magyar államvasutak zártkörűen működő részvénytársaság

6. szám

128. évfolyam

2013. február 22.

ÉRTESÍTŐ magyar államvasutak zártkörűen működő részvénytársaság TARTALOM Utasítások

Oldal

12/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról. 561 13/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Közzétételi Szabályzatáról szóló 26/2012. (V. 04. MÁV Ért. 11.) EVIG számú utasítás 1. számú módosításáról (egységes szerkezetben). 646

Utasítások 12/2013. (II. 22. MÁV ÉRT. 6.) EVIG szÁMú ELnök-VEzÉRIGAzGATóI UTAsíTÁs A MÁV zRT. InfORMATIkAI BIzTOnsÁGI szABÁLyzATÁRóL. 1. Az InfORMATIkAI BIzTOnsÁGI szABÁLyzAT cÉLjA Az Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társaság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelősségek meghatározása. Az IBSZ általános célja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keret-

14/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. fontos és bizalmas munkaköreiről, valamint 671 nemzetbiztonsági ellenőrzés lefolytatásának rendjéről. 2/2013. (II. 22. MÁV Ért. 6.) ÁVIGH számú általános vezérigazgató-helyettesi utasítás a munkaköri kötelezettség körében létrehozott szerzői jogvédelem alá tartozó alkotásokról a Műszaki tervezés szervezetben. 678

rendszerrel és irányelvekkel szolgál az informatikai biztonsági dokumentumok kialakításához. Eljárásainak összessége alapot nyújt a vasúti biztonságirányítási rendszerre vonatkozó követelmények kielégítéséhez. Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósításához. Előírja, hogy csak olyan informatikai rendszereket, berendezéseket és eljárásokat lehet bevezetni és alkalmazni, amelyekkel a Társaság által működtetett folyamatok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre nagyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladata a hazai és nemzetközi szabványoknak, ajánlásoknak való megfelelés, valamint az előírásoknak a Társaság folyamatosan változó szerkezetéhez való igazítása. Mindezek mellett szem előtt tartja a digitális technológia robbanásszerű fejlődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világának legmeghatározóbb jelensége. Ebből következik a biztonsági szabályozás terén is a harmonizálás megteremtésének szükségessége. Az IBSZ átlátható és nyomon követhető formában rögzíti a Társaság azon szabályait, melyek segítségével az

562

A MÁV Zrt. Értesítője

információbiztonság magasabb fokú kialakításának teendői, illetve egyéb szabályzatai, leírásai komplex, a korábbinál átfogóbb és szélesebb körű információbiztonságot alkot. A Társaság munkatársai részére egységes szemléletet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban. 2. HATÁLy- És fELELŐssÉG MEGHATÁROzÁsA 2.1. A szabályzat hatálya 2.1.1. A szabályzat személyi hatálya A szabályzatban meghatározott előírás, feladat, magatartási szabály – beosztásra való tekintet nélkül – kötelező érvényű, és hatálya vonatkozásában kiterjed: - a Társasággal munkaviszonyban és munkavégzésre irányuló egyéb jogviszonyban álló valamennyi természetes személyre (a továbbiakban: felhasználó), - a Társaság informatikai rendszereihez történő hozzáférésre kötött kétoldalú megállapodásban, vagy külön nyilatkozatban foglalt személyi körre, amennyiben a szabályzatot magára nézve kötelezőnek ismeri el. A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhetnek kapcsolatba. Szerződéses jogviszonyban álló személyek esetében a szerződésnek ki kell terjednie az informatikai biztonsági pontokra, illetve jelen szabályzat betartására. A szabályzat hatálya – így különösen a „Biztonságvédelmi irányelvek” (4.1.1. pont) és a „Felhasználók biztonsági kötelezettségei” (1. sz. melléklet) – áttételesen kiterjed minden, a MÁV Zrt. informatikai, telekommunikációs hálózatát, illetve alkalmazásait felhasználó – a szabályzat alá közvetlenül nem tartozó – személyre, amelyet a RIBSZ-ek (lásd: 4.1.3.3. pont) rendszerén keresztül kell biztosítani. Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető egyoldalú informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevőire, továbbá a minősített adat védelméről szóló törvény hatálya alá tartozó elektronikus biztonsági rendszerekre, illetve az azokban feldolgozott adatokra. 2.1.2. A szabályzat területi hatálya A szabályzat területi hatálya kiterjed a Társaság kezelésében, használatában lévő létesítmények területén elhelyezett, valamennyi informatikai rendszer

6. szám

kialakítására és üzemeltetésére. Tulajdonviszonyától függetlenül kiterjed továbbá valamennyi egyéb területre azzal, hogy ez esetben a szabályzat előírásai betartásának kötelezettsége a jogviszony keletkeztetését eredményező használati megállapodásban rögzítésre került. 2.1.3. A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: - a Társaság elektronikus adatainak teljes körére, a felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól és az azokat feldolgozó rendszertől függetlenül, - a Társaság tulajdonában, használatában lévő valamennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket közvetve vagy közvetlenül használó berendezésekre, valamint azok műszaki dokumentációira is, - a Társaság használatában lévő rendszer- és felhasználói programokra, - a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására. 2.2. A szabályzat kidolgozásáért és karbantartásáért felelős A szabályzat kidolgozásáért és karbantartásáért felelős a Biztonsági igazgatóság Információvédelmi szervezet (továbbiakban Információvédelem) vezetője. 3. fOGALMAk MEGHATÁROzÁsA Adat: Tények, utasítások formalizált ábrázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára. Adatbázis: Azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adathordozó: Azon eszközök (pl. CD/DVD, merevlemez, félvezető-alapú tárak) összefoglaló neve, amelyeken a számítógépes adatokat tárolni tudjuk. Adatvédelem: A személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik.)

6. szám


Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintű informatikai biztonsági szabályzatok. Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázatkezelő programok, FOR, MTR, IHIR, GIR, SZIR, KUTINFO, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, kezel. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene. Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan speciális informatikai eszközökre épülő integrált alkalmazás (pl. motorvezérlő elektronika, riasztó, közlekedési lámpa irányító rendszere, egy gyár folyamatirányító rendszere), melyet egy konkrét feladat vagy feladategyüttes ellátására terveztek, és közös jellemzőjük a nagyfokú autonomitás, valamint a fizikai környezettel való intenzív információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysága. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot definiálnak. Három kategóriát (alap – fokozott – kiemelt) különböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény – incidens: A biztonságot fenyegető egy vagy több tényező tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt információhoz csatolt és azzal együtt továbbított

563

kódsorozat. Lehetővé teszi, hogy az információ olvasója ellenőrizni tudja egyrészt a küldő személyazonosságát, másrészt az információ sértetlenségét. Dokumentumfüggő, azaz ha bármilyen változtatás történik az aláírt fájlban, akkor az elektronikus aláírás nem fejthető viszsza. Egyszerű, fokozott biztonságú és minősített kategóriája létezik. Érzékeny adat/információ: A Társaság informatikai rendszerei által kezelt valamennyi, korábban jogszerűen nyilvánosságra nem hozott adat, amelynek nyilvánosságra hozatalát jogszabály, illetve belső utasítás nem írja elő. Érzékeny adat különösen a személyes adat, az üzleti titok, a nem nyilvánossá, illetve belső használatúvá nyilvánított adat, a közérdekű adatot eredményező döntéselőkészítő dokumentum (a keletkezésétől számított tíz évig, illetve a Közzétételi szabályzat alapján történő közzétételéig), a Társaság üzemviteli, üzleti érdekeit, jó hírnevét sértő, vagy veszélyeztető, illetve azt kedvezőtlenül befolyásoló adat. Az előzőeken kívül érzékeny adatnak minősülnek azok a Társaság által kezelt adatok, amelyek sértetlenségéhez, rendelkezésre állásához a Társaságnak érdeke fűződik. Az érzékeny adat mindaddig megőrzi e minőségét, ameddig azt az arra jogosult nyilvánosságra nem hozza. felhő alapú számítástechnika (cloud computing): Olyan adatokkal és alkalmazásokkal történő munkavégzés, amelyek fizikailag nem a Társaság tulajdonában álló gépeken, hanem az interneten, elosztott módon tárolódnak. A privát számítási felhő egyetlen szervezet számára elérhető informatikai erőforrások gyűjteménye. fenyegető tényezők: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezőtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, külső tényezők általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, számítógépes vírus, programhiba). fizikai biztonság: Az információt kezelő rendszerek fizikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzője, hiányossága, amelynek révén fenyegető tényezők hatásának van kitéve. Helyi hálózat (LAn) (Local Area Network): A Társaság (fizikailag több helyen levő) infokommunikációs eszközeit összekötő, rendszerint egységes kommuniká-

564


ciós protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver eszközök közös használatára, és a gépeknek az intranethez vagy az internethez való kapcsolására szolgál. Többnyire irodákban, állomási épületekben található, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására. Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülő rendszerelemek kölcsönösen és egyértelműen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hordozható adattároló: Olyan adattárolásra alkalmas eszköz, amelynek elsődleges célja a benne tárolt adatok átvitele egyik fizikai helyről a másikra. Például: optikai lemezek (pl. CD/DVD), mágneses adattároló lemezek (pl. külső vagy belső merevlemez, szalagok, kazetták), flash memória alapú tárolóeszközök (pendrive, különféle memóriakártyák, SSD). Hordozható informatikai eszköz: E szabályzat alkalmazása során a következő eszközöket értjük alatta: hordozható számítógép (pl. notebook, netbook, ultrabook), tábla számítógép (tablet PC), pda, (okos) telefon. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára. Infokommunikáció: A számítástechnika, a távközlés és az elektronikus média integrált egységességét kifejező megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával működtetett (pl. vezérelt) telepített, vagy mobil berendezések, továbbá rendszerek, eljárások összessége vagy ezek alkotó elemei (pl. számítógép, hordozható informatikai eszköz és adattároló, nyomtató, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.], továbbá az informatikai alapokra épülő távközlési rendszerek [pl. IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök], valamint a hálózatmenedzsment elemei).

6. szám

Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme – az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó előírások, szabványok betartásának vagy mellőzésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között. Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működtetésének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat- és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.) Intranet: Az internetnél is használt TCP/IP protokollra és szolgáltatásokra (e-mail, FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levő) informatikai eszközeit köti össze, amely megoldást jelent belső információs rendszerek kialakítására és berendezéseit az internet felől közvetlenül nem lehet elérni. jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerződésnek megfelelően használt szoftver. katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkező, természeti erő vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelentős részének a rendeltetésszerű, folyamatos működését.

6. szám


kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó e-mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik. kockázat: Fenyegető tényező vagy esemény bekövetkeztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. A kockázatot elemzéssel, a rendszert fenyegető tényezők értékelése útján kell megállapítani. kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a kockázati esemény által okozott potenciális kárértékeket és azok bekövetkezési gyakoriságát. kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és az azok által elért kockázatcsökkenés között. Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettek, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem terveztek megelőző intézkedést. Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat. Minősített informatikai rendszer: Olyan informatikai rendszer, amely fokozott vagy kiemelt biztonsági osztályú besorolást kapott (pl. azért, mert stratégiai fontosságú a Társaság üzletvitele szempontjából). Mobilkommunikációs adatátvitel: Az országos mobiltelefon hálózatokon keresztül valósul meg (GPRS, EDGE, 3G, HSDPA stb.). A szolgáltatás eléréséhez jellemzően a készülékbe (mobiltelefon, mobil stick, tablet PC stb.) helyezhető SIM kártya szükséges. PkI (Nyilvános Kulcsú Infrastruktúra): Olyan világszerte elfogadott rendszer, amely titkosítást és digitális tanúsítványt használ a biztonságos elektronikus dokumentumok és tranzakciók hitelesítése érdekében.

565

Push e-mail: Az az eljárás, amikor a levelező kliens állandó online kapcsolatban van, tehát ahogy a levelező szerverre beérkezik egy e-mail, az azonnal megjelenik a kliensen (pl. telefonon). Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és időben, a rendeltetésének megfelelő szolgáltatásokat nyújtani tudja. Ide kapcsolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezetben – akár csökkentett terjedelmű szolgáltatással – újraéleszthetőek legyenek. Rendszerüzemeltető: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Védelmét a Társaság adatvédelmi szabályzata megfelelően szabályozza. Távolról végzett munka/távmunka: A Társaság informatikai rendszerének biztonsági zónáján kívül eső (nem védett) környezetből végzett tevékenység, amely során a Társaság a felhasználó számára olyan informatikai erőforrások elérését biztosítja (jellemzően VPN-en keresztül), amellyel a munkahelyén egyébként rendelkezhet. Ide nem értendők azoknak a technológiáknak, illetve mobil informatikai megoldásoknak alkalmi felhasználása, amellyel eseti információcserét lehet megvalósítani (pl. OWA, Push email, OAW). E szabályzat alkalmazása során a távolról végzett munkát a továbbiakban távmunkának nevezzük, amely tartalmában nem

566


azonos a Munka Törvénykönyvében szabályozott fogalommal. Témafelelős: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjobban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállítóval szemben, különös tekintettel a végzett szolgáltatások mennyiségére és a feladatok határidejére. Virtualizáció: Olyan technológia, amelynek segítségével a rendelkezésre álló fizikai hardver látszólag megtöbbszörözhető, így például egy fizikai gépen nem csak egy, hanem több egymástól független operációs rendszer üzemeltethető, miközben az operációs rendszer úgy látja, hogy csak ő használja a fizikai hardver erőforrásait. VPn: (Virtual Private Network – virtuális magánhálózat): Olyan virtuális számítógépes hálózat, amely kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, nyilvános hálózatokon különböző titkosítási technikákat is alkalmaz, miáltal lehetőséget biztosít a Társaság számára, hogy a belső hálózat meghatározott elemeit elérhetővé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távmunkát végző) felhasználók számára. 4. Az UTAsíTÁs LEíRÁsA 4.1. A MÁV zrt. informatikai biztonságpolitikája 4.1.1. Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (proaktív) szemléletű biztonsági tevékenység az alábbi védelmi alapelveken nyugszik. - A védelmet fizikai, logikai és adminisztratív vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörűség). - Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). - Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). - Az informatikai rendszerek által kezelt adatok vé-

6. szám

delme erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). - Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani (folytonosság). - A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A felhasználók különböző rendszerekhez való hozzáférési jogosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság). - A védelemben biztosítani kell a szabályozás – szabály-érvényesítés – ellenőrzés – szankcionálás folyamatát (zárt szabályozási ciklus). - A Társaság üzletmenete szempontjából stratégiai vagy minősített informatikai rendszereket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. - Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, probléma- és változáskezelési eljárások alkalmazásával vezethető be. - A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők. - A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, notebook, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz [vezetékes és mobiltelefon, rádió adóvevő] stb.) – eltérő írásbeli megállapodás hiányában – kizárólag a munka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata csak indokolt esetben (pl. beérkező email, telefonhívás megválaszolása során) megengedett. - Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az ellenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén. - Minden felhasználó személyesen felelős saját munkájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekményekért. - A munkáltató jogkör gyakorló felelős annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket. 4.1.2. Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelősnek az egyeztetés

6. szám


567

folyamatába be kell vonni az információvédelmi vezetőt. A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továbbá hozzáférési szerződést vagy megállapodást írásba kell foglalni, abban valamennyi felhasználóra kiterjedően érvényesíteni kell az IBSZ előírásait. Ennek érdekében azt kötelező előzetesen véleményeztetni: - az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiával való illeszkedés biztosítása, az informatikai, infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerződés nyilvántartásba vétele, - a Pályavasúti üzemeltetés Távközlő-, erősáramú- és biztosítóberendezési főosztállyal (TEBF) a távközlő adatátviteli hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá - az információvédelmi vezetővel az informatikai biztonsági megfelelőség garantálása érdekében.

cifikus szabályokat a rendszerszintű IBSZ-eknek (továbbiakban RIBSZ) kell tartalmaznia. Főbb pontjai: rendszerkörnyezet, feladat-, felelősség- és hatáskörök, informatikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, logikai, fizikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés. Tekintettel arra, hogy az ebben foglalt információk illetéktelenekhez kerülése a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes intézkedést vagy szabályozást, kivéve ha azt az elnök-vezérigazgató engedélyezi. A RIBSZ minimális követelményeit tartalmazó mintát a 11. sz. melléklet tartalmazza.

A szerződés kizárólag a felsorolt szervezeti egységek és személyek állásfoglalásának figyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja.

4.1.4.1. Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése

4.1.3. Az informatikai biztonság dokumentumai 4.1.3.1. Informatikai Biztonsági szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvető dokumentum, amely tartalmazza a biztonságpolitikát, az alapvető fogalmakat, az informatikai biztonsággal kapcsolatos intézkedéseket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén. 4.1.3.2. Infokommunikációs Biztonsági stratégia Az Informatikai és Távközlési stratégia integráns részeként, annak önálló fejezeteként készül el az Infokommunikációs Biztonsági Stratégia melyben átfogóbb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az Infokommunikációs Biztonsági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az információvédelmi vezetővel együttműködve végzi el. 4.1.3.3. Rendszerszintű Informatikai Biztonsági szabályzatok Az Informatikai Biztonsági Szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve spe-

4.1.4. A fejlesztés, üzemeltetés és felülvizsgálat irányelvei

A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű távközlő adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat időben, már a rendszer tervezése során, az információvédelmi vezető egyetértésével definiálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biztonsági előírások igazolt teljesülése esetén szabad használatba venni. Jelen pont alkalmazása során az informatikai fejlesztések körébe nem értendő bele a már használatban lévő rendszer struktúráját, illetve rendszerszintű biztonságát nem érintő olyan változtatás, amelynek célja az informatikai alkalmazással támogatott üzleti munkafolyamatok eseti korrekciója (pl. jogszabályoknak való megfelelés biztosítása, adatstruktúra korrekciója). Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenőrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok érvényesülésének elsődlegességét. Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az információvédelmi vezetőt is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését követően szabad üzembe helyezni, amelyről az üzleti tulajdonos rendelkezik.

568


6. szám

4.1.4.2. számítógépes és hálózati szolgáltatások biztonságos üzemeltetése

4.2. A MÁV zrt. informatikai biztonságának szervezeti struktúrája

A Társaság területén és tulajdonában üzemelő informatikai eszközökön és hálózati berendezéseken – feltéve, hogy kifejezetten erre vonatkozó, az információvédelmi vezető által is véleményezett szerződés másként nem rendelkezik – kizárólag a Társaság adatait szabad kezelni, feldolgozni, illetve továbbítani. Szolgáltatási szerződés alapján külső szerveknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól. E tevékenységhez csak a Társaság által rendszeresített, megfelelő vírusellenőrzésnek alávetett szoftverek alkalmazhatóak, továbbá a jogszerű használat érdekében biztosítani kell a szükséges mennyiségű és tartalmú licencet, azok nyilvántartását és megfelelő használatát. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtethető legyen az egyes személyek egyéni tudásától és helyismeretétől való túlzott függőség nélkül. Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelő intézkedéseket kell hozni valamennyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A működés-folytonosság tervezésével el kell érni, hogy káresemény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitől. A minősített rendszerekben kért és kiadott jogosultságokat olyan nyilvántartásban kell megőrizni, ahol biztosított az adatok bizalmassága, sértetlensége és rendelkezésre állása. A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának biztonságát és az infrastruktúra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközöket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távmunka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba, rendszerekbe (pl. internet, levelező rendszerek) átlépni csak előre definiált és engedélyezett módon szabad.

A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök-vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság, az Infokommunikációs igazgatóság, a Távközlő-, erősáramú- és biztosítóberendezési főosztály és a Stratégiai pályavasúti fejlesztés és lebonyolítás (SPFL) útján valósul meg. Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el: - Információvédelmi vezető: szabályozás kialakítása, betartásának felügyelete, ellenőrzése, - IKI: technológiai biztonság kialakítása, informatikai fejlesztések koordinálása, - TEBF: az távközlő adatátviteli hálózat üzemeltetési területén a technológiai biztonság kialakítása, biztonságos üzemeltetése - SPFL: hálózatfejlesztés során a rendszerek fejlesztésének koordinálása. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az információvédelmi vezető a Társaság valamennyi informatikai fejlesztési és infokommunikációs üzemeltetési szervezeteitől független személy kell, hogy legyen. 4.2.1. feladat-, felelősség és hatáskörök szétválasztása Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat-, felelősség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását és a felelősségre vonhatóságot. 4.2.2. A MÁV zrt. informatikai biztonságát irányító vezetők és feladataik Az informatikai biztonság irányításának szereplői: - elnök-vezérigazgató - biztonsági igazgató - információvédelmi vezető - infokommunikációs igazgató - infokommunikációs biztonsági vezető - távközlő-, erősáramú- és biztosítóberendezési főosztályvezető - Pályavasúti Területi Központ távközlő-, erősáramúés biztosítóberendezési osztályvezető

6. szám


4.2.2.1. Elnök-vezérigazgató a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erőforrást. c) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság információvédelmi tevékenységét. d) Az IKI felterjesztése alapján megbízza az üzleti tulajdonosokat. e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenységére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó Informatikai Biztonsági Szabályzatot (IBSZ). f) A Társaság informatikai stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetőjére háruló informatikai biztonsági ellenőrzéseket a biztonsági igazgató közreműködésével gyakorolja, és irányítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezően alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelőzésének és elhárításának feltételeiről, i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd 4.8.5. pont). 4.2.2.2. Biztonsági igazgató a) Gondoskodik a Társaság működésével összefüggő információk védelméről, ennek érdekében az Informatikai Biztonsági Szabályzat és annak részeként az informatikai biztonsági politika kialakításáról, karbantartásáról. b) Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályok kibocsátását. c) Az informatikai biztonságra is tekintettel, biztonsági szempontból véleményezi a Társaság szabályzatait, szerződéseit. d) Felelős az Információvédelem működési feltételrendszerének megteremtéséért. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erőforrásokat. e) Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében okta

569

tásokon, továbbképzéseken, konferenciákon való részvételét. f) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatokba épített ellenőrzési feladatait, tevékenységeit. g) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében intézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehajtását az információvédelmi vezető útján rendszeresen ellenőrzi. h) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való kizárására. i) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén. j) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. k) Közreműködik az üzleti tulajdonosok kiválasztása során, továbbá egyetértési jogot gyakorol az elnök-vezérigazgatóhoz felterjesztésre kerülő megbízásukkal összefüggésben. l) Az információvédelmet érintő incidensek esetén intézkedéseket hoz a kármegelőzés érdekében, szükség esetén irányítja az események kivizsgálását. 4.2.2.3. Információvédelmi vezető Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat. c) Irányítja a területi informatikai biztonsági megbízottak munkájának szakfelügyeletét. d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása, továbbá közreműködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezdeményezi hírlevél kiadását, illetve e-mail útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenőrzi a jelen szabályzatban megfogalmazott követelmények végrehajtását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Az üzleti

570


tulajdonosok vagy elnök-vezérigazgató részére intézkedésre tesz javaslatot bűncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. A szabályzat által érintett hatókörben kivizsgálja a Társaság, illetve a MÁV Csoport működését és érdekeit veszélyeztető informatikai incidenseket és egyéb rendkívüli eseményeket. f) Segíti az üzleti tulajdonosokat az előírásszerű biztonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgáltatási szerződések kialakítását, szükség esetén ellenőrzi azok betartását. g) Biztonsági szempontból támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről. h) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatosságának fejlesztése érdekében. i) Felkérésre állást foglal a szabályzat előírásainak értelmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdésekben. j) Közvetlenül együttműködik és kapcsolatot tart az IKI, a TEBF és a Biztonsági igazgatóság vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire. k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével. l) Lehetővé teszi a szakértők ismereteinek naprakészen tartása és a folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon való részvételt. Hatásköre: a) Jogosult az ellenőrzési, vizsgálati tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatban bármilyen iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre, illetve ezekkel kapcsolatban felvilágosítás kérésére, különös tekintettel a minősített rendszerekre. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megisme-

6. szám

résére. (E kérdéskörben a Társaság belső adatvédelmi felelőse jogosult ellenőrzést gyakorolni.) b) Jogosult a szabályzat területi hatálya alá tartozó valamennyi épületben és azon belül minden helyiségben az informatikai és távközlési eszközök biztonsági szempontú vizsgálatára. c) Jogosult a teljes működési területére kiterjedő informatikai biztonsági felügyeleti ellenőrzések végzésére, szükséges intézkedések kezdeményezésére. Amennyiben ellenőrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását. 4.2.2.4. Infokommunikációs igazgató a) A MÁV Csoportszintű informatikai stratégiájának meghatározása és végrehajtása során a jelen szabályzatban megfogalmazott előírások figyelembe vételével elősegíti az informatikai biztonsági szabályok érvényesülését. b) Felelős az üzleti tulajdonosok kiválasztásáért és a biztonsági igazgató egyetértése mellett elnök-vezérigazgató részére történő felterjesztéséért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében. d) Gondoskodik arról, hogy a Társasági rendszerekhez való hozzáférés kellő biztonsági körülményei kidolgozásra kerüljenek és a biztonsági fenyegetettséghez illeszkedően ezek naprakészek legyenek. 4.2.2.5. Infokommunikációs biztonsági vezető a) Elkészíti az infokommunikációs biztonság technológiai szabályozását, normatívákat határoz meg, gondoskodik a szabályozás folyamatos aktualizálásáról és betartatásáról. b) Az a) pontban jelzett előírásokat érvényesíti az infokommunikációs projektekben és az infokommunikációs szolgáltatási szerződésekben. c) Rendszeresen technológiai állapotjelentést készít az infokommunikációs biztonság helyzetéről. d) Kockázatelemzés alapján tesz javaslatot az infokommunikációs biztonsági rendszerek kiválasztására, és a meglévő rendszerek technológiai fejlesztésére. e) Részt vesz az infokommunikációs biztonsági problémák feltárásában, vizsgálatában. f) Felügyeli az IT biztonsági rendszereket. g) Kidolgozza az informatikai biztonsági rendszerek (tűzfalak, behatolás jelző/védő rendszerek, vírus és spam-szűrők) szabályrendszerét. 4.2.2.6. Távközlő-, erősáramú- és biztosítóberendezési főosztályvezető a) A vasúti infrastruktúrához tartozó távközlő, erősáramú és biztosítóberendezési felügyeleti, karbantartási,

6. szám


hibaelhárítási, felújítási és fejlesztési tevékenység informatikai biztonsági szabályozása és felügyelete. b) A Társaság távközlő adatátviteli hálózata vonatkozásában felelős: – a biztonsági osztályok követelményeinek megfelelő adathálózati védelmi rendszerek, eszközök honosításáért, üzemeltetéséért, fejlesztések koordinálásáért, szabványosításáért, – a RIBSZ és a benne foglalt biztonsági követelmények kialakításáért, ellenőrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, – feladatkörében, Társaság szinten egységes változáskezelési rendszer kialakításáért, – annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, – az adathálózatot megvalósító rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért. c) Az előző pontokban meghatározott feladatok ellátása érdekében a szakterületek felügyelete. d) Közvetlenül együttműködik és kapcsolatot tart az információvédelmi vezetővel. 4.2.2.7. Pályavasúti Területi központ távközlő-, erősáramú- és biztosítóberendezési osztályvezető a) A vasútüzemhez kapcsolódó beágyazott rendszerek sajátosságait figyelembe véve az informatikai biztonsági tevékenység irányítása. b) Közvetlenül együttműködik és kapcsolatot tart az információvédelmi vezetővel. 4.2.3. A MÁV zrt. informatikai biztonságát megvalósító szervezetek és szerepkörök A Társaság azon szervezeti egységei, amelyeknek – a Működési és Szervezeti Szabályzat értelmében – az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, működtetésében feladataik vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelősek a Társaság működését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért. 4.2.3.1. Infokommunikációs igazgatóság Felelős: – a MÁV Csoportszintű informatikai stratégiájának kialakítása és végrehajtása során a jelen IBSZ-ben foglalt előírások érvényesüléséért, – a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irá-

571

nyításáért és átvételéért, a Társaságnál való honosításáért, – az üzleti tulajdonos támogatásáért, hogy az új informatikai rendszerek megvalósítását célzó projektek előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek, – annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévők korszerűsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, – minden informatikai rendszer tekintetében - a rendszerfejlesztés részeként az üzleti tulajdonossal együttműködve - a fejlesztésért, ennek során a technológiai informatikai biztonsági követelmények kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, – infokommunikációs biztonsági rendszerek fejlesztésének kidolgozásáért, és megvalósításáért, – az informatikai biztonságot bármely módon érintő projektek, fejlesztések tekintetében az információvédelmi vezető tájékoztatásáért, – informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek érvényesítéséért, – az informatikai szolgáltatók, szolgáltatási szerződések és SLA-k biztonsági megfelelőségéért, – jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért, – az operációs rendszerek és alkalmazások – a Társaság által ellenőrzött – biztonsági javításainak beszerzéséért és telepítéséért, – társasági szintű konfigurációkezelési adatbázis felállításáért és működtetéséért, – felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, – a minősített rendszerekben társasági szinten egységesített elvekre épülő változáskezelés működtetéséért, – a távfelügyelet, a mobil eszközökkel végzett és a távmunka biztonságos feltételeinek kialakításáért (pl. távmunka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez autentikációs és titkosító eszközök biztosítása, védett vonalak kialakítása) a TEBF, az információvédelmi vezető és az üzleti tulajdonosok (távmunka engedélyeztetése) közreműködésével, – A PKI (Publikus Kulcsú Infrastruktúra) vonatkozásában a tanúsítvány szolgáltatóknál a Társaság teljes jogkörű képviseletéért és ennek kapcsán kizárólagos jogkörrel – egyutas ügyintézésként – a „kapcsolattartói” feladatkör ellátásáért. – az informatikai biztonsági adminisztráció, így különösen a hozzáférés-menedzsment kialakításáért.

572


4.2.3.2. főtevékenységi kör vezető Köteles főtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk védelméért. Ennek keretében irányítási területén, a felelősségi körébe tartozó informatikai rendszerekre nézve felelős: – a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, – a rendszerfejlesztési projekt előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, – a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, – a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, – az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, – a biztonsági rendszernek a rendszerszintű informatikai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért, – az általános biztonsági kultúra folyamatos gondozásáért, – informatikai biztonsági ügyekben az információvédelmi vezetővel és az IKI-vel való együttműködésért. 4.2.3.3. Üzleti tulajdonos Minden informatikai rendszer biztonságát már a fejlesztés szakaszában egy üzleti tulajdonoshoz kell rendelni, akit az informatikai rendszerfejlesztést kezdeményező javaslata alapján – a biztonsági igazgató egyetértése és az Infokommunikációs igazgató előterjesztése után – az elnök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásában is szerepeltetni kell. Mindaddig, amíg az üzleti tulajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató. Az informatikai rendszerek fejlesztése során az üzleti tulajdonos kijelöléséig, a projektvezető látja el e feladatokat. Az üzleti tulajdonos az a vezető, aki jogosult a rendszer biztonságát érintő fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen annak a szervezeti egységnek a

6. szám

vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ő a rendszer biztonsági kockázatainak kezelője, felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenőrizzék. Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában: – a rendszer rendelkezésre állási paramétereinek meghatározásáért, az előre nem várható események (incidensek) esetén a szükséges tevékenységek irányításáért, – a rendszer tervezése során a Társaságnál már üzemelő vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhető adatok esetleges felhasználhatóságának vizsgálatáért, – a rendszer tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, ennek alapján az IKI és az információvédelmi vezető egyetértésével a rendszer biztonsági osztályba sorolásáért, – a kockázatok kezeléséhez szükséges ráfordítások, erőforrások, intézkedések menedzseléséért, a maradványkockázat meghatározásáért és elfogadásáért, – a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biztosításáért, – a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. rendszerterv, kockázatelemzés, RIBSZ, Működés-folytonossági terv, felhasználói- és üzemeltetői kézikönyvek) elkészítéséért és aktualizálásáért, – a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés), – a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért, – a rendszer használata során a kialakított biztonsági szint fenntartásáért, – a rendszer változása (fizikai, jogi, szervezeti, szoftver, hardver stb.) esetén a lehetséges új kockázati tényezők feltárásáért és értékeléséért, – a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában, – a működés-folytonosság biztosítása érdekében tervezett feladatok végrehajtásának ellenőrzéséért, – a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, – a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért és az előírások rendszeres ellenőrzéséért,

6. szám


– a rendszert használók és üzemeltetők jogosultságainak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért, – központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért. Jogosult az általa tulajdonolt rendszer(ek) vonatkozásában: – megbízott kijelölésére, aki a nevében eljár, – a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntések meghozatalára, – a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére, – a rendszer biztonsági osztályba sorolásából következő védelmi intézkedések foganatosítására, illetve kezdeményezésére a Társaság felső vezetése felé, – az esetlegesen előforduló informatikai biztonsági incidensek kivizsgálásában való közreműködésre, a szükséges szankciók kezdeményezésére, – információvédelmi vezető, IKI és más szakmai szervezetek segítségének közvetlen igénybevételére, – szükség szerint az informatikai biztonsági tevékenység ellátásában közreműködő rendszerszintű informatikai biztonsági megbízott kijelölésére (lásd 4.2.3.8. fejezet). 4.2.3.4. szakterületi vezetők: Az alábbi kiemelt feladatok vonatkozásában a Társaság egészére kiterjedően felelős: Humánerőforrás igazgatóság vezetője: – az informatikai rendszerekben előforduló, társasági szintű következményekkel járó biztonsági események értékelésénél az ezek alapján meghozandó munkáltatói intézkedések, szankciók foganatosításáért. – Az Infokommunikációs Igazgatóság, illetve a Biztonsági igazgatóság által igényelt és az éves képzési tervben jóváhagyott informatikai biztonsági képzések, továbbképzések és tréningek megszervezéséért. Belső ellenőrzési főosztály vezetője: – az informatikai és az informatikai biztonsági szakterület ellenőrzési folyamatainak a szakmai szabályzatokkal valóösszevetéséért, a szabályzatokban foglaltak végrehajtásának ellenőrzéséért, – az Általános Ellenőrzési Utasítás alapján végzett, informatikát érintő ellenőrzések során az együttműködés kezdeményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások biztonsági igazgató és az Infokommunikációs igazgatóság vezetője számára történő átadásáért. Ingatlangazdálkodási igazgatóság vezetője: – a Társaság objektumainak, telephelyeinek az informatikai biztonsági követelményeknek is megfelelő védelme biztosításáért.

573

4.2.3.5. felhasználó beosztottal rendelkező vezető Irányítási területén biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglaltakat minden általa vezetett munkavállaló és külső hozzáférő teljes mértékben megismerje és betartsa. Ennek során feladata: – a közvetlen irányítása alá tartozók részére a Társaságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás stb.) kezdeményezése, – a közvetlen irányítása alá tartozó felhasználók vonatkozásában – a technikai feltételek biztosítását követően – a munkafolyamatokat úgy megszervezni, hogy a feldolgozott adataik biztonságos mentése megvalósulhasson, – a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, minősített rendszerek esetén a munkálatok felügyeletének megszervezése, – a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, közvetlenül az információvédelmi vezető és az infokommunikációs biztonsági vezető részére (lásd 4.9.1. fejezet), – szükség esetén a működési területe speciális jellegzetességeit tükröző helyi végrehajtási utasítás kibocsátása vagy oktatások megigénylése, és a hozzátartozó munkavállalók oktatásokon való megjelenésének biztosítása, – a Felhasználók biztonsági kötelezettségei c. dokumentumban (1. sz. melléklet) rögzítettől eltérő használat észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az információvédelmi vezető részére. 4.2.3.6. Munkáltatói jogkör gyakorló vezető Felelős a hozzá beosztott felhasználók vonatkozásában: – Az „Informatikai biztonsági nyilatkozat” (2. sz. melléklet) személyenkénti megismertetéséért, a humánpartner szervezet közreműködésével annak dokumentálásáért és a nyilatkozatok nyilvántartásáért. Ellenőrzési jogkörét írásban delegálhatja más beosztottja részére. – Szükség esetén a 4.4.2.4. pontban előírt fegyelmi eljárás megindításáért – A munkavállaló alkalmazásának megszűnésekor a 4.4.3. pontban rá háruló döntések meghozataláért (pl. mentés elrendelése, adatok további felhasználása, hozzáférési jogok visszavonásának ellenőrzése).

574


4.2.3.7. Informatikai biztonsági szakértő A Biztonsági igazgatóság szervezeti keretei között, az informatikai biztonsági szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban: – az informatikai biztonsági dokumentumok kidolgoztatása, az előírások betartásának ellenőrzése, – informatikai fejlesztésekben az információvédelmi vezető képviselete, – az informatikai rendszerek, valamint a rendszergazdák tevékenységének biztonsági szempontú ellenőrzése és felügyelete, – a területi informatikai biztonsági megbízottak munkájának szakfelügyelete, – rendszerüzemeltetési dokumentumok vizsgálata, – informatikai biztonság események (incidensek) kivizsgálása, – javaslattétel a védelmi intézkedésekre, szankciókra, – a fizikai biztonság megvalósulásának felügyelete, ellenőrzése, – informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, vezetők, felhasználók segítése, – biztonsági naplók ellenőrzése, – szakmai ismereteit felhasználva támogatást nyújt az informatikai biztonsági képzési, oktatási tevékenység részére, az O.1. utasításban szereplő informatikai biztonsági oktatások tematikájának véleményezésében, az oktatások időtartamának és gyakoriságának előírásában, – az ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon vesz részt, – közvetlenül együttműködik és kapcsolatot tart az IKI, a TEBF és az informatikát üzemeltető szervezet szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbízottakkal, a projektvezetőkkel, valamint a Társaság leányvállalatainak informatikai biztonságért felelős biztonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re, – biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonsági tevékenységét ellátó szakértőjével. 4.2.3.8. Területi informatikai biztonsági megbízott A Biztonsági igazgatóság területi vasútbiztonsági szervezeteinél a biztonsági megbízotti feladatokat ellátó munkavállaló a területi vasútbiztonsági vezető irányításával, az információvédelmi vezető szakmai felügyelete mellett végzi az informatikai biztonságot támogató

6. szám

munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett: – ellenőrzi az informatikai biztonságra vonatkozó egyszerűbb szabályok betartását (illetéktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használat, jogosultságok nem megfelelő használata stb.), – informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi vezetőt az információvédelmi vezetőt és az infokommunikációs biztonsági vezetőt, – helyi ismereteit felhasználva részt vesz az informatikai biztonsági rendkívüli események kivizsgálásában, – ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát, – felügyeli a fizikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása). A megbízottak névsorát a Társaság intranetes weboldalának biztonsági aloldalán közzé kell tenni. 4.2.3.9. Rendszerszintű informatikai biztonsági megbízott Az üzleti tulajdonos egyedi döntése alapján, az informatikai fejlesztések és projektek, valamint az informatikai rendszerek üzemeltetése során – az információvédelmi vezető szakmai támogatásával – közreműködik az üzleti tulajdonos rendszer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett: – előkészíti és nyomon követi az informatikai biztonságot érintő dokumentumokat, – előkészítő munkát végez az üzleti tulajdonos döntéseinek támogatása érdekében, – figyelemmel kíséri a biztonsági követelményekre kialakított szabályok betartását, – közreműködik az érintett rendszer informatikai biztonsági feladatainak ellátásában, – informatikai biztonsági rendkívüli események észlelése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost az információvédelmi vezetőt és az infokommunikációs biztonsági vezetőt. 4.2.3.10. Projektvezető A Társaság informatikai rendszereit érintő fejlesztési projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős: – a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, – a rendszer tervezése során a Társaságnál már üzemelő vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhető adatok esetleges felhasználhatóságának vizsgálatáért az IKI bevonásával,

6. szám


– az adott informatikai rendszerben és annak környezetében megvalósítandó fizikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek meghatározásának kezdeményezéséért, – az informatikai rendszerben kezelendő, üzleti titoknak minősülő adatok titokban tartása érdekében a szükséges intézkedések kezdeményezéséért, – az informatikai rendszer biztonsági osztályba sorolását megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulajdonossal történő jóváhagyatásáért, – A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogosultság kezelő rendszer elveinek érvényesítéséért. – mindaddig, amíg az üzleti tulajdonos nem kerül kijelölésre, annak feladatait a projektvezető látja el, – a fizikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az információvédelmi vezető szakmai együttműködésének a biztosításáért, – a rendszer biztonsági dokumentumainak (kockázatelemzés, RIBSZ, működés-folytonossági terv, felhasználói- és rendszer dokumentációk) elkészíttetéséért, – a projekt bevezetéséhez szükséges képzések és oktatások tematikájának felterjesztéséért, a képzésben résztvevők körére és a képzések szervezésének ütemezésére. – a biztonsági rendszernek az éles üzembe történő bevezetéséért. 4.2.3.11. Üzemeltetés-vezető A Társaság informatikai rendszereinek és koncentrált informatikai erőforrásainak (pl. számítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős: – a hatáskörébe utalt informatikai rendszerekben kezelt információk bizalmasságának, sértetlenségének és rendelkezésre állásának biztosításáért, – a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifikus RIBSZ biztonsági előírásainak érvényre juttatásáért, – a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechanizmusainak a védelmi rendszertervben jóváhagyott beállításáért és naprakészen tartásáért, – a biztonsági rendszerben beállt változások dokumentálásáért, – a biztonsági naplók szabályszerű kezeléséért, az észlelt biztonsági események feljegyzéséért, ezekről a rendszer üzleti tulajdonosa és az infokommunikációs biztonsági vezető tájékoztatásáért, – a rendszer működtetésében résztvevő rendszergazdák, biztonsági adminisztrátorok tevékenységének öszszehangolásáért.

575

4.2.3.12. Rendszergazda A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: – a logikai védelmi rendszer beállítása a védelmi rendszertervnek és a jóváhagyott jogosultságoknak megfelelően, – adatszolgáltatás a jogosultság nyilvántartó rendszer részére, – a biztonsági és védelmi beállítások módosítása, aktualizálása a jóváhagyott változásoknak megfelelően, – RIBSZ betartásának operatív ellenőrzése a biztonsági rendszerek folyamatos felügyeletével, az észlelt rendellenességek kezelése, – az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékenységek biztonsági felügyelete, – különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jogosulatlan licensz-felhasználás jelentése a felettes üzemeltetés-vezető és közvetlenül az információvédelmi vezető, valamint az infokommunikációs biztonsági vezető részére, – a biztonsági rendszerben történt változások dokumentált követése, – a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és incidensek esetén közvetlenül az információvédelmi vezető részére. 4.2.3.13. felhasználó Aki a Társaság üzleti céljainak elérése érdekében informatikai eszközt kezel, és arra telepített programot (alkalmazást) használ feladatai megoldásához, köteles az általa kezelt eszközök, rendszerek informatikai biztonságára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonatkozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentációk biztonsága c. fejezetben (4.6.1.1. pont) megjelölt személynek kell a felhasználó rendelkezésére bocsátania. Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentumban foglaltakat megismerni, azt a 2. sz. melléklet aláírásával elfogadni és napi munkájában alkalmazni. 4.2.3.14. Informatikai szolgáltató A Társaság részéről szerződő fél köteles a Társaság informatikai biztonsági előírásait érvényesíteni az informatikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során.

576


Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek ellátása során a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzését, a Társaság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgáltatási szerződésnek megfelelő működést. A felhasználónál végzendő tevékenységet a szolgáltató szervezet minden esetben köteles előzetesen egyeztetni. A kiérkező szakembernek a megjelenésekor jól látható és egyértelműen beazonosítható jelzést kell viselnie, rendelkeznie kell a feladat ellátását hitelt érdemlően alátámasztó dokumentummal (megbízólevél, szerződés stb.), ennek során a személyazonosságát igazolnia kell tudni. Incidens bekövetkezése esetén a szolgáltatási szerződésekben elő kell írni a szolgáltató részéről az információvédelmi vezető számára a tájékoztatást és az együttműködési kötelezettséget. 4.2.3.15. Informatikai működéstámogatás Azon szervezetek, amelyek feladatai között az MSZSZben informatikai működéstámogatás, IT fejlesztés és üzemeltetés feladatok szerepelnek, a munkájuk során kötelesek az IBSZ előírásai szerint tevékenykedni. Az informatikai biztonság érdekében támogatják az üzleti tulajdonos tevékenységét, valamint együttműködnek az Információvédelmi szervezettel. 4.2.4. Az informatikai biztonság szabályozása a Társaság partnereire vonatkozóan 4.2.4.1. céges partnerek A partnerek (pl. kereskedelmi cégek) informatikai biztonságával kapcsolatos intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő információk kiszivárgását. Ezért a biztonsági gyakorlat a partnereket hasznosságuk mellett, bizonyos mértékű veszélyforrásnak is tekinti. A Társaság partnerei nem kötelezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Társaság részére. A szerződéssel rendelkező partnerek esetében tájékoztató jelleggel fel kell hívni a figyelmet a szolgáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljárások alkalmazására. 4.2.4.2. szakmai kapcsolatok A Társaság informatikai rendszerei több szálon is kapcsolódnak más nemzeti vagy nemzetközi vasúti szervezet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi,

6. szám

igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás). Ezekben a kapcsolatokban – megfelelő szakmai előkészítő tárgyalások után – az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biztonsági követelményeiben, besorolásában. Az írásba foglalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a biztonság garantálásához alkalmazandó üzemeltetési, felügyeleti és ellenőrzési eljárások részleteit. A Társaság oldalán az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttműködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással. 4.2.4.3. Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég valamely – informatikai biztonsággal kapcsolatos, illetve azt érintő – szolgáltatását. Ilyen szolgáltatás lehet például: – hálózat (internet) szolgáltatás – on-line banki szolgáltatás – hardverkarbantartás, javítás – hardver/szoftver bérbeadás – hardver/szoftver üzemeltetés – hosting szolgáltatás – informatikai audit, vizsgálat – rendszeradminisztráció, vírusvédelem – szoftverfejlesztés – alkalmazás-követés (upgrade, patch stb.) – oktatás – egyéb informatikai szolgáltatás (pl. nyomtatás) – takarítás, őrzés-védelem A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásánál, mind a szerződések megkötésénél a megfelelő biztonsági garanciák beépítésével, ennek során a biztonsági megfelelőség megítélésében figyelembe kell venni az információvédelmi vezető véleményét. Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállítói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszernek 3. sz. mellékletben felsorolt elemekből kell felépülnie. A minősítést az IKI igénye alapján az információvédelmi vezető az Infokommunikációs biztonsági szervezet bevonásával végzi.

6. szám


4.2.4.4. Projekt partnerek A Társaság informatikai rendszereinek korszerűsítésére, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyeztetésénél – az érintett rendszer biztonsági besorolásának megfelelően – az informatikai biztonsági előírások maradéktalan érvényesítését is biztosítani kell. A pályázati felhívásban – a funkcionális követelmények mellett – a pályázóktól elvárt informatikai biztonsági követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az információvédelmi vezető és az IKI állásfoglalását ki kell kérni. A pályázati anyagok elbírálása során a biztonsági besorolás szintje által determinált súlyozással kell figyelembe venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vállalt biztonsági garanciákat. A kiválasztás során alkalmazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert. 4.2.4.5. Partner-szerződések megkötésének biztonsági szabályai Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fizikai-, illetve logikai hozzáférési lehetőségeket biztosítunk, újabb kockázatok jelennek meg. Ezek kompenzálása érdekében a partnerekkel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek biztonsági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják) a partner számára: – a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, – a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést, – személyes adatok kezelését, – a szerződéssel kapcsolatos információk nyilvánosságra hozatalát, vagy harmadik fél részére történő átadását, – alvállalkozók bevonását; a Társaság számára: – a partner által végzett belső- és külső tevékenységek felügyeletét, ellenőrzését, szükség esetén beavatkozását,

577

– a partner által nyújtandó szolgáltatás szintjének objektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését, – a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését, – biztonsági auditor cégek bevonását. A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is: – titokvédelem, – szerzői jogi és tulajdonjogi kérdések, – hazai, nemzetközi valamint MÁV Zrt. szabványoknak, előírásoknak való megfelelés, – változáskezelés folyamata, – problémakezelés folyamata, – kockázatkezelés, a biztonsági szint fenntartásának folyamata. A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai szerint történik, a rendszerek kialakítását vagy módosítását érintő szerződéseknek kötelezően informatikai biztonsági fejezetet is tartalmaznia kell. Minden informatikai rendszert érintő előkészítési folyamatba be kell vonni az információvédelmi vezetőt, a szerződés megkötéséhez állásfoglalását ki kell kérni, amennyiben az bármely módon érinti jelen szabályzat előírásait. A projekt munkaszervezetében az információvédelmi vezető részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd. 4.2.3.8. fejezet) részvételével külön biztonsági alprojektet / projektmodult kell működtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. Beszállítói szerződés csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülő speciális elvárások teljesítését, és lehetőséget biztosít a Társaság számára azok teljesülésének felügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíteniük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásában, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék. 4.2.5. Az informatikai biztonság szabályozása erőforrás-kihelyezés esetén Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a 4.2.4.5. fejezet általános szabályai ezekre az esetekre is érvényesek.

578


6. szám

Tekintettel arra, hogy az outsourcing típusú szolgáltatások esetén a Társaság – mint megbízó – a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett felelősségnek tükröződnie kell a szerződések tartalmi részében. Egyértelmű szerepkör-elhatárolás szükséges a megbízó és a vállalkozó között az informatikai rendszer üzemeltetési folyamatai tekintetében, hogy egyetlen lényeges tevékenység se maradjon gazdátlanul, illetve ne legyenek indokolatlan párhuzamosságok.

meghaladó információtartalmú konfigurációkezelési adatbázis, amely – a vagyonleltár részeként vagy külön adatbázisban – a biztonság hatékony menedzseléséhez nélkülözhetetlen adatokat kezel. E naprakész nyilvántartásban kell lekérdezhetővé tenni az összes (nem csupán fizikai jellegű) informatikai rendszerelem, illetve a biztonság menedzselésével összefüggő egyéb entitás (pl. biztonsági tartományok, biztonsági osztály, üzleti tulajdonos, üzemeltetés / tárolás helyszíne, felhasználó, változtatási kérelmek, események, problémák, ismerthibák feljegyzése stb.) adatait, ezek egymás közötti öszszefüggéseit.

Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az információvédelmi vezető együttműködésével környezettanulmányokat kell végezni a potenciális partnereknél. Kiemelt biztonsági osztályba tartozó rendszerek üzemeltetése csak különleges körültekintéssel meghatározott garanciális elemek biztosítása esetén, az üzleti tulajdonos, az információvédelmi vezető és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti döntése esetén adható vállalkozásba. Informatikai biztonsági incidens bekövetkezése esetén a vállalkozónak haladéktalanul tájékoztatnia szükséges a MÁV Zrt. Információvédelmi, valamint Infokommunikációs Biztonsági szervezetét az incidens bekövetkezésének körülményeiről, várható kihatásáról, a megtett elsődleges intézkedésekről. Az incidens kivizsgálása érdekében a Szolgáltatónak együttműködési kötelezettsége van a fenti szervezetekkel.

A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfigurációs elemekkel összefüggő egyéb információkat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyilván kell tartani. A tevékenység ellátását elősegítheti egy olyan megoldás, amely a teljes körű hardver- és szoftverleltár, valamint a licencgazdálkodás elősegítése érdekében az informatikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára.

4.3. Az informatikai eszközök nyilvántartása és számadási kötelezettsége

Az adatbázis kialakítása és naprakészen tartásának biztosítása az IKI feladata, melyet, a vagyonleltárt kezelő rendszerrel összefüggésben – lehetőleg azzal együtt – kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalmazásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az információvédelmi vezető, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üzemeltetését, mennyiségi stb. felügyeletét végzők számára.

A Társaság informatikai vagyontárgyait az Infokommunikációs igazgatóság irányításával leltárba kell venni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szempontból kiemelten fontos a fizikai vagyon, a szoftver-vagyon és az információ-vagyon számbavétele. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A vagyonleltár adatai fontos kiindulópontot jelentenek a kockázatkezelés és az informatikai stratégia tervezése során. A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfelelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva. 4.3.1. konfigurációkezelési adatbázis A Társaság informatikai infrastruktúrája áttekinthetőségének fontos eszköze a vagyonleltár számviteli kereteit

A távközlő adatátviteli hálózat komponenseit, a hozzá kapcsolt eszközöket és a rajtuk futó szoftvereket bármilyen célból automatikusan felderítő (szkennelő) alkalmazások használata – céljától függően – az IKI, illetve a TEBF hozzájárulásával, az információvédelmi vezető előzetes tájékoztatása mellett történhet.

4.4. személyi biztonság 4.4.1. Munkaviszony létesítésekor Az eszközök nem megfelelő használata során biztonsági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben alkalmazást megelőzően szükségessé válik. A munkaszerződés megkötésekor a munkájához informatikai eszközt használó munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben szereplő nyilatkozat aláírásával érvényesíteni kell az informatikai biztonságra vo-

6. szám


natkozó követelményeket, amely révén a használat szabályairól és az ellenőrzésének lehetőségéről írásban kap tájékoztatást. A mellékletek átadásában és a munkavállalóval való kitöltetése során a humánpartner szervezet működik közre. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az előzőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. 4.4.1.1. A kiemelt fontosságú szerepkörök Kiemelt fontosságú szerepkörnek tekintjük azon szerepkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználói munkakört, egyúttal több felhasználóra, alkalmazásra vagy rendszerre kiterjedő adatkezelési, döntési stb. jogkörrel rendelkeznek. Ilyen munkakört a munkavégzésre jelentkező munkavállaló, csak abban az esetben tölthet be, amennyiben a hatósági erkölcsi bizonyítványa a „bűntettesek nyilvántartásában nem szerel” kitételt tartalmazza. Az utasítás 4.2.3.7. – 4.2.3.12. pontjaiban szereplő, informatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése során a jelölt előzetes hozzájárulása mellett az interjú jegyzőkönyvet a Humánerőforrás igazgatóság tájékoztatását követően, a Biztonsági igazgatóság kérésére az információvédelmi vezető részére megküldi, aki szükség esetén a kiválasztott jelölt referencia vizsgálatát elvégzi. A kiemelt fontosságú szerepköröket betöltő munkavállalók egyéni munkaköri leírásainak tartalmaznia kell az informatikai biztonsággal kapcsolatos főbb követelményeket. A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét a mindenkori MSZSZ és döntési és hatásköri listával összhangban előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepeltetni kell. 4.4.2. Munkaviszony fennállása alatt A munkaviszony fennállása alatt a munkáltatói jogkör gyakorlójának, az üzleti tulajdonosnak, az IKI-nek, az információvédelmi vezetőnek együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, ezáltal is motiválva legyenek az informatikai biztonsági szabályok betartására. A felhasználókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biztonsági eljárásokról és az adatfel

579

dolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében. 4.4.2.1. A vezetők felelőssége Az adott szervezeti egység vezetőjének felelőssége, hogy megkövetelje a felhasználóktól és a szerződő felektől, hogy a biztonsági intézkedéseket az IBSZ-el összhangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik. A Biztonsági igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informatikai képzések tematikájában megfelelő súllyal szerepeljen. A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése. 4.4.2.2. Oktatás és képzés A felhasználóknak ismerniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. A felhasználói oktatás tematikáját és időtartamát – mind az informatikai, mind az informatikai biztonsági igényeket figyelembe – véve a Társaság oktatási utasításában (O.1) kell szabályozni. A biztonsági képzések tananyagát a korábban már említett, 1. sz. melléklet (Felhasználók biztonsági kötelezettségei) képezi, amit az adott munkaterület speciális igényei szerinti előadásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs eszközök helyes használatát . 4.4.2.3. Biztonsági események megelőzése, jelentése Minden felhasználónak ismernie kell a Társaság működésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok, pl. vírusfertőzés) jelentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett munkavállaló ezt a 4.4.1 fejezetben leírtak szerinti Informatikai biztonsági nyilatkozat aláírásával igazolja. 4.4.2.4. felelősség vizsgálata Azokkal a munkavállalókkal szemben, akik a Társaság informatikai biztonsági szabályait megsértették hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést, esetlegesen tényfeltáró vizsgálatot kell kezdeményezni, amely a munkáltatói jogkörgyakorló vezető kötelezettsége. Ez az eljárás a feltárt

580


hiányosságok elemzésén túlmenően visszatartólag hathat a többi munkavállalóra is. A megállapítás, illetve az esetleges tényfeltáró vizsgálat az információvédelmi vezető bevonásával történik. A tényfeltáró vizsgálat lefolytatására, a vétkes kötelezettségszegés megállapítására, a hátrányos jogkövetkezmények és más munkajogi intézkedések alkalmazására a munkaviszonyra vonatkozó szabályok (KSZ, belső szabályzatok, utasítások) irányadóak. 4.4.3. Munkakör-, szervezetváltáskor vagy munkaviszony megszűnésekor/ megszüntetésekor Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet – amennyiben az nem áll rendelkezésre – alá kell íratni, és az 1. sz. mellékleltet – az esetlegesen bekerült változások miatt – meg kell ismertetni a felhasználókkal. Munkaviszony megszűnésekor/megszüntetésekor a Társaság szempontjából biztonsági alapkövetelmény, hogy a munkavállalók rendezett módon hagyják el a szervezetet vagy váltsanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a munkaviszony megszűnésével/megszüntetésével érintett munkatárs bármely általa használt informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése/megszüntetése előtt az üzemeltető szervezetnek mentést kell készítenie. A mentés előtt a munkatárs nyilatkozata alapján, a hitelt érdemlően bizonyítható személyes adatait törölni kell. A felhasználó informatikai eszközén maradó és a lementett adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a munkaviszony megszűnésével/megszüntetésével érintett munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban – erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára – feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek. Munkaviszony megszűnése/megszüntetése során a berendezéseket és eszközöket át-, illetve le kell adni, a hozzáférési jogokat azonnal vissza kell vonni (a munkavégzési kötelezettség alóli felmentés napjától vagy amennyiben a feladatok átadás-átvétele ezt követően történik, akkor azzal a dátummal), amelynek kezdeményezéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságokon kívül visszavonásra kerülő vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosítók, beléptető kártyák, előfizetések. Különös figyelemmel kell lenni a munkakörváltás esetén az aktív számlákhoz hozzáférést biztosító jelszavak visszavonására, illetve megváltoztatására. A munkaviszony megszűnése/megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal.

6. szám

4.4.3.1. Az eszközök visszaadása Alapvető biztonsági cél, hogy minden felhasználó szerződése lejártáig, munkaviszonyának megszűnéséig/megszüntetéséig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvereket, társasági dokumentumokat, az informatikai eszközöket, hitelkártyákat, beléptető kártyákat, illetve különféle elektronikus adathordozón tárolt információkat. Azokban az esetekben, amikor egy felhasználó megveszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről minden a Társaságot érintő adatot biztonságosan törölni kell (lásd 4.6.4.1. fejezet „h” pont). Ennek megvalósulása érdekében a megállapodás kizárólag az információvédelmi vezető – ennek megtörténtét igazoló – véleményének kiadását követően történhet meg. 4.4.3.2. Az átszervezés biztonsági kérdései A Társaság átszervezése esetén már a tervezési szinten is átfogóan kell elemezni az esetlegesen felmerülő biztonsági kockázatokat, az információvédelmi vezető bevonásával meg kell határozni azokat az informatikai biztonsági követelményeket, intézkedéseket, amelyeket érvényesíteni kell. 4.5. fizikai és környezeti biztonság A berendezések fizikai védelmének célja az eszközök állagának, információ-feldolgozó képességüknek megőrzése, folyamatos működőképességük fizikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben: a) gondatlan emberi magatartásból, helytelen üzemeltetésből, mulasztásból eredő fizikai jellegű veszélyeztetés, b) szándékos emberi beavatkozásból származó fizikai jellegű károkozás, rongálás, c) illetéktelen személyek hozzáférése, beavatkozása okozta károk, d) lopásból eredő károk, e) műszaki meghibásodás, üzemzavar okozta károk, f) természeti csapások, katasztrófa események következtében keletkező károk. A védelmi intézkedések e csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephelyek védelmére, valamint a berendezések folyamatos működéséhez szükséges környezeti feltételek biztosítására szolgál.

6. szám


4.5.1. Biztonsági szegmensek A fizikai biztonság megalapozását biztonsági területek kijelölésével kell kezdeni. Minden olyan helyiséget, épületet, telephelyet, amely az informatikai rendszer bármely alább felsorolt elemének üzemszerű elhelyezésére vagy tárolására szolgál, be kell sorolni a következő osztályoknak megfelelően: a) kiemelt biztonsági osztály: különlegesen fontos számítóközpontok és kiemelt biztonsági osztályú alkalmazást futtató szerverek helyiségei, b) fokozott biztonsági osztály: számítóközpontok, adathálózati központok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági osztályú alkalmazást futtató szerverek elhelyezésére szolgáló szerverszobák, helyiségek, c) alap biztonsági osztály: az előző két kategóriába nem sorolt körletek (pl. akár irodában, akár számítóközpontban elhelyezett, alap biztonsági osztályú alkalmazást futtató szerverek helyiségei). Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttműködni az adott területen üzemelő rendszerek üzleti tulajdonosaival. Ezt a személyt az alkalmazás RIBSZ-ekben nevesíteni kell. Bármely biztonsági szintre történő besoroláshoz az információvédelmi vezető – írásba foglalt – állásfoglalása is szükséges. A biztonsági területek definiálása és nyilvántartása – a konfigurációkezelési adatbázis részeként – az IKI feladata. 4.5.1.1. fizikai biztonsági védősávok A biztonsági zónák határfelületein, ahol azok alacsonyabb szintű területekkel, vagy a külvilággal érintkeznek, biztonsági védősávokat (beléptető rendszer, tűzgátló ajtó stb.) kell kialakítani, amelyek egy vagy több fizikai természetű veszélyeztetés kivédésére szolgálnak. A 8. sz. mellékleten feltüntetett táblázat összefoglalja a védősávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötelező (K), vagy ajánlott (A). 4.5.2. Beléptetési intézkedések A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni kell. Erre vonatkozóan a Társaság beléptetési és vagyonvédelmi utasításait, illetve a vonatkozó törvény előírásait kell érvényesíteni. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A be-

581

léptetés előtt ellenőrizni kell a belépő által megjelölt bel épési célt. Külső személyek csak kísérettel tartózkodhatnak a Társaság objektumain belül. Alap biztonsági szintre besorolt területekre a bejutást – a minimális fizikai védelem kialakítása keretében – az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott területen dolgozók személyes felelőssége, hogy minden helyiséghez csak az oda önálló belépésre is feljogosított személyek rendelkezzenek kulccsal, és hogy idegen személyek felügyelet nélkül ne tartózkodhassanak a helyiségben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni – megfelelően biztonságos tárolással –, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására. A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkező személyek be- és kilépését is naplózni kell. A belépés ellenőrzését a beléptető rendszer kártyán túl egyéb hitelesítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni. Minden külső munkatársat, szerződő felet, és vendéget meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést vagy a belépéskor kapott kitűzőt. A munkatársak minden esetben jelentsék a biztonsági személyzetnek, ha kísérő nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót. Minden fokozott és kiemelt biztonsági szintű területre az üzleti tulajdonosnak a helyi sajátosságoknak megfelelő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő belépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vonatkozásában. Ebben az utasításban kell lefektetni: a) a személyes azonosító eszközök (kártyák, kitűzők, PIN-kódok) használatának, kiadásának, visszavételének szabályait, b) a területre anyagok, eszközök be- és kiszállításának szabályait, c) a területen munkaidőn túli tartózkodás szabályait, d) az ideiglenes- és vendég jelleggel belépők nyilvántartásának, kísérésének szabályait. A beléptetési utasításokat az információvédelmi vezető egyetértésével kell kiadni. Kamerás megfigyelő rendszerek használatáról a Társaság adatvédelmi szabályzata rendelkezik (lásd 15. sz. melléklet).

582


4.5.3. Védelem a külső környezeti fenyegetettségek ellen Az adatfeldolgozó, vagy tároló telephelyek kiválasztásakor fontos figyelembe venni, az adott földrajzi elhelyezkedéséből eredő veszélyforrásokat (pl. árvíz, földrengés, erdő vagy bozóttűz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése). Az informatikai berendezések telepítési, elhelyezési helyének megválasztásakor – az adott eszköz rendeltetésétől, biztonsági besorolásától függően biztosítani kell a zavartalan működéshez szükséges feltételeket. Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás), 2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem), 3) külső tényezők (tűz, víz, vihar stb.) elleni védelemre, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükségáramellátással), 5) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették). A RIBSZ-ekben részletesen kell szabályozni: 1) a műszaki berendezések elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) a berendezések karbantartását, 5) a telephelyen kívüli berendezések védelmét, 6) a berendezések biztonságos tárolását és újrafelhasználását. A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és rendelkezésre állásának biztosításában nagy szerepet játszik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az informatikai erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl, ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével, valamint a

6. szám

Társaság üzletvitele szempontjából betöltött szerepével kell arányban lennie. A fenyegető tényezőket a kockázatelemzés tárja fel. Tekintettel ezek fajlagosan magas árára, a védelem teljes körű és mindenre kiterjedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott biztonság mértékétől. Ilyen helyiségek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok. A megfelelő védelmi szintekhez tartózó feltételeket a Biztonsági osztályok követelményei c. táblázat (9. sz. melléklet) Infrastruktúra (fizikai védelem) része tartalmazza. 4.5.3.1. Energiaellátás A berendezéseket az alább felsorolt lehetőségek alkalmazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépő rendellenességektől. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifikációjának. Azok a lehetőségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply), c) tartalék áramforrás alkalmazását (pl. dízel generátor). A folyamatos működést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalmazása ajánlott olyan berendezésekhez, amelyek az üzlet működésére nézve kritikusak. Ajánlatos gondoskodni vészvilágításról is a fő energiaellátás meghibásodása/kimaradása esetére. A szabványoknak megfelelően villámhárítót ajánlatos felszerelni valamennyi épületre, és villámvédő szűrőket alkalmazni az épületbe belépő kábelekre. 4.5.3.2. A kábelezés biztonsága Az adatkommunikációs kábelek fizikai védelme a nagy földrajzi kiterjedés, a többnyire folyamatos felügyelet nélküli nyomvonal miatt külön szabályok alkalmazását követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses

6. szám


zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen. Az adathálózat biztonsági szempontból releváns elemeit, a legfontosabb műszaki paramétereit, a rájuk kapcsolódó eszközöket stb. a konfigurációkezelési adatbázisban is nyilván kell tartani. A Társaság infokommunikációs hálózatának fizikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stratégia szerint kell kialakítani. Ennek elkészítése és a benne foglaltak szerinti működés megkövetelése a hálózat üzleti tulajdonosának a feladata. 4.5.3.3. A berendezések elhelyezésének szabályai Minden berendezés csak a biztonsági besorolásának megfelelő szintű biztonsági területen telepíthető. Az informatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, érzékeny adatokat tartalmazó adathordozók, fontos dokumentációk stb.) a jobb védhetőség érdekében koncentráltan, magasabb biztonsági szintű területek formájában kialakított számítóközpontokban (szerverszobákban, rendezőszekrényekben) kell elhelyezni, működtetni. Extrém üzemi környezetben (poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan berendezést szabad használni, amely – specifikációja szerint – erre kifejezetten alkalmas. 4.5.4. Hordozható informatikai eszközök védelme Az eszközök nem hagyhatók felügyelet nélkül, amenynyiben nem biztosítható azok előírt védelme. Fizikailag el kell zárni vagy amennyiben technikailag lehetséges különleges (pl. Kensington) zárat kell alkalmazni a berendezés biztosítására. 4.5.5. felhasználói munkaállomások védelme Minden számítógépes munkaállomáshoz (teljes konfigurációt figyelembe véve), továbbá önálló nyilvántartási egységet képező más informatikai berendezésekhez vagyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége: a) a berendezések állagának, épségének megóvása a tőle elvárható gondoskodással, b) sérülés, hiány azonnali jelentése a közvetlen vezetőnek, c) hordozható informatikai eszközök (továbbá pl. projektor) esetén a Társaság objektumain kívül történő használat vagy tárolás során a vagyonvédelmi előírások maradéktalan betartása, d) meghibásodásra utaló jelek (szokatlan zajok, melegedés stb.) esetén a készülék azonnali kikapcsolása, karbantartás igénylése,

583

e) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmeneti tárolásáról. A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtől, amely azok sérülését, beszennyezését okozhatja. Informatikai eszközök és tartozékaik eltulajdonítása ellen – ahol ezt a közvetlen munkahelyi vezető indokoltnak tartja – mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasztórendszerébe kapcsolt tárgyvédelemmel kell a veszélyeztetett berendezéseket ellátni. 4.5.6. Informatikai eszközök tárolása, karbantartása, javítása és selejtezése Tárolás A Társaság kulcsfontosságú informatikai eszközeit tartalmazó helyiségek, épületek pontos funkciójára, kialakításának körülményeire vonatkozó információkat – a RIBSZ-ben, egyedileg szabályozott módon – a nyilvánosság elől rejtve kell kezelni (ne legyenek nyilvános helyen tájékoztató táblák, nyilvános telefonkönyvből, címtárból kiolvasható címek stb.). A biztonsági területeket úgy kell kialakítani, hogy azokon belül az információ-feldolgozó tevékenység teljes lefedéséhez szükséges eszközök rendelkezésre álljanak. Ugyanakkor meg kell tiltani a munkafolyamatok szempontjából oda nem illő eszközök, anyagok tárolását, raktározását. Karbantartás Minden jelentősebb berendezéshez – műszaki specifikációjának előírásai alapján – meg kell határozni a megelőző karbantartások rendjét. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ-ben is rögzíteni kell. Ugyancsak a RIBSZben kell rendelkezni az eseti hibajavító karbantartások kezdeményezésének, végrehajtásának szabályairól. A berendezések valamennyi adathordozó részegységét az üzemeltető szervezet ellenőrizze annak érdekében, hogy az adatok és a vásárolt (licenc szerinti) szoftverek arról szükség esetén eltávolításra, illetve felülírásra kerüljenek, mielőtt mások rendelkezésére bocsájtják. Javítás Meg kell akadályozni, hogy javításra, vagy egyéb célból elszállításra kerülő digitális adattárolásra alkalmas eszközök ellenőrizetlenül kerüljenek ki a Társaságon kívülre. Az elszállítás az Infokommunikációs igazgatóság vezetője által kijelölt személy engedélyéhez kötött. Jegyzőkönyvben, vagy a szállító levélen kell feltüntetni az adathordozót tartalmazó informatikai eszköz gyári számát és egyéb azonosító adatait, típusát. Amennyiben a hiba jellege lehetővé teszi, akkor a benne lévő adathordozó visszaállíthatatlan törlésére kell intézkedni, illetve a javítás idejére el kell távolítani. Erről szóló

584


nyilatkozatot az Társaság informatikai szolgáltatójának munkatársával kell ellenjegyeztetni. Amennyiben az adathordozó eltávolítása nem lehetséges, abban az esetben az adatok biztonságba helyezését követően intézkedni kell a kiadás előtt a helyreállíthatatlan törlésről. Abban az esetben, ha a hiba jellege (pl. merevlemez hiba) nem teszi lehetővé az üzemeltető szakember általi törlés elvégzését, az adathordozón található információk esetleges nyilvánosságra kerülése által okozott kár mérlegelése alapján az információvédelmi vezető bevonásával a főtevékenységi kör vezető dönt az eszköz kiadhatóságáról. Selejtezés A berendezések üzemen kívül helyezésével kapcsolatos eseményeket a konfigurációkezelési adatbázisban is rögzíteni kell. Az eszközök gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez vezethet. A digitális adathordozó eszközöket meg kell semmisíteni, vagy a rajta található adatokat biztonságosan, vissza nem állítható módon kell törölni a felhasználónak, illetve az üzemeltetést végző szakembernek. A selejtezésnek engedélyhez kötöttnek és megfelelően dokumentáltnak kell lennie (13. sz. melléklet). Jegyzőkönyvben fel kell tüntetni az alkatrész gyári számát, típusát, valamint a benne lévő adathordozók törléséről szóló nyilatkozatot a felelős munkatárs aláírásával. A kényes információk kiszivárgásának megelőzése érdekében a selejtezendő adathordozók esetében a sikeres törlés tényét ellenőrizni és dokumentálni kell. 4.6. Hálózati szolgáltatások és az üzemeltetés menedzsmentje 4.6.1. Hálózatmenedzsment A hálózatmenedzselés során olyan óvintézkedéseket kell megvalósítani, amelyek fenntartják a hálózatokban (LAN, WAN, WLAN, intranet) az adatok biztonságát és védik a szolgáltatásokat a jogtalan és az illetéktelen hozzáféréstől. A hálózati RIBSZ-ben ezért a hálózaton áthaladó adat és az ezt lebonyolító, lehetővé tevő infrastruktúra védelmében szabályozni kell: – a felelősséget a teljes hálózatért, illetve annak logikai és fizikai szegmenseiért, alhálózataiért, és a hálózat változásainak kezeléséért, – az eszközök távoli menedzselésének szabályait, eljárásait és felelőseit, – a nyilvános hálózatokon is áthaladó adatok biztonságát, – a szervezeti határokon átnyúló informatikai szolgáltatások hálózati elemeinek biztonságát, – a hálózathoz való hozzáférés menedzselésének szabályait, különös tekintettel az esetleges külső szolgáltatók és felhasználók hozzáférési lehetőségeire,

6. szám

– a védett, a nyilvános és a vezeték nélküli (WLAN) hálózat biztonságos összekapcsolásának és átjárásának feltételeit, eszközrendszerét, – a hálózati és hálózatfelügyeleti szolgáltatások folyamatos fenntartását biztosító eljárásokat, – a diagnosztikai pontokhoz való hozzáférést, a hálózati események naplózását, és azok rendszeres ellenőrzését. Amennyiben technikailag lehetséges a hálózatba kapcsolt gépeket kötelező tartományba (domain) léptetve használni, annak érdekében, hogy a központi menedzselhetőség mindenütt megvalósuljon. Az egységes hálózati, szerver és munkaállomás kialakításoktól eltérni kizárólag technológiai okból, az Információvédelmi vezető tájékoztatása mellett az IKI engedélyével lehet. Hálózatba kapcsolt informatikai eszközök használatakor előnyben kell részesíteni a vezetékes kapcsolódást, amennyiben technikailag lehetséges hálózat azonosítási protokoll (pl. 802.1x) használatával. Vezeték nélküli kapcsolódás csak indokolt esetben engedélyezett (pl. tárgyalókban, vagy ha a munkahelyen nem lehet a vezetékes csatlakozások számát növelni), de ebben az esetben is figyelembe kell venni a megnövekedett kockázati tényezőket, különös figyelemmel a fokozott biztonsági osztályba sorolt rendszerekre. Az érvényes hatásköri feladatmegosztás alapján az IKI és a TEBF engedélye szükséges a vezeték nélküli kapcsolódás létrehozásához, illetve technológiai célokat szolgáló vezeték nélküli hálózati kapcsolat (rádiós kihosszabbítás) tervezése, építése érdekében. Indokolt esetben az információvédelmi vezető állásfoglalását is ki kell kérni. Az engedélyek nyilvántartását a konfigu rációkezelési adatbázisban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Kiemelt biztonsági osztályba sorolt rendszerekhez vezeték nélküli módon kapcsolódni tilos. 4.6.1.1. Internet elérés biztonsága a) Az internetre csatlakozás a Társaság belső hálózatára csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett. b) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek. c) A nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására tartalomszűrést kell működtetni, amelynek a meghatározását az információvédelmi vezető végzi. d) Az internetes tevékenység naplóállományait az üzemeltető szervezet gyűjti és szükség szerint elemzi, melynek során figyelembe kell venni az elektronikus hírközlésről szóló törvény előírásait (lásd: 15. sz. melléklet). e) Fórumok, chat-oldalak, file- és videó-megosztó (torrent, Dropbox, Google Drive, Youtube stb.), kapcsolat-

6. szám


építő portálok (pl. iWiW, Facebook, MyVip, Twitter), továbbá a pornográfiát vagy szélsőséges, illetve indokolatlan erőszakot tartalmazó oldalak, valamint stream alapú kapcsolatokat kezelő alkalmazások (pl. internet rádió, internet Tv) használata nem engedélyezett. A központilag telepített alkalmazások kivételével tiltott az azonnali üzenetküldő alkalmazások (pl. MS Messenger, Skype) használata. Kizárólag a munkával összefüggésben és azt elősegítő, a közvetlen vezető kezdeményezésére, az infokommunikációs biztonsági vezető egyetértésével, az információvédelmi vezető adhat engedélyt ezek használatára. Adatok kiszivárgása esetén, a vizsgálat során az információvédelmi vezető kezdeményezheti az érintett felhasználó internethasználatának korlátozását. 4.6.1.2. Vezeték nélküli (WLAN, WiFi) hálózatok Amíg a vezetékes hálózatok fizikai védelme viszonylag jól megoldható a WLAN hálózat nem ér véget az épület falainál, ami jelentős biztonsági problémák forrása. Tipikus támadási forma például a passzív lehallgatás, illetéktelen kapcsolódás a hálózathoz vagy a kliensek „eltérítése”. A vezeték nélküli hálózatok biztonsága a kialakítás során jelentősen növelhető az alábbiak alkalmazásával: • Vezeték nélküli eszközök telepítése engedély nélkül tilos! • Szabályozni és naplózni kell a hozzáférést a hálózathoz. • Különös figyelmet kell fordítani a vezeték nélküli eszközök biztonsági szempontú konfigurálására. • Megfelelő titkosítást (WPA2-AES 256) kell használni. • Hitelesítés (802.1x EAP-PEAP, token stb.) alkalmazása. • Wireless firewall: vezeték nélküli tűzfal használata. • Wireless IPS: vezeték nélküli behatolás megelőző rendszer használata (pl. ad-hoc és bridge detektálás, blokkolás). • Network Access Control: hálózati hozzáférés-szabályozás használata. Bizonyos beállításokat a Társaság tulajdonát képező klienseken az üzemeltető szervezetnek kell megtenni: - Az általában használt hálózatot (SSID) elsődlegesnek kell beállítani, azaz a kliens először ehhez próbáljon csatlakozni. - A Társaság vezetékes hálózatához csatlakoztatott számítógépek esetén a WLAN interfészt a csatlakozás idejére (amennyiben a technológia lehetővé teszi automatikusan) ki kell kapcsolni. - A Társaság vezeték nélküli hálózatához csatlakoztatott számítógépek esetén a WLAN interfészt tilos tovább osztani harmadik fél számára.

585

A Társaság által üzemeltetett vezeték nélküli hálózaton, külső fél számára egyéb infokommunikációs hálózati szolgáltatást (beleértve az üzleti célú illetve egyéb Internet hozzáférést) nyújtani csak az IKI és a TEB Főosztály engedélyével szabad. Ezekben az esetekben külön elemezni kell a külső hozzáférés kockázatát. WLAN hálózaton átmenő, minősített biztonsági osztályba sorolt rendszerek forgalmát titkosítani kell. A vezeték nélküli hálózatok részletes beállításait a fentiek figyelembe vételével a hálózati RIBSZ-ben kell meghatározni. 4.6.1.3. Bluetooth biztonság A Bluetooth hatótávolsága a legtöbb eszköznél néhány méter, így a támadónak fizikailag is közel kell kerülnie az eszközhöz, ami megnehezíti, de nem teszi lehetetlenné a támadásokat. Néhány alapvető beállítással biztonságosabbá tehető a Bluetooth kapcsolattal rendelkező eszköz: - Az eszköz alapbeállítása legyen „nem látható”. - Csak különösen indokolt esetben engedélyezhető a jóváhagyás nélküli kapcsolódás. - Kapcsolódási kérelem fogadása esetén gondosan tanulmányozni kell, hogy a kérelem honnan és milyen okból történik. - Ki kell kapcsolni a Bluetooth szolgáltatást, ha nem állandó kapcsolatra van szükség. A Bluetooth kapcsolattal rendelkező eszközök csatlakoztatását a Társaság munkaállomásaihoz az infokommunikációs biztonsági vezető tájékoztatása mellett a szervezeti egység vezetője engedélyezheti. 4.6.1.4. Mobilkommunikációs kapcsolat A Társaság vezetékes adatátviteli hálózatára kapcsolódó munkaállomásokon tilos egyidejű mobilinternet kapcsolat létesítése. 4.6.2. Üzemeltetési eljárások és felelősségek 4.6.2.1. A dokumentációk biztonsága Az üzemeltetési eljárásokat és felelősségeket részletesen és szabályszerűen dokumentálni kell, és az üzemeltetés helyén hozzáférhetővé kell tenni. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint: a) az üzemeltetést végző személyzet azonosíthatósága, b) az adatkezelés fajtája és módja, (-feldolgozás és -tárolás), c) tervezett követelmények, más rendszerek bizalmasságának sérülhetősége, d) munkaidőn kívüli munkahelyen való tartózkodás rendje,

586


e) hibaesetekre és rendellenes működésre vonatkozó eljárások, f) hardver és szoftver karbantartási eljárások, g) munkavégzés közben fellépő kivételes állapotok kezelése, h) rendszer újraindításának és visszaállításának menete, i) rendszer mentésének, archiválásának rendje. A rendszerdokumentációkat, vizsgálati anyagokat, az üzemeltetési és dokumentált eljárásokat a rendszer tevékenységeire vonatkozóan hivatalos dokumentumként kell kezelni. A kifejezetten a felhasználók részére készült anyagokat (pl. felhasználói kézikönyv, oktatási anyag) kivéve ezek a dokumentumok tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordozók tárolási helye, hálózati hozzáférési pontok) ezért tilos e dokumentumok bármilyen nyílt formában történő közzététele. Ilyen esetekben a titokban tartásuk érdekében elvárható intézkedések megtétele indokolt (pl. minősítés belső használatra). Amennyiben külső cég készít a Társaság rendszereiről kényes adatokat tartalmazó dokumentációt, fel kell hívni az előállító figyelmét az anyag korlátozott terjesztésének és betekintésének a megjelölésére. A RIBSZ-ben az illetéktelen hozzáféréseket szabályozni kell: a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról. b) Minimálisra kell csökkenteni a rendszerdokumentációkhoz hozzáférő személyek számát. c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről. d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelő módon kell kezelni. e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani. f) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni. 4.6.2.2. A feladatkörök elhatárolása Az összes adatfeldolgozó eszköz üzemeltetési eljárásait és az üzemeltetéssel járó felelősségi köröket előre definiálni kell, és folyamatosan felül kell vizsgálni. Az egyes feladatok vagy felelősségi körök végrehajtását és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módosítására vagy visszaélésre vezető alkalmak esélyét csökkentsük. Minősített rendszerek esetében ilyen beállítások csak az információvédelmi vezető munkatársa előzetes írásos (pl. e-

6. szám

mail) értesítését követően végezhetők. A jól definiált feladatelhatárolás, minden munkavállaló részére, csak a munkájához szükséges információhoz ad hozzáférést, így jelentősen csökken a gondatlan vagy szándékos visszaélés kockázata. A feladatok szétválasztásának szabályai: – „éles” üzemben működtetett informatikai rendszerben fejlesztések, tesztelések nem folytathatók, – „éles” adatokkal tesztelést végezni tilos, teszteléshez mindig tesztadatokat kell készíteni (generálni), – fejlesztés alatt álló rendszerben „éles” üzemi tevékenységet folytatni tilos, – a fordító, szerkesztő és egyéb segédprogramok „éles” üzemi rendszerben csak abban az esetben legyenek elérhetők, ha ezekre a programokra dokumentáltan és engedélyezetten szükség van, – a fejlesztők, támogatók az „éles” üzemi rendszerhez nem rendelkezhetnek hozzáféréssel, ettől eltérni csak kivételes esetben, dokumentált módon, az üzleti tulajdonos engedélyével lehet; amennyiben erre már nincs szükség, a hozzáféréseket meg kell változtatni, és a rendszer biztonsági beállításait teljes körűen felül kell vizsgálni, A biztonsági ellenőrzést a végrehajtó szervezettől függetlenül, az információvédelmi vezető hatáskörében kell működtetni. 4.6.2.3. Változáskezelés A biztonsági osztályba sorolástól függetlenül az információs rendszerek, alkalmazói programok és rendszerleíró paraméterek, rendszerszoftver- és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait ellenőrzött és dokumentált módon kell elvégezni. A változáskezelési szabályok összessége határozza meg egy informatikai alkalmazás adatszolgáltatási folyamataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemeltetését lehetővé tevő informatikai infrastruktúrában bekövetkező módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetőségét. Ennek során a következő tevékenységeket elvégzéséről dönt az üzleti tulajdonos: a) változás iránti igény azonosítása, jelentőrendszerbe rögzítése, b) a változások lehetséges hatásainak felmérése, c) döntés a változás megvalósításáról / a változtatási kérelem elutasításáról, d) a változás megvalósításában felelős résztvevők megjelölése, e) a tervezett változások jóváhagyási eljárásainak ellenőrzése, f) a változás kidolgozása, g) a változás tesztelése, nem megfelelőség esetén visz-

6. szám


szalépés az f) pontra, h) döntés a bevezetésről, i) az összes érintett értesítése a változások részleteiről, j) a változás bevezetése, k) a tényleges változások dokumentálása, l) a megváltozott környezetről biztonsági mentés készítése. Társasági szinten egységes változáskezelési rendszer és szabályzat kialakítása az IKI, az infokommunikációs hálózatra pedig a TEBF feladata. A teljes változáskezelési folyamatra biztosítani kell az információvédelmi vezető felügyeletét. A Társaság informatikai eszközeinek átalakítását, karbantartását (pl. hardver, szoftver telepítés) kizárólag szerződésben megbízott üzemeltető szervezet végezheti. 4.6.2.4. Patch menedzsment (frissítés kezelés) Az informatikai biztonság növelése érdekében gondoskodni kell a Társaság hálózatába kapcsolt (aktív és paszszív) informatikai eszközök belső szoftverének, valamint a rajtuk futó rendszer és alkalmazói szoftverek biztonsági frissítéseinek rendszeres ellenőrzéséről és telepítéséről. Szabályozni kell a telepítendő frissítések előzetes tesztelési menetét és dokumentált változáskezelési eljárás keretében történő használatba vételét. Amennyiben a frissítések telepítése nem megvalósítható (pl. kompatibilitási probléma) fel kell mérni a frissítés elmaradásából adódó biztonsági fenyegetettségeket és kivételkezelés keretében gondoskodni a kockázatokkal arányos védelemről. Amennyiben a Társaság fizetős vagy ingyenes szoftvert, mint szolgáltatást vesz igénybe, olyan szállítót kell választani, aki biztosítja a kínált termék folyamatos frissítését. 4.6.2.5. kapacitástervezés A rendszerek kapacitásigényét folyamatosan figyelemmel kell kísérni, és a mért értékek alapján meg kell becsülni a jövőre nézve is. A kapacitástervezés célja, hogy időben álljon rendelkezésre a kellő feldolgozási teljesítmény és tárolóhely, az üzleti folyamatok támogatásához. A tervek az újabb üzleti és rendszerkövetelményeket is vegyék figyelembe, valamint a Társaság adatfeldolgozásának folyó és megjósolt trendjeit.

587

eleget tenni. Ezért az ugyanabba a virtualizációs környezetbe összevont rendszerek megtervezésekor a kapacitás szükségletek optimalizálásán túl, különös figyelmet kell fordítani a biztonsági kockázatok halmozódására is, ezért valamennyi érintett rendszer esetén, a kockázatelemzésnek ki kell terjednie a virtualizációból eredő sajátosságokra is. Pontos és naprakész nyilvántartást kell vezetni a virtualizált környezetekben futó rendszerekről és alkalmazásokról, így esetleges üzemzavar esetén azonnal intézkedni lehet az érintett rendszerek működésének helyreállításáról. A felhő alapú rendszerek alkalmazása fokozott biztonsági kockázatot jelenthet, ezért különös körültekintéssel kell eljárni az előkészítés, bevezetés és üzemeltetés során. A szolgáltatás biztonságának garantálása érdekében ki kell kérni az Információvédelmi vezető és az infokommunikációs biztonsági vezető állásfoglalását. Felhőbe (részben vagy egészben) kitenni kívánt rendszer üzleti tulajdonosának előzetes tájékoztatása szükséges, akinek a megvalósítás előtt intézkednie kell a rendszerszintű biztonsági dokumentumok ilyen irányú kiegészítéséről. 4.6.3. Védelem rosszindulatú programok ellen A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak bevinni a Társaság informatikai rendszereibe a fertőzött weboldalakon, hálózati csatlakozásokon vagy hordozható informatikai eszközökön keresztül is. Megfelelő biztosítékok nélkül a rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. Aktiválódásakor hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkretehetik az adatállományokat, lelassíthatja a rendszereket. Megjelenésük lehet szándékos tevékenység következménye vagy olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók számára. A rosszindulatú kód a bizalmasság, sértetlenség és rendelkezésre állás elvesztéséhez vezethet.

4.6.2.6. Virtualizáció, felhő alapú rendszer

A Társaság rosszindulatú programok elleni védelmi rendszerét erre vonatkozó RIBSZ-ben, az Infokommunikációs Stratégia és annak az Infokommunikációs Biztonsági Stratégia c. fejezete előírásai szerint kell kialakítani. Ebben tervezni kell a védelmi szoftverek kiválasztásának elveit, beszerzésének gyakoriságát, a szükséges licenc-számot, a rendszeres frissítés módját és felelőseit, továbbá ki kell jelölni a rendszer kialakításának és fenntartásának felelőseit.

A virtualizációs környezet biztonsági paramétereinek meghatározásánál az IBSZ 4.8. (Informatikai rendszerek fejlesztése) fejezetében leírtakat oly módon kell megvalósítani, hogy a virtualizációba bevonni kívánt rendszerek biztonsági paramétereinek alapul vételével minden esetben a legmagasabb követelménynek kell

A rosszindulatú kódok elleni védelmet a következő biztosítékokkal kell elérni: 1) Formális szabályzat: Megköveteli a megfelelést a szoftverlicenceknek, és megtiltja a jogtalan szoftverhasználatot. Véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külső hálózatokból való

588


átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, valamint azt is megadja, hogy milyen védelmi intézkedéseket ajánlatos hozni. Például: RIBSZ-ben kell szabályozni a bizonytalan eredetű hordozható adattárolón vagy a bizalmat nem élvező hálózaton át kapott állományok használat előtti vírusfertőzöttség ellenőrzését – beleértve minden elektronikusan kapott levélmellékletet és letöltést - valamint a kritikus üzleti folyamatokat segítő rendszerek szoftverének és adattartalmának időközönkénti felülvizsgálatát. 2) Patch menedzsment: lásd: 4.6.2.4. pont. 3) Keresők: A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális kereső szoftverekkel, amelyeknek biztosítani kell az önműködő frissítését. 4) Sértetlenség biztosítása: A sértetlenséget ellenőrző szoftverek ellenőrző összegeket használnak annak eldöntésére, hogy egy program módosult-e vagy sem. 5) Tűzfalak: Feladatuk a hálózat különböző szegmenseinek teljes elválasztása, például a belső (biztonságos) hálózat elválasztása a külső (nem biztonságos) hálózattól. 6) Tartalomszűrés: Az adatforgalom házirend alapú szabályozása vagy teljes blokkolása, ezáltal a biztonsági szint növelése és a biztonsági problémák megelőzése. (pl. fájlcserélők-, kémprogramok-, internetről letölthető hacker programok, azonnali üzenetküldők, hamisított jelszóhalász vagy rosszindulatú weboldalak elleni védelem) 7) Oktatás: A felhasználók biztonsági tudatosságát fenntartó oktatásokat kell tartani, illetve szabályozni, hogy mit kell tenniük, ha rendellenes eseményt észlelnek. 8) Működés-folytonossági terv: Tartalmazza a (pl. hardverhiba vagy vírustámadás utáni) helyreállításra vonatkozó szükséges adatmentési, visszaállítási eljárásokat. A rosszindulatú kódokat leggyakrabban a következő módokon lehet továbbadni/hordozni, ezért különösen fontos e területek pontos szabályozása: a) végrehajtható (futtatható) szoftverek, makrók, scriptek b) automatikusan induló szoftverek c) hordozható adattárolók d) elektronikus levél (csatolmány is) e) hálózatok, távoli hozzáférés f) aktív tartalmat hordozó weboldalak, letöltések 4.6.4. Adatmentés A mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. A hatékony biztonsági adatmentések érdekében a – a technikai feltételek biztosítását követően – felhasználóknak tilos a feldolgozott adataikat kizárólag a munkaállomásokon tárolni, arra egy hálózati meghajtón

6. szám

kialakított könyvtárat kell biztosítani. A biztonsági osztályba sorolástól függetlenül a számítógépes alkalmazások esetében rendszeresen biztonsági mentéseket kell készíteni a rendszer által kezelt adatokról, amelyek felhasználásával az éles adatállomány szükség esetén reprodukálható. A visszaállításra való alkalmasságot a biztonsági osztályokra vonatkozó (9. sz. melléklet) előírások szerinti ellenőrizni és a teszt eredményét dokumentálni kell. Ehhez kapcsolódóan a RIBSZ-ben az alábbi óvintézkedéseket kell előírni: 1) A megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását a RIBSZ-ben előírt időközönként rendszeresen ellenőrizni kell. 2) A mentési adathordozókat valamint a visszaállítás dokumentált eljárásait, a rendeltetési helytől távoli helyen érdemes biztonságba helyezni. Elég távol ahhoz, hogy bármely rongálódástól meg legyenek kímélve, ha a rendeltetési helyen katasztrófa következne be. 3) A mentések típusa (pl. teljes vagy differenciált mentés) és gyakorisága álljon arányban a mentett adatok jellegével, fontosságával. 4) A biztonsági mentéseket megfelelő szintű fizikai és környezeti védelemmel ajánlatos ellátni, ugyanazokkal a biztonsági előírásokkal összhangban, mint amelyet a rendeltetési helyén alkalmaztunk. Az adathordozók körére a rendeltetési helyén érvényesített biztonsági intézkedések hatályát a tartalék adathordozók és eszközök elhelyezési körletére is ki kell kiterjeszteni. 5) A biztonsági mentések adathordozóit, ahol az kivihető, időről időre ajánlatos megvizsgálni annak érdekében, hogy megbizonyosodjunk a használhatóságukról. Fontos figyelemmel kísérni az adathordozók garanciájának lejárati idejét, lehetséges tárolási és visszaállíthatósági idejét, és a lejárt adathordozókat ki kell vonni a mentési folyamatokból. 6) A RIBSZ-ben meghatározott időközönként visszaállítással kell meggyőződni a mentések használhatóságáról, valamint arról hogy azok elvégezhetőek az előre tervezett idő alatt. 7) Üzleti titoknak minősülő adatok esetén a mentett adatokat, titokban tartásuk érdekében, az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva is védeni kell. 8) Meg kell határozni a lényeges adatok megőrzési időszakát és az állandóan megtartandó archív példányokra vonatkozó valamennyi követelményt. 9) Amennyiben rendelkezésre állnak a szükséges kapacitások, a mentési eljárások az aktív eszközökön (kiszolgálók, munkaállomások, tűzfal stb.) kívül foglalják magukba a hordozható informatikai eszközöket is. Ennek során kerüljenek mentésre a rendszerinformációk, dokumentumok és szükség szerint az alkalmazások.

6. szám


10) A mentések nyilvántartását a RIBSZ előírásainak megfelelően kell vezetni, és azok helyességét az üzleti tulajdonosnak és az információvédelmi vezetőnek rendszeresen ellenőriznie kell. 4.6.4.1. Mentéseket tartalmazó adathordozók biztonságos kezelése A védelmi intézkedések célja, hogy az adathordozók fizikai védelmét szabályozzák, megfelelő eljárásokkal védjék az informatikai eszközök adathordozóit, a bemenet/kimenet adatait és a rendszer dokumentációját a jogosulatlan megszerzésétől, felhasználástól, módosítástól, törléstől és megsemmisüléstől. Az adathordozók kezelésének legfontosabb biztonsági követelményei: a) Gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről. b) Meg kell előzni a dokumentumok, a digitális adathordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését, megsemmisítését. c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését. d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni. e) A Társaságnál – az egyszer írható optikai adathordozók és a floppy lemezek kivételével – csak nyilvántartott és egyedi azonosítóval ellátott adathordozót szabad használni. f) A Társaságon kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helyeken, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások elvégzése után szabad (például vírus ellenőrzés). g) Sérült adathordozók garanciális cseréje esetén – ha a meghibásodott eszköz üzleti titoknak minősülő adatokat is tartalmazott – az eredeti alkatrészt nem, vagy csak az adatok kiolvasását lehetetlenné tevő hatástalanítást követően szabad a karbantartó részére átadni. h) Újraalkalmazás, felszabadítás vagy selejtezés esetén minden adathordozót az adatok megsemmisítését eredményező megfelelő eljárással kell törölni. i) Az adattípus felismerhető jelölését az informatikai berendezéssel előállított adattároló és megjelenítő eszközökön biztosítani kell. j) Az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell.

589

4.6.4.2. Mentéseket tartalmazó adathordozók tárolása Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen, a gyártó előírásainak megfelelően kell tárolni, illetve figyelembe kell venni az adott rendszer biztonsági osztályának követelményeit (lásd: 9. sz. melléklet), vagy amennyiben ezek munkaközi példányok, meg kell azokat semmisíteni. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a RIBSZ-ekben meg kell határozni: a) a tárolók környezeti paramétereire vonatkozó előírásokat és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket, b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres átírás), c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat, d) az adathordozók kölcsönzésével kapcsolatos előírásokat, e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó előírásokat. 4.6.4.3. Mentéseket tartalmazó adathordozók szállítása Az információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen hozzáférésnek és viszszaélésnek. Az informatikai adathordozók biztonságos szállítása az alábbi szabályok alkalmazásával történhet: a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el. b) Szállítás során átadás-átvételi bizonylat szükséges. c) A szállítást – lehetőség szerint – több embernek kell végeznie. d) A szállítást végző embereket mindig azonosítani kell. e) Indokolt esetben mérlegelni kell a szállítmány több részre bontását, és a különböző útvonalakon történő szállítását. f) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani. g) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása. h) Épületen kívüli szállítás esetén – például a MABISZ ajánlását figyelembe vevő – megfelelő zárható tárolóeszköz szükséges. i) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerülendő a nyilvánvalóan erős mágneses tér (például nagyfeszültségű távvezetékek). j) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni. k) Az adathordozót tilos őrizetlenül hagyni.

590


l) Az adathordozókat óvni kell a fizikai sérülésektől. m) Speciális csomagolás és zárcímkék használata, láthatóvá teszi a felbontást vagy az arra tett kísérleteket. n) Az adathordozókon tárolt adatok védelmével kapcsolatos jelölést fel kell tüntetni az adathordozó egységen. o) Meghibásodott eszköz cseréje esetén – még garanciális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került. Rendkívüli esemény bekövetkezéséről a szervezeti egység (a szállítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie – a további károk elkerülése érdekében – a szükséges lépéseket, valamint ezzel egyidőben tájékoztatnia kell az információvédelmi vezetőt és az infokommunikációs biztonsági vezetőt. 4.6.4.4. Az adathordozók selejtezése Az adathordozókat visszaállíthatatlanul, dokumentáltan kell selejtezni (13. sz. melléklet). A különféle szabványokban definiált adattörlési és megsemmisítési eljárások a lehető legkisebbre csökkentik az információ kiszivárgásának kockázatát. - Az érzékeny információt tartalmazó adathordozót biztosan visszaállíthatatlan módon kell selejtezni, (pl. égetéssel, aprítással) valamint az eljárásnak arányosnak kell lennie az információ értékével. - Adathordozó selejtezéssel foglalkozó cégekkel való együttműködésekor, kulcsfontosságú biztonsági tényező a megfelelő kvalitású szerződő fél kiválasztása, valamint az informatikai biztonsági feltételek szerződésbe foglalása. - Az érzékeny adatok eltávolítását naplózzák, ha lehet az informatikai biztonsági vizsgálatok kísérő dokumentumaként kezeljék. Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi intézkedések hatóköréből, meg kell semmisíteni. Amennyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további használata lehetetlen vagy célszerűtlen, azt az ügyviteli szabályok szerint jegyzőkönyvben kell selejtezni. Ebben az esetben – ha lehetséges – a tartalmát visszaállíthatatlan módon törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabályszerű megsemmisítésről.

6. szám

4.6.5. Hordozható adattárolók kezelése A hordozható adattárolókat biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, illetve csökkentsük a biztonsági kockázatokat. Ennek során az következő biztonsági követelményeket kell alkalmazni. - Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és az üzleti titokvédelmi szabályzat szerint kell tárolni és kezelni. - Amennyiben a választott adattároló eszköz esetében a technológia rendelkezésre áll, az információkat titkosítva kell tárolni, illetve gondoskodni kell az adott műszaki-technikai színvonalon elérhető korszerű védelmi megoldások alkalmazásáról. Előnyben kell részesíteni a hardver alapú titkosítást, illetve az olyan megoldásokat, amelyek nem teszik lehetővé a védelmi eljárás megkerülését. - Amennyiben a használatot nem akadályozza, gondoskodni kell az eszközök automatikus indítási lehetőségeinek (pl. autorun) letiltásáról, megakadályozva a rosszindulatú programok ellenőrizetlen bejutását a rendszerekbe. Optikai adathordozók és floppy lemez esetén A hosszú távú megőrzésre szánt adatokat – a választott adattároló eszköz technológiájától függően – az adatvesztés megelőzése érdekében 3-5 évenként át kell másolni, lehetőleg az adott technikai szintnek megfelelő adathordozóra. Amennyiben ez nem lehetséges az olvashatóság érdekében legalább egy olyan eszközt fenn kell tartani, amellyel az elavult adathordozó kiolvasható marad. Az adatok épségének ellenőrzése során kellő körültekintéssel kell eljárni, szükség szerint az informatikai üzemeltető bevonását kell kezdeményezni. Pendrive, külső HDD stb. esetén Csak az információvédelmi vezető által meghatározott biztonsági követelményeknek megfelelő, az IKI által kiválasztott eszközök használhatók. Az eszközök igénylését a munkáltatói jogkör gyakorlója hagyja jóvá és jelzi az igényt az IKI felé. Amennyiben technológiailag megvalósítható, a nem engedélyezett USB-s tároló eszközök használatát a felhasználói munkaállomásokon le kell tiltani. A munkavégzéshez szükséges engedélyezett adathordozókat egyedi azonosítóval kell ellátni, amelyek kiadásáról, átadásáról, visszavételezéséről a konfigurációkezelési adatbázis részeként az IKI-nek elkülönített nyilvántartást kell vezetnie. Társaságon kívüli adathordozó (pl. külső fél bemutatója) csak abban az esetben használható, ha a számítógép nincs a hálózatra kötve és működik rajta a folyamatosan frissített víruskereső szoftver. Törekedni

6. szám


kell arra, hogy ilyen esetben a bemutató a külső fél hordozható számítógépéről történjen. Memóriakártya esetén Memóriakártya használata csak multimédiás eszközökben engedélyezett (digitális fényképezőgép, videokamera, diktafon, okostelefon stb.), számítógépben való felhasználásuk csak e tartalmak átvitelére – az IKI tájékoztatása mellett az információvédelmi vezető engedélyével – a munkával összefüggésben történhet. Hordozható informatikai eszközök esetén Azon informatikai eszközök esetében, amelyek amellett, hogy nagy mennyiségű digitális adat tárolására alkalmasak önmagukban is képesek azok feldolgozására, különös figyelemmel kell lenni az eszközök fizikai biztonságára és logikai hozzáférésére. Amennyiben technikailag lehetséges, aktiválni kell az eszközök kóddal (PIN) történő automatikus zárását, valamint a beépített biztonsági funkciókat (pl. telefonmemória, behelyezhető memóriakártya titkosítása, távoli törlés konfigurálása). Notebook csak úgy adható ki, illetve rajta adat csak úgy tárolható, ha az adatok tárolására szolgáló merevlemez egésze titkosításra kerül. 4.6.6. Perifériák csatlakoztatásának szabályai A szabályzatokban részletezett eseteken túlmenően – a kizárólag egyirányú adatforgalmat biztosító eszköz (pl. projektor) kivételével – az IKI kifejezett engedélye szükséges a felhasználói munkaállomásokhoz számítástechnikai eszköz (pl. nyomtató, szkenner, digitális fényképezőgép, merevlemez stb.) vagy bármilyen más telekommunikációs eszköz (pl. modem, okostelefon stb.) csatlakoztatásához. Munkavégzés érdekében, rendkívül indokolt esetben az üzleti tulajdonos az információvédelmi vezető biztonsági véleményének beszerzését követően engedélyezheti a csatlakozást, de csak akkor, ha az eszköz körülményei megfelelnek az IKI védelmi előírásainak és az eszköz tulajdonosa a megfelelő hozzájáruló nyilatkozatokat megteszi. Az engedélyek nyilvántartását a konfigurációkezelési adatbázisban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Amennyiben az eszköz valamely szoftver telepítését igényli, abban az esetben kizárólag az erre kiképzett és feljogosított személyzet valósíthatja meg. Munkaállomáshoz csatlakoztatott hordozható adattároló eszközön biztosítani kell az adatok titkosított tárolását. (lásd 4.6.5. pont) 4.6.7. Beágyazott rendszerek Különös tekintettel a vasútüzemhez kapcsolódó beágyazott rendszerek sajátosságaira, figyelmet kell fordítani

591

e rendszerek kiválasztására, biztonsági beállításaira, védelmére és rendeltetésszerű használatára, tekintve, hogy az esetlegesen bekövetkező működési zavaruk sok esetben kritikus folyamatokra lehet hatással. Az eszközök üzemeltetésével és biztonsági megfelelőségével kapcsolatban központosított nyilvántartást kell vezetni. Elkülönített hálózati infrastruktúra kialakításával, vagy a VPN használatával kell a beágyazott rendszerek biztonságát megvalósítani. 4.6.8. Adatok és programok cseréje Az adatok és a programok szervezetek közötti átadását, cseréjét ellenőrizni kell. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési, adatátviteli eszközökön keresztül kicserélt információk védelméről. A munkavállalók a távközlési, adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani: a) A telefonbeszélgetések során ügyelniük kell a közvetlen környezetükben tartózkodó emberekre, illetve kihangosítás esetén a hívott félnél tartózkodó személyekre. b) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Az üzenetet megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni. c) Amikor fontos az információ védelme, a hálózaton áthaladó adatforgalmat titkosítani kell. d) A sértetlenség fenntartása érdekében törekedni kell az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatára a hálózaton áthaladó információk védelmében. e) A faxgépek használata során meg kell akadályozni a dokumentumok és üzenetek – esetleges – téves számra való elküldését, a beépített üzenettárolókhoz való illetéktelen hozzáférést, az üzenetek visszakeresését és lehallgatását. f) A felhasználókat tájékoztatni kell, hogy korszerű faxgépekben és fénymásoló gépekben belső oldalgyorsító memóriatárak, esetlegesen merevlemezek és laptárolók vannak. A problémát a készülék üzemzavara, egyéb leállása (pl. áramszünet, papír- vagy festék kifogyása) esetében az okozza, hogy a pl. üzleti titoknak minősülő adatait tartalmazó anyagok kinyomtatása akkor folytatódhat, ha a hibát kiküszöbölték. A biztonsági intézkedések megtételéig a felhasználó ne hagyja el a helyszínt, és a problémát mihamarabb jelezze az illetékes üzemeltető szakember számára. A Társaság más szervezettel informatikai eszközökön adat- és programcserét kizárólag az információvédelmi vezető által véleményezett írásbeli szerződés alapján

592


6. szám

bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is.

letén a jelen IBSZ-ben és a rendszerszintű IBSZ-ekben foglaltakat kell figyelembe venniük.

Az adatcsere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni: a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait. b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait. c) Adatvesztéssel kapcsolatos kötelezettséget és felelősséget. d) Az adatátvitel során a biztonságos (szükség esetén titkosított) környezet előírásait minden érintett félnél. e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfiai kulcsok). f) A hitelesség kritériumait (pl. elektronikus aláírás)

Távmunka esetén csak a rendszeresített VPN alkalmazással lehet kapcsolódni a vállalati hálózathoz. A hasz nálat során a következő biztonsági tényezőket kell figyelembe venni: – a távmunka helyszínének környezetét és fizikai biztonságát; – a kommunikáció biztonsági követelményeit, figyelembe véve az igényt, hogy távolról kívánnak hozzáférni a Társaság belső rendszereihez, – az információ érzékenységét, amelyhez hozzá fognak férni, és amely áthalad a kommunikációs kapcsolaton, és a belső rendszer által kezelt adatok érzékenységét; – a kapcsolathoz használt vezetékes vagy vezeték-nélküli hálózati szolgáltatások konfigurációját.

4.6.9. Távolról végzett munka/távmunka

4.6.9.2. A VPn hozzáférés biztonsági szabályai

A Társaság informatikai erőforrásainak a „4.6.10.1. Elektronikus levelezés távoli elérése” című pontban leírtaknál mélyebb szintű elérése esetén fokozott biztonsági követelményeknek kell érvényesülni. Távolról végzett munka esetén a Társaság által biztosított eszközöket lehet használni. Különösen indokolt esetben – az infokommunikációs biztonsági vezető engedélye alapján – olyan egyéb eszköz is felhasználható, amelyeknek biztonsági körülményei megfelelnek a Társaságnál rendszeresített eszközök védelmi szintjének, illetve adott alkalmazás esetén annak rendszerszintű informatikai biztonsági szabályzatában leírt követelményeknek.

Hordozható informatikai eszközök birtokában a Társaság belső hálózatára egy felhasználó csak az alábbi két módon csatlakozhat: a) védett (pl. irodai, munkahelyi) környezetből közvetlenül a védett adatátviteli hálózatra csatlakozva, vagy b) nem védett környezetből (ami kívül esik a Társaság biztonsági rendszerének zónájából pl. otthonról) kizárólag biztonságos hozzáférést garantáló távoli hozzáféréssel (pl. VPN).

4.6.9.1. A távmunka általános biztonsági tényezői A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot, ennek érdekében – a technikai lehetőségek figyelembe vételével – az alábbi biztonsági beállításokat is kell alkalmazni: – gondoskodni kell az eszköz megfelelő inaktivitás utáni automatikus képernyő, illetve billentyűzet zárolásáról, amely csak jelszó vagy PIN kód ismeretében legyen feloldható, – használni kell az adott operációs rendszer beépített védelmi lehetőségeit (pl. titkosítás), – beépített védelmi lehetőségek hiányában meg kell vizsgálni annak a lehetőségét, hogy külső gyártó szoftverével legyen elérhető a megfelelő biztonsági szint. A szükséges védelemnek összhangban kell lennie az adott munkavégzés kockázataival. Ennek szabályozását az információvédelmi vezetőnek közvetlenül jóvá kell hagynia. Informatikai eszközt használó felhasználóknak mind a fizikai biztonság, mind a logikai védelem terü-

Amennyiben a hozzáférés VPN kapcsolaton keresztül valósul meg, a felhasználó ugyanazokat az informatikai erőforrásokat (pl. hálózati meghajtók, levelezés) érheti el, mint a munkahelyi környezetből. a) A távmunka során is be kell tartani a Társaság szabályzataiban foglaltakat. b) A VPN szolgáltató szervezet útján technikailag biztosítani kell, hogy csak a központilag nyilvántartott, az azonosítási és hitelesítési feltételeknek egyértelműen megfelelt munkaállomásokról lehessen a rendszerekbe belépni. Hitelesítésre lehetőleg erős autentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosítás). Egységes munkaállomás-névhasználatot kell kialakítani, a hálózatban lévő munkaállomások pontos azonosítása érdekében. c) A VPN kapcsolat megvalósításához a Társaság ellenőrzése alatt nem álló, magántulajdonban lévő berendezés alkalmazása – a 4.6.9. pontban írt kivétel lehetőségét figyelembe véve – nem megengedett. d) A VPN kapcsolaton keresztül történő munkavégzésre feljogosított felhasználókról (beleértve az erre felhatalmazott rendszergazdákat is) a konfigurációkezelési adatbázis keretében az IKI nyilvántartást vezet, és az abban beállt változásokról folyamatosan tájékoztatja a VPN szolgáltató szervezetet és az információvédelmi vezetőt.

6. szám


e) A távmunkát végző csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a Társaság hálózatába, amelyet az informatikai üzemeltető(k) határoznak meg. f) A mobil informatikai berendezéseket nyilvános helyeken használók ügyeljenek arra, hogy elkerüljék a jogosulatlan személyek általi betekintés kockázatát. g) A távmunka során biztosítani kell az információhoz vagy az informatikai erőforrásokhoz való jogosulatlan hozzáférés megakadályozását olyan személyek részéről, akik az adott eszközt egyéb célból használják (pl. a család, barátok). h) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. Ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására. i) A távoli hozzáféréssel végzett munkához védett (titkosított) csatornáról kell gondoskodni, a kommunikációt titkosítani kell olyan algoritmussal, ami megakadályozza a tartalom visszafejtését. j) Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos. k) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek telepítve kell lenniük, ezeket kötelező folyamatosan használni és frissíteni. l) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell fordítani. Üzleti titoknak minősülő adatot tárolni csak az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva szabad. m) A felhasználónak gondoskodnia kell a kritikus működési információ rendszeres mentéséről és a mentések megfelelő védelméről (pl. lopás vagy adatvesztés ellen). n) A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegű munkavégzésből származó többletkockázattal szemben és a bevezetendő intézkedések elfogadtatásával kapcsolatban. o) A távmunkát végző gépek esetében, a kliens gépre telepített VPN kapcsolat használatával egyidőben más VPN és/vagy internetes csatlakozás tiltott, az esetlegesen szükséges internet elérésnek is a titkosított VPN kapcsolaton keresztül kell működnie. p) Egy adott rendszerben végzendő távmunkát a felhasználó közvetlen vezetőjének és az adott rendszer üzleti tulajdonosának jóváhagyásával kell igényelni. A kérelmet az IKI igazgató engedélyezi; a RIBSZ-ben nem szabályozott esetben az információvédelmi vezető állásfoglalását ki kell kérni. Az engedélyben rögzíteni kell: - azon rendszer(ek) megnevezését, amely(ek)re az engedély kiterjed, - a hivatali helyiségeken kívüli munkavégzés engedélyezési időszakát, - a munkavégzéshez a felhasználó részére (otthonában) szükséges vállalati berendezések azonosítását, ill. a

593

szükséges berendezések és anyagok átadási és elszámolási módját, - a felhasználó általi tudomásulvételét annak, hogy a Társaság rendszeresen megvizsgálja a naplókat (logs), a hívások adatait, és szúrópróba szerinti ellenőrzést végez annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó biztonsági előírásoknak. q) A távmunka szabályai betartásának ellenőrzéséért a felhasználó közvetlen vezetője, az adott rendszer üzleti tulajdonosa és üzemeltetője, valamint a VPN szolgáltató egymással együttműködve felelősek. Az információvédelmi vezető jogosult e területen is közvetlen ellenőrzést végezni, amelyről az IKI-t tájékoztatni szükséges. r) A Társaságon kívüli személyeknek, szervezeteknek kiosztott VPN hozzáféréseket a lehető legrövidebb időre, de legfeljebb 1 évre lehet kiadni, amelynek lejáratakor az igényt újra felül kell vizsgálni. A felülvizsgálatot a korábban kiadott hozzáférésekre is el kell végezni. A jogosultság megszűnését követően gondoskodni kell a hozzáférési jogosultságok azonnali érvénytelenítéséről és a berendezés visszaadásáról. 4.6.10. Az elektronikus levelezés biztonsága Az elektronikus üzenetküldésnek a papír alapú adatközléstől jelentősen eltérő kockázatai vannak. Ezek a biztonsági kockázatok magukba foglalják az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának veszélye, emberi hibákból eredő veszélyeztető tényezők, pl. rossz címzés vagy irányítás, érzékeny adatok továbbításának lehetősége és ennek veszélyei, a feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása, a kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek, vagy pedig a távolról bejelentkező felhasználó biztonsági problémái. A Társaságnál folytatott elektronikus levelezés védelmi rendszerét erre vonatkozó RIBSZ-ben kell kialakítani, összhangban az Informatikai biztonsági stratégia dokumentummal. A fontosabb biztonsági szabályok a következők: – Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó fokozott elektronikus aláírással hitelesíti magát. – Az elektronikus levelezést biztosító eszközökről, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfrissítések megjelenését). – Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az interneten keresztül bonyolított elektronikus levélforgalmat ideiglenesen le

594


6. szám

kell állítani. Ennek elrendelésére a levelezőrendszer üzleti tulajdonosa jogosult az információvédelmi vezető egyidejű és részletes tájékoztatása mellett. – A nem hitelesíthető, kétes forrásból (pl. adathalász, hoax) származó üzeneteket, továbbá a nagy mennyiségben továbbított kéretlen üzeneteket (spam) az információvédelmi vezetőnek kell jelezni kivizsgálás céljából. A vizsgálat eredményéről az infokommunikációs biztonsági vezetőt tájékoztatni szükséges. – A kéretlen üzenetek beérkezésének és az adatok kiszivárgásának elkerülése érdekében biztosítani kell az elektronikus levelezés tartalmi szűrésének lehetőségét. – Tekintettel arra, hogy a levelező rendszer kizárólag a Társaság feladatainak végrehajtására használható, a felhasználókat tájékoztatni kell arról, hogy a Társaság levelező rendszerén tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Társaság szabályzataiban feljogosított ellenőrző szervezeteknek ezekhez az állományokhoz a vizsgálathoz szükséges mértékig betekintési joguk van. A betekintés szabályait a Társaság Adatvédelmi szabályzata tartalmazza. – A Társaság levelező rendszere a Társaság üzletmenetétől idegen (pl. reklám), üzleti célokra nem használható. – A levelező rendszerben egyidejűleg maximálisan 50 címzett számára engedélyezett üzenet küldése. Ez alól az információvédelmi vezető adhat felmentést. – A Társaság elektronikus levelezési címjegyzéke a Társaságon kívüli szervezetnek az információvédelmi vezető véleményének figyelembe vételével, Társaság belső adatvédelmi felelőse egyetértésével, törvényben meghatározott esetekben szolgáltatható ki. – Magáncélra kialakított (nem MÁV-os, pl. Gmail, Hotmail, Freemail, Citromail) postafiók használata a Társaság hálózatába kapcsolt munkaállomásról nem megengedett. – Tilos az elektronikus üzenetek – rendszeres illetve automatikus – átirányítása vagy másolat küldése a Társaságon kívüli e-mail címekre (pl. Freemail, Gmail, Hotmail stb.) Amennyiben szükséges a munkával kapcsolatos emailek más helyszínen történő elérése, az Outlook Web Access (OWA) szolgáltatást kell igényelni az IKI-től.

OWA (Outlook Web Access): A szolgáltatás használatakor minden esetben be kell tartani a MÁV Zrt. EXCHANGE levelezőrendszerének Outlook Web Access (OWA) böngészős eléréséhez című kezelési útmutatóban leírt biztonsági előírásokat.

4.6.10.1. Elektronikus levelezés távoli elérése

4.6.12. A MÁV zrt. nyilvános rendszereinek biztonsága

A Társaság – az arra feljogosított felhasználói számára – biztosítja a levelezés távoli elérését az OWA (Outlook Web Access), a Push e-mail és az OAW (Outlook Anywhere) szolgáltatásokon keresztül, amelyekhez nincs szükség VPN kapcsolatra, csupán internetes hozzáférésre (pl. otthon, internetes kávézóban, repülőtéren). A hordozható informatikai eszközök fokozott biztonsági kockázatot jelentenek a távoli elérés során, ezért külön szabályok kialakítása és betartása szükséges. A Társaság által biztosított ilyen eszközöket el kell látni rosszindulatú kódok elleni megfelelő védelemmel.

Push e-mail: Alapesetben a szolgáltatás igénybe vétele a Társaság dolgozóinak, a Társaság eszközein történő elérés esetén engedélyezhető. Különösen indokolt esetben engedélyezhető magántulajdonú készülék használata a levelezés Push e-mailen keresztül történő elérésére, azonban ez esetben a felhasználónak teljesítenie kell a Társaság erre vonatkozó biztonsági előírásait, és hozzájárulását kell adja az információ védelme érdekében, a jogosultság megszűnése esetén a céges email fiók távoli törléséhez. OAW (Outlook Anywhere): A szolgáltatás igénybe vétele kizárólag a Társaság dolgozóinak, a Társaság eszközein történő elérés esetén engedélyezhető. A fenti levelezési szolgáltatások az IKI-től igényelhetők. 4.6.11. Az elektronikus kereskedelem biztonsága A korszerű piaci igények kielégítésére szolgáló, a Társaság interneten keresztül elérhető elektronikus szolgáltatásainak biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére kerül sor. A hatékony védelem megvalósítására integrált biztonságot kell az ilyen rendszer kifejlesztése során kialakítani, melynek legfontosabb feladatai: – a hozzáférés szabályozása és ellenőrzése, – egységes azonosítás és hitelesítés, – az elektronikus aláírások kezelése, titkosítás, kulcsmenedzsment (PKI), – a behatolási kísérletek figyelése, – biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez, – az auditálhatóság biztosítása.

Nyilvános rendszerek (pl. internet hálózaton keresztül elérhető MÁV Zrt. honlap, Dokumentációs Központ műszaki adatbázisa) esetén is szükség van a rendszer joghatóságának területén hatályos törvények, jogszabályok és rendeletek betartására. Az elektronikus hirdető rendszereknél – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az információ közvetlen bevitelét – gondoskodni kell az alábbiakról:

6. szám


– Az információ megszerzésének módja feleljen meg a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, illetve 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról rendelkezéseinek. – Időben kerüljön sor a rendszerbe bevitt információ pontos és hiánytalan feldolgozására. – Az adatok kezelése (gyűjtés, tárolás, feldolgozás) során a szükséges mértékig gondoskodni kell az adatok, valamint – a biztonsági osztálynak megfelelően – az informatikai rendszerek védelméről. – Rendszeres auditok alkalmával kell meggyőződni arról, hogy illetéktelenek nem juthatnak hozzá olyan információkhoz, amelyek nem rájuk tartoznak. – A kiadó rendszerhez való hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik. 4.6.13. Társasági információs rendszerek A Társasági információs rendszerek védelme az információ megjelenési formájának sokszínűsége miatt a legtöbb informatikai biztonsági kockázatot rejti. Különösen megnő a kockázat a rendszerek összekapcsolásakor (pl. üzleti partnerek esetében). A Társasági információs rendszerek összekötésével kapcsolatos biztonsági intézkedések definiálásakor legalább a következő elemeket kell megvizsgálni: a) azonosítani kell az ismert veszélyforrásokat az adminisztratív és elszámolási rendszerekben, ahol az információ meg van osztva a Társaság különböző egységei között, b) meg kell határozni az adatcsere során használt biztonságos kommunikációs technológiákat (pl. VPN, https), c) meg kell vizsgálni az összekötni kívánt rendszerek kapcsolódás (interface) pontjait, d) fel kell mérni a továbbított és felhasznált adatok sebezhetőségét az infokommunikációs rendszerekben, pl. telefonhívások rögzítése vagy konferenciahívások (körtelefon), a hívások bizalmassága, a faxok tárolása, postabontás stb., e) definiálni kell az információ elosztási irányelveket, f) az adatok a védelmi szintjük szerint legyenek kezelve (a biztonsági osztályba sorolásnak megfelelő védelmi követelmények teljesítése, illetve betartásuk ellenőrzése az adattal jogszerűen rendelkező (jogosult) feladata), g) korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. stratégiai szempontból kiemelt fontosságú projekteken dolgozó személyzet, h) személyzeti, szerződéses vagy üzleti ügyfelek kategóriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhető (lásd 4.2.4. fejezet), i) a kiválasztott berendezések korlátozása egyes felhasználói kategóriákra,

595

j) a felhasználói státus (külső vagy belső) azonosítása, k) a hozzáférési jogosultságok meghatározásánál, kiosztásánál és használatuk ellenőrzése során figyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírásait. l) a rendszeren tárolt adatok mentése (lásd 4.6.4. fejezet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell kezelni és tárolni, ezt részletesen a RIBSZ-ben kell szabályozni. m) visszalépési követelmények és intézkedések, a változáskezeléssel összhangban, n) a biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése stb.) az információvédelmi vezető bevonásával haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzőkönyvezni kell. A kivizsgálás folyamatáért az adott szervezeti egység vezetője a felelős. o) a rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelően az illetéktelen fizikai hozzáférés ellen is védeni kell. p) a rendszerek átjárhatóságának, kompatibilitásának (webes rendszerek esetén böngésző-függetlenségének) vizsgálata. 4.7. Hozzáférés-menedzsment 4.7.1. A hozzáférés ellenőrzés üzleti követelményei A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényi előírások, valamint az egyéb adat- és minősítettadat-védelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alapján kell kialakítani. Ennek során meghatározásra kerülnek a rendszer-erőforrások, alkalmazások, külső összeköttetések, adatbázisok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek. Korlátozni kell az információkhoz, informatikai eszközökhöz, hálózatokhoz, alkalmazásokhoz, rendszer erőforrásokhoz, állományokhoz és programokhoz való hozzáférést. A hibákat és felhasználói tevékenységeket eseménynaplókban kell rögzíteni, és a tárolt részleteket

596


elemezni az üzemeltetési és biztonsági események megfelelő módon való felderítésének és kezelésének érdekében. A rendszereket úgy kell kialakítani, hogy a felhasználók saját döntése alapján nem, kizárólag a rendszer felügyeletével megbízott személy engedélyével férhetnek hozzá. 4.7.2. A hozzáférés menedzsment általános szabályai A jogosultságkezelési tevékenység ellátásának megszervezése az üzleti tulajdonos feladata az általa tulajdonolt rendszerek vonatkozásában. Tekintettel a Társaság kiterjedt alkalmazás portfóliójára és a felhasználók nagy számára, törekedni kell arra, hogy mielőbb megvalósuljon egy átláthatóbb jogosultsági rendszert összefogó központi adatbázis, amely elősegíti az összehangoltabb működést. Ennek későbbi továbbfejlesztésének feltétele a rendszerek olyan átalakítása, amely a bekapcsolt rendszerek vonatkozásában lehetővé teszi a jogosultságok központi menedzselését. Hozzáférési jogosultság kiadása kizárólag a 2.1.1. pont szerinti személyek, valamint a 4.2.4. pont szerint hozzáférő partnerek kizárólagos írásban kötött hozzáférési szerződés megléte esetén adható. A szerződésnek egyértelműen ki kell mondania, hogy a hozzáférés során teljes körűen betartja a Társaság IBSZ-ét, valamint a végrehajtási rendelkezéseket tartalmazó RIBSZ-ek előírásait. A hozzáférési jogosultságok megállapításának alapját az érintett munkavállaló munkaköri leírásában (beszállítók és karbantartók alkalmazottai esetében a vonatkozó szerződésben) rögzített szerepköre ellátásához szükséges és indokolt adathozzáférési igény képezi. Az informatikai eszközökhöz történő felhasználói hozzáférés ellenőrzés feladata az illetéktelen hozzáférés megakadályozása, ezért a rendszerben azonosítani kell a felhasználókat. Ennek során a „szükséges minimális jogosultság” elvet érvényesíteni kell: a felhasználó csak a munkájához feltétlenül szükséges adatokhoz és csak a szükséges időtartamban férhessen hozzá. A kiadott jogosultságokat rendszeresen felül kell vizsgálni. Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési jogosultságok érvényesítése, az adatkezelés eseményeinek nyomon-követhetősége és személyi felelősséghez köthetősége garantálható legyen. A hozzáférési jogosultságokra vonatkozó elképzelést (pl. a jogok korlátozó elvű kiosztását) már a rendszer tervezésének időszakában, a biztonsági osztálynak megfelelő követelményszinten ki kell alakítani. Az informatikai rendszerrel dolgozó minden munkatárs az alkalmazás RIBSZ által meghatározott szerepkörbe sorolandó, amely alapján örökli a szerepkörre meghatározott hozzáférési jogokat. A sze-

6. szám

repkör szerint meghatározott hozzáférés-jogosultság kiosztás használata fokozott és kiemelt szinten kötelező. A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók. A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során pedig az üzleti tulajdonosnak kell meghatározni és az információvédelmi vezetővel egyeztetni. Nyilván kell tartani, hogy adott alkalmazáshoz melyik felhasználói csoport és milyen joggal férhet hozzá. A kiosztott hozzáférési jogosultságokat minden felhasználó esetében felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A visszaélések elkerülése érdekében a kiemelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni. A Társaság dolgozóinak felhasználói azonosítóját munkaviszonyuk megszűnésével/megszűntetésével, a külső munkavállalók felhasználói azonosítóját megbízatásuk lejártával haladéktalanul le kell tiltani. Akinek munkaviszonya megszűnt/megszűntetésre került a rendszer szolgáltatásait semmilyen módon nem veheti igénybe, és erőforrásait nem használhatja. A munkavégzés során keletkezett adatokat a munkáltatói jogkör gyakorló a munkafeladatok ellátásával összefüggésben, továbbá biztonsági szempontból az adatokon kívül, a létrejött naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei ellenőrizhetik. A munkaviszonyukat huzamosabb ideig szüneteltető (pl. gyermek szülése), illetve a tartósan más okból távollevő (pl. külföldi kiküldetés, elhúzódó gyógykezelés) munkavállalók felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell. A munkavállalók áthelyezésekor felmerülő jogosultsági változásokat a 4.4.3. pontban előírtak szerint kell kezelni. A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus email üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. A levelező alkalmazás rendszergazdája vezetői engedély alapján – de legfeljebb 3 hónap múlva – törölje a postafiókot, annak archiválását követően. Azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének időpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), erről a felhasználót, valamint a munkahelyi vezetőjét értesíteni szükséges. Amennyiben az ezt követő 15 napon belül nem történik belépés a rendszerbe, azonosítóját le kell tiltani.

6. szám


Erről ismét értesítést kell küldeni, megjelölve az érvénytelenítés okát. Felhasználói azonosító A felhasználó-azonosítónak fő szabályként egyedinek kell lennie. Ennek érdekében a felhasználói azonosítók képzésére központi névkonvenciós szabályt kell meghatározni az IKI kezelésében. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) minden rendszerben külön-külön naplózni kell. Rendszergazdai jogosultság, azonosító A rendszergazdai azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható lemezvagy páncélszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. A listákat az üzleti tulajdonos által kijelölt vezetőnek kell tárolnia úgy, hogy azok rendkívüli esetben hozzáférhetőek legyenek. A (gyárilag) előre beállított felhasználói azonosítók (pl. root, admin) és jelszavak használata az éles alkalmazásokban és rendszerekben – az indokolt és naplózott szerviz tevékenységeket kivéve – tilos. Ezeket már az első telepítés alkalmával meg kell változtatni, újakat kell létrehozni. Felhasználók csak technológiailag indokolt esetben, kizárólag az IKI külön engedélyével rendelkezhetnek a munkaállomáson helyi rendszergazdai jogosultsággal, amelyhez az információvédelmi vezető állásfoglalását is ki kell kérni, aki indokolt esetben e jog kiadásával kapcsolatban önállóan is jogosult döntést hozni. Az átlagos felhasználói jogosultságnál magasabb jogosultságokat nyilván kell tartani és évente felülvizsgálni. Hálózati rendszergazdai jogosultság nem adható ki a felhasználó számára. Biztonsági tájékoztató üzenet Az informatikai rendszerek, alkalmazások indításakor – technikai előfeltételek megléte esetén – olyan biztonsági üzenetet kell megjeleníteni, amely növeli a felhasználók biztonságtudatosságát, illetve tájékoztatást nyújt a munkavállalók ellenőrzésére szolgáló technikai eszközök alkalmazásáról. Ennek megvalósítását az üzemeltetés – illetve már a fejlesztés – során az üzleti tulajdonos egyetértésével úgy kell kialakítani, hogy megfeleljen a vonatkozó munkajogi előírásoknak. Tiszta íróasztal – Tiszta képernyő Az informatikai biztonság szintjének megtartása érdekében a Társaság valamennyi számítógépet használó munkavállalója köteles a „Tiszta íróasztal – Tiszta képernyő” politikát betartani, amelynek rendszeres ellenőrzése a Biztonsági igazgatóság feladata. Ennek során a munkavállaló, ha hosszabb időre elhagyja a munkaasztalát, köteles arról minden érzékeny adatot tartalmazó papír alapú dokumentumot, valamint minden elektronikus adatok tárolására alkalmas eszközt

597

megfelelően elzárni, különösen a munkaidőt követően. Minden számítógépen kötelező a rendszer jelszavas képernyővédőjét beállítani, illetve azt kézzel bekapcsolni (a Windows+L billentyű egyidejű lenyomásával), ha azt a kezelő ideiglenesen magára hagyja. A képernyővédelem beállításait csak rendszergazda változtathatja meg, valamint minden munkaállomáson az automatikus bekapcsolási időt 10 percben kell meghatározni. Amennyiben az alkalmazott munkafolyamat indokolja, a biztonsági szempontok mérlegelése alapján, az információvédelmi vezető adhat egyedi felmentést a funkció használata alól. 4.7.3. A távfelügyeleti megoldások biztonsága Távfelügyeleti megoldás alkalmazása esetén a felhasználói munkaállomás meghibásodása vagy a felhasználó segítségkérése esetén a HelpDesk szolgáltatást nyújtó üzemeltető szervezet nem jelenik meg fizikailag a helyszínen, hanem hálózaton keresztül (távolról) csatlakozik a felhasználó számítógépére (pl. uVNC, távoli asztal, Lync, Microsoft SCCM segítségével), így oldva meg a felmerült problémát. A távfelügyeletet végző személy ebben az esetben átveszi a gép irányítását és megkapja a felhasználó jogosultságait. A fokozott kockázat miatt távfelügyelet csak az alábbi feltételek teljesülése esetén jöhet létre: - a létrejövő kapcsolat nem futhat harmadik félen is keresztül, - az üzemeltető személyzetnek kötelező azonosítania magát, ehhez biztosítson a felhasználók számára előre közzétett, szükség esetén visszahívható központi (pl. HelpDesk) telefonszámot, - amennyiben technikailag lehetséges a felhasználó minden esetben folyamatosan kísérje figyelemmel a PC munkaállomását érintő üzemeltetési, (táv)karbantartási tevékenységet, legyen jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjüket, - a távfelügyelet ideje alatt folyamatos telefonos kapcsolat szükséges a támogató és a felhasználó személy között, - a felhasználó jelentkezzen ki (és zárjon be) minden olyan alkalmazást, amely nem kapcsolódik a távoli segítségnyújtási feladathoz, - a felhasználónak legyen lehetősége a beavatkozásra (pl. kapcsolat engedélyezése vagy megszakítása), - a felhasználó által el nem fogadott kapcsolat 10 másodperc után automatikusan bontson, - a fájl átvitel funkció használata nem engedélyezett, - kötelező részletes naplózást alkalmazni, - az üzleti tulajdonos ellenkező értelmű utasításának hiányában a támogató szervezetnek jelentést kell írnia az elvégzett munkáról, amit még aznap munkaidő végéig meg kell küldenie a felhasználónak,

598


- a támogatott rendszer Kockázatelemzésének ki kell térnie erre, továbbá a RIBSZ-ben rendelkezni kell e folyamatokról. A kockázatok minimalizálása érdekében a távfelügyeleti rendszerek használata során ellenőrizni és szabályozni kell: - az alkalmazandó megoldás (szoftver) biztonsági megfelelőségét és dokumentáltságát, - a gyártói támogatást, a verziókövetés meglétét és a frissítések folyamatos követését, - erős azonosítási és hitelesítési mechanizmusok meglétét és használatát, - a kommunikációs csatorna titkosságát, - a felhasználó gépén működő kliens program háttérben (service-ként) való állandó futásának szükségességét, - külső fél által nyújtott támogatás esetén csak az eseti kapcsolódás engedélyezett (nem futhat a háttérben állandóan a kliens program), - a felhasználók egyértelmű tájékoztatását, hogy távfelügyelik a munkaállomását, - a felhasználók és a segítségnyújtók oktatását és tájékoztatását, - a segítségnyújtók körét (név szerint), amit a távfelügyelt rendszer üzleti tulajdonos hagy jóvá. Egyedi távfelügyeleti belépések alkalmával, amikor az üzemeltető személyzet nem veszi át a gép irányítását és a felhasználó rendelkezésre álló jogosultságokat, a belépés okáról és idejéről akkor is köteles előzetesen egyeztetni a felhasználóval. A Társaság hálózatán működő számítógépek távfelügyeletét az információvédelmi vezető jóváhagyása mellett az IKI engedélyezi. Minősített informatikai rendszerek távfelügyelete esetén a biztonság szempontjából legszigorúbb előírásokat kell alkalmazni. 4.7.4. A felhasználó hozzáférési jogosultságának ellenőrzése Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelő legyen. Ennek érdekében: – A jogosultságokat az üzleti tulajdonosnak a biztonsági osztályok követelményeiben (9. sz. melléklet) előírt időközönként ellenőrizni kell. Az ellenőrzéskor az IHIR SAP rendszerből lekért adatokkal is össze kell vetni. – A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelően módosítani kell. 4.7.5. A felhasználói jelszavak kezelése Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó megadása. A felhasználói jelszavak kezelésére a következő szabályok a mérvadók:

6. szám

a) A felhasználónak kötelezően alá kell írnia egy nyilatkozatot, melyben felelősséget vállal személyes (esetleg csoportos) jelszavainak oly módon történő kezelésére, amellyel megakadályozza, hogy illetéktelen személy számára kitudódjék. b) Belépéskor megkapott, ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes – például személyes – azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező. c) A jelszó elfelejtése esetén a felhasználó közvetlen vezetője kérheti email-en a jelszó alaphelyzetbe állítását, amelyben feltünteti a saját maga és a beosztottja azonosításához szükséges adatokat (pl. szervezet, név, telefon, email cím stb.). Amennyiben a közvetlen vezető nem érhető el, de a szolgálat ellátása feltétlen indokolja (pl. forduló szolgálatos munkavállalók esetén) a számítógép használatát, abban az esetben más biztonságos azonosítási módszert kell választani, amelynek során olyan közvetítő szolgálati felettes személy bevonására kerül sor, aki mindkét fél számára egyértelműen azonosítható. d) A jelszó megváltoztatása az első bejelentkezés alkalmával kötelező. e) Telefonon vagy faxon történő kérésre jelszóváltoztatás nem kezdeményezhető. f) A jelszónak minden felhasználó számára – a jelszópolitika határain belül – szabadon megváltoztathatónak kell lennie. g) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését: minimális jelszóhossz megadása, a jelszó egyediségét (történeti tárolás), a központi jelszó megadás utáni első bejelentkezéskor a kötelező jelszó cseréjét, a jelszó maximális élettartamát, a jelszó minimális élettartamát, a jelszó zárolását, a jelszó képzési szabályainak – bonyolultsági kritériumnak – meghatározását. h) Az informatikai rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelő titkosítási védelemmel kell ellátni. i) A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. j) A jelszó képzési szabályokat minden esetben az adott alkalmazás biztonsági osztálya határozza meg (lásd: 9. sz. melléklet). 4.7.5.1. jelszó használat A biztonságos jelszóhasználat érdekében a következő szabályokat kell betartani: a) A jelszavakat (és a belőle képzett egyedi kódsorozatot [hash-t] is) kellő körültekintéssel kell kezelni, azok

6. szám


más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók. b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, azokat két különböző helyen, lemezvagy páncélszekrényben tárolni. c) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. d) A jelszó hossza legkevesebb 8 karakter legyen, ne tartalmazzon egymást követő azonos karaktereket, vagy számokat, mert ez meglehetősen megkönnyíti a feltörhetőséget, pl. az ún. kipróbálásos (brute force) támadások esetében. e) A jelszó kívülálló számára ne legyen egyszerűen kitalálható vagy könnyen megjegyezhető, ne tartalmazzon a felhasználó személyére utaló információkat (például neveket, telefonszámokat, születési dátumokat), összefüggő szövegként ne legyen olvasható. f) A jelszó lehetőleg ne legyen szótárakban is szereplő értelmes szó, mivel ez igen megkönnyíti a feltörhetőséget, pl. az ún. szótártámadások (dictionary attack) esetében. g) A felhasználói jelszavakat rendszeresen (a biztonsági osztály előírásainak megfelelően, lásd: 9. sz. melléklet), vagy a hozzáférések számától függően cserélni kell a rendszerben, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát. h) A Társaság rendszereiben használt jelszavakat tilos a munkavégzésre használt rendszerektől eltérő helyen is alkalmazni (pl. internetes regisztráció során). i) Az átlag jogosultságoktól eltérő, előjogokkal rendelkező felhasználók jelszavait (pl. rendszergazdai jogosultságok, telepítési jogosultsággal rendelkező felhasználók) a rendszer biztonsági osztályba sorolásánál legalább eggyel magasabb besorolási osztálynak megfelelő szintre kell beállítani (pl. alap besorolású rendszer rendszergazdája minimum fokozott jelszópolitika szerinti jelszót használhat). Lásd: 9. sz. melléklet. j) Alkalmazások, eszközök a velük esetlegesen szállított alapértelmezett jelszavakkal nem használhatóak, azokat kötelező megváltoztatni. Ahol nincs beállítva jelszó, ott meg kell adni. k) Első bejelentkezés alkalmával kötelező jelszócserét végrehajtani. l) Automatikusan letiltott állapotba kell helyezni azon felhasználók jelszavát, akik az adott rendszerbe 45 napnál régebben léptek be. Erről a rendszer üzleti tulajdonosát előzetesen értesíteni kell. m) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót.

599

n) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmeztetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót. o) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell. p) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „terhére” könyveli el, és azokért személyesen felel. A jelszó házirendet a fentiekkel összefüggésben, rendszerfüggően, a RIBSZ-ben kell rögzíteni. 4.7.6. naplózás Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és rögzíteni kell a megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához. A naplózás támogatást nyújt a biztonsági auditok lefolytatásához, a döntéstámogató rendszerekhez, illetve információt gyűjthet a rendszer teljesítményéről és az azt veszélyeztető eseményekről. A biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell. 4.7.6.1. A naplózás általános szabályai Kerüljenek naplózásra a biztonságot érintő tevékenységek. Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét. A személyes adatokat tartalmazó napló adatokat az adatvédelmi jogszabályoknak megfelelően kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági célokra lehet felhasználni. A személyes adatokat nem tartalmazó naplóállományok megsemmisítéséről, felülírásáról, módosításáról és archiválásáról az adott rendszer RIBSZ-ében kell rendelkezni. A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett művelet szelektív naplózására. Minimálisan regisztrálandó (sikeres/sikertelen) események: – rendszerek és programok indítása, leállása, leállítása,

600


– az azonosítási és hitelesítési mechanizmus használata, – létrehozás, törlés vagy hozzáférési jog érvényesítése az adott rendszer kitüntetett fájljaihoz vagy erőforrásaihoz, – felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik, – rendszerhibák és korrekciós intézkedések, – rendszeróra-állítások, be- és kijelentkezések. Opcionálisan regisztrálandó események: – az adatállományok és kimeneti adatok kezelésének visszaigazolása. Az egyes eseményekhez kapcsolódó további rögzítendő elemeket a Biztonsági osztályok követelményei c. 9. sz. melléklet tartalmazza. A naplózandó elemek tervezése és beállítása során figyelembe kell venni a keletkező állományok tárterület foglalását és a rendszer teljesítményére gyakorolt hatásait. A további naplózandó eseményeket és naplóbeállításokat – a fentiekkel összhangban –rendszerfüggően kell meghatározni és a RIBSZ-ben kell tételesen rögzíteni. Az alkalmazások által gyűjtött biztonsági naplóállományok adatait az IKI – logelemző szoftverrel – rendszeresen, de legalább havonta egy alkalommal ellenőrzi, értékeli és archiválja. A biztonsági napló értékelése során meg kell határozni, hogy melyek azok a kisebb súlyú események, amelyeket jegyzőkönyvezni kell, melyek azok amelyekről a következő munkanapon, vagy soron kívül kell jelentést adni az IKI-nek és az információvédelmi vezetőnek, akik egyeztetést követően döntenek az üzleti tulajdonos tájékoztatásáról. Fokozott, és kiemelt szinten: A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. 4.7.6.2. naplózási információk védelme Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani. A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetéktelen hozzáféréstől, továbbá a felhasználói jogosultságoknál magasabb tevékenységeket naplózni szükséges. Fokozott és kiemelt szinten: a) A biztonsági naplókat egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen), illetve a rendszertől külön kell archiválni, mint a rendszerhasználat bizonyítékait, így ezek az információk későbbi vizsgálatokhoz is felhasználhatóak.

6. szám

b) A naplóállományok legyenek kódoltak, ellenőrző összeggel ellátottak. 4.7.6.3. Rendszerhibák naplózása Az informatikai rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az IKI, illetve az információvédelmi vezető döntése alapján ellenőrizni kell. Az informatikai rendszer üzemeltetéséről nyilvántartást (adatkérések, -szolgáltatások, feldolgozások stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenőriznie kell. Az üzemzavarok bejelentését követően korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt hibákat naplózni kell. Rendszerórák szinkronizálása Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és -idő beállítására, mert minden tevékenység visszakereshetőségének alapja a hiteles, pontos dátum és idő. A felhasználók nem jogosultak saját gépükön a dátum és idő megváltoztatására. 4.8. Informatikai rendszerek fejlesztése Új rendszer fejlesztésében - illetve már meglevő továbbfejlesztésében, átalakításában értelemszerűen - az alábbi szabályoknak kell teljesülni. Amennyiben a kialakítandó rendszer komplexitása vagy egy új technológia bevezetése igényli, célszerű megvalósíthatósági tanulmányt készíteni a rendszer kialakítása előtt és ennek eredményét figyelembe venni a tervezéskor. 4.8.1. Döntés a rendszer kialakításáról A döntés fázisban egyértelmű elhatározás születik a rendszer megvalósításáról, az érintett vezetők elkötelezik magukat a rendszer használata mellett. A döntés pillanatától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit, amelynek kialakításába az IKI-t és az információvédelmi vezetőt is be kell vonni. Az IKI a tudomására jutott új fejlesztésekről és továbbfejlesztési igényekről köteles az információvédelmi vezetőt azonnal tájékoztatni. A projekt vezetőjének egyeztetnie kell az IKI-vel abban a tekintetben, hogy ne történjenek párhuzamos fejlesztések, egységes szoftver-hardver platformok kerüljenek bevezetésre, illetve a TEB Főosztállyal az esetleges hálózati igénybevételt illetően. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevő állapotát és színvonalát.

6. szám


A fejlesztés céljának megfogalmazása során meg kell határozni az összes biztonsági követelményt (lásd: 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai). Az ott leírtakat a nem projektszerűen végrehajtott valamint a kisebb fejlesztésekben értelemszerűen kell alkalmazni. Ezeket a követelményeket és szükséges megoldásokat az informatikai rendszer fejlesztésének részeként kell megtervezni, egyeztetni és dokumentálni. 4.8.2. A rendszerfejlesztés előkészítése Az előkészítés lépéseit az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) Projektindítás) összefoglaltak szerint kell elvégezni. A felsorolt feladatok végrehajtója a projektvezető, illetve, ha ilyen még nincs kijelölve – vagy a fejlesztés nem projektszerűen folyik – akkor a fejlesztést kezdeményező szervezeti egység vezetője. Az előkészítésnek fontos lépése az üzleti tulajdonos kijelölése (lásd 4.2.3.3. fejezet „üzleti tulajdonos” rész). Mindaddig, amíg ez nem történik meg, a projektvezető kötelezettsége az üzleti tulajdonos számára e szabályzatban meghatározott feladatok ellátása. A rendszer biztonságát az üzleti tulajdonos a saját igényei és lehetőségei szerint valósítja meg, és döntési kompetenciával rendelkezik az ehhez szükséges források mozgósításához. Az informatikai beruházások előkészítési, tervezési fázisában figyelemmel kell kísérni a következő biztonsági szempontok érvényesítését: a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a rendelkezésre állás szempontjából történő elemzése és a védelmi célkitűzések meghatározása, b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása, c) az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. Ezek álljanak arányban a lehetséges kockázatokkal, károkkal. Az előző pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentősen megnöveli az információbiztonsági kockázatokat, valamint a későbbi kiadásokat. Amennyiben a tervezett rendszer kivált egy korábbit, az üzleti tulajdonosnak döntést kell hoznia a régiben tárolt adatok megőrzéséről, visszaállíthatóságáról (pl. törvényi kötelezettség, belső szabályzatok), különös tekintettel a technológia váltásra.

601

Virtualizáció vagy felhő alapú rendszerek használata során figyelembe kell venni a 4.6.2.6. pontban leírt előírásokat. A bevezetésre tervezett rendszer informatikai rendszertervében meg kell határozni az infokommunikációs hálózattal szembeni követelményeket. A kiírásban szerepeltetni kell a létrehozandó (fejlesztendő, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének – a projekt (fejlesztés) keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit, valamint az informatikai biztonságra vonatkozó követelményeket (pl. a védelmi igényt és célokat, a kezelendő adatok érzékenységét, a rendszerrel szemben támasztott rendelkezésre állási igényt, a jogszabályokból és egyéb vállalati belső utasításokból fakadó biztonsági kötelezettségeket). A használhatóság érdekében már ebben a szakaszban figyelmet kell fordítani arra, hogy a készülő rendszer – ellenkező igény hiányában – magyar nyelven kommunikáljon a felhasználókkal. Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához, a rendszer funkcionalitásának és megbízható üzemeltetésének biztosításához a következő dokumentációk szükségesek: – Architektúra és konfiguráció szintű dokumentáció – Modul szintű dokumentáció – Teljes rendszerdokumentáció – Tesztkövetelmények és eljárások dokumentációja rendszer szinten – Felhasználói dokumentáció – Átadás-átvételi dokumentáció – Üzemeltetési dokumentáció (normál üzemeltetés, hibaelhárítás, újraindítás) – Rendszer biztonsági dokumentumai (kockázatelemzés, RIBSZ, MFT) – Oktatási napló A kiírásban szerepeltetni kell, hogy az ajánlat biztonsági szempontból csak akkor fogadható el, ha: – a kitűzött védelmi célokra megfelelő szinten reagáló fejezetet (részeket) tartalmaz, továbbá az ajánlattevő nyilatkozik arról, hogy – csak jogtiszta szoftver rendszert szállít, – biztonsági rendszer megvalósítását csak a projektben (fejlesztésben) megjelölt személyek / alvállalkozók végzik, – elfogadja a Társaságnál érvényes informatikai biztonsági szabályokat a rendszer kialakításában. A jelen IBSZ személyi hatálya alá tartozó vállalkozónak (2.1.1 fejezet 1. bekezdés 2. pont), továbbá az erre alkalmas rendszerek külső használóinak a velük kötött szerződésben kell felelősséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerző

602


désben való szerepeltetéséért a szerződés Társaság oldali aláírója felelős. A rendszerek, alrendszerek biztonsági dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Ezeket a dokumentumokat csak az üzleti tulajdonos, illetve az általa kijelölt személyek kezelhetik és bocsáthatják a jogosultak rendelkezésére. Erről az üzleti tulajdonos az IKI-t a konfigurációkezelési adatbázisban történő dokumentum nyilvántartás érdekében, valamint az információvédelmi vezetőt értesíti. Előnyben kell részesíteni azt a pályázót, amely szakemberei rendelkeznek informatikai biztonsági minősítéssel (pl. CISA, CISM). Kötelező e feltétel alkalmazása a minősített informatikai rendszerekre vonatkozóan. A 3. sz. mellékletben bemutatott biztonsági minősítési rendszert a pályázók besorolásánál is alkalmazni kell. A fejlesztésre vonatkozó szerződésnek külön fejezetben kell foglalkoznia az informatikai biztonsággal. Ebben a fejezetben szerepeltetni kell a szállítandó szoftver és a kapcsolódó termék: – teljesítendő informatikai biztonsági követelményeit, – biztonsági tanúsításával, minősítésével kapcsolatos feltételeket, – dokumentációjának biztosításával, a dokumentációiba történő betekintéssel kapcsolatos követelményeket, – használati (futtatható) illetve forráskód felhasználásának és ellenőrzési jogának, a licencek felhasználásának a feltételeit, – szavatosságával, jótállásával, auditálhatóságával kapcsolatos feltételeket, – garanciális időn túlmenő szervizelési feltételeit, úgymint rendelkezésre állási idő, reakció-idő, tartalék alkatrész biztosítása, cserefeltételek, tartalék eszközök stb., – titoktartási (ha a rendszer üzleti titoknak minősülő adatokat is kezel), és adatvédelmi (ha a rendszer személyes adatokat is kezel) követelményeket, megállapodásokat, – a szállító nyilatkozatát, hogy a védelmi rendszer tervezéséhez és megvalósításához használt információkat és dokumentumokat átadják, – a szállító nyilatkozatát, hogy az informatikai rendszer fejlesztése során eleget tesznek a Társaság valamennyi szabályzatának, különös tekintettel az IBSZ-re. További lényeges, a biztonságot is érintő elvárás a szerződéssel kapcsolatban, hogy az ajánlattevő szükség szerint az alábbiakról is nyilatkozzon:  a megkötendő szerződés alapján létrejött szellemi termékre a MÁV Zrt. valamennyi szervezeti egysége –

6. szám

működési körén belül – korlátlan felhasználási joggal - a megkötendő szerződés alapján szállított szoftverek használati joga átkerül majd a MÁV Zrt.-hez; - egyéb megállapodás hiányában egyedi programfejlesztés esetén a forráskód átadásának kötelezőségét, - szavatol azért, hogy a majdan szállított szoftverek rendeltetésszerű használatra alkalmasak és rendelkeznek a hardver, szoftver leírásokban meghatározott paraméterekkel (kellékszavatosság); - felelősséget vállal azért, hogy a készített szoftvertermék nem tartalmaz kártékony kódrészleteket és egyéb jogellenes kódokat; - szavatol azért, hogy a majdan szállított szoftverek és hardverek fölött harmadik személynek nincs olyan joga, amely a megkötendő szerződés teljesítésében feleket gátolná (jogszavatosság); - kártalanítania fogja Ajánlatkérőt minden olyan igény esetén, amely valamely szabadalmi, védjegy, szoftverrel összefüggő jogok stb. megsértéséből származik azáltal, hogy azt szerződő felek a majdan megkötendő szerződés során felhasználták. A pályázat kiírásába és értékelésébe, a szerződés szövegének kialakításába, továbbá a fejlesztés és tesztelés folyamatába minden esetben be kell vonni az információvédelmi vezetőt. A Rendszerkoncepció, vagy a Projekt alapító Dokumentum nevű dokumentumban meg kell határozni az alapvető informatikai biztonsági követelményeket. A rendszer biztonságával kapcsolatosan meg kell határozni a szereplőket, meg kell nevezni a biztonsági határokat, adatátviteli hálózat biztonsági feltételeit, az életciklus kezelési feltételeit. 4.8.3. A fejlesztés folyamatai, dokumentumai 4.8.3.1. A kockázatok kezelése A fejlesztendő rendszer megvalósítása során az informatikai biztonságot a rendszerbe integrálva kell kialakítani, amihez ismerni kell a rendszert konkrétan fenyegető veszélyeket, ismerni kell a várható biztonsági kockázatokat. A rendszertervre alapuló kockázatelemzéshez szükséges fontosabb lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet b) Kockázatelemzés) összefoglaltak szerint kell elvégezni. A kockázatelemzés szakaszban részletesen fel kell tárni a rendszert fenyegető tényezőket. Ehhez csoportosítani kell a vizsgálandó szempontokat legalább az alábbi elemcsoportok vonatkozásban: – környezet és infrastruktúra, – hardver,

6. szám

– – – – – – –


szoftver, adathordozók, dokumentáció és dokumentumok, adatok, kommunikációs és hálózati rendszerek, szolgáltatások, személyi (külső és belső).

Ezekhez a csoportokhoz kell egyedenként meghatározni a fenyegető tényezőket a Kockázatelemzés lépései c. táblázat szerint (6. sz. melléklet). A kapcsolódó kárérték és kárgyakorisági besorolásokat, valamint a kockázati mátrixot a 7. sz. melléklet tartalmazza. A fejlesztés során és a későbbiekben valamennyi védelmi intézkedést (pl. az adatok és rendszerek biztonsági osztályba sorolását) a fentiek figyelembe vételével kell megtenni. 4.8.3.2. Adatok, informatikai rendszerek biztonsági osztályba sorolása A Társaság informatikai rendszereit a bennük kezelt adatok érzékenysége, az adatokat és a rendszert fenyegető tényezők veszélyessége és előfordulási gyakorisága alapján biztonsági osztályba kell sorolni. A biztonsági osztályozás célja az informatikai vagyontárgyak szükséges védelmi szintjének előírása. Ezt a besorolást minden esetben az adat, illetve az adatot feldolgozó rendszer üzleti tulajdonosa állapítja meg a kockázatelemzés eredménye alapján. Az adatok minősítése maga után vonja az azokat tároló, feldolgozó többi informatikai rendszerelem, illetve a teljes informatikai rendszer biztonsági besorolását is. Amennyiben a kockázatelemzés által feltárt fenyegetettségek ellen tett intézkedések után is marad az „Elviselhető” szintnél magasabb kockázat, abban az esetben az adott rendszer biztonsági besorolását a tervezettnél eggyel magasabb szintre kell meghatározni. A létrejött dokumentumokból, valamint a tervezés során felállított követelményrendszerből levonható informatikai biztonsági következtetéseknek egyértelműen arányban kell állniuk a fejlesztendő rendszernek a Társaság üzletvitele szempontjából betöltött fontosságával. Alap biztonsági osztályba kell sorolni minden olyan rendszert, amely nem igényel fokozott vagy kiemelt biztonsági besorolást. Legalább fokozott biztonsági osztályba kell sorolni (bármelyik feltétel teljesülése esetén): - a Társaság üzletvitele szempontjából stratégiai jelentőségű rendszereket, - az üzleti titoknak minősülő adatokat valamint a nagy mennyiségű, vagy különleges személyes adatot feldolgozó rendszert,

603

- ahol a rendszer elvárt éves rendelkezésre állási igénye nagyobb vagy egyenlő, mint 99%. Bizalmasság szempontjából fokozott kategóriába sorolt adatokra vonatkozóan, az üzleti tulajdonosnak meg kell vizsgálni az egyezőséget a Társaság üzletititok-védelmi szabályzat titokköri jegyzékével, és szükség esetén intézkedni kell annak kiegészítésére. kiemelt biztonsági osztályba sorolható az a fokozott besorolású rendszer, amelynek üzleti tulajdonosa a kockázatelemzés alapján magasabb szintű védelem megvalósítását tartja szükségesnek. 4.8.3.3. A rendszer biztonságának tervezése A következő fázisban – a biztonsági osztályba sorolástól függetlenül – Rendszerszintű Informatikai Biztonsági szabályzatot (RIBSZ) kell kialakítani, melynek vázlata a 11. sz. mellékletben található. Kisebb, alap besorolású alkalmazásoknál, amelyek nem adnak át adatokat feldolgozásra más rendszereknek, a RIBSZ helyettesíthető a Rendszertervben kialakított informatikai biztonsági fejezettel. A dokumentumnak részletesen kell foglalkoznia a kockázatelemzés által feltárt hibák és hiányosságok ellen tett intézkedésekkel is. Biztonsági szempontból az információvédelmi vezető felügyeli és támogatja az informatikai fejlesztéseket, projekteket, ennek során állást foglal a rendszerszintű informatikai biztonsági szabályzatok megfelelőségéről. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. Az RIBSZ (illetve a Rendszerterv informatikai biztonsági fejezete) tartalmának szigorú összhangban kell lennie a Társaság IBSZ-ével, valamint a korábbi fázisban meghatározott biztonsági osztályra vonatkozó (9. sz. melléklet) követelményekkel. A védelmet fizikai, logikai és adminisztratív területen kell megvalósítani. A megfelelőséget az Információvédelmi vezető által adott ellenjegyzéssel kell igazolni. A fejlesztési folyamat minden lépésében konzultálni kell mind az üzemeltetőkkel (operátorokkal), mind a felhasználókkal a rendszer hatékonyságának érdekében. A rendszer tervezése, valamint az informatikai biztonsági osztály meghatározása után világosan látszik, hogy kell-e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az RIBSZ-ben, illetve a Rendszerterv informatikai biztonsági fejezetében részletesen ki kell dolgozni az ide vonatkozó védelmi intézkedéseket is. Ilyen szolgáltatással rendelkező rendszerben a kulcsokat külön védeni kell az elvesztés és illetéktelenek tudomására jutása ellen,

604


hogy a sértetlenség, titkosítás, hitelesség rendszere ne sérüljön. 4.8.3.4. Tesztelés A rendszerben megvalósuló valamennyi elemet a rendszer használatba vételét megelőzően biztonsági megfelelőség szempontjából tesztelni kell. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet d) A rendszer használatba vétele) összefoglaltak szerint kell elvégezni. A biztonsági teszt-feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesztelési folyamatok irányítására – amennyiben indokolt – egy szervezetet kell létrehozni, aminek a vezetője az üzleti tulajdonos által kijelölt teszt menedzser. Tagjai továbbá a rendszer méretétől (bonyolultságától) függő létszámban a teszt tervező(k), tesztelő(k), értékelő(k). A tesztelésbe a felhasználó környezetéből is be kell vonni személyeket, akiket az üzleti tulajdonos vagy a projekt menedzser jelöl ki. A tesztelés végrehajtására a teszt menedzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Ennek legfőbb elemei a következők: – a teszt céljainak meghatározása, – a teszt lépéseinek meghatározása, – a rendszer tesztelendő elemeinek behatárolása, – tesztelési mód, teszt környezet, teszt adatbázis meghatározása, – tesztek értékelési módszerének kialakítása, – teszteredmények megfelelőségi kritériumainak definiálása, – dokumentálási faladatok meghatározása, – a tesztelési szervezet kialakítása, személyek meghatározása, szerepkörök, felelősségi leírása, – ütemterv meghatározása. A tesztelés tervét a rendszertervvel párhuzamosan kell elkészíteni, mivel a biztonsági követelmények addigra már ismertek. Lehetőleg az informatikai tesztelésekkel párhuzamosan meg kell kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rendszerrel szembeni biztonsági elvárásainak időbeni teljesülését. A tesztek (modul-, integrációs-, rendszer-, teljesítmény- stb.) eredményét a 12. sz. melléklet szerinti Biztonsági tesztelési jegyzőkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell őrizni. 4.8.3.5. A használatba vétel feltételei A rendszer csak akkor vehető használatba, ha egyebek mellett rendelkezésre állnak az – üzleti tulajdonos a rendszerre vonatkozó biztonsági igényei alapján (a „c” és „h” pontok kivételével) a beszállítóval elkészíttetett

6. szám

– alábbi biztonsági dokumentumok is: a) Kockázatelemzés, b) Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ) tartalmazza a rendszer összes konkrét védelmi intézkedését, önálló fejezetben vagy különálló mellékletben a felhasználókkal kapcsolatos biztonsági előírások rendszerszintű szabályait, c) Üzleti tulajdonos nyilatkozatai: – a rendszerrel szemben támasztott rendelkezésre állási igényről, – a biztonsági osztályba sorolásról és a maradó kockázat elfogadásáról, – az elkészült dokumentumok elfogadásáról. d) Felhasználói Kézikönyv az összes kezelési szintre benne olyan funkciókkal, mint az informatikai biztonsági rendkívüli eseményekre való reagálás, a működés-folytonosság biztosítása és a felhasználók személyes adatainak kezelése fejezet. A RIBSZ-ben szereplő informatikai biztonsági szabályokat ezen a módon kell a felhasználóknak eljuttatni. e) Üzemeltetési kézikönyv, f) Működés-folytonossági terv (biztonsági osztálytól függően) g) Jegyzőkönyvek a biztonsági tesztfeltételeknek való megfelelésről, h) Megfelelőségi tanúsítvány amely minősített rendszer esetében független auditortól származik. Az átvétel során ellenőrizni kell továbbá: a) a teljesítőképességi és a számítógépkapacitás-követelményeket, b) a hibajavító és az újraindítási eljárások vészterveit, c) a rutin üzemeltetési eljárások előkészítését és bevizsgálását, d) a megállapodások szerinti biztonsági óvintézkedések megtételét, e) a hatékony kézi (manuális) eljárásokat, f) a működés folyamatosságának érdekében a 4.9.1. fejezet által megkívánt elrendezéseket, g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkező, káros hatással a meglévő rendszerekre, különösen nem a feldolgozási csúcsidőkben. h) annak bizonyítékait, hogy figyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a Társaság általános biztonságára, i) az új rendszerek üzemeltetésének valamint használatának a betanítását, oktatását. 4.8.4. Az üzleti tulajdonos feladatai Az informatikai biztonsági folyamatok és dokumentumok elkészítését az üzleti tulajdonos irányítja és a rendszerre vonatkozó biztonsági igényei alapján a nyertes

6. szám


pályázóval készítteti el a megvalósítási szerződés keretében. Az előző pontokkal összhangban az üzleti tulajdonos (projektvezető, témafelelős) feladatai: Az előkészítési (kiírás) és szerződéskötési szakaszban: - Szükség esetén megvalósíthatósági tanulmányt készíttet. - Egyeztet az IKI-vel a párhuzamos fejlesztések elkerülése érdekében, illetve, hogy egységes szoftver-hardver platformok kerüljenek bevezetésre. - Az elfogadható kiesési idők meghatározása után nyilatkozik a rendszerrel szemben támasztott rendelkezésre állási igényéről (5/A. sz. melléklet). - A rendszer által kezelt adatkörök elemeztetésével meghatározza, hogy a rendszer kezel-e személyes adatokat, minősített adatokat, vagy üzleti titoknak minősülő adatokat. - Meghatároztatja, hogy a kezelt adatkörök és az elvárt rendelkezésre állás várhatóan melyik biztonsági osztálynak megfelelő intézkedésekkel biztosítható (9. sz. melléklet). - Már a kiírásban a pályázók rendelkezésére kell bocsátani minden releváns információt (pl. rendelkezésre állási tényező, kezelt adatkörök, hatályos belső utasítások). - A megkötendő szerződésben szerepeltetnie kell a Társaság vonatkozó szabályait. A fejlesztési (megvalósítási) szakaszban: - A kockázatelemzés által feltárt, a rendszert fenyegető tényezők alapján intézkedik azok megszüntetéséről vagy minimális értékre való csökkentéséről. - Elfogadja a maradványkockázatokat, továbbá a rendszert információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás szempontjából biztonsági osztályba sorolja, amelyet írásban kell rögzíteni a biztonsági dokumentumokban (lásd nyilatkozat a 10. sz. mellékletben). A biztonságnövelő intézkedések egy része nem tesz különbséget a két fenyegetettség (információvédelem és rendelkezésre állás) között, ebben az esetben az adat védelmét a két besorolás közül a magasabb fokozatú szerint kell megvalósítani. - A biztonsági osztály megállapításakor előzetesen kikéri az IKI és az információvédelmi vezető állásfoglalását. Amennyiben az üzleti tulajdonos a javasoltnál alacsonyabb biztonsági osztályba történő besorolás mellett dönt, köteles annak jóváhagyása érdekében az állásfoglalásokkal együtt felterjeszteni az elnök-vezérigazgató részére. Amennyiben az üzleti tulajdonos által meghatározott alacsonyabb szintű besorolást az elnök-vezérigazgató nem hagyja jóvá, abban az esetben az üzleti tulajdonos a rendszer fejlesztésének céljait, a ráfordításait úgy módosítja, hogy a biztonsági

605

osztályba sorolás tekintetében végül megegyező álláspont alakuljon ki. - A besorolásról értesíti az IKI-t, a konfigurációkezelési adatbázisban történő eltárolás érdekében. - A nyertes pályázóval elkészítteti a vonatkozó informatikai biztonsági dokumentumokat. Tesztelési szakaszban: - Ellenőrzi a 4.8.3.4. pontban leírtak szerinti tesztelési folyamatot. Az átadás-átvételi szakaszban: - Ellenőrzi a 4.8.3.5. pontban leírtak szerinti átadás-átvételi folyamatot. A rendszer használatba vétele után, az üzemelési szakaszban: - Az előírások érvényesülése szempontjából, továbbá akkor, ha a rendszer szempontjából lényeges változtatások valósulnak meg, felül kell vizsgáltatnia és szükség szerint aktualizálnia kell a tulajdonolt rendszer működését biztosító informatikai hátteret, az informatikai biztonsági dokumentumokat (kockázatelemzés, RIBSZ, MFT), a rendszer üzemeltetőjét, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetők tevékenységét. A felülvizsgálatot a biztonsági osztályok követelményeinél (9. sz. melléklet) előírt időszakonként kell végrehajtani. - Gondoskodik a megfelelő és hatékony üzemeltetési, karbantartási működés-folytonossági és (tovább) fejlesztési tevékenységek kialakításáról és fenntartásáról. 4.9. Működés-folytonosság kezelése Működési hibák, különböző fokozatú rendkívüli állapotok (pl. tartós áramszünet, adatátviteli hálózat sérülése) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkező hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából fokozott és kiemelt biztonsági osztályba sorolt informatikai rendszerének – annak kiterjedésétől függetlenül – kötelező rendelkeznie Működés-folytonossági tervvel. Alap biztonsági osztályba sorolt rendszereknél is indokolt ennek elkészítése. A tervezés olyan hibák és jelenségek kezelésére szolgál, amelyek a rendszer működése során gyakran előfordulhatnak a helytelen munkavégzésből, figyelmetlenségből, vagy a technikai körülmények előnytelen változásaiból, személyek változásából, illetve elháríthatatlan okból. A katasztrófa súlyosságú működés-folytonossági események informatikát érintő kezeléséről a Társaság katasztrófavédelmi és polgári védelmi feladatainak ellátásáról szóló utasítás Intézkedések informatikai vészhelyzet megelőzésére c. melléklete rendelkezik. (lásd: 16. sz. melléklet ’s’ pont)

606


4.9.1. A működés-folytonosság menedzselése A működés-folytonossági tervezést az üzleti tulajdonos irányítja. Első lépésben meg kell határoznia a rendszer azon kiesési idejét (lásd. 5. sz. melléklet), amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása üzletileg még elviselhető, és aminek leteltével életbe kell léptetni a rendkívüli események kezelésére szolgáló intézkedéseket. Ennek megfelelően alapvetően három alappillérre támaszkodik: a) magas színvonalú, jó minőségű technológia és üzemeltetés; b) megfelelő szabályozottság, dokumentáltság és informatikai szervezet; c) az előre nem látható eseményekre történő előzetes felkészülés. A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is figyelembe kell venni. A működés-folytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerű működést (pl. programhiba, hardver meghibásodás, adatátviteli útvonalon történő zavar, tartós szakadás, tűzeset, vízkár). A tervezés az alábbi kulcsfontosságú elemekből áll: - fel kell készülni mindazokra a kockázatokra (lásd: kockázatelemzés, maradványkockázat) melyek bekövetkezése reális, és befolyásolja az üzleti folyamatokat, - megfelelő stratégiát kell kidolgozni, hogy a kockázatok minimálisak legyenek, - meg kell állapítani a felelősségi területeket, a követendő eljárási tematikát, - meg kell határozni a reagálási és a helyreállítási stratégiát, annak idejét, - tervezni kell az oktatást, hogy a működtető személyzet (rendszergazdák, operátorok stb.) maradéktalanul ismerje a teendőket, a szabályozási rendet, - szimulált hibák létrehozásával gyakorolni kell a helyreállítási folyamatot. A felülvizsgálatot a biztonsági osztályok követelményeinél (9. sz. melléklet) előírt időszakonként kell végrehajtani., - minden működés-folytonossági eseményt dokumentálni kell és e tudásbázis alapján intézkedéseket kell tenni a rendszeresen ismétlődő hibák megelőzésére, - a terv időszakonkénti felülvizsgálata, amit a szükségletnek megfelelően módosítani kell, - ki kell dolgozni a közönségkapcsolatok, a média kezelésének szabályait. 4.9.2. A tervezés keretrendszere A működés-folytonossági terv általános tematikáját a 14. sz. melléklet tartalmazza. A dokumentumnak szoros logikai kapcsolatban kell állnia az IBSZ, RIBSZ és Felhasználói kézikönyv dokumentumokkal. A tematikai vázlatot az alábbi tervezési szempontok figyelembe vételével kell alkalmazni:

6. szám

- ki kell alakítani a terv szinkronját az üzleti stratégiához, biztosítani kell alkalmazkodását a változó jogi előírásokhoz, - rögzíteni kell a meglevő és a helyreállításra igénybe vehető erőforrások térbeli és minőségi helyzetét, - fel kell mérni azokat a környezeti szereplőket, amelyeket valamilyen formában értesíteni, vagy bevonni kell egy rendkívüli helyzet esetén (pl. üzemeltető szervezet, közvetlen munkahelyi vezető, üzleti tulajdonos, MÁV-os rendszergazda, tűzoltóság, rendőrség, katasztrófa-védelem, írott és elektronikus sajtó), - meg kell különböztetni az incidenskezelést a katasztrófahelyzet kezelésétől, figyelembe véve azonban, hogy a katasztrófa-esemény az üzletmenetet hátrányosan befolyásoló, azt különböző mértékben érintő tényezők legdurvább előfordulási módja ugyan, de csak egy a káros hatású tényezők sorában, - a kockázatoknak megfelelően tartalék erőforrásokat kell feltárni, elemezni kell a rendszer külső beszállítóinak szolgáltatásait, - nagyobb rendszerben asztali modellezéssel különböző forgatókönyveket kell készíteni a különböző típusú káresetek megelőzésére, illetve kezelésére, - vizsgálni kell a műszaki helyreállítás lehetőségeit (az eszközök üzembe történő visszaállítása, tartalék eszközök üzembe helyezése, melegtartalék kezelése, alternatív helyszín igénybe vétele) figyelembe véve a rendszerre vonatkozó kapacitás-igényt, - el kell végezni a tartalék helyszín megfelelőségi vizsgálatát, - tervezni kell a helyreállítási fázisok részfelelőseinek beszámoltatási kötelezettségét, - ki kell alakítani az érintettek listáját, rögzíteni kell elérhetőségüket (cím, telefonszám), és a listát az üzemeltető személyzet számára könnyen elérhetővé kell tenni, - működési zavarral terhelt környezetben dolgozó (esetleg katasztrófa-helyzetben pánik-közeli állapotba került) munkatársak számára is könnyen érthető, minél rövidebb terjedelmű, elméleti fejtegetéseket teljes mértékben mellőző feladatleírást, cselekvési tervet kell kialakíttatni, ami egyértelműen és kizárólag a végrehajtandó feladatokat tartalmazza, meghatározva azok sorrendjét és felelőseit, - valamennyi részelemnek – függetlenül az üzleti tulajdonos mindenre kiterjedő biztonsági felelősségétől – további felelőse kell, hogy legyen, aki felel a felelősségi körébe tartozó rendszerelemek működésének helyreállításáért, annak feladatait ismeri és készség szintjén begyakorolta. 4.9.3. A terv felülvizsgálata és karbantartása A Működés-folytonossági tervet az üzleti tulajdonos köteles a Biztonsági osztályok követelményei c. (9. sz.) mellékletben leírt időközönként vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy előfordulhatnak hibás feltételezések, személyi változások,

6. szám


vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, hanem ismerni kell annak időbeliségét, hatását és következményeit is. 4.9.4. A rendszerek és a programok működési zavarainak értékelése A Társaság minden szerverén és munkaállomásán, (amennyiben a működtető szoftver ezt lehetővé teszi) aktiválni kell a folyamatos rendszer vagy alkalmazás naplózást, az esetleges hibaüzenetek visszakereshetősége vagy incidensek feltárása érdekében. A hibaüzenetek fontosságát a működés-folytonosság fenntartásában a felhasználókkal is tudatosítani kell. Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdonosnak évente elemeznie, értékelnie kell. Az elemzés alapján – szükség esetén – kezdeményeznie kell az információvédelmi vezetőnél jelen szabályzat, illetve saját hatáskörében az adott rendszer Működés-folytonossági tervének és RIBSZ-ének a korszerűsítését. 4.10. Az informatikai biztonsági incidensek kezelése Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, azt kedvezőtlenül befolyásolják, vagy a napi feldolgozást hátráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek. Alapvető cél, hogy a biztonsági események és zavarok okozta kár minimális legyen, a biztonsági események folyamatosan nyomon legyenek követve, biztosítva legyen a mielőbbi normális üzemre való visszaállás és a megfelelő következtetéseket az illetékesek levonják. Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elkerülhetők az elhamarkodott döntések, bizonyítékot lehet használni és megőrizni az esemény forrásának lenyomozásához és azonosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható, és nem csak az esemény, de a válasz költségei is csökkenthetők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók. Minden szervezetnek fel kell készülnie a biztonsági események bekövetkezésére, ezért a következő lépéseket kell megtenni: a) felkészülés – előre dokumentált megelőző intézkedések, eseménykezelési útmutatások és eljárások (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges dokumentumok, valamint működés-folytonossági tervek, b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek jelentsék az eseményeket,

607

c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meghatározásában, d) irányítás – eljárások és felelősségek az eseményekkel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájékoztatásakor, e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor, f) áttekintő vizsgálat – eljárások és felelősségek az eseményt követő tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését. 4.10.1. A biztonsági események és hibák jelentése A Társaság minden informatikai eszközén, folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhasználók nem veszik figyelembe, ezért ennek fontosságát a felhasználókkal is tudatosítani kell. Teendők rendszer-, illetve alkalmazáshiba esetén: a) Figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket. Rendszer-, vagy alkalmazáshiba esetén az adott számítógépen fel kell függeszteni a munkát. A hibaüzenetet a felhasználó nem törölheti a képernyőről, amíg az illetékes informatikai munkatárs azt nem látta vagy azt meg nem beszélte vele. A felhasználó semmiféle kísérletet nem tehet az informatikai rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem, ha kellő felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az illetékes informatikai munkatárs jogosult. b) Amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás, vagy vírustámadás okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, továbbá szükség esetén gondoskodni kell a hibernálás aktiválásáról vagy a kikapcsolásról. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is, melyeket az illetékes informatikai munkatársnak vizsgálat céljára át kell adni. c) A Társaság informatikai rendszereinek működés zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetőjének és az infokommunikációs biztonsági vezetőnek. d) A meghibásodott informatikai eszközben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más berendezésekben. Az informatikai rendszert, vagy a hálózat működését érintő biztonsági rendkívüli eseményt a felhasználói köteles a közvetlen vezetőjének, akadályoztatása esetén az üzemeltetési személyzetnek (Helpdesk, SZIR-FOR felügyelet stb.) jelenteni, szükség esetén a kármegelőzési, kárelhárítási intézkedéseket érdekében mindent megtenni. Köteles az eredményes kivizsgálást elősegíteni. A szervezeti egység vezetője jelentését haladéktalanul köteles megtenni az információvédelmi vezetőnek és az

608


infokommunikációs biztonsági vezetőnek (telefon, fax, e-mail stb.). Az információvédelmi vezető az eseményt a lehető legrövidebb idő alatt vizsgálja ki, és amennyiben a felelősségre vonás szükségessége felmerül, értesítse a biztonsági igazgatón keresztül a munkáltatói jogkör gyakorlóját. Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követően az eseményt előidéző, az esemény okait és lefolyását feltáró, vagy megismerhetővé tevő bizonyítékok ne semmisüljenek meg, azok összegyűjthetők és értékelhetők maradjanak. Az információvédelmi vezető részére a rendszerek és alkalmazások műszaki gazdái havonta küldjenek összefoglaló jelentést a bekövetkezett technikai és biztonsági eseményekről, illetve a megtett intézkedésekről. 4.10.2. Az informatikai biztonsági incidensek értékelése Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monitorozási rendszer működési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerűsítését. Az egyedi esetekben hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedés, tényfeltáró vizsgálat lefolytatása során szükséges a kellő mennyiségű és minőségű bizonyítékot összegyűjteni ahhoz, hogy a vétkes kötelezettségszegés megállapítására, a hátrányos jogkövetkezmények és más munkajogi intézkedések alkalmazására sor kerülhessen. Amennyiben az informatikai biztonsági incidens büntetőjogi felelősséget is felvet, törekedni kell a bizonyítékok hatósági eljárásban bizonyítékként felhasználható módon történő begyűjtésére és megőrzésére, a nyomozó hatóság részére történő átadás érdekében. 4.11. Megfelelés a jogszabályoknak 4.11.1. A jogszabályi előírások betartása Az Informatikai Biztonsági Szabályzat alkalmazása során bevezetett védelmi intézkedések nem ütközhetnek büntetőjogi vagy polgári jogi szabályozásba, nem eredményezhetik a Társaság törvényes, szabályozói vagy szerződéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhetőek, illetve valósíthatóak meg, amelyek a jogszabályi és egyéb előírásoknak megfelelően biztosítják az informatikai infrastruktúra védelmét. A szabályzat kialakításánál a 15. sz. mellékletben felsorolt jogforrások és előírások normái voltak irányadók,

6. szám

amelyekre az informatikai biztonság irányítása és megvalósítása során az abban részt vevőknek kiemelt figyelmet kell fordítaniuk. Az informatikai rendszerekkel kezelt és feldolgozott – minősített adat védelméről szóló törvény hatálya alá tartozó adatok és az üzleti titoknak minősülő adatok védelmét a Társaság biztonsági vezetője, illetve titokvédelmi felügyelője a vonatkozó jogszabályok és szabályzatok szerint, – személyes adatok védelmét a Társaság belső adatvédelmi felelőse a Társaság Adatvédelmi szabályzata szerint látja el. 4.11.2. Az informatikai biztonság megfelelőségi felülvizsgálata A Társaság informatikai biztonsági szintjét folyamatosan és célirányosan ellenőrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel-e a mindenkori tárgybani szabványoknak és jogforrásoknak, az informatikai biztonság megvalósítását végző személyektől, szervezeti egységektől független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg: a) az információvédelmi vezető munkaszervezete folyamatosan, napi szaktevékenysége részeként rutinszerűen ellenőrzi a rendszereket, felügyeli a rendszerek biztonságának megvalósításában feladattal megbízott, a 4.2.2. és 4.2.3. fejezetekben felsorolt szervezeti egységeknek és személyeknek a rendszerbe jelen szabályzattal beépített biztonsági mechanizmusaival kapcsolatos tevékenységét, b) a Belső Ellenőrzési Főosztály – saját hatáskörében kidolgozott eljárásrend szerint – esetenként, de rendszeresen (az egyes szakterületek tevékenységének vizsgálata során) belső auditálás formájában, komplexen ellenőrzi és értékeli az informatikai biztonság helyzetét, beleértve az információvédelmi vezető a) pontban leírt felügyeleti tevékenységét is, c) a Társaságon kívüli, független szakértők megbízásával külső auditálást kell végeztetniük az érintett rendszerek üzleti tulajdonosainak az alábbi esetekben: – fokozott biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, – kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, majd 2 évenként rendszeresen. Amennyiben külső cég végez auditálást (vagy felmérést, ellenőrzést) a Társaság informatikai eszközparkján csak olyan mértékben vizsgálódhat, amely semmilyen formában nem sérti a Társaság érdekeit, kivéve, ha erre törvényi vagy szerződéses jogviszony fel nem jogosítja.

6. szám


609

4.12. kivételkezelés

7. MELLÉkLETEk

Az üzleti tulajdonosok, projektvezetők és a munkáltatói jogkört gyakorló vezetők kezdeményezhetik az információvédelmi vezetőnél az IBSZ által nem szabályozott esetekben eligazodást adó döntés meghozatalát. Az információvédelmi vezető szükség szerint az infokommunikációs biztonsági vezető, a TEB, illetve egyéb érintett szakterület bevonásával, az érvényes jogszabályok, szabványok, ajánlások, továbbá az aktuális informatikai fejlettségi szint ismeretében javaslatot tesz a Biztonsági igazgató számára, aki saját hatáskörben döntést hoz, vagy ha az eset körülményeiből más következik, akkor elnök-vezérigazgató elé terjeszti döntés meghozatalára.

1. Felhasználók biztonsági kötelezettségei 2. Informatikai biztonsági nyilatkozat 3. Informatikai beszállító biztonsági minősítési rendszere 4. Informatikai fejlesztés biztonsági feladatai és dokumentumai 5/A. Nyilatkozat az informatikai rendszer rendelkezésre állási igényéről 5/B. Megbízhatósági követelmény jellemzők (kitöltési útmutató az 5/A. sz. melléklethez) 6. Kockázatelemzés lépései 7. A MÁV Zrt.-nél alkalmazandó kárérték, kárgyakoriság és kockázati mátrix értékei 8. Fizikai biztonsági védősávok 9. Biztonsági osztályok követelményei 10. Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról 11. Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ) vázlata 12. Biztonsági tesztelési jegyzőkönyv 13. Selejtezési jegyzőkönyv minta 14. Működés-Folytonossági Terv (MFT) vázlata 15. Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások 16. Az IBSZ-ben található rövidítések jegyzéke

5. HIVATkOzÁsOk, MóDOsíTÁsOk, HATÁLyOn kíVÜL HELyEzÉsEk Jelen utasítás kiadásával hatályát veszti: – 33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnökvezérigazgatói utasítás a MÁV Zrt. informatikai biztonsági szabályzatáról 6. HATÁLyBA LÉPTETÉs Jelen szabályzat a közzététele napján lép hatályba és visszavonásáig érvényes.

Dávid Ilona s.k. elnök-vezérigazgató

610


6. szám

1. sz. melléklet Felhasználók biztonsági kötelezettségei Jelen dokumentum célja, hogy biztosítsa minden felhasználó számára azokat a legfontosabb információkat, amelyek ismeretében a Társaság informatikai infrastruktúrája eredményesen, hatékonyan, és biztonságosan használható. Az Informatikai Biztonsági Szabályzat szerint a Társaságnak azon munkavállalója, aki munkája ellátásához informatikai eszközt használ (a továbbiakban felhasználó) köteles az itt felsorolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közreműködni. Bevezetés A Társaság rohamosan növekvő mértékben alkalmaz informatikai rendszereket az üzleti tevékenységével összefüggő nyilvántartási, adatfeldolgozási feladatokra, de belső és külső elektronikus kommunikációra is. A rendszerek a velük végzett napi munka során különböző biztonsági fenyegetéseknek vannak kitéve, amelyeket fel kell ismerni. Ellenük a Társaság védelmi rendszert működtet. Informatikai biztonsági szempontból elsősorban az adatok és feldolgozórendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése a fő feladat. Bizalmasság: A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáférhető. Sértetlenség: A sértetlenség védelme arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándékozott és a jogosultságnak megfelelő módon és mértékben változzanak. Rendelkezésre állás: A rendelkezésre állás biztosítása pedig azt célozza, hogy az adatok és informatikai szolgáltatások az előre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára hozzáférhetőek legyenek. Az informatikai eszközök és rendszerek folyamatos működőképessége és ennek során a biztonsági követelmények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni. 1. Biztonsági ismeretek, felelősségtudat A Társaság munkavállalói, mint felhasználók felelősséggel tartoznak az általuk használt informatikai eszközök (pl. számítógép, okostelefon) és tartozékai, továbbá az ezeken működő programok biztonságának megőrzéséért. Kötelesek a használatra vonatkozó biztonsági szabályokat (jelen dokumentumot, a használt rendszer üzleti tulajdonosa által elrendelt ismertetőket, felhasználói vagy üzemeltetői kézikönyveket stb.) megismerni, azokat a tevékenységüknek megfelelő esetekben alkalmazni és ennek során a tőlük elvárható gondossággal ellenőrizni az alkalmazott biztonsági funkciók helyes működését. 2. Egyéni felelősség a) A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. A munkavégzés során keletkezett adatokat a munkáltatói jogkör gyakorló a munkafeladatok ellátásával összefüggésben, továbbá biztonsági szempontból az adatokon kívül, a létrejött naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei ellenőrizhetik. b) A felhasználók kötelesek mindent megtenni annak érdekében, hogy mások a nevükben illetéktelenül ne tevékenykedhessenek. Kötelesek betartani a jelszóválasztási és változtatási szabályokat. c) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhasználói azonosítókat és jelszavakat, továbbá más nevében nem léphetnek be a rendszerbe. d) Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Excel-táblák, makró-programok, SQL lekérdezések, kis adatbázisok) nem tekinthetők informatikai alkalmazásnak. A vezetők az általuk irányított területen felelősek a végfelhasználói alkalmazásoknak a biztonsági előírásokkal összhangban lévő használatáért. Az ezekkel előállított adatok, eredmények stb. megbízhatóságának ellenőrzése a felhasználó felelőssége. e) Minden esetben követeljék meg az üzemeltető személyzet azonosítását (pl. helyszíni kiszállás esetén megbízólevéllel és arcképes igazolvánnyal, illetve az üzemeltető szervezet által kibocsátott arcképes munkavállalói igazolvánnyal). A felhasználók – engedélyük megadását követően – kísérjék figyelemmel a PC munkaállomásukat érintő üzemeltetési, (táv)karbantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben

6. szám


611

az eszközök működésében váratlan változást tapasztalnak, tájékoztassák az üzemeltető szervezetet és a közvetlen vezetőjüket. f) A felhasználók a jelszavuk által aktivált berendezésüket rövid időre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból és kötelesek aktivizálni a PC munkaállomás jelszavas védelemmel ellátott képernyővédő funkcióját (a Windows+L billentyű egyidejű lenyomásával), ha munkahelyüket – akár rövid időre is – elhagyják, vagy egyéb módon gondoskodjanak a számítógép mások általi használatának megakadályozásáról (pl. a helyiség bezárása). 3. Felhasználói jogosultság a) A felhasználók a részükre meghatározott munka elvégzéséhez szükséges mértékű hozzáférést kapnak az informatikai rendszerekhez „a szükséges minimális jogosultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelően. b) A felhasználók kötelesek a vezetőjük által engedélyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funkciók, adatok elérésére, amelyekre nincsenek feljogosítva. c) A felhasználók csak technológiailag indokolt esetekben kaphatnak rendszergazdai jogosultságot. 4. Jelszavak használata A jelszavak védelme érdekében a felhasználónak a következő szabályokat kell betartania: a) A felhasználónak tudatában kell lennie, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ő „terhére” könyveli el. Ezért a jelszavait kellő körültekintéssel kell kezelnie, azokat más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja, köteles azok titkosságát megőrizni. A felsoroltakért személyesen felelős. b) A jelszó házirend (hossz, bonyolultság, cserélés periódusa stb.) rendszerenként változhat, de alapszabály, hogy a jelszó nem egyezhet meg a felhasználói azonosítóval. c) A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra stb. utaló információkat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét stb.), és összefüggő szövegként ne legyen olvasható. d) A felhasználó nem adhat meg a hálózati bejelentkezésére használt jelszóval megegyező jelszót az általa használt informatikai rendszerekben. e) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban, a közvetlen vezetőnél történő, biztonságos tárolásáról. f) Amennyiben a felhasználó megtudja, vagy azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie és a felmerülő biztonsági kockázat lehetőségéről tájékoztatni kell az információvédelmi vezetőt. g) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót. h) A felhasználó részére generált első jelszót, továbbá a jelszómódosításra felhívó rendszerüzenetek után az addig érvényes jelszavát a felhasználó a legelső bejelentkezése alkalmával köteles módosítani. 5. Társaság eszközeinek használata a) A felhasználók nem jogosultak a Társaság infokommunikációs erőforrásai – az informatikai alkalmazások (szoftvertermékek, szolgáltatások) az infokommunikációs eszközök és hálózat, az internet, a munkaállomások, perifériák és az egyedi PC-k, továbbá az adathordozók (mágneslemez, CD/DVD stb.) – személyes célú használatára. b) Az infokommunikációs erőforrásokhoz való hozzáférés és azok használata kizárólag megfelelően azonosított, hitelesített és jogosított felhasználók számára engedélyezett. c) A Társaságnál csak a hivatalos csatornákon keresztül beszerzett, elfogadott és installált PC hardver (pl. szkenner, digitális fényképezőgép) és szoftver, illetve adathordozó (pl. CD/DVD, Pen-drive) használható. A felhasználó döntése alapján tiltott, hogy saját eszközökkel csatlakozzon a Társaság informatikai eszközeihez, hálózatához. Munkavégzés érdekében, rendkívül indokolt esetben az üzleti tulajdonos az információvédelmi vezető biztonsági véleményének beszerzését követően engedélyezheti

612


6. szám

d) A Társaság munkaállomásainak karbantartását (pl. hardver, szoftver telepítés) és estleges átalakítását szerződésben megbízott üzemeltető szervezetre kell hagyni. e) Olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott biztonsági szoftvert vagy ellenőrzéseket, tilos az informatikai eszközökre telepíteni. f) Bemutató során tilos olyan PC-t használni, amellyel a felhasználója bejelentkezett valamely minősített biztonsági osztályú alkalmazásba. g) A munkaviszony megszűnése, a munkakör megváltozása, vagy más, a munkahelyi vezetője által támasztott igény esetén a felhasználónak minden eszközt és információs erőforrást, vissza kell szolgáltatnia. 6. Az adatok bizalmassága a) A felhasználó felelős a rendszerek használata során tudomására jutott üzleti titoknak minősülő adatok tőle elvárható védelméért, a nem nyilvános adatok és a személyes adatok megőrzéséért. b) Üzleti titoknak minősülő adatok külső tárolóra másolása csak az erre vonatkozó, kifejezetten megengedő szabályok szerint történhet. Az ilyen információt tartalmazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni. c) A felhasználók senki előtt nem fedhetik fel az üzleti titoknak minősülő információt, kivéve, ha az arra jogosult engedélyezi. Ebbe beletartoznak a Társaságra, valamint ügyfeleire, informatikai rendszerére és szoftverfejlesztésére, termékeire és szoftverliszenszeire vonatkozó technikai és üzleti információk. d) Az informatikai biztonsági intézkedéseket és a Társaság egyes rendszereire vonatkozó belső szabályait oly módon kell kezelni, amely megakadályozza azt, hogy illetéktelen személy számára hozzáférhetővé váljon. e) Üzleti titoknak minősülő adatokat tartalmazó információkat külső félnek elektronikus úton kizárólag a Társaság titokvédelmi szabályzatában leírt módon szabad küldeni. f) Minden a felhasználónak a számítógépekhez való hozzáféréséhez szükséges azonosító, jelszó, telefonszám, valamint egyéb, az informatikai erőforrásokhoz való “hozzáférési lehetőség” a felhasználó tulajdona és titka. Az ilyen hozzáférési lehetőség birtokosa felelősségre vonható ennek jogtalan vagy gondatlan használatáért, felfedéséért. g) A felhasználók a belső adatok védelmére kötelesek külön intézkedéseket alkalmazni a kapott lehetőségeken belül, vagy külön intézkedéseket kérni (pl. titkosított pendrive, a érzékeny adatokat tartalmazó fájlok és üzenetek titkosítása, a könyvtárak és fájlok külön jelszavas védelme). h) Az általa használt elektronikus adathordozókról (pl. mágnesszalag, merevlemez, CD/DVD) az adatokat újrafelhasználás vagy selejtezés előtt a szokásos eszközökkel, helyreállíthatatlan módon le kell töröltetnie. Az üzleti titoknak minősülő adatokat tartalmazó szalagokat, lemezeket stb. selejtezés előtt fizikailag meg kell semmisíteni, vagy más módon lehetetlenné tenni az adatok visszaállíthatóságát. Az erre vonatkozó általános eljárásokat az IBSZ 4.6.4.4. számú fejezete tartalmazza. i) Az érzékeny információt tartalmazó kinyomtatott papírokat az iratkezelési szabályok szerint kell kezelni. 7. Adatok biztonsági mentése a) A helytakarékos tárolás elvének megfelelően a felhasználók kötelesek a nem szükséges anyagaikat folyamatosan törölni a könyvtáraikból, továbbá a közös használatú anyagokat közös elérésű könyvtárakban kell kezelni. b) Az engedéllyel helyben, különféle titkosított hordozható adattárolókon található adatok csak másolatok lehetnek, az eredeti adatoknak mindig egy központi tárhelyen, vagy a munkaállomáson kell rendelkezésre állniuk. c) A biztonsági mentések adathordozóit az erre feljogosított felhasználónak a vonatkozó előírásoknak megfelelő módon kell tárolni (eredeti helyszíntől földrajzilag távol, tűzvédett, kulccsal zárható helyen stb.). d) Az informatikai rendszerek rendelkezésre állásában minden felhasználó érdekelt. Az informatikai rendszer működésképtelensége esetén minden felhasználó felelősséggel tartozik a szolgáltatások helyreállításának támogatásáért, a biztonsági mentések megfelelő használatáért. 8. Vírusok elleni védelem a) Az installált vírusvédelmet, illetve ezek frissítését tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani. b) Vírusfertőzést vagy annak gyanúját (pl. a munkaállomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjelenése) haladéktalanul jelenteni kell a közvetlen vezető útján az üzemeltető szervezetnek, illetve az információvédelmi vezetőnek.

6. szám


613

9. Szoftver tulajdonjog a) A Társaság által beszerzett szoftvereket és a hozzájuk tartozó dokumentációt nem szabad másolni, kivéve biztonsági másolat készítése céljából vagy a szoftver-terjesztő / fejlesztő egyértelmű írásos engedélye mellett. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja. Egyetlen termék többszörös használata esetén a szoftver csak a licensz megállapodásban rögzített darabszámban és módon használható. b) A felhasználók: - nem installálhatnak, nem karbantarthatnak, vagy nem tölthetnek le szoftvert (beleértve az ún. szabad-felhasználású, freeware, shareware stb. programokat is) a Társaság munkaállomásaira, - a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történő használat céljából, - ha kétségeik merülnek fel a szoftver szerzői jogai felől, akkor lépjenek kapcsolatba az IT terület szoftver licenc-nyilvántartásáért, installációjáért és karbantartásáért felelős munkatársával, A szerzői jogok megsértése törvénybe ütköző cselekmény, ezért felelősségre vonáshoz vezethet és a felhasználó elleni büntetőeljárás megindítását eredményezheti. 10. Berendezésvédelem a) A felhasználóknak szállítás közben a lehetőségei határain belül személyesen kell vigyázniuk hordozható informatikai eszközeikre (pl.: notebook, okostelefon). Meg kell óvniuk a hordozható adattároló eszközök (CD/DVD-k, pendrive, HDD-k stb.) fizikai állapotát, gondoskodniuk kell az eltulajdonítás megakadályozásáról (pl. használaton kívül, illetve irodán kívül zárható íróasztalban vagy szekrényben kell tartani). b) A munkaállomás átadásakor a felhasználó köteles gondoskodni a felelősségi körébe tartozó adatoknak a PCről való ún. biztonságos törléséről, vagy az új géphasználónak dokumentált módon való átadásáról. c) Selejtezésre leadott PC-ről minden adatot – beleértve az operációs rendszert is – az üzemeltető szervezetnek kell visszaállíthatatlan módon eltávolítania, avagy az adattároló eszköz biztonságos fizikai megsemmisítéséről kell gondoskodni. d) A berendezéseket védeni kell a fizikai és környezeti hatásokkal szemben. (magas vagy alacsony hőmérséklet, folyadék stb.) 11. Területvédelem A felhasználók kötelesek távol tartani a berendezéseiktől és adataiktól az oda hozzáférési jogosultsággal nem rendelkező személyeket, és közvetlen munkakörnyezetükben kötelesek kérdőre vonni az idegeneket. 12. Informatikai eszközön végzett távmunka Ebben az esetben a felhasználó (jellemzően VPN-en keresztül) úgy éri el a megszokott munkakörnyezetét valamely külső helyről (pl. otthonról), mint ha ezt az irodájából tenné. Emiatt további biztonsági intézkedések szükségesek: a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelősségre, feltételekre, követelményekre és a munkavégzés engedélyezési időszakára. Távmunkához a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának az írásos megbízása szükséges. b) Ha a Társaság távoli hozzáférés létesítésére engedélyt ad, fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, a hívások adatait, és szúrópróba szerinti ellenőrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó előírásoknak. c) Távmunka esetén az üzleti titoknak minősülő adatokat illetéktelen hozzáférés ellen kódolással kell védeni a tárolás és a továbbítás során, és – a biztonságos jelszó mellett – további hitelesítő eszközt (pl. token) kell alkalmazni. Az elektronikus levelezés (e-mail) távoli elérése során be kell tartani a Társaság az arra feljogosított felhasználók számára biztosított Outlook Web Access (OWA) Felhasználói kézikönyvében leírt biztonsági szabályokat is.

614


6. szám

13. Internet-használat a) Az internetre csatlakozás a Társaság belső hálózatára csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett. b) A Társaság hozzáférési pontjairól a felhasználó részére az internetre kapcsolódás lehetőségének kialakítását és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetőnek kell jóváhagynia. c) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek. d) A Társaság fenntartja magának a jogot a nem kívánatos, és a kártékony weboldalak látogatásának megakadályozására (tartalomszűrés). e) A Társaság fenntartja magának a jogot az internetes tevékenység monitorozására, kontrolljára, szükség esetén korlátozások bevezetésére. f) Fórumok, chat-oldalak, file- és videó-megosztó (torrent, Dropbox, Google Drive, Youtube stb.), kapcsolatépítő portálok (pl. iWiW, Facebook, MyVip, Twitter), továbbá a pornográfiát vagy szélsőséges, illetve indokolatlan erőszakot tartalmazó oldalak, valamint stream alapú kapcsolatokat kezelő alkalmazások (pl. internet rádió, internet Tv) használata nem engedélyezett. A központilag telepített alkalmazások kivételével tiltott az azonnali üzenetküldő alkalmazások (pl. MS Messenger, Skype) használata. Kizárólag a munkával összefüggésben és azt elősegítő, a közvetlen vezető kezdeményezésére, az infokommunikációs biztonsági vezető egyetértésével, az információvédelmi vezető adhat engedély ezek használatára. g) Külön engedély birtokában használható VPN csatlakozás a Társaság belső hálózatáról (Open VPN, Site-tosite stb.). Az engedély megléte sem jogosít fel arra, hogy az ilyen típusú oldalakon a Titokvédelmi Szabályzatban meghatározott üzleti titkokat és a Társaságra vonatkozó egyéb adatokat nyilvánosságra hozzuk. Az adatok kiszivárgása esetén, a vizsgálat során az információvédelmi vezető kezdeményezheti a felhasználók internethasználatának felülvizsgálását. 14. Elektronikus levelezés Az elektronikus üzenetváltás (e-mail) a Társaság hivatalos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a munka hatékonyságának növekedését szolgálja. A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleértve, de nem kizárólag, az alábbiakat: a) Üzleti titoknak minősülő adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illetve továbbítani. b) Elektronikus levél jogi következményekkel járó kötelezettség vállalására csak akkor használható, ha a feladó fokozott elektronikus aláírással hitelesíti magát. c) Az elektronikus üzenet üzleti kommunikációra szolgál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezőrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság minden jogot fenntart magának az email cím és a hozzá rendelt postafiók tartalmával kapcsolatban, így különösen arról másolatot, mentést készíteni, ellenőrizni, monitorozni, letörölni, megosztani más munkavállalókkal, nyilvánosságra hozni. d) Tilos a Társaság levelezőrendszeréből a bejövő üzenetek automatikus továbbítása bármilyen külső e-mail cím(ek)re. A szabadság, hosszabb távollét stb. esetére beállítható automatikus válaszban (ha szükséges) helyettest kell megjelölni. A válasz alapján a küldő felelőssége eldönteni, hogy a helyettesnek megküldi-e a kérdéses üzenetet. A Társaság levelezőrendszere – az arra feljogosított felhasználók számára – az interneten keresztül bárhonnan elérhető (OWA). e) Az elektronikus levél általában rövid üzenetek továbbítására szolgál. A túlzott szerverterhelés és vonalforgalom elkerülése érdekében egy levél maximális mérete nem haladhatja meg a 10 Mbyte-os méretet, és egy levél egyidejűleg maximálisan csak 50 címzett részére küldhető, illetve továbbítható. Ettől a főtevékenységi kör vezetőjének kérésére, az információvédelmi vezető engedélyével lehet csak eltérni. f) Tilos lánc- vagy kéretlen elektronikus leveleket másoknak továbbítani, azokra válaszolni, mivel a csatolt anyagokban könnyen terjedhetnek számítógépes vírusok és rosszindulatú kódok. Aki ilyet kap, az köteles az üzenetet – lehetőleg elolvasás, és továbbküldés nélkül – törölni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására, ezért az üzenet első két címzettje köteles az információvédelmi vezetőt értesíteni. g) A felhasználó elektronikus postaládájának karbantartása (az időszerűtlen és szükségtelen üzenetek megsemmisítése) a levelesláda tulajdonosának feladata és felelőssége.

6. szám


615

h) A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezőrendszerbeli azonosítóját és jelszavát. Indokolt esetben ideiglenes olvasási jogot adhat másoknak a saját email fiókjához a megfelelő eljárás szerint, de ezt az indok megszűnésekor azonnal vissza kell vonnia. i) A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. j) A küldőnek ellenőriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illető személy jogosult az információ kézhez vételére. k) A közvetlen vezetőnek – és közvetlenül az információvédelmi vezető részére is – jelenteni kell minden gyalázkodó, rasszista vagy kéretlen elektronikus levél érkezését. l) A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne legyen túl formális vagy feleslegesen közlékeny. A küldendő levelet – az előzmények figyelembe vételével – csak a szükséges minimális címzettek részére kell megküldeni. Kerülendő olyan üzenet küldése, amely zavarba ejtő lenne, ha valaki körbeküldené az egész szervezetnek. m) A levélre adott válaszban kerülni kell az összes előzmény visszaküldését, lehetőség szerint csak az a személy kapjon választ, akinek konkrétan szól az elektronikus üzenet. Ha az üzenethez tartozó korábbi levélváltások is részei a levélnek, akkor valamennyi korábbi címzettnek is továbbítani kell a válaszlevelet. n) A felhasználók – a munkavégzéssel való összefüggés esetét kivéve – nem adhatják ki munkatársaik e-mail címét, különösen nem a teljes címlistát. o) Ismeretlen helyről vagy személytől származó levelek érkezése estén, fokozott elővigyázatosságot kell tanúsítani. Amennyiben feltételezhető, hogy kéretlen levélről van szó, abban az esetben tilos azt megnyitni. Ha a levél megnyitását követően észlelhető a levél kéretlen jellege, tilos a hivatkozásokat, illetve a hozzá csatolt mellékleteit megnyitni vagy elmenteni. Ezeket a leveleket a felhasználó köteles olvasatlanul, azonnal törölni. p) Magáncélú elektronikus üzenetek továbbítása a Társaság hálózatába kapcsolt munkaállomásról tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Freemail, Citromail, Vipmail, Gmail, Hotmail). 15. Az információbiztonsági események és gyenge pontok jelentése a) A felhasználók kötelesek közvetlen vezetőiknek, az információvédelmi vezetőnek és az infokommunikációs biztonsági vezetőjének haladéktalanul jelenteni a biztonsági előírások megsértését, továbbá a biztonsággal kapcsolatban felismert eseményeket, gyengeségeket. b) Sürgős vagy indokolt esetben (pl. több gép egyidejű kiesése, infokommunikációs eszközök nyilvánvaló fizikai sérülése, rendszergazda szokatlan tevékenysége) közvetlenül az információvédelmi vezetőhöz, vagy az infokommunikációs biztonsági vezetőhöz lehet fordulni. 16. Elérhetőségek A tájékoztatóban felsorolt biztonsági szabályokra vonatkozó kérdésekben az alábbi szakértők állnak rendelkezésre. Információvédelmi vezető: Tel.: 32-66, e-mail: [email protected] Infokommunikációs biztonsági vezető: Tel.: 91-78, e-mail: [email protected]

616


6. szám

2. sz. melléklet

6. szám


617

3. sz. melléklet

618


6. szám

4. sz. melléklet

6. szám


619

620


6. szám

5/A. sz. melléklet

6. szám


621

5/B. sz. melléklet

622


6. szám

6. sz. melléklet

6. szám


623

624


6. szám

7. sz. melléklet

6. szám


625

626


6. szám

8. sz. melléklet

6. szám


627

9 sz. melléklet

628


6. szám

6. szám


629

630


6. szám

6. szám


631

632


6. szám

6. szám


633

634


6. szám

6. szám


635

636


6. szám

6. szám


637

638


6. szám

10. sz. melléklet

6. szám


639

11. 1. sz. melléklet

640


6. szám

6. szám


641

12. sz. melléklet

642


6. szám

13. sz. melléklet

6. szám


643

14. sz. melléklet

644


6. szám

15. sz. melléklet

6. szám


645

16. sz. melléklet

646


13/2013. (II. 22. MÁV ÉRT. 6.) EVIG szÁMú ELnök-VEzÉRIGAzGATóI UTAsíTÁs A MÁV zRT. közzÉTÉTELI szAbÁLyzATÁRóL szóLó 26/2012. (V. 04. MÁV ÉRT. 11.) EVIG szÁMú UTAsíTÁs 1. szÁMú MódOsíTÁsÁRóL (EGysÉGEs szERkEzETbEn). Ezen utasítás közzétételével, a MÁV Zrt. Közzétételi Szabályzatáról szóló 26/2012. (V. 04. MÁV Ért. 11.) EVIG. sz. utasítás (a továbbiakban: Szabályzat) egyes rendelkezéseinek alábbi módosítását rendelem el: 1. A szabályzat preambuluma kiegészül „az adatigénylések teljesítésének rendjét” szövegrészt követően az alábbiakkal: „… a közadatok újrahasznosításának keretszabályait” 2. A Szabályzat 2.1. pontja első bekezdése a következők szerint módosul: Az utasítás személyi hatálya kiterjed a Társaság valamennyi szervezeti egységére, valamennyi munkavállalójára, továbbá a munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyekre, valamint a vasúti társaságokra a kezdeményezésükre velük kötött kétoldalú szerződés alapján, az abban foglalt feltételekkel. 3. A Szabályzat 3. pontjában meghatározott értelmező rendelkezések az alábbiak szerint módosulnak, valamint kiegészülnek az újrahasznosítás meghatározásával. Adatfelelős szervezeti egység: az 1. sz. mellékletben meghatározott és az olyan adatvagyonnal rendelkező szervezeti egységek, amelyeknek erre irányuló kérés esetén, vagy a közadatok újrahasznosítása céljából adataikat rendelkezésre kell bocsátaniuk. Egyedi közzétételi lista: az elnök-vezérigazgató, valamint jogszabály által a Társaságra kiterjedő hatállyal, az általános közzétételi listában foglaltakon túl megállapított, kötelezően közzéteendő adatkör. közadatfelelős: a Biztonsági Igazgatóság Információvédelem vezetője, aki felelős a jogszabályban meghatározott közérdekű és közérdekből nyilvános adatokra vonatkozó elektronikus közzétételi kötelezettségek határidőre történő végrehajtásáért, továbbá az említett adatokkal kapcsolatos egyéb jogszabályi kötelezettségek teljesítéséért. közadatkereső: a felelős miniszter által létrehozott központi honlap, melynek használatával bárki hozzáférhet a közzétételre kötelezett szervek nyilvánosságra hozott adataihoz, az arra utaló hivatkozásokhoz. A Társaság saját honlapján közzétett adatok leíró adatait köteles a közadatkereső részére megküldeni. közérdekű adat: A Társaság kezelésében lévő és tevé-

6. szám

kenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső adat, valamint a gazdálkodására, megkötött megállapodásaira vonatkozó adat. közzététel: az Infotv. alapján kötelezően közzéteendő közadatok internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen történő hozzáférhetővé tétele. közzétételi egység: a közzétett adatokat összefoglaló megjelenítési egység, dokumentum, amelynek tartalmát egyértelműen meghatározza az URL címe. Leíró adat: a közzétett adatokat összefoglaló, a közzétételi egységet leíró állomány, amely az egységes közadatkereső rendszer működéséhez szükséges. újrahasznosítás: A MÁV Zrt. közadatainak felhasználása olyan kereskedelmi vagy nem kereskedelmi célra, ami kívül esik a közadat előállításának célján. Üzleti titok: a Társaság üzleti titok védelmi szabályzatában meghatározva. 4. A Szabályzat 4.1.1. pontja az alábbiak szerint változik: 4.1.1. Az elnök-vezérigazgató - megállapítja és módosítja a Közzétételi Szabályzatot, amellyel a Társaság tevékenységével kapcsolatos legfontosabb közérdekű adatokra vonatkozóan rendszeressé teszi a közvélemény elektronikus tájékoztatását, valamint biztosítja a hozzáférést a közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények esetén, - megállapítja, illetve módosítja a Társaság egyedi közzétételi listáját a NAIH véleményének kikérésével, - meghatározza a szabályzat végrehajtásával kapcsolatos egyes szervezeti egységek feladatait, - jóváhagyja a jelen utasítás hatálya alá tartozó, a közadat szolgáltatási tevékenységgel összefüggő feladatokról a biztonsági igazgató által felterjesztett éves ellenőrzésről készült jelentést. Indokolt esetben fegyelmi eljárás megindításáról intézkedik, illetve azt kezdeményezi a munkáltatói jogkör gyakorlójánál, - dönt az újrahasznosítás kötelező körébe nem tartozó közadatok igénylő részére való kiadásáról. 5. A Szabályzat 4.1.2. pontja az alábbiak szerint módosul: 4.1.2. A biztonsági igazgató - folyamatba építve vizsgálja az Infotv. végrehajtásával összefüggő kötelezettségek teljesítését, amelynek eredményéről évente legalább egy alkalommal átfogó jelentést terjeszt fel az elnök-vezérigazgató részére. A jelentés tartalmazza: • a közérdekű adatok megismerése iránt benyújtott és teljesített kérelmek számát,

6. szám


• az elutasított igények számát és az elutasítások főbb indokait, • a határidők teljesítését, • a közzétételi egységekért felelős szervezetek feladatellátását, • az egyedi adatkérések teljesítésébe bevont szervek, személyek, illetve vezetők eljárásának szakszerűségét • a Társaságon belüli, illetve megállapodás alapján más vasúti társaságokkal összehangolt tevékenység jellemzőit. - a vasúti társaságok erre irányuló igénye alapján megköti közadataiknak a Társaság honlapján való nyilvánosságra hozásáról szóló megállapodást. 6. A Szabályzat 4.1.3. pontja az alábbiak szerint módosul, illetve kiegészül: 4.1.3. A közadatfelelős a Biztonsági Igazgatóság Információvédelem vezetője, akadályoztatása esetén feladat- és hatáskörét a kijelölt közérdekűadat-felelős szakértő gyakorolja, a biztonsági igazgató felügyelete mellett, - összehangolja a Társaságon belüli közérdekű, illetve közérdekből nyilvános adatok közzétételével, illetve azok megismerésével kapcsolatos teendőket, - koordinálja a Közadat Munkacsoport tagjainak és – a megállapodások keretei között – a vasúti társaságok közadatfelelőseinek munkáját, - figyelemmel kíséri a vasúti társaságok közadatainak a Társaság honlapján való nyilvánosságra hozásáról kötött megállapodásban foglaltak érvényesülését, - megkeresés esetén véleményezi a vasúti társaságok közzétételi szabályzatait, - indokolt esetben javaslatot tesz egyedi közzétételi lista létrehozására, illetve a közzétételi egységek aktualizálására, kiegészítésére, - közvetlenül irányítja a közérdekűadat-felelős szakértők munkáját, - előkészíti és folyamatosan koordinálja az adatszolgáltatásba bevont szakértők munkáját, számukra felkészítést tart, szükség esetén egyedi ügyekben szakmai állásfoglalást ad, - koordinálja az egyes közzétételi egységekért felelős szervek tevékenységét, - az adatszolgáltatásra kötelezett munkavállaló vagy szervezeti egység mulasztása esetén felhívja a szerv vezetőjének figyelmét a törvényi kötelezettség teljesítésére, indokolt esetben a biztonsági igazgató útján vizsgálat lefolytatását kezdeményezi, - az adatszolgáltatás jogszabályban meghatározott határidőre történő teljesítésének érdekében jogosult bármely szervezeti egységtől, munkavállalótól az adatszolgáltatás teljesítéséhez szükséges közérdekű adatot közvetlenül bekérni, az illetékes vezető tájékoztatása mellett,

647

- jóváhagyja a közérdekű adatok megismerése iránt benyújtott igényekre adandó válaszokat, - gondoskodik a közzétételi egységek tárolásának, aktualizálásának, archiválásának feltételeiről, - közreműködik az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok körének meghatározásában és felhívja az azokat kezelő, adatfelelős szervezeti egységek főtevékenységi kör vezetőjét az érintett közadatokra vonatkozó információk honlapon való közzététele céljából való átadására, - felhívja az adatgazda szervezeti egységek figyelmét az újrahasznosítás kötelező körébe nem tartozó közadatok – elnök-vezérigazgató döntéséhez kötötten – igénylő részére való kiadásának lehetőségére, - szükség szerint összehívja a Közadat Munkacsoportot, - az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást vezet, amelyben rögzíteni kell az igény keletkezésének módját, az igényelt közérdekű adat megnevezését, az elutasítás dátumát, - elkészíti a közzététellel kapcsolatos feladatok végrehajtásáról szóló, évente esedékes átfogó jelentést, amelyet a biztonsági igazgató útján felterjeszt az elnök-vezérigazgatónak, - minden évben január 31-éig tájékoztatja a NAIH-t a közérdekű adatok megismerése iránti elutasított kérelmekről, valamint az elutasítás indokairól. 7. A 4.1.4. pont az alábbiak szerint módosul, illetve kiegészül: 4.1.4. Közérdekűadat-felelős szakértő - a Biztonsági Igazgatóság Információvédelem munkavállalója, - a közzétételi egységért felelős szervezet adatszolgáltatására alapozva, a megfelelő formátumú adatokat a Társaság honlapján közzéteszi, rendszeresen ellenőrzi a közzétételi egységek megfelelő értelmezhetőségét, a jogszabályi előírásoknak való megfelelését, - ellenőrzi a részére átadott adatok formátumának értelmezhetőségét, szükség esetén felhívja a közzétételi egységért felelős szervezeti egységet a megfelelő formátumban történő adatszolgáltatásra, - határidőre eleget tesz az egységes közadatkereső rendszer számára teljesítendő adatszolgáltatásokra vonatkozó előírásoknak, előállítja a közadatkereső működtetéséhez szükséges metaadatokat a Társaság üzleti érdekeit is elősegítve, hogy mindenkor releváns információkat biztosítson a közvélemény számára, - rendszeres időközönként figyelemmel kíséri a közzétételi listák adatainak frissítését, szükség esetén felhívja az adatfelelős szervezetek figyelmét a frissítés szükségességére, a végrehajtás elmulasztásáról tájékoztatja a közadatfelelőst, - az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok tekintetében ellátja az előzőekben meghatározott feladatokat,

648


- megszervezi a közérdekű adatok megismerése iránt benyújtott igények kielégítése érdekében a szükséges közadatok begyűjtését, előkészíti a válaszokat, jóváhagyást követően megküldi azokat az adatkérő vagy – a 4.1.6. pont első bekezdésében meghatározott esetben – a Kommunikációs Igazgatóság számára, - összeállítja a munkafolyamatba épített ellenőrzéshez szükséges alapadatokat, - a közzétételi listáknak megfelelően archivál, a közzétételi lista szerint előírt ideig biztosítja az archív állományok elérhetőségét, a lejárt közzétételi egységeket selejtezi, - az egyedi közérdekű adatigénylésekre vonatkozóan elemzést végez, amelynek figyelembe vételével javaslatot tesz a közzétételi lista adatkörének kiegészítésére, - előkészíti a Közadat Munkacsoport üléseket, azok napirendjeit, - ellátja a vasúti társaságok közadatainak a Társaság mint adatközlő honlapján való nyilvánosságra hozásával kapcsolatban részére meghatározott feladatokat, amennyiben a vasúti társaságok kezdeményezésére erre vonatkozóan megállapodás kerül megkötésre, - közreműködik az elutasított adatigénylésekről vezetett nyilvántartás felállításában és biztosítja naprakészségét. 8. A 4.1.5. pont első és harmadik francia bekezdése az alábbiak szerint egészül ki: (A Közadat Munkacsoport) - tagjai az 1. sz. mellékletben meghatározott és a nagyobb közadat vagyonnal rendelkező szervezeti egységek vezetői által kijelölt munkavállalók, akik a főtevékenységi kör vezetője által adott megbízás alapján teljesítik az adatfelelős szervezetre háruló feladatokat, - szükség szerint részleges vagy teljes (plenáris) ülést tart, amelyen a tagok az összehíváshoz igazodva személyesen vagy elektronikus úton (e-mail, audio-, vagy videokonferencia) vesznek részt, a közadatfelelős értékeli a Társaság elektronikus közzétételi kötelezettségeivel kapcsolatos feladatok végrehajtását, tájékoztatást ad a beérkezett információkérések teljesítéséről, illetve azok esetleges elutasításáról, a Munkacsoport tagjai beszámolnak a feladataik ellátását elősegítő, illetve gátló körülményekről, 9 A 4.1.6. pont első bekezdése az alábbiakkal egészül ki, továbbá e pont szövege bővítésre kerül a következő bekezdéssel: (A Kommunikációs Igazgatóság) - a Társaság által kezelt adatokkal kapcsolatban hozzá beérkező adatigénylés esetén meghatározza, hogy az adatkérés a kommunikációs szabályzat alapján elégíthető-e ki, vagy jelen szabályzat hatálya alá tartozik. Az olyan sajtókérdésre, amely közadatra irányul és kommunikációs úton is teljesíthető – amennyiben nem kerül elutasításra és a rendelkezésükre álló információk alap-

6. szám

ján 15 napon belül teljesíthető – a Kommunikációs Igazgatóság is megküldheti a választ. Kétség esetén az adatigénylő nyilatkozatát kéri, hogy adatkérésének megválaszolását a közérdekű adatok nyilvánosságára vonatkozó jogszabályi előírások alapján kívánja-e teljesíttetni. - a honlap üzemeltetésére vonatkozó szerződés keretén belül megbízást ad a közadat aloldal létrehozására. 10. A 4.1.8. pont az alábbiak szerint módosul: (A Humánerőforrás Igazgatóság) - Elősegíti a Társaság feladat- és hatáskörében eljáró munkavállalók jogszabály által közérdekből nyilvánosnak rendelt személyes adatára irányuló, valamint a munkavállalók egészére, vagy egy csoportjára vonatkozó – személyes adatok körébe nem tartozó – közérdekű adat megismerése iránti kérés teljesítését. 11. A Szabályzat 4.1.9. pontjának szövege a következők szerint módosul: 4.1.9. Az egyes szervezeti egységek, a közzétételi egységért felelős szervezetek (adatfelelős szervezeti egység) 4.1.9.1. a közzétételi egységért felelős szervezetek - a honlapon megjelentetés érdekében rögzítik a közzétételi egységekbe tartozó adatokat (állományokat), - a közzétételi listában meghatározott gyakorisággal és az előírt határidőre végrehajtják az adatok aktualizálását, azokat megküldik a közadatfelelősnek, - a közérdekűadat-felelős szakértő tájékoztatása alapján a honlapon közzétett adatok helyességét, vagy általuk megküldöttel való egyezőségét ellenőrzik - a feladatkörükbe tartozó közzétételi egységek körében a változást követően azonnal frissítendő adatokat havonta ellenőrzik, megvizsgálják a közzétett közzétételi egységek tartalmi megfelelőségét, ennek eredményéről e-mailben tájékoztatják a közadatfelelőst, - az időszakos frissítésű adatokat a határidő eltelte előtt ellenőrzik, a módosítást továbbítják a közadatfelelősnek, az adatok változatlan tartalma esetén arról e-mailben tájékoztatást adnak. 4.1.9.2. a közadattal rendelkező szervezeti egység - a Társasághoz érkező közérdekű adat igénylések határidőben való teljesítése érdekében a közadatfelelős megkeresésére rendelkezésre bocsátják a kezelésükben lévő közadatokat. 4.1.9.3. újrahasznosításra alkalmas közadat vagyonnal rendelkező szervezet - amennyiben az adatfelelős szervezeti egység kezel olyan közadatokat, amelyek újrahasznosítás céljából kötelezően rendelkezésre bocsátandóak, kidolgozza az erre vonatkozó általános szerződési feltételeket, megál-

6. szám


lapítja az igénylő által fizetendő díjazás mértékét és gondoskodik ezen információk honlapon való közzététele céljából a közadatfelelős részére való megküldéséről, - az elnök-vezérigazgató felé – a közadatfelelős egyetértésével – javaslatot tesznek közadatok újrahasznosítás körébe vonására, amelyek nem tartoznak az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok körébe, - az újrahasznosítás céljára elérhető, honlapon közzétett adatok vonatkozásában értelemszerűen elvégzik a 4.1.9.1. pontban felsorolt feladatokat. 4.1.9.4. az 1. sz. mellékletben meghatározott adatfelelős szervezetek és a nagyobb adatvagyonnal rendelkező szervezeti egységek vezetői döntése alapján, a pontos és egységes adatszolgáltatás érdekében, a közadatfelelős egyetértésével, helyi utasításban szabályozzák az adatszolgáltatás részletszabályait, egyúttal a Közadat Munkacsoportba állandó tagot delegálnak. 12. A 4.1.10. pont a következő francia bekezdéssel egészül ki: (A Társaság honlapjának technikai üzemeltetője) „- statisztikai adatgyűjtést végez a „Közérdekű adatok” linkhez tartozó aloldalak látogatottságáról.” 13. A 4.2.3. pont címe és szövege az alábbi francia bekezdésekkel módosul, illetve kiegészül: 4.2.3. (Közérdekű adatok egyedi igénylésének és teljesítésének vagy elutasításának módja) - A közadatfelelős az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást vezet. A nyilvántartásban rögzíteni kell az igény keletkezésének módját, az igényelt közérdekű adat megnevezését, az elutasítás dátumát is. - A Társaság bármely szervéhez írásban benyújtott, vagy megküldött adatigényléseket a kézhezvétel napján haladéktalanul továbbítani kell a közadatfelelősnek (email: [email protected], fax: (1) 511 22 46), ezzel párhuzamosan az eredeti dokumentumot a Biztonsági Igazgatóság Információvédelem szervezethez. A közadatfelelős – szükség esetén – az illetékes szervezeti egységtől bekéri az adatszolgáltatáshoz szükséges információkat. - Amennyiben az igényelt adatot nem a Társaság kezeli, illetőleg tevékenységét nem érinti, a kérelmezőt erről tájékoztatni kell. (Amennyiben ismert az adatkezelő, úgy a válaszban ezt is fel lehet tüntetni.) - Amennyiben a kért közérdekű adat a Társaság honlapján már közzétételre került, úgy az elektronikus úton benyújtott adatigénylés az URL cím megadásával is megválaszolható. - E pont alkalmazásában a postai úton, az elektronikus úton, vagy a faxon érkezett közérdekűadat igénylés tel

649

jesítésének, meghosszabbításának, elutasításának határidejét a kérés beérkezését követő munkanaptól kell számítani. Amennyiben a határidő utolsó napja munkaszüneti napra esik, akkor a lejártának a következő munkanapot kell tekinteni. - Az előző bekezdés esetében a határidő számítás alapja a könyvelt küldeményként postai úton beérkező kérések esetén az átvétel időpontja, ennek hiányában az érkeztető bélyegzőn szereplő időpont; ha több csatornán keresztül érkezett be a kérés, abban az esetben korábbi kézhezvétel, illetve tudomásra jutás. 14. A 4.2.3. pont utolsó előtti francia bekezdéséből az „Abban az esetben, ha az igénylő a költségtérítés megfizetését nem vállalja, a Társaság az igény teljesítését a költségek igazolt megfizetéséig felfüggeszti. Erre az igénylő figyelmét fel kell hívni.” szövegrész törlésre kerül. 15. A Szabályzat 4.2.4. ponttal egészül ki: 4.2.4 A közadatok újrahasznosítása - Amennyiben az adatigénylő úgy nyilatkozik, hogy a közadatot újrahasznosítás céljából igényli, akkor kérésének intézése az adatot kezelő főtevékenységi kör vezető illetékességi körébe tartozik, aki gondoskodik az újrahasznosításra vonatkozó megállapodás általános szerződési feltételeinek kidolgozásáról és a fizetendő díjazás összegének Kontrolling Igazgatóság közreműködésével való megállapításáról. 16. A 4.3.1. pont második, harmadik, ötödik francia bekezdése az alábbiak szerint módosul: (A döntés meghozatalára irányuló eljárás adatvédelmi összefüggései) - Az első bekezdésben meghatározott adatokat tartalmazó iratokra vonatkozóan az érvényességi időtartamot a keletkezéstől számított tíz évben kell megállapítani. Jogszabály egyes adatok megismerhetőségének korlátozására ennél rövidebb időtartamot állapíthat meg. - Az első bekezdésben meghatározott adatok megismerését annak kiadmányozója a megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével engedélyezheti. - Közbeszerzési eljárásokkal és egyéb megállapodáskötési adatokkal összefüggő adatigénylések esetén az előző pontokban leírtakat a vonatkozó jogszabályi előírásoknak megfelelően alkalmazni kell. 17. A 4.3.3. pont harmadik francia bekezdése az alábbiak szerint módosul: (További nyilvánosságra nem hozható adatok) - az igazgatóság és a felügyelőbizottság üléséről készült jegyzőkönyv, valamint az igazgatóság és a felügyelőbi-

650


zottság határozatai közül azok, melyek Alapítói döntést igényelnek, 18. A Szabályzat 5. pontja az alábbiak szerint változik - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - 2009. évi CXXII. törvény a köztulajdonban álló gazdasági társaságok takarékosabb működéséről - 2012. évi LXIII. törvény a közadatok újrahasznosításáról - 305/2005. (XII. 25.) Kormányrendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról

6. szám

- 10/2008 (III.21. MÁV Ért. 8.) VIG. sz. vezérigazgatói utasítás a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatáról 19. A Szabályzat 6. pontja kiegészül az alábbi mondattal: Ezen utasítással hatályát veszti a MÁV Zrt. elnök vezérigazgatójának 1609/T/2011. iktatószámú, a külső felek számára nyújtott egységes adatszolgáltatás átmeneti szabályozásáról szóló körlevele 20. A Szabályzat 1. sz. melléklete szerinti közzétételi lista II. fejezet a szerv alaptevékenysége, feladat- és hatásköre közzétételi egység az alábbiak szerint változik:

6. szám


651

652


6. szám

6. szám


653

654


Módosításokkal egységes szerkezetbe foglalt szöveg A MÁV Zrt. (továbbiakban: Társaság) elnök-vezérigazgatója az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 30. §-ának (6) és 35. § (3) bekezdése alapján, figyelemmel a végrehajtási rendeleteire és a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvényre, valamint a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatára (továbbiakban: ÜT szabályzat) és a MÁV Zrt. adatvédelmi és adatbiztonsági szabályzatára, a közérdekű adatok közzétételének, az adatigénylések teljesítésének rendjét, a közadatok újrahasznosításának keretszabályait a következők szerint állapítja meg: 1. Az UTAsíTÁs CÉLJA A Társaság közérdekű és közérdekből nyilvános adatainak megismerhetősége érdekében a nyilvánosság rendszeres tájékoztatása elektronikus közzététellel, vagy arra irányuló igény esetén egyedi adatszolgáltatás útján. 2. HATÁLyTÁROzÁsA

És

FELELŐssÉG

MEGHA-

2.1. Az utasítás hatálya Az utasítás személyi hatálya kiterjed a Társaság valamennyi szervezeti egységére, valamennyi munkavállalójára, továbbá a munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyekre, valamint vasúti társaságokra a kezdeményezésükre velük kötött kétoldalú megállapodás alapján, az abban foglalt feltételekkel. Az utasítás tárgyi hatálya a Társaság kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett közérdekű, illetve közérdekből nyilvános adatokra terjed ki. 2.2. Az utasítás kidolgozásáért és karban tartásáért felelősű Az utasítás kidolgozásáért és karbantartásáért felelős szervezet: a MÁV Zrt. Biztonsági Igazgatóság. 3. FOGALMAk MEGHATÁROzÁsA Adatfelelős szervezeti egység: az 1. sz. mellékletben meghatározott és az olyan adatvagyonnal rendelkező szervezeti egységek, amelyeknek erre irányuló kérés esetén, vagy a közadatok újrahasznosítása céljából adataikat rendelkezésre kell bocsátaniuk.

6. szám

Adatigénylő: az a természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a közérdekű adat kiadása iránt a Társasághoz jelen utasításban meghatározott módok valamelyikén kérelmet nyújtott be. Általános közzétételi lista: az Infotv. 1. sz. melléklete szerinti lista, amelyben meghatározott közzétételi egységek adatait a listában foglaltak szerint a közzétételre kötelezett szervek közzéteszik. Egyedi közzétételi lista: az elnök-vezérigazgató, valamint jogszabály által a Társaságra kiterjedő hatállyal, az általános közzétételi listában foglaltakon túl megállapított, kötelezően közzéteendő adatkör. nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: nAIH): autonóm államigazgatási szerv, amelynek feladata a közérdekű és közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. közadatfelelős: a Biztonsági Igazgatóság Információvédelem vezetője, aki felelős a jogszabályban meghatározott közérdekű és közérdekből nyilvános adatokra vonatkozó elektronikus közzétételi kötelezettségek határidőre történő végrehajtásáért, továbbá az említett adatokkal kapcsolatos egyéb jogszabályi kötelezettségek teljesítéséért. közadatkereső: A felelős miniszter által létrehozott központi honlap, melynek használatával bárki hozzáférhet a közzétételre kötelezett szervek nyilvánosságra hozott adataihoz, az arra utaló hivatkozásokhoz. A Társaság saját honlapján közzétett adatok leíró adatait köteles a közadatkereső részére megküldeni. közérdekű adat: A Társaság kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső adat, valamint a gazdálkodására, megkötött megállapodásaira vonatkozó adat. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli. közadat: közérdekű adat és a közérdekből nyilvános adat közös megnevezése. közzététel: az Infotv. alapján kötelezően közzéteendő közadatok internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és – torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatát-

6. szám


vitel szempontjából is díjmentesen történő hozzáférhetővé tétele. közzétételi egység: a közzétett adatokat összefoglaló megjelenítési egység, dokumentum, amelynek tartalmát egyértelműen meghatározza az URL címe. közzétételi egységért felelős szervezet: azon szervezeti egység, amely e szabályzat 1. számú mellékletében, mint adatszolgáltatásért felelős szervezeti egység szerepel. különös közzétételi lista: a jogszabály által egyes ágazatokra, a közfeladatot ellátó szervtípusra vonatkozóan egyéb kötelezően közzéteendő adatokat meghatározó lista. Leíró adat: a közzétett adatokat összefoglaló, a közzétételi egységet leíró állomány, amely az egységes közadatkereső rendszer működéséhez szükséges. Metaadat: a digitálisan elérhető dokumentumok (kép, hang, szöveg, film) leíró adatai. Ilyen metaadat lehet egy mű szerzője, címe, keletkezésének ideje, tárgya, kulcsszavai stb. személyes adat: a Társaság belső adatvédelmi és adatbiztonsági szabályzatában meghatározva. URL cím: nemzetközi szabvány szerint felépített hálózati cím az interneten, amelyen egy adatállomány elérhető. újrahasznosítás: A MÁV Zrt. közadatainak felhasználása olyan kereskedelmi vagy nem kereskedelmi célra, ami kívül esik a közadat előállításának célján. Üzleti titok: a Társaság üzleti titok védelmi szabályzatában meghatározva. 4. Az UTAsíTÁs LEíRÁsA 4.1. A közérdekű adatok és a közérdekből nyilvános adatok közzétételével kapcsolatos feladat- és hatáskörök 4.1.1. Az elnök-vezérigazgató - megállapítja és módosítja a Közzétételi Szabályzatot, amellyel a Társaság tevékenységével kapcsolatos legfontosabb közérdekű adatokra vonatkozóan rendszeressé teszi a közvélemény elektronikus tájékoztatását, valamint biztosítja a hozzáférést a közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények esetén,

655

- megállapítja, illetve módosítja a Társaság egyedi közzétételi listáját a NAIH véleményének kikérésével, - meghatározza a szabályzat végrehajtásával kapcsolatos egyes szervezeti egységek feladatait, - jóváhagyja a jelen utasítás hatálya alá tartozó, a közadat szolgáltatási tevékenységgel összefüggő feladatokról a biztonsági igazgató által felterjesztett éves ellenőrzésről készült jelentést. Indokolt esetben fegyelmi eljárás megindításáról intézkedik, illetve azt kezdeményezi a munkáltatói jogkör gyakorlójánál, - dönt az újrahasznosítás kötelező körébe nem tartozó közadatok igénylő részére való kiadásáról. 4.1.2. A biztonsági igazgató - folyamatba építve vizsgálja az Infotv. végrehajtásával összefüggő kötelezettségek teljesítését, amelynek eredményéről évente legalább egy alkalommal átfogó jelentést terjeszt fel az elnök-vezérigazgató részére. A jelentés tartalmazza: • a közérdekű adatok megismerése iránt benyújtott és teljesített kérelmek számát, • az elutasított igények számát és az elutasítások főbb indokait, • a határidők teljesítését, • a közzétételi egységekért felelős szervezetek feladatellátását, • az egyedi adatkérések teljesítésébe bevont szervek, személyek, illetve vezetők eljárásának szakszerűségét • a Társaságon belüli, illetve megállapodás alapján más vasúti társaságokkal összehangolt tevékenység jellemzőit. - a vasúti társaságok erre irányuló igénye alapján megköti közadataiknak a Társaság honlapján való nyilvánosságra hozásáról szóló megállapodást. 4.1.3. A közadatfelelős - a Biztonsági Igazgatóság Információvédelem vezetője, akadályoztatása esetén feladat- és hatáskörét a kijelölt közérdekűadat-felelős szakértő gyakorolja, a biztonsági igazgató felügyelete mellett, - összehangolja a Társaságon belüli közérdekű, illetve közérdekből nyilvános adatok közzétételével, illetve azok megismerésével kapcsolatos teendőket, - koordinálja a Közadat Munkacsoport tagjainak és – megállapodások keretei között – a vasúti társaságok közadatfelelőseinek munkáját, - figyelemmel kíséri a vasúti társaságok közadatainak a Társaság honlapján való nyilvánosságra hozásáról kötött megállapodásban foglaltak érvényesülését, - megkeresés esetén véleményezi a vasúti társaságok közzétételi szabályzatait, - indokolt esetben javaslatot tesz egyedi közzétételi lista létrehozására, illetve a közzétételi egységek aktualizálására, kiegészítésére,

656


- közvetlenül irányítja a közérdekűadat-felelős szakértők munkáját, - előkészíti és folyamatosan koordinálja az adatszolgáltatásba bevont szakértők munkáját, számukra felkészítést tart, szükség esetén egyedi ügyekben szakmai állásfoglalást ad, - koordinálja az egyes közzétételi egységekért felelős szervek tevékenységét, - az adatszolgáltatásra kötelezett munkavállaló vagy szervezeti egység mulasztása esetén felhívja a szerv vezetőjének figyelmét a törvényi kötelezettség teljesítésére, indokolt esetben a biztonsági igazgató útján vizsgálat lefolytatását kezdeményezi, - az adatszolgáltatás jogszabályban meghatározott határidőre történő teljesítésének érdekében jogosult bármely szervezeti egységtől, munkavállalótól az adatszolgáltatás teljesítéséhez szükséges közérdekű adatot közvetlenül bekérni, az illetékes vezető tájékoztatása mellett, - jóváhagyja a közérdekű adatok megismerése iránt benyújtott igényekre adandó válaszokat, - gondoskodik a közzétételi egységek tárolásának, aktualizálásának, archiválásának feltételeiről, - közreműködik az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok körének meghatározásában és felhívja az azokat kezelő, adatfelelős szervezeti egységek főtevékenységi kör vezetőjét az érintett közadatokra vonatkozó információk honlapon való közzététele céljából való átadására, - felhívja az adatgazda szervezeti egységek figyelmét az újrahasznosítás kötelező körébe nem tartozó közadatok – elnök-vezérigazgató döntéséhez kötötten – igénylő részére való kiadásának lehetőségére, - szükség szerint összehívja a Közadat Munkacsoportot, - az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást vezet, amelyben rögzíteni kell az igény keletkezésének módját, az igényelt közérdekű adat megnevezését, az elutasítás dátumát, - elkészíti a közzététellel kapcsolatos feladatok végrehajtásáról szóló, évente esedékes átfogó jelentést, amelyet a biztonsági igazgató útján felterjeszt az elnök-vezérigazgatónak, - minden évben január 31-éig tájékoztatja a NAIH-t a közérdekű adatok megismerése iránti elutasított kérelmekről, valamint az elutasítás indokairól. 4.1.4. Közérdekűadat-felelős szakértő - a Biztonsági Igazgatóság Információvédelem munkavállalója, - a közzétételi egységért felelős szervezet adatszolgáltatására alapozva, a megfelelő formátumú adatokat a Társaság honlapján közzéteszi, rendszeresen ellenőrzi a közzétételi egységek megfelelő értelmezhetőségét, a jogszabályi előírásoknak való megfelelését, - ellenőrzi a részére átadott adatok formátumának értel-

6. szám

mezhetőségét, szükség esetén felhívja a közzétételi egységért felelős szervezeti egységet a megfelelő formátumban történő adatszolgáltatásra, - határidőre eleget tesz az egységes közadatkereső rendszer számára teljesítendő adatszolgáltatásokra vonatkozó előírásoknak, előállítja a közadatkereső működtetéséhez szükséges metaadatokat a Társaság üzleti érdekeit is elősegítve, hogy mindenkor releváns információkat biztosítson a közvélemény számára, - rendszeres időközönként figyelemmel kíséri a közzétételi listák adatainak frissítését, szükség esetén felhívja az adatfelelős szervezetek figyelmét a frissítés szükségességére, a végrehajtás elmulasztásáról tájékoztatja a közadatfelelőst, - az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok tekintetében ellátja az előzőekben meghatározott feladatokat, - megszervezi a közérdekű adatok megismerése iránt benyújtott igények kielégítése érdekében a szükséges közadatok begyűjtését, előkészíti a válaszokat, jóváhagyást követően megküldi azokat az adatkérő vagy – a 4.1.6. pont első bekezdésében meghatározott esetben – a Kommunikációs Igazgatóság számára, - összeállítja a munkafolyamatba épített ellenőrzéshez szükséges alapadatokat, - a közzétételi listáknak megfelelően archivál, a közzétételi lista szerint előírt ideig biztosítja az archív állományok elérhetőségét, a lejárt közzétételi egységeket selejtezi, - az egyedi közérdekű adatigénylésekre vonatkozóan elemzést végez, amelynek figyelembe vételével javaslatot tesz a közzétételi lista adatkörének kiegészítésére, - előkészíti a Közadat Munkacsoport üléseket, azok napirendjeit, - ellátja a vasúti társaságok közadatainak a Társaság mint adatközlő honlapján való nyilvánosságra hozásával kapcsolatban részére meghatározott feladatokat, amennyiben a vasúti társaságok kezdeményezésére erre vonatkozóan megállapodás kerül megkötésre, - közreműködik az elutasított adatigénylésekről vezetett nyilvántartás felállításában és biztosítja naprakészségét. 4.1.5. A Közadat Munkacsoport - tagjai az 1. sz. mellékletben meghatározott és a nagyobb közadat vagyonnal rendelkező szervezeti egységek vezetői által kijelölt munkavállalók, akik a főtevékenységi kör vezetője által adott megbízás alapján teljesítik az adatfelelős szervezetre háruló feladatokat, - elősegíti a Társasággal kapcsolatos közérdekű információ-szolgáltató munkát, - szükség szerint részleges vagy teljes (plenáris) ülést tart, amelyen a tagok az összehíváshoz igazodva személyesen vagy elektronikus úton (e-mail, audio-, vagy videokonferencia) vesznek részt, a közadatfelelős értékeli a Társaság elektronikus közzétételi kötelezettségeivel kapcsolatos feladatok végrehajtását, tájékoztatást

6. szám


ad a beérkezett információkérések teljesítéséről, illetve azok esetleges elutasításáról, a Munkacsoport tagjai beszámolnak a feladataik ellátását elősegítő, illetve gátló körülményekről, - szükség esetén kezdeményezi a Közzétételi szabályzat módosítását, - a Munkacsoport tagjának akadályoztatása esetén az adatfelelős szervezet vezetője felelős a közadatok kezelésével kapcsolatos feladatok ellátásáért. 4.1.6. A Kommunikációs Igazgatóság - a Társaság által kezelt adatokkal kapcsolatban hozzá beérkező adatigénylés esetén meghatározza, hogy az adatkérés a kommunikációs szabályzat alapján elégíthető-e ki, vagy jelen szabályzat hatálya alá tartozik. Az olyan sajtókérdésre, amely közadatra irányul és kommunikációs úton is teljesíthető – amennyiben nem kerül elutasításra és a rendelkezésükre álló információk alapján 15 napon belül teljesíthető – a Kommunikációs Igazgatóság is megküldheti a választ. Kétség esetén az adatigénylő nyilatkozatát kéri, hogy adatkérésének megválaszolását a közérdekű adatok nyilvánosságára vonatkozó jogszabályi előírások alapján kívánja-e teljesíttetni. - megküldi a közadatfelelősnek valamennyi közleményét és rendszeres tájékoztatást ad a közérdekű adatokat érintő, de a honlapon nem szereplő információkról, - az egyedi közadatkérésre adott válasz ismeretében megvizsgálja a közérdekű információ közvélemény számára történő eljuttatásának szükségességét, - gondoskodik a közadatfelelős válaszának elektronikus levélben történő elküldéséről, amennyiben újságíró egyedi adatkérése a Kommunikációs Igazgatóság elektronikus levélcímére érkezett, - a honlap üzemeltetésére vonatkozó szerződés keretén belül megbízást ad a közadat aloldal létrehozására. 4.1.7 A Jogi Igazgatóság - a közadatfelelős megkeresésére megvizsgálja az előkészített adatok közzétételének jogszerűségét, - ellenjegyzi a jogi szempontból megalapozatlan adatkérések elutasítását, - a Közadat Munkacsoport ülésén tájékoztatást ad a folyamatban lévő adatvédelmi ügyekkel kapcsolatos eljárásokról, illetve azok lezárásának eredményéről, tapasztalatairól, - a közérdekűadat-felelős szakértő számára a személyes adatok, illetve a közadatok megismerésével kapcsolatosan indult eljárásokban folyamatosan biztosítja a betekintési, megismerési, illetve részvételi lehetőséget. 4.1.8 A Humánerőforrás Igazgatóság - Elősegíti a Társaság feladat- és hatáskörében eljáró munkavállalók jogszabály által közérdekből nyilvános-

657

nak rendelt személyes adatára irányuló, valamint a munkavállalók egészére, vagy egy csoportjára vonatkozó – személyes adatok körébe nem tartozó –közérdekű adat megismerése iránti kérés teljesítését. 4.1.9. Az egyes szervezeti egységek, a közzétételi egységért felelős szervezetek (adatfelelős szervezeti egység) 4.1.9.1. a közzétételi egységért felelős szervezetek - a honlapon megjelentetés érdekében rögzítik a közzétételi egységekbe tartozó adatokat (állományokat), - a közzétételi listában meghatározott gyakorisággal és az előírt határidőre végrehajtják az adatok aktualizálását, azokat megküldik a közadatfelelősnek, - a közérdekűadat-felelős szakértő tájékoztatása alapján a honlapon közzétett adatok helyességét, vagy általuk megküldöttel való egyezőségét ellenőrzik - a feladatkörükbe tartozó közzétételi egységek körében a változást követően azonnal frissítendő adatokat havonta ellenőrzik, megvizsgálják a közzétett közzétételi egységek tartalmi megfelelőségét, ennek eredményéről e-mailben tájékoztatják a közadatfelelőst, - az időszakos frissítésű adatokat a határidő eltelte előtt ellenőrzik, a módosítást továbbítják a közadatfelelősnek, az adatok változatlan tartalma esetén arról e-mailben tájékoztatást adnak. 4.1.9.2. a közadattal rendelkező szervezeti egység - a Társasághoz érkező közérdekű adat igénylések határidőben való teljesítése érdekében a közadatfelelős megkeresésére rendelkezésre bocsátják a kezelésükben lévő közadatokat. 4.1.9.3. újrahasznosításra alkalmas közadat vagyonnal rendelkező szervezet - amennyiben az adatfelelős szervezeti egység kezel olyan közadatokat, amelyek újrahasznosítás céljából kötelezően rendelkezésre bocsátandóak, kidolgozza az erre vonatkozó általános szerződési feltételeket, megállapítja az igénylő által fizetendő díjazás mértékét és gondoskodik ezen információk honlapon való közzététele céljából a közadatfelelős részére való megküldéséről, - az elnök-vezérigazgató felé – a közadatfelelős egyetértésével – javaslatot tesznek közadatok újrahasznosítás körébe vonására, amelyek nem tartoznak az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok körébe, - az újrahasznosítás céljára elérhető, honlapon közzétett adatok vonatkozásában értelemszerűen elvégzik a 4.1.9.1. pontban felsorolt feladatokat. 4.1.9.4. az 1. sz. mellékletben meghatározott adatfelelős szervezetek és a nagyobb adatvagyonnal rendelkező szervezeti egységek vezetői döntése alapján, a pontos és egységes adatszolgáltatás érdekében, a köza-

658


6. szám

datfelelős egyetértésével, helyi utasításban szabályozzák az adatszolgáltatás részletszabályait, egyúttal a Közadat Munkacsoportba állandó tagot delegálnak.

4.2. A közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendje

4.1.10. A Társaság honlapjának technikai zemeltetője

4.2.1. Közzétételre kerülő közérdekű és közérdekből nyilvános adatok - A közérdekű adatok megismerhetősége, a nyilvánosság rendszeres tájékoztatása, valamint a hozzáférés egyszerűsítése és az egyedi igénylések számának csökkentése érdekében, a Társaság jelen szabályzat 1. sz. melléklete szerinti közzétételi listában meghatározott adatokat közzéteszi. 4.2.2. Személyes adatok nyilvánossága - Közérdekből nyilvános adat a Társaság feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata. valamint azok a személyes adatai, amelyek megismerhetőségét törvény előírja. 4.2.3. Közérdekű adatok egyedi igénylésének és teljesítésének vagy elutasításának módja - Közérdekű adatot bárki igényelhet szóban, írásban és elektronikus úton egyaránt, elsősorban a 3. számú mellékletben meghatározott elérhetőségeket (e-mail, levelezési cím, telefax) igénybe véve. - A közadatfelelős az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást vezet. A nyilvántartásban rögzíteni kell az igény keletkezésének módját, az igényelt közérdekű adat megnevezését, az elutasítás dátumát is. - Az adatigénylőnek – eltérő törvényi rendelkezés hiányában – csak olyan személyazonosító adatai (különösen: név, lakcím, levelezési cím, elektronikus levélcím, faxszám) és csak annyi ideig kezelhetők, amelyek és ameddig azok az igény teljesítéséhez, illetve a szükséges költségtérítés megfizetésének igazolásához elengedhetetlenül szükségesek. - A Társaság bármely szervéhez írásban benyújtott, vagy megküldött adatigényléseket a kézhezvétel napján haladéktalanul továbbítani kell a közadatfelelősnek (email: [email protected], fax: (1) 511 22 46), ezzel párhuzamosan az eredeti dokumentumot a Biztonsági Igazgatóság Információvédelem szervezethez. A közadatfelelős – szükség esetén – az illetékes szervezeti egységtől bekéri az adatszolgáltatáshoz szükséges információkat. - Amennyiben az igényelt adatot nem a Társaság kezeli, illetőleg tevékenységét nem érinti, a kérelmezőt erről tájékoztatni kell. (Amennyiben ismert az adatkezelő, úgy a válaszban ezt is fel lehet tüntetni.) - Közérdekű adat igényléseknek az igény tudomásra jutását követő lehető legrövidebb idő alatt, de legfeljebb 15 napon belül eleget kell tenni. Jelentős terjedelmű, illetve nagyszámú adatra vonatkozó adatigénylés esetében a határidő egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. Az adat-

- szolgáltatási megállapodás alapján üzemelteti a honlapot, melynek során - létrehozza a Társaság honlapjának első oldalán a „Közérdekű adatok” linket, valamint a közzétételi listának megfelelő struktúrát, és biztosítja annak folyamatos elérhetőségét, - biztosítja az archiváláshoz szükséges adatterületet, - naplózza az adatok közzétételével, helyesbítésével, eltávolításával kapcsolatos eseményeket, - a közzétett adatok megismerését személyazonosító adatok közléséhez nem kötheti, az elektronikusan közzétett közérdekű adatokhoz történő hozzáférés biztosításához személyes adat – eltérő törvényi rendelkezés hiányában – csak annyiban kezelhető, amennyiben az technikailag elengedhetetlenül szükséges; a személyes adatokat ezt követően haladéktalanul törölni kell, - gondoskodik az adatok jogosulatlan megváltoztatása, törlése, megsemmisülése, sérülése elleni védelemről, a sérült adatok helyreállításáról, - statisztikai adatgyűjtést végez a „Közérdekű adatok” linkhez tartozó aloldalak látogatottságáról. 4.1.11. Együttműködés az egyes közzétételi egységekhez tartozó adatok megalkotásában - A közzétételi lista adatait (kivéve azok metaadatait) jelen szabályzat 1. mellékletében meghatározott szervezeti egységek szolgáltatják, illetve az egy táblázati cellában meghatározott szervezeti egységek együttműködése útján jön létre. - Ahol az 1. számú melléklet azonos közzétételi egységnél több szervezeti egységet nevesít, ott az egymás közti adatáramlás sorrendje aluról felfelé haladva történik (az első helyen legfelül kijelölve az adatszolgáltatást teljesítő szervezeti egységet). Az utolsó helyen feltüntetett szervezeti egység a szükséges adatokat jelen szabályzat hatálybalépését, illetve a módosítását követő 15 napon belül állítja elő, amelyet továbbít az esetleges további nevesített szervezeti egységeknek, akik az átadott adatokat 5 napon belül kiegészítik saját információikkal, illetve ezen időtartam alatt megvizsgálják a részükre átadott adatok saját szakmai szempontjuk szerinti megfelelőségét. - Az egyetlen, vagy első helyen kijelölt szervezeti egység az elkészített adatokat a közérdekűadat-felelős szakértőnek továbbítja, aki intézkedik – a Kommunikációs Igazgatóság egyidejű tájékoztatása mellett – a közadat honlapon történő elhelyezéséről. - A közzétételi egységek metaadatait a közérdekűadatfelelős szakértő állítja elő, és a hivatkozással együtt feltölti a közadattárba.

6. szám


közlés elutasítása esetén a döntést, annak indokaival, valamint a jogorvoslati lehetőségekről való tájékoztatással együtt 8 napon belül közölni kell. A közérdekű adat iránti igény elutasítása vagy a teljesítésre nyitva álló, vagy meghosszabbított határidő eredménytelen eltelte esetén, valamint a másolat készítéséért megállapított költségtérítés összegének felülvizsgálata érdekében az igénylő bírósághoz fordulhat. - Amennyiben az igényelt adatok kiadhatóságát illetően kétség merül fel, az adatok kiadását megelőzően a közadatfelelős köteles a Jogi Igazgatóság állásfoglalását igényelni. - Amennyiben a kért közérdekű adat a Társaság honlapján már közzétételre került, úgy az elektronikus úton benyújtott adatigénylés az URL cím megadásával is megválaszolható. - A közadatfelelős köteles az igény teljesítésének megtagadását írásban megindokolni, amelyet az adatigénylés elutasítására meghatározott időtartam (8 nap) lejártát megelőzően, legalább egy munkanappal megküld ellenjegyzésre a Jogi Igazgatóság vezetőjének, aki köteles annak haladéktalan elbírálása iránt a szükséges intézkedéseket megtenni. - A közadatfelelős a közérdekű adatigénylés teljesítésében közreműködő szervezeti egységeknek tájékoztatásul elektronikus másolatban megküldi az igénylő részére adott választ. - A közérdekű adatigénylésnek közérthető formában, és amennyiben ez a Társaság által aránytalan nehézség nélkül teljesíthető, az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. A kért információ átadását minden esetben dokumentálni kell, figyelemmel az igénylő személyes adatainak kezelésére vonatkozó 4.2.3. pont harmadik bekezdésének előírásaira. - Az adatok közlésével összefüggésben (másolat-készítés, adathordozó) felmerült költséggel arányos térítés összegét és a befizetésének módját a honlapon a közérdekű adatok menüpont alatt kell közzétenni, valamint annak összegéről az adatigénylőt a teljesítést megelőzően tájékoztatni kell. - A kérelmező jogosult az adatokról másolatot kérni. Amennyiben a másolat előállítási költsége a honlapra kitett és feltüntetett árjegyzék szerint számítva az 1500 Ft-ot meghaladja, a költségtérítés nem mellőzhető. - Arról, hogy a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű, továbbá a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. - Ha az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, a másolat iránti igényt a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni. - Az Infotv. 29. § (3) bekezdésére tekintettel, a fentiek figyelembevételével, a költségtérítés összegeként megállapított díj a Társaság bankszámla számára az alábbi

659

módon fizethető meg: • készpénzbefizetéssel, pénztárban, • banki átutalással. - E pont alkalmazásában a postai úton, az elektronikus úton, vagy a faxon érkezett közérdekűadat igénylés teljesítésének, meghosszabbításának, elutasításának határidejét a kérés beérkezését követő munkanaptól kell számítani. Amennyiben a határidő utolsó napja munkaszüneti napra esik, akkor a lejártának a következő munkanapot kell tekinteni. - Az előző bekezdés esetében a határidő számítás alapja a könyvelt küldeményként postai úton beérkező kérések esetén az átvétel időpontja, ennek hiányában az érkeztető bélyegzőn szereplő időpont; ha több csatornán keresztül érkezett be a kérés, abban az esetben korábbi kézhezvétel, illetve tudomásra jutás. 4.2.4. A közadatok újrahasznosítása - Amennyiben az adatigénylő úgy nyilatkozik, hogy a közadatot újrahasznosítás céljából igényli, akkor kérésének intézése az adatot kezelő főtevékenységi kör vezető illetékességi körébe tartozik, aki gondoskodik az újrahasznosításra vonatkozó megállapodás általános szerződési feltételeinek kidolgozásáról és a fizetendő díjazás összegének Kontrolling Igazgatóság közreműködésével való megállapításáról. 4.3. A közérdekű adatok megismerését, nyilvánosságát korlátozó rendelkezések 4.3.1. A döntés meghozatalára irányuló eljárás adatvédelmi összefüggései - A Társaság feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. - Az első bekezdésben meghatározott adatokat tartalmazó iratokra vonatkozóan az érvényességi időtartamot a keletkezéstől számított tíz évben kell megállapítani. Jogszabály egyes adatok megismerhetőségének korlátozására ennél rövidebb időtartamot állapíthat meg. - Az első bekezdésben meghatározott adatok megismerését annak kiadmányozója a megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével engedélyezheti. - Az első bekezdésben meghatározott adatokra vonatkozó döntés meghozatalát követően, a megismerésre irányuló igény akkor utasítható el, ha az a Társaság törvényes működési rendjének, vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné. - Közbeszerzési eljárásokkal és egyéb megállapodáskötési adatokkal összefüggő adatigénylések esetén az előző pontokban leírtakat a vonatkozó jogszabályi előírásoknak megfelelően alkalmazni kell. 4.3.2. Üzleti titok és a közadatok összefüggése

660


6. szám

- Nem minősíthetők üzleti titoknak a költségvetési juttatással, kedvezménnyel, európai uniós támogatással, állami vagyon kezelésével, birtoklásával, használatával, hasznosításával, az azzal való rendelkezéssel, annak megterhelésével, az ilyen vagyont érintő bármilyen jog megszerzésével, általában a vasúti pálya működtetésével, a közszolgáltatással összefüggő adatok, valamint az az adat, amelynek megismerését vagy nyilvánosságra hozatalát külön törvény közérdekből elrendeli. - A 4.3.2. pont első bekezdése szerinti adatok nyilvánosságra hozatala nem eredményezheti az olyan adatokhoz – így különösen a technológiai eljárásokra, a műszaki megoldásokra, a gyártási folyamatokra, a munkaszervezési és logisztikai módszerekre, továbbá a know-how-ra vonatkozó adatokhoz – való hozzáférést, amelyek megismerése az üzleti tevékenyég végzése szempontjából aránytalan sérelmet okozna, feltéve, hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét. - A kérdést a fentiekre figyelemmel esetenként, körültekintően kell mérlegelni. Az adatkérés beérkezését követően nem lehet az adatkérés tárgyát üzleti titoknak minősíteni.

- 2012. évi LXIII. törvény a közadatok újrahasznosításáról - 305/2005. (XII. 25.) Kormányrendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról - 10/2008 (III.21. MÁV Ért. 8.) VIG. sz. vezérigazgatói utasítás a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatáról

4.3.3.További nyilvánosságra nem hozható adatok - az ügyvédi titokkörbe tartozó adatok, tények és iratok az ügyvédekről szóló 1998. évi XI. tv. 8. §-a alapján titoknak minősülnek, amennyiben ezt bárki vitatja, az ügyvédi kamara véleményét kell kikérni, amelyet a Jogi Igazgatóság köteles megkérni, - olyan személyes adat, illetve jogi személyek, jogi személyiség nélküli szervezetek olyan adata, amely nem minősül közérdekű vagy közérdekből nyilvános adatnak, - az igazgatóság és a felügyelőbizottság üléséről készült jegyzőkönyv, valamint az igazgatóság és a felügyelőbizottság határozatai közül azok, melyek Alapítói döntést igényelnek, - a közérdekű adatok nyilvánosságát korlátozhatja az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is. Ez utóbbi általános érvényű korlátozást adott esetben a honlapon kifejezetten fel kell tüntetni, - folyamatban lévő büntetőeljárás során az eljáró hatóság állásfoglalását ki kell kérni.

1. sz. melléklet: A MÁV Zrt. általános közzétételi listája 2. sz. melléklet: Igénylőlap a közérdekű és közérdekből nyilvános adat megismerésére irányuló kérelemhez 3. sz. melléklet: Tájékoztató a közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjéről 4. sz. melléklet: Adatlap az elutasított közérdekű adatigénylés nyilvántartásba vételéhez

5. HIVATkOzÁsOk, MódOsíTÁsOk, HATÁLyOn kíVÜL HELyEzÉsEk - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - 2009. évi CXXII. törvény a köztulajdonban álló gazdasági társaságok takarékosabb működéséről

6. HATÁLybA LÉpTETÉs Jelen utasítás a MÁV Értesítőben történő közzététel napján lép hatályba. Ezen utasítással hatályát veszti a MÁV Zrt. elnök vezérigazgatójának 1609/T/2011. iktatószámú, a külső felek számára nyújtott egységes adatszolgáltatás átmeneti szabályozásáról szóló körlevele 7. MELLÉkLETEk

Dávid Ilona s.k. elnök-vezérigazgató

6. szám


661

1. sz. melléklet

662


6. szám

6. szám


663

664


6. szám

6. szám


665

666


6. szám

6. szám


667

2. sz. melléklet

668


6. szám

6. szám


669

3. sz. melléklet

670


6. szám

4. sz. melléklet

6. szám


14/2013. (II. 22. MÁV Ért. 6.) EVIG szÁMú Elnök-VEzÉrIGazGatóI utasítÁs a MÁV zrt. fontos És bIzalMas MunkakörEIről, ValaMInt nEMzEtbIztonsÁGI EllEnőrzÉs lEfolytatÁsÁnak rEndjÉről. Jelen utasítás a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény (Nbtv.) 71. § (4) bekezdés alapján – figyelemmel az Nbtv. 2. sz. mellékletének 19. pontjában , a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszterrel egyetértésben kerül kiadásra 1.0. az utasítÁs CÉlja A fontos és bizalmas munkakörben foglalkoztatni kívánt, valamint az ilyen munkakört betöltő személyek nemzetbiztonsági szempontból történő ellenőrzésének szabályozása. 2.0. HatÁly - És fElElőssÉG MEGHatÁrozÁsa 2.1. Hatályosság, az utasítás hatálya 2.1.1. Az utasítás személyi hatálya kiterjed a MÁV Magyar Államvasutak Zártkörűen Működő Részvénytársaság (a továbbiakban: MÁV Zrt.) fontos és bizalmas munkakört betöltő munkavállalóira, illetve munkavégzésre irányuló egyéb jogviszonyban álló személyekre (A továbbiakban: fontos és bizalmas munkakör). A fontos és bizalmas munkakörök megjelölését továbbá a hozzájuk kapcsolódó ellenőrzés szintjét az utasítás 1. sz. melléklete tartalmazza. 2.2. felelősség

671

annál magasabb minősítési szintű adatot kezelő szerv vezetője” - 19. pontja szerint: „a 18. pont hatálya alá nem tartozó, a minősített adat védelméről szóló törvény szerinti minősített adatot kezelő szervezeten belül a vezető által a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszterrel egyetértésben - meghatározott olyan személyek, akiknek feladataik ellátásához „Bizalmas!” vagy annál magasabb minősítési szintű minősített adatot szükséges felhasználniuk.” Állami vagy többségi állami tulajdonban lévő gazdálkodó szervezetek vezetői: A munka törvénykönyvéről szóló 2012. évi I törvény 208. §-a szerint vezető állású munkavállalónak minősülő személyek, illetve a gazdasági társaságokról szóló 2006- évi IV. törvény. 21. §-a szerinti vezető tisztségviselők. bizalmas minősítésű szintű minősített adat: A minősített adat védelméről szóló 2009. évi CLV. törvény 5.§ (4) bekezdés c) pontja szerint: „amennyiben az adat nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása, illetéktelen személy részére hozzáférhetővé, valamint az arra jogosult részére hozzáférhetetlenné tétele károsítja a minősítéssel védhető közérdeket, akkor „Bizalmas!” minősítési szintű. (A „Bizalmas!” minősítési szintnél magasabb minősítési szintek: „Titkos!”, „Szigorúan titkos!”) nemzetbiztonsági ellenőrzés: annak vizsgálata, hogy fontos és bizalmas munkakör betöltésére jelölt, illetve az ilyen munkakört betöltő személyek megfelelnek-e az állami élet és a nemzetgazdaság jogszerű működéséhez szükséges, valamint – amennyiben szükséges – a nemzetközi kötelezettségvállalásokból fakadó biztonsági feltételeknek. (továbbiakban: ellenőrzés) biztonsági kérdőív: a felhasználandó minősítet adat minősítési szintjétől függően „A” típusú, „B” típusú és „C” típusú” kérdőív.

Az utasítás kidolgozásáért és karbantartásáért, valamint az abban foglaltak végrehajtatásáért a Humánerőforrás Igazgatóság Vezetői személyügy a felelős.

Minősített adatot kezelő szerv: az állami vagy közfeladat ellátása érdekében minősített adat kezelését végző szerv, szervezet vagy szervezeti egység, továbbá a gazdálkodó szervezet.

3.0. foGaloM - MEGHatÁrozÁsok

Minősített adatot kezelő szerv vezetője: a MÁV Zrt. elnök-vezérigazgatója. Polgári nemzetbiztonsági szolgálatok: Információs Hivatal, Alkotmányvédelmi Hivatal, Nemzetbiztonsági Szakszolgálat.

fontos és bizalmas munkakör: A nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény (továbbiakban Nbtv.) 2. sz. mellékletének - 15. pontja szerint: „az állami vagy többségi állami tulajdonban lévő gazdálkodó szervezetek vezetői, felügyelő bizottsági tagjai.” - 18/A pontja szerint: „a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti „Bizalmas!” vagy

nemzetbiztonsági vizsgálatok során kapcsolattartó személy: legalább a B típusú nemzetbiztonsági ellenőrzés feltételeinek megfelelő személy, aki a nemzetbiztonsági ellenőrzés során támogatást nyújt a polgári nemzetbiztonsági szolgálatok munkatársa részére.

672


4.0. az utasítÁs lEírÁsa 4.1. az ellenőrzésre kerülő munkatársak kiválasztása, az ellenőrzés esedékessége a. A Vezetői személyügy összeállítást készít a MÁV Zrt. fontos és bizalmas munkaköreiről, valamint jelen utasítás 1. számú mellékletben szereplő munkakörök alapján az ellenőrzésre kötelezett személyekről, és döntésre előterjeszti a minősített adatot kezelő szerv vezetőjének. A fontos és bizalmas munkakört betöltő személyek vonatkozásában a munkakörük betöltése alatt legalább ötévenként ellenőrzést kell kezdeményezni. Az Nbtv. 68§. (6) bekezdésében foglaltak teljesülése esetén a kezdeményezésre jogosult mérlegelési jogkörében dönt az érintett személy ellenőrzésének kezdeményezéséről Határidő: az ellenőrzés érvényességnek lejárat előtt 5 hónappal, illetve a fontos és bizalmas munkakör betöltésére jelöléssel egyidejűleg. b. A Vezetői személyügy eseti jelleggel, a fontos és bizalmas munkakörbe felvételre, illetve áthelyezésre kerülő személyek nemzetbiztonsági ellenőrzését előterjeszti a minősített adatot kezelő szerv vezetőjének, a MÁV Zrt. elnök- vezérigazgatójának. Határidő: a fontos és bizalmas munkakörbe kerüléskor c. Az elnök-vezérigazgató dönt az előterjesztett munkavállalók nemzetbiztonsági ellenőrzésének kezdeményezéséről, és tájékoztatja döntéséről a Vezetői személyügyet - nemzetbiztonsági vizsgálatok során kapcsolattartó személyt -. 4.2. az ellenőrzés szabályai, lefolytatásának rendje a. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy kijelöli a munkavállalókat az elnök-vezérigazgató által jóváhagyott listából, a munkakörök fontossági sorrendje szerint a nemzetbiztonsági ellenőrzésben való részvételre. Határidő: a jóváhagyott lista szerinti ütemezésnek megfelelően, illetve eseti jelleggel személyi változás alkalmával. b. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy előkészíti a nemzetbiztonsági ellenőrzésre való kötelezettségről szóló tájékoztató levelet az ellenőrzésre kötelezettek részére. c. Az elnök-vezérigazgató a tájékoztató levelet jóváhagyja és kiadja. d. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy átadja a jóváhagyott tájékoztató levelet és annak mellékleteit az ellenőrzésre kötelezettek részére. Mellékletek: - meghatározott típusú biztonsági kérdőív (A, B, C) - „Nyilatkozat”: Az ellenőrzés csak az érintett személy előzetes írásbeli hozzájárulásával folytatható (lásd. utasítás 2. sz. melléklete)

6. szám

- „Útmutató”: Biztonsági kérdőív visszaküldésével kapcsolatos tudnivalók (lásd. utasítás 3. sz. melléklete) Felelős: Vezetői személyügy e. Az ellenőrzésre kötelezett személyek kitöltik a biztonsági kérdőíveket, és lezárt borítékban visszajuttatják a nemzetbiztonsági vizsgálatok során kapcsolattartó személy részére a tájékoztató levélben megjelölt határidőre. Felelős: ellenőrzésre kötelezett személy f. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy elkészíti az illetékes miniszternek szóló levelet az ellenőrzés lefolytatásának kezdeményezéséről, és a minősítetett adatot kezelő szerv vezetőjével kiadmányoztatja azt. g. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy eljuttatja a kitöltött biztonsági kérdőíveket a kísérőlevéllel együtt az illetékes miniszter részére. h. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy írásban tájékoztatja a Biztonsági Igazgatóságot az ellenőrzésre küldött személyekről az általuk vezetett nyilvántartás naprakész vezetése érdekében. Felelős: Vezetői személyügy 4.2.1. a nemzetbiztonsági szolgálatok által történő ellenőrzés A nemzetbiztonsági vizsgálatok során kapcsolattartó személy a vizsgálat sikeressége érdekében az ellenőrzés lefolytatása során biztosítja a polgári nemzetbiztonsági szolgálatok részére a támogatást, a személyes konzultáció lehetőségét, a szükséges adatokba történő betekintést, illetve ellátja az ellenőrzés meghosszabbításával, szüneteltetésével, a kérdőív kitöltésével, az ellenőrzés megszüntetésével kapcsolatos feladatokat. 4.2.2. a vizsgálat eredményéről történő tájékoztatás a. A miniszter által ellenjegyzett biztonsági szakvélemény eredményét a MÁV Zrt. elnök-vezérigazgatója, a minősített adatot kezelő szerv vezetője – kapja kézhez. b. A minősített adatot kezelő szerv vezetője átadja az ellenőrzés lezárásáról szóló biztonsági szakvélemény eredményt a nemzetbiztonsági vizsgálatok során kapcsolattartó személy részére, aki naprakész nyilvántartást vezet az ellenőrzöttekről, az ellenőrzés típusáról, érvényességéről, illetve gondoskodik a szakvélemények őrzéséről. Felelős: Elnök-vezérigazgató c. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy írásban tájékoztatja a Biztonsági Igazgatóságot a lezárult nemzetbiztonsági vizsgálat eredményéről Felelős: Vezetői személyügy d. A nemzetbiztonsági vizsgálatok során kapcsolattartó személy – az Nbtv. 72.§ (2) bekezdésében foglaltakra is figyelemmel – előkészíti a vizsgálat eredményéről szóló tájékoztatót az ellenőrzött személyek részére –

6. szám


melyet az elnök- vezérigazgató hagy jóvá – és kimutatható módon átadja az érintetteknek. Felelős: Vezetői személyügy 4.3. a vizsgálat eredményével kapcsolatos panasztételi lehetőség A nemzetbiztonsági ellenőrzésben érintett személy a biztonsági szakvéleményben szereplő, általa valótlannak tartott megállapításokkal kapcsolatosan panasszal élhet a miniszternél, illetve ezt követően a Nemzetbiztonsági Bizottságnál. 4.4. az ellenőrzés lezárását követő teendők a. Amennyiben az ellenőrzésre kötelezett személy az ellenőrzéshez nem járul hozzá, fontos és bizalmas munkakörben nem foglalkoztatható - 4.4. c. pont 2. bekezdése -. b. Az a személy, aki nemzetbiztonsági szempontból megfelel, fontos és bizalmas munkakörben foglalkoztatható. c. Az a személy, aki nemzetbiztonsági szempontból nem felel meg, fontos és bizalmas munkakört nem tölthet be: – nem köthető vele munkaszerződés fontos és bizalmas munkakör betöltésére, – amennyiben már munkaviszonyban áll, valamint fontos és bizalmas munkakört tölt be, kezdeményezni kell a más munkakörbe helyezését. Felelős: Vezetői Személyügy 5.0. HIVatkozÁsok, MódosítÁsok, HatÁlyon kíVÜl HElyEzÉsEk Jelen utasításban nem szabályozott kérdésekben az Nbtv., továbbá a minősített adat védelméről szóló 2009. évi CLV. törvény rendelkezései az irányadók. Jelen utasítás hatályba lépésével a 46/2004. (MÁV Ért. 29.) VIG. sz. utasítás hatályát veszti. 6.0. HatÁlyba lÉPtEtő rEndElkEzÉs Ez az utasítás közzététele napján lép hatályba 7.0.MEllÉklEtEk 1. sz. melléklet 2. sz. melléklet 3. sz. melléklet Dávid Ilona sk. elnök-vezérizgató

673

674


6. szám

1. sz. melléklet

6. szám


675

676


6. szám

2. sz. melléklet

6. szám


677

3. sz. melléklet

köszönettel és tisztelettel: Humánerőforrás Igazgatóság Vezetői Személyügy

678


2/2013. (II. 22. MÁV Ért. 6.) ÁVIGH szÁMú ÁltalÁnos VezÉrIGazGatóHelyettesI utasítÁs a MunkakörI kötelezettsÉG körÉben lÉtreHozott szerzőI joGVÉdeleM alÁ tartozó alkotÁsokról a MűszakI terVezÉs szerVezetben.

1.0 az utasítÁs cÉlja A MÁV Zrt. tulajdonába és kezelésébe tartozó vasúti infrastruktúrával összefüggő műszaki tervezési feladataiban a szerzői jogvédelem alá tartozó alkotások szabályozása. 2.0 a HatÁly És a felelőssÉG MeGHatÁrozÁsa 2.1. az utasítás hatálya Az utasítás személyi hatálya kizárólag a MÁV Zrt. Műszaki tervezés szervezetében a műszaki tervezést végző (műszaki szakelőadó, szerkesztő, szerkesztő-technikus, tervezőmérnök gyakornok, tervezőmérnök és a vezető tervezőmérnök) munkakörökben foglalkoztatott munkavállalóira terjed ki. 2.2. az utasítás elkészítéséért és karbantartásáért felelős meghatározása Az Utasítás és mellékleteinek kidolgozásáért, karbantartásáért a MÁV Zrt. Humánerőforrás Igazgatósága a felelős. 3.0 az utasítÁsban HasznÁlt foGalMak MeGHatÁrozÁsa 3.1. szerzői mű: A szerzői jogról szóló 1999. év LXXVI. tv. hatálya alá tartozó, szerzői jogi védelem alatt álló alkotás. Jelen utasítás alkalmazása szerint a munkaviszonyból származó munkaköri kötelezettség körében létrehozott, kizárólag az utasítás hatálya alá tartozó munkavállalókra vonatkozóan, szerzői jogi védelem alatt álló alkotás. 3.2. felhasználási szerződés: A MÁV Zrt. és a szerző közötti jogviszonyt – a munkaszerződésen túlmenően – a felhasználási szerződés határozza meg. 3.3 szerzői díj: Amennyiben a munkáltató a szerzői mű felhasználására másnak engedélyt ad, vagy a vagyoni jogokat másra átruházza (tervezési szolgáltatás értékesítése), a szerzőt díjazás illeti meg.

6. szám

3.4. Értékesített szerzői mű: A vagyoni jogok átruházását képező, illetve másnak felhasználást engedélyező tervek, tervezői feladatok, melyre szerzői díj fizethető. 4.0 az utasítÁs leírÁsa 4.1. Általános szabályok 4.1.1. Az utasítás személyi hatálya alá tarozó munkavállalókat szerzői mű létrehozása esetén akkor illeti meg szerzői díj, ha a munkáltató a szerzői mű felhasználására másnak engedélyt ad, vagy a művel kapcsolatos vagyoni jogokat másra átruházza (tervezési szolgáltatás értékesítése külső fél számára). 4.1.2. A szerzői díj alapja a munkáltató által meghatározott keretösszeg. A keret meghatározása: a) az utasítás hatálya alá tartozó munkakörökben foglalkoztatott munkavállalók éves munkaidő ráfordítását ketté kell választani a saját felhasználású tervezési feladatokra és az értékesített tervezői feladatokra (ezek a vagyoni jogok átruházását képező, illetve a másnak fel használást engedélyező tervek, a továbbiakban értékesített tervezői feladatok). A munkaidő ráfordítás nyilvántartását a műszaki tervezés vezető szabályozza oly módon, hogy abból egyértelműen meghatározható legyen az érintett munkavállalók tárgyévi összes munkaidő ráfordítása és az értékesített tervezői feladatok munkaidő ráfordítása. Az utasítás szempontjából csak az értékesített tervezői feladatok munkaidő ráfordítás/ tárgyévi összes munkaidő ráfordítás arányt kell figyelembe venni. Amennyiben az értékesítés csak egy későbbi évben következik be, akkor is a tervkészítés évében (tárgyévben) felhasznált munkaidő ráfordítást kell az összes munkaidő ráfordításához viszonyítani. b) az utasítás hatálya alá tartozó munkakörökben foglalkoztatott munkavállalók éves átlagos állományi létszámára kalkulálva, a tárgyév január 1-ére érvényes besorolási bérük alapján számított éves alapbértömegük 12%-ának megfelelő összeget kell figyelembe venni (bruttó keret). c) a kifizetés alapját képező keret az a) pontban meghatározott arányszám és a b) pontban meghatározott összeg szorzata (nettó keret). A keretösszeget 2012. évre vonatkozóan a 4.3. Átmeneti szabályok figyelembe vételével kell meghatározni. 4.1.3. A szerzői díj forrása elsősorban a vagyoni jogok másra történő átruházásából származó bevétel (tervezési szolgáltatás értékesítése), illetve ennek meghatározott része. Amennyiben az átruházásból, illetve a felhasználásra való engedélyezésből nem keletkezik elegendő bevétel, a szerzői díjat a Műszaki tervezés működési költségeiből kell fedezni.

6. szám


4.1.4. Szerzői díjra csak abban az esetben jogosult a munkavállaló, ha a munkaköri kötelezettség keretében alkotott mű a munkáltató számára határidőben átadásra került. Folyamatban lévő projektekre (tervezési feladatokra) szerzői díj nem fizethető. 4.1.5. Szerzői díjra csak munkaviszonyban álló munkavállaló szerezhet jogosultságot, aki munkaviszonyban folyó kötelessége teljesítéseként alkotott szerzői művet. Ha a munkavállaló munkaviszonya még a felhasználási szerződés megkötése előtt megszűnik, vagy tartós távollétre távozik, a szerző jogosultsága a szerzői díjra nem szűnik meg. 4.1.6. A szerzői díjnak alsó korlátja nincs, felső korlátja a munkavállaló tárgyévi 2 havi alapbérének megfelelő összeg. 4.1.7. Szerzői díj csak felhasználási szerződés alapján fizethető. Felhasználási szerződés csak a lezárt és értékesített tervezői feladatra (projektre) köthető. Egy projektre csak egy felhasználási szerződés köthető. A felhasználási szerződés az egyéb rendelkezések mellett tartalmazza a tervezői feladatot, a szerzőket, a szerzői díjat, valamint a szerzői díj megosztásának arányát és a szerzőre jutó összegét. 4.1.8. A munkáltató részéről a felhasználási szerződés megkötésére a műszaki tervezés vezető jogosult. 4.1.9. A felhasználási szerződések megkötésére évente egyszer, a tárgyévet követő év februárban kerülhet sor. 4.1.10. A 4.1.2. pontban meghatározott keretösszeg terhére az egyes értékesített tervezői feladatra (projektre) fordítható szerzői díj nagyságát a közvetlen munkahelyi irányító irodavezetők javaslatára a műszaki tervezés vezető határozza meg az alábbi tényezők mentén: • a feladatra (projektre) fordított (igazolt) munkaóra • az előzetesen tervezett költségek betartása • a tervezett határidő betartása • a projekt eredményessége • esetleges kötbér fizetési kötelezettség A szerzők – jelen utasítás hatálya alá tartozó - azon munkavállalók lehetnek, akiknek a lezárt és értékesített tervezői feladatban (projektben) igazolt ráfordított munkaórájuk van nyilvántartva. 4.1.11. A szerzők száma a feltételek teljesülése esetén nem korlátozott. Egy szerző több tervezési feladatban való részvétele szintén nem korlátozott. 4.1.12. Az egyes értékesített tervezői feladatra (projektre) fordítható szerzői díj szerzők közötti megosztását – a szerzők véleményének figyelembe vételével - a közvetlen munkahelyi irányító irodavezető dönti el a

679

műszaki tervezés vezető jóváhagyásával, függetlenül a szerzői díj nagyságától. 4.2. az eljárás folyamata 4.2.1. Az adott évi szerzői díj bruttó keret megállapítását a Humánerőforrás Igazgatóság alapadatai alapján a Humánerőforrás kontrolling szervezet végzi, a 4.1.2. b) pontban leírt módszertan alapján. A tárgyévre megállapított keretet megküldi a Műszaki tervezésnek és a Humánerőforrás gazdálkodásnak. A fenti feladatokat a tárgyévi operatív létszám és személyi jellegű költségtervek elkészítésének határidejéig kell elvégezni - összhangban a tervezési ütemtervvel – melynek határidőre történő teljesítésért a humánerőforrás kontrolling vezető a felelős. 4.2.2. Az éves szerzői díj fizetésről szóló döntést a műszaki tervezés vezető hozza meg a lezárt és értékesített tervezői feladatok (projektek) ismeretében. Meghatározza az értékesített tervezői feladatokra (projektekre) jutó éves munkaóra ráfordítást (4.1.2. a) pont), valamint a nettó szerzői díj keretet (4.1.2. c) pont), majd megküldi a Humánerőforrás gazdálkodás számára. Amennyiben több éven át húzódó projekt lezárása történik meg a tárgyévben, a megelőző évek nettó szerzői díj keretét is ki kell számolni az érintett évek nyilvántartásai alapján. Az egyes értékesített tervezői feladatok (projektek) listáját a helyben szokásos módon nyilvánosságra kell hozni. A fenti feladatokat a tárgyévet követő év január 10-ig kell elvégezni, melynek határidőre történő teljesítésért a műszaki tervezés vezető a felelős. 4.2.3. Az egyes lezárt és értékesített tervezői feladatra (projektre) jutó szerzői díj nagyságát a 4.1.10. pontban szereplő tényezők alapján a munkáltató képviseletében a műszaki tervezés vezető állapítja meg. A tényezők figyelembe vétele kötelező. A kalkulált szerzői díj arányosan csökkentendő, ha a tervezetthez képest többlet erőforrás felhasználás történt az adott projektben. Az egyes értékesített lezárt tervezői feladatra (projektre) jutó szerzői díj nagyságát a helyben szokásos módon az érintettek tudomására kell hozni. A fenti feladatokat a tárgyévet követő év január 20-ig kell elvégezni, melynek határidőre történő teljesítésért a műszaki tervezés vezető a felelős a humánerőforrás gazdálkodás vezető közreműködésével. 4.2.4. A szerzői díjak ellenőrzése a Humánerőforrás gazdálkodás szervezetben történik. A műszaki tervezés vezető tájékoztatja a Humánerőforrás gazdálkodás vezetőt a lezárt és értékesített projektekről, azok eredményességéről, a tervezett szerzői díjakról, valamint a szerzői díjak meghatározásának fontosabb tényezőiről. A Humánerőforrás gazdálkodás vezető az egyes projektekre jutó szerzői díjra észrevételeket tehet. A szerzői

680


díjról való végső döntés meghozatala a műszaki tervezés vezető feladata. A szerzői díjak ellenőrzését a tárgyévet követő év február 10-ig kell elvégezni, melynek határidőre történő teljesítésért a humánerőforrás gazdálkodás vezető a felelős. 4.2.5. Felhasználási szerződések megkötése. A projektekre jutó szerzői díj, illetve a szerzők közötti megosztás ismeretében a humánpartner előkészíti a szerződéseket. A fenti feladatokat a tárgyévet követő év február 20-ig kell elvégezni, melynek határidőre történő teljesítésért a műszaki tervezés vezető a felelős a humánpartner közreműködésével. Amennyiben a szerzői díjra jogosultságot szerzett munkavállaló munkaviszonya a felhasználási szerződés megkötése előtt megszűnik, akkor is a 4.1.12. pontban jelzett döntési jogosultság szerint kell eljárni. 4.2.6. A kifizetés alapjául szolgáló bizonylatok (felhasználási szerződések) eljuttatása a Humánszolgáltatóhoz a humánpartner feladata. A szerzői díj kifizetése a Humánszolgáltató közreműködésével a havi bérfizetéssel együtt történik. A szerzői díjat a munkáltató a jogszabályoknak megfelelően számolja el. A felhasználási szerződések eljuttatását a tárgyévet követő év február 28-ig kell elvégezni, melynek határidőre történő teljesítésért a humánpartner a felelős. A kifizetést a tárgyévet követő év március 10-ig kell elvégezni, melyért a Humánszolgáltató vezetője a felelős. 4.3. Átmeneti rendelkezések A 2012-ben esedékes szerzői díjról a MÁV Zrt. és a MÁV Tervező Intézet Kft. közötti K-870/2012. sz. Megállapodás 12. pontja alapján külön megállapodásban kell rendelkezni. 2012. április 1-től kezdődően a MÁV Zrt. által kezdeményezett tervezési feladatokra (projektekre) jelen utasítás szabályai vonatkoznak. A felek között 2012. július 12-én köttetett, K5632/2012. sz. Erőforrás nyújtására vonatkozó szerződésben nevesített tervezési feladatok (projektek) nem tartoznak jelen utasítás hatálya alá. Az ebben nevesített tervezési feladatok (projektek) szerzői díjáról az említett külön megállapodásban kell rendelkezni. A 2012. évi 4.1.2. pont szerinti szerzői díj keret meghatározásakor az „Erőforrás nyújtására vonatkozó szerződésben” nevesített projektekre már elszámolt, ill. még erre az évre tervezett a MÁV Zrt. költségeit terhelő szerzői díjakkal a jelen utasítás által szabályozott projektekre (2012. április 1-től a MÁV Zrt. által kezdeményezett feladatokra) megállapítandó keretöszszeget csökkenteni kell.

6. szám

5.0 HIVatkozÁsok, MódosítÁsok, HatÁlyon kíVül HelyezÉsek 1999. évi LXXVI. tv. a szerzői jogról K-870/2012. sz. Megállapodás K-5632/2012. sz. Erőforrás nyújtására vonatkozó szerződés 6.0 HatÁlyba lÉptetÉs rendelkezÉs 6.1. Az Utasítás a közzététele napján lép hatályba. Rendelkezéseit a 2012. április 1. napját követően keletkezett, az utasítás hatálya alá tartozó, és szerződéssel rendelkező jogviszonyokra is alkalmazni kell. 7.0 MellÉkletek Felhasználási szerződés (minta)

Pál László s.k. általános vezérigazgató-helyettes

6. szám


681

1. sz. melléklet

682


6. szám

6. szám


683

684


Szerkeszti a MÁV Zrt. Jogi Igazgatóság. 1087 Budapest, Könyves Kálmán körút 54–60. Telefon: 511-3105 Szerkesztésért felelős a Szerkesztőbizottság. Kiadja a MÁV Zrt. Felelős kiadó: Dr. Siska Judit. Terjeszti a MÁV Zrt. BKSzE (1087 Budapest, Könyves Kálmán körút 54–60.)

Hu Issn 1419–3973 Nyomda: Oláh Nyomdaipari Kft. Felelős vezető: Oláh Miklós vezérigazgató

6. szám

magyar államvasutak zártkörűen működő részvénytársaság

Recommend Documents