. Informatikai biztonsági nyilatkozat 3. Informatikai beszállító biztonsági minősítési rendszere 4. Informatikai fejlesztés biztonsági feladatai és dokumentumai 5/A. Nyilatkozat az informatikai rendszer rendelkezésre állási igényéről 5/B. Megbízhatósági követelmény jellemzők (kitöltési útmutató az 5/A. sz. melléklethez) 6. Kockázatelemzés lépései 7. Kárértékek besorolási táblázata 8. Védelmi profilok azonosítási rendszere 9. Fizikai biztonsági védősávok 10. Biztonsági osztályok követelményei 11. Üzleti tulajdonos nyilatkozata a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról. 12. Rendszerszintű informatikai biztonsági szabályzat (RIBSZ) vázlata 13. Biztonsági tesztelési jegyzőkönyv 14. Működés-Folytonossági Terv (MFT) vázlata 15. A MÁV Zrt. informatikai biztonsági szabályzata tartalmát meghatározó vagy befolyásoló jogforrás-ok 16. Rövidítések jegyzéke Andrási Miklós s.k. Elnök-vezérigazgató

19. szám

A MÁV Zrt. Értesítője 1. sz. melléklet

Felhasználók biztonsági kötelezettségei Jelen dokumentum célja, hogy biztosítsa minden felhasználó számára azokat a legfontosabb információkat, amelyek ismeretében a MÁV Zrt. (a továbbiakban Társaság) informatikai infrastruktúrája eredményesen, hatékonyan, és biztonságosan használható. Az Informatikai Biztonsági Szabályzat szerint a Társaságnak azon munkavállalója, aki munkája ellátásához informatikai eszközt használ (a továbbiakban felhasználó) köteles az itt felsorolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közreműködni. Bevezetés A Társaság rohamosan növekvő mértékben alkalmaz informatikai rendszereket az üzleti tevékenységével öszszefüggő nyilvántartási, adatfeldolgozási feladatokra, de belső és külső elektronikus kommunikációra is. A rendszerek a velük végzett napi munka során különböző biztonsági fenyegetéseknek vannak kitéve, amelyeket fel kell ismerni. Ellenük a Társaság védelmi rendszert működtet. Informatikai biztonsági szempontból elsősorban az adatok és feldolgozórendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése a fő feladat. Bizalmasság: A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáférhető. Sértetlenség: A sértetlenség védelme arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándékozott és a jogosultságnak megfelelő módon és mértékben változzanak. Rendelkezésre állás: A rendelkezésre állás biztosítása pedig azt célozza, hogy az adatok és informatikai szolgáltatások az előre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára hozzáférhetőek legyenek. Az informatikai eszközök és rendszerek folyamatos működőképessége és ennek során a biztonsági követelmények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni. 1. Biztonsági ismeretek, felelősségtudat A Társaság munkavállalói, mint felhasználók felelősséggel tartoznak az általuk használt személyi számítógép és tartozékai, továbbá az informatikai rendszerek (számítógépes programok) biztonságának megőrzéséért. Kötelesek a használatra vonatkozó biztonsági szabályokat (jelen dokumentumot, a használt rendszer üzleti tulajdonosa által elrendelt ismertetőket, felhasználói vagy üzemelte-

1031

tői kézikönyveket stb.) megismerni, azokat a tevékenységüknek megfelelő esetekben alkalmazni és ennek során a tőlük elvárható gondossággal ellenőrizni az alkalmazott biztonsági funkciók helyes működését. 2. Egyéni felelősség a) A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. A felhasználók kötelesek mindent megtenni annak érdekében, hogy mások a nevükben illetéktelenül ne tevékenykedhessenek. Kötelesek betartani a jelszóválasztási és változtatási szabályokat. A jelszót azonnal meg kell változtatni, ha a felhasználó megtudja, vagy gyanakszik rá, hogy az más számára ismertté vált. b) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhasználói azonosítókat és jelszavakat, továbbá más nevében nem léphetnek be a rendszerbe. c) Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Excel-táblák, makró-programok, SQL lekérdezések, kis adatbázisok) nem tekinthetők informatikai alkalmazásnak. A vezetők az általuk irányított területen felelősek a végfelhasználói alkalmazásoknak a biztonsági előírásokkal összhangban lévő használatáért. Az ezekkel előállított adatok, eredmények stb. megbízhatóságának ellenőrzése a felhasználó felelőssége. d) A felhasználók kísérjék figyelemmel a PC munkaállomásukat érintő üzemeltetési, (táv)karbantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjüket. e) A felhasználók a jelszavuk által aktivált berendezésüket rövid időre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból, illetve kötelesek aktivizálni a PC munkaállomás jelszavas védelemmel ellátott képernyővédő funkcióját, ha munkahelyüket – akár rövid időre is – elhagyják, vagy egyéb módon gondoskodjanak a számítógép mások általi használatának megakadályozásáról (pl. a helyiség bezárása). 3. Felhasználói jogosultság a) A felhasználók a részükre meghatározott munka elvégzéséhez szükséges mértékű hozzáférést kapnak az informatikai rendszerekhez „a szükséges minimális jogosultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelően. b) A felhasználók kötelesek a vezetőjük által engedélyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funkciók, adatok elérésére, amelyekre nincsenek feljogosítva. c) A felhasználók csak technikailag indokolt esetekben kaphatnak rendszergazdai (adminisztrátori) jogosultságot.

1032


4. Jelszavak használata A Társaság informatikai rendszereit használó valamennyi felhasználónak a következő jelszóhasználati szabályokat kell betartania: a) A felhasználónak tudatában kell lennie, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ő „terhére” könyveli el. Ezért a jelszavait bizalmasan kell kezelnie, azokat más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja, köteles azok titkosságát megőrizni. A felsoroltakért személyesen felelős. b) A jelszó jellemzői (hossz, bonyolultság, cserélés periódusa stb.) rendszerenként változhatnak, de alapszabály, hogy a jelszó nem egyezhet meg a felhasználói azonosítóval. c) A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra stb. utaló információkat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét stb.), és összefüggő szövegként ne legyen olvasható. d) A felhasználó nem adhat meg a hálózati bejelentkezésére használt jelszóval megegyező jelszót az általa használt informatikai rendszerekben. e) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban, a közvetlen vezetőnél történő, biztonságos tárolásáról. f) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie és a felmerülő biztonsági kockázat lehetőségéről tájékoztatni kell az Információvédelmi osztály (a továbbiakban IVO) vezetőjét. g) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót. h) A felhasználó részére generált első jelszót, továbbá a jelszómódosításra felhívó rendszerüzenetek után az addig érvényes jelszavát a felhasználó a legelső bejelentkezése alkalmával köteles módosítani. 5. Társaság eszközeinek használata a) A felhasználók nem jogosultak a Társaság infokommunikációs erőforrásai – az informatikai alkalmazások (szoftvertermékek, szolgáltatások) az infokommunikációs hálózat, az internet, a munkaállomások, perifériák és az egyedi PC-k, továbbá az adathordozók (mágneslemez, CD/DVD stb.) – személyes célú használatára. b) Az infokommunikációs erőforrásokhoz való hozzáférés és azok használata kizárólag megfelelően azonosított, hitelesített és jogosított felhasználók számára engedélyezett.

19. szám

c) A Társaságnál csak a hivatalos csatornákon keresztül beszerzett, elfogadott és installált PC hardver (pl. szkenner, digitális fényképezőgép) és szoftver, illetve adathordozó (pl. CD/DVD, Pen-drive) használható. Az engedéllyel végzett távmunka eseteit kivéve tilos a Társaság informatikai hálózatához saját tulajdonú informatikai berendezésekkel csatlakozni. Amennyiben ez a munkavégzéshez elengedhetetlen, azt az üzleti tulajdonos engedélyezheti az IVO egyetértésével. d) A Társaság munkaállomásain a szoftverek installációját és karbantartását szerződésben megbízott üzemeltető szervezetre kell hagyni. e) Olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott biztonsági szoftvert vagy ellenőrzéseket, tilos az informatikai eszközökre telepíteni. f) Bemutató céljára tilos olyan PC-t használni, amely képes minősített biztonsági osztályú üzleti alkalmazás elérésére. g) A munkaviszony megszűnése, a munkakör megváltozása, vagy más, a munkahelyi vezetője által támasztott igény esetén a felhasználónak minden eszközt és információs erőforrást, vissza kell szolgáltatnia. 6. Az adatok bizalmassága a) A felhasználó felelős a rendszerek használata során tudomására jutott üzleti titoknak minősülő adatok tőle elvárható védelméért, a nem nyilvános adatok és a személyes adatok megőrzéséért. b) Üzleti titoknak minősülő adatok külső tárolóra másolása csak az erre vonatkozó, kifejezetten megengedő szabályok szerint történhet. Az ilyen információt tartalmazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni. c) A felhasználók senki előtt nem fedhetik fel az üzleti titoknak minősülő információt, kivéve, ha az arra jogosult engedélyezi. Ebbe beletartoznak a Társaságra, valamint ügyfeleire, informatikai rendszerére és szoftverfejlesztésére, termékeire és szoftverlicenszeire vonatkozó technikai és üzleti információk. d) Az informatikai biztonsági intézkedéseket és a Társaság erre vonatkozó belső szabályzatait bizalmasan kell kezelni. e) Üzleti titoknak minősülő adatokat tartalmazó információkat külső félnek elektronikus úton kizárólag a Társaság titokvédelmi szabályzatában leírt módon szabad küldeni. f) Minden a felhasználónak a számítógépekhez való hozzáféréséhez szükséges azonosító, jelszó, telefonszám, valamint egyéb, a informatikai erőforrásokhoz való „hozzáférési lehetőség” a felhasználó tulajdona és titka. Az ilyen hozzáférési lehetőség birtokosa felelősségre vonható ennek jogtalan vagy gondatlan használatáért, felfedéséért. g) A felhasználók a belső adatok védelmére kötelesek külön intézkedéseket alkalmazni a kapott lehetőségeken belül, vagy külön intézkedéseket kérni (pl. diszk-zárakat,

19. szám


a bizalmas fájlok és üzenetek titkosítását, a könyvtárak és fájlok külön jelszavas védelmét). h) Az általa használt elektronikus adathordozókról (pl. mágnesszalag, merevlemez, CD/DVD) az adatokat újrafelhasználás vagy selejtezés előtt a szokásos eszközökkel, helyreállíthatatlan módon le kell töröltetnie. Az üzleti titoknak minősülő adatokat tartalmazó szalagokat, lemezeket stb. selejtezés előtt fizikailag meg kell semmisíteni, vagy más módon lehetetlenné tenni az adatok viszszaállíthatóságát. Az erre vonatkozó általános eljárásokat az IBSZ 4.6.4.4. számú fejezete tartalmazza. i) A kinyomtatott érzékeny anyagokat, a feleslegessé vált, bizalmas információt tartalmazó papírokat, mint pl. a képernyők kinyomtatott képeit, táblázatokat, levelezések és szabályzatok másolatait stb. a vonatkozó iratkezelési, iratmegsemmisítési szabályok szerint kell kezelni. 7. Adatok biztonsági mentése a) A helytakarékos tárolás elvének megfelelően a felhasználók kötelesek a nem szükséges anyagaikat folyamatosan törölni a könyvtáraikból, továbbá a közös használatú anyagokat közös elérésű könyvtárakban kell kezelni. b) A külön engedéllyel helyben, különféle elektronikus adathordozón tárolt adatok biztonsági másolatának elkészítéséről a felhasználók kötelesek gondoskodni. c) A biztonsági mentések adathordozóit az erre feljogosított felhasználónak a vonatkozó előírásoknak megfelelő módon kell tárolni (eredeti helyszíntől földrajzilag távol, tűzvédett, kulccsal zárható stb. helyen). d) Az informatikai rendszerek rendelkezésre állásában minden felhasználó érdekelt. Az informatikai rendszer működésképtelensége esetén minden felhasználó felelősséggel tartozik a szolgáltatások helyreállításának támogatásáért, a biztonsági mentések megfelelő használatáért.

1033

esetén a szoftver csak a licensz megállapodásban rögzített darabszámban és módon használható. b) A felhasználók: – nem installálhatnak, nem karbantarthatnak, vagy nem tölthetnek le szoftvert (beleértve az ún. szabad-felhasználású, freeware, shareware stb. programokat is) a Társaság munkaállomásaira, – a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történő használat céljából, – ha kétségeik merülnek fel a szoftver szerzői jogai felől, akkor lépjenek kapcsolatba az IT terület szoftver licenc-nyilvántartásáért, installációjáért és karbantartásáért felelős munkatársával, – a szerzői jogok megsértése törvénybe ütköző cselekmény, ezért felelősségre vonáshoz vezethet és a felhasználó elleni büntetőeljárás megindítását eredményezheti. 10. Berendezésvédelem a) A felhasználóknak szállítás közben a lehetőségei határain belül személyesen kell vigyázniuk személyi számítógépükre, hordozható infokommunikációs eszközeikre (pl.: notebook, okostelefon, kéziszámítógép). Meg kell óvniuk a kivehető adattároló eszközök (CD/DVD-k, szalagok, kazetták, HDD-k stb.) fizikai állapotát, gondoskodniuk kell az eltulajdonítás megakadályozásáról (pl.: használaton kívül, illetve irodán kívül zárható íróasztalban vagy szekrényben kell tartani). b) A munkaállomás átadásakor a felhasználó köteles gondoskodni a felelősségi körébe tartozó adatoknak a PC-ről való ún. biztonságos törléséről, vagy az új géphasználónak dokumentált módon való átadásáról. c) Selejtezésre leadott PC-ről minden adatot – beleértve az operációs rendszert is – visszaállíthatatlan módon el kell távolítani. d) A berendezéseket védeni kell a fizikai és környezeti hatásokkal szemben. (magas vagy alacsony hőmérséklet, folyadék stb.)

8. Vírusok elleni védelem 11. Területvédelem a) Az installált vírusvédelmet tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani. b) Vírusfertőzést vagy annak gyanúját (pl. a munkaállomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjelenése) haladéktalanul jelenteni kell a közvetlen vezető útján a rendszergazdának illetve az IVO-nak. 9. Szoftver tulajdonjog a) A Társaság által beszerzett szoftvereket és a hozzájuk tartozó dokumentációt nem szabad másolni, kivéve biztonsági másolat készítése céljából vagy a szoftver-terjesztő / fejlesztő egyértelmű írásos engedélye mellett. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja. Egyetlen termék többszörös használata

A felhasználók kötelesek távol tartani a berendezéseiktől és adataiktól az oda hozzáférési jogosultsággal nem rendelkező személyeket, és közvetlen munkakörnyezetükben kötelesek kérdőre vonni az idegeneket. 12. Infokommunikációs eszközön végzett munkavégzés távolról Ebben az esetben a felhasználó (jellemzően VPN-en keresztül) úgy éri el a megszokott munkakörnyezetét valamely külső helyről (pl. otthonról), mint ha ezt az irodájából tenné. Emiatt további biztonsági intézkedések szükségesek: a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelősségre, feltételekre, követelményekre és a munkavégzés engedélye-

1034


zési időszakára. A távoli munkavégzéshez a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának az írásos megbízása szükséges. b) Ha a Társaság távoli hozzáférés létesítésére engedélyt ad, fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, a hívások adatait, és szúrópróba szerinti ellenőrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó előírásoknak. c) A távoli munkavégzés esetén az üzleti titoknak minősülő adatokat illetéktelen hozzáférés ellen kódolással kell védeni a továbbítás során, és – a biztonságos jelszó mellett – további hitelesítő eszközt (pl. token) kell alkalmazni. Az elektronikus levelezés (e-mail) távoli elérése során be kell tartani az Outlook Web Access (OWA) Felhasználói kézikönyvében leírt biztonsági szabályokat. 13. Internet-használat a) Az internetre csatlakozás a Társaság belső hálózatára csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett. b) A Társaság hozzáférési pontjairól a felhasználó részére az internetre kapcsolódás lehetőségének kialakítását és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetőnek kell jóváhagynia. c) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek. d) A Társaság fenntartja magának a jogot a nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására (tartalomszűrés). e) A Társaság fenntartja magának a jogot az internetes tevékenység kontrolljára, szükség esetén korlátozások bevezetésére. f) A fórumok, chat-oldalak, az egyéb file- és videómegosztó valamint az úgynevezett kapcsolatépítő portálok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggésben és azt elősegítő, a közvetlen vezető kezdeményezésére az IVO vezetőjétől kapott engedély birtokában azonban használható. Az engedély megléte sem jogosít fel arra, hogy az ilyen típusú oldalakon a Titokvédelmi Szabályzatban meghatározott üzleti titkokat és a Társaságra vonatkozó bizalmas adatokat nyilvánosságra hozzuk. A bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatának felülvizsgálását. 14. Elektronikus levelezés Az elektronikus üzenetváltás (e-mail) a Társaság hivatalos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a munka hatékonyságának növekedését szolgálja.

19. szám

A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleértve, de nem kizárólag, az alábbiakat: a) Üzleti titoknak minősülő adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illetve továbbítani. b) Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó elektronikus aláírással hitelesíti magát. c) Az elektronikus üzenet üzleti kommunikációra szolgál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezőrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság fenntartja magának a jogot azok tartalmának vizsgálatára. d) Tilos a Társaság levelezőrendszeréből a bejövő üzenetek automatikus továbbítása bármilyen külső e-mail cím(ek)re. A szabadság, hosszabb távollét stb. esetére beállítható automatikus válaszban (ha szükséges) helyettest kell megjelölni. A válasz alapján a küldő felelőssége eldönteni, hogy a helyettesnek megküldi-e a kérdéses üzenetet. A Társaság levelezőrendszere – az arra feljogosított felhasználók számára – az interneten keresztül bárhonnan elérhető (OWA). e) Az elektronikus levél általában rövid üzenetek továbbítására szolgál. A túlzott szerverterhelés és vonalforgalom elkerülése érdekében egy levél maximális mérete nem haladhatja meg a 10 Mbyte-os méretet, és egy levél egyidejűleg maximálisan csak 50 címzett részére küldhető, illetve továbbítható. Ettől a főtevékenységi kör vezetőjének kérésére, az IVO engedélyével lehet csak eltérni. f) Tilos lánc- vagy kéretlen elektronikus leveleket másoknak továbbítani, azokra válaszolni, mivel a csatolt anyagokban könnyen terjedhetnek számítógépes vírusok és rosszindulatú kódok. Aki ilyet kap, az köteles az üzenetet – lehetőleg elolvasás, és továbbküldés nélkül – törölni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására, ezért az üzenet első két címzettje köteles az IVO-t értesíteni. g) A felhasználó elektronikus postaládájának karbantartása (az időszerűtlen és szükségtelen üzenetek megsemmisítése) a levelesláda tulajdonosának feladata és felelőssége. h) A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezőrendszerbeli azonosítóját és jelszavát. Indokolt esetben ideiglenes olvasási jogot adhat másoknak a saját email fiókjához a megfelelő eljárás szerint, de ezt az indok megszűnésekor azonnal vissza kell vonnia. i) A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. j) A küldőnek ellenőriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illető személy jogosult az információ kézhez vételére.

19. szám


k) A közvetlen vezetőnek – és közvetlenül az IVO részére is – jelenteni kell minden gyalázkodó, rasszista vagy kéretlen elektronikus levél érkezését. l) A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne legyen túl formális vagy feleslegesen közlékeny. Kerülendő olyan üzenet küldése, amely zavarba ejtő lenne, ha valaki körbeküldené az egész szervezetnek. Ha egy személyt név szerint megemlít az üzenet, az illetőnek másolatot kell küldeni. m) A levélre adott válaszban kerülni kell az összes előzmény visszaküldését, lehetőség szerint csak az a személy kapjon választ, akinek konkrétan szól az elektronikus üzenet. Ha az üzenethez tartozó korábbi levélváltások is részei a levélnek, akkor valamennyi korábbi címzettnek is továbbítani kell a válaszlevelet. n) A felhasználók – a munkavégzéssel való összefüggés esetét kivéve – nem adhatják ki munkatársaik e-mail címét, különösen nem a teljes címlistát. o) Ismeretlen helyről vagy személytől származó levelek érkezése estén, fokozott elővigyázatosságot kell tanúsítani. Amennyiben feltételezhető, hogy kéretlen levélről van szó, abban az esetben tilos azt megnyitni. Ha a levél megnyitását követően észlelhető a levél kéretlen jellege, tilos a hivatkozásokat, illetve a hozzá csatolt mellékleteit megnyitni vagy elmenteni. Ezeket a leveleket a felhasználó köteles olvasatlanul, azonnal törölni.

1035

p) Magáncélú elektronikus üzenetek továbbítása a Társaság hálózatába kapcsolt munkaállomásról tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Freemail, Citromail, Vipmail, Gmail, Hotmail). 15. Az információbiztonsági események és gyenge pontok jelentése a) A felhasználók kötelesek közvetlen vezetőiknek – és közvetlenül az IVO vezetőjének is – haladéktalanul jelenteni a biztonsági előírások megsértését, a biztonsággal kapcsolatban felismert gyengeségeket, adataik gyanított jogosulatlan megváltozását. b) Sürgős vagy indokolt esetben (pl. több gép egyidejű kiesése, infokommunikációs eszközök nyilvánvaló fizikai sérülése, rendszergazda szokatlan tevékenysége) közvetlenül a biztonsági igazgatóhoz és az IVO vezetőjéhez is lehet fordulni. 16. Elérhetőségek A tájékoztatóban felsorolt biztonsági szabályokra vonatkozó kérdésekben az Információvédelmi osztály szakértői állnak rendelkezésre. Információvédelmi osztály: Titkárság: tel.: 14-51, fax: 22-46 Vezető: tel.: 32-66, e-mail: [email protected]

1036


19. szám

2. sz. melléklet Informatikai biztonsági nyilatkozat

1. Alulírott ………………………………………....……. kijelentem, hogy a MÁV Zrt. informatikai eszközeinek és számítógépes programjainak használatára vonatkozó informatikai biztonsági szabályokat a Felhasználók biztonsági kötelezettségei c. segédlet alapján megismertem. 2. Tudomásul veszem, hogy a munkaköröm ellátásához kapott, a MÁV Zrt. tulajdonát képezĘ informatikai eszközöket (PC, laptop, nyomtató, mobiltelefon stb.) kizárólag a munkámmal összefüggĘ feladatok ellátására használhatom, a magáncélú felhasználás – az arra vonatkozó külön engedély nélkül – nem megengedett. E tevékenység során keletkezett adatokat a munkáltatói jogkör gyakorló a munkafeladataim ellátásával összefüggésben, illetve biztonsági szempontból az adatok mellett, a létrejött naplóállomány

bejegyzéseket

is

a

Társaság

információvédelmi

szakemberei

ellenĘrizhetik. 3. Tudomásul veszem, hogy az általam az informatikai rendszerek és adatok nem elĘírásszerĦ használatával és a rendszerek védelmét biztosító technikai intézkedések kijátszásával elkövetett cselekményekért munkajogi, a törvénybe ütközĘ súlyosságú esetekben pedig büntetĘjogi felelĘsséggel tartozom.

Budapest, 201… …………………………

……………………………….. aláírás

19. szám


1037

3. sz. melléklet Informatikai beszállító biztonsági minősítési rendszere A vizsgálandó területek és az adható pontok táblázata: Vizsgálandó területek:

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

ISO minőségbiztosítás megléte biztonsági referenciák belső biztonsági szervezet megléte létszámának megoszlása a teljes létszámhoz képest Informatikai Biztonsági Irányelvekkel rendelkezik-e Informatikai Biztonsági Szabályzattal rendelkezik-e alkalmaz-e RIBSZ-ekben testre szabott eljárásokat milyen szabványt / szabványokat alkalmaz belső biztonsága milyen osztályba sorolt informatikai kiadásainak hány %-át fordítja biztonságra fizikai biztonsági jellemzők logikai biztonsági jellemzők egyéb, a biztonságot befolyásoló tényezők (pl. bizalmasság (sértetlenség) rendelkezésre állás garanciái) összesen:

Adható maximális pontszám.

10 10 10 10 10 10 10 10 10 10 10 10 120

Pontozás: 1. 10=van, 0= nincs, 2-6=folyamatban 2. mennyiségtől függően 1-10 3. nincs=0, létszám 2%-áig 5, 2% felett 10 4. 10=van, 0= nincs, 2-6=folyamatban 5. 10=van, 0= nincs, 2-6=folyamatban 6. 10=igen, 0=nem, 2=csak igény szerint 7. MSZ ISO/IEC 27001:2006 vagy MSZ ISO/IEC 27002:2007=10, 8. MSZ ISO/IEC 15408=5, Cobit=3, nincs=0 9. alap=2, fokozott=5, kiemelt=10 10. 0-2%=2, 2-5%=5, 5% felett=10 11. nincs=0 MABISZ „minimális”=6 MABISZ „részleges” és „teljes”=10 12. 0=nem alkalmaznak, 13. 2=csak azonosítókat alkalmaznak, 14. 4=azonosító és jelszó alkalmazása, 15. 10=egyedi védelmeket is használnak (külön alkalmazás-védelmek) 16. az előzőeket kiegészítő információk pontozhatóak 1 és 10 között Értékelés: A pontrendszer alapján a következő csoportosítási lehetőségek szerint ajánlatos a szerződés elbírálása: – 50 pont alatt nem ajánlott a szerződés megkötése, – 51 – 80 pont esetén a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai biztonsági szabályzata szerint dolgozik ÉS beleegyezik ennek folyamatos és mindenre kiterjedő ellenőrzésébe, – 81 pont felett a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai Biztonsági Szabályzata szerint dolgozik

1038


19. szám

4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai a) projektindítás

1.

projektlépés projekt alapító okirat hatályba lépése

2.

projekt- (fejlesztésért felelős) szervezet felállítása

3.

projekt tervezés

4. 5.

üzleti tulajdonos kijelölése az informatikai biztonság kialakítása ütemének tervezése

biztonsági tervezés

informatikai biztonsági feladatok nagybani tervezése, megvalósítási ütemezéssel

projektlépések és felelősök megnevezése, határidők hozzárendelése

termék, dokumentum Projekt alapító okirat vagy Rendszerkoncepció alapvető informatikai biztonsági követelményekkel Informatikai biztonsági al-team / alprojekt létrehozása az IVO munkatársaiból Projektterv, benne a projekt informatikai biztonsági megfelelőségi rendszerének nagybani meghatározása informatikai biztonsági alprojekt terve

b) kockázatelemzés, biztonsági osztály meghatározása projektlépés biztonsági funkciók tervezése, elfogadtatása

biztonsági tervezés a szállítandó szoftver és a biztonsági termékek biztonsági funkcióinak felmérése, összefoglalása

2.

kockázatfelmérés és kockázatkezelés

3.

biztonsági osztály meghatározása

– védendő rendszerelemek azonosítása – fenyegető tényezők azonosítása – fenyegetettség-elemzés – kockázatkezelés – a rendszerben kezelendő adatok érzékenységének elemzése, – titokvédelmi besorolása, – a Társaság üzletvitele szempontjából meghatározó szempontok alapján biztonsági osztályba sorolása (alap, fokozott, vagy kiemelt)

1.

termék, dokumentum - biztonsági funkciók ellenjegyeztetése a beszállítóval, – Forrásgazda vagy üzleti tulajdonos nyilatkozata, hogy mi az igénye rendelkezésre állás szempontjából. Kockázatelemzés c. dokumentum. Tartalma: a rendszer, valamint a fizikai és személyi környezet elemeinek felmérése, a releváns fenyegetések, gyenge pontok feltárása, a nem elviselhető és az elviselhető, maradó kockázatok meghatározása, védelmi javaslatok felsorolása, végkövetkeztetésként a rendszer biztonsági osztálya. Üzleti tulajdonos nyilatkozata a rendszer biztonsági osztályba sorolásáról és a maradó kockázat elfogadásáról.

19. szám


1039

c) a rendszer biztonságának tervezése

1.

2.

projektlépés feladat részleteinek behatárolása

megvalósítási követelményrendszer kidolgozása

3.

biztonsági tesztelés tervezése

4.

változáskezelés tervezése

5.

részletes biztonsági szabályok kialakítása

6.

működés-folytonosság tervezése

biztonsági tervezés A fizikai, logikai és adminisztratív védelmi rendszer és funkcióinak behatárolása a projekt-dokumentumok felülvizsgálata alapján informatikai biztonsági követelmények meghatározása az osztályba sorolás alapján a szállítandó szoftver és biztonsági termékek biztonsági funkciói tesztelésének összefoglalása A szoftver (modulok) módosítása és verzióváltása szabályainak kialakítása a központi informatikai biztonsági szabályozás alapján a rendszerspecifikus szabályok dokumentumba foglalása a rendszer lehető legkevesebb üzemkieséssel járó működésének, folyamatainak megtervezése, felelőseinek megnevezése

termék, dokumentum Felülvizsgálati jelentés

Rendszerterv informatikai biztonsági fejezete Biztonsági tesztelési terv

a rendszer változáskezelési utasítása Rendszerszintű informatikai biztonsági szabályzat (RIBSZ)

a rendszer Működés-folytonossági terve

d) a rendszer használatba vétele projektlépés 1. tesztelés végrehajtása

2.

biztonsági audit

3.

oktatás

4.

fejlesztés lezárása, a rendszer indítása

biztonsági tervezés a megvalósított informatikai rendszer biztonságának felmérése, minősítése, az informatikai rendszerhez kapcsolódó fizikai logikai és adminisztratív védelmi rendszer értékelése Ahol a követelmények előírják a használatba vétel előtt (akár külső céggel) biztonsági auditot kell végezni. Oktatások szervezése a használat gördülékeny elsajátítása érdekében, minden felhasználói szinten. a Biztonsági rendszertervben előírt felhasználói- és üzemeltetői dokumentumok terítése

termék, dokumentum biztonsági tesztelési jegyzőkönyvek

Biztonsági audit jegyzőkönyve

Oktatási napló.

üzleti tulajdonos nyilatkozata a biztonsági megfelelőségről, a rendszer használatba vételéről és az elkészült informatikai biztonsági dokumentumok elfogadásáról.

1040


19. szám

5/A. sz. melléklet Nyilatkozat az informatikai rendszer rendelkezésre állási igényéről

Alulírott …………………………………………………………………………….. mint a(z) ……………………………………………………………………………...…………………… rendszer (alkalmazás) üzleti tulajdonosa / projektvezetĘje kijelentem, hogy a rendszerrel szemben az alábbi követelményeket támasztom: ÜzemidĘ:

…….. nap x …….. óra

Rendelkezésre állási tényezĘ:

……………....%/év.

Legnagyobb kiesési idĘ:

………………perc/óra/nap (a nem kívánt idĘegység törlendĘ)

Ezeket a követelményeket a rendszer (alkalmazás) kialakítása, fejlesztése valamint biztonsági osztályának meghatározása során is figyelembe kell venni.

……………………………., 201….…………………………

……………………………….. üzleti tulajdonos / projektvezetĘ

A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).

19. szám


1041

5/B. sz. melléklet Megbízhatósági követelmény jellemzők (kitöltési útmutató az 5/A. sz. melléklethez) A rendszerek rendelkezésre állásával kapcsolatos követelmények az üzemidő, a rendelkezésre állási tényező és a legnagyobb kiesési idő segítségével határozhatók meg. Az egyes követelményi szintek biztosításához különböző módszerek léteznek. Ezen a területen a komolyabb követelményeket kielégítő architektúrák nagyságrendileg nagyobb költséget jelenthetnek, így a legjobb megoldás kiválasztásához feltétlenül szükséges az elvárásoknak megfelelő megoldást nyújtó alapmódszerek ismerete. A rendelkezésre állás paraméterei objektíven mérhető, számítható, illetve modellezhető értékek. A rendszer rendelkezésre állásával kapcsolatos követelményeket a következő értékekkel lehet megadni: Üzemidő: Rendelkezésre állási tényező: Legnagyobb kiesési idő:

Megadja, hogy a rendszernek egy héten hány napot, egy nap hány órát kell működnie. Szokásosan x <óra> alakban adják meg. (pl. 5x8, 7x24 stb.) A helyes működés valószínűségét határozza meg, nagy átlagban az üzemidőn belül. Szokásosan százalékosan (99,9…% alakban) adják meg. Azt a legnagyobb kiesési időt adja meg, amely alatt még nem keletkeznek helyrehozhatatlan, elviselhetetlen károk az informatikai rendszer leállásából. Legfeljebb ennyi idő alatt újra kell tudni indítani a rendszert és a ráépülő folyamatokat.

Nagy megbízhatóságú rendszereknél a rendelkezésre állási tényező 99% felett van. Ezeket a rendszereket szokás a rendelkezésre állási tényezőben szereplő 9-esek száma alapján kategóriákba sorolni (pl. „négy 9-es rendelkezésre állású rendszer”). Az egyes kategóriáknál kiszámítható, hogy egy év alatt maximálisan mennyi időkiesés engedhető meg. A rendelkezésre állási tényező 2 db 9-es (99%) 3 db 9-es (99,9%) 4 db 9-es (99,99%) 5 db 9-es (99,999%) 6 db 9-es (99,9999%) 7 db 9-es (99,99999%)

Maximális kiesési idő 1 év alatt 3,5 nap 9 óra 1 óra 5 perc 32 másodperc 3 másodperc

Rendelkezésre állási tényező jelentése

1042


19. szám

3. feladat: Az elviselhető és az elviselhetetlen kockázatok megjelölése az áttekintésben.

Kockázatelemzés lépései IV. szakasz: Kockázat-menedzselés I. szakasz: A védelmi igény feltárása 1. lépés: A feldolgozandó adatok feltérképezése 1. feladat: Az informatika-alkalmazás output igényének feltérképezése. 2. feladat: Esetleges különleges szolgáltatások feltérképezése. 3. feladat: Az informatikai rendszerben feldolgozásra kerülő valamennyi adat feltérképezése. 2. lépés: Az informatika-alkalmazás és a feldolgozandó adatok értékének meghatározása 1. feladat: Védelmi igény megfogalmazása. 2. feladat: Értékskála rögzítése. 3. feladat: Az értékek hozzárendelése az informatikaalkalmazáshoz és az adatokhoz. II. szakasz: Fenyegetettség-elemzés

9. lépés: Az intézkedések kiválasztása 1. feladat: Az elviselhetetlen kockázatok azonosítása. 2. feladat: Az intézkedések kiválasztása. 10. lépés: Az intézkedések értékelése 1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegető tényező feltérképezése. 2. feladat: Az intézkedések kölcsönhatásának leírása. 3. feladat: Az üzemmenetre való kihatások vizsgálata. 4. feladat: Vizsgálat az előírásokkal való egyezésre vonatkozóan. 5. feladat: Az intézkedések hatékonyságának értékelése. 11. lépés: A költség/haszon arány elemzése 1. feladat: Az intézkedések költségeinek megállapítása. 2. feladat: Szükség esetén visszalépés a 9.2 pontba.

3. lépés: A fenyegetett rendszerelemek feltérképezése 1. feladat: A rendszerelemek feltérképezése. 2. feladat: A rendszerelemek kölcsönös függőségeinek leírása.

12. lépés: A maradványkockázat elemzése 1. feladat: A hatékonysági értékek bedolgozása a kockázat áttekintésbe 2. feladat: A maradványkockázat elemzése.

4. lépés: Az alapfenyegetettség meghatározása 1. feladat: A fenyegető tényezők és a rendszerelemek összerendelése. 2. feladat: Az összerendelések dokumentálása.

A kárértékek meghatározásánál az alábbi szempontokat kell figyelembe venni: – Dologi károk amelyeknek közvetlen vagy közvetett költségvonzatuk van. Ilyenek lehetnek az infrastruktúra károk, informatikai rendszer elemeinek sérülése, helyreállítási költség. – Károk a politika és társadalom területén. Ilyenek lehetnek: titoksértés, személyhez fűződő jogok, személyek, csoportok hírnevének károsodása, bizalmas adatok nyilvánosságra kerülése, hamis adatok nyilvánosságra kerülése, közérdekű adatok titokban tartása, bizalomvesztés. – Gazdasági károk. Ilyenek lehetnek a pénzügyi károk, lopáskárok, Társaság arculatának romlása, rossz üzleti döntés. – Személyi biztonság sérülése a felhasználói és üzemeltetői személyzetben. – Jogszabályok, utasítások megsértése. – Károk a tudomány területén. Ilyenek lehetnek a kutatások elhalasztódása, eredmények idő előtti nyilvánosságra kerülése, eredmények meghamisítása.

5. lépés: A fenyegető tényezők meghatározása 1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése. 2. feladat: A fenyegető tényezők meghatározása. III. szakasz: Kockázatelemzés 6. lépés: A potenciális károk értékének meghatározása 1. feladat: Az értékek átvitele a rendszerelemekre. 2. feladat: A károk áttekintő ábrázolása. 7. lépés: Az alapfenyegetettségek okozta károk gyakoriságának meghatározása 1. feladat: A gyakorisági skála rögzítése. 2. feladat: A gyakorisági értékek hozzárendelése a fenyegető tényezőkhöz. 8. lépés: A fennálló kockázatok meghatározása és leírása mátrixban 1. feladat: Valamennyi kárérték összeállítása egy áttekintésben. 2. feladat: Az elviselhető és az elviselhetetlen kockázatok rögzítése.

19. szám

A MÁV Zrt. Értesítője 7. sz. melléklet Kárértékek besorolási táblázata

A kárértékek besorolásához nyújt segítséget az alábbi osztályozás: 0 szint: jelentéktelen kár – közvetlen anyagi kár: 0 – 100.000 Ft – közvetett anyagi kár 1 embernappal állítható helyre – nincs bizalomvesztés, a probléma a szervezeti egységen belül marad – nem sérül titokvédelmi vagy adatvédelmi előírás – testi épség jelentéktelen sérülése egy-két személynél 1 szint: csekély kár – közvetlen anyagi kár: 100.001 – 1.000.000 Ft-ig – közvetett anyagi kár 1 emberhónappal helyre állítható – társadalmi-politikai hatás: kínos helyzet a MÁV Zrt-n belül – belső (intézményi) szabályozóval védett adat sérül – könnyű személyi sérülés egy-két személynél 2 szint: közepes kár – közvetlen anyagi kár: 1.000.001 – 10.000.000 Ft-ig – közvetett anyagi kár 1 emberévvel helyre állítható – társadalmi-politikai hatás: bizalomvesztés a MÁV Zrt. középvezetésében, bocsánatkérést az ügyfél felé és/ vagy fegyelmi intézkedést igényel – személyes adat, üzleti titok sérül súlyos következmények nélkül – több könnyű vagy egy-két súlyos személyi sérülés 3 szint: nagy kár – közvetlen anyagi kár: 10.000.001 – 100.000.000 Ft-ig – közvetett anyagi kár 1-10 emberévvel helyre állítható – társadalmi-politikai hatás: bizalomvesztés a MÁV Zrt. felső vezetésében, a vezetésben személyi konzekvenciák

1043

– üzleti titok, személyes adat sérül jogi következményekkel – több súlyos személyi sérülés vagy tömeges könnyű sérülés 4 szint: kiemelkedően nagy kár – közvetlen anyagi kár: 100.000.001 – 1.000.000.000 Ft-ig – közvetett anyagi kár 10-100 emberévvel helyre állítható – társadalmi-politikai hatás: súlyos bizalomvesztés a MÁV Zrt. felső vezetésén belül személyi konzekvenciával – „Bizalmas!” vagy annál alacsonyabb minősítési szintű adat sérül – különleges személyes adatok súlyosan sérülnek – egy-két személy halála vagy tömeges sérülések 5 szint : katasztrofális kár – közvetlen anyagi kár: 1.000.000.001 Ft felett – közvetett anyagi kár több mint 100 emberévvel helyre állítható – társadalmi-politikai hatás: súlyos bizalomvesztés a MÁV Zrt. felső vezetésén belül több személyre kiterjedő személyi konzekvenciákkal – nagy jelentőségű, „Titkos” vagy annál magasabb minősítési szintű adat sérül A kárgyakoriságot a következők szerint kell osztályozni: – 0- : esetleges: 100 évente legfeljebb egy. – 0 : nagyon ritka: 50 évente egy, – 1 : ritka: 10 évente egy, – 2 : közepes: évi egy, – 3 : gyakori: havi egy, – 4 : nagyon gyakori: heti egy;

1044


19. szám

8. sz. melléklet Védelmi profilok azonosítási rendszere

rendelkezésre állás szempontjából

információvédelem szempontjából alap fokozott kiemelt alap

A/1

A/2

A/3

fokozott

F/1

F/2

F/3

kiemelt

K/1

K/2

K/3

9. sz. melléklet Fizikai biztonsági védősávok védősáv típusa Minimális fizikai-mechanikai védelem * Részleges fizikai-mechanikai védelem * Teljeskörű fizikai-mechanikai védelem * Minimális elektronikai jelzőrendszer * Részleges elektronikai jelzőrendszer * Elektronikus beléptetőrendszer Videokamerás megfigyelőrendszer Folyamatos portaszolgálat Fegyveres biztonsági őrség Túlfeszültség, villámcsapás eredetű károk elleni védelem Vezetett elektromágneses zavarok szűrése Elektromágneses sugárzás elleni árnyékolás Tűzgátló falak, nyílászárók * konkrét tartalom a MABISZ ajánlások szerint A: ajánlott K: kötelező

alap K A -

fokozott K K K A A K K A A

kiemelt K K K K K A K K K K

Minimális követelmények

jellemzĘk

10. sz. melléklet

fokozott

Mint az alap biztonsági osztály kiegészítve az x egyedi azonosító, jelszó alábbiakkal: x az azonosító és jelszó nem juthat illetéktelen x interaktív kommunikáció esetén, egyedi szinten tudomására, ne legyen könnyen megfejthetĘ, nem kell azonosítani és hitelesíteni a személyeket kerülhet postai küldeménybe, vagy elektronikus levélbe, nem lehet olvasható felhasználói felületen x gondoskodni kell az azonosítási eszközök jogosulatlan továbbadásának, használatának x biztosítani kell a felhasználói azonosítók megelĘzésérĘl idĘszakos, vagy végleges tiltását, ami egyben hozzáférési jogosultság meghatározására is szolgál x olvasási jogosultság esetében a személy azonosítója a meghatározó az erĘforráshoz képest x ki kell dolgozni az ellenĘrzött jogosultság kezelés rendszerét olvasási, írási (létrehozás, módosítás), x írási jogosultság esetében az erĘforrás azonosítója törlési jogokra, egyedileg és csoportos a meghatározó a személyhez képest megkülönböztetésre x új objektum felvételekor a biztonsági címke x a rendszer objektumaihoz egyedi, ill. csoportautomatikusan rendelĘdik az objektumhoz tulajdonosokat kell rendelni x hozzáférési jogok a következĘk: olvasási jog x biztosítani kell a jogosultságok módosíthatóságát, (betekintés), létrehozási jog, módosítási jog, törlését, felfüggesztését, új felvételét, amit a törlési selejtezési jog, másolási jog rendszergazda megfelelĘ szigorú szabályozással x az adatokat – a nyílt adatok kivételével – a végez védelmi szintre utaló jelzĘkkel kell ellátni, x minden jogosulatlan hozzáférést naplózni kell, úgymint belsĘ használatú dokumentum vagy üzleti melyet rendszeresen értékelni kell titok x on-line adatmozgás esetében a jogosultságot x Az üzleti titok feltüntetésére feljogosított vezetĘk minden esetben ellenĘrizni kell a Társaság üzleti titok és belsĘ használatra készült dokumentumainak védelmi szabályzatának 4.4.1 x az egyes adattípusokat olyan mértékben kell pontjában kijelölt vezetĘk elkülönítetten kezelni, hogy megállapítható legyen a hozzáférés jogosultsága x egy rendszeren belül a különbözĘ védelmet igénylĘ adatokat csak akkor lehet együtt kezelni, x biztonsági naplózást kell végezni a regisztrálás, ha megakadályozhatók az engedéllyel nem elszámolás és auditálhatóság érdekében, ami rendelkezĘ hozzáférések. Ez osztott rendszerekre tartalmazza a szelektív felhasználói mĦveleteket, különösen érvényes. EgyértelmĦen rendszerindításokat, leállásokat, leállításokat,

alap

A biztonsági osztályok követelményei

A biztonsági osztályok követelményei

Mint a fokozott biztonsági osztály kiegészítve az alábbiakkal: xazonosítás és hitelesítést a felhasználó és rendszer között egy a felhasználó által kezelt védett csatornán kell biztosítani xaz informatikai rendszer minden elemére és résztvevĘjére a szervezet informatikai biztonsági politikájának megfelelĘen ki kell terjeszteni a hozzáférési jogosultságvezérlést. Hozzáférések lehetnek olvasás, létrehozás, módosítás, selejtezés, törlés, másolás. Személyekhez rendelt jogok a következĘk: engedélyezés, visszavonás, olvasás, létrehozás, módosítás, selejtezés, törlés, másolás. xA hozzáférés védelmet mezĘszinten kell megvalósítani xA hozzáférést szigorúan a jogosultságkezelésben szabályozottak szerint kell ellenĘrizni. Meg kell különböztetni csoportos és egyedi hozzáférést, amit el kell határolni a rendszergazdai, biztonsági felügyelĘi jogosultságoktól x Az adatok minĘsítését és a feljogosítás mĦveletét a hatályos szabályok szerint kell végezni x Biztosítani kell a monitoring rendszerben bekövetkezett informatikai biztonságot érintĘ kritikus események állandó figyelését, és egy

kiemelt

19. szám A MÁV Zrt. Értesítője 1045

x

x

x

x

x

x

x

x

x

x

rendszeróra állításokat, be/kijelentkezéseket, ellenĘrizhetĘnek kell lennie a hozzáférési esemény bekövetkezése esetén az értesítési programleállásokat jogosultságoknak, és ha ez nem biztosítható a rendben szabályozott módon kell eljárni különféle védelmet igénylĘ adatokat külön a biztonsági naplónak a felhasználó azonosítása és x A biztonsági naplót hetente kétszer kell rendszerbe kell tenni hitelesítése érdekében az alábbi adatokat kell ellenĘrizni és menteni. Biztonsági napló megvalósítása és paraméterei tartalmaznia: dátum, idĘpont, kezdeményezĘ x Rendelkezésre állás szempontjából meleg azonosak az alap biztonsági osztállyal, kiegészítve az azonosítója, eszköz azonosítója, mĦvelet tartalékot, illetve a redundáns ҏalrendszert alábbi tartalmakkal: eredményessége vagy eredménytelensége földrajzilag elkülönítetten kell kiépíteni. Az x a felhasználói azonosító paramétereit a biztonsági naplónak az erĘforráson üzemképességet folyamatosan figyelemmel kezdeményezett hozzáférési mĦvelet esetén x erĘforrás létrehozása, törlése esetén a biztonsági kell kísérni, a szükséges beavatkozásokat azonosítása és hitelesítése érdekében az alábbi címke felírása azonnal el kell végezni. adatokat kell tartalmaznia: dátum, idĘpont, x felhatalmazott felhasználó (rendszergazda) x Kiemelt biztonsági osztályba tartozó erĘforrás azonosító, mĦvelet eredményessége mĦveletei esetén az erĘforrás azonosítóját, rendszerek üzemeltetése csak különleges vagy eredménytelensége biztonsági címkéjét, amelyre a mĦvelet körültekintéssel meghatározott garanciális a biztonsági naplónak az erĘforrás létrehozása vonatkozik, vagy a biztonsági címke változásait az elemek biztosítása esetén, az üzleti vagy törlése esetén azonosítása és hitelesítése átviteli csatorna biztonsági jelölésével, vagy tulajdonos, az IVO és az IKI együttes érdekében az alábbi adatokat kell tartalmaznia: osztályba sorolásával elĘterjesztése alapján, a Társaság elnökdátum, idĘpont, a kezdeményezĘ azonosítója, vezérigazgatója erre vonatkozó eseti döntése x a naplót az üzemeltetĘ szervezettĘl (fizikailag, erĘforrás azonosító, kezdeményezés típusa esetén adható vállalkozásba. logikailag) független helyen kell tárolni a biztonsági naplónak felhatalmazott felhasználó x log elemzĘ szoftvert kell alkalmazni (rendszergazda) esetében azonosítás és hitelesítés x Rendelkezésre állás szempontjából földrajzilag érdekében az alábbi adatokat kell tartalmaznia: elkülönítetten hideg tartalékot kell kiépíteni vagy dátum, idĘpont, a mĦveletet végzĘ azonosítója, biztosítani. A tartalék létesítményeket és a erĘforrás azonosító, amin a mĦveletet végezték használatba vétel követelményeit az üzemeltetĘ a biztonsági napló adatait havonta egyszer személyzetnek ismernie kell. A tartalék ellenĘrizni és archiválni kell meghatározott ideig létesítmények üzemkészségét rendszeresen intézkedési terv keretében meg kell határozni, ellenĘrizni kell. hogy illetéktelen hozzáférés esetén milyen x A mentések állapotát visszatöltéssel kell szankciók következzenek, ill. azokat hogyan lehet ellenĘrizni megelĘzni a biztonsági napló adatait illetéktelenektĘl meg kell védeni a biztonsági napló vizsgálatához, karbantartásához, megfelelĘ szintĦ dokumentációra van szükség lehetĘvé kell tenni szelektív vizsgálatot a magasabb szintĦ auditálhatóság érdekében üzemeltetési naplót kell vezetni, melyet az üzleti tulajdonosnak, az informatikai biztonságért felelĘs

1046 A MÁV Zrt. Értesítője 19. szám

Infrastruktúra (fizikai védelem)

szervezetnek rendszeresen ellenĘrizni kell x az informatikai biztonságot ellenĘrzĘ szervezetnek ki kell alakítani a rendszerrel kapcsolatban egy ellenĘrzési tervet, megelĘzési eljárási rendet. x Rendelkezésre állás szempontjából tervet kell készíteni a rendszer tartós kiesésének esetére. Ennek intézkedési terve legyen arányban a kiesett rendszernek a Társaság üzletmenetére gyakorolt negatív hatásával. Mint a fokozott biztonsági osztály kiegészítve, az x a védendĘ helyiség falai legalább 6 cm vastag Mint az alap biztonsági osztály kiegészítve, az alábbiakkal alábbiakkal: tégla, vagy azzal egyenértékĦ szerkezet x az épületszerkezeteknek ki kell elégítenie a x ajtószerkezetek reteszhúzás ellen védettek x a védendĘ helyiség falai legalább 15 cm vastag tégla, vagy azzal egyenértékĦ szerkezet MABISZ elĘírásait. Minden helyiséget legyenek, az ajtók, ill. ablakok összességében 6 elektronikus jelzĘrendszerrel kell ellátni, ami mm üvegezésĦek legyenek x a nyílászárokra az alábbi szabványok vonatkoznak a behatolás és tĦzvédelmet ellátja MSZ 9387, 9397, 9386, MSZ EN 85, 162, 107, x Az olyan hivatali helyiségeket, ahol informatikai DIN18103, 52290 x a nyílászárokra az alábbi szabványok eszközökkel történik a munkavégzés, biztonsági vonatkoznak MSZ 9387, 9397, 9386, MSZ zárral kell ellátni, és a helyiséget távollét esetén x elektronikai jelzĘrendszert minden megközelítési EN 85, 162, 107, DIN18103, 52290 és az zárva kell tartani. útvonalra ki kell építeni, és a biztonsági MSZ EN 10 szolgálatnál a riasztó jeleknek meg kell jelenniük. x személyi felügyeletet csak munkaidĘben kell Opcióként visszamenĘlegesen 72 órás felülírás x A mechanikai védelem védjen a közforgalmú alkalmazni, ennek hiányában, ill. munkaidĘn kívül mentes videofelvétel is lehetséges. A területrĘl történĘ betekintés ellen is. a helyiségek ablakait, ajtóit zárni kell rendelkezésre állásnak jobbnak kell lennie, mint x Az elektronikai védelem terjedjen ki a x az informatikai eszközök nem kerülhetnek 95%/hó ill. 97,5%/év informatikai eszközökre, valamint a közvetlenül földre, falban, vagy falon futó felügyelet nélküli helyiségekre is. vízvezeték közelébe, közvetlenül hĘforrás x kisugárzás elleni védelmet a kockázat arányosságával kell megvalósítani közelébe x A személyzet és a külsĘ személyek belépési és azonosítási rendjét szabályozott formában, x Biztosítani kell az adathordozók és x A területen 12 órás áthidalást biztosító szünetmentességgel ellátott olyan elektronikai intelligens beléptetĘ-rendszerrel kell dokumentációk tĦz- és vagyonvédett tárolását. jelzĘrendszert kell kiépíteni, amellyel biztosítható megvalósítani, amely a mindkét irányú x A tĦz elleni védelmet elsĘdlegesen a személyi a teljes felület- és a részleges térvédelem. áthaladásokat naplózza és biztosítja az felügyelet, valamint a jelenlévĘ személyzet azonosító eszköz azonos irányban történĘ biztosítja a helyiségen belül készenlétben tartott – x A személyzet és a külsĘ személyek belépési és többszöri felhasználásának tilalmát. azonosítási rendjét szabályozott formában kell a tĦzvédelmi elĘírásoknak megfelelĘ – kézi megvalósítani. x A helyiségbe (épületbe) belépni tĦzoltó-készülékekkel. A készenléti helyeken szándékozókat azonosítani kell, és a elsĘdlegesen gáz halmazállapotú oltóanyaggal x Az Ęr- és a biztonsági személyzet létszámát úgy belépĘkrĘl nyilvántartást kell vezetni. feltöltött tĦzoltó-készülékek legyenek. A kell megállapítani, és olyan eszközökkel kell készülékek típusát és darabszámát, illetve ellátni, hogy esemény esetén az érintett személy x A területre történĘ belépést azonosításra és elhelyezését a tĦzvédelmi utasításnak kell jelezni tudjon. hitelesítésre alkalmas rendszerrel kell tartalmaznia. A készülékeket a helyiségeken belül x A helyiséget úgy kell elhelyezni, hogy felette és a ellenĘrizni. a bejárat mellett, valamint a helyiség erre határoló falfelületeken vizes blokkot tartalmazó x A fĦtést a klímarendszeren keresztül meleg


x

x

x

x

x

alkalmas, jól megközelíthetĘ pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok elĘírásainak megfelelĘ tĦzjelzĘ rendszert kell kiépíteni és üzemeltetni. Az elektromos hálózat elégítse ki az MSZ 2364 és MSZ 1600 sorozatú szabványok elĘírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok elĘírásainak. elektronikai jelzĘrendszer esetében a rendelkezésre állás 90%/hó, ill. 97,5%/év-nek kell lennie Az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési idĘre vonatkozó követelményeknek megfelelĘen kell kialakítani és külön leágazás megépítésével kell a betáplálásról gondoskodni. A villámvédelem feleljen meg a kommunális és lakóépületekre vonatkozó elĘírásoknak. Az átlagostól eltérĘ klimatikus viszonyú (például a hĘmérséklet, illetve a páratartalom értéke túllépi a informatikai eszközökre vonatkozó megengedett tartományt) helyiségekben lokális klimatizálásról kell gondoskodni. helyiségrész ne legyen, nyomó- és ejtĘcsövek (víz, gáz, csatorna és egyéb közmĦvezeték) ne haladjanak át. A helyiségbe csak annak üzemeltetéséhez elengedhetetlenül szükséges közmĦhálózat csatlakozhat. x A technikai védelmi rendszert a helyiségben ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál meg kell jelenniük. A védelem szabotázsvédett legyen és a következĘ követelményeket elégítse ki: - a nyílászárók nyitás- és zártság ellenĘrzĘ eszközzel legyenek ellátva, a belsĘ terek védelme mozgásérzékelĘvel biztosított legyen, a védelem ki- és bekapcsolása a bejáraton kívül elhelyezett (minimum 6-8 számjegyes) kóddal mĦködtetett tasztatúráról történjék, - a személyzet a helyiségbe belépni szándékozókat belépés elĘtt a biztonság veszélyeztetése nélkül azonosítsa, - a jelzĘközpont és az általa mĦködtetett eszközök 12 órás áthidalást biztosító szünetmentes tápegységgel rendelkezzenek oly módon, hogy a 12. óra letelte után még rendelkezzenek egy riasztási esemény jelzésére és a hozzá kapcsolódó vezérlés végrehajtására elegendĘ energiával (például hang- vagy fényjelzĘ eszköz 3 perces idĘtartamban való mĦködtetése). x A helyiség ajtaja rendelkezzen legalább 30 perces (mĦbizonylatolt) tĦzgátlással, továbbá a helyiségen belül automatikus és kézi jelzésadók kerüljenek telepítésre. A jelzésadók jelzéseit mind a helyiségen belül, mind az épület biztonsági szolgálatánál meg kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok elĘírásainak, rendelkezzenek a hazai minĘsítĘ intézetek forgalomba hozatali engedélyével. Az automatikus tĦzoltó rendszerek tervezése és szabályozása a Biztonsági Igazgató x

x

x

x

levegĘ befúvással kell megoldani, a helyiségben vizes fĦtés nem létesíthetĘ. A klímarendszer kültéri és beltéri egységbĘl épüljön fel, vízhĦtéses klíma nem telepíthetĘ. Központi klímagép telepítése esetén a befúvó és az elszívó légcsatornába légmentesen záró, tĦzgátló tĦzcsappantyúkat kell telepíteni. A szerverszobába csak az annak üzemeltetéséhez elengedhetetlenül szükséges közmĦhálózat csatlakozhat. A technikai védelembe legyenek bekötve a hardver-védelemmel ellátott gépek burkolatai az illetéktelen kinyitás jelzésére, a hardvervédelem eltávolításának megakadályozására. A számítóközpontok, a szerverszobák, és az egyéb „központi” jellegĦ informatikai helyiségek védelmét intelligens beléptetĘrendszerrel kell kiegészíteni, amely a mozgásokat mindkét irányban regisztrálja, legalább az utolsó 4.000 eseményt naplózza és az utolsó személy távozásakor a védelmi rendszert automatikusan élesítse. A hardvervédelemmel ellátott munkaállomások elhelyezésére szolgáló helyiségeket munkaidĘn kívül elektronikus védelemmel kell ellátni. A helyiség automatikus mĦködtetésĦ oltórendszerrel egészítendĘ ki, az oltórendszer mĦködését tekintve helyi vagy teljes elárasztásos legyen, mĦködése elĘtt biztosítson elegendĘ idĘt a személyzet evakuálására, vezérlĘ kimeneteinek egyikén adjon jelzést a szervernek az automatikus mentésre, majd azt követĘen a lekapcsolásra. Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett olyan szükség-áramellátó diesel-elektromos gépcsoportot is kell telepíteni, amely automatikus indítású és szabályozású, akkora


Hardver – szoftver

x a vagyonvédelem vonatkozásában a MABISZ ajánlásit kell figyelembe venni x a munkaállomásokat úgy kell konfigurálni, hogy a felhasználóhoz kötött jelszóhasználat biztosított legyen x munkaállomási rendszert hordozható adattárolóról (floppy, CD/DVD, pendrive stb.) nem lehet indítani x gondoskodni kell a hordozható adathordozók csatlakoztatásának szabályozásáról és ennek ellenĘrizhetĘségérĘl x minden biztonsági beállítást az operációs rendszerben kell elvégezni. Más megoldást csak akkor lehet alkalmazni, ha azt az operációs rendszer nem tartalmazza

által meghatározottak szerint történik. teljesítményĦ, hogy képes legyen kiszolgálni a informatikai eszközökön túl az azok x Az elektromos hálózat legalább a szerver és a mĦködéséhez szükséges segédüzemi (például szükségvilágítás vonatkozásában 30 perces klíma) berendezéseket is. áthidalási idejĦ megszakításmentes átkapcsolással rendelkezĘ szünetmentes tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt követĘ töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza. x A padlóburkolatok, berendezési tárgyak antisztatikus kivitelĦek legyenek. x A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó elĘírásokat és az MSZ EN 62305:2006 szabvány szerint az LPZ 0B LPZ 1 zónahatáron túlfeszültség elleni védelembe kell bevonni az árnyékolást megtestesítĘ, az épületbe belépĘ minden fémszerkezetet (az elektromos hálózatot, víz, gáz, távfĦtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélĘ hálózatokat stb.). x A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellátás legfeljebb a klimatizáló berendezések által átlagos szinten biztosított porkoncentrációt érheti el. Mint alap biztonsági osztály esetében, kiegészítve az Mint a fokozott biztonsági osztály kiegészítve az alábbiakkal: alábbiakkal: xa beépített adathordozókon található adatokat azonos x minden eszközt azonos szinten kell védeni szinten kell védeni x az informatikai biztonságot külön moduláris xa védelmet igénylĘ adatokat elĘállító, feldolgozó, felépítésĦ felügyeleti rendszer biztosítja, ami tároló, lekérdezĘ programok valamint ezek önmagát is védi az esetleges támadások ellen. dokumentációi védelmi besorolásáról a A rendszernek sérthetetlennek kell lennie, jogosultnak kell gondoskodnia méretét tekintve célszerĦ kis méret meghatározása, hogy az ellenĘrzés, elemzés egyszerĦ legyen, valamint biztosítsa teljességet, és sérthetetlenséget x a rendszer eleminek szegmentálhatónak, és biztonsági mĦveleteket támogató dialógusokat tartalmazónak kell lennie. Ezeket a funkciókat az X-Open biztonsági


Adathordozók

x a felhasználó csak azokhoz az erĘforrásokhoz férhet hozzá, amihez jogosultsága van x gondoskodni kell megfelelĘ szintĦ és gyakoriságú vírusvédelemrĘl x amennyiben bármely okból hordozható adattároló használata indokolt mind az eszköz behelyezése után, mind a kivétele elĘtt vírusvédelmi eljárás alá kell vonni x az operációs rendszerben megvalósított védelmet és a felhasználói szoftverben megvalósított védelmet egymás gyengítése nélkül kell alkalmazni. Követelmény, hogy az alkalmazások az operációs rendszer védelmi eszközeire épüljenek x dokumentálni kell az informatikai eszközöket használók névsorát és feladatait x mind a felhasználói mind az operációs rendszerekre vonatkozó licencek nyilvántartását meg kell oldani. Operációs rendszer beszerezése esetén szigorúan figyelembe kell venni a társaságnak a forgalmazóval kötött un. ’open licence’ szerzĘdést x bármilyen illegális szoftver telepítése az informatikai eszközre szigorúan tilos. Az elkövetĘk ellen megfelelĘ szankciókat kell alkalmazni x az alkalmazások és eszközök fejlesztése, tesztelése üzemeltetése során a biztonsági funkciókat kiemelten kell kezelni x adathordozónak értelmezzük a szoftver, adat vagy Mint alap biztonsági osztály esetében kiegészítve a dokumentáció és azok biztonsági másolatainak következĘkkel: bármilyen formáját x adathordozók tárolása csak legalább 30 perces tĦzállóágú tároló szekrényben vagy ezzel x az adathordozók tárolására szolgáló helyiségeket, egyenértékĦ védelmi szintet biztosító tároló úgy kell kialakítani, hogy megfelelĘ biztonságot helyen lehet adjanak behatolás, tĦz, víz vagy természeti csapás ellen x az adathordozók kezelését az 2009. évi CLV. törvény szabályozza x adatátvitelre valamint adatmentésre, archiválásra használt adatokat csak megbízhatóan zártható x az adattípus jól felismerhetĘ jelét az adattároló és Mint a fokozott biztonsági osztályban.

osztályai közül a privilegizált jogokat biztosító (X-PRIV) követelményeinek megfelelĘen kell kialakítani. x A monitorrendszerben a biztonságot érintĘ bármilyen esemény bekövetkezése esetén a rendszergazdát azonnal értesíteni kell, aki az értesítési rendben szabályozottak szerint további értesítéseket ellát.


Adatok

Dokumentumok

x

x

x

x

x

x

x

x

x

helyen lehet tárolni. Ezen adatkört kettĘ megjelenítĘ eszközön biztosítani kell példányban kell elĘállítani, a példányokat külön x folyamatosan fenn kell tartani az adatok sértetlen helyen kell tárolni és hiteles állapotát az adathordozók beszerzését, felhasználását, hozzáférését, selejtezését rendszeren ellenĘrizni és dokumentálni kell. külsĘ fél felé történĘ adatszolgáltatás/adatfogadás esetén az adathordozók kezelése csak dokumentált formában történhet. Küldés és fogadás esetében mindig vírusvédelmet kell alkalmazni egy adathordozót újraalkalmazás esetén megfelelĘ eljárással törölni kell. ha olyan adatállományt kívánunk véglegesen törölni, ami üzleti titoknak minĘsülĘ adatot tartalmaz akkor az adathordozót vissza nem állítható módon kell felülírni. KülsĘ adathordozó esetében az adathordozót meg kell semmisíteni belsĘ adathordozó végleges meghibásodása esetén az eszközt a környezetébĘl el kell távolítani, és meg kell küldeni az illetékes informatikai biztonsági szervezetnek a nyomtatott anyagok kezelését az iratkezelési Mint alap biztonsági osztály esetében, kiegészítve az Mint fokozott biztonsági osztály esetében, alábbiakkal: kiegészítve az alábbiakkal: utasításnak megfelelĘen kell elvégezni x a referencia hitelesítési mechanizmus módját minden dokumentum aktuális állapotát minden x gondoskodni kell a változáskezelés folyamatában az informatikai biztonságot érintĘ változások dokumentálni kell. Ebben szerepelnie kell az érintettnek haladéktalanul meg kell küldeni naplózásáról informatikai biztonsági rendszer és az minden dokumentumot az adott biztonsági informatikai rendszer közötti kapcsolatok x a feldolgozásra kerülĘ adatok valamint a hozzájuk osztálynak megfelelĘen kell kezelni leírását, a referencia rendszer tulajdonságait, kapcsolódó jogosultságok folyamatos és azt, hogy a lehetséges támadások ellen jól nyilvántartását szabályozni és elkülönített módon véd-e. kell kezelni x teljes körĦ tesztelési dokumentációval kell rendelkezni x teljes körĦ, szigorúan összefüggĘ, informatikai eszközön kezelt változásmenedzselést kell megvalósítani Mint a fokozott biztonsági osztályban. az információs rendszer hozzáférési adatait, Mint alap biztonsági osztályban, kiegészítve az jogosultságokat, biztonsági paramétereket alábbiakkal: rejtjelezve kell tárolni x minĘsített és nem minĘsített adatok párhuzamos


Kommunikáció, infokommunikációs hálózatok

feldolgozása csak az 2009. évi CLV. törvény x a rendszer biztonságát érintĘ adatok (jelszavak, elĘírásainak figyelembe vételével végezhetĘ jogosultságok, biztonsági naplók) védelmérĘl a hozzáférési jogosultság kiosztásánál kell gondoskodni x külsĘ fél nem férhet hozzá a rendszerben tárolt adatokhoz x adatbevitel során a helyességet az alkalmazás követelményinek megfelelĘen ellenĘrizni kell x programfejlesztés vagy próba céljára adatok felhasználását – különösen, ha azt külsĘ fél végzi, és annak eredményeit megismerheti – el kell kerülni. Ha ez nem biztosítható más módszert kell alkalmazni a bizalmasság megĘrzésére x az adatállományokat az adattípust jelölĘ biztonsági címkével kell ellátni Mint alap biztonsági osztályban, kiegészítve az x az elektronikus úton továbbított üzeneteknél az alábbiakkal: iratkezelési szabályzatnak megfelelĘen kell eljárni. x a kisugárzás és zavarás elhárítására az EN 55022 és EN 55024 szabvány elĘírásai a mérvadók x az alanyokra a kommunikáció megkezdése elĘtt hitelesítési eljárást kell kezdeményezni x minden csatorna egy, vagy többszintĦ biztonsági azonosítóval rendelkezzen. EgyszintĦ csatorna x az adott hálózati alrendszer hitelesítési esetében csak egy címke létezik, és csak olyan mechanizmusa nem érinthet más alrendszert adatállomány forgalmazható, hogy annak x azonosítani kell más hálózatból jövĘ adatok biztonsági azonosítója megfeleljen a csatorna feladóját. Ha ez nem lehetséges, az adatokat azonosítójának. TöbbszintĦ csatorna esetében egy elkülönítetten kell tárolni protokoll kezeli a csatorna és adatok közötti x az erĘforrások használatát szabályozni kell megfeleltetést, hogy a fogadó fél helyreállíthassa, x a rendszerelemeket rendszeresen ellenĘrizni kel, valamint párosíthassa a fogadott adatokat, azok annak érdekében, hogy a hálózatban a forgalom azonosítóival monitorozása és rögzítésre alkalmas erĘforrást x a védelem szempontjából fontos azonosítókat, illetéktelenül ne használják csak az arra feljogosítottak változtathatják meg x az alhálózatban definiált azonosító joga x a hozzáférés kezelés vezérlését az egész delegálható másik alhálózatba, és ez alapján kell rendszerre ki kell terjeszteni érvényesíteni az eredeti azonosítóhoz rendelt x központi hozzáférés kezelés esetén az egyes jogokat alanyok informatikai biztonsági paramétereit x a szabad belátás szerint kialakított hozzáférésbiztonságos úton kell az osztott rendszer vezérlést ki kell terjeszteni a teljes elosztott feldolgozó egységeihez eljuttatni. rendszerre x a forgalmazásban érintett valamennyi eszközre ki x központi hozzáférés menedzsment esetén az

Mint fokozott biztonsági osztályban, kiegészítve az alábbiakkal: x többszintĦ csatorna esetén a védendĘ adatok csak rejtjelezve továbbíthatók x nem alkalmazható olyan tároló jellegĦ csatorna, ami hozzáférési jogok ellenĘrzése nélkül üzemel x a bizalmasság megĘrzése érdekében szelektív útvezérlést kell alkalmazni x a kábelezésre az alábbi szabvány érvényes: EIA/TIA-568, kisugárzással kapcsolatosan az EN55022 és 55024 szabványok érvényesek x Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos.


Személyek

x

x

x

x

x

x

x

x

x

x

alanyok biztonságos kezeléséhez elosztott kell terjeszteni a biztonsági szintnek megfelelĘ hozzáférés-vezérlési táblakezelés szükséges, hogy védelmet biztonságosan lehessen az osztott rendszer x meg kell valósítani a végpont-végpont jogosultság elemeihez a hozzáférést biztosítani ellenĘrzését, elszámolhatóságot, auditálhatóságot a biztonságos adatcsere követelményeinek x központi auditálás esetén az auditálási teljesítéséhez biztosítani kell az adatintegritást információkat maradéktalanul továbbítani kell a mind a protokollvezérlĘ, mind a felhasználói többi alhálózatba adatokra x meg kell akadályozni, és folyamatosan ellenĘrizni adatvesztés és sérülés elkerülése céljából kell, hogy a hálózatban ne történjen illegális hibadetektáló és javító eljárásokat kell alkalmazni rácsatlakozás, és lehallgatás osztott rendszerekben a jelszavak jogosultságok csak titkosítva továbbíthatók Mint fokozott biztonsági osztályban, kiegészítve szabályozni kell a belépések rendjét összhangban Mint alap biztonsági osztályban, kiegészítve az alábbiakkal: az alábbiakkal: a jogosultságokkal x a felhasználók tevékenységének funkció szerinti x a rendszergazdáknak egymástól szelektíven kerülni kell magasabb jogosultságú személyeknél szétválasztását biztosítani kell kell kezelni a többszintĦ kiemelt a jogok túlzott összevonását szerepköröket x a minĘsített adatokat kezelĘ feladatait, valamint az minden újfelvételes munkatársnak biztosítani kell üzemeltetési feladatokat felelĘsség szerint x kiemelt mĦveletek a következĘk: felhasználói az informatikai biztonság oktatását, a rendszeres szabályozni kell azonosító kezelés, hozzáférési paraméterek továbbképzést idĘszakra vonatkoztatott átírása, rendszer meghatározott munkakörökben ki kell dolgozni a indítása/leállítása, feldolgozások határait, helyettesítési rendet adatállományok paramétereit módosíthatják, fontosabb alkalmazásokhoz (0-24 órás speciális eszközfájlokat létesíthet és üzemeltetéssel) rendszergazdákat kell kinevezni, szüntethet meg, adatállományok rendszerét és feladataikat pontosan kell definiálni, vonhatja magához, felhasználókat kezelĘ idĘszakonként ellenĘrizni eljárásokat indíthat, joga van adatokat el kell különíteni a fejlesztĘi és az üzemeltetĘi importálni/exportálni környezetet figyelembe véve az adminisztrációs x a rendszergazda kezeli a jogosultságok hozzáférési jogköröket teljeskörĦ kezelését, a hozzájuk tartozó külsĘ partnerek esetében a megfelelĘ erĘforrással együtt. Ezeket nyomtathatja is. szerzĘdésben kell a biztonsági feltételeket x Az informatikai biztonsági szintben beállt deklarálni, szabályozni változásokat azonnal és maradéktalanul közölnie kell a felhasználóval, és valamennyi alacsonyabb szintĦ jellemzĘhöz hozzá kell férjen.


Jelszóhasználat:

Jelszó: - legalább 8 karakter hosszúságú jelszót kell használni - a jelszó – az alábbi 4 csoport közül – legalább három csoport elemeibĘl, minimum egy-egy karaktert tartalmazzon: o kisbetĦ o nagybetĦ o szám és o különleges karakterek - a jelszó ne tartalmazzon ékezetes betĦket - a jelszót legalább 180 naponként meg kell változtatni (tilos beállítani, hogy soha ne járjon le a jelszó) - a rendszer az utoljára használt 3 jelszót megjegyzi, így azokat nem lehet újra használni - a jelszó ismételten legkorábban 5 nap elteltével változtatható meg - 5 sikertelen bejelentkezési kísérlet után a felhasználói fiókot 10 percre zárolja a rendszer Mint alap biztonsági osztályban, kiegészítve az alábbiakkal: - legalább 10 karakter hosszúságú jelszót kell használni - a jelszót legalább 90 naponként meg kell változtatni - 4 sikertelen bejelentkezési kísérlet után a felhasználói fiókot 30 percre zárolja a rendszer

Mint fokozott biztonsági osztályban, kiegészítve az alábbiakkal: - legalább 12 karakter hosszúságú jelszót kell használni - a jelszót legalább 45 naponként meg kell változtatni - 3 sikertelen bejelentkezési kísérlet után a rendszer zárolja a felhasználói fiókot, amit csak a rendszergazda tud feloldani - A felhasználói fiókok feloldásáról hetente jelentést kell küldeni az üzleti tulajdonos részére.


19. szám


11. sz. melléklet Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról

Alulírott …………………………………………………………………………….. mint a(z) ………………………………………………………………...………………………………… rendszer (alkalmazás) üzleti tulajdonosa / projektvezetĘje kijelentem, hogy az elkészült kockázatelemzés alapján megismertem a rendszert fenyegetĘ tényezĘket és a nem elviselhetĘ fenyegetettségek kiküszöbölése érdekében hozott intézkedéseket. Az intézkedések következtében a maradó kockázat okozta fenyegetettségek az elfogadható szinten belül maradnak. Ezek alapján a rendszert a következĘ biztonsági osztályokba sorolom: Informatikai biztonsági szempontból:

…………………………………

Rendelkezésre állás szempontjából:

…………………………………

A rendszert a MÁV Zrt. Informatikai Biztonsági Szabályzatában foglalt – a fenti besorolásra vonatkozó – követelmények szerint kell kialakítani.

……………………………., 201….…………………………

……………………………….. üzleti tulajdonos / projektvezetĘ

A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).

1055

1056


Rendszer-szintű Informatikai Biztonsági Szabályzat (RIBSZ) vázlata 1. A RIBSZ 1.1. RIBSZ áttekintés 1.1.1. Célja 1.1.2. Szükségessége (alapja a Működési Folytonossági Tervnek) 1.2. A RIBSZ hatálya 1.2.1. Alanyi hatálya 1.2.2. Tárgyi hatálya 1.3. A RIBSZ és más szabályzatok kapcsolata 1.3.1. MÁV Zrt. Szabályzatok 1.3.2. Az üzemeltetést végző szervezet szabályzatai 1.4. Kiadás dátuma, érvényessége 1.5. Felülvizsgálat (a következő felülvizsgálatára vonatkozó előírások) 2. Fogalomtár (csak az IBSZ fogalmain kívüli meghatározások) 3. Rendszerkörnyezet. Feladat-, felelősség- és hatáskörök 3.1. Szervezeti szintű feladat-, felelősség- és hatáskörök 3.1.1. MÁV Zrt. Infokommunikációs Igazgatóság (IKI) 3.1.2. MÁV Zrt. Információvédelmi Osztály (IVO) 3.1.3. Üzemeltető szervezet 3.1.4. Informatikai szolgáltatók (fejlesztő, üzemeltető, karbantartó stb. szervezetek) 3.2. Szerepkör szintű feladat-, felelősség- és hatáskörök (beosztás megnevezése, feladatai, jogköre) 3.2.1. Üzleti tulajdonos 3.2.2. Vezetők munkakörei 3.2.3. Kiemelt felhasználók (pl. üzemeltető, biztonsági operátor) 3.2.4. Felhasználók 3.2.5. Üzemeltető szervezet vezetői, munkatársai (pl. HelpDesk) 4. Informatikai biztonsággal szemben támasztott követelmények 4.1. A rendszert fenyegető tényezők bemutatása A kockázatelemzés által feltárt, az üzleti tulajdonos számára nem elviselhető kockázatot rejtő fenyegetettségi tényezők kerülnek felsorolásra a bizalmasság, sértetlenség és a rendelkezésre állás szerint csoportosítva.

19. szám

4.2. Adatok besorolása (adatkörök felsorolása) 4.2.1. Bizalmasság (bemutatása input / output elemenként és származtatott adatokra: személyes-, közérdekű-, belső használatú- és üzleti titok vonatkozásban) 4.2.2. Sértetlenség (bemutatása input / output elemenként) 4.2.3. Rendelkezésre állás (idő és térbeliség bemutatása) 4.3. Értékelés, biztonsági osztály meghatározása (kockázatelemzés összefoglaló értékelése, és az ebből meghatározott biztonsági osztály rögzítése) 5. Informatikai biztonsági rendszer kialakítása (minden eleme a 4.3 pontban leírtaktól függ) 5.1. Adminisztratív védelem 5.1.1. Szabályzatok, dokumentumok kidolgozása és nyilvántartása 5.1.2. Azonosítások, hitelesítési mechanizmusok (jelszó politika) 5.1.3. Naplózás (annak tartalma, hozzáférése, elemzése, védelme és mentése stb.). 5.1.4. A felhasználókra vonatkozó szabályok (később átemelhető a Felhasználói Kézikönyvbe) 5.2. Fizikai védelem 5.2.1. Helyiségek védelme (belépési rendszer, nedvesség (víz), klimatizálás, villám, elektronikai zavarvédelem, tűz, fizikai védelem stb.) 5.2.1.1. Belépés a központ erőforrásainak helyet adó épületbe 5.2.1.2. Belépés a számítóközpontba 5.2.2. Hardver nyilvántartás és védelem, megelőző karbantartások rendje (szerverek, aktív-passzív eszközök, perifériák, munkaállomások, hálózat stb.) 5.2.3. Szoftver nyilvántartás és védelem (tárolás, jogtisztaság igazolása dokumentumokkal stb.) 5.2.4. Adathordozók (mentések, CD/DVD, Pendrive, külső HDD stb.) kezelésének szabályai az üzemeltetőnél és a felhasználói munkahelyeken (tárolás, hozzáférés, másolatok, szállítás stb.) 5.2.5. Dokumentumok kezelésének szabályai az üzemeltetőnél és a felhasználói munkahelyeken (input/output dokumentumok, biztonsági naplók kezelése, hozzáférés, megismerhetőség stb.) 5.2.6. Mobil informatikai eszközök fizikai védelme 5.3. Logikai védelem 5.3.1. Azonosítás, jogosultságkezelés, (operációs rendszer, alkalmazás, hálózati stb. szinten) 5.3.2. Operációs rendszer, alkalmazás, adatbázis sajátosságai, védelmi funkciói 5.3.3. Kapcsolat más informatikai rendszerekkel (kapcsolat módja, védelmi intézkedések, adatcsere [interface felület] szabályozása stb.)

19. szám


5.3.4. Biztonsági mentések, archiválások kezelése (helye, nyilvántartása, mentési módszer, ütemezés, tárolás, visszaállítás-ellenőrzés, hozzáférés, megsemmisítés stb.) 5.3.5. Bejelentkezés külső hálózatról, távfelügyelet (VPN, FTP, OWA, VNC stb.) 5.3.6. Mobil informatikai eszközök logikai védelme 5.3.7. Hálózat logikai védelme (elérhetőség, tűzfal, proxy, WLAN, VLAN beállítások stb.) 5.3.8. Kártékony kódok (vírus, kémprogram stb.) és behatolás elleni védelem 5.3.9. Beállítások felülvizsgálata, ellenőrzése, tesztelése, frissítése. Karbantartás, tervezett leállások. 5.4. Személyi feltételek 5.4.1. Felhasználói szerepkör (felelősségi kör) megadása, változása (kiválasztás, regisztrálás, azonosítók- jelszavak kiadása, visszavonása, áthelyezés Társaságon belül, kilépés stb.) 5.4.2. Oktatások (a rendszer átadásakor és később), biztonsági tudat fenntartása (a használat során) 5.4.3. Biztonsági ellenőrzések, szankciók 5.5. Vagyonvédelem (a fizikai vedelem kiterjesztése, élőerős védelem stb.) 6. Biztonsági tesztelések értékelése, áttekintése (rendszertervhez igazodva) 6.1. Ki, mikor, mit, milyen feltételekkel tesztel 6.2. Sikeresség feltételei 6.3. Rendszer megfelelőségi feltételei 6.4. Biztonsági dokumentumok megfelelősége

1057

7. Változáskezelés megoldása 7.1. Változtatási igények kezelése, nyilvántartása 7.2. Új elemek kidolgozása 7.3. Új elemek rendszerbe illesztése 7.4. Változások átvezetése, dokumentálása 8. Működés-folytonosság tervezésének vázlata (lásd: MÁV Zrt. IBSZ 14. sz. melléklet) 8.1. Célja, lényege 8.2. Helyzetfeltárás, veszélygócok elemzése 8.3. Üzemzavar, működési hiba esetén teendők intézkedések, feladatok 8.4. Katasztrófa esetén teendők intézkedések, feladatok Amennyiben egy-egy pont feladatot határoz meg, szükséges a feladat végrehajtásáért felelős szervezetnek (személynek), a végrehajtás mikéntjének és feladat határidejének pontos meghatározása (pl. Biztonsági mentések kezelése: ki-, mit-, mikor-, milyen módszerrel és milyen ütemezésben ment, tárolás helye, megőrzési idő stb.).

1058


19. szám

13. sz. melléklet Biztonsági tesztelési jegyzőkönyv 1. A teszt célja: 2. A tesztelés helye, idĘpontja: 3. A tesztelést végezte: A tesztelendĘ programok / modul(ok) azonosítása 4. Rendszer: 5. Alrendszer:

4. Teszt jellege: (mĦködési, terhelési, integritási stb.) 6. Modul(ok):

7. Program / dialógus/ riport:

8. Verziószám:

9. A tesztelés hardver és szoftver környezete:

10. A teszt input adatai (helye, mennyisége, felvételi módja stb.): 11. A teszt végrehajtása:

12. A tesztelés eredménye (outputok leírása, tapasztalt rendellenesség leírása, értékelés stb.):

13. Szükséges intézkedések: 14. Megjegyzés:

a teszt eredményének elfogadása / jóváhagyása kivitelezĘ részérĘl:

üzleti tulajdonos / megbízottja(i):

név, aláírás

név, aláírás

dátum

dátum

név, aláírás

név, aláírás

dátum

dátum

A jegyzĘkönyvet átvette: üzleti tulajdonos: …………………………………….

dátum: …………………..

19. szám


1059

14. sz. melléklet Működés- Folytonossági Terv (MFT) vázlata 1. Bevezetés 1.1. Célja 1.2. Hatálya 1.2.1. Személyi hatálya 1.2.2. Tárgyi hatály 1.2.3. Területi hatály 1.3. A terv karbantartásáért felelős 2. Fogalmak, rövidítések 3. Rendszerkörnyezet 3.1. Biztonsági osztály 3.2. A rendszert fenyegető tényezők 3.3. Tervcélok meghatározása 3.4. Üzleti folyamatok elemzése 3.4.1. Kárérték táblázat 3.4.2. A kárgyakoriságok táblázata 3.4.3. Rendelkezésre állási követelmények 3.4.4. Kockázati mátrix 3.5. Kockázatelemzés 3.5.1. Releváns fenyegetés – kárérték – kárgyakoriság mátrix 3.5.2. Kockázat – kárérték – kárgyakoriság mátrix 3.5.3. A Kockázat – kárérték – kárgyakoriság mátrix elemzése 4. Megelőzési intézkedések 4.1. Kommunikáció 4.2. Szolgáltatók 4.3. Munkatársak 4.4. Általános intézkedések 4.4.1. Dokumentumok módosítása, tárolása 4.4.2. Fizikai infrastruktúra 4.4.3. Adathordozók védelme 4.4.4. Tesztelési eljárások

5. Személyi feltételek 5.1. Működés-folytonossági menedzsment szervezete 5.1.1. MFM feladatai 6. Rendkívüli események esetén szükséges intézkedések 6.1. Rendkívüli esemény meghatározása, kategorizálása 6.2. Rendkívüli esemény bekövetkezése 6.3. Munkatársak feladatai 6.3.1. Működés-folytonossági vezető feladatai 6.3.2. Üzleti tulajdonos feladatai 6.3.3. Vezető feladatai 6.3.4. Rendszergazda feladatai 6.3.5. Technikai üzemeltető feladatai 6.3.6. Hálózatfelügyelet feladatai 6.3.7. Általános munkavállalói feladatok 6.4. Általános üzemeltetési feladatok 6.4.1. Értesítési kötelezettség 6.4.2. Fizikai eszközök előkészítése 6.4.3. Adminisztrációs és dokumentálási kötelezettség 6.5. Katasztrófa helyzet esetében a teendők 6.5.1. Értesítés menete 6.5.2. Fizikai védelmi kötelezettség, áttelepülés 6.5.3. Rendszer helyreállítása 6.5.4. Rendszer visszaállítása 6.5.5. Eszközök ismételt üzembe helyezése 6.5.6. Tartalék eszközök igénybevételének rendje, módja 6.6. Munkatársak oktatása, tréningek 7. Eseményelemzés, karbantartás, módosítás, javaslatok 7.1. Események elemzése 7.2. Működés-folytonossági terv karbantartása

1060


Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások a) 1978. évi IV. törvény a Büntető Törvénykönyvről: − 177/A §: visszaélés személyes adattal, − 177/B §: visszaélés közérdekű adattal, − 178. §: levéltitok megsértése, − 178/A §: magántitok jogosulatlan megismerése, − 300. §: gazdasági titok megsértése, − 300/C §: számítástechnikai rendszer és adatok elleni bűncselekmény, − 300/E §: számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása. b) 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. c) 1999. évi LXXVI. törvény a szerzői jogról. d) 218/1999. (XII. 28.) Korm. rendelet az egyes szabálysértésekről. e) 2001. évi XXXV. törvény az elektronikus aláírásról. f) 2003. évi C. törvény az elektronikus hírközlésről. g) 2009. évi CLV. törvény a Minősített adat védelméről. h) MSZ ISO/IEC 27001:2006 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények.” i) MSZ ISO/IEC 27002:2007 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve.” j) MSZ ISO/IEC 15408 1-2-3 Common Criteria („Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai.”) k) Közigazgatási Informatikai Bizottság 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások. (MIBA) l) A gazdasági és közlekedési miniszter 103/2003. (XII.27.) GKM rendelete a hagyományos vasúti rendszerek kölcsönös átjárhatóságáról: 4. sz. melléklet (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika. m) 4/2009. (I. 23. MÁV Ért. 3.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Működési és Szervezeti Szabályzatáról és Döntési Hatásköri Listájáról szóló 8/2007. (III. 2. MÁV Ért. különszám.) VIG sz. utasítás 3. számú módosításáról.

19. szám

n) 10/2008. (III. 31. MÁV Ért. 8.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatáról (egységes szerkezetbe foglalva). o) 6/2008. (II. 15. MÁV Ért. 4.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Adatvédelmi Szabályzatáról. (egységes szerkezetbe foglalva) p) 68/2009. (X. 23. MÁV Ért. 31.) VIG sz. vezérigazgatói utasítás a Projektek működéséről a MÁV Zrt-nél. q) 31/1998. (MÁV Ért. 8.) TEB. Ig. sz. utasítás A MÁV Zrt. IP címrendszeréről. r) 16/2000. (MÁV Ért. 8.) IKPI sz. utasítás A MÁV Zrt. Szoftvergazdálkodási Utasítása újbóli kiadásáról. s) 28/2009. (IV. 10. MÁV Ért. 13.) VIG számú vezérigazgatói utasítás a MÁV Magyar Államvasutak Zártkörűen Működő Részvénytársaság 1087 Budapest VIII. kerület, Könyves Kálmán körút 54-60. szám alatti székházába történő be- kiléptetés és a benntartózkodás rendjéről. t) 33/2009. (V. 1. MÁV Ért. 15.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. katasztrófavédelmi és polgári védelmi feladatainak ellátására. 16. sz. melléklet: Intézkedések informatikai vészhelyzet megelőzésére 16. sz. melléklet Az IBSZ-ben található szervezetek és dokumentumok rövidítéseinek jegyzéke HR: Humán erőforrás (Human Research) IBSZ: Informatikai Biztonsági Szabályzat IHIR: Integrált Humán Irányítási Rendszer IKI: Infokommunikációs igazgatóság IVO: Információvédelmi osztály KKA: Konfigurációkezelési adatbázis MABISZ: Magyar Biztosítók Szövetsége MFT: Működés folytonossági terv MSZSZ: Működési és szervezeti szabályzat OWA: Levelezés távoli elérése (Outlook Web Access) RIBSZ: Rendszerszintű Informatikai Biztonsági Szabályzat SLA: Szolgáltatási szerződés (Service Level Agreement) TEBF: Távközlő-, erősáramú- és biztosítóberendezési főosztály

19. szám


34/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Műszaki Mentési és Segítségnyújtási Utasításáról szóló 20/2006. (MÁV Ért 21.) Biztonság – általános vezérigazgató-helyettesi utasítás 2. számú módosításáról 1. Az utasítás 4.5.3 pontja helyébe az alábbi rendelkezés lép: 4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tartását (rendelkezésre állás) és a használatukat (műszaki mentés) a MÁV pályavasúti szervezettel kötött szerződés biztosítja. A hálózat szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli. A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza: − a kárhelyparancsnok-helyettesi készenléti rendszer szervezését és a beosztásról (név, telefonszám megadásával) az üzem- és operatív irányítás értesítését, − a műszaki mentő és segélynyújtó egységek telepítési helyeit, értesíthetőségüket, − a műszaki mentő- és segélynyújtó egységek riasztásától számított maximális indulási időt, − A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás alapján a vasúti egységek készenlétben tartásához szükséges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyvezető biztosítását, − a bármilyen okból ideiglenesen igénybe nem vehető műszaki mentő- és segélynyújtó eszközök, illetve kiszolgáló személyzet bejelentésének kötelezettségét, − a gépészeti vasúti vegyi elhárító szolgálat szervezetének az elhelyezését, értesíthetőségüket, a szükséges létszámot és ennek biztosítását (4.B.sz. melléklet), − a műszaki mentéssel, segélynyújtással összefüggésben kapott rendelkezések és intézkedések előjegyzésének rendjét, − a műszaki mentő és segélynyújtó és a vegyi elhárító egység személyzetének képzését és rendszeres oktatását. 2. Az utasítás 4.12 pontja helyébe az alábbi rendelkezés lép: 4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, intézkedések veszélyes áru ellenőrizetlen szabadba jutása esetén 4.12.1. A VVESz jogállása: A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatkozó Nemzetközi Szabályzat) szerint veszélyesnek minősülő áruk rendellenes szabadba jutásakor, vagy a szállító-

1061

eszközök meghibásodásakor, a veszélyhelyzet elhárítására kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján. A VVESz telepítési helyét a 4.B.sz. melléklet tartalmazza. Záhony térségében és a MOL Dunai Finomító területén a Rail Cargo Hungária Zrt. működteti a vegyi elhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet). A VVESz tevékenységi köre: − veszélyes árukat szállító vasúti járművek tárolóterének, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, csepegések, szóródások megszüntetése, − veszélyes áruval rakott kisiklott kocsik rakott állapotban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása, − tömörtelen tároló edényzet, tartály javíthatatlansága vagy ideiglenes javítása esetén döntés a kocsi továbbíthatóságáról vagy átfejtéséről és a továbbítás feltételeiről, − a veszélyes anyagoknál az átfejtés végrehajtása, a biztonságos átrakás, átfejtés irányítása, − baleset következtében sérült, siklott, felborult, veszélyes áruval rakott kocsiknál a sérülés ideiglenes helyreállítása, döntés az emelhetőségről és annak végrehajtásáról, a szakmai felügyelet biztosítása, − kiömlött veszélyes áruk esetében az elsődleges felszivattyúzás és a sürgős közömbösítés elrendelése, a közömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pályagazdálkodási hálózati fődiszpécserrel egyeztetve. 4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁVGÉPÉSZET KJK Ferencváros) ügyeletes vezetője a hálózati főüzemirányító (rendkívüli helyzeteket kezelő hálózati irányító) értesítése (az elsődleges információk) alapján dönt a helyszínre vonulásról. Az ügyeletes vezető szükség esetén: − folyamatos kapcsolatot tart a hálózati főüzemirányítóval, − szakmai tanácsaival segíti a pályavasút helyi szakmai irányítóját a veszélyek megelőzésében. Az ügyeletes vezető a kapott információk alapján jogosult – a főüzemirányító tájékoztatása mellett – olyan esetekben is kivonulni, amikor nem riasztották, de a helyszíni jelenlétét fontosnak ítéli meg. 4.12.3. Nagyobb környezetszennyezés esetén a kármentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egészség-, Biztonság- és Környezetvédelmi szervezet hatáskörébe tartozik, aki köteles bekövetkezett eseményben érin-

1062


tett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni. 4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen belül kötelesek a helyszínre kivonulni. Az ügyeletes vezetőnek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes vezetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől. 4.12.5. A VVESz riasztott egységének vezetője röviden és tömören köteles tájékoztatni a beosztott személyzetet a feladatról és annak tervezett végrehajtásáról. Külön fel kell hívnia a figyelmet az adott eseménynél előforduló veszélyhelyzetekre, az alkalmazandó védőfelszerelésekre és magatartási szabályokra. 4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felszabadítása – az elhárítás előkészítését irányítani, illetve abban közreműködni. 4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezetőjének az elhárítás mielőbbi és biztonságos elvégzése érdekében adott rendelkezéseit végrehajtani. 4.12.8. A szolgálati hely megbízottja köteles arról gondoskodni, hogy amennyiben a sérült járművek futóképesek és elvontatásuknak egyéb akadálya nincs, azokat villamos felsővezetékkel el nem látott, ennek hiányában feszültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhetők. Ha az állomáson vontatójármű nem áll rendelkezésre, úgy ennek biztosítását a területi gépészeti főirányítótól kell kérni a kárhelyparancsnok vagy kárhelyparancsnokhelyettes útján. 4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonságot is veszélyeztetnek vagy a környezetszennyezés nagyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők. A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az elhárítást zavarják, vagy újabb veszélyhelyzetet jelenthetnek. 4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón keresztül a megyei (Budapesti) Rendőr-főkapitányság, illetve a Katasztrófavédelmi Igazgatóság közreműködését.

19. szám

4.12.11. Folyadékoknál, szilárd anyagoknál, a levegőnél nehezebb gázoknál és gőzöknél a sérült kocsit lehetőleg olyan helyre kell állítani, ahol a veszélyeztetett területen akna, gödör, mélyedés nincs. 4.12.12. A veszélyövezetet a szélirány és a szélsebesség figyelembevételével kell kijelölni és lezárni, biztosítva, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az esetleges lakó-, ipari-, közlekedési objektumokat is a veszélyeztetés elkerülése érdekében. 4.12.13. A kivonuló egység vezetője felelős: − az egységnek a legrövidebb időn belül és a legrövidebb útvonalon a kárhelyre érkezéséért, − az egység vezetője által kevésbé, vagy egyáltalán nem ismert anyagok esetében a segédletekből, ennek hiányában a feladótól vagy az átvevőtől az anyag tulajdonságaira, az alkalmazott elhárítási módra és eszközökre vonatkozó ismeretek megszerzéséért, − az elhárítás előkészítéséért (pl. mentesítő (közömbösítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése). 3. Az utasítás 4.14 pontja hatályát veszíti. Az Utasítás a kihirdetés napján lép hatályba. 4. Az utasítás 6 pontja helyébe az alábbi rendelkezés lép: 1.sz. ÖTM Országos Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás kivonata. 2.sz. A kárhelyparancsnok (helyettes) feladatai. 3.sz. Adatlap a rendkívüli esemény következményeiről. 4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és segélynyújtó egységek telepítési helyei. 4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító egység telepítési helye. 4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárító egységek telepítési helyei. 5.sz. Irányelvek a következményektől függően alkalmazandó műszaki mentő és segélynyújtó egységekre. 6.sz. MD 600 sorozatú daru főbb adatai. 7.sz. MD 1250 sorozatú daru főbb adatai. 8.sz. KRC 1220 sorozatú daru főbb adatai. 9.sz. A Lucas típusú hidraulikus emelők. 10.sz. A Katasztrófavédelmi Igazgatóságok Veszélyhelyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhelyzeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele. 11.sz. Vegyi Elhárítási Jegyzőkönyv.

19. szám


5. Az utasítás 4.B sz. melléklete az alábbiak szerint módosul: A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egység telepítési helye Telepítési hely Budapest Ferencváros

Közúti vegyi elhárító egység telepítési helye Vasúti Vegyi Elhárító Szolgálat

6. Az utasítás 4.C sz. melléklete az alábbiak szerint módosul: A Rail Cargo Hungária Zrt. közúti vegyi elhárító egység telepítési helye Telepítési helyVegyi Elhárító Egység Záhony

Vasúti Vegyi Elhárító Szolgálat Kirendeltség

Az utasítás további pontjai változatlan tartalommal hatályban maradnak.

1063

vállalkozásokra, társaságokra, melyek a mentési, segélynyújtási, elhárítási feladatok végrehajtásába ezen utasítás szerint bevonhatók. Az utasítás hatálya a MÁV csoportba tartozó továbbá az Országos Katasztrófavédelmi Főigazgatósággal kötött Együttműködési Megállapodáshoz csatlakozó vasútvállalatok, társaságok szervezeteire és munkavállalóira az elfogadási (alávetési) nyilatkozatuk alapján terjed ki. 2.1.3 Az Utasítás nem tartalmazza a tűz elleni védekezésről, a műszaki mentésről és a tűzoltóságról szóló 1996. évi XXXI. törvény, és a törvény végrehajtására kiadott rendeletekben meghatározott, valamint a katasztrófák elleni védekezés irányításáról, szervezetéről és a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezésről szóló 1999. évi LXXIV. törvény, és annak végrehajtására kiadott rendeletek hatálya alá eső esetekre vonatkozó feladatokat, melyeket külön utasítások szabályoznak. 2.2. Az Utasítás elkészítéséért és karbantartásáért felelős meghatározása Az Utasítás kidolgozásáért, karbantartásáért a MÁV Zrt. biztonsági igazgatója felelős.

Módosításokkal egységes szerkezetbe foglalt szöveg 2.3. Az Utasítás alkalmazása, kezelése 1.0 AZ UTASÍTÁS CÉLJA A Műszaki Mentési és Segélynyújtási Utasítás (a továbbiakban Utasítás) célja a segélynyújtást és helyreállítást igénylő rendkívüli események (balesetek, tűzesetek, veszélyes áru ellenőrizetlen szabadba jutása, elháríthatatlan külső ok) bekövetkezése esetén a műszaki mentés, a segélynyújtás, a következmények felszámolási feladatainak szabályozása, az együttműködés biztosítása, a feladatok koordinált végrehajtásának elősegítése az érintett hatóságokkal, vasúti- és más szervezetekkel. 2.0 AZ UTASÍTÁS HATÁLYA ÉS A FELELŐSSÉG MEGHATÁROZÁSA 2.1. Az Utasítás hatálya 2.1.1 Az Utasítás területi hatálya a MÁV Zrt. kezelésébe tartozó normál, széles és keskeny nyomtávolságú közforgalmú vasútvonalakon, üzemi vágányokon, valamint az azokhoz csatlakozó, a MÁV Zrt. kezelésébe tartozó saját célú vasúti pályahálózaton, külön szerződés alapján a MÁV Zrt. kezelésében nem lévő vágányokon, továbbá a BM Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás alapján, más területen bekövetkezett rendkívüli események következményeinek elhárítására terjed ki. 2.1.2 Az Utasítás személyi hatálya kiterjed a MÁV Zrt. valamennyi szervezetére, munkavállalójára és azokra a

2.3.1 Az Utasítás alkalmazásánál figyelembe kell venni a hatályos jogszabályokat, az Országos Vasúti Szabályzatot, a MÁV Zrt. Vezérigazgatóságának az Országos Katasztrófavédelmi Főigazgatósággal, a Országos Rendőr-főkapitánysággal, a Magyar Honvédség Közlekedési Szolgálat Főnökséggel kötött együttműködési megállapodásait, valamint az Utasítás által szabályozott tevékenységekkel kapcsolatban a vállalkozásokkal kötött szerződéseket, az üzemirányítás és operatív üzletági irányítási szolgálat ellátásáról szóló F.3 sz. Utasítást, az F.1.Jelzési Utasítást, az F.2.Forgalmi Utasításban (15.21.3-15.21.3.6) szabályozott „Segélymozdonyok és segélyvonatok” részt, az F.2. sz. Utasítás 2., 8. 13., 28., 31., és 33. sz. Függelékét, továbbá az Utasítás alapján a MÁV társaságok hatáskörébe tartozó szabályozásokat, a műszaki mentő, segélynyújtó, vegyi elhárító és tűzoltó eszközök kezelésére, karbantartására vonatkozó szabályozásokat, segédkönyveket.(Az Országos Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás vonatkozó részeit az 1.sz. melléklet tartalmazza.) 2.3.2 Az Utasítással el kell látni az oktató tiszteket, a MÁV Zrt. pályahálózatát igénybevevő vasútvállalatokat, valamint azokat a munkavállalókat és vállalkozásokat, akik közreműködnek a MÁV Zrt. területén a műszaki mentési, segélynyújtási és a helyreállítási munkákban.

1064


2.4. Az Utasítás oktatása Az érdekelt munkavállalókat a rájuk vonatkozó részekből rendszeresen és kimutathatóan oktatni kell a MÁV Zrt. O.1. sz. Oktatási Utasítása, és a MÁV Zrt. pályahálózatát igénybevevő vasútvállalatok szabályzata szerint. 3.0 AZ UTASÍTÁSBAN HASZNÁLT FOGALMAK MEGHATÁROZÁSA 3.1. Az Utasításban használt rendkívüli esemény, baleset, tűzeset, veszélyes áru ellenőrizetlen szabadba jutása fogalmakat a Balesetvizsgálati Utasítás tartalmazza. 3.2. Vonalelzárás: a rendkívüli esemény következményeként két állomás között a vonatforgalom kizárt. 3.3. Pályaelzárás (vágányelzárás): rendkívüli esemény miatt az állomás egy vagy több vágányán, több vágányú pályán, az egyik vágányon a vonatforgalom lebonyolítása kizárt. 3.4. Mentés és segélynyújtás: azoknak az elsődleges intézkedéseknek összessége, melyek a mentés, a megsérült személyek ellátása, a kármegelőzés érdekében szükségesek. 3.5. A következmények felszámolása (elhárítása): azoknak a műszaki és forgalmi intézkedéseknek összessége, melyek a mentési és segélynyújtási, valamint a megelőzési feladatok elvégzése után a pálya felszabadításáig, illetve a rendkívüli esemény előtti állapot helyreállításáig szükségesek. Ideiglenes a következmények felszámolása (elhárítása) akkor, ha a pálya felszabadítása után a helyreállítás csak forgalmi korlátozásokkal (pl. sebességcsökkentés bevezetésével vagy villamos felső vezetékkel ellátott vonalon dízelvontatással) teszi lehetővé a vonatforgalom megindítását. 3.6. Kárhelyparancsnok: a rendkívüli esemény bekövetkezésekor a mentés, segélynyújtás és a dologi következmények felszámolásának felelős irányítója, koordinálója. A kárhelyparancsnoki feladatokat – az Utasításban szabályozottak szerint – a MÁV Zrt. pályavasúti szervezet megbízott munkavállalója látja el. 3.7. Egészségügyi kárhelyparancsnok: a rendkívüli esemény helyszínén általában a mentők vezetője, aki a sérültek ellátását, a roncsok közé szorultak kiszabadítását egészségügyi szempontból irányítja. 3.8. Katasztrófavédelmi egység vezetője: a rendkívüli esemény helyszínén jogszabályban meghatározott esetekben, illetve az Együttműködési Megállapodás alapján a mentési munkák kárhelyparancsnoka.

19. szám

3.9. Kárhelyparancsnok-helyettes: a rendkívüli esemény helyszínén a MÁV-GÉPÉSZET Zrt. részéről a műszaki mentő- és segélynyújtó egységek tevékenységének koordinálója. 3.10. Szakmai helyreállítás vezető: a rendkívüli esemény helyszínén az egyes szakmai (pálya, gépészet, biztosítóberendezés, személyszállítás, távközlés, felső-vezetéki berendezés, árufuvarozás, vasúti vegyi elhárítás, környezetvédelem) tevékenységeket, helyreállítási munkákat irányító vezető. 3.11. Forgalmi összekötő: a rendkívüli esemény helyszínén a vonatforgalmi és tolatási tevékenységek irányítója. 3.12. Operatív hálózati és területi szakmai főirányítók, rendkívüli helyzeteket kezelő irányító, fődiszpécserek, diszpécserek, villamos üzemirányítók hálózati és területi szinten irányítják, szervezik, koordinálják az üzletági szakmai munkákat. 3.13. Környezetvédelmi mentesítés: veszélyes áru ellenőrizetlen szabadba jutása esetén bekövetkezett környezetkárosítások felszámolása. 4.0 AZ UTASÍTÁS LEÍRÁSA 4.1. Általános szabályok 4.1.1. Valamennyi rendkívüli esemény bekövetkezésekor haladéktalanul intézkedést kell tenni a személyek mentésére, a további veszélyek és károk megelőzésére. Ennek érdekében a szükséges jelentési és értesítési kötelezettségeket a Balesetvizsgálati Utasítás, az F3. Utasítás, a Munkavédelmi Szabályzat, és a mindenkor hatályos Értesítési rend tartalmazza. 4.1.2. A segélynyújtásnál és helyreállításnál az alábbi fontossági sorrendet kell betartani: − a személyek mentése, − a tűz oltása, − a veszélyes áru szabadba jutásának megszüntetése, − a pálya felszabadítása (műszaki mentés, segélynyújtás) és a javak mentése, − a pálya és pályavasúti berendezések helyreállítása, − a vonatforgalom megindítása, − a környezeti károkozás felszámolása. 4.1.3. A Katasztrófavédelmi egységek helyszíni mentési és segélynyújtási feladatai kiterjednek: − a veszélyeztetett személyek mentésére, − a tűz terjedésének megakadályozására, − az anyagi javak védelmére, − a tűz eloltására, − a szükséges biztonsági intézkedések megtételére, − a tűz közvetlen veszélyének elhárítására.

19. szám


4.1.4. A katasztrófavédelmi szervezet jogszabály, valamint az Együttműködési Megállapodás alapján – a MÁV Zrt. kárhelyparancsnokának igénye esetén, a 4.9.7 és 4.9.8 pontokban szabályozottak szerint közreműködik, illetve segítséget nyújt a 4.1.3. pontban foglaltakon kívül olyan esetben is, ha: − a vasúti műszaki mentés során tűz, vagy robbanás, vagy egyéb veszély áll fenn, − a feladat elvégzéséhez a katasztrófavédelemnél rendszeresített eszközök alkalmasak és azzal a helyreállításra kötelezett vasúti szervezet a helyszínen nem vagy nem kellő mennyiségben rendelkezik, valamint a vasúti kárelhárítási feladat a számára jogszabályokban meghatározott, alapvető állami tevékenység biztosítását nem veszélyezteti. 4.1.5. A honvédségi erők a mentési és segélynyújtási feladatokba – a MÁV Zrt. kárhelyparancsnokának igénye alapján a 4.9.7 pontban szabályozottak szerint – akkor vonhatók be, amennyiben: − a baleseti következmény, illetve annak veszélye nagyobb körzetre terjed ki, − rendkívüli időjárási körülmények akadályozzák a mentési munkákat, − rossz terepviszonyok, nehezen megközelíthető baleseti helyszínek, a sérültek nagyobb távolságra, kézi eszközökkel történő szállításának szükségessége különleges eszközök igénybevételét indokolja, − a mentéshez szükséges különleges technikai eszközökkel (pl. lánctalpas járművel) csak a honvédség rendelkezik. 4.1.6. A rendőrség – a helyszíni szemle feladatain túlmenően – intézkedik: − a további károk megelőzésére, − a helyszín biztosítására, körülhatárolására, − a terelő utak kijelölésére, a közúti forgalom irányítására, − jelentési, tájékoztatási kötelezettségek teljesítésére. 4.1.7 A MÁV Zrt. feladata: − a baleseti helyszín határolása, biztosítása, előkészítése a műszaki mentési és segélynyújtási feladatok megkezdéséhez, − közreműködés a katasztrófavédelem mentési, segélynyújtási feladataiban, és ennek érdekében a vasúti intézkedések megtétele, − veszélyes áru ellenőrizetlen szabadba jutása esetén a vegyi elhárítás végrehajtása, biztonsági intézkedések megtétele, − a vasúti forgalom fenntartása, lebonyolítása érdekében a szükséges intézkedések megtétele, − a vizsgálatokban a rendőrséggel, illetve más illetékes hatóságokkal, szervezetekkel az együttműködés biztosítása, − a kisiklott járművek beemelése, más járműre emelése vagy űrszelvényen kívülre helyezése,

1065

− a rongálódott pályavasúti eszközök (pálya, felsővezeték, biztosítóberendezés) helyreállítása, − a forgalom megindítása, − a rendkívüli esemény miatt bekövetkezett környezeti károk felszámolása. 4.1.8. Amennyiben a pályavasúti szervezet a 4.1.7. pontban foglalt feladatokat a MÁV Csoport tagjaival és saját szervezeteivel, eszközeivel nem képes ellátni, köteles közreműködőt igénybe venni, erre vonatkozóan megállapodást, szerződést kötni. 4.1.9. Az együttműködésben résztvevő (4.1.3. – 4.1.6. pontokban említett) szervezetek helyszínre kivonuló egységeit saját illetékes vezetőjük irányítja. A résztvevő szervezetek között a munkák irányítását a helyszíni mentési munkák jellege és fázisa határozza meg: − az egészségügyi kárhelyparancsnok végzi és irányítja a sérültek ellátásával kapcsolatos feladatokat, és jogosult utasítást adni a résztvevő más szervezetek parancsnokainak, − tűz esetén, illetve műszaki mentést igénylő esetekben – jogszabályokban meghatározottak szerint – a katasztrófavédelmi egység vezetője jogosult utasítást adni az együttműködésben résztvevő más szervezetek parancsnokainak, − veszélyes áru ellenőrizetlen szabadba jutása esetén – a katasztrófavédelmi szervezet vezetőjével egyeztetetten – a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgálat (a továbbiakban: VVESz) ügyeletes vezetője irányítja a mentési munkákat, a további veszélyek megelőzését, − a rendőri erők vezetője a helyszín biztosítása és a nyomozati munka lefolytatásában adhat utasítást. A katasztrófavédelmi szervezet közreműködő, segítséget nyújtó tevékenysége a mentés befejezéséig, a veszélyhelyzet elhárításáig tart. Ezt követően a további irányítási feladatokat a MÁV Zrt. kárhelyparancsnoka veszi át. 4.1.10. A pálya (vágány) felszabadítását, helyreállítást akkor lehet megkezdeni, ha: − a személyek mentése, tűz oltása további intézkedést nem igényel, − veszélyes áru szabadba jutásának, valamint a környezeti károkozásnak veszélye nem áll fenn, − a vagyonvédelem biztosítására szükséges intézkedések megtörténtek. A pálya (vágány) felszabadítása, helyreállítása csak abban az esetben halasztható, ha: − olyan vágányon történt a rendkívüli esemény, amely a vonatforgalom lebonyolítását, valamint a rendező pályaudvaron a folyamatos munkát nem akadályozza, − közforgalmú mellékvonalon a vonatforgalom sűrűsége, a személyszállító vonatok utasforgalma ezt lehetővé teszi (az utasok száma 1-nél több autóbusz beállítását nem igényli) és az utasok autóbusszal történő elszállítására az intézkedések megtörténtek,

1066


A pálya felszabadításának halasztására a kárhely-parancsnok kezdeményezésére – a hálózati személyszállítási és árufuvarozási főirányítóval történt egyeztetés alapján – a hálózati főüzemirányító dönt. A döntésről a területi főüzemirányítót, valamennyi hálózati operatív főirányítót, fődiszpécserét, villamos üzemirányítóját tájékoztatni kell. 4.1.11. A pálya-felszabadítási munka megkezdése legfeljebb a rendkívüli esemény bekövetkezésétől számított első munkanapig halasztható. 4.1.12. A pálya felszabadítás halasztása esetén a biztonságos vonatközlekedés érdekében szükséges intézkedéseket a szakmailag illetékes, illetve az eszköz üzemeltetésért felelős szervezet operatív főirányítója, fődiszpécsere a kárhelyparancsokkal egyeztetve köteles megtenni. 4.1.13. A MÁV társaságok segélynyújtáshoz és a következmények felszámolásához használt eszközeinek karbantartásáról, folyamatos rendelkezésre állásáról az állagban tartó szervezeti egység köteles gondoskodni. Más célú felhasználás, javítás miatt átmenetileg kieső eszközökről haladéktalanul értesíteni kell a hálózati főüzemirányítót, területi főüzemirányítókat, a hálózati és a területi gépészeti főirányítókat, akiknek ezt elő kell jegyezniük és szolgálat átadáskor írásban át kell adni. 4.2 A műszaki mentés, segélynyújtás és helyreállítás felelős vasúti irányítója 4.2.1. A segélynyújtás és helyreállítás felelős vasúti irányítója a MÁV Zrt. kárhelyparancsnoka, aki személyesen felelős a munkák gyors és szakszerű végzéséért, öszszehangolásáért. Tevékenységét a helyszínen közvetlenül segíti, és irányítja: – a MÁV-GÉPÉSZET Zrt. által kijelölt kárhelyparancsnok-helyettes a vasúti járművek műszaki mentését, és a rendkívüli esemény következményeitől függően: – a Vasúti Vegyi Elhárító Szolgálat ügyeletes vezetője a vegyi elhárítást, – továbbá a szakmai helyreállítás vezetők, a forgalmi összekötő, valamint a helyreállításban közreműködő vállalkozás munkavezetője. 4.2.2. A kárhelyparancsnokokat a MÁV Zrt. Pályavasúti területi központok vezetői a Biztonsági Igazgatóság VBO-val egyeztetve jelölik ki. A kárhelyparancsnok-helyetteseket – szakmai alkalmasság alapján – a budapesti területre a MÁV-GÉPÉSZET Zrt. vezetője, még a többi területre a Jármű-karbantartási Főosztály vezetője jelöli ki. A kijelölt kárhelyparancsnokok és helyettesek szolgálati beosztását havonta úgy kell elkészíteni, hogy terüle-

19. szám

tenként folyamatosan – munkaidőn kívül készenléti szolgálatban – rendelkezésre álljanak. 4.2.3. A kárhelyparancsnokkal és helyettessel szemben támasztott követelmények: − felsőfokú állami iskolai és vasúti szakmai végzettség, − baleset helyreállítási szakmai gyakorlat, − jó szervezőkészség. 4.2.4. A kárhelyparancsnoki és a helyettesi feladat ellátására beosztottak név-, cím- és telefonszám jegyzékét valamint területenként a havi szolgálati beosztást a területi és hálózati főüzemirányító valamint a területi és hálózati diszpécser szolgálat részére meg kell küldeni. 4.2.5. A kárhelyparancsnokot minden olyan rendkívüli eseményről értesíteni kell, amikor a dologi következmények miatt vonal- vagy pályaelzárás történt. A kárhelyparancsnok-helyettest abban az esetben kell értesíteni, ha a rendkívüli esemény miatt műszaki mentő és segélynyújtó egység riasztása szükséges a személyek mentéséhez, illetve a pályaelzárás megszüntetéséhez. A kárhelyparancsnok és a helyettes értesítése a területi főüzemirányító feladata. A kárhelyparancsnok és helyettes helyszínre jutását, a feladatai ellátásához valamint a kapcsolattartáshoz szükséges hírközlő eszközöket a MÁV Zrt. pályavasúti szervezet, illetve a MÁV-GÉPÉSZET Zrt. köteles biztosítani. 4.2.6. Az értesítés és rendelkezésre álló információk alapján a kárhelyparancsnok – az Utasítás 4.2.7. és 4.2.14. pontjaiban szabályozottak figyelembevételével – dönt, hogy a helyszínen irányítja a műszaki mentési, segélynyújtási és elhárítási munkákat, vagy azzal megbízza a szakmai helyreállítás vezetőt. 4.2.7. Abban az esetben, ha kárhely parancsnok nincs jelen, de a MÁV Biztonsági Igazgatóság VBO baleseti helyszínelő bizottság vezetője szolgáltatási szerződés alapján balesetvizsgálati tevékenységet végez, a vasúti forgalom helyreállítására vonatkozó ügyekben kárhelyparancsnokként jár el. A bizottság vezetője utasításait a jelen nem lévő kárhelyparancsnokkal telefonon konzultálva hozhatja meg. 4.2.8. A kárhelyparancsnok a helyszínen köteles a műszaki mentési segélynyújtási és helyreállítási munkákat irányítani, amennyiben a rendkívüli esemény dologi következményei − vonalelzárást, vagy − több vágányú fővonalon pályaelzárást okozott, vagy − a rendkívüli esemény állomáson vagy rendező pályaudvaron történt, és a vasúti pálya- és berendezés súlyosan megrongálódott, továbbá, ha a műszaki mentés, valamint a helyreállítás több szakmai szervezet összehangolt tevékenységét igényli.

19. szám


Amennyiben a rendelkezésre álló információk nem elégségesek a következmények egyértelmű megállapítására, úgy a kárhelyparancsnoknak a helyszínen kell döntenie, hogy a műszaki mentési, segélynyújtási és elhárítási munkák milyen szintű (kárhelyparancsnoki vagy szakmai helyreállítás vezetői) irányítást igényelnek. 4.2.9. A kárhelyparancsnok helyszíni irányító tevékenysége kiterjed valamennyi olyan dologi következmény felszámolására – az akadályt okozó eszköz, vasúti jármű, berendezés stb. tulajdonosától függetlenül –, amely a pálya felszabadítása és a következmények elhárítása érdekében szükséges. 4.2.10. A kárhelyparancsnok és a helyettes teljes körű helyszíni intézkedési jogosultsága az elsődleges életmentési, segélynyújtási, veszélyelhárítási – beleértve a veszélyes áru ellenőrizetlen szabadba jutása miatti veszélyelhárítási – és tűzoltási feladatok befejezésétől a forgalom ideiglenes helyreállításáig tart, valamint valamennyi elhárításban résztvevő szervezeti egységre kiterjed. 4.2.11. A vasúti baleset színhelyére kiérkező MÁV Zrt. és a MÁV társaságok vezetője a kárhelyparancsnoknak és kárhelyparancsnok-helyettesnek csak abban az esetben adhat bármilyen jellegű, a balesettel, illetve a mentéssel kapcsolatos utasítást, ha előtte írásban átveszi annak feladatát, és azt a helyreállítás befejeztéig végig folytatja. Egyébként csak arra jogosult, hogy a kárhelyparancsnoktól és helyettesétől információt kérjen, kapjon, illetve azok kérésére információt adjon. 4.2.12. Veszélyes áru ellenőrizetlen szabadba jutása esetén minden esetben a veszélyek elhárításáig az irányítási feladatokat a VVESz ügyeletes vezetője látja el, akinek rendelkezési jogosultsága valamennyi szakmai területre kiterjed. A kárhelyparancsnok ezt követően a további segélynyújtási és helyreállítási munkák egy szakmai területet érintő, speciális szakmai ismereteket igénylő fázisában – a biztonsági és munkafolyamati intézkedések egyeztetésének kötelezettsége mellett – a kárhely-parancsnoki feladatok ellátásával megbízhatja a szakmai helyreállítás vezetőt. Amennyiben több szakmai egység párhuzamosan végez segélynyújtási, illetve elhárítási munkát egyazon körzeten belül, úgy az irányítási feladatokat a kárhelyparancsnok nem adhatja át. 4.2.13. A kárhelyparancsnok és a kárhelyparancsnokhelyettes a műszaki mentési és segélynyújtási, valamint helyreállítási munkák helyszíni irányításakor az erre a célra rendszeresített „kárhelyparancsnok”, illetve „kárhelyparancsnok-helyettes” felirattal ellátott, jó láthatóságot biztosító védőruházatot (védőmellényt) és névjegykártyát tartalmazó kitűzőt, valamint fehér színű fejvédő sisakot köteles viselni.

1067

4.2.14. A kárhelyparancsnok a pálya felszabadítási, illetve helyreállítási munkák irányításával esetileg megbízhatja a szakmai helyreállítás vezetőt, amennyiben a helyreállítás egy szakmai terület felelősségi körébe tartozik. Az eseti megbízást a kárhelyparancsnok szóban a szakmailag illetékes területi fő(üzem)irányító vagy diszpécser bevonásával adhatja, akinek erről a szakmai helyreállítás vezetőt, a hálózati főirányítót, fődiszpécsert és a rendkívüli helyzeteket kezelő irányítót is értesítenie kell. 4.2.15. A szakmai helyreállítás vezető az irányítási feladatok ellátásakor köteles folyamatos munkakapcsolatot tartani − a rendkívüli esemény helyszínével közvetlenül szomszédos állomás forgalmi vezetőjével (megbízottjával), − a szakmailag illetékes hálózati fődiszpécserrel, főirányítóval, villamos üzemirányítóval illetve területi diszpécserrel, − a területi főüzemirányítóval. 4.2.16. A megbízott szakmai helyreállítás vezető felelős a munkavégzésre, a vágányzári munkák lemondhatóságának műszaki és biztonsági feltételeire, a vasúti járművek bekövetkezett műszaki sérülésének és továbbíthatósági feltételeinek bárcázással való rögzítéséért, illetve a munkák befejezésének előjegyzésére vonatkozó előírások megtartásáért. 4.2.17. Amennyiben a műszaki mentési, helyreállítási munkák hosszabb időt igényelnek, úgy a – kárhelyparancsnok, a kárhelyparancsnok-helyettes a szakmai helyreállítás vezetők felváltásáról a területi központ vezetője, – a műszaki mentésben, helyreállításban résztvevők felváltásáról a kárhelyparancsnok, illetve a kárhelyparancsnok-helyettes kezdeményezésére a szakmailag illetékes szolgálati vezetők kötelesek gondoskodni. A kárhelyparancsnoki szolgálat átadásához az átadónak részletesen – a szolgálat várhatóan többszöri átadása esetén rövid feljegyzésben – tájékoztatnia kell az átvevőt – a helyreállítási munkák helyzetéről, – a folyamatban lévő intézkedésekről, – a forgalmi helyzetről, – minden olyan információról, amely a munkák folyamatos végzéséhez szükséges. A szolgálat átadásról-átvételről a területi főüzem-irányítót a rendkívüli helyzeteket kezelő irányítót a kárhelyparancsnoki feladatot átvevőnek tájékoztatnia kell. Az Utasítás rendelkezését alkalmazni kell a szakmai helyreállítás vezetők szolgálat átadása-átvétele esetén is. 4.2.18. A műszaki mentési, segélynyújtási, helyreállítási, vegyi elhárítási munkákhoz az eseti igénybevétel

1068


lehetőségére a megfelelő eszközökkel rendelkező, MÁV társaságokon kívüli vállalkozással, veszélyes anyagok előállítását, feldolgozását végző vállalkozással a pályavasúti szervezet – a Biztonsági Igazgatóság egyetértésével – megállapodást köthet, mely tartalmazza, hogy − a vállalkozás milyen eszközt tud biztosítani, és annak főbb jellemzőit, illetve milyen feladat végzését vállalja, − a rendelkezésre állás időszakait, − a riasztástól számított várható indulási időt, − a riasztás módját, feltételeit. A vállalkozás igénybevételére vonatkozó megállapodás alapján, vagy megállapodás nélkül is a helyi adottságok kihasználásával a kárhelyparancsnok (VVESz ügyeletes vezetője) jogosult dönteni a MÁV csoporton kívüli vállalkozás bevonására. Ilyen esetekben a vállalkozás értesítésére a kárhelyparancsnok (VVESz ügyeletes vezetője) igényére a pályagazdálkodási hálózati fődiszpécser, illetve a vegyi elhárítás érdekében a rendkívüli helyzeteket kezelő irányító köteles intézkedni. A munkák helyszíni irányítója a kárhelyparancsnok, illetve a VVESz ügyeletes vezetője. 4.2.19. A kárhelyparancsnok, a rendkívüli helyzeteket kezelő irányító, területi főüzemirányító, valamennyi operatív hálózati és területi főirányító, fődiszpécser, diszpécser, villamos üzemirányító, szakmai helyreállítás vezető a kapott értesítéseket, rendelkezéseket, az általa tett intézkedéseket, riasztásokat köteles az időadatok feltüntetésével előjegyezni, illetve azokról feljegyzést készíteni. A kárhelyparancsnok ezeken kívül köteles a következmények elhárításának főbb fázisait, jármű beemeléseket és minden olyan adatot előjegyezni az időpontok feltüntetésével, mely a segélynyújtás és helyreállítás utólagos értékelését lehetővé teszi. 4.2.20. A kárhelyparancsnok és a helyettes feladatait összefoglalóan a 2. sz. melléklet tartalmazza. 4.3. Helyszíni intézkedés személyszállító vonattal történt baleset esetén 4.3.1. Személyszállító vonattal történt baleset esetén a vezető jegyvizsgáló és a jegyvizsgálók képzettségüknek megfelelően kötelesek a személyek mentésében és a segélynyújtásban részt venni, az utasok biztonsága érdekében szükséges intézkedésekben közreműködni. 4.3.2. Amennyiben a 4.1.2. pontban meghatározott fontossági sorrendet alapul véve a személyek mentése a vezető jegyvizsgáló és a jegyvizsgálók közreműködését már nem igényli, úgy kötelesek a rendkívüli esemény bekövetkezéséről, a várakozás várható időtartamáról, az átszállásos közlekedésről, a csatlakozási lehetőségekről – a hálózati vagy területi személyszállítási főirányítótól (vagy szükség esetén a területi főüzemirányítótól) kért és kapott információk alapján – az utasokat tájékoztatni.

19. szám

Amennyiben a vontatójármű (motorkocsi, motorvonat vagy mozdony) rendelkezik utastájékoztató berendezéssel és az a rendkívüli esemény után üzemképes, akkor az utasok tájékoztatását a vonatszemélyzet bármely tagja ezen keresztül köteles megtenni. Pályaudvaron, állomáson az utastájékoztató berendezésen keresztül kell az utasokat és várakozókat értesíteni a rendkívüli esemény miatti vonatkésésekről, a menetrendtől eltérő forgalmi változásokról. A fentieken kívül figyelembe kell venni a rendkívüli események bekövetkezésekor alkalmazandó utas-tájékoztatás megszervezéséről és végrehajtásáról szóló mindenkor hatályos utasítást. (Az Utasítás hatálybalépésekor ezt a 36/2005. (X. 24. MÁV Ért. 41.) VIG. sz. utasítás tartalmazza). 4.3.3. Nyíltvonalon – rendkívüli esemény miatt – feltartóztatott vonat esetén az utasok figyelmét fel kell hívni a leszállás veszélyeire, és amennyiben közvetlen veszély (pl. tűzeset) nem fenyeget, az utasokat a vonaton kell tartani. 4.3.4. Amennyiben a vonat hosszabb idejű feltartóztatása miatt az utasok helyszíni átszállással vagy autóbusz beállításával folytathatják útjukat, úgy a vonatkísérő személyzet köteles az utasok részére ehhez segítséget nyújtani. 4.3.5. Az utasok tájékoztatása tényszerűen csak az utazásukkal összefüggő információkra terjedhet ki. Nem tartalmazhat olyan információt, mely pánikot, zavart idézhet elő, vagy amely csak a vizsgálat bizonyított megállapításain alapulhat. 4.4. A következmények helyszíni elsődleges felmérése 4.4.1. A rendkívüli esemény bejelentésére vonatkozó szabályokat a Balesetvizsgálati Utasítás tartalmazza. A műszaki mentés, segélynyújtás és a következmények felszámolása érdekében – a bejelentést követően – fel kell mérni azokat a legfontosabb adatokat, melyek az intézkedések mielőbbi szervezéséhez, végrehajtásához szükségesek. 4.4.2. A rendkívüli esemény következményeiről az elsődleges adatok összegyűjtését állomáson történt esetben az állomás forgalmi vezetője (megbízottja), közlekedő vonattal történt eseménynél a vonat mozdonyvezetője végezze. Nyílt vonalon történt rendkívüli eseményről az adatokat általában a mozdonyvezető, akadályoztatása esetén a személyszállító vonat vezető jegyvizsgálója, vagy a vonatszemélyzet más tagja, illetve bármely esetben a helyszínre érkező intézkedésre jogosult és kötelezett munkavállaló köteles összegyűjteni. A szakszerű adatszolgáltatás érdekében – a lehetséges módon – igénybe kell venni a rendelkezésre álló vasúti műszaki munkavállalók közreműködését.

19. szám


4.4.3. A helyszíni következményekről az elsődleges adatok az alábbiakra terjedjenek ki: − a sérült személyek számára és kiszabadításukhoz a műszaki mentés szükségességére, − a megrongálódott pályaszakasz hosszára, mértékére, − a megrongálódott kitérők számára, − a baleset helyszínének körülményeire (egyenes, íves pályaszakasz, bevágás, töltés, műtárgy, alagút), − felsővezetéki berendezéssel felszerelt pályán a kidőlt oszlopok számára, a megrongált felsővezeték hoszszára, − a kisiklott vontató és vontatott járművek típusára, számára, azok eltávolodásának távolságára a vágánytól, − veszélyes áruval rakott kocsi sérülésére (RID számára), − a kisiklott járművek elhelyezkedésére a vasúti pályához, illetve más járművekhez képest (felborult, oldalára dőlt, megbillent, a járművek egymás fölé kerültek, torlódtak, keresztbe fordultak), − több vágányú pályán a vonatközlekedés fenntarthatóságának feltételeire (űrszelvény, pálya, berendezés rongálódása), − áruval rakott kocsi sérülése esetén az áru fajtájára, − konténerrel rakott kocsi kisiklása esetén a konténerek helyzetére, − a kisiklott, megrongálódott járművek futóművén észlelhető sérülésekre, − a baleseti helyszín megközelíthetőségére vonatkozó adatokra, − egyéb fontosnak ítélt adatokra. 4.4.4. Veszélyes áru ellenőrizetlen szabadba jutása esetén – függetlenül attól, hogy az baleseti következményként vagy attól függetlenül következett be – a jelentés tartalmazza: − a sérült kocsi, konténer főbb adatait, − a veszélyes áru megnevezését és RID számát, − a jármű sérülésére és annak mértékére vonatkozó adatokat (kocsi, konténer, kamion; a veszélyes áru milyen mértékben szivárog, csepeg), − súlyos környezetszennyezés, tűz, robbanás, személyés vagyonbiztonság veszélyét, − a további veszély megelőzése érdekében szükséges intézkedéseket. Amennyiben a veszélyes áru ellenőrizetlen szabadba jutása nem baleseti következményként fordult elő, úgy a jelentés az alábbiakat is tartalmazza: − a sérült kocsi pályaszámát, cégjelét, − feladási és rendeltetési állomását, − a sérülés felfedezésének időpontját, − a megtett intézkedéseket, − a rendkívüli esemény helyére, környezetére, gépkocsival való megközelíthetőségére vonatkozó információkat (állomás, szolgálati hely, vágányszám, felsővezeték alatti vágány stb.).

1069

4.4.5. A helyszíni következményekről az adatokat a területi főüzemirányító részére kell jelenteni, aki az információkat a 3. sz. melléklet szerinti adatlapon rögzíti. A területi főüzemirányító valamennyi rendelkezésre álló információról értesíteni köteles − a rendkívüli helyzeteket kezelő irányítót és − a területi operatív irányítókat, diszpécsereket, villamos üzemirányítót. A rendkívüli helyzeteket kezelő irányító valamennyi információról tájékoztatja a hálózati főirányítókat, fődiszpécsereket, villamos üzemirányítót, veszélyes áru ellenőrizetlen szabadba jutása esetén MÁV-GÉPÉSZET Zrt. vasúti vegyvédelem központi ügyeletét (MÁVGÉPÉSZET Zrt. Körzeti Járműfenntartási Központ BP. Ferencváros), továbbá az Értesítési Rendben előírt vezetőket, hatóságokat, szervezeteket. 4.4.6. Amennyiben a rendkívüli esemény következményei más vasúti társaságot vagy a vasút üzemben tartásához szükséges eszköz tulajdonosát is érinti, erről a rendkívüli helyzeteket kezelő irányító köteles távbeszélőn értesíteni a társaság, illetve az eszköz tulajdonosának illetékes szervezetét. Amennyiben a baleset következményeinek helyreállítása a vállalkozó vasúti infrastruktúra további kárát okozza, lehetőség szerint gondoskodni kell a helyreállítás előtti állapotok dokumentálásáról (fénykép, vagy videó felvételek készítése), valamint erről tájékoztatni kell a vállalkozó vasúti társaság kijelölt képviselőjét. 4.5. A MÁV társaságok és más szervezetek szabályozásának szempontjai 4.5.1. A MÁV társaságok – ezen Utasítás alapján, a Biztonsági Igazgatósággal egyeztetetten – az összehangolt, gyors operatív intézkedések megtétele érdekében kötelesek szabályozni az operatív hálózati és területi főirányítók, fődiszpécserek, diszpécserek, villamos üzemirányítók feladatait, illetve azok ellátásához szükséges információk biztosítását. 4.5.2. Pályavasúti szabályozás a forgalmi, pálya, távközlési, biztosítóberendezési és felsővezeték-berendezési szakmai területre kiterjedően tartalmazza: − a kárhelyparancsnoki készenléti rendszer szervezését és a beosztásról (név, telefonszám megadásával) az üzem- és operatív irányítás értesítését, − a szakmai helyreállítás vezetők, forgalmi összekötők megbízásának szakmai feltételeit, készenléti rendszerük szervezését és készenléti beosztásukról (név, telefonszám megadásával) a diszpécserek, villamos üzemirányítók értesítését, − a pályafenntartási, biztosítóberendezési, villamos felsővezetéki berendezési állandó és változó helyű készenléteket, értesíthetőségüket,

1070


− a vágányzárakról a pályagazdálkodási diszpécserek tájékoztatását, − a főbb eszközök tárolási helyeit, − főbb anyagok tárolási helyeit, a mindenkori hozzáférés lehetőségét, − a MÁV társaságokon kívüli vállalkozás bevonásának szükségessége esetén a következmény nagyságától függően a döntési szinteket, − a helyreállításhoz szerződés vagy megállapodás alapján bevonható vállalkozások értesíthetőségét, − veszélyes árut közömbösítő anyagok tárolási helyeit, − a segélynyújtással és helyreállítással kapcsolatos rendelkezések, intézkedések előjegyzését, − a kárhelyparancsnokok, szakmai helyreállítás vezetők és a helyreállításban közreműködők képzési, továbbképzési rendszerét. 4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tartását (rendelkezésre állás) és a használatukat (műszaki mentés) a MÁV pályavasúti szervezettel kötött szerződés biztosítja. A hálózati szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli. A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza: − a kárhelyparancsnok-helyettesi készenléti rendszer szervezését és a beosztásról (név, telefonszám megadásával) az üzem- és operatív irányítás értesítését, − a műszaki mentő és segélynyújtó egységek telepítési helyeit, értesíthetőségüket, − a műszaki mentő- és segélynyújtó egységek riasztásától számított maximális indulási időt, − A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás alapján a vasúti egységek készenlétben tartásához szükséges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyvezető biztosítását, − a bármilyen okból ideiglenesen igénybe nem vehető műszaki mentő- és segélynyújtó eszközök, illetve kiszolgáló személyzet bejelentésének kötelezettségét, − a gépészeti vasúti vegyi elhárító szolgálat szervezetének az elhelyezését, értesíthetőségüket, a szükséges létszámot és ennek biztosítását (4.B.sz. melléklet), − a műszaki mentéssel, segélynyújtással összefüggésben kapott rendelkezések és intézkedések előjegyzésének rendjét, − a műszaki mentő és segélynyújtó és a vegyi elhárító egység személyzetének képzését és rendszeres oktatását. 4.5.4. A személyszállító társaságok szabályozása tartalmazza: − az autóbuszok igénylésének lehetőségét, más személyszállító társaságok bevonhatóságát (esetleges megállapodások VOLÁN Zrt.-vel, BKV Zrt.-vel, stb.),

19. szám

− az ideiglenes helyzetben a személyszállítás fenntartásának biztosításához a döntési szempontokat, − a személyszállító vonatok szerelvény fordulóinak megváltoztatásával kapcsolatos intézkedéseket (pl. a budapesti fejpályaudvarok esetében a fordulási technológia), − a személykocsik vagyonvédelmével kapcsolatos intézkedéseket, − az utastájékoztatással kapcsolatos feladatokat, − a sérült járművek továbbításának – vasúti vágányon vagy járművön – feltételéhez kocsivizsgálót. 4.5.5. Az árufuvarozási tevékenységet végző vasúti társaságok (vállalkozó vasúti társaságok) kötelezettségeit, feladatait hálózat-hozzáférési szerződésben kell rögzíteni. Ezek tartalmazzák: – az áruvédelem érdekében a rendkívüli esetekben szükséges intézkedéseket, – az áru átrakásához szükséges intézkedési lehetőségeket, – az áru átrakásához szükséges közúti daru igénybevételének lehetőségét, – kocsivizsgálók igényszerinti biztosításának lehetőségét, – a műszaki mentesítéshez szükséges teherkocsi biztosítását, – a teherkocsik vagyonvédelmével kapcsolatos intézkedéseket, – a fuvaroztató felek értesítésére és részükről teendő intézkedéseket, – a tett intézkedésekről az érintett pályavasúti diszpécserszolgálat, valamint a gépészeti főirányítók tájékoztatását. 4.5.6. Központi válságkezelő törzs létesítésének és működésének rendjét, feladatait, a válságkezelés kommunikációs feladatait a MÁV Zrt. területén bekövetkezett biztonsági események során teljesítendő ügyeleti szolgálati és vezetői feladatokról, valamint a kárelhárítás irányításáról szóló vezérigazgatói utasítás (20/2008. (MÁV. Ért. 13.) szabályozza. 4.5.7. A műszaki mentés és segélynyújtás eszközeinek telepítési helyeit, alkalmazásaik főbb általános műszaki paramétereit a 4. A-C, 5., 6., 7., 8., 9. mellékletek tartalmazzák. 4.5.8. A katasztrófavédelmi igazgatóságoktól igényelhető főbb eszközöket és azok telepítési helyeit az utasítás 10. számú melléklete tartalmazza. 4.6. Az operatív irányítók feladatai, felelőssége, hatásköre 4.6.1. Az operatív hálózati és területi főirányítók, fődiszpécserek, villamos üzemirányítók a következmények ismeretében kötelesek a feladatkörükbe tarozó in-

19. szám


tézkedéseket megtenni a műszaki mentés és segélynyújtás, valamint a helyreállítás érdekében. Intézkedéseiket egymással és a rendkívüli helyzeteket kezelő irányítóval, illetve a hálózati és területi főüzemirányítóval egyeztetni kell. 4.6.2. A pályagazdálkodási hálózati fődiszpécser – a területi diszpécserek bevonásával – köteles intézkedni − a készenlétes szakmai helyreállítás vezető értesítésére, − a területileg illetékes, illetve készenlétet tartó főpályamesteri szakasz riasztására, − döntése szerint – a hálózati főüzemirányítóval és helyreállítást végző szervezet képviselőjével egyeztetve – a vágányzárban végzett munkák felfüggesztésére, a munkaerő és munkagépek részleges vagy teljes átcsoportosítására, − a pályavasúti szabályozásban előírt egyeztetési kötelezettség megtartásával a MÁV vasúttársaságokon kívüli vállalkozás bevonására, értesítésére, − a készenlétben tartott anyagok felhasználására, kárhelyre szállítására. A hálózati fődiszpécser, illetve területi diszpécser folyamatos kapcsolatot tart a kárhelyparancsnokkal, illetve a szakmai helyreállítás vezetővel és rendelkezései szerint teszi meg a szükséges intézkedéseket, továbbá szükség esetén intézkedik a feladatok koordinálásában. 4.6.3. A hálózati villamos üzemirányító – a területi villamos üzemirányító bevonásával – köteles intézkedni: – a készenlétes szakmai helyreállítás vezető értesítésére, – a kárhelyen a villamos felsővezeték feszültség-mentesítésére, – a felsővezetéki berendezés megrongálódása, vagy a műszaki mentési és segélynyújtási munkákhoz szükséges bontási, illetve helyreállítási feladatokat ellátó szervezet értesítésére, riasztására. Kapcsolatot tart a szakmai helyreállítás vezetővel és szükség esetén intézkedik a feladatok koordinálásában. 4.6.4. A biztosítóberendezési hálózati fődiszpécser – a területi biztosítóberendezési diszpécser bevonásával – köteles intézkedni: − a blokkmesteri szakaszok riasztására, − a készenlétes szakmai helyreállítás vezető értesítésére, − a helyreállítás vezető rendelkezésére a MÁV vasúttársaságokon kívüli vállalkozás bevonására. Kapcsolatot tart a szakmai helyreállítás vezetővel és szükség esetén közreműködik a feladatok koordinálásában. 4.6.5. A hálózati távközlési fődiszpécser – a területi távközlési diszpécser bevonásával – köteles intézkedni: − a területileg illetékes, illetve készenlétes távközlési szakasz riasztására,

1071

− a műszaki mentéshez és segélynyújtáshoz a kárhelyparancsnok által meghatározott ideiglenes távközlési öszszeköttetés biztosítására, − a megrongálódott légvezeték, illetve kábel helyreállítása érdekében a helyreállító szervezet értesítésére, riasztására, − a végleges helyreállításig a vonatforgalom fenntartásához, illetve megindításához szükséges távközlési öszszeköttetések biztosítására. 4.6.6. A MÁV-GÉPÉSZET Zrt. és a MÁV-TRAKCIÓ Zrt. közötti megállapodás alapján a MÁV-TRAKCIÓ Zrt. hálózati gépészeti főirányítója – a területi gépészeti főirányító bevonásával – köteles intézkedni: − a rendelkezésre álló információk alapján – a kárhelyparancsnok-helyettessel egyeztetve – a vasúti segélynyújtó egység (4.A.sz. melléklet) által igényelt vontatójármű és mozdonyvezető normaidőn belüli biztosítására, − a kárhelyparancsnok-helyettes rendelkezésére a körzetileg illetékes segélynyújtó egységen kívüli más segélynyújtó egységek igénybe vételéhez szükséges vontatójármű és mozdonyvezető normaidőn belüli biztosítására, − pályagazdálkodási hálózati fődiszpécserrel és a rendkívüli helyzeteket kezelő irányítóval egyeztetve a vasúti segélynyújtó és daru szerelvény egységek közlekedési útirányának kijelölésére, esetleges közlekedési feltételeinek meghatározására, − a kárhelyparancsnok vagy helyettese rendelkezésére többlet vontatójármű biztosítására, − a rendkívüli esemény miatt a vonatforgalom fenntartásához, valamint a helyreállításhoz, a tárolt anyag helyszínre továbbításához szükséges vontatójármű biztosítására. 4.6.7. A személyszállítási hálózati főirányító – a területi személyszállítási főirányító bevonásával – köteles intézkedni a hálózati főüzemirányítóval, illetve a rendkívüli helyzeteket kezelő irányítóval egyeztetetten: − a kerülő útirányon történő vonatközlekedtetés személyszállítási feladatainak végrehajtására, − vonalelzárás esetén az utasok autóbuszok beállításával történő elszállítására, − az utasok átszállással történő elszállításának szervezésére, − az utastájékoztatás megszervezésére, − a sérült személykocsi rendelkezés szerinti helyre továbbítására, − a személy-, háló-, étkező kocsik szükség szerinti őrzésvédelmére, szükség esetén a MÁV Vasútőr Kft. személyzetirányítójának bevonásával, − az utasok kiszolgálása érdekében szükséges feladatokra (pl. IC pótjegy visszatérítés). A személyszállítási területi főirányító az intézkedésekről tájékoztatni köteles a területi főüzemirányítót.

1072


4.6.8. A MÁV Zrt. rendkívüli helyzeteket kezelő irányítója – a rendkívüli esemény következményeire vonatkozó információk alapján – értesítse a vállalkozó vasúti társaság irányító szolgálatát − a műszaki mentéshez, segélynyújtáshoz szükséges teherkocsi és teherkocsi fődarab (pl. forgóváz) igényről, − a sérült teherkocsikban lévő áruk átrakásának szükségességéről, − a VVESz ügyeletes vezetője felkérésére a veszélyes áru azonosításának igényéről, − az áruvédelem megszervezésének szükségességéről, − a sérült teherkocsik továbbításának igényéről, − a hálózati főüzemirányítóval egyeztetve a kerülő útirányon történő tehervonati közlekedtetés feladatainak ellátására, − átfejtéshez szükséges kocsi biztosításának szükségességéről. 4.7. A riasztott szervezeti egységek és segélynyújtó egységek kivonulása 4.7.1. A riasztást követően a műszaki mentő és segélynyújtó egységek kötelesek a helyszínre kivonulni. A vonuló egység műszaki vezetőjének feladata a szükséges létszám meghatározása, a segélynyújtáshoz figyelembe vett eszközök működésének ellenőrzése, a szerelvény továbbításához szükséges feltételek biztosítása. 4.7.2. A vasúti segélynyújtó és daru szerelvény közlekedésének bevezetéséről – a hálózati pályagazdálkodási fődiszpécserrel és gépészeti főirányítóval egyeztetett útirányról, a közlekedési feltételekről – a rendkívüli helyzeteket kezelő irányító rendelkezésére a területi főüzemirányító köteles gondoskodni, amelyről az indító állomásnak írásbeli rendelkezéssel kell a segélyvonat mozdonyvezetőjét értesíteni. 4.7.3. A helyszínen a riasztott szakmai szervezeti egységek vezetői kötelesek részletes felmérést készíteni a következményekről, a helyreállítás érdekében szükséges intézkedésekről, és azokról a szakmai operatív hálózati főirányítót, fődiszpécsert, villamos üzemirányítót (területi főirányítót, diszpécsert) tájékoztatni. 4.8. A következmények felszámolásának általános szabályai 4.8.1. A személyek mentését, a további veszélyek megszűntetése után a következmények felszámolását úgy kell irányítani és végezni, hogy a forgalom megindítása érdekében legalább egy vágány mielőbb szabad legyen. A kisiklott, rongálódott járműveket úgy kell mozgatni, hogy azokban, valamint az egyéb vasúti berendezésekben a lehető legkisebb kár keletkezzen. 4.8.2. Baleset esetén a helyszín megváltoztatására – a személyek mentése, a tűz oltása, a további veszélyek

19. szám

megelőzése érdekében szükséges elsődleges intézkedések kivételével – a Balesetvizsgálati Utasítás rendelkezéseit kell alkalmazni. 4.8.3. Amennyiben a következmények elhárításában több szakmai terület egységei vesznek részt, az elhárítást a kárhelyparancsnok irányítja a kárhelyparancsnokhelyettessel, az egyes szakmai helyreállítás vezetőkkel és a forgalmi összekötővel együttműködve. A következmények elhárításának sorrendjéről a kárhelyparancsnokhelyettessel egyeztetve a kárhelyparancsnok dönt. 4.8.4. A baleseti helyszínt a további veszélyek megelőzése, a vagyon-védelem biztosítása, valamint a mentés és segélynyújtás zavartalan végzése érdekében elhatároló szalaggal vagy más módon körül kell határolni és a lehetséges módon, vagy a MÁV Vasútőr Kft. vagy a rendőrség bevonásával meg kell akadályozni, hogy a munkaterületre idegen sze-mélyek bejussanak. A terület védelmét a területi főüzemirányító vagy a rendkívüli helyzeteket kezelő irányító igényelheti a MÁV Vasútőr Kft. személyzetirányítójától, illetve a megyei vagy Országos Rendőr-főkapitányság ügyeletétől. 4.8.5. Minden olyan esetben, amikor a pálya elzárás nem baleset, tűz, veszélyes áru ellenőrizetlen szabadba jutása következménye, vagy a dologi következményű baleset a kárhelyparancsnoki irányítását az Utasítás 4.2.8. pontja sze-rint nem teszi szükségessé, a kárhelyparancsnok eseti megbízása alap-ján az irányítási feladatokat a szakmai helyreállítás vezető látja el. 4.8.6. A segélynyújtás és helyreállítás közben a munkát végző egység vezetője köteles gondoskodni a munkavégzéshez szükséges világításról, védőeszközökről. Felelős az ott dolgozók élet- és testi épsége védelmében szükséges biztonsági rendszabályok meghatározásáért és betartásáért a Munkavédelmi Szabályzat (30/2005. (MÁV. Ért. 33.) Vezérigazgatói utasítás: A MÁV Rt. Munkavédelmi Szabályzata) alapján. 4.8.7. A helyreállítási munkák közben biztosítani kell az egészségre, testi épségre veszélytelen munkafeltételeket. A beosztottak a feladat teljesítése közben előállt veszélyhelyzetkor csak saját életük védelmében, vagy életmentésben vállalhatnak önálló elhatározással kockázatot. Az elhárításban résztvevők egymást életükben, testi épségükben nem veszélyeztethetik. 4.8.8. A MÁV társaságokon kívüli szervezet mentési, segélynyújtási vagy helyreállítási tevékenységet végző munkavállalóit kimutathatóan tájékoztatni kell a biztonságos munkavégzés feltételeiről, különös tekintettel a vasúti terület speciális veszélyeire. A tájékoztatás a kárhelyparancsnok(helyettes), távollétében a szakmai helyreállítás vezető feladata.

19. szám


4.8.9. A MÁV Zrt. kezelésében lévő vonalakon más vasúti társaságot érintő rendkívüli esemény bekövetkezésekor a vasúti társaságnak a vasúti jogszabályok alapján együttműködési kötelezettsége van: − együttműködés a MÁV Zrt. rendkívüli helyzeteket kezelő irányítójával illetve a szakmailag illetékes operatív hálózati főirányítóval, fődiszpécserrel, − a következmények elhárításának segítése, − tájékoztatás minden olyan rendelkezésre álló információról, amely a segélynyújtás és a következmények elhárításához – különösen a veszélyes áru azonosításához – szükséges, − a vonat kerülő útirányon való közlekedtetése, − a megrongálódott vagy futásképtelenné vált jármű elszállítása, − a fuvarozott küldemény átrakása, átfejtése. 4.9. Súlyos személysérülés és dologi következményű balesetek esetén az elhárítás általános szabályai 4.9.1. A következmények elhárításának fontossági sorrendjét az Utasítás 4.1.2. pontja tartalmazza. Ennek megfelelően a MÁV Zrt. képviseletében a kárhely-parancsnoknak a katasztrófavédelmi (tűzoltó) szervezet elhárítás vezetőjével kell egyeztetnie az elsődleges mentési feladatokat, és fel kell mérnie a helyszínt a teljes körű információ megszerzése érdekében. 4.9.2. A MÁV Zrt. kárhelyparancsnokának a katasztrófavédelmi egység vezetőjével egyeztetnie kell: − a személy(ek) mentése érdekében szükséges vasúti intézkedéseket, − a tűz oltásához esetlegesen szükséges vasúti közreműködő intézkedéseket, − veszélyes áru ellenőrizetlen szabadba jutása esetén a munkabiztonsági és elhárítási intézkedéseket, − a rendőrségi szervezet bevonásával a körzet lezárását, körülhatárolását. Ellenőriznie kell, a további veszélyek megelőzése érdekében a megtett intézkedéseket, illetve azok megfelelőségét. A személyi következmények ellátásának, tűz oltásának, a környezeti és más további veszélyek megelőzésének időszakában a helyszíni munkákat a katasztrófavédelmi egység vezetője irányítja. Ehhez a szükséges segítséget a kárhelyparancsnoknak biztosítania kell. 4.9.3. A kárhelyparancsnoknak a következmények elhárításához ellenőriznie és tisztáznia kell, − a szakmai helyreállítás vezetők részéről tett és teendő intézkedéseket, − a forgalmi helyzetet a forgalmi összekötővel.

1073

4.9.4. A riasztott egységek vezetői, valamint a szakmai helyreállítás vezetők a helyszínre történő kiérkezés után kötelesek jelentkezni a kárhelyparancsnoknál, és beszámolni a tett intézkedéseikről. 4.9.5. A kárhelyparancsnoknak a helyzet felmérésről, és a forgalmi akadály várható megszüntetésének idejéről, a szükséges személyszállítási és árufuvarozási intézkedésekről tájékoztatnia kell a rendkívüli helyzeteket kezelő irányítót és a területi főüzemirányítót. A rendkívüli helyzeteket kezelő irányító ennek alapján köteles tájékoztatni az érintett vasúti társaságokat, illetve egyeztetni a személyszállítási és árufuvarozási feladatokat. 4.9.6. Nyílt vonalon történt baleset esetén a kárhelyparancsnok-helyettes a kárhelyparancsnokkal egyeztetve köteles intézkedni – a forgalmi koordinátor, illetve területi főüzemirányító bevonásával – a segélynyújtó egységek riasztására és kivonulására, a járművek sorrendjére, daruval szükséges jármű beemelés esetén a gémállásra. Együttesen döntenek más segélynyújtó egységek riasztásának szükségességéről. A kárhelyparancsnok-helyettes rendelkezésére a hálózati gépészeti főirányító köteles közreműködni a szükséges vontatójármű és mozdonyvezető biztosításában. Állomáson történt baleset esetén a helyi egyeztetést követően a forgalmi összekötő rendelkezik a vasúti járművek tolatási mozgásaira. 4.9.7. Amennyiben a Katasztrófavédelmi Igazgatóság gépi egységeinek vagy a Magyar Honvédség eszközeinek bevonása szükséges, úgy ennek igényéről – a feladatok egyértelmű meghatározásával – a kárhelyparancsnoknak a hálózati főüzemirányítót kell értesítenie, aki az Országos Katasztrófavédelmi Főigazgatóság főügyeletétől, illetve az MH Katonai Közlekedési Központ diszpécser szolgálatától jogosult ezt kérni. 4.9.8. Veszélyes áru ellenőrizetlen szabadba jutása esetén, amennyiben a rendelkezésre álló eszközök, védőeszközök nem elégségesek a veszélyek elhárításához, vagy a szükséges intézkedések a MÁV Zrt. jogosultságát és lehetőségét meghaladják, a VVESz ügyeletes vezetője a hálózati főüzemirányítót köteles értesíteni, aki az Országos Katasztrófavédelmi Főigazgatóság főügyeletétől, illetve a 4.2.18. pontban szabályozottak szerint a rendkívüli helyzeteket kezelő irányító a MÁV társaságokon kívüli vállalkozástól jogosult segítséget kérni. 4.9.9 A helyszín megváltoztatására – a mentő vagy a katasztrófavédelmi egység vezetőjének az életmentés vagy tűz oltása érdekében adott rendelkezése kivételével –, bármilyen roncs, nyom eltávolítására a kárhely-parancsnok csak a rendőrségi szemlebizottság és a balesetvizsgáló bizottság(-ok) vezetőinek engedélye után rendelkezhet. A szakmai helyreállítás vezetők csak a

1074


19. szám

kárhelyparancsnok engedélye alapján kezdhetik meg a következmények elhárítását. A rendkívüli esemény helyszínének a halaszthatatlan, az életmentés, a tűz oltása, a veszélyhelyzet megszüntetése érdekében szükséges megváltoztatását a kárhely-parancsnok, illetve a szakmai helyreállítás vezető köteles írásban rögzíteni, és a dokumentumot az eljárásra illetékes szervezet (rendőrség, ügyészség, Közlekedésbiztonsági Szervezet, üzembentartói balesetvizsgálók) részére átadni.

4.9.15. Amennyiben – a súlyos következmények miatt – a segélynyújtási és helyreállítási munkák időtartama szükségessé teszi, a munkákban résztvevők étkeztetésének, felváltásának megszervezésére a kárhely-parancsnoknak (helyettesnek) – a munkavállalókat vezénylő szolgálati hely vezetőjének bevonásával – intézkednie kell.

4.9.10. Az elsődleges személymentési, további veszély-megelőzési feladatok után a következmények elhárításának irányítását a katasztrófavédelmi szervezet kárhely-parancsnokától a MÁV Zrt. kárhelyparancsnoka veszi át (4.1.9. pont).

4.10.1. Minden olyan dologi következményű rendkívüli esemény bekövetkezésekor, amikor személyi sérülés nem történt és a következmények helyreállítása csak egy szakterület tevékenységét igényli, a kárhelyparancsnok a szakmai helyreállítás vezetőt bízhatja meg az irányítással az Utasítás 4.2.14. pontja szerint.

4.9.11. A helyreállítás sorrendjét, a párhuzamosan végzendő munkákat a kárhelyparancsnok a kárhelyparancsnok-helyettessel és a szakmai helyreállítás vezetőkkel egyeztetve határozza meg. Amennyiben a pálya felszabadítása, a műszaki mentés, illetve tűzveszély, vagy egyéb okból a helyszíni biztosítás a katasztrófavédelmi szervezet további közreműködését teszi szükségessé, úgy a kárhelyparancsnok ezt egyeztetni köteles a szervezet helyszíni egységének vezetőjével. A helyreállítási munkák irányításánál követelmény − a feladatok egyértelmű meghatározása és kiadása, − a munka-, tűz-, környezetbiztonsági feltételek biztosítása, − az egyes munkaterületek elhatárolása, − az egyes szakmai területek kapcsolódási pontjainak koordinációja. 4.9.12. A szakmai helyreállítás vezetők folyamatosan tájékoztatni kötelesek a kárhelyparancsnokot a helyreállítás helyzetéről, továbbá a szükséges eszköz- és létszámigényről a szakmailag illetékes hálózati fődiszpécsert, illetve területi diszpécsert, valamint a villamos üzemirányítókat. 4.9.13. Amennyiben a teljes körű helyreállítás nem fejezhető be, de a pálya ideiglenes felszabadítása lehetővé teszi a forgalom megindítását, úgy az ideiglenes helyzetben szükséges forgalmi intézkedésekre a forgalmi összekötő – a szakmai helyreállítás vezetővel egyeztetve – rendelkezik. 4.9.14. Amennyiben a baleset utáni következmények elhárítása már nem igényli a MÁV társaságok, a pályavasúton belüli szervezetek közötti, valamint a MÁV vasúttársaságokon kívüli szervezetekkel a folyamatos koordinációt, a kárhelyparancsnok a további irányítási feladatot átadhatja a szakmai helyreállítás vezetőnek, melyről a területi főüzemirányítót és a rendkívüli helyzeteket kezelő irányítót értesíteni köteles.

4.10. Dologi, nem súlyos következményű rendkívüli események helyreállítása

4.10.2. A 4.2.6. pontban szabályozottak szerint az eseti megbízás alapján irányítási feladatot ellátó szakmai helyreállítás vezető – felügyeli a MÁV társaságokon kívüli vállalkozás által végzett helyreállítási munkákat és kapcsolatot tart a vállalkozás munkavezetőjével, – irányítja a MÁV társaságokon belüli saját szakmai szervezet által végzett helyreállítási munkákat, – egyezteti a munkákat a közvetlenül érintett állomások forgalmi vezetőjével (megbízottjával), a szakmailag illetékes operatív diszpécserrel, villamos üzemirányítóval, szükség esetén a forgalmi vonalirányítóval vagy a területi főüzemirányítóval. 4.10.3. Amennyiben a helyreállítási munkák szükségessé teszik más szakmai terület bevonását, úgy az eseti megbízással rendelkező szakmai helyreállítás vezetőnek az illetékes operatív területi főirányítótól, villamos üzemirányítótól, diszpécsertől kell intézkedést kérnie. 4.10.4. Ideiglenes helyreállítás esetén a szakmai helyreállítás vezető – amennyiben átmeneti forgalmi korlátozás bevezetése válik szükségessé – jogosult a területi főüzemirányító intézkedését kérni. 4.10.5. Az eseti megbízással rendelkező szakmai helyreállítás vezető felelős a munkabiztonsági feltételek és a MÁV társaságok utasításaiban a munkavégzésre, valamint annak befejezése után az előjegyzésekre vonatkozó előírások megtartásáért. 4.10.6. Baleset esetén az eseti megbízással rendelkező szakmai helyreállítás vezető a helyszín megváltoztatására, illetve a helyreállítás megkezdésére az Utasítás 4.9.9. pontjában előírtak megtartásával adhat engedélyt.

19. szám


4.11. A pálya felszabadítása személyi baleset esetén 4.11.1. Személyi baleset esetén – amikor dologi következménye a rendkívüli eseménynek nem volt és a személy(ek) mentése műszaki segélynyújtást a MÁV Zrt. részéről nem igényel – a pálya felszabadítását a rendőrségi helyszíni szemle vezetője engedélyezi a sérült ellátása, illetve a meghalt személy elszállítása után. Az állomás forgalmi vezetője (megbízottja) állomáson történt baleset esetén minden esetben, nyílt vonalon bekövetkezett esetben pedig lehetőség szerint köteles közreműködni a mentést követően a pálya felszabadításában, és ehhez a forgalmi intézkedéseket megtenni. 4.11.2. Amennyiben a MÁV Zrt. balesetvizsgálója is helyszíneli a rendkívüli eseményt, úgy a rendőrségi helyszíni szemle vezetőjével egyeztetve köteles a vonat mielőbbi továbbhaladása érdekében a szükséges intézkedéseket megtenni. 4.11.3. Nyílt vonalon történt személyi baleset esetén – amikor az állomás forgalmi vezetőjének (megbízottjának) a helyszíni intézkedésre nincs lehetősége, illetve a MÁV Zrt. részéről a helyszínelés azonnal nem kezdődik meg – a vonat továbbhaladására a rendőrségi helyszíni szemle vezetőjének engedélye után a mozdonyvezető köteles a forgalmi vonalirányító vagy a területi főüzem-irányító hozzájárulását megkérni, akinek ezt egyeztetnie kell a rendkívüli esemény helyszínével szomszédos két állomás forgalmi szolgálattevőjével. 4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, intézkedések veszélyes áru ellenőrizetlen szabadba jutása esetén 4.12.1. A VVESz feledata: A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatkozó Nemzetközi Szabályzat) szerint veszélyesnek minősülő áruk rendellenes szabadba jutásakor, vagy a szállítóeszközök meghibásodásakor, a veszélyhelyzet elhárítására kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, – a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján. A VVESz telepítési helyét a 4.B.sz. melléklet tartalmazza. Záhony térségében és a MOL Dunai Finomító területén a Rail Cargo Hungária Zrt. működteti a vegyielhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet). A VVESz tevékenységi köre: − veszélyes árukat szállító vasúti járművek tárolóterének, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, csepegések, szóródások megszüntetése,

1075

− veszélyes áruval rakott kisiklott kocsik rakott állapotban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása, − tömörtelen tároló edényzet, tartály javíthatatlansága vagy ideiglenes javítása esetén döntés a kocsi továbbíthatóságáról vagy átfejtéséről és a továbbítás feltételeiről, − a veszélyes anyagoknál az átfejtés végrehajtása, a biztonságos átrakás, átfejtés irányítása, − baleset következtében sérült, siklott, felborult, veszélyes áruval rakott kocsiknál a sérülés ideiglenes helyreállítása, döntés az emelhetőségről és annak végrehajtásáról, a szakmai felügyelet biztosítása, − kiömlött veszélyes áruk esetében az elsődleges felszivattyúzás és a sürgős közömbösítés elrendelése, a közömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pályagazdálkodási hálózati fődiszpécserrel egyeztetve. 4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁVGÉPÉSZET KJK Ferencváros) ügyeletes vezetője a hálózati főüzemirányító (rendkívüli helyzeteket kezelő hálózati irányító) értesítése (az elsődleges információk) alapján dönt a helyszínre vonulásról. Az ügyeletes vezető szükség esetén: − folyamatos kapcsolatot tart a hálózati főüzemirányítóval, − szakmai tanácsaival segíti a pályavasút helyi szakmai irányítóját a veszélyek megelőzésében. Az ügyeletes vezető a kapott információk alapján jogosult – a főüzemirányító tájékoztatása mellett – olyan esetekben is kivonulni, amikor nem riasztották, de a helyszíni jelenlétét fontosnak ítéli meg. 4.12.3. Nagyobb környezetszennyezés esetén a kármentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egészség-, Biztonság- és Környezetvédelmi szervezet hatáskörébe tartozik, aki köteles bekövetkezett eseményben érintett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni. 4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen belül kötelesek a helyszínre kivonulni. Az ügyeletes vezetőnek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes vezetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől. 4.12.5. A VVESz riasztott egységének vezetője röviden és tömören köteles tájékoztatni a beosztott személyzetet a feladatról és annak tervezett végrehajtásáról. Kü-

1076


lön fel kell hívnia a figyelmet az adott eseménynél előforduló veszélyhelyzetekre, az alkalmazandó védőfelszerelésekre és magatartási szabályokra. 4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felszabadítása – az elhárítás előkészítését irányítani, illetve abban közreműködni. 4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezetőjének az elhárítás mielőbbi és biztonságos elvégzése érdekében adott rendelkezéseit végrehajtani. 4.12.8. A szolgálati hely megbízottja köteles arról gondoskodni, hogy amennyiben a sérült járművek futóképesek és elvontatásuknak egyéb akadálya nincs, azokat villamos felsővezetékkel el nem látott, ennek hiányában feszültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhetők. Ha az állomáson vontatójármű nem áll rendelkezésre, úgy ennek biztosítását a területi gépészeti főirányítótól kell kérni a kárhelyparancsnok vagy kárhelyparancsnokhelyettes útján. 4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonságot is veszélyeztetnek vagy a környezetszennyezés nagyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők. A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az elhárítást zavarják, vagy újabb veszélyhelyzetet jelenthetnek. 4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón keresztül a megyei (Budapesti) Rendőr-főkapitányság, illetve a Katasztrófavédelmi Igazgatóság közreműködését. 4.12.11. Folyadékoknál, szilárd anyagoknál, a levegőnél nehezebb gázoknál és gőzöknél a sérült kocsit lehetőleg olyan helyre kell állítani, ahol a veszélyeztetett területen akna, gödör, mélyedés nincs. 4.12.12. A veszélyövezetet a szélirány és a szélsebesség figyelembevételével kell kijelölni és lezárni, biztosítva, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az esetleges lakó-, ipari-, közlekedési objektumokat is a veszélyeztetés elkerülése érdekében.

19. szám

4.12.13. A kivonuló egység vezetője felelős: − az egységnek a legrövidebb időn belül és a legrövidebb útvonalon a kárhelyre érkezéséért, − az egység vezetője által kevésbé, vagy egyáltalán nem ismert anyagok esetében a segédletekből, ennek hiányában a feladótól vagy az átvevőtől az anyag tulajdonságaira, az alkalmazott elhárítási módra és eszközökre vonatkozó ismeretek megszerzéséért, − az elhárítás előkészítéséért (pl. mentesítő (közömbösítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése). 4.13. A veszélyes áru ellenőrizetlen szabadba jutásának elhárítása 4.13.1. A helyszínre érkezés után a VVESz ügyeletes vezetője a kapott információkat a helyszínen köteles kiegészíteni a veszélyhelyzet körülményeire és az elhárítás módjára vonatkozó adatokkal. 4.13.2. Amennyiben a baleset következtében veszélyes áruval rakott kocsi sérült, kisiklott vagy felborult és a VVESz biztonsági felügyeletet lát el, úgy a kárhelyparancsnoknak a VVESz ügyeletes vezetőjének vegyi- és tűzvédelmi vonatkozású észrevételei kötelező figyelembevételével kell a segélynyújtási, elhárítási munkákat szervezni és irányítani. A veszélyes áru ellenőrizetlen szabadba jutása esetén a kárhelyparancsnoki feladatokat a további veszélyek megszüntetéséig a VVESz ügyeletes vezetője látja el. 4.13.3. A VVESz ügyeletes vezetője – a nem baleseti következményként történt veszélyes áru ellenőrizetlen szabadba jutása esetén – köteles folyamatosan tájékoztatni a hálózati főüzemirányítót, az érintett vasútvállalat árufuvarozási hálózati főirányítóját, illetve a rendkívüli helyzeteket kezelő irányítót a munkák menetéről, a befejezés és normál üzem felvételéről, várható időpontjáról. 4.13.4. A VVESz ügyeletes vezetője bármilyen jellegű kivonulás esetén, (pl. szaktanácsadás, felügyelet ellátás, kényszer átfejtés) Vegyi Elhárítási Jegyzőkönyvet köteles kitölteni (11. sz. melléklet). Veszélyes áru ellenőrizetlen szabadba jutása esetén az eseményről a Balesetvizsgálati Utasításban szabályozott „Ténymegállapítási jelentés veszélyes áru ellenőrizetlen szabadba jutásáról” c. formanyomtatványt is köteles kitölteni. A jegyzőkönyv egy példányát az érintettek megkapják. 4.13.5. A VVESz ügyeletes vezetője a helyzet felmérése és az időjárási viszonyok alapján intézkedik a munkaerőváltás lebonyolítására, annak figyelembevételével, hogy a munkák folyamata ne szakadjon meg. 4.13.6. Amennyiben – a VVESz mérései alapján – a munkaterületen mérgező anyagok, vagy a légterében egészségre ártalmas gázok tűréshatáron felüli tömény-

19. szám


ségben mutathatók ki, a megfelelő számú egyéni védőfelszerelés biztosítását a VVESz ügyeletes vezetőjének vagy a kárhelyparancsnoknak a hálózati főüzemirányítón keresztül kell kérnie az Országos Katasztrófavédelmi Főigazgatóság főügyeletétől (4.9.8 pont). 4.13.7. A VVESz ügyeletes vezetője az elhárítási munkák befejezés után a vasúti kocsikkal kapcsolatos teendőket fuvarozási naplóban köteles bejegyezni, és az érintett vasúttársaság árufuvarozási hálózati főirányítónak, amennyiben ilyen nincs akkor a kijelölt kapcsolattartó személynek telefaxon, illetőleg a lehetőségekhez mérten e-mail-ben bejelenteni. A vasúti terület mentesítésének szükségességét a forgalmi szolgálattevőnél a fejrovatos naplóba köteles bejegyezni és a hálózati főüzemirányítónak jelenteni. 4.13.8. Ideiglenes javítás esetén gondoskodni kell arról, hogy a szolgálatban lévő kocsivizsgáló a javított kocsit megfelelő módon bárcázza le. 4.13.9. Sikertelen elhárítás esetén a VVESz addig nem hagyhatja el a helyszínt, amíg a sérült kocsi megfelelő őrzéséről – az árufuvarozási hálózati főirányítóval vagy a MÁV Vasútőr Kft. személyzetirányítójával történt egyeztetés alapján – nem gondoskodott, vagy a MÁV társaságokon kívüli vállalkozás az elhárítást nem fejezte be. A terület mentesítésekor – szükség esetén – az Egészség-, Biztonság- és Környezetvédelmi Osztály a VVESz szakfelügyeletét kérheti.

1077

5.0 HATÁLYBALÉPTETÉS Az Utasítás a kihirdetés napján lép hatályba. 6.0 MELLÉKLETEK JEGYZÉKE 1.sz. ÖTM Országos Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás kivonata. 2.sz. A kárhelyparancsnok (helyettes) feladatai. 3.sz. Adatlap a rendkívüli esemény következményeiről. 4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és segélynyújtó egységek telepítési helyei. 4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító egység telepítési helye. 4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárító egységek telepítési helyei. 5.sz. Irányelvek a következményektől függően alkalmazandó műszaki mentő és segélynyújtó egységekre. 6.sz. MD 600 sorozatú daru főbb adatai. 7.sz. MD 1250 sorozatú daru főbb adatai. 8.sz. KRC 1220 sorozatú daru főbb adatai. 9.sz. A Lucas típusú hidraulikus emelők. 10.sz. A Katasztrófavédelmi Igazgatóságok Veszélyhelyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhelyzeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele. 11.sz. Vegyi Elhárítási Jegyzőkönyv. Andrási Miklós s.k.

4.13.10. A környezetvédelmi mentesítés részletes szabályait külön utasítás tartalmazza.

elnök-vezérigazgató

1078

A MÁV Zrt. Értesítője 1. sz. melléklet Kivonat a Megállapodásból ORSZÁGOS KATASZTRÓFAVÉDELMI FŐIGAZGATÓSÁG és a MAGYAR ÁLLAMVASUTAK Zrt. VEZÉRIGAZGATÓSÁGA együttműködési megállapodást köt.

1. Az együttműködésben foglaltak hatálya kiterjed – az OKF és a MÁV Zrt. mindazon tevékenységi területeire, amelyek a két szervezet szakmai munkájának keretében az egymást kölcsönösen segítő intézkedések öszszehangolásához szükségesek. – a MÁV Zrt-n keresztül a MÁV-GÉPÉSZET Zrt., a MÁV-TRAKCIÓ Zrt., a MÁV-START Zrt. társaságokra (továbbiakban: MÁV Csoport). – azon – további – vasúti társaságokra, melyek az Együttműködési Megállapodáshoz (továbbiakban: Megállapodás) csatlakozási nyilatkozat alapján – a MÁV Zrt-n keresztül – csatlakoztak, és a nyilatkozat mellékleteiben feltüntetett erőiket, eszközeiket az együttműködéshez felajánlják. 2. Általános – mindkét félre vonatkozó rendelkezések 2.1. A területi (helyi) értesítési, riasztási és intézkedési kötelezettségeken túlmenően az OKF Központi Ügyelete és a MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányító) kölcsönösen telefonon tájékoztatja egymást a MÁV Csoport, illetve a csatlakozó vasúti társaságok területén bekövetkezett mindazon – területi szerveik által jelentett – rendkívüli eseményekről, melyek következtében – az életmentési feladatok, – a tüzek oltása, – a jelentős vagyoni kár felszámolása, a további veszélyhelyzet kialakulásának megelőzése, illetve a helyreállítás segítése, – a veszélyes áruk – Veszélyes áruk nemzetközi vasúti fuvarozásáról szóló szabályzat (RID) szerinti – ellenőrizetlen szabadba jutása a katasztrófavédelem polgári védelmi szervezeteinek, a hivatásos önkormányzati-, az önkéntes és létesítményi tűzoltóságok erőinek, eszközeinek igénybevételét szükségessé teszik, illetve – a MÁV Csoport területén kívüli esetben (a mentéshez a MÁV Csoportba tartozó és a csatlakozó vasúti társaságok segélynyújtó és elhárító egységeinek a közreműködése szükséges. 2.2. Kölcsönösen tájékoztatják egymást – e megállapodás mellékleteiben feltüntetve – azokról, az országban igénybe vehető főbb segélynyújtó és műszaki mentő eszközeikről, berendezéseikről, amelyek alkalmasak a MÁV

19. szám

Csoport és a csatlakozó vasúti társaságok területén, illetve azon kívül előforduló rendkívüli események következményeinek elhárításához. 2.3. Kölcsönösen és térítésmentesen biztosítják egymás részére az élet- és vagyonmentéshez, valamint a kárelhárításhoz a szaktanácsadók, valamint a speciális eszközök, tűzoltószerek, műszaki berendezések, védőruhák, anyagok igénybevételét. Az élet- és vagyonmentéshez, valamint a kárelhárításhoz igénybevett speciális eszközök, tűzoltószerek, műszaki berendezések, védőruhák, anyagok költségei megtérítésével kapcsolatban a vonatkozó jogszabályok szerint járnak el. 3. Az OKF vállalja 3.1. A MÁV Csoport és a csatlakozó vasúti társaságok területén bekövetkezett káresemények helyszínén – a vonatkozó jogszabályban előírtak teljesítésén túl – gondoskodik a MÁV Zrt. Műszaki Mentési és Segélynyújtási Utasítása szerint eljáró kárhely parancsnok (MÁV elhárítás vezetője) megfelelő informálásáról. a Megállapodás keretében biztosítandó segítségnyújtásról, az 1. és 2. számú mellékletben foglalt erők eszközök – szükség szerinti – kirendeléséről. Az együttesen végzett mentési és elhárítási munkák esetén kölcsönösen egyeztetik a kárfelszámolás érdekében szükséges feladatok végrehajtását. 3.2. Rendkívüli esemény bekövetkezésekor az illetékes megyei közgyűlés elnökénél (főpolgármesternél) – szükség esetén – kezdeményezi a területi polgári védelmi szervezetek vezetésbiztosító és híradó, valamint kárfelszámolási szakszolgálat parancsnokság keretében létrehozott szakalegységeinek bevonását a veszélyeztetett vasúti területen dolgozók és a lakosság lehetőség szerinti gyors riasztásába és informálásába, valamint a védekezési feladatok végrehajtásába. 3.3. A Veszélyhelyzeti Felderítő Szolgálat (továbbiakban: VFSZ) és a Veszélyhelyzeti Felderítő Csoportok (továbbiakban: VFCS-k) segítséget nyújtanak a vasúton fuvarozott, illetve tárolt fokozottan veszélyes anyaggal bekövetkezett rendkívüli eseményeknél az anyag azonosításához, és ehhez technikai eszközöket és személyzetet biztosítanak. Közreműködnek közvetlen életveszély esetén a mentésben, az elsősegélynyújtásban, a károk felmérésében, kiterjedésének megelőzésében (csökkentésében), mentesítésében. 4. A MÁV Zrt. vállalja 4.1. A bekövetkezett súlyos következményű vasúti balesetekről, tűzesetekről katasztrófát okozó veszélyes anyagok szabadba jutásáról, amikor a személyi sérüléshez, nagy értékű dologi kár elhárításához a tűzoltóság illetve a polgári védelem segítsége szükséges, a MÁV

19. szám


Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányítója) haladéktalanul értesíti az OKF Központi Ügyeletét, a MÁV Zrt. területi főüzemirányítója pedig az OKF területileg illetékes ügyeletét. 4.2. A Megállapodásban foglaltakat – a hatályba lépésével egyidejűleg – a MÁV Csoportba tartozó MÁVGÉPÉSZET Zrt., MÁV-TRAKCIÓ Zrt., MÁV-START Zrt. társaságokra kötelező érvénnyel kiterjeszti, a végrehajtást koordinálja. Az erről szóló ügyirat eredeti példányát, valamint az igénybe vehető erőiket, eszközeiket és a riasztásuk módját e Megállapodás 3. számú melléklete tartalmazza. 4.3. Csatlakozási Nyilatkozatban (továbbiakban: Nyilatkozat) foglaltak alapján koordinálja a Megállapodáshoz a MÁV Zrt-n keresztül csatlakozó vasúti társaságokkal történő együttműködést, a Nyilatkozatokban feltüntetett erők, eszközök igénybevételét. A Nyilatkozatok eredeti példányait e Megállapodás mellékleteiként csatolja, melyek tartalmi követelményeit e Megállapodás 4. számú melléklete tartalmazza. 4.4. A MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányítója) az OKF Központi Ügyeletének igényére – a MÁV Csoport és a csatlakozó vasúti társaságok területén kívül történt rendkívüli esetben is – riasztja: – veszélyes anyag ellenőrizetlen szabadba jutás esetén a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgálatát, – súlyos következményű baleset és más rendkívüli esetben a MÁV-GÉPÉSZET Zrt. műszaki-mentő és segélynyújtó egységét, – a vasúti pályához közeli tűzesetek oltásához a MÁVGÉPÉSZET Zrt. által a mellékletben meghatározott helyeken készenlétben tartott vízszállító tartálykocsikat, melyek segítséget nyújtanak a mentési (oltási) és védelmi feladatok ellátásához.

1079 2. sz. melléklet

A KÁRHELYPARANCSNOK és HELYETTES FELADATAI A kárhelyparancsnok és kárhelyparancsnok-helyettes: ¾ Riasztás után – a káresemény helyszínére indulás előtt – tájékozódjanak a területi főüzemirányítótól a rendelkezésre álló információkról, a következményekről, és közösen döntsenek az elsődleges intézkedésekről, a műszaki mentőegység(ek) riasztásáról. ¾ Az esemény helyszínén mérjék fel a helyreállításhoz szükséges személyi és tárgyi feltételeket, és egyeztetés után intézkedjenek – amennyiben szükséges – a további segélynyújtó és elhárító egységek, eszközök kirendelésére, igénybevételére. A kárhelyparancsnok: ¾ Személyek mentése esetén intézkedjen a tűzoltóság és a mentők igénye szerint a szükséges személyi vagy műszaki segítségnyújtás biztosítására. ¾ Egyeztesse és koordinálja a feladatokat a közreműködő szervezetek helyszíni munkairányítóival, és döntsön az elvégzendő munkák sorrendjéről. A kárhely-parancsnok utasítását az elhárításban résztvevőknek maradéktalanul végre kell hajtani. ¾ Folyamatosan működjön együtt a balesetvizsgáló bizottsággal, illetve a helyszínelést végző hatóságokkal. ¾ Egyeztesse és koordinálja a feladatok végrehajtását a forgalmi összekötővel és vegye figyelembe a forgalmi igényeket. ¾ Intézkedjen a további segélynyújtó és elhárító egységek, eszközök kirendelésére, az elhárítási munkák biztosításához. ¾ Tartson folyamatos kapcsolatot a hálózati és területi főüzemirányítóval, a rendkívüli helyzeteket kezelő irányítóval, a hálózati operatív fődiszpécserekkel, villamos üzemirányítókkal, adjon rendszeres tájékoztatást az elhárítási munkák állásáról. ¾ Szükség esetén az operatív főirányítón, fődiszpécsereken, villamos üzemirányítókon keresztül kezdeményezze a külső vállalkozások bevonását a helyreállításba. ¾ Szükség esetén kezdeményezze a katasztrófavédelmi szervezet és a honvédségi erők közreműködését az elhárítási munkákban. ¾ A helyreállítási munkák során intézkedjen a szükséges forgalomkorlátozások előjegyeztetésére, útátjárók, műtárgyak lezárására, vágányzár, lassújel, vagy felső-vezetéki berendezéssel ellátott pályán a feszültség-mentesítés bevezetésének elrendelésére.

1080


3.sz. melléklet Adatlap a rendkívüli esemény következményeiről

19. szám

19. szám


1081

1082


19. szám

4.A.sz. melléklet A MÁV-GÉPÉSZET Zrt. műszaki mentő és segélynyújtó egységek telepítési helyei. Sorszám 1.

2.

Telepítési hely Ferencváros

Székesfehérvár

3. 4.

Győr Szolnok

5. 6.

Miskolc Debrecen

7.

Szeged

8. 9.

Dombóvár Szombathely

10.

Záhony

Baleseti segélynyújtó egységek felsorolása – közúti–vasúti segélynyújtó UNIMOG gépjármű (KVSU–01) – vasúti segélynyújtó szerelvény – MD–603 psz. vasúti segélynyújtó daruszerelvény (nagyjavítás után MD 605 psz.) – RÁBA közúti segélynyújtó gépkocsi – MD–1252 psz. vasúti segély-nyújtó daruszerelvény (nagyjavítás után MD 1253 psz.) – vasúti segélynyújtó szerelvény – vasúti segélynyújtó szerelvény – KRC 1220 sor. vasúti segélynyújtó daruszerelvény – vasúti segélynyújtó szerelvény – RÁBA közúti- vasúti segélynyújtó gépjármű – TÁTRA közúti segélynyújtó gépjármű – vasúti segélynyújtó szerelvény – vasúti segélynyújtó szerelvény – TÁTRA közúti segélynyújtó gépjármű – vasúti segélynyújtó szerelvény – vasúti segélynyújtó szerelvény (normál nyomtávú) – vasúti segélynyújtó szerelvény (széles nyomtávú)

Kivonulási létszám meghatározása 6 fő

4. B sz. melléklet A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egység telepítési helye Telepítési hely Budapest Ferencváros

Közúti vegyi elhárító egység telepítési helyei -Vasúti Vegyi Elhárító Szolgálat

4. C sz. melléklet A Rail Cargo Hungária Zrt. közúti vegyi elhárító egység telepítési helye Telepítési helyVegyi Elhárító Egység Záhony

- Vasúti Vegyi Elhárító Szolgálat Kirendeltség

+ 1 fő

6 fő + 1 fő 6 fő 6 fő + 2 fő 6 fő 6 fő 6 fő 6 fő 6 fő 6 fő

19. szám


1083

5.sz. melléklet Irányelvek a következményektől függően alkalmazandó műszaki mentő és segélynyújtó egységekre Műszaki mentő és segélynyújtó eszközök

Hidraulikus emelő

MD 600

MD 1250 és KRC 1220

x

+

1. Állomási vágány hálózat: - folyó vágányon siklott jármű - váltókörzetben egyszerű siklás - váltókörzetben több kocsi siklása - kis állomás, kevés vágány - kis távolságban keresztmező

+ +

x

-

2. Nyílt vonali vágány hálózat: Egy vágányú pályán: - egy kocsi siklott - több jármű siklott - nagy túlemelés, több jármű

+ + +

+ -

x -

+ x

x +

x

+ +

Kettő vagy több vágányú pályán: - egyik vágányon egy kocsi - egyik vágányon több kocsi - mindkét vágány több kocsival zárva 1. és 2. területen a siklott járművek tömege, rakományának helyzete: – könnyű, kevés jármű, sínhez közel – mozdony keresztbefordulva – rakott jármű mindkét oldalon besüllyedve – könnyű jármű vágánytól távol – rakott, nehéz vágánytól messze – jármű pályaszint alatt (töltéshez viszonyítva/ – könnyű jármű felborulva – rakott, nehéz jármű felborulva – több könnyű jármű egymáson – több jármű és rakomány egymáson

+ +

+ x

+

+ -

+ + +

több egység egyidejű munkája

A táblázat jelölései a következők: + a használat egyértelműen kedvezőbb, x vagylagosan választható, – egyértelműen kizárható. A vasúti eszközökön kívül figyelembe veendők a 10. sz. mellékletben foglaltak.

+

+ +

1084


6.sz. melléklet MD 600 sorozatú daru főbb adatai

19. szám

19. szám


7.sz. melléklet MD 1250 sorozatú daru főbb adatai

1085

1086


8.sz. melléklet KRC 1220 sorozatú daru főbb adatai

19. szám

19. szám


9.sz. melléklet A Lucas típusú hidraulikus emelők

1087

1088


19. szám

10./1.sz.melléklet Az Országos Katasztrófavédelmi Igazgatóság Veszélyhelyzeti Felderítő Szolgálat (továbbiakban: VFSZ) és a Veszélyhelyzeti Felderítő Csoportok (továbbiakban: VFCS-k) riaszthatósága és igénybevétele: A VFSZ és a VFCS-k riasztása és igénybevétele az OKF Központi Ügyeletén keresztül történik. Telefon: +36 1 469-4349, +36 1 469-4293 és +36 1 469-4168. A VFSZ riasztásának ideje: 2 perc. A VFCS riasztásának ideje: munkaidőben 20 perc, hivatali időn kívül legfeljebb 60 perc. A Regionális Műszaki Mentő Bázisok (a továbbiakban: Bázis) alkalmazhatósága és felszerelései, a bázisokat üzemeltető tűzoltóságok és járműveik: • Fővárosi Tűzoltóparancsnokság járművek: daru, műszaki mentő és vegyi-elhárító konténer • Debrecen HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Győr HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Miskolc HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Pécs HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Szeged HÖT járművek: műszaki mentő és vegyi-elhárító konténer • Szolnok HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Veszprém HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer • Zalaegerszeg HÖT járművek: daru, műszaki mentő és vegyi-elhárító konténer A Bázisok működési területét a Riasztási és Segítségnyújtási Tervről, a hivatásos önkormányzati és az önkéntes tűzoltóságok működési területéről, valamint a tűzoltóságok vonulásaival kapcsolatos költségek megtérítéséről szóló 57/2005. (XI. 30.) BM rendelet (a továbbiakban: rendelet) 5. számú melléklete tartalmazza.

19. szám


1089

10./2.sz.melléklet A VFSZ és a VFCS-k működési területe és szakfelszerelései: Telepítési hely (megyei katasztrófavédelmi igazgatóságok székhelyén) Kecskemét

Pécs Miskolc Szeged Csongrád megyei VFCS) Székesfehérvár Debrecen Eger Győr Szolnok Tatabánya Salgótarján Kaposvár Nyíregyháza Szekszárd Szombathely Veszprém Zalaegerszeg Budapest (Fővárosi VFCS, Fővárosi Polgári Védelmi Igazgatóság, FPVI Bázisán) Budapest (VFSZ, Fővárosi Polgári Védelmi Igazgatóság Bázisán)

Működési terület Bács-Kiskun megye

Baranya megye Borsod-Abaúj-Zemplén megye Csongrád megye és Békés megye Fejér megye Hajdú-Bihar megye Heves megye Győr-Moson-Sopron megye Jász-Nagykun-Szolnok megye Komárom-Esztergom megye Nógrád megye Somogy megye Szabolcs-Szatmár-Bereg megye Tolna megye Vas megye Veszprém megye Zala megye Pest megye

Budapest Főváros (Fővárosi Tűzoltó-parancsnokság, FTP elsődleges működési körzetével azonos terület)

Szakfelszerelések, alkalmazhatóság Mikrometeorológia, Gázkoncentráció mérés, Sugárzásmérés, Biológiai mintavevők, Bőr- és légzésvédők, Hírforgalmi és adatfeldolgozó eszközök, Áramfejlesztő, Mentesítő (fertőtlenítő) felszerelés (3 fő részére), Lakosság-tájékoztató eszközök. 3 fős állomány: csoportvezető, technikus, gépjárművezető Feladatuk: a veszélyes anyagok jelenlétével, kiszabadulásával, környezetbe kerülésével járó balesetek, természeti és civilizációs katasztrófák esetén a beavatkozói állomány, a lakosság és az anyagi javak védelmének érdekében felderítés, szakértői feladatok ellátása, lakosságtájékoztatás, az elsődleges beavatkozók (tűzoltók) védelme, kárhely-parancsnok alárendeltségében szakértői feladatok végzése.

1090


11./1. sz. melléklet Vegyi Elhárítási Jegyzőkönyv.

19. szám

19. szám


1091

11./2. sz. melléklet

35/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás egyes humán tárgyú utasítások hatályon kívül helyezéséről 1.0 AZ UTASITÁS CÉLJA A Humánerőforrás Igazgatóság tevékenységi körébe tartozó még hatályban lévő normatív utasítások hatályon kívül helyezése jogszabályi, szervezeti és működési folyamatbeli változások miatt. 2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁROZÁSA 2.1 Az utasítás hatálya Az utasítás hatálya kiterjed a MÁV Zrt. valamennyi munkavállalójára. 2.2. Az utasítás kidolgozásáért és karbantartásáért felelős Az utasítás kidolgozásáért a Humánerőforrás Igazgatóság a felelős. 3.0 FOGALMAK MEGHATÁROZÁSA Külön meghatározás nem szükséges. 4.0 AZ UTASITÁS LEIRÁSA Az utasításhoz külön leírás nem szükséges. 5.0 HIVATKOZÁSOK, MÓDOSITÁSOK HATÁLYON KÍVÜL HELYEZÉSEK Jelen utasítás kiadásával hatályukat veszítik az alábbiakban felsorolt utasítások:

3. 13/2009. (II. 6. MÁV Ért. 5.) VIG sz. vezérigazgatói utasítás a 2009. évi személyi alapbérfejlesztés végrehajtásáról a 6-17 MMK-ban Indoklás: Az utasítások a 2008. vagy 2009. évi Bérintézkedésekről szóló megállapodás kiadásáról és azokkal összefüggő intézkedésekről szólnak. Tekintettel arra, hogy a 2008. és 2009. évi Bérmegállapodások a tárgyévben teljesültek, ezért a kihirdetésükről szóló utasítások hatályon kívül helyezését kérjük. 4. 110/2000. (MÁV Ért. 47.) FMKF. sz. utasítás a hideg környezetben végzett munka munkaszervezési intézkedéseiről 5. 55/2009 (VIII.28. MÁV Ért.25.) VIG számú vezérigazgatói utasítás a MÁV Zrt. munkavállalóinak nyelvtudási pótlékáról Indoklás: A 2010. február 1-től hatályos Kollektív Szerződés rendelkezik a tárgykörben hatályos szabályokról, külön utasításban történő rendelkezés szükségtelen. 6. 70/2003. (MÁV Ért. 19.) ISZF. sz. utasítás a Kollektív Szerződés egyes rendelkezéseinek közös értelmezéséről szóló megállapodásról Indoklás: A 2009. és 2010. évi Kollektív Szerződés záró rendelkezésében foglalt szabályok alapján indokolt a hatályon kívül helyezés. 7. 1/2005. (I. 07. MÁV Ért. 1.) Jog-vezérigazgatói utasítás a közbeszerzések végrehajtása a MÁV Rt. területén, illetve a 32/2005. (IX. 16. MÁV Ért. 37.) Jog-vezérigazgatói utasítás a közbeszerzések végrehajtásáról a MÁV Rt. területén tárgyú 1/2005.(I. 07. MÁV Ért. 1.) VIG sz. utasítás 1. sz. módosítása. Indoklás: A 32/2010. (VI. 04. MÁV Ért. 18.) EVIG sz. elnök-vezérigazgatói utasítás a MÁV Zrt. Közbeszerzési Szabályzatáról alapján indokoltak a hatályon kívül helyezések. 6.0 HATÁLYBA LÉPTETÉS Jelen utasítás a közzététele napján lép hatályba. 7.0 MELLÉKLETEK

1. 3/2008. (II. 8. MÁV Ért. 3.) VIG. sz. vezérigazgatói utasítás a MÁV Zrt. 2008. évi bérintézkedéseiről és a béren kívüli juttatások feltételeiről 2. (I.9. MÁV Ért. 1.) A MÁV Zrt. 2009. évi bérintézkedéseiről és a béren kívüli juttatások feltételeiről szóló megállapodás

Az utasításhoz melléklet nem tartozik. Andrási Miklós s.k. elnök-vezérigazgató

1092

A MÁV Zrt. Értesítője 36/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás külső féltől bérelt munkásszállás igénybevételének rendje

19. szám

gyelembe vételével – a MÁV Zrt. Humánerőforrás Igazgatója rendelkezhet a munkáltatói jogkörgyakorló kérelmére a foglalkoztatáspolitikai szempontok alapján. 4.2. Munkavállaló elhelyezése

1.0 AZ UTASÍTÁS CÉLJA 4.2.1. Az igénybevétel feltételei A MÁV Zrt. által külső féltől bérelt munkásszállások igénybevételével kapcsolatos tevékenységek és folyamatok egységes szabályozásának kialakítása, továbbá a hatásköri, ügyviteli és technikai szabályok meghatározása. 2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁROZÁSA 2.1. Az utasítás hatálya Személyi, szervezeti hatálya kiterjed a MÁV Zrt. valamennyi szervezeti egységére és valamennyi munkavállalójára. 2.2. Felelősség Jelen utasítás kidolgozásáért és karbantartásáért a Humánerőforrás Igazgatóság Folyamat és Működés Fejlesztés szervezete, a működtetéséért a Humánerőforrás Igazgatója, munkáltatói jogkörgyakorlók és a folyamatban résztvevő szervezetek a felelősek. 3.0 FOGALOM-MEGHATÁROZÁSOK Munkásszállás: a MÁV Zrt. által bérelt olyan szálláshely, amely lakóhelyiségenként egynél több, a MÁV Zrtvel munkaviszonyban lévő olyan magánszemélyek elhelyezésére szolgál, akiknek nincs lakóhelyük azon a településen, ahol a munkahelyük van. Munkásszállás koordinátor: A MÁV Zrt. és a munkásszállást biztosító külső fél közötti kapcsolattartó személy, a Humánerőforrás Igazgatóság Folyamat- és Működésfejlesztés szervezetén belül látja el ezen tevékenységet. Üzemeltető: MÁV Zrt. által bérelt kereskedelmi szálláshely szolgáltatója. Feladatait, kötelezettségeit a munkásszállói férőhely biztosítására a MÁV Zrt. és az üzemeltető között kötött szerződés szabályozza. Kategória: A kategória besorolást a 4.sz. melléklet tartalmazza.

A MÁV Zrt. által biztosított munkásszállók férőhelyének igénybevételét jelen utasítás szabályozza, összhangban a MÁV Zrt. Kollektív Szerződésének 66.§.-ában meghatározottak szerint. A munkásszállón lakók jogait és kötelezettségeit a munkásszálló házirendje tartalmazza, melynek megismerése és betartása a munkavállaló kötelessége. A házirend a szobákban elhelyezett helyiségdokumentáció része, melyet a munkásszállás üzemeltetője biztosít. A munkásszállói férőhelyet igénybevevő a használatra átvett felszerelésért, és berendezésért anyagilag felelős. A munkásszálló felszerelésében, berendezésében okozott kárt, annak okozója köteles megtéríteni. A károk, hiányosságok bejelentése a munkásszálló üzemeltetője által megjelölt személynek minden munkásszállói férőhelyet igénybevevő érdeke és kötelessége. Kizárja a kérelem benyújtását az alábbi tények közül bármelyik: a. Nem rendelkezik állandó bejelentett lakóhellyel, kivételt képeznek az állami gondozásból munkásszállásra költözők. b. A munkahellyel azonos közigazgatási helységben beköltözhető, lakástulajdonnal, vagy lakásbérlettel rendelkezik. 4.2.2. Munkavállaló munkásszálláson történő elhelyezésének menete, szabályai 4.2.2.1. Munkásszálláson történő elhelyezés igénylése A munkavállaló munkásszálláson történő elhelyezési igényét az illetékes munkáltatói jogkörgyakorló felé küldi meg, kizárólag írásban, az utasítás 1.sz. mellékletét képező „KÉRELEM” nyomtatvány 1. pontjának kitöltésével és aláírásával. Az illetékes munkáltatói jogkörgyakorló a benyújtott kérelem esetén köteles megvizsgálni, hogy a kérelem benyújtásának van-e kizáró oka és a foglalkoztatáspolitikai szempontoknak megfelel-e. Erről nyilatkoznia szükséges a „KÉRELEM” nyomtatvány 2. pontjában.

4.0 AZ UTASÍTÁS LEÍRÁSA 4.1. Férőhelyek megosztása A munkásszálló férőhelyeinek szervezeti egységek közötti megosztásáról – a csoportszintű vasúti érdekek fi-

A foglalkoztatáspolitikai szempontok az alábbiak: ¾ A MÁV Zrt szervezeti optimalizálása során a munkavállaló a migrációt vállalja, ¾ A munkakör betöltése hosszú ideje nem megoldott (a meghirdetéstől számítva több mint 2 hónap),

19. szám


¾ A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás együttes ideje több mint 2 óra, ¾ A munkakört betöltő személy munkásszálláson történő elhelyezése nélkülözhetetlen a szervezet feladatainak folyamatos ellátása tekintetében, Kizáró ok fennállása esetén és/vagy ha a kérelem egyetlen foglalkoztatáspolitikai szempontnak sem felel meg, a munkáltatói jogkörgyakorló a munkavállaló részére hivatalos írásos formában visszautasítja a kérelmet az ok megjelölésével. Amennyiben nincs kizáró ok és a foglalkoztatáspolitikai szempontoknak is megfelel a munkavállalói kérelem, a munkáltatói jogkörgyakorló a munkavállaló kérelmének támogatása – a kérelem (1.sz. melléklet) 2. pontjának kitöltése, aláírás – esetén engedélyezés céljából elsősorban elektronikus úton (szkennelve, e-mailen: [email protected]) továbbítja a kérelmet az utasítás 2.sz.mellékletét képező kitöltött, aláírt „NYILATKOZAT”-tal együtt a MÁV Zrt. Humánerőforrás Igazgatója felé a Folyamat- és Működésfejlesztés szervezeten keresztül. A munkásszállás koordinátor a MÁV Zrt. Humánerőforrás Igazgató részére döntésre előkészíti a munkásszállás elhelyezésre megküldött kérelmet (1.sz. melléklet) − felveszi a kapcsolatot a munkásszállást biztosító üzemeltetővel, − a kérelem (1.sz. melléklet) 3.pontját kitölti és aláírja. Férőhely hiányában a munkásszállás koordinátor a kérelmet támogató munkáltató jogkörgyakorló részére ezen tényt visszajelzi, és tájékoztatja arról, hogy a kérelem adatbázisba került. Üresedés esetén értesítést küld a munkáltatói jogkörgyakorló felé, aki megerősíti, hogy az igényt továbbra is fenntartja. A MÁV Zrt. Humánerőforrás Igazgató az illetékes munkáltatói jogkörgyakorló vezető javaslata és a gazdasági és humánpolitikai csoportszintű vasúti érdekek figyelembevételével dönt az érintett munkavállaló munkásszálláson történő elhelyezéséről (1.sz. melléklet 4. pontja) a rendelkezésre álló kontingens figyelembevételével. A munkásszállás koordinátor a Humánerőforrás Igazgató támogató döntéséről tájékoztatja az érintett munkáltatói jogkörgyakorlót, másolatban az illetékes humánpartnert a kérelem (1.sz. melléklet) 5. pontjának kitöltése és aláírása után, annak elektronikus úton való megküldésével. Támogató döntést követően a munkásszállás koordinátor az SAP HR rendszer 9-es, „MÁV által biztosított munkásszállás” cím infotípuson rögzíti az adott munka-

1093

vállalóhoz tartozó munkásszállás címet, a kérelmet (1.sz. melléklet) 5.pontjának kitöltése és aláírása után elektronikus úton megküldi az illetékes munkáltatói jogkörgyakorló vezető és a Humánszolgáltatás Back Office szervezete részére. Ez utóbbi szervezet részére a munkásszállás koordinátor a kérelemhez (1.sz. melléklet) csatolt kitöltött, aláírt nyilatkozatot (2.sz. melléklet) papíralapon is továbbítja. A Humánszolgáltatás Back Office szervezet a megküldött kérelem és a nyilatkozat alapján: • a kérelmet az SAP HR rendszerbe szkennelt dokumentumként feltölti és az érintett munkavállaló szolgálati táblájába helyezi, • Intézkedik a munkásszállás igénybevételéért fizetendő összeg munkabérből történő levonásáról. A munkáltatói jogkörgyakorló a MÁV Zrt. Humánerőforrás Igazgató támogató döntése esetén értesíti és részletesen tájékoztatja az érintett munkavállalót a beköltözéshez szükséges ügyintézésről. A munkásszállás koordinátor a Humánerőforrás Igazgató elutasító döntéséről tájékoztatja az érintett munkáltatói jogkörgyakorlót, a kérelem (1.sz. melléklet 4. pontjáig kitöltött) elektronikus úton történő megküldésével. A munkáltatói jogkörgyakorló az elutasítás tényéről írásban tájékoztatást ad az érintett munkavállaló részére. A 2.sz. mellékletet képező nyilatkozat megtétele nélkül, munkavállaló részére munkásszállói férőhely nem biztosítható. 4.2.2.2. Munkásszálláson történő bejelentkezés A munkásszállás koordinátor a munkásszállás üzemeltetője felé a beköltözést megelőző 30 napon belül az üzemeltetővel kötött szerződés szerinti kapcsolattartó nevére és elérhetőségére a 3.sz. melléklet (MÁV Zrt. „BEUTALÓ”) 1. és 2.a. pontját kitölti, aláírással és bélyegzővel ellátva megküldi. A munkavállaló a munkáltatói jogkörgyakorló tájékoztatása alapján a beköltözésre megjelölt időpontban és munkásszállón • megjelenik, • az üzemeltető által biztosított 3.sz. melléklet 2.b. pontot kitöltve és aláírva, • a házirendnek megfelelően beköltözik. A házirend megismerése és betartása a munkavállaló kötelessége. A munkásszállás üzemeltetője a beutalót (3.sz. melléklet), annak 2.b. pontjának kitöltése és aláírása után, viszszaküldi a munkásszállás koordinátor részére.

1094


4.2.2.3 Munkásszállói férőhelyre való jogosultság, munkavállalói igény megszűnése Amennyiben a munkásszálláson elhelyezett dolgozónak a munkásszállás igénybevételére való joga megszűnik (munkaviszony megszüntetése, fegyelmi okok, stb.) a munkásszállást haladéktalanul el kell hagynia, de legkésőbb a tárgyhó utolsó naptári napjáig. A MÁV Zrt-t elhelyezési kötelezettség a továbbiakban nem terheli. A munkásszállói férőhelyet igénybe vevő munkavállaló munkásszállói férőhelyre való jogosultságának, a Kollektív Szerződés 66.§-ban meghatározottak szerinti megszűnéséről az érintett munkavállaló munkáltatói jogkörgyakorló vezetője elektronikus formában haladéktalanul tájékoztatja a MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és működésfejlesztés szervezetét és másolatban az illetékes humánpartnert. Ennek elmulasztása esetén a munkásszállás koordinátor a tájékoztatás és a kiköltözés megtörténtéig jogosult az érintett munkavállaló munkáltatói jogkörgyakorló költséghelyére a munkásszállói férőhely igénybevételével felmerült költséget terheltetni. Amennyiben a munkavállaló lakhatására más megoldást talál és a munkásszállói elhelyezést a továbbiakban nem kívánja igénybe venni, azt a munkáltatói jogkörgyakorlójának írásban köteles jelezni. A munkáltatói jogkörgyakorló vezetője elektronikus formában haladéktalanul tájékoztatja a MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és működésfejlesztés szervezetét és másolatban az illetékes humánpartnert a többletköltségek elkerülése érdekében. A Humánszolgáltató Szervezet hó közben történő igény megszűnése esetén a munkásszállói férőhely teljes havi térítési díját az érintett munkavállaló munkabéréből levonja, a nyilatkozat (2.sz. melléklet) alapján. 4.2.2.4 Munkásszállásról történő kijelentkezés A munkáltatói jogkörgyakorló vezető elektronikus formában értesíti a munkásszállás koordinátort legkésőbb 2 héttel korábban az érintett munkavállaló munkásszállói férőhelyre való jogosultságának megszűnéséről. Amennyiben az előzetes értesítés 2 hetes intervallumon belül érkezik meg a munkásszállás koordinátor felé, az ez alapján felmerülő költség az érintett szervezeti egységet terheli. A munkásszállás koordinátor ezen információ birtokában az érintett munkavállaló beköltözéséhez korábban kitöltött, az üzemeltető által visszajuttatott BEUTALÓ-t (3.sz. melléklet), annak 3.a. pontját kitöltve haladéktalanul visszajuttatja a munkásszállás üzemeltetőjének és a munkáltatói jogkörgyakorlónak és másolatban az illetékes humánpartnernek. A munkáltatói jogkörgyakorló tájékoztatja az érintett munkavállalót a kiköltözéssel kapcsolatosan.

19. szám

Köröztetés esetén az illetékes humánpartner a munkáltatói jogkörgyakorló tájékoztatása és az SAP-ban rögzített 9-es cím „MÁV által biztosított munkásszállás” infotípus alapján köteles a köröző lapra rávezetni: „MÁV által biztosított munkásszállás férőhelyet vesz igénybe”, a munkásszálláson való tartózkodás utolsó napjának dátumát (év, hó, nap). A Humánszolgáltató Szervezet a munkásszállói férőhelyre való jogosultság, munkavállalói igény hó közben történő megszűnése, megszüntetése esetén a munkásszállói férőhely teljes havi térítési díját az érintett munkavállaló munkabéréből levonja, a nyilatkozat (2.sz. melléklet) alapján. Ebben az esetben az érintett munkavállaló tárgyhó vagy adott hónap utolsó napjáig a munkásszállóban maradhat. Az érintett munkavállaló a munkásszálláson való tartózkodás utolsó napján köteles: • a munkásszállóról a házirendnek megfelelően kiköltözni, • az üzemeltető által biztosított 3.sz. melléklet (beutaló) 3.b. pontját kitölteni és aláírni, • gondoskodni személyes tárgyainak, eszközeinek munkásszállásról, való elviteléről. Amennyiben ennek nem tesz eleget, úgy a munkásszállást üzemeltető által meghatározott időpontig köteles annak elviteléről gondoskodni. A munkásszállást üzemeltető a meghatározott időn túl a munkavállaló személyes tárgyainak megőrzésére nem kötelezhető és nem köteles. 4.3. Adatszolgáltatási, elszámolási és egyéb kötelezettség 4.3.1. Havi költségelszámolással kapcsolatos feladatok az üzemeltető és a megrendelő munkáltatók között Munkásszállás koordinátor Az üzemeltető által a számla kiállítása előtt megküldött igénybevevői névsort és adatokat leellenőrzi a kitöltött munkásszálláson történő elhelyezésre vonatkozó kérelmen szereplő munkáltatói jogkörgyakorló költségvállaló nyilatkozata figyelembevételével. Elvégzi a tényleges munkásszállás felhasználás szervezeti egységekre való költségmegosztást, mely alapján előkészíti az üzemeltető által kiállítandó számla mellékletét és a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t. Az „igénybevevői nyilvántartás adattábla” (excell alapú) az alábbi adatokat tartalmazza:

19. szám

Törzsszám

A MÁV Zrt. Értesítője Igénybevevő munkavállaló neve

Üzletág (Pálya=P vagy Központ=K)

Létszámban tartó szervezet költséghely kódja

1095 UTK kód (0105)

Fk.szla (516516)

Összeg (Ft)

A MÁV Zrt. Humánerőforrás Igazgatója által leigazolt teljesítésigazolást és az alapját képező igénybevevői nyilvántartást megküldi az üzemeltető felé.

A munkásszállás számlázott költségei a 0105 (UTK) tevékenységi kódra, az 516516 főkönyvi számlára kerülnek elszámolásra.

A teljesítésigazolással egyidőben a Kontrolling Igazgatóság Humán Kontrolling szervezet részére elektronikus úton haladéktalanul megküldi a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t excell formátumban.

Az érintett költségelszámoláshoz kötődő UTK, illetve Főkönyvi számla számának változásáról haladéktalanul tájékoztatja a munkásszállás koordinátort a [email protected] e-mail címen, mely alapján van módja a munkásszállás koordinátornak ezen változást/ változásokat az „igénybevevői nyilvántartás adattáblá”-n módosítani.

Számviteli Szervezet Az üzemeltető által kiállított számlát és a mellékletét képező teljesítésigazolást beszkenneli a Basware rendszerbe, és megküldi kontírozásra a Kontrolling Igazgatóság Humán Kontrolling szervezet részére. A Humánerőforrás Igazgató jóváhagyását követően, a Számviteli Szervezet a számla könyvelését a Humán Kontrolling által elektronikusan megküldött, könyvelési adatokat is tartalmazó „igénybevevői nyilvántartás adattábla” alapján végzi el. A könyvelés és a költségek szétosztásának megtörténtéről a munkásszállás koordinátort a [email protected] e-mail címen haladéktalanul értesíti. A Humánszolgáltató Szervezet által a munkásszállói férőhelyet igénybevevő munkavállaló béréből levont munkásszállói térítési díjat bevételként a létszámbantartó szervezet javára elszámolja.

Humán Kontrolling Kikontírozza a Basware rendszeren keresztül érkezett számlát az 59360 vállalati általános költséghelyre, jóváhagyás előtt a számlakezelő rendszerbe a munkásszállás koordinátor által megküldött excell igénybevevői nyilvántartás adattáblát felcsatolja, ami alapján a Számviteli Szervezet a költségek szétosztását végzi. A számlát jóváhagyásra megküldi a Humánerőforrás Igazgató részére a Basware rendszeren keresztül. Figyelemmel kíséri minden hónapban az általános költséghely nullára való kifutását.

Igénybevevői névsor beérkezése

Szervezeti egységenkénti költségmegosztás, Igénybevevői nyilvántartás excell adattábla előállt Előkészített teljesítésigazolás

Teljesítésigazolás

Teljesítésigazolás alapját képező Igénybevevői nyilvántartás excell adattábla Üzemeltető által kiállított számla, teljesítésigazolás üzemeltető által küldése

Üzemeltető által megküldött igénybevevői névsor ellenőrzése

Teljesítésigazolás előkészítése

Teljesítés igazolása

Teljesítésigazolás megküldése

Teljesítésigazolás alapját képező Igénybevevői nyilvántartás excell adattábla küldése Számla fogadása, szkennelése Basware rendszerbe, kontírozásra továbbítás Kikontírozza a Basware rendszeren keresztül érkezett számlát 59360 általános költséghelyre, igénybevevői nyilvántartás excell adattábla felcsatolása

2.

3.

4.

5.a

5.b

7.

6.

Munkásszállás férőhely igénybevétel

Munkáltatói nyilatkozat a költségviselésről

1.

Tevékenység inputja

Tevékenység

Ssz

Kikontírozott költség, Igénybevevői nyilvántartás excell adattábla felcsatolva

Kontrolling Igazgatóság Humán Kontrolling

Számvitel

Humánerőforrás Igazgató Munkásszállás koordinátor Munkásszállás koordinátor

Munkásszállás koordinátor

Előkészített teljesítésigazolás

Leigazolt teljesítésigazolás


Munkáltatói jogkörgyakorló

Felelős

Szervezeti egységenkénti költségmegosztás, Igénybevevői nyilvántartás excell adattábla előállt

Munkáltatói költségviselési nyilatkozat

Tevékenység outputja

Üzemeltető, munkáltatói jogkörgyakorló

Támogató

Folyamatleírás költségek elszámolásáról

Humánerőforrás Igazgató Számvitel Szervezet



Üzemeltető


Humánerőforrás igazgató


Információt kapó

Számla, teljesítésigazolás

Igénybevevői nyilvántartás excell adattábla



Munkáltatói jogkörgyakorló költségvállalási nyilatkozata (kérelem) Igénybevevői nyilvántartás excell adattábla Munkáltatói jogkörgyakorló költségvállalási nyilatkozata (kérelem) és igénybevevői névsor (üzemeltetőtől) alapján Teljesítésigazolás

Dokumentum, sablon, rendszer


Számla jóváhagyása Munkáltatói jogkörgyakorló költségvállalási nyilatkozata (kérelem) alapján -1.pont Számla könyvelése, költségek szétosztása létszámbantartó szervezetre, munkásszállói térítési díj bevételként való elszámolása Általános költséghely figyelemmel kísérése, nullára való kifutás

8.

9.

Tevékenység

Ssz

Jóváhagyott számla

Költségek lekönyvelése 0105 UTK tevékenységi kódra, 516516 főkönyvi számlára

Jóváhagyott számla

Tevékenység outputja

Kontírozás

Tevékenység inputja


Számvitel

Humánerőforrás Igazgató

Felelős

Támogató

Basware rendszer

Basware rendszer

Létszámbantartó szervezet

Dokumentum, sablon, rendszer

Számvitel

Információt kapó


1098


Humán Szolgáltatás Információs Egység A MÁV Zrt. Humán Szolgáltatás Szervezet Információs Egység havonta egyszer – tárgyhót követően legkésőbb 15-éig az alábbi tartalmú adatállományt (excel formátumban) elektronikus úton szolgáltatja a MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és működésfejlesztés szervezet részére azon munkaviszony megszűnésekről, megszüntetésekről, melyek esetén „MÁV által biztosított munkásszállás” lakcímfajta adatot tartalmaz a rendszer. – Törzsszám – Név – Szervezeti egység megnevezése – Költséghely kódja – MÁV által biztosított munkásszállás címe – Intézkedés megnevezése – Intézkedés dátuma

19. szám

si díj ugyanezen szervezeti egység(ek) részére bevételként kerül lekönyvelésre. Elhelyezésre nem jogosult szállásférőhelyet elfoglaló személy, térítési díjként a férőhelyre eső teljes költséget köteles megfizetni. 4.5. Kapcsolattartás MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és Működésfejlesztés utasításban foglalt feladataihoz kapcsolódóan az elérhetőség a [email protected] e-mail cím. 5.0 HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK Jelen utasítás a MÁV Zrt. Kollektív Szerződés 66 §-a figyelembevételével készült.

4.4. Díjfizetés 6.0 HATÁLYBA LÉPTETŐ RENDELKEZÉS A MÁV Zrt. által külső féltől bérelt munkásszálláson elhelyezett munkavállalók az elhelyezésért a MÁV Kollektív Szerződés 66.§.4. pontja szerinti, a munkásszállás besorolásának megfelelő térítési díjat kötelesek fizetni. A munkavállaló által fizetendő havi (fix) munkásszállás térítési díjat a Humánerőforrás Igazgatóság Humánszolgáltató Szervezet a jelen utasítás 2.sz. melléklet (Nyilatkozat) alapján az érintett munkavállaló munkabéréből levonja. A külső féltől bérelt munkásszállás teljes bérleti díját a munkásszállást igénybevevő munkavállaló(ka)t létszámban tartó szervezeti egység(ek) viseli(k), ugyanakkor a munkavállaló munkabéréből levont munkásszállói téríté-

Jelen utasítás a kiadás napján lép hatályba. 7.0 MELLÉKLETEK JEGYZÉKE 1.sz. melléklet: Kérelem munkásszálláson történő elhelyezésre vonatkozóan 2.sz. melléklet: Nyilatkozat bérből történő levonásra 3.sz. melléklet: MÁV Zrt. „BEUTALÓ” Munkásszállóra történő bejelentkezési és kijelentkeztetési nyomtatvány 4.sz. melléklet: Külső féltől bérelt munkásszálló kategória besorolás Andrási Miklós s.k. elnök-vezérigazgató

19. szám 1.sz. melléklet


1099

1.sz melléklet Iktatószám (munkásszállás koordinátor által adott): …..….…………………..

KÉRELEM Munkásszálláson történĘ elhelyezésre vonatkozóan Alulírott azzal a kérelemmel fordulok a MÁV Magyar Államvasutak Zrt.……………………….… ………………………………(szervezeti egység) vezetĘjéhez, hogy a ……..……..sz. utasításban foglaltak alapján, munkásszálláson történĘ elhelyezésemet biztosítani szíveskedjen. 1. Munkavállaló személyi és szolgálati adatai: Név: ………………………………………………… Törzsszám: Leánykori név: …………………………………………………………….. Szül.hely, idĘ: …………………………………………………………….. Személyi igazolvány száma: …………………………………………………………….. Állandó lakcím: …………………………………………………………….. Szolgálati hely ……………………………………………………………………………. Munkakör: …………………………………………………………….. ElérhetĘség (telefonszám, e-mail): …………………………………………………………….. Kért munkásszállás helye (város, címe): …………………………………………………….. ………………………, 20 . ……………..hó …. nap Kijelentem, hogy a fent felsorolt adatok a valóságnak megfelelnek, továbbá hozzájárulok, hogy munkásszállás biztosítás céljából a munkásszállás igénybevételének rendje címĦ utasításban szereplĘ szervezetek a kérelmen szereplĘ adatokat nyilvántartásba vegyék. A munkásszálláson használt dolgokban és eszközökben keletkezett károkért a polgári jog szabályai szerint felelek. A használat megszĦnése esetén valamennyi használt dolgot rendeltetésszerĦ használatra alkalmas állapotban vagyok köteles visszaadni vagy az ennek érdekében felmerült költséget megtéríteni. A munkásszálláson való tartózkodás utolsó napjáig gondoskodom a munkásszállón lévĘ személyes tárgyaim, eszközeim elvitelérĘl. ………………………..………………………. Munkavállaló aláírása 2. Munkáltatói jogkört gyakorló javaslata: ͘ A MÁV Zrt szervezeti optimalizálása során a munkavállaló a migrációt vállalja ͘ A munkakör betöltése hosszú ideje nem megoldott /a meghirdetéstĘl számítva több mint 2 hónap/ ͘ A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás együttes ideje több mint 2 óra ͘ A munkakört betöltĘ személy munkásszálláson történĘ elhelyezése nélkülözhetetlen a szervezet feladatainak folyamatos ellátása tekintetében ͘ Engedélyezem, egyben nyilatkozom arról, hogy kizáró ok nincs és a megjelölt foglalkoztatáspolitikai szempontok fennállnak. A munkavállaló térítési díján felüli költségeket a létszámban tartó szervezeti egység vezetĘjeként vállalom. ͘ Nem engedélyezem Munkáltatói jogkörgyakorló neve (nyomtatot betĦvel): ………………………..……………….. Telefonszám: 06-….-………………., faxszám: 06-.…-….…...…., e-mail cím:…………………….. …………………..………… Dátum

…………………………………………… Munkáltatói jogkörgyakorló aláírása

1100


19. szám

3. Munkásszállás koordinátor: Munkásszálláson történĘ elhelyezés Rendelkezésre áll szabad férĘhely ͘ igen, az alábbi munkásszálláson (cím)………………………………………………… ͘ nem ……....………………………..…… dátum

……..……………..…….…………... aláírás

4. HumánerĘforrás Igazgató döntése:

͘ Jóváhagyom

͘ Elutasítom

Indokolás: ………………………………………………………………………………………... ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. ……....………………………..…… dátum

…..……..……………….…………... aláírás

5. Munkásszállás koordinátor: Munkásszálláson történĘ elhelyezés ͘ Biztosítható, az alábbi helyen Munkásszállás címe: ………………………………………….……………………….… Szobai elhelyezés: 2ágyas 3ágyas az alábbi idĘponttól: A beköltözés tervezett idĘpontja: ………………………………………………..……… ……....………………………..…… dátum

……..…….……………….…………... aláírás

19. szám


1101

2.sz. melléklet

2.sz. melléklet

NYILATKOZAT Munkásszállás díj bérbĘl történĘ levonásra A Humánszolgáltató Szervezet Back Office jövedelem elszámolás részére Alulírott…………………………………………………………………………………/NÉV/ Anyja neve:……………………………………………………………………………………... Születési helye, ideje, hó, nap:…………………………………………………………………. Személyi igazolvány száma:……………………………………………………………………. Törzsszáma:…………………………………………………………………………………….. Szolgálati hely kódja:………………………………………………………………………….... Hozzájárulásomat adom ahhoz, hogy az általam igénybevett munkásszállás költségeit a mindenkori változások figyelembevételével (MÁV Zrt. Kollektív SzerzĘdés 66 §-a alapján I. és II. kategóriához rendelt térítési díj, 2ágyas szoba esetén 8.000,-Ft/fĘ/hó, 3ágyas szoba esetén 5.000,-Ft/fĘ/hó) Munkáltatóm…………………………………………………………(megnevezés, cím, költséghely) a munkabérembĘl minden hónapban levonhassa. Kifejezetten hozzájárulok továbbá ahhoz, hogy amennyiben a munkaviszonyom megszĦnése esetén a munkaviszony megszüntetésének idĘpontjában munkásszállás költségtartozásom áll fenn, a tartozás teljes összegét fent nevezett munkáltatóm a munkabérembĘl levonja. Tudomásul veszem, hogy jelen nyilatkozatot a munkáltatóm hozzájárulása nélkül, egyoldalúan nem vonhatom vissza. ……………………………………..,20.…. ………..hó ……nap. ………………………………………….. Munkásszállás használója A munkásszállás díjának munkabérbĘl történĘ levonásához hozzájárulok: …………………………………………… munkáltató P.H. Tanúk: ………………………………………….. név ………………………………………….. cím

………………………………………….. név ………………………………………….. cím

Munkásszállás koordinátor tölti ki! Szállás kategória alapján munkavállalói térítési díj összege: …………………………….. Munkásszállás koordinátor neve (nyomtatottan)

Ft/hó

………………………………… Aláírása

1102


3.sz. melléklet

19. szám

3.sz. melléklet MÁV Zrt. „BEUTALÓ” munkásszállóra történĘ bejelentkeztetési-kijelentkeztetési nyomtatvány

1. A …………………………………….iktatószámú kérelem alapján munkásszállói férĘhely igénybevételére jogosult munkavállaló adatai: Név: Törzsszám: Leánykori név: Szül.hely, idĘ: Személyi igazolvány száma: Állandó lakcím: Anyja neve: ElérhetĘség (telefonszám): Munkásszállás megnevezése, címe: 3ágyas Szobai elhelyezés: 2ágyas ________________________________________________________________________________ . . . . 2.a. Beköltözésre rendelkezésre álló idĘtartam: Munkásszállás koordinátor neve (nyomtatottan) Telefonszám:

faxszám:

………………………………… Aláírása, bélyegzĘ -

e-mail cím: …………………………………… ________________________________________________________________________________ . . 2.b. Beköltözés tényleges idĘpontja: ………………………………………………………. BeköltözĘ jogosult munkavállaló neve (nyomtatottan)

……………………………….. Aláírása

……………………………………………….. Munkásszállás üzemeltetĘ neve (nyomtatottan) Telefonszám:

……………………………….. Aláírása, bélyegzĘ -

faxszám:

e-mail cím: …………………………………… Dátum: ………………………………, . ………………..………...hó ….…... nap ________________________________________________________________________________ . . 3.a. Kiköltözés tervezett idĘpontja: ………………………………,

. ………………..………...hó ….…... nap

………………………………………………… ………………………………….. Munkásszállás koordinátor neve (nyomtatottan) Aláírása, bélyegzĘ ________________________________________________________________________________ 3.b. Kiköltözés tényleges idĘpontja: . . KiköltözĘ munkavállaló neve (nyomtatottan)

Aláírása

Munkásszállás üzemeltetĘ neve (nyomtatottan)

Aláírása, bélyegzĘ

Dátum: ………………………………,

. ………………..………...hó ….…... nap

19. szám


1103

4.sz. melléklet Külső féltől bérelt munkásszálló kategória besorolás A MÁV Zrt. Kollektív Szerződés 66.§. 4. pontja szerint a munkásszállás I. kategóriás munkásszálló, amennyiben kettőágyas az elhelyezés, II. kategóriás amennyiben háromágyas. Mindkettő esetben az alábbi feltételeknek azonban teljesülniük kell, melyet az üzemeltető biztosít. • éjjel-nappal nyitvatartó recepció, éjjel-nappal elérhető gondnok, mely ellátható a recepció által is, • a vendégek rendelkezésére álló telefon nyilvános is lehet épületen belül, • ágyneműcsere legalább kéthetente 1x, új vendég esetén – a vendég érkezése előtt – kötelező, • minden megkezdett 10 ágy után egy darab emeletenként és nemenként elkülönített emeleti vizesblokk, zuhanyzó és WC, • hideg-melegvízű mosdó a közös vizesblokkban, a szobákban kézmosási lehetőség, • vizesblokk berendezése, felszereltsége: szobák: mosdó, tükör, piperepolc, törülközőtartó, elektromos csatlakozó, fedett szeméttároló. Közös WC: WC-kefe tartóval, WC-papírtartó WC papírral, kézmosó. Közös fürdő: elsősorban zuhanyzófülke, mosdó, tükör, törülközőtartó, ruhafogas, fedett szeméttároló, • lift a három emeletnél magasabb épületekben, • emeletenként minden 3 férőhely után 1 db zárható tároló szekrény, fiók, legalább 0,1m3 térfogatú, amely elhelyezhető szobában, étkezőben vagy folyósón, • valamennyi közös helyiség és terület takarítása naponta, illetve a szobákat takarítása heti 1 alkalommal az érintett lakókkal előre egyeztetett időpontban, • valamennyi helyiség évenkénti 2x-i nagytakarítása, • 100 férőhelyenként 1db zsetonnal működtethető automata mosógép, • TV nézési lehetőség, épületenként legalább 3 elkülönített közös helyiség, • emeletenként, konyhánként 1 db mikrosütő és 25 férőhelyenként legalább 1db melegítőfelület, • étkezési lehetőség konyhánként legalább 6 személyes, • épületen belül kijelölt dohányzóhely, • internet elérési lehetőség, legalább 1db díjmentes csatlakozási lehetőséggel bíró számítógép, • valamennyi közös helyiség takarítása naponta, • szobák nagysága: a kétágyas szoba legalább 12 nm, háromágyas szoba legalább 18m2, • szobák berendezése: ágyméret legalább 80x190 cm, szobánként egy asztal, ágyanként ülőalkalmatosság, éjjeliszekrény, személyenként egy darab zárható szekrény, olvasólámpa, sötétítő függöny, 1db minimum 60 literes hűtőszekrény, amennyiben a szobában elhelyezett zárható szekrény személyenként legalább 200cm magas, 60cm mély, és 40cm széles, úgy az éjjeli szekrényt polc is kiválthatja, • a szobák hőmérséklete a téli időszakban minimum 20 fok.

1104


Egyéb közlemények

508-3

A MÁV Zrt. ÜDSZSZ Könyvtárba újonnan érkezett UIC döntvények

Relations entre entreprises ferroviaires et acheteurs de prestations de transport ferroviaire en transport combiné international

543-1

623-2 Norme de qualité pour une palette plate EUR en bois de dimensions 800 X 1200 mm (EUR1) A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége 10. kiadás; Kiadva: 2010..04.01 435-4

791-2

920-2

Német nyelvű kiadások 290

Kombinierter Ladungsverkehr – Definitionen Kombinált teherforgalom – Meghatározások 3. kiadás; Kiadva: 2010.02.01

291 Norme qualitative pour une palette plate EUR en bois de dimensions 800 mm x 600 mm (EUR-6)

Beziehungen zwischen den Eisenbahnunternehmen im internationalen Kombinierten Ladungsverkehr Vasúti vállalatok közötti kapcsolatok a nemzetközi kombinált forgalomban 2. kiadás; Kiadva: 2010.02.01

A fából készült 800 x 600 mm-es (EUR-6) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01 292 505-5

Codification numérique unifiée des établissements A szolgálati helyek egységes számjegyes kódolása 5. kiadás; Kiadva: 2010.01.01

A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01 435-6

Diagnostic de l’état de la caténaire Felsővezeték-rendszer feltételeinek vizsgálata 1. kiadás. Kiadva: 2010.03.01

Réparation de palettes plates EUR et box-palettes EUR

Norme qualitative pour une palette plate EUR en bois de dimensions 1 200 mm x 1 000 mm (EUR-2) et 1 000 mm x 1 200 mm (EUR-3)

Essai d’homologation des moteurs diesel d’engins moteurs Dízelmotoros mozdonyok hitelesítő tesztjei 6. kiadás; Kiadva: 2010.03.01

Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása 3. kiadás; Kiadva: 2010.03.01 435-5

Frein – Contrôle d’un standard minimal dans la maintenance du frein équipant les wagons Fékek – Teherkocsifékek karbantartására vonatkozó minimális szabványok felülvizsgálata 2. kiadás; Kiadva: 2010.03.01

Kapcsolatok a vasutak és a vasúti teljesítmények vásárlói között a nemzetközi kombinált forgalomban 2. kiadás; Kiadva: 2010.02.01 435-2

Voitures – Exigences générales applicables aux essieux à écartement variable pour les réseaux à écartement de 1 435 mm et de 1 520 mm Személykocsik – A változtatható nyomtávú kerékpárok futóműveinek általános követelményei az 1435 és 1520 mm nyomközű vasutak számára 1. kiadás; Kiadva: 2010.01.01

Francia nyelvű kiadások 292

19. szám

Historique, justifications et commentaires sur l’élaboration et l’évolution des Fiches UIC série 505 et 506 traitant du gabarit

Beziehungen zwischen Eisenbahnunternehmen und Käufern von Bahn-Transportleistungen im Rahmen des Internationalen Kombinierten Ladungsverkehrs

Történet, indoklás és magyarázat az 505-ös és 506-os, űrszelvényekről megjelenő UIC döntvények kidolgozására 3. kiadás; Kiadva: 2010.04.01

Kapcsolatok a vasutak és a vasúti teljesítmények vásárlói között a nemzetközi kombinált forgalomban 2. kiadás; Kiadva: 2010.02.01

19. szám 435-2

A MÁV Zrt. Értesítője Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 x 1200 mm (EUR-1)

920-2

1105 Einheitliche nummerische Codierung der Bahnstellen A szolgálati helyek egységes számjegyes kódolása 5. kiadás; Kiadva: 2010.01.01

A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége 10. kiadás; Kiadva: 2010..04.01

Angol nyelvű kiadások 435-4

Reparatur von EUR-Flachpaletten und EURBoxpaletten

292

Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása 3. kiadás; Kiadva: 2010.03.01 435-5

Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 1 200 mm x 1 000 mm (EUR-2) und 1 000 mm x 1 200 mm (EUR -3)

Kapcsolatok a vasutak és a vasúti teljesítmények vásárlói között a nemzetközi kombinált forgalomban 2. kiadás; Kiadva: 2010.02.01 435-2

A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01 435-6

Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 mm x 600 mm (EUR-6)

Reisezugwagen – Allgemeine Anforderungen für Laufwerke mit Spurwechselradsätzen für die Eisenbahnen der Spurweiten 1 435 mm und 1 520 mm

435-4

435-5

Informationsübertragung im Zug (Zugbus) Információátvitel a vonaton (vonatkommunikáció) 5. kiadás; Kiadva: 2009.08.01 Zulassungsprüfung für Dieselmotoren der Triebfahrzeuge Dízelmotoros mozdonyok hitelesítő tesztjei 6. kiadás; Kiadva: 2010.03.01

Standard of quality for a EUR flat pallet made of wood and measuring 1 200 mm x 1 000 mm (EUR-2) and 1 000 mm x 1 200 mm (EUR-3) A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01

435-6

623-2

Repair of EUR flat pallets and EUR box pallets Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása 3. kiadás; Kiadva: 2010.04.01

Személykocsik – A változtatható nyomtávú kerékpárok futóműveinek általános követelményei az 1435 és 1520 mm nyomközű vasutak számára 1. kiadás; Kiadva: 2010.01.01 556

Standard of quality for EUR flat pallet made of wood measuring 800 mm x 1200 mm (EUR-1) A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége 10. kiadás; Kiadva: 2010.04.01

A fából készült 800 x 600 mm-es (EUR-6) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01 508-3

Relations between railway undertakings and buyers of rail transport services in international combined transport

Standard of quality for a European flat pallet made of wood, measuring 800 mm x 600 mm (EUR-6) A fából készült 800 x 600 mm-es (EUR-6) raklapok szabványos minősége 2. kiadás; Kiadva: 2010.04.01

502-2

Exceptional consignments – Outline procedure Rendkívüli küldemények – Az eljárás körvonalai 1. kiadás; Kiadva: 2009.11.01

1106 508-3

A MÁV Zrt. Értesítője Passenger coaches – General requirements for running gear with dual gauge wheelsets for railways with 1 435 mm and 1 520 mm gauges Személykocsik – A változtatható nyomtávú kerékpárok futóműveinek általános követelményei az 1435 és 1520 mm nyomközű vasutak számára 1. kiadás; Kiadva: 2010.01.01

543-1

Brakes – A study of minimum standards for maintenance of goods wagon brakes Fékek – Teherkocsifékek karbantartására vonatkozó minimális szabványok felülvizsgálata 2. kiadás; Kiadva:2010.03.01

559

Specification „Diagnostic Data Transmission” from railway vehicles (This Leaflet is to be published in English only) Vasúti járművek diagnosztikai adatátvitelének előírásai (A döntvény csak angol nyelven jelenik meg) 1. kiadás; Kiadva: 2010.01.01

623-2

19. szám Approval tests for diesel engines of motive power units Dízelmotoros mozdonyok hitelesítő tesztjei 6. kiadás; Kiadva: 2010.03.01

920-2

Standard numerical coding of locations A szolgálati helyek egységes számjegyes kódolása 5. kiadás; Kiadva: 2010.01.01

Felügyeleti igazolvány érvénytelenítése A MÁV Zrt. Biztonsági Igazgatóság Területi Vasútbiztonsági Osztály, Szeged létszámába tartozó Schüszler Attila védelmi szakelőadó részére kiadott 005851 sz. felügyeleti igazolvány elveszett. Fenti sorszámú felügyeleti igazolvány érvénytelen, azt megtalálás, vagy felmutatás esetén be kell vonni és a körülményeket tisztázó jegyzőkönyv kíséretében a Jogi Igazgatóság Ügykezelési és Dokumentációs Szolgáltató Szervezet részére meg kell küldeni.

19. szám


1107

1108


19. szám

Szerkeszti a MÁV Zrt. Vezérigazgatóság Jogi Igazgatósága 1087 Budapest Könyves Kálmán körút 54-60. Telefon: 511-3105. Szerkesztésért felelős a Szerkesztőbizottság. Kiadja a MÁV ZRt. Jogi Igazgatósága. Felelős kiadó: Dr. Siska Judit. Terjeszti a MÁV Zrt. Ügykezelési és Dokumentációs Szolgáltató Szervezet (1087 Budapest, Könyves Kálmán körút 54-60.)

HU ISSN 1419–3973 Nyomdai előkészítés: COMP-Press Kft. Budapest. Felelős vezető: Ibos Ferenc, műszaki vezető: Szabó Károly

ÉRTESÍTÕ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁG. Utasítások. 19. szám 125. évfolyam június 11. TARTALOM

Recommend Documents