ÉRTESÍTÕ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁG. Utasítások. 19. szám 125. évfolyam június 11. TARTALOM.
|
|
|
- Zita Biróné
- 8 évvel ezelőtt
- Látták:
Átírás
1 19. szám 125. évfolyam június 11. ÉRTESÍTÕ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁG TARTALOM Utasítások 33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról... 34/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Műszaki Mentési és Segítségnyújtási Utasításáról szóló 20/2006. (MÁV Ért 21.) Biztonság általános vezérigazgató-helyettesi utasítás 2. számú módosításáról... Oldal /2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás egyes humán tárgyú utasítások hatályon kívül helyezéséről... 36/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás: Külső féltől bérelt munkásszállás igénybevételének rendje... Egyéb közlemények A MÁV Zrt. ÜDSZSZ Könyvtárba újonnan érkezett UIC döntvények... Felügyeleti igazolvány érvénytelenítése... Oldal Utasítások 33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról 1.0. AZ INFORMATIKAI BIZTONSÁGI SZA- BÁLYZAT CÉLJA, FELADATA Az Informatikai biztonsági szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társaság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályozása, valamint az ehhez tartozó munkáltatói és munkavállalói feladatok, kötelességek, felelősségek meghatározása. Az IBSZ általános célja az adatok b izalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keretrendszerrel és irányelvekkel szolgál a rendszerszintű informatikai biztonsági szabályzatok kialakításához. Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósításához. Előírja, hogy csak olyan informatikai rendszereket, berendezéseket és eljárásokat lehet bevezetni és alkalmazni, amelyekkel a Társaság által működtetett folyamatok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre nagyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladat az újabb hazai és nemzetközi szabványoknak, ajánlásoknak való megfelelés, valamint a Társaság folyamatosan változó szerkezetéhez igazítása. Mindezek mellett szem előtt kell tartani a digitális technológia robbanásszerű fejlődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világának legmeghatározóbb jelensége. Ebből következik a biztonsági szabályozás terén is a harmonizálás megteremtésének szükségessége. Az IBSZ átlátható és nyomon követhető formában rögzíti a Társaság azon szabályait, melyek segítségével az információbiztonság magasabb fokú kialakításának teendői, illetve egyéb szabályzatai, leírásai komplex, a korábbinál átfogóbb és szélesebb körű információbiztonságot
2 990 A MÁV Zrt. Értesítője 19. szám alkot. A Társaság munkatársai részére egységes szemléletet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban HATÁLY ÉS FELELŐSSÉG MEGHATÁRO- ZÁSA 2.1. A szabályzat hatálya A szabályzat személyi hatálya A szabályzatban meghatározott előírás, feladat, magatartási szabály beosztásra való tekintet nélkül kötelező érvényű, és hatálya vonatkozásában kiterjed: a Társaság Működési és Szervezeti Szabályzatában foglalt valamennyi szervezeti egységre, továbbá valamennyi munkavállalójára,valamint az egyéb munkavégzésre irányuló szerződéses jogviszonyban álló természetes személyre (a továbbiakban: felhasználó), a Társaság informatikai rendszerével kapcsolatba kerülő további személyekre, amennyiben azok a Társasággal munkavégzésre irányuló egyéb jogviszonyban állnak (pl. megbízási, vállalkozási szerződés). A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhetnek kapcsolatba. Szerződéses jogviszonyban álló személyek esetében a szerződésnek ki kell terjednie az informatikai biztonsági pontokra, illetve jelen szabályzat betartására. Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető informatikai szolgáltatásainak (pl. utas tájékoztató rendszer, az utazóközönség számára üzemeltetett honlapok) igénybe vevőire A szabályzat területi hatálya A szabályzat területi hatálya kiterjed a Társasághoz tartozó valamennyi telephelyén elhelyezett, valamennyi szervezeti egységre vonatkozó informatikai rendszerek kialakítására és üzemeltetésére. Az eszközök elhelyezésére szolgáló terület tulajdonviszonyától függetlenül kiterjed a Társaság tulajdonában álló, vagy bármely jogviszony keretében általa használt informatikai rendszerek kialakítására és üzemeltetésére szolgáló területre azzal, hogy ez esetben a szabályzat előírásait a jogviszony keletkeztetését eredményező szerződésben kell rögzíteni. A Társaság informatikai rendszeréhez történő távoli hozzáférés (pl. távmunka) esetén az erre vonatkozó biztonsági kritériumokat az fejezet ismerteti A szabályzat tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: a Társaság elektronikus adatainak teljes körére, a felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól és az azokat feldolgozó rendszertől függetlenül, a Társaság tulajdonában, használatában lévő valamennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biztonsági célú hálózatára, az ezeket közvetve vagy közvetlenül használó berendezésekre, valamint azok műszaki dokumentációira is, a Társaság használatában lévő rendszer- és felhasználói programokra, a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására A szabályzat kidolgozása és karbantartása A szabályzat kidolgozásáért és karbantartásáért felelős a Társaság Biztonsági igazgatóság Információvédelmi osztály (továbbiakban IVO) vezetője FOGALMAK MEGHATÁROZÁSA Adat: Tények, elképzelések, utasítások formalizált ábrázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára. Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adatbiztonság: A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényi előírások, valamint az egyéb adat- és minősítettadat-védelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Adatvédelem: A személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes adataik.) Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszerszintű informatikai biztonsági szabályzatok.
3 19. szám A MÁV Zrt. Értesítője 991 Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázatkezelő programok, IHIR, GIR, SZIR, KUTINFO, RES, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, kezel. Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összehasonlítása azokkal a pontosan meghatározott módszerekkel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene. Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött. Beágyazott informatikai rendszer (Embedded Information Systems): Olyan informatikai eszközökre épülő integrált alkalmazás, amelyek közös jellemzője a nagyfokú autonomitás, valamint a fizikai környezettel való intenzív információs kapcsolat. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Biztonsági osztály: Az informatikai rendszer biztonsági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysága. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot definiálnak. Három kategóriát (alap fokozott kiemelt) különböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén. Biztonsági rendkívüli esemény incidens: A biztonságot fenyegető egy vagy több tényező tényleges fellépése, bekövetkezése, illetve jelentkezése. Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített, a hitelesíteni kívánt üzenetek végéhez csatolt és azzal együtt továbbított kódsorozat. Lehetővé teszi, hogy az üzenet olvasója ellenőrizni tudja egyrészt az üzenetet küldő személyazonosságát, másrészt az üzenet sértetlenségét. Nyilvános kulcsú aláírás esetén a küldő privát kulcsával készül és annak publikus kulcsával lehet ellenőrizni eredetiségét. Dokumentumfüggő, azaz ha bármilyen változtatás történik az aláírt üzenetben, akkor az elektronikus aláírás nem fejthető vissza. Egyszerű, fokozott biztonságú és minősített kategóriája létezik. Fenyegető tényezők: Olyan események vagy körülmények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezőtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, külső tényezők általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás kezelés, hardver tönkremenetele, számítógépes vírus, programhiba). Fizikai biztonság: Az információt kezelő rendszerek fizikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem. Gyenge pont: Az informatikai rendszerelem azon jellemzője, hiányossága, amelynek révén fenyegető tényezők hatásának van kitéve. Helyi hálózat (LAN) (Local Area Network): A Társaság (fizikailag több helyen levő) infokommunikációs eszközeit összekötő, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver eszközök közös használatára, és esetleg a gépeknek az internethez vagy egy (külső) WAN-hoz való kapcsolására szolgál. Többnyire irodákban, állomási épületekben található, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására. Hitelesség: A rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülő rendszerelemek kölcsönösen és egyértelműen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. Hozzáférési jogosultság: Az informatikai rendszerben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára. Infokommunikáció: A számítástechnika a távközlés és az elektronikus média integrált egységességét kifejező megnevezés. Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összességét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik. Informatikai eszköz: Bármely feladat ellátására létrehozott, informatikai technológia felhasználásával működtetett (pl. vezérelt) telepített, vagy mobil berendezések, továbbá rendszerek, eljárások összessége vagy ezek
4 992 A MÁV Zrt. Értesítője 19. szám alkotó elemei (pl. asztali és hordozható [notebook, pda, okos telefon stb.] számítógép, pendrive, nyomtató, IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök, szerver, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.]). Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vonatkozó előírások, szabványok betartásának vagy mellőzésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között. Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működtetésének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal támogatása érdekében létrehozott és üzemeltetett informatikai eszközök, eljárások, a kapcsolódó infrastruktúra, valamint az adat- és információfeldolgozást, tárolást, felhasználást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informatikai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokommunikációs rendszer kifejezést is magába foglalja.) Intranet: Az internetnél is használt TCP/IP protokollra és szoftverekre ( , FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intranet rendszerint egy intézmény (esetleg földrajzilag nagyon távol levő) informatikai eszközeit köti össze, és az internetnek köszönhetően olcsó, állandóan továbbfejlesztett és könnyen megtanulható megoldást jelent belső információs rendszerek kialakítására. Az internet felől közvetlenül az intranet berendezéseit nem lehet elérni, csak tűzfalon keresztül, aminek feladata, hogy védelmet nyújt a belső gépek és az adatforgalom számára. Jogtiszta szoftver: A szoftver tulajdonosa és használója között létrejött licencszerződésnek megfelelően használt szoftver. A Társaságnál a jogszerű használat érdekében biztosítani kell a szükséges mennyiségű és tartalmú licencet és az annak megfelelő használatot. Katasztrófa: Egy meghatározott területen vagy létesítményben bekövetkező, természeti erő vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelentős részének a rendeltetésszerű, folyamatos működését. Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó . Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélességet, tárhelyet, szellemi ráfordítást igényel. A kéretlen levelek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik. Kockázat: Fenyegető tényező vagy esemény bekövetkeztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. Elemei: a bekövetkezés gyakorisága és a kárnagyság. A kockázatot elemzéssel, a rendszert fenyegető tényezők értékelése útján kell megállapítani. Kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kockázatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és azon kockázatok között, amelyeket ezekkel az intézkedésekkel csökkenteni szándékoznak. Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettünk, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem tervezünk megelőző intézkedést. Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat. Minősített informatikai rendszer: Olyan informatikai rendszer, amely fokozott vagy kiemelt biztonsági osztályú besorolást kapott (pl. azért, mert stratégiai fontosságú adatot kezel, tárol, dolgoz fel a Társaság üzletvitele szempontjából).
![adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.]).](/docs-images/46/8747938/images/page_4.jpg "Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a")
5 19. szám A MÁV Zrt. Értesítője 993 Rendelkezésre állás: A rendszernek az a tulajdonsága, hogy meghatározott helyen és időben, a rendeltetésének megfelelő szolgáltatásokat nyújtani tudja. Ide kapcsolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezetben akár csökkentett terjedelmű szolgáltatással újraéleszthetőek legyenek. Rendszerüzemeltető: Az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. Sértetlenség (integritás): Az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. Személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Személyes adatok védelme: a törvény rendelkezéseit a Társaság adatvédelmi szabályzata megfelelően szabályozza. Témafelelős: Az informatikai alkalmazást vagy szolgáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjobban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállítóval szemben, különös tekintettel a végzett szolgáltatások mennyiségére és a feladatok határidejére. Üzleti titoknak minősülő adat: a gazdasági tevékenységhez kapcsolódó minden, olyan a közérdekű adat, illetve a közérdekből nyilvános adat fogalomkörén kívül eső tény, információ vagy egyéb adat, valamint a belőlük álló olyan összeállítás, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult ide nem értve a magyar államot jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a vele jogszerűen rendelkező személy (jogosult) az adott helyzetben általában elvárható intézkedéseket megtette. Üzleti titok védelme: az üzleti titokkal jogszerűen rendelkező személy (jogosult) által, annak titokban tartása érdekében megtett olyan intézkedések, amely az adott helyzetben általában elvárható. VPN (Virtual Private Network virtuális magánhálózat): Olyan virtuális számítógépes hálózat, amely publikus kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, különböző titkosítási technikákat is alkalmaz, miáltal lehetőséget biztosít a Társaság számára, hogy a belső hálózatot elérhetővé tegye az erre feljogosított felhasználók számára, ezzel lehetővé téve a távmunkát végző felhasználók számára is, hogy ezen a kapcsolaton keresztül biztonságosan hozzáférjenek a Társaság hálózatához AZ UTASÍTÁS LEÍRÁSA 4.1. A MÁV Zrt. informatikai biztonságpolitikája Biztonságvédelmi irányelvek A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (pro-aktív) szemléletű biztonsági tevékenység az alábbi védelmi alapelveken nyugszik. A védelmet fizikai, logikai és adminisztratív vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljeskörűség). Az informatikai rendszerek védelmét az általuk kezelt adatkörök és adatcsoportok biztonsági osztályba sorolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem). Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani (zártság). Az informatikai rendszerek által kezelt adatok védelme erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság). Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani (folytonosság). A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A felhasználók különböző rendszerekhez való hozzáférési jogosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság).
6 994 A MÁV Zrt. Értesítője 19. szám A védelemben biztosítani kell a szabályozás szabály-érvényesítés ellenőrzés szankcionálás folyamatát (zárt szabályozási ciklus). A Társaság üzletmenete szempontjából létfontosságú, kiemelt biztonsági kategóriájú informatikai rendszereket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált. Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, probléma- és változáskezelési eljárások alkalmazásával vezethető be. A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők. A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, laptop, nyomtató, egyéb informatikai rendszerrel támogatott telekommunikációs eszköz [vezetékes és mobiltelefon, rádió adóvevő] stb.) eltérő írásbeli megállapodás hiányában kizárólag a munka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata nem megengedett. Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az ellenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén. Minden felhasználó személyesen felelős saját munkájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekményekért. A munkáltató jogkör gyakorló felelős annak biztosításáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket Az informatikai biztonsági irányelvek érvényesítése Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi vonzata is lehet, a kiadásáért felelősnek az egyeztetés folyamatába be kell vonni az IVO-t. A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továbbá hozzáférési szerződést vagy megállapodást írásba kell foglalni, és azt kötelező előzetesen véleményeztetni: az Infokommunikációs igazgatósággal (IKI) az informatikai stratégiával való illeszkedés biztosítása, az infokommunikációs tárgyú szabályzatoknak való megfelelés és a szerződés nyilvántartásba vétele, a Pályavasút üzletág Távközlő-, erősáramú- és biztosítóberendezési főosztállyal (TEBF) az infokommunikációs hálózat igénybevételének megváltozásához kapcsolódó következmények elbírálása, továbbá az IVO-val az informatikai biztonsági megfelelőség garantálása érdekében. A szerződés kizárólag a felsorolt szervezeti egységek állásfoglalásának figyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja Az informatikai biztonság dokumentumai Informatikai Biztonsági Szabályzat A jelen Informatikai Biztonsági Szabályzat a Társaság informatikai, infokommunikációs biztonságával kapcsolatos alapvető dokumentum, amely tartalmazza a biztonságpolitikát, az alapvető fogalmakat, az informatikai biztonsággal kapcsolatos feladat- és hatásköröket, felelősségeket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén. Karbantartását az IVO végzi Infokommunikációs Biztonsági Stratégia Az Infokommunikációs stratégia integráns részeként, annak önálló fejezeteként készül el az Infokommunikációs Biztonsági Stratégia melyben átfogóbb biztonsági célok szabják meg a Társaság informatikai biztonságpolitikájának kívánt szintjét. Az Infokommunikációs Biztonsági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeállításának kiindulási alapja. Karbantartását az IKI az IVO-val együttműködve végzi el Rendszerszintű Informatikai Biztonsági Szabályzatok Az Informatikai biztonsági szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat a rendszerszintű IBSZ-eknek (továbbiakban RIBSZ) kell tartalmaznia. Főbb pontjai: rendszerkörnyezet, feladat-, felelősség- és hatáskörök, informatikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, logikai, fizikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés, működés-folytonosság terv. Tekintettel arra, hogy az ebben foglalt információk illetéktelenek számára kitudódása a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyilvánításuk indokoltságát a kiadáskor, illetve módosításkor minden alkalommal az üzleti tulajdonosnak vizsgálnia kell. A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes intézkedést vagy szabályozást. Egyedi esetben az IBSZ-től való eltérést az elnök-vezérigazgató engedélyezheti. A RIBSZ minimális követelményeit tartalmazó mintát a 12. sz. melléklet tartalmazza.
7 19. szám A MÁV Zrt. Értesítője A fejlesztés, üzemeltetés és felülvizsgálat irányelvei Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat időben, már a rendszer tervezése során, az IVO egyetértésével definiálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biztonsági előírások igazolt teljesülése esetén szabad használatba venni. Biztonságos rendszer létrehozását a fejlesztési folyamatba épített ellenőrzési pontokkal kell garantálni. A fejlesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, figyelembe véve az üzleti folyamatok érvényesülésének elsődlegességét. Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biztonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az IVO-t is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését követően szabad üzembe helyezni, amelyről az üzleti tulajdonos rendelkezik Számítógépes és hálózati szolgáltatások biztonságos üzemeltetése A Társaság területén üzemelő informatikai eszközökön és hálózati berendezéseken feltéve, hogy kifejezetten erre vonatkozó, az IVO által is véleményezett szerződés másként nem rendelkezik kizárólag a Társaság adatait szabad kezelni, feldolgozni, illetve forgalmazni, kizárólag a Társaság által rendszeresített, jogtiszta, továbbá megfelelő vírusellenőrzésnek alávetett szoftverek alkalmazásával. Szolgáltatási szerződés alapján külső szerveknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól. Az Társaság informatikai rendszereit (konfiguráció, rendszerfunkciók, felhasználói profilok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen dokumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtethető legyen az egyes személyek egyéni tudásától és helyismeretétől való túlzott függőség nélkül. Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társaság üzleti tevékenysége minél kisebb hátrányt szenvedjen, ezért megfelelő intézkedéseket kell hozni valamenynyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A működés-folytonosság tervezésével el kell érni, hogy káresemény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védettek legyenek a nagyobb hibák és katasztrófák következményeitől. A minősített rendszerekben kért és kiadott jogosultságokat hiteles, védett nyilvántartásban kell megőrizni. A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának a biztonságát és az infrastruktúra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A hálózatok és az informatikai eszközök működtetésének feladatait szét kell választani. A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközöket kell rendszerbe állítani. Pontosan definiálni kell a távfelügyelet és a távmunka végzésének biztonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fizikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba (pl. internet, levelező rendszerek) átlépni csak előre definiált és engedélyezett módon szabad. Az üzleti tulajdonos köteles az informatikai biztonság dokumentumait legfeljebb 3 évente átvizsgálni, továbbá akkor, ha a rendszer szempontjából lényeges változtatások valósulnak meg. 4.2 A MÁV Zrt. informatikai biztonságának szervezeti struktúrája A Társaság informatikai infrastruktúrája biztonságának központi irányítását az elnök-vezérigazgató szabályrendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság Információvédelmi osztály, az Infokommunikációs igazgatóság és a Távközlő-, erősáramú- és biztosítóberendezési főosztály útján valósul meg. Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el: IVO: szabályozás kialakítása, felügyelet, ellenőrzés, IKI: technológiai biztonság kialakítása, informatikai fejlesztések koordinálása, TEBF: az infokommunikációs hálózat üzemeltetési területén a technológiai biztonság kialakítása, a feladatkörébe tartozó rendszerek biztonságos üzemeltetése. A biztonsági irányelvek érvényre juttatásának garantálása érdekében, az Információvédelmi osztály a Társaság valamennyi informatikai fejlesztési és infokommunikációs üzemeletetési szervezeteitől függetlenül kialakított szervezet.
8 996 A MÁV Zrt. Értesítője 19. szám Feladat-, felelősség és hatáskörök szétválasztása Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti. Követelmény, hogy a Társaságon belül a feladat-, felelősség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetetlen funkciók szétválasztását és a felelősségre vonhatóságot A MÁV Zrt. informatikai biztonságát irányító vezetők és feladataik Az informatikai biztonság irányításának szereplői: elnök-vezérigazgató biztonsági igazgató információvédelmi osztályvezető infokommunikációs igazgató Elnök-vezérigazgató a) Az informatikai biztonságra vonatkozó jogszabályok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását. b) Létrehozza a Társaság informatikai biztonsági munkaszervezetét és biztosítja a szükséges humán erőforrást. c) Meghatározza az informatikai biztonsági szervezet működési elveit és a Társaság gazdálkodása útján biztosítja a hatékony működés szervezeti, anyagi, műszaki, személyi, tárgyi feltételeit. d) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság informatikai biztonsági tevékenységét ellenőrző, felügyelő információvédelmi szervezetet. e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenységére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó informatikai biztonsági szabályzatot (IBSZ). f) A Társaság infokommunikációs stratégiája részeként, jóváhagyja az informatikai biztonsági stratégiáját. g) A jogszabályokban a gazdálkodó szervezet vezetőjére háruló informatikai biztonsági ellenőrzéseket a biztonsági igazgató közreműködésével gyakorolja, és irányítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet. h) Az informatikai létesítmények és rendszerek megvalósításával, üzemeltetésével, fejlesztésével összhangban gondoskodik a jogszabályokban és kötelezően alkalmazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a tevékenységi körökkel kapcsolatos veszélyhelyzetek megelőzésének és elhárításának feltételeiről, i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd pont) Biztonsági igazgató a) Gondoskodik az informatikai biztonságra vonatkozó jogszabályok végrehajtásáról, továbbá elkészíti a Társaságra vonatkozóan az informatikai biztonságpolitikát, az Informatikai Biztonsági Stratégiát és az Informatikai Biztonsági Szabályzatot. b) Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályok kibocsátását. c) Az informatikai biztonságra is tekintettel, biztonsági szempontból véleményezi a Társaság szabályzatait, szerződéseit. d) Felelős az információvédelmi szervezet működési feltételrendszerének megteremtéséért. Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyamatos továbbfejlődődés érdekében oktatásokon, továbbképzéseken, konferenciákon való részévelt. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erőforrásokat. e) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatokba épített ellenőrzési feladatait, tevékenységeit. f) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében intézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehajtását az Információvédelmi osztály vezetője útján rendszeresen ellenőrzi. g) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való kizárására. h) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén. i) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. j) Egyetértési jogot gyakorol az üzleti tulajdonosok kijelölése során Információvédelmi osztályvezető (informatikai biztonsági vezető) Feladata: a) A Társaság által üzemeltetett, illetve a szervezet adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat. c) Irányítja a területi informatikai biztonsági megbízottak munkájának szakfelügyeletét.
9 19. szám A MÁV Zrt. Értesítője 997 d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának kidolgozása, továbbá közreműködik a Társaság Informatikai Stratégiájának létrehozásában az Informatikai Biztonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezdeményezi hírlevél kiadását, illetve útján információvédelmi tájékoztatót küld a Társaság munkavállalói részére. e) Ellenőrzi a jelen szabályzatban megfogalmazott követelmények betartását. Értékeli a biztonsági intézkedések hatékonyságát és hatásosságát. Intézkedéseket rendel el bűncselekmény elkövetésének megakadályozása, illetve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. Az informatikai biztonsággal összefüggő incidenseket és egyéb rendkívüli eseményeket jelenti a biztonsági igazgató részére, és részt vesz azok kivizsgálásában. f) Segíti az üzleti tulajdonosokat az előírásszerű biztonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javaslatokat tesz az informatikai biztonsági intézkedésekre, valamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgáltatási szerződések kialakítását, szükség esetén ellenőrzi azok betartását. g) Biztonsági szempontból felügyeli és támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről. h) Koordináló szerepet vállal az informatikai rendszerek üzemeltetési biztonságának növelése, valamint a felhasználók informatikai biztonsági tudatának fejlesztése érdekében. i) Felkérésre állást foglal a szabályzat előírásainak értelmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdésekben. j) Közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért felelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire. k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével. Külön felhatalmazás nélkül jogosult: a) Az ellenőrzési, vizsgálati tevékenysége során, a Társaság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai biztonsággal kapcsolatban bármilyen iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre, illetve ezekkel kapcsolatban felvilágosítás kérésére. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskörben a Társaság belső adatvédelmi felelőse jogosult ellenőrzést gyakorolni.) b) A Társaság tulajdonában lévő, vagy általa bérelt épületben és azon belül minden a Társaság tulajdonában, kezelésében vagy használatában lévő helyiségben az informatikai és távközlési eszközök biztonsági szempontú vizsgálatára. Amennyiben ellenőrzési tevékenysége az üzleti folyamatok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását Infokommunikációs igazgató a) A Társaság infokommunikációs stratégiájának tervezése és végrehajtása során, továbbá az általa vezetett szervezeti egységek által megvalósított, biztosított és beszerzett informatikai szolgáltatások és eszközök fejlesztésében, tervezésében és teljesítésében figyelembe veszi és elősegíti a Társaság informatikai biztonsági szabályainak érvényesülését. b) Felelős az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásáért. c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében A MÁV Zrt. informatikai biztonságát megvalósító szervezetek és személyek A Társaság azon szervezeti egységei, melyek a Működési és Szervezeti Szabályzat értelmében az informatikai rendszerek és szolgáltatások beszerzésében, fejlesztésében, működtetésében feladatai vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkeznek, az alábbi módon felelősek a Társaság működését támogató informatikai szolgáltatások és infrastruktúra által kezelt információk védelméért Infokommunikációs igazgatóság Felelős: a Társaság infokommunikációs stratégiájának kialakítása és végrehajtása során a jelen IBSZ-ben foglalt előírások érvényesüléséért, a Társaság informatikai biztonsági stratégiája biztonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irányításáért és átvételéért, a Társaságnál való honosításáért, az üzleti tulajdonos támogatásáért, hogy új informatikai rendszerek megvalósítást célzó projektek előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek,
10 998 A MÁV Zrt. Értesítője 19. szám annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglévők korszerűsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, minden informatikai rendszer tekintetében a rendszerfejlesztés részeként az üzleti tulajdonossal együttműködve a fejlesztésért, ennek során a rendszerszintű informatikai biztonsági követelmények (pl.: kockázatelemzésre alapuló RIBSZ [benne a változáskezelés], működés-folytonossági terv) kialakításáért, valamint az ezekben foglalt informatikai követelmények operatív érvényesítéséért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásáért, informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek az érvényesítéséért, az informatikai szolgáltatók, szolgáltatási szerződések és SLA-k biztonsági megfelelőségéért, jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért, az operációs rendszerek és alkalmazások a Társaság által ellenőrzött biztonsági javításainak beszerzéséért és telepítéséért, társasági szintű Konfigurációkezelési Adatbázis felállításáért és működtetéséért, felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért, a minősített rendszerekben társasági szinten egységesített elvekre épülő változáskezelés működtetéséért, a távfelügyelet, a mobil eszközökkel végzett és a távmunka biztonságos feltételeinek kialakításáért (pl. távmunka nyilvántartása, hálózati becsatlakozási pontok kijelölése, eszközök védelméhez authentikációs és rejtjelző eszközök biztosítása, védett vonalak kialakítása) a TEBF, az IVO és az üzleti tulajdonosok (távmunka engedélyeztetése) közreműködésével, A PKI (Publikus Kulcsú Infrastruktúra) vonatkozásában a tanúsítvány szolgáltatóknál a Társaság teljes jogkörű képviseletéért és ennek kapcsán kizárólagos jogkörrel egyutas ügyintézésként a kapcsolattartói feladatkör ellátásáért. az informatikai biztonsági adminisztráció, így különösen a hozzáférés-menedzsment kialakításáért Pályavasút üzletág Távközlő-, erősáramúés biztosítóberendezési főosztály Távközlési osztály Felelős a Társaság infokommunikációs hálózata vonatkozásában: a biztonsági osztályok követelményeinek megfelelő adathálózati védelmi rendszerek, eszközök honosításáért, fejlesztések koordinálásáért, szabványosításáért, a rendszerszintű informatikai biztonsági követelmények és a RIBSZ kialakításáért, valamint az ezekben foglaltak operatív érvényesítéséért, ellenőrzéséért és a szükséges logikai, fizikai és adminisztratív védelmi intézkedések megvalósításáért, illetve szükség esetén szankcionálás kezdeményezéséért, Társaság szinten egységes változáskezelési rendszer kialakításáért, annak biztosításáért, hogy az új hálózati technológiák és struktúrák bevezetésében a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre, az adathálózatot megvalósító rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért, a működtetés biztonságával kapcsolatos rendszerek üzemeltetéséért, az üzemeltetési biztonság operatív ellenőrzéséért Főtevékenységi kör vezető Köteles főtevékenységi körében megvalósítani az információvédelmet és adatbiztonságot. A munkaszervezetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk védelméért. Ennek keretében irányítási területén, a felelősségi körébe tartozó informatikai rendszerekre nézve felelős: a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért, a rendszerfejlesztési projekt előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért, a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért, a biztonsági beruházások éves tervének összeállításáért és annak megvalósításáért, az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosításáért, a biztonsági rendszernek a rendszerszintű informatikai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért, az általános biztonsági kultúra folyamatos gondozásáért,
11 19. szám A MÁV Zrt. Értesítője 999 informatikai biztonsági ügyekben a Biztonsági igazgatósággal és az IKI-vel való együttműködésért Üzleti tulajdonos Minden informatikai rendszer és eszköz biztonságát egy-egy üzleti tulajdonoshoz kell rendelni, amit az informatikai rendszerfejlesztést kezdeményező tájékoztatása alapján az infokommunikációs igazgató előterjesztése és a biztonsági igazgató egyetértése alapján az elnök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásában is szerepeltetni kell. Mindaddig, amíg az üzleti tulajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató. Az üzleti tulajdonos az a vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen annak a szervezeti egységnek a vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jogköre a rendszerrel szemben nem csak a projekt megvalósítási szakaszában, hanem azon túl a rendszer teljes életciklusában fennáll. Ő a rendszer biztonsági kockázatainak kezelője, felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenőrizzék. A biztonsági előírások érvényesülése szempontjából legfeljebb 3 évenként felül kell vizsgáltatnia a tulajdonolt rendszer működését biztosító informatikai hátteret, a rendszer beszállítóját, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetők tevékenységét. Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában: a rendszerek tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, ennek alapján az IKI és az IVO vezetőjének egyetértésével a rendszer biztonsági osztályba sorolásáért, a kockázatok minimalizálásához szükséges ráfordítások, erőforrások, intézkedések menedzseléséért, a maradványkockázat meghatározásáért és elfogadásáért, a rendszer rendelkezésre állási paramétereinek meghatározásáért, az előre nem várható események (incidensek) esetén a szükséges tevékenység irányításáért, a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biztosításáért, a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. kockázatelemzés, rendszerterv, RIBSZ, Működés-folytonossági terv, felhasználói- és üzemeltetői kézikönyvek) elkészítéséért és aktualizálásáért, a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés), a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért, a rendszer használata során a kialakított biztonsági szint fenntartásáért, a rendszer változása (fizikai, jogi, szervezeti, szoftver, hardver stb.) esetén a lehetséges új kockázati tényezők feltárásáért és értékeléséért, a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában, a működés-folytonosság biztosítása érdekében tervezett feladatok végrehajtásának ellenőrzéséért, a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért, a rendszert használók és üzemeltetők jogosultságainak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért, központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért. Jogosult az általa tulajdonolt rendszer(ek) vonatkozásában: megbízott kijelölésére, aki a nevében eljár, a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntések meghozatalára, a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére, a rendszer biztonsági osztályba sorolásából következő védelmi intézkedések foganatosítására, illetve kezdeményezésére a Társaság felső vezetése felé, az esetlegesen előforduló informatikai biztonsági incidensek kivizsgálásában való közreműködésre, a szükséges szankciók kezdeményezésére, IVO, IKI és más szakmai szervezetek segítségének közvetlen igénybe vételére, szükség szerint az informatikai biztonsági tevékenység ellátásában közreműködő rendszerszintű informatikai biztonsági megbízott kijelölésére (lásd fejezet) Szakterületi vezetők: Az alábbi kiemelt feladatok vonatkozásában a Társaság egészére kiterjedően felelős: Személyzetfejlesztés vezetője: Az Infokommunikációs Igazgatóság, illetve a Biztonsági Igazgatóság által igényelt és az éves képzési tervben jóváhagyott informatikai biztonsági képzések, továbbképzések és tréningek megszervezéséért.
12 1000 A MÁV Zrt. Értesítője 19. szám Belső ellenőrzési főosztály vezetője: az informatikai és az informatikai biztonsági szakterület ellenőrzési folyamatai kialakításának szakmai irányításáért és a szakmai szabályzatokban foglaltak előírásszerű végrehajtásának ellenőrzéséért, az Általános Ellenőrzési Utasítás informatikát érintő tevékenységeinek ellátása során az együttműködés kezdeményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások IVO számára történő átadásáért. Jogi igazgatóság vezetője: az informatikai rendszerekben előforduló, társasági szintű következményekkel járó biztonsági események értékelésénél az ezek alapján meghozandó munkáltatói intézkedések, szankciók foganatosításáért. Ingatlangazdálkodási igazgatóság vezetője: a Társaság objektumainak, telephelyeinek az informatikai biztonsági követelményeknek is megfelelő védelme biztosításáért Felhasználó beosztottal rendelkező vezető Irányítási területén biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglaltakat minden általa vezetett munkavállaló és külső hozzáférő teljes mértékben megismerje és betartsa. Ennek során feladata: a közvetlen irányítása alá tartozók részére a Társaságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás stb.) kezdeményezése, a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, minősített rendszerek esetén a munkálatok felügyeletének megszervezése, a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, és közvetlenül az IVO részére (lásd fejezet), szükség esetén a működési területe speciális jellegzetességeit tükröző helyi végrehajtási utasítás kibocsátása vagy oktatások megigénylése, és a hozzátartozó munkavállalók oktatásokon való megjelenésének biztosítása, a Felhasználók biztonsági kötelezettségei c. dokumentumban (1. sz. melléklet) rögzítettől eltérő használatának észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az IVO részére Információvédelmi szakértő Az IVO szervezeti keretei között, az információvédelmi szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban: a rendszerszintű informatikai biztonsági dokumentumok kidolgoztatása, informatikai fejlesztésekben az IVO képviselete, az informatikai biztonsági rendszerek, valamint a rendszer-adminisztrátorok és rendszergazdák tevékenységének ellenőrzése, biztonsági felügyelete, a területi informatikai biztonsági megbízottak munkájának szakfelügyelete, rendszerüzemeltetési dokumentumok vizsgálata, informatikai biztonság események (incidensek) kivizsgálása, javaslattétel a védelmi intézkedésekre, szankciókra, a fizikai biztonság megvalósulásának felügyelete, informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, vezetők, felhasználók segítése, biztonsági naplók ellenőrzése, szakmai ismereteit felhasználva támogatást nyújt az informatikai biztonsági képzési, oktatási tevékenység részére, az O.1. utasításban szereplő informatikai biztonsági oktatások tematikájának véleményezésében, az oktatások időtartamának és gyakoriságának előírásában, közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbízottakkal, a projektvezetőkkel, valamint a Társaság leányvállalatainak informatikai biztonságért felelős biztonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re, biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság informatikai biztonsági tevékenységét ellátó szakértőjével Területi informatikai biztonsági megbízott A Biztonsági igazgatóság területi vasútbiztonsági osztályain létesített biztonsági megbízott munkakör betöltője a területi osztályvezető hatáskörében eljárva, kizárólag neki alárendelten, az IVO szakmai irányításával végzi az informatikai biztonságot támogató munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett: ellenőrzi az informatikai biztonságra vonatkozó egyszerűbb szabályok betartását, különös tekintettel az illetéktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használatra, a jelszavak illetéktelenek tudomására jutására stb., informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi osztályvezetőt és az IVO-t, helyi ismereteit felhasználva részt vesz az informatikai biztonsági rendkívüli események kivizsgálásában, ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát, felügyeli a fizikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása).
13 19. szám A MÁV Zrt. Értesítője Rendszerszintű informatikai biztonsági megbízott Az üzleti tulajdonos egyedi kijelölése alapján, az informatikai fejlesztések és projektek, valamint az informatikai rendszerek üzemeltetése során az IVO szakmai támogatásával közreműködik az üzleti tulajdonos rendszer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett: előkészíti és nyomon követi az informatikai biztonságot érintő dokumentumokat, előkészítő munkát végez az üzleti tulajdonos döntéseinek támogatása érdekében, figyelemmel kíséri a biztonsági követelményekre kialakított szabályok betartását, közreműködik az érintett rendszer informatikai biztonsági feladatainak ellátásában, informatikai biztonsági rendkívüli események észlelése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost és az IVO-t Projektvezető A Társaság informatikai rendszereit érintő fejlesztési projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős: a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért, az adott informatikai rendszerben és annak környezetében megvalósítandó fizikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek meghatározásának kezdeményezéséért, az informatikai rendszerben kezelendő, üzleti titoknak minősülő adatok titokban tartása érdekében a szükséges intézkedések kezdeményezéséért, az informatikai rendszer biztonsági osztályba sorolását megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulajdonossal történő jóváhagyatásáért, A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogosultság kezelő rendszer elveinek érvényesítéséért. mindaddig, amíg az üzleti tulajdonos nem kerül kijelölésre, annak feladatait a projektvezető látja el, a fizikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az IVO szakmai együttműködésének a biztosításáért, a rendszer biztonsági dokumentumainak (Kockázatelemzés, RIBSZ, Működés-folytonossági terv, felhasználói- és rendszer dokumentációk) elkészíttetéséért, a projekt bevezetéséhez szükséges képzések és oktatások tematikájának felterjesztéséért, a képzésben résztvevők körére és a képzések szervezésének ütemezésére. a biztonsági rendszernek az éles üzembe történő bevezetéséért Üzemeltetés-vezető A Társaság kiemelt fontosságú informatikai rendszereinek és koncentrált informatikai erőforrásainak (pl. számítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős: a hatáskörébe utalt informatikai rendszerekben kezelt információk bizalmasságának, hitelességének és sértetlenségének védelméért, a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifikus RIBSZ biztonsági előírásainak érvényre juttatásáért, a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechanizmusainak a védelmi rendszertervben jóváhagyott beállításáért és naprakészen tartásáért, a biztonsági rendszerben beállt változások dokumentálásáért, a biztonsági naplók szabályszerű kezeléséért, az észlelt biztonsági események feljegyzéséért, ezekről a rendszer üzleti tulajdonosa és az IVO tájékoztatásáért, a rendszer működtetésében résztvevő rendszergazdák, biztonsági adminisztrátorok tevékenységének öszszehangolásáért Rendszeradminisztrátor, rendszergazda A Társaság informatikai rendszerének telepítését, konfigurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: a logikai védelmi rendszer beállítása a védelmi rendszertervnek és a jóváhagyott jogosultságoknak megfelelően, adatszolgáltatás a jogosultság nyilvántartó rendszer részére, a biztonsági és védelmi beállítások módosítása, aktualizálása a jóváhagyott változásoknak megfelelően, RIBSZ betartásának operatív ellenőrzése a biztonsági rendszerek folyamatos felügyeletével, az észlelt rendellenességek kezelése, az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékenységek biztonsági felügyelete, különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jogosulatlan licensz-felhasználás jelentése a felettes üzemeltetés-vezető és közvetlenül az IVO részére, a biztonsági rendszerben történt változások dokumentált követése, a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és közvetlenül az IVO részére Felhasználó Aki a Társaság üzleti céljainak elérése érdekében informatikai eszközt kezel, és arra telepített programot (alkalmazást) használ feladatai megoldásához, köteles az
14 1002 A MÁV Zrt. Értesítője 19. szám általa kezelt eszközök, rendszerek informatikai biztonságára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonatkozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentációk biztonsága c. fejezetben ( pont) megjelölt személynek kell a felhasználó rendelkezésére bocsátania. Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentumban foglaltakat megismerni, azt a 2. sz. melléklet aláírásával elfogadni és napi munkájában alkalmazni Informatikai szolgáltató A Társaság részéről szerződő fél köteles a Társaság informatikai biztonsági előírásait érvényesíteni az informatikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során. Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek ellátása során a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzését, a Társaság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgáltatási szerződésnek megfelelő működést Az informatikai biztonság szabályozása a MÁV Zrt. partnereire vonatkozóan Ügyfelek Az ügyfelek informatikai biztonságával kapcsolatos intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő információk kiszivárgását. Ezért a biztonsági gyakorlat az ügyfeleket hasznosságuk mellett, bizonyos mértékű veszélyforrásnak is tekinti. A Társaság ügyfelei nem kötelezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Társaság részére. A szerződéssel rendelkező ügyfelek esetében tájékoztató jelleggel fel kell hívni a figyelmet a szolgáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljárások alkalmazására Más vasúttársaságok, nemzetközi vasútszervezetek A Társaság informatikai rendszerei több szálon is kapcsolódnak más nemzeti vagy nemzetközi vasúti szervezet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás). Ezekben a kapcsolatokban megfelelő szakmai előkészítő tárgyalások után az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biztonsági követelményeiben, besorolásában. Az írásba foglalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a biztonság garantálásához alkalmazandó üzemeltetési, felügyeleti és ellenőrzési eljárások részleteit. A Társaság oldalán az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttműködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég valamely informatikai biztonságot is érintő szolgáltatását. Ilyen szolgáltatás lehet: hálózat (internet) szolgáltatás, on-line banki szolgáltatás, hardverkarbantartás, javítás, hardver/szoftver bérbeadás, hardver/szoftver üzemeltetés hosting szolgáltatás rendszeradminisztráció, vírusvédelem, szoftverfejlesztés, alkalmazás-követés (upgrade, patch stb.), oktatás, egyéb informatikai szolgáltatás (pl. nyomtatás), takarítás, őrzés-védelem, stb. A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásával, mind a szerződések megkötésénél a megfelelő biztonsági garanciák beépítésével. Az informatikai beszállítók kijelölése, kiválasztása az IKI feladata, de a biztonsági megfelelőség megítélésében köteles kikérni és figyelembe venni az IVO véleményét. Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállítói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszernek 3. sz. mellékletben felsorolt elemekből kell felépülnie. A minősítést az IKI igénye alapján az IVO végzi, véleményét (értékelését) írásban megadja, amit a továbbiakban a fejlesztési dokumentumok részeként kell kezelni Projekt partnerek A Társaság informatikai rendszereinek korszerűsítésére, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyeztetésénél az érintett rendszer biztonsági besorolásának megfelelően az informatikai biztonsági előírások maradéktalan érvényesítését is biztosítani kell. A pályázati felhívásban a funkcionális követelmények mellett a pályázóktól elvárt informatikai biztonsági követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai
15 19. szám A MÁV Zrt. Értesítője 1003 rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az IVO állásfoglalását ki kell kérni. A pályázati anyagok elbírálása során a biztonsági besorolás szintje által determinált súlyozással kell figyelembe venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vállalt biztonsági garanciákat. A kiválasztás során alkalmazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert Partner-Szerződések megkötésének biztonsági szabályai Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fizikai-, illetve logikai hozzáférési lehetőségeket biztosítunk, újabb kockázatok jelennek meg. Ezek kompenzálása érdekében a partnerekkel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek biztonsági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják) a partner számára: a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést, személyes adatok kezelését, a szerződéssel kapcsolatos információk nyilvánosságra hozatalát, vagy harmadik fél részére történő átadását, alvállalkozók bevonását; a Társaság számára: a partner által végzett belső- és külső tevékenységek felügyeletét, ellenőrzését, szükség esetén beavatkozását, a partner által nyújtandó szolgáltatás szintjének objektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését, a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését, biztonsági auditor cégek bevonását. A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is: titokvédelem, szerzői jogi és tulajdonjogi kérdések, hazai, nemzetközi valamint MÁV Zrt. szabványoknak, előírásoknak való megfelelés, változáskezelés folyamata, problémakezelés folyamata, kockázatkezelés, a biztonsági szint fenntartásának folyamata. A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai szerint történik, de a rendszerek kialakítását vagy módosítását érintő szerződéseknek kötelező informatikai biztonsági fejezetet is tartalmaznia. Minden informatikai rendszert érintő előkészítésbe be kell vonni az IVO-t, a szerződés megkötéséhez állásfoglalását ki kell kérni. A projekt munkaszervezetében az IVO részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd fejezet) részvételével külön biztonsági alprojektet / projektmodult kell működtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. Beszállítói szerződést csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülő speciális elvárások teljesítését, és lehetőséget biztosít a Társaság számára azok teljesülésének felügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíteniük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásában, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék Az informatikai biztonság szabályozása erőforrás-kihelyezés esetén Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a fejezet általános szabályai ezekre az esetekre is érvényesek. Tekintettel arra, hogy az outsourcing típusú szolgáltatások esetén a Társaság mint megbízó a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett felelősségnek tükröződnie kell a szerződések tartalmi részében. Egyértelmű szerepkör-elhatárolás szükséges a megbízó és a vállalkozó között az informatikai rendszer üzemeltetési folyamatai tekintetében, hogy egyetlen lényeges tevékenység se maradjon gazdátlanul, illetve ne legyenek indokolatlan párhuzamosságok. Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az IVO együttműködésével környezettanulmányokat kell végezni a potenciális partnereknél. Kiemelt biztonsági osztályba tartozó rendszerek üzemeltetése csak különleges körültekintéssel meghatározott garanciális elemek biztosítása esetén, az üzleti tulajdonos, az IVO és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti döntése esetén adható vállalkozásba.
16 1004 A MÁV Zrt. Értesítője 19. szám 4.3. Az informatikai eszközök leltárba vétele és ellenőrzése A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfelelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szempontból kiemelten fontos a fizikai vagyon, a szoftver-vagyon és az információ-vagyon számbavétele Számadási kötelezettségek az eszközökkel kapcsolatban A Társaság informatikai vagyontárgyait leltárba kell venni. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A vagyonleltár adatai fontos kiindulópontot jelentenek a kockázatkezelés és az informatikai stratégia tervezése során. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva Konfigurációkezelési adatbázis (KKA) A Társaság informatikai infrastruktúrája áttekinthetőségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfigurációkezelési adatbázis (KKA), amely a vagyonleltár részeként vagy külön adatbázisban a biztonság hatékony menedzseléséhez nélkülözhetetlen adatokat kezel. E naprakész nyilvántartásban kell lekérdezhetővé tenni az összes (nem csupán fizikai jellegű) informatikai rendszerelem, illetve a biztonság menedzselésével összefüggő egyéb entitás (pl. biztonsági tartományok, biztonsági osztály, üzleti tulajdonos, üzemeltetés / tárolás helyszíne, felhasználó, változtatási kérelmek, események, problémák, ismert hibák feljegyzése stb.) adatait, ezek egymás közötti összefüggéseit. A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfigurációs elemekkel összefüggő egyéb információkat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyilván kell tartani. A tevékenység ellátását elősegítheti egy olyan megoldás, amely a teljes körű hardver- és szoftverleltár, valamint a licencgazdálkodás elősegítése érdekében az informatikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára. A KKA kialakítása és naprakészen tartásának biztosítása az IKI feladata, melyet, a vagyonleltárt kezelő rendszerrel összefüggésben lehetőleg azzal együtt kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalmazásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az IVO, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üzemeltetését, mennyiségi stb. felügyeletét végzők számára Személyi biztonság Az alkalmazás előtt Az eszközök nem megfelelő használata során biztonsági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben alkalmazást megelőzően szükségessé válik. A munkaszerződés meg vagy újrakötésekor a munkájához informatikai eszköz használatra kötelezett munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben szereplő nyilatkozat aláírásával érvényesíteni kell az informatikai biztonságra vonatkozó követelményeket. A mellékletek átadása és a munkavállalóval való kitöltetése a humánpartner szervezet feladata. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az előzőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk. Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet nem szükséges újból aláíratni, azonban az 1. sz. mellékleltet az esetlegesen bekerült változások miatt meg kell ismertetni a felhasználókkal. Az egyéni munkaköri leírásoknak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcsolatos követelményeket a felelősség egyértelmű megjelölésével. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. Amennyiben a Társaság informatikai eszközöket és szolgáltatásokat bocsát a munkakörhöz, a használat szabályairól és az ellenőrzésének lehetőségéről a munkakör betöltésével kapcsolatos eljárás folyamatában a munkavállalókat írásban kell tájékoztatni A kiemelt fontosságú munkakörök Kiemelt fontosságú munkakörnek tekintjük azon szerepkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználókét, egyúttal több felhasználóra, alkalmazásra vagy rendszerre kiterjedő adatkezelési, döntési stb. jogkörrel rendelkeznek. Az utasítás pontjaiban szereplő, informatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése során a jelölt előzetes hozzájárulása mellett az interjú jegyzőkönyvet a Humánerőforrás igazgatóság az IVO vezetője részére megküldi, és a kiválasztott jelölt referencia vizsgálatát az IVO elvégzi. A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepeltetni kell.
17 19. szám A MÁV Zrt. Értesítője Az alkalmazás alatt Az alkalmazás alatt a munkáltatói jogkör gyakorlójának, az üzleti tulajdonosnak, az IKI-nek, az IVO-nak együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, ezáltal is motiválva legyenek az informatikai biztonsági szabályok betartására. A felhasználókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biztonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében A vezetők felelőssége Az adott szervezeti egység vezetőjének felelőssége, hogy megkövetelje a felhasználóktól és a szerződő felektől, hogy a biztonsági intézkedéseket az IBSZ-el összhangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik. A Biztonsági Igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informatikai képzések tematikájában megfelelő súllyal szerepeljen. A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése Oktatás és képzés A felhasználóknak a munkakörüknek megfelelően ismerniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. A felhasználói oktatás tematikáját és időtartamát mind az informatikai, mind az informatikai biztonsági igényeket figyelembe véve a Társaság oktatási utasításában (O1) kell szabályozni. Főszabályként belépéskor biztonsági alapképzést, majd évente utánképzést kell megvalósítani. A biztonsági képzések tananyagát a korábban már említett, a 1. sz. mellékletben bemutatott, Felhasználók biztonsági kötelezettségei c. segédlet képezi, amit az adott munkaterület speciális igényei szerinti előadásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs eszközök helyes használatát Biztonsági események megelőzése, jelentése Minden felhasználónak ismernie kell a Társaság működésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok, pl. vírusfertőzés) jelentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett munkavállaló ezt a fejezetben leírtak szerinti Informatikai biztonsági nyilatkozat aláírásával tejesíti. Az informatikai rendszert, vagy a hálózat működését érintő biztonsági rendkívüli eseményt a felhasználói köteles a közvetlen vezetőjének, akadályoztatása esetén az illetékes személyzetnek jelenteni, szükség esetén a kármegelőzési, kárelhárítási intézkedéseket érdekében mindent megtenni. Köteles az eredményes kivizsgálást elősegíteni. A szervezeti egység vezetője jelentését haladéktalanul köteles megtenni az IVO vezetőjének (telefon, fax, stb.). A jelen IBSZ személyi hatálya alá tartozó vállalkozónak (2.1.1 fejezet 3. bekezdés), továbbá az erre alkalmas rendszerek külső használóinak a velük kötött szerződésben kell felelősséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerződésben való szerepeltetéséért a szerződés Társaság oldali aláírója felelős. Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követően az eseményt előidéző, az esemény okait és lefolyását feltáró, vagy megismerhetővé tevő bizonyítékok ne semmisüljenek meg, azok összegyűjthetők és értékelhetők maradjanak Felelősség vizsgálata Azokkal a munkavállalókkal szemben, akik a Társaság informatikai biztonsági szabályzatait és eljárásait megsértették fegyelmi eljárást kell indítani. Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyébként hajlamosak lennének arra, hogy a biztonsági szabályokat megszegjék. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssége és egyben kötelessége. A vizsgálat az IVO bevonásával történik Az alkalmazás megszűnésekor vagy változásakor A munkaviszony megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal. A munkaviszony megszüntetésekor a Társaság szempontjából biztonsági alapkövetelmény, hogy a munkavállalók rendezett módon hagyják el a szervezetet vagy váltsanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a távozó munkatárs bármely általa használt informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése előtt mentést kell végezni. A munkatárs nyilatkozata alapján, a mentő eszközökről a hitelt érdemlően bizonyítható személyes adatait törölni kell. Az adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a távozó munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek.
18 1006 A MÁV Zrt. Értesítője 19. szám Távozás során a berendezéseket át-, illetve a nem használt eszközöket le kell adni a hozzáférési jogokat azonnal vissza kell vonni, amelynek ellenőrzéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságokon kívül visszavonásra kerülő vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosítók, beléptető kártyák, előfizetések. Különös figyelemmel kell lenni a munkakörből távozáskor az aktív számlákhoz hozzáférést biztosító jelszavak viszszavonására, illetve megváltoztatására. Amennyiben szükséges a munkaviszony megszűnésekor titoktartási nyilatkozatban, megállapodásban kell rögzíteni a felelősségeket, amelyek még vonatkoznak a távozó munkatársra egy meghatározott időszakon át a munkaviszony megszűnése után is Az eszközök visszaadása Alapvető biztonsági cél, hogy minden felhasználó szerződése lejártáig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvereket, társasági dokumentumokat, az informatikai eszközöket, hitelkártyákat, beléptető kártyákat, illetve különféle elektronikus adathordozón tárolt információkat. Azokban az esetekben, amikor egy felhasználó megveszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről minden a Társaságot érintő adatot biztonságosan törölni kell (lásd fejezet h pont). Ennek megvalósulása érdekében a megállapodás kizárólag az IVO ennek megtörténtét igazoló véleményének kiadását követően történhet meg Az átszervezés biztonsági kérdései Egy átszervezés esetében már a tervezési szinten az IVO bevonásával információvédelmi szempontból is átfogóan elemezni kell a biztonsági kockázatokat, meg kell határozni azokat az informatikai biztonsági követelményeket, intézkedéseket, melyeket szervezetnek érvényesítenie kell. A fájlszervereken lévő megosztott munkakönyvtárak és az alkalmazási rendszer hozzáférés-védelmét ellenőrizni, szükség esetén módosítani kell. Ezek a veszélyforrások csak részben küszöbölhetőek ki technikai biztonsági intézkedésekkel Fizikai és környezeti biztonság A berendezések fizikai védelmének célja az eszközök állagának, információfeldolgozó képességüknek megőrzése, folyamatos működőképességük fizikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben: a) gondatlan emberi magatartásból, helytelen üzemeltetésből, mulasztásból eredő fizikai jellegű veszélyeztetés, b) szándékos emberi beavatkozásból származó fizikai jellegű károkozás, rongálás, c) illetéktelen személyek hozzáférése, beavatkozása okozta károk, d) lopásból eredő károk, e) műszaki meghibásodás, üzemzavar okozta károk, f) természeti csapások, katasztrófa események következtében keletkező károk. A védelmi intézkedések e csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephelyek védelmére, valamint a berendezések folyamatos működéséhez szükséges környezeti feltételek biztosítására szolgál Biztonsági szegmensek A fizikai biztonság megalapozását biztonsági területek kijelölésével kell kezdeni. Minden olyan helyiséget, épületet, telephelyet, amely az informatikai rendszer bármely elemének üzemszerű elhelyezésére vagy tárolására szolgál, be kell sorolni az alábbi osztályoknak megfelelően: a) kiemelt biztonsági osztály: különlegesen fontos számítóközpontok és adathálózati központok, kiemelt biztonsági osztályú alkalmazást futtató szerverek helyiségei, b) fokozott biztonsági osztály: számítóközpontok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági osztályú alkalmazást futtató szerverek elhelyezésére szolgáló szerverszobák, helyiségek, c) alap biztonsági osztály: az előző két kategóriába nem sorolt körletek (pl. akár irodában, akár számítóközpontban elhelyezett, alap biztonsági osztályú alkalmazást futtató szerverek helyiségei). Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttműködni az adott területen üzemelő rendszerek üzleti tulajdonosaival. Ezt a személyt az alkalmazás RIBSZ-ekben nevesíteni kell. Bármely biztonsági szintre történő besoroláshoz az IVO írásba foglalt állásfoglalása is szükséges. Kiemelt biztonsági szintre történő minősítés csak független biztonsági szakértők bevonásával végzett eredményes auditálást követően történhet. A biztonsági területek definiálása és nyilvántartása a KKA részeként az IKI feladata Fizikai biztonsági védősávok A biztonsági területek határfelületein, ahol alacsonyabb szintű területekkel, vagy a külvilággal érintkeznek, biztonsági védősávokat kell kialakítani, amelyek egy vagy több fizikai természetű veszélyeztetés kivédésére szolgálnak. A 9. sz. mellékleten feltüntetett táblázat összefoglalja a védősávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötelező (K), vagy ajánlott (A) Beléptetési intézkedések A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni kell. Erre vonatkozóan a Társaság beléptetéssel kapcsolatos szabályzatait, illetve a vagyonvédelem szabályait megfogalma-
19 19. szám A MÁV Zrt. Értesítője 1007 zó törvény előírásait kell érvényesíteni. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. Külső személyek csak kísérettel tartózkodhatnak a Társaság objektumain belül. Alap biztonsági szintre besorolt területekre a bejutást a minimális fizikai védelem kialakítása keretében az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott területen dolgozók személyes felelőssége, hogy minden helyiséghez csak az oda önálló belépésre is feljogosított személyek rendelkezzenek kulccsal, és hogy idegen személyek felügyelet nélkül ne tartózkodhassanak a helyiségben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni megfelelően biztonságos tárolással, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására. A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkező személyek be- és kilépését is naplózni kell. A belépés ellenőrzését a beléptető rendszer kártyán túl egyéb hitelesítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni. Minden külső munkatársat, szerződő felet, és minden vendéget meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést. A munkatársak minden esetben jelentsék a biztonsági személyzetnek, ha kísérő nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót. Minden fokozott és kiemelt biztonsági szintű területre az üzleti tulajdonosnak a helyi sajátosságoknak megfelelő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő belépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vonatkozásában. Ebben az utasításban kell lefektetni: a) a személyes azonosító eszközök (kártyák, kitűzők, PIN-kódok) használatának, kiadásának, visszavételének szabályait, b) a területre anyagok, eszközök be- és kiszállításának szabályait, c) a területen munkaidőn túli tartózkodás szabályait, d) az ideiglenes- és vendég jelleggel belépők nyilvántartásának, kísérésének szabályait. A beléptetési utasításokat az IVO egyetértésével kell kiadni. Kamerás megfigyelő rendszerek használatáról a Társaság adatvédelmi szabályzata rendelkezik (lásd 15. sz. melléklet) Védelem a külső környezeti fenyegetettségek ellen Az adatfeldolgozó, vagy tároló telephelyek kiválasztásakor fontos figyelembe venni, az adott földrajzi elhelyezkedéséből eredő veszélyforrásokat (pl. árvíz, földrengés, erdő vagy bozóttűz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése). Az informatikai berendezések telepítési, elhelyezési helyének megválasztásakor az adott eszköz rendeltetésétől, biztonsági besorolásától függően biztosítani kell a zavartalan működéshez szükséges feltételeket. Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás), 2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem), 3) külső tényezők (tűz, víz, vihar stb.) elleni védelemre, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükségáramellátással), 5) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették). A RIBSZ-ekben részletesen kell szabályozni: 1) a műszaki berendezések elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) a berendezések karbantartását, 5) a telephelyen kívüli berendezések védelmét, 6) a berendezések biztonságos tárolását és újrafelhasználását. A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és rendelkezésre állásának biztosításában nagy szerepet játszik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével, valamint a Társaság üzletvitele szempontjából betöltött szerepével kell arányban lennie. A fenyegető ténye-
20 1008 A MÁV Zrt. Értesítője 19. szám zőket a kockázatelemzés tárja fel. Tekintettel ezek fajlagosan magas árára, a védelem teljes körű és mindenre kiterjedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet annál szigorúbb lehet az építmény egészére megfogalmazott biztonság mértékétől. Ilyen helyiségek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok. A megfelelő védelmi szintekhez tartózó feltételeket a Biztonsági osztályok követelményei c. táblázat (10. sz. melléklet) Infrastruktúra (fizikai védelem) része tartalmazza Energiaellátás A berendezéseket az alább felsorolt lehetőségek alkalmazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépő rendellenességektől. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifikációjának. Azok a lehetőségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply), c) tartalék áramforrás alkalmazását. A folyamatos működést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalmazása ajánlott olyan berendezésekhez, amelyek az üzlet működésére nézve kritikusak. Ajánlatos gondoskodni vészvilágításról is a fő energiaellátás meghibásodása/kimaradása esetére. Villámhárítót ajánlatos felszerelni valamennyi épületre, és villámvédő szűrőket alkalmazni az épületbe belépő kábelekre A kábelezés biztonsága Az adatkommunikációs kábelek fizikai védelme a nagy földrajzi kiterjedés, a többnyire folyamatos felügyelet nélküli nyomvonal miatt külön szabályok alkalmazását követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen. Az adathálózat elemeit, a legfontosabb műszaki paramétereket, a rájuk kapcsolódó eszközöket stb. a KKAban is nyilván kell tartani. A Társaság infokommunikációs hálózatának fizikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stratégia szerint kell kialakítani. Ennek elkészítése és a benne foglaltak szerinti működés megkövetelése a hálózat üzleti tulajdonosának a feladata A berendezések elhelyezésének szabályai Minden berendezés csak a biztonsági besorolásának megfelelő szintű biztonsági területen telepíthető. Az informatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, érzékeny adatokat tartalmazó adathordozók, fontos dokumentációk stb.) a jobb védhetőség érdekében koncentráltan, magasabb biztonsági szintű területek formájában kialakított számítóközpontokban (szerverszobákban, rendezőszekrényekben) kell elhelyezni, működtetni. Extrém üzemi környezetben (poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan berendezést szabad használni, amely specifikációja szerint erre kifejezetten alkalmas Hordozható informatikai eszközök védelme Az eszközök nem hagyhatók felügyelet nélkül, amenynyiben nem biztosítható azok előírt védelme. Ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására (pl. notebook védelme Kensington zárral) Felhasználói munkaállomások védelme Minden számítógépes munkaállomáshoz (teljes konfigurációt figyelembe véve), továbbá önálló nyilvántartási egységet képező más informatikai berendezésekhez vagyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége: a) a berendezések állagának, épségének megóvása a tőle elvárható gondoskodással, b) sérülés, hiány azonnali jelentése a közvetlen vezetőnek, c) hordozható eszközök (pl. notebook számítógép, PDA, mobiltelefon, projektor) esetén a Társaság objektumain kívül történő használat vagy tárolás során a vagyonvédelmi előírások maradéktalan betartása, d) meghibásodásra utaló jelek (szokatlan zajok, melegedés stb.) esetén a készülék azonnali kikapcsolása, karbantartás igénylése, e) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmeneti tárolásáról. A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtől, amely azok sérülését, beszennyezését okozhatja. Informatikai eszközök és tartozékaik eltulajdonítása ellen ahol ezt a közvetlen munkahelyi vezető indokoltnak tartja mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasztórendszerébe kapcsolt tárgyvédelemmel kell a veszélyeztetett berendezéseket ellátni Informatikai eszközök tárolása, karbantartása, javítása és selejtezése Tárolás A Társaság kulcsfontosságú informatikai eszközeit tartalmazó helyiségek, épületek pontos funkciójára, ki-
magyar államvasutak zártkörűen működő részvénytársaság
6. szám 128. évfolyam 2013. február 22. Utasítások 12/2013. (II. 22. MÁV Ért. 6.) EVIG számú elnök-vezérigazgatói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályzatáról. 13/2013. (II. 22. MÁV Ért.
A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA
A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA 1. Általános rendelkezések 1.1 Az Informatikai Biztonsági Szabályzat (IBSZ) célja Szerződéses és leendő partnereink tájékoztatása a DFL Systems Kft.
Informatikai Biztonsági szabályzata
A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.
A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges
Informatikai Biztonsági feladatok: Fizikai biztonsági környezet felmérése Logikai biztonsági környezet felmérése Adminisztratív biztonsági környezet felmérése Helyzetjelentés Intézkedési terv (fizikai,
Adatvédelmi Szabályzat
... (társaság neve)... (adószám) Adatvédelmi Szabályzat Érvényes:... -tól Érvénybe helyezte:... Tartalomjegyzék 1. Az adatvédelmi szabályzat célja...3 2. Társaság bemutatása...4 3. Általános rész...5 Személyes
ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG. Utasítások. 19. szám 130. évfolyam november 20. TARTALOM
19. szám 130. évfolyam 2015. november 20. ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG TARTALOM Utasítások oldal 46/2015. ( XI. 20. MÁV Ért. 19. ) EVIG sz. utasítás 1581 A MÁV Zrt. Informatikai
Jogalkotási előzmények
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes
Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd
Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd Az új uniós jogszabályról General Data Protection Regulation GDPR Az Európai Parlament és a Tanács
A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében
A SZEMÉLYES ADATOK VÉDELME Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében Érintett területek Az adatkezeléssel érintett területek: A munkavállalók személyes adatainak kezelése Üzleti partnerek
TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA
TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2
A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata
A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata A Tárki Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzatának fő hivatkozási pontját a 2011. évi
Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében
Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében Az adatvédelmi szabályozás célja, fontossága - A személyes adatok gyűjtése nyilvántartása, feldolgozása a legutóbbi időszakban került az alkotmányos
Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata
Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata Az Österreich Werbung Marketing Kft., mint Osztrák Nemzeti Idegenforgalmi Képviselet feladatai ellátásához
A Budapesti Értéktőzsde Részvénytársaság Igazgatóságának 110/2003. számú határozata
A Budapesti Értéktőzsde Részvénytársaság Igazgatóságának 110/2003. számú határozata A Budapesti Értéktőzsde Részvénytársaság Igazgatósága A Budapesti Értéktőzsde Részvénytársaság Szabályzata a Távkereskedés
1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató
Adatvédelmi tájékoztató Készült: 2018.04.25. AZ ADATVÉDELMI TÁJÉKOZTATÓ CÉLJA A VIVEKA Világkerekítő Műhely, (a továbbiakban Adatkezelő) elkötelezett ügyfelei, partnerei, önkéntesei személyes adatainak
GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN
GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN Pflanzner Sándor ADAPTO Solutions Kockázatelemzés követelménye a rendeletben Az adatkezelő és az adatfeldolgozó... a változó valószínűségű
3., A gépek biztonsági követelményei és megfelelőségének tanúsítása
Munkavédelem jogi és eljárási ismeretei II. Ellenőrző kérdések 2012 1., A munkavédelem általános követelményei. - a munkavédelmi szabályok betarthatósága - a követelmények megválthatóságának elve - a megfelelőség
2013. évi L. törvény ismertetése. Péter Szabolcs
2013. évi L. törvény ismertetése Péter Szabolcs Szudán Csád Nigéria Szomália Krím - Ukrajna Irak Szíria Kiber hadviselés Társadalmi, gazdasági, jogi folyamatok információs hálózatokon mennek végbe, ez
Nemzetközi jogszabályi háttér I.
SZ2 Az elektronikus információbiztonságról szóló jogszabályok és a létfontosságú rendszerek Budapest, 2016. szeptember 28. Selyem Zsuzsanna tű. alezredes (zsuzsanna.selyem@katved.gov.hu) Nemzetközi jogszabályi
Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata
Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL
ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.
ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT 2018. május 25. Tartalom I. Preambulum... 3 II. Alkalmazott jogszabályok... 3 III. Alapfogalmak... 4 IV. Adatkezelés jogalapja... 5 V. Adatkezelő... 5 VI. Adatkezelés
30 MB INFORMATIKAI PROJEKTELLENŐR
INFORMATIKAI PROJEKTELLENŐR 30 MB DOMBORA SÁNDOR BEVEZETÉS (INFORMATIKA, INFORMATIAKI FÜGGŐSÉG, INFORMATIKAI PROJEKTEK, MÉRNÖKI ÉS INFORMATIKAI FELADATOK TALÁKOZÁSA, TECHNOLÓGIÁK) 2016. 09. 17. MMK- Informatikai
Adatvédelmi szabályzat
Adatvédelmi szabályzat 1. Előszó 1.1. Jelen adatvédelmi szabályzat (a Szabályzat ) a SG Marketing Kft. (székhely: 1149 Budapest Limanova tér 12., cégjegyzékszám: 01-09-931340) (a Kiadó ) tevékenysége során
A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át
A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át 13.1 A Szolgáltató általi adatkezelésre vonatkozó rendelkezések 13.1.1 Szolgáltató a természetes személyeknek a személyes adatok kezelése
Adatvédelmi tájékoztató
B u d a p e s t T á n c i s k o l a Új Előadóművészeti Alapítvány Goli Tánchely 1036 Buda Tel: 250 3046 E-mail: budapest@tanc.org.hu Honlap: www.tanc.org.hu Adatvédelmi tájékoztató Készült: 2018.04.25.
ADATKEZELÉSI TÁJÉKOZTATÓ
ADATKEZELÉSI TÁJÉKOZTATÓ BEVEZETÉS A Társadalmi Hasznosságú Befektetők Egyesülete (a továbbiakban: Egyesület vagy Adatkezelő ) elkötelezett az ügyfelei, partnerei, az önkéntesei és a munkavállalói személyes
(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA
(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA 1 I. Általános rendelkezések 1. A szabályzat hatálya kiterjed a/az...egyesületre (a továbbiakban: Adatkezelő). 2. A
Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos
Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában
Frog Media Kft. Adatkezelési tájékoztató
Frog Media Kft. Adatkezelési tájékoztató Készült: 2015. március 2. Preambulum A Frog Media Kft. (a továbbiakban: Adatkezelő) célja, hogy a személyes adatok védelme érdekében megtegyen minden olyan szükséges
Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.
Általános tájékoztatás a 2018. május 25. napjától alkalmazandó GDPR rendeletről Európai Parlament és a Tanács 2016/679 rendelete - általános adatvédelmi rendelet Mi a célja? A GDPR az Európai Parlament
IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig
IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat Hatályos: 2018. május 25-től visszavonásig 1. A SZABÁLYZAT célja és hatálya Jelen szabályzatban használt fogalmak a Dunanett Nonprofit Kft. Adatvédelmi
Adatvédelmi tájékoztató Készült:
Adatvédelmi tájékoztató Készült: 2018.03.26 AZ ADATVÉDELMI TÁJÉKOZTATÓ CÉLJA A SIMPACT Nonprofit Kft. (a továbbiakban Adatkezelő) elkötelezett ügyfelei, partnerei, önkéntesei és munkavállalói személyes
Adatvédelmi Szabályzat. MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság. Hatályos: 2011.
Adatvédelmi Szabályzat MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság Hatályos: 2011. augusztus 3-tól 1 1 Fogalom-meghatározások 1.1 személyes adat: bármely
Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem
Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint
Információbiztonság irányítása
Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság
ADATKEZELÉSI SZABÁLYZATA
A Laser Force Arénát és a www.laserforce.hu weboldalt üzemeltető M.Á.K. '99 Élelmiszer Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATKEZELÉSI SZABÁLYZATA Az adatkezelő megnevezése Alapadatok
Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:
Átfogó EBK Oktatás 1. Az adatkezelők jogos érdeke: Az érintettek köre: az Átfogó Egészségvédelem, Biztonságtechnika, Környezetvédelem Oktatáson ( Átfogó EBK Oktatás ) részt vevő, a MOL Nyrt. ( Társaság
A ZALA MEGYEI KATASZTRÓFAVÉDEMI IGAZGATÓ. 5/2016. számú INTÉZKEDÉSE
ZALA MEGYEI KATASZTRÓFAVÉDELMI IGAZGATÓSÁG A ZALA MEGYEI KATASZTRÓFAVÉDEMI IGAZGATÓ 5/2016. számú INTÉZKEDÉSE A Zala Megyei Katasztrófavédelmi Igazgatóság Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról
ADATKEZELÉSI TÁJÉKOZTATÓ
ADATKEZELÉSI TÁJÉKOZTATÓ BEVEZETÉS Az Ester Communications Kft. (a továbbiakban: Adatkezelő ) elkötelezett az ügyfelei, partnerei, az önkéntesei és a munkavállalói személyes adatainak védelmében. Ezért
Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CII. törvény, valamint az Alaptörvény IV. cikke alapján.
ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Szocio-Produkt Kft. Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CII. törvény, valamint az Alaptörvény IV. cikke alapján. Kiadva:
A Diamond Property Care Kft. iratkezelési szabályzata
I. Bevezetés DIAMOND PROPERTY CARE KFT. Székhely: 1118 Budapest, Muskotály utca 5. fszt. 1-2. A Diamond Property Care Kft. iratkezelési szabályzata A szolgáltató (üzemeltető), mint adatkezelő adatai Diamond
Az Informatikai Főosztály feladatai
Az Informatikai Főosztály feladatai 1. Feladat- és hatáskörök A Kormányhivatal SzMSz-ében a Főosztály részére megállapított, jelen Ügyrendben részletezett feladat- és hatáskörök elosztása a következők
ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL
ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL Amely létrejött a Adatkezelő neve:. Adatkezelő székhelye:.. Adatkezelő adószáma vagy cégjegyzékszáma: adatkezelő (továbbiakban Adatkezelő) és a Syntax team Kft
INFORMATIKAI SZABÁLYZAT
INFORMATIKAI SZABÁLYZAT HATÁLYOS: 2011. MÁRCIUS 30.-TÓL 1 INFORMATIKAI SZABÁLYZAT Készült a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény és a szerzői
Adatkezelési Nyilatkozat
Adatkezelési Nyilatkozat Ezennel hozzájárulok, hogy a regisztráció, illetve a megbízási szerződés során megadott személyes adataimat a TRIMEX TRADE Kft. a személyes adatok védelméről és a közérdekű adatok
Account Berater GmbH Adatvédelmi és Adatkezelési Szabályzata. Végh Ágnes Judit Ügyvezető. Cím: 1190 Wien Döblingergürtel 21-23/6/3
Account Berater GmbH Adatvédelmi és Adatkezelési Szabályzata Végh Ágnes Judit Ügyvezető Cím: 1190 Wien Döblingergürtel 21-23/6/3 I. Szabályzat célja, hatálya...2 I.1. Adatvédelmi és Adatkezelési Szabályzat
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ SZERKESZTÉS LEZÁRVA: 2018. MÁJUS 18. HATÁLYBA LÉP: 2018. MÁJUS 25. Intézetünk adatkezelőként a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal
Csorba Zsolt EV. Adatvédelmi Szabályzata
Csorba Zsolt EV. Adatvédelmi Szabályzata A Csorba Zsolt EV. által üzemeltetett www.penzugyikozpont.hu weboldal lehetőséget kínál az érdeklődők számára, hogy adataik megadásával visszahívást kérjenek, illetve
GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA
GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA IBP dokumentum karbantartás verz ió kiadás módosítás leírás készítő módosító (IBF) 1.0 2014.10.30 Alap
A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA
A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA Általános rendelkezés A Social Steps az alábbiakban ismerteti adatkezelési elveit, bemutatja azokat az elvárásokat, melyeket saját magával, mint adatkezelővel
AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI
AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI Az Adatfeldolgozó megnevezése: CÉGNÉV: NaxoNet Informatikai Bt. SZÉKHELY: 2400 Dunaújváros, Nap utca 2. CÉGJEGYZÉKSZÁM: 07-06-015006 ADÓSZÁM:
az információs önrendelkezési jogról és az információszabadságról; évi V. törvény
Kossiktea.hu Balatonfüred - Keller Zsuzsanna EV, továbbiakban (székhely: 8230 Balatonfüred, P.Horváth Á. u 18 D telephely. 8230 Balatonfüred Zsigmond u 12 adószám: 67699676-1-39 a továbbiakban Adatkezelő
1. A Szerencsejáték Zrt., mint adatkezelő adatai
A Szerencsejáték Zrt. adatkezelési tájékoztatója a pénzmosás és a finanszírozása megelőzését és megakadályozását, valamint a pénzügyi és vagyoni korlátozó intézkedések végrehajtását érintő adatkezelésével
GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT
GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT CÉGNÉV: GYŐRI BALETT SZÉKHELY: 9022 GYŐR, CZUCZOR GERGELY UTCA 7. ADÓSZÁM: 16718342-2-08 CÉGJEGYZÉKSZÁM:676142 KÉPVISELI: KISS JÁNOS Tartalomjegyzék: I. Az adatkezelés
1.3 A Szolgáltató fenntartja magának a jogot jelen Szabályzat megváltoztatására.
Adatvédelem 1. ELŐSZÓ 1.1. Jelen adatvédelmi szabályzat (a Szabályzat ) az Belle-Aire Tanácsadó és Rekreációs Korlátolt Felelősségű Társaság (székhely: 3235 Mátraszentimre, Fenyves u.5.) (továbbiakban
Adatvédelmi nyilatkozat
Adatvédelmi nyilatkozat Adatkezelő Ferling Webline Szolgáltató Kft. Székhely 7621 Pécs, Mária u. 8. Adatkezelés megnevezése Adatkezelés nyilvántartási száma hírlevél küldése céljából kezelt adatbázis.
Megbízhatóság az informatikai rendszerekben
Megbízhatóság az informatikai rendszerekben Az információ Minden intelligens rendszer hajtóanyaga Az információ minőségi jellemzői Sértetlenség Biztonság Adatvédelem Titkosság Hitelesség Rendelkezésre
SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL
INFORMATIKAI BIZTONSÁGI POLITIKA SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL Verziószám: 1.0 Hivatkozási szám: K1314-0102-150608-01-E Dátum: 2015. június 08. TARTALOM 1. INFORMATIKAI BIZTONSÁGI
I. Fejezet ÁLTALÁNOS RENDELKEZÉSEK
11/2006. (VIII. 1.) MNB rendelet a hitelintézeti elszámolóházak üzletszabályzatára és szabályzataira vonatkozó követelményekről A Magyar Nemzeti Bankról szóló 2001. évi LVIII. törvény 60. -a (1) bekezdésének
Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe
Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági
III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)
A Balaton-felvidéki Nemzeti Park Igazgatóság 0. évi integritásjelentése III.. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap) Az integritás menedzsment táblázat
A Hotel Síkfőkút Kereskedelmi és Vendéglátó Kft. - Hotel Síkfőkút*** és Étterem iratkezelési szabályzata
A Hotel Síkfőkút Kereskedelmi és Vendéglátó Kft. - Hotel Síkfőkút*** és Étterem iratkezelési szabályzata I. Bevezetés A szolgáltató (üzemeltető), mint adatkezelő adatai Hotel Síkfőkút Kereskedelmi és Vendéglátó
A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése
A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése Tematikus Értekezlet 2012. január 23. Dr. Bognár r Balázs PhD tű. őrnagy, osztályvezető Biztonság az, amivé tesszük! /Prof.
Power Belt Kft. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT Hatályos: május 25. napjától
Power Belt Kft. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT 2018. Hatályos: 2018. május 25. napjától Általános rendelkezések A Power Belt Kft. (székhelye: 1194 Budapest, Hofherr Albert utca 38/b. Adószáma:
A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor
A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI { Az audit gyakorlati szempontjai Sipos Győző CISA IT biztonságtechnikai auditor Mobil: +36 20 916 3541 E-mail: sipos.gyozo@nador.hu SZÁMSZERŰSÍTETT KOCKÁZATOK
NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.
NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE Elfogadva: 2011. március 22. Módosítva: 2013. január 22., hatályba lép: 2013. január 24-én A Belső Ellenőrzési Iroda ügyrendjét (a továbbiakban:
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ Egyesületünk adatkezelőként a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozóként pedig az adatkezelő nevében
magyar államvasutak zártkörűen működő részvénytársaság
23. szám 127. évfolyam 2012. október 5. ÉRTESÍTŐ magyar államvasutak zártkörűen működő részvénytársaság Utasítás TARTALOM Oldal Egyéb közlemény: Oldal 53/2012. (X. 05. MÁV Ért. 23.) EVIG számú elnök-vezérigazgatói
JOGSZABÁLYI KERETEK ÖSSZEFOGLALÁSA A tűzvédelemről
JOGSZABÁLYI KERETEK ÖSSZEFOGLALÁSA A tűzvédelemről Jelen dokumentum az ÁROP-1.2.18/A-2013-2013-0012 azonosító számú Szervezetfejlesztési program az Országos Egészségbiztosítási Pénztárban című projekt
Galvanofém Kft. Adatvédelmi és adatkezelési szabályzata
Galvanofém Kft. Adatvédelmi és adatkezelési szabályzata 1. A szabályzat célja Jelen szabályzat célja a Galvanofém Kft. (Székhely: 6000 Kecskemét, Méntelek 252. Telefonszám: +36 76 506 263, Adószám: 11375230-2-03)
NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság
NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus
Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében
Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében E I V O K - 10. I n f o r m á c i ó b i z t o n s á g i S z a k m a i F ó r u m 2019. m á j u s 3 0. Dr. Bonnyai Tünde PhD Az Európai
IT biztonsági törvény hatása
IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3
New Land Media Kft. Székhely: 1123 Budapest, Nagyenyed utca 16. fszt. 4. telefon:
New Land Media Kft. Adatkezelési Tájékoztató a New Land Media Kft-vel szerződő partnerek szerződéses kapcsolattartói személyes adatainak közös adatkezelés keretében történő kezeléséről A természetes személyeknek
Tájékoztatás az EL GUSTO KFT. adatkezeléséről
Tájékoztatás az EL GUSTO KFT. adatkezeléséről 1. Bevezetés Az EL GUSTO Korlátolt Felelősségű Társaság (székhely: 9400 Sopron, Lackner Kristóf utca 35., cégjegyzékszám: Cg 08-09-013295, a továbbiakban EL
A GDPR elmúlt egy éve
A GDPR elmúlt egy éve { Az alakuló hazai gyakorlat Sipos Győző CISA, ISO27LA, ITIL IT biztonságtechnikai auditor Mobil: +36 20 916 3541 E-mail: sipos.gyozo@nador.hu A bevezetés gyakorlati problémái Kötelező
ADATVÉDELMI SZABÁLYZAT
ADATVÉDELMI SZABÁLYZAT 1. BEVEZETÉS A (székhely: 7627 Pécs Vadvirág u. 37) (a továbbiakban szolgáltató, adatkezelő), mint adatkezelő, magára nézve kötelezőnek ismeri el a jelen jogi közlemény tartalmát.
GDPR bevezetés tapasztalatai. a Társaság intézeteiben
GDPR bevezetés tapasztalatai a Társaság intézeteiben Adatvédelmi tisztviselő kijelölése: 1. Hatóság, vagy közfeladatot ellátó szerv végzi; 2. alaptevékenysége körében az érintettek rendszeres, szisztematikus,
- 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
Adatvédelem 1. Bevezető Jelen Adatvédelmi nyilatkozat a (http://www.prokotravel.hu ) weboldal (továbbiakban weboldal) adatgyűjtési, adatkezelési és adatfeldolgozási módjára vonatkozó használati alapelveket
Adatvédelmi szabályzat
Adatvédelmi szabályzat 1./ Bevezetés 1./1. Jelen adatvédelmi szabályzat (a Szabályzat ) a Vár Holding Korlátolt Felelősségű Társaság (székhely: 1054 Budapest, Alkotmány utca 10. 3. emelet 28. ajtó. cégjegyzékszám:
ELŐTERJESZTÉS a KÉPVISELŐTESTÜLET március 7-i ülésére
Budapest Főváros IX. Kerület Ferencváros Önkormányzata Iktató szám: 68/2013. ELŐTERJESZTÉS a KÉPVISELŐTESTÜLET 2013. március 7-i ülésére Tárgy: Előterjesztő: Készítette: Budapest Főváros IX. Kerület Ferencváros
JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT
JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT Fogalmak A JA-KA Kft. adatkezelőként a személyes adatok kezelésének céljait és eszközeit meghatározza, adatfeldolgozóként az adatkezelő
PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától
PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND Érvényes: 2018.05.25. napjától 1 Tartalom BEVEZETÉS... 3 1. AZ ADATVÉDELMI INCIDENS FOGALMA ÉS BELSŐ JELENTÉSE...
A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete
A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete a fizetési rendszer működtetésére vonatkozó tárgyi, technikai, biztonsági és üzletmenet folytonossági követelményekről A Magyar Nemzeti
ADATVÉDELMI SZABÁLYZAT
ADATVÉDELMI SZABÁLYZAT Ferling Webline Kft. - Hatályos: 2014. június 19-től 1. Fogalom-meghatározások 1.1. személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.
ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT. 1. oldal Társaságunk adatkezelőként a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozóként pedig
Adatkezelési nyilatkozat
Adatkezelési nyilatkozat a GDPR 30. cikk alapján Az adatkezelési nyilatkozat célja 2 Adatvédelmi alapelvek 2 Adatkezelő neve és elérhetősége (1.a) 3 Adatfeldolgozók neve és elérhetősége (2.a) 3 Meghatározások
KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)
2-8/2014 KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) Jóváhagyom: Karcag, 2014. július Oldal: 1 / 9 1. IBS dokumentum karbantartás Dokumentum változások története Verzió Dátum
Muha Lajos. Az információbiztonsági törvény értelmezése
Muha Lajos Az információbiztonsági törvény értelmezése kibervédelem? KIBERVÉDELEM KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁK VÉDELME ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK VÉDELME Az információvédelem igénye Magyarország
Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata
Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Pécs 2005 1. Tartalomjegyzék 1. TARTALOMJEGYZÉK... 2 2. BEVEZETÉS... 3 2.1. AZ Informatikai Védelmi Szabályzat célja... 3 2.2.
2015/27. SZÁM TARTALOM
2015/27. SZÁM TARTALOM Utasítások oldal 31/2015. (VII. 01. MÁV-START Ért. 27.) sz. vezérigazgatói utasítás a típusszerződések alkalmazásáról szóló 36/2014. (III. 20. MÁV-START Ért. 17.) sz. vezérigazgatói
Adatkezelési nyilatkozat, szabályzat
Adatkezelési nyilatkozat, szabályzat a GDPR 30. cikk alapján Az adatkezelési nyilatkozat célja 2 Adatvédelmi alapelvek 2 Adatkezelő neve és elérhetősége 2 Adatfeldolgozók neve és elérhetősége 3 Meghatározások
Adatfeldolgozói megállapodás
Adatfeldolgozói megállapodás 1. BEVEZETŐ RENDELKEZÉSEK A jelen adatfeldolgozói megállapodás (a továbbiakban: Megállapodás ) létrejött egyrészről a szolgáltatás megrendelője, mint adatkezelő (a továbbiakban:
AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA
, 2018.04.20. A minőségirányítás a vállalati jó működés támogatója. Ne feledkezzünk meg az információmenedzsmentről és az adatbiztonságról sem! AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA
AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA
AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA AZ I.con Bt. (székhely: 1016 Budapest Gellérthegy utca 33/C, Adószám: 21541344241, Cégjegyzékszám: ) elkötelezett ügyfelei és partnerei
A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június
A BorsodChem Csoport Etikai Vonal Szabályzata 2009. június 1. A SZABÁLYZAT CÉLJA Az Etikai Vonal működésének részletes leírása, a felelősség és hatáskörök egyértelmű rögzítése, a bejelentett panaszok
ADATVÉDELMI SZABÁLYZAT
TALMÁCSI GROUP ADATVÉDELMI SZABÁLYZAT Társaságunk adatkezelőként a személyes adatok kezelésének céljait és eszközeit önállóan, vagy másokkal együtt meghatározza, adatfeldolgozóként pedig személyes adatokat
ADATKEZELÉSI TÁJÉKOZTATÓ
Adatkezelő megnevezése: Korda Filmstúdió Ingatlanhasznosító és Szolgáltató Korlátolt Felelősségű Társaság Székhely: 2091 Etyek, Korda út 1572. hrsz. Postacím: 2091 Etyek, Korda út 1572. hrsz. email cím: