magyar államvasutak zártkörűen működő részvénytársaság

Átírás

1 6. szám 128. évfolyam február 22. Utasítások 12/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról. 13/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Közzétételi Szabályzatáról szóló 26/2012. (V. 04. MÁV Ért. 11.) EVIG számú utasítás 1. számú módosításáról (egységes szerkezetben). ÉRTESÍTŐ magyar államvasutak zártkörűen működő részvénytársaság TARTALOM Oldal /2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. fontos és bizalmas munkaköreiről, valamint nemzetbiztonsági ellenőrzés lefolytatásának rendjéről. 2/2013. (II. 22. MÁV Ért. 6.) ÁVIGH számú általános vezérigazgató-helyettesi utasítás a munkaköri kötelezettség körében létrehozott szerzői jogvédelem alá tartozó alkotásokról a Műszaki tervezés szervezetben Utasítások 12/2013. (II. 22. MÁV ÉRT. 6.) EVIG számú ELnök-VEzÉRIGAzGATóI UTAsíTÁs A MÁV zrt. InfORMATIkAI BIzTOnsÁGI szabályzatáról. 1. Az InfORMATIkAI BIzTOnsÁGI szabályzat célja Az Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társaság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelősségek meghatározása. Az IBSZ általános célja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keretrendszerrel és irányelvekkel szolgál az informatikai biztonsági dokumentumok kialakításához. Eljárásainak összessége alapot nyújt a vasúti biztonságirányítási rendszerre vonatkozó követelmények kielégítéséhez. Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósításához. Előírja, hogy csak olyan informatikai rendszereket, berendezéseket és eljárásokat lehet bevezetni és alkalmazni, amelyekkel a Társaság által működtetett folyamatok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre nagyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladata a hazai és nemzetközi szabványoknak, ajánlásoknak való megfelelés, valamint az előírásoknak a Társaság folyamatosan változó szerkezetéhez való igazítása. Mindezek mellett szem előtt tartja a digitális technológia robbanásszerű fejlődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világának legmeghatározóbb jelensége. Ebből következik a biztonsági szabályozás terén is a harmonizálás megteremtésének szükségessége. Az IBSZ átlátható és nyomon követhető formában rögzíti a Társaság azon szabályait, melyek segítségével az

2 562 A MÁV Zrt. Értesítője 6. szám információbiztonság magasabb fokú kialakításának teendői, illetve egyéb szabályzatai, leírásai komplex, a korábbinál átfogóbb és szélesebb körű információbiztonságot alkot. A Társaság munkatársai részére egységes szemléletet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban. 2. HATÁLy- És felelősség MEGHATÁROzÁsA 2.1. A szabályzat hatálya A szabályzat személyi hatálya A szabályzatban meghatározott előírás, feladat, magatartási szabály beosztásra való tekintet nélkül kötelező érvényű, és hatálya vonatkozásában kiterjed: - a Társasággal munkaviszonyban és munkavégzésre irányuló egyéb jogviszonyban álló valamennyi természetes személyre (a továbbiakban: felhasználó), - a Társaság informatikai rendszereihez történő hozzáférésre kötött kétoldalú megállapodásban, vagy külön nyilatkozatban foglalt személyi körre, amennyiben a szabályzatot magára nézve kötelezőnek ismeri el. A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhetnek kapcsolatba. Szerződéses jogviszonyban álló személyek esetében a szerződésnek ki kell terjednie az informatikai biztonsági pontokra, illetve jelen szabályzat betartására. A szabályzat hatálya így különösen a Biztonságvédelmi irányelvek ( pont) és a Felhasználók biztonsági kötelezettségei (1. sz. melléklet) áttételesen kiterjed minden, a MÁV Zrt. informatikai, telekommunikációs hálózatát, illetve alkalmazásait felhasználó a szabályzat alá közvetlenül nem tartozó személyre, amelyet a RIBSZ-ek (lásd: pont) rendszerén keresztül kell biztosítani. Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető egyoldalú informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevőire, továbbá a minősített adat védelméről szóló törvény hatálya alá tartozó elektronikus biztonsági rendszerekre, illetve az azokban feldolgozott adatokra A szabályzat területi hatálya A szabályzat területi hatálya kiterjed a Társaság kezelésében, használatában lévő létesítmények területén elhelyezett, valamennyi informatikai rendszer kialakítására és üzemeltetésére. Tulajdonviszonyától függetlenül kiterjed továbbá valamennyi egyéb területre azzal, hogy ez esetben a szabályzat előírásai betartásának kötelezettsége a jogviszony keletkeztetését eredményező használati megállapodásban rögzítésre került A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: - a Társaság elektronikus adatainak teljes körére, a felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól és az azokat feldolgozó rendszertől függetlenül, - a Társaság tulajdonában, használatában lévő valamennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket közvetve vagy közvetlenül használó berendezésekre, valamint azok műszaki dokumentációira is, - a Társaság használatában lévő rendszer- és felhasználói programokra, - a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására A szabályzat kidolgozásáért és karbantartásáért felelős A szabályzat kidolgozásáért és karbantartásáért felelős a Biztonsági igazgatóság Információvédelmi szervezet (továbbiakban Információvédelem) vezetője. 3. fogalmak MEGHATÁROzÁsA Adat: Tények, utasítások formalizált ábrázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára. Adatbázis: Azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adathordozó: Azon eszközök (pl. CD/DVD, merevlemez, félvezető-alapú tárak) összefoglaló neve, amelyeken a számítógépes adatokat tárolni tudjuk. Adatvédelem: A személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik.)

3 6. szám A MÁV Zrt. Értesítője 563 Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintű informatikai biztonsági szabályzatok. Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázatkezelő programok, FOR, MTR, IHIR, GIR, SZIR, KUTINFO, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, kezel. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene. Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan speciális informatikai eszközökre épülő integrált alkalmazás (pl. motorvezérlő elektronika, riasztó, közlekedési lámpa irányító rendszere, egy gyár folyamatirányító rendszere), melyet egy konkrét feladat vagy feladategyüttes ellátására terveztek, és közös jellemzőjük a nagyfokú autonomitás, valamint a fizikai környezettel való intenzív információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysága. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot definiálnak. Három kategóriát (alap fokozott kiemelt) különböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény incidens: A biztonságot fenyegető egy vagy több tényező tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt információhoz csatolt és azzal együtt továbbított kódsorozat. Lehetővé teszi, hogy az információ olvasója ellenőrizni tudja egyrészt a küldő személyazonosságát, másrészt az információ sértetlenségét. Dokumentumfüggő, azaz ha bármilyen változtatás történik az aláírt fájlban, akkor az elektronikus aláírás nem fejthető viszsza. Egyszerű, fokozott biztonságú és minősített kategóriája létezik. Érzékeny adat/információ: A Társaság informatikai rendszerei által kezelt valamennyi, korábban jogszerűen nyilvánosságra nem hozott adat, amelynek nyilvánosságra hozatalát jogszabály, illetve belső utasítás nem írja elő. Érzékeny adat különösen a személyes adat, az üzleti titok, a nem nyilvánossá, illetve belső használatúvá nyilvánított adat, a közérdekű adatot eredményező döntéselőkészítő dokumentum (a keletkezésétől számított tíz évig, illetve a Közzétételi szabályzat alapján történő közzétételéig), a Társaság üzemviteli, üzleti érdekeit, jó hírnevét sértő, vagy veszélyeztető, illetve azt kedvezőtlenül befolyásoló adat. Az előzőeken kívül érzékeny adatnak minősülnek azok a Társaság által kezelt adatok, amelyek sértetlenségéhez, rendelkezésre állásához a Társaságnak érdeke fűződik. Az érzékeny adat mindaddig megőrzi e minőségét, ameddig azt az arra jogosult nyilvánosságra nem hozza. felhő alapú számítástechnika (cloud computing): Olyan adatokkal és alkalmazásokkal történő munkavégzés, amelyek fizikailag nem a Társaság tulajdonában álló gépeken, hanem az interneten, elosztott módon tárolódnak. A privát számítási felhő egyetlen szervezet számára elérhető informatikai erőforrások gyűjteménye. fenyegető tényezők: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezőtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, külső tényezők általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, számítógépes vírus, programhiba). fizikai biztonság: Az információt kezelő rendszerek fizikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzője, hiányossága, amelynek révén fenyegető tényezők hatásának van kitéve. Helyi hálózat (LAn) (Local Area Network): A Társaság (fizikailag több helyen levő) infokommunikációs eszközeit összekötő, rendszerint egységes kommuniká-

4 564 A MÁV Zrt. Értesítője 6. szám ciós protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver eszközök közös használatára, és a gépeknek az intranethez vagy az internethez való kapcsolására szolgál. Többnyire irodákban, állomási épületekben található, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására. Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülő rendszerelemek kölcsönösen és egyértelműen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hordozható adattároló: Olyan adattárolásra alkalmas eszköz, amelynek elsődleges célja a benne tárolt adatok átvitele egyik fizikai helyről a másikra. Például: optikai lemezek (pl. CD/DVD), mágneses adattároló lemezek (pl. külső vagy belső merevlemez, szalagok, kazetták), flash memória alapú tárolóeszközök (pendrive, különféle memóriakártyák, SSD). Hordozható informatikai eszköz: E szabályzat alkalmazása során a következő eszközöket értjük alatta: hordozható számítógép (pl. notebook, netbook, ultrabook), tábla számítógép (tablet PC), pda, (okos) telefon. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára. Infokommunikáció: A számítástechnika, a távközlés és az elektronikus média integrált egységességét kifejező megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával működtetett (pl. vezérelt) telepített, vagy mobil berendezések, továbbá rendszerek, eljárások összessége vagy ezek alkotó elemei (pl. számítógép, hordozható informatikai eszköz és adattároló, nyomtató, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.], továbbá az informatikai alapokra épülő távközlési rendszerek [pl. IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök], valamint a hálózatmenedzsment elemei). Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó előírások, szabványok betartásának vagy mellőzésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között. Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működtetésének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat- és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.) Intranet: Az internetnél is használt TCP/IP protokollra és szolgáltatásokra ( , FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levő) informatikai eszközeit köti össze, amely megoldást jelent belső információs rendszerek kialakítására és berendezéseit az internet felől közvetlenül nem lehet elérni. jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerződésnek megfelelően használt szoftver. katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkező, természeti erő vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelentős részének a rendeltetésszerű, folyamatos működését.

5 6. szám A MÁV Zrt. Értesítője 565 kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó . Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik. kockázat: Fenyegető tényező vagy esemény bekövetkeztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. A kockázatot elemzéssel, a rendszert fenyegető tényezők értékelése útján kell megállapítani. kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a kockázati esemény által okozott potenciális kárértékeket és azok bekövetkezési gyakoriságát. kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és az azok által elért kockázatcsökkenés között. Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettek, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem terveztek megelőző intézkedést. Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat. Minősített informatikai rendszer: Olyan informatikai rendszer, amely fokozott vagy kiemelt biztonsági osztályú besorolást kapott (pl. azért, mert stratégiai fontosságú a Társaság üzletvitele szempontjából). Mobilkommunikációs adatátvitel: Az országos mobiltelefon hálózatokon keresztül valósul meg (GPRS, EDGE, 3G, HSDPA stb.). A szolgáltatás eléréséhez jellemzően a készülékbe (mobiltelefon, mobil stick, tablet PC stb.) helyezhető SIM kártya szükséges. PkI (Nyilvános Kulcsú Infrastruktúra): Olyan világszerte elfogadott rendszer, amely titkosítást és digitális tanúsítványt használ a biztonságos elektronikus dokumentumok és tranzakciók hitelesítése érdekében. Push Az az eljárás, amikor a levelező kliens állandó online kapcsolatban van, tehát ahogy a levelező szerverre beérkezik egy , az azonnal megjelenik a kliensen (pl. telefonon). Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és időben, a rendeltetésének megfelelő szolgáltatásokat nyújtani tudja. Ide kapcsolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezetben akár csökkentett terjedelmű szolgáltatással újraéleszthetőek legyenek. Rendszerüzemeltető: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Védelmét a Társaság adatvédelmi szabályzata megfelelően szabályozza. Távolról végzett munka/távmunka: A Társaság informatikai rendszerének biztonsági zónáján kívül eső (nem védett) környezetből végzett tevékenység, amely során a Társaság a felhasználó számára olyan informatikai erőforrások elérését biztosítja (jellemzően VPN-en keresztül), amellyel a munkahelyén egyébként rendelkezhet. Ide nem értendők azoknak a technológiáknak, illetve mobil informatikai megoldásoknak alkalmi felhasználása, amellyel eseti információcserét lehet megvalósítani (pl. OWA, Push , OAW). E szabályzat alkalmazása során a távolról végzett munkát a továbbiakban távmunkának nevezzük, amely tartalmában nem

6 566 A MÁV Zrt. Értesítője 6. szám azonos a Munka Törvénykönyvében szabályozott fogalommal. Témafelelős: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjobban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállítóval szemben, különös tekintettel a végzett szolgáltatások mennyiségére és a feladatok határidejére. Virtualizáció: Olyan technológia, amelynek segítségével a rendelkezésre álló fizikai hardver látszólag megtöbbszörözhető, így például egy fizikai gépen nem csak egy, hanem több egymástól független operációs rendszer üzemeltethető, miközben az operációs rendszer úgy látja, hogy csak ő használja a fizikai hardver erőforrásait. VPn: (Virtual Private Network virtuális magánhálózat): Olyan virtuális számítógépes hálózat, amely kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, nyilvános hálózatokon különböző titkosítási technikákat is alkalmaz, miáltal lehetőséget biztosít a Társaság számára, hogy a belső hálózat meghatározott elemeit elérhetővé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távmunkát végző) felhasználók számára. 4. Az UTAsíTÁs LEíRÁsA 4.1. A MÁV zrt. informatikai biztonságpolitikája Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (proaktív) szemléletű biztonsági tevékenység az alábbi védelmi alapelveken nyugszik. - A védelmet fizikai, logikai és adminisztratív vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörűség). - Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). - Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). - Az informatikai rendszerek által kezelt adatok védelme erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). - Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani (folytonosság). - A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A felhasználók különböző rendszerekhez való hozzáférési jogosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság). - A védelemben biztosítani kell a szabályozás szabály-érvényesítés ellenőrzés szankcionálás folyamatát (zárt szabályozási ciklus). - A Társaság üzletmenete szempontjából stratégiai vagy minősített informatikai rendszereket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. - Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, probléma- és változáskezelési eljárások alkalmazásával vezethető be. - A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők. - A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, notebook, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz [vezetékes és mobiltelefon, rádió adóvevő] stb.) eltérő írásbeli megállapodás hiányában kizárólag a munka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata csak indokolt esetben (pl. beérkező , telefonhívás megválaszolása során) megengedett. - Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az ellenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén. - Minden felhasználó személyesen felelős saját munkájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekményekért. - A munkáltató jogkör gyakorló felelős annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelősnek az egyeztetés

7 6. szám A MÁV Zrt. Értesítője 567 folyamatába be kell vonni az információvédelmi vezetőt. A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továbbá hozzáférési szerződést vagy megállapodást írásba kell foglalni, abban valamennyi felhasználóra kiterjedően érvényesíteni kell az IBSZ előírásait. Ennek érdekében azt kötelező előzetesen véleményeztetni: - az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiával való illeszkedés biztosítása, az informatikai, infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerződés nyilvántartásba vétele, - a Pályavasúti üzemeltetés Távközlő-, erősáramú- és biztosítóberendezési főosztállyal (TEBF) a távközlő adatátviteli hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá - az információvédelmi vezetővel az informatikai biztonsági megfelelőség garantálása érdekében. A szerződés kizárólag a felsorolt szervezeti egységek és személyek állásfoglalásának figyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja Az informatikai biztonság dokumentumai Informatikai Biztonsági szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvető dokumentum, amely tartalmazza a biztonságpolitikát, az alapvető fogalmakat, az informatikai biztonsággal kapcsolatos intézkedéseket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén Infokommunikációs Biztonsági stratégia Az Informatikai és Távközlési stratégia integráns részeként, annak önálló fejezeteként készül el az Infokommunikációs Biztonsági Stratégia melyben átfogóbb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az Infokommunikációs Biztonsági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az információvédelmi vezetővel együttműködve végzi el Rendszerszintű Informatikai Biztonsági szabályzatok Az Informatikai Biztonsági Szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat a rendszerszintű IBSZ-eknek (továbbiakban RIBSZ) kell tartalmaznia. Főbb pontjai: rendszerkörnyezet, feladat-, felelősség- és hatáskörök, informatikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, logikai, fizikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés. Tekintettel arra, hogy az ebben foglalt információk illetéktelenekhez kerülése a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes intézkedést vagy szabályozást, kivéve ha azt az elnök-vezérigazgató engedélyezi. A RIBSZ minimális követelményeit tartalmazó mintát a 11. sz. melléklet tartalmazza A fejlesztés, üzemeltetés és felülvizsgálat irányelvei Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű távközlő adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat időben, már a rendszer tervezése során, az információvédelmi vezető egyetértésével definiálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biztonsági előírások igazolt teljesülése esetén szabad használatba venni. Jelen pont alkalmazása során az informatikai fejlesztések körébe nem értendő bele a már használatban lévő rendszer struktúráját, illetve rendszerszintű biztonságát nem érintő olyan változtatás, amelynek célja az informatikai alkalmazással támogatott üzleti munkafolyamatok eseti korrekciója (pl. jogszabályoknak való megfelelés biztosítása, adatstruktúra korrekciója). Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenőrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok érvényesülésének elsődlegességét. Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az információvédelmi vezetőt is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését követően szabad üzembe helyezni, amelyről az üzleti tulajdonos rendelkezik.

8 568 A MÁV Zrt. Értesítője 6. szám számítógépes és hálózati szolgáltatások biztonságos üzemeltetése A Társaság területén és tulajdonában üzemelő informatikai eszközökön és hálózati berendezéseken feltéve, hogy kifejezetten erre vonatkozó, az információvédelmi vezető által is véleményezett szerződés másként nem rendelkezik kizárólag a Társaság adatait szabad kezelni, feldolgozni, illetve továbbítani. Szolgáltatási szerződés alapján külső szerveknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól. E tevékenységhez csak a Társaság által rendszeresített, megfelelő vírusellenőrzésnek alávetett szoftverek alkalmazhatóak, továbbá a jogszerű használat érdekében biztosítani kell a szükséges mennyiségű és tartalmú licencet, azok nyilvántartását és megfelelő használatát. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtethető legyen az egyes személyek egyéni tudásától és helyismeretétől való túlzott függőség nélkül. Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelő intézkedéseket kell hozni valamennyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A működés-folytonosság tervezésével el kell érni, hogy káresemény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitől. A minősített rendszerekben kért és kiadott jogosultságokat olyan nyilvántartásban kell megőrizni, ahol biztosított az adatok bizalmassága, sértetlensége és rendelkezésre állása. A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának biztonságát és az infrastruktúra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközöket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távmunka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba, rendszerekbe (pl. internet, levelező rendszerek) átlépni csak előre definiált és engedélyezett módon szabad A MÁV zrt. informatikai biztonságának szervezeti struktúrája A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök-vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság, az Infokommunikációs igazgatóság, a Távközlő-, erősáramú- és biztosítóberendezési főosztály és a Stratégiai pályavasúti fejlesztés és lebonyolítás (SPFL) útján valósul meg. Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el: - Információvédelmi vezető: szabályozás kialakítása, betartásának felügyelete, ellenőrzése, - IKI: technológiai biztonság kialakítása, informatikai fejlesztések koordinálása, - TEBF: az távközlő adatátviteli hálózat üzemeltetési területén a technológiai biztonság kialakítása, biztonságos üzemeltetése - SPFL: hálózatfejlesztés során a rendszerek fejlesztésének koordinálása. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az információvédelmi vezető a Társaság valamennyi informatikai fejlesztési és infokommunikációs üzemeltetési szervezeteitől független személy kell, hogy legyen feladat-, felelősség és hatáskörök szétválasztása Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat-, felelősség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását és a felelősségre vonhatóságot A MÁV zrt. informatikai biztonságát irányító vezetők és feladataik Az informatikai biztonság irányításának szereplői: - elnök-vezérigazgató - biztonsági igazgató - információvédelmi vezető - infokommunikációs igazgató - infokommunikációs biztonsági vezető - távközlő-, erősáramú- és biztosítóberendezési főosztályvezető - Pályavasúti Területi Központ távközlő-, erősáramúés biztosítóberendezési osztályvezető

9 6. szám A MÁV Zrt. Értesítője Elnök-vezérigazgató a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erőforrást. c) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság információvédelmi tevékenységét. d) Az IKI felterjesztése alapján megbízza az üzleti tulajdonosokat. e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenységére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó Informatikai Biztonsági Szabályzatot (IBSZ). f) A Társaság informatikai stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetőjére háruló informatikai biztonsági ellenőrzéseket a biztonsági igazgató közreműködésével gyakorolja, és irányítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezően alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelőzésének és elhárításának feltételeiről, i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd pont) Biztonsági igazgató a) Gondoskodik a Társaság működésével összefüggő információk védelméről, ennek érdekében az Informatikai Biztonsági Szabályzat és annak részeként az informatikai biztonsági politika kialakításáról, karbantartásáról. b) Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályok kibocsátását. c) Az informatikai biztonságra is tekintettel, biztonsági szempontból véleményezi a Társaság szabályzatait, szerződéseit. d) Felelős az Információvédelem működési feltételrendszerének megteremtéséért. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erőforrásokat. e) Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében okta tásokon, továbbképzéseken, konferenciákon való részvételét. f) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatokba épített ellenőrzési feladatait, tevékenységeit. g) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében intézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehajtását az információvédelmi vezető útján rendszeresen ellenőrzi. h) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való kizárására. i) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén. j) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. k) Közreműködik az üzleti tulajdonosok kiválasztása során, továbbá egyetértési jogot gyakorol az elnök-vezérigazgatóhoz felterjesztésre kerülő megbízásukkal összefüggésben. l) Az információvédelmet érintő incidensek esetén intézkedéseket hoz a kármegelőzés érdekében, szükség esetén irányítja az események kivizsgálását Információvédelmi vezető Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat. c) Irányítja a területi informatikai biztonsági megbízottak munkájának szakfelügyeletét. d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása, továbbá közreműködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezdeményezi hírlevél kiadását, illetve útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenőrzi a jelen szabályzatban megfogalmazott követelmények végrehajtását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Az üzleti

10 570 A MÁV Zrt. Értesítője 6. szám tulajdonosok vagy elnök-vezérigazgató részére intézkedésre tesz javaslatot bűncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. A szabályzat által érintett hatókörben kivizsgálja a Társaság, illetve a MÁV Csoport működését és érdekeit veszélyeztető informatikai incidenseket és egyéb rendkívüli eseményeket. f) Segíti az üzleti tulajdonosokat az előírásszerű biztonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgáltatási szerződések kialakítását, szükség esetén ellenőrzi azok betartását. g) Biztonsági szempontból támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről. h) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatosságának fejlesztése érdekében. i) Felkérésre állást foglal a szabályzat előírásainak értelmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdésekben. j) Közvetlenül együttműködik és kapcsolatot tart az IKI, a TEBF és a Biztonsági igazgatóság vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire. k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével. l) Lehetővé teszi a szakértők ismereteinek naprakészen tartása és a folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon való részvételt. Hatásköre: a) Jogosult az ellenőrzési, vizsgálati tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatban bármilyen iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre, illetve ezekkel kapcsolatban felvilágosítás kérésére, különös tekintettel a minősített rendszerekre. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskörben a Társaság belső adatvédelmi felelőse jogosult ellenőrzést gyakorolni.) b) Jogosult a szabályzat területi hatálya alá tartozó valamennyi épületben és azon belül minden helyiségben az informatikai és távközlési eszközök biztonsági szempontú vizsgálatára. c) Jogosult a teljes működési területére kiterjedő informatikai biztonsági felügyeleti ellenőrzések végzésére, szükséges intézkedések kezdeményezésére. Amennyiben ellenőrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását Infokommunikációs igazgató a) A MÁV Csoportszintű informatikai stratégiájának meghatározása és végrehajtása során a jelen szabályzatban megfogalmazott előírások figyelembe vételével elősegíti az informatikai biztonsági szabályok érvényesülését. b) Felelős az üzleti tulajdonosok kiválasztásáért és a biztonsági igazgató egyetértése mellett elnök-vezérigazgató részére történő felterjesztéséért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében. d) Gondoskodik arról, hogy a Társasági rendszerekhez való hozzáférés kellő biztonsági körülményei kidolgozásra kerüljenek és a biztonsági fenyegetettséghez illeszkedően ezek naprakészek legyenek Infokommunikációs biztonsági vezető a) Elkészíti az infokommunikációs biztonság technológiai szabályozását, normatívákat határoz meg, gondoskodik a szabályozás folyamatos aktualizálásáról és betartatásáról. b) Az a) pontban jelzett előírásokat érvényesíti az infokommunikációs projektekben és az infokommunikációs szolgáltatási szerződésekben. c) Rendszeresen technológiai állapotjelentést készít az infokommunikációs biztonság helyzetéről. d) Kockázatelemzés alapján tesz javaslatot az infokommunikációs biztonsági rendszerek kiválasztására, és a meglévő rendszerek technológiai fejlesztésére. e) Részt vesz az infokommunikációs biztonsági problémák feltárásában, vizsgálatában. f) Felügyeli az IT biztonsági rendszereket. g) Kidolgozza az informatikai biztonsági rendszerek (tűzfalak, behatolás jelző/védő rendszerek, vírus és spam-szűrők) szabályrendszerét Távközlő-, erősáramú- és biztosítóberendezési főosztályvezető a) A vasúti infrastruktúrához tartozó távközlő, erősáramú és biztosítóberendezési felügyeleti, karbantartási,

11 6. szám A MÁV Zrt. Értesítője 571 hibaelhárítási, felújítási és fejlesztési tevékenység informatikai biztonsági szabályozása és felügyelete. b) A Társaság távközlő adatátviteli hálózata vonatkozásában felelős: a biztonsági osztályok követelményeinek megfelelő adathálózati védelmi rendszerek, eszközök honosításáért, üzemeltetéséért, fejlesztések koordinálásáért, szabványosításáért, a RIBSZ és a benne foglalt biztonsági követelmények kialakításáért, ellenőrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, feladatkörében, Társaság szinten egységes változáskezelési rendszer kialakításáért, annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, az adathálózatot megvalósító rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért. c) Az előző pontokban meghatározott feladatok ellátása érdekében a szakterületek felügyelete. d) Közvetlenül együttműködik és kapcsolatot tart az információvédelmi vezetővel Pályavasúti Területi központ távközlő-, erősáramú- és biztosítóberendezési osztályvezető a) A vasútüzemhez kapcsolódó beágyazott rendszerek sajátosságait figyelembe véve az informatikai biztonsági tevékenység irányítása. b) Közvetlenül együttműködik és kapcsolatot tart az információvédelmi vezetővel A MÁV zrt. informatikai biztonságát megvalósító szervezetek és szerepkörök A Társaság azon szervezeti egységei, amelyeknek a Működési és Szervezeti Szabályzat értelmében az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, működtetésében feladataik vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelősek a Társaság működését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért Infokommunikációs igazgatóság Felelős: a MÁV Csoportszintű informatikai stratégiájának kialakítása és végrehajtása során a jelen IBSZ-ben foglalt előírások érvényesüléséért, a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irányításáért és átvételéért, a Társaságnál való honosításáért, az üzleti tulajdonos támogatásáért, hogy az új informatikai rendszerek megvalósítását célzó projektek előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek, annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévők korszerűsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, minden informatikai rendszer tekintetében - a rendszerfejlesztés részeként az üzleti tulajdonossal együttműködve - a fejlesztésért, ennek során a technológiai informatikai biztonsági követelmények kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, infokommunikációs biztonsági rendszerek fejlesztésének kidolgozásáért, és megvalósításáért, az informatikai biztonságot bármely módon érintő projektek, fejlesztések tekintetében az információvédelmi vezető tájékoztatásáért, informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek érvényesítéséért, az informatikai szolgáltatók, szolgáltatási szerződések és SLA-k biztonsági megfelelőségéért, jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért, az operációs rendszerek és alkalmazások a Társaság által ellenőrzött biztonsági javításainak beszerzéséért és telepítéséért, társasági szintű konfigurációkezelési adatbázis felállításáért és működtetéséért, felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, a minősített rendszerekben társasági szinten egységesített elvekre épülő változáskezelés működtetéséért, a távfelügyelet, a mobil eszközökkel végzett és a távmunka biztonságos feltételeinek kialakításáért (pl. távmunka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez autentikációs és titkosító eszközök biztosítása, védett vonalak kialakítása) a TEBF, az információvédelmi vezető és az üzleti tulajdonosok (távmunka engedélyeztetése) közreműködésével, A PKI (Publikus Kulcsú Infrastruktúra) vonatkozásában a tanúsítvány szolgáltatóknál a Társaság teljes jogkörű képviseletéért és ennek kapcsán kizárólagos jogkörrel egyutas ügyintézésként a kapcsolattartói feladatkör ellátásáért. az informatikai biztonsági adminisztráció, így különösen a hozzáférés-menedzsment kialakításáért.

12 572 A MÁV Zrt. Értesítője 6. szám főtevékenységi kör vezető Köteles főtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk védelméért. Ennek keretében irányítási területén, a felelősségi körébe tartozó informatikai rendszerekre nézve felelős: a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, a rendszerfejlesztési projekt előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, a biztonsági rendszernek a rendszerszintű informatikai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért, az általános biztonsági kultúra folyamatos gondozásáért, informatikai biztonsági ügyekben az információvédelmi vezetővel és az IKI-vel való együttműködésért Üzleti tulajdonos Minden informatikai rendszer biztonságát már a fejlesztés szakaszában egy üzleti tulajdonoshoz kell rendelni, akit az informatikai rendszerfejlesztést kezdeményező javaslata alapján a biztonsági igazgató egyetértése és az Infokommunikációs igazgató előterjesztése után az elnök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásában is szerepeltetni kell. Mindaddig, amíg az üzleti tulajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató. Az informatikai rendszerek fejlesztése során az üzleti tulajdonos kijelöléséig, a projektvezető látja el e feladatokat. Az üzleti tulajdonos az a vezető, aki jogosult a rendszer biztonságát érintő fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen annak a szervezeti egységnek a vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ő a rendszer biztonsági kockázatainak kezelője, felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenőrizzék. Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában: a rendszer rendelkezésre állási paramétereinek meghatározásáért, az előre nem várható események (incidensek) esetén a szükséges tevékenységek irányításáért, a rendszer tervezése során a Társaságnál már üzemelő vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhető adatok esetleges felhasználhatóságának vizsgálatáért, a rendszer tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, ennek alapján az IKI és az információvédelmi vezető egyetértésével a rendszer biztonsági osztályba sorolásáért, a kockázatok kezeléséhez szükséges ráfordítások, erőforrások, intézkedések menedzseléséért, a maradványkockázat meghatározásáért és elfogadásáért, a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biztosításáért, a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. rendszerterv, kockázatelemzés, RIBSZ, Működés-folytonossági terv, felhasználói- és üzemeltetői kézikönyvek) elkészítéséért és aktualizálásáért, a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés), a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért, a rendszer használata során a kialakított biztonsági szint fenntartásáért, a rendszer változása (fizikai, jogi, szervezeti, szoftver, hardver stb.) esetén a lehetséges új kockázati tényezők feltárásáért és értékeléséért, a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában, a működés-folytonosság biztosítása érdekében tervezett feladatok végrehajtásának ellenőrzéséért, a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért és az előírások rendszeres ellenőrzéséért,

13 6. szám A MÁV Zrt. Értesítője 573 a rendszert használók és üzemeltetők jogosultságainak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért, központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért. Jogosult az általa tulajdonolt rendszer(ek) vonatkozásában: megbízott kijelölésére, aki a nevében eljár, a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntések meghozatalára, a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére, a rendszer biztonsági osztályba sorolásából következő védelmi intézkedések foganatosítására, illetve kezdeményezésére a Társaság felső vezetése felé, az esetlegesen előforduló informatikai biztonsági incidensek kivizsgálásában való közreműködésre, a szükséges szankciók kezdeményezésére, információvédelmi vezető, IKI és más szakmai szervezetek segítségének közvetlen igénybevételére, szükség szerint az informatikai biztonsági tevékenység ellátásában közreműködő rendszerszintű informatikai biztonsági megbízott kijelölésére (lásd fejezet) szakterületi vezetők: Az alábbi kiemelt feladatok vonatkozásában a Társaság egészére kiterjedően felelős: Humánerőforrás igazgatóság vezetője: az informatikai rendszerekben előforduló, társasági szintű következményekkel járó biztonsági események értékelésénél az ezek alapján meghozandó munkáltatói intézkedések, szankciók foganatosításáért. Az Infokommunikációs Igazgatóság, illetve a Biztonsági igazgatóság által igényelt és az éves képzési tervben jóváhagyott informatikai biztonsági képzések, továbbképzések és tréningek megszervezéséért. Belső ellenőrzési főosztály vezetője: az informatikai és az informatikai biztonsági szakterület ellenőrzési folyamatainak a szakmai szabályzatokkal valóösszevetéséért, a szabályzatokban foglaltak végrehajtásának ellenőrzéséért, az Általános Ellenőrzési Utasítás alapján végzett, informatikát érintő ellenőrzések során az együttműködés kezdeményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások biztonsági igazgató és az Infokommunikációs igazgatóság vezetője számára történő átadásáért. Ingatlangazdálkodási igazgatóság vezetője: a Társaság objektumainak, telephelyeinek az informatikai biztonsági követelményeknek is megfelelő védelme biztosításáért felhasználó beosztottal rendelkező vezető Irányítási területén biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglaltakat minden általa vezetett munkavállaló és külső hozzáférő teljes mértékben megismerje és betartsa. Ennek során feladata: a közvetlen irányítása alá tartozók részére a Társaságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás stb.) kezdeményezése, a közvetlen irányítása alá tartozó felhasználók vonatkozásában a technikai feltételek biztosítását követően a munkafolyamatokat úgy megszervezni, hogy a feldolgozott adataik biztonságos mentése megvalósulhasson, a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, minősített rendszerek esetén a munkálatok felügyeletének megszervezése, a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, közvetlenül az információvédelmi vezető és az infokommunikációs biztonsági vezető részére (lásd fejezet), szükség esetén a működési területe speciális jellegzetességeit tükröző helyi végrehajtási utasítás kibocsátása vagy oktatások megigénylése, és a hozzátartozó munkavállalók oktatásokon való megjelenésének biztosítása, a Felhasználók biztonsági kötelezettségei c. dokumentumban (1. sz. melléklet) rögzítettől eltérő használat észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az információvédelmi vezető részére Munkáltatói jogkör gyakorló vezető Felelős a hozzá beosztott felhasználók vonatkozásában: Az Informatikai biztonsági nyilatkozat (2. sz. melléklet) személyenkénti megismertetéséért, a humánpartner szervezet közreműködésével annak dokumentálásáért és a nyilatkozatok nyilvántartásáért. Ellenőrzési jogkörét írásban delegálhatja más beosztottja részére. Szükség esetén a pontban előírt fegyelmi eljárás megindításáért A munkavállaló alkalmazásának megszűnésekor a pontban rá háruló döntések meghozataláért (pl. mentés elrendelése, adatok további felhasználása, hozzáférési jogok visszavonásának ellenőrzése).

14 574 A MÁV Zrt. Értesítője 6. szám Informatikai biztonsági szakértő A Biztonsági igazgatóság szervezeti keretei között, az informatikai biztonsági szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban: az informatikai biztonsági dokumentumok kidolgoztatása, az előírások betartásának ellenőrzése, informatikai fejlesztésekben az információvédelmi vezető képviselete, az informatikai rendszerek, valamint a rendszergazdák tevékenységének biztonsági szempontú ellenőrzése és felügyelete, a területi informatikai biztonsági megbízottak munkájának szakfelügyelete, rendszerüzemeltetési dokumentumok vizsgálata, informatikai biztonság események (incidensek) kivizsgálása, javaslattétel a védelmi intézkedésekre, szankciókra, a fizikai biztonság megvalósulásának felügyelete, ellenőrzése, informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, vezetők, felhasználók segítése, biztonsági naplók ellenőrzése, szakmai ismereteit felhasználva támogatást nyújt az informatikai biztonsági képzési, oktatási tevékenység részére, az O.1. utasításban szereplő informatikai biztonsági oktatások tematikájának véleményezésében, az oktatások időtartamának és gyakoriságának előírásában, az ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon vesz részt, közvetlenül együttműködik és kapcsolatot tart az IKI, a TEBF és az informatikát üzemeltető szervezet szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbízottakkal, a projektvezetőkkel, valamint a Társaság leányvállalatainak informatikai biztonságért felelős biztonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re, biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonsági tevékenységét ellátó szakértőjével Területi informatikai biztonsági megbízott A Biztonsági igazgatóság területi vasútbiztonsági szervezeteinél a biztonsági megbízotti feladatokat ellátó munkavállaló a területi vasútbiztonsági vezető irányításával, az információvédelmi vezető szakmai felügyelete mellett végzi az informatikai biztonságot támogató munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett: ellenőrzi az informatikai biztonságra vonatkozó egyszerűbb szabályok betartását (illetéktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használat, jogosultságok nem megfelelő használata stb.), informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi vezetőt az információvédelmi vezetőt és az infokommunikációs biztonsági vezetőt, helyi ismereteit felhasználva részt vesz az informatikai biztonsági rendkívüli események kivizsgálásában, ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát, felügyeli a fizikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása). A megbízottak névsorát a Társaság intranetes weboldalának biztonsági aloldalán közzé kell tenni Rendszerszintű informatikai biztonsági megbízott Az üzleti tulajdonos egyedi döntése alapján, az informatikai fejlesztések és projektek, valamint az informatikai rendszerek üzemeltetése során az információvédelmi vezető szakmai támogatásával közreműködik az üzleti tulajdonos rendszer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett: előkészíti és nyomon követi az informatikai biztonságot érintő dokumentumokat, előkészítő munkát végez az üzleti tulajdonos döntéseinek támogatása érdekében, figyelemmel kíséri a biztonsági követelményekre kialakított szabályok betartását, közreműködik az érintett rendszer informatikai biztonsági feladatainak ellátásában, informatikai biztonsági rendkívüli események észlelése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost az információvédelmi vezetőt és az infokommunikációs biztonsági vezetőt Projektvezető A Társaság informatikai rendszereit érintő fejlesztési projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős: a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, a rendszer tervezése során a Társaságnál már üzemelő vagy fejlesztés alatt álló rendszerekkel való kapcsolat vizsgálatáért, az azokban tárolt és onnan kinyerhető adatok esetleges felhasználhatóságának vizsgálatáért az IKI bevonásával,

15 6. szám A MÁV Zrt. Értesítője 575 az adott informatikai rendszerben és annak környezetében megvalósítandó fizikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek meghatározásának kezdeményezéséért, az informatikai rendszerben kezelendő, üzleti titoknak minősülő adatok titokban tartása érdekében a szükséges intézkedések kezdeményezéséért, az informatikai rendszer biztonsági osztályba sorolását megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulajdonossal történő jóváhagyatásáért, A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogosultság kezelő rendszer elveinek érvényesítéséért. mindaddig, amíg az üzleti tulajdonos nem kerül kijelölésre, annak feladatait a projektvezető látja el, a fizikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az információvédelmi vezető szakmai együttműködésének a biztosításáért, a rendszer biztonsági dokumentumainak (kockázatelemzés, RIBSZ, működés-folytonossági terv, felhasználói- és rendszer dokumentációk) elkészíttetéséért, a projekt bevezetéséhez szükséges képzések és oktatások tematikájának felterjesztéséért, a képzésben résztvevők körére és a képzések szervezésének ütemezésére. a biztonsági rendszernek az éles üzembe történő bevezetéséért Üzemeltetés-vezető A Társaság informatikai rendszereinek és koncentrált informatikai erőforrásainak (pl. számítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős: a hatáskörébe utalt informatikai rendszerekben kezelt információk bizalmasságának, sértetlenségének és rendelkezésre állásának biztosításáért, a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifikus RIBSZ biztonsági előírásainak érvényre juttatásáért, a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechanizmusainak a védelmi rendszertervben jóváhagyott beállításáért és naprakészen tartásáért, a biztonsági rendszerben beállt változások dokumentálásáért, a biztonsági naplók szabályszerű kezeléséért, az észlelt biztonsági események feljegyzéséért, ezekről a rendszer üzleti tulajdonosa és az infokommunikációs biztonsági vezető tájékoztatásáért, a rendszer működtetésében résztvevő rendszergazdák, biztonsági adminisztrátorok tevékenységének öszszehangolásáért Rendszergazda A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: a logikai védelmi rendszer beállítása a védelmi rendszertervnek és a jóváhagyott jogosultságoknak megfelelően, adatszolgáltatás a jogosultság nyilvántartó rendszer részére, a biztonsági és védelmi beállítások módosítása, aktualizálása a jóváhagyott változásoknak megfelelően, RIBSZ betartásának operatív ellenőrzése a biztonsági rendszerek folyamatos felügyeletével, az észlelt rendellenességek kezelése, az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékenységek biztonsági felügyelete, különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jogosulatlan licensz-felhasználás jelentése a felettes üzemeltetés-vezető és közvetlenül az információvédelmi vezető, valamint az infokommunikációs biztonsági vezető részére, a biztonsági rendszerben történt változások dokumentált követése, a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és incidensek esetén közvetlenül az információvédelmi vezető részére felhasználó Aki a Társaság üzleti céljainak elérése érdekében informatikai eszközt kezel, és arra telepített programot (alkalmazást) használ feladatai megoldásához, köteles az általa kezelt eszközök, rendszerek informatikai biztonságára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonatkozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentációk biztonsága c. fejezetben ( pont) megjelölt személynek kell a felhasználó rendelkezésére bocsátania. Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentumban foglaltakat megismerni, azt a 2. sz. melléklet aláírásával elfogadni és napi munkájában alkalmazni Informatikai szolgáltató A Társaság részéről szerződő fél köteles a Társaság informatikai biztonsági előírásait érvényesíteni az informatikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során.

16 576 A MÁV Zrt. Értesítője 6. szám Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek ellátása során a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzését, a Társaság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgáltatási szerződésnek megfelelő működést. A felhasználónál végzendő tevékenységet a szolgáltató szervezet minden esetben köteles előzetesen egyeztetni. A kiérkező szakembernek a megjelenésekor jól látható és egyértelműen beazonosítható jelzést kell viselnie, rendelkeznie kell a feladat ellátását hitelt érdemlően alátámasztó dokumentummal (megbízólevél, szerződés stb.), ennek során a személyazonosságát igazolnia kell tudni. Incidens bekövetkezése esetén a szolgáltatási szerződésekben elő kell írni a szolgáltató részéről az információvédelmi vezető számára a tájékoztatást és az együttműködési kötelezettséget Informatikai működéstámogatás Azon szervezetek, amelyek feladatai között az MSZSZben informatikai működéstámogatás, IT fejlesztés és üzemeltetés feladatok szerepelnek, a munkájuk során kötelesek az IBSZ előírásai szerint tevékenykedni. Az informatikai biztonság érdekében támogatják az üzleti tulajdonos tevékenységét, valamint együttműködnek az Információvédelmi szervezettel Az informatikai biztonság szabályozása a Társaság partnereire vonatkozóan céges partnerek A partnerek (pl. kereskedelmi cégek) informatikai biztonságával kapcsolatos intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő információk kiszivárgását. Ezért a biztonsági gyakorlat a partnereket hasznosságuk mellett, bizonyos mértékű veszélyforrásnak is tekinti. A Társaság partnerei nem kötelezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Társaság részére. A szerződéssel rendelkező partnerek esetében tájékoztató jelleggel fel kell hívni a figyelmet a szolgáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljárások alkalmazására szakmai kapcsolatok A Társaság informatikai rendszerei több szálon is kapcsolódnak más nemzeti vagy nemzetközi vasúti szervezet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás). Ezekben a kapcsolatokban megfelelő szakmai előkészítő tárgyalások után az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biztonsági követelményeiben, besorolásában. Az írásba foglalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a biztonság garantálásához alkalmazandó üzemeltetési, felügyeleti és ellenőrzési eljárások részleteit. A Társaság oldalán az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttműködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég valamely informatikai biztonsággal kapcsolatos, illetve azt érintő szolgáltatását. Ilyen szolgáltatás lehet például: hálózat (internet) szolgáltatás on-line banki szolgáltatás hardverkarbantartás, javítás hardver/szoftver bérbeadás hardver/szoftver üzemeltetés hosting szolgáltatás informatikai audit, vizsgálat rendszeradminisztráció, vírusvédelem szoftverfejlesztés alkalmazás-követés (upgrade, patch stb.) oktatás egyéb informatikai szolgáltatás (pl. nyomtatás) takarítás, őrzés-védelem A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásánál, mind a szerződések megkötésénél a megfelelő biztonsági garanciák beépítésével, ennek során a biztonsági megfelelőség megítélésében figyelembe kell venni az információvédelmi vezető véleményét. Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállítói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszernek 3. sz. mellékletben felsorolt elemekből kell felépülnie. A minősítést az IKI igénye alapján az információvédelmi vezető az Infokommunikációs biztonsági szervezet bevonásával végzi.

17 6. szám A MÁV Zrt. Értesítője Projekt partnerek A Társaság informatikai rendszereinek korszerűsítésére, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyeztetésénél az érintett rendszer biztonsági besorolásának megfelelően az informatikai biztonsági előírások maradéktalan érvényesítését is biztosítani kell. A pályázati felhívásban a funkcionális követelmények mellett a pályázóktól elvárt informatikai biztonsági követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az információvédelmi vezető és az IKI állásfoglalását ki kell kérni. A pályázati anyagok elbírálása során a biztonsági besorolás szintje által determinált súlyozással kell figyelembe venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vállalt biztonsági garanciákat. A kiválasztás során alkalmazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert Partner-szerződések megkötésének biztonsági szabályai Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fizikai-, illetve logikai hozzáférési lehetőségeket biztosítunk, újabb kockázatok jelennek meg. Ezek kompenzálása érdekében a partnerekkel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek biztonsági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják) a partner számára: a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést, személyes adatok kezelését, a szerződéssel kapcsolatos információk nyilvánosságra hozatalát, vagy harmadik fél részére történő átadását, alvállalkozók bevonását; a Társaság számára: a partner által végzett belső- és külső tevékenységek felügyeletét, ellenőrzését, szükség esetén beavatkozását, a partner által nyújtandó szolgáltatás szintjének objektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését, a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését, biztonsági auditor cégek bevonását. A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is: titokvédelem, szerzői jogi és tulajdonjogi kérdések, hazai, nemzetközi valamint MÁV Zrt. szabványoknak, előírásoknak való megfelelés, változáskezelés folyamata, problémakezelés folyamata, kockázatkezelés, a biztonsági szint fenntartásának folyamata. A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai szerint történik, a rendszerek kialakítását vagy módosítását érintő szerződéseknek kötelezően informatikai biztonsági fejezetet is tartalmaznia kell. Minden informatikai rendszert érintő előkészítési folyamatba be kell vonni az információvédelmi vezetőt, a szerződés megkötéséhez állásfoglalását ki kell kérni, amennyiben az bármely módon érinti jelen szabályzat előírásait. A projekt munkaszervezetében az információvédelmi vezető részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd fejezet) részvételével külön biztonsági alprojektet / projektmodult kell működtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. Beszállítói szerződés csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülő speciális elvárások teljesítését, és lehetőséget biztosít a Társaság számára azok teljesülésének felügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíteniük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásában, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék Az informatikai biztonság szabályozása erőforrás-kihelyezés esetén Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a fejezet általános szabályai ezekre az esetekre is érvényesek.

18 578 A MÁV Zrt. Értesítője 6. szám Tekintettel arra, hogy az outsourcing típusú szolgáltatások esetén a Társaság mint megbízó a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett felelősségnek tükröződnie kell a szerződések tartalmi részében. Egyértelmű szerepkör-elhatárolás szükséges a megbízó és a vállalkozó között az informatikai rendszer üzemeltetési folyamatai tekintetében, hogy egyetlen lényeges tevékenység se maradjon gazdátlanul, illetve ne legyenek indokolatlan párhuzamosságok. Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az információvédelmi vezető együttműködésével környezettanulmányokat kell végezni a potenciális partnereknél. Kiemelt biztonsági osztályba tartozó rendszerek üzemeltetése csak különleges körültekintéssel meghatározott garanciális elemek biztosítása esetén, az üzleti tulajdonos, az információvédelmi vezető és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti döntése esetén adható vállalkozásba. Informatikai biztonsági incidens bekövetkezése esetén a vállalkozónak haladéktalanul tájékoztatnia szükséges a MÁV Zrt. Információvédelmi, valamint Infokommunikációs Biztonsági szervezetét az incidens bekövetkezésének körülményeiről, várható kihatásáról, a megtett elsődleges intézkedésekről. Az incidens kivizsgálása érdekében a Szolgáltatónak együttműködési kötelezettsége van a fenti szervezetekkel Az informatikai eszközök nyilvántartása és számadási kötelezettsége A Társaság informatikai vagyontárgyait az Infokommunikációs igazgatóság irányításával leltárba kell venni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szempontból kiemelten fontos a fizikai vagyon, a szoftver-vagyon és az információ-vagyon számbavétele. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A vagyonleltár adatai fontos kiindulópontot jelentenek a kockázatkezelés és az informatikai stratégia tervezése során. A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfelelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva konfigurációkezelési adatbázis A Társaság informatikai infrastruktúrája áttekinthetőségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfigurációkezelési adatbázis, amely a vagyonleltár részeként vagy külön adatbázisban a biztonság hatékony menedzseléséhez nélkülözhetetlen adatokat kezel. E naprakész nyilvántartásban kell lekérdezhetővé tenni az összes (nem csupán fizikai jellegű) informatikai rendszerelem, illetve a biztonság menedzselésével összefüggő egyéb entitás (pl. biztonsági tartományok, biztonsági osztály, üzleti tulajdonos, üzemeltetés / tárolás helyszíne, felhasználó, változtatási kérelmek, események, problémák, ismerthibák feljegyzése stb.) adatait, ezek egymás közötti öszszefüggéseit. A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfigurációs elemekkel összefüggő egyéb információkat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyilván kell tartani. A tevékenység ellátását elősegítheti egy olyan megoldás, amely a teljes körű hardver- és szoftverleltár, valamint a licencgazdálkodás elősegítése érdekében az informatikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára. A távközlő adatátviteli hálózat komponenseit, a hozzá kapcsolt eszközöket és a rajtuk futó szoftvereket bármilyen célból automatikusan felderítő (szkennelő) alkalmazások használata céljától függően az IKI, illetve a TEBF hozzájárulásával, az információvédelmi vezető előzetes tájékoztatása mellett történhet. Az adatbázis kialakítása és naprakészen tartásának biztosítása az IKI feladata, melyet, a vagyonleltárt kezelő rendszerrel összefüggésben lehetőleg azzal együtt kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalmazásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az információvédelmi vezető, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üzemeltetését, mennyiségi stb. felügyeletét végzők számára személyi biztonság Munkaviszony létesítésekor Az eszközök nem megfelelő használata során biztonsági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben alkalmazást megelőzően szükségessé válik. A munkaszerződés megkötésekor a munkájához informatikai eszközt használó munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben szereplő nyilatkozat aláírásával érvényesíteni kell az informatikai biztonságra vo-

19 6. szám A MÁV Zrt. Értesítője 579 natkozó követelményeket, amely révén a használat szabályairól és az ellenőrzésének lehetőségéről írásban kap tájékoztatást. A mellékletek átadásában és a munkavállalóval való kitöltetése során a humánpartner szervezet működik közre. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az előzőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre A kiemelt fontosságú szerepkörök Kiemelt fontosságú szerepkörnek tekintjük azon szerepkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználói munkakört, egyúttal több felhasználóra, alkalmazásra vagy rendszerre kiterjedő adatkezelési, döntési stb. jogkörrel rendelkeznek. Ilyen munkakört a munkavégzésre jelentkező munkavállaló, csak abban az esetben tölthet be, amennyiben a hatósági erkölcsi bizonyítványa a bűntettesek nyilvántartásában nem szerel kitételt tartalmazza. Az utasítás pontjaiban szereplő, informatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése során a jelölt előzetes hozzájárulása mellett az interjú jegyzőkönyvet a Humánerőforrás igazgatóság tájékoztatását követően, a Biztonsági igazgatóság kérésére az információvédelmi vezető részére megküldi, aki szükség esetén a kiválasztott jelölt referencia vizsgálatát elvégzi. A kiemelt fontosságú szerepköröket betöltő munkavállalók egyéni munkaköri leírásainak tartalmaznia kell az informatikai biztonsággal kapcsolatos főbb követelményeket. A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét a mindenkori MSZSZ és döntési és hatásköri listával összhangban előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepeltetni kell Munkaviszony fennállása alatt A munkaviszony fennállása alatt a munkáltatói jogkör gyakorlójának, az üzleti tulajdonosnak, az IKI-nek, az információvédelmi vezetőnek együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, ezáltal is motiválva legyenek az informatikai biztonsági szabályok betartására. A felhasználókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biztonsági eljárásokról és az adatfel dolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében A vezetők felelőssége Az adott szervezeti egység vezetőjének felelőssége, hogy megkövetelje a felhasználóktól és a szerződő felektől, hogy a biztonsági intézkedéseket az IBSZ-el összhangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik. A Biztonsági igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informatikai képzések tematikájában megfelelő súllyal szerepeljen. A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése Oktatás és képzés A felhasználóknak ismerniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. A felhasználói oktatás tematikáját és időtartamát mind az informatikai, mind az informatikai biztonsági igényeket figyelembe véve a Társaság oktatási utasításában (O.1) kell szabályozni. A biztonsági képzések tananyagát a korábban már említett, 1. sz. melléklet (Felhasználók biztonsági kötelezettségei) képezi, amit az adott munkaterület speciális igényei szerinti előadásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs eszközök helyes használatát Biztonsági események megelőzése, jelentése Minden felhasználónak ismernie kell a Társaság működésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok, pl. vírusfertőzés) jelentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett munkavállaló ezt a fejezetben leírtak szerinti Informatikai biztonsági nyilatkozat aláírásával igazolja felelősség vizsgálata Azokkal a munkavállalókkal szemben, akik a Társaság informatikai biztonsági szabályait megsértették hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést, esetlegesen tényfeltáró vizsgálatot kell kezdeményezni, amely a munkáltatói jogkörgyakorló vezető kötelezettsége. Ez az eljárás a feltárt

20 580 A MÁV Zrt. Értesítője 6. szám hiányosságok elemzésén túlmenően visszatartólag hathat a többi munkavállalóra is. A megállapítás, illetve az esetleges tényfeltáró vizsgálat az információvédelmi vezető bevonásával történik. A tényfeltáró vizsgálat lefolytatására, a vétkes kötelezettségszegés megállapítására, a hátrányos jogkövetkezmények és más munkajogi intézkedések alkalmazására a munkaviszonyra vonatkozó szabályok (KSZ, belső szabályzatok, utasítások) irányadóak Munkakör-, szervezetváltáskor vagy munkaviszony megszűnésekor/ megszüntetésekor Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet amennyiben az nem áll rendelkezésre alá kell íratni, és az 1. sz. mellékleltet az esetlegesen bekerült változások miatt meg kell ismertetni a felhasználókkal. Munkaviszony megszűnésekor/megszüntetésekor a Társaság szempontjából biztonsági alapkövetelmény, hogy a munkavállalók rendezett módon hagyják el a szervezetet vagy váltsanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a munkaviszony megszűnésével/megszüntetésével érintett munkatárs bármely általa használt informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése/megszüntetése előtt az üzemeltető szervezetnek mentést kell készítenie. A mentés előtt a munkatárs nyilatkozata alapján, a hitelt érdemlően bizonyítható személyes adatait törölni kell. A felhasználó informatikai eszközén maradó és a lementett adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a munkaviszony megszűnésével/megszüntetésével érintett munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek. Munkaviszony megszűnése/megszüntetése során a berendezéseket és eszközöket át-, illetve le kell adni, a hozzáférési jogokat azonnal vissza kell vonni (a munkavégzési kötelezettség alóli felmentés napjától vagy amennyiben a feladatok átadás-átvétele ezt követően történik, akkor azzal a dátummal), amelynek kezdeményezéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságokon kívül visszavonásra kerülő vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosítók, beléptető kártyák, előfizetések. Különös figyelemmel kell lenni a munkakörváltás esetén az aktív számlákhoz hozzáférést biztosító jelszavak visszavonására, illetve megváltoztatására. A munkaviszony megszűnése/megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal Az eszközök visszaadása Alapvető biztonsági cél, hogy minden felhasználó szerződése lejártáig, munkaviszonyának megszűnéséig/megszüntetéséig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvereket, társasági dokumentumokat, az informatikai eszközöket, hitelkártyákat, beléptető kártyákat, illetve különféle elektronikus adathordozón tárolt információkat. Azokban az esetekben, amikor egy felhasználó megveszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről minden a Társaságot érintő adatot biztonságosan törölni kell (lásd fejezet h pont). Ennek megvalósulása érdekében a megállapodás kizárólag az információvédelmi vezető ennek megtörténtét igazoló véleményének kiadását követően történhet meg Az átszervezés biztonsági kérdései A Társaság átszervezése esetén már a tervezési szinten is átfogóan kell elemezni az esetlegesen felmerülő biztonsági kockázatokat, az információvédelmi vezető bevonásával meg kell határozni azokat az informatikai biztonsági követelményeket, intézkedéseket, amelyeket érvényesíteni kell fizikai és környezeti biztonság A berendezések fizikai védelmének célja az eszközök állagának, információ-feldolgozó képességüknek megőrzése, folyamatos működőképességük fizikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben: a) gondatlan emberi magatartásból, helytelen üzemeltetésből, mulasztásból eredő fizikai jellegű veszélyeztetés, b) szándékos emberi beavatkozásból származó fizikai jellegű károkozás, rongálás, c) illetéktelen személyek hozzáférése, beavatkozása okozta károk, d) lopásból eredő károk, e) műszaki meghibásodás, üzemzavar okozta károk, f) természeti csapások, katasztrófa események következtében keletkező károk. A védelmi intézkedések e csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephelyek védelmére, valamint a berendezések folyamatos működéséhez szükséges környezeti feltételek biztosítására szolgál.