ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG. Utasítások. 19. szám 130. évfolyam november 20. TARTALOM

Átírás

1 19. szám 130. évfolyam november 20. ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG TARTALOM Utasítások oldal 46/2015. ( XI. 20. MÁV Ért. 19. ) EVIG sz. utasítás 1581 A MÁV Zrt. Informatikai Biztonsági Szabályzatáról Utasítások 46/2015. ( XI. 20. MÁV ÉRT. 19. ) EVIG SZ. UTASÍTÁS A MÁV ZRT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATÁRÓL 1.0 AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT CÉLJA Az Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (továbbiakban Társaság) tulajdonában, kezelésében álló adatok bizalmasságának, sértetlenségének, rendelkezésre állásának biztosítása, illetve a használatában lévô informatikai rendszerek biztonsági szempontból történô szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelôsségek meghatározása. 2.0 HATÁLY ÉS FELELÔSSÉG MEGHATÁROZÁSA 2.1. A szabályzat hatálya A szabályzat személyi hatálya A szabályzatban meghatározott minden elôírás, feladat, magatartási szabály beosztásra való tekintet nélkül kötelezô érvényû, és hatálya vonatkozásában kiterjed: a Társasággal munkaviszonyban és munkavégzésre irányuló egyéb jogviszonyban álló valamennyi természetes személyre (a továbbiakban: felhasználó), a Társaság informatikai rendszereihez történô hozzáférésre kötött kétoldalú megállapodásban, szerzôdésben vagy külön nyilatkozatban foglalt személyi körre, amennyiben a szabályzatot magára nézve kötelezônek ismeri el. Nem terjed ki a szabályzat a Társaság által mûködtetett rendszerek bárki számára elérhetôvé tett, nyilvánosan hozzáférhetô egyoldalú informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevôire, továbbá a minôsített adat védelmérôl szóló törvény hatálya alá tartozó elektronikus biztonsági rendszerekre, illetve az azokban feldolgozott adatokra A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: a Társaság elektronikus adatainak teljes körére, a keletkezési és feldolgozási helyüktôl, idejüktôl, az adatok fizikai megjelenési formájától és az azokat feldolgozó rendszertôl függetlenül, a Társaság tulajdonában, használatában lévô valamennyi informatikai eszközre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket használó eszközökre, valamint azok mûszaki dokumentációira is,

2 1582 A MÁV Zrt. Értesítôje 19. szám a Társaság használatában lévô rendszer és felhasználói programokra, a Társasághoz tartozó informatikai eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására A szabályzat kidolgozásáért és karbantartásáért felelôs A szabályzat kidolgozásáért és karbantartásáért felelôs a MÁV Zrt. Biztonsági fôigazgatóság vezetôje. 3.0 FOGALMAK MEGHATÁROZÁSA Adat: Az információ hordozója, tények, utasítások vagy fogalmak formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. Adatállomány: az egy nyilvántartásban kezelt adatok összessége. Adatbázis: Azonos minôségû (jellemzôjû), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adatbiztonság: az informatikai (adattároló és feldolgozó) rendszer azon állapota, amelyben az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának kockázata megelôzô intézkedésekkel elviselhetô mértékûre csökkenthetô. Ez az állapot nemzetközi szabványokon alapuló elôírások és megelôzô biztonsági intézkedések betartásának eredménye. Az adatbiztonság fogalma az adatok technikai (pl. mûszaki, szervezési) védelmét jelenti. Adathordozó: Azon digitális eszközök (pl. optikai lemezek, merevlemezek, szalagok, kazetták, flash memória alapú tárolóeszközök) összefoglaló neve, amelyeken az adatokat tárolni tudjuk. Adatvagyon: az a vagyonfajta, amely a Társaság adatait, információit tartalmazza, amelyet rendszerenként kell megállapítani és a Társaságra összegezni. Adatvédelem: A személyes adatok gyûjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége (a személyes adatok védelme csak természetes személyre értelmezhetô, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik). Adminisztratív védelem/biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintû informatikai biztonsági szabályzatok. Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezôrendszer, szöveg és táblázatkezelô programok, Társaság specifikus programok (pl. FOR, MTR, IHIR, GIR), amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyûjt be, rendszerez, tárol, kezel. Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások pl. Excel táblák, makró programok, SQL lekérdezések, egyéni adatbázisok) nem tekinthetôk informatikai alkalmazásnak. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges mûködési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak elôírásszerûen mûködnie kellene. Auditálhatóság: Az a mérték, amennyire külsô felek képesek lehetnek annak ellenôrzésére és elemzésére, hogy a rendszer milyen módon mûködik vagy mûködött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan speciális informatikai eszközökre épülô integrált alkalmazás (pl. folyamatirányító rendszerek), amelyet egy konkrét feladat vagy feladategyüttes ellátására terveztek, és közös jellemzôjük a nagyfokú autonomitás, valamint a fizikai környezettel való információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultsági szintjük mértékében ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemzô kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.), sérülésükbôl és kiesésükbôl eredô károk nagysága. A biztonsági követelmények osztálytól függôek, és az osztályok szerint egyre emelkedô szintû biztonságot definiálnak. Három kategóriát (alap fokozott kiemelt) különböztetünk meg mind az információvédelem (bizalmasság, sértetlenség), mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény incidens: A biztonságot fenyegetô egy vagy több tényezô tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt információhoz csatolt és azzal együtt továbbított kód-

3 19. szám A MÁV Zrt. Értesítôje 1583 sorozat. Lehetôvé teszi, hogy az információ olvasója ellenôrizni tudja egyrészt a küldô személyazonosságát, másrészt az információ sértetlenségét. Dokumentumfüggô, azaz ha bármilyen változtatás történik az elektronikusan aláírt fájlban, akkor az nem fejthetô vissza. Egyszerû, fokozott biztonságú és minôsített kategóriája létezik. Érzékeny adat/információ: lásd Védendô információ fogalom. Felhasználó: az az alkalmazott vagy egyéb jogviszonyban álló természetes személy, aki informatikai eszközt és programot (alkalmazást) használ munkaköri feladatai ellátásához, aminek teljesítéséhez a szükséges szabályok elfogadását követôen az eszközök és az alkalmazás használatára hozzáférési jogosultságot kapott. Felhô alapú számítástechnika (cloud computing): Olyan adatokkal és alkalmazásokkal történô munkavégzés, amelyek fizikailag nem egy jól meghatározható (sokszor nem is a Társaság tulajdonában álló) számítógépeken, hanem az internetre csatlakozó szervereken, elosztott módon tárolódnak. A privát számítási felhô egyetlen szervezet számára elérhetô informatikai erôforrások gyûjteménye. Fenyegetô tényezôk: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezôtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektôl eredô támadások, véletlen események, külsô tényezôk általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, kártékony program, programhiba). Fizikai biztonság: Az információt kezelô rendszerek fizikai védelmét megvalósító védelmi intézkedések pl.: tûzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzôje, hiányossága, amelynek révén fenyegetô tényezôk hatásának van kitéve. Helyi hálózat (LAN) (Local Area Network): A Társaság (fizikailag több helyen levô) infokommunikációs eszközeit összekötô, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzôen belsô információs célokra, a meglevô hardver és szoftver eszközök közös használatára, és az informatikai eszközöknek (pl. szerver, munkaállomás) egymáshoz, az intranethez vagy az internethez való kapcsolására szolgál. Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülô rendszerelemek kölcsönösen és egyértelmûen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hordozható adattároló: Olyan adattárolásra alkalmas eszköz (pl. CD/DVD, pendrive, külsô merevlemez, memóriakártya), amelynek elsôdleges célja a benne tárolt adatok átvitele egyik fizikai helyrôl a másikra. Hordozható informatikai eszköz: E szabályzat alkalmazása során a következô eszközöket értjük alatta: hordozható számítógép (pl. notebook, netbook, ultrabook), tábla számítógép (tablet), (okos) telefon. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhetô tevékenységekre vonatkozó engedély a különbözô szintû felhasználók számára. Infokommunikáció: A számítástechnika, a távközlés és az elektronikus média integrált egységességét kifejezô megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával mûködtetett (pl. vezérelt) telepített, vagy mobil eszközök, továbbá rendszerek, eljárások összessége vagy ezek alkotó elemei (pl. számítógép, hordozható informatikai eszköz és adattároló, nyomtató, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelô, vezérlô programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésû célprogramok stb.], továbbá az informatikai alapokra épülô távközlési rendszerek [pl. IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök], valamint a hálózatmenedzsment elemei). Informatikai biztonság: Olyan mûködési és védelmi állapot, amely a megfelelô erôforásokkal, eszközökkel és módszerekkel akadályozza meg a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevô káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körû, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó elôírások, szabványok betartásának vagy mellôzésének az eredménye;

4 1584 A MÁV Zrt. Értesítôje 19. szám pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között. Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, mûködtetésének elôsegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenôrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végzô személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.) Intranet: Az internetnél is használt protokollokra és szolgáltatásokra épülô, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levô) informatikai eszközeit köti össze, amely megoldást jelent belsô információs rendszerek kialakítására és eszközeit alapesetben az internet felôl közvetlenül nem lehet elérni. Jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerzôdésnek megfelelôen használt szoftver. Katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkezô, természeti erô vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb elôfordulása, ami a megengedett kiesési idônél hosszabb idôszakra megakadályozza, vagy megszûnteti a rendszer teljes egészének vagy tevékenységei/szolgáltatásai jelentôs részének a rendeltetésszerû, folyamatos mûködését. Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött, hirdetést, felhívást akár kártékony tartalmat is tartalmazó e mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztô, a címzett üzleti érdekbôl történô kihasználására törekszik. Kockázat: Fenyegetô tényezô vagy esemény bekövetkezésének a valószínûsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a mûködését. A kockázatot elemzéssel, a rendszert fenyegetô tényezôk értékelése útján kell megállapítani. Kockázatelemzés: Olyan elemzô és értékelô jellegû szakértôi vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a kockázati esemény által okozott potenciális kárértékeket és azok bekövetkezési gyakoriságát. Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért rendszerük mellé védelmi eszközöket rendelnek. Ésszerû egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és az azok által elért kockázatcsökkenés között. Különleges személyes adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyôzôdésre, az érdek képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bûnügyi személyes adat. Maradó kockázat: Az az elfogadható mértékû kockázat, ami annak ellenére is fennmarad, hogy a fenyegetô tényezôk ellen intézkedéseket tettek, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem terveztek megelôzô intézkedést. Minôsített adat: A minôsített adat védelmérôl szóló törvény hatálya alá tartozó nemzeti minôsített adat, vagy külföldi minôsített adat. Mobilkommunikációs adatátvitel: Az országos mobiltelefon hálózatokon keresztül valósul meg (GPRS, EDGE, 3G, HSDPA, LTE stb.). A szolgáltatás eléréséhez jellemzôen a készülékbe (mobiltelefon, mobil stick, tablet PC stb.) helyezhetô SIM kártya szükséges. Push e mail: Az az eljárás, amikor a levelezô kliens állandó online kapcsolatban van, tehát ahogy a levelezô szerverre beérkezik egy e mail, az azonnal megjelenik a kliensen (pl. telefonon). Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és idôben, a rendeltetésének megfelelô szolgáltatásokat nyújtani tudja. Rendszeradminisztrátor rendszergazda: A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását munkaköri feladatként végzô, az ehhez szükséges speciális ismeretek és a felhasználóénál bôvebb rendszer hozzáférési engedélyek birtokában levô személy.

5 19. szám A MÁV Zrt. Értesítôje 1585 Rendszerüzemeltetô: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végzô, az ehhez szükséges speciális ismeretek és rendszer hozzáférési engedélyek birtokában levô személy. Sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevôk) változtathassák meg, és azok véletlenül ne módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. Személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzô ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés. Védelmét a Társaság adatvédelmi és adtabiztonsági szabályzata szabályozza. Távolról végzett munka: A Társaság informatikai rendszerének biztonsági zónáján kívül esô (nem védett) környezetbôl végzett tevékenység, amely során a Társaság a felhasználó számára olyan informatikai erôforrások elérését biztosítja (jellemzôen VPN en keresztül), amellyel a munkahelyén egyébként rendelkezhet. Ide nem értendôk azoknak a technológiáknak, illetve mobil informatikai megoldásoknak az alkalmi felhasználása, amellyel eseti információcserét lehet megvalósítani (pl. OWA, push , OAW). Témafelelôs: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevô szervezeti egységnél levô, az alkalmazást vagy szolgáltatást legjobban ismerô személy, aki a felhasználó szervezet szakmai érdekeit felelôsséggel képviseli a szolgáltató/ beszállító irányában, különös tekintettel a végzett szolgáltatások mennyiségére és minôségére. Üzleti tulajdonos: Az a vezetô, aki jogosult a rendszer (biztonságot is érintô) fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerûen annak a szervezeti egységnek a vezetôje, akihez az adott rendszer témafelelôse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ô a rendszer biztonsági kockázatainak kezelôje, felelôssége kiterjed az adott rendszer informatikai szolgáltatásait érintô hagyományos és digitális feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is elláthatja az üzleti tulajdonosi feladatait. Amennyiben a szakmai érdekek úgy kívánják, komplexebb rendszereknek több üzleti tulajdonosa is lehet (területenként, témakörönként stb.), amelyek között írásbeli megállapodás deklarálja a feladatmegosztást és ezt az ôket kijelölô szervezet vezetôje hagyja jóvá. Változáskezelés: azon szabályok összessége, amelyek meghatározzák egy informatikai alkalmazás folyamataiban, eljárásaiban, szolgáltatásaiban, valamint az azt kiszolgáló infrastruktúrában bekövetkezô módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetôségét. Védendô információ: a minôsített adat, az üzleti titok, a know how (védett ismeret), a személyes adat, a nem nyilvánossá, vagy belsô használatúvá nyilvánított adat, a döntés elôkészítô dokumentum, továbbá a munkakör betöltésével összefüggésben a munkavállaló tudomására jutott egyéb információ, amelynek közlése a munkáltató, vagy más személy számára hátrányos következményeket hordozhat, valamint a Társaság által kezelt azon adatok, amelyek bizalmasságához, sértetlenségéhez, rendelkezésre állásához a Társaságnak érdeke fûzôdik, kivéve, ha a nyilvánosságra hozatalt jogszabály, illetve belsô utasítás írja elô, illetve azt az arra jogosult korábban már nyilvánosságra hozta. Virtualizáció: Olyan technológia, amelynek segítségével a rendelkezésre álló fizikai hardver látszólag megtöbbszörözhetô, így például egy fizikai gépen nem csak egy, hanem több egymástól független operációs rendszer üzemeltethetô, miközben az operációs rendszer úgy látja, hogy csak ô használja a fizikai hardver erôforrásait. VPN: (Virtual Private Network virtuális magánhálózat): Olyan virtuális informatikai hálózat, amely kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülô, mások számára nem hozzáférhetô egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, nyilvános hálózatokon különbözô titkosítási technikákat is alkalmaz, miáltal lehetôséget biztosít a Társaság számára, hogy a belsô hálózat meghatározott elemeit elérhetôvé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távolról munkát végzô) felhasználók számára. 4.0 AZ UTASÍTÁS LEÍRÁSA 4.1. A Társaság informatikai biztonságpolitikája Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerû, egységes és megelôzô (proaktív) szemléletû biztonsági tevékenység az alábbi védelmi alapelveken nyugszik.

6 1586 A MÁV Zrt. Értesítôje 19. szám A védelmet fizikai, logikai és adminisztratív biztonság vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörûség). Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). Szerves egységet alkotó, az összes valószínûsíthetô fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). Az informatikai rendszerek által kezelt adatok védelme erôsségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerbôl történô kivonásig mindvégig fenn kell tartani (folytonosság). A rendszerhez való hozzáférésnek és használatnak a funkcionális szükségszerûségen kell alapulnia. A felhasználók különbözô rendszerekhez való hozzáférési jogosultságait a lehetôség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság). A védelemben biztosítani kell a szabályozás szabály érvényesítés ellenôrzés szankcionálás folyamatát (zárt szabályozási ciklus). Egy informatikai rendszert nem egyszerûen az alkotóelemek halmazaként, hanem a többi alkalmazással való együttes viselkedésében, egységében kell tekinteni (rendszerszemlélet). A Társaság üzletmenete szempontjából a fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszereket olyan környezetben kell telepíteni és mûködtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. Fokozott vagy kiemelt biztonsági osztályba sorolt új informatikai rendszer, vagy a meglevô ilyen rendszereket érintô bármilyen módosítás csak ellenôrzött módon, szabályszerû jóváhagyási és változáskezelési eljárások alkalmazásával vezethetô be. A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetôk be és üzemeltethetôk. A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, notebook, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz stb.) eltérô írásbeli megállapodás hiányában kizárólag a munka és az azzal összefüggô tevékenység végzésére szolgál, magáncélú használata csak indokolt esetben (pl. beérkezô , telefonhívás megválaszolása során) megengedett. Szét kell választani a tevékenységeket, a feladatokat és a felelôsségi köröket a szabályozás, a felügyelet, az ellenôrzés, a rendszerek fejlesztése, használatba vétele, mûködtetése és felhasználása terén. Minden felhasználó személyesen felelôs saját munkájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekményekért. A munkáltatói jogkörgyakorló felelôs annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket. Az informatikai biztonsági tevékenység nem nélkülözheti a megfelelô szintû vezetôi támogatást és elkötelezettséget, létrehozási folyamatának be kell épülnie szervezet életébe, alaptevékenységébe Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelôsnek az egyeztetés folyamatába be kell vonni az információvédelmi vezetôt. A Társaság által megkötni tervezett, informatikát bármilyen módon érintô szolgáltatási szerzôdést, továbbá hozzáférési szerzôdést vagy megállapodást írásba kell foglalni, abban valamennyi felhasználóra kiterjedôen érvényesíteni kell az IBSZ elôírásait. Ennek érdekében azt kötelezô elôzetesen véleményeztetni: az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiához való illeszkedés biztosítása, az informatikai, infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerzôdés nyilvántartásba vétele, a Pályavasúti üzemeltetési fôigazgatóság Távközlési osztállyal (PVÜF TO) a távközlô adatátviteli hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá az információvédelmi vezetôvel, az informatikai biztonsági megfelelôség garantálása érdekében. A szerzôdés kizárólag a felsorolt szervezeti egységek és személyek állásfoglalásának figyelembe vételével köthetô meg, munkájukat e tekintetben az IKI koordinálja Az informatikai biztonság dokumentumai Infokommunikációs Biztonsági Stratégia Az Infokommunikációs stratégia integráns részeként, annak önálló fejezeteként készül el az infokommunikációs biztonsági stratégia, amelyben átfogóbb és részletesebb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az infokommunikációs biztonsági stratégiát alapul véve az éves szintû terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt elôkészítési tevékenységeket érintô intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az információvédelmi vezetôvel együttmûködve végzi el.

7 19. szám A MÁV Zrt. Értesítôje Informatikai Biztonsági Szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvetô dokumentum, amely a Társaság általános szintjén tartalmazza a biztonságpolitikát, az alapvetô fogalmakat, az informatikai biztonsággal kapcsolatos intézkedéseket, a biztonsági események jelentésének rendjét és a kötelezô eljárásokat Rendszerszintû Informatikai Biztonsági Szabályzatok Az Informatikai Biztonsági Szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat a rendszerszintû IBSZ eknek (továbbiakban RIBSZ) kell tartalmaznia. Tekintettel arra, hogy az ebben foglalt információk illetéktelenekhez kerülése a rendszer biztonságára veszélyes, szükség szerint belsô használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. RIBSZ csak az Információvédelem ellenjegyzésével léphet életbe, kivéve, ha azt az elnök vezérigazgató engedélyezi. Az életbe léptetés csak akkor tagadható meg, ha nem teljesíti az elôírt feltételeket, vagy az IBSZ szel ellentétes intézkedést vagy szabályozást tartalmaz. A RIBSZ általános követelményeit tartalmazó mintát a 11. sz. melléklet tartalmazza A fejlesztés, üzemeltetés és felülvizsgálat irányelvei Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá a Társaság országos kiterjedésû távközlô adatátviteli hálózatára a biztonsági besorolásának megfelelô szabályokat és ellenôrzéseket kell megszabni és mûködtetni. A biztonsági szabályokat idôben, már a rendszer tervezése során, az információvédelmi vezetô egyetértésével definiálni kell (pl. rendszerterv biztonsági fejezete), a rendszert ennek megfelelôen kell kifejleszteni, és a biztonsági elôírások igazolt teljesülése esetén szabad használatba venni. Jelen pont alkalmazása során az informatikai fejlesztések körébe nem értendô bele a már használatban lévô rendszer struktúráját, illetve rendszerszintû biztonságát nem érintô olyan változtatás, amelynek célja az informatikai alkalmazással támogatott üzleti munkafolyamatok eseti korrekciója (pl. jogszabályoknak való megfelelés biztosítása, adatstruktúra korrekciója). Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenôrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, valamint egyeztetni kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok során a biztonsági intézkedések kockázatarányos érvényesülését. Fokozott vagy kiemelt biztonsági osztályba sorolt informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági elôírások érvényesülését, amelybe az IKI t és az információvédelmi vezetôt is be kell vonni. Kiemelt biztonsági osztályú rendszert csak a Társaságtól független biztonsági audit elvégzését követôen szabad üzembe helyezni, amelyekrôl az üzleti tulajdonos rendelkezik Számítógépes és hálózati szolgáltatások biztonságos üzemeltetése A Társaság területén és tulajdonában üzemelô informatikai és hálózati eszközökön feltéve, hogy kifejezetten erre vonatkozó, az információvédelmi vezetô által is véleményezett szerzôdés másként nem rendelkezik kizárólag a Társaság feladatkörébe tartozó adatokat szabad kezelni, feldolgozni, illetve továbbítani. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan mûködtethetô legyen az egyes személyek egyéni tudásától és helyismeretétôl való túlzott függôség nélkül. Olyan mûszaki megoldásokat kell alkalmazni, hogy az informatikai eszközök elôre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelô intézkedéseket kell hozni valamennyi rendszer és adat rendelkezésre állásának biztosítására. Mûködés folytonosság tervezésével kell elérni, hogy káresemény, katasztrófa esetén a mûködésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitôl. A fokozott vagy kiemelt biztonsági osztályba sorolt rendszerekben kért és kiadott jogosultságokat olyan nyilvántartásban kell megôrizni, ahol biztosított az adatok bizalmassága, sértetlensége és rendelkezésre állása. A hálózatmenedzsment segítségével kell megoldani a hálózaton továbbított adatok biztonságát és az infrastruktúra védelmét. Olyan ellenôrzô felügyeleti eszközökrôl kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektôl. A nyilvános hálózatokon keresztül továbbított védendô információk, illetve a kapcsolt rendszerek védelmére biztonsági elemeket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távolról végzett munka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belsô hálózataiból más hálózatokba,

8 1588 A MÁV Zrt. Értesítôje 19. szám rendszerekbe (pl. internet, levelezô rendszerek) átlépni csak elôre definiált és engedélyezett módon szabad A Társaság informatikai biztonságának szervezeti struktúrája A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ ben foglaltak szerint a Biztonsági fôigazgatóság, az Infokommunikációs igazgatóság, a PVÜF Távközlési osztály és a Fejlesztési és beruházási fôigazgatóság (FBF) útján valósul meg. Az informatikai biztonság tekintetében az alábbi fôbb feladatokat látják el: Információvédelem: szabályozás kialakítása, betartásának felügyelete, ellenôrzése, IKI: informatikai biztonság technológiai feltételeinek kialakítása, informatikai fejlesztések koordinálása, PVÜF Távközlési osztály: az távközlô adatátviteli hálózat üzemeltetési területén a technológiai biztonság kialakítása, biztonságos üzemeltetése FBF: hálózatfejlesztés során a rendszerek fejlesztésének koordinálása. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az információvédelmi vezetô a Társaság valamennyi informatikai fejlesztési, üzemeltetési és infokommunikációs szervezeteitôl független személy kell, hogy legyen Feladat, felelôsség és hatáskörök szétválasztása Az informatikai biztonság különbözô szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat, felelôsség és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását, az ellenôrizhetôséget és a felelôsségre vonhatóságot. A Társaságnak, mint jogi, szervezeti és döntéshozatali szempontból független pályahálózat mûködtetônek biztosítania kell az alábbi tevékenységekkel összefüggô informatikai elkülönítést: alapvetô feladatok kizárólag a Társaság által nyújtott vasúti szolgáltatások. Az informatikai elkülönítést meg kell valósítani: az informatikai eszközök használata (hardver és szoftver) és az informatikai feladatot ellátó munkavállalók vonatkozásában egyaránt. Az informatikai elkülönítést a pontban felsorolt vezetôk kötelesek érvényesíteni tevékenységük során A Társaság informatikai biztonságát irányító vezetôk és feladataik Az informatikai biztonság irányításának szereplôi: Társaság vezetôje biztonságért felelôs vezetô információvédelemért felelôs vezetô infokommunikációs (informatikai) tevékenységért felelôs vezetô infokommunikációs (informatikai) biztonsági tevékenységért felelôs vezetô MÁV Zrt. PVÜF Távközlési osztályvezetô MÁV Zrt. PVÜF Pályavasúti Területi Igazgatóság Távközlési Fônökség vezetô Társaság vezetôje (Elnök vezérigazgató, vezérigazgató) a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsôszintû központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erôforrást. c) biztonsági fôigazgató útján irányítja és ellenôrzi a Társaság információvédelmi tevékenységét. d) Az IKI felterjesztése alapján megbízza az üzleti tulajdonosokat. e) Elnök vezérigazgatói utasításként kiadja az Informatikai Biztonsági Szabályzatot (IBSZ), amely az informatikai biztonságpolitikát, valamint a Társaság teljes tevékenységére, eszközrendszerére vonatkozó biztonsági elôírásokat tartalmazza. f) A Társaság informatikai stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetôjére háruló informatikai biztonsági ellenôrzéseket a biztonsági fôigazgató közremûködésével gyakorolja, és irányítja a megfelelô intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezôen alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelôzésének és elhárításának feltételeirôl Biztonságért felelôs vezetô (MÁV Zrt. esetén: Biztonsági fôigazgató) a) A Társaság mûködésével összefüggô információk védelme érdekében gondoskodik az Informatikai Biztonsági Szabályzat és annak részeként az informatikai biztonsági politika kialakításáról, karbantartásáról.

9 19. szám A MÁV Zrt. Értesítôje 1589 b) Felelôs az Információvédelem mûködési feltételrendszerének megteremtéséért. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erôforrásokat. c) Lehetôvé teszi a szakértôk ismereteinek naprakészen tartása és folyamatos továbbfejlôdése érdekében az oktatásokon, továbbképzéseken, konferenciákon való részvételét. d) Az informatikai biztonsági incidensek megelôzése, illetve hatásainak csökkentése érdekében szükség esetén intézkedést rendel el, állásfoglalást, körlevelet stb. ad ki, amelyek végrehajtását az információvédelmi vezetô útján ellenôrzi. e) Bûncselekmény elkövetésének megakadályozása, a Társaságot, illetve a MÁV Csoportot veszélyeztetô vagyonvédelmi károkozás megelôzése, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekbôl való kizárására. f) A Társaságra kiterjedôen azonnali intézkedéseket rendel el az informatikai biztonság sérülése, vagy veszélye esetén. g) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. h) Közremûködik az üzleti tulajdonosok kiválasztása során, továbbá egyetértési jogot gyakorol az elnök vezérigazgatóhoz felterjesztésre kerülô megbízásukkal összefüggésben. i) Az informatikai biztonságot érintô, a biztonsági fôigazgatóhoz érkezô incidensekre vonatkozó bejelentés esetén vizsgálatot rendel el, intézkedéseket hoz a kármegelôzés, kármérséklés érdekében. j) Az informatikai biztonságra is tekintettel véleményezi a Társaság szabályzatait, szerzôdéseit Információvédelemért felelôs vezetô (MÁV Zrt. esetén: Információvédelmi vezetô) Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott (pl. távközlési, képtovábbító) rendszerek biztonságával összefüggô tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenôrzése. b) Irányítja a területi informatikai biztonsági megbízottak munkájának szakmai felügyeletét. c) Elôkészíti az informatikai biztonság kialakítására, a megfelelô informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása. Közremûködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. d) Az informatikai biztonság sérülése esetén vagy annak megelôzése érdekében kezdeményezi hírlevél kiadását, illetve e mail útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenôrzi a jelen szabályzatban megfogalmazott követelmények végrehajtását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Az üzleti tulajdonosok vagy a biztonsági fôigazgató részére intézkedési javaslatot tesz a bûncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztetô vagyonvédelmi károkozás megelôzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelôzése érdekében. A szabályzat által érintett hatókörben kivizsgálja a Társaság, illetve a MÁV Csoport mûködését és érdekeit veszélyeztetô informatikai incidenseket és rendkívüli eseményeket. f) Az etikai bejelentési csatornán beérkezô információ alapján, a Megfelelôségi Bizottság által elrendelt vizsgálat esetén, az Etikai és más elôírásokat sértô helyzetek, visszaélések feltárásának és kivizsgálásának rendjérôl szóló elnök vezérigazgatói utasítás elôírásai szerint jár el, az adatokhoz, információkhoz való hozzáférés és betekintés jogát az ott meghatározottak szerint gyakorolja. g) Segíti az üzleti tulajdonosokat az elôírásszerû biztonsági szaktevékenység irányításának, ellenôrzésének ellátásában. Javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb mûködés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintû szabályozások és szolgáltatási szerzôdések kialakítását, szükség esetén ellenôrzi azok betartását. h) Biztonsági szempontból támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintû informatikai biztonsági szabályzatainak megfelelôségérôl. i) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatosságának fejlesztése érdekében. j) Felkérésre állást foglal a szabályzat elôírásainak értelmezésében, illetve a szabályzatban nem megfogalmazott, informatikai biztonságot érintô kérdésekben. k) Jelen szabályzat hatókörét érintôen együttmûködik és közvetlenül kapcsolatot tart az IKI, a PVÜF TF és a Biztonsági fôigazgatóság vezetôivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelôs szervezeteinek vezetôivel, különös tekintettel az informatikai üzemeltetést végzô szervezet vezetôjével. l) Biztonsági szolgáltatási szerzôdések keretén belül támogatja a MÁV Csoportba tartozó társaságok informatikai biztonsági tevékenységét. m) Elôsegíti az informatikai biztonsági szakértôk ismereteinek naprakészen tartása és a folyamatos továbbfejlôdôdése érdekében oktatásokon, továbbképzéseken, konferenciákon való részvételt.

10 1590 A MÁV Zrt. Értesítôje 19. szám Hatásköre: a) A biztonsági fôigazgatóhoz érkezett megkeresés esetén szignálást követôen jogosult az adat birtokosától az információvédelmi szakértôi munka elvégzése érdekében dokumentumok megismerését igényelni. b) Jogosult az ellenôrzô, feltáró tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévô, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatos irat, dokumentum, okmány, adatbázis, adatállomány, informatikai eszköz vagy más adathordozó tartalmáról felvilágosítást kérni. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskörben a Társaság belsô adatvédelmi felelôse jogosult ellenôrzést gyakorolni.) c) Jogosult a szabályzat tárgyi hatálya alá tartozó valamennyi informatikai és távközlési eszköz biztonsági megfelelôségének vizsgálatára. d) Jogosult a teljes mûködési területére kiterjedô informatikai biztonsági felügyeleti ellenôrzések végzésére, szükséges intézkedések kezdeményezésére. Amennyiben ellenôrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos, illetve a munkáltatói jogkörgyakorló állásfoglalását Infokommunikációs (informatikai) tevékenységért felelôs vezetô (MÁV Zrt. esetén: Infokommunikációs igazgató) a) A MÁV Csoportszintû informatikai stratégiájának meghatározása és végrehajtása során a jelen szabályzatban megfogalmazott elôírások figyelembe vételével elôsegíti az informatikai biztonsági szabályok érvényesülését. b) Felelôs az üzleti tulajdonosok kiválasztásáért és a biztonsági fôigazgató egyetértése mellett elnök vezérigazgató részére történô felterjesztéséért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében. d) Gondoskodik arról, hogy a Társasági rendszerekhez való hozzáférés biztonsági feltételei kidolgozásra kerüljenek és a biztonsági fenyegetettséghez illeszkedôen ezek megvalósuljanak és naprakészek legyenek Infokommunikációs (informatikai) biztonsági tevékenységért felelôs vezetô (MÁV Zrt. esetén: Infokommunikációs biztonsági vezetô) a) Közremûködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia technológiai elemeinek beépítésével. b) Elkészíti az infokommunikációs biztonság technológiai szabályozását, normatívákat határoz meg, gondoskodik a szabályozás folyamatos aktualizálásáról és betartatásáról. c) Az b) pontban jelzett elôírásokat érvényesíti az infokommunikációs projektekben és az infokommunikációs szolgáltatási szerzôdésekben. d) Rendszeresen technológiai állapotjelentést készít az infokommunikációs biztonság helyzetérôl. e) Kockázatelemzés alapján tesz javaslatot az infokommunikációs biztonsági rendszerek kiválasztására, és a meglévô rendszerek technológiai fejlesztésére. f) Részt vesz az infokommunikációs biztonsági problémák feltárásában, vizsgálatában. g) Felügyeli az IT biztonsági rendszereket. h) Kidolgozza az informatikai biztonsági rendszerek (pl. tûzfalak, behatolás jelzô/védô rendszerek, vírus és spam szûrôk) szabályrendszerét MÁV Zrt. Pályavasúti üzemeltetési fôigazgatóság Távközlési osztályvezetô a) A vasúti infrastruktúrához tartozó távközlô, erôsáramú és biztosítóberendezési felügyeleti, karbantartási, hibaelhárítási, felújítási és fejlesztési tevékenység informatikai biztonsági szabályozása és felügyelete. b) A Társaság távközlô hálózata vonatkozásában felelôs: a biztonsági osztályok követelményeinek megfelelô védelmi rendszerek, eszközök honosításáért, üzemeltetéséért, fejlesztések koordinálásáért, szabványosításáért, a RIBSZ ek és a benne foglalt biztonsági követelmények kialakításáért, ellenôrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, feladatkörében, Társaság szinten egységes változáskezelési rendszer kialakításáért, annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, a vasúti telekommunikációt megvalósító, valamint a kapcsolódó rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért. c) Az elôzô pontokban meghatározott feladatok ellátása érdekében a szakterületek felügyelete. d) Közvetlenül együttmûködik és kapcsolatot tart az információvédelmi vezetôvel MÁV Zrt. Pályavasúti üzemeltetési fôigazgatóság Pályavasúti Területi Igazgatóság Távközlési Fônökség vezetô a) A vasútüzemhez kapcsolódó digitális technológiát alkalmazó rendszerek sajátosságait figyelembe véve az informatikai biztonsági tevékenység irányítása.

11 19. szám A MÁV Zrt. Értesítôje 1591 b) Közvetlenül együttmûködik és kapcsolatot tart az információvédelmi vezetôvel A Társaság informatikai biztonságát megvalósító szervezetek és szerepkörök A Társaság azon szervezeti egységei, amelyeknek a Mûködési és Szervezeti Szabályzat értelmében az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, mûködtetésében feladataik vannak, vagy ezekre vonatkozó szerzôdés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelôsek a Társaság mûködését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért Infokommunikációs igazgatóság Felelôs: a MÁV Csoportszintû informatikai stratégiájának kialakítása és végrehajtása során a jelen IBSZ ben foglalt elôírások érvényesüléséért, a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelô információvédelmi rendszerek, eszközök beruházásának elôkészítésért, irányításáért és átvételéért, a Társaságnál való honosításáért, az üzleti tulajdonos támogatásáért, hogy az új informatikai rendszerek megvalósítását célzó projektek elôkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek, annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévôk korszerûsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, minden informatikai rendszer tekintetében a rendszerfejlesztés részeként az üzleti tulajdonossal együttmûködve a fejlesztésért, ennek során a technológiai informatikai biztonsági követelmények kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenôrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, infokommunikációs biztonsági rendszerek fejlesztésének kidolgozásáért, és megvalósításáért, az informatikai biztonságot bármely módon érintô projektek, fejlesztések tekintetében az információvédelmi vezetô tájékoztatásáért, informatikai tárgyú beszerzési, szolgáltatási stb. szerzôdésekben, továbbá erôforrás kihelyezéssel mûködtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek érvényesítéséért, az informatikai szolgáltatók, szolgáltatási szerzôdések és SLA k biztonsági megfelelôségéért, jogtiszta szoftverekkel társasági szintû vírusvédelmi rendszer fenntartásáért, az operációs rendszerek és alkalmazások a Társaság által ellenôrzött biztonsági javításainak beszerzéséért és telepítéséért, társasági szintû konfigurációkezelési adatbázis felállításáért és mûködtetéséért, felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, a fokozott vagy kiemelt biztonsági osztályba sorolt rendszerekben társasági szinten egységesített elvekre épülô változáskezelés mûködtetéséért, a távfelügyelet, a mobil eszközökkel végzett és a távolról végzett munka biztonságos feltételeinek kialakításáért (pl. távolról végzett munka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez autentikációs és titkosító eszközök biztosítása, védett vonalak kialakítása) a PVÜF TO, az információvédelmi vezetô és az üzleti tulajdonosok (távolról végzett munka engedélyeztetése) közremûködésével, az informatikai biztonsági adminisztráció, így különösen a hozzáférés menedzsment kialakításáért Fôtevékenységi kör vezetô Köteles fôtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelôs a területén üzemelô informatikai rendszerek által kezelt információk védelméért. Ennek keretében irányítási területén, a felelôsségi körébe tartozó informatikai rendszerekre nézve felelôs: a RIBSZ követelményeiben foglaltak operatív érvényesítésért, ellenôrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, a rendszerfejlesztési projekt elôkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, a biztonsági rendszer rendszerszintû informatikai biztonsági szabályainak megfelelô üzemeltetéséért, ennek operatív ellenôrzéséért és a rendszerbôl történô szabályos kivonásért, a felhasználók informatikai biztonság tudatossági szintjének emeléséért, informatikai biztonsági ügyekben az információvédelmi vezetôvel és az IKI vel való együttmûködésért Üzleti tulajdonos Minden informatikai rendszer biztonságát már a fejlesztés szakaszában egy üzleti tulajdonoshoz kell rendelni,