19. szám
130. évfolyam
2015. november 20.
ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG TARTALOM Utasítások
oldal
46/2015. ( XI. 20. MÁV Ért. 19. ) EVIG sz. utasítás A MÁV Zrt. Informatikai Biztonsági Szabályzatáról
1581
Utasítások 46/2015. ( XI. 20. MÁV ÉRT. 19. ) EVIG SZ. UTASÍTÁS A MÁV ZRT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATÁRÓL 1.0 AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT CÉLJA Az Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (továbbiakban Társaság) tulajdonában, kezelésében álló adatok bizalmasságának, sértetlenségének, rendelkezésre állásának biztosítása, illetve a használatában lévô informatikai rendszerek biztonsági szempontból történô szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelôsségek meghatározása. 2.0 HATÁLY— ÉS FELELÔSSÉG MEGHATÁROZÁSA 2.1. A szabályzat hatálya 2.1.1. A szabályzat személyi hatálya A szabályzatban meghatározott minden elôírás, feladat, magatartási szabály — beosztásra való tekintet nélkül — kötelezô érvényû, és hatálya vonatkozásában kiterjed:
— a Társasággal munkaviszonyban és munkavégzésre irányuló egyéb jogviszonyban álló valamennyi természetes személyre (a továbbiakban: felhasználó), — a Társaság informatikai rendszereihez történô hozzáférésre kötött kétoldalú megállapodásban, szerzôdésben vagy külön nyilatkozatban foglalt személyi körre, amennyiben a szabályzatot magára nézve kötelezônek ismeri el. Nem terjed ki a szabályzat a Társaság által mûködtetett rendszerek bárki számára elérhetôvé tett, nyilvánosan hozzáférhetô egyoldalú informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevôire, továbbá a minôsített adat védelmérôl szóló törvény hatálya alá tartozó elektronikus biztonsági rendszerekre, illetve az azokban feldolgozott adatokra. 2.1.2. A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: — a Társaság elektronikus adatainak teljes körére, a keletkezési és feldolgozási helyüktôl, idejüktôl, az adatok fizikai megjelenési formájától és az azokat feldolgozó rendszertôl függetlenül, — a Társaság tulajdonában, használatában lévô valamennyi informatikai eszközre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket használó eszközökre, valamint azok mûszaki dokumentációira is,
1582
A MÁV Zrt. Értesítôje
— a Társaság használatában lévô rendszer— és felhasználói programokra, — a Társasághoz tartozó informatikai eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására. 2.2. A szabályzat kidolgozásáért és karbantartásáért felelôs A szabályzat kidolgozásáért és karbantartásáért felelôs a MÁV Zrt. Biztonsági fôigazgatóság vezetôje. 3.0 FOGALMAK MEGHATÁROZÁSA Adat: Az információ hordozója, tények, utasítások vagy fogalmak formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. Adatállomány: az egy nyilvántartásban kezelt adatok összessége. Adatbázis: Azonos minôségû (jellemzôjû), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adatbiztonság: az informatikai (adattároló és feldolgozó) rendszer azon állapota, amelyben az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának kockázata megelôzô intézkedésekkel elviselhetô mértékûre csökkenthetô. Ez az állapot nemzetközi szabványokon alapuló elôírások és megelôzô biztonsági intézkedések betartásának eredménye. Az adatbiztonság fogalma az adatok technikai (pl. mûszaki, szervezési) védelmét jelenti. Adathordozó: Azon digitális eszközök (pl. optikai lemezek, merevlemezek, szalagok, kazetták, flash memória alapú tárolóeszközök) összefoglaló neve, amelyeken az adatokat tárolni tudjuk. Adatvagyon: az a vagyonfajta, amely a Társaság adatait, információit tartalmazza, amelyet rendszerenként kell megállapítani és a Társaságra összegezni. Adatvédelem: A személyes adatok gyûjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége (a személyes adatok védelme csak természetes személyre értelmezhetô, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik). Adminisztratív védelem/biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintû informatikai biztonsági szabályzatok.
19. szám
Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezôrendszer, szöveg— és táblázatkezelô programok, Társaság specifikus programok (pl. FOR, MTR, IHIR, GIR), amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyûjt be, rendszerez, tárol, kezel. Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások pl. Excel—táblák, makró— programok, SQL lekérdezések, egyéni adatbázisok) nem tekinthetôk informatikai alkalmazásnak. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges mûködési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak elôírásszerûen mûködnie kellene. Auditálhatóság: Az a mérték, amennyire külsô felek képesek lehetnek annak ellenôrzésére és elemzésére, hogy a rendszer milyen módon mûködik vagy mûködött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan speciális informatikai eszközökre épülô integrált alkalmazás (pl. folyamatirányító rendszerek), amelyet egy konkrét feladat vagy feladategyüttes ellátására terveztek, és közös jellemzôjük a nagyfokú autonomitás, valamint a fizikai környezettel való információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak — és csak a jogosultsági szintjük mértékében — ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemzô kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.), sérülésükbôl és kiesésükbôl eredô károk nagysága. A biztonsági követelmények osztálytól függôek, és az osztályok szerint egyre emelkedô szintû biztonságot definiálnak. Három kategóriát (alap — fokozott — kiemelt) különböztetünk meg mind az információvédelem (bizalmasság, sértetlenség), mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény — incidens: A biztonságot fenyegetô egy vagy több tényezô tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt információhoz csatolt és azzal együtt továbbított kód-
19. szám
A MÁV Zrt. Értesítôje
sorozat. Lehetôvé teszi, hogy az információ olvasója ellenôrizni tudja egyrészt a küldô személyazonosságát, másrészt az információ sértetlenségét. Dokumentumfüggô, azaz ha bármilyen változtatás történik az elektronikusan aláírt fájlban, akkor az nem fejthetô vissza. Egyszerû, fokozott biztonságú és minôsített kategóriája létezik. Érzékeny adat/információ: lásd „Védendô információ” fogalom. Felhasználó: az az alkalmazott vagy egyéb jogviszonyban álló természetes személy, aki informatikai eszközt és programot (alkalmazást) használ munkaköri feladatai ellátásához, aminek teljesítéséhez — a szükséges szabályok elfogadását követôen — az eszközök és az alkalmazás használatára hozzáférési jogosultságot kapott. Felhô alapú számítástechnika (cloud computing): Olyan adatokkal és alkalmazásokkal történô munkavégzés, amelyek fizikailag nem egy jól meghatározható (sokszor nem is a Társaság tulajdonában álló) számítógépeken, hanem az internetre csatlakozó szervereken, elosztott módon tárolódnak. A privát számítási felhô egyetlen szervezet számára elérhetô informatikai erôforrások gyûjteménye. Fenyegetô tényezôk: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezôtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektôl eredô támadások, véletlen események, külsô tényezôk általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, kártékony program, programhiba). Fizikai biztonság: Az információt kezelô rendszerek fizikai védelmét megvalósító védelmi intézkedések pl.: tûzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzôje, hiányossága, amelynek révén fenyegetô tényezôk hatásának van kitéve. Helyi hálózat (LAN) (Local Area Network): A Társaság (fizikailag több helyen levô) infokommunikációs eszközeit összekötô, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzôen belsô információs célokra, a meglevô hardver és szoftver eszközök közös használatára, és az informatikai eszközöknek (pl. szerver, munkaállomás) egymáshoz, az intranethez vagy az internethez való kapcsolására szolgál.
1583
Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülô rendszerelemek kölcsönösen és egyértelmûen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hordozható adattároló: Olyan adattárolásra alkalmas eszköz (pl. CD/DVD, pendrive, külsô merevlemez, memóriakártya), amelynek elsôdleges célja a benne tárolt adatok átvitele egyik fizikai helyrôl a másikra. Hordozható informatikai eszköz: E szabályzat alkalmazása során a következô eszközöket értjük alatta: hordozható számítógép (pl. notebook, netbook, ultrabook), tábla számítógép (tablet), (okos) telefon. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhetô tevékenységekre vonatkozó engedély a különbözô szintû felhasználók számára. Infokommunikáció: A számítástechnika, a távközlés és az elektronikus média integrált egységességét kifejezô megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával mûködtetett (pl. vezérelt) telepített, vagy mobil eszközök, továbbá rendszerek, eljárások összessége vagy ezek alkotó elemei (pl. számítógép, hordozható informatikai eszköz és adattároló, nyomtató, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelô, vezérlô programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésû célprogramok stb.], továbbá az informatikai alapokra épülô távközlési rendszerek [pl. IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök], valamint a hálózatmenedzsment elemei). Informatikai biztonság: Olyan mûködési és védelmi állapot, amely a megfelelô erôforásokkal, eszközökkel és módszerekkel akadályozza meg a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevô káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme — az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából — zárt, teljes körû, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó elôírások, szabványok betartásának vagy mellôzésének az eredménye;
1584
A MÁV Zrt. Értesítôje
19. szám
pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között.
kockázatot elemzéssel, a rendszert fenyegetô tényezôk értékelése útján kell megállapítani.
Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, mûködtetésének elôsegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenôrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat— és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végzô személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.)
Kockázatelemzés: Olyan elemzô és értékelô jellegû szakértôi vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a kockázati esemény által okozott potenciális kárértékeket és azok bekövetkezési gyakoriságát.
Intranet: Az internetnél is használt protokollokra és szolgáltatásokra épülô, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levô) informatikai eszközeit köti össze, amely megoldást jelent belsô információs rendszerek kialakítására és eszközeit alapesetben az internet felôl közvetlenül nem lehet elérni.
Különleges személyes adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyôzôdésre, az érdek—képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bûnügyi személyes adat.
Jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerzôdésnek megfelelôen használt szoftver. Katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkezô, természeti erô vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb elôfordulása, ami a megengedett kiesési idônél hosszabb idôszakra megakadályozza, vagy megszûnteti a rendszer teljes egészének vagy tevékenységei/szolgáltatásai jelentôs részének a rendeltetésszerû, folyamatos mûködését. Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött, hirdetést, felhívást — akár kártékony tartalmat is — tartalmazó e— mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztô, a címzett üzleti érdekbôl történô kihasználására törekszik. Kockázat: Fenyegetô tényezô vagy esemény bekövetkezésének a valószínûsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a mûködését. A
Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért rendszerük mellé védelmi eszközöket rendelnek. Ésszerû egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és az azok által elért kockázatcsökkenés között.
Maradó kockázat: Az az elfogadható mértékû kockázat, ami annak ellenére is fennmarad, hogy a fenyegetô tényezôk ellen intézkedéseket tettek, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem terveztek megelôzô intézkedést. Minôsített adat: A minôsített adat védelmérôl szóló törvény hatálya alá tartozó nemzeti minôsített adat, vagy külföldi minôsített adat. Mobilkommunikációs adatátvitel: Az országos mobiltelefon hálózatokon keresztül valósul meg (GPRS, EDGE, 3G, HSDPA, LTE stb.). A szolgáltatás eléréséhez jellemzôen a készülékbe (mobiltelefon, mobil stick, tablet PC stb.) helyezhetô SIM kártya szükséges. Push e—mail: Az az eljárás, amikor a levelezô kliens állandó online kapcsolatban van, tehát ahogy a levelezô szerverre beérkezik egy e—mail, az azonnal megjelenik a kliensen (pl. telefonon). Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és idôben, a rendeltetésének megfelelô szolgáltatásokat nyújtani tudja. Rendszeradminisztrátor — rendszergazda: A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását munkaköri feladatként végzô, az ehhez szükséges speciális ismeretek és a felhasználóénál bôvebb rendszer—hozzáférési engedélyek birtokában levô személy.
19. szám
A MÁV Zrt. Értesítôje
Rendszerüzemeltetô: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végzô, az ehhez szükséges speciális ismeretek és rendszer— hozzáférési engedélyek birtokában levô személy. Sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevôk) változtathassák meg, és azok véletlenül ne módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. Személyes adat: az érintettel kapcsolatba hozható adat — különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzô ismeret —, valamint az adatból levonható, az érintettre vonatkozó következtetés. Védelmét a Társaság adatvédelmi és adtabiztonsági szabályzata szabályozza. Távolról végzett munka: A Társaság informatikai rendszerének biztonsági zónáján kívül esô (nem védett) környezetbôl végzett tevékenység, amely során a Társaság a felhasználó számára olyan informatikai erôforrások elérését biztosítja (jellemzôen VPN—en keresztül), amellyel a munkahelyén egyébként rendelkezhet. Ide nem értendôk azoknak a technológiáknak, illetve mobil informatikai megoldásoknak az alkalmi felhasználása, amellyel eseti információcserét lehet megvalósítani (pl. OWA, push email, OAW). Témafelelôs: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevô szervezeti egységnél levô, az alkalmazást vagy szolgáltatást legjobban ismerô személy, aki a felhasználó szervezet szakmai érdekeit felelôsséggel képviseli a szolgáltató/ beszállító irányában, különös tekintettel a végzett szolgáltatások mennyiségére és minôségére. Üzleti tulajdonos: Az a vezetô, aki jogosult a rendszer (biztonságot is érintô) fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerûen annak a szervezeti egységnek a vezetôje, akihez az adott rendszer témafelelôse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ô a rendszer biztonsági kockázatainak kezelôje, felelôssége kiterjed az adott rendszer informatikai szolgáltatásait érintô hagyományos és digitális feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is elláthatja az üzleti tulajdonosi feladatait. Amennyiben a szakmai érdekek úgy kívánják, komplexebb rendszereknek több üzleti tulajdonosa is lehet (területenként, témakörönként
1585
stb.), amelyek között írásbeli megállapodás deklarálja a feladatmegosztást és ezt az ôket kijelölô szervezet vezetôje hagyja jóvá. Változáskezelés: azon szabályok összessége, amelyek meghatározzák egy informatikai alkalmazás folyamataiban, eljárásaiban, szolgáltatásaiban, valamint az azt kiszolgáló infrastruktúrában bekövetkezô módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetôségét. Védendô információ: a minôsített adat, az üzleti titok, a know—how (védett ismeret), a személyes adat, a nem nyilvánossá, vagy belsô használatúvá nyilvánított adat, a döntés—elôkészítô dokumentum, továbbá a munkakör betöltésével összefüggésben a munkavállaló tudomására jutott egyéb információ, amelynek közlése a munkáltató, vagy más személy számára hátrányos következményeket hordozhat, valamint a Társaság által kezelt azon adatok, amelyek bizalmasságához, sértetlenségéhez, rendelkezésre állásához a Társaságnak érdeke fûzôdik, kivéve, ha a nyilvánosságra hozatalt jogszabály, illetve belsô utasítás írja elô, illetve azt az arra jogosult korábban már nyilvánosságra hozta. Virtualizáció: Olyan technológia, amelynek segítségével a rendelkezésre álló fizikai hardver látszólag megtöbbszörözhetô, így például egy fizikai gépen nem csak egy, hanem több egymástól független operációs rendszer üzemeltethetô, miközben az operációs rendszer úgy látja, hogy csak ô használja a fizikai hardver erôforrásait. VPN: (Virtual Private Network — virtuális magánhálózat): Olyan virtuális informatikai hálózat, amely kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülô, mások számára nem hozzáférhetô egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, nyilvános hálózatokon különbözô titkosítási technikákat is alkalmaz, miáltal lehetôséget biztosít a Társaság számára, hogy a belsô hálózat meghatározott elemeit elérhetôvé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távolról munkát végzô) felhasználók számára. 4.0 AZ UTASÍTÁS LEÍRÁSA 4.1. A Társaság informatikai biztonságpolitikája 4.1.1. Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerû, egységes és megelôzô (proaktív) szemléletû biztonsági tevékenység az alábbi védelmi alapelveken nyugszik.
1586
A MÁV Zrt. Értesítôje
— A védelmet fizikai, logikai és adminisztratív biztonság vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörûség). — Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). — Szerves egységet alkotó, az összes valószínûsíthetô fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). — Az informatikai rendszerek által kezelt adatok védelme erôsségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). — Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerbôl történô kivonásig mindvégig fenn kell tartani (folytonosság). — A rendszerhez való hozzáférésnek és használatnak a funkcionális szükségszerûségen kell alapulnia. A felhasználók különbözô rendszerekhez való hozzáférési jogosultságait a lehetôség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság). — A védelemben biztosítani kell a szabályozás — szabály—érvényesítés — ellenôrzés — szankcionálás folyamatát (zárt szabályozási ciklus). — Egy informatikai rendszert nem egyszerûen az alkotóelemek halmazaként, hanem a többi alkalmazással való együttes viselkedésében, egységében kell tekinteni (rendszerszemlélet). — A Társaság üzletmenete szempontjából a fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszereket olyan környezetben kell telepíteni és mûködtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. — Fokozott vagy kiemelt biztonsági osztályba sorolt új informatikai rendszer, vagy a meglevô ilyen rendszereket érintô bármilyen módosítás csak ellenôrzött módon, szabályszerû jóváhagyási és változáskezelési eljárások alkalmazásával vezethetô be. — A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetôk be és üzemeltethetôk. — A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, notebook, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz stb.) — eltérô írásbeli megállapodás hiányában — kizárólag a munka és az azzal összefüggô tevékenység végzésére szolgál, magáncélú használata csak indokolt esetben (pl. beérkezô email, telefonhívás megválaszolása során) megengedett. — Szét kell választani a tevékenységeket, a feladatokat és a felelôsségi köröket a szabályozás, a felügyelet, az ellenôrzés, a rendszerek fejlesztése, használatba vétele, mûködtetése és felhasználása terén. — Minden felhasználó személyesen felelôs saját munkájában a biztonsági irányelvek betartásáért, továbbá
19. szám
a rendszerekben az azonosítójával végrehajtott cselekményekért. — A munkáltatói jogkörgyakorló felelôs annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket. — Az informatikai biztonsági tevékenység nem nélkülözheti a megfelelô szintû vezetôi támogatást és elkötelezettséget, létrehozási folyamatának be kell épülnie szervezet életébe, alaptevékenységébe. 4.1.2. Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelôsnek az egyeztetés folyamatába be kell vonni az információvédelmi vezetôt. A Társaság által megkötni tervezett, informatikát bármilyen módon érintô szolgáltatási szerzôdést, továbbá hozzáférési szerzôdést vagy megállapodást írásba kell foglalni, abban valamennyi felhasználóra kiterjedôen érvényesíteni kell az IBSZ elôírásait. Ennek érdekében azt kötelezô elôzetesen véleményeztetni: — az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiához való illeszkedés biztosítása, az informatikai, infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerzôdés nyilvántartásba vétele, — a Pályavasúti üzemeltetési fôigazgatóság Távközlési osztállyal (PVÜF TO) a távközlô adatátviteli hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá — az információvédelmi vezetôvel, az informatikai biztonsági megfelelôség garantálása érdekében. A szerzôdés kizárólag a felsorolt szervezeti egységek és személyek állásfoglalásának figyelembe vételével köthetô meg, munkájukat e tekintetben az IKI koordinálja. 4.1.3. Az informatikai biztonság dokumentumai 4.1.3.1. Infokommunikációs Biztonsági Stratégia Az Infokommunikációs stratégia integráns részeként, annak önálló fejezeteként készül el az infokommunikációs biztonsági stratégia, amelyben átfogóbb és részletesebb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az infokommunikációs biztonsági stratégiát alapul véve az éves szintû terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt—elôkészítési tevékenységeket érintô intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az információvédelmi vezetôvel együttmûködve végzi el.
19. szám
A MÁV Zrt. Értesítôje
4.1.3.2. Informatikai Biztonsági Szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvetô dokumentum, amely a Társaság általános szintjén tartalmazza a biztonságpolitikát, az alapvetô fogalmakat, az informatikai biztonsággal kapcsolatos intézkedéseket, a biztonsági események jelentésének rendjét és a kötelezô eljárásokat. 4.1.3.3. Rendszerszintû Informatikai Biztonsági Szabályzatok Az Informatikai Biztonsági Szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat a rendszerszintû IBSZ—eknek (továbbiakban RIBSZ) kell tartalmaznia. Tekintettel arra, hogy az ebben foglalt információk illetéktelenekhez kerülése a rendszer biztonságára veszélyes, szükség szerint belsô használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. RIBSZ csak az Információvédelem ellenjegyzésével léphet életbe, kivéve, ha azt az elnök—vezérigazgató engedélyezi. Az életbe léptetés csak akkor tagadható meg, ha nem teljesíti az elôírt feltételeket, vagy az IBSZ—szel ellentétes intézkedést vagy szabályozást tartalmaz. A RIBSZ általános követelményeit tartalmazó mintát a 11. sz. melléklet tartalmazza. 4.1.4. A fejlesztés, üzemeltetés és felülvizsgálat irányelvei 4.1.4.1. Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá a Társaság országos kiterjedésû távközlô adatátviteli hálózatára a biztonsági besorolásának megfelelô szabályokat és ellenôrzéseket kell megszabni és mûködtetni. A biztonsági szabályokat idôben, már a rendszer tervezése során, az információvédelmi vezetô egyetértésével definiálni kell (pl. rendszerterv biztonsági fejezete), a rendszert ennek megfelelôen kell kifejleszteni, és a biztonsági elôírások igazolt teljesülése esetén szabad használatba venni. Jelen pont alkalmazása során az informatikai fejlesztések körébe nem értendô bele a már használatban lévô rendszer struktúráját, illetve rendszerszintû biztonságát nem érintô olyan változtatás, amelynek célja az informatikai alkalmazással támogatott üzleti munkafolyamatok eseti korrekciója (pl. jogszabályoknak való megfelelés biztosítása, adatstruktúra korrekciója). Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenôrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, valamint egyeztetni
1587
kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok során a biztonsági intézkedések kockázatarányos érvényesülését. Fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági elôírások érvényesülését, amelybe az IKI—t és az információvédelmi vezetôt is be kell vonni. Kiemelt biztonsági osztályú rendszert csak a Társaságtól független biztonsági audit elvégzését követôen szabad üzembe helyezni, amelyekrôl az üzleti tulajdonos rendelkezik. 4.1.4.2. Számítógépes és hálózati szolgáltatások biztonságos üzemeltetése A Társaság területén és tulajdonában üzemelô informatikai és hálózati eszközökön — feltéve, hogy kifejezetten erre vonatkozó, az információvédelmi vezetô által is véleményezett szerzôdés másként nem rendelkezik — kizárólag a Társaság feladatkörébe tartozó adatokat szabad kezelni, feldolgozni, illetve továbbítani. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan mûködtethetô legyen az egyes személyek egyéni tudásától és helyismeretétôl való túlzott függôség nélkül. Olyan mûszaki megoldásokat kell alkalmazni, hogy az informatikai eszközök elôre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelô intézkedéseket kell hozni valamennyi rendszer és adat rendelkezésre állásának biztosítására. Mûködés—folytonosság tervezésével kell elérni, hogy káresemény, katasztrófa esetén a mûködésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitôl. A fokozott vagy kiemelt biztonsági osztályba sorolt rendszerekben kért és kiadott jogosultságokat olyan nyilvántartásban kell megôrizni, ahol biztosított az adatok bizalmassága, sértetlensége és rendelkezésre állása. A hálózatmenedzsment segítségével kell megoldani a hálózaton továbbított adatok biztonságát és az infrastruktúra védelmét. Olyan ellenôrzô—felügyeleti eszközökrôl kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektôl. A nyilvános hálózatokon keresztül továbbított védendô információk, illetve a kapcsolt rendszerek védelmére biztonsági elemeket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távolról végzett munka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belsô hálózataiból más hálózatokba,
1588
A MÁV Zrt. Értesítôje
19. szám
rendszerekbe (pl. internet, levelezô rendszerek) átlépni csak elôre definiált és engedélyezett módon szabad.
4.2.2. A Társaság informatikai biztonságát irányító vezetôk és feladataik
4.2. A Társaság informatikai biztonságának szervezeti struktúrája
Az informatikai biztonság irányításának szereplôi: — Társaság vezetôje — biztonságért felelôs vezetô — információvédelemért felelôs vezetô — infokommunikációs (informatikai) tevékenységért felelôs vezetô — infokommunikációs (informatikai) biztonsági tevékenységért felelôs vezetô — MÁV Zrt. PVÜF Távközlési osztályvezetô — MÁV Zrt. PVÜF Pályavasúti Területi Igazgatóság Távközlési Fônökség vezetô
A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök—vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ—ben foglaltak szerint a Biztonsági fôigazgatóság, az Infokommunikációs igazgatóság, a PVÜF Távközlési osztály és a Fejlesztési és beruházási fôigazgatóság (FBF) útján valósul meg. Az informatikai biztonság tekintetében az alábbi fôbb feladatokat látják el: — Információvédelem: szabályozás kialakítása, betartásának felügyelete, ellenôrzése, — IKI: informatikai biztonság technológiai feltételeinek kialakítása, informatikai fejlesztések koordinálása, — PVÜF Távközlési osztály: az távközlô adatátviteli hálózat üzemeltetési területén a technológiai biztonság kialakítása, biztonságos üzemeltetése — FBF: hálózatfejlesztés során a rendszerek fejlesztésének koordinálása. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az információvédelmi vezetô a Társaság valamennyi informatikai fejlesztési, üzemeltetési és infokommunikációs szervezeteitôl független személy kell, hogy legyen. 4.2.1. Feladat—, felelôsség és hatáskörök szétválasztása Az informatikai biztonság különbözô szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat—, felelôsség— és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását, az ellenôrizhetôséget és a felelôsségre vonhatóságot. A Társaságnak, mint jogi, szervezeti és döntéshozatali szempontból független pályahálózat—mûködtetônek biztosítania kell az alábbi tevékenységekkel összefüggô informatikai elkülönítést: • alapvetô feladatok • kizárólag a Társaság által nyújtott vasúti szolgáltatások. Az informatikai elkülönítést meg kell valósítani: • az informatikai eszközök használata (hardver és szoftver) és • az informatikai feladatot ellátó munkavállalók vonatkozásában egyaránt. Az informatikai elkülönítést a 4.2.2. pontban felsorolt vezetôk kötelesek érvényesíteni tevékenységük során.
4.2.2.1. Társaság vezetôje (Elnök—vezérigazgató, vezérigazgató) a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsôszintû központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erôforrást. c) biztonsági fôigazgató útján irányítja és ellenôrzi a Társaság információvédelmi tevékenységét. d) Az IKI felterjesztése alapján megbízza az üzleti tulajdonosokat. e) Elnök—vezérigazgatói utasításként kiadja az Informatikai Biztonsági Szabályzatot (IBSZ), amely az informatikai biztonságpolitikát, valamint a Társaság teljes tevékenységére, eszközrendszerére vonatkozó biztonsági elôírásokat tartalmazza. f) A Társaság informatikai stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetôjére háruló informatikai biztonsági ellenôrzéseket a biztonsági fôigazgató közremûködésével gyakorolja, és irányítja a megfelelô intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezôen alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelôzésének és elhárításának feltételeirôl. 4.2.2.2. Biztonságért felelôs vezetô (MÁV Zrt. esetén: Biztonsági fôigazgató) a) A Társaság mûködésével összefüggô információk védelme érdekében gondoskodik az Informatikai Biztonsági Szabályzat és annak részeként az informatikai biztonsági politika kialakításáról, karbantartásáról.
19. szám
A MÁV Zrt. Értesítôje
b) Felelôs az Információvédelem mûködési feltételrendszerének megteremtéséért. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erôforrásokat. c) Lehetôvé teszi a szakértôk ismereteinek naprakészen tartása és folyamatos továbbfejlôdése érdekében az oktatásokon, továbbképzéseken, konferenciákon való részvételét. d) Az informatikai biztonsági incidensek megelôzése, illetve hatásainak csökkentése érdekében szükség esetén intézkedést rendel el, állásfoglalást, körlevelet stb. ad ki, amelyek végrehajtását az információvédelmi vezetô útján ellenôrzi. e) Bûncselekmény elkövetésének megakadályozása, a Társaságot, illetve a MÁV Csoportot veszélyeztetô vagyonvédelmi károkozás megelôzése, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekbôl való kizárására. f) A Társaságra kiterjedôen azonnali intézkedéseket rendel el az informatikai biztonság sérülése, vagy veszélye esetén. g) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. h) Közremûködik az üzleti tulajdonosok kiválasztása során, továbbá egyetértési jogot gyakorol az elnök— vezérigazgatóhoz felterjesztésre kerülô megbízásukkal összefüggésben. i) Az informatikai biztonságot érintô, a biztonsági fôigazgatóhoz érkezô incidensekre vonatkozó bejelentés esetén vizsgálatot rendel el, intézkedéseket hoz a kármegelôzés, kármérséklés érdekében. j) Az informatikai biztonságra is tekintettel véleményezi a Társaság szabályzatait, szerzôdéseit. 4.2.2.3. Információvédelemért felelôs vezetô (MÁV Zrt. esetén: Információvédelmi vezetô) Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott (pl. távközlési, képtovábbító) rendszerek biztonságával összefüggô tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenôrzése. b) Irányítja a területi informatikai biztonsági megbízottak munkájának szakmai felügyeletét. c) Elôkészíti az informatikai biztonság kialakítására, a megfelelô informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása. Közremûködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. d) Az informatikai biztonság sérülése esetén vagy annak megelôzése érdekében kezdeményezi hírlevél
1589
kiadását, illetve e—mail útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenôrzi a jelen szabályzatban megfogalmazott követelmények végrehajtását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Az üzleti tulajdonosok vagy a biztonsági fôigazgató részére intézkedési javaslatot tesz a bûncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztetô vagyonvédelmi károkozás megelôzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelôzése érdekében. A szabályzat által érintett hatókörben kivizsgálja a Társaság, illetve a MÁV Csoport mûködését és érdekeit veszélyeztetô informatikai incidenseket és rendkívüli eseményeket. f) Az etikai bejelentési csatornán beérkezô információ alapján, a Megfelelôségi Bizottság által elrendelt vizsgálat esetén, az Etikai és más elôírásokat sértô helyzetek, visszaélések feltárásának és kivizsgálásának rendjérôl szóló elnök—vezérigazgatói utasítás elôírásai szerint jár el, az adatokhoz, információkhoz való hozzáférés— és betekintés jogát az ott meghatározottak szerint gyakorolja. g) Segíti az üzleti tulajdonosokat az elôírásszerû biztonsági szaktevékenység irányításának, ellenôrzésének ellátásában. Javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb mûködés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintû szabályozások és szolgáltatási szerzôdések kialakítását, szükség esetén ellenôrzi azok betartását. h) Biztonsági szempontból támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintû informatikai biztonsági szabályzatainak megfelelôségérôl. i) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatosságának fejlesztése érdekében. j) Felkérésre állást foglal a szabályzat elôírásainak értelmezésében, illetve a szabályzatban nem megfogalmazott, informatikai biztonságot érintô kérdésekben. k) Jelen szabályzat hatókörét érintôen együttmûködik és közvetlenül kapcsolatot tart az IKI, a PVÜF TF és a Biztonsági fôigazgatóság vezetôivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelôs szervezeteinek vezetôivel, különös tekintettel az informatikai üzemeltetést végzô szervezet vezetôjével. l) Biztonsági szolgáltatási szerzôdések keretén belül támogatja a MÁV Csoportba tartozó társaságok informatikai biztonsági tevékenységét. m) Elôsegíti az informatikai biztonsági szakértôk ismereteinek naprakészen tartása és a folyamatos továbbfejlôdôdése érdekében oktatásokon, továbbképzéseken, konferenciákon való részvételt.
1590
A MÁV Zrt. Értesítôje
Hatásköre: a) A biztonsági fôigazgatóhoz érkezett megkeresés esetén — szignálást követôen — jogosult az adat birtokosától az információvédelmi szakértôi munka elvégzése érdekében dokumentumok megismerését igényelni. b) Jogosult az ellenôrzô, feltáró tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévô, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatos irat, dokumentum, okmány, adatbázis, adatállomány, informatikai eszköz vagy más adathordozó tartalmáról felvilágosítást kérni. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskörben a Társaság belsô adatvédelmi felelôse jogosult ellenôrzést gyakorolni.) c) Jogosult a szabályzat tárgyi hatálya alá tartozó valamennyi informatikai és távközlési eszköz biztonsági megfelelôségének vizsgálatára. d) Jogosult a teljes mûködési területére kiterjedô informatikai biztonsági felügyeleti ellenôrzések végzésére, szükséges intézkedések kezdeményezésére. Amennyiben ellenôrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos, illetve a munkáltatói jogkörgyakorló állásfoglalását. 4.2.2.4. Infokommunikációs (informatikai) tevékenységért felelôs vezetô (MÁV Zrt. esetén: Infokommunikációs igazgató) a) A MÁV Csoportszintû informatikai stratégiájának meghatározása és végrehajtása során a jelen szabályzatban megfogalmazott elôírások figyelembe vételével elôsegíti az informatikai biztonsági szabályok érvényesülését. b) Felelôs az üzleti tulajdonosok kiválasztásáért és a biztonsági fôigazgató egyetértése mellett elnök—vezérigazgató részére történô felterjesztéséért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében. d) Gondoskodik arról, hogy a Társasági rendszerekhez való hozzáférés biztonsági feltételei kidolgozásra kerüljenek és a biztonsági fenyegetettséghez illeszkedôen ezek megvalósuljanak és naprakészek legyenek. 4.2.2.5. Infokommunikációs (informatikai) biztonsági tevékenységért felelôs vezetô (MÁV Zrt. esetén: Infokommunikációs biztonsági vezetô) a) Közremûködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia technológiai elemeinek beépítésével. b) Elkészíti az infokommunikációs biztonság technológiai szabályozását, normatívákat határoz meg, gon-
19. szám
doskodik a szabályozás folyamatos aktualizálásáról és betartatásáról. c) Az b) pontban jelzett elôírásokat érvényesíti az infokommunikációs projektekben és az infokommunikációs szolgáltatási szerzôdésekben. d) Rendszeresen technológiai állapotjelentést készít az infokommunikációs biztonság helyzetérôl. e) Kockázatelemzés alapján tesz javaslatot az infokommunikációs biztonsági rendszerek kiválasztására, és a meglévô rendszerek technológiai fejlesztésére. f) Részt vesz az infokommunikációs biztonsági problémák feltárásában, vizsgálatában. g) Felügyeli az IT biztonsági rendszereket. h) Kidolgozza az informatikai biztonsági rendszerek (pl. tûzfalak, behatolás jelzô/védô rendszerek, vírus és spam—szûrôk) szabályrendszerét. 4.2.2.6. MÁV Zrt. Pályavasúti üzemeltetési fôigazgatóság Távközlési osztályvezetô a) A vasúti infrastruktúrához tartozó távközlô, erôsáramú és biztosítóberendezési felügyeleti, karbantartási, hibaelhárítási, felújítási és fejlesztési tevékenység informatikai biztonsági szabályozása és felügyelete. b) A Társaság távközlô hálózata vonatkozásában felelôs: — a biztonsági osztályok követelményeinek megfelelô védelmi rendszerek, eszközök honosításáért, üzemeltetéséért, fejlesztések koordinálásáért, szabványosításáért, — a RIBSZ—ek és a benne foglalt biztonsági követelmények kialakításáért, ellenôrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, — feladatkörében, Társaság szinten egységes változáskezelési rendszer kialakításáért, — annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, — a vasúti telekommunikációt megvalósító, valamint a kapcsolódó rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért. c) Az elôzô pontokban meghatározott feladatok ellátása érdekében a szakterületek felügyelete. d) Közvetlenül együttmûködik és kapcsolatot tart az információvédelmi vezetôvel. 4.2.2.7. MÁV Zrt. Pályavasúti üzemeltetési fôigazgatóság Pályavasúti Területi Igazgatóság Távközlési Fônökség vezetô a) A vasútüzemhez kapcsolódó digitális technológiát alkalmazó rendszerek sajátosságait figyelembe véve az informatikai biztonsági tevékenység irányítása.
19. szám
A MÁV Zrt. Értesítôje
b) Közvetlenül együttmûködik és kapcsolatot tart az információvédelmi vezetôvel. 4.2.3. A Társaság informatikai biztonságát megvalósító szervezetek és szerepkörök A Társaság azon szervezeti egységei, amelyeknek — a Mûködési és Szervezeti Szabályzat értelmében — az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, mûködtetésében feladataik vannak, vagy ezekre vonatkozó szerzôdés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelôsek a Társaság mûködését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért. 4.2.3.1. Infokommunikációs igazgatóság Felelôs: — a MÁV Csoportszintû informatikai stratégiájának kialakítása és végrehajtása során a jelen IBSZ—ben foglalt elôírások érvényesüléséért, — a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelô információvédelmi rendszerek, eszközök beruházásának elôkészítésért, irányításáért és átvételéért, a Társaságnál való honosításáért, — az üzleti tulajdonos támogatásáért, hogy az új informatikai rendszerek megvalósítását célzó projektek elôkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek, — annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévôk korszerûsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, — minden informatikai rendszer tekintetében — a rendszerfejlesztés részeként az üzleti tulajdonossal együttmûködve — a fejlesztésért, ennek során a technológiai informatikai biztonsági követelmények kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenôrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, — infokommunikációs biztonsági rendszerek fejlesztésének kidolgozásáért, és megvalósításáért, — az informatikai biztonságot bármely módon érintô projektek, fejlesztések tekintetében az információvédelmi vezetô tájékoztatásáért, — informatikai tárgyú beszerzési, szolgáltatási stb. szerzôdésekben, továbbá erôforrás—kihelyezéssel mûködtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek érvényesítéséért, — az informatikai szolgáltatók, szolgáltatási szerzôdések és SLA—k biztonsági megfelelôségéért, — jogtiszta szoftverekkel társasági szintû vírusvédelmi rendszer fenntartásáért,
1591
— az operációs rendszerek és alkalmazások — a Társaság által ellenôrzött — biztonsági javításainak beszerzéséért és telepítéséért, — társasági szintû konfigurációkezelési adatbázis felállításáért és mûködtetéséért, — felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, — a fokozott vagy kiemelt biztonsági osztályba sorolt rendszerekben társasági szinten egységesített elvekre épülô változáskezelés mûködtetéséért, — a távfelügyelet, a mobil eszközökkel végzett és a távolról végzett munka biztonságos feltételeinek kialakításáért (pl. távolról végzett munka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez autentikációs és titkosító eszközök biztosítása, védett vonalak kialakítása) a PVÜF TO, az információvédelmi vezetô és az üzleti tulajdonosok (távolról végzett munka engedélyeztetése) közremûködésével, — az informatikai biztonsági adminisztráció, így különösen a hozzáférés—menedzsment kialakításáért. 4.2.3.2. Fôtevékenységi kör vezetô Köteles fôtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelôs a területén üzemelô informatikai rendszerek által kezelt információk védelméért. Ennek keretében irányítási területén, a felelôsségi körébe tartozó informatikai rendszerekre nézve felelôs: — a RIBSZ követelményeiben foglaltak operatív érvényesítésért, ellenôrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, — a rendszerfejlesztési projekt elôkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, — a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, —a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, — az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, — a biztonsági rendszer rendszerszintû informatikai biztonsági szabályainak megfelelô üzemeltetéséért, ennek operatív ellenôrzéséért és a rendszerbôl történô szabályos kivonásért, — a felhasználók informatikai biztonság—tudatossági szintjének emeléséért, — informatikai biztonsági ügyekben az információvédelmi vezetôvel és az IKI—vel való együttmûködésért. 4.2.3.3. Üzleti tulajdonos Minden informatikai rendszer biztonságát már a fejlesztés szakaszában egy üzleti tulajdonoshoz kell rendelni,
1592
A MÁV Zrt. Értesítôje
akit az informatikai rendszerfejlesztést kezdeményezô, vagy már mûködô rendszer esetén az illetékes szakmai vezetô javaslata alapján, a biztonsági fôigazgató egyetértése esetén, az Infokommunikációs igazgató elôterjesztését követôen, az elnök—vezérigazgató hagy jóvá. A funkció köthetô konkrét beosztás mindenkori betöltôjéhez, de minden esetben a beosztást betöltô konkrét személy munkaköri leírásában is szerepeltetni kell. Az informatikai rendszerek fejlesztési szakaszában, az üzleti tulajdonos kijelöléséig, a projektvezetô látja el e feladatokat. A rendszer átadását követôen mindaddig, amíg az üzleti tulajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató. Az üzleti tulajdonosnak biztosítania kell, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenôrizzék. Felelôs a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában: — a rendszer rendelkezésre állási paramétereinek meghatározásáért, az elôre nem várható események (incidensek) esetén a szükséges tevékenységek irányításáért, — a rendszer tervezése során a Társaságnál már üzemelô vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhetô adatok esetleges felhasználhatóságának vizsgálatáért, — a rendszer tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, ennek alapján az IKI és az információvédelmi vezetô egyetértésével a rendszer biztonsági osztályba sorolásáért, — a kockázatok kezeléséhez szükséges ráfordítások, erôforrások, intézkedések menedzseléséért, a maradó kockázat meghatározásáért és elfogadásáért, — a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének elôírások szerinti biztosításáért, — a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. rendszerterv, kockázatelemzés, RIBSZ, Mûködés—folytonossági terv, felhasználói— és üzemeltetôi kézikönyvek) elkészítéséért és aktualizálásáért, — a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés), — a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenôrzéséért, — a rendszer használata során a kialakított biztonsági szint fenntartásáért, — a rendszer változása (fizikai, jogi, szervezeti, szoftver, hardver stb.) esetén a lehetséges új kockázati tényezôk feltárásáért és értékeléséért, — a kezelt adatoknak a jogszabályokban elôírt szintû biztosításáért az adatok teljes életciklusában,
19. szám
— a mûködés—folytonosság biztosítása érdekében tervezett feladatok végrehajtásának ellenôrzéséért, — a rendszer fejlesztésére kötött szerzôdésben az IBSZ elôírásainak szerepeltetéséért, — a rendszer üzemeltetésére kötött szerzôdésben a RIBSZ betartásának érvényre juttatásáért és az elôírások rendszeres ellenôrzéséért, — a rendszert használók és üzemeltetôk jogosultságainak kialakításáért. Fokozott vagy kiemelt biztonsági osztályba sorolt rendszerek esetén a szerepkörök meghatározásáért, — központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért. Jogosult az általa tulajdonolt rendszer(ek) vonatkozásában: — megbízott kijelölésére, aki a nevében eljár, — a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntések meghozatalára, — a rendszer biztonságos üzemeltetéséhez szükséges közremûködô személyek kijelölésére, — a biztonsági osztályba sorolására, és az abból következô védelmi intézkedések foganatosítására, illetve kezdeményezésére a Társaság felsô vezetése felé, — az esetlegesen elôforduló informatikai biztonsági incidensek kivizsgálásában való közremûködésre, a szükséges szankciók kezdeményezésére, — információvédelmi vezetô, IKI és más szakmai szervezetek segítségének közvetlen igénybevételére, — szükség szerint az informatikai biztonsági tevékenység ellátásában közremûködô rendszerszintû informatikai biztonsági megbízott kijelölésére (lásd 4.2.3.9. fejezet). 4.2.3.4. Kiemelt szakterületi vezetôk Az alábbi kiemelt feladatok vonatkozásában a Társaság egészére kiterjedôen felelôs: Humánerôforrás vezérigazgató—helyettes szervezet vezetôje: — az informatikai rendszerekben elôforduló, társasági szintû következményekkel járó biztonsági események értékelésénél az ezek alapján meghozandó munkáltatói intézkedések, szankciók foganatosításáért. — Az Infokommunikációs igazgatóság, illetve a Biztonsági fôigazgatóság által igényelt és az éves képzési tervben jóváhagyott informatikai biztonsági képzések, továbbképzések és tréningek megszervezéséért. Belsô ellenôrzés szervezet vezetôje: — az informatikai és az informatikai biztonsági szakterület ellenôrzési folyamatainak a szakmai szabályzatokkal való összevetéséért, a szabályzatokban foglaltak végrehajtásának ellenôrzéséért, — az Általános Ellenôrzési Utasítás alapján végzett, informatikát érintô ellenôrzések során az együttmûködés
19. szám
A MÁV Zrt. Értesítôje
kezdeményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások biztonsági fôigazgató és az Infokommunikációs igazgatóság vezetôje számára történô átadásáért. Vagyonkezelési és gazdálkodási igazgatóság vezetôje: — a Társaság objektumainak, telephelyeinek az informatikai biztonsági követelményeknek is megfelelô védelme biztosításáért. 4.2.3.5. Szervezeti egység vezetô Biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói— és Üzemeltetési kézikönyvek stb.) foglaltakat minden általa vezetett munkavállaló és külsô hozzáférô teljes mértékben megismerje és betartsa. Ennek során feladata: — a közvetlen irányítása alá tartozók részére a Társaságnál betöltött munkakörüknek megfelelô felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás stb.) kezdeményezése, — a közvetlen irányítása alá tartozó felhasználók vonatkozásában — a technikai feltételek biztosítását követôen — a munkafolyamatokat úgy megszervezni, hogy a feldolgozott adataik biztonságos mentése megvalósulhasson, — a mûködési területén külsô személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, fokozott vagy kiemelt biztonsági osztályba sorolt rendszerek esetén a munkálatok felügyeletének megszervezése, — a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkezô biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, közvetlenül az információvédelmi vezetô és az infokommunikációs biztonsági vezetô részére (lásd 4.11. fejezet), — szükség esetén a mûködési területe speciális jellegzetességeit tükrözô helyi végrehajtási utasítás kibocsátása vagy oktatások megigénylése, és a hozzátartozó munkavállalók oktatásokon való megjelenésének biztosítása, — a Felhasználók biztonsági kötelezettségei c. dokumentumban (1. sz. melléklet) rögzítettôl eltérô használat észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az információvédelmi vezetô részére. 4.2.3.6. Munkáltatói jogkörgyakorló vezetô Felelôs a hozzá beosztott felhasználók vonatkozásában: — Jelen szabályzat elôírásainak — különös tekintettel a „Felhasználók biztonsági kötelezettségei”—re (1. számú melléklet) — szükséges mértékû tudomásra hozásáért, betartatásáért.
1593
— Az „Információvédelmi nyilatkozat” (2. számú melléklet) megismertetéséért, a tudomásul vétel aláírással történô igazolásáért és a nyilatkozatok nyilvántartásáért — a humánpartner szervezet közremûködésével. — A munkáltatói jogkör gyakorlásának rendjérôl szóló elnök—vezérigazgatói utasítás értelmében, az 1. számú mellékletben meghatározottak teljesítésének ellenôrzéséért. Ennek során igényelheti az információvédelmi vezetô szakmai támogatását. — Utasítási, ellenôrzési, beszámoltatási jogkörét más személy részére delegálhatja. — Szükség esetén a 4.11. fejezetben elôírt fegyelmi eljárás megindításáért. — A munkavállaló alkalmazásának megszûnésekor a 4.4.3. fejezetben rá háruló döntések meghozataláért (pl. mentés elrendelése, adatok további felhasználása, hozzáférési jogok visszavonásának ellenôrzése). 4.2.3.7. Informatikai biztonsági szakértô A Biztonsági fôigazgatóság szervezeti keretei között, az informatikai biztonsági szakértôk közremûködnek a társasági MSZSZ—ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban: — az informatikai biztonsági dokumentumok kidolgoztatása, az elôírások betartásának ellenôrzése, — informatikai fejlesztésekben az információvédelmi vezetô képviselete, — az informatikai rendszerek, valamint a rendszergazdák tevékenységének biztonsági szempontú ellenôrzése és felügyelete, — a területi informatikai biztonsági megbízottak munkájának szakfelügyelete, — rendszerüzemeltetési dokumentumok vizsgálata, — informatikai biztonságot érintô események (incidensek) kivizsgálása, — javaslattétel a védelmi intézkedésekre, — a fizikai biztonság megvalósulásának felügyelete, ellenôrzése, — informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, vezetôk, felhasználók segítése, — biztonsági naplók ellenôrzése, — szakmai ismereteit felhasználva támogatást nyújt az informatikai biztonsági képzési, oktatási tevékenység részére, az O.1. utasításban szereplô informatikai biztonsági oktatások tematikájának véleményezésében, az oktatások idôtartamának és gyakoriságának elôírásában, — az ismereteinek naprakészen tartása és folyamatos továbbfejlôdôdés érdekében oktatásokon, továbbképzéseken, konferenciákon vesz részt, — közvetlenül együttmûködik és kapcsolatot tart az IKI, a PVÜF TF és az informatikát üzemeltetô szervezet szakértôivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltôivel, a területi, illetve a rendszerszintû informatikai biztonsági megbízottakkal, a projektvezetôkkel, valamint a Társaság
1594
A MÁV Zrt. Értesítôje
leányvállalatainak informatikai biztonságért felelôs szervezeteinek szakértôivel, — biztonsági szolgáltatási szerzôdések keretén belül részt vesz a MÁV Csoportba tartozó társaságok informatikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttmûködik az érintett társaság informatikai biztonsági tevékenységét ellátó szakértôjével. 4.2.3.8. Területi informatikai biztonsági megbízott A Biztonsági fôigazgatóság területi vasútbiztonsági szervezeteinél a biztonsági megbízotti feladatokat ellátó munkavállaló a területi vasútbiztonsági vezetô irányításával, az információvédelmi vezetô szakmai felügyelete mellett végzi az informatikai biztonságot támogató munkáját. Ennek érdekében a munkakörére elôírt vasútbiztonsági feladatai mellett: — ellenôrzi az informatikai biztonságra vonatkozó egyszerûbb szabályok betartását (illetéktelen, vagy nem az elôírásoknak megfelelô jelszó— és informatikai eszköz használat, jogosultságok nem megfelelô használata stb.), — informatikai biztonsági rendkívüli események (pl. vírusfertôzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi vezetôt az információvédelmi vezetôt és az infokommunikációs biztonsági vezetôt, — helyi ismereteit felhasználva részt vesz az informatikai biztonsági rendkívüli események kivizsgálásában, — ellenôrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát, — felügyeli a fizikai biztonsági elôírások betartását (pl. szerverszobák zárása, belépés naplózása). A megbízottak névsorát a Társaság intranetes weboldalának biztonsági aloldalán közzé kell tenni. 4.2.3.9. Rendszerszintû informatikai biztonsági megbízott Az üzleti tulajdonos felkérésére, a munkáltatói jogkör gyakorló által kijelölt munkavállaló, aki az informatikai fejlesztések és projektek, valamint az informatikai rendszerek üzemeltetése során — az információvédelmi vezetô szakmai iránymutatásával — közremûködik az üzleti tulajdonos felelôsségi körébe tartozó rendszer biztonságát érintô feladatok teljesítésében. Ennek érdekében, a munkaköri leírásban is rögzített módon, a munkakörére elôírt feladatai mellett: — elôkészíti és nyomon követi az informatikai biztonságot érintô dokumentumokat, — elôkészítô munkát végez az üzleti tulajdonos döntéseinek támogatása érdekében, — figyelemmel kíséri a biztonsági követelményekre kialakított szabályok betartását, — közremûködik az érintett rendszer informatikai biztonsági feladatainak ellátásában,
19. szám
— informatikai biztonsági rendkívüli események észlelése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost az információvédelmi vezetôt és az infokommunikációs biztonsági vezetôt. 4.2.3.10. Projektvezetô A Társaság informatikai rendszereit érintô fejlesztési projektek elôkészítési— és megvalósítási fázisában a projektvezetô felelôs: — a rendszer fejlesztésére kötött szerzôdésben az IBSZ elôírásainak szerepeltetéséért, — a rendszer tervezése során a Társaságnál már üzemelô vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhetô adatok esetleges felhasználhatóságának vizsgálatáért az IKI bevonásával, — az adott informatikai rendszerben és annak környezetében megvalósítandó fizikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi— és humán feltételek meghatározásának kezdeményezéséért, — az informatikai rendszerben kezelendô, védendô információnak minôsülô adatok titokban tartása érdekében a szükséges intézkedések kezdeményezéséért, — az informatikai rendszer biztonsági osztályba sorolását megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulajdonossal történô jóváhagyatásáért, — A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a késôbbiekben kialakításra kerülô központi jogosultság kezelô rendszer elveinek érvényesítéséért. — mindaddig, amíg az üzleti tulajdonos nem kerül kijelölésre, annak feladatait a projektvezetô látja el, — a fizikai— és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az információvédelmi vezetô szakmai együttmûködésének a biztosításáért, — a rendszer biztonsági dokumentumainak (kockázatelemzés, RIBSZ, mûködés—folytonossági terv, felhasználói— és rendszer dokumentációk) elkészíttetéséért, — a projekt bevezetéséhez szükséges képzések és oktatások tematikájának felterjesztéséért, a képzésben résztvevôk körére és a képzések szervezésének ütemezésére. — a biztonsági rendszernek az éles üzembe történô bevezetéséért. 4.2.3.11. Üzemeltetés—vezetô A Társaság informatikai rendszereinek és koncentrált informatikai erôforrásainak (pl. számítóközpontok, adathálózati központok) üzemeltetésével megbízott vezetô felelôs:
19. szám
A MÁV Zrt. Értesítôje
— a hatáskörébe utalt informatikai rendszerekben kezelt információk bizalmasságának, sértetlenségének és rendelkezésre állásának biztosításáért, — a rendszerek üzemeltetésében a jelen IBSZ, valamint a RIBSZ elôírásainak érvényre juttatásáért, — a mûködô biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechanizmusainak a védelmi rendszertervben jóváhagyott beállításáért és naprakészen tartásáért, — a biztonsági rendszerben beállt változások dokumentálásáért, — a biztonsági naplók szabályszerû kezeléséért, az észlelt biztonsági események feljegyzéséért, ezekrôl a rendszer üzleti tulajdonosa és az infokommunikációs biztonsági vezetô tájékoztatásáért, — a rendszer mûködtetésében résztvevô rendszergazdák, biztonsági adminisztrátorok tevékenységének összehangolásáért. 4.2.3.12. Rendszergazda A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: — a logikai védelmi rendszer beállítása a védelmi rendszertervnek és a jóváhagyott jogosultságoknak megfelelôen, — adatszolgáltatás a jogosultság nyilvántartó rendszer részére, — a biztonsági és védelmi beállítások módosítása, aktualizálása a jóváhagyott változásoknak megfelelôen, — RIBSZ betartásának operatív ellenôrzése a biztonsági rendszerek folyamatos felügyeletével, az észlelt rendellenességek kezelése, — az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékenységek biztonsági felügyelete, — különösen fontos az informatikai rendszeren észlelt illegális hardver—változtatások, jogellenes használat, jogosulatlan licenc—felhasználás jelentése a felettes üzemeltetés—vezetô és közvetlenül az információvédelmi vezetô, valamint az infokommunikációs biztonsági vezetô részére, — a biztonsági rendszerben történt változások dokumentált követése, — az alkalmazások, eszközök vonatkozó frissítéseinek, hibajavításainak figyelemmel kísérése és dokumentált változáskezelési folyamat keretében történô telepítése, — a rögzített biztonsági események gyûjtése, értékelése és jelentése a felettes üzemeltetés—vezetô, és incidensek esetén közvetlenül az információvédelmi vezetô részére. 4.2.3.13. Felhasználó Aki a Társaság üzleti céljainak elérése érdekében informatikai eszközt kezel, és arra telepített programot (alkalmazást) használ feladatai megoldásához, köteles
1595
az általa kezelt eszközök, rendszerek informatikai biztonságára vonatkozó dokumentumaiban (Felhasználói— és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonatkozó szerepköröknek megfelelôen részletezett szabályok szerint eljárni. A vonatkozó szabályokat a 4.7.1. fejezetben megjelölt személynek kell a felhasználó rendelkezésére bocsátania. Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentumban foglaltakat megismerni, azt a 2. sz. melléklet aláírásával elfogadni és betartani, továbbá a napi munkájában alkalmazni. 4.2.3.14. Informatikai mûködéstámogatás Azon szervezetek, amelyek feladatai között az MSZSZ— ben informatikai mûködéstámogatás, IT fejlesztés és üzemeltetés feladatok szerepelnek, a munkájuk során kötelesek az IBSZ elôírásai szerint tevékenykedni. Az informatikai biztonság érdekében támogatják az üzleti tulajdonos tevékenységét, valamint együttmûködnek az Információvédelmi szervezettel. 4.2.4. Az informatikai biztonság szabályozása a Társaság partnereire vonatkozóan A Társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhetnek kapcsolatba. 4.2.4.1. Céges partnerek A partnerek informatikai biztonságával kapcsolatos intézkedések elsôdleges célja, hogy megakadályozzák az üzletmenet folytán felmerülô védendô adatok kiszivárgását. Az informatikai rendszereket úgy kell kialakítani (a jogosultságokat szükséges, de minimális szintre beállítani, a hozzáférés idôlegességét meghatározni, azt kellô körültekintéssel érvényesíteni — különös figyelemmel a visszavonásra), hogy azok használata során ne okozhassanak kárt a Társaság számára. A partnerekkel megkötött szerzôdésekben külön ki kell térni a betartandó biztonsági elôírások megismerésének kötelezettségére (biztonsági szabályzatok átadása, oktatása). Fel kell hívni a figyelmet a fennálló és a — partneri viszonyból adódóan — újonnan felmerülô kockázatokra. Ajánlásokat kell adni a megfelelô biztonságot nyújtó eljárások alkalmazására. 4.2.4.2. Szakmai kapcsolatok A Társaság informatikai rendszerei több szálon is kapcsolódnak más nemzeti vagy nemzetközi vasúti szervezet rendszereihez: tájékoztató jellegû adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi—, erkölcsi felelôsséget érintô információk cseréje (pl. vasútközi elszámolási adatok).
1596
A MÁV Zrt. Értesítôje
Ezekben a kapcsolatokban — megfelelô szakmai elôkészítô tárgyalások után — az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biztonsági követelményeiben, besorolásában. Az írásba foglalt együttmûködési szerzôdés mûszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintô hatásköröket, felelôsségeket, a biztonság garantálásához alkalmazandó üzemeltetési, felügyeleti és ellenôrzési eljárások részleteit. A Társaság oldalán az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttmûködési szerzôdés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással. 4.2.4.3. Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzôje, hogy a Társaság ügyfélként veszi igénybe a partner cég valamely — informatikai biztonsággal kapcsolatos, illetve azt érintô — szolgáltatását. Ilyen szolgáltatás lehet: — hálózat (internet) szolgáltatás — on—line banki szolgáltatás — hardverkarbantartás, javítás — hardver/szoftver bérbeadás — hardver/szoftver üzemeltetés — hosting szolgáltatás — informatikai audit, vizsgálat — rendszeradminisztráció, vírusvédelem — szoftverfejlesztés — alkalmazás—követés (upgrade, patch stb.) — oktatás — egyéb informatikai szolgáltatás (pl. HelpDesk, nyomtatás) — speciális feladatok (pl. takarítás, ôrzés—védelem) A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásánál, mind a szerzôdések megkötésénél a megfelelô biztonsági garanciák beépítésével, ennek során a biztonsági megfelelôség megítélésében figyelembe kell venni az információvédelmi vezetô véleményét. A felhasználónál végzendô tevékenységet a szolgáltató szervezet minden esetben köteles elôzetesen egyeztetni. A kiérkezô szakembernek a megjelenésekor jól látható és egyértelmûen beazonosítható jelzést kell viselnie, rendelkeznie kell a feladat ellátását hitelt érdemlôen alátámasztó dokumentummal (megbízólevél, szerzôdés stb.), ennek során a személyazonosságát igazolnia kell tudni. Incidens bekövetkezése esetén a szolgáltatási szerzôdésekben elô kell írni a szolgáltató részérôl az információvédelmi vezetô számára a tájékoztatást és az együttmûködési kötelezettséget. Fokozott vagy kiemelt biztonsági osztályba sorolt rendszereket érintô esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállítói biztonsági
19. szám
minôsítési rendszert kell fenntartani, amely alapján objektíven összemérhetôk a potenciális partnerek által hordozott kockázatok. Ennek a minôsítési rendszernek 3. sz. mellékletben felsorolt elemekbôl kell felépülnie. A minôsítést az IKI igénye alapján az információvédelmi vezetô az Infokommunikációs biztonsági szervezet bevonásával végzi. MÁV Csoporton belüli szolgáltatás igénybe vétele esetén A Társaság részérôl szerzôdô fél köteles a Társaság informatikai biztonsági elôírásait érvényesíteni az informatikai szolgáltatási és egyéb szerzôdésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során. A szolgáltatónak a folyamatokba épített rendszeres ellenôrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek ellátását, a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megôrzését, a Társaság jelen informatikai biztonsági elôírásainak és az egyes rendszerekre kiadott RIBSZ—eknek, valamint a Szolgáltatási szerzôdésnek megfelelô mûködést. 4.2.4.4. Projekt partnerek A Társaság informatikai rendszereinek korszerûsítésére, új rendszerek létrehozására indított projektek kapcsán az együttmûködésre pályázó jelentkezôk versenyeztetésénél — az érintett rendszer biztonsági besorolásának megfelelôen — az informatikai biztonsági elôírások maradéktalan érvényesítését is biztosítani kell. A pályázati felhívásban — a funkcionális követelmények mellett — a pályázóktól elvárt informatikai biztonsági követelményeknek is egyértelmûen meg kell jelenniük (pl. Társaság IBSZ). Ennek érdekében az informatikai rendszereket érintô pályázatok informatikai biztonsági részeivel kapcsolatban az információvédelmi vezetô és az IKI állásfoglalását ki kell kérni. A pályázati anyagok elbírálása során a biztonsági besorolás szintje által determinált súlyozással kell figyelembe venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggô fejezeteit, és a vállalt biztonsági garanciákat. A kiválasztás során alkalmazni kell a 3. sz. mellékletben bemutatott biztonsági minôsítési rendszert. 4.2.4.5. Partner—szerzôdések megkötésének biztonsági szabályai Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fizikai—, illetve logikai hozzáférési lehetôségeket biztosítunk, újabb kockázatok jelennek meg. Ezek kompenzálása érdekében a partnerekkel megkötendô szerzôdésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek biztonsági szintje ne sérüljön. A szerzôdésekben
19. szám
A MÁV Zrt. Értesítôje
mindkét fél számára egyértelmûen le kell fektetni az informatikai biztonsági követelményekre, illetve jelen szabályzat vonatkozó elôírásainak betartására irányuló feltételeket, amik szabályozzák (lehetôvé teszik, vagy tiltják) a partner számára: — a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, — a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külsô vagy belsô logikai hozzáférést, — személyes adatok feldolgozását, — a szerzôdéssel kapcsolatos információk nyilvánosságra hozatalát, vagy harmadik fél részére történô átadását, korlátozását, — alvállalkozók bevonását; a Társaság számára: — a partner által végzett belsô— és külsô tevékenységek felügyeletét, ellenôrzését, szükség esetén beavatkozását, — a partner által nyújtandó szolgáltatás szintjének objektív értékelését, mérését, nem megfelelôség esetén szankciók érvényesítését, — a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését, — biztonsági auditor cégek bevonását. A szerzôdésekben, illetve azok mûszaki mellékletében ki kell térni a következô kérdésekre is: — titokvédelem, — szerzôi jogi és tulajdonjogi kérdések, — hazai, nemzetközi valamint a Társasági szabályoknak, elôírásoknak való megfelelés, — változáskezelés folyamata, — rendszertervben meghatározott folyamatok és követelmények mûködési leírásának mélységére vonatkozó iránymutatás, — problémakezelés (pl. eszkalációs rend) folyamata, — kockázatkezelés, a biztonsági szint fenntartásának folyamata — mûködés-folytonosság biztosítása. A partnerekkel fennálló szerzôdések elôkészítése, megkötése a Társaság mindenkor érvényes szabályai szerint történik, a rendszerek kialakítását vagy módosítását érintô szerzôdéseknek kötelezôen informatikai biztonsági fejezetet is tartalmaznia kell. Minden informatikai rendszert érintô elôkészítési folyamatba be kell vonni az információvédelmi vezetôt, a szerzôdés megkötéséhez állásfoglalását ki kell kérni, amennyiben az bármely módon érinti jelen szabályzat elôírásait. A projekt munkaszervezetében az információvédelmi vezetô részvételével, illetve javaslata alapján rendszerszintû
1597
informatikai biztonsági megbízott (lásd. 4.2.3.9. fejezet) részvételével külön biztonsági alprojektet / projektmodult kell mûködtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. Beszállítói szerzôdés csak olyan partnerrel köthetô, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülô speciális elvárások teljesítését, és lehetôséget biztosít a Társaság számára azok teljesülésének felügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíteniük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásában, közremûködik abban, hogy a leendô partnerek mindezeket megismerjék, elfogadják, továbbá az ebbôl következô feladatokat, eljárásokat az együttmûködési / beszállítói / fejlesztési stb. szerzôdésben egyértelmûen rögzítsék. 4.2.5. Az informatikai biztonság szabályozása erôforrás—kihelyezés esetén Az erôforrás-kihelyezés (outsourcing) a szerzôdéses partnerkapcsolatok speciális formája, ezért a 4.2.4.5. fejezet általános szabályai ezekre az esetekre is érvényesek. Tekintettel arra, hogy az outsourcing típusú szolgáltatások esetén a Társaság — mint megbízó — a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelôssége jóval nagyobb. Ennek a megnövekedett felelôsségnek tükrözôdnie kell a szerzôdések tartalmi részében. Egyértelmû szerepkör-elhatárolás szükséges a megbízó és a vállalkozó között az informatikai rendszer üzemeltetési folyamatai tekintetében, hogy a lényeges tevékenységek rendelkezzenek saját felelôssel, illetve ne legyenek indokolatlan párhuzamosságok. Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az információvédelmi vezetô együttmûködésével környezettanulmányokat kell végezni a potenciális partnereknél. Kiemelt biztonsági osztályba tartozó rendszerek üzemeltetése csak különleges körültekintéssel meghatározott garanciális elemek biztosítása esetén, az üzleti tulajdonos, az információvédelmi vezetô és az IKI együttes elôterjesztése alapján, a Társaság elnök—vezérigazgatója erre vonatkozó eseti döntése esetén adható vállalkozásba. Informatikai biztonsági incidens bekövetkezése esetén a vállalkozónak haladéktalanul tájékoztatnia kell a Társaság Információvédelmi, valamint Infokommunikációs Biztonsági szervezetét az incidens bekövetkezésének körülményeirôl, várható kihatásáról, a megtett
1598
A MÁV Zrt. Értesítôje
elsôdleges intézkedésekrôl. Az incidens kivizsgálása érdekében a Szolgáltatónak együttmûködési kötelezettsége van a fenti szervezetekkel. 4.3. Az informatikai eszközök nyilvántartása és számadási kötelezettsége A Társaság informatikai vagyontárgyait az Infokommunikációs igazgatóság irányításával, rendszeres idôközönként leltárba kell venni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szempontból kiemelten fontos a fizikai, a szoftver és az adatvagyon számbavétele. Az azonosított vagyon értékével és jelentôségével arányosan lehet megállapítani a kapcsolódó rendszerek biztonsági osztályát. A vagyonleltár adatai fontos kiindulópontot jelentenek a kockázatkezelés és az informatikai stratégia tervezése során. A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfelelô és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. Az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva. 4.3.1. Konfigurációkezelési adatbázis A Társaság informatikai infrastruktúrája áttekinthetôségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfigurációkezelési adatbázis, amely — a vagyonleltár részeként vagy külön adatbázisban — a biztonság hatékony menedzseléséhez nélkülözhetetlen adatokat kezel. E naprakész nyilvántartásban kell lekérdezhetôvé tenni az összes (nem csupán fizikai jellegû) informatikai rendszerelem, illetve a biztonság menedzselésével összefüggô egyéb entitás (pl. biztonsági tartományok, biztonsági osztály, üzleti tulajdonos, üzemeltetés / tárolás helyszíne, felhasználó, változtatási kérelmek, események, problémák, ismert hibák feljegyzése stb.) adatait, ezek egymás közötti összefüggéseit. A statikus adatok mellett (rendszerelem típusa, fajtája, mûszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfigurációs elemekkel összefüggô egyéb információkat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyilván kell tartani. A tevékenység ellátásához olyan informatikai megoldást kell használni, amely a teljes körû hardver- és szoftverleltár, valamint a licencgazdálkodás elôsegítése érdekében az informatikai eszközök állapotáról rendszeres idôközönként információt továbbít a központi adatbázis számára. Az adatbázis kialakítása és naprakészen tartásának biztosítása az IKI feladata, melyet, a vagyonleltárt kezelô rendszerrel összefüggésben — lehetôleg azzal együtt
19. szám
— kell létrehozni. A jogosultságok meghatározását követôen, megfelelô hozzáférés—védelmi mechanizmusok alkalmazásával, az adatbázist olvasási joggal hozzáférhetôvé kell tenni az információvédelmi vezetô, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üzemeltetését, mennyiségi stb. felügyeletét végzôk számára. 4.4. Személyi biztonság 4.4.1. Munkaviszony létesítésekor Az eszközök nem megfelelô használata során biztonsági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerô-felvételt, illetve más munkakörben alkalmazást megelôzôen szükségessé válik. A munkaszerzôdés megkötésekor a munkájához informatikai eszközt használó munkavállalónak (az 1. sz. melléklet „Felhasználók biztonsági kötelezettségei” megismerése után) a 2. sz. mellékletben szereplô nyilatkozat aláírásával el kell fogadnia az informatikai biztonságra, titokvédelemre és adatvédelemre vonatkozó követelményeket, amely révén a használat szabályairól és az ellenôrzésének lehetôségérôl írásban kap tájékoztatást. A mellékletek átadásában és a munkavállalóval való kitöltetése során a humánpartner szervezet mûködik közre. Az aláírt nyilatkozatot meg kell ôrizni a dolgozó szolgálati táblájában. Az elôzôleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk. A munkafeladatokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetôk legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. 4.4.1.1. A kiemelt fontosságú szerepkörök Kiemelt fontosságú szerepkört betöltô az, aki az általános felhasználót meghaladó, egyúttal a rendszer informatikai biztonságát érintô döntés meghozatalát lehetôvé tevô jogosultsággal rendelkezik. A kiemelt fontosságú munkaköröket betöltô személy tartós távolléte esetén (pl. szabadság, betegállomány) helyettesítôt kell kijelölni, akinek meg kell felelni a munkakör betöltéséhez elôírt feltételeknek. A hatósági erkölcsi bizonyítványhoz kötött munkaköröket a Társaság külön utasításban szabályozza. 4.4.2. Munkaviszony fennállása alatt A munkaviszony fennállása alatt a munkáltatói jogkörgyakorlójának, az üzleti tulajdonosnak, az IKI—nek, az információvédelmi vezetônek együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, ezáltal is motiválva legyenek az informati-
19. szám
A MÁV Zrt. Értesítôje
kai biztonsági szabályok betartására. A felhasználókat oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) tájékoztatni kell a biztonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében. 4.4.2.1. A vezetôk felelôssége Az adott szervezeti egység vezetôjének felelôssége, hogy megkövetelje a felhasználóktól és a szerzôdô felektôl, hogy a biztonsági intézkedéseket az IBSZ—el összhangban alkalmazzák, a biztonságot érintô kérdésekben megfelelô, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik. A Biztonsági fôigazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informatikai képzések tematikájában megfelelô súllyal szerepeljen. A munkáltatói jogkörgyakorló joga munkatársainak a tervezett képzésre való kijelölése. 4.4.2.2. Oktatás és képzés A felhasználóknak ismerniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetôségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. A biztonságtudatosság növelését célzó felhasználói oktatás tematikáját és idôtartamát — mind az informatikai, mind az informatikai biztonsági igényeket figyelembe véve — a Társaság oktatási utasításában (O.1) kell szabályozni. A biztonsági képzések tananyagát a korábban már említett, 1. sz. melléklet (Felhasználók biztonsági kötelezettségei) képezi, amit az adott munkaterület speciális igényei szerinti elôadásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelôsséget, az üzleti óvintézkedéseket, valamint az infokommunikációs eszközök helyes használatát. 4.4.3. Munkakör-, szervezetváltás vagy munkaviszony megszûnése/ megszüntetése 4.4.3.1. Az átszervezés, szervezetváltás biztonsági kérdései Munkaviszony Társaságon belüli megváltozása, illetve munkaviszony megszûnése/megszüntetése biztonsági szempontból hasonló kategória, az áthelyezett munkatárs korábbi adatainak átvihetôségérôl a munkáltatói jogkör gyakorló dönt. A Társaság átszervezése esetén már a tervezési szinten is átfogóan kell elemezni az esetlegesen felmerülô biztonsági kockázatokat, az információvédelmi vezetô bevonásával meg kell határozni azokat az informatikai biztonsági követelményeket, intézkedéseket, amelyeket ennek során érvényesíteni kell.
1599
A Társaságon belül áthelyezett felhasználó a személyéhez kapcsolódó hozzáférésein kívül (pl. email cím) semmilyen korábbi — az informatikai alkalmazások, rendszerek eléréséhez kapott — hozzáférési jogot nem vihet magával az új szervezetbe. Nem új belépô munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet — amennyiben az nem áll rendelkezésre — alá kell íratni, és az 1. sz. mellékleltet — az esetlegesen bekerült változások miatt — meg kell ismertetni a felhasználókkal. 4.4.3.2. Munkaviszony megszûnése/megszüntetése A Társaság szempontjából biztonsági alapkövetelmény, hogy a munkavállalók rendezett módon hagyják el a szervezetet vagy váltsanak munkakört. A munkáltatói jogokat gyakorló vezetô döntése alapján a munkaviszony megszûnésével/megszüntetésével érintett munkatárs bármely általa használt informatikai, telekommunikációs eszközérôl még a munkaviszony megszûnése/megszüntetése elôtt az üzemeltetô szervezetnek mentést kell készítenie. A mentés elôtt a munkatárs nyilatkozata alapján, a hitelt érdemlôen bizonyítható személyes adatait törölni kell. A felhasználó informatikai eszközén maradó és a lementett adatok további felhasználásáról a munkáltatói jogkörgyakorló dönt. Egyéb esetben a munkaviszony megszûnésével/ megszüntetésével érintett munkatárs által elôkészített és lebonyolított munkakör átadásával kapcsolatban a Társaság adatvédelmi és adatbiztonsági szabályzata szerint kell eljárni. A felhasználó szerzôdése lejártáig, illetve munkaviszonya megszûnése/megszüntetése során minden informatikai eszközét (ideértve különösen a számítógépet, hordozható adattárolókat is) dokumentáltan szolgáltasson vissza, hozzáférési jogait azonnal minden rendszerbôl vissza kell vonni (a munkavégzési kötelezettség alóli felmentés napjától vagy amennyiben a feladatok átadás-átvétele ezt követôen történik, akkor azzal a dátummal), amelynek kezdeményezéséért a munkáltatói jogkörgyakorlója felelôs. Az informatikai jogosultságokon kívül visszavonásra kerülô vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosítók, beléptetô kártyák, elôfizetések. Különös figyelemmel kell lenni a munkakörváltás esetén az aktív számlákhoz hozzáférést biztosító jelszavak visszavonására, illetve megváltoztatására. A munkakör átadási folyamat részeként, indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldésérôl, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggô levelek mely e—mail címre legyenek elküldve. A levelezô alkalmazás rendszergazdája — a HelpDesk—hez érkezett — vezetôi engedély alapján — de legfeljebb 3 hónap múlva — törölje a postafiókot, annak archiválását követôen.
1600
A MÁV Zrt. Értesítôje
19. szám
4.5. Fizikai és környezeti biztonság
4.5.2. Fizikai biztonsági védôsávok
A fizikai védelem célja az eszközök állagának, információ-feldolgozó képességüknek megôrzése, folyamatos mûködôképességük fizikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben: a) gondatlan emberi magatartásból, helytelen üzemeltetésbôl, mulasztásból eredô fizikai jellegû veszélyeztetés, b) szándékos emberi beavatkozásból származó fizikai jellegû károkozás, rongálás, c) illetéktelen személyek hozzáférése, beavatkozása okozta károk, d) lopásból eredô károk, e) mûszaki meghibásodás, üzemzavar okozta károk, f) természeti csapások, katasztrófa események következtében keletkezô károk.
A biztonsági zónák határfelületein, ahol azok alacsonyabb szintû területekkel, vagy a külvilággal érintkeznek, biztonsági védôsávokat (beléptetô rendszer, tûzgátló ajtó stb.) kell kialakítani, amelyek egy vagy több fizikai természetû veszélyeztetés kivédésére szolgálnak. A „Fizikai biztonságra vonatkozó elvárások” c. (8. sz.) melléklet összefoglalja a védôsávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötelezô vagy ajánlott.
A védelmi intézkedések e csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephelyek védelmére, valamint az eszközök folyamatos mûködéséhez szükséges környezeti feltételek biztosítására szolgál. 4.5.1. Biztonsági szegmensek A fizikai biztonság megalapozását biztonsági területek kijelölésével kell kezdeni. Minden olyan helyiséget, épületet, telephelyet, amely az informatikai rendszer bármely alább felsorolt elemének üzemszerû elhelyezésére vagy tárolására szolgál, be kell sorolni a következô osztályoknak megfelelôen: a) kiemelt biztonsági osztály: azok a fokozott biztonsági osztályú területek, amelynek üzleti tulajdonosa a kockázatelemzés alapján magasabb szintû védelem megvalósítását tartja szükségesnek., b) fokozott biztonsági osztály: számítóközpontok, szerverszobák, adathálózati központok, hálózati rendezôk, központi adattárat, vagy mentéseket kezelô helyiségek. c) alap biztonsági osztály: az elôzô két kategóriába nem sorolt területek. Minden informatikai eszköz csak a biztonsági besorolásának megfelelô szintû biztonsági területen telepíthetô. Fokozott és kiemelt biztonsági szintre történô besoroláshoz az információvédelmi vezetô — írásba foglalt — állásfoglalása szükséges. Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttmûködni az ott üzemelô rendszerek üzleti tulajdonosaival. Ezt a személyt az alkalmazások RIBSZ-eiben meg kell jelölni. A biztonsági területek definiálása és nyilvántartása — a konfigurációkezelési adatbázis részeként — az IKI feladata.
4.5.3. Hordozható informatikai eszközök védelme Az eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok elôírt védelme. Fizikailag el kell zárni vagy amennyiben technikailag lehetséges különleges (pl. Kensington) zárat kell alkalmazni az eszköz biztosítására. 4.5.4. Felhasználói munkaállomások védelme Minden számítógépes munkaállomáshoz (teljes konfigurációt figyelembe véve), továbbá önálló nyilvántartási egységet képezô más informatikai eszközökhöz vagyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelôssége: d) az eszközök állagának, épségének megóvása a tôle elvárható gondoskodással, e) sérülés, hiány azonnali jelentése a közvetlen vezetônek, f) hordozható informatikai eszközök (továbbá pl. projektor) esetén a Társaság objektumain kívül történô használat vagy tárolás során a vagyonvédelmi elôírások maradéktalan betartása, g) meghibásodásra utaló jelek (szokatlan zajok, melegedés stb.) esetén a készülék azonnali kikapcsolása, karbantartás igénylése, h) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletérôl, vagy biztonságos helyen történô tárolásáról. A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtôl, amely azok sérülését, beszennyezését okozhatja. Informatikai eszközök és tartozékaik eltulajdonítása ellen — ahol ezt a közvetlen munkahelyi vezetô indokoltnak tartja — mechanikus lopásgátló védelmi eszközökkel kell a veszélyeztetett eszközöket ellátni. 4.5.5. Beléptetési intézkedések Mindhárom (Alap, Fokozott, Kiemelt) biztonsági osztályra vonatkozó beléptetési elôírásokat a „Fizikai biztonságra vonatkozó elvárások” c. (8. sz.) melléklet tartalmazza. Kamerás megfigyelô rendszerek használatának adatvédelmi vonatkozásairól a Társaság adatvédelmi és adat-
19. szám
A MÁV Zrt. Értesítôje
biztonsági szabályzat rendelkezik (a szabályzat megnevezése a 16. sz. mellékletben található). 4.6. Hálózati szolgáltatások 4.6.1. Hálózatmenedzsment A hálózatmenedzselés során olyan óvintézkedéseket kell megvalósítani, amelyek fenntartják a hálózatokban (pl. LAN, WAN, WLAN, intranet) az adatok bizalmasságát, sértetlenségét és rendelkezésre állását. A hálózati RIBSZ—ben ezért a hálózaton áthaladó adat és az ezt lebonyolító, lehetôvé tevô infrastruktúra védelmében szabályozni kell: — a felelôsséget a teljes hálózatért, illetve annak logikai és fizikai szegmenseiért, alhálózataiért, és a hálózat változásainak kezeléséért, — az eszközök távoli menedzselésének szabályait, eljárásait és felelôseit, — a nyilvános hálózatokon is áthaladó adatok biztonságát, — a szervezeti határokon átnyúló informatikai szolgáltatások hálózati elemeinek biztonságát, — a hálózathoz való hozzáférés menedzselésének szabályait, különös tekintettel az esetleges külsô szolgáltatók és felhasználók hozzáférési lehetôségeire, — a védett, az általános célú, és a nyilvános hálózatok biztonságos összekapcsolásának és átjárásának feltételeit, eszközrendszerét, — Vezeték nélküli (WLAN) hálózatok biztonságát, — a hálózati és hálózatfelügyeleti szolgáltatások folyamatos fenntartását biztosító eljárásokat, — a diagnosztikai pontokhoz való hozzáférést, a hálózati események naplózását, és azok rendszeres ellenôrzését. Egységes munkaállomás-névkonvenciós használatot kell kialakítani, a hálózatban lévô munkaállomások pontos azonosítása érdekében. Amennyiben technikailag lehetséges a hálózatba kapcsolt gépeket kötelezô tartományba (domain) léptetve használni, annak érdekében, hogy a központi menedzselhetôség mindenütt megvalósuljon. A tartományba nem léptetett informatikai eszközök esetén is biztosítani kell az informatikai biztonság megfelelô szintjét. Az egységes hálózati, szerver és munkaállomás kialakításoktól eltérni kizárólag technológiai okból, az Információvédelmi vezetô tájékoztatása mellett az IKI engedélyével lehet. Hálózatba kapcsolt informatikai eszközök használatakor elônyben kell részesíteni a vezetékes kapcsolódást, amennyiben technikailag lehetséges hálózat azonosítási protokoll (pl. 802.1x) használatával. Az elérendô szolgáltatások és a szükséges minimális jogosultság elve érdekében szegmentálni kell a hálózatot (pl. vendégek részére, belsô munkatársak, speciális alkalmazások részére kialakított hozzáférés).
1601
A hálózat komponenseit, a hozzá kapcsolt eszközöket és a rajtuk futó szoftvereket bármilyen célból automatikusan felderítô (szkennelô) alkalmazások használata — céljától függôen — az IKI, illetve a PVÜF TF hozzájárulásával, az információvédelmi vezetô elôzetes tájékoztatása mellett történhet. Tiltani kell az operációs rendszerekbe és alkalmazói szoftverekbe épített azon funkciókat, amelyek a készítô (gyártó) számára bármely indokkal adatokat küldenek vissza. Egyedi esetben, az információvédelmi vezetô hozzájárulásával engedélyezhetô e funkciók használata. 4.6.2. Vezeték nélküli (WLAN, WiFi, mikrohullámú) hálózatok Amíg a vezetékes hálózatok fizikai védelme viszonylag jól megoldható a WLAN hálózat nem ér véget az épület falainál, ami jelentôs biztonsági problémák forrása. Kialakításuk során az alábbi biztonsági követelményeknek kell eleget tenni: • Vezeték nélküli eszközök telepítése az IKI engedélye nélkül tilos! • Kockázatelemzéssel kell meghatározni a lehetséges fenyegetô tényezôket. • Szabályozni és naplózni kell a hozzáférést a hálózathoz. • Különös figyelmet kell fordítani a vezeték nélküli hálózat biztonsági szempontú kialakítására. • A vezeték nélküli hálózaton átmenô rendszerek forgalmát titkosítani kell. • Kiemelt biztonsági osztályba sorolt rendszerekhez vezeték nélküli módon kapcsolódni tilos. Amennyiben a technológia rendelkezésre áll, a biztonság szintjét a következô beállítások, eszközök alkalmazásával kell növelni: • Megfelelô titkosítás (pl. WPA2) használata. • Hitelesítés (pl. 802.1x EAP—PEAP, token) alkalmazása. • Vezeték nélküli tûzfal (Wireless firewall) használata. • Vezeték nélküli behatolás jelzô— és megelôzô rendszer (Wireless IDS, IPS) használata (pl. ad—hoc és bridge detektálás, blokkolás). • Hálózati hozzáférés—szabályozás (Network Access Control) használata. • Tipikus támadási formák (pl. passzív lehallgatás, illetéktelen kapcsolódás a hálózathoz vagy a kliensek „eltérítése”) elleni védelem használata. • Amennyiben technikailag lehetséges, a Társasághoz érkezô vendégek részére a Társaság adatátviteli hálózatától logikailag teljesen elkülönített és naplózott „vendég” WLAN hálózatot kell biztosítani. Ugyanilyen módon kell kezelni a Társaság munkavállalóinak saját tulajdonú mobil eszközeinek részére kialakított WLAN hálózatot is. Bizonyos beállításokat a Társaság tulajdonát képezô klienseken az üzemeltetô szervezetnek kell megtenni:
1602
A MÁV Zrt. Értesítôje
— A munkához használt hálózatot (SSID) elsôdlegesnek kell beállítani, azaz a kliens elôször ehhez próbáljon csatlakozni. — A Társaság vezetékes hálózatához csatlakoztatott informatikai eszközök esetén a WLAN interfészt a csatlakozás idejére (amennyiben a technológia lehetôvé teszi automatikusan) ki kell kapcsolni. — A Társaság vezeték nélküli hálózatához csatlakoztatott informatikai eszközök esetén a WLAN interfészt tilos tovább osztani harmadik fél számára. Az érvényes hatásköri feladatmegosztás alapján az IKI és a PVÜF TF engedélye szükséges a vezeték nélküli kapcsolódás létrehozásához, szolgáltatás nyújtásához (beleértve az üzleti célú illetve egyéb Internet hozzáférést), illetve technológiai célokat szolgáló vezeték nélküli hálózati kapcsolat tervezése, építése során. Indokolt esetben az információvédelmi vezetô állásfoglalását is ki kell kérni. Az engedélyek nyilvántartását a konfigurációkezelési adatbázisban is át kell vezetni, továbbá a részletes beállításokat a hálózati RIBSZ—ben kell meghatározni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. 4.6.3. Bluetooth kapcsolat A Bluetooth hatótávolsága a legtöbb eszköznél néhány méter, így a támadónak fizikailag is közel kell kerülnie az eszközhöz, ami megnehezíti, de nem teszi lehetetlenné a támadásokat. Néhány alapvetô beállítással biztonságosabbá tehetô a Bluetooth kapcsolattal rendelkezô eszköz: — Az alapbeállítás legyen „nem látható”. — Kapcsolódási kérelem fogadása esetén gondosan tanulmányozni kell, hogy a kérelem honnan és milyen okból történik. Csak különösen indokolt esetben engedélyezhetô a jóváhagyás nélküli kapcsolódás. — Amennyiben nincsen szükség állandó Bluetooth kapcsolat fenntartására, abban az esetben ki kell kapcsolni az eszköz beállításai között a szolgáltatást. A Társaság munkaállomásaihoz Bluetooth kapcsolattal rendelkezô eszközök csatlakoztatását az infokommunikációs biztonsági vezetô állásfoglalásának kikérése mellett a szervezeti egység vezetôje engedélyezheti. 4.6.4. Mobilkommunikációs kapcsolat A Társaság vezetékes adatátviteli hálózatára kapcsolódó munkaállomásokon tilos egyidejû mobilinternet kapcsolat létesítése. 4.6.5. Internet elérés biztonsága a) Az internetre csatlakozás a Társaság belsô hálózatára csatlakozó munkaállomásról kizárólag a kialakított tûzfalas védelmi rendszeren keresztül engedélyezett.
19. szám
b) A Társaság hozzáférési pontjairól a felhasználó részére az internetre kapcsolódás lehetôségének kialakítását és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetônek kell jóváhagynia. c) Az internetrôl csak olyan állományok tölthetôk le, amelyek a munkavégzéshez feltétlenül szükségesek. d) A nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására tartalomszûrést kell mûködtetni, amelynek a meghatározását az információvédelmi vezetô végzi. e) Az internetes tevékenység naplóállományait az üzemeltetô szervezet gyûjti, szükség szerint monitorozza és elemzi. A Társaság fenntartja magának a jogot ezen információk alapján korlátozások bevezetésére. f) A potenciális rosszindulatú kódokat tartalmazó weboldalak és szolgáltatások szûrésére (tiltására) napi szinten karbantartott, nemzetközi biztonsági elvárásoknak is megfelelô szolgáltatást, illetve adatbázist kell alkalmazni. E rendszer alkalmazása során a további szûrési feltételek, illetve kivételek meghatározását az IKI, az információvédelem és az informatikai szolgáltató együttmûködése útján — szükséges mértékig az érintett fôtevékenységi kör vezetôk bevonásával — kell kezelni. Ezek során kiemelt figyelemmel kell lenni a fórumok, blogok, chat-oldalak, file- és videó-megosztó, közösségi portálok, továbbá a jó ízlést sértô, a pornográfiát vagy szélsôséges, illetve indokolatlan erôszakot tartalmazó oldalak, on-line játékok, valamint stream alapú kapcsolatokat kezelô alkalmazásokra, amelyek a rendszereink sértetlensége és bizalmassága mellett a rendelkezésre állását is kedvezôtlenül befolyásolhatják. Kizárólag a munkával összefüggésben — a fenyegetettségek kellô mértékû feltárása és ennek biztonságra gyakorolt hatásának elemzése alapján — engedélyezhetô ezek használata. A kivétel meghatározására vonatkozó igényt a munkáltatói jogkör gyakorló hozzájárulásával, a HelpDesk útján kell elôterjeszteni az IKI részére, aki az információvédelmi vezetô állásfoglalásának kikérése mellett hozza meg a döntését, amelyet határozott idôtartamra, de legfeljebb egy évre engedélyezhetô. 4.6.6. Az elektronikus levelezés biztonsága Az elektronikus üzenetküldésnek a papír alapú adatközléstôl jelentôsen eltérô kockázatai vannak. Ezek a biztonsági kockázatok magukba foglalják az üzenetek illetéktelen elérését vagy módosítását, a szolgáltatás megtagadással járó (túlterheléses) támadás veszélyét, emberi hibákból eredô veszélyeztetô tényezôk, pl. rossz címzés, védendô információk továbbításának lehetôsége, feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása, a kívülrôl hozzáférhetô címjegyzékek tartalmával való visszaélési lehetôségek, vagy pedig a távolról bejelentkezô felhasználó biztonsági problémái.
19. szám
A MÁV Zrt. Értesítôje
A Társaságnál folytatott elektronikus levelezés védelmi rendszerét erre vonatkozó (Exchange) RIBSZ—ben kell kialakítani, összhangban az Informatikai biztonsági stratégia dokumentummal. A fontosabb biztonsági szabályok a következôk: — Üzleti titoknak minôsülô adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illetve továbbítani. — Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó fokozott elektronikus aláírással hitelesíti magát. — Az elektronikus levelezést biztosító eszközökrôl, elsôsorban a szerverek fizikai és logikai védelmérôl folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfrissítések megjelenését). — Az elektronikus levelezô rendszeren keresztül történô támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, — pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellô védelmet — az interneten keresztül bonyolított elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére a levelezôrendszer üzleti tulajdonosa jogosult az információvédelmi vezetô egyidejû és részletes tájékoztatása mellett. — Biztosítani kell a nem hitelesíthetô, kétes forrásból (pl. adathalász, hoax) származó üzeneteket, továbbá a nagy mennyiségben beérkezô kéretlen üzeneteket (spam) szûrését, azokat az információvédelmi vezetônek kell jelezni kivizsgálás céljából. A vizsgálat eredményérôl az infokommunikációs biztonsági vezetôt tájékoztatni szükséges. — A kéretlen üzenetek beérkezésének és az adatok kiszivárgásának elkerülése érdekében biztosítani kell az elektronikus levelezés tartalmi szûrésének lehetôségét. — Tekintettel arra, hogy a levelezô rendszer kizárólag a Társaság feladatainak végrehajtására használható, a felhasználókat tájékoztatni kell arról, hogy a Társaság levelezô rendszerén tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Társaság szabályzataiban feljogosított ellenôrzô szervezeteknek ezekhez az állományokhoz a vizsgálathoz szükséges mértékig betekintési joguk van. A betekintés szabályait a Társaság Adatvédelmi szabályzata tartalmazza. — A Társaság levelezô rendszere a Társaság üzletmenetéhez nem kapcsolódó üzleti célokra (pl. hirdetések kiküldése) nem használható. — Társaságon kívüli címre küldendô levél mérete lehetôleg ne haladja meg a 10 Mbyte—os méretet (mert lehet, hogy a címzett fél rendszere nem tudja fogadni). A levelezô rendszerben egyidejûleg maximálisan 100 címzett számára engedélyezett üzenet küldése, amely alól az információvédelmi vezetô adhat felmentést. — A Társaság elektronikus levelezési címjegyzéke a Társaságon kívüli szervezetnek az információvédel-
1603
mi vezetô véleményének figyelembe vételével, Társaság belsô adatvédelmi felelôse egyetértésével, törvényben meghatározott esetekben szolgáltatható ki. — Magáncélra kialakított (nem Társasági, pl. Gmail, Hotmail, Freemail, Citromail) postafiók használata a Társaság hálózatába kapcsolt munkaállomásról nem megengedett. — Tilos az elektronikus üzenetek automatikus átirányítása, vagy másolat küldése a Társaságon kívüli e—mail címekre (pl. Freemail, Citromail, Gmail, stb.). Amennyiben szükséges a munkával kapcsolatos emailek más helyszínen történô elérése, akkor a 4.6.7. fejezetben felsorolt szolgáltatásokat lehet igényelni az IKI—tôl. — Amennyiben technikailag lehetséges az elektronikus postafiókot úgy kell beállítani, hogy az ne a felhasználó gépén, hanem a Társaság központi levelezô szerverén tárolja az elektronikus üzeneteket és bejegyzéseket (így a központi mentés révén biztosított azok rendelkezésre állása). A központi tárhely méretétôl függôen a felhasználónak ebben az esetben is gondoskodnia kell a nem fontos (pl. elévült) levelek rendszeres (helyi gépre történô) archiválásáról, amelyhez a HelpDesk segítségét kérhetik. 4.6.7. Elektronikus levelezés távoli elérése A Társaság — az arra feljogosított felhasználói számára — biztosítja a levelezés távoli elérését az OWA (Outlook Web Access), a Push e—mail és az OAW (Outlook Anywhere) szolgáltatásokon keresztül, amelyekhez nincs szükség VPN kapcsolatra, csupán internetes hozzáférésre (pl. otthon, internetes kávézóban, repülôtéren). A hordozható informatikai eszközök fokozott biztonsági kockázatot jelentenek a távoli elérés során, ezért külön szabályok kialakítása és betartása szükséges. A Társaság által biztosított ilyen eszközöket el kell látni rosszindulatú kódok elleni megfelelô védelemmel. Az alábbi levelezési szolgáltatások az IKI—tôl igényelhetôk. OWA (Outlook Web Access): A szolgáltatás használatakor minden esetben be kell tartani a Társaság EXCHANGE levelezôrendszerének Outlook Web Access (OWA) böngészôs eléréséhez címû kezelési útmutatóban leírt biztonsági elôírásokat. Push e—mail: Alapesetben a szolgáltatás igénybe vétele a Társaság dolgozóinak, a Társaság hordozható informatikai eszközein történô elérés esetén engedélyezhetô, melynek során fokozott figyelmet kell fordítani a biztonsági beállításokra (pl. titkosítás kikényszerítése Mobile Device Management (MDM) eszközfelügyeleti rendszerbe történô bevonás alkalmazásával). A rendszerrel összefüggô további elôírásokat a Társasági mobil szolgáltatások használatának szabályozása, továbbá az Adatvédelmi és adatbiztonsági szabályzat tartalmazza.
1604
A MÁV Zrt. Értesítôje
Különösen indokolt esetben engedélyezhetô magántulajdonú készülék használata a levelezés Push e—mailen keresztül történô elérésére, azonban ez esetben a felhasználónak teljesítenie kell a Társaság erre vonatkozó biztonsági elôírásait, és hozzájárulását kell adja az információ védelme érdekében, a jogosultság megszûnése esetén a céges email fiók távoli törléséhez. OAW (Outlook Anywhere): A szolgáltatás igénybe vétele kizárólag a Társaság dolgozóinak, a Társaság — titkosított háttértárral ellátott — eszközein történô elérés esetén engedélyezhetô. 4.7. Üzemeltetési eljárások és felelôsségek 4.7.1. A dokumentációk biztonsága Az üzemeltetési eljárásokat és felelôsségeket részletesen és szabályszerûen dokumentálni kell, és az üzemeltetés helyén hozzáférhetôvé kell tenni. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következôk szerint: a) az üzemeltetést végzô személyzet azonosíthatósága, b) az adatkezelés fajtája és módja, (—feldolgozás és —tárolás), c) tervezett követelmények, más rendszerek bizalmasságának sérülhetôsége, d) munkaidôn kívüli munkahelyen való tartózkodás rendje, e) hibaesetekre és rendellenes mûködésre vonatkozó eljárások, f) hardver és szoftver karbantartási eljárások, g) munkavégzés közben fellépô kivételes állapotok kezelése, h) rendszer újraindításának és visszaállításának menete, i) rendszer mentésének, archiválásának rendje. A rendszerdokumentációkat, vizsgálati anyagokat, az üzemeltetési és dokumentált eljárásokat a rendszer tevékenységeire vonatkozóan hivatalos dokumentumként kell kezelni. A kifejezetten a felhasználók részére készült anyagokat (pl. felhasználói kézikönyv, oktatási anyag) kivéve ezek a dokumentumok tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordozók tárolási helye, hálózati hozzáférési pontok) ezért tilos e dokumentumok bármilyen nyílt formában történô közzététele. Ilyen esetekben a titokban tartásuk érdekében elvárható intézkedések megtétele indokolt (pl. minôsítés belsô használatra). Amennyiben külsô cég készít a Társaság rendszereirôl bizalmas adatokat tartalmazó dokumentációt, fel kell hívni az elôállító figyelmét az anyag korlátozott terjesztésének és betekintésének a megjelölésére. A RIBSZ—ben az illetéktelen hozzáféréseket szabályozni kell:
19. szám
a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról. b) Minimálisra kell csökkenteni a rendszerdokumentációkhoz hozzáférô személyek számát. c) Gondoskodni kell a nyilvános hálózaton keresztül elérhetô, vagy azon keresztül továbbított dokumentáció védelmérôl. d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelô módon kell kezelni. e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani. f) A rendszerben feldolgozásra kerülô, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni. 4.7.2. Szoftverek kezelése Szoftver tulajdonjog A Társaság által beszerzett szoftvereket és a hozzájuk tartozó dokumentációt nem szabad másolni, kivéve biztonsági másolat készítése céljából vagy a szoftver— terjesztô / fejlesztô egyértelmû írásos engedélye mellett. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja, ezért a tilalom nem vonatkozik azokra a kulcsfelhasználókra, rendszergazdákra akiknek munkaköri kötelességük az ilyen mûveletek elvégzése. Egyetlen termék többszörös használata esetén a szoftver csak a licenc megállapodásban rögzített darabszámban és módon használható. A felhasználók: — a Társaság informatikai eszközeire felinstallált szoftvert nem másolhatják más helyen történô használat céljából. — ha kétségeik merülnek fel a szoftver szerzôi jogai felôl, akkor lépjenek kapcsolatba az IKI szoftver licenc—nyilvántartásáért és installációjáért felelôs munkatársával, A szerzôi jogok megsértése törvénybe ütközô cselekmény, ezért felelôsségre vonáshoz vezethet és a felhasználó elleni büntetôeljárás megindítását eredményezheti. Szoftver használat Olyan szoftvert, amely valamilyen ismert módon kikerüli a jóváhagyott védelmi eljárásokat vagy ellenôrzéseket, kizárólag az infokommunikációs biztonsági vezetô engedélyéhez kötötten, ellenôrzött keretek között lehet az informatikai eszközökre telepíteni. A felhasználók — a Társaság informatikai eszközeire felinstallált (pl. biztonsági, felügyeleti, alkalmazói) szoftvereket nem hatástalaníthatják, illetve nem távolíthatják el, — külön megállapodás, vagy központi elrendelés hiányában nem fejleszthetnek, nem használhatnak, nem
19. szám
A MÁV Zrt. Értesítôje
karbantarthatnak, nem installálhatnak, vagy nem tölthetnek le szoftvert (freeware, shareware, portable stb.) a Társaság munkaállomásaira. Szoftver életciklus Azon számítógépek esetén, amelyeken lejárt gyártói támogatású (életciklusú) szoftverek (pl. operációs rendszer, alkalmazói programok) üzemelnek az informatikai biztonság szintjének megtartása érdekében le kell tiltani az eszközök internet hozzáférését. 4.7.3. A feladatkörök elhatárolása Az összes adatfeldolgozó eszköz üzemeltetési eljárásait és az üzemeltetéssel járó felelôsségi köröket elôre definiálni kell, és folyamatosan felül kell vizsgálni. Az egyes feladatok vagy felelôsségi körök végrehajtását és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módosítására vagy visszaélésre vezetô alkalmak esélyét csökkentsük. Fokozott vagy kiemelt biztonsági osztályba sorolt rendszerek esetében ilyen beállítások csak az információvédelmi vezetô munkatársa elôzetes írásos (pl. e—mail) értesítését követôen végezhetôk. A jól definiált feladatelhatárolás, minden munkavállaló részére, csak a munkájához szükséges információhoz ad hozzáférést, így jelentôsen csökken a gondatlan vagy szándékos visszaélés kockázata. A feladatok szétválasztásának szabályai: — „éles” üzemben mûködtetett informatikai rendszerben nem a változáskezelési szabályok szerinti módosítások, fejlesztések, tesztelések nem folytathatók, — „éles” adatokkal tesztelést végezni tilos, teszteléshez mindig tesztadatokat kell készíteni (generálni), — fejlesztés alatt álló rendszerben „éles” üzemi tevékenységet folytatni tilos, — a fordító, szerkesztô és egyéb segédprogramok „éles” üzemi rendszerben csak abban az esetben legyenek elérhetôk, ha ezekre a programokra dokumentáltan és engedélyezetten szükség van, — a fejlesztôk, támogatók az „éles” üzemi rendszerhez nem rendelkezhetnek hozzáféréssel, ettôl eltérni csak kivételes esetben, dokumentált módon, az üzleti tulajdonos engedélyével lehet; amennyiben erre már nincs szükség, a hozzáféréseket meg kell szüntetni (változtatni), és a rendszer biztonsági beállításait teljes körûen felül kell vizsgálni, — az éles rendszer mellett egyéb (pl. teszt és oktatási) környezetek is létrehozhatóak, de azokban is garantálni kell az informatikai biztonság elemeinek érvényesülését, valamint adatokat kizárólag kockázatelemzést követôen adhatnak át az „éles” rendszernek. A biztonsági ellenôrzést a végrehajtó szervezettôl függetlenül, az információvédelmi vezetô hatáskörében kell mûködtetni.
1605
4.7.4. Változáskezelés A biztonsági osztályba sorolástól függetlenül az információs rendszerek, alkalmazói programok és rendszerleíró paraméterek, rendszerszoftver— és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait ellenôrzött és dokumentált módon kell elvégezni. A változáskezelési szabályok összessége határozza meg egy informatikai alkalmazás adatszolgáltatási folyamataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemeltetését lehetôvé tevô informatikai infrastruktúrában bekövetkezô módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetôségét. Ennek során a következô tevékenységek elvégzésérôl dönt az üzleti tulajdonos: a) változás iránti igény azonosítása, jelentôrendszerbe rögzítése, b) a változások lehetséges hatásainak felmérése, c) döntés a változás megvalósításáról / a változtatási kérelem elutasításáról, d) a változás megvalósításában felelôs résztvevôk megjelölése, e) a tervezett változások jóváhagyási eljárásainak ellenôrzése, f) a változás kidolgozása, g) a változás tesztelése, nem megfelelôség esetén visszalépés az f) pontra, h) döntés a bevezetésrôl, i) az összes érintett értesítése a változások részleteirôl, j) a változás bevezetése, k) a tényleges változások dokumentálása, l) a megváltozott környezetrôl biztonsági mentés készítése. Társasági szinten egységes változáskezelési rendszer és szabályzat kialakítása az IKI, az infokommunikációs hálózatra pedig a PVÜF TF feladata. A teljes változáskezelési folyamatra biztosítani kell az információvédelmi vezetô felügyeletét. A Társaság informatikai eszközeinek, illetve alkalmazásainak telepítését, átalakítását, karbantartását kizárólag szerzôdésben megbízott üzemeltetô szervezet végezheti. 4.7.5. Frissítés kezelés (Patch management) Az informatikai biztonság növelése érdekében gondoskodni kell a Társaság hálózatába kapcsolt (aktív és passzív) informatikai eszközök belsô szoftverének, valamint a rajtuk futó rendszer és alkalmazói szoftverek biztonsági frissítéseinek rendszeres ellenôrzésérôl és telepítésérôl. Szabályozni kell a telepítendô frissítések elôzetes tesztelési menetét és dokumentált változáskezelési eljárás keretében történô használatba vételét. Amennyiben a frissítések telepítése nem megvalósítható (pl. kompatibilitási probléma) fel kell mérni a frissí-
1606
A MÁV Zrt. Értesítôje
tés elmaradásából adódó biztonsági fenyegetettségeket és kivételkezelés keretében gondoskodni a kockázatokkal arányos védelemrôl. Amennyiben a Társaság fizetôs vagy ingyenes szoftvert, mint szolgáltatást vesz igénybe, olyan szállítót kell választani, aki biztosítja a kínált termék folyamatos frissítését. 4.7.6. Kapacitástervezés A rendszerek kapacitásigényét folyamatosan figyelemmel kell kísérni, és a mért értékek alapján meg kell becsülni a jövôre nézve is. A kapacitástervezés célja, hogy idôben álljon rendelkezésre a kellô feldolgozási teljesítmény és tárolóhely, az üzleti folyamatok támogatásához. A tervek az újabb üzleti és rendszerkövetelményeket is vegyék figyelembe, valamint a Társaság adatfeldolgozásának folyó és megjósolt trendjeit. 4.7.7. Virtualizáció, felhô alapú rendszer A virtualizációs környezet biztonsági feltételeinek meghatározásánál az IBSZ 4.9. (Informatikai rendszerek fejlesztése) fejezetében leírtakat oly módon kell megvalósítani, hogy a virtualizációba bevonni kívánt rendszerek biztonsági paramétereinek alapul vételével minden esetben a legmagasabb követelménynek kell eleget tenni. Ezért az ugyanabba a virtualizációs környezetbe összevont rendszerek megtervezésekor a kapacitás szükségletek optimalizálásán túl, különös figyelmet kell fordítani a biztonsági kockázatok halmozódására is, ezért valamennyi érintett rendszer esetén, a kockázatelemzésnek ki kell terjednie a virtualizációból eredô sajátosságokra is. Pontos és naprakész nyilvántartást kell vezetni a virtualizált környezetekben futó rendszerekrôl és alkalmazásokról, így esetleges üzemzavar esetén azonnal intézkedni lehet az érintett rendszerek mûködésének helyreállításáról. A felhô alapú rendszerek alkalmazása fokozott biztonsági kockázatot jelent, ezért különös körültekintéssel kell eljárni az elôkészítés, bevezetés és üzemeltetés során. A szolgáltatás biztonságának garantálása érdekében ki kell kérni az Információvédelmi vezetô és az infokommunikációs biztonsági vezetô állásfoglalását. Felhôbe (részben vagy egészben) kitenni kívánt rendszer üzleti tulajdonosának elôzetes tájékoztatása szükséges, akinek a megvalósítás elôtt intézkednie kell a rendszerszintû biztonsági dokumentumok ilyen irányú kiegészítésérôl. 4.7.8. Védelem rosszindulatú programok ellen A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak bevinni a Társaság informatikai rendszereibe (pl. fertôzött weboldalakon, hálózati csatlakozásokon vagy hordozható informatikai
19. szám
eszközökön keresztül). Megfelelô biztosítékok nélkül a rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. Aktiválódásakor hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkretehetik az adatállományokat, lelassíthatja a rendszereket. Megjelenésük lehet szándékos tevékenység következménye vagy olyan rendszerszintû kölcsönhatás eredménye, mely akár észre sem vehetô a felhasználók számára. A rosszindulatú kód a bizalmasság, sértetlenség és rendelkezésre állás elvesztéséhez vezethet. A Társaság rosszindulatú programok elleni védelmi rendszerét erre vonatkozó szabályzatban, az Infokommunikációs Stratégia és annak az Infokommunikációs Biztonsági Stratégia c. fejezete elôírásai szerint kell kialakítani. Ebben tervezni kell a védelmi szoftverek kiválasztásának elveit, beszerzésének gyakoriságát, a szükséges licenc—számot, a rendszeres frissítés módját és felelôseit, továbbá ki kell jelölni a rendszer kialakításának és fenntartásának felelôseit. A rosszindulatú kódok elleni védelmet a következô biztosítékokkal kell elérni: 1) Formális szabályzat: Megköveteli a megfelelést a szoftverlicenceknek, és megtiltja a jogtalan szoftverhasználatot. Véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külsô hálózatokból való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, valamint azt is megadja, hogy milyen védelmi intézkedéseket ajánlatos hozni. Például: RIBSZ—ben kell szabályozni a bizonytalan eredetû hordozható adattárolón vagy a bizalmat nem élvezô hálózaton át kapott állományok használat elôtti vírusfertôzöttség ellenôrzését — beleértve minden elektronikusan kapott levélmellékletet és letöltést — valamint a kritikus üzleti folyamatokat segítô rendszerek szoftverének és adattartalmának idôközönkénti felülvizsgálatát. 2) Patch menedzsment: lásd: 4.7.5. fejezet. 3) Keresôk: A rosszindulatú kódok különbözô formáit fel lehet fedni, és el lehet távolítani speciális keresô szoftverekkel, amelyeknek biztosítani kell az önmûködô frissítését. 4) Sértetlenség biztosítása: A sértetlenséget ellenôrzô szoftverek ellenôrzô összegeket használnak annak eldöntésére, hogy egy program módosult—e vagy sem. 5) Tûzfalak: Feladatuk a hálózat különbözô szegmenseinek teljes elválasztása, például a belsô (biztonságos) hálózat elválasztása a külsô (nem biztonságos) hálózattól. 6) Tartalomszûrés: Az adatforgalom házirend alapú szabályozása vagy teljes blokkolása, ezáltal a biztonsági szint növelése és a biztonsági problémák megelôzése. (pl. fájlcserélôk-, kémprogramok-, internetrôl letölthetô hacker programok, azonnali üzenetküldôk, hamisított jelszóhalász vagy rosszindulatú weboldalak elleni védelem)
19. szám
A MÁV Zrt. Értesítôje
7) Oktatás: A felhasználók biztonsági tudatosságát fenntartó oktatásokat kell tartani, illetve szabályozni, hogy mit kell tenniük, ha rendellenes eseményt észlelnek. 8) Mûködés—folytonossági terv: Tartalmazza a (pl. hardverhiba vagy vírustámadás utáni) helyreállításra vonatkozó szükséges adatmentési, visszaállítási eljárásokat. A rosszindulatú kódokat leggyakrabban a következô módokon lehet továbbadni/hordozni, ezért különösen fontos e területek pontos szabályozása: a) végrehajtható (futtatható) szoftverek, makrók, scriptek b )automatikusan induló szoftverek c) hordozható adattárolók d) elektronikus levél (csatolmány is) e) hálózatok, távoli hozzáférés f) aktív tartalmat hordozó weboldalak, letöltések Fokozott figyelmet kell fordítani a QR kódok használatára (pl. email aláírásban, weboldalon, szórólapon, befizetési csekken), amelyek beolvasását követôen mindig ellenôrizni kell, hogy valóban az adott tartalomra vonatkozó információkat látjuk az eszközökön, tekintve, hogy a kódok könnyen manipulálhatóak. Az installált vírusvédelmet, illetve ezek frissítését tilos hatástalanítani. Vírusfertôzést vagy annak gyanúját haladéktalanul jelenteni kell a közvetlen vezetô útján az üzemeltetô szervezetnek, illetve az információvédelmi vezetônek. 4.7.9. Adatmentés A mentés célja az információ (adatvagyon) és az adatfeldolgozó szoftverek rendelkezésre állásának biztosítása. A technikai feltételek biztosítását követôen, a felhasználóknak tilos a feldolgozott adataikat kizárólag a munkaállomásokon (vagy külsô adathordozón) tárolni, arra egy hálózati meghajtón kialakított — a mentési rendszerbe bevont — könyvtárat kell biztosítani. Ennek hiányában a felhasználó felelôssége az általa használt adatok rendelkezésre állásának biztosítása (pl. rendszeres mentése igénylése az üzemeltetô szervezettôl). A központi erôforrásokon tárolt alkalmazások esetében a rendszerterv, a kockázatelemzés és az üzleti tulajdonos rendelkezésre állási nyilatkozatának figyelembe vételével a mentési tervben (vagy RIBSZ—ben) elôírt idôközönként biztonsági mentéseket kell készíteni a rendszerrôl és az általa kezelt adatokról, amelyek felhasználásával az éles adatállomány szükség esetén reprodukálható. A visszaállításra való alkalmasságot a biztonsági osztályokra vonatkozó (9. sz. melléklet) elôírások szerinti ellenôrizni és a teszt eredményét dokumentálni kell. Rendszerenként az alábbi intézkedéseket kell elôírni a RIBSZ—ekben:
1607
1) A megtervezett mentési és visszaállítási eljárásokra üzemeltetési elôírásokat kell készíteni, és azok betartását a RIBSZ—ben elôírt idôközönként rendszeresen ellenôrizni kell. 2) A mentési adathordozókat valamint a visszaállítás dokumentált eljárásait, a rendeltetési helyszíntôl földrajzilag távol érdemes biztonságba helyezni. Elég távol ahhoz, hogy bármely rongálódástól meg legyenek kímélve, ha a rendeltetési helyen katasztrófa következne be. 3) A mentések típusa (pl. teljes vagy differenciált mentés) és gyakorisága álljon arányban a mentett adatok jellegével, fontosságával. 4) A biztonsági mentéseket megfelelô szintû fizikai és környezeti védelemmel ajánlatos ellátni, ugyanazokkal a biztonsági elôírásokkal összhangban, mint amelyet a rendeltetési helyén alkalmaztunk. Az adathordozók körére a rendeltetési helyén érvényesített biztonsági intézkedések hatályát a tartalék adathordozók és eszközök elhelyezési körletére is ki kell kiterjeszteni. 5) A biztonsági mentések adathordozóit, idôrôl idôre ajánlatos megvizsgálni annak érdekében, hogy megbizonyosodjunk a használhatóságukról. Fontos figyelemmel kísérni az adathordozók garanciájának lejárati idejét, lehetséges tárolási és visszaállíthatósági idejét, és a lejárt adathordozókat ki kell vonni a mentési folyamatokból. 6) A RIBSZ—ben meghatározott idôközönként visszaállítással kell meggyôzôdni a mentések használhatóságáról, valamint arról hogy azok elvégezhetôek az elôre tervezett idô alatt. 7) Védendô információnak minôsülô adatok esetén a mentett adatokat, titokban tartásuk érdekében, az illetéktelen hozzáférést megakadályozó, megfelelô kódolási eljárást alkalmazva is védeni kell. 8) Meg kell határozni a lényeges adatok megôrzési idôszakát és az állandóan megtartandó archív példányokra vonatkozó valamennyi (pl. üzleti, technológiai) követelményt. 9) Amennyiben rendelkezésre állnak a szükséges kapacitások, a mentési eljárások az aktív eszközökön (kiszolgálók, munkaállomások, tûzfal stb.) kívül foglalják magukba a hordozható informatikai eszközöket is. Ennek során kerüljenek mentésre a rendszerinformációk, dokumentumok és szükség szerint az alkalmazások. 10) A mentések nyilvántartását a RIBSZ elôírásainak megfelelôen kell vezetni, és azok helyességét az üzleti tulajdonosnak rendszeresen ellenôriznie kell. 4.7.10. Adathordozók életciklus kezelése Az intézkedések célja, hogy megfelelô eljárásokkal szabályozzák az adathordozók fizikai védelmét, megóvják a bemenet/kimenet adatait és a rendszer dokumentációját a jogosulatlan megszerzésétôl, felhasználástól, módosítástól, törléstôl és megsemmisüléstôl.
1608
A MÁV Zrt. Értesítôje
4.7.10.1. A mentéseket tartalmazó adathordozókra vonatkozó elôírások Kezelés Az adathordozók kezelésének legfontosabb biztonsági követelményei: a) Gondoskodni kell az adathordozók ellenôrzésérôl és fizikai védelmérôl. b) Meg kell elôzni a dokumentumok, a digitális adathordozók (szalagok, lemezek, kazetták), az input/ output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését, megsemmisítését. c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését. d) Biztosítani kell, hogy az adathordozók kezelése — a vonatkozó iratkezelési szabályok szellemében, — a tartalmazott adatok szempontjából egyenértékû papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni. e) A Társaságnál — az optikai adathordozók kivételével — csak nyilvántartott és egyedi azonosítóval ellátott digitális adathordozót szabad használni. f) Az adathordozókat használatba venni csak az elôírt ellenôrzô eljárások elvégzése után szabad (pl. vírus ellenôrzés). g) Újraalkalmazás, értékesítés vagy selejtezés elôtt minden adathordozót megfelelô eljárással törölni kell (lásd. 4.7.10.2. fejezet). h) Az adatok sértetlen és hiteles állapotának megôrzését technikai és adminisztratív eljárásokkal (pl. ellenôrzô összeg) kell biztosítani. Tárolás Az adathordozókat — azokat is, amelyek használaton kívül vannak — biztonságos helyen, a gyártó elôírásainak megfelelôen kell tárolni, illetve figyelembe kell venni az adott rendszer biztonsági osztályának követelményeit (lásd: 9. sz. melléklet), vagy amennyiben ezek munkaközi példányok, az adatokat meg kell semmisíteni. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a RIBSZ-ekben meg kell határozni: a) a tárolók környezeti paramétereire vonatkozó elôírásokat és a paraméterek normál értékeinek biztosítására, ellenôrzésére vonatkozó intézkedéseket, b) az elöregedésbôl fakadó adatvesztés elleni megelôzô intézkedéseket (például rendszeres átírás), c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó elôírásokat, d) az adathordozók kölcsönzésével kapcsolatos elôírásokat, e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó elôírásokat.
19. szám
Szállítás Az információ a fizikai szállítás során történô átvitel esetén ki van téve az illetéktelen hozzáférésnek és visszaélésnek. Védendô információt, vagy mentéseket tartalmazó informatikai adathordozók szállítása az alábbi biztonsági szabályok alkalmazásával történhet: a) Szállítást — épületen kívül — csak a szervezeti egység vezetôje rendelhet el. b) Szállítás során átadás—átvételi bizonylat szükséges. c) A szállítást — lehetôség szerint — több embernek kell végeznie, akiket mindig azonosítani kell. d) Indokolt esetben mérlegelni kell a szállítmány több részre bontását, és a különbözô útvonalakon történô szállítását. e) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani. f) Tömegközlekedési eszközön — lehetôség szerint — ne történjék adathordozó szállítása. g) Épületen kívüli szállítás esetén — például a MABISZ ajánlását figyelembe vevô — megfelelô zárható tárolóeszköz szükséges. h) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerülendô a nyilvánvalóan erôs mágneses tér (például nagyfeszültségû távvezetékek). i) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni. j) Az adathordozót óvni kell a fizikai sérülésektôl és tilos ôrizetlenül hagyni. k) Speciális csomagolás és zárcímkék használata, láthatóvá teszi a felbontást vagy az arra tett kísérleteket. l) Az adathordozókon tárolt adatok védelmével kapcsolatos jelölést fel kell tüntetni az adathordozó egységen. m) Meghibásodott eszköz cseréje esetén — még garanciális esetben is — adathordozó csak úgy vihetô ki, ha arról minden adat visszaállíthatatlan módon törlésre került. Rendkívüli esemény bekövetkezésérôl a szervezeti egység (a szállítást elrendelô) vezetôjét — szükség esetén a rendôrséget is — értesíteni kell. A vezetônek haladéktalanul meg kell tennie — a további károk elkerülése érdekében — a szükséges lépéseket, valamint ezzel egyidôben tájékoztatnia kell az információvédelmi vezetôt és az infokommunikációs biztonsági vezetôt. 4.7.10.2. Adathordozók selejtezése, javítása Selejtezés Az adathordozókat, a különféle szabványokban definiált adattörlési és megsemmisítési eljárások használatával — a sikeres törlés tényét ellenôrizve — és dokumentáltan (lásd. 14. sz. melléklet) kell selejtezni az üzemeltetést végzô szakembernek.
19. szám
A MÁV Zrt. Értesítôje
— A selejtezés elôtti törlés legyen arányos a tárolt információ értékével (pl. védendô információt tartalmazó adathordozót visszaállíthatatlan módon kell törölni). — Adathordozó selejtezéssel foglalkozó cégekkel való együttmûködésekor, kulcsfontosságú biztonsági tényezô a megfelelô kvalitású szerzôdô fél kiválasztása, valamint az informatikai biztonsági feltételek szerzôdésbe foglalása. — A védendô információk eltávolítását naplózni kell, amit az informatikai biztonsági vizsgálatok kísérô dokumentumaként kell kezelni. Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például mûködésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi intézkedések hatókörébôl, az üzemeltetô szervezetnek meg kell semmisítenie. Amennyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további használata lehetetlen vagy célszerûtlen, azt az ügyviteli szabályok szerint jegyzôkönyvben kell selejtezni. Ebben az esetben — ha lehetséges — a tartalmát visszaállíthatatlan módon törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabályszerû megsemmisítésrôl. Javítás Minden esetben az adatok értékével arányos javítási módszert kell választani. Amennyiben a javítandó adathordozó nem tartalmaz védendô információt, az javításra átadható, de ebben az esetben is célszerû lehet ezt csak törlést követôen megtenni. Sérült adathordozó garanciális cseréje esetén — ha a meghibásodott eszköz védendô információt is tartalmazott — azt csak az adatok visszaállíthatatlan törlését követôen szabad javításra átadni. Amennyiben a sérülés jellege nem teszi lehetôvé a törlést, az alkatrész nem adható át javításra. 4.7.11. Informatikai eszközök életciklus kezelése Tárolás A Társaság kulcsfontosságú informatikai eszközeit tartalmazó helyiségek, épületek pontos funkciójára, kialakításának körülményeire vonatkozó információkat — a RIBSZ—ben, egyedileg szabályozott módon — a nyilvánosság elôl rejtve kell kezelni (ne legyenek nyilvános helyen tájékoztató táblák, nyilvános telefonkönyvbôl, címtárból kiolvasható címek stb.). A biztonsági területeket úgy kell kialakítani, hogy azokon belül az információ-feldolgozó tevékenység teljes lefedéséhez szükséges eszközök rendelkezésre álljanak. Ugyanakkor meg kell tiltani a munkafolyamatok szempontjából oda nem illô eszközök, anyagok tárolását, raktározását. Karbantartás Minden eszközhöz — mûszaki specifikációjának elôírásai alapján — meg kell határozni a megelôzô, illetve
1609
eseti hibajavító karbantartások kezdeményezésének, végrehajtásának szabályait. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ—ben is rögzíteni kell. A Társaság munkaállomásainak karbantartását (pl. fizikai tisztítás, hardver, szoftver telepítés) és estleges átalakítását szerzôdésben megbízott üzemeltetô szervezetre kell hagyni. Az informatikai eszközök karbantartásainak, vagy eseti hibajavításának alkalmával ellenôrizni kell a 12. sz. mellékletben felsorolt biztonsági megfelelôségeket is. Javítás Meg kell akadályozni, hogy javításra, vagy egyéb célból elszállításra kerülô digitális adattárolásra alkalmas eszközök ellenôrizetlenül kerüljenek ki a Társaságon kívülre. Az elszállítás az Infokommunikációs igazgatóság vezetôje által kijelölt személy engedélyéhez kötött. Jegyzôkönyvben, vagy a szállító levélen kell feltüntetni az adathordozót tartalmazó informatikai eszköz gyári számát és egyéb azonosító adatait, típusát. Amennyiben a hiba jellege lehetôvé teszi, akkor a benne lévô adathordozó visszaállíthatatlan törlésére kell intézkedni, illetve a javítás idejére el kell távolítani. Errôl szóló nyilatkozatot az Társaság informatikai szolgáltatójának munkatársával kell ellenjegyeztetni. Amennyiben az adathordozó eltávolítása nem lehetséges, abban az esetben az adatok biztonságba helyezését követôen intézkedni kell a kiadás elôtt a helyreállíthatatlan törlésrôl. Abban az esetben, ha a hiba jellege (pl. merevlemez hiba) nem teszi lehetôvé az üzemeltetô szakember általi törlés elvégzését, az adathordozón található információk esetleges nyilvánosságra kerülése által okozott kár mérlegelése alapján az információvédelmi vezetô bevonásával a fôtevékenységi kör vezetô dönt az eszköz kiadhatóságáról. Újra felhasználás Az eszköz átadása elôtt a felhasználó köteles gondoskodni a Társasági és az esetleges személyes adatainak a kimentésérôl, törlésérôl. Az eszközök valamennyi adathordozó részegységét az üzemeltetô szervezet ellenôrizze annak érdekében, hogy az adatok és a vásárolt (licenc szerinti) szoftverek arról eltávolításra, illetve felülírásra kerüljenek. Ezt követôen célszerû az újra felhasználni kívánt eszközt gyári állapotba visszaállítani (pl. PC esetében alap image telepítése), mielôtt mások rendelkezésére bocsájtják. (lásd 4.7.10.1. Kezelés alfejezet „g” pont). Értékesítés Azokban az esetekben, amikor bárki számára értékesítésre vagy térítésmentes átadásra kerül a Társaság egy digitális adatok tárolására alkalmas eszköze, a folyamat során annak háttértárolójáról a Társaságot érintô minden adatot visszaállíthatatlan módon törölni kell (lásd 4.7.10.1. Kezelés alfejezet „g” pont). Ennek megvalósulása érdekében azon eszköz esetén, amelyet védett adatok feldolgozására használtak, illetve fokozott
1610
A MÁV Zrt. Értesítôje
vagy kiemelt biztonsági osztályba sorolt rendszerben üzemeltettek, a megállapodás kizárólag az információvédelmi vezetô állásfoglalásának kikérését követôen történhet meg. Selejtezés Az informatikai eszközök üzemen kívül helyezésével kapcsolatos eseményeket a konfigurációkezelési adatbázisban is rögzíteni kell. Az eszközök gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez vezethet. A selejtezésnek engedélyhez kötöttnek és megfelelôen dokumentáltnak kell lennie (14. sz. melléklet). Amennyiben leolvasható, a jegyzôkönyvben fel kell tüntetni az eszköz gyári számát, típusát, valamint a benne lévô adathordozók törlésérôl szóló nyilatkozatot a felelôs munkatárs aláírásával 4.7.12. Perifériák csatlakoztatásának szabályai A szabályzatokban részletezett eseteken túlmenôen — a kizárólag egyirányú adatforgalmat biztosító eszköz (pl. projektor) kivételével — az IKI kifejezett engedélye szükséges a felhasználói munkaállomásokhoz számítástechnikai eszköz (pl. nyomtató, szkenner, digitális fényképezôgép, merevlemez) vagy bármilyen más telekommunikációs eszköz (pl. modem, okostelefon) csatlakoztatásához. Az engedélyek nyilvántartását a konfigurációkezelési adatbázisban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. A felhasználó döntése alapján tiltott, hogy saját eszközökkel csatlakozzon a Társaság informatikai eszközeihez, hálózatához. Amennyiben az eszköz valamely szoftver telepítését igényli, azt az üzemeltetô személyzet valósíthatja meg. Informatikai biztonsági kockázatára tekintettel (lehallgathatóság), kerülni kell a vezeték nélküli billentyûzetek használatát azon felhasználók esetében, akik munkájuk során védendô információkat kezelnek, így különösen stratégiai vagy pénzügyi adatokhoz férnek hozzá, illetve fokozott vagy kiemelt biztonsági osztályba sorolt rendszerben felhasználóként tevékenykednek. 4.7.13. Hordozható adattárolók kezelése A hordozható adattárolókat biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, illetve csökkentsük a biztonsági kockázatokat. Ennek során az következô általános biztonsági követelményeket kell alkalmazni. — Védendô információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és az üzleti titokvédelmi szabályzat szerint kell tárolni és kezelni. — Amennyiben a választott adattároló eszköz esetében a technológia rendelkezésre áll, az információkat titkosítva kell tárolni, illetve gondoskodni kell az adott mûszaki—technikai színvonalon elérhetô korszerû védelmi megoldások alkalmazásáról. Elônyben kell
19. szám
részesíteni a hardver alapú titkosítást, illetve az olyan megoldásokat, amelyek nem teszik lehetôvé a védelmi eljárás megkerülését. — Használat elôtt a hordozható adattárolót ellenôrizni kell, és csak a vírusmentesség megállapítása után szabad azt felhasználni — Amennyiben a használatot nem akadályozza, gondoskodni kell az eszközök automatikus indítási lehetôségeinek (pl. autorun) letiltásáról, megakadályozva a rosszindulatú programok ellenôrizetlen bejutását a rendszerekbe. Optikai adathordozók A hosszú távú megôrzésre szánt adatokat — a választott adattároló eszköz technológiájától függôen — az adatvesztés megelôzése érdekében 3—5 évenként át kell másolni, lehetôleg az adott technikai szintnek megfelelô adathordozóra. Amennyiben ez nem lehetséges az olvashatóság érdekében legalább egy olyan eszközt fenn kell tartani, amellyel az elavult adathordozó kiolvasható marad. Az adatok épségének ellenôrzése során kellô körültekintéssel kell eljárni, szükség szerint az informatikai üzemeltetô bevonását kell kezdeményezni. Pendrive, külsô HDD stb. Csak az információvédelmi vezetô által meghatározott biztonsági követelményeknek megfelelô, az IKI által kiválasztott eszközök használhatók. Az eszközök igénylését a munkáltatói jogkörgyakorlója hagyja jóvá és jelzi az igényt az IKI felé. Amennyiben technológiailag megvalósítható, a nem engedélyezett USB—s tároló eszközök használatát a felhasználói munkaállomásokon le kell tiltani. A munkavégzéshez szükséges engedélyezett adathordozókat egyedi azonosítóval kell ellátni, amelyek kiadásáról, átadásáról, visszavételezésérôl a konfigurációkezelési adatbázis részeként az IKI—nek elkülönített nyilvántartást kell vezetnie. Bemutató során tilos olyan informatikai eszközt használni, amellyel a felhasználója bejelentkezett valamely fokozott vagy kiemelt biztonsági osztályú alkalmazásba. Társaságon kívüli adathordozó (pl. külsô fél bemutatója) csak abban az esetben használható Társasági informatikai eszközön, ha az nincs a hálózatra kötve és mûködik rajta a folyamatosan frissített víruskeresô szoftver. Ilyen esetben a bemutató a külsô fél hordozható informatikai eszközérôl történjen. A bizonytalan eredetû hordozható adattárolón kapott állományok esetén kötelezô használat elôtti vírus ellenôrzést végezni. Memóriakártya Memóriakártya használata csak multimédiás eszközökben engedélyezett (digitális fényképezôgép, videokamera, diktafon, okostelefon stb.), számítógépben való felhasználásuk a munkával összefüggésben csak e tartalmak átvitelére engedélyezhetô. Erre vonatkozó igényt a munkáltatói jogkör gyakorló hozzájárulásával, a HelpDesk útján kell elôterjeszteni az IKI részére, amely az in-
19. szám
A MÁV Zrt. Értesítôje
formációvédelmi vezetô állásfoglalásának kikérése vagy egyidejû tájékoztatása mellett hozza meg a döntését. Hordozható informatikai eszközök Azon informatikai eszközök esetében, amelyek amellett, hogy nagy mennyiségû digitális adat tárolására alkalmasak önmagukban is képesek azok feldolgozására, különös figyelemmel kell lenni az eszközök fizikai biztonságára és logikai hozzáférésére. Amennyiben technikailag lehetséges, aktiválni kell az eszközök kóddal (pl. PIN, jelszó, biometriai azonosító) történô automatikus zárását, illetve feloldását, valamint a beépített biztonsági funkciókat (pl. telefonmemória, behelyezhetô memóriakártya titkosítása, távoli törlés konfigurálása). Notebook csak úgy adható ki, illetve rajta adat csak úgy tárolható, ha az adatok tárolására szolgáló merevlemez egésze titkosításra kerül. Hordozható számítógép, illetve munkaállomás esetében — a használat befejezése után — tilos az eszközöket alvó, vagy hibernált állapotba kapcsolni, azokat mindig teljesen le kell állítani, hogy az esetlegesen újraindítást igénylô frissítések és hálózati beállítások érvényre tudjanak jutni. 4.7.14. Beágyazott rendszerek Különös tekintettel a vasútüzemhez kapcsolódó beágyazott rendszerek sajátosságaira, figyelmet kell fordítani e rendszerek kiválasztására, biztonsági beállításaira, védelmére és rendeltetésszerû használatára, tekintve, hogy az esetlegesen bekövetkezô mûködési zavaruk sok esetben kritikus folyamatokra lehet hatással. Az eszközök üzemeltetésével és biztonsági beállításával kapcsolatos adatokat központosított nyilvántartásban (pl. konfiguráció kezelési adatbázis) kell vezetni. Elkülönített hálózati infrastruktúra kialakításával, vagy a VPN használatával kell a beágyazott rendszerek biztonságát megvalósítani. 4.7.15. Adatok továbbítása Az adatok átadása, átvétele során megfelelô eljárásokkal és ellenôrzô eszközökkel kell gondoskodni a távközlési, adatátviteli eszközökön továbbított információk védelmérôl. Amikor fontos az információ védelme, a hálózaton áthaladó adatforgalmat titkosítani kell. Amennyiben rendelkezésre áll, a sértetlenség fenntartása érdekében elektronikus aláírást és/vagy az üzenet sértetlenségét garantáló biztosítékot kell használni a hálózaton áthaladó információk védelmében. 4.7.16. Távolról végzett munka A Társaság informatikai erôforrásainak a „4.6.7. Elektronikus levelezés távoli elérése” címû fejezetben leírtaknál mélyebb szintû elérése esetén fokozott biztonsági követelményeknek kell érvényesülni. Távolról végzett munka esetén a Társaság által biztosított eszközöket lehet használni. Különösen indokolt
1611
esetben — az infokommunikációs biztonsági vezetô engedélye alapján — olyan egyéb eszköz is felhasználható, amelyeknek biztonsági körülményei megfelelnek a Társaságnál rendszeresített eszközök védelmi szintjének, illetve adott alkalmazás esetén annak rendszerszintû informatikai biztonsági szabályzatában leírt követelményeknek. 4.7.16.1. A távolról végzett munka biztonsági tényezôi A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot, ennek érdekében — a technikai lehetôségek figyelembe vételével — az alábbi biztonsági beállításokat is alkalmazni kell: — gondoskodni kell az eszköz megfelelô inaktivitás utáni automatikus képernyô, illetve billentyûzet zárolásáról, amely csak jelszó, PIN kód vagy biometriai azonosítás ismeretében legyen feloldható, — használni kell az adott operációs rendszer beépített védelmi lehetôségeit (pl. titkosítás), — beépített védelmi lehetôségek hiányában meg kell vizsgálni annak a lehetôségét, hogy külsô gyártó szoftverével (pl. víruskeresô) legyen elérhetô a megfelelô biztonsági szint. A szükséges védelemnek összhangban kell lennie az adott munkavégzés kockázataival. Ennek szabályozását az információvédelmi vezetônek közvetlenül jóvá kell hagynia. Informatikai eszközt használó felhasználóknak mind a fizikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rendszerszintû IBSZ-ekben foglaltakat kell figyelembe venniük. Távolról végzett munka esetén csak a rendszeresített VPN alkalmazással lehet kapcsolódni a vállalati hálózathoz. Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos. A használat során a következô biztonsági tényezôket kell figyelembe venni: — a munkavégzés helyszínének környezetét és fizikai biztonságát; — a kommunikáció biztonsági követelményeit, figyelembe véve az igényt, hogy távolról kívánnak hozzáférni a Társaság belsô rendszereihez, — az információ érzékenységét, amelyhez hozzá fognak férni, és amely áthalad a kommunikációs kapcsolaton, és a belsô rendszer által kezelt adatok érzékenységét; — a kapcsolathoz használt vezetékes vagy vezeték—nélküli hálózati szolgáltatások konfigurációját. 4.7.16.2. A VPN hozzáférés szabályai a Társaság munkavállalóira vonatkozóan Hordozható informatikai eszközök birtokában a Társaság belsô hálózatára egy felhasználó csak az alábbi két módon csatlakozhat:
1612
A MÁV Zrt. Értesítôje
a) védett (pl. irodai, munkahelyi) környezetbôl közvetlenül a felügyelt (vezetékes vagy vezeték nélküli) adatátviteli hálózatra csatlakozva, vagy b) nem védett környezetbôl (ami kívül esik a Társaság biztonsági rendszerének zónájából pl. otthonról) kizárólag biztonságos hozzáférést garantáló távoli hozzáféréssel (pl. VPN). Amennyiben a hozzáférés VPN kapcsolaton keresztül valósul meg, a felhasználó ugyanazokat az informatikai erôforrásokat (pl. hálózati meghajtók, alkalmazások) érheti el, mint a munkahelyi környezetbôl. a) A távolról végzett munka során is be kell tartani a Társaság szabályzataiban foglaltakat. b) A VPN szolgáltató szervezet útján technikailag biztosítani kell, hogy csak a központilag nyilvántartott, az azonosítási és hitelesítési feltételeknek egyértelmûen megfelelt munkaállomásokról lehessen a rendszerekbe belépni. Hitelesítésre lehetôleg erôs autentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosítás). c) A VPN kapcsolat megvalósításához a Társaság ellenôrzése alatt nem álló, magántulajdonban lévô eszköz alkalmazása — a 4.7.16. fejezetben írt kivétel lehetôségét figyelembe véve — nem megengedett. d) A VPN kapcsolaton keresztül történô munkavégzésre feljogosított felhasználókról (beleértve az erre felhatalmazott rendszergazdákat is) a konfigurációkezelési adatbázis keretében az üzemeltetô szervezet nyilvántartást vezet, és az abban beállt változásokról folyamatosan tájékoztatja az infokommunikációs biztonsági vezetôt és az információvédelmi vezetôt. e) A távolról munkát végzô csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a Társaság hálózatába, amelyet az informatikai üzemeltetô(k) határoznak meg. f) A mobil informatikai eszközöket nyilvános helyeken használók ügyeljenek arra, hogy elkerüljék a jogosulatlan személyek általi betekintés kockázatát. g) A távolról végzett munka során biztosítani kell az információhoz vagy az informatikai erôforrásokhoz való jogosulatlan hozzáférés megakadályozását olyan személyek részérôl, akik az adott eszközt egyéb célból használják (pl. a család, barátok). h) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok elôírt védelme. Ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni azok biztosítására. i) A távoli hozzáféréssel végzett munkához védett (titkosított) csatornáról kell gondoskodni, a kommunikációt titkosítani kell olyan algoritmussal, ami megakadályozza a tartalom visszafejtését. j) Az informatikai eszközön a társasági és rendszerszintû IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek telepítve kell lenniük, ezeket kötelezô folyamatosan használni és frissíteni, azokat eltávolítani tilos.
19. szám
k) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell fordítani. Védendô információnak minôsülô adatot tárolni csak az illetéktelen hozzáférést megakadályozó, megfelelô kódolási eljárást alkalmazva szabad. l) A felhasználónak gondoskodnia kell a kritikus információk rendszeres mentésérôl és a mentések megfelelô védelmérôl (pl. lopás vagy adatvesztés ellen). m) A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegû munkavégzésbôl származó többletkockázattal szemben és a bevezetendô intézkedések elfogadtatásával kapcsolatban. n) A távoli munkavégzés során használt gépek esetében, a kliens gépre telepített VPN kapcsolat használatával egyidôben más VPN és/vagy internetes csatlakozás tiltott, az esetlegesen szükséges internet elérésnek is a titkosított VPN kapcsolaton keresztül kell mûködnie. o) Egy adott rendszerben végzendô távoli munka feltételeinek kialakítását a felhasználó közvetlen vezetôjének és az adott rendszer üzleti tulajdonosának jóváhagyásával kell igényelni. A kérelmet az IKI igazgató engedélyezi; a RIBSZ—ben nem szabályozott esetben az információvédelmi vezetô állásfoglalását ki kell kérni. Az engedélyben rögzíteni kell: — azon rendszer(ek) megnevezését, amely(ek)re az engedély kiterjed, — a hivatali helyiségeken kívüli munkavégzés engedélyezési idôszakát, — a munkavégzéshez a felhasználó részére (otthonában) szükséges vállalati informatikai eszközök azonosítását, ill. azok átadási és elszámolási módját, — a felhasználó általi tudomásulvételét annak, hogy a Társaság rendszeresen megvizsgálja a naplókat (log), a hívások adatait, és szúrópróba szerinti ellenôrzést végez annak meghatározására, hogy a gyakorlati kivitelezés megfelel—e a vonatkozó biztonsági elôírásoknak. p) A távolról végzett munka szabályai betartásának ellenôrzéséért a felhasználó közvetlen vezetôje, az adott rendszer üzleti tulajdonosa és üzemeltetôje, valamint a VPN szolgáltató egymással együttmûködve felelôsek. Az információvédelmi vezetô jogosult e területen is közvetlen ellenôrzést végezni, amelyrôl az IKI—t tájékoztatni szükséges. q) A kiosztott VPN hozzáféréseket a lehetô legrövidebb idôre, de legfeljebb 1 évre lehet kiadni, amelynek lejáratakor az igényt újra felül kell vizsgálni. A felülvizsgálatot a korábban kiadott hozzáférésekre is el kell végezni. r) A Társaság fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, használati adatokat, és szúrópróba szerinti ellenôrzést végezzen. s) Az IKI külön engedélyének birtokában használható VPN csatlakozás a Társaság belsô hálózatáról (Open VPN, Site-to-site stb.).
19. szám
A MÁV Zrt. Értesítôje
A jogosultság megszûnését követôen gondoskodni kell a hozzáférési jogosultságok azonnali érvénytelenítésérôl és az eszközök visszaadásáról. 4.7.17. Társasági információs rendszerek A Társasági információs rendszerek védelme az információ megjelenési formájának sokszínûsége miatt a legtöbb informatikai biztonsági kockázatot rejti. Különösen megnô a kockázat a rendszerek összekapcsolásakor (pl. üzleti partnerek esetében), amely esetekben a felmerülô igényt az üzleti tulajdonosnak egyedileg kell vizsgálnia és elbírálnia. A Társasági információs rendszerek összekötésével kapcsolatos biztonsági intézkedések definiálásakor legalább a következô elemeket kell megvizsgálni: a) azonosítani kell az ismert veszélyforrásokat az adminisztratív és elszámolási rendszerekben, ahol az információ meg van osztva a Társaság különbözô egységei között, b) meg kell határozni az adatcsere során használt biztonságos kommunikációs technológiákat (pl. VPN, Site—to—Site VPN, SSL VPN, https). A hozzáféréseket — az üzleti tulajdonos engedélyével — csak meghatározott idôre szabad kiosztani és lejáratuk esetén újra kell vizsgálni az igény jogosságát, c) meg kell vizsgálni az összekötni kívánt rendszerek kapcsolódás (interface) pontjait, d) fel kell mérni a továbbított és felhasznált adatok sebezhetôségét az infokommunikációs rendszerekben, pl. telefonhívások rögzítése vagy konferenciahívások (körtelefon), a hívások bizalmassága, a faxok tárolása, postabontás, e) definiálni kell az információ elosztási irányelveket, f) az adatok a védelmi szintjük szerint legyenek kezelve (a biztonsági osztályba sorolásnak megfelelô védelmi követelmények teljesítése, illetve betartásuk ellenôrzése az adattal jogszerûen rendelkezô (jogosult) feladata), g) személyzeti, szerzôdéses vagy üzleti ügyfelek kategóriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhetô (lásd 4.2.4. fejezet), h) a kiválasztott eszközök korlátozása egyes felhasználói kategóriákra, i) a felhasználói státus (külsô vagy belsô) azonosítása, j) a hozzáférési jogosultságok kiosztásánál és használatuk ellenôrzése során figyelembe kell venni a társasági és a rendszerszintû IBSZ-ek elôírásait., k) a rendszeren tárolt adatok mentése (lásd 4.7.9. fejezet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára elôírt módon kell kezelni és tárolni, ezt részletesen a RIBSZ-ben kell szabályozni, l) visszalépési követelmények és intézkedések, a változáskezeléssel összhangban, m) gondoskodni kell a rendszereken átmenô forgalom és tevékenység naplózásáról,
1613
n) korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. stratégiai szempontból kiemelt fontosságú projekteken dolgozó személyzet, o) a biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelô módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése stb.) az információvédelmi vezetô bevonásával haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzôkönyvezni kell. A kivizsgálás folyamatáért a Társaság oldaláról az adott rendszer üzleti tulajdonosa a felelôs, p) a rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelôen az illetéktelen fizikai hozzáférés ellen is védeni kell, q) a rendszerek átjárhatóságának, kompatibilitásának (pl. webes rendszerek esetén böngészô—függetlenségének) vizsgálata. 4.7.18. Az elektronikus kereskedelem biztonsága A korszerû piaci igények kielégítésére szolgáló, a Társaság interneten keresztül elérhetô elektronikus szolgáltatásainak biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére kerül sor. A hatékony védelem megvalósítására integrált biztonságot kell az ilyen rendszer kifejlesztése során kialakítani, melynek legfontosabb feladatai: — a hozzáférés szabályozása és ellenôrzése, — egységes azonosítás és hitelesítés, — az elektronikus aláírások kezelése, titkosítás, — a behatolási kísérletek figyelése, — biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenôrzéséhez, — az auditálhatóság biztosítása. 4.7.19. A Társaság nyilvános rendszereinek biztonsága Nyilvános rendszerek (pl. internet hálózaton keresztül elérhetô Társaság honlap, Dokumentációs Központ mûszaki adatbázisa) esetén is szükség van a rendszer joghatóságának területén hatályos törvények, jogszabályok és rendeletek betartására. Az elektronikus hirdetô rendszereknél — különösen azoknál, amelyek lehetôvé teszik a visszajelzést és az információ közvetlen bevitelét — gondoskodni kell az alábbiakról: — Az információ megszerzésének módja feleljen meg a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, illetve 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról rendelkezéseinek. — Idôben kerüljön sor a rendszerbe bevitt információ pontos és hiánytalan feldolgozására.
1614
A MÁV Zrt. Értesítôje
— Az adatok kezelése (gyûjtés, tárolás, feldolgozás) során a szükséges mértékig gondoskodni kell az adatok, valamint — a biztonsági osztálynak megfelelôen — az informatikai rendszerek védelmérôl. — Rendszeres auditok alkalmával kell meggyôzôdni arról, hogy illetéktelenek nem juthatnak hozzá olyan információkhoz, amelyek nem rájuk tartoznak. — A kiadó rendszerhez való hozzáférés ne tegye lehetôvé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik. 4.8. Hozzáférés—menedzsment 4.8.1. A hozzáférés ellenôrzés üzleti követelményei A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényi elôírások, valamint az adatok védelmére vonatkozó egyéb szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelônek, az adatfeldolgozónak, illetôleg a távközlési vagy informatikai eszköz üzemeltetôjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alapján kell kialakítani. Ennek során meghatározásra kerülnek a rendszer—erôforrások, alkalmazások, külsô összeköttetések, adatbázisok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek. Korlátozni kell az információkhoz, informatikai eszközökhöz, hálózatokhoz, alkalmazásokhoz, rendszer erôforrásokhoz, állományokhoz és programokhoz való hozzáférést. A hibákat és felhasználói tevékenységeket eseménynaplókban kell rögzíteni, és a tárolt részleteket elemezni az üzemeltetési és biztonsági események megfelelô módon való felderítésének és kezelésének érdekében. A rendszerek beállítási felületeit (pl. BIOS Setup, Windows rendszerbeállítások) úgy kell kialakítani, hogy ahhoz a rendszer felügyeletével megbízott személyek kivételével a felhasználók saját döntésük alapján ne férjenek hozzá.
19. szám
jon egy átláthatóbb jogosultsági rendszert összefogó központi adatbázis, amely elôsegíti az összehangoltabb mûködést. Ennek késôbbi továbbfejlesztésének feltétele a rendszerek olyan átalakítása, amely a bekapcsolt rendszerek vonatkozásában lehetôvé teszi a jogosultságok központi menedzselését. Hozzáférési jogosultság kiadása kizárólag a 2.1.1. fejezet szerinti személyek, valamint a 4.2.4. fejezet szerint hozzáférô partnerek kizárólagos írásban kötött hozzáférési szerzôdés megléte esetén adható. A szerzôdésnek egyértelmûen ki kell mondania, hogy a hozzáférés során teljes körûen betartja a Társaság IBSZ—ét, valamint a végrehajtási rendelkezéseket tartalmazó RIBSZ—ek elôírásait. A hozzáférési jogosultságok megállapításának alapját az érintett munkavállaló munkaköri leírásában (beszállítók és karbantartók alkalmazottai esetében a vonatkozó szerzôdésben) rögzített szerepköre ellátásához szükséges és indokolt adathozzáférési igény képezi. Az informatikai eszközökhöz történô felhasználói hozzáférés ellenôrzés feladata az illetéktelen hozzáférés megakadályozása, ezért a rendszerben azonosítani kell a felhasználókat. Ennek során a „szükséges minimális jogosultság” elvet kell érvényesíteni: a felhasználó csak a munkájához feltétlenül szükséges adatokhoz és csak a szükséges idôtartamban férhessen hozzá. A kiadott jogosultságokat rendszeresen felül kell vizsgálni. Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési jogosultságok érvényesítése, az adatkezelés eseményeinek nyomon—követhetôsége és személyi felelôsséghez köthetôsége garantálható legyen. A hozzáférési jogosultságokra vonatkozó elképzelést (pl. a jogok korlátozó elvû kiosztását) már a rendszer tervezésének idôszakában, a biztonsági osztálynak megfelelô követelményszinten ki kell alakítani. Az informatikai rendszerrel dolgozó minden munkatárs az alkalmazás RIBSZ által meghatározott szerepkörbe sorolandó, amely alapján örökli a szerepkörre meghatározott hozzáférési jogokat. A szerepkör szerint meghatározott hozzáférés—jogosultság kiosztás használata fokozott és kiemelt szinten kötelezô. A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész—szerepkörökre bonthatók. A munkaköröktôl történô eltérést a tervezés során a projekt vezetôjének, az üzemeltetés során pedig az üzleti tulajdonosnak kell meghatározni és az információvédelmi vezetôvel egyeztetni.
4.8.2. A hozzáférés menedzsment általános szabályai A jogosultságkezelési tevékenység ellátásának megszervezése az üzleti tulajdonos feladata az általa tulajdonolt rendszerek vonatkozásában. Tekintettel a Társaság kiterjedt alkalmazás portfóliójára és a felhasználók nagy számára, el kell érni, hogy mielôbb megvalósul-
Nyilván kell tartani, hogy adott alkalmazáshoz melyik felhasználói csoport és milyen joggal férhet hozzá. A kiosztott hozzáférési jogosultságokat minden felhasználó esetében felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A visszaélések elkerülése érdekében a kiemelt
19. szám
A MÁV Zrt. Értesítôje
szintû jogosultságokat sokkal gyakrabban kell vizsgálni. A Társaság dolgozóinak felhasználói azonosítóját munkaviszonyuk megszûnésével/megszûntetésével, a külsô munkavállalók felhasználói azonosítóját megbízatásuk lejártával haladéktalanul le kell tiltani. Akinek munkaviszonya megszûnt/megszûntetésre került a rendszer szolgáltatásait semmilyen módon nem veheti igénybe, és erôforrásait nem használhatja. A munkavégzés során keletkezett adatokat a munkáltatói jogkörgyakorló a munkafeladatok ellátásával összefüggésben, továbbá biztonsági szempontból az adatokon kívül, a létrejött naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei ellenôrizhetik. Felhasználói azonosító A felhasználói azonosítónak fô szabályként egyedinek kell lennie, ettôl eltérni kizárólag erre vonatkozó utasítás, vagy az adott alkalmazás RIBSZ—ének elôírásai szerint lehet. Ennek érdekében az IKI által a felhasználói azonosítók kezelésére központi névkonvenciós szabályt kell létrehozni. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemû változást (az ellenôrizhetôség érdekében) minden rendszerben külön—külön naplózni kell. A számítógépek beépített „Vendég” fiókjait le kell tiltani. Azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének idôpontját, ha egy felhasználó azonosító 60 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idô alatt egyszer sem vette igénybe), errôl a felhasználót, valamint a munkahelyi vezetôjét értesíteni szükséges. Amennyiben az ezt követô 15 napon belül nem történik belépés a rendszerbe, azonosítóját le kell tiltani. Errôl ismét értesítést kell küldeni, megjelölve az érvénytelenítés okát. A munkaviszonyukat huzamosabb ideig szüneteltetô (pl. gyermek szülése), illetve a tartósan más okból távollevô (pl. külföldi kiküldetés, elhúzódó gyógykezelés) munkavállalók felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy idôben ismét engedélyezni kell. A munkavállalók áthelyezésekor felmerülô jogosultsági változásokat a 4.4.3. fejezetben elôírtak szerint kell kezelni. Rendszergazdai jogosultság, azonosító A rendszergazdai azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható lemez— vagy páncélszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. A listákat az üzleti tulajdonos által kijelölt vezetônek kell tárolnia úgy, hogy azok rendkívüli esetben hozzáférhetôek legyenek. A kiemelt felhasználók jelszavai csak abban az esetben tárolhatók jelszómenedzser (jelszó kezelô) programokban, ha a Társaságnál történô bevezetést mindenre kiterjedô vizsgálat és koc-
1615
kázatelemzés elôzi meg, amelybe az információvédelmi vezetôt is be kell vonni. Hitelesítésre lehetôleg erôs autentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosítás). A (gyárilag) elôre beállított felhasználói azonosítók (pl. root, admin) és jelszavak használata az éles alkalmazásokban és rendszerekben — az indokolt és naplózott szerviz tevékenységeket kivéve — tilos. Ezeket már az elsô telepítés alkalmával meg kell változtatni, újakat kell létrehozni. Felhasználók csak technológiailag indokolt esetben, az adott munkafeladat végrehajtásának idejére, illetve idôszakára — legfeljebb 1 évre — kizárólag az IKI külön engedélyével rendelkezhetnek a munkaállomáson helyi rendszergazdai jogosultsággal, amelyhez az információvédelmi vezetô állásfoglalását is ki kell kérni, aki indokolt esetben e jog kiadásával kapcsolatban önállóan is jogosult döntést hozni. Az idôtartam leteltét követôen az igényt újra be kell nyújtani, amelynek hiányában a jogosultságot vissza kell vonni. Az átlagos felhasználói jogosultságnál magasabb jogosultságokat nyilván kell tartani és évente felülvizsgálni. Hálózati rendszergazdai jogosultság nem adható ki a felhasználó számára. Biztonsági tájékoztató üzenet Az informatikai rendszerek, alkalmazások indításakor — technikai elôfeltételek megléte esetén — olyan biztonsági üzenetet kell megjeleníteni, amely növeli a felhasználók biztonságtudatosságát, illetve tájékoztatást nyújt a munkavállalók ellenôrzésére szolgáló technikai eszközök alkalmazásáról. Ennek megvalósítását az üzemeltetés — illetve már a fejlesztés — során az üzleti tulajdonos egyetértésével úgy kell kialakítani, hogy megfeleljen a vonatkozó munkajogi elôírásoknak. Tiszta íróasztal — Tiszta képernyô Az informatikai biztonság szintjének megtartása érdekében a Társaság valamennyi informatikai eszközt használó munkavállalója köteles a „Tiszta íróasztal — Tiszta képernyô” politikát betartani, amelynek rendszeres ellenôrzése a Biztonsági fôigazgatóság feladata. Ennek során a munkavállaló, ha hosszabb idôre elhagyja a munkaasztalát, köteles arról minden védendô információt tartalmazó papír alapú dokumentumot, valamint minden elektronikus adatok tárolására alkalmas eszközt megfelelôen elzárni, különösen a munkaidôt követôen. Minden számítógépen kötelezô a rendszer jelszavas képernyôvédôjét beállítani, illetve azt kézzel bekapcsolni (a Windows+L billentyû egyidejû lenyomásával), ha azt a kezelô ideiglenesen magára hagyja. A képernyôvédelem beállításait csak rendszergazda változtathatja meg, valamint minden munkaállomáson az automatikus bekapcsolási idôt 10 percben kell meghatározni. Amennyiben az alkalmazott munkafolyamat indokolja, a biztonsági szempontok mérlegelése alapján, az információvédelmi vezetô adhat egyedi felmentést a funkció használata alól.
1616
A MÁV Zrt. Értesítôje
Abban az esetben, ha fontos a képernyôn olvasható adatok bizalmasságának megôrzése további védelmi eszközöket kell alkalmazni (pl. betekintés-védelmi fólia). 4.8.3. Az adatok bizalmassága a) A felhasználók felelôsek a rendszerek használata során tudomásukra jutott védendô a) információk megôrzéséért. b) Védendô információnak minôsülô adatok külsô tárolóra másolása csak az erre vonatkozó, kifejezetten megengedô szabályok szerint történhet. Az ilyen információt tartalmazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni. c) Védendô információkat (pl. üzleti titok, nagy tömegû személyes adatok) csak titkosított merevlemezzel ellátott számítógépen lehet tárolni és feldolgozni, valamint továbbítás esetén gondoskodni kell az adatállomány titkosításáról is. d) A felhasználók senki elôtt nem fedhetik fel az védendô információnak minôsülô információt, kivéve, ha az arra jogosult engedélyezi. Ebbe beletartoznak a Társaságra, valamint ügyfeleire, informatikai rendszerére és szoftverfejlesztésére, termékeire és szoftverlicenceire vonatkozó technikai és üzleti információk. e) Az informatikai biztonsági intézkedéseket és a Társaság egyes rendszereire vonatkozó belsô szabályait oly módon kell kezelni, amely megakadályozza azt, hogy illetéktelen személy számára hozzáférhetôvé váljon. f) Védendô információnak minôsülô adatokat külsô félnek elektronikus úton kizárólag a Társaság erre vonatkozó szabályzatában leírt módon szabad küldeni. g) A felhasználók a védendô információk biztonsága érdekében kötelesek külön intézkedéseket alkalmazni a kapott lehetôségeken belül, vagy külön intézkedéseket kérni (pl. titkosított pendrive az ilyen fájlok tárolására, üzenetek titkosítása, a könyvtárak és fájlok külön jelszavas védelme). h) Az általa használt elektronikus adathordozókról (pl. merevlemez, CD/DVD) az adatokat a h)4.5.8. Informatikai biztonság kezelése az adathordozók életciklusában fejezet szerint kell töröltetnie. i) A védendô információt tartalmazó kinyomtatott papírokat az iratkezelési szabályok szerint kell kezelni. j) Az adatszivárgás megelôzését a mûszaki lehetôségek megléte esetén technikai megvalósítással (pl. titkosítás, DLP rendszer) is elô kell segíteni, amely megakadályozza, korlátozza, illetve jelzi a védendô adatok kijutását az informatikai hálózatból. 4.8.4. A távfelügyeleti megoldások biztonsága Távfelügyeleti megoldás alkalmazása esetén a felhasználói munkaállomás meghibásodása vagy a felhasználó segítségkérése esetén a HelpDesk szolgáltatást nyújtó
19. szám
üzemeltetô szervezet nem jelenik meg fizikailag a helyszínen, hanem hálózaton keresztül (távolról) csatlakozik a felhasználó informatikai eszközére (pl. uVNC, távoli asztal, Lync, Microsoft SCCM segítségével), így oldva meg a felmerült problémát. A távfelügyeletet végzô személy ebben az esetben átveszi a gép irányítását és megkapja a felhasználó jogosultságait. A fokozott kockázat miatt távfelügyelet csak az alábbi feltételek teljesülése esetén jöhet létre: — a létrejövô kapcsolat nem futhat harmadik félen is keresztül, — az üzemeltetô személyzetnek kötelezô azonosítania magát, ehhez biztosítson a felhasználók számára elôre közzétett, szükség esetén visszahívható központi (pl. HelpDesk) telefonszámot, — amennyiben technikailag lehetséges a felhasználó minden esetben folyamatosan kísérje figyelemmel a PC munkaállomását érintô üzemeltetési, (táv)karbantartási tevékenységet, legyen jelen ezek végzése során. Amennyiben az eszközök mûködésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetôjüket, — a távfelügyelet ideje alatt folyamatos telefonos kapcsolat szükséges a támogató és a felhasználó személy között, — a felhasználó jelentkezzen ki (és zárjon be) minden olyan alkalmazást, amely nem kapcsolódik a távoli segítségnyújtási feladathoz, — a felhasználónak legyen lehetôsége a beavatkozásra (pl. kapcsolat engedélyezése vagy megszakítása), — a felhasználó által el nem fogadott kapcsolat 10 másodperc után automatikusan bontson, — a fájl átvitel funkció használata nem engedélyezett, — kötelezô részletes naplózást alkalmazni, — az üzleti tulajdonos ellenkezô értelmû utasításának hiányában a támogató szervezetnek jelentést kell írnia az elvégzett munkáról, amit még aznap munkaidô végéig meg kell küldenie a felhasználónak, — a támogatott rendszer Kockázatelemzésének ki kell térnie erre, továbbá a RIBSZ—ben rendelkezni kell e folyamatokról. A kockázatok minimalizálása érdekében a távfelügyeleti rendszerek használata során ellenôrizni és szabályozni kell: — az alkalmazandó megoldás (szoftver) biztonsági megfelelôségét és dokumentáltságát, — a gyártói támogatást, a verziókövetés meglétét és a frissítések folyamatos követését, — erôs azonosítási és hitelesítési mechanizmusok meglétét és használatát, — a kommunikációs csatorna titkosságát, — a felhasználó gépén mûködô kliens program háttérben (service—ként) való állandó futásának szükségességét,
19. szám
A MÁV Zrt. Értesítôje
— külsô fél által nyújtott támogatás esetén csak az eseti kapcsolódás engedélyezett (nem futhat a háttérben állandóan a kliens program), — a felhasználók egyértelmû tájékoztatását, hogy távfelügyelik a munkaállomását, — a felhasználók és a segítségnyújtók oktatását és tájékoztatását, — a segítségnyújtók körét (név szerint), amit a távfelügyelt rendszer üzleti tulajdonos hagy jóvá. Egyedi távfelügyeleti belépések alkalmával, amikor az üzemeltetô személyzet nem veszi át a gép irányítását és a felhasználó rendelkezésre álló jogosultságokat, a belépés okáról és idejérôl akkor is köteles elôzetesen egyeztetni a felhasználóval. A Társaság hálózatán mûködô számítógépek távfelügyeletét az információvédelmi vezetô jóváhagyása mellett az IKI engedélyezi. Fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszerek távfelügyelete esetén a biztonság szempontjából legszigorúbb elôírásokat kell alkalmazni. 4.8.5. A felhasználó hozzáférési jogosultságának ellenôrzése Az informatikai erôforrások és alkalmazások használata során biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelô legyen. Ennek érdekében: — A jogosultságokat az üzleti tulajdonosnak a biztonsági osztályok követelményeiben (9. sz. melléklet) elôírt idôközönként ellenôrizni kell. Az ellenôrzéskor az IHIR SAP rendszerbôl lekért adatokkal is össze kell vetni. — A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelôen módosítani kell. 4.8.6. Biztonsági azonosítók (jelszavak) kezelése Az informatikai rendszerekben a felhasználók hitelesítésének alapvetô módja a jelszó megadása. A felhasználói jelszavak kezelésére a következô szabályok a mérvadók: a) A felhasználónak kötelezôen alá kell írnia a 2. sz. mellékletben található nyomtatványt, amelyben nyilatkozik, hogy megismerte a személyes azonosítójára és jelszavainak kezelésére vonatkozó szabályokat. b) Belépéskor megkapott, ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó elôzetes — például személyes — azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelezô. c) A jelszó elfelejtése esetén a felhasználó közvetlen vezetôje — a HelpDesk-en keresztül — kérheti email—en a jelszó alaphelyzetbe állítását, amelyben feltünteti a saját maga és a beosztottja azonosításához szükséges adatokat (szervezet, név, telefon, email cím stb.).
1617
Amennyiben a közvetlen vezetô nem érhetô el, de a szolgálat ellátása feltétlen indokolja (pl. forduló szolgálatos munkavállalók esetén) a számítógép használatát, abban az esetben más biztonságos azonosítási módszert kell választani, amelynek során olyan közvetítô szolgálati felettes személy bevonására kerül sor, aki mindkét fél számára egyértelmûen azonosítható. d) A jelszó megváltoztatása az elsô bejelentkezés alkalmával kötelezô. e) Telefonon vagy faxon történô kérésre jelszóváltoztatás nem kezdeményezhetô. f) A jelszónak minden felhasználó számára — a jelszópolitika határain belül — szabadon megváltoztathatónak kell lennie. g) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetôség van) biztosítani kell a következô követelmények teljesülését: minimális jelszóhossz megadása, a jelszó egyediségét (történeti tárolás), a központi jelszó megadás utáni elsô bejelentkezéskor a kötelezô jelszó cseréjét, a jelszó maximális élettartamát, a jelszó minimális élettartamát, a jelszó zárolását, a jelszó képzési szabályainak — bonyolultsági kritériumnak — meghatározását. h) Az informatikai rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelô titkosítási védelemmel kell ellátni. A hitelesítési folyamatban a beírt jelszó ne legyen olvasható (pl. * jelenjen meg helyette). i) A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. j) A Társaság rendszereihez kapcsolódó jelszavakat tilos külsô fél informatikai eszközeiben vagy szoftvereiben tárolni, kivéve a Társaság által rendszeresített megoldásokat k) A jelszó képzési szabályokat minden esetben az adott alkalmazás biztonsági osztálya határozza meg (lásd: 9. sz. melléklet). l) Amennyiben technikailag lehetséges és az adatok védelme megkívánja, többfaktoros authentikációt kell alkalmazni (pl. token, biometrikus azonosítás). m) A jelszó lejárat elôtt a rendszerek legalább 15 nappal (majd a lejáratig, vagy a megváltoztatásig minden nap) küldjenek értesítést a felhasználó számára. PIN kódok használata esetén legalább 4 karakteres számsort kell alkalmazni. Amennyiben technikailag lehetséges, tiltani kell az azonos (pl. 1111), növekvô vagy csökkenô (pl. 1234, 9876) kódok használatát. 4.8.6.1. Jelszó használat A biztonságos jelszóhasználat érdekében a következô szabályokat kell betartani: a) A felhasználók kötelesek betartani a jelszóválasztási és változtatási szabályokat.
1618
A MÁV Zrt. Értesítôje
b) A jelszavakat (és a belôle képzett egyedi kódsorozatot [hash-t] is) kellô körültekintéssel kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók. c) A felhasználónak tudatában kell lennie, hogy mindazon mûveleteket, melyeket az ô azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ô „terhére” könyveli el. Ezért a jelszavait kellô körültekintéssel kell kezelnie, azokat más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja, köteles azok titkosságát megôrizni, továbbá más nevében nem léphetnek be a rendszerbe. A felsoroltakért személyesen felelôs. d) A jelszavakat — a biztonsági másolat kivételével — nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban, vagy a Társaság által rendszeresített jelszó kezelô alkalmazásban történô biztonságos tárolásáról. Ezektôl eltérôen a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelezô zárt borítékban, biztonságosan zárható helyen a vezetônél tárolni. e) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. f) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót. g) A jelszó hossza legkevesebb 8 karakter legyen, alapszabály, hogy a jelszó nem egyezhet meg a felhasználói azonosítóval. Ne tartalmazzon egymást követô azonos karaktereket, vagy számokat, mert ez meglehetôsen megkönnyíti a feltörhetôséget, pl. az ún. kipróbálásos (brute force) támadások esetében. h) A jelszó kívülálló számára ne legyen egyszerûen kitalálható vagy könnyen megjegyezhetô, ne tartalmazzon a felhasználó személyére utaló információkat (például törzsszám, név, telefonszám, születési dátum), összefüggô szövegként ne legyen olvasható. i) A jelszó lehetôleg ne legyen szótárakban is szereplô értelmes szó, mivel ez igen megkönnyíti a feltörhetôséget, pl. az ún. szótártámadások (dictionary attack) esetében. j) A felhasználói jelszavakat rendszeresen (a biztonsági osztály elôírásainak megfelelôen, lásd: 9. sz. melléklet), vagy a hozzáférések számától függôen cserélni kell a rendszerben, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát. k) A felhasználó nem adhat meg a hálózati bejelentkezésére használt jelszóval megegyezô jelszót az általa használt egyéb informatikai rendszerekben. Kivételt képeznek azok az alkalmazások, amelyek a központi (AD) hitelesítési rendszert használják a belépésre. l) A Társaság rendszereiben használt jelszavakat tilos a munkavégzésre használt rendszerektôl eltérô helyen is alkalmazni (pl. internetes regisztráció során).
19. szám
m) Az átlag jogosultságoktól eltérô, elôjogokkal rendelkezô felhasználók jelszavait (pl. rendszergazdai jogosultságok, telepítési jogosultsággal rendelkezô felhasználók) a rendszer biztonsági osztályba sorolásánál legalább eggyel magasabb besorolási osztálynak megfelelô szintre kell beállítani (pl. alap besorolású rendszer rendszergazdája minimum fokozott jelszópolitika szerinti jelszót használhat). Lásd: 9. sz. melléklet. n) Alkalmazások, eszközök a velük esetlegesen szállított alapértelmezett jelszavakkal nem használhatóak, azokat kötelezô megváltoztatni. Ahol nincs beállítva jelszó, ott meg kell adni. o) Elsô bejelentkezés alkalmával kötelezô jelszócserét végrehajtani. p) Automatikusan letiltott állapotba kell helyezni azon felhasználók jelszavát, akik az adott rendszerbe 60 napnál régebben léptek be. Errôl a rendszer üzleti tulajdonosát elôzetesen értesíteni kell. q) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyûhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. r) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell. A jelszó házirendet a fentiekkel összhangban, rendszerfüggôen, a RIBSZ—ben kell rögzíteni. 4.8.7. Naplózás Az illetéktelen hozzáférések, a tiltott tevékenységek kiszûrése érdekében figyelemmel kell kísérni a hozzáférési irányelvektôl való eltéréseket, és rögzíteni kell a megfigyelhetô eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához. A naplózás támogatást nyújt a biztonsági auditok lefolytatásához, a döntéstámogató rendszerekhez, illetve információt gyûjthet a rendszer teljesítményérôl és az azt veszélyeztetô eseményekrôl. A biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell. 4.8.7.1. A naplózás általános szabályai Kerüljenek naplózásra a biztonságot érintô tevékenységek. Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenôrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelôsséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét. A személyes adatokat tartalmazó napló adatokat az adatvédelmi jogszabályoknak megfelelôen kell kezelni, például csak meghatározott ideig lehet tárolni és
19. szám
A MÁV Zrt. Értesítôje
csak biztonsági célokra lehet felhasználni. A személyes adatokat nem tartalmazó naplóállományok megsemmisítésérôl, felülírásáról, módosításáról és archiválásáról az adott rendszer RIBSZ—ében kell rendelkezni. A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett mûvelet szelektív naplózására. Minimálisan regisztrálandó (sikeres/sikertelen) események: — rendszerek és programok indítása, leállása, leállítása, — az azonosítási és hitelesítési mechanizmus használata, — létrehozás, törlés vagy hozzáférési jog érvényesítése az adott rendszer kitüntetett fájljaihoz vagy erôforrásaihoz, — felhatalmazott személy mûveletei, amelyek a rendszer biztonságát érintik, — rendszerhibák és korrekciós intézkedések, — rendszeróra—állítások, be— és kijelentkezések. Opcionálisan regisztrálandó események: — az adatállományok és kimeneti adatok kezelésének visszaigazolása. A kiemelt fontosságú szerepkört betöltô felhasználók (pl. rendszergazdák) esetében célszerû olyan naplózó (monitorozó) rendszert alkalmazni, amit a rendszergazdáktól független szervezet felügyel. Az egyes eseményekhez kapcsolódó további rögzítendô elemeket a Biztonsági osztályok követelményei c. 9. sz. melléklet tartalmazza. A naplózandó elemek tervezése és beállítása során figyelembe kell venni a keletkezô állományok tárterület foglalását és a rendszer teljesítményére gyakorolt hatásait. A további naplózandó eseményeket és naplóbeállításokat — a fentiekkel összhangban — rendszerfüggôen kell meghatározni és a RIBSZ—ben kell rögzíteni. Az alkalmazások által készített biztonsági naplóállományok adatait az IKI — logelemzô szoftverrel — rendszeresen, de legalább havonta egy alkalommal ellenôrzi, értékeli és archiválja. A biztonsági napló értékelése során meg kell határozni, hogy melyek azok a kisebb súlyú események, amelyeket jegyzôkönyvezni kell, melyek azok amelyekrôl a következô munkanapon, vagy soron kívül kell jelentést adni az IKI—nek és az információvédelmi vezetônek, akik egyeztetést követôen döntenek az üzleti tulajdonos tájékoztatásáról. Fokozott, és kiemelt szinten: A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. 4.8.7.2. Naplózási információk védelme Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani.
1619
A biztonsági eseménynapló (naplófájl) és a jegyzôkönyvek adatait védeni kell az illetéktelen hozzáféréstôl, továbbá a felhasználói jogosultságoknál magasabb tevékenységeket naplózni szükséges. Fokozott és kiemelt szinten: a) A biztonsági naplókat egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen), illetve a rendszertôl külön kell archiválni, mint a rendszerhasználat bizonyítékait, így ezek az információk késôbbi vizsgálatokhoz is felhasználhatóak. b) A naplóállományok legyenek kódoltak, ellenôrzô összeggel ellátottak. A naplóállományok minimális megôrzési ideje a rendszerek biztonsági osztályától függ (lásd „A biztonsági osztályok követelményei” címû 9. sz. mellékletet) 4.8.7.3. Rendszerhibák naplózása Az informatikai rendszer üzemeltetésérôl (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az IKI, illetve az információvédelmi vezetô döntése alapján ellenôrizni kell. Az informatikai rendszer üzemeltetésérôl nyilvántartást (adatkérések, -szolgáltatások, feldolgozások stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenôriznie kell. Az üzemzavarok bejelentését követôen korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek mûködésében észlelt hibákat naplózni kell. 4.8.7.4. Rendszerórák szinkronizálása Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és —idô beállítására, mert minden tevékenység visszakereshetôségének alapja a hiteles, pontos dátum és idô. A felhasználók nem jogosultak saját gépükön a dátum és idô megváltoztatására. 4.9. Informatikai rendszerek fejlesztése Új rendszer fejlesztésében — illetve már meglevô továbbfejlesztésében, átalakításában értelemszerûen — az alábbi szabályoknak kell teljesülni. Amennyiben a kialakítandó rendszer komplexitása vagy egy új technológia bevezetése igényli, célszerû megvalósíthatósági tanulmányt készíteni a rendszer kialakítása elôtt és ennek eredményét figyelembe venni a tervezéskor. 4.9.1. Döntés a rendszer kialakításáról A döntés fázisban egyértelmû elhatározás születik a rendszer megvalósításáról, az érintett vezetôk elkötelezik magukat a rendszer használata mellett. A döntés pillanatától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit, amelynek kialakításába
1620
A MÁV Zrt. Értesítôje
az IKI-t és az információvédelmi vezetôt is be kell vonni. Az IKI a tudomására jutott új fejlesztésekrôl és továbbfejlesztési igényekrôl köteles az információvédelmi vezetôt azonnal tájékoztatni. A projekt vezetôjének egyeztetnie kell az IKI-vel abban a tekintetben, hogy ne történjenek párhuzamos fejlesztések, egységes szoftver-hardver platformok kerüljenek bevezetésre, illetve a PVÜF Távközlési osztállyal az esetleges hálózati igénybevételt illetôen. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevô állapotát és színvonalát. Vizsgálni kell a rendelkezésre álló és a fejlesztendô rendszer kapacitásigényét (pl. hálózati sávszélesség, számítási kapacitás, emberi erôforrás), hogy az üzembe állítás során rendelkezésre álljanak a szükséges erôforrások. A fejlesztés céljának megfogalmazása során meg kell határozni az összes biztonsági követelményt (lásd: 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai). Az ott leírtakat a nem projektszerûen végrehajtott valamint a kisebb fejlesztésekben értelemszerûen kell alkalmazni. Ezeket a követelményeket és szükséges megoldásokat az informatikai rendszer fejlesztésének részeként kell megtervezni, egyeztetni és dokumentálni. 4.9.2. A rendszerfejlesztés elôkészítése Az elôkészítés lépéseit az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) Projektindítás) összefoglaltak szerint kell elvégezni. A felsorolt feladatok végrehajtója a projektvezetô, illetve, ha ilyen még nincs kijelölve — vagy a fejlesztés nem projektszerûen folyik — akkor a fejlesztést kezdeményezô szervezeti egység vezetôje. Az elôkészítésnek fontos lépése az üzleti tulajdonos kijelölése (lásd 4.2.3.3. fejezet „üzleti tulajdonos” rész). Mindaddig, amíg ez nem történik meg, a projektvezetô kötelezettsége az üzleti tulajdonos számára e szabályzatban meghatározott feladatok ellátása. A rendszer biztonságát az üzleti tulajdonos a saját igényei és lehetôségei szerint valósítja meg, és döntési kompetenciával rendelkezik az ehhez szükséges források mozgósításához. Az informatikai beruházások elôkészítési, tervezési fázisában figyelemmel kell kísérni a következô biztonsági szempontok érvényesítését: a) az informatikai rendszer által kezelendô adatoknak az információvédelem (bizalmasság, sértetlenség) és a rendelkezésre állás szempontjából történô elemzése és a védelmi célkitûzések meghatározása, b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása, c) az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rendszer tervezési
19. szám
és megvalósítási költségeinek. Ezek álljanak arányban a lehetséges kockázatokkal, károkkal. Az elôzô pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentôsen megnöveli az információbiztonsági kockázatokat, valamint a késôbbi kiadásokat. Amennyiben a tervezett rendszer kivált egy korábbit, az üzleti tulajdonosnak döntést kell hoznia a régiben tárolt adatok megôrzésérôl, visszaállíthatóságáról (pl. törvényi kötelezettség, belsô szabályzatok), különös tekintettel a technológia váltásra. Virtualizáció vagy felhô alapú rendszerek használata során figyelembe kell venni a 4.7.7. fejezetben leírt elôírásokat. A bevezetésre tervezett alkalmazás rendszerterve határozza meg az informatikai biztonsággal, illetve az infokommunikációs hálózattal szembeni követelményeket. A kiírásban szerepeltetni kell a létrehozandó (fejlesztendô, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének — a projekt (fejlesztés) keretében történô — tervezési és megvalósítási lépéseit, költségeit, felelôseit, valamint az informatikai biztonságra vonatkozó követelményeket (pl. a védelmi igényt és célokat, a kezelendô adatok érzékenységét, a rendszerrel szemben támasztott rendelkezésre állási igényt, a jogszabályokból és egyéb vállalati belsô utasításokból fakadó biztonsági kötelezettségeket). A használhatóság érdekében már ebben a szakaszban figyelmet kell fordítani arra, hogy a készülô rendszer — ellenkezô igény hiányában — magyar nyelven kommunikáljon a felhasználókkal. Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történô kialakításához, a rendszer funkcionalitásának és megbízható üzemeltetésének biztosításához a következô dokumentációk szükségesek: — Architektúra és konfiguráció szintû dokumentáció — Modul szintû dokumentáció — Teljes rendszerdokumentáció — Tesztkövetelmények és eljárások dokumentációja rendszer szinten — Felhasználói dokumentáció — Átadás-átvételi dokumentáció — Üzemeltetési dokumentáció (normál üzemeltetés, hibaelhárítás, újraindítás) — Rendszer biztonsági dokumentumai (kockázatelemzés, RIBSZ, MFT) — Oktatási napló A kiírásban szerepeltetni kell, hogy az ajánlat biztonsági szempontból csak akkor fogadható el, ha: — a kitûzött védelmi célokra megfelelô szinten reagáló fejezetet (részeket) tartalmaz, továbbá az ajánlattevô nyilatkozik arról, hogy — csak jogtiszta szoftver rendszert szállít,
19. szám
A MÁV Zrt. Értesítôje
— biztonsági rendszer megvalósítását csak a projektben (fejlesztésben) megjelölt személyek / alvállalkozók végzik, — elfogadja a Társaságnál érvényes informatikai biztonsági szabályokat a rendszer kialakításában. A jelen IBSZ személyi hatálya alá tartozó vállalkozónak (2.1.1 fejezet 1. bekezdés 2. pont), továbbá az erre alkalmas rendszerek külsô használóinak a velük kötött szerzôdésben kell felelôsséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerzôdésben való szerepeltetéséért a szerzôdés Társaság oldali aláírója felelôs. A rendszerek, alrendszerek biztonsági dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Ezeket a dokumentumokat csak az üzleti tulajdonos, illetve az általa kijelölt személyek kezelhetik és bocsáthatják a jogosultak rendelkezésére. Errôl az üzleti tulajdonos az IKI—t a konfigurációkezelési adatbázisban történô dokumentum nyilvántartás érdekében, valamint az információvédelmi vezetôt értesíti. Elônyben kell részesíteni azt a pályázót, amely szakemberei rendelkeznek informatikai biztonsági minôsítéssel (pl. CISA, CISM). Kötelezô e feltétel alkalmazása a fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszerekre vonatkozóan. A 3. sz. mellékletben bemutatott biztonsági minôsítési rendszert a pályázók besorolásánál is alkalmazni kell. A fejlesztésre vonatkozó szerzôdésnek külön fejezetben kell foglalkoznia az informatikai biztonsággal. Ebben a fejezetben szerepeltetni kell a szállítandó szoftver és a kapcsolódó termék: — teljesítendô informatikai biztonsági követelményeit, — biztonsági tanúsításával, minôsítésével kapcsolatos feltételeket, — dokumentációjának biztosításával, a dokumentációiba történô betekintéssel kapcsolatos követelményeket, — használati (futtatható) illetve forráskód felhasználásának és ellenôrzési jogának, a licencek felhasználásának a feltételeit, — szavatosságával, jótállásával, auditálhatóságával kapcsolatos feltételeket, — garanciális idôn túlmenô szervizelési feltételeit, úgymint rendelkezésre állási idô, reakció—idô, tartalék alkatrész biztosítása, cserefeltételek, tartalék eszközök stb., — titoktartási (ha a rendszer védendô információnak minôsülô adatokat is kezel), és adatvédelmi (ha a rendszer személyes adatokat is kezel) követelményeket, megállapodásokat, — távolról történô fejlesztés és/vagy támogatás esetére vonatkozó partneri megállapodást, amelyben meghatározásra kerül a felhasználás célja, a hozzáférôk kezelésének, ellenôrzésének módja,
1621
— a szállító nyilatkozatát, hogy a védelmi rendszer tervezéséhez és megvalósításához használt információkat és dokumentumokat átadják, — a szállító nyilatkozatát, hogy az informatikai rendszer fejlesztése során eleget tesznek a Társaság valamennyi vonatkozó szabályzatának, különös tekintettel az IBSZ—re. További lényeges, a biztonságot is érintô elvárás a szerzôdéssel kapcsolatban, hogy az ajánlattevô szükség szerint az alábbiakról is nyilatkozzon: − a megkötendô szerzôdés alapján létrejött szellemi termékre a Társaság valamennyi szervezeti egysége — mûködési körén belül, ellenkezô rendelkezés hiányában — korlátlan felhasználási joggal rendelkezik majd; −a megkötendô szerzôdés alapján szállított szoftverek használati joga átkerül majd a Társasághoz; − egyéb megállapodás hiányában egyedi programfejlesztés esetén a forráskód átadásának kötelezôségét, − szavatol azért, hogy a majdan szállított szoftverek rendeltetésszerû használatra alkalmasak és rendelkeznek a hardver, szoftver leírásokban meghatározott paraméterekkel (kellékszavatosság); − felelôsséget vállal azért, hogy a készített szoftvertermék nem tartalmaz kártékony kódrészleteket és egyéb jogellenes kódokat; − szavatol azért, hogy a majdan szállított szoftverek és hardverek fölött harmadik személynek nincs olyan joga, amely a megkötendô szerzôdés teljesítésében feleket gátolná (jogszavatosság); − kártalanítania fogja Ajánlatkérôt minden olyan igény esetén, amely valamely szabadalmi, védjegy, szoftverrel összefüggô jogok stb. megsértésébôl származik azáltal, hogy azt szerzôdô felek a majdan megkötendô szerzôdés során felhasználták. A pályázat kiírásába és értékelésébe, a szerzôdés szövegének kialakításába, továbbá a fejlesztés és tesztelés folyamatába minden esetben be kell vonni az információvédelmi vezetôt. A Rendszerkoncepció, vagy a Projekt alapító Dokumentum nevû dokumentumban meg kell határozni az alapvetô informatikai biztonsági követelményeket. A rendszer biztonságával kapcsolatosan meg kell határozni a szereplôket, meg kell nevezni a biztonsági határokat, adatátviteli hálózat biztonsági feltételeit, az életciklus kezelési feltételeit. 4.9.3. A fejlesztés folyamatai, dokumentumai 4.9.3.1. A kockázatok kezelése A fejlesztendô rendszer megvalósítása során az informatikai biztonságot a rendszerbe integrálva kell kialakítani, amihez ismerni kell a rendszert konkrétan fe-
1622
A MÁV Zrt. Értesítôje
nyegetô veszélyeket, ismerni kell a várható biztonsági kockázatokat. A rendszertervre alapuló kockázatelemzéshez szükséges fontosabb lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet b) Kockázatelemzés) összefoglaltak szerint kell elvégezni. A kockázatelemzés szakaszban részletesen fel kell tárni a rendszert fenyegetô tényezôket. Ehhez csoportosítani kell a vizsgálandó szempontokat legalább az alábbi elemcsoportok vonatkozásban: — környezet és infrastruktúra, — hardver, — szoftver, — adathordozók, — dokumentáció és dokumentumok, — adatok, — kommunikációs és hálózati rendszerek, — szolgáltatások, — személyi (külsô és belsô). Ezekhez a csoportokhoz kell egyedenként meghatározni a fenyegetô tényezôket a Kockázatelemzés lépései c. táblázat szerint (6. sz. melléklet). A kapcsolódó kárérték és kárgyakorisági besorolásokat, valamint a kockázati mátrixot a 7. sz. melléklet tartalmazza. A fejlesztés során és a késôbbiekben valamennyi védelmi intézkedést (pl. az adatok és rendszerek biztonsági osztályba sorolását) a fentiek figyelembe vételével kell megtenni. 4.9.3.2. Adatok, informatikai rendszerek biztonsági osztályba sorolása A Társaság informatikai rendszereit információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás alapján biztonsági osztályba kell sorolni. A biztonsági osztályozás célja az informatikai vagyontárgyak szükséges védelmi szintjének elôírása. Ezt a besorolást minden esetben az adat, illetve az adatot feldolgozó rendszer üzleti tulajdonosa állapítja meg a kockázatelemzés eredménye alapján. Az adatok minôsítése maga után vonja az azokat tároló, feldolgozó többi informatikai rendszerelem, illetve a teljes informatikai rendszer biztonsági besorolását is. Amennyiben a kockázatelemzés által feltárt fenyegetettségek ellen tett intézkedések után is marad az „Elviselhetô” szintnél magasabb kockázat, abban az esetben az adott rendszer biztonsági besorolását a tervezettnél eggyel magasabb szintre kell meghatározni. A létrejött dokumentumokból, valamint a tervezés során felállított követelményrendszerbôl levonható informatikai biztonsági következtetéseknek egyértelmûen arányban kell állniuk a fejlesztendô rendszernek a Társaság üzletvitele szempontjából betöltött fontosságával.
19. szám
Alap biztonsági osztályba kell sorolni minden olyan rendszert, amely nem igényel fokozott vagy kiemelt biztonsági besorolást. Legalább fokozott biztonsági osztályba kell sorolni (bármelyik feltétel teljesülése esetén): — a Társaság üzletvitele szempontjából stratégiai jelentôségû rendszereket, — a védendô információnak minôsülô adatokat valamint a nagy mennyiségû, vagy különleges személyes adatot feldolgozó rendszert, — ahol a rendszer elvárt éves rendelkezésre állási igénye nagyobb vagy egyenlô, mint 99%. Bizalmasság szempontjából fokozott kategóriába sorolt adatokra vonatkozóan, az üzleti tulajdonosnak meg kell vizsgálni az egyezôséget a Társaság üzletititok—védelmi szabályzat titokköri jegyzékével, és szükség esetén intézkedni kell annak kiegészítésére. Kiemelt biztonsági osztályba sorolható az a fokozott besorolású rendszer, amelynek üzleti tulajdonosa a kockázatelemzés alapján magasabb szintû védelem megvalósítását tartja szükségesnek. A biztonságnövelô intézkedések egy része nem tesz különbséget a két fenyegetettség (információvédelem és rendelkezésre állás) között, ebben az esetben az adat védelmét a két besorolás közül a magasabb fokozatú szerint kell megvalósítani. 4.9.3.3. A rendszer biztonságának tervezése A következô fázisban — a biztonsági osztályba sorolástól függetlenül — Rendszerszintû Informatikai Biztonsági Szabályzatot (RIBSZ) kell kialakítani, melynek vázlata a 11. sz. mellékletben található. Kisebb, alap besorolású alkalmazásoknál, amelyek nem adnak át adatokat feldolgozásra más rendszereknek, a RIBSZ helyettesíthetô a Rendszertervben kialakított informatikai biztonsági fejezettel. A dokumentumnak részletesen kell foglalkoznia a kockázatelemzés által feltárt hibák és hiányosságok ellen tett intézkedésekkel is. Biztonsági szempontból az információvédelmi vezetô felügyeli és támogatja az informatikai fejlesztéseket, projekteket, ennek során állást foglal a rendszerszintû informatikai biztonsági szabályzatok megfelelôségérôl. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. Az RIBSZ (illetve a Rendszerterv informatikai biztonsági fejezete) tartalmának szigorú összhangban kell lennie a Társaság IBSZ—ével, valamint a korábbi fázisban meghatározott biztonsági osztályra vonatkozó (9. sz. melléklet) követelményekkel. A védelmet fizikai, logikai és adminisztratív területen kell megvalósítani.
19. szám
A MÁV Zrt. Értesítôje
A megfelelôséget az Információvédelmi vezetô által adott ellenjegyzéssel kell igazolni. A fejlesztési folyamat minden lépésében konzultálni kell mind az üzemeltetôkkel (operátorokkal), mind a felhasználókkal a rendszer hatékonyságának érdekében. A rendszer tervezése, valamint az informatikai biztonsági osztály meghatározása után világosan látszik, hogy kell—e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az RIBSZ—ben, illetve a Rendszerterv informatikai biztonsági fejezetében részletesen ki kell dolgozni az ide vonatkozó védelmi intézkedéseket is. Ilyen szolgáltatással rendelkezô rendszerben a kulcsokat külön védeni kell az elvesztés és illetéktelenek tudomására jutása ellen, hogy a sértetlenség, titkosítás, hitelesség rendszere ne sérüljön. 4.9.3.4. Tesztelés A rendszerben megvalósuló valamennyi elemet a rendszer használatba vételét megelôzôen biztonsági megfelelôség szempontjából tesztelni kell. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet d) A rendszer használatba vétele) összefoglaltak szerint kell elvégezni. A biztonsági teszt—feltételeket nem teljesítô rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesztelési folyamatok irányítására — amennyiben indokolt — egy szervezetet kell létrehozni, aminek a vezetôje az üzleti tulajdonos által kijelölt teszt menedzser. Tagjai továbbá a rendszer méretétôl (bonyolultságától) függô létszámban a teszt tervezô(k), tesztelô(k), értékelô(k). A tesztelésbe a felhasználó környezetébôl is be kell vonni személyeket, akiket az üzleti tulajdonos vagy a projekt menedzser jelöl ki. A tesztelés végrehajtására a teszt menedzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Ennek legfôbb elemei a következôk: — a teszt céljainak meghatározása, — a teszt lépéseinek meghatározása, — a rendszer tesztelendô elemeinek behatárolása, — tesztelési mód, teszt környezet, teszt adatbázis meghatározása, — tesztek értékelési módszerének kialakítása, — teszteredmények megfelelôségi kritériumainak definiálása, — dokumentálási faladatok meghatározása, — a tesztelési szervezet kialakítása, személyek meghatározása, szerepkörök, felelôsségi leírása, — ütemterv meghatározása. A tesztelés tervét célszerûen a rendszertervvel párhuzamosan kell elkészíteni, mivel a biztonsági követelmé-
1623
nyek addigra már ismertek. Lehetôleg az informatikai tesztelésekkel párhuzamosan meg kell kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rendszerrel szembeni biztonsági elvárásainak idôbeni teljesülését. A tesztek (modul-, integrációs-, rendszer-, teljesítmény- stb.) eredményét a 13. sz. melléklet szerinti Biztonsági tesztelési jegyzôkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell ôrizni. 4.9.3.5. A használatba vétel feltételei A rendszer csak akkor vehetô használatba, ha egyebek mellett rendelkezésre állnak az — üzleti tulajdonos a rendszerre vonatkozó biztonsági igényei alapján a beszállítóval (a „c” és „h” pontok kivételével) elkészíttetett — alábbi biztonsági dokumentumok is: a) Kockázatelemzés, b) Rendszerszintû Informatikai Biztonsági Szabályzat (RIBSZ) tartalmazza a rendszer összes konkrét védelmi intézkedését, önálló fejezetben vagy különálló mellékletben a felhasználókkal kapcsolatos biztonsági elôírások rendszerszintû szabályait, c) Üzleti tulajdonos nyilatkozatai: — a rendszerrel szemben támasztott rendelkezésre állási igényrôl, — a biztonsági osztályba sorolásról és a maradó kockázat elfogadásáról, — az elkészült dokumentumok elfogadásáról. d) Felhasználói Kézikönyv az összes kezelési szintre benne olyan funkciókkal, mint az informatikai biztonsági rendkívüli eseményekre való reagálás, a mûködés—folytonosság biztosítása és a felhasználók személyes adatainak kezelése fejezet. A RIBSZ—ben szereplô informatikai biztonsági szabályokat ezen a módon kell a felhasználóknak eljuttatni. e) Üzemeltetési kézikönyv, f) Mûködés-folytonossági terv (biztonsági osztálytól függôen) g) Jegyzôkönyvek a biztonsági tesztfeltételeknek való megfelelésrôl, h) Megfelelôségi tanúsítvány, amely fokozott vagy kiemelt biztonsági osztályba sorolt rendszer esetében független auditortól származik. Az átvétel során ellenôrizni kell továbbá: a) a teljesítôképességi és a kapacitás-követelményeket, b) a hibajavító és az újraindítási eljárások vészterveit, c) a rutin üzemeltetési eljárások elôkészítését és bevizsgálását, d) a megállapodások szerinti biztonsági óvintézkedések megtételét, e) a hatékony kézi (manuális) eljárásokat, f) a mûködés folyamatosságának érdekében a 4.10.1. fejezet által megkívánt elrendezéseket, g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkezô, káros hatással a meg-
1624
A MÁV Zrt. Értesítôje
lévô rendszerekre, különösen nem a feldolgozási csúcsidôkben. h) annak bizonyítékait, hogy figyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a Társaság általános biztonságára, i) az új rendszerek üzemeltetésének valamint használatának a betanítását, oktatását. 4.9.4. Az üzleti tulajdonos konkrét feladatai Az informatikai biztonsági folyamatok és dokumentumok elkészítését az üzleti tulajdonos irányítja és a rendszerre vonatkozó biztonsági igényei alapján a nyertes pályázóval készítteti el a szerzôdés keretében. Az elôzô pontokkal összhangban az üzleti tulajdonos (projektvezetô, témafelelôs) feladatai: Az elôkészítési (kiírás) és szerzôdéskötési szakaszban: — Szükség esetén megvalósíthatósági tanulmányt készíttet. — Egyeztet az IKI—vel a párhuzamos fejlesztések elkerülése érdekében, illetve, hogy egységes szoftver— hardver platformok kerüljenek bevezetésre. — Az elfogadható kiesési idôk meghatározása után nyilatkozik a rendszerrel szemben támasztott rendelkezésre állási igényérôl (5/A. sz. melléklet). — A rendszer által kezelt adatkörök elemeztetésével meghatározza, hogy a rendszer kezel—e védendô információnak minôsülô adatokat. — Meghatároztatja, hogy a kezelt adatkörök és az elvárt rendelkezésre állás várhatóan melyik biztonsági osztálynak megfelelô intézkedésekkel biztosítható (9. sz. melléklet). — Már a kiírásban a pályázók rendelkezésére kell bocsátania minden releváns információt (pl. rendelkezésre állási tényezô, kezelt adatkörök, hatályos belsô utasítások). — A megkötendô szerzôdésben szerepeltetnie kell a Társaság vonatkozó szabályait. A fejlesztési (megvalósítási) szakaszban: — A kockázatelemzés által feltárt, a rendszert fenyegetô tényezôk alapján intézkedik azok megszüntetésérôl vagy minimális értékre való csökkentésérôl. — Elfogadja a maradó kockázatokat, továbbá a rendszert információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás szempontjából biztonsági osztályba sorolja, amelyet írásban kell rögzíteni a biztonsági dokumentumokban (lásd nyilatkozat a 10. sz. mellékletben). — A biztonsági osztály megállapításakor elôzetesen kikéri az IKI és az információvédelmi vezetô állásfoglalását. Amennyiben az üzleti tulajdonos a javasoltnál alacsonyabb biztonsági osztályba történô besorolás mellett dönt, köteles annak jóváhagyása érdekében az állásfoglalásokkal együtt felterjeszteni az elnökvezérigazgató részére. Amennyiben az üzleti tulajdonos által meghatározott alacsonyabb szintû besorolást az elnök-vezérigazgató nem hagyja jóvá, abban az
19. szám
esetben az üzleti tulajdonos a rendszer fejlesztésének céljait, a ráfordításait úgy módosítja, hogy a biztonsági osztályba sorolás tekintetében végül megegyezô álláspont alakuljon ki. — A besorolásról értesíti az IKI—t, a konfigurációkezelési adatbázisban történô eltárolás érdekében. — A nyertes pályázóval elkészítteti a vonatkozó informatikai biztonsági dokumentumokat. Tesztelési szakaszban: — Ellenôrzi a 4.98.3.4. fejezetben leírtak szerinti tesztelési folyamatot. Az átadás—átvételi szakaszban: — Ellenôrzi a 4.9.3.5. fejezetben leírtak szerinti átadás— átvételi folyamatot. A rendszer használatba vétele után, az üzemelési szakaszban: — A biztonsági osztályok követelményeinél (9. sz. melléklet) elôírt idôszakonként, illetve ha a rendszer szempontjából lényeges változtatások valósulnak meg, felül kell vizsgáltatnia és szükség szerint aktualizálnia kell a tulajdonolt rendszer mûködését biztosító informatikai hátteret, az informatikai biztonsági dokumentumokat (kockázatelemzés, RIBSZ, MFT), a rendszer üzemeltetôjét, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetôk tevékenységét. — Gondoskodik a megfelelô és hatékony üzemeltetési, karbantartási mûködés-folytonossági és (tovább) fejlesztési tevékenységek kialakításáról és fenntartásáról. 4.10. Mûködés-folytonosság kezelése Mûködési hibák, különbözô fokozatú rendkívüli állapotok (pl. tartós áramszünet, adatátviteli hálózat sérülése) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkezô hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából fokozott és kiemelt biztonsági osztályba sorolt informatikai rendszerének — annak kiterjedésétôl függetlenül — kötelezô rendelkeznie Mûködés— folytonossági tervvel. Alap biztonsági osztályba sorolt rendszereknél is célszerû ennek elkészítése. A tervezés olyan hibák és jelenségek kezelésére szolgál, amelyek a rendszer mûködése során gyakran elôfordulhatnak a helytelen munkavégzésbôl, figyelmetlenségbôl, vagy a technikai körülmények elônytelen változásaiból, személyek változásából, illetve elháríthatatlan okból. Követelmény, hogy ha a rendszer mûködôképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevôk és szolgáltatások helyreállíthatóak, illetve másik környezetben — akár csökkentett terjedelmû szolgáltatással — újraéleszthetôek legyenek. A katasztrófa súlyosságú mûködés-folytonossági események informatikát érintô kezelésérôl a Társaság katasztrófavédelmi és polgári védelmi feladatainak ellátásáról szóló utasítás Intézkedések informatikai vészhelyzet megelôzésére c. melléklete rendelkezik. (lásd: 16. sz. melléklet ’s’ pont)
19. szám
A MÁV Zrt. Értesítôje
4.10.1. A mûködés-folytonosság menedzselése A mûködés-folytonossági tervezést az üzleti tulajdonos irányítja. Elsô lépésben meg kell határoznia a rendszer azon kiesési idejét (lásd. 5. sz. melléklet), amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása üzletileg még elviselhetô, és aminek leteltével életbe kell léptetni a rendkívüli események kezelésére szolgáló intézkedéseket. Ennek megfelelôen alapvetôen három alappillérre támaszkodik: a) magas színvonalú, jó minôségû technológia és üzemeltetés; b) megfelelô szabályozottság, dokumentáltság és informatikai szervezet; c) az elôre nem látható eseményekre történô elôzetes felkészülés. A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is figyelembe kell venni. A mûködés-folytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerû mûködést (pl. programhiba, hardver meghibásodás, adatátviteli útvonalon történô zavar, tartós szakadás, tûzeset, vízkár). A tervezés az alábbi kulcsfontosságú elemekbôl áll: — fel kell készülni mindazokra a kockázatokra (lásd: kockázatelemzés, maradó kockázat) melyek bekövetkezése reális, és befolyásolja az üzleti folyamatokat, — megfelelô stratégiát kell kidolgozni, hogy a kockázatok minimálisak legyenek, — meg kell állapítani a felelôsségi területeket, a követendô eljárási tematikát, — meg kell határozni a reagálási és a helyreállítási stratégiát, annak idejét, — tervezni kell az oktatást, hogy a mûködtetô személyzet (rendszergazdák, operátorok stb.) maradéktalanul ismerje a teendôket, a szabályozási rendet, — szimulált hibák létrehozásával gyakorolni kell a helyreállítási folyamatot. A felülvizsgálatot a biztonsági osztályok követelményeinél (9. sz. melléklet) elôírt idôszakonként kell végrehajtani., — minden mûködés-folytonossági eseményt dokumentálni kell és e tudásbázis alapján intézkedéseket kell tenni a rendszeresen ismétlôdô hibák megelôzésére, — a terv idôszakonkénti felülvizsgálata, amit a szükségletnek megfelelôen módosítani kell, — ki kell dolgozni a kommunikáció megfelelô szabályait.
1625
— ki kell alakítani a terv szinkronját az üzleti stratégiához, biztosítani kell alkalmazkodását a változó jogi elôírásokhoz, — rögzíteni kell a meglevô és a helyreállításra igénybe vehetô erôforrások térbeli és minôségi helyzetét, — fel kell mérni azokat a környezeti szereplôket, amelyeket valamilyen formában értesíteni, vagy bevonni kell egy rendkívüli helyzet esetén (pl. üzemeltetô szervezet, közvetlen munkahelyi vezetô, üzleti tulajdonos, Társasági rendszergazda, tûzoltóság, rendôrség, katasztrófa-védelem, írott és elektronikus sajtó), — meg kell különböztetni az incidenskezelést a katasztrófahelyzet kezelésétôl, figyelembe véve azonban, hogy a katasztrófa—esemény az üzletmenetet hátrányosan befolyásoló, azt különbözô mértékben érintô tényezôk legdurvább elôfordulási módja ugyan, de csak egy a káros hatású tényezôk sorában, — a kockázatoknak megfelelôen tartalék erôforrásokat kell feltárni, elemezni kell a rendszer külsô beszállítóinak szolgáltatásait, — nagyobb rendszerben asztali modellezéssel különbözô forgatókönyveket kell készíteni a különbözô típusú káresetek megelôzésére, illetve kezelésére, — vizsgálni kell a mûszaki helyreállítás lehetôségeit (az eszközök üzembe történô visszaállítása, tartalék eszközök üzembe helyezése, melegtartalék kezelése, alternatív helyszín igénybe vétele) figyelembe véve a rendszerre vonatkozó kapacitás—igényt, — el kell végezni a tartalék helyszín megfelelôségi vizsgálatát, — tervezni kell a helyreállítási fázisok részfelelôseinek beszámoltatási kötelezettségét, — ki kell alakítani az érintettek listáját, rögzíteni kell elérhetôségüket (cím, telefonszám), és a listát az üzemeltetô személyzet számára könnyen elérhetôvé kell tenni, — mûködési zavarral terhelt környezetben dolgozó (esetleg katasztrófa-helyzetben pánik-közeli állapotba került) munkatársak számára is könnyen érthetô, minél rövidebb terjedelmû, elméleti fejtegetéseket teljes mértékben mellôzô feladatleírást, cselekvési tervet kell kialakíttatni, ami egyértelmûen és kizárólag a végrehajtandó feladatokat tartalmazza, meghatározva azok sorrendjét és felelôseit, — valamennyi részelemnek — függetlenül az üzleti tulajdonos mindenre kiterjedô biztonsági felelôsségétôl — további felelôse kell, hogy legyen, aki felel a felelôsségi körébe tartozó rendszerelemek mûködésének helyreállításáért, annak feladatait ismeri és készség szintjén begyakorolta.
4.10.2. A tervezés keretrendszere 4.10.3. A terv felülvizsgálata és karbantartása A mûködés-folytonossági terv általános tematikáját a 15. sz. melléklet tartalmazza. A dokumentumnak szoros logikai kapcsolatban kell állnia az IBSZ, RIBSZ és Felhasználói kézikönyv dokumentumokkal. A tematikai vázlatot az alábbi tervezési szempontok figyelembe vételével kell alkalmazni:
A Mûködés-folytonossági tervet az üzleti tulajdonos köteles a Biztonsági osztályok követelményei c. (9. sz.) mellékletben leírt idôközönként vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy elôfordulhatnak hibás feltételezések, személyi változások,
1626
A MÁV Zrt. Értesítôje
vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, hanem ismerni kell annak idôbeliségét, hatását és következményeit is. 4.10.4. A rendszerek és a programok zavarainak értékelése A Társaság minden szerverén és munkaállomásán, (amennyiben a mûködtetô szoftver ezt lehetôvé teszi) aktiválni kell a folyamatos rendszer vagy alkalmazás naplózást, az esetleges hibaüzenetek visszakereshetôsége vagy incidensek feltárása érdekében. A hibaüzenetek fontosságát a mûködés-folytonosság fenntartásában a felhasználókkal is tudatosítani kell. Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdonosnak évente elemeznie, értékelnie kell. Az elemzés alapján — szükség esetén — kezdeményeznie kell az információvédelmi vezetônél jelen szabályzat, illetve saját hatáskörében az adott rendszer Mûködés-folytonossági tervének és RIBSZ-ének a korszerûsítését. 4.11. Informatikai biztonsági incidensek és mûködési rendellenességek kezelése Az információbiztonsági incidensek olyan nem kívánt vagy nem várt egyedi vagy sorozatos információbiztonsági események, amelyek nagy valószínûséggel veszélyeztetik az üzleti tevékenységet és fenyegetik az információbiztonságot. Ilyen események lehetnek például: — a szolgáltatás, vagy az eszközök elvesztése; — a rendszer hibás mûködése vagy túlterhelések (pl. DDoS túlterheléses támadás); — emberi hibák; — a szabályzatoknak vagy irányelveknek való nem megfelelés; — a fizikai biztonsági rendelkezések megsértése; — nem ellenôrzött rendszerbeli változások; — a szoftver vagy hardver hibás mûködése; — hozzáférési sértések. — rosszindulatú kód; — a nem teljes vagy nem pontos mûködési adatokból eredô hibák; — a bizalmasság és sértetlenség megsértése; — az információrendszerekkel való visszaélés. Az incidensek lehetnek véletlen események, illetve szándékos károkozás eredményei. Az incidensek vélt forrása mögött sokkal súlyosabb szándék is meghúzódhat (pl. szándékos hacker-támadás, vagy olyan esemény, mely átlépheti a szervezeti határokat). Az incidens kezeléséhez vagy feltárásához a felhasználók önkényesen soha ne kezdjenek hozzá, az a szabályzatban meghatározott szervezetek feladata.
19. szám
Alapvetô cél, hogy az informatikai biztonsági események és zavarok okozta kár minimális legyen, a biztonsági incidenseket folyamatosan nyomon követve, biztosítva legyen a mielôbbi normális üzemre való visszaállás, és a megfelelô intézkedéseket az illetékesek megtegyék. A biztonsági események bekövetkezésére történô felkészülés során a következô lépéseket kell megtenni: a) felkészülés — elôre dokumentált megelôzô intézkedések, eseménykezelési útmutatások és eljárások rögzítése (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges dokumentumok, valamint mûködés-folytonossági tervek elkészítése, b) bejelentési eljárások, módok és felelôsségek meghatározása azzal kapcsolatban, hogy milyen módon és kinek jelentsék az eseményeket, c) értékelési eljárások és felelôsségek meghatározása az események kivizsgálásában és súlyosságuk meghatározásában, d) irányítási eljárások és felelôsségek meghatározása az eseményekkel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felsô vezetés tájékoztatásakor, e) helyreállítási eljárások és felelôsségek rögzítése a normál mûködés helyreállításakor, f) áttekintô vizsgálati eljárások és felelôsségek meghatározása az eseményt követô tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését. 4.11.1. Az informatikai biztonsági események és hibák jelentése Bármely olyan eseményt, amely megsérti a Társaság valamely információs rendszerének, infrastruktúrájának bizalmasságát, sértetlenségét, vagy rendelkezésre állását, a felhasználó köteles haladéktalanul a közvetlen vezetôjének, akadályoztatása esetén az üzemeltetési személyzetnek (pl. Helpdesk, SZIR-FOR felügyelet) jelenteni. Szükség esetén köteles a kármegelôzési, kárelhárítási intézkedéseket érdekében mindent megtenni, az eredményes kivizsgálást elôsegíteni. A szervezeti egység vezetôje jelentését haladéktalanul köteles megtenni az információvédelmi vezetônek és az infokommunikációs biztonsági vezetônek (telefon, e—mail stb.). Az információvédelmi vezetô az eseményt a lehetô legrövidebb idô alatt vizsgálja ki, és amennyiben a felelôsségre vonás szükségessége felmerül, értesítse a biztonsági fôigazgatón keresztül a munkáltatói jogkör gyakorlóját. Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követôen az eseményt elôidézô, az esemény okait és lefolyását feltáró, vagy megismerhetôvé tevô bizonyítékok ne semmisüljenek meg, azok összegyûjthetôk és értékelhetôk maradjanak.
19. szám
A MÁV Zrt. Értesítôje
Mûködési rendellenességek esetén a Társaság informatikai eszközein figyelni kell a rendszerek esetleges hibaüzeneteit, amelynek fontosságát tudatosítani kell a felhasználókkal. Teendôk rendszer-, illetve alkalmazáshiba esetén: a) A képernyôn megjelenô hibaüzenetek mellett, fel kell figyelni a mûködési zavarra utaló egyéb tünetekre is. A rendszer—, vagy jelentôs alkalmazáshibákat soron kívül jelenteni kell. A hibaüzeneteket képernyômentéssel kell megôrizni és a Helpdesk, illetve az alkalmazás adminisztrátor részére mielôbb továbbítani. b) Amennyiben a rendszerhibát vélhetôen külsô, illetéktelen beavatkozás, vagy vírustámadás okozta, gondoskodni kell az érintett munkaállomás, hálózatról történô leválasztásáról, egyúttal a Helpdesk értesítésérôl. Ilyen esetekben a hordozható adattárolókat az illetékes informatikai munkatársnak vizsgálat céljára át kell adni. c) A meghibásodott informatikai eszközben használt adathordozók kizárólag a biztonsági ellenôrzést követôen használhatók más berendezésekben. d) Az események biztonságos kezelése érdekében gondoskodni kell az eseményt elôidézô, annak okait és lefolyását megismerhetôvé tevô bizonyítékok megsemmisülésének megakadályozásáról. e) A Helpdesk az incidens súlyának mérlegelése alapján tájékoztatja az infokommunikációs biztonsági vezetôt, valamint az információvédelmi vezetôt. f) A Társaság informatikai rendszereinek mûködési zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetôjének. 4.11.2. Az informatikai biztonsági incidensek értékelése Az informatikai biztonsági eseményeket típus, terjedelem, az általuk okozott károk, helyreállítási költségek, a feljogosítási és monitorozási rendszer mûködési zavara alapján értékelni kell. Az elemzés alapján — szükség esetén — kezdeményezni kell azok kivizsgálását, a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerûsítését. A Biztonsági fôigazgatóság Információvédelem szervezete saját észlelés, vagy a Helpdesktôl kapott tájékoztatás alapján, az információvédelmi vezetô döntésének megfelelôen kivizsgálja az informatikai biztonsági incidenseket, errôl jelentést készít, amelyben feltárja az incidens bekövetkezésének körülményeit, felelôseit és javaslatokat fogalmaz meg a személyi felelôsség megállapítására vonatkozóan, valamint a jövôbeni ismételôdés elkerülése érdekében bevezetendô szabályokra. A vizsgálattal összefüggésben jogosult a MÁV Csoport bármely tagvállalatától információt kérni, továbbá bármely a MÁV Zrt. adatait kezelô informatikai eszközt vizsgálat alá vonni és ezen eszközöket tartalmazó informatikai helyiségbe belépni.
1627
A tényfeltáró vizsgálat lefolytatása során feltárt vétkes kötelezettségszegés esetén, az egyedi esetekben hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedés érdekében, kellô mennyiségû és minôségû bizonyítékot szükséges összegyûjteni ahhoz, hogy a hátrányos jogkövetkezmények és más munkajogi intézkedések alkalmazására sor kerülhessen. Amennyiben az informatikai biztonsági incidens vizsgálata büntetôjogi felelôsséget is felvet, intézkedni kell a bizonyítékok hatósági eljárásban bizonyítékként felhasználható módon történô begyûjtésére és megôrzésére, a nyomozó hatóság részére történô átadás érdekében. 4.12. Megfelelés a jogszabályoknak 4.12.1. A jogszabályi elôírások betartása Az Informatikai Biztonsági Szabályzat alkalmazása során bevezetett védelmi intézkedések nem ütközhetnek büntetôjogi vagy polgári jogi szabályozásba, nem eredményezhetik a Társaság törvényes, szabályozói vagy szerzôdéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhetôek, illetve valósíthatóak meg, amelyek a jogszabályi és egyéb elôírásoknak megfelelôen biztosítják az informatikai infrastruktúra védelmét. A szabályzat kialakításánál a 16. sz. mellékletben felsorolt jogforrások és elôírások normái voltak irányadók, amelyekre az informatikai biztonság irányítása és megvalósítása során az abban részt vevôknek kiemelt figyelmet kell fordítaniuk. Az informatikai rendszerekkel kezelt és feldolgozott − a minôsített adat védelmérôl szóló törvény hatálya alá tartozó adatok védelmében a Társaság biztonsági vezetôje, az üzleti titoknak minôsülô adatok tekintetében az információvédelmi vezetô jár el a vonatkozó jogszabályok és szabályzatok szerint, − a személyes adatok védelmét a Társaság belsô adatvédelmi felelôse a Társaság Adatvédelmi szabályzata szerint látja el. 4.12.2. Az informatikai biztonság megfelelôségi felülvizsgálata A Társaság informatikai biztonsági szintjét folyamatosan és célirányosan ellenôrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel—e a szabványoknak és jogszabályi elôírásoknak, az informatikai biztonság megvalósítását végzô személyektôl, szervezeti egységektôl független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg: a) az Információvédelem szervezet szaktevékenysége részeként rutinszerûen ellenôrzi a rendszereket, fel-
1628
A MÁV Zrt. Értesítôje
19. szám
ügyeli a rendszerek biztonságának megvalósításában feladattal megbízott, a 4.2.2. és 4.2.3. fejezetekben felsorolt szervezeti egységeknek és személyeknek a rendszerbe jelen szabályzattal beépített biztonsági mechanizmusaival kapcsolatos tevékenységét, b) belsô ellenôrzés, illetve minôségbiztosítási rendszer keretében — saját hatáskörben kidolgozott eljárásrend szerint — esetenként, de rendszeresen (az egyes szakterületek tevékenységének vizsgálata során) belsô auditálás formájában, komplexen ellenôrzi és értékeli az informatikai biztonság helyzetét, beleértve az információvédelmi vezetô a) pontban leírt felügyeleti tevékenységét is, c) a Társaságon kívüli, független szakértôk megbízásával külsô auditálást kell végeztetni a fokozott, illetve a kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelôzôen, majd 2 évenként rendszeresen.
6.0 HATÁLYBA LÉPTETÉS
Amennyiben külsô cég végez auditálást (vagy felmérést, ellenôrzést) a Társaság informatikai eszközparkján csak olyan mértékben vizsgálódhat, amely semmilyen formában nem sérti a Társaság érdekeit, kivéve, ha erre törvényi vagy szerzôdéses jogviszony ôt feljogosítja.
6.sz. melléklet 7.sz. melléklet
4.13. Eljárás nem szabályozott esetekre
9.sz. melléklet 10.sz. melléklet
Az üzleti tulajdonosok, projektvezetôk és a munkáltatói jogkört gyakorló vezetôk kezdeményezhetik az információvédelmi vezetônél az IBSZ által nem szabályozott esetekben állásfoglalás meghozatalát. Az információvédelmi vezetô szükség szerint az infokommunikációs biztonsági vezetô, a PVÜF Távközlési osztály, illetve egyéb érintett szakterület bevonásával, az érvényes jogszabályok, szabványok, ajánlások, továbbá az aktuális informatikai fejlettségi szint ismeretében javaslatot tesz a Biztonsági fôigazgató számára, aki saját hatáskörben döntést hoz, vagy ha az eset körülményeibôl más következik, akkor elnök—vezérigazgató elé terjeszti döntés meghozatalára.
Jelen szabályzat a közzétételt követô napon lép hatályba és visszavonásáig érvényes. 7.0 MELLÉKLETEK 1.sz. melléklet 2.sz. melléklet 3.sz. melléklet 4.sz. melléklet 5/A.sz. melléklet 5/B.sz. melléklet
8.sz. melléklet
11.sz. melléklet 12.sz. melléklet 13.sz. melléklet 14.sz. melléklet 15.sz. melléklet 16.sz. melléklet 17.sz. melléklet
5.0 HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK Jelen utasítás kiadásával hatályát veszti: — 12/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök— vezérigazgatói utasítás a MÁV Zrt. informatikai biztonsági szabályzatáról.
Felhasználók biztonsági kötelezettségei Információvédelmi nyilatkozat Informatikai beszállító biztonsági minôsítési rendszere Informatikai fejlesztés biztonsági feladatai és dokumentumai Nyilatkozat az informatikai rendszer rendelkezésre állási igényérôl Megbízhatósági követelmény jellemzôk (kitöltési útmutató az 5/A. sz. melléklethez) Kockázatelemzés lépései A MÁV Zrt.-nél alkalmazandó kárérték, kárgyakoriság és kockázati mátrix értékei Fizikai biztonságra vonatkozó elvárások Biztonsági osztályok követelményei Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról Rendszerszintû Informatikai Biztonsági Szabályzat (RIBSZ) vázlata Ellenôrzô lista számítógépek biztonsági megfelelôségéhez Biztonsági tesztelési jegyzôkönyv Selejtezési jegyzôkönyv minta Mûködés-Folytonossági Terv (MFT) vázlata Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások Az IBSZ-ben található rövidítések jegyzéke
Dávid Ilona sk. elnök-vezérigazgató
19. szám
A MÁV Zrt. Értesítôje
1629
1. sz. melléklet Felhasználók biztonsági kötelezettségei Jelen dokumentum célja, hogy biztosítsa minden felhasználó számára azokat a legfontosabb információkat, amelyek ismeretében a MÁV Zrt. (továbbiakban Társaság) informatikai infrastruktúrája eredményesen, hatékonyan, és biztonságosan használható. Az Informatikai Biztonsági Szabályzat (IBSZ) szerint a Társaságnak azon munkavállalója, aki munkája ellátásához informatikai eszközt használ (a továbbiakban felhasználó) köteles az itt felsorolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közremûködni. Bevezetés
A Társaság rohamosan növekvô mértékben alkalmaz informatikai rendszereket az üzleti tevékenységével összefüggô nyilvántartási, adatfeldolgozási feladatokra, de belsô és külsô elektronikus kommunikációra is. A rendszerek a velük végzett napi munka során különbözô biztonsági fenyegetéseknek vannak kitéve, amelyeket fel kell ismerni. Ellenük a Társaság védelmi rendszert mûködtet. Informatikai biztonsági szempontból elsôsorban az adatok és feldolgozórendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának megôrzése a fô feladat. Bizalmasság: A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáférhetô. Sértetlenség: A sértetlenség védelme arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándékozott és a jogosultságnak megfelelô módon és mértékben változzanak. Rendelkezésre állás: A rendelkezésre állás biztosítása pedig azt célozza, hogy az adatok és informatikai szolgáltatások az elôre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára mindig hozzáférhetôek legyenek. Az informatikai eszközök és rendszerek folyamatos mûködôképessége és ennek során a biztonsági követelmények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni. 1. Biztonsági ismeretek, felelôsségtudat A Társaság munkavállalói, mint felhasználók, felelôsséggel tartoznak az általuk használt informatikai eszközök (pl. számítógép, okostelefon), továbbá az ezeken mûködô programok biztonságának megôrzéséért. Kötelesek a használatra vonatkozó biztonsági szabályokat (jelen dokumentumot, a használt rendszer üzleti tulajdonosa által elrendelt ismertetôket, felhasználói vagy üzemeltetôi kézikönyveket stb.) megismerni, azokat a tevékenységüknek megfelelô esetekben alkalmazni és ennek során a tôlük elvárható gondossággal ellenôrizni az alkalmazott biztonsági funkciók helyes mûködését. 2. Egyéni felelôsség a) A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. b) A munkavégzés során keletkezett adatokat a munkáltatói jogkörgyakorló a munkafeladatok ellátásával összefüggésben, továbbá biztonsági szempontból az adatokon kívül, a létrejött naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei ellenôrizhetik. c) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhasználói azonosítókhoz tartozó jelszavakat, továbbá kötelesek betartani a jelszóválasztási és változtatási szabályokat. d) A felhasználók kötelesek mindent megtenni annak érdekében, hogy mások a nevükben illetéktelenül ne tevékenykedhessenek, továbbá más nevében nem léphetnek be a rendszerbe. e) Végfelhasználói alkalmazások (legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Exceltáblák, makró-programok, SQL lekérdezések, egyéni adatbázisok) nem tekinthetôk informatikai alkalmazásnak. Az ezekkel elôállított adatok, eredmények stb. megbízhatóságának ellenôrzése a felhasználó saját felelôssége. f) Minden esetben követeljék meg az üzemeltetô személyzet azonosítását (pl. helyszíni kiszállás esetén megbízólevéllel és arcképes igazolvánnyal, illetve az üzemeltetô szervezet által kibocsátott arcképes munkavállalói igazolvánnyal). A felhasználók — engedélyük megadását követôen — kísérjék figyelemmel a PC munkaállomásukat érintô üzemeltetési, (táv)karbantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök mûködésében váratlan változást tapasztalnak, tájékoztassák az üzemeltetô szervezetet és a közvetlen vezetôjüket.
1630
A MÁV Zrt. Értesítôje
19. szám
g) A felhasználók a jelszavuk által aktivált eszközüket rövid idôre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból és kötelesek aktivizálni az informatikai eszköz jelszavas védelemmel ellátott képernyôvédô funkcióját (a Windows+L billentyû egyidejû lenyomásával), ha munkahelyüket — akár rövid idôre is — elhagyják, vagy egyéb módon gondoskodjanak a számítógép mások általi használatának megakadályozásáról (pl. a helyiség bezárása). 3. Felhasználói jogosultság a) A felhasználók a részükre meghatározott munka elvégzéséhez szükséges mértékû hozzáférést kapnak az informatikai rendszerekhez „a szükséges minimális jogosultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelôen. b) A felhasználók kötelesek a vezetôjük által engedélyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funkciók, adatok elérésére, amelyekre nincsenek feljogosítva. c) A felhasználók kizárólag technológiailag indokolt esetben, az adott munkafeladat végrehajtásának idejére, illetve idôszakára — legfeljebb 1 évre — kaphatnak rendszergazdai jogosultságot. Az idôtartam leteltét követôen az igényt újra be kell nyújtani, amelynek hiányában a jogosultságot vissza kell vonni. 4. Jelszavak használata A jelszavak védelme érdekében a felhasználónak a következô szabályokat kell betartania: a) A felhasználónak tudatában kell lennie, hogy mindazon mûveleteket, melyeket az ô azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ô „terhére” könyveli el. Ezért a jelszavait kellô körültekintéssel kell kezelnie, azokat más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja, köteles azok titkosságát megôrizni. A felsoroltakért személyesen felelôs. b) A jelszó házirend (hossz, bonyolultság, cserélés periódusa stb.) rendszerenként változhat, de alapszabály, hogy a jelszó nem egyezhet meg a felhasználói azonosítóval. c) A jelszó kívülálló számára ne legyen egyszerûen kitalálható, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra stb. utaló információkat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét), és összefüggô szövegként ne legyen olvasható. d) A felhasználónak törekednie kell arra, hogy ne adjon meg a hálózati bejelentkezésére használt jelszóval megegyezô jelszót az általa használt informatikai rendszerekben. e) A jelszavakat — a biztonsági másolat kivételével — nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban, a közvetlen vezetônél történô, biztonságos tárolásáról. f) Amennyiben a felhasználó megtudja, vagy azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie és a felmerülô biztonsági kockázat lehetôségérôl tájékoztatni kell az információvédelmi vezetôt. g) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót. h) A felhasználó a részére generált elsô jelszót, a legelsô bejelentkezése alkalmával köteles módosítani. 5. Társaság eszközeinek használata a) A felhasználók — eltérô írásbeli megállapodás hiányában — nem jogosultak a Társaság infokommunikációs erôforrásai — az informatikai alkalmazások (szoftvertermékek, szolgáltatások) az infokommunikációs eszközök (munkaállomás, laptop, okostelefon, perifériák stb.), a belsô hálózat, az internet, továbbá az adathordozók (mágneslemez, CD/DVD stb.) — személyes célú használatára. b) Az infokommunikációs erôforrásokhoz való hozzáférés és azok használata kizárólag megfelelôen azonosított, hitelesített és jogosított felhasználók számára engedélyezett. c) A Társaságnál csak a hivatalos csatornákon keresztül beszerzett, elfogadott és installált PC hardver (pl. szkenner, digitális fényképezôgép) és szoftver, illetve adathordozó (pl. CD/DVD, Pen-drive) használható. A felhasználónak tiltott, hogy saját eszközökkel csatlakozzon a Társaság informatikai eszközeihez, hálózatához. Munkavégzés érdekében, rendkívül indokolt esetben az üzleti tulajdonos az információvédelmi vezetô biztonsági véleményének beszerzését követôen engedélyezheti. d) A Társaság munkaállomásainak karbantartását (pl. hardver, szoftver telepítés) és estleges átalakítását szerzôdésben megbízott üzemeltetô szervezetre kell hagyni. e) Olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott védelmi eljárásokat vagy ellenôrzéseket, tilos az informatikai eszközökre telepíteni.
19. szám
A MÁV Zrt. Értesítôje
1631
f) Társaságon kívüli adathordozó (pl. külsô fél bemutatója) csak abban az esetben használható Társasági informatikai eszközön, ha az nincs a hálózatra kötve és az eszközön mûködik folyamatosan frissített víruskeresô szoftver. g) A munkaviszony megszûnése, a munkakör megváltozása, vagy más, a munkahelyi vezetôje által támasztott igény esetén a felhasználónak minden eszközt és információs erôforrást, vissza kell szolgáltatnia, az általa használt informatikai eszközön tárolt személyes adatait törölnie kell. A számítógépen csak azok az adatállományok maradhatnak, melyek a munkakört a továbbiakban betöltô másik személy munkavégzéséhez szükségesek. 6. Az adatok bizalmassága a) A felhasználó felelôs a rendszerek használata során tudomására jutott védendô információnak minôsülô adatok tôle elvárható védelméért, a nem nyilvános adatok és a személyes adatok megôrzéséért. b) Védendô információnak minôsülô adatok külsô tárolóra másolása csak az erre vonatkozó, kifejezetten megengedô szabályok szerint történhet. Az ilyen információt tartalmazó eszközt használaton kívül az IBSZ elôírásai szerint kell tárolni. c) A felhasználók senki elôtt nem fedhetik fel az védendô információnak minôsülô információt, kivéve, ha az arra jogosult engedélyezi. Ebbe beletartoznak a Társaságra, valamint ügyfeleire, informatikai rendszerére és szoftverfejlesztésére, termékeire és szoftverlicenceire vonatkozó technikai és védendô információk. d) Az informatikai biztonsági intézkedéseket és a Társaság egyes rendszereire vonatkozó belsô szabályait oly módon kell kezelni, amely megakadályozza azt, hogy illetéktelen személy számára hozzáférhetôvé váljon. e) Védendô információnak minôsülô adatokat tartalmazó információkat külsô félnek elektronikus úton kizárólag a Társaság erre vonatkozó szabályzatában leírt módon szabad küldeni. f) A felhasználók a védendô információk biztonsága érdekében kötelesek külön intézkedéseket alkalmazni a kapott lehetôségeken belül, vagy külön intézkedéseket kérni (pl. titkosított pendrive az ilyen fájlok tárolására, üzenetek titkosítása, a könyvtárak és fájlok külön jelszavas védelme). g) A felhasználó az általa használt digitális adathordozókról (pl. merevlemez, CD/DVD) az adatokat újrafelhasználás vagy selejtezés elôtt a szokásos eszközökkel, helyreállíthatatlan módon — az üzemeltetô szervezettel — le kell töröltetnie. A védendô információt tartalmazó adathordozókat selejtezés elôtt fizikailag meg kell semmisíteni, vagy más módon lehetetlenné tenni az adatok visszaállíthatóságát. h) A védendô információt tartalmazó kinyomtatott papírokat az iratkezelési szabályok szerint kell kezelni. i) A felhasználó tudomásul veszi, hogy az adatszivárgás megelôzését a mûszaki lehetôségek megléte esetén a Társaság technikai megvalósítással is elôsegíti, amely megakadályozza, korlátozza, illetve jelzi a védendô adatok kijutását az informatikai hálózatból. 7. Adatok biztonsági mentése a) A felhasználók az adatbiztonság megôrzése érdekében központi helyet (pl. Sharepoint, fájlszerver) használjanak adataik tárolására, továbbá anyagaikat rendszeresen vizsgálják felül és a nem szükséges információkat töröljék a könyvtáraikból. b) Amennyiben nem áll rendelkezésre központi tárhely az adatok tárolására, felhasználó felelôssége az általa használt adatok rendelkezésre állásának biztosítása (pl. rendszeres mentése). c) Az engedéllyel helyben, különféle titkosított hordozható adattárolókon található adatok csak másolatok lehetnek, az eredeti adatoknak mindig egy központi tárhelyen, vagy a munkaállomáson kell rendelkezésre állniuk. d) Az informatikai rendszerek rendelkezésre állásában minden felhasználó érdekelt. Az informatikai rendszer mûködésképtelensége esetén minden felhasználó felelôsséggel tartozik a szolgáltatások helyreállításának támogatásáért. 8. Vírusok elleni védelem a) Az installált vírusvédelmet, illetve ezek frissítését tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani. b) Vírusfertôzést vagy annak gyanúját (pl. a munkaállomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjelenése) haladéktalanul jelenteni kell az üzemeltetô szervezetnek (HelpDesk-nek). 9. Szoftver tulajdonjog A felhasználók:
1632
A MÁV Zrt. Értesítôje
19. szám
— a munkaköri leírásban engedélyezett feladatukon túlmenôen nem installálhatnak, nem fejleszthetnek, nem karbantarthatnak, vagy nem tölthetnek le szoftvert (beleértve az ún. szabad-felhasználású, freeware, shareware stb. programokat is) a Társaság munkaállomásaira, — a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történô használat céljából, — ha kétségeik merülnek fel a szoftver szerzôi jogai felôl, akkor lépjenek kapcsolatba az IT terület szoftver licencnyilvántartásáért és installációjáért felelôs munkatársával, A szerzôi jogok megsértése törvénybe ütközô cselekmény, ezért felelôsségre vonáshoz vezethet és a felhasználó elleni büntetôeljárás megindítását eredményezheti. 10. Informatikai eszközök fizikai védelme a) A felhasználóknak szállítás közben a lehetôségei határain belül személyesen kell vigyázniuk hordozható informatikai eszközeikre (pl.: notebook, okostelefon). b) Meg kell óvniuk a hordozható adattároló eszközök (CD/DVD-k, pendrive, HDD-k stb.) fizikai állapotát, gondoskodniuk kell az eltulajdonítás megakadályozásáról (pl. használaton kívül, illetve irodán kívül zárható íróasztalban vagy szekrényben kell tartani). c) Az eszközöket védeni kell a fizikai és környezeti hatásokkal szemben. (magas vagy alacsony hômérséklet, folyadék stb.) 11. Területvédelem A felhasználók kötelesek távol tartani az informatikai eszközeiktôl, valamint írott és nyomtatott dokumentumaiktól az oda hozzáférési jogosultsággal nem rendelkezô személyeket, és közvetlen munkakörnyezetükben kötelesek kérdôre vonni az idegeneket. 12. Informatikai eszközön távolról végzett munka Ebben az esetben a felhasználó (jellemzôen VPN-en keresztül) úgy éri el a megszokott munkakörnyezetét valamely külsô helyrôl (pl. otthonról), mint ha ezt az irodájából tenné, ezért az alábbiak betartása szükséges: a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelôsségre, feltételekre, követelményekre és a munkavégzés engedélyezési idôszakára. Távoli munkavégzéshez a közvetlen vezetônek és az alkalmazás üzleti tulajdonosának írásos hozzájárulása szükséges. b) Ha a Társaság távoli hozzáférés létesítésére engedélyt ad, fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, a hívások adatait, és szúrópróba szerinti ellenôrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó elôírásoknak. c) A kiosztott VPN hozzáféréseket a lehetô legrövidebb idôre, de legfeljebb 1 évre lehet kiadni, amelynek lejáratakor az igényt újra felül kell vizsgálni. d) Távolról végzett munka esetén a védendô információnak minôsülô adatokat illetéktelen hozzáférés ellen kódolással kell védeni a tárolás és a továbbítás során. e) Külön engedély birtokában használható VPN csatlakozás a Társaság belsô hálózatáról. 13. Internet-használat a) Az internetre csatlakozás a Társaság belsô hálózatára csatlakozó munkaállomásról kizárólag a kialakított tûzfalas védelmi rendszeren keresztül engedélyezett. b) A Társaság hozzáférési pontjairól a felhasználó részére az internetre kapcsolódás lehetôségének kialakítását és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetônek kell jóváhagynia. c) Az internetrôl csak olyan állományok tölthetôk le, amelyek a munkavégzéshez feltétlenül szükségesek. d) A Társaság fenntartja magának a jogot a nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására (tartalomszûrés). e) A Társaság fenntartja magának a jogot az internetes tevékenység monitorozására, kontrolljára, szükség esetén korlátozások bevezetésére. f) A potenciális rosszindulatú kódokat tartalmazó weboldalak és szolgáltatások szûrésére a Társaság megfelelô eljárást alkalmaz. E körbe tartoznak többek között a fórumok, blogok, chat-oldalak, file- és videó-megosztók, közösségi portálok, a jó ízlést sértô, pornográfiát vagy szélsôséges, illetve indokolatlan erôszakot tartalmazó oldalak, továbbá on-line játékok, TV-k és rádiók. Kizárólag a munkával összefüggésben engedélyezhetô ezek használata.
19. szám
A MÁV Zrt. Értesítôje
1633
14. Elektronikus levelezés Az elektronikus üzenetváltás (e-mail) a Társaság hivatalos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a munka hatékonyságának növekedését szolgálja. A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleértve, de nem kizárólag, az alábbiakat: a) Védendô információnak minôsülô adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illetve továbbítani. b) Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó fokozott elektronikus aláírással hitelesíti magát. c) Az elektronikus üzenet üzleti kommunikációra szolgál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezôrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság minden jogot fenntart magának az email cím és a hozzá rendelt postafiók tartalmával kapcsolatban, így különösen arról másolatot, mentést készíteni, ellenôrizni, monitorozni, letörölni, megosztani más munkavállalókkal, nyilvánosságra hozni. d) Tilos a Társaság levelezôrendszerébôl a bejövô üzenetek automatikus továbbítása bármilyen külsô e-mail cím(ek)re. A szabadság, hosszabb távollét stb. esetére beállítható automatikus válaszban (ha szükséges) helyettest kell megjelölni. A válasz alapján a küldô felelôssége eldönteni, hogy a helyettesnek megküldi-e a kérdéses üzenetet. e) Társaságon kívüli címre küldendô levél mérete ne haladja meg a 10 Mbyte-os méretet. f) A levelezô rendszerben egyidejûleg maximálisan 100 címzett számára engedélyezett üzenet küldése, amely alól az információvédelmi vezetô adhat felmentést. g) Tilos lánc- vagy kéretlen elektronikus leveleket másoknak továbbítani, azokra válaszolni, mivel a csatolt anyagokban könnyen terjedhetnek rosszindulatú kódok. Aki ilyet kap, az köteles az üzenetet — lehetôleg elolvasás, és továbbküldés nélkül — törölni, illetve az információvédelmi vezetôt értesíteni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására. h) A felhasználó elektronikus leveleinek archiválása és karbantartása (az idôszerûtlen és szükségtelen üzenetek törlése) a levelesláda tulajdonosának feladata és felelôssége. i) A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezôrendszerbeli azonosítóját és jelszavát. Indokolt esetben ideiglenes olvasási jogot adhat másoknak a saját email fiókjához a megfelelô eljárás szerint, de ezt az indok megszûnésekor azonnal vissza kell vonnia. j) A Társaságtól való távozás vagy áthelyezés esetén — a munkakör átadási folyamat részeként — indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldésérôl, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint az adott feladatot a továbbiakban ellátó felhasználó elérhetôségét. k) A küldônek ellenôriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illetô személy jogosult az információ kézhez vételére. l) A közvetlen vezetônek — és közvetlenül az információvédelmi vezetô részére is — jelenteni kell minden gyalázkodó, rasszista vagy kéretlen elektronikus levél érkezését. m) A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne legyen túl formális vagy feleslegesen közlékeny. A küldendô levelet — az elôzmények figyelembe vételével — csak a szükséges minimális címzettek részére kell megküldeni. Kerülendô olyan üzenet küldése, amely zavarba ejtô lenne, ha valaki körbeküldené az egész szervezetnek. n) A levelek továbbküldése vagy válaszadás során minden esetben egyedileg kell mérlegelni a címzettek körét és a benne foglalt, vagy a mellékletként csatolt információk tartalmát, annak érdekében, hogy azok illetéktelen felhasználók kezébe indokolatlanul ne kerüljenek. o) A felhasználók — a munkavégzéssel való összefüggés esetét kivéve — nem adhatják ki munkatársaik e-mail címét, különösen nem a teljes címlistát. p) Ismeretlen helyrôl vagy személytôl származó levelek érkezése estén, fokozott elôvigyázatosságot kell tanúsítani. Amennyiben feltételezhetô, hogy kéretlen levélrôl van szó, abban az esetben tilos azt megnyitni. Ha a levél megnyitását követôen észlelhetô a levél kéretlen jellege, tilos a hivatkozásokat, illetve a hozzá csatolt mellékleteit megnyitni vagy elmenteni. Ezeket a leveleket a felhasználó köteles olvasatlanul, azonnal törölni. q) Magáncélra kialakított (pl., Gmail, Freemail, Citromail) postafiók használata a Társaság hálózatába kapcsolt munkaállomásról nem megengedett. r) Tilos az elektronikus üzenetek — rendszeres, illetve automatikus — átirányítása vagy másolat küldése a Társaságon kívüli e-mail címekre. A Társaság levelezôrendszere — az arra feljogosított felhasználók számára — az interneten keresztül bárhonnan elérhetô, amely használata során be kell tartani az Outlook Web Access (OWA) Felhasználói kézikönyvében leírt biztonsági szabályokat.
1634
A MÁV Zrt. Értesítôje
19. szám
15. Az információbiztonsági események és gyenge pontok jelentése a) A felhasználók kötelesek közvetlen vezetôiknek, valamint a HelpDesk részére haladéktalanul jelenteni a biztonsági elôírások megsértését, továbbá a biztonsággal kapcsolatban felismert eseményeket, gyengeségeket. b) Sürgôs vagy indokolt esetben (pl. több gép egyidejû kiesése, infokommunikációs eszközök nyilvánvaló fizikai sérülése, rendszergazda szokatlan tevékenysége) közvetlenül az információvédelmi vezetôhöz, vagy az infokommunikációs biztonsági vezetôhöz lehet fordulni. 16. Elérhetôségek A tájékoztatóban felsorolt biztonsági szabályokra vonatkozó kérdésekben az alábbi szakértôk állnak rendelkezésre. Információvédelmi vezetô: Tel.: 32-66, e-mail:
[email protected] Infokommunikációs biztonsági vezetô: Tel.: 91-78, e-mail:
[email protected] HelpDesk: Tel.: 40-00, e-mail:
[email protected]
19. szám
A MÁV Zrt. Értesítôje
1635
2. sz. melléklet Információvédelmi nyilatkozat
Alulírott ………………………………………………………………………………… (név nyomtatott betûvel) törzsszám: ………………………………… (8 karakter) vagy születési helye: …………………………………… születési ideje: ……………… év ………………… hó ………………… nap, anyja neve: ……………………… az alábbi nyilatkozatokat teszem: I. Informatikai biztonság 1. Kijelentem, hogy a MÁV Zrt. (a továbbiakban: Társaság) informatikai eszközeinek és számítógépes programjainak használatára vonatkozó biztonsági szabályokat a nyilatkozattétellel egyidejûleg átvett, az Informatikai Biztonsági Szabályzat mellékletét képezô Felhasználók biztonsági kötelezettségei c. dokumentum alapján megismertem. 2. Tudomásul veszem, hogy a MÁV Zrt. tulajdonát képezô, munkaköröm ellátásához átadott informatikai eszközöket, szolgáltatásokat a munkámmal összefüggô feladatok ellátására használhatom, ezek magáncélú felhasználása — külön engedély nélkül — nem megengedett. A munkáltatói jogkörgyakorló a munkafeladataim ellátása során keletkezett adatokat felhasználhatja, megismerheti, az eszközök rendeltetésszerû használatát ellenôrizheti. Az eszközhasználat önmagában megteremti annak jogalapját, hogy az abban rögzített adatokat a munkáltató, a jogszabályi elôírásoknak és jelen szabályzatnak megfelelôen felhasználja, és az informatikai eszköz használatát ellenôrizze. 3. A Társaság információvédelmi szakemberei, ezeken túlmenôen, a naplóállomány bejegyzéseket, az informatikai biztonsági incidensek megelôzése, körülményeinek feltárása, illetve a Társaság védendô adatainak megôrzése érdekében ellenôrizhetik. 4. Tudomásul veszem, hogy az informatikai erôforrások (hardverek, szoftverek) és adatok nem elôírásszerû használatával és a rendszerek védelmét biztosító technikai intézkedések kijátszásával elkövetett cselekményekért munkajogi, a Büntetô Törvénykönyvbe ütközô jogsértô magatartás esetén pedig büntetôjogi felelôsséggel tartozom. II. Védendô információk kezelése (Tájékoztatásul, a hatályos szöveg az üzleti titok kezelésének szabályozásáról szóló utasítás mellékletében kerül kihirdetésre, amelyet megelôzôen jelen szöveget kell alkalmazni.) 1. Kijelentem, hogy a Társaság üzleti titkát, a know-how-t, a személyes adatot, a nem nyilvánossá, vagy belsô használatúvá nyilvánított adatot, a döntés megalapozását szolgáló adatot, a döntés-elôkészítô dokumentumot, továbbá a munkaköröm betöltésével összefüggésben tudomásomra jutott egyéb olyan információt (védendô információ), amelynek közlése a Társaság, vagy más számára hátrányos, nem hozom illetéktelen személy tudomására, illetve nyilvánosságra. 2. Tudomásul veszem, hogy a rendelkezésemre bocsátott adathordozók (papír, CD stb.) tartalmát a munkámon kívül más célra nem használhatom fel. A védendô információt tartalmazó adathordozókról, a munkáltatói jogkör gyakorló, vagy felhatalmazottja engedélye nélkül másolatot, illetve kivonatot nem készíthetek, ezek tartalmának rögzítésére semmiféle technikai vagy más eszközt nem alkalmazhatok. 3. Tisztában vagyok azzal, hogy a titokvédelmi szabályok betartásáért munkajogi, polgári jogi, illetve büntetôjogi felelôsséggel tartozom. III. Adatvédelem (Tájékoztatásul, a hatályos szöveg az adatvédelmi és adatbiztonsági szabályzat mellékletében található.) Tudomásul veszem, hogy 1. a Társaság a kifejezetten munkakörömhöz kapcsolódó feladatok elvégzésére informatikai eszközöket (számítógépet, okostelefont stb.), valamint informatikai szolgáltatásokhoz (pl. elektronikus levelezési postafiók, belsô hálózati tárhely, alkalmazás, internet, VPN) hozzáférést biztosíthat. Ezen eszközökön, illetve a szolgáltatások igénybevétele során végzett tevékenységet a Társaság a Munka Törvénykönyve 2012. évi I. törvény 11. § (1) bek. alapján informatikai biztonsági okokból naplózza és a rendelkezésre álló biztonsági rendszerekkel ellenôr-
1636
A MÁV Zrt. Értesítôje
19. szám
zi. Az e-mail postafiók védelmét spamszûrô, az internet használat során látogatott weboldalak tartalmát pedig központilag szabályozott tartalomszûrô rendszer ellenôrzi, illetve korlátozza. A telefonhívások forgalmi adatai esetében naplózásra kerül a hívás idôpontja, a hívott fél telefonszáma, az internet esetében a meglátogatott weboldal címe, az elektronikus levelezô rendszer használata során az e-mail címzettjének címe stb. Az informatikai szolgáltatások adatkezelésére vonatkozó részletes információkat az egyes adatkezelési szabályzatok, illetve tájékoztatók tartalmazzák. A naplózott adatokat a rendszerek általában egy évig tárolják. 2. a Társaságnál informatikai eszköz felügyeleti, valamint adatszivárgás megelôzô rendszer mûködik, amely érzékeli a védendô információt tartalmazó adattovábbítást az informatikai hálózaton, illetve a személyi számítógépen egyaránt. A rendszer a bizalmas adatokat tartalmazó levélküldésrôl, le- és feltöltésekrôl, USB-re másolásról, illetve egyéb kommunikációról naplóbejegyzést készít. A rendszer teljesen automatizált módon vizsgálja át a forgalmat, védendô adatokat keresve. Amennyiben a továbbított információ ilyen adatot nem tartalmaz, az nem kerül sem megjelenítésre, sem tárolásra a rendszerben. 3. az eszközök, illetve szolgáltatások használatának szabályait az Informatikai Biztonsági Szabályzat, a naplóállományok kezelését, valamint az adatkezeléssel kapcsolatos tájékoztatás-kérési, helyesbítési és törlés-kezdeményezési, valamint tiltakozási jogot az Adatvédelmi és adatbiztonsági szabályzat tartalmazza. 4. nem elôírásszerû használat esetén az eszközök, szolgáltatások használati joga megvonásra kerülhet, valamint, hogy a biztonság szándékos megkerülése tényfeltáró vizsgálatot, illetve hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést vonhat maga után. 5. személyiségi jogaim megsértése esetén az adatkezelôvel szemben bírósághoz fordulhatok, illetve kezdeményezhetem a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárását.
Kelt: ………………………………….……., 201……
…………………………
………………………………..
aláírás
19. szám
A MÁV Zrt. Értesítôje
1637
3. sz. melléklet Informatikai beszállító biztonsági minôsítési rendszere A vizsgálandó területek és az adható pontok táblázata: Vizsgálandó területek: 1. 2.
Adható maximális pontszám. 10 10
4. 5. 6. 7. 8. 9. 10. 11.
irányítási rendszerek (ISO/IEC 27001, 9001) megléte biztonsági referenciák (megvalósított, sikeres biztonsági projektek) belsô biztonsági szervezet megléte, létszámának megoszlása a teljes létszámhoz képest Informatikai Biztonsági Politikával rendelkezik-e Informatikai Biztonsági Szabályzattal rendelkezik-e alkalmaz-e RIBSZ-ekben testre szabott eljárásokat milyen szabványt / szabványokat alkalmaz rendelkezik-e minôsített (pl. CISA, CISM) szakemberekkel informatikai kiadásainak hány %-át fordítja biztonságra fizikai biztonsági jellemzôk logikai biztonsági jellemzôk
12.
egyéb, a biztonságot befolyásoló tényezôk (pl. bizalmasság / sértetlenség / rendelkezésre állás garanciái)
10
összesen:
120
3.
10 10 10 10 10 10 10 10 10
Pontozás: 1. nincs = 0, folyamatban = 2-6, van = 10 2. nincs = 0, 1-5 projekt = 2-6, 6 projekt felett = 10 3. nincs = 0, létszám 2%-áig = 5, 2% felett = 10 4. nincs = 0, folyamatban = 2-6, van = 10 5. nincs = 0, folyamatban = 2-6, van = 10 6. nem = 0, csak igény szerint = 2, igen = 10 7. nincs = 0, Cobit = 3, Common Criteria, ITIL = 5, ISO/IEC 27001, 27002 = 10, 8. nincs = 0, folyamatban = 2-6, van = 10 9. 0-2% = 2, 2-5% = 5, 5% felett = 10 10. nincs = 0, MABISZ „minimális” = 6, MABISZ „részleges” és „teljes” = 10 11. nem alkalmaznak = 0, csak azonosítókat alkalmaznak = 2, azonosító és jelszó alkalmazása = 4, egyedi védelmeket is használnak (külön alkalmazás-védelmek) = 10 12. az elôzôeket kiegészítô információk pontozhatóak 1 és 10 között Értékelés: A pontrendszer alapján a következô csoportosítás szerint ajánlatos a szerzôdés elbírálása:
— 50 pont alatt nem ajánlott a szerzôdés megkötése, — 51 — 80 pont esetén a szerzôdés megköthetô, de vállalnia kell, hogy a MÁV Zrt. Informatikai Biztonsági Szabályzata szerint dolgozik és beleegyezik ennek folyamatos és mindenre kiterjedô ellenôrzésébe, — 81 pont felett a szerzôdés megköthetô, de vállalnia kell, hogy a MÁV Zrt. Informatikai Biztonsági Szabályzata szerint dolgozik
1638
A MÁV Zrt. Értesítôje
19. szám
4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai a) Projektindítás projektlépés
biztonsági tervezés
termék, dokumentum
1.
projekt alapító okirat hatályba lépése
Projekt alapító okirat vagy Rendszerkoncepció alapvetô informatikai biztonsági követelményekkel
2.
projekt- (fejlesztésért felelôs) szervezet felállítása
Informatikai biztonsági al-team / alprojekt létrehozása az IKI és az információvédelmi vezetô munkatársainak részvételével
3.
projekt tervezés
informatikai biztonsági feladatok nagybani tervezése, megvalósítási ütemezéssel
4.
üzleti tulajdonos kijelölése
5.
projektlépések és felelôsök az informatikai biztonság megnevezése, határidôk kialakítása ütemének tervezése hozzárendelése
Projektterv, benne a projekt informatikai biztonsági megfelelôségi rendszerének nagybani meghatározása
informatikai biztonsági alprojekt terve
b) Kockázatelemzés, biztonsági osztály meghatározása projektlépés
1.
2.
3.
biztonsági funkciók tervezése, elfogadtatása
kockázatfelmérés és kockázatkezelés
biztonsági osztály meghatározása
biztonsági tervezés a szállítandó szoftver és a biztonsági termékek biztonsági funkcióinak felmérése, összefoglalása - védendô rendszerelemek azonosítása - fenyegetô tényezôk azonosítása - fenyegetettség-elemzés - kockázatkezelés Részletes elemeit a Kockázatelemzés lépései c. (IBSZ 6. sz.) melléklet írja le. - a rendszerben kezelendô adatok érzékenységének elemzése, - titokvédelmi besorolása, - a Társaság üzletvitele szempontjából meghatározó szempontok alapján biztonsági osztályba sorolása (alap, fokozott, vagy kiemelt)
termék, dokumentum - biztonsági funkciók ellenjegyeztetése a beszállítóval, - forrásgazda vagy üzleti tulajdonos nyilatkozata, hogy mi az igénye rendelkezésre állás szempontjából. A vállalkozó elkészíti a Kockázatelemzés c. dokumentumot. Tartalma: a rendszer, valamint a fizikai és személyi környezet elemeinek felmérése, a releváns fenyegetések, gyenge pontok feltárása, a nem elviselhetô és az elviselhetô, maradó kockázatok meghatározása, védelmi javaslatok felsorolása, végkövetkeztetésként a rendszer biztonsági osztálya. Üzleti tulajdonos nyilatkozata a rendszer biztonsági osztályba sorolásáról és a maradó kockázat elfogadásáról.
19. szám
A MÁV Zrt. Értesítôje
1639
c) A rendszer biztonságának tervezése projektlépés 1.
feladat részleteinek behatárolása
biztonsági tervezés
termék, dokumentum
A fizikai, logikai és adminisztratív védelmi rendszer és funkcióinak Felülvizsgálati jelentés behatárolása a projekt-dokumentumok felülvizsgálata alapján
megvalósítási követelményrendszer kidolgozása
informatikai biztonsági követelmények meghatározása az osztályba sorolás alapján
3.
biztonsági tesztelés tervezése
a szállítandó szoftver és biztonsági termékek biztonsági funkciói tesztelésének összefoglalása
4.
változáskezelés tervezése
A szoftver (modulok) módosítása és Változáskezelési utasítása verzióváltása szabályainak kialakítása
5.
részletes biztonsági szabályok kialakítása
a központi informatikai biztonsági szabályozás alapján a rendszerspecifikus szabályok dokumentumba foglalása
Rendszerszintû Informatikai Biztonsági Szabályzat (RIBSZ). Készítésért felelôs: vállalkozó
6.
mûködés-folytonosság tervezése (BCP)
a rendszer lehetô legkevesebb üzemkieséssel járó mûködésének, folyamatainak megtervezése, felelôseinek megnevezése
Mûködés-folytonossági terv. Készítésért felelôs: vállalkozó
2.
Rendszerterv informatikai biztonsági fejezete. Készítésért felelôs: vállalkozó Biztonsági tesztelési terv. Készítésért felelôs: vállalkozó
d) A rendszer használatba vétele projektlépés
1.
2.
3.
4.
tesztelés végrehajtása
biztonsági audit
oktatás
fejlesztés lezárása, a rendszer indítása
biztonsági tervezés
termék, dokumentum
a megvalósított informatikai rendszer biztonságának felmérése, minôsítése, Biztonsági tesztelés, tesztelési az informatikai rendszerhez jegyzôkönyvek. kapcsolódó fizikai logikai és Készítésért felelôs: vállalkozó adminisztratív védelmi rendszer értékelése Ahol a követelmények elôírják a használatba vétel elôtt (akár külsô céggel) biztonsági auditot kell végezni.
Biztonsági audit jegyzôkönyve
Oktatások szervezése a használat gördülékeny elsajátítása érdekében, minden felhasználói szinten.
Oktatási terv, oktatási napló. Készítésért felelôs: vállalkozó
a Biztonsági rendszertervben elôírt felhasználói- és üzemeltetôi dokumentumok terítése
Üzleti tulajdonos nyilatkozata a biztonsági megfelelôségrôl, a rendszer használatba vételérôl és az elkészült informatikai biztonsági dokumentumok elfogadásáról
1640
A MÁV Zrt. Értesítôje
19. szám
5/A. sz. melléklet Nyilatkozat az informatikai rendszerrel szemben támasztott rendelkezésre állási igényérôl
Alulírott
…………………………………………………………………………………………
mint a(z)
……………………………………………………………………………… rendszer (alkalmazás) üzleti tulajdonosa / projektvezetôje kijelentem, hogy a teljes rendszerrel / a rendszer ……………………… komponensével * szemben az alábbi követelményeket támasztom: (A kitöltésnél kérjük figyelembe venni az 5/B. sz. mellékletet)
1, Heti üzemidô:
………… nap x ………… óra
2, Legnagyobb nem tervezett kiesési idô (üzemidôn belül, egy alkalommal):
…………………………… óra
3, A nem tervezett kiesési idôk közötti minimális idô:
…………………………… óra
4, Legnagyobb nem tervezett kiesési idô (egy évben):
…………………………… óra
5, Éves rendelkezésre állási tényezô (1-4 pontok alapján):
………………………… %/év
6, Legnagyobb tervezett kiesési idô:
…………………………… óra
7, A tervezett kiesési idôrôl ennyi idôvel elôtte kell értesítést küldeni
…………………………… óra
Ezeket a követelményeket a rendszer (alkalmazás) kialakítása, fejlesztése, felülvizsgálata, valamint biztonsági osztályának meghatározása során is figyelembe kell venni. A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni). Kelt: ……………………………., 201….. év ….………………………… hó ………. nap.
……………………………….. üzleti tulajdonos / projektvezetô
*: nem kívánt rész törlendô (szükség esetén a különbözô komponensekre külön-külön nyilatkozat is kitölthetô)
19. szám
A MÁV Zrt. Értesítôje
1641
5/B. sz. melléklet (kitöltési útmutató az 5/A. sz. melléklethez)
Megbízhatósági követelmény jellemzôk A rendszerek rendelkezésre állásával kapcsolatos követelmények az üzemidô, a legnagyobb nem tervezett kiesési idô, valamint a kiesési idôk közötti minimális idô, amelyekbôl számolható az éves rendelkezésre állási tényezô. A rendszer rendelkezésre állásával kapcsolatos követelményeket az alábbi táblázat értékeivel lehet megadni, melynek számítása során az idôt egységesen [óra] mértékegység alapon javasolt számolni: 1. Heti üzemidô (Tüz)
Megadja, hogy a rendszernek egy héten hány napot, egy nap hány órát kell mûködnie. Szokásosan [nap] x [óra] alakban adják meg. (pl. 5x8, 7x24 stb.) Számítása: pl. 7x8 esetén Tüz = 56 óra/hét.
2. Éves üzemidô (Tüzév)
Számítása: Tüzév = (Tüz/7)*365
3. Legnagyobb nem tervezett kiesési idô (üzemidôn belül,egy alkalommal) (Tki)
Az a heti üzemidôn belüli idô (Tki), amely alatt még nem keletkeznek helyrehozhatatlan károk az informatikai rendszer leállásából. Ennyi idôn belül újra kell tudni indítani a rendszert és a ráépülô folyamatokat. Ha a rendszer kiesési ideje nagyobb, mint az itt megadott idô, akkor jelentôs (pl. üzleti) károk keletkeznek.
4. A nem tervezett kiesési idôk közötti minimális idô (Tmi)
Az a heti üzemidôn belüli minimális idô (Tmi) amennyinek legalább el kell telnie két nem tervezett kiesés között (pl. azért, mert az elôzô kiesés helyreállítása még nem fejezôdött be).
5. Legnagyobb nem tervezett kiesési idô egy évben (Tév)
6. Éves rendelkezésre állási tényezô (Rté) 7. Legnagyobb tervezett kiesési idô
Az alkalmankénti nem tervezett kiesési idôk összessége egy év alatt (Tév), figyelembe véve a kiesési idôk közötti minimális idôt. Számítása: A helyes mûködés valószínûségét határozza meg az éves üzemidôn belül. Szokásosan százalékosan (99,9...% alakban) adják meg. Számítása: Az az elôre tervezett, üzemidôn belüli idô, amely idôtartam alatt a rendszert szabályos módon, részlegesen vagy teljesen leállítják, például karbantartás vagy frissítés céljából.
Komolyabb követelményeket kielégítô architektúrák kialakítása nagyságrendileg nagyobb költséget jelenthet. Nagy megbízhatóságúak azok a rendszerek, ahol az éves rendelkezésre állási tényezô 99% felett van. Ezeket a rendszereket szokás a rendelkezésre állási tényezôben szereplô 9-esek száma alapján kategóriákba sorolni (pl. 99,99% = „négy 9-es rendelkezésre állású rendszer”). Legnagyobb nem tervezett kiesési idô egy évben (Tév) [idô]
Éves rendelkezésre állási tényezô (Rté) [%]
36,5 nap (876 óra) 18,3 nap (439 óra) 7,3 nap (175 óra) 5,5 nap (132 óra) 3,7 nap (88,8 óra) 1,8 nap (43,2 óra) 8,8 óra 4,4 óra 53 perc 5 perc
90% 95% 98% 98,5% 99% (2 db 9-es) 99,5% 99,9% (3 db 9-es) 99,95% 99,99% (4 db 9-es) 99,999% (5 db 9-es)
Alkalmazható biztonsági osztályok [osztály]
Alap, Fokozott
Fokozott, Kiemelt
Példák éves kiesési idô — éves rendelkezésre állási tényezô kapcsolatokra
1642
A MÁV Zrt. Értesítôje
19. szám
6. sz. melléklet Kockázatelemzés lépései I. szakasz: A védelmi igény feltárása 1. lépés: A feldolgozandó adatok feltérképezése 1. feladat: Az informatika-alkalmazás output igényének feltérképezése. 2. feladat: Esetleges különleges szolgáltatások feltérképezése. 3. feladat: Az informatikai rendszerben feldolgozásra kerülô valamennyi adat feltérképezése. 2. lépés: Az informatika-alkalmazás és a feldolgozandó adatok értékének meghatározása 1. feladat: Védelmi igény megfogalmazása. 2. feladat: Értékskála rögzítése. 3. feladat: Az értékek hozzárendelése az informatika-alkalmazáshoz és az adatokhoz. II. szakasz: Fenyegetettség-elemzés 3. lépés: A fenyegetett rendszerelemek feltérképezése 1. feladat: A rendszerelemek feltérképezése. 2. feladat: A rendszerelemek kölcsönös függôségeinek leírása. 4. lépés: Az alapfenyegetettség meghatározása 1. feladat: A fenyegetô tényezôk és a rendszerelemek összerendelése. 2. feladat: Az összerendelések dokumentálása. 5. lépés: A fenyegetô tényezôk meghatározása 1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése. 2. feladat: A fenyegetô tényezôk meghatározása. III. szakasz: Kockázatelemzés 6. lépés: A potenciális károk értékének meghatározása 1. feladat: Az értékek átvitele a rendszerelemekre. 2. feladat: A károk áttekintô ábrázolása. 7. lépés: Az alapfenyegetettségek okozta károk gyakoriságának meghatározása 1. feladat: A gyakorisági skála rögzítése. 2. feladat: A gyakorisági értékek hozzárendelése a fenyegetô tényezôkhöz. 8. lépés: A fennálló kockázatok meghatározása és leírása mátrixban 1. feladat: Valamennyi kárérték összeállítása egy áttekintésben. 2. feladat: Az elviselhetô és az elviselhetetlen kockázatok rögzítése. 3. feladat: Az elviselhetô és az elviselhetetlen kockázatok megjelölése az áttekintésben.
19. szám
A MÁV Zrt. Értesítôje
1643
IV. szakasz: Kockázatkezelés 9. lépés: Az intézkedések kiválasztása 1. feladat: Az elviselhetetlen kockázatok azonosítása. 2. feladat: Az intézkedések kiválasztása. 10. lépés: Az intézkedések értékelése 1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegetô tényezô feltérképezése. 2. feladat: Az intézkedések kölcsönhatásának leírása. 3. feladat: Az üzemmenetre való kihatások vizsgálata. 4. feladat: Vizsgálat az elôírásokkal való egyezésre vonatkozóan. 5. feladat: Az intézkedések hatékonyságának értékelése. 11. lépés: A költség/haszon arány elemzése 1. feladat: Az intézkedések költségeinek megállapítása. 2. feladat: Szükség esetén visszalépés a 9.2 pontba. 12. lépés: A maradó kockázat elemzése 1. feladat: A hatékonysági értékek bedolgozása a kockázat áttekintésbe 2. feladat: A maradó kockázat elemzése. A kárértékek meghatározásánál az alábbi szempontokat kell figyelembe venni: — Dologi károk: amelyeknek közvetlen vagy közvetett költségvonzatuk van. Ilyenek lehetnek az infrastruktúra károk, informatikai rendszer elemeinek sérülése, helyreállítási költség. — Bizalmassághoz fûzôdô károk: titoksértés, személyhez fûzôdô jogok, személyek, csoportok hírnevének károsodása, védendô információk nyilvánosságra kerülése, hamis adatok nyilvánosságra kerülése, közérdekû adatok titokban tartása, bizalomvesztés. — Gazdasági károk: a pénzügyi-, lopáskárok, Társaság arculatának romlása, rossz üzleti döntés. — Személyi biztonság sérülése a felhasználói és üzemeltetôi személyzetben. — Jogszabályok, utasítások megsértése.
1644
A MÁV Zrt. Értesítôje
19. szám
7. sz. melléklet A MÁV Zrt.-nél alkalmazandó kárérték, kárgyakoriság és kockázati mátrix értékei A kárértékek (KÉ) besorolásához nyújt segítséget az alábbi osztályozás: 0 szint: jelentéktelen kár — közvetlen anyagi kár: 0 — 100.000 Ft — közvetett anyagi kár 1 embernappal állítható helyre — nincs bizalomvesztés, a probléma a szervezeti egységen belül marad — nem sérül titokvédelmi vagy adatvédelmi elôírás — testi épség jelentéktelen sérülése egy-két személynél 1 szint: csekély kár — közvetlen anyagi kár: 100.001 — 1.000.000 Ft-ig — közvetett anyagi kár 1 emberhónappal helyre állítható — társadalmi-politikai hatás: kínos helyzet a MÁV Zrt-n belül — belsô (intézményi) szabályozóval védett adat sérül — könnyû személyi sérülés egy-két személynél 2 szint: közepes kár — közvetlen anyagi kár: 1.000.001 — 10.000.000 Ft-ig — közvetett anyagi kár 1 emberévvel helyre állítható — társadalmi-politikai hatás: bizalomvesztés a MÁV Zrt. középvezetésében, bocsánatkérést az ügyfél felé és/vagy kötelezettségszegés megállapítását, hátrányos jogkövetkezmények és más munkajogi intézkedések alkalmazását igényli — személyes adat, üzleti titok, know how sérül súlyos következmények nélkül — több könnyû vagy egy-két súlyos személyi sérülés 3 szint: nagy kár — közvetlen anyagi kár: 10.000.001 — 100.000.000 Ft-ig — közvetett anyagi kár 1-10 emberévvel helyre állítható — társadalmi-politikai hatás: bizalomvesztés a MÁV Zrt. felsô vezetésében, a vezetésben személyi konzekvenciák — üzleti titok, know how személyes adat sérül jogi következményekkel — több súlyos személyi sérülés vagy tömeges könnyû sérülés 4 szint: kiemelkedôen nagy kár — közvetlen anyagi kár: 100.000.001 — 1.000.000.000 Ft-ig — közvetett anyagi kár 10-100 emberévvel helyre állítható — társadalmi-politikai hatás: súlyos bizalomvesztés a MÁV Zrt. felsô vezetésén belül személyi konzekvenciával — „Bizalmas!” vagy annál alacsonyabb minôsítési szintû adat sérül — különleges személyes adatok súlyosan sérülnek — egy-két személy halála vagy tömeges sérülések 5 szint: katasztrofális kár — közvetlen anyagi kár: 1.000.000.001 Ft felett — közvetett anyagi kár több mint 100 emberévvel helyre állítható — társadalmi-politikai hatás: súlyos bizalomvesztés a MÁV Zrt. felsô vezetésén belül több személyre kiterjedô személyi konzekvenciákkal — nagy jelentôségû, „Titkos” vagy annál magasabb minôsítési szintû adat sérül — több személy halála vagy tömeges súlyos sérülések
19. szám
A MÁV Zrt. Értesítôje
A kárgyakoriságot (KGY) a következôk szerint kell osztályozni: — — — — — —
0: 1: 2: 3: 4: 5:
esetleges nagyon ritka ritka közepes gyakori nagyon gyakori
50 évente legfeljebb egy, 10 évente egy, évi egy, havi egy, heti egy, napi egy.
A Társaság a következô módon határozta meg a kockázati értékek (Z) határait: Z = KÉ + KGY E: Elviselhetô (maradék) kockázat, ha: N: Nem elviselhetô kockázat, ha: K: Katasztrófa szintû kockázat, ha:
Z<6 Z =6, Z=7 Z>7
A fentiek alapján a kockázati mátrix felépítése:
4
E E
N E
N N
K N
K K
K K
3
E
E
E
N
N
K
2
E
E
E
E N
N
1
E
E
E
E
E
N
0
E
E
E
E
E
E
0
1
2
3
4
5
5 K Á R É R T É K (KÉ)
KÁRG YA K O R I S Á G ( K G Y )
1645
1646
A MÁV Zrt. Értesítôje
19. szám
8. sz. melléklet Fizikai biztonságra vonatkozó elvárások 1. Fizikai biztonsági védôsávok
Védôsávok típusai
Alap
Fokozott
Kiemelt
Minimális fizikai-mechanikai védelem *
Kötelezô
-
-
Részleges fizikai-mechanikai védelem *
Ajánlott
Kötelezô
-
Teljes körû fizikai-mechanikai védelem * Minimális elektronikai jelzôrendszer *
-
Ajánlott
Kötelezô
Ajánlott
Kötelezô
-
Részleges elektronikai jelzôrendszer *
-
Ajánlott
Kötelezô
Elektronikus beléptetôrendszer
Ajánlott
Kötelezô
Kötelezô
Videokamerás megfigyelôrendszer
-
Ajánlott
Kötelezô
Folyamatos portaszolgálat
Ajánlott
Ajánlott
Kötelezô
Fegyveres biztonsági ôrség
-
-
Ajánlott
Túlfeszültség, villámcsapás eredetû károk elleni védelem
Ajánlott
Kötelezô
Kötelezô
Vezetett elektromágneses zavarok szûrése
Ajánlott
Kötelezô
Kötelezô
Elektromágneses sugárzás elleni árnyékolás
Ajánlott
Ajánlott
Kötelezô
Tûzgátló falak, nyílászárók
-
Ajánlott
Kötelezô
* konkrét tartalom a MABISZ ajánlások szerint 2. Beléptetési intézkedések A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenôrizni kell. Erre vonatkozóan a Társaság beléptetési és vagyonvédelmi utasításait, illetve a vonatkozó törvény elôírásait kell érvényesíteni. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkezô munkatársak, illetve külsô személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés elôtt ellenôrizni kell a belépô által megjelölt belépési célt. Külsô személyek csak kísérettel tartózkodhatnak a Társaság objektumain belül. Alap biztonsági szintre besorolt területekre a bejutást — a minimális fizikai védelem kialakítása keretében — az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott területen dolgozók személyes felelôssége, hogy minden helyiséghez csak az oda önálló belépésre is feljogosított személyek rendelkezzenek kulccsal, és hogy idegen személyek felügyelet nélkül ne tartózkodhassanak a helyiségben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni — megfelelôen biztonságos tárolással —, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására. 3. Fokozott és kiemelt biztonsági osztályba sorolt zónákra vonatkozó elôírások Beléptetési intézkedések A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkezô személyek be- és kilépését is naplózni kell. A belépés ellenôrzését a beléptetô rendszer kártyán túl egyéb hitelesítési eljárások alkalmazásával (pl. PIN kód, biometriai azonosító) is meg kell erôsíteni. Minden külsô munkatársat, szerzôdô felet, és vendéget meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést vagy a belépéskor kapott kitûzôt. A munkatársak minden esetben jelentsék a biztonsági személyzetnek, ha kísérô nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót.
19. szám
A MÁV Zrt. Értesítôje
1647
Minden fokozott és kiemelt biztonsági szintû területre az üzleti tulajdonosnak a helyi sajátosságoknak megfelelô beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidô alatt és azon kívül történô belépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vonatkozásában. Ebben az utasításban kell lefektetni: a) a személyes azonosító eszközök (kártyák, kitûzôk, PIN-kódok) használatának, kiadásának, visszavételének szabályait, b) a területre anyagok, eszközök be- és kiszállításának szabályait, c) a területen tartózkodás és kulcskezelés szabályait (pl. munkaidôn túl, takarítás során). d) az ideiglenes- és vendég jelleggel belépôk nyilvántartásának, kísérésének szabályait. A beléptetési utasításokat a Vagyonvédelem és Portfólió-gazdálkodási szervezet vezetôjének egyetértésével kell kiadni. Az eszközök elhelyezésének szabályai Az informatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, mentéseket tartalmazó adathordozók stb.), az azokon üzemeltetett alkalmazásokat, kezelt adatokat és fontos dokumentációkat a jobb védhetôség érdekében koncentráltan, magasabb biztonsági szintû területen (pl. szerverszoba, rendezôszekrény) kell elhelyezni, mûködtetni. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével, valamint a Társaság üzletvitele szempontjából betöltött szerepével kell arányban lennie (kockázattal arányos védelem). A védelem egyaránt terjedjen ki az élôerôs, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belsô közlekedô terek, közös, illetve kiegészítô helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény különleges helyiségeire (pl. rendezôk, számítógéptermek, pénztárak, ügykezelés helyiségei, ügyeleti szolgálatok) vonatkozó biztonsági elôírások eltérhetnek — annál szigorúbb lehet — az építmény egészére megfogalmazott biztonság mértéktôl. Extrém üzemi környezetben (kültéren, poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan eszközt szabad használni, amely — specifikációja szerint — erre kifejezetten alkalmas. Védelem a külsô környezeti fenyegetettségek ellen Az informatikai adatfeldolgozó, vagy tároló telephelyek kiválasztásakor fontos figyelembe venni, az adott földrajzi elhelyezkedésébôl eredô veszélyforrásokat (pl. árvíz, földrengés, erdô vagy bozóttûz), valamint az adott terület klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése). Az informatikai eszközök telepítési, elhelyezési helyének megválasztásakor — az adott eszköz rendeltetésétôl, biztonsági besorolásától függôen biztosítani kell a zavartalan mûködéshez szükséges feltételeket. Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hômérsékletek és a meg nem engedett mértékû levegô nedvességtartalom elleni védelemre (klimatizálás), 2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem), 3) külsô tényezôk (tûz, víz, vihar stb.) elleni védelemre, így különösen a tûzjelzô berendezések meglétére és mûködôképességére (tûzvédelem), illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással), 5) az áramellátás területén a villámcsapások elsôdleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelô kialakításával, amelyekbe az informatikai rendszereket telepítették). A RIBSZ-ekben részletesen kell szabályozni: 1) a mûszaki eszközök elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) az eszközök karbantartását, 5) a telephelyen kívüli eszközök védelmét, 6) az eszközök biztonságos tárolását és újrafelhasználását.
1648
A MÁV Zrt. Értesítôje
19. szám
Energiaellátás Az eszközöket szükség esetén az alább felsorolt lehetôségek alkalmazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépô rendellenességektôl. Olyan villamos betáplálást kell alkalmazni, amelyik megfelel az eszköz gyártói specifikációjának. Azok a lehetôségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply), c) tartalék áramforrás alkalmazását (pl. dízel generátor). A folyamatos mûködést és a szabályos kikapcsolási folyamatot szolgáló, megfelelôen méretezett UPS-t kell alkalmazni azokhoz az eszközökhöz, amelyek az üzletmenet mûködésére nézve kritikusak. Vészvilágításról kell gondoskodni a fô energiaellátás meghibásodása/kimaradása esetére. A szabványoknak megfelelôen villámhárítót kell felszerelni valamennyi épületre (ahol ezt a vonatkozó szabványok megkívánják), és villámvédô szûrôket alkalmazni az épületbe belépô kábelekre. A kábelezés biztonsága Az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen. Az adathálózat biztonsági szempontból releváns elemeit, a legfontosabb mûszaki paramétereit, a rájuk kapcsolódó eszközöket stb. a konfigurációkezelési adatbázisban is nyilván kell tartani. A Társaság infokommunikációs hálózatának fizikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stratégia szerint kell kialakítani. Ennek elkészítése és a benne foglaltak szerinti mûködés megkövetelése a hálózat üzleti tulajdonosának a feladata.
Alkalmazások, rendszerek minimális követelményei (általános előírások)
jellemzők
Azonosítás, hitelesítés, jogosultságkezelés: x Minden felhasználó rendelkezzen egyedi azonosítóval, jelszóval. x Az azonosító és jelszó nem juthat illetéktelen tudomására, ne legyen könnyen megfejthető, nem kerülhet postai küldeménybe, vagy elektronikus levélbe, nem lehet olvasható felhasználói felületen. x Biztosítani kell a felhasználói azonosítók időszakos, vagy végleges tiltását, ami egyben hozzáférési jogosultság meghatározására is szolgál. x Ellenőrzött jogosultság kezelés rendszer legyen az olvasási, írási (létrehozás, módosítás), törlési jogokra, egyedi és csoportos megkülönböztetésre. x A rendszer objektumaihoz egyedi, illetve csoporttulajdonosokat kell rendelni. x Biztosítani kell a jogosultságok módosíthatóságát, törlését, felfüggesztését, új felvételét, amit a rendszergazda dokumentált folyamat keretében végez. x On-line adatmozgás esetében a jogosultságot minden esetben ellenőrizni kell. x Az egyes adattípusokat olyan mértékben kell elkülönítetten kezelni, hogy megállapítható legyen a hozzáférés jogosultsága. Fizikai biztonság: x a központi hardverelemeket (pl. szerver) és aktív hálózati eszközöket megfelelően kialakított szerverteremben, illetve rendezőkben kell elhelyezni Naplózás: x Minden jogosulatlan hozzáférést naplózni kell, melyet rendszeresen értékelni kell. x Biztonsági naplózást kell végezni a regisztrálás,
Alap Mint az alap biztonsági osztály kiegészítve az alábbiakkal: Azonosítás, hitelesítés, jogosultságkezelés: x interaktív kommunikáció esetén, egyedi szinten kell azonosítani és hitelesíteni a személyeket x gondoskodni kell az azonosítási eszközök jogosulatlan továbbadásának, használatának megelőzéséről x hozzáférési jogok a következők: olvasási jog (betekintés), létrehozási jog, módosítási jog, törlési selejtezési jog, másolási jog x az adatokat – a nyílt adatok kivételével – a védelmi szintre utaló jelzőkkel kell ellátni pl. belső használatú dokumentum vagy üzleti titok x Az üzleti titok feltüntetésére feljogosított vezetők a Társaság üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatának vonatkozó fejezetében kijelölt vezetők x egy rendszeren belül a különböző védelmet igénylő adatokat csak akkor lehet együtt kezelni, ha megakadályozhatók az engedéllyel nem rendelkező hozzáférések. Ez osztott rendszerekre különösen érvényes. Egyértelműen ellenőrizhetőnek kell lennie a hozzáférési jogosultságoknak, és ha ez nem biztosítható a különféle védelmet igénylő adatokat külön rendszerbe kell tenni x kötelező a szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás használata Fizikai biztonság: x Önmagában redundáns kiszolgáló (szerver) infrastruktúrát kell kialakítani x rendelkezésre állás szempontjából földrajzilag elkülönítetten hideg tartalékot kell kiépíteni vagy
Fokozott
A biztonsági osztályok követelményei
Mint a fokozott biztonsági osztály kiegészítve az alábbiakkal: Azonosítás, hitelesítés, jogosultságkezelés: x a felhasználó és rendszer közötti azonosítást és hitelesítést védett csatornán kell biztosítani x az informatikai rendszer minden elemére és résztvevőjére a szervezet informatikai biztonsági politikájának megfelelően ki kell terjeszteni a hozzáférési jogosultságvezérlést. Hozzáférések lehetnek olvasás, létrehozás, módosítás, selejtezés, törlés, másolás. Személyekhez rendelt jogok a következők: engedélyezés, visszavonás, olvasás, létrehozás, módosítás, selejtezés, törlés, másolás. x a hozzáférés védelmet mezőszinten kell megvalósítani x a hozzáférést szigorúan a jogosultságkezelésben szabályozottak szerint kell ellenőrizni. Meg kell különböztetni csoportos és egyedi hozzáférést, amit el kell határolni a rendszergazdai, biztonsági felügyelői jogosultságoktól x az adatok minősítését és a feljogosítás műveletét a hatályos szabályok szerint kell végezni x biztosítani kell a monitoring rendszerben bekövetkezett informatikai biztonságot érintő kritikus események állandó figyelését, és egy esemény bekövetkezése
Kiemelt
9. sz. melléklet 19. szám A MÁV Zrt. Értesítôje 1649
elszámolás és auditálhatóság érdekében, ami biztosítani. A tartalék létesítményeket és a használatba esetén az értesítési rendben szabályozott tartalmazza a szelektív felhasználói műveleteket (pl. vétel követelményeit az üzemeltető személyzetnek módon kell eljárni rendszerindítás, leállás, leállítás, rendszeróra állítás, ismernie kell. A tartalék létesítmények üzemkészségét Fizikai biztonság: be/kijelentkezés, programleállás). rendszeresen ellenőrizni kell. x rendelkezésre állás szempontjából x A biztonsági napló adatait havonta egyszer ellenőrizni Naplózás: melegtartalékot, illetve a redundáns és archiválni kell . x a biztonsági naplónak az azonosítás és hitelesítés alrendszert földrajzilag elkülönítetten kell érdekében az alábbiak mindegyikére vonatkozó kiépíteni. Az üzemképességet folyamatosan x A biztonsági napló adatait illetéktelenektől meg kell (dátum, időpont, művelet eredményessége vagy figyelemmel kell kísérni, a szükséges védeni. sikertelensége) adatokon felül a továbbiakat kell beavatkozásokat azonnal el kell végezni x Üzemeltetési naplót kell vezetni, melyet az üzleti tartalmaznia: Naplózás: tulajdonosnak, az informatikai biztonságért felelős o a felhasználó azonosítása és hitelesítése x kötelező naplóelemző szoftvert alkalmazni szervezetnek minimum 3 havonta ellenőrizni kell érdekében: kezdeményező és eszköz (pl. terminál) x a biztonsági naplót hetente kell ellenőrizni x Bármely naplóállomány minimális megőrzési ideje azonosítója és menteni (még a rendszer kivezetése után is) 1 hónap o az informatikai erőforráson kezdeményezett x a naplóállományok minimális megőrzési Dokumentálás, ellenőrzés előírásai: hozzáférési művelet esetén, amelynél a hozzáférési ideje (még a rendszer kivezetése után is) 6 x Intézkedési terv keretében kell meghatározni, hogy jogok ellenőrzése kötelező: felhasználó és hónap illetéktelen hozzáférés esetén milyen szankciókat kell erőforrás azonosító, kezdeményezés típusa Dokumentálás, ellenőrzés előírásai: alkalmazni, illetve azokat hogyan lehet megelőzni o az informatikai erőforrás létrehozása vagy törlése x kiemelt biztonsági osztályba tartozó x Jogosultságok kiosztásával kell lehetővé tenni esetén, amelynél a hozzáférési jogok ellenőrzése rendszerek üzemeltetése csak különleges szelektív vizsgálatot a magasabb szintű auditálhatóság kötelező: a felhasználó és erőforrás azonosító, körültekintéssel meghatározott garanciális érdekében. kezdeményezés típusa elemek biztosítása esetén, az üzleti x Az üzleti tulajdonosnak a RIBSZ-ben ki kell alakítani o a felhatalmazott felhasználó (pl. rendszergazda) tulajdonos, az információvédelmi vezető és a rendszerrel kapcsolatos ellenőrzési tervet, olyan műveletei esetén, amelyek a rendszer az IKI együttes előterjesztése alapján, a megelőzési eljárási rendet. biztonságát érintik: a műveletet végző azonosítója, Társaság elnök-vezérigazgatója erre x Rendelkezésre állás szempontjából ajánlott MFT erőforrás azonosító, amin a műveletet végezték vonatkozó eseti döntése esetén adható tervet készíteni a rendszer tartós kiesésének esetére. x a naplót az üzemeltető szervezettől (fizikailag, vállalkozásba Ennek intézkedési terve legyen arányban a kiesett logikailag) független helyen kell tárolni (annak x az üzleti tulajdonosnak független biztonsági rendszernek a Társaság üzletmenetére gyakorolt érdekében, hogy védve legyenek a törlés és auditálást kell végeztetnie a használatba negatív hatásával. illetéktelen hozzáférés ellen), mint a vételt megelőzően, a rendszert érintő 2 évente végrehajtandó feladatok: rendszerhasználat bizonyítékait, így ezek az infrastruktúrális változtatás után, illetve 2 x Az informatikai biztonsági dokumentumokat információk későbbi vizsgálatokhoz is évenként rendszeresen (kockázatelemzés, RIBSZ, MFT) az üzleti tulajdonos felhasználhatóak Félévente végrehajtandó feladatok: vezetésével felül kell vizsgálni és a változásoknak x naplóelemző szoftvert ajánlott alkalmazni x Az „Alap” biztonsági osztály „2 évente megfelelően aktualizálni kell. a rendszereseményeket a rendszertől külön, x végrehajtandó feladatok” pontjában leírtakat x Az MFT-ben leírt helyreállítási folyamatokat automatikusan kell archiválni, a naplóbejegyzéseket félévente kell elvégezni. szimulált hibák létrehozásával gyakorolni kell. (eseményrekordokat) folyamatosan felül kell x A felhasználók tényleges hozzáférési jogosultságait vizsgálni, a rendszernek alkalmasnak kell lennie a ellenőrizni kell. biztonsági események automatikus detektálására x a naplóállományok legyenek kódoltak, ellenőrző
1650 A MÁV Zrt. Értesítôje 19. szám
Központi infrastruktúra (pl. szerverterem, rendező) fizikai védelme
Beléptetés, elektronikus jelzőrendszer előírása: x a helyiségek ablakait, ajtóit zárni kell x elektronikai jelzőrendszert kell alkalmazni, amely rendelkezésre állása legalább 97,5%/év legyen. Tűz, víz, hő, pára és elektromosság előírások: x biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását. x a tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő személyzet biztosítja a helyiségen belül készenlétben tartott – a tűzvédelmi előírásoknak megfelelő – kézi tűzoltó-készülékekkel. A készenléti helyeken elsődlegesen gáz halmazállapotú oltóanyaggal feltöltött tűzoltó-
Az előírásokat értelem szerűen az épület, helyiség besorolásának megfelelően kell alkalmazni! Épület, helyiség előírásai: x a vagyonvédelem vonatkozásában a MABISZ ajánlásit kell figyelembe venni x Az olyan hivatali helyiségeket, ahol informatikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget távollét esetén zárva kell tartani.
összeggel ellátottak x a naplóállományok minimális megőrzési ideje (még a rendszer kivezetése után is) 1 hónap Dokumentálás, ellenőrzés előírásai: x kifejezetten erre a célra létesített biztonsági munkacsoporttal kell megteremteni az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az információvédelmi vezetőt is be kell vonni. x az üzleti tulajdonosnak független biztonsági auditálást kell végeztetnie a használatba vételt megelőzően. x Rendelkezésre állás szempontjából kötelező MFT tervet készíteni a rendszer tartós kiesésének esetére. 1 évente végrehajtandó feladatok: x Az „Alap” biztonsági osztály „2 évente végrehajtandó feladatok” pontjában leírtakat évente kell elvégezni. Mint az alap biztonsági osztály kiegészítve, az alábbiakkal: Épület, helyiség előírásai: x a védendő helyiség falai legalább 15 cm vastag tégla, vagy azzal egyenértékű szerkezet x a nyílászárokra a vonatkozó szabványok az irányadók Beléptetés, elektronikus jelzőrendszer előírása: x A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott formában kell megvalósítani. x Az őr- és a biztonsági személyzet létszámát úgy kell megállapítani, és olyan eszközökkel kell ellátni, hogy esemény esetén az érintett személy jelezni tudjon. x A technikai védelmi rendszert a helyiségben ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál meg kell jelenniük. A védelem szabotázsvédett legyen és a következő követelményeket elégítse ki: - a nyílászárók nyitás- és zártság ellenőrző eszközzel legyenek ellátva, a belső terek védelme mozgásérzékelővel biztosított legyen, a védelem kiés bekapcsolása a bejáraton kívül elhelyezett (minimum 6 számjegyes) kóddal működtetett Mint a fokozott biztonsági osztály kiegészítve, az alábbiakkal: Épület, helyiség előírásai: x az épületszerkezeteknek ki kell elégítenie a MABISZ előírásait. Minden helyiséget elektronikus jelzőrendszerrel kell ellátni, ami a behatolás és tűzvédelmet ellátja x A mechanikai védelem védjen a közforgalmú területről történő betekintés ellen is. Beléptetés, elektronikus jelzőrendszer előírása: x A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott formában, intelligens beléptető-rendszerrel kell megvalósítani, amely a mindkét irányú áthaladásokat naplózza és biztosítja az azonosító eszköz azonos irányban történő többszöri felhasználásának tilalmát. x A helyiségbe (épületbe) belépni szándékozókat azonosításra és hitelesítésre alkalmas rendszerrel kell ellenőrizni, és a belépőkről nyilvántartást kell vezetni. x A technikai védelembe legyenek bekötve a
19. szám A MÁV Zrt. Értesítôje 1651
x
x
x
x
x
készülékek legyenek. A készülékek típusát és hardver-védelemmel ellátott gépek tasztatúráról történjék, darabszámát, illetve elhelyezését a tűzvédelmi burkolatai az illetéktelen kinyitás jelzésére, - a személyzet a helyiségbe belépni szándékozókat utasításnak kell tartalmaznia. A készülékeket a a hardver-védelem eltávolításának belépés előtt a biztonság veszélyeztetése nélkül helyiségeken belül a bejárat mellett, valamint a megakadályozására. A számítóközpontok, a azonosítsa, helyiség erre alkalmas, jól megközelíthető pontjain szerverszobák, és az egyéb „központi” - a jelzőközpont és az általa működtetett eszközök 12 kell elhelyezni. A helyiségben a vonatkozó jellegű informatikai helyiségek védelmét órás áthidalást biztosító szünetmentes tápegységgel szabványok előírásainak megfelelő tűzjelző rendszert intelligens beléptető rendszerrel kell rendelkezzenek oly módon, hogy a 12. óra letelte kell kiépíteni és üzemeltetni. kiegészíteni, amely a mozgásokat mindkét után még rendelkezzenek egy riasztási esemény irányban regisztrálja, legalább az utolsó jelzésére és a hozzá kapcsolódó vezérlés az informatikai eszközök nem kerülhetnek közvetlenül 4.000 eseményt naplózza és az utolsó végrehajtására elegendő energiával (például hangföldre, falban, vagy falon futó vízvezeték közelébe, személy távozásakor a védelmi rendszert vagy fényjelző eszköz 3 perces időtartamban való közvetlenül hőforrás közelébe automatikusan élesítse. A hardverműködtetése). az elektromos hálózat és az érintésvédelem feleljen védelemmel ellátott munkaállomások x elektronikai jelzőrendszert minden megközelítési meg a vonatkozó szabványok előírásainak. elhelyezésére szolgáló helyiségeket útvonalra ki kell építeni, és a biztonsági szolgálatnál a az elektromos hálózatot a szünetmenetességre, az munkaidőn kívül elektronikus védelemmel riasztó jeleknek meg kell jelenniük. Opcióként áthidalási és újratöltési időre vonatkozó kell ellátni. visszamenőlegesen 72 órás felülírás mentes követelményeknek megfelelően kell kialakítani és Tűz, víz, hő, pára és elektromosság előírások: videofelvétel is lehetséges. külön leágazás megépítésével kell a betáplálásról x A helyiség automatikus működtetésű Tűz, víz, hő, pára és elektromosság előírások: gondoskodni. oltórendszerrel egészítendő ki, az a villámvédelem feleljen meg a kommunális és x A helyiség ajtaja rendelkezzen legalább 30 perces oltórendszer működését tekintve helyi vagy (műbizonylatolt) tűzgátlással, továbbá a helyiségen lakóépületekre vonatkozó előírásoknak. teljes elárasztásos (pl. vizköddel oltó) belül automatikus és kézi jelzésadók kerüljenek az átlagostól eltérő klimatikus viszonyú (például a legyen, működése előtt biztosítson elegendő telepítésre. A jelzésadók jelzéseit mind a helyiségen hőmérséklet, illetve a páratartalom értéke túllépi az időt a személyzet evakuálására, vezérlő belül, mind az épület biztonsági szolgálatánál meg informatikai eszközökre vonatkozó megengedett kimeneteinek egyikén adjon jelzést a kell jeleníteni. A jelzésadó eszközök, valamint a tartományt) helyiségekben lokális klimatizálásról kell szervernek az automatikus mentésre, majd jeleket feldolgozó központ feleljen meg a tűzjelző gondoskodni. azt követően a lekapcsolásra. eszközökre vonatkozó szabványoknak, valamint az EN 54 szabványsorozatok előírásainak, x Az elektronikai védelem terjedjen ki az rendelkezzenek a hazai minősítő intézetek informatikai eszközökre, valamint a forgalombahozatali engedélyével. Az automatikus felügyelet nélküli helyiségekre is. tűzoltó rendszerek tervezése és szabályozása az x Az energiaellátás biztonsága érdekében a Országos Tűzvédelmi Szabályzat szerint történik. szünetmentes tápegység mellett olyan x A helyiséget úgy kell elhelyezni, hogy felette és a szükség-áramellátó diesel-elektromos határoló falfelületeken vizes blokkot tartalmazó gépcsoportot is kell telepíteni, amely helyiségrész ne legyen, nyomó- és ejtőcsövek (víz, automatikus indítású és szabályozású, gáz, csatorna és egyéb közművezeték) ne haladjanak akkora teljesítményű, hogy képes legyen át. A helyiségbe csak annak üzemeltetéséhez kiszolgálni az informatikai eszközökön túl elengedhetetlenül szükséges közműhálózat az azok működéséhez szükséges csatlakozhat. segédüzemi (például klíma) berendezéseket is. x A területen 12 órás áthidalást biztosító
1652 A MÁV Zrt. Értesítôje 19. szám
Hardver – szoftver
Hardverre vonatkozó előírások: x munkaállomási rendszert hordozható adattárolóról (CD/DVD, pendrive stb.) nem lehet indítani x gondoskodni kell a hordozható adattárolók csatlakoztatásának szabályozásáról és ennek ellenőrizhetőségéről x amennyiben bármely okból hordozható adattároló használata indokolt, az eszköz csatlakoztatása után vírusellenőrzést kell végrehajtani x A mentések helyességét rendszeres időközönként visszatöltéssel kell ellenőrizni. Szoftverre vonatkozó előírások: x az alkalmazások és eszközök fejlesztése, tesztelése üzemeltetése során a biztonsági funkciókat kiemelten kell kezelni x a munkaállomásokat úgy kell konfigurálni, hogy a
szünetmentességgel ellátott olyan elektronikai jelzőrendszert kell kiépíteni, amellyel biztosítható a teljes felület- és a részleges térvédelem. x Az elektromos hálózat legalább a szerver és a szükségvilágítás vonatkozásában 30 perces áthidalási idejű megszakításmentes átkapcsolással rendelkező szünetmentes tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt követő töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza. x A padlóburkolatok, berendezési tárgyak antisztatikus kivitelűek legyenek. x a kisugárzás és zavarás elhárítására az MSZ EN 55022:2011 és MSZ EN 55024:2011 szabvány előírásai a mérvadók x A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat és az MSZ EN 62305 szabvány sorozat szerint követelményeket x A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellátás legfeljebb a klimatizáló berendezések által átlagos szinten biztosított porkoncentrációt érheti el. Mint alap biztonsági osztály esetében, kiegészítve az alábbiakkal: Szoftverre vonatkozó előírások: x a beépített adathordozókon található adatokat azonos szinten kell védeni x a védelmet igénylő adatokat előállító, feldolgozó, tároló, lekérdező programok valamint ezek dokumentációi védelmi besorolásáról a jogosultnak kell gondoskodnia Mint a fokozott biztonsági osztály kiegészítve az alábbiakkal: Szoftverre vonatkozó előírások: x minden eszközt azonos szinten kell védeni x az informatikai biztonságot külön moduláris felépítésű felügyeleti rendszer biztosítja, ami önmagát is védi az esetleges támadások ellen. A rendszernek sérthetetlennek kell lennie, méretét tekintve célszerű kis méret meghatározása, hogy az ellenőrzés, elemzés egyszerű legyen, valamint biztosítsa teljességet, és sérthetetlenséget x a rendszer eleminek szegmentálhatónak, és biztonsági műveleteket támogató dialógusokat tartalmazónak kell lennie. x A monitorrendszerben a biztonságot érintő
x A fűtést a klímarendszeren keresztül meleg levegő befúvással kell megoldani, a helyiségben vizes fűtés nem létesíthető. A klímarendszer kültéri és beltéri egységből épüljön fel, vízhűtéses klíma nem telepíthető. Központi klímagép telepítése esetén a befúvó és az elszívó légcsatornába légmentesen záró, tűzgátló tűzcsappantyúkat kell telepíteni.
19. szám A MÁV Zrt. Értesítôje 1653
Adathordozók
x
x
x
x
x
x
x
x
x
x
felhasználóhoz kötött jelszóhasználat biztosított bármilyen esemény bekövetkezése esetén a legyen rendszergazdát azonnal értesíteni kell, aki az értesítési rendben szabályozottak szerint a felhasználó csak azokhoz az erőforrásokhoz férhet további értesítéseket ellát. hozzá, amihez jogosultsága van gondoskodni kell megfelelő szintű és rendszeresen frissülő vírusvédelemről az operációs rendszerben megvalósított védelmet és a felhasználói szoftverben megvalósított védelmet egymás gyengítése nélkül kell alkalmazni. Követelmény, hogy az alkalmazások az operációs rendszer védelmi eszközeire épüljenek minden biztonsági beállítást az operációs rendszerben kell elvégezni. Más megoldást csak akkor lehet alkalmazni, ha azt az operációs rendszer nem tartalmazza mind a felhasználói mind az operációs rendszerekre vonatkozó licencek nyilvántartását meg kell oldani. Szoftver beszerezés esetén figyelembe kell venni a társaságnak a forgalmazóval kötött szoftver licence szerződését bármilyen illegális szoftver telepítése az informatikai eszközre szigorúan tilos. Az elkövetők ellen megfelelő szankciókat kell alkalmazni Mint a fokozott biztonsági osztályban. az adathordozók tárolására szolgáló helyiségeket, úgy Mint alap biztonsági osztály esetében kiegészítve a kell kialakítani, hogy védelmet nyújtsanak behatolás, következőkkel: tűz, víz vagy természeti csapás ellen x adathordozók tárolása csak legalább 30 perces tűzállóágú tároló szekrényben vagy ezzel egyenértékű adatátvitelre valamint adatmentésre, archiválásra védelmi szintet biztosító tároló helyen lehet használt adatokat csak megbízhatóan zártható helyen lehet tárolni. Ezen adatkört kettő példányban, vagy x az adathordozók kezelése során be kell tartani a 2009. több generációban kell előállítani, a példányokat az évi CLV. törvény előírásait éles adatoktól földrajzilag elkülönített helyen kell x az adattípus jól felismerhető jelét az adattároló és tárolni megjelenítő eszközön biztosítani kell az adathordozók beszerzését, felhasználását, x folyamatosan fenn kell tartani az adatok sértetlen és hozzáférését, selejtezését rendszeren ellenőrizni és hiteles állapotát dokumentálni kell. külső fél felé történő adatszolgáltatás/adatfogadás esetén az adathordozók kezelése csak dokumentált formában történhet. Küldés és fogadás esetében
1654 A MÁV Zrt. Értesítôje 19. szám
Adatok
Dokumentumok
mindig vírusvédelmet kell alkalmazni x egy adathordozót újraalkalmazás előtt megfelelő eljárással törölni kell. x ha olyan adatállományt kívánunk véglegesen törölni, ami védendő információnak minősülő adatot tartalmaz akkor az adathordozót vissza nem állítható módon kell felülírni. Külső adathordozó esetében az adathordozót meg kell semmisíteni x belső adathordozó végleges meghibásodása esetén az eszközt a környezetéből el kell távolítani, és meg kell küldeni az illetékes informatikai biztonsági szervezetnek Mint fokozott biztonsági osztály esetében, x a nyomtatott anyagok kezelését az iratkezelési Mint alap biztonsági osztály esetében, kiegészítve az kiegészítve az alábbiakkal: utasításnak és az adott biztonsági osztálynak alábbiakkal: megfelelően kell elvégezni x gondoskodni kell a változáskezelés folyamatában az x a referencia hitelesítési mechanizmus informatikai biztonságot érintő változások módját dokumentálni kell. Ebben x minden dokumentum aktuális állapotát minden dokumentálásáról szerepelnie kell az informatikai biztonsági érintettnek haladéktalanul meg kell küldeni rendszer és az informatikai rendszer közötti x az informatikai biztonsági dokumentumokat a x a feldolgozásra kerülő adatok valamint a hozzájuk kapcsolatok leírását, a referencia rendszer kapcsolódó jogosultságok folyamatos nyilvántartását rendszer működését érintő változás vagy fejlesztés tulajdonságait, és azt, hogy a lehetséges szabályozni és elkülönített módon kell kezelni esetén kötelező felülvizsgálni támadások ellen jól véd-e. x az üzleti tulajdonos által kiadott informatikai x teljeskörű tesztelési dokumentációval kell rendelkezni biztonsági dokumentumokat az információvédelmi x teljeskörű, szigorúan összefüggő, informatikai vezetővel kell ellenjegyeztetni eszközön kezelt változásmenedzselést kell megvalósítani x kötelező Működés-folytonossági tervet készíteni Mint a fokozott biztonsági osztályban. x el kell végezni a rendszerben tárolt adatok (és Mint alap biztonsági osztályban, kiegészítve az magának a rendszernek a) mentési terv szerinti alábbiakkal: biztonsági mentését x minősített és nem minősített adatok párhuzamos feldolgozása csak az 2009. évi CLV. törvény, illetve a x az információs rendszer hozzáférési adatait, MÁV Zrt. minősített adatainak védelméről szóló jogosultságokat, biztonsági paramétereket titkosítva biztonsági szabályzat előírásainak figyelembe kell tárolni vételével végezhető x gondoskodni kell a rendszer biztonságát érintő adatok (jelszavak, jogosultságok, biztonsági naplók) védelméről x külső fél jogosulatlanul nem férhet hozzá a rendszerben tárolt adatokhoz x adatbevitel során a helyességet az alkalmazás követelményinek megfelelően ellenőrizni kell
19. szám A MÁV Zrt. Értesítôje 1655
Személyek
Infokommunikáció, kommunikációs hálózatok
x programfejlesztés vagy próba céljára adatok felhasználását – különösen, ha azt külső fél végzi – és annak eredményeit megismerheti el kell kerülni. Ha ez nem biztosítható más módszert kell alkalmazni a bizalmasság megőrzésére Mint fokozott biztonsági osztályban, Mint alap biztonsági osztályban, kiegészítve az x az elektronikus úton továbbított üzeneteknél az kiegészítve az alábbiakkal: alábbiakkal: iratkezelési szabályzatnak megfelelően kell eljárni. x többszintű csatorna esetén a védendő adatok x minden csatorna egy vagy többszintű biztonsági x az adott hálózati alrendszer hitelesítési mechanizmusa csak titkosítva továbbíthatók azonosítóval rendelkezzen. Egyszintű csatorna nem érinthet más alrendszert esetében csak egy címke létezik, és csak olyan x nem alkalmazható olyan tároló jellegű x azonosítani kell más hálózatból jövő adatok feladóját. adatállomány forgalmazható, hogy annak biztonsági csatorna, ami hozzáférési jogok ellenőrzése x informatikai erőforrások használatát szabályozni kell azonosítója megfeleljen a csatorna azonosítójának. nélkül üzemel x a rendszerelemeket rendszeresen ellenőrizni kel, Többszintű csatorna esetében egy protokoll kezeli a x a bizalmasság megőrzése érdekében annak érdekében, hogy a hálózatban a forgalom csatorna és adatok közötti megfeleltetést, hogy a szelektív útvezérlést kell alkalmazni monitorozása és rögzítésre alkalmas erőforrást fogadó fél helyreállíthassa, valamint párosíthassa a x a kábelezésre az alábbi szabvány érvényes: illetéktelenül ne használják fogadott adatokat, azok azonosítóival EIA/TIA-568, kisugárzással kapcsolatosan x osztott rendszerekben a jelszavak, jogosultságok csak x a védelem szempontjából fontos azonosítókat, csak az az MSZ EN 55022:2011 és az MSZ EN titkosítva továbbíthatók arra feljogosítottak változtathatják meg 55024:2011 szabványok érvényesek x a hozzáférés kezelés vezérlését az egész rendszerre ki x tilos távolról csatlakozni (pl. távolról kell terjeszteni végzett munka - VPN, távfelügyelet - VNC) x központi hozzáférés kezelés esetén az egyes alanyok a rendszerekhez, az csak hibaelhárítási informatikai biztonsági paramétereit biztonságos úton céllal az üzemeltető személyzetnek kell az osztott rendszer feldolgozó egységeihez engedélyezett, naplózottan, a probléma eljuttatni. kijavításáig, titkosított kapcsolaton keresztül. x adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat kell alkalmazni x tilos vezeték nélküli módon kapcsolódni a rendszerhez x a forgalmazásban érintett valamennyi eszközre ki kell terjeszteni a biztonsági szintnek megfelelő védelmet x meg kell valósítani a végpont-végpont jogosultság ellenőrzését, elszámolhatóságot, auditálhatóságot x központi auditálás esetén az auditálási információkat maradéktalanul továbbítani kell a többi alhálózatba x meg kell akadályozni, és folyamatosan ellenőrizni kell, hogy a hálózatban ne történjen illegális rácsatlakozás, és lehallgatás x távolról történő csatlakozás esetén kiemelten ügyelni kell a biztonsági előírások alkalmazására Mint alap biztonsági osztályban, kiegészítve az Mint fokozott biztonsági osztályban, x szabályozni kell a belépések rendjét összhangban a
1656 A MÁV Zrt. Értesítôje 19. szám
Jelszóhasználat:
jogosultságokkal alábbiakkal: kiegészítve az alábbiakkal: x kerülni kell magasabb jogosultságú személyeknél a x a felhasználók tevékenységének funkció szerinti x a rendszergazdáknak egymástól jogok túlzott összevonását szétválasztását biztosítani kell elkülönítetten kell kezelni a kiemelt szerepköröket x minden újfelvételes munkatársnak biztosítani kell az x a védendő információkat kezelő személyek feladatait, informatikai biztonság oktatását, a rendszeres valamint az üzemeltetési feladatokat felelősség szerint x Az informatikai biztonsági szintben beállt továbbképzést szabályozni kell változásokat azonnal és maradéktalanul közölnie kell a felhasználóval, és x meghatározott munkakörökben ki kell dolgozni a valamennyi alacsonyabb szintű jellemzőhöz helyettesítési rendet hozzá kell férjen. x fontosabb alkalmazásokhoz (0-24 órás üzemeltetéssel) rendszergazdákat kell kinevezni, és feladataikat pontosan kell definiálni, időszakonként ellenőrizni x el kell különíteni a fejlesztői, üzemeltetői és oktatói környezeteket, figyelembe véve az adminisztrációs hozzáférési jogköröket, éles rendszerben ilyen tevékenységek nem folytathatók x külső partnerek esetében a megfelelő szerződésben kell a biztonsági feltételeket deklarálni, szabályozni Jelszó: Kiemelt felhasználók (pl. üzemeltetők, rendszergazdák, Mint fokozott biztonsági osztályban, - legalább 9 karakter hosszúságú jelszót kell használni emelt jogosultságú felhasználók) számára: kiegészítve az alábbiakkal: - a jelszó – az alábbi 4 csoport közül – legalább három - legalább 12 karakter hosszúságú jelszót kell használni - legalább 14 karakter hosszúságú jelszót kell csoport elemeiből, minimum egy-egy karaktert - a jelszót legalább 120 naponként meg kell változtatni használni tartalmazzon: - a jelszót legalább 90 naponként meg kell változtatni o kisbetű o nagybetű o szám és o különleges karakterek - a jelszó ne tartalmazzon ékezetes betűket - a jelszót legalább 150 naponként meg kell változtatni (tilos beállítani, hogy soha ne járjon le a jelszó!) - a rendszer az utoljára használt 10 jelszót megjegyzi, így azokat nem lehet újra használni - a jelszó ismételten legkorábban 1 nap elteltével változtatható meg - 50 sikertelen bejelentkezési kísérlet után a felhasználói fiókot 10 percre zárolja a rendszer - a tűzfalak 5 sikertelen próbálkozás után 10 percre blokkolják a felhasználói azonosítót
19. szám A MÁV Zrt. Értesítôje 1657
1658
A MÁV Zrt. Értesítôje
19. szám
10. sz. melléklet Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról
Alulírott ………………………………………………………………………………………………… mint a(z) ………………………………………………………………………………………………………………… rendszer (alkalmazás) üzleti tulajdonosa / projektvezetôje kijelentem, hogy az elkészült kockázatelemzés alapján megismertem a rendszert fenyegetô tényezôket és az „Elviselhetô” szintnél magasabb fenyegetettségek kiküszöbölése érdekében hozott intézkedéseket. Az intézkedések következtében a maradó kockázat okozta fenyegetettségek az elfogadható szinten belül maradnak. A fentiek alapján a rendszert a következô biztonsági osztályokba sorolom: Információvédelem (bizalmasság, sértetlenség) szempontjából: ……………………………………………… Rendelkezésre állás szempontjából: …………………………………………………………………………
A rendszert a MÁV Zrt. Informatikai Biztonsági Szabályzatában (Biztonsági osztályok követelményei c. melléklet) foglalt — a fenti besorolásra vonatkozó — követelmények szerint kell kialakítani.
……………………………., 201….…………………………
……………………………….. üzleti tulajdonos / projektvezetô
A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).
19. szám
A MÁV Zrt. Értesítôje
1659
11. sz. melléklet Rendszer-szintû Informatikai Biztonsági Szabályzat (RIBSZ) vázlata 1.
A RIBSZ 1.1. RIBSZ áttekintés 1.1.1. A rendszer rövid bemutatása (célja, létrehozásának indoka, mire nyújt megoldást, megvalósítás módja, kivált-e régebbi rendszereket, fûgg-e más rendszerektôl, tôle függnek-e más rendszerek, tervezett felhasználói kör, elvárt rendelkezésre állási igény, távlati tervek). 1.1.2. Szükségessége (alapja a Mûködési Folytonossági Tervnek) 1.2. A RIBSZ hatálya 1.2.1. Alanyi hatálya 1.2.2. Tárgyi hatálya 1.3. A RIBSZ és más szabályzatok kapcsolata 1.3.1. MÁV Zrt. Szabályzatok 1.3.2. Az üzemeltetést végzô szervezet szabályzatai 1.4. Kiadás dátuma, érvényessége 1.5. Felülvizsgálat (a következô felülvizsgálatára vonatkozó elôírások)
2.
Fogalomtár (csak az IBSZ fogalmain kívüli, a rendszerhez kapcsolódó speciális meghatározások)
3.
Feladat-, felelôsség- és hatáskörök, Rendszerkörnyezet. 3.1. Szervezeti szintû feladat-, felelôsség- és hatáskörök 3.1.1. MÁV Zrt. Infokommunikációs Igazgatóság (IKI) 3.1.2. MÁV Zrt. Információvédelmi vezetô 3.1.3. Üzemeltetô szervezet 3.1.4. Informatikai szolgáltatók (fejlesztô, üzemeltetô, karbantartó stb. szervezetek) 3.2. Szerepkör szintû feladat-, felelôsség- és hatáskörök (beosztás megnevezése, feladatai, jogköre) 3.2.1. Üzleti tulajdonos, vezetôk 3.2.2. Kiemelt felhasználók (pl. üzemeltetô, biztonsági operátor) 3.2.3. Felhasználók 3.2.4. Üzemeltetô szervezet vezetôi, munkatársai (pl. HelpDesk) 3.3. Rendszerkörnyezet 3.3.1. A rendszerkörnyezet leírása (programozási nyelv stb.)
4.
Informatikai biztonsággal szemben támasztott követelmények 4.1. A rendszert fenyegetô tényezôk bemutatása A kockázatelemzés által feltárt, az üzleti tulajdonos számára nem elviselhetô kockázatot rejtô fenyegetettségi tényezôk kerülnek felsorolásra a bizalmasság, sértetlenség és a rendelkezésre állás szerint csoportosítva. 4.2. Adatok besorolása (adatkörök felsorolása) 4.2.1. Bizalmasság (bemutatása input / output elemenként és származtatott adatokra: személyes-, közérdekû-, belsô használatú- és üzleti titok vonatkozásban) 4.2.2. Sértetlenség (bemutatása input / output elemenként) 4.2.3. Rendelkezésre állás (idô és térbeliség bemutatása) 4.3. Értékelés, biztonsági osztály meghatározása (kockázatelemzés összefoglaló értékelése, és az ebbôl meghatározott biztonsági osztály rögzítése)
5.
Informatikai biztonsági rendszer kialakítása (minden eleme a 4.3 pontban leírtaktól függ) 5.1. Adminisztratív védelem 5.1.1. Szabályzatok, dokumentumok kidolgozása, nyilvántartása és védelme, valamint betartásának ellenôrzési rendje. Idôszakos felülvizsgálatok (dokumentumok, mentések, jogosultságok stb.) 5.1.2. Azonosítások, hitelesítési mechanizmusok (jelszó politika). 5.1.3. Naplózás (annak tartalma, hozzáférése, elemzése, védelme és mentése stb.). 5.1.4. A felhasználókra vonatkozó biztonsági szabályok (amelyet a Felhasználói Kézikönyv különálló fejezeteként kell a felhasználók tudomására hozni)
1660
A MÁV Zrt. Értesítôje
5.2.
5.3.
5.4.
5.5. 6.
19. szám
Fizikai védelem 5.2.1. Helyiségek védelme (belépési rendszer, nedvesség (víz), klimatizálás, villám, elektronikai zavarvédelem, tûz, fizikai védelem stb.) 5.2.1.1. Belépés a központi erôforrásoknak helyet adó épületbe 5.2.1.2. Belépés a számítóközpontba 5.2.2. Hardver nyilvántartás, tárolás és védelem, megelôzô karbantartások rendje (szerverek, aktívpasszív eszközök, perifériák, munkaállomások, hálózat stb.) 5.2.3. Szoftver nyilvántartás és védelem (tárolás, jogtisztaság igazolása dokumentumokkal stb.) 5.2.4. Adathordozók (mentések, CD/DVD, Pendrive, külsô HDD stb.) kezelésének szabályai az üzemeltetônél és a felhasználói munkahelyeken (tárolás, hozzáférés, selejtezés, javítás stb.) 5.2.5. Dokumentumok kezelésének szabályai az üzemeltetônél és a felhasználói munkahelyeken (input/output dokumentumok, biztonsági naplók kezelése, hozzáférés, megismerhetôség stb.) 5.2.6. Mobil informatikai eszközök fizikai védelme Logikai védelem 5.3.1. Azonosítás, jogosultságkezelés, (operációs rendszer, alkalmazás, hálózati stb. szinten) 5.3.2. Operációs rendszer, alkalmazás, adatbázis sajátosságai, védelmi funkciói (pl. titkosítás) 5.3.3. Kapcsolat más informatikai rendszerekkel (kapcsolat módja, védelmi intézkedések, adatcsere [interface felület] szabályozása stb.) Mellékletbe a kapcsolati ábra (más rendszerekkel). 5.3.4. Biztonsági mentések, archiválások kezelése (helye, nyilvántartása, mentési módszer, ütemezés, tárolás, visszaállítás-ellenôrzés, hozzáférés, megsemmisítés stb.) 5.3.5. Bejelentkezés külsô hálózatról, távfelügyelet (VPN, FTP, VNC stb.). Biztonsági beállítások. 5.3.6. Mobil informatikai eszközök logikai védelme 5.3.7. Hálózat logikai védelme (elérhetôség, tûzfal, proxy, WLAN, VLAN beállítások stb.) 5.3.8. Kártékony kódok (vírus, kémprogram stb.) és behatolás elleni védelem. Adattároló eszközök ellenôrzése. 5.3.9. Beállítások felülvizsgálata, ellenôrzése, tesztelése, frissítése. Karbantartás, tervezett leállások. Személyi feltételek 5.4.1. Felhasználói szerepkör (felelôsségi kör) megadása, változása (kiválasztás, regisztrálás, azonosítók- jelszavak kiadása, visszavonása, áthelyezés Társaságon belül, kilépés stb.) 5.4.2. Kommunikáció (a rendszer bevezetésérôl, újdonságokról, tervezett leállásokról, hiba esetén a felhasználók értesítése). 5.4.3. Oktatások (a rendszer átadásakor és késôbb), biztonsági tudat fenntartása (a használat során) 5.4.4. Biztonsági ellenôrzések, szankciók Vagyonvédelem (a fizikai vedelem kiterjesztése, élôerôs védelem stb., amennyiben releváns)
Változáskezelési folyamat megoldása (hivatkozás, amennyiben külön dokumentum írja le)
Amennyiben egy-egy pont feladatot határoz meg, szükséges a feladat végrehajtásáért felelôs szervezetnek (személynek), a végrehajtás módjának pontos meghatározása (biztonsági mentések kezelése: ki-, mit-, mikor-, milyen módszerrel és milyen ütemezésben ment, tesztelés, tárolás helye, megôrzési idô stb.). A fenti vázlat tartalma a kifejlesztendô alkalmazás függvényében bôvülhet, vagy szûkülhet, azonban ennek módosításához az Információvédelmi szervezet hozzájárulása szükséges.
19. szám
A MÁV Zrt. Értesítôje
1661
12. sz. melléklet Ellenôrzô lista informatikai szolgáltató részére a számítógépek alapvetô informatikai biztonsági megfelelôségének ellenôrzéséhez Cél: munkaállomások, hordozható számítógépek vonatkozásában információgyûjtés a gyakorlatban megvalósuló informatikai biztonsági helyzetrôl, illetve a — felmérés alapján — a hiányzó (vagy nem beállított) alapvetô biztonsági követelmények pótlása. Általános követelmények • Tartományi (AD, domain) tagság ellenôrzése. • Jelszó kérés be van állítva? Jelszó házirend megfelelôség vizsgálata. • Mûködik-e víruskeresô szoftver és annak naprakészsége megfelelô-e? • Nem szükséges felhasználói fiókok vizsgálata (törlése). • Rendszergazdai jog megléte esetén, rendelkezik-e megfelelô jogosultsággal. • Vendégfiók tiltva van-e? • 10 perces automatikus, jelszavas képernyôzár mûködik-e? • Windows automatikusan frissül-e? • BIOS jelszó be van-e állítva? • Hordozható adattárolóról való indítás le van-e tiltva? (pl. Boot CD-rôl) • IBSZ szerint nem engedélyezett programok vannak-e a gépen? • Konfiguráció feltérképezô program (pl. ZAM, Landesk) mûködik-e a gépen? • Windows beépített naplózása mûködik-e? • Feladatkezelô megnyitása (CPU és RAM kihasználtság ellenôrzése, megnyitott alkalmazások mellett) az aktuális gép pillanatnyi erôforrás kihasználtságának ellenôrzése érdekében. • Internet, intranet elérhetô-e?
• Szoftver karbantartás volt-e a gépen (pl. lemeztöredezettség mentesítés)? • Felhasználó mikor végzett utoljára adatmentést (vagy kérte az informatikai szolgáltatótól)? Fizikai biztonsági követelmények • Felírt jelszó (monitoron, billentyûzet alatt, munkaasztalon) van-e? • Berendezések alapvetô fizikai védelme: por, hômérséklet, nedvességtartalom, tûzvédelem, villámvédelem, energiaellátás (UPS), túlfeszültség védelem megfelelôségének vizsgálata. • Fizikai karbantartás (pl. belsô portalanítás) szükségességének vizsgálata (elvégzése). Személyi követelmények • Felhasználók biztonsági kötelezettségeire vonatkozó Információvédelmi nyilatkozattal rendelkezik-e a felhasználó? • Ismeri-e az IT biztonsági események jelentésének módját? Laptopra, notebookra vonatkozó további követelmények • Titkosított-e a merevlemez? • Lopásvédelmi rendszert (pl. Kensington zár) használnak-e?
1662
A MÁV Zrt. Értesítôje
19. szám
13. sz. melléklet Biztonsági tesztelési jegyzôkönyv Biztonsági tesztelési jegyzôkönyv Teszt azonosító 1. Teszt célja 2. Teszt idôpontja, helye 3. A tesztelést végezte A tesztelendô programok / modul(ok) azonosítása 4. Rendszer neve 5. Teszt jellege 6. Alrendszer 7. Modul(ok) 8. Program/dialógus/riport 9. Verziószám 10. A tesztelés hardver és szoftver környezete:
11. A teszt input adatai (helye, mennyisége, felvételi módja stb.):
12. A teszt végrehajtása:
13. Tesztelés eredménye (outputok leírása, tapasztalt rendellenesség leírása, értékelés stb.):
14. Szükséges intézkedések:
15. Megjegyzés: A teszt eredményének elfogadása / jóváhagyása Kivitelezô részérôl
Üzleti tulajdonos / megbízottja(i)
Név
Név
Aláírás
Aláírás
Név
Név
Aláírás
Aláírás A jegyzôkönyvet az üzleti tulajdonos / projektvezetô átvette:
Név
Aláírás, dátum A jegyzôkönyvet a rendszerdokumentáció részeként kell kezelni (tárolni).
19. szám
A MÁV Zrt. Értesítôje
1663
14. sz. melléklet Selejtezési jegyzôkönyv minta Selejtezett eszköz Gyári szám Leltári szám Üzemeltetésre alkalmatlan, felújítása mûszakilag lehetetlen vagy nem Selejtté válás részletes indoklása Pl.: gazdaságos, további használata üzembiztonsági veszélyeket hordoz Selejtezésre kizárólag az adatok visszavonhatatlan törlése és valamennyi szükséges jóváhagyás beszerzése után kerülhet sor. Adathordozó vagy adathordozót tartalmazó eszköz esetén Adatok visszavonhatatlan törlését elvégezte Kelt Aláírás
Megjegyzés Jóváhagyta Kelt Aláírás Pénzügyi Igazgatóság jóváhagyása Megjegyzés Jóváhagyta Kelt Aláírás Selejtezés igazolása Megjegyzés Selejtezô Kelt Aláírás A jegyzôkönyvbôl minden érintett félnek egy példányt kell kapnia és megôriznie.
1664
A MÁV Zrt. Értesítôje
19. szám
15. sz. melléklet Mûködés- Folytonossági Terv (MFT) vázlata 1. 1.1. 1.2. 1.2.1. 1.2.2. 1.2.3. 1.3. 2. 3. 3.1. 3.2. 3.3. 3.4. 3.4.1. 3.4.2. 3.4.3. 3.5. 4. 4.1. 4.2. 4.3. 4.4. 4.4.1. 4.4.2. 4.4.3. 4.4.4. 4.4.5. 5. 5.1.
Bevezetés Célja Hatálya Személyi hatálya Tárgyi hatály Területi hatály A terv karbantartásáért felelôs Fogalmak, rövidítések Rendszerkörnyezet Biztonsági osztály A rendszert fenyegetô tényezôk Tervcélok meghatározása Üzleti folyamatok elemzése Minimális szolgáltatási szint Mûködési zavarok és biztonsági események súlyozása Rendelkezésre állási követelmények Kockázatelemzés megállapításai Megelôzési intézkedések Kommunikáció Szolgáltatók Munkatársak Általános intézkedések Dokumentumok módosítása, tárolása Fizikai infrastruktúra Adathordozók védelme Tesztelési eljárások Munkatársak oktatása, tréningek Személyi feltételek Mûködés-folytonossági menedzsment szervezete
5.1.1. 6. 6.1. 6.2. 6.3. 6.3.1. 6.3.2. 6.3.3. 6.3.4. 6.3.5. 6.3.6. 6.3.7. 6.4. 6.4.1. 6.4.2. 6.4.3. 6.5. 6.5.1. 6.5.2. 6.5.3. 6.5.4. 6.5.5. 7. 7.1. 7.2.
MFM feladatai Rendkívüli események esetén szükséges intézkedések Az esemény meghatározása, kategorizálása Rendkívüli esemény bekövetkezése Munkatársak feladatai Mûködés-folytonossági vezetô feladatai (ha van ilyen személy) Üzleti tulajdonos feladatai Vezetô feladatai Rendszergazda feladatai Technikai üzemeltetô feladatai Hálózatfelügyelet feladatai Általános munkavállalói feladatok Általános üzemeltetési feladatok Értesítési kötelezettség Fizikai eszközök elôkészítése Adminisztrációs és dokumentálási kötelezettség Teendôk rendkívüli helyzet esetén Értesítés menete Fizikai védelmi kötelezettség, áttelepülés Tartalék eszközök igénybevételének rendje, módja Rendszer helyreállítása Rendszer visszaállítása Eseményelemzés, karbantartás, módosítás, javaslatok Események elemzése Mûködés-folytonossági terv karbantartása
19. szám
A MÁV Zrt. Értesítôje
1665
16. sz. melléklet Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások a)
b) c) d) e) f) g) h) i) j) k) l) m) n) o) p) q) r) s)
2012. évi C. törvény a Büntetô Törvénykönyvrôl (Btk.): — § Személyes adattal visszaélés — § Közérdekû adattal visszaélés — § Levéltitok megsértése — § Magántitok megsértése — § Gazdasági titok megsértése — § Információs rendszer vagy adat megsértése — § Információs rendszer védelmét biztosító technikai intézkedés kijátszása 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. 1999. évi LXXVI. törvény a szerzôi jogról. 2012. évi II. törvény a szabálysértésekrôl, a szabálysértési eljárásról és a szabálysértési nyilvántartási rendszerrôl: — § Minôsített adat biztonságának megsértése. 2001. évi XXXV. törvény az elektronikus aláírásról. 2003. évi C. törvény az elektronikus hírközlésrôl. 2009. évi CLV. törvény a Minôsített adat védelmérôl. 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról MSZ ISO/IEC 27001:2014 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények.” MSZ ISO/IEC 27002:2007 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve.” A gazdasági és közlekedési miniszter 103/2003. (XII.27.) GKM rendelete a hagyományos vasúti rendszerek kölcsönös átjárhatóságáról: 4. sz. melléklet (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika. 40/2006. (VI. 26.) GKM rendelet a vasútbiztonsági tanúsítványra, a biztonsági engedélyre, a biztonságirányítási rendszerekre, a biztonsági jelentésre, valamint az egyes hatósági engedélyezési eljárásokra vonatkozó részletes szabályokról. 59/2014. (XII. 19. MÁV Ért. 24.) EVIG sz. utasítás a MÁV Zrt. Mûködési és Szervezeti Szabályzatáról és Döntési Hatásköri Listájáról. 10/2008. (III. 31. MÁV Ért. 8.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. üzleti titok és belsô használatra készült dokumentumainak védelmi szabályzatáról (egységes szerkezetbe foglalva). 36/2013. (MÁV. Ért. 16.) Biztonság - elnök-vezérigazgatói utasítás A MÁV Zrt. adatvédelmi és adatbiztonsági szabályzatáról 68/2009. (X. 23. MÁV Ért. 31.) VIG sz. vezérigazgatói utasítás a Projektek mûködésérôl a MÁV Zrtnél. 42/2013. (MÁV. Ért. 18.) Biztonság - elnök-vezérigazgatói utasítás A MÁV Magyar Államvasutak zártkörûen Mûködô Részvénytársaság 1087 Budapest VIII. kerület, Könyves Kálmán körút 54-60. szám alatti székházába történô be- kiléptetés és a benntartózkodás rendjérôl. 26/2013. (MÁV. Ért. 13.) Biztonság - elnök-vezérigazgatói utasítás A MÁV Zrt. Biztonsági Politikájának és Biztonságirányítási Kézikönyvének kiadásáról szóló 40/2009 (V. 15. MÁV Ért. 17.) VIG számú vezérigazgatói utasítás 3. számú módosításáról (Egységes szerkezet). 33/2009. (V. 1. MÁV Ért. 15.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. katasztrófavédelmi és polgári védelmi feladatainak ellátására. 16. sz. melléklet: Intézkedések informatikai vészhelyzet megelôzésére.
1666
A MÁV Zrt. Értesítôje
19. szám
17. sz. melléklet Az IBSZ-ben található rövidítések jegyzéke (ABC sorrendben)
DLP: FTP: IBSZ: IHIR: IKI: IT: MABISZ: MDM: MFT: MSZSZ: OWA: OAW: PVÜF TO: RIBSZ: SLA: VPN: WIFI: WLAN:
Adatszivárgás megelôzô rendszer (Data Loss Prevention) Fájl átviteli protokoll (File Transfer Protocol) Informatikai Biztonsági Szabályzat Integrált Humán Irányítási Rendszer Infokommunikációs igazgatóság Informatika, információ technológia (Information Technology) Magyar Biztosítók Szövetsége Mobil Eszköz Menedzsment (Mobile Device Management) Mûködés folytonossági terv Mûködési és szervezeti szabályzat Céges levelezés böngészôn keresztüli távoli elérése (Outlook Web Access) Céges levelezés számítógépre telepített levelezôprogramban történô távoli elérése (Outlook Anywhere) Pályavasúti Üzemeltetési Fôigazgatóság Távközlési Osztály Rendszerszintû Informatikai Biztonsági Szabályzat Szolgáltatási szerzôdés (Service Level Agreement) Virtuális magánhálózat (Virtual Private Network) Semmilyen angol szónak nem rövidítése, a WLAN népszerû neve Vezeték nélküli hálózat (Wireless Local Area Network)
19. szám
A MÁV Zrt. Értesítôje
1667
1668
A MÁV Zrt. Értesítôje
Szerkeszti a MÁV Zrt. Jogi Igazgatóság. 1087 Budapest, Könyves Kálmán körút 54—60. Telefon: 511—3105 Szerkesztésért felelôs a Szerkesztôbizottság. Kiadja a MÁV Zrt. Felelôs kiadó: Dr. Siska Judit. Terjeszti a MÁV Zrt. BKSzE (1087 Budapest, Könyves Kálmán körút 54—60.)
HU ISSN 1419—3973 Nyomda: Komáromi Nyomda és Kiadó Kft. Felelôs vezetô: Kovács János ügyvezetô igazgató
19. szám