Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
19. szám 125. évfolyam 2010. június 11.
MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁGTARTALOM
Oldal OldalUtasítások33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-
tói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályza-táról .........................................................................................
34/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás a MÁV Zrt. Műszaki Mentési és Segítségnyújtá-si Utasításáról szóló 20/2006. (MÁV Ért 21.) Biztonság – általános vezérigazgató-helyettesi utasítás 2. számú módosí-tásáról .....................................................................................
35/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás egyes humán tárgyú utasítások hatályon kívül helyezéséről ............................................................................
36/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás: Külső féltől bérelt munkásszállás igénybevéte-lének rendje .............................................................................
Egyéb közleményekA MÁV Zrt. ÜDSZSZ Könyvtárba újonnan érkezett UIC dönt-
vények .....................................................................................Felügyeleti igazolvány érvénytelenítése .....................................
989
1061
1091
1092
11041106
Utasítások33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú
elnök-vezérigazgatói utasítása MÁV Zrt.
Informatikai Biztonsági Szabályzatáról
1.0. AZ INFORMATIKAI BIZTONSÁGI SZA-BÁLYZAT CÉLJA, FELADATA
Az Informatikai biztonsági szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társa-ság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályo-zása, valamint az ehhez tartozó munkáltatói és munkavál-lalói feladatok, kötelességek, felelősségek meghatározása.
Az IBSZ általános célja az adatok b izalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keret-rendszerrel és irányelvekkel szolgál a rendszerszintű in-formatikai biztonsági szabályzatok kialakításához.
Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósítá-sához. Előírja, hogy csak olyan informatikai rendszere-ket, berendezéseket és eljárásokat lehet bevezetni és al-kalmazni, amelyekkel a Társaság által működtetett folya-matok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre na-gyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladat az újabb hazai és nemzetközi szabványoknak, ajánlások-nak való megfelelés, valamint a Társaság folyamatosan változó szerkezetéhez igazítása. Mindezek mellett szem előtt kell tartani a digitális technológia robbanásszerű fej-lődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világá-nak legmeghatározóbb jelensége. Ebből következik a biz-tonsági szabályozás terén is a harmonizálás megteremté-sének szükségessége.
Az IBSZ átlátható és nyomon követhető formában rög-zíti a Társaság azon szabályait, melyek segítségével az információbiztonság magasabb fokú kialakításának teen-dői, illetve egyéb szabályzatai, leírásai komplex, a koráb-binál átfogóbb és szélesebb körű információbiztonságot
ÉRTESÍTÕ
990 A MÁV Zrt. Értesítője 19. szám
alkot. A Társaság munkatársai részére egységes szemlé-letet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban.
2.0. HATÁLY ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA
2.1. A szabályzat hatálya
2.1.1. A szabályzat személyi hatályaA szabályzatban meghatározott előírás, feladat, maga-
tartási szabály – beosztásra való tekintet nélkül – kötele-ző érvényű, és hatálya vonatkozásában kiterjed:
– a Társaság Működési és Szervezeti Szabályzatában foglalt valamennyi szervezeti egységre, továbbá vala-mennyi munkavállalójára,valamint az egyéb munkavég-zésre irányuló szerződéses jogviszonyban álló természe-tes személyre (a továbbiakban: felhasználó),
– a Társaság informatikai rendszerével kapcsolatba ke-rülő további személyekre, amennyiben azok a Társaság-gal munkavégzésre irányuló egyéb jogviszonyban állnak (pl. megbízási, vállalkozási szerződés).
A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhet-nek kapcsolatba. Szerződéses jogviszonyban álló szemé-lyek esetében a szerződésnek ki kell terjednie az informa-tikai biztonsági pontokra, illetve jelen szabályzat betartá-sára.
Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető informatikai szolgáltatásainak (pl. utas tá-jékoztató rendszer, az utazóközönség számára üzemelte-tett honlapok) igénybe vevőire.
2.2.1 A szabályzat területi hatályaA szabályzat területi hatálya kiterjed a Társasághoz
tartozó valamennyi telephelyén elhelyezett, valamennyi szervezeti egységre vonatkozó informatikai rendszerek kialakítására és üzemeltetésére. Az eszközök elhelyezé-sére szolgáló terület tulajdonviszonyától függetlenül ki-terjed a Társaság tulajdonában álló, vagy bármely jogvi-szony keretében általa használt informatikai rendszerek kialakítására és üzemeltetésére szolgáló területre azzal, hogy ez esetben a szabályzat előírásait a jogviszony kelet-keztetését eredményező szerződésben kell rögzíteni. A Társaság informatikai rendszeréhez történő távoli hozzá-férés (pl. távmunka) esetén az erre vonatkozó biztonsági kritériumokat az 4.6.8. fejezet ismerteti.
2.3.1. A szabályzat tárgyi hatályaA szabályzat tárgyi hatálya kiterjed:– a Társaság elektronikus adatainak teljes körére, a fel-
merülésük és feldolgozási helyüktől, idejüktől és az ada-tok fi zikai megjelenési formájuktól és az azokat feldolgo-zó rendszertől függetlenül,
– a Társaság tulajdonában, használatában lévő vala-mennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biz-tonsági célú hálózatára, az ezeket közvetve vagy közvet-lenül használó berendezésekre, valamint azok műszaki dokumentációira is,
– a Társaság használatában lévő rendszer- és felhasz-nálói programokra,
– a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására.
2.2. A szabályzat kidolgozása és karbantartása
A szabályzat kidolgozásáért és karbantartásáért felelős a Társaság Biztonsági igazgatóság Információvédelmi osztály (továbbiakban IVO) vezetője.
3.0. FOGALMAK MEGHATÁROZÁSA
Adat: Tények, elképzelések, utasítások formalizált áb-rázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára.
Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekér-dezésére és szerkesztésére alkalmas szoftvereszköz ke-zel.
Adatbiztonság: A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azo-kat az eljárási szabályokat, amelyek a törvényi előírások, valamint az egyéb adat- és minősítettadat-védelmi szabá-lyok érvényre juttatásához szükségesek.
Az adatokat védeni kell különösen a jogosulatlan hoz-záférés, megváltoztatás, továbbítás, nyilvánosságra hoza-tal, törlés vagy megsemmisítés, valamint a véletlen meg-semmisülés és sérülés ellen. A személyes adatok techni-kai védelmének biztosítása érdekében külön védelmi in-tézkedéseket kell tennie az adatkezelőnek, az adatfeldol-gozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása háló-zaton vagy egyéb informatikai eszköz útján történik.
Adatvédelem: A személyes adatok gyűjtésének, fel-dolgozásának és felhasználásának korlátozását, az érin-tett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessé-ge. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes ada-taik.)
Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszer-szintű informatikai biztonsági szabályzatok.
19. szám A MÁV Zrt. Értesítője 991
Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtat-ható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázat-kezelő programok, IHIR, GIR, SZIR, KUTINFO, RES, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, ke-zel.
Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összeha-sonlítása azokkal a pontosan meghatározott módszerek-kel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene.
Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött.
Beágyazott informatikai rendszer (Embedded Information Systems): Olyan informatikai eszközökre épülő integrált alkalmazás, amelyek közös jellemzője a nagyfokú autonomitás, valamint a fi zikai környezettel való intenzív információs kapcsolat.
Bizalmasság: Az adat tulajdonsága, amely arra vonat-kozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.
Biztonsági osztály: Az informatikai rendszer bizton-sági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysá-ga. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot defi -niálnak. Három kategóriát (alap – fokozott – kiemelt) kü-lönböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén.
Biztonsági rendkívüli esemény – incidens: A bizton-ságot fenyegető egy vagy több tényező tényleges fellépé-se, bekövetkezése, illetve jelentkezése.
Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból mate-matikai algoritmussal készített, a hitelesíteni kívánt üze-netek végéhez csatolt és azzal együtt továbbított kódsoro-zat. Lehetővé teszi, hogy az üzenet olvasója ellenőrizni tudja egyrészt az üzenetet küldő személyazonosságát, másrészt az üzenet sértetlenségét. Nyilvános kulcsú alá-írás esetén a küldő privát kulcsával készül és annak pub-likus kulcsával lehet ellenőrizni eredetiségét. Dokumen-tumfüggő, azaz ha bármilyen változtatás történik az alá-írt üzenetben, akkor az elektronikus aláírás nem fejthető vissza. Egyszerű, fokozott biztonságú és minősített kate-góriája létezik.
Fenyegető tényezők: Olyan események vagy körül-mények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy ren-delkezésre állása sérülhet, így fellépésük kedvezőtlen kö-vetkezményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, kül-ső tényezők általi behatások és olyan körülmények, ame-lyek magának az informatikának a sajátosságaiból fakad-nak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás ke-zelés, hardver tönkremenetele, számítógépes vírus, prog-ramhiba).
Fizikai biztonság: Az információt kezelő rendszerek fi zikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem.
Gyenge pont: Az informatikai rendszerelem azon jel-lemzője, hiányossága, amelynek révén fenyegető ténye-zők hatásának van kitéve.
Helyi hálózat (LAN) (Local Area Network): A Társa-ság (fi zikailag több helyen levő) infokommunikációs esz-közeit összekötő, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver esz-közök közös használatára, és esetleg a gépeknek az inter-nethez vagy egy (külső) WAN-hoz való kapcsolására szolgál. Többnyire irodákban, állomási épületekben talál-ható, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására.
Hitelesség: A rendszerben kezelt adatnak az a tulaj-donsága, hogy bizonyíthatóan a megjelölt forrásból szár-mazik, azaz a kapcsolatba kerülő rendszerelemek kölcsö-nösen és egyértelműen azonosítják egymást, és ez az ál-lapot a kapcsolat teljes idejére fennmarad.
Hozzáférési jogosultság: Az informatikai rendszer-ben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára.
Infokommunikáció: A számítástechnika a távközlés és az elektronikus média integrált egységességét kifejező megnevezés.
Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összessé-gét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik.
Informatikai eszköz: Bármely feladat ellátására létre-hozott, informatikai technológia felhasználásával mű-ködtetett (pl. vezérelt) telepített, vagy mobil berendezé-sek, továbbá rendszerek, eljárások összessége vagy ezek
992 A MÁV Zrt. Értesítője 19. szám
alkotó elemei (pl. asztali és hordozható [notebook, pda, okos telefon stb.] számítógép, pendrive, nyomtató, IP tele-fon rendszer és végberendezései, hálózati aktív és passzív eszközök, szerver, operációs rendszer, felhasználói prog-ramok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.]).
Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és mód-szerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a ki-esett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme – az általa kezelt adatok bizalmassá-ga, sértetlensége és rendelkezésre állása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vo-natkozó előírások, szabványok betartásának vagy mellő-zésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között.
Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működteté-sének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal tá-mogatása érdekében létrehozott és üzemeltetett informati-kai eszközök, eljárások, a kapcsolódó infrastruktúra, vala-mint az adat- és információfeldolgozást, tárolást, felhaszná-lást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informati-kai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokom-munikációs rendszer kifejezést is magába foglalja.)
Intranet: Az internetnél is használt TCP/IP protokoll-ra és szoftverekre (e-mail, FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intra-net rendszerint egy intézmény (esetleg földrajzilag na-gyon távol levő) informatikai eszközeit köti össze, és – az internetnek köszönhetően – olcsó, állandóan továbbfej-lesztett és könnyen megtanulható megoldást jelent belső információs rendszerek kialakítására. Az internet felől közvetlenül az intranet berendezéseit nem lehet elérni, csak tűzfalon keresztül, aminek feladata, hogy védelmet nyújt a belső gépek és az adatforgalom számára.
Jogtiszta szoftver: A szoftver tulajdonosa és haszná-lója között létrejött licencszerződésnek megfelelően használt szoftver. A Társaságnál a jogszerű használat ér-dekében biztosítani kell a szükséges mennyiségű és tar-talmú licencet és az annak megfelelő használatot.
Katasztrófa: Egy meghatározott területen vagy léte-sítményben bekövetkező, természeti erő vagy emberi te-vékenység következtében létrejött esemény (beleértve a
súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a kör-nyezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az infor-matikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelen-tős részének a rendeltetésszerű, folyamatos működését.
Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó e-mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélessé-get, tárhelyet, szellemi ráfordítást igényel. A kéretlen le-velek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik.
Kockázat: Fenyegető tényező vagy esemény bekövet-keztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. Ele-mei: a bekövetkezés gyakorisága és a kárnagyság. A koc-kázatot elemzéssel, a rendszert fenyegető tényezők érté-kelése útján kell megállapítani.
Kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontja-inak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakori-ságát.
Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kocká-zatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és azon kockázatok között, amelye-ket ezekkel az intézkedésekkel csökkenteni szándékoznak.
Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenye-gető tényezők ellen intézkedéseket tettünk, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem ter-vezünk megelőző intézkedést.
Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat.
Minősített informatikai rendszer: Olyan informati-kai rendszer, amely fokozott vagy kiemelt biztonsági osz-tályú besorolást kapott (pl. azért, mert stratégiai fontos-ságú adatot kezel, tárol, dolgoz fel a Társaság üzletvitele szempontjából).
19. szám A MÁV Zrt. Értesítője 993
Rendelkezésre állás: A rendszernek az a tulajdonsá-ga, hogy meghatározott helyen és időben, a rendeltetésé-nek megfelelő szolgáltatásokat nyújtani tudja. Ide kap-csolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezet-ben – akár csökkentett terjedelmű szolgáltatással – újra-éleszthetőek legyenek.
Rendszerüzemeltető: Az informatikai rendszer folya-matos üzemeltetését, a rendszerben kezelt adatok menté-sét, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáfé-rési engedélyek birtokában levő személy.
Sértetlenség (integritás): Az adatok eredeti állapotá-nak, tartalmának, teljességének és hitelességének biztosí-tása. Célja, hogy az információkat, adatokat, programo-kat csak az arra jogosultak (személyek, vagy más rend-szerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetékte-len módosítás, hamisítás elleni védelmet is jelenti.
Személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiak-ban: érintett) kapcsolatba hozható adat, az adatból levon-ható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minősé-gét, amíg kapcsolata az érintettel helyreállítható. A sze-mély különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fi zikai, fi ziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
Személyes adatok védelme: a törvény rendelkezéseit a Társaság adatvédelmi szabályzata megfelelően szabá-lyozza.
Témafelelős: Az informatikai alkalmazást vagy szol-gáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjob-ban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállí-tóval szemben, különös tekintettel a végzett szolgáltatá-sok mennyiségére és a feladatok határidejére.
Üzleti titoknak minősülő adat: a gazdasági tevé-kenységhez kapcsolódó minden, olyan – a közérdekű adat, illetve a közérdekből nyilvános adat fogalomkörén kívül eső – tény, információ vagy egyéb adat, valamint a belőlük álló olyan összeállítás, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult – ide nem értve a magyar államot – jogszerű pénzügyi, gazdasági vagy piaci érdekeit sérte-né vagy veszélyeztetné, és amelynek titokban tartása ér-
dekében a vele jogszerűen rendelkező személy (jogosult) az adott helyzetben általában elvárható intézkedéseket megtette.
Üzleti titok védelme: az üzleti titokkal jogszerűen rendelkező személy (jogosult) által, annak titokban tartá-sa érdekében megtett olyan intézkedések, amely az adott helyzetben általában elvárható.
VPN (Virtual Private Network – virtuális magánhá-lózat): Olyan virtuális számítógépes hálózat, amely pub-likus kommunikációs csatornák és eszközök segítségé-vel valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mel-lett, különböző titkosítási technikákat is alkalmaz, mi-által lehetőséget biztosít a Társaság számára, hogy a belső hálózatot elérhetővé tegye az erre feljogosított fel-használók számára, ezzel lehetővé téve a távmunkát végző felhasználók számára is, hogy ezen a kapcsolaton keresztül biztonságosan hozzáférjenek a Társaság háló-zatához.
4.0. AZ UTASÍTÁS LEÍRÁSA
4.1. A MÁV Zrt. informatikai biztonságpolitikája
4.1.1. Biztonságvédelmi irányelvekA Társaság informatikai rendszerei által kezelt adatok
bizalmasságának, sértetlenségének és rendelkezésre állá-sának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (pro-aktív) szemléletű biztonsági tevékeny-ség az alábbi védelmi alapelveken nyugszik.
– A védelmet fi zikai, logikai és adminisztratív vonat-kozásban egyaránt érvényesíteni kell az összes rendszer-elemre (teljeskörűség).
– Az informatikai rendszerek védelmét az általuk ke-zelt adatkörök és adatcsoportok biztonsági osztályba so-rolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem).
– Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell meg-valósítani (zártság).
– Az informatikai rendszerek által kezelt adatok védel-me erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság).
– Az informatikai rendszerek fejlesztése és megvalósí-tása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani ( folytonos-ság).
– A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A fel-használók különböző rendszerekhez való hozzáférési jo-gosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság).
994 A MÁV Zrt. Értesítője 19. szám
– A védelemben biztosítani kell a szabályozás – sza-bály-érvényesítés – ellenőrzés – szankcionálás folyama-tát (zárt szabályozási ciklus).
– A Társaság üzletmenete szempontjából létfontossá-gú, kiemelt biztonsági kategóriájú informatikai rendsze-reket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált.
– Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, prob-léma- és változáskezelési eljárások alkalmazásával vezet-hető be.
– A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők.
– A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, laptop, nyomtató, egyéb infor-matikai rendszerrel támogatott telekommunikációs esz-köz [vezetékes és mobiltelefon, rádió adóvevő] stb.) – el-térő írásbeli megállapodás hiányában – kizárólag a mun-ka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata nem megengedett.
– Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az el-lenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén.
– Minden felhasználó személyesen felelős saját mun-kájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekmé-nyekért.
– A munkáltató jogkör gyakorló felelős annak biztosí-tásáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket.
4.1.2. Az informatikai biztonsági irányelvek érvé-nyesítése
Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi von-zata is lehet, a kiadásáért felelősnek az egyeztetés folya-matába be kell vonni az IVO-t.
A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továb-bá hozzáférési szerződést vagy megállapodást írásba kell foglalni, és azt kötelező előzetesen véleményeztet-ni:
– az Infokommunikációs igazgatósággal (IKI) az in-formatikai stratégiával való illeszkedés biztosítása, az infokommunikációs tárgyú szabályzatoknak való megfe-lelés és a szerződés nyilvántartásba vétele,
– a Pályavasút üzletág Távközlő-, erősáramú- és bizto-sítóberendezési főosztállyal (TEBF) az infokommuniká-ciós hálózat igénybevételének megváltozásához kapcso-lódó következmények elbírálása, továbbá
– az IVO-val az informatikai biztonsági megfelelőség garantálása érdekében.
A szerződés kizárólag a felsorolt szervezeti egységek állásfoglalásának fi gyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja.
4.1.3. Az informatikai biztonság dokumentumai
4.1.3.1. Informatikai Biztonsági SzabályzatA jelen Informatikai Biztonsági Szabályzat a Társaság
informatikai, infokommunikációs biztonságával kapcso-latos alapvető dokumentum, amely tartalmazza a bizton-ságpolitikát, az alapvető fogalmakat, az informatikai biz-tonsággal kapcsolatos feladat- és hatásköröket, felelőssé-geket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén. Kar-bantartását az IVO végzi.
4.1.3.2. Infokommunikációs Biztonsági StratégiaAz Infokommunikációs stratégia integráns részeként,
annak önálló fejezeteként készül el az Infokommunikáci-ós Biztonsági Stratégia melyben átfogóbb biztonsági cé-lok szabják meg a Társaság informatikai biztonságpoliti-kájának kívánt szintjét. Az Infokommunikációs Bizton-sági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékeny-ségeket érintő intézkedési tervek összeállításának kiin-dulási alapja. Karbantartását az IKI az IVO-val együtt-működve végzi el.
4.1.3.3. Rendszerszintű Informatikai Biztonsági Szabályzatok
Az Informatikai biztonsági szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve spe-cifi kus szabályokat a rendszerszintű IBSZ-eknek (továb-biakban RIBSZ) kell tartalmaznia. Főbb pontjai: rend-szerkörnyezet, feladat-, felelősség- és hatáskörök, infor-matikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, lo-gikai, fi zikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés, működés-folytonosság terv. Tekintettel arra, hogy az ebben foglalt információk ille-téktelenek számára kitudódása a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyil-vánításuk indokoltságát a kiadáskor, illetve módosítás-kor minden alkalommal az üzleti tulajdonosnak vizsgál-nia kell.
A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes in-tézkedést vagy szabályozást. Egyedi esetben az IBSZ-től való eltérést az elnök-vezérigazgató engedélyezheti.
A RIBSZ minimális követelményeit tartalmazó mintát a 12. sz. melléklet tartalmazza.
19. szám A MÁV Zrt. Értesítője 995
4.1.4. A fejlesztés, üzemeltetés és felülvizsgálat irányelvei
4.1.4.1. Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése
A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsá-gi szabályokat és ellenőrzéseket kell előírni és működtet-ni. A biztonsági szabályokat időben, már a rendszer ter-vezése során, az IVO egyetértésével defi niálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biz-tonsági előírások igazolt teljesülése esetén szabad hasz-nálatba venni.
Biztonságos rendszer létrehozását a fejlesztési folya-matba épített ellenőrzési pontokkal kell garantálni. A fej-lesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, fi gyelembe véve az üzle-ti folyamatok érvényesülésének elsődlegességét.
Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biz-tonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az IVO-t is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését kö-vetően szabad üzembe helyezni, amelyről az üzleti tulaj-donos rendelkezik.
4.1.4.2. Számítógépes és hálózati szolgáltatások biz-tonságos üzemeltetése
A Társaság területén üzemelő informatikai eszközö-kön és hálózati berendezéseken – feltéve, hogy kifejezet-ten erre vonatkozó, az IVO által is véleményezett szerző-dés másként nem rendelkezik – kizárólag a Társaság ada-tait szabad kezelni, feldolgozni, illetve forgalmazni, kizá-rólag a Társaság által rendszeresített, jogtiszta, továbbá megfelelő vírusellenőrzésnek alávetett szoftverek alkal-mazásával. Szolgáltatási szerződés alapján külső szer-veknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól.
Az Társaság informatikai rendszereit (konfi guráció, rendszerfunkciók, felhasználói profi lok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen do-kumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtet-hető legyen az egyes személyek egyéni tudásától és hely-ismeretétől való túlzott függőség nélkül.
Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társa-ság üzleti tevékenysége minél kisebb hátrányt szenved-jen, ezért megfelelő intézkedéseket kell hozni valameny-nyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A műkö-dés-folytonosság tervezésével el kell érni, hogy kárese-
mény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védet-tek legyenek a nagyobb hibák és katasztrófák következ-ményeitől.
A minősített rendszerekben kért és kiadott jogosultsá-gokat hiteles, védett nyilvántartásban kell megőrizni.
A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának a biztonságát és az infrastruk-túra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban ke-zelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A hálózatok és az informatikai eszközök működtetésének feladatait szét kell választani. A nyilvá-nos hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellen-őrző eszközöket kell rendszerbe állítani. Pontosan defi ni-álni kell a távfelügyelet és a távmunka végzésének biz-tonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fi zikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba (pl. inter-net, levelező rendszerek) átlépni csak előre defi niált és engedélyezett módon szabad.
Az üzleti tulajdonos köteles az informatikai biztonság dokumentumait legfeljebb 3 évente átvizsgálni, továbbá akkor, ha a rendszer szempontjából lényeges változtatá-sok valósulnak meg.
4.2 A MÁV Zrt. informatikai biztonságának szer-vezeti struktúrája
A Társaság informatikai infrastruktúrája biztonságá-nak központi irányítását az elnök-vezérigazgató szabály-rendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság Információvédelmi osztály, az Infokommunikációs igazgatóság és a Távközlő-, erős-áramú- és biztosítóberendezési főosztály útján valósul meg.
Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el:
– IVO: szabályozás kialakítása, felügyelet, ellenőrzés,– IKI: technológiai biztonság kialakítása, informatikai
fejlesztések koordinálása,– TEBF: az infokommunikációs hálózat üzemeltetési
területén a technológiai biztonság kialakítása, a fel-adatkörébe tartozó rendszerek biztonságos üzemelteté-se.
A biztonsági irányelvek érvényre juttatásának garantá-lása érdekében, az Információvédelmi osztály a Társaság valamennyi informatikai fejlesztési és infokommuniká-ciós üzemeletetési szervezeteitől függetlenül kialakított szervezet.
996 A MÁV Zrt. Értesítője 19. szám
4.2.1. Feladat-, felelősség és hatáskörök szétválasz-tása
Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti.
Követelmény, hogy a Társaságon belül a feladat-, fele-lősség- és hatáskörök az egyes szervezeti egységek, illet-ve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetet-len funkciók szétválasztását és a felelősségre vonhatósá-got.
4.2.2. A MÁV Zrt. informatikai biztonságát irányí-tó vezetők és feladataik
Az informatikai biztonság irányításának szereplői:– elnök-vezérigazgató– biztonsági igazgató– információvédelmi osztályvezető– infokommunikációs igazgató
4.2.2.1. Elnök-vezérigazgatóa) Az informatikai biztonságra vonatkozó jogszabá-
lyok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását.
b) Létrehozza a Társaság informatikai biztonsági mun-kaszervezetét és biztosítja a szükséges humán erőforrást.
c) Meghatározza az informatikai biztonsági szervezet működési elveit és a Társaság gazdálkodása útján bizto-sítja a hatékony működés szervezeti, anyagi, műszaki, személyi, tárgyi feltételeit.
d) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság informatikai biztonsági tevékenységét ellenőr-ző, felügyelő információvédelmi szervezetet.
e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenysé-gére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó informatikai biztonsági szabályzatot (IBSZ).
f) A Társaság infokommunikációs stratégiája része-ként, jóváhagyja az informatikai biztonsági stratégiá-ját.
g) A jogszabályokban a gazdálkodó szervezet vezető-jére háruló informatikai biztonsági ellenőrzéseket a biz-tonsági igazgató közreműködésével gyakorolja, és irá-nyítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet.
h) Az informatikai létesítmények és rendszerek meg-valósításával, üzemeltetésével, fejlesztésével összhang-ban gondoskodik a jogszabályokban és kötelezően alkal-mazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a te-vékenységi körökkel kapcsolatos veszélyhelyzetek meg-előzésének és elhárításának feltételeiről,
i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd 4.8.5. pont).
4.2.2.2. Biztonsági igazgatóa) Gondoskodik az informatikai biztonságra vonatko-
zó jogszabályok végrehajtásáról, továbbá elkészíti a Tár-saságra vonatkozóan az informatikai biztonságpolitikát, az Informatikai Biztonsági Stratégiát és az Informatikai Biztonsági Szabályzatot.
b) Az informatikai biztonságot érintő jogszabályi vál-tozások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kez-deményezi új szabályok kibocsátását.
c) Az informatikai biztonságra is tekintettel, biztonsá-gi szempontból véleményezi a Társaság szabályzatait, szerződéseit.
d) Felelős az információvédelmi szervezet működési feltételrendszerének megteremtéséért. Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyama-tos továbbfejlődődés érdekében oktatásokon, továbbkép-zéseken, konferenciákon való részévelt. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erő-forrásokat.
e) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatok-ba épített ellenőrzési feladatait, tevékenységeit.
f) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében in-tézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehaj-tását az Információvédelmi osztály vezetője útján rend-szeresen ellenőrzi.
g) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdeké-ben intézkedik az érintetteknek az informatikai rendsze-rekből való kizárására.
h) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén.
i) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit.
j) Egyetértési jogot gyakorol az üzleti tulajdonosok ki-jelölése során.
4.2.2.3. Információvédelmi osztályvezető (informa-tikai biztonsági vezető)
Feladata:a) A Társaság által üzemeltetett, illetve a szervezet
adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek bizton-ságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek ter-vezése, szervezése, irányítása, koordinálása és ellenőrzé-se.
b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforráso-kat.
c) Irányítja a területi informatikai biztonsági megbí-zottak munkájának szakfelügyeletét.
19. szám A MÁV Zrt. Értesítője 997
d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenn-tartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának ki-dolgozása, továbbá közreműködik a Társaság Informati-kai Stratégiájának létrehozásában az Informatikai Biz-tonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezde-ményezi hírlevél kiadását, illetve e-mail útján informá-cióvédelmi tájékoztatót küld a Társaság munkavállalói részére.
e) Ellenőrzi a jelen szabályzatban megfogalmazott kö-vetelmények betartását. Értékeli a biztonsági intézkedé-sek hatékonyságát és hatásosságát. Intézkedéseket rendel el bűncselekmény elkövetésének megakadályozása, illet-ve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. Az informatikai biztonsággal összefüggő incidenseket és egyéb rendkívüli eseményeket jelenti a biztonsági igaz-gató részére, és részt vesz azok kivizsgálásában.
f) Segíti az üzleti tulajdonosokat az előírásszerű biz-tonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javasla-tokat tesz az informatikai biztonsági intézkedésekre, va-lamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgálta-tási szerződések kialakítását, szükség esetén ellenőrzi azok betartását.
g) Biztonsági szempontból felügyeli és támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről.
h) Koordináló szerepet vállal az informatikai rendsze-rek üzemeltetési biztonságának növelése, valamint a fel-használók informatikai biztonsági tudatának fejlesztése érdekében.
i) Felkérésre állást foglal a szabályzat előírásainak ér-telmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdé-sekben.
j) Közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért fe-lelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire.
k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során köz-vetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével.
Külön felhatalmazás nélkül jogosult:a) Az ellenőrzési, vizsgálati tevékenysége során, a Tár-
saság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai bizton-sággal kapcsolatban bármilyen iratba, dokumentumba,
okmányba, adatbázisba, számítógépes vagy más adathor-dozó tartalmába való betekintésre, illetve ezekkel kap-csolatban felvilágosítás kérésére. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskör-ben a Társaság belső adatvédelmi felelőse jogosult ellen-őrzést gyakorolni.)
b) A Társaság tulajdonában lévő, vagy általa bérelt épületben és azon belül minden – a Társaság tulajdoná-ban, kezelésében vagy használatában lévő – helyiségben az informatikai és távközlési eszközök biztonsági szem-pontú vizsgálatára.
Amennyiben ellenőrzési tevékenysége az üzleti folya-matok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását.
4.2.2.4. Infokommunikációs igazgatóa) A Társaság infokommunikációs stratégiájának ter-
vezése és végrehajtása során, továbbá az általa vezetett szervezeti egységek által megvalósított, biztosított és be-szerzett informatikai szolgáltatások és eszközök fejlesz-tésében, tervezésében és teljesítésében fi gyelembe veszi és elősegíti a Társaság informatikai biztonsági szabályai-nak érvényesülését.
b) Felelős az üzleti tulajdonosok kijelöléséért, azok fe-lelősségi körébe tartozó rendszerek, alkalmazások meg-határozásáért.
c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében.
4.2.3. A MÁV Zrt. informatikai biztonságát megva-lósító szervezetek és személyek
A Társaság azon szervezeti egységei, melyek – a Mű-ködési és Szervezeti Szabályzat értelmében – az informa-tikai rendszerek és szolgáltatások beszerzésében, fejlesz-tésében, működtetésében feladatai vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkez-nek, az alábbi módon felelősek a Társaság működését tá-mogató informatikai szolgáltatások és infrastruktúra ál-tal kezelt információk védelméért.
4.2.3.1. Infokommunikációs igazgatóságFelelős:– a Társaság infokommunikációs stratégiájának kiala-
kítása és végrehajtása során a jelen IBSZ-ben foglalt elő-írások érvényesüléséért,
– a Társaság informatikai biztonsági stratégiája biz-tonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irá-nyításáért és átvételéért, a Társaságnál való honosításá-ért,
– az üzleti tulajdonos támogatásáért, hogy új informa-tikai rendszerek megvalósítást célzó projektek előkészí-tése során a biztonsági rendszer tervezéséhez és megva-lósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek,
998 A MÁV Zrt. Értesítője 19. szám
– annak biztosításáért, hogy az új informatikai rend-szerek bevezetésénél, illetve a meglévők korszerűsítésé-nél a biztonsági rendszer tervezése és létesítése a projekt-megvalósítás keretein belül, annak szerves részeként ér-vényre jusson,
– minden informatikai rendszer tekintetében – a rend-szerfejlesztés részeként az üzleti tulajdonossal együttmű-ködve – a fejlesztésért, ennek során a rendszerszintű in-formatikai biztonsági követelmények (pl.: kockázatelem-zésre alapuló RIBSZ [benne a változáskezelés], műkö-dés-folytonossági terv) kialakításáért, valamint az ezek-ben foglalt informatikai követelmények operatív érvé-nyesítéséért, ellenőrzéséért és a szükséges védelmi intéz-kedések megvalósításáért, illetve szükség esetén a szank-cionálás kezdeményezéséért,
– az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásá-ért,
– informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működ-tetett rendszerek esetében a Társaság informatikai biz-tonsági érdekeinek az érvényesítéséért,
– az informatikai szolgáltatók, szolgáltatási szerződé-sek és SLA-k biztonsági megfelelőségéért,
– jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért,
– az operációs rendszerek és alkalmazások – a Társa-ság által ellenőrzött – biztonsági javításainak beszerzésé-ért és telepítéséért,
– társasági szintű Konfi gurációkezelési Adatbázis fel-állításáért és működtetéséért,
– felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért,
– a minősített rendszerekben társasági szinten egysé-gesített elvekre épülő változáskezelés működtetéséért,
– a távfelügyelet, a mobil eszközökkel végzett és a táv-munka biztonságos feltételeinek kialakításáért (pl. táv-munka nyilvántartása, hálózati becsatlakozási pontok ki-jelölése, eszközök védelméhez authentikációs és rejtjelző eszközök biztosítása, védett vonalak kialakítása) a TEBF, az IVO és az üzleti tulajdonosok (távmunka engedélyez-tetése) közreműködésével,
– A PKI (Publikus Kulcsú Infrastruktúra) vonatkozá-sában a tanúsítvány szolgáltatóknál a Társaság teljes jog-körű képviseletéért és ennek kapcsán kizárólagos jogkör-rel – egyutas ügyintézésként – a „kapcsolattartói” fel-adatkör ellátásáért.
– az informatikai biztonsági adminisztráció, így külö-nösen a hozzáférés-menedzsment kialakításáért.
4.2.3.2. Pályavasút üzletág Távközlő-, erősáramú- és biztosítóberendezési főosztály
Távközlési osztályFelelős a Társaság infokommunikációs hálózata vonat-
kozásában:– a biztonsági osztályok követelményeinek megfelelő
adathálózati védelmi rendszerek, eszközök honosításáért, fejlesztések koordinálásáért, szabványosításáért,
– a rendszerszintű informatikai biztonsági követelmé-nyek és a RIBSZ kialakításáért, valamint az ezekben fog-laltak operatív érvényesítéséért, ellenőrzéséért és a szük-séges logikai, fi zikai és adminisztratív védelmi intézke-dések megvalósításáért, illetve szükség esetén szankcio-nálás kezdeményezéséért,
– Társaság szinten egységes változáskezelési rendszer kialakításáért,
– annak biztosításáért, hogy az új hálózati technológi-ák és struktúrák bevezetésében a biztonsági rendszer ter-vezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre,
– az adathálózatot megvalósító rendszerekben, környe-zetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért,
– a működtetés biztonságával kapcsolatos rendszerek üzemeltetéséért, az üzemeltetési biztonság operatív el-lenőrzéséért.
4.2.3.3. Főtevékenységi kör vezetőKöteles főtevékenységi körében megvalósítani az in-
formációvédelmet és adatbiztonságot. A munkaszerve-zetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk vé-delméért. Ennek keretében irányítási területén, a felelős-ségi körébe tartozó informatikai rendszerekre nézve fe-lelős:
– a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért,
– a rendszerfejlesztési projekt előkészítése során a biz-tonsági rendszer tervezéséhez és megvalósításához szük-séges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért,
– a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért,
– a biztonsági beruházások éves tervének összeállítá-sáért és annak megvalósításáért,
– az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosí-tásáért,
– a biztonsági rendszernek a rendszerszintű informati-kai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért,
– az általános biztonsági kultúra folyamatos gondozá-sáért,
19. szám A MÁV Zrt. Értesítője 999
– informatikai biztonsági ügyekben a Biztonsági igaz-gatósággal és az IKI-vel való együttműködésért.
4.2.3.4. Üzleti tulajdonosMinden informatikai rendszer és eszköz biztonságát
egy-egy üzleti tulajdonoshoz kell rendelni, amit az in-formatikai rendszerfejlesztést kezdeményező tájékozta-tása alapján az infokommunikációs igazgató előterjesz-tése és a biztonsági igazgató egyetértése alapján az el-nök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásá-ban is szerepeltetni kell. Mindaddig, amíg az üzleti tu-lajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató.
Az üzleti tulajdonos az a vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Cél-szerűen annak a szervezeti egységnek a vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jog-köre a rendszerrel szemben nem csak a projekt megvaló-sítási szakaszában, hanem azon túl a rendszer teljes élet-ciklusában fennáll. Ő a rendszer biztonsági kockázatai-nak kezelője, felelőssége kiterjed az adott rendszer infor-matikai termékeit, illetve szolgáltatásait érintő hagyomá-nyos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az infor-matikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellen-őrizzék. A biztonsági előírások érvényesülése szempont-jából legfeljebb 3 évenként felül kell vizsgáltatnia a tulaj-donolt rendszer működését biztosító informatikai hátte-ret, a rendszer beszállítóját, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetők te-vékenységét.
Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában:
– a rendszerek tervezése és fejlesztése során az üze-meltetés biztonsági kockázatainak felméréséért és érté-keléséért, ennek alapján az IKI és az IVO vezetőjének egyetértésével a rendszer biztonsági osztályba sorolásá-ért,
– a kockázatok minimalizálásához szükséges ráfordí-tások, erőforrások, intézkedések menedzseléséért, a ma-radványkockázat meghatározásáért és elfogadásáért,
– a rendszer rendelkezésre állási paramétereinek meg-határozásáért, az előre nem várható események (inciden-sek) esetén a szükséges tevékenység irányításáért,
– a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biz-tosításáért,
– a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. kockázatelemzés, rend-szerterv, RIBSZ, Működés-folytonossági terv, felhaszná-lói- és üzemeltetői kézikönyvek) elkészítéséért és aktua-lizálásáért,
– a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés),
– a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért,
– a rendszer használata során a kialakított biztonsági szint fenntartásáért,
– a rendszer változása (fi zikai, jogi, szervezeti, szoft-ver, hardver stb.) esetén a lehetséges új kockázati ténye-zők feltárásáért és értékeléséért,
– a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában,
– a működés-folytonosság biztosítása érdekében terve-zett feladatok végrehajtásának ellenőrzéséért,
– a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért,
– a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért,
– a rendszert használók és üzemeltetők jogosultságai-nak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért,
– központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért.
Jogosult az általa tulajdonolt rendszer(ek) vonatkozá-sában:
– megbízott kijelölésére, aki a nevében eljár,– a rendszer kifejlesztésével (beszerzésével), használa-
tával és karbantartásával kapcsolatos biztonsági döntések meghozatalára,
– a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére,
– a rendszer biztonsági osztályba sorolásából követke-ző védelmi intézkedések foganatosítására, illetve kezde-ményezésére a Társaság felső vezetése felé,
– az esetlegesen előforduló informatikai biztonsági in-cidensek kivizsgálásában való közreműködésre, a szük-séges szankciók kezdeményezésére,
– IVO, IKI és más szakmai szervezetek segítségének közvetlen igénybe vételére,
– szükség szerint az informatikai biztonsági tevékeny-ség ellátásában közreműködő rendszerszintű informati-kai biztonsági megbízott kijelölésére (lásd 4.2.3.9. feje-zet).
4.2.3.5. Szakterületi vezetők:Az alábbi kiemelt feladatok vonatkozásában a Társa-
ság egészére kiterjedően felelős:Személyzetfejlesztés vezetője:– Az Infokommunikációs Igazgatóság, illetve a Biz-
tonsági Igazgatóság által igényelt és az éves képzési terv-ben jóváhagyott informatikai biztonsági képzések, to-vábbképzések és tréningek megszervezéséért.
1000 A MÁV Zrt. Értesítője 19. szám
Belső ellenőrzési főosztály vezetője:– az informatikai és az informatikai biztonsági szakte-
rület ellenőrzési folyamatai kialakításának szakmai irá-nyításáért és a szakmai szabályzatokban foglaltak elő-írásszerű végrehajtásának ellenőrzéséért,
– az Általános Ellenőrzési Utasítás informatikát érintő tevékenységeinek ellátása során az együttműködés kez-deményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások IVO számá-ra történő átadásáért.
Jogi igazgatóság vezetője:– az informatikai rendszerekben előforduló, társasági
szintű következményekkel járó biztonsági események ér-tékelésénél az ezek alapján meghozandó munkáltatói in-tézkedések, szankciók foganatosításáért.
Ingatlangazdálkodási igazgatóság vezetője:– a Társaság objektumainak, telephelyeinek az infor-
matikai biztonsági követelményeknek is megfelelő védel-me biztosításáért.
4.2.3.6. Felhasználó beosztottal rendelkező vezetőIrányítási területén biztosítania kell, hogy az informa-
tikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglalta-kat minden általa vezetett munkavállaló és külső hozzá-férő teljes mértékben megismerje és betartsa. Ennek so-rán feladata:
– a közvetlen irányítása alá tartozók részére a Társa-ságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüg-gesztés, visszavonás stb.) kezdeményezése,
– a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, mi-nősített rendszerek esetén a munkálatok felügyeletének megszervezése,
– a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos fi gyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, és közvetlenül az IVO részé-re (lásd 4.9.1. fejezet),
– szükség esetén a működési területe speciális jelleg-zetességeit tükröző helyi végrehajtási utasítás kibocsátá-sa vagy oktatások megigénylése, és a hozzátartozó mun-kavállalók oktatásokon való megjelenésének biztosítása,
– a Felhasználók biztonsági kötelezettségei c. doku-mentumban (1. sz. melléklet) rögzítettől eltérő használa-tának észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az IVO részére.
4.2.3.7. Információvédelmi szakértőAz IVO szervezeti keretei között, az információvédel-
mi szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban:
– a rendszerszintű informatikai biztonsági dokumen-tumok kidolgoztatása,
– informatikai fejlesztésekben az IVO képviselete,– az informatikai biztonsági rendszerek, valamint a
rendszer-adminisztrátorok és rendszergazdák tevékeny-ségének ellenőrzése, biztonsági felügyelete,
– a területi informatikai biztonsági megbízottak mun-kájának szakfelügyelete,
– rendszerüzemeltetési dokumentumok vizsgálata,– informatikai biztonság események (incidensek) ki-
vizsgálása,– javaslattétel a védelmi intézkedésekre, szankciókra,– a fi zikai biztonság megvalósulásának felügyelete,– informatikai biztonsági szaktanácsadás, üzleti tulaj-
donosok, vezetők, felhasználók segítése,– biztonsági naplók ellenőrzése,– szakmai ismereteit felhasználva támogatást nyújt az
informatikai biztonsági képzési, oktatási tevékenység ré-szére, az O.1. utasításban szereplő informatikai biztonsá-gi oktatások tematikájának véleményezésében, az oktatá-sok időtartamának és gyakoriságának előírásában,
– közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbí-zottakkal, a projektvezetőkkel, valamint a Társaság le-ányvállalatainak informatikai biztonságért felelős biz-tonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re,
– biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informa-tikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság infor-matikai biztonsági tevékenységét ellátó szakértőjével.
4.2.3.8. Területi informatikai biztonsági megbízottA Biztonsági igazgatóság területi vasútbiztonsági osztá-
lyain létesített biztonsági megbízott munkakör betöltője a területi osztályvezető hatáskörében eljárva, kizárólag neki alárendelten, az IVO szakmai irányításával végzi az infor-matikai biztonságot támogató munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett:
– ellenőrzi az informatikai biztonságra vonatkozó egy-szerűbb szabályok betartását, különös tekintettel az ille-téktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használatra, a jelszavak illetéktele-nek tudomására jutására stb.,
– informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi osztályve-zetőt és az IVO-t,
– helyi ismereteit felhasználva részt vesz az informati-kai biztonsági rendkívüli események kivizsgálásában,
– ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát,
– felügyeli a fi zikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása).
19. szám A MÁV Zrt. Értesítője 1001
4.2.3.9. Rendszerszintű informatikai biztonsági megbízott
Az üzleti tulajdonos egyedi kijelölése alapján, az infor-matikai fejlesztések és projektek, valamint az informati-kai rendszerek üzemeltetése során – az IVO szakmai tá-mogatásával – közreműködik az üzleti tulajdonos rend-szer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett:
– előkészíti és nyomon követi az informatikai bizton-ságot érintő dokumentumokat,
– előkészítő munkát végez az üzleti tulajdonos dönté-seinek támogatása érdekében,
– fi gyelemmel kíséri a biztonsági követelményekre ki-alakított szabályok betartását,
– közreműködik az érintett rendszer informatikai biz-tonsági feladatainak ellátásában,
– informatikai biztonsági rendkívüli események észle-lése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost és az IVO-t.
4.2.3.10. ProjektvezetőA Társaság informatikai rendszereit érintő fejlesztési
projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős:
– a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért,
– az adott informatikai rendszerben és annak környe-zetében megvalósítandó fi zikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek megha-tározásának kezdeményezéséért,
– az informatikai rendszerben kezelendő, üzleti titok-nak minősülő adatok titokban tartása érdekében a szük-séges intézkedések kezdeményezéséért,
– az informatikai rendszer biztonsági osztályba sorolá-sát megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulaj-donossal történő jóváhagyatásáért,
– A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogo-sultság kezelő rendszer elveinek érvényesítéséért.
– mindaddig, amíg az üzleti tulajdonos nem kerül kije-lölésre, annak feladatait a projektvezető látja el,
– a fi zikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az IVO szakmai együttműködésének a biztosításáért,
– a rendszer biztonsági dokumentumainak (Kockázat-elemzés, RIBSZ, Működés-folytonossági terv, felhaszná-lói- és rendszer dokumentációk) elkészíttetéséért,
– a projekt bevezetéséhez szükséges képzések és okta-tások tematikájának felterjesztéséért, a képzésben részt-vevők körére és a képzések szervezésének ütemezésére.
– a biztonsági rendszernek az éles üzembe történő be-vezetéséért.
4.2.3.11. Üzemeltetés-vezetőA Társaság kiemelt fontosságú informatikai rendszere-
inek és koncentrált informatikai erőforrásainak (pl. szá-mítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős:
– a hatáskörébe utalt informatikai rendszerekben ke-zelt információk bizalmasságának, hitelességének és sér-tetlenségének védelméért,
– a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifi kus RIBSZ biztonsági előírásainak ér-vényre juttatásáért,
– a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechaniz-musainak a védelmi rendszertervben jóváhagyott beállí-tásáért és naprakészen tartásáért,
– a biztonsági rendszerben beállt változások dokumen-tálásáért,
– a biztonsági naplók szabályszerű kezeléséért, az ész-lelt biztonsági események feljegyzéséért, ezekről a rend-szer üzleti tulajdonosa és az IVO tájékoztatásáért,
– a rendszer működtetésében résztvevő rendszergaz-dák, biztonsági adminisztrátorok tevékenységének ösz-szehangolásáért.
4.2.3.12. Rendszeradminisztrátor, rendszergazdaA Társaság informatikai rendszerének telepítését, kon-
fi gurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata:
– a logikai védelmi rendszer beállítása a védelmi rend-szertervnek és a jóváhagyott jogosultságoknak megfele-lően,
– adatszolgáltatás a jogosultság nyilvántartó rendszer részére,
– a biztonsági és védelmi beállítások módosítása, ak-tualizálása a jóváhagyott változásoknak megfelelően,
– RIBSZ betartásának operatív ellenőrzése a biztonsá-gi rendszerek folyamatos felügyeletével, az észlelt rendel-lenességek kezelése,
– az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékeny-ségek biztonsági felügyelete,
– különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jo-gosulatlan licensz-felhasználás jelentése a felettes üze-meltetés-vezető és közvetlenül az IVO részére,
– a biztonsági rendszerben történt változások doku-mentált követése,
– a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és közvetlenül az IVO részére.
4.2.3.13. FelhasználóAki a Társaság üzleti céljainak elérése érdekében in-
formatikai eszközt kezel, és arra telepített programot (al-kalmazást) használ feladatai megoldásához, köteles az
1002 A MÁV Zrt. Értesítője 19. szám
általa kezelt eszközök, rendszerek informatikai biztonsá-gára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonat-kozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentáci-ók biztonsága c. fejezetben (4.6.1.1. pont) megjelölt sze-mélynek kell a felhasználó rendelkezésére bocsátania.
Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentum-ban foglaltakat megismerni, azt a 2. sz. melléklet aláírá-sával elfogadni és napi munkájában alkalmazni.
4.2.3.14. Informatikai szolgáltatóA Társaság részéről szerződő fél köteles a Társaság in-
formatikai biztonsági előírásait érvényesíteni az infor-matikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során.
Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek el-látása során a kezelt adatok bizalmasságának, sértetlen-ségének és rendelkezésre állásának megőrzését, a Társa-ság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgál-tatási szerződésnek megfelelő működést.
4.2.4. Az informatikai biztonság szabályozása a MÁV Zrt. partnereire vonatkozóan
4.2.4.1. ÜgyfelekAz ügyfelek informatikai biztonságával kapcsolatos
intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő infor-mációk kiszivárgását. Ezért a biztonsági gyakorlat az ügyfeleket hasznosságuk mellett, bizonyos mértékű ve-szélyforrásnak is tekinti. A Társaság ügyfelei nem köte-lezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Tár-saság részére. A szerződéssel rendelkező ügyfelek eseté-ben tájékoztató jelleggel fel kell hívni a fi gyelmet a szol-gáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljá-rások alkalmazására.
4.2.4.2. Más vasúttársaságok, nemzetközi vasút-szervezetek
A Társaság informatikai rendszerei több szálon is kap-csolódnak más nemzeti vagy nemzetközi vasúti szerve-zet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás).
Ezekben a kapcsolatokban – megfelelő szakmai előké-szítő tárgyalások után – az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biz-
tonsági követelményeiben, besorolásában. Az írásba fog-lalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a bizton-ság garantálásához alkalmazandó üzemeltetési, felügye-leti és ellenőrzési eljárások részleteit.
A Társaság oldalán az érintett rendszerek üzleti tulaj-donosainak gondoskodniuk kell arról, hogy az együttmű-ködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással.
4.2.4.3. Informatikai szolgáltatók, beszállítók, szer-vizek
Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég vala-mely – informatikai biztonságot is érintő – szolgáltatását. Ilyen szolgáltatás lehet:
– hálózat (internet) szolgáltatás,– on-line banki szolgáltatás,– hardverkarbantartás, javítás,– hardver/szoftver bérbeadás,– hardver/szoftver üzemeltetés– hosting szolgáltatás– rendszeradminisztráció, vírusvédelem,– szoftverfejlesztés,– alkalmazás-követés (upgrade, patch stb.),– oktatás,– egyéb informatikai szolgáltatás (pl. nyomtatás),– takarítás, őrzés-védelem,– stb.A Társaság biztonsági érdekeit érvényesíteni kell mind
a beszállítók megválasztásával, mind a szerződések meg-kötésénél a megfelelő biztonsági garanciák beépítésével. Az informatikai beszállítók kijelölése, kiválasztása az IKI feladata, de a biztonsági megfelelőség megítélésében köteles kikérni és fi gyelembe venni az IVO véleményét.
Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállí-tói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszer-nek 3. sz. mellékletben felsorolt elemekből kell felépül-nie. A minősítést az IKI igénye alapján az IVO végzi, véleményét (értékelését) írásban megadja, amit a további-akban a fejlesztési dokumentumok részeként kell kezelni.
4.2.4.4. Projekt partnerekA Társaság informatikai rendszereinek korszerűsítésé-
re, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyezteté-sénél – az érintett rendszer biztonsági besorolásának megfelelően – az informatikai biztonsági előírások mara-déktalan érvényesítését is biztosítani kell.
A pályázati felhívásban – a funkcionális követelmé-nyek mellett – a pályázóktól elvárt informatikai biztonsá-gi követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai
19. szám A MÁV Zrt. Értesítője 1003
rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az IVO állásfoglalását ki kell kér-ni. A pályázati anyagok elbírálása során a biztonsági be-sorolás szintje által determinált súlyozással kell fi gyelem-be venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vál-lalt biztonsági garanciákat. A kiválasztás során alkal-mazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert.
4.2.4.5. Partner-Szerződések megkötésének bizton-sági szabályai
Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fi zikai-, illetve logikai hoz-záférési lehetőségeket biztosítunk, újabb kockázatok je-lennek meg. Ezek kompenzálása érdekében a partnerek-kel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek bizton-sági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják)
a partner számára:– a Társaság informatikai rendszereinek tárgyiasult
elemeihez (infrastruktúra, hardver, adathordozók, doku-mentumok) való közvetlen fi zikai hozzáférést, a Társaság objektumaiban végzett munkát,
– a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést,
– személyes adatok kezelését,– a szerződéssel kapcsolatos információk nyilvánosság-
ra hozatalát, vagy harmadik fél részére történő átadását,– alvállalkozók bevonását;
a Társaság számára:– a partner által végzett belső- és külső tevékenységek
felügyeletét, ellenőrzését, szükség esetén beavatkozását,– a partner által nyújtandó szolgáltatás szintjének ob-
jektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését,
– a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését,
– biztonsági auditor cégek bevonását.
A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is:
– titokvédelem,– szerzői jogi és tulajdonjogi kérdések,– hazai, nemzetközi valamint MÁV Zrt. szabványok-
nak, előírásoknak való megfelelés,– változáskezelés folyamata,– problémakezelés folyamata,– kockázatkezelés, a biztonsági szint fenntartásának
folyamata.
A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai sze-rint történik, de a rendszerek kialakítását vagy módosítá-sát érintő szerződéseknek kötelező informatikai bizton-sági fejezetet is tartalmaznia. Minden informatikai rend-szert érintő előkészítésbe be kell vonni az IVO-t, a szer-ződés megkötéséhez állásfoglalását ki kell kérni. A pro-jekt munkaszervezetében az IVO részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd. 4.2.3.9. fejezet) részvételével külön biz-tonsági alprojektet / projektmodult kell működtetni, ami-nek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése.
Beszállítói szerződést csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogal-mazásra kerülő speciális elvárások teljesítését, és lehető-séget biztosít a Társaság számára azok teljesülésének fel-ügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíte-niük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásá-ban, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék.
4.2.5. Az informatikai biztonság szabályozása erő-forrás-kihelyezés esetén
Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a 4.2.4.5. fe-jezet általános szabályai ezekre az esetekre is érvénye-sek.
Tekintettel arra, hogy az outsourcing típusú szolgálta-tások esetén a Társaság – mint megbízó – a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett fele-lősségnek tükröződnie kell a szerződések tartalmi részé-ben. Egyértelmű szerepkör-elhatárolás szükséges a meg-bízó és a vállalkozó között az informatikai rendszer üze-meltetési folyamatai tekintetében, hogy egyetlen lénye-ges tevékenység se maradjon gazdátlanul, illetve ne le-gyenek indokolatlan párhuzamosságok.
Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az IVO együttműködésével környezettanul-mányokat kell végezni a potenciális partnereknél.
Kiemelt biztonsági osztályba tartozó rendszerek üze-meltetése csak különleges körültekintéssel meghatáro-zott garanciális elemek biztosítása esetén, az üzleti tulaj-donos, az IVO és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti dön-tése esetén adható vállalkozásba.
1004 A MÁV Zrt. Értesítője 19. szám
4.3. Az informatikai eszközök leltárba vétele és el-lenőrzése
A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfe-lelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szem-pontból kiemelten fontos a fi zikai vagyon, a szoftver-va-gyon és az információ-vagyon számbavétele.
4.3.1. Számadási kötelezettségek az eszközökkel kapcsolatban
A Társaság informatikai vagyontárgyait leltárba kell venni. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A va-gyonleltár adatai fontos kiindulópontot jelentenek a koc-kázatkezelés és az informatikai stratégia tervezése során. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva.
4.3.2. Konfi gurációkezelési adatbázis (KKA)A Társaság informatikai infrastruktúrája áttekinthető-
ségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfi gurációkezelési adatbázis (KKA), amely – a vagyonleltár részeként vagy külön adatbázisban – a biztonság hatékony menedzselésé-hez nélkülözhetetlen adatokat kezel. E naprakész nyilván-tartásban kell lekérdezhetővé tenni az összes (nem csupán fi zikai jellegű) informatikai rendszerelem, illetve a biz-tonság menedzselésével összefüggő egyéb entitás (pl. biz-tonsági tartományok, biztonsági osztály, üzleti tulajdo-nos, üzemeltetés / tárolás helyszíne, felhasználó, változta-tási kérelmek, események, problémák, ismert hibák fel-jegyzése stb.) adatait, ezek egymás közötti összefüggéseit.
A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfi gurációs elemekkel összefüggő egyéb információ-kat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyil-ván kell tartani.
A tevékenység ellátását elősegítheti egy olyan megol-dás, amely a teljes körű hardver- és szoftverleltár, vala-mint a licencgazdálkodás elősegítése érdekében az infor-matikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára.
A KKA kialakítása és naprakészen tartásának biztosí-tása az IKI feladata, melyet, a vagyonleltárt kezelő rend-szerrel összefüggésben – lehetőleg azzal együtt – kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalma-zásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az IVO, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üze-meltetését, mennyiségi stb. felügyeletét végzők számára.
4.4. Személyi biztonság
4.4.1. Az alkalmazás előttAz eszközök nem megfelelő használata során bizton-
sági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben al-kalmazást megelőzően szükségessé válik. A munkaszer-ződés meg vagy újrakötésekor a munkájához informati-kai eszköz használatra kötelezett munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben sze-replő nyilatkozat aláírásával érvényesíteni kell az infor-matikai biztonságra vonatkozó követelményeket. A mel-lékletek átadása és a munkavállalóval való kitöltetése a humánpartner szervezet feladata. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az elő-zőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk.
Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet nem szüksé-ges újból aláíratni, azonban az 1. sz. mellékleltet – az esetlegesen bekerült változások miatt – meg kell ismer-tetni a felhasználókkal.
Az egyéni munkaköri leírásoknak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcso-latos követelményeket a felelősség egyértelmű megjelölé-sével. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. Amennyiben a Társa-ság informatikai eszközöket és szolgáltatásokat bocsát a munkakörhöz, a használat szabályairól és az ellenőrzésé-nek lehetőségéről a munkakör betöltésével kapcsolatos eljárás folyamatában a munkavállalókat írásban kell tájé-koztatni.
4.4.1.1. A kiemelt fontosságú munkakörökKiemelt fontosságú munkakörnek tekintjük azon sze-
repkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználókét, egyúttal több felhasználóra, al-kalmazásra vagy rendszerre kiterjedő adatkezelési, dön-tési stb. jogkörrel rendelkeznek.
Az utasítás 4.2.3.8. – 4.2.3.12. pontjaiban szereplő, in-formatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése so-rán a jelölt előzetes hozzájárulása mellett az interjú jegy-zőkönyvet a Humánerőforrás igazgatóság az IVO vezető-je részére megküldi, és a kiválasztott jelölt referencia vizsgálatát az IVO elvégzi.
A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepel-tetni kell.
19. szám A MÁV Zrt. Értesítője 1005
4.4.2. Az alkalmazás alatt
Az alkalmazás alatt a munkáltatói jogkör gyakorlójá-nak, az üzleti tulajdonosnak, az IKI-nek, az IVO-nak együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai bizton-ság fenyegetéseinek, ezáltal is motiválva legyenek az in-formatikai biztonsági szabályok betartására. A felhasz-nálókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biz-tonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok mini-malizálása érdekében.
4.4.2.1. A vezetők felelősségeAz adott szervezeti egység vezetőjének felelőssége,
hogy megkövetelje a felhasználóktól és a szerződő felek-től, hogy a biztonsági intézkedéseket az IBSZ-el össz-hangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik.
A Biztonsági Igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informa-tikai képzések tematikájában megfelelő súllyal szerepel-jen.
A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése.
4.4.2.2.Oktatás és képzésA felhasználóknak a munkakörüknek megfelelően is-
merniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat.
A felhasználói oktatás tematikáját és időtartamát – mind az informatikai, mind az informatikai biztonsági igényeket fi gyelembe – véve a Társaság oktatási utasítá-sában (O1) kell szabályozni. Főszabályként belépéskor biztonsági alapképzést, majd évente utánképzést kell megvalósítani. A biztonsági képzések tananyagát a ko-rábban már említett, a 1. sz. mellékletben bemutatott, Fel-használók biztonsági kötelezettségei c. segédlet képezi, amit az adott munkaterület speciális igényei szerinti elő-adásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs esz-közök helyes használatát.
4.4.2.3. Biztonsági események megelőzése, jelentéseMinden felhasználónak ismernie kell a Társaság mű-
ködésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző ese-mények (biztonsági előírások megsértése, veszélyek, hiá-nyosságok vagy működési zavarok, pl. vírusfertőzés) je-lentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett
munkavállaló ezt a 4.4.1 fejezetben leírtak szerinti Infor-matikai biztonsági nyilatkozat aláírásával tejesíti.
Az informatikai rendszert, vagy a hálózat működését érintő biztonsági rendkívüli eseményt a felhasználói köte-les a közvetlen vezetőjének, akadályoztatása esetén az ille-tékes személyzetnek jelenteni, szükség esetén a kármegelő-zési, kárelhárítási intézkedéseket érdekében mindent meg-tenni. Köteles az eredményes kivizsgálást elősegíteni. A szervezeti egység vezetője jelentését haladéktalanul köteles megtenni az IVO vezetőjének (telefon, fax, e-mail stb.).
A jelen IBSZ személyi hatálya alá tartozó vállalkozó-nak (2.1.1 fejezet 3. bekezdés), továbbá az erre alkalmas rendszerek külső használóinak a velük kötött szerződés-ben kell felelősséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerződésben való sze-repeltetéséért a szerződés Társaság oldali aláírója felelős.
Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követően az eseményt előidéző, az esemény okait és lefolyását feltáró, vagy megismerhetővé tevő bizonyítékok ne semmisüljenek meg, azok össze-gyűjthetők és értékelhetők maradjanak.
4.4.2.4. Felelősség vizsgálataAzokkal a munkavállalókkal szemben, akik a Társa-
ság informatikai biztonsági szabályzatait és eljárásait megsértették fegyelmi eljárást kell indítani. Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyéb-ként hajlamosak lennének arra, hogy a biztonsági szabá-lyokat megszegjék. A biztonsággal összefüggő munka-vállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssége és egyben kötelessége. A vizs-gálat az IVO bevonásával történik.
4.4.3. Az alkalmazás megszűnésekor vagy változá-sakor
A munkaviszony megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal.
A munkaviszony megszüntetésekor a Társaság szem-pontjából biztonsági alapkövetelmény, hogy a munkavál-lalók rendezett módon hagyják el a szervezetet vagy vált-sanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a távozó munkatárs bármely általa hasz-nált informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése előtt mentést kell végezni. A munkatárs nyilatkozata alapján, a mentő eszközökről a hitelt érdemlően bizonyítható személyes adatait törölni kell. Az adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a távozó munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban – erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára – feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek.
1006 A MÁV Zrt. Értesítője 19. szám
Távozás során a berendezéseket át-, illetve a nem hasz-nált eszközöket le kell adni a hozzáférési jogokat azonnal vissza kell vonni, amelynek ellenőrzéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságo-kon kívül visszavonásra kerülő vagy átalakítandó hozzá-férési jogok közé tartoznak a fi zikai vagy logikai hozzá-férések, azonosítók, beléptető kártyák, előfi zetések. Kü-lönös fi gyelemmel kell lenni a munkakörből távozáskor az aktív számlákhoz hozzáférést biztosító jelszavak visz-szavonására, illetve megváltoztatására.
Amennyiben szükséges a munkaviszony megszűnése-kor titoktartási nyilatkozatban, megállapodásban kell rögzíteni a felelősségeket, amelyek még vonatkoznak a távozó munkatársra egy meghatározott időszakon át a munkaviszony megszűnése után is.
4.4.3.1. Az eszközök visszaadásaAlapvető biztonsági cél, hogy minden felhasználó
szerződése lejártáig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvere-ket, társasági dokumentumokat, az informatikai eszkö-zöket, hitelkártyákat, beléptető kártyákat, illetve külön-féle elektronikus adathordozón tárolt információkat.
Azokban az esetekben, amikor egy felhasználó meg-veszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről min-den a Társaságot érintő adatot biztonságosan törölni kell (lásd 4.6.4.1. fejezet „h” pont). Ennek megvalósulása ér-dekében a megállapodás kizárólag az IVO – ennek meg-történtét igazoló – véleményének kiadását követően tör-ténhet meg.
4.4.3.2. Az átszervezés biztonsági kérdései
Egy átszervezés esetében már a tervezési szinten az IVO bevonásával információvédelmi szempontból is át-fogóan elemezni kell a biztonsági kockázatokat, meg kell határozni azokat az informatikai biztonsági követelmé-nyeket, intézkedéseket, melyeket szervezetnek érvényesí-tenie kell. A fájlszervereken lévő megosztott munka-könyvtárak és az alkalmazási rendszer hozzáférés-védel-mét ellenőrizni, szükség esetén módosítani kell. Ezek a veszélyforrások csak részben küszöbölhetőek ki techni-kai biztonsági intézkedésekkel.
4.5. Fizikai és környezeti biztonság
A berendezések fi zikai védelmének célja az eszközök állagának, információfeldolgozó képességüknek megőr-zése, folyamatos működőképességük fi zikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben:
a) gondatlan emberi magatartásból, helytelen üzemelte-tésből, mulasztásból eredő fi zikai jellegű veszélyeztetés,
b) szándékos emberi beavatkozásból származó fi zikai jellegű károkozás, rongálás,
c) illetéktelen személyek hozzáférése, beavatkozása okozta károk,
d) lopásból eredő károk,e) műszaki meghibásodás, üzemzavar okozta károk,f) természeti csapások, katasztrófa események követ-
keztében keletkező károk.A védelmi intézkedések e csoportja a Társaság infor-
matikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephe-lyek védelmére, valamint a berendezések folyamatos mű-ködéséhez szükséges környezeti feltételek biztosítására szolgál.
4.5.1. Biztonsági szegmensekA fi zikai biztonság megalapozását biztonsági területek
kijelölésével kell kezdeni. Minden olyan helyiséget, épü-letet, telephelyet, amely az informatikai rendszer bármely elemének üzemszerű elhelyezésére vagy tárolására szol-gál, be kell sorolni az alábbi osztályoknak megfelelően:
a) kiemelt biztonsági osztály: különlegesen fontos számítóközpontok és adathálózati központok, kiemelt biztonsági osztályú alkalmazást futtató szerverek helyi-ségei,
b) fokozott biztonsági osztály: számítóközpontok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági osztályú alkalmazást futtató szerverek elhelyezésére szolgáló szerverszobák, helyisé-gek,
c) alap biztonsági osztály: az előző két kategóriába nem sorolt körletek (pl. akár irodában, akár számítóköz-pontban elhelyezett, alap biztonsági osztályú alkalmazást futtató szerverek helyiségei).
Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttmű-ködni az adott területen üzemelő rendszerek üzleti tulaj-donosaival. Ezt a személyt az alkalmazás RIBSZ-ekben nevesíteni kell. Bármely biztonsági szintre történő beso-roláshoz az IVO – írásba foglalt – állásfoglalása is szük-séges. Kiemelt biztonsági szintre történő minősítés csak független biztonsági szakértők bevonásával végzett ered-ményes auditálást követően történhet. A biztonsági terü-letek defi niálása és nyilvántartása – a KKA részeként – az IKI feladata.
4.5.1.1. Fizikai biztonsági védősávokA biztonsági területek határfelületein, ahol alacso-
nyabb szintű területekkel, vagy a külvilággal érintkez-nek, biztonsági védősávokat kell kialakítani, amelyek egy vagy több fi zikai természetű veszélyeztetés kivédé-sére szolgálnak. A 9. sz. mellékleten feltüntetett táblázat összefoglalja a védősávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötele-ző (K), vagy ajánlott (A).
4.5.2. Beléptetési intézkedésekA biztonsági területekre és az egyes biztonsági zó-
nákba való belépést, beléptetést ellenőrizni kell. Erre vo-natkozóan a Társaság beléptetéssel kapcsolatos szabály-zatait, illetve a vagyonvédelem szabályait megfogalma-
19. szám A MÁV Zrt. Értesítője 1007
zó törvény előírásait kell érvényesíteni. A biztonsági te-rületekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. Külső szemé-lyek csak kísérettel tartózkodhatnak a Társaság objektu-main belül.
Alap biztonsági szintre besorolt területekre a bejutást – a minimális fi zikai védelem kialakítása keretében – az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott terü-leten dolgozók személyes felelőssége, hogy minden helyi-séghez csak az oda önálló belépésre is feljogosított sze-mélyek rendelkezzenek kulccsal, és hogy idegen szemé-lyek felügyelet nélkül ne tartózkodhassanak a helyiség-ben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni – megfelelően biztonságos tárolással –, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására.
A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelke-ző személyek be- és kilépését is naplózni kell. A belépés ellenőrzését a beléptető rendszer kártyán túl egyéb hitele-sítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni. Min-den külső munkatársat, szerződő felet, és minden vendé-get meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést. A munkatársak min-den esetben jelentsék a biztonsági személyzetnek, ha kí-sérő nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót.
Minden fokozott és kiemelt biztonsági szintű területre az üzleti tulajdonosnak a helyi sajátosságoknak megfele-lő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő be-lépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vo-natkozásában.
Ebben az utasításban kell lefektetni:a) a személyes azonosító eszközök (kártyák, kitűzők,
PIN-kódok) használatának, kiadásának, visszavételének szabályait,
b) a területre anyagok, eszközök be- és kiszállításának szabályait,
c) a területen munkaidőn túli tartózkodás szabályait,d) az ideiglenes- és vendég jelleggel belépők nyilván-
tartásának, kísérésének szabályait.A beléptetési utasításokat az IVO egyetértésével kell
kiadni.Kamerás megfi gyelő rendszerek használatáról a Társa-
ság adatvédelmi szabályzata rendelkezik (lásd 15. sz. melléklet).
4.5.3. Védelem a külső környezeti fenyegetettségek ellen
Az adatfeldolgozó, vagy tároló telephelyek kiválasztá-sakor fontos fi gyelembe venni, az adott földrajzi elhe-lyezkedéséből eredő veszélyforrásokat (pl. árvíz, föld-rengés, erdő vagy bozóttűz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése).
Az informatikai berendezések telepítési, elhelyezési helyének megválasztásakor – az adott eszköz rendelteté-sétől, biztonsági besorolásától függően biztosítani kell a zavartalan működéshez szükséges feltételeket.
Az informatikai rendszerek védelmének ki kell terjed-nie:
1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás),
2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni vé-delem),
3) külső tényezők (tűz, víz, vihar stb.) elleni védelem-re, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre,
4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással),
5) az áramellátás területén a villámcsapások elsődle-ges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre,
6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették).
A RIBSZ-ekben részletesen kell szabályozni:1) a műszaki berendezések elhelyezését és védelmét,2) az energiaellátást,3) a kábelezés biztonságát,4) a berendezések karbantartását,5) a telephelyen kívüli berendezések védelmét,6) a berendezések biztonságos tárolását és újrafelhasz-
nálását.
A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és rendelkezésre állásának biztosításában nagy szerepet ját-szik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. En-nek a védelemnek az adatok feldolgozását, tárolását, a há-lózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelke-zésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költsé-gével, valamint a Társaság üzletvitele szempontjából be-töltött szerepével kell arányban lennie. A fenyegető ténye-
1008 A MÁV Zrt. Értesítője 19. szám
zőket a kockázatelemzés tárja fel. Tekintettel ezek fajlago-san magas árára, a védelem teljes körű és mindenre kiter-jedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A véde-lem egyaránt terjedjen ki az élőerős, a mechanikai (építé-szeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonat-kozó összefüggések fi gyelembevételével (elhelyezés, fala-zatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogal-mazott biztonság mértékétől. Ilyen helyiségek a távbeszé-lő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok.
A megfelelő védelmi szintekhez tartózó feltételeket a Biztonsági osztályok követelményei c. táblázat (10. sz. mel-léklet) Infrastruktúra (fi zikai védelem) része tartalmazza.
4.5.3.1. EnergiaellátásA berendezéseket az alább felsorolt lehetőségek alkal-
mazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépő rendellenességektől. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifi kációjának.
Azok a lehetőségek, amelyekkel a tápáramellátás fo-lyamatosságát lehet elérni, magukban foglalják:
a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük,
b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply),
c) tartalék áramforrás alkalmazását.A folyamatos működést és a szabályos kikapcsolási fo-
lyamatot szolgáló UPS alkalmazása ajánlott olyan beren-dezésekhez, amelyek az üzlet működésére nézve kritiku-sak. Ajánlatos gondoskodni vészvilágításról is a fő ener-giaellátás meghibásodása/kimaradása esetére. Villámhá-rítót ajánlatos felszerelni valamennyi épületre, és villám-védő szűrőket alkalmazni az épületbe belépő kábelekre.
4.5.3.2. A kábelezés biztonságaAz adatkommunikációs kábelek fi zikai védelme a
nagy földrajzi kiterjedés, a többnyire folyamatos felügye-let nélküli nyomvonal miatt külön szabályok alkalmazá-sát követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, sza-botázs és lopás ellen.
Az adathálózat elemeit, a legfontosabb műszaki para-métereket, a rájuk kapcsolódó eszközöket stb. a KKA-ban is nyilván kell tartani. A Társaság infokommunikáci-ós hálózatának fi zikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stra-tégia szerint kell kialakítani. Ennek elkészítése és a ben-ne foglaltak szerinti működés megkövetelése a hálózat üzleti tulajdonosának a feladata.
4.5.3.3. A berendezések elhelyezésének szabályaiMinden berendezés csak a biztonsági besorolásának
megfelelő szintű biztonsági területen telepíthető. Az in-formatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, érzé-keny adatokat tartalmazó adathordozók, fontos doku-mentációk stb.) a jobb védhetőség érdekében koncentrál-tan, magasabb biztonsági szintű területek formájában kialakított számítóközpontokban (szerverszobákban, ren-dezőszekrényekben) kell elhelyezni, működtetni.
Extrém üzemi környezetben (poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan berendezést sza-bad használni, amely – specifi kációja szerint – erre kife-jezetten alkalmas.
4.5.4. Hordozható informatikai eszközök védelmeAz eszközök nem hagyhatók felügyelet nélkül, ameny-
nyiben nem biztosítható azok előírt védelme. Ha lehetsé-ges, fi zikailag el kell zárni vagy különleges zárat kell al-kalmazni a berendezés biztosítására (pl. notebook védel-me Kensington zárral).
4.5.5. Felhasználói munkaállomások védelmeMinden számítógépes munkaállomáshoz (teljes konfi -
gurációt fi gyelembe véve), továbbá önálló nyilvántartási egységet képező más informatikai berendezésekhez va-gyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége:
a) a berendezések állagának, épségének megóvása a tőle elvárható gondoskodással,
b) sérülés, hiány azonnali jelentése a közvetlen vezető-nek,
c) hordozható eszközök (pl. notebook számítógép, PDA, mobiltelefon, projektor) esetén a Társaság objektu-main kívül történő használat vagy tárolás során a va-gyonvédelmi előírások maradéktalan betartása,
d) meghibásodásra utaló jelek (szokatlan zajok, mele-gedés stb.) esetén a készülék azonnali kikapcsolása, kar-bantartás igénylése,
e) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmeneti tárolásáról.
A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtől, amely azok sérülését, be-szennyezését okozhatja. Informatikai eszközök és tarto-zékaik eltulajdonítása ellen – ahol ezt a közvetlen munka-helyi vezető indokoltnak tartja – mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasz-tórendszerébe kapcsolt tárgyvédelemmel kell a veszé-lyeztetett berendezéseket ellátni.
4.5.6. Informatikai eszközök tárolása, karbantartá-sa, javítása és selejtezése
TárolásA Társaság kulcsfontosságú informatikai eszközeit
tartalmazó helyiségek, épületek pontos funkciójára, ki-
19. szám A MÁV Zrt. Értesítője 1009
alakításának körülményeire vonatkozó információkat a nyilvánosság elől rejtve kell kezelni (ne legyenek nyilvá-nos helyen tájékoztató táblák, nyilvános telefonkönyvből, címtárból kiolvasható címek stb.).
A biztonsági területeket úgy kell kialakítani, hogy azokon belül az információ-feldolgozó tevékenység teljes lefedéséhez szükséges eszközök rendelkezésre álljanak. Ugyanakkor meg kell tiltani a munkafolyamatok szem-pontjából oda nem illő eszközök, anyagok tárolását, rak-tározását.
KarbantartásMinden jelentősebb berendezéshez – műszaki specifi -
kációjának előírásai alapján – meg kell határozni a meg-előző karbantartások rendjét. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ-ben is rögzíteni kell. Ugyancsak a RIBSZ-ben kell rendelkezni az eseti hibajavító karbantartások kezde-ményezésének, végrehajtásának szabályairól.
A berendezések valamennyi adathordozó részegységét az üzemeltető szervezet ellenőrizze annak érdekében, hogy az adatok és a vásárolt (licenc szerinti) szoftverek arról eltávolításra és felülírásra kerüljenek, mielőtt mások rendelkezésére bocsájtják.
JavításMeg kell akadályozni, hogy javításra, vagy egyéb cél-
ból elszállításra kerülő digitális adattárolásra alkalmas eszközök ellenőrizetlenül kerüljenek ki a Társaságon kí-vülre. Az elszállítás az Infokommunikációs igazgatóság vezetője által kijelölt személy engedélyéhez kötött. Jegy-zőkönyvben, vagy a szállító levélen kell feltüntetni az adathordozót tartalmazó informatikai eszköz gyári szá-mát és egyéb azonosító adatait, típusát. Amennyiben a hiba jellege lehetővé teszi, akkor a benne lévő adathordo-zó visszaállíthatatlan törlésére kell intézkedni, illetve a javítás idejére el kell távolítani. Erről szóló nyilatkozatot az Társaság informatikai szolgáltatójának munkatársával kell ellenjegyeztetni. Amennyiben az adathordozó eltá-volítása nem lehetséges, abban az esetben a Társaság ré-széről megfelelő informatikai szakértelemmel rendelkező szakértőnek kell fi gyelemmel kísérni az eszközt a javítás teljes időtartama alatt.
SelejtezésA berendezések üzemen kívül helyezésével kapcsola-
tos eseményeket a KKA-ban is rögzíteni kell. Az eszkö-zök gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez vezethet. A digitális adathordozó eszközöket meg kell semmisíteni, vagy a rajta található adatokat biztonságosan, vissza nem állít-ható módon kell törölni a felhasználónak, illetve az üze-meltetést végző szakembernek.
A selejtezésnek engedélyhez kötöttnek és megfelelően dokumentáltnak kell lennie. Jegyzőkönyvben fel kell tün-tetni az alkatrész gyári számát, típusát, valamint a benne lévő adathordozók törléséről szóló nyilatkozatot a felelős
munkatárs aláírásával. A kényes információk kiszivárgá-sának megelőzése érdekében a selejtezendő adathordozók esetében a sikeres törlés tényét ellenőrizni kell.
4.6. Hálózati szolgáltatások és az üzemeltetés me-nedzsmentje
4.6.1. Üzemeltetési eljárások és felelősségek
4.6.1.1. A dokumentációk biztonságaAz üzemeltetési eljárásokat és felelősségeket részlete-
sen és szabályszerűen dokumentálni kell, és az üzemelte-tés helyén hozzáférhetővé kell tenni. Az üzemeltetési el-járások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint:
a) az adatkezelés, (-feldolgozás és -tárolás),b) tervezett követelmények, más rendszerek bizalmas-
ságának megsérülhetősége,c) munkaidőn kívüli munkahelyen való tartózkodás,d) hibaesetekre és rendellenes működésre vonatkozó
eljárások,e) hardver és szoftver karbantartási eljárások,f) munkavégzés közben fellépő kivételes állapotok ke-
zelése,g) rendszer újraindítása és visszaállítása.Az üzemeltetési és a dokumentált eljárásokat a rend-
szer tevékenységeire vonatkozóan hivatalos dokumen-tumként kell kezelni. Az üzemeltetési eljárások, rend-szerdokumentációk (pl. RIBSZ) tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordo-zók tárolási helye, hálózati hozzáférési pontok) ezért ilyen esetekben a titokban tartásuk érdekében elvárható intézkedések megtétele indokolt.
A RIBSZ-ben az illetéktelen hozzáféréseket szabá-lyozni kell:
a) Gondoskodni kell a rendszerdokumentációk bizton-ságos tárolásáról.
b) Minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentációkhoz.
c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről.
d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági foko-zatának megfelelő módon kell kezelni.
e) Az informatikai rendszer (vagy annak bármely ele-mének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani.
f) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni.
g) Az informatikai rendszer beszerzéssel és/vagy fej-lesztéssel történő kialakításához és üzemeltetéséhez, a
1010 A MÁV Zrt. Értesítője 19. szám
rendszer funkcionalitásának és megbízható üzemelteté-sének biztosításához a következő dokumentációk szüksé-gesek:
– Architektúra és konfi guráció szintű dokumentáció– Modul szintű dokumentáció– Teljes rendszerdokumentáció– Tesztkövetelmények és eljárások dokumentációja
rendszer szinten– Felhasználói dokumentáció– Átadás-átvételi dokumentáció– Üzemeltetési dokumentáció (normál üzemeltetés, hi-
baelhárítás, újraindítás)– Rendszer biztonsági dokumentumai (kockázatelem-
zés, RIBSZ, MFT)– Oktatási naplóA rendszerek, alrendszerek biztonsági dokumentáció-
jának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Ezeket a doku-mentumokat csak az üzleti tulajdonos, illetve az általa kijelölt személyek kezelhetik és bocsáthatják a jogosultak rendelkezésére. Erről az üzleti tulajdonos az IKI-t a KKA-ban történő dokumentum nyilvántartás érdekében, valamint az IVO vezetőjét értesíti.
4.6.1.2. VáltozáskezelésA biztonsági osztályba sorolástól függetlenül az infor-
mációs rendszerek, alkalmazói programok és rendszerle-író paraméterek, rendszerszoftver- és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait – a változáskezelési szabályzat alapján – ellenőrzött és doku-mentált módon kell elvégezni.
A változáskezelési szabályok összessége határozza meg egy informatikai alkalmazás adatszolgáltatási folya-mataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemelte-tését lehetővé tevő informatikai infrastruktúrában bekö-vetkező módosítások, változások biztonságos végrehajtá-sát és nyilvántartását, változásainak nyomon követhető-ségét. Ennek során a következő tevékenységeket kell vé-gezni, amelyekben a döntéseket az üzleti tulajdonos hoz-za:
a) változás iránti igény azonosítása, jelentőrendszerbe rögzítése,
b) a változások lehetséges hatásainak felmérése,c) döntés a változás megvalósításáról / a változtatási
kérelem elutasításáról,d) a változás megvalósításában felelős résztvevők
megjelölése,e) a tervezett változások jóváhagyási eljárásainak el-
lenőrzése,f) a változás kidolgozása,g) a változás tesztelése, nem megfelelőség esetén visz-
szalépés az f) pontra,h) döntés a bevezetésről,i) az összes érintett értesítése a változások részleteiről,
j) a változás bevezetése,k) a tényleges változások dokumentálása,l) a megváltozott környezetről biztonsági mentés ké-
szítése.Társasági szinten egységes változáskezelési rendszer
kialakítása az IKI, az infokommunikációs hálózatra pe-dig a TEBF feladata. A teljes változáskezelési folyamatra biztosítani kell az IVO biztonsági felügyeletét.
A feladatkörök elhatárolásaAz összes adatfeldolgozó eszköz üzemeltetési eljárása-
it és az üzemeltetéssel járó felelősségi köröket előre defi -niálni kell, és folyamatosan felül kell vizsgálni. Az egyes feladatok vagy felelősségi körök végrehajtását és irányí-tását szét kell választani annak érdekében, hogy az infor-máció jogosulatlan módosítására vagy visszaélésre veze-tő alkalmak esélyét csökkentsük. Minősített rendszerek esetében ilyen beállítások csak az IVO munkatársa előze-tes írásos (pl. e-mail) értesítését követően végezhetők. A jól defi niált feladatelhatárolás, minden munkavállaló ré-szére, csak a munkájához szükséges információhoz ad hozzáférést, így jelentősen csökken a gondatlan vagy szándékos visszaélés kockázata.
A feladatok szétválasztásának szabályai:– ”éles” üzemben működtetett informatikai rendszer-
ben fejlesztések, tesztelések nem folytathatók,– ”éles” adatokkal tesztelést végezni tilos, teszteléshez
mindig tesztadatokat kell készíteni (generálni),– fejlesztés alatt álló rendszerben „éles” üzemi tevé-
kenységet folytatni tilos,– a fordító, szerkesztő és egyéb segédprogramok „éles”
üzemi rendszerben csak abban az esetben legyenek elér-hetők, ha ezekre a programokra dokumentáltan és enge-délyezetten szükség van,
– a fejlesztők az üzemi rendszerben rendszergazdai (administrator, root, supervisor stb.) jogosultságokat csak kivételesen és ideiglenes jelleggel kaphatnak; amennyi-ben erre már nincs szükség, a jelszavakat meg kell vál-toztatni, és a rendszer biztonsági beállításait teljeskörűen felül kell vizsgálni,
– az IVO munkatársai részére esetlegesen kiadott ad-minisztrátori jogosultságok csak a biztonsági tevékeny-séggel kapcsolatos munkák során, naplózottan használ-hatók.
A biztonsági ellenőrzést a végrehajtó szervezettől füg-getlenül, az IVO hatáskörében kell működtetni.
KapacitástervezésA rendszerek kapacitásigényét folyamatosan fi gyelem-
mel kell kísérni, és a mért értékek alapján meg kell be-csülni a jövőre nézve is. A kapacitástervezés célja, hogy időben álljon rendelkezésre a kellő feldolgozási teljesít-mény és tárolóhely, az üzleti folyamatok támogatásához. A tervek az újabb üzleti és rendszerkövetelményeket is vegyék fi gyelembe, valamint a Társaság adatfeldolgozá-sának folyó és megjósolt trendjeit.
19. szám A MÁV Zrt. Értesítője 1011
4.6.2. Védelem rosszindulatú programok ellenA felhasználóknak tudatában kell lenniük azzal, hogy
rosszindulatú programokat tudnak bevinni környezetek-be a hálózati csatlakozásokon vagy hordozható eszközö-kön keresztül is. Megfelelő biztosítékok nélkül a rosszin-dulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. Aktiválódásakor hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkrete-hetik az adatállományokat, lelassíthatja a rendszereket. Megjelenésük lehet szándékos tevékenység következmé-nye vagy olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók számára. A rosszindulatú kód a bizalmasság, sértetlenség és rendel-kezésre állás elvesztéséhez vezethet.
A Társaság rosszindulatú programok elleni védelmi rendszerét erre vonatkozó RIBSZ-ben, az Infokommuni-kációs Stratégia és annak az Infokommunikációs Bizton-sági Stratégia c. fejezete előírásai szerint kell kialakítani. Ebben tervezni kell a vírusvédelmi szoftverek kiválasz-tásának elveit, beszerzésének gyakoriságát, a szükséges licenc-számot, a rendszeres frissítés módját és felelőseit, továbbá ki kell jelölni a rendszer kialakításának és fenn-tartásának felelőseit.
A rosszindulatú kódok elleni védelmet a következő biztosítékokkal lehet elérni:
1) Keresők: A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális kereső szoft-verekkel, amelyeknek biztosítani kell az önműködő fris-sítését. A keresők aktív és passzív módban üzemelhet-nek. Az aktív védelem felfedi (és valószínűleg el is távo-lítja) a rosszindulatú kódot még mielőtt bármilyen fertő-zés történhetne, és károk keletkeznének az informatikai rendszerben. Tudni kell azonban, hogy nem lehet abban bízni, hogy a keresők minden rosszindulatú kódot megta-lálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg ezek új formái.
2) Sértetlenség biztosítása: A sértetlenséget ellenőrző szoftverek lényeges részét képezik a rosszindulatú kódok ellen védő technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és programok esetében lehet használni, amelyek nem őriznek meg későbbi használatra szánt állapotinformációkat. (pl. ellenőrző összegeket használnak annak eldöntésére, hogy egy program módo-sult-e vagy sem)
3) Tűzfalak: feladatuk a hálózat különböző szegmen-seinek teljes elválasztása, például a belső (biztonságos) hálózat elválasztása a külső (nem biztonságos) hálózattól.
4) Tartalomszűrés: Az adatforgalom házirend alapú szabályozása vagy teljes blokkolása, ezáltal a biztonsági szint növelése és a biztonsági problémák megelőzése.
5) (pl. fájlcserélők-, kémprogramok-, internetről letölthe-tő hacker programok, azonnali üzenetküldők, hamisított jelszóhalász vagy rosszindulatú weboldalak elleni védelem)
6) Állományok ellenőrzése: RIBSZ-ben kell szabá-lyozni a bizonytalan eredetű hordozható adattárolón vagy a bizalmat nem élvező hálózaton át kapott állományok
használat előtti vírusfertőzöttség ellenőrzését – beleértve minden elektronikusan kapott levélmellékletet és letöl-tést – valamint a kritikus üzleti folyamatokat segítő rend-szerek szoftverének és adattartalmának időközönkénti felülvizsgálatát.
7) Formális szabályzat: Megköveteli a megfelelést a szoftverlicenceknek, és megtiltja a jogtalan szoftverhasz-nálatot, valamint véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külső hálózatokból való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, valamint azt is megadja, hogy milyen vé-delmi intézkedéseket ajánlatos hozni.
8) Oktatás: A felhasználók biztonsági tudatosságát fenntartó oktatásokat kell tartani, illetve szabályozni, hogy mit kell tenniük, ha rendellenes eseményt észlelnek.
9) Működés-folytonossági terv: Tartalmazza a (pl. ví-rustámadás utáni) helyreállításra vonatkozó szükséges adatmentési, visszaállítási eljárásokat.
A rosszindulatú kódokat leggyakrabban a következő módokon lehet továbbadni/hordozni, ezért különösen fontos e területek pontos szabályozása:
a) végrehajtható (futtatható) szoftverek, makrók, scriptekb) kivehető adathordozók pl. fl oppylemez, Pen Drive,
fl ash memória, CD/DVDc) elektronikus levél (csatolmány is)d) hálózatok, távoli hozzáférése) aktív tartalmat hordozó weboldalak, letöltések
4.6.3. HálózatmenedzsmentA hálózatmenedzselés során olyan óvintézkedéseket
kell megvalósítani, amelyek fenntartják a hálózatokban (LAN, WAN, WLAN, intranet) az adatok biztonságát és védik a szolgáltatásokat a jogtalan és az illetéktelen hoz-záféréstől. A hálózati RIBSZ-ben ezért a hálózaton átha-ladó adat és az ezt lebonyolító, lehetővé tevő infrastruk-túra védelmében szabályozni kell:
– a felelősséget a teljes hálózatért, illetve annak logikai és fi zikai szegmenseiért, alhálózataiért, és a hálózat vál-tozásainak kezeléséért,
– az eszközök távoli menedzselésének szabályait, eljá-rásait és felelőseit,
– a nyilvános hálózatokon is áthaladó adatok biztonsá-gát,
– a szervezeti határokon átnyúló informatikai szolgál-tatások hálózati elemeinek biztonságát,
– a hálózathoz való hozzáférés menedzselésének sza-bályait, különös tekintettel az esetleges külső szolgálta-tók és felhasználók hozzáférési lehetőségeire,
– a védett, a nyilvános és a vezeték nélküli (WLAN) hálózat biztonságos összekapcsolásának és átjárásának feltételeit, eszközrendszerét,
– a hálózati és hálózatfelügyeleti szolgáltatások folya-matos fenntartását biztosító eljárásokat,
– a diagnosztikai pontokhoz való hozzáférést, a háló-zati események naplózását, és azok rendszeres ellenőrzé-sét.
1012 A MÁV Zrt. Értesítője 19. szám
Hálózatba kapcsolt informatikai eszközök használata-kor előnyben kell részesíteni a vezetékes kapcsolódást, amennyiben technikailag lehetséges hálózat azonosítási protokoll (pl. 802.1x) használatával. Vezeték nélküli kap-csolódás csak indokolt esetben engedélyezett (pl. tárgya-lókban, vagy ha a munkahelyen nem lehet a vezetékes csatlakozások számát növelni), de ebben az esetben is fi -gyelembe kell venni a megnövekedett kockázati tényező-ket, különös fi gyelemmel a fokozott biztonsági osztályba sorolt rendszerekre.
Az érvényes hatásköri feladatmegosztás alapján az IKI és a TEBF engedélye szükséges a vezeték nélküli kapcso-lódás létrehozásához. Indokolt esetben az IVO állásfogla-lását is ki kell kérni. Az engedélyek nyilvántartását a KKA-ban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabálya-inak.
Kiemelt biztonsági osztályba sorolt rendszerekhez ve-zeték nélküli módon kapcsolódni tilos.
Internet elérés biztonságaa) Az internetre csatlakozás a Társaság belső hálózatá-
ra csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett.
b) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek.
c) A nem kívánatos, és a kártékony weboldalak látoga-tásának megakadályozására tartalomszűrést kell működ-tetni, amelynek a meghatározását az IVO végzi.
d) Az internetes tevékenység naplózni kell, melynek során fi gyelembe kell venni az elektronikus hírközlésről szóló törvény előírásait (lásd: 15. sz. melléklet).
e) A fórumok, chat-oldalak, az egyéb fi le- és videó-megosztó valamint az úgynevezett kapcsolatépítő portá-lok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggés-ben és azt elősegítő, a közvetlen vezető kezdeményezésé-re az IVO vezetője adhat engedélyt ezek használatára. Bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatá-nak felülvizsgálását.
Vezeték nélküli (WLAN, WiFi) hálózatokAmíg a vezetékes hálózatok fi zikai védelme viszony-
lag jól megoldható a WLAN hálózat nem ér véget az épü-let falainál, ami jelentős biztonsági problémák forrása.
A következő tipikus támadási formák fordulhatnak elő, amelyek ellen védekezni kell:
– Passzív lehallgatás: a támadó megfi gyeli a hálózati forgalmat és így illetéktelenül jut adatokhoz. Ez a táma-dás megfelelő eszközökkel egészen nagy távolságról is elvégezhető és mivel passzív, teljességgel felderíthetetlen.
– Illetéktelen kapcsolódás a hálózathoz: a támadó rá-kapcsolódik a WLAN hálózatra és aktívan részt vesz an-nak működésében. Gyakori, hogy a támadás csak a háló-zat (internet-elérés) használatára korlátozódik, a támadó
nem akar adatokat lopni, nem is érdekli a hálózati forga-lom, csak hozzáférést szeretne.
– Kliensek „eltérítése”: a támadó egy „hamis” hálóza-tot állít fel, és a felhasználók hozzá, nem pedig az eredeti hálózathoz csatlakoznak. Ezek után a kliensek forgalmát a támadó megfi gyelheti.
WLAN hálózatoknál szabályozni kell a hozzáférést a hálózathoz (lehetőség szerint 802.1x hálózat azonosítási protokoll használatával) illetve titkosítással megakadá-lyozni a forgalom „lehallgatását”. A vezeték nélküli háló-zat megfelelő beállítása függ a rendelkezésre álló eszkö-zök által támogatott lehetőségeitől is.
A vezeték nélküli hálózatok beállításait a hálózati RIBSZ-ben kell meghatározni, konfi gurálásának általá-nos biztonsági követelményei a következőek:
a) Access Point-ot (AP) nem szabad minden biztonsági beállítást nélkülöző alapbeállításon hagyni. Előbb végre kell hajtani a megfelelő beállításokat, és csak utána lehet csatlakoztatni a hálózatra.
b) A hálózat nevét (SSID) mindenképpen át kell állíta-ni gyári alapértelmezésről, amely lehetőleg semmitmon-dó vagy értelmetlen szó legyen.
c) A legtöbb AP alaphelyzetben hirdeti a hálózat nevét (SSID broadcast). Ezt meg kell szüntetni.
d) Törekedni kell MAC (hálózati csatoló azonosítója) szerinti szűrés alkalmazására. Ez a szűrés nem ad meg-kerülhetetlen védelmet, de nehezíti a támadó dolgát.
e) Legalább WPA2 titkosítást kell használni.f) AP-k telepítése engedély nélkül tilos!g) Minősített biztonsági osztályba sorolt rendszerek
forgalmát titkosítani kell.h) Az AP-ok úgy legyenek a hálózatra kötve, hogy
szükség esetén gyorsan leválaszthatóak legyenek. Az AP-ket lehetőleg külön vezetékes hálózaton és aktív esz-közökön keresztül kell összekötni és, egy tűzfalon ke-resztül kapcsolni a hálózatra.
i) Az AP-ok kezelését WLAN hálózaton keresztül le kell tiltani. Így a pusztán vezeték nélküli hozzáféréssel rendelkező támadó nem képes módosításokat tenni az AP-ban.
j) Bizonyos beállításokat a klienseken kell megtenni:– Az általában használt hálózatot (SSID) elsődlegesnek
kell beállítani, azaz a kliens először ehhez próbáljon csat-lakozni.
– A kliens tetszőleges hálózathoz nem csatlakozhat! A támadó zavarhatja a hálózatot, és így ráveheti a kliense-ket arra, hogy az általa felállított „hamis” hálózathoz csatlakozzanak, majd megfi gyelheti forgalmukat.
Bluetooth biztonságA Bluetooth összetett protokoll nem elsősorban háló-
zati elérésre szolgál (bár arra is alkalmas), hanem eszkö-zök közötti adatcserére. Így például mobiltelefonok, PDA-k címjegyzékét, naptárbejegyzéseit lehet elérni, de alkalmas például mobiltelefonok és kihangosítók össze-kapcsolására is.
19. szám A MÁV Zrt. Értesítője 1013
A Bluetooth hatótávolsága a legtöbb hordozható esz-köznél néhány méter, így a támadónak fi zikailag is közel kell kerülnie az eszközhöz, ami megnehezíti, de nem te-szi lehetetlenné a támadásokat. Néhány alapvető beállí-tással azonban kellően biztonságossá tehető a Bluetooth kapcsolattal rendelkező eszköz:
– Az eszköz ne legyen „látható”.– Csak indokolt esetben engedélyezhető a jóváhagyás
nélküli kapcsolódás.– Kapcsolódási kérelem esetén gondosan tanulmá-
nyozni kell, hogy honnan és milyen célból történik.– Ki kell kapcsolni a Bluetooth szolgáltatást, ha nem
állandó kapcsolatra van szükség.A bluetooth kapcsolattal rendelkező eszközök csatla-
koztatását a Társaság munkaállomásaihoz az IVO tájé-koztatása mellett a szervezeti egység vezetője engedé-lyezheti.
Mobiltelefonos adatátvitelA mobiltelefonos adatátvitel (GPRS, EDGE, 3G stb.)
az országos mobiltelefon hálózatokon keresztül valósul meg. Előfi zetéses szolgáltatás keretében érhető el, mely-nek használatához mobiltelefon, Blackberry, mobil inter-net kártya stb. szükséges.
Használatuk során különös fi gyelmet kell fordítani a szolgáltatás csomag helyes megválasztására, mivel túl-forgalmazás esetén többszörös díjat kell fi zetni.
4.6.4. AdatmentésA mentés célja az információ és az adatfeldolgozó
szoftverek épségének és rendelkezésre állásának bizto-sítása. A hatékony biztonsági adatmentések érdekében a munkaállomásokon feldolgozott adatokat a felhaszná-lóknak egy szerveren kialakított könyvtárban, hálózati meghajtón kell tárolnia. A biztonsági osztályba sorolás-tól függetlenül a számítógépes alkalmazások esetében rendszeresen biztonsági mentéseket kell készíteni a rendszer által kezelt adatokról, amelyek felhasználásá-val az éles adatállomány szükség esetén reprodukálha-tó. A visszaállításra való alkalmasságot évente egy al-kalommal ellenőrizni és a teszt eredményét dokumen-tálni kell.
Az ehhez kapcsolódó RIBSZ-ben az alábbi óvintézke-déseket kell betartani:
1) A megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását a RIBSZ-ben előírt időközönként rendszeresen ellenőriz-ni kell.
2) A mentési médiákat valamint a visszaállítás doku-mentált eljárásait, a rendeltetési helytől távoli helyen ér-demes biztonságba helyezni. Elég távol ahhoz, hogy bár-mely rongálódástól meg legyenek kímélve, ha a rendelte-tési helyen katasztrófa következne be.
3) A mentések típusa (pl. teljes vagy differenciált men-tés) és gyakorisága álljon arányban a mentett adatok jel-legével, fontosságával.
4) A biztonsági mentéseket megfelelő szintű fi zikai és környezeti védelemmel ajánlatos ellátni, ugyanazokkal a biztonsági előírásokkal összhangban, mint amelyet a ren-deltetési helyén alkalmaztunk. Az adathordozó médiák körére a rendeltetési helyén érvényesített biztonsági in-tézkedések hatályát a tartalék mentési médiák és eszkö-zök elhelyezési körletére is ki kell kiterjeszteni.
5) A biztonsági mentések adathordozóit, ahol az kivi-hető, időről időre ajánlatos megvizsgálni annak érdeké-ben, hogy megbizonyosodjunk, használhatóságukról. Fontos fi gyelemmel kísérni a mentési médiák garanciájá-nak lejárati idejét, lehetséges tárolási és visszaállíthatósá-gi idejét, és a lejárt médiákat ki kell vonni a mentési fo-lyamatokból.
6) A visszaállítási eljárások hatékonyságát időről időre ellenőrizni kell, hogy megbizonyosodjunk, arról hogy azok elvégezhetőek az adott idő alatt.
7) Üzleti titoknak minősülő adatok esetén a mentett adatokat, titokban tartásuk érdekében, az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva is védeni kell.
8) Meg kell határozni a lényeges adatok megőrzési idő-szakát és az állandóan megtartandó archív példányokra vonatkozó valamennyi követelményt.
9) A mentési eljárások során minden rendszerinformá-ciót, alkalmazást le kell fedni, beleértve a dokumentáció-kat is.
10) A mentések nyilvántartását a RIBSZ előírásainak megfelelően kell vezetni, és azok helyességét az üzleti tu-lajdonosnak és az IVO-nak rendszeresen ellenőriznie kell.
Az adathordozók biztonságos kezeléseA védelmi intézkedések célja, hogy az adathordozók
fi zikai védelmét szabályozzák, megfelelő eljárásokkal védjék az informatikai eszközök adathordozóit, a beme-net/kimenet adatait és a rendszer dokumentációját a jogo-sulatlan megszerzésétől, felhasználástól, módosítástól, törléstől és megsemmisüléstől.
Az adathordozók kezelésének legfontosabb biztonsági követelményei:
a) Gondoskodni kell az adathordozók ellenőrzéséről és fi zikai védelméről.
b) Meg kell előzni a dokumentumok, a digitális adat-hordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulaj-donítását és engedély nélküli törlését, megsemmisítését.
c) Szabályozni kell az adathordozók beszerzését, táro-lását és kezelését.
d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartal-mazott adatok szempontjából egyenértékű papír doku-mentumokkal azonos módon történjék. Az adathordo-zókról és azok tartalmáról nyilvántartást kell vezetni.
e) A Társaságnál – az egyszer írható optikai adathor-dozók és a fl oppy lemezek kivételével – csak nyilvántar-
1014 A MÁV Zrt. Értesítője 19. szám
tott és egyedi azonosítóval ellátott adathordozót szabad használni.
f) A Társaságon kívüli adatforgalomban használt adat-hordozók előállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helye-ken, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőr-ző eljárások elvégzése után szabad (például vírus ellenőr-zés).
g) Sérült adathordozók garanciális cseréje esetén – ha a meghibásodott eszköz üzleti titoknak minősülő adato-kat is tartalmazott – az eredeti alkatrészt nem, vagy csak az adatok kiolvasását lehetetlenné tevő hatástalanítást kö-vetően szabad a karbantartó részére átadni.
h) Minden adathordozót újraalkalmazás előtt, felsza-badítás, selejtezés után az adatok megsemmisítését ered-ményező megfelelő eljárással törölni kell.
i) Az adattípus felismerhető jelölését az informatikai berendezéssel előállított adattároló és megjelenítő eszkö-zökön biztosítani kell.
j) Az adatok sértetlen és hiteles állapotának megőrzé-sét biztosítani kell.
Az adathordozók tárolásaAz adathordozókat – azokat is, amelyek használaton
kívül vannak – biztonságos helyen, a gyártó előírásainak megfelelően kell tárolni, illetve fi gyelembe kell venni az adott rendszer biztonsági osztályának követelményeit (lásd: 10. sz. melléklet), vagy amennyiben ezek munka-közi példányok, meg kell azokat semmisíteni.
Az adathordozók tárolására vonatkozó fi zikai védelem követelményeivel kapcsolatban a RIBSZ-ekben meg kell határozni:
a) a tárolók környezeti paramétereire vonatkozó előírá-sokat és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket,
b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres átírás),
c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat,
d) az adathordozók kölcsönzésével kapcsolatos előírá-sokat,
e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpél-dányok készítésére vonatkozó előírásokat.
Adathordozók szállításaAz információ a fi zikai szállítás során történő átvitel
esetén ki van téve az illetéktelen hozzáférésnek és vissza-élésnek. Az informatikai adathordozók biztonságos szál-lítása az alábbi szabályok alkalmazásával történhet:
a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el.
b) Szállítás során átadás-átvételi bizonylat szükséges.c) A szállítást – lehetőség szerint – több embernek kell
végeznie.
d) A szállítást végző embereket mindig azonosítani kell.
e) Indokolt esetben mérlegelni kell a szállítmány több részre bontását, és a különböző útvonalakon történő szál-lítását.
f) Épületen kívüli szállítás esetén a legrövidebb és leg-gyorsabb útvonalat kell kiválasztani.
g) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása.
h) Épületen kívüli szállítás esetén – például a MABISZ ajánlását fi gyelembe vevő – megfelelő zárható tárolóesz-köz szükséges.
i) Elektronikusan rögzített adatokat tartalmazó mág-neses adathordozó szállításakor elkerülendő a nyilvánva-lóan erős mágneses tér (például nagyfeszültségű távveze-tékek).
j) Szállítás során a vagyonbiztonság érdekében foko-zott fi gyelemmel kell eljárni.
k) Az adathordozót tilos őrizetlenül hagyni.l) Az adathordozókat óvni kell a fi zikai sérülésektől.m) Speciális csomagolás és zárcímkék használata, lát-
hatóvá teszi a felbontást vagy az arra tett kísérleteket.n) Az adathordozókon a rajta szereplő adatok védelmé-
vel kapcsolatos jelölést fel kell tüntetni.o) Meghibásodott eszköz cseréje esetén – még garanci-
ális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került.
Rendkívüli esemény esetén a szervezeti egység (a szál-lítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egyidőben tájékoztatnia kell az IVO vezetőjét az eseményről és a megtett intézkedések-ről.
Az adathordozók selejtezéseAz adathordozókat visszaállíthatatlanul, dokumentál-
tan kell selejtezni. A különféle szabványokban defi niált adattörlési és megsemmisítési eljárások a lehető legki-sebbre csökkentik az információ kiszivárgásának kocká-zatát.
– Az érzékeny információt tartalmazó adathordozót biztosan visszaállíthatatlan módon kell selejtezni, (pl. égetéssel, aprítással) valamint az eljárásnak arányosnak kell lennie az információ értékével.
– Adathordozó selejtezéssel foglalkozó cégekkel való együttműködésekor, kulcsfontosságú biztonsági tényező a megfelelő kvalitású szerződő fél kiválasztása, valamint az informatikai biztonsági feltételek szerződésbe foglalá-sa.
– Az érzékeny tételek eltávolítását naplózzák, ha lehet az informatikai biztonsági vizsgálatok kísérő dokumen-tumaként kezeljék.
Azokat az adathordozókat, amelyeket nem lehet enge-délyezett módon törölni (például működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi
19. szám A MÁV Zrt. Értesítője 1015
intézkedések hatóköréből, meg kell semmisíteni. Ameny-nyiben az adathordozó oly mértékben sérült vagy elhasz-nálódott, hogy a további használata lehetetlen vagy cél-szerűtlen, azt az ügyviteli szabályok szerint jegyző-könyvben kell selejtezni. Ebben az esetben – ha lehetsé-ges – a tartalmát visszaállíthatatlan módon törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabálysze-rű megsemmisítésről.
4.6.5. Hordozható adattárolók kezeléseA hordozható adattárolókat biztonságos módon kell
kezelni, annak érdekében, hogy ne kerülhessenek illeték-telen felhasználásra, ennek során az következő biztonsági követelményeket kell alkalmazni.
– Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és az üzleti titokvédel-mi szabályzat szerint kell tárolni és kezelni.
– Amennyiben a választott adattároló eszköz esetében a technológia rendelkezésre áll, az információkat titkosít-va kell tárolni, illetve gondoskodni kell az adott műszaki-technikai színvonalon elérhető korszerű védelmi megol-dások alkalmazásáról. Előnyben kell részesíteni a hard-ver alapú titkosítást, illetve az olyan megoldásokat, ame-lyek nem teszik lehetővé a védelmi eljárás megkerülését.
Optikai adathordozók és fl oppy lemez eseténA hosszú távú megőrzésre szánt adatokat – a választott
adattároló eszköz technológiájától függően – az adat-vesztés megelőzése érdekében 3-5 évenként át kell má-solni. Az adatok épségének ellenőrzése során kellő körül-tekintéssel kell eljárni, szükség szerint az informatikai üzemeltető bevonását kell kezdeményezni.
Pendrive, külső HDD stb. eseténCsak az IVO által meghatározott paramétereknek
megfelelő, az IKI által kiválasztott és beszerzett eszkö-zök használhatók. Az eszközök igénylését a munkáltatói jogkör gyakorlója hagyja jóvá és jelzi az igényt az IKI felé.
Amennyiben technológiailag megvalósítható, a nem engedélyezett USB-s tároló eszközök használatát a fel-használói munkaállomásokon le kell tiltani. Az engedé-lyezett adathordozókat egyedi azonosítóval kell ellátni, amelyek kiadásáról, átadásáról, visszavételezéséről a KKA részeként az IKI-nek elkülönített nyilvántartást kell vezetnie.
Társaságon kívüli adathordozó csak kivételes esetben használható (pl. külső fél bemutatója) olyan számítógé-pen, amely nincs a hálózatra kötve és működik rajta a folyamatosan frissített víruskereső szoftver. Törekedni kell arra, hogy ilyen esetben a bemutató a külső fél hor-dozható számítógépéről történjen.
Memóriakártya eseténMemóriakártya használata csak multimédiás eszkö-
zökben engedélyezett (digitális fényképezőgép, videoka-
mera, diktafon, okostelefon stb.), számítógépben való fel-használásuk csak e tartalmak átvitelére, a munkával ösz-szefüggésben történhet.
Hordozható számítógép eseténAzon informatikai eszközök esetében, amelyek amel-
lett, hogy nagy mennyiségű digitális adat tárolására al-kalmasak önmagukban is képesek azok feldolgozására (ilyenek pl. laptop, notebook, okostelefon, Blackberry, pda), különös fi gyelemmel kell lenni az eszköz fi zikai biztonságára és logikai hozzáférésére.
Laptop, notebook csak úgy adható ki, illetve rajta adat csak úgy tárolható, ha az adatok tárolására szolgáló könyvtár vagy a merevlemez egésze titkosításra kerül.
4.6.6. Perifériák csatlakoztatásának szabályaiA szabályzatokban részletezett eseteken túlmenően
az IKI kifejezett engedélye szükséges a felhasználói munkaállomásokhoz hardver eszköz (pl. nyomtató, szkenner, digitális fényképezőgép, merevlemez stb.) vagy bármilyen telekommunikációs eszköz (pl. modem, okostelefon stb.) csatlakoztatásához. Indokolt esetben az IVO állásfoglalását is ki kell kérni. Az engedélyek nyil-vántartását a KKA-ban is át kell vezetni. Az ilyen csat-lakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Amennyiben az eszköz vala-mely szoftver telepítését igényli, abban az esetben kizá-rólag az erre kiképzett és feljogosított személyzet való-síthatja meg. Munkaállomáshoz csatlakoztatott hordoz-ható adattároló eszközön (pl. pendrive, külső adattáro-ló) biztosítani kell az adatok titkosított tárolását. (lásd 4.6.5. pont)
4.6.7. Adatok és programok cseréjeAz adatok és a programok szervezetek közötti átadá-
sát, cseréjét ellenőrizni kell. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési, adatátviteli eszközökön keresztül kicserélt információk védelméről.
A munkavállalók a távközlési, adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani:
a) A telefonbeszélgetések során ügyelniük kell a köz-vetlen környezetükben tartózkodó emberekre, illetve kihangosítás esetén a hívott félnél tartózkodó személyek-re.
b) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken.
c) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert eze-ket illetéktelen személyek visszajátszhatják, elolvashat-ják. Az üzenetet megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni.
d) Amikor fontos a bizalmasság fenntartása, titkosítás-sal kapcsolatos biztosítékokat kell alkalmazni a hálóza-ton áthaladó adatforgalom titkosítása érdekében.
1016 A MÁV Zrt. Értesítője 19. szám
e) A sértetlenség fenntartása érdekében törekedni kell az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatára a hálózaton áthaladó információk védelmében.
f) A faxgépek használata során meg kell akadályozni a dokumentumok és üzenetek – esetleges – téves számra való elküldését, a beépített üzenettárolókhoz való illeték-telen hozzáférést, az üzenetek visszakeresését és lehall-gatását.
g) A felhasználókat tájékoztatni kell, hogy korszerű faxgépekben és fénymásoló gépekben belső oldalgyorsító memóriatárak, esetlegesen merevlemezek és laptárolók vannak. A problémát ilyen esetben az okozza, hogy a pl. üzleti titoknak minősülő adatait tartalmazó anyagok ki-nyomtatása is csak akkor folytatódik, ha a hibát kiküsz-öbölték. A biztonsági intézkedések megtételéig a felhasz-náló ne hagyja el a helyszínt, és a problémát mihamarabb jelezze az illetékes üzemeltető szakember számára.
A Társaság más szervezettel informatikai eszközökön adat- és programcserét kizárólag az IVO által véleménye-zett írásbeli szerződés alapján bonyolíthat, melyben utal-ni kell az érzékeny információk kezelésére is.
Az adatcsere biztonsági feltételeire vonatkozó megál-lapodásokban meg kell határozni:
a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait.
b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait.
c) Adatvesztéssel kapcsolatos kötelezettséget és fele-lősséget.
d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet előírásait minden érintett félnél.
e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfi ai kulcsok).
f) A hitelesség kritériumait (pl. elektronikus aláírás)
4.6.8. Mobil informatikai tevékenység, távmunkaA Társaság hálózatára kétféleképpen csatlakozhat egy
felhasználó mobil eszközzel:a) közvetlenül a védett adatátviteli hálózatra csatlakoz-
va, irodai, munkahelyi környezetbőlb) nem védett környezetből biztonságos hozzáférést
garantáló távoli hozzáféréssel (pl. VPN), ami kívül esik a Társaság biztonsági rendszerének zónájából (pl. otthon-ról)
A mobil informatikai eszközön, illetve a távoli hozzá-féréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek össz-hangban kell lennie az adott munkavégzés kockázataival. Ennek szabályozását az IVO vezetőjének közvetlenül jóvá kell hagynia. A laptopok, notebook-ok, otthoni mun-kaállomások használóinak mind a fi zikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rend-szerszintű IBSZ-ekben foglaltakat kell fi gyelembe venni-ük.
A távmunka általános biztonsági tényezőiA használat során a következő biztonsági tényezőket
kell fi gyelembe venni:– a távmunka helyszínének környezetét és fi zikai biz-
tonságát;– a kommunikáció biztonsági követelményeit, fi gye-
lembe véve az igényt, hogy távolról kívánnak hozzáférni a Társaság belső rendszereihez, az információ érzékeny-ségét, amelyhez hozzá fognak férni, és amely áthalad a kommunikációs kapcsolaton, és a belső rendszer által ke-zelt adatok érzékenységét;
– a kapcsolathoz használt vezetékes vagy vezeték-nél-küli hálózati szolgáltatások konfi gurációját.
A VPN hozzáférés biztonsági szabályaiA távmunka infokommunikációs technológiát használ
annak érdekében, hogy lehetővé tegye a felhasználók számára a Társaságon kívüli helyről, távolról történő munkavégzést. Amennyiben a hozzáférés VPN kapcsola-ton keresztül valósul meg, a felhasználó ugyanazokat az erőforrásokat (hálózati meghajtók, levelezés) érheti el, mint a munkahelyi környezetből.
a) A távmunka során is be kell tartani a Társaság sza-bályzataiban foglaltakat.
b) A VPN szolgáltató szervezet útján technikailag biz-tosítani kell, hogy csak a központilag nyilvántartott, az azonosítási és hitelesítési feltételeknek egyértelműen megfelelt munkaállomásokról lehessen a rendszerekbe belépni. Hitelesítésre lehetőleg erős authentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosí-tás). Egységes munkaállomás-névhasználatot kell kiala-kítani, a hálózatban lévő munkaállomások pontos azono-sítása érdekében.
c) A VPN kapcsolat megvalósításához a Társaság el-lenőrzése alatt nem álló, magántulajdonban lévő berende-zés alkalmazása nem megengedett.
d) A Társaság informatikai rendszereiben mobil esz-közzel és otthoni számítógéppel távoli VPN kapcsolaton keresztül történő munkavégzésre feljogosított felhaszná-lókról (beleértve a Társaság, a MÁV Informatika Zrt. és más informatikai szolgáltatók erre felhatalmazott rend-szergazdáit is) a KKA keretében az IKI vezet nyilvántar-tást, és az abban beállt változásokról folyamatosan tájé-koztatja a TEBF-t és az IVO-t.
e) A távmunkát végző csak a kijelölt csatlakozási pon-tokon keresztül csatlakozhat a Társaság hálózatába, ame-lyet az informatikai üzemeltető(k) határoznak meg.
f) A mobil informatikai berendezéseket nyilvános he-lyeken használók ügyeljenek arra, hogy elkerüljék a jogo-sulatlan személyek általi betekintés kockázatát.
g) A távmunka során biztosítani kell az információ-hoz vagy erőforrásokhoz való jogosulatlan hozzáférés megakadályozását olyan személyek részéről, akik az adott eszközt egyéb célból használják (pl. a család, bará-tok).
h) A felhasználónak kötelessége gondoskodni a mobil informatikai eszközök megfelelő fi zikai védelméről.
19. szám A MÁV Zrt. Értesítője 1017
i) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. Ha le-hetséges, fi zikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására.
j) A távoli hozzáféréssel végzett munkához védett (rejtjelzett) csatornáról kell gondoskodni, a kommuniká-ciót titkosítani kell olyan algoritmussal, ami megakadá-lyozza a tartalom visszafejtését.
k) Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos.
l) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és biztonsági (pl. tűzfal) eszközöknek telepítve kell lenniük, ezeket kötele-ző folyamatosan használni és frissíteni.
m) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott fi gyelmet kell fordítani. A minősített adat védelméről szóló törvény alapján minősített adatokat tárolni tilos, üzleti titoknak minősülő adatot pedig csak az illetéktelen hozzáférést megakadályozó, megfelelő kó-dolási eljárást alkalmazva szabad.
n) A felhasználónak gondoskodnia kell a kritikus mű-ködési információ rendszeres mentéséről és a mentések megfelelő védelméről (pl. lopás vagy adatvesztés ellen).
o) A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegű mun-kavégzésből származó többletkockázattal szemben és a bevezetendő intézkedések elfogadtatásával kapcsolatban.
p) A távmunkát végző gépek esetében, a kliens gépre telepített VPN kapcsolat használatával egyidőben más in-ternetes csatlakozás tiltott, az esetlegesen szükséges in-ternet elérésnek is a titkosított VPN kapcsolaton keresz-tül kell működnie.
q) Egy adott rendszerben végzendő távmunkát a fel-használó közvetlen vezetőjének és az adott rendszer üzle-ti tulajdonosának jóváhagyásával ellátott megbízólevélen kell engedélyezni, és az engedély másolatát meg kell kül-deni az IVO-nak. Az engedélyben rögzíteni kell:
– azon rendszer(ek) megnevezését, amely(ek)re az en-gedély kiterjed,
– a hivatali helyiségeken kívüli munkavégzés engedé-lyezési időszakát,
– a munkavégzéshez a felhasználó részére (otthonában) szükséges vállalati berendezések azonosítását, ill. a szüksé-ges berendezések és anyagok átadási és elszámolási módját,
– a felhasználó általi tudomásulvételét annak, hogy a Társaság rendszeresen megvizsgálja a naplókat (logs), a hívások adatait, és szúrópróba szerinti ellenőrzést végez annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó biztonsági előírásoknak.
r) A távmunka szabályai betartásának ellenőrzéséért a felhasználó közvetlen vezetője, az adott rendszer üzleti tulajdonosa és üzemeltetője, valamint a VPN szolgáltató egymással együttműködve felelősek. Az IVO jogosult e területen is közvetlen ellenőrzést végezni.
A jogosultság megszűnését követően gondoskodni kell a hozzáférési jogosultságok érvénytelenítéséről és a be-rendezés visszaadásáról.
Elektronikus levelezés távoli eléréseA Társaság – az arra feljogosított felhasználói számára
– biztosítja a levelezés távoli elérését az OWA (Outlook Web Access) szolgáltatáson keresztül, amelyhez nincs szükség VPN kapcsolatra, csupán internetes hozzáférés-re (pl. otthon, internetes kávézóban, repülőtéren). A szol-gáltatás használatakor minden esetben be kell tartani a „Kezelési útmutató – A MÁV Zrt. EXCHANGE 2007 levelezőrendszerének Outlook Web Access (OWA) bön-gészős eléréséhez” című dokumentumban leírt biztonsá-gi előírásokat.
4.6.9. Az elektronikus levelezés biztonságaAz elektronikus üzenetküldésnek a papír alapú adat-
közléstől jelentősen eltérő kockázatai vannak. Ezek a biz-tonsági kockázatok magukba foglalják az üzenetek ille-téktelen elérésének vagy módosításának, illetve a szol-gáltatás megtagadásának veszélye, emberi hibákból ere-dő veszélyeztető tényezők, pl. rossz címzés vagy irányí-tás, bizalmas adatok továbbításának lehetősége és ennek veszélyei, a feladó és címzett hitelesítési problémák, illet-ve a levél átvételének bizonyítása, a kívülről hozzáférhe-tő címjegyzékek tartalmával való visszaélési lehetőségek, vagy pedig a távolról bejelentkező felhasználó biztonsági problémái.
A Társaságnál folytatott elektronikus levelezés védel-mi rendszerét erre vonatkozó RIBSZ-ben kell kialakítani, összhangban az Informatikai biztonsági stratégia doku-mentummal.
A fontosabb biztonsági szabályok a következők:– Elektronikus levél jogi következményekkel járó kö-
telezettség vállalására csak akkor használható, ha a fel-adó elektronikus aláírással hitelesíti magát.
– Az elektronikus levelező eszközökről, elsősorban a szerverek fi zikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfris-sítések, service pack-ok és security-patch állományok megjelenését).
– Az elektronikus levelező rendszeren keresztül törté-nő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az interneten keresztül bo-nyolított elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére a levelezőrendszer üzleti tu-lajdonosa és az IVO vezetője jogosult.
– A nem hitelesíthető, kétes forrásból (pl. adathalász, hoax) származó üzeneteket, továbbá a nagy mennyiség-ben továbbított kéretlen üzeneteket (spam) az IVO-nak kell jelezni kivizsgálás céljából.
– A bizalmas adatok kiszivárgásának elkerülése érde-kében biztosítani kell az elektronikus levelezés tartalmi szűrésének lehetőségét.
– Tekintettel arra, hogy a levelező rendszer kizárólag a Társaság feladatainak végrehajtására használható, a fel-használókat tájékoztatni kell arról, hogy a Társaság leve-
1018 A MÁV Zrt. Értesítője 19. szám
lező rendszerén tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Társaság szabályzataiban fel-jogosított ellenőrző szervezeteknek ezekhez az állomá-nyokhoz a vizsgálathoz szükséges mértékig betekintési joguk van. A betekintés szabályait a Társaság Adatvédel-mi szabályzata tartalmazza.
– A Társaság levelező rendszere a Társaság üzletmene-tétől idegen (pl. reklám), üzleti célokra nem használható.
– A levelező rendszerben egyidejűleg maximálisan 50 címzett számára engedélyezett üzenet küldése. Ez alól az IVO vezetője adhat felmentést.
– A Társaság elektronikus levelezési címjegyzéke a Társaságon kívüli szervezetnek a Társaság belső adatvé-delmi felelőse egyetértésével, törvényben meghatározott esetekben szolgáltatható ki.
– Magáncélra kialakított (nem MÁV-os, pl. Gmail, Hotmail, Freemail, Citromail) postafi ók használata a Tár-saság hálózatába kapcsolt munkaállomásról nem megen-gedett.
– Tilos az elektronikus üzenetek – rendszeres illetve automatikus – átirányítása vagy másolat küldése a Társa-ságon kívüli e-mail címekre (pl. Freemail, Gmail, Hot-mail stb.)
4.6.10. Az elektronikus kereskedelem biztonságaA korszerű piaci igények kielégítésére szolgáló, az in-
terneten keresztül elérhető elektronikus szolgáltatások biztonsága komplex védelmet igényel, mert az adatkeze-lés során adatcserére és nyilvános hálózat igénybevételé-re egyaránt sor kerülhet.
A hatékony védelem megvalósítására integrált bizton-ságot kell az ilyen rendszer kifejlesztése során kialakíta-ni, melynek legfontosabb feladatai:
– a hozzáférés szabályozása és ellenőrzése,– egységes azonosítás és hitelesítés,– az elektronikus aláírások kezelése, rejtjelzés, kulcs-
menedzsment (PKI),– a behatolási kísérletek fi gyelése,– biztonsági naplózás a hozzáférések, az azonosítás és
a hitelesítés ellenőrzéséhez,– az auditálhatóság biztosítása.
4.6.11. A MÁV Zrt. nyilvános rendszereinek bizton-sága
Nyilvános rendszerben (pl. internet hálózaton keresz-tül elérhető MÁV Zrt. honlap, Dokumentációs Központ műszaki adatbázisa) esetén szükség van a rendszer jog-hatóságának területén hatályos törvények, jogszabályok és rendeletek betartására.
Az elektronikus hirdető rendszereknél – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az in-formáció közvetlen beléptetését – megfelelő eszközökkel kell gondoskodni arról, hogy:
– Az információ megszerzésének módja feleljen meg a 1992. évi LXIII. törvény a személyes adatok védelméről
és a közérdekű adatok nyilvánosságáról, illetve 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a ver-senykorlátozás tilalmáról rendelkezéseinek.
– Időben kerüljön sor a rendszerbe beléptetett informá-ció pontos és hiánytalan feldolgozására.
– Az adatok kezelése (gyűjtés, tárolás, feldolgozás) so-rán a szükséges mértékig gondoskodni kell az adatok, valamint – a biztonsági osztálynak megfelelően – az in-formatikai rendszerek védelméről.
– A kiadó rendszerhez való hozzáférés ne tegye lehető-vé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik.
4.6.12. Társasági információs rendszerekA Társasági információs rendszerek védelme az infor-
máció megjelenési formájának sokszínűsége miatt a leg-több informatikai biztonsági kockázatot rejti. Különösen megnő a kockázat a rendszerek összekapcsolásakor (pl. üzleti partnerek esetében).
A Társasági információs rendszerek összekötésével kapcsolatos biztonsági intézkedések defi niálásakor a kö-vetkezőket kell megvizsgálni:
a) ismert veszélyforrások azonosítása az adminisztra-tív és elszámolási rendszerekben, ahol az információ meg van osztva a Társaság különböző egységei között,
b) a továbbított és felhasznált adatok sebezhetősége a működési infokommunikációs rendszerekben, pl. tele-fonhívások rögzítése vagy konferenciahívások (körtele-fon), a hívások bizalmassága, a faxok tárolása, postabon-tás stb.,
c) információ elosztási irányelvek defi niálása,d) az érzékeny információk és a védendő dokumentu-
mok kizárása a rendszerből,e) Az adatok védelmi szintje szerinti kezelése, a biz-
tonsági osztályba sorolásnak megfelelő védelmi követel-mények teljesítése, illetve betartásuk ellenőrzése az adat-tal jogszerűen rendelkező (jogosult) feladata.
f) korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. érzékeny projekte-ken dolgozó személyzet,
g) személyzeti, szerződéses vagy üzleti ügyfelek kate-góriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhető (lásd 4.2.4. feje-zet),
h) a kiválasztott berendezések korlátozása egyes fel-használói kategóriákra,
i) a felhasználói státus (külső vagy belső) azonosítása,j) A felhasználók hozzáférési jogosultságainak megha-
tározásánál, kiosztásánál és használatuk ellenőrzése so-rán fi gyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírásait.
k) A rendszeren tárolt adatok mentése (lásd 4.6.4. feje-zet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell kezelni és tárolni, ezt részletesen a RIBSZ-ben kell szabályozni.
l) Visszalépési követelmények és intézkedések
19. szám A MÁV Zrt. Értesítője 1019
m) A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsér-tése stb.) az IVO bevonásával haladéktalanul ki kell vizs-gálni, és a vizsgálat eredményét jegyzőkönyvezni kell. A kivizsgálás folyamatáért az adott szervezeti egység veze-tője a felelős.
n) A rendszer által kezelt adatbázisokat, használt esz-közöket (szerverek, munkaállomások, adattárak, hálóza-tok) a biztonsági osztályba sorolásnak megfelelően az il-letéktelen fi zikai hozzáférés ellen is védeni kell.
4.7. Hozzáférés-menedzsment
4.7.1. A hozzáférés ellenőrzés üzleti követelményeiAz adatok és az üzleti folyamatok elérését az üzleti és
biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerülnek a rendszer-erőforrások, alkalmazások, külső összeköttetések, adatbázisok eléré-sére, terjesztésére és engedélyezésére vonatkozó általá-nos irányelvek.
Korlátozni kell az információkhoz, informatikai esz-közökhöz, hálózatokhoz, alkalmazásokhoz, rendszer erő-forrásokhoz, állományokhoz és programokhoz való hoz-záférést. A hibákat és felhasználói tevékenységeket ese-ménynaplókban kell rögzíteni, és a tárolt részleteket ele-mezni a biztonsági események megfelelő módon való felderítésének és kezelésének érdekében.
4.7.2. A hozzáférés menedzsment általános szabá-lyai
A jogosultságkezelési tevékenység ellátásának meg-szervezése az üzleti tulajdonos feladata az általa tulajdo-nolt rendszerek vonatkozásában. Tekintettel a Társaság kiterjedt alkalmazás portfóliójára és a felhasználók nagy számára, törekedni kell arra, hogy mielőbb megvalósul-jon egy átláthatóbb jogosultsági rendszert összefogó köz-ponti adatbázis, amely elősegíti az összehangoltabb mű-ködést. Ennek későbbi továbbfejlesztésének feltétele a rendszerek olyan átalakítása, amely a bekapcsolt rend-szerek vonatkozásában lehetővé teszi a jogosultságok központi menedzselését.
Hozzáférési jogosultság kiadása kizárólag a 2.1.1. pont szerinti személyek, valamint a 4.2.4. pont szerint hozzáférő partnerek kizárólagos írásban kötött hozzá-férési szerződés megléte esetén adható. A szerződésnek egyértelműen ki kell mondania, hogy a hozzáférés so-rán teljes körűen betartja az IBSZ-t, valamint a végre-hajtási rendelkezéseket tartalmazó RIBSZ-ek előírása-it.
A hozzáférési jogosultságok megállapításának alapját az érintett dolgozó munkaköri leírásában (beszállítók és karbantartók alkalmazottai esetében a vonatkozó szerző-désben) rögzített szerepköre ellátásához szükséges és in-dokolt adathozzáférési igény képezi. Az informatikai eszközökhöz történő felhasználói hozzáférés ellenőrzés feladata az illetéktelen hozzáférés megakadályozása,
ezért a rendszerben azonosítani kell a felhasználókat. En-nek során a „szükséges minimális jogosultság” elvet ér-vényesíteni kell: a felhasználó csak a munkájához feltét-lenül szükséges adatokhoz és csak a szükséges időtar-tamban férhessen hozzá.
Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési jogosultságok érvényesí-tése, az adatkezelés eseményeinek nyomon-követhetősé-ge és személyi felelősséghez köthetősége garantálható legyen. A hozzáférési jogosultságokra vonatkozó elkép-zelést (pl. a jogok korlátozó elvű kiosztását) már a rend-szer tervezésének időszakában, a biztonsági osztálynak megfelelő követelményszinten ki kell alakítani. Az infor-matikai rendszerrel dolgozó minden munkatárs az alkal-mazás RIBSZ által meghatározott szerepkörbe sorolan-dó, amely alapján örökli a szerepkörre meghatározott hozzáférési jogokat. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás használata fokozott és kiemelt szinten kötelező. A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók. A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során pedig az üzleti tulajdonosnak kell meghatározni és az IVO ve-zetőjével egyeztetni.
A kiosztott hozzáférési jogosultságokat minden fel-használó esetében felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A visszaélések elkerülése érdekében a ki-emelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni. A Társaság dolgozóinak felhasználói azonosí-tóját munkaviszonyuk megszűnésével, a külső munka-vállalók felhasználói azonosítóját megbízatásuk lejártá-val haladéktalanul le kell tiltani. Akinek munkaviszonya megszűnt a rendszer szolgáltatásait nem veheti igénybe, és erőforrásait nem használhatja.
A munkaviszonyukat huzamosabb ideig szüneteltető (pl. gyermek szülése), illetve a tartósan más okból távol-levő (pl. külföldi kiküldetés, elhúzódó gyógykezelés) dolgozók felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell. A dolgozók áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltá-sa, jogosultságok törlése, új azonosítók vagy jogosultsá-gok létrehozása stb.) az áthelyezéssel egy időben, hala-déktalanul át kell vezetni. Ennek kezdeményezése az át-helyezés előtti és az áthelyezés utáni közvetlen vezető feladata.
A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus email üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. A levelező rendszer adminisztrátora vezetői engedély alapján – de legfeljebb 3 hónap múlva – törölje a postafi -ókot, annak archiválását követően.
1020 A MÁV Zrt. Értesítője 19. szám
Azokban a rendszerekben, amelyek regisztrálják a fel-használó utolsó bejelentkezésének időpontját, ha egy fel-használó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), erről a felhasználót, valamint a munkahelyi vezetőjét értesíteni szükséges. Amennyiben az ezt követő 15 napon belül nem történik belépés a rendszerbe, azonosítóját le kell tiltani. Erről is-mét értesítést kell küldeni, megjelölve az érvénytelenítés okát.
A felhasználó-azonosítónak fő szabályként egyedinek kell lennie. Ennek érdekében a felhasználói azonosítók képzésére központi névkonvenciós szabályt kell megha-tározni az IKI kezelésében. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) minden rend-szerben külön-külön naplózni kell.
A rendszergazdai azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható lemez- vagy páncélszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésé-vel. A listákat az üzleti tulajdonos által kijelölt vezetőnek kell tárolnia úgy, hogy azok rendkívüli esetben hozzáfér-hetőek legyenek.
Felhasználók csak az IKI külön engedélyével rendel-kezhetnek a munkaállomáson helyi (lokális) rendszergaz-dai jogosultságokkal, amelyhez az IVO állásfoglalását is ki kell kérni. Hálózati rendszergazdai jogosultságok nem adhatók ki a felhasználók számára. A jogosultságot a KKA-ban nyilván kell tartani.
Minden számítógépen kötelező a rendszer jelszavas képernyővédőjét beállítani, illetve azt kézzel bekapcsolni (a Windows+L billentyű egyidejű lenyomásával), ha azt a kezelő ideiglenesen magára hagyja. A képernyővédelem beállításait csak rendszergazda változtathatja meg, vala-mint minden munkaállomáson az automatikus bekapcso-lási időt 10 percben kell meghatározni. Amennyiben az alkalmazott munkafolyamat indokolja, a biztonsági szempontok mérlegelése alapján, az IVO vezetője adhat egyedi felmentést a funkció használata alól.
4.7.3. A távfelügyeleti megoldások biztonságaTávfelügyeleti megoldás alkalmazása esetén a felhasz-
nálói munkaállomás meghibásodása vagy a felhasználó segítségkérése esetén a HelpDesk szolgáltatást nyújtó szervezet nem jelenik meg fi zikailag a helyszínen, hanem hálózaton keresztül (távolról) csatlakozik a felhasználó számítógépére, így oldva meg a felmerült problémát.
A távfelügyeletet végző személy ebben az esetben át-veszi a gép irányítását és megkapja a felhasználó rendel-kezésre álló jogosultságokat is, így bármit tehet a számí-tógéppel.
Ez fokozott kockázatot jelent, ezért távfelügyelet csak az alábbi feltételek esetén jöhet létre:
– a létrejövő kapcsolat nem futhat harmadik félen is keresztül,
– a távfelügyelet ideje alatt folyamatos telefonos kap-csolat szükséges a támogató és a felhasználó személy kö-zött,
– a felhasználók minden esetben kísérjék fi gyelemmel a PC munkaállomásukat érintő üzemeltetési, (táv)kar-bantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjü-ket,
– az üzleti tulajdonos ellenkező értelmű utasításának hiányában a támogató szervezetnek jelentést kell írnia az elvégzett munkáról, amit meg kell küldenie a felhaszná-lónak,
– a rendszer Kockázatelemzés és RIBSZ dokumentu-mai rendelkezzenek e folyamatokról.
A kockázatok minimalizálása érdekében a távfelügye-leti rendszerek használata során ellenőrizni és szabályoz-ni kell:
– az alkalmazandó megoldás (szoftver) biztonsági megfelelőségét és dokumentáltságát,
– ingyenes szoftverek esetén a gyártói támogatást és a verziókövetés meglétét,
– erős azonosítási és hitelesítési mechanizmusok meg-létét és használatát,
– a kommunikációs csatorna titkosságát,– a felhasználó gépén működő kliens program háttér-
ben (service-ként) való állandó futásának szükségessé-gét,
– külső fél által nyújtott támogatás esetén csak az eseti kapcsolódás engedélyezett (nem futhat a háttérben állan-dóan a kliens program),
– a fájl átvitel szükségességét (amennyiben nincs rá szükség, a funkció legyen elérhetetlen),
– a felhasználók egyértelmű tájékoztatását, hogy távfelügyelik a munkaállomását,
– a lehetőséget a felhasználói beavatkozásra (pl. kap-csolat engedélyezése vagy megszakítása),
– a felhasználók és a segítségnyújtók oktatását és tájé-koztatását,
– a naplózás meglétét és szintjét,– a segítségnyújtók körét (név szerint), amit a távfel-
ügyelt rendszer üzleti tulajdonos hagy jóvá.
A Társaság hálózatán működő számítógépek távfel-ügyeletét az IVO jóváhagyása mellett az IKI engedélyezi. Fokozott és kiemelt biztonsági osztályba tartozó rendsze-rek távfelügyelete esetén a biztonság szempontjából leg-szigorúbb előírásokat kell alkalmazni.
4.7.4. A felhasználó hozzáférési jogosultságának el-lenőrzése
Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerep-körüknek megfelelő legyen. Ennek érdekében:
– A jogosultságokat az üzleti tulajdonosnak rendszeres időközönként ellenőrizni kell. Az általános felhasználók
19. szám A MÁV Zrt. Értesítője 1021
esetében ezt évente, a fokozott biztonsági besorolású rendszerekben félévente, míg a kiemelt besorolásúban 3 havonta kell megtenni. Az ellenőrzéskor az IHIR SAP HR rendszerből lekért adatokkal is össze kell vetni.
– A szerepkörök változásakor a hozzáférési jogosultsá-gokat felül kell vizsgálni és az új szerepkörnek megfele-lően módosítani kell.
4.7.5. A felhasználói jelszavak kezeléseAz informatikai rendszerekben a felhasználók hitelesí-
tésének alapvető módja a jelszó megadása.
A felhasználói jelszavak kezelésére a következő szabá-lyok a mérvadók:
a) A felhasználónak kötelezően alá kell írnia egy nyi-latkozatot, melyben felelősséget vállal személyes, (esetleg csoportos) jelszavainak bizalmas kezelésére.
b) Belépéskor megkapott, ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó elő-zetes – például személyes – azonosítása után. Az ideigle-nes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező.
c) A jelszó elfelejtése esetén a felhasználó közvetlen vezetője kérheti email-en a jelszó alaphelyzetbe állítását, amelyben feltünteti a saját maga és a beosztottja azonosí-tásához szükséges adatokat (pl. szervezet, név, telefon, email cím stb.). A jelszó megváltoztatása az első bejelent-kezés alkalmával kötelező.
d) Telefonon vagy faxon történő kérésre jelszóváltozta-tás nem kezdeményezhető.
e) A jelszónak minden felhasználó számára – a jelszó-politika határain belül – szabadon megváltoztathatónak kell lennie.
f) A felhasználói jelszavakkal kapcsolatban (amennyi-ben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
minimális jelszóhossz megadása,a jelszó egyediségét (történeti tárolás),a központi jelszó megadás utáni első bejelentkezéskor
a kötelező jelszó cseréjét,a jelszó maximális élettartamát,a jelszó minimális élettartamát,a jelszó zárolását,a jelszó képzési szabályainak – bonyolultsági kritéri-
umnak – meghatározását.– Az informatikai rendszerekben a jelszavakat tilos
nyílt formában tárolni. A jelszófájlokat megfelelő rejtjelzési védelemmel kell ellátni.
– A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos.
– A felhasználói jelszó hosszával, ill. szerkezeti szabá-lyaival (bonyolultság) szemben támasztott követelménye-ket minden esetben az határozza meg, hogy milyen a ki-szolgálón tárolt adatok érzékenységi besorolása és ebből következően a kiszolgáló informatikai biztonsági osz-tályba sorolása.
Jelszó használatA Társaság informatikai rendszereit használó vala-
mennyi felhasználónak a következő jelszóhasználati sza-bályokat kell betartania:
a) A jelszavak bármilyen tárolási formáját (pl. jelszó, hash) bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók.
b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elke-rülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásá-ról. Ezektől eltérően a legmagasabb jogosultságot biztosí-tó felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, azokat két különböző helyen, lemez- vagy páncélszekrényben tárolni.
c) Amennyiben a felhasználó azt gyanítja, hogy jelsza-vát valaki megismerte, azonnal le kell azt cserélnie.
d) A jelszó hossza legkevesebb 8 karakter legyen, ne tartalmazzon egymást követő azonos karaktereket, vagy számokat, mert ez meglehetősen megkönnyíti a feltörhe-tőséget, pl. az ún. kipróbálásos (brute force) támadások esetében.
e) A jelszó kívülálló számára ne legyen egyszerűen ki-található vagy könnyen megjegyezhető, ne tartalmazzon a felhasználó személyére utaló információkat (például neveket, telefonszámokat, születési dátumokat), össze-függő szövegként ne legyen olvasható.
f) A jelszó lehetőleg ne legyen szótárakban is szereplő értelmes szó, mivel ez igen megkönnyíti a feltörhetőséget, pl. az ún. szótártámadások (dictionary attack) esetében.
g) A felhasználói jelszavakat rendszeresen (a biztonsági osztály előírásainak megfelelően), vagy a hozzáférések szá-mától függően cserélni kell a rendszerben, kerülve a koráb-ban használt jelszavak ismételt vagy ciklikus használatát.
h) Az átlag jogosultságoktól eltérő, előjogokkal rendel-kező felhasználók jelszavait (pl. rendszergazdai jogosult-ságok, telepítési jogosultsággal rendelkező felhasználók esetében) sokkal gyakrabban kell cserélni.
i) Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani.
j) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót.
k) Amennyiben a munkaállomásokon a hitelesítési fo-lyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltető-jének fi gyelmeztetése alapján, a felhasználó köteles gon-doskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót.
l) A biztonságos jelszóhasználat szabályait minden fel-használónak oktatni kell.
m) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „ter-hére” könyveli el, és azokért személyesen felel.
A jelszó házirendet a fentiekkel összefüggésben, rend-szerfüggően, a RIBSZ-ben kell rögzíteni.
1022 A MÁV Zrt. Értesítője 19. szám
4.7.6. NaplózásAz illetéktelen hozzáférések, a tiltott tevékenységek
kiszűrése érdekében fi gyelemmel kell kísérni a hozzáfé-rési irányelvektől való eltéréseket, és rögzíteni kell a megfi gyelhető eseményeket, hogy adott esetben bizonyí-tékul szolgáljanak a biztonsági események kivizsgálásá-hoz, és segítséget nyújtsanak az IBSZ aktualizálásához. A biztonsági monitorrendszert csak az arra feljogosítot-tak használhatják, és tevékenységüket naplózni kell.
A naplózás általános szabályaiAlapvető naplózási követelmények:a) Kerüljön naplózásra a biztonságot érintő összes te-
vékenység, a naplófájlok tartalmát megadott időinter-vallum alapján képernyőn és nyomtatón is meg lehessen jeleníteni, a személyes adatokat nem tartalmazó napló-állományokat tilos megsemmisíteni, felülírni, módosí-tani, azokat archiválni kell. A naplóállományok legye-nek kódoltak, ellenőrző összeggel ellátottak. A fokozott és kiemelt biztonsági osztályba sorolt rendszerek biz-tonsági naplóit egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és ille-téktelen hozzáférés ellen), valamint rögzíteni kell a hi-bás bejelentkezési kísérletek adatait és a jelszócsere dá-tumát.
b) Nyilván kell tartani, hogy adott alkalmazáshoz me-lyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilvántartásra, melyből az kérdezhető le, hogy egy adott felhasználói csoport mely alkalmazás-hoz és milyen joggal férhet hozzá.
c) A biztonsági napló adatait az IKI rendszeresen, de legalább havonta egy alkalommal ellenőrzi és archiválja.
d) A biztonsági napló értékelése során meg kell hatá-rozni, hogy mely eseményeket kell jegyzőkönyvezni, me-lyek azok az események, amelyekről soron kívül, vagy a következő munkanapon kell jelentést adni az IKI és az IVO vezetőjének, akik egyeztetést követően döntenek az üzleti tulajdonos tájékoztatásáról.
e) A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni.
f) A biztonsági eseménynapló (naplófájl) és a jegyző-könyvek adatait védeni kell az illetéktelen hozzáféréstől, ezért az adott rendszer adminisztrátorának is csak olva-sási joga lehet felettük.
g) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen esz-közök állapotának regisztrálhatónak és dokumentálható-nak kell lennie.
h) A rendszerben a biztonsági eseménynapló-fájlok au-ditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát.
i) Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.
j) A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelően kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági cé-lokra lehet felhasználni ezeket.
k) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (bizton-sági napló) úgy kell kialakítani, hogy abból utólag megál-lapíthatóak legyenek az informatikai rendszerben bekö-vetkezett fontosabb események, különös tekintettel azok-ra, amelyek a rendszer biztonságát érintik. Ezáltal ellen-őrizni lehet a hozzáférések jogosultságát, meg lehet álla-pítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét.
l) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A következő eseményeket (sikeres/sikertelen) feltétlenül naplózni kell: rendszerindítások, leállítások, rendszeróra-állítások, be- és kijelentkezések, programleállások, az azonosítási és a hitelesítési mechanizmus használata, hozzáférési jog ér-vényesítése azonosítóval ellátott fájlokhoz vagy erőfor-ráshoz, azonosítóval ellátott fájl, erőforrás létrehozása vagy törlése, felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik
A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni, és azt a hozzáférés nyo-mon követhetősége érdekében meg kell őrizni.
A biztonsági naplóban az egyes eseményekhez kap-csolódóan a következő adatokat is rögzíteni kell:
A felhasználó azonosítása és hitelesítése esetén: dá-tum, időpont, a felhasználó azonosítója, az eszköz (példá-ul terminál) azonosítója, amelyről az azonosítási és hite-lesítési művelet kezdeményezése történt, a hozzáférési művelet eredményessége vagy sikertelensége.
Az olyan erőforráson kezdeményezett hozzáférési mű-velet esetén, amelynél a hozzáférési jogok ellenőrzése kö-telező: dátum, időpont, a felhasználó azonosítója, az erő-forrás azonosítója, a hozzáférési kezdeményezés típusa, a hozzáférés eredményessége vagy sikertelensége.
Az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező: dá-tum, időpont, a felhasználó azonosítója, az erőforrás azo-nosítója, a kezdeményezés típusa, a művelet eredményes-sége vagy sikertelensége. A felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan műveletei ese-tén, amelyek a rendszer biztonságát érintik: dátum, idő-pont, a műveletet végző azonosítója, az erőforrás azono-sítója, amelyre a művelet vonatkozik, a művelet eredmé-nyessége vagy sikertelensége.
A rendszer használat megfi gyeléseA felhasználók által elvégzett tevékenységeket – az el-
lenőrizhetőség érdekében – rögzíteni, naplózni kell:a) Az informatikai rendszer üzemeltetéséről (a bizton-
sági napló mellett) üzemeltetési naplót kell vezetni, ame-
19. szám A MÁV Zrt. Értesítője 1023
lyet az IKI, illetve az IVO vezetőjének döntése alapján ellenőrizni kell.
b) Az informatikai rendszer üzemeltetéséről nyilván-tartást (adatkérések, -szolgáltatások, feldolgozások stb.) kell vezetni, amelyet az arra illetékes személynek rend-szeresen ellenőriznie kell.
c) Az eseménynaplózási adatokat folyamatosan kell ar-chiválni és karbantartani.
d) A rendszereseményeket automatikusan kell archi-válni, a naplóbejegyzéseket (eseményrekordokat) folya-matosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektá-lására.
Fokozott, és kiemelt szinten:a) Az ellenőrzési rendszernek riasztania kell támadás
esetén, meg kell szakítania és le kell tiltania a támadó folyamatot (process-t) és a felhasználói fi ókot (felhaszná-lót), vagy szolgáltatást és meg kell szakítsa a kapcsolatot.
b) A rendszereseményeket automatikusan kell archi-válni, a naplóbejegyzéseket (eseményrekordokat) folya-matosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektá-lására.
Naplózási információk védelmeKülönös fi gyelmet kell fordítani a naplózó eszközök
biztonságára, mert ha meghamisítják, akkor hamis biz-tonságérzetet kelthetnek. Óvintézkedéseket kell alkal-mazni azért, hogy megvédjük az olyan illetéktelen vál-toztatásoktól és üzemeltetési problémáktól, mint az olyan naplózási rendszer, amit kiiktattak, üzenetfajták, amelye-ket rögzítés után módosítottak, naplófájlok, amelyeket átszerkesztettek vagy töröltek, naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet már velük az eseményekről feljegyzést készíteni, vagy önmagukat írják felül.
A biztonsági naplókat a rendszertől külön kell archi-válni, mint a rendszerhasználat bizonyítékait, így ezek az információk (bizonyítékok) későbbi vizsgálatokhoz is felhasználhatóak.
Adminisztrátori és operátori tevékenységek napló-zása
Az informatikai rendszer üzemeltetése során operátori (rendszergazdai) naplót kell vezetni az üzemeltetési ese-ményekről, amit az üzleti tulajdonosnak és az IVO-nak rendszeresen ellenőriznie kell.
Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az in-formatikai rendszerben bekövetkezett fontosabb esemé-nyek, különös tekintettel azokra, amelyek a rendszer biz-tonságát érintik. Egyúttal lehessen ellenőrizni a hozzáfé-rések jogosultságát, meg lehessen állapítani a felelőssé-get, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.
A rendszernek képesnek kell lennie minden egyes fel-használó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A minimálisan regisztrálandó események a következők:
– rendszerindítások, -leállások, leállítások,– rendszerhibák és korrekciós intézkedések,– programindítások és -leállások, leállítások,– az azonosítási és hitelesítési mechanizmus használa-
ta,– hozzáférési jog érvényesítése azonosítóval ellátott
erőforráshoz,– az adatállományok és kimeneti adatok kezelésének
visszaigazolása,– azonosítóval ellátott erőforrás létrehozása vagy törlése,– felhatalmazott személy műveletei, amelyek a rend-
szer biztonságát érintik.A további naplózandó eseményeket (pl. az azonosítási
és hitelesítési mechanizmus használata) rendszerfüggően kell meghatározni és a RIBSZ-ben tételesen rögzíteni.
Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.
Az informatikai rendszer üzemeltetéséről nyilvántar-tást kell vezetni, amelyet az informatikai vezető által ki-jelölt személynek rendszeresen ellenőriznie kell.
Rendszerhibák naplózásaAz üzemzavarok bejelentését követően korrekciós in-
tézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek mű-ködésében észlelt hibákat naplózni kell.
Az üzemzavarok kezelésének szabályai:– A hibanapló vizsgálata és a hiba kezelésének, elhárí-
tásának ellenőrzése.– Korrekciós intézkedések vizsgálata, illetve ezek vég-
rehajtásának és a kezdeményezett intézkedések engedé-lyezésének szabályosságának ellenőrzése.
Rendszerórák szinkronizálásaKiemelt fi gyelmet kell fordítani az operációs rendszer
és alkalmazás dokumentációjának fi gyelembevételével a rendszerdátum és -idő beállítására, mert minden tevé-kenység visszakereshetőségének alapja a hiteles, pontos dátum és idő. A felhasználók nem jogosultak saját gépü-kön a dátum és idő megváltoztatására.
4.8. Informatikai rendszerek fejlesztése
Új rendszer fejlesztésében – illetve meglevőnek a to-vábbfejlesztésében, átalakításában értelemszerűen – az alábbi szabályoknak kell teljesülni.
Amennyiben a kialakítandó rendszer komplexitása vagy egy új technológia bevezetése igényli, célszerű megvalósíthatósági tanulmányt készíteni a rendszer ki-alakítása előtt és ennek eredményét fi gyelembe venni a tervezéskor.
1024 A MÁV Zrt. Értesítője 19. szám
4.8.1. Döntés a rendszer kialakításárólA döntés fázisban egyértelmű elhatározás születik a
rendszer megvalósításáról, az érintett vezetők elkötelezik magukat a rendszer használata mellett. A döntés pillana-tától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit, amelynek kialakításába az IKI-t és az IVO-t is be kell vonni. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevő álla-potát és színvonalát.
A fejlesztés céljának megfogalmazása során meg kell határozni az összes biztonsági követelményt (lásd: 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai). Az ott leírtakat a nem projektszerűen végrehajtott valamint a kisebb fejlesztésekben értelem-szerűen kell alkalmazni. Ezeket a követelményeket és szükséges megoldásokat az informatikai rendszer fejlesz-tésének részeként kell megtervezni, egyeztetni és doku-mentálni.
4.8.2. A rendszerfejlesztés előkészítése
Az előkészítés lépéseit az Informatikai fejlesztés biz-tonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) Projektindítás) összefoglaltak szerint kell el-végezni.
A felsorolt feladatok végrehajtója a projektvezető, il-letve, ha ilyen még nincs kijelölve – vagy a fejlesztés nem projektszerűen folyik – akkor a fejlesztést kezdeményező szervezeti egység vezetője.
Az előkészítésnek fontos lépése az üzleti tulajdonos kijelölése (lásd 4.2.3.4. fejezet „üzleti tulajdonos” rész). Mindaddig, amíg ez nem történik meg, a projektvezető kötelezettsége az üzleti tulajdonos számára e szabály-zatban meghatározott feladatok ellátása. A rendszer biz-tonságát az üzleti tulajdonos a saját igényei és lehetősé-gei szerint valósítja meg, és döntési kompetenciával rendelkezik az ehhez szükséges források mozgósításá-hoz.
Az informatikai beruházások előkészítési, tervezési fázisában fi gyelemmel kell kísérni a következő biztonsá-gi szempontok érvényesítését:
a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a rendelkezésre állás szempont-jából történő elemzése és a védelmi célkitűzések megha-tározása,
b) az informatikai rendszer várható informatikai biz-tonsági osztályba sorolása,
c) az informatikai projekt jóváhagyott költségvetésé-ben szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. Ezek álljanak arányban a le-hetséges kockázatokkal, károkkal.
Az előző pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentősen megnöveli az információbiztonsági kockázatokat, valamint a későb-bi kiadásokat.
A kiírásban szerepeltetni kell a létrehozandó (fejlesz-tendő, átalakítandó) informatikai rendszer fi zikai, logikai és adminisztratív védelmi rendszerének – a projekt (fej-lesztés) keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit, valamint az informatikai biztonságra vonatkozó követelményeket (pl. a védelmi igényt és célokat, a kezelendő adatok érzékenységét, a rendszerrel szemben támasztott rendelkezésre állási igényt, a jogszabályokból és egyéb vállalati belső utasítá-sokból fakadó biztonsági kötelezettségeket). A kiírásban szerepeltetni kell, hogy az ajánlat biztonsági szempont-ból csak akkor fogadható el, ha:
– a kitűzött védelmi célokra megfelelő szinten reagáló fejezetet (részeket) tartalmaz,
továbbá ajánlattevő nyilatkozik arról, hogy– csak jogtiszta szoftver rendszert szállít,– biztonsági rendszer megvalósítását csak a projektben
(fejlesztésben) megjelölt személyek / alvállalkozók vég-zik,
– elfogadja a Társaságnál érvényes informatikai biz-tonsági szabályokat a rendszer kialakításában.
Előnyben kell részesíteni azt a pályázót, aki / amely rendelkezik informatikai vagy informatikai biztonsági színvonalát bizonyító minősítéssel vagy deklaráltan a legújabb szabványok szerint dolgozik (jelenleg ezek: MSZ EN ISO 9001:2009, MSZ ISO/IEC 27001:2006, MSZ ISO/IEC 27002:2007 stb.). A 3. sz. mellékletben be-mutatott biztonsági minősítési rendszert a pályázók beso-rolásánál is alkalmazni kell.
A fejlesztésre vonatkozó szerződésnek külön fejezet-ben kell foglalkoznia az informatikai biztonsággal. Eb-ben a fejezetben szerepeltetni kell a szállítandó szoftver és a kapcsolódó termék:
– teljesítendő informatikai biztonsági követelményeit,– biztonsági tanúsításával, minősítésével kapcsolatos
feltételeket,– dokumentációjának biztosításával, a dokumentációi-
ba történő betekintéssel kapcsolatos követelményeket,– használati (futtatható) illetve forráskód felhasználá-
sának és ellenőrzési jogának, a licencek felhasználásának a feltételeit,
– szavatosságával, jótállásával, auditálhatóságával kapcsolatos feltételeket,
– garanciális időn túlmenő szervizelési feltételeit, úgy-mint rendelkezésre állási idő, reakció-idő, tartalék alkat-rész biztosítása, cserefeltételek, tartalék eszközök,
– titoktartási (ha a rendszer üzleti titoknak minősülő adatokat is kezel), és adatvédelmi (ha a rendszer szemé-lyes adatokat is kezel) követelményeket, megállapodáso-kat,
– a szállító nyilatkozatát, hogy a védelmi rendszer ter-vezéséhez és megvalósításához használt információkat és dokumentumokat átadják,
– a szállító nyilatkozatát, hogy az informatikai rend-szer fejlesztése során eleget tesznek a Társaság valameny-nyi szabályzatának, különös tekintettel az IBSZ-re.
19. szám A MÁV Zrt. Értesítője 1025
További lényeges, a biztonságot is érintő elvárás a szerződéssel kapcsolatban, hogy az ajánlattevő szükség szerint az alábbiakról is nyilatkozzon:
– a megkötendő szerződés alapján létrejött szellemi termékre a MÁV Zrt. valamennyi szervezeti egysége – működési körén belül – korlátlan felhasználási joggal rendelkezik majd;
– a megkötendő szerződés alapján szállított szoftverek használati joga átkerül majd
– a MÁV Zrt.-hez;– szavatol azért, hogy a majdan szállított szoftverek
rendeltetésszerű használatra alkalmasak és rendelkeznek a hardver, szoftver leírásokban meghatározott paraméte-rekkel (kellékszavatosság);
– szavatol azért, hogy a majdan szállított szoftverek és hardverek fölött harmadik személynek nincs olyan joga, amely a megkötendő szerződés teljesítésében feleket gá-tolná (jogszavatosság);
– kártalanítania fogja Ajánlatkérőt minden olyan igény esetén, amely valamely szabadalmi, védjegy, szoftverrel összefüggő jogok stb. megsértéséből származik azáltal, hogy azt szerződő felek a majdan megkötendő szerződés során felhasználták.
A pályázat kiírásába és értékelésébe, a szerződés szö-vegének kialakításába, továbbá a fejlesztés és tesztelés folyamatába minden esetben be kell vonni az IVO-t.
A Rendszerkoncepció, vagy a Projekt alapító okirat nevű dokumentumban meg kell határozni az alapvető in-formatikai biztonsági követelményeket. A rendszer biz-tonságával kapcsolatosan meg kell határozni a szereplő-ket, meg kell nevezni a biztonsági határokat, adatátviteli hálózat biztonsági feltételeit, az életciklus kezelési feltét-eleit.
4.8.3. A kockázatok kezeléseA fejlesztendő rendszer megvalósítása során az infor-
matikai biztonságot a rendszerbe integrálva kell kialakí-tani, amihez ismerni kell a rendszert konkrétan fenyegető veszélyeket, ismerni kell a várható biztonsági kockázato-kat.
A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontja-inak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakori-ságát. Az ehhez szükséges lépéseket az Informatikai fej-lesztés biztonsági feladatai és dokumentumai c. táblázat-ban (4. sz. melléklet b) Kockázatelemzés) összefoglaltak szerint kell elvégezni.
Az ott felsorolt feladatokat az üzleti tulajdonos irányít-ja és a rendszerre vonatkozó biztonsági igényei alapján a beszállítóval végezteti a megvalósítási szerződés kereté-ben.
A kockázatelemzés szakaszban részletesen fel kell tár-ni a rendszert fenyegető tényezőket. Ehhez csoportosítani kell a vizsgálandó szempontokat legalább a:
– környezeti infrastruktúra,– hardver eszközök,– adathordozók,– dokumentumok,– szoftver,– adatok,– kommunikáció,– szolgáltatások,– személyi elemcsoportok vonatkozásban.Ezekhez a csoportokhoz kell egyedenként meghatá-
rozni a fenyegető tényezőket a Kockázatelemzés lépései c. táblázat szerint (6. sz. melléklet). A kapcsolódó kárér-tékek besorolási táblázatát a 7. sz. melléklet tartalmazza.
A későbbiekben valamennyi védelmi intézkedést (pl. az adatok és rendszerek biztonsági osztályba sorolását) ezek tükrében kell megtenni.
4.8.4. Adatok, informatikai rendszerek biztonsági osztályba sorolása
A Társaság informatikai rendszereit a bennük kezelt adatok érzékenysége, az adatokat és a rendszert fenyege-tő tényezők veszélyessége és előfordulási gyakorisága alapján biztonsági osztályba kell sorolni. A biztonsági osztályozás célja az informatikai vagyontárgyak szüksé-ges védelmi szintjének előírása. Ezt a besorolást minden esetben az adat, illetve az adatot feldolgozó rendszer üz-leti tulajdonosa állapítja meg a kockázatelemzés eredmé-nye alapján. Az adatok minősítése maga után vonja az azokat tároló, feldolgozó többi informatikai rendszer-elem, illetve a teljes informatikai rendszer biztonsági be-sorolását is.
A létrejött dokumentumokból, valamint a tervezés so-rán felállított követelményrendszerből levonható infor-matikai biztonsági következtetéseknek egyértelműen arányban kell állniuk a fejlesztendő rendszernek a Tár-saság üzletvitele szempontjából betöltött fontosságával.
A biztonsági osztályba sorolás általános menete során az üzleti tulajdonos feladatai:
– Nyilatkozik a rendszerrel szemben támasztott ren-delkezésre állási igényéről (5/A. sz. melléklet).
– A rendszer által kezelt adatkörök elemeztetésével meghatározza, hogy a rendszer kezel-e személyes adato-kat, minősített adatokat, vagy üzleti titoknak minősülő adatokat.
– Meghatároztatja, hogy az elvárt rendelkezésre állás melyik biztonsági osztálynak megfelelő intézkedésekkel biztosítható (10. sz. melléklet).
– A biztonsági osztály megállapításakor előzetesen ki-kéri az IKI és az IVO állásfoglalását.
– Amennyiben az üzleti tulajdonos a javasoltnál ala-csonyabb biztonsági osztályba történő besorolás mellett dönt, köteles annak jóváhagyása érdekében az állásfogla-lásokkal együtt felterjeszteni az elnök-vezérigazgató ré-szére. Amennyiben az üzleti tulajdonos által meghatáro-zott alacsonyabb szintű besorolást az elnök-vezérigazgató nem hagyja jóvá, abban az esetben az üzleti tulajdonos a
1026 A MÁV Zrt. Értesítője 19. szám
rendszer fejlesztésének céljait, a ráfordításait úgy módo-sítja, hogy a biztonsági osztályba sorolás tekintetében végül megegyező álláspont alakuljon ki.
– A kockázatelemzés által feltárt, a rendszert fenyege-tő tényezők alapján intézkedik azok megszüntetéséről vagy minimális értékre való csökkentéséről.
– Elfogadja a maradványkockázatokat, továbbá a rendszert információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás szem-pontjából biztonsági osztályba sorolja, amelyet írásban kell rögzíteni a biztonsági dokumentumokban (lásd nyi-latkozat a 11. sz. mellékletben).
A biztonságnövelő intézkedések egy része nem tesz különbséget a két fenyegetettség (információvédelem és rendelkezésre állás) között, ebben az esetben az adat vé-delmét a két besorolás közül a magasabb fokozatú szerint kell megvalósítani.
– A besorolásról értesíti az IKI-t, a KKA-ban eltárolás érdekében. A védelmi profi lok jelölésére a 8. sz. mellék-letet (Védelmi profi lok azonosítási rendszerét) kell hasz-nálni.
Alap biztonsági osztályba kell sorolni minden olyan rendszert, amely nem igényel fokozott vagy kiemelt biz-tonsági besorolást.
Fokozott biztonsági osztályba kell sorolni:– a Társaság üzletvitele szempontjából stratégiai jelen-
tőségű rendszereket,– az üzleti titoknak minősülő adatokat valamint a nagy
mennyiségű, vagy különleges személyes adatot feldolgo-zó rendszert.
Bizalmasság szempontjából fokozott kategóriába so-rolt adatokra vonatkozóan, az üzleti tulajdonosnak meg kell vizsgálni az egyezőséget a Társaság üzletititok-vé-delmi szabályzat titokköri jegyzékével, és szükség esetén intézkedni kell annak kiegészítésére.
A minősített adat védelméről szóló törvény alapján mi-nősített adat védelme érdekében, az azt feldolgozó rend-szert kiemelt biztonsági osztályba kell sorolni. E szabály-zat rendelkezéseit a jogszabályok által előírt elektronikus biztonsági intézkedések és eljárási rend fi gyelembe véte-lével kell alkalmazni.
4.8.5. A rendszer biztonságának tervezéseA következő fázisban Rendszerszintű Informatikai
Biztonsági Szabályzatot (RIBSZ) – melynek vázlata a 12. sz. mellékletben található – (kisebb rendszerekben a Rendszertervben informatikai biztonsági fejezetet) kell kialakítani.
RIBSZ-et kell készíteni különösen, ha a rendszer:– fokozott vagy kiemelt biztonsági osztályba van so-
rolva,– a Társaság üzletvitele szempontjából stratégiai, ki-
emelt fontosságú,– nagy mennyiségű személyes adatot kezel.
Az ehhez szükséges lépéseket az Informatikai fejlesz-tés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. Biztonsági szem-pontból az IVO vezetője felügyeli és támogatja az infor-matikai fejlesztéseket, projekteket, ennek során állást foglal a rendszerszintű informatikai biztonsági szabály-zatok megfelelőségéről.
Az RIBSZ (illetve a Rendszerterv informatikai bizton-sági fejezete) tartalmának szigorú összhangban kell len-nie a korábbi fázisban meghatározott biztonsági osztály-ra vonatkozó informatikai biztonsági követelményekkel és a kockázatelemzés által előírt intézkedésekkel. A vé-delmet fi zikai, logikai és adminisztratív területen kell megvalósítani. Ezek részleteit a Biztonsági osztályok kö-vetelményei című táblázat (10. sz. melléklet) a besorolási osztályokra bontva tartalmazza.
A fejlesztési folyamat minden lépésében konzultálni kell mind az üzemeltetőkkel (operátorokkal), mind a fel-használókkal a rendszer hatékonyságának érdekében.
A rendszer tervezése, valamint az informatikai bizton-sági osztály meghatározása után világosan látszik, hogy kell-e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az RIBSZ-ben, illetve a Rendszerterv informatikai biztonsági feje-zetében részletesen ki kell dolgozni az ide vonatkozó vé-delmi intézkedéseket is. Ilyen szolgáltatással rendelkező rendszerben a kulcsokat külön védeni kell az elvesztés és illetéktelenek tudomására jutása ellen, hogy a sértetlen-ség, titkosítás, hitelesség rendszere ne sérüljön.
4.8.6. A rendszer használatba vétele
TesztelésA rendszerben megvalósuló valamennyi elemet a rend-
szer használatba vételét megelőzően biztonsági megfele-lőség szempontjából tesztelni kell. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet d) A rendszer használatba vétele) összefoglaltak szerint kell elvégezni.
A biztonsági teszt-feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesz-telési folyamatok irányítására – amennyiben indokolt – egy szervezetet kell létrehozni, aminek a vezetője az üz-leti tulajdonos által kijelölt teszt menedzser. Tagjai továb-bá a rendszer méretétől (bonyolultságától) függő létszám-ban a teszt tervező(k), tesztelő(k), értékelő(k). A teszte-lésbe a felhasználó környezetéből is be kell vonni szemé-lyeket, akiket az üzleti tulajdonos vagy a projekt mene-dzser jelöl ki. A tesztelés végrehajtására a teszt mene-dzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Ennek legfőbb elemei a következők:
– a teszt céljainak meghatározása,– a teszt lépéseinek meghatározása,– a rendszer tesztelendő elemeinek behatárolása,
19. szám A MÁV Zrt. Értesítője 1027
– tesztelési mód, teszt környezet, teszt adatbázis meg-határozása,
– tesztek értékelési módszerének kialakítása,– teszteredmények megfelelőségi kritériumainak defi -
niálása,– dokumentálási faladatok meghatározása,– a tesztelési szervezet kialakítása, személyek megha-
tározása, szerepkörök, felelősségi leírása,– ütemterv meghatározása.A tesztelés tervét a rendszertervvel párhuzamosan kell
elkészíteni, mivel a biztonsági követelmények addigra már ismertek. Lehetőleg az informatikai tesztelésekkel párhuzamosan meg kell kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rend-szerrel szembeni biztonsági elvárásainak időbeni teljesü-lését. A tesztek (modul-, integrációs-, rendszer-, teljesít-mény- stb.) eredményét a 13. sz. melléklet szerinti Biz-tonsági tesztelési jegyzőkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell őrizni.
A használatba vétel feltételeiA rendszer csak akkor vehető használatba, ha rendel-
kezésre állnak az alábbi dokumentumok:a) Felhasználói Kézikönyv az összes kezelési szintrebenne olyan funkciókkal, mint az informatikai bizton-
sági rendkívüli eseményekre való reagálás, a működés-folytonosság biztosítása és a felhasználók személyes ada-tainak kezelése fejezet. A RIBSZ-ben szereplő informati-kai biztonsági szabályokat ezen a módon kell a felhaszná-lóknak eljuttatni.
b) Üzemeltetési kézikönyv,c) Rendszerszintű Informatikai Biztonsági Szabályzat
(RIBSZ)tartalmazza a rendszer összes konkrét védelmi intéz-
kedését, önálló fejezetben vagy különálló mellékletben a felhasználókkal kapcsolatos biztonsági előírások rend-szerszintű szabályait,
d) Működés-folytonossági terve) Üzleti tulajdonos nyilatkozataia rendszerrel szemben támasztott rendelkezésre állási
igényről, a biztonsági osztályba sorolásról, a maradó koc-kázat és az elkészült dokumentumok elfogadásáról,
f) Jegyzőkönyveka biztonsági tesztfeltételeknek való megfelelésről,g) Megfelelőségi tanúsítványamely minősített rendszer esetében független auditortól
származik.
Az átvétel során ellenőrizni kell továbbá:a) a teljesítőképességi és a számítógépkapacitás-köve-
telményeket,b) a hibajavító és az újraindítási eljárások vészterveit,c) a rutin üzemeltetési eljárások előkészítését és be-
vizsgálását,d) a megállapodások szerinti biztonsági óvintézkedé-
sek megtételét,e) a hatékony kézi (manuális) eljárásokat,
f) a működés folyamatosságának érdekében a 4.10.1. fejezet által megkívánt elrendezéseket,
g) annak bizonyítékait, hogy az új rendszer üzembe he-lyezése nem lesz ellenkező, káros hatással a meglévő rend-szerekre, különösen nem a feldolgozási csúcsidőkben.
h) annak bizonyítékait, hogy fi gyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a Társaság általános biztonságára,
i) az új rendszerek üzemeltetésének valamint használa-tának a betanítását, oktatását.
4.9. Az informatikai biztonsági incidensek kezelése
Alapvető cél, hogy a biztonsági események és zavarok okozta kár minimális legyen, a biztonsági események fo-lyamatosan nyomon legyenek követve, biztosítva legyen a mielőbbi normális üzemre való visszaállás és a megfe-lelő következtetéseket az illetékesek levonják.
Mindazon biztonsági eseményeket, amelyek a folya-matos éles üzemet megzavarják, a napi feldolgozást hát-ráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek. Minden munkavállalónak és vállalkozó-nak ismernie és alkalmaznia kell a Társaság működésé-nek és az általa használt eszközök használatának bizton-ságát befolyásoló különböző események (biztonsági elő-írások megsértése, veszélyek, hiányosságok vagy műkö-dési zavarok) jelentésének eljárási szabályait.
Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elkerülhetők az el-hamarkodott döntések, bizonyítékot lehet használni és megőrizni az esemény forrásának lenyomozásához és azo-nosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható, és nem csak az esemény, de a vá-lasz költségei is csökkenthetők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók. Minden szervezetnek fel kell készülnie a biztonsági események be-következésére, ezért a következő lépéseket kell megtenni:
a) felkészülés – előre dokumentált megelőző intézke-dések, eseménykezelési útmutatások és eljárások (a bizo-nyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges do-kumentumok, valamint működés-folytonossági tervek,
b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek jelentsék az esemé-nyeket,
c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meghatározásában,
d) irányítás – eljárások és felelősségek az események-kel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájé-koztatásakor,
e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor,
f) áttekintő vizsgálat – eljárások és felelősségek az ese-ményt követő tevékenységek során, ideértve a jogi követ-kezmények kivizsgálását és a trendek elemzését.
1028 A MÁV Zrt. Értesítője 19. szám
4.9.1. A biztonsági események, gyenge pontok jelen-tése
A Társaság minden informatikai eszközén, folyamato-san fi gyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhaszná-lók nem veszik fi gyelembe, ezért ennek fontosságát a fel-használókkal is tudatosítani kell.
Teendők rendszer-, illetve alkalmazáshiba esetén:a) Figyelemmel kell kísérni a működési zavar tüneteit,
a képernyőn megjelenő üzeneteket. Rendszer-, vagy al-kalmazáshiba esetén az adott számítógépen fel kell füg-geszteni a munkát. A hibaüzenetet a felhasználó nem tö-rölheti a képernyőről, amíg az illetékes informatikai munkatárs azt nem látta vagy azt meg nem beszélte vele. A felhasználó semmiféle kísérletet nem tehet az informa-tikai rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem ha kellő felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az il-letékes informatikai munkatárs jogosult.
b) Amennyiben a rendszerhibát vélhetően külső, ille-téktelen beavatkozás, vagy vírustámadás okozta, az érin-tett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, továbbá szükség esetén gondoskodni kell a hibernálás aktiválásáról vagy a kikapcsolásról. Ilyen esetekben fokozottan fi gyelni kell a hordozható adathor-dozókra is, melyeket az illetékes informatikai munkatárs-nak vizsgálat céljára át kell adni.
c) A Társaság hozzáférési, és egyéb adatvédelmi rend-szereinek működés zavarát, a megtett intézkedéseket, ha-ladéktalanul jelenteni kell a szervezet illetékes vezetőjé-nek és az IVO-nak.
d) A meghibásodott informatikai eszközben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más berendezésekben.
A biztonságot érintő eseményeket – amilyen gyorsan csak lehet – a megfelelő vezetői csatornákon jelenteni kell. Az IVO az eseményt a lehető legrövidebb idő alatt vizsgálja ki, és amennyiben a felelősségre vonás szüksé-gessége fennáll, értesítse a biztonsági igazgatón keresztül a munkáltatói jogkör gyakorlóját, hogy a munkavállaló-val szemben a kötelességszegés gyanúja esetén alkalma-zott intézkedést meg kell indítani.
4.9.2. Az informatikai biztonsági incidensek értéke-lése
Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monito-rozási rendszer működési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályza-tok korszerűsítését.
Szükség van arra, hogy kellő bizonyítékkal rendelkez-zünk ahhoz, hogy fegyelmi, vagy jogi eljárást folytas-sunk egy személy vagy szervezet ellen. Amennyiben az informatikai biztonsági incidens jogi felelősséget vet fel,
törekedni kell az összes bizonyíték feltárására, megőrzé-sére és a nyomozó hatóság illetve a bíróság részére törté-nő megfelelő átadásra.
4.10. Működés-folytonosság kezelése
Működési hibák, különböző fokozatú rendkívüli álla-potok (pl. természeti katasztrófa) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkező hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából foko-zott és kiemelt biztonsági osztályba sorolt informatikai rendszerének – annak kiterjedésétől függetlenül – köte-lező rendelkeznie Működés-folytonossági tervvel. Alap biztonsági osztályba sorolt rendszereknél is indokolt en-nek elkészítése. A tervezés olyan hibák és jelenségek ke-zelésére szolgál, amelyek a rendszer működése során gyakran előfordulhatnak a helytelen munkavégzésből, fi gyelmetlenségből, vagy a technikai körülmények előnytelen változásaiból, személyek változásából, illetve elháríthatatlan okból (pl. természeti katasztrófa). A ka-tasztrófa súlyosságú működés-folytonossági események informatikát érintő kezeléséről a Társaság katasztrófavé-delmi és polgári védelmi feladatainak ellátásáról szóló utasítás Intézkedések informatikai vészhelyzet megelő-zésére c. melléklete rendelkezik. (lásd: 15. sz. melléklet ’t’ pont)
4.10.1. A működés-folytonosság menedzseléseA működés-folytonossági tervezést az üzleti tulajdo-
nos irányítja.
Első lépésben meg kell határoznia a rendszer azon ki-esési idejét, amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása számára üzleti-leg még elviselhető, és aminek leteltével életbe kell lép-tetni a rendkívüli események kezelésére szolgáló intézke-déseket. Ennek megfelelően alapvetően három alappillér-re támaszkodik:
a) magas színvonalú, jó minőségű technológia és üze-meltetés;
b) megfelelő szabályozottság, dokumentáltság és infor-matikai szervezet;
c) az előre nem látható eseményekre történő előzetes felkészülés.
A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is fi gyelembe kell venni. A működés-folytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerű működést. Ezek lehetnek például hard-ver meghibásodások, adatátviteli útvonalon történő za-var, tartós szakadás, programhiba, vagy tűzeset, vízkár.
A tervezés az alábbi kulcsfontosságú elemekből áll:– fel kell készülni mindazokra a kockázatokra (lásd:
kockázatelemzés, maradványkockázat) melyek bekövet-kezése reális, és befolyásolja az üzleti folyamatokat,
19. szám A MÁV Zrt. Értesítője 1029
– megfelelő stratégiát kell kidolgozni, hogy a kockáza-tok minimálisak legyenek,
– meg kell állapítani a felelősségi területeket, a köve-tendő eljárási tematikát,
– meg kell határozni a reagálási és a helyreállítási stra-tégiát, annak idejét,
– tervezni kell az oktatást, hogy a működtető személy-zet (rendszergazdák, operátorok stb.) maradéktalanul is-merje a teendőket, a szabályozási rendet,
– szimulált hibák létrehozásával gyakorolni kell a hely-reállítási folyamatot (a rendszer biztonsági osztályba soro-lása függvényében legalább: alap 3 évenként, fokozott 2 évenként és kiemelt osztályú rendszerekben évente),
– minden működés-folytonossági eseményt dokumen-tálni kell és ezen tudásbázis alapján intézkedéseket kell tenni a rendszeresen ismétlődő hibák megelőzésére,
– a tervet időszakonként felül kell vizsgálni és a szük-ségletnek megfelelően módosítani kell,
– ki kell dolgozni a közönségkapcsolatok, a média ke-zelésének szabályait.
4.10.2. A tervezés keretrendszereA működés-folytonossági terv általános tematikáját a
14. sz. melléklet tartalmazza. A dokumentumnak szoros logikai kapcsolatban kell állnia az IBSZ, RIBSZ és Fel-használói kézikönyv dokumentumokkal. A tematikai vázlatot az alábbi tervezési szempontok fi gyelembe véte-lével kell alkalmazni:
– ki kell alakítani a terv szinkronját az üzleti stratégiá-hoz, biztosítani kell alkalmazkodását a változó jogi elő-írásokhoz,
– rögzíteni kell a meglevő és a helyreállításra igénybe vehető erőforrások térbeli és minőségi helyzetét,
– fel kell mérni azokat a környezeti szereplőket, ame-lyeket valamilyen formában értesíteni, vagy bevonni kell egy rendkívüli helyzet esetén (pl. MÁV Informatika Zrt. területileg illetékes informatikai központja, közvetlen munkahelyi vezető, üzleti tulajdonos, MÁV-os rendszer-gazda, tűzoltóság, rendőrség, katasztrófa-védelem, írott és elektronikus sajtó),
– meg kell különböztetni az incidenskezelést a kataszt-rófahelyzet kezelésétől, fi gyelembe véve azonban, hogy a katasztrófa-esemény az üzletmenetet hátrányosan befo-lyásoló, azt különböző mértékben érintő tényezők leg-durvább előfordulási módja ugyan, de csak egy a káros hatású tényezők sorában,
– a kockázatoknak megfelelően tartalék erőforrásokat kell feltárni, elemezni kell a rendszer külső beszállítóinak szolgáltatásait,
– nagyobb rendszerben asztali modellezéssel különbö-ző forgatókönyveket kell készíteni a különböző típusú káresetek megelőzésére, illetve kezelésére,
– vizsgálni kell a műszaki helyreállítás lehetőségeit (az eszközök üzembe történő visszaállítása, tartalék eszkö-zök üzembe helyezése, melegtartalék kezelése, alternatív helyszín igénybe vétele) fi gyelembe véve a rendszerre vo-natkozó kapacitás-igényt,
– el kell végezni a tartalék helyszín megfelelőségi vizs-gálatát,
– tervezni kell a helyreállítási fázisok részfelelőseinek folyamatos beszámoltatási kötelezettségét,
– ki kell alakítani az érintettek listáját, rögzíteni kell elérhetőségüket (cím, telefonszám), és a listát az üze-meltető személyzet számára könnyen elérhetővé kell tenni,
– minél rövidebb terjedelmű, működési zavarral terhelt környezetben dolgozó (esetleg katasztrófa-helyzetben pá-nik-közeli állapotba került) munkatársak számára is könnyen érthető, elméleti fejtegetéseket teljes mértékben mellőző feladatleírást, cselekvési tervet kell kialakíttatni, ami egyértelműen és kizárólag a végrehajtandó feladato-kat tartalmazza, meghatározva azok sorrendjét és felelő-seit,
– valamennyi részelemnek – függetlenül az üzleti tu-lajdonos mindenre kiterjedő biztonsági felelősségétől – további felelőse kell, hogy legyen, aki felel a felelősségi körébe tartozó rendszerelemek működésének helyreállí-tásáért, annak feladatait ismeri és készség szintjén be-gyakorolta.
4.10.3. A terv felülvizsgálata és karbantartásaA Működés-folytonossági tervet az üzleti tulajdonos
köteles évente vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy előfordulhatnak hibás feltételezések, személyi változások, vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, ha-nem ismerni kell annak időbeliségét, hatását és következ-ményeit is.
4.10.4. A rendszerek és a programok működési za-varainak értékelése
A Társaság minden szerverén és munkaállomásán, (amennyiben a működtető szoftver ezt lehetővé teszi) ak-tiválni kell a folyamatos rendszer vagy alkalmazás napló-zást, az esetleges hibaüzenetek visszakereshetősége vagy incidensek feltárása érdekében.
A hibaüzenetek fontosságát a működés-folytonosság fenntartásában a felhasználókkal is tudatosítani kell.
Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdo-nosnak évente elemeznie, értékelnie kell. Az elemzés alapján – szükség esetén – kezdeményeznie kell az IVO-nál jelen szabályzat, illetve saját hatáskörében az adott rendszer Működés-folytonossági tervének és RIBSZ-ének a korszerűsítését.
4.11. Megfelelés a jogszabályoknak
4.11.1. A jogszabályi előírások betartásaAz Informatikai biztonsági szabályzat alkalmazása so-
rán bevezetett védelmi intézkedések nem ütközhetnek büntetőjogi vagy polgári jogi szabályozásba, nem ered-ményezhetik a Társaság törvényes, szabályozói vagy
1030 A MÁV Zrt. Értesítője 19. szám
szerződéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhe-tőek, illetve valósíthatóak meg, amelyek a jogszabályi és egyéb előírásoknak megfelelően biztosítják az informati-kai infrastruktúra védelmét.
A szabályzat kialakításánál a 15. sz. mellékletben fel-sorolt jogforrások és előírások normái voltak irányadók, amelyekre az informatikai biztonság irányítása és meg-valósítása során az abban részt vevőknek kiemelt fi gyel-met kell fordítaniuk.
Az informatikai rendszerekkel kezelt és feldolgozott– minősített adat védelméről szóló törvény hatálya alá
tartozó adatok és az üzleti titoknak minősülő adatok vé-delmét a Társaság biztonsági vezetője a vonatkozó jog-szabályok és szabályzatok szerint,
– személyes adatok védelmét a Társaság belső adatvé-delmi felelőse a Társaság Adatvédelmi szabályzata sze-rint lássa el.
4.11.2. Az informatikai biztonság megfelelőségi fe-lülvizsgálata
A Társaság informatikai biztonsági szintjét folyamato-san és célirányosan ellenőrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel-e a mindenkori tárgybani jogforrásoknak, az in-formatikai biztonság megvalósítását végző személyektől, szervezeti egységektől független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg:
a) az IVO munkaszervezete folyamatosan, napi szakte-vékenysége részeként rutinszerűen ellenőrzi a rendszere-ket, felügyeli a rendszerek biztonságának megvalósításá-ban feladattal megbízott, a 4.2.2. és 4.2.3. fejezetekban felsorolt szervezeti egységeknek és személyeknek a rend-szerbe jelen szabályzattal beépített biztonsági mechaniz-musaival kapcsolatos tevékenységét,
b) a Belső Ellenőrzési Főosztály – saját hatáskörében kidolgozott eljárásrend szerint – esetenként, de rendsze-resen (az egyes szakterületek tevékenységének vizsgálata során) belső auditálás formájában, komplexen ellenőrzi és értékeli az informatikai biztonság helyzetét, beleértve az IVO a) pontban leírt felügyeleti tevékenységét is,
c) a Társaságon kívüli, független szakértők megbízásá-val külső auditálást kell végeztetniük az érintett rendsze-rek üzleti tulajdonosainak az alábbi esetekben:
– fokozott biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően,
– kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, majd 2 évenként rendsze-resen.
4.12. Kivételkezelés
Az IBSZ által nem szabályozott esetekben az üzleti tu-lajdonosok, projektvezetők és a munkáltatói jogkört gya-korló vezetők kezdeményezhetik az IVO-nál az adott kér-
déskörben eligazodást adó döntés meghozatalát. Az IVO vezetője szükség szerint az IKI, a TEB, illetve egyéb érintett szakterület bevonásával, az érvényes jogszabá-lyok, szabványok, ajánlások, továbbá az aktuális infor-matikai fejlettségi szint ismeretében javaslatot tesz a Biz-tonsági igazgató számára, aki saját hatáskörben döntést hoz, vagy ha az eset körülményeiből más következik, akkor vezérigazgató vagy elnök-vezérigazgató elé ter-jeszti döntés meghozatalára.
5.0. HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁ-LYON KÍVÜL HELYEZÉSEK
– 19/2005. (VI. 17. MÁV Ért. 24.) VIG. sz. vezérigaz-gatói utasítás a MÁV Rt. Informatikai Biztonsági Sza-bályzatáról, valamint a
– 18/2005. (VI. 17. MÁV. Ért. 24.) Biztonság (IVF) – Vezérigazgatói utasítás a MÁV Rt. informatikai biztonsá-gi irányelveiről, valamint módosításáról szóló 40/2002. (MÁV Ért. 20.) ADV.F.sz. utasítás.
6.0. HATÁLYBA LÉPTETÉS
Jelen szabályzat a kiadása napján, de legkorábban 2010. április 30-án lép hatályba.
7.0. MELLÉKLETEK JEGYZÉKE
1. Felhasználók biztonsági kötelezettségei2. Informatikai biztonsági nyilatkozat3. Informatikai beszállító biztonsági minősítési rend-
szere4. Informatikai fejlesztés biztonsági feladatai és doku-
mentumai5/A. Nyilatkozat az informatikai rendszer rendelkezés-
re állási igényéről5/B. Megbízhatósági követelmény jellemzők (kitöltési
útmutató az 5/A. sz. melléklethez)6. Kockázatelemzés lépései7. Kárértékek besorolási táblázata8. Védelmi profi lok azonosítási rendszere9. Fizikai biztonsági védősávok10. Biztonsági osztályok követelményei11. Üzleti tulajdonos nyilatkozata a maradó kockázat
elfogadásáról és a rendszer biztonsági osztályba sorolá-sáról.
12. Rendszerszintű informatikai biztonsági szabályzat (RIBSZ) vázlata
13. Biztonsági tesztelési jegyzőkönyv14. Működés-Folytonossági Terv (MFT) vázlata15. A MÁV Zrt. informatikai biztonsági szabályzata
tartalmát meghatározó vagy befolyásoló jogforrás-ok16. Rövidítések jegyzéke
Andrási Miklós s.k.Elnök-vezérigazgató
19. szám A MÁV Zrt. Értesítője 1031
1. sz. melléklet
Felhasználók biztonsági kötelezettségei
Jelen dokumentum célja, hogy biztosítsa minden fel-használó számára azokat a legfontosabb információkat, amelyek ismeretében a MÁV Zrt. (a továbbiakban Társa-ság) informatikai infrastruktúrája eredményesen, haté-konyan, és biztonságosan használható. Az Informatikai Biztonsági Szabályzat szerint a Társaságnak azon mun-kavállalója, aki munkája ellátásához informatikai eszközt használ (a továbbiakban felhasználó) köteles az itt felso-rolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közreműködni.
Bevezetés
A Társaság rohamosan növekvő mértékben alkalmaz informatikai rendszereket az üzleti tevékenységével ösz-szefüggő nyilvántartási, adatfeldolgozási feladatokra, de belső és külső elektronikus kommunikációra is. A rend-szerek a velük végzett napi munka során különböző biz-tonsági fenyegetéseknek vannak kitéve, amelyeket fel kell ismerni. Ellenük a Társaság védelmi rendszert mű-ködtet. Informatikai biztonsági szempontból elsősorban az adatok és feldolgozórendszerek bizalmasságának, sér-tetlenségének és rendelkezésre állásának megőrzése a fő feladat.
Bizalmasság: A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáfér-hető.
Sértetlenség: A sértetlenség védelme arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándé-kozott és a jogosultságnak megfelelő módon és mérték-ben változzanak.
Rendelkezésre állás: A rendelkezésre állás biztosítása pedig azt célozza, hogy az adatok és informatikai szol-gáltatások az előre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára hozzá-férhetőek legyenek.
Az informatikai eszközök és rendszerek folyamatos működőképessége és ennek során a biztonsági követel-mények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni.
1. Biztonsági ismeretek, felelősségtudat
A Társaság munkavállalói, mint felhasználók felelős-séggel tartoznak az általuk használt személyi számítógép és tartozékai, továbbá az informatikai rendszerek (számí-tógépes programok) biztonságának megőrzéséért. Köte-lesek a használatra vonatkozó biztonsági szabályokat (je-len dokumentumot, a használt rendszer üzleti tulajdonosa által elrendelt ismertetőket, felhasználói vagy üzemelte-
tői kézikönyveket stb.) megismerni, azokat a tevékenysé-güknek megfelelő esetekben alkalmazni és ennek során a tőlük elvárható gondossággal ellenőrizni az alkalmazott biztonsági funkciók helyes működését.
2. Egyéni felelősség
a) A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. A felhasználók kötelesek mindent megtenni annak érdekében, hogy má-sok a nevükben illetéktelenül ne tevékenykedhessenek. Kötelesek betartani a jelszóválasztási és változtatási sza-bályokat. A jelszót azonnal meg kell változtatni, ha a fel-használó megtudja, vagy gyanakszik rá, hogy az más számára ismertté vált.
b) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhaszná-lói azonosítókat és jelszavakat, továbbá más nevében nem léphetnek be a rendszerbe.
c) Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Excel-táb-lák, makró-programok, SQL lekérdezések, kis adatbázi-sok) nem tekinthetők informatikai alkalmazásnak. A ve-zetők az általuk irányított területen felelősek a végfel-használói alkalmazásoknak a biztonsági előírásokkal összhangban lévő használatáért. Az ezekkel előállított adatok, eredmények stb. megbízhatóságának ellenőrzése a felhasználó felelőssége.
d) A felhasználók kísérjék fi gyelemmel a PC munkaál-lomásukat érintő üzemeltetési, (táv)karbantartási tevé-kenységet, legyenek jelen ezek végzése során. Amennyi-ben az eszközök működésében váratlan változást tapasz-talnak, tájékoztassák közvetlen vezetőjüket.
e) A felhasználók a jelszavuk által aktivált berendezé-süket rövid időre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból, illetve kötelesek aktivizálni a PC munkaállomás jelszavas védelemmel el-látott képernyővédő funkcióját, ha munkahelyüket – akár rövid időre is – elhagyják, vagy egyéb módon gondos-kodjanak a számítógép mások általi használatának meg-akadályozásáról (pl. a helyiség bezárása).
3. Felhasználói jogosultság
a) A felhasználók a részükre meghatározott munka el-végzéséhez szükséges mértékű hozzáférést kapnak az in-formatikai rendszerekhez „a szükséges minimális jogo-sultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelően.
b) A felhasználók kötelesek a vezetőjük által engedé-lyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funk-ciók, adatok elérésére, amelyekre nincsenek feljogosítva.
c) A felhasználók csak technikailag indokolt esetekben kaphatnak rendszergazdai (adminisztrátori) jogosultsá-got.
1032 A MÁV Zrt. Értesítője 19. szám
4. Jelszavak használata
A Társaság informatikai rendszereit használó vala-mennyi felhasználónak a következő jelszóhasználati sza-bályokat kell betartania:
a) A felhasználónak tudatában kell lennie, hogy mind-azon műveleteket, melyeket az ő azonosítójával és jelsza-vával bárki végrehajt, az informatikai rendszer az ő „ter-hére” könyveli el. Ezért a jelszavait bizalmasan kell ke-zelnie, azokat más személyeknek nem adhatja meg, nyil-vánosságra nem hozhatja, köteles azok titkosságát meg-őrizni. A felsoroltakért személyesen felelős.
b) A jelszó jellemzői (hossz, bonyolultság, cserélés pe-riódusa stb.) rendszerenként változhatnak, de alapsza-bály, hogy a jelszó nem egyezhet meg a felhasználói azo-nosítóval.
c) A jelszó kívülálló számára ne legyen egyszerűen ki-található, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra stb. utaló információ-kat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét stb.), és összefüggő szövegként ne legyen olvasható.
d) A felhasználó nem adhat meg a hálózati bejelentke-zésére használt jelszóval megegyező jelszót az általa használt informatikai rendszerekben.
e) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez el-kerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt boríték-ban, a közvetlen vezetőnél történő, biztonságos tárolá-sáról.
f) Amennyiben a felhasználó azt gyanítja, hogy jelsza-vát valaki megismerte, azonnal le kell azt cserélnie és a felmerülő biztonsági kockázat lehetőségéről tájékoztatni kell az Információvédelmi osztály (a továbbiakban IVO) vezetőjét.
g) Amennyiben a munkaállomásokon a hitelesítési fo-lyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót.
h) A felhasználó részére generált első jelszót, továbbá a jelszómódosításra felhívó rendszerüzenetek után az ad-dig érvényes jelszavát a felhasználó a legelső bejelentke-zése alkalmával köteles módosítani.
5. Társaság eszközeinek használata
a) A felhasználók nem jogosultak a Társaság infokom-munikációs erőforrásai – az informatikai alkalmazások (szoftvertermékek, szolgáltatások) az infokommunikáci-ós hálózat, az internet, a munkaállomások, perifériák és az egyedi PC-k, továbbá az adathordozók (mágneslemez, CD/DVD stb.) – személyes célú használatára.
b) Az infokommunikációs erőforrásokhoz való hozzá-férés és azok használata kizárólag megfelelően azonosí-tott, hitelesített és jogosított felhasználók számára enge-délyezett.
c) A Társaságnál csak a hivatalos csatornákon keresz-tül beszerzett, elfogadott és installált PC hardver (pl. szkenner, digitális fényképezőgép) és szoftver, illetve adathordozó (pl. CD/DVD, Pen-drive) használható. Az engedéllyel végzett távmunka eseteit kivéve tilos a Társa-ság informatikai hálózatához saját tulajdonú informatikai berendezésekkel csatlakozni. Amennyiben ez a munka-végzéshez elengedhetetlen, azt az üzleti tulajdonos enge-délyezheti az IVO egyetértésével.
d) A Társaság munkaállomásain a szoftverek installá-cióját és karbantartását szerződésben megbízott üzemel-tető szervezetre kell hagyni.
e) Olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott biztonsági szoftvert vagy ellenőrzéseket, ti-los az informatikai eszközökre telepíteni.
f) Bemutató céljára tilos olyan PC-t használni, amely képes minősített biztonsági osztályú üzleti alkalmazás elérésére.
g) A munkaviszony megszűnése, a munkakör megvál-tozása, vagy más, a munkahelyi vezetője által támasztott igény esetén a felhasználónak minden eszközt és infor-mációs erőforrást, vissza kell szolgáltatnia.
6. Az adatok bizalmassága
a) A felhasználó felelős a rendszerek használata során tudomására jutott üzleti titoknak minősülő adatok tőle elvárható védelméért, a nem nyilvános adatok és a sze-mélyes adatok megőrzéséért.
b) Üzleti titoknak minősülő adatok külső tárolóra má-solása csak az erre vonatkozó, kifejezetten megengedő szabályok szerint történhet. Az ilyen információt tartal-mazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni.
c) A felhasználók senki előtt nem fedhetik fel az üzleti titoknak minősülő információt, kivéve, ha az arra jogo-sult engedélyezi. Ebbe beletartoznak a Társaságra, vala-mint ügyfeleire, informatikai rendszerére és szoftverfej-lesztésére, termékeire és szoftverlicenszeire vonatkozó technikai és üzleti információk.
d) Az informatikai biztonsági intézkedéseket és a Tár-saság erre vonatkozó belső szabályzatait bizalmasan kell kezelni.
e) Üzleti titoknak minősülő adatokat tartalmazó infor-mációkat külső félnek elektronikus úton kizárólag a Tár-saság titokvédelmi szabályzatában leírt módon szabad küldeni.
f) Minden a felhasználónak a számítógépekhez való hozzáféréséhez szükséges azonosító, jelszó, telefonszám, valamint egyéb, a informatikai erőforrásokhoz való „hoz-záférési lehetőség” a felhasználó tulajdona és titka. Az ilyen hozzáférési lehetőség birtokosa felelősségre vonha-tó ennek jogtalan vagy gondatlan használatáért, felfedé-séért.
g) A felhasználók a belső adatok védelmére kötelesek külön intézkedéseket alkalmazni a kapott lehetőségeken belül, vagy külön intézkedéseket kérni (pl. diszk-zárakat,
19. szám A MÁV Zrt. Értesítője 1033
a bizalmas fájlok és üzenetek titkosítását, a könyvtárak és fájlok külön jelszavas védelmét).
h) Az általa használt elektronikus adathordozókról (pl. mágnesszalag, merevlemez, CD/DVD) az adatokat újra-felhasználás vagy selejtezés előtt a szokásos eszközök-kel, helyreállíthatatlan módon le kell töröltetnie. Az üzle-ti titoknak minősülő adatokat tartalmazó szalagokat, le-mezeket stb. selejtezés előtt fi zikailag meg kell semmisí-teni, vagy más módon lehetetlenné tenni az adatok visz-szaállíthatóságát. Az erre vonatkozó általános eljárásokat az IBSZ 4.6.4.4. számú fejezete tartalmazza.
i) A kinyomtatott érzékeny anyagokat, a feleslegessé vált, bizalmas információt tartalmazó papírokat, mint pl. a képernyők kinyomtatott képeit, táblázatokat, levelezé-sek és szabályzatok másolatait stb. a vonatkozó iratkeze-lési, iratmegsemmisítési szabályok szerint kell kezelni.
7. Adatok biztonsági mentése
a) A helytakarékos tárolás elvének megfelelően a fel-használók kötelesek a nem szükséges anyagaikat folya-matosan törölni a könyvtáraikból, továbbá a közös hasz-nálatú anyagokat közös elérésű könyvtárakban kell ke-zelni.
b) A külön engedéllyel helyben, különféle elektronikus adathordozón tárolt adatok biztonsági másolatának elké-szítéséről a felhasználók kötelesek gondoskodni.
c) A biztonsági mentések adathordozóit az erre feljo-gosított felhasználónak a vonatkozó előírásoknak megfe-lelő módon kell tárolni (eredeti helyszíntől földrajzilag távol, tűzvédett, kulccsal zárható stb. helyen).
d) Az informatikai rendszerek rendelkezésre állásá-ban minden felhasználó érdekelt. Az informatikai rend-szer működésképtelensége esetén minden felhasználó felelősséggel tartozik a szolgáltatások helyreállításának támogatásáért, a biztonsági mentések megfelelő haszná-latáért.
8. Vírusok elleni védelem
a) Az installált vírusvédelmet tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani.
b) Vírusfertőzést vagy annak gyanúját (pl. a munkaál-lomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjele-nése) haladéktalanul jelenteni kell a közvetlen vezető út-ján a rendszergazdának illetve az IVO-nak.
9. Szoftver tulajdonjog
a) A Társaság által beszerzett szoftvereket és a hozzá-juk tartozó dokumentációt nem szabad másolni, kivéve biztonsági másolat készítése céljából vagy a szoftver-ter-jesztő / fejlesztő egyértelmű írásos engedélye mellett. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja. Egyetlen termék többszörös használata
esetén a szoftver csak a licensz megállapodásban rögzí-tett darabszámban és módon használható.
b) A felhasználók:– nem installálhatnak, nem karbantarthatnak, vagy
nem tölthetnek le szoftvert (beleértve az ún. szabad-fel-használású, freeware, shareware stb. programokat is) a Társaság munkaállomásaira,
– a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történő használat céljából,
– ha kétségeik merülnek fel a szoftver szerzői jogai fe-lől, akkor lépjenek kapcsolatba az IT terület szoftver li-cenc-nyilvántartásáért, installációjáért és karbantartásá-ért felelős munkatársával,
– a szerzői jogok megsértése törvénybe ütköző cselek-mény, ezért felelősségre vonáshoz vezethet és a felhasz-náló elleni büntetőeljárás megindítását eredményezheti.
10. Berendezésvédelem
a) A felhasználóknak szállítás közben a lehetőségei ha-tárain belül személyesen kell vigyázniuk személyi számí-tógépükre, hordozható infokommunikációs eszközeikre (pl.: notebook, okostelefon, kéziszámítógép). Meg kell óvniuk a kivehető adattároló eszközök (CD/DVD-k, sza-lagok, kazetták, HDD-k stb.) fi zikai állapotát, gondos-kodniuk kell az eltulajdonítás megakadályozásáról (pl.: használaton kívül, illetve irodán kívül zárható íróasztal-ban vagy szekrényben kell tartani).
b) A munkaállomás átadásakor a felhasználó köteles gondoskodni a felelősségi körébe tartozó adatoknak a PC-ről való ún. biztonságos törléséről, vagy az új gép-használónak dokumentált módon való átadásáról.
c) Selejtezésre leadott PC-ről minden adatot – beleért-ve az operációs rendszert is – visszaállíthatatlan módon el kell távolítani.
d) A berendezéseket védeni kell a fi zikai és környezeti hatásokkal szemben. (magas vagy alacsony hőmérséklet, folyadék stb.)
11. Területvédelem
A felhasználók kötelesek távol tartani a berendezése-iktől és adataiktól az oda hozzáférési jogosultsággal nem rendelkező személyeket, és közvetlen munkakörnyeze-tükben kötelesek kérdőre vonni az idegeneket.
12. Infokommunikációs eszközön végzett munka-végzés távolról
Ebben az esetben a felhasználó (jellemzően VPN-en keresztül) úgy éri el a megszokott munkakörnyezetét va-lamely külső helyről (pl. otthonról), mint ha ezt az irodá-jából tenné. Emiatt további biztonsági intézkedések szükségesek:
a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelősségre, fel-tételekre, követelményekre és a munkavégzés engedélye-
1034 A MÁV Zrt. Értesítője 19. szám
zési időszakára. A távoli munkavégzéshez a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának az írá-sos megbízása szükséges.
b) Ha a Társaság távoli hozzáférés létesítésére enge-délyt ad, fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, a hívások adatait, és szúrópróba sze-rinti ellenőrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó előírások-nak.
c) A távoli munkavégzés esetén az üzleti titoknak mi-nősülő adatokat illetéktelen hozzáférés ellen kódolással kell védeni a továbbítás során, és – a biztonságos jelszó mellett – további hitelesítő eszközt (pl. token) kell alkal-mazni.
Az elektronikus levelezés (e-mail) távoli elérése során be kell tartani az Outlook Web Access (OWA) Felhaszná-lói kézikönyvében leírt biztonsági szabályokat.
13. Internet-használat
a) Az internetre csatlakozás a Társaság belső hálózatá-ra csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett.
b) A Társaság hozzáférési pontjairól a felhasználó ré-szére az internetre kapcsolódás lehetőségének kialakítá-sát és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetőnek kell jóváhagynia.
c) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek.
d) A Társaság fenntartja magának a jogot a nem kívá-natos, és a kártékony weboldalak látogatásának megaka-dályozására (tartalomszűrés).
e) A Társaság fenntartja magának a jogot az internetes tevékenység kontrolljára, szükség esetén korlátozások bevezetésére.
f) A fórumok, chat-oldalak, az egyéb fi le- és videó-megosztó valamint az úgynevezett kapcsolatépítő portá-lok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggés-ben és azt elősegítő, a közvetlen vezető kezdeményezésé-re az IVO vezetőjétől kapott engedély birtokában azon-ban használható. Az engedély megléte sem jogosít fel arra, hogy az ilyen típusú oldalakon a Titokvédelmi Sza-bályzatban meghatározott üzleti titkokat és a Társaságra vonatkozó bizalmas adatokat nyilvánosságra hozzuk. A bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatá-nak felülvizsgálását.
14. Elektronikus levelezés
Az elektronikus üzenetváltás (e-mail) a Társaság hiva-talos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a mun-ka hatékonyságának növekedését szolgálja.
A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleért-ve, de nem kizárólag, az alábbiakat:
a) Üzleti titoknak minősülő adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illet-ve továbbítani.
b) Elektronikus levél jogi következményekkel járó kö-telezettség vállalására csak akkor használható, ha a fel-adó elektronikus aláírással hitelesíti magát.
c) Az elektronikus üzenet üzleti kommunikációra szol-gál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezőrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság fenntartja ma-gának a jogot azok tartalmának vizsgálatára.
d) Tilos a Társaság levelezőrendszeréből a bejövő üze-netek automatikus továbbítása bármilyen külső e-mail cím(ek)re. A szabadság, hosszabb távollét stb. esetére be-állítható automatikus válaszban (ha szükséges) helyettest kell megjelölni. A válasz alapján a küldő felelőssége el-dönteni, hogy a helyettesnek megküldi-e a kérdéses üze-netet. A Társaság levelezőrendszere – az arra feljogosított felhasználók számára – az interneten keresztül bárhon-nan elérhető (OWA).
e) Az elektronikus levél általában rövid üzenetek to-vábbítására szolgál. A túlzott szerverterhelés és vonalfor-galom elkerülése érdekében egy levél maximális mérete nem haladhatja meg a 10 Mbyte-os méretet, és egy levél egyidejűleg maximálisan csak 50 címzett részére küldhe-tő, illetve továbbítható. Ettől a főtevékenységi kör vezető-jének kérésére, az IVO engedélyével lehet csak eltérni.
f) Tilos lánc- vagy kéretlen elektronikus leveleket má-soknak továbbítani, azokra válaszolni, mivel a csatolt anyagokban könnyen terjedhetnek számítógépes vírusok és rosszindulatú kódok. Aki ilyet kap, az köteles az üze-netet – lehetőleg elolvasás, és továbbküldés nélkül – tö-rölni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására, ezért az üzenet első két címzettje köteles az IVO-t értesíteni.
g) A felhasználó elektronikus postaládájának karban-tartása (az időszerűtlen és szükségtelen üzenetek meg-semmisítése) a levelesláda tulajdonosának feladata és fe-lelőssége.
h) A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezőrendszerbeli azonosítóját és jelszavát. In-dokolt esetben ideiglenes olvasási jogot adhat másoknak a saját email fi ókjához a megfelelő eljárás szerint, de ezt az indok megszűnésekor azonnal vissza kell vonnia.
i) A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve.
j) A küldőnek ellenőriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illető személy jogosult az in-formáció kézhez vételére.
19. szám A MÁV Zrt. Értesítője 1035
k) A közvetlen vezetőnek – és közvetlenül az IVO ré-szére is – jelenteni kell minden gyalázkodó, rasszista vagy kéretlen elektronikus levél érkezését.
l) A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne le-gyen túl formális vagy feleslegesen közlékeny. Kerülen-dő olyan üzenet küldése, amely zavarba ejtő lenne, ha valaki körbeküldené az egész szervezetnek. Ha egy sze-mélyt név szerint megemlít az üzenet, az illetőnek máso-latot kell küldeni.
m) A levélre adott válaszban kerülni kell az összes előzmény visszaküldését, lehetőség szerint csak az a sze-mély kapjon választ, akinek konkrétan szól az elektroni-kus üzenet. Ha az üzenethez tartozó korábbi levélváltá-sok is részei a levélnek, akkor valamennyi korábbi cím-zettnek is továbbítani kell a válaszlevelet.
n) A felhasználók – a munkavégzéssel való összefüg-gés esetét kivéve – nem adhatják ki munkatársaik e-mail címét, különösen nem a teljes címlistát.
o) Ismeretlen helyről vagy személytől származó leve-lek érkezése estén, fokozott elővigyázatosságot kell tanú-sítani. Amennyiben feltételezhető, hogy kéretlen levélről van szó, abban az esetben tilos azt megnyitni. Ha a levél megnyitását követően észlelhető a levél kéretlen jellege, tilos a hivatkozásokat, illetve a hozzá csatolt mellékleteit megnyitni vagy elmenteni. Ezeket a leveleket a felhasz-náló köteles olvasatlanul, azonnal törölni.
p) Magáncélú elektronikus üzenetek továbbítása a Tár-saság hálózatába kapcsolt munkaállomásról tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Freemail, Citromail, Vipmail, Gmail, Hotmail).
15. Az információbiztonsági események és gyenge pontok jelentése
a) A felhasználók kötelesek közvetlen vezetőiknek – és közvetlenül az IVO vezetőjének is – haladéktalanul jelen-teni a biztonsági előírások megsértését, a biztonsággal kapcsolatban felismert gyengeségeket, adataik gyanított jogosulatlan megváltozását.
b) Sürgős vagy indokolt esetben (pl. több gép egyidejű kiesése, infokommunikációs eszközök nyilvánvaló fi zi-kai sérülése, rendszergazda szokatlan tevékenysége) köz-vetlenül a biztonsági igazgatóhoz és az IVO vezetőjéhez is lehet fordulni.
16. Elérhetőségek
A tájékoztatóban felsorolt biztonsági szabályokra vo-natkozó kérdésekben az Információvédelmi osztály szak-értői állnak rendelkezésre.
Információvédelmi osztály:Titkárság: tel.: 14-51, fax: 22-46Vezető: tel.: 32-66, e-mail: [email protected]
1036 A MÁV Zrt. Értesítője 19. szám
2. sz. melléklet
Informatikai biztonsági nyilatkozat 1. Alulírott ………………………………………....……. kijelentem, hogy a MÁV Zrt.
informatikai eszközeinek és számítógépes programjainak használatára vonatkozó
informatikai biztonsági szabályokat a Felhasználók biztonsági kötelezettségei c.
segédlet alapján megismertem.
2. Tudomásul veszem, hogy a munkaköröm ellátásához kapott, a MÁV Zrt. tulajdonát
képez informatikai eszközöket (PC, laptop, nyomtató, mobiltelefon stb.) kizárólag a
munkámmal összefügg feladatok ellátására használhatom, a magáncélú felhasználás –
az arra vonatkozó külön engedély nélkül – nem megengedett. E tevékenység során
keletkezett adatokat a munkáltatói jogkör gyakorló a munkafeladataim ellátásával
összefüggésben, illetve biztonsági szempontból az adatok mellett, a létrejött
naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei
ellen rizhetik.
3. Tudomásul veszem, hogy az általam az informatikai rendszerek és adatok nem
el írásszer használatával és a rendszerek védelmét biztosító technikai intézkedések
kijátszásával elkövetett cselekményekért munkajogi, a törvénybe ütköz súlyosságú
esetekben pedig büntet jogi felel sséggel tartozom.
Budapest, 201… …………………………
……………………………….. aláírás
19. szám A MÁV Zrt. Értesítője 1037
3. sz. melléklet
Informatikai beszállító biztonsági minősítési rendszere
A vizsgálandó területek és az adható pontok táblázata:
Vizsgálandó területek:Adható
maximális pontszám.
1. ISO minőségbiztosítás megléte 102. biztonsági referenciák 103. belső biztonsági szervezet megléte létszámának megoszlása a teljes lét-
számhoz képest10
4. Informatikai Biztonsági Irányelvekkel rendelkezik-e 105. Informatikai Biztonsági Szabályzattal rendelkezik-e 106. alkalmaz-e RIBSZ-ekben testre szabott eljárásokat 107. milyen szabványt / szabványokat alkalmaz 108. belső biztonsága milyen osztályba sorolt 109. informatikai kiadásainak hány %-át fordítja biztonságra 1010. fi zikai biztonsági jellemzők 1011. logikai biztonsági jellemzők 1012. egyéb, a biztonságot befolyásoló tényezők (pl. bizalmasság (sértetlen-
ség) rendelkezésre állás garanciái)10
összesen: 120
Pontozás:1. 10=van, 0= nincs, 2-6=folyamatban2. mennyiségtől függően 1-103. nincs=0, létszám 2%-áig 5, 2% felett 104. 10=van, 0= nincs, 2-6=folyamatban5. 10=van, 0= nincs, 2-6=folyamatban6. 10=igen, 0=nem, 2=csak igény szerint7. MSZ ISO/IEC 27001:2006 vagy MSZ ISO/IEC 27002:2007=10,8. MSZ ISO/IEC 15408=5, Cobit=3, nincs=09. alap=2, fokozott=5, kiemelt=1010. 0-2%=2, 2-5%=5, 5% felett=1011. nincs=0MABISZ „minimális”=6MABISZ „részleges” és „teljes”=1012. 0=nem alkalmaznak,13. 2=csak azonosítókat alkalmaznak,14. 4=azonosító és jelszó alkalmazása,15. 10=egyedi védelmeket is használnak (külön alkalmazás-védelmek)16. az előzőeket kiegészítő információk pontozhatóak 1 és 10 között
Értékelés:A pontrendszer alapján a következő csoportosítási lehetőségek szerint ajánlatos a szerződés elbírálása:– 50 pont alatt nem ajánlott a szerződés megkötése,– 51 – 80 pont esetén a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai biztonsági szabály-
zata szerint dolgozik ÉS beleegyezik ennek folyamatos és mindenre kiterjedő ellenőrzésébe,– 81 pont felett a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai Biztonsági Szabályzata
szerint dolgozik
1038 A MÁV Zrt. Értesítője 19. szám
4. sz. melléklet
Informatikai fejlesztés biztonsági feladatai és dokumentumai
a) projektindítás
projektlépés biztonsági tervezés termék, dokumentum1. projekt alapító okirat ha-
tályba lépéseProjekt alapító okirat vagy Rendszerkoncepció alapvető in-formatikai biztonsági követelmé-nyekkel
2. projekt- (fejlesztésért fele-lős) szervezet felállítása
Informatikai biztonsági al-team / alprojekt létrehozása az IVO munkatársaiból
3. projekt tervezés informatikai biztonsági feladatok nagybani tervezése, megvalósítási ütemezéssel
Projektterv, benne a projekt in-formatikai biztonsági megfelelő-ségi rendszerének nagybani meg-határozása
4. üzleti tulajdonos kijelölése5. az informatikai biztonság
kialakítása ütemének tervezése
projektlépések és felelősök meg-nevezése, határidők hozzárende-lése
informatikai biztonsági alprojekt terve
b) kockázatelemzés, biztonsági osztály meghatározása
projektlépés biztonsági tervezés termék, dokumentum1. biztonsági funkciók terve-
zése, elfogadtatásaa szállítandó szoftver és a bizton-sági termékek biztonsági funkci-óinak felmérése, összefoglalása
- biztonsági funkciók ellenjegyez-tetése a beszállítóval,– Forrásgazda vagy üzleti tulaj-donos nyilatkozata, hogy mi az igénye rendelkezésre állás szem-pontjából.
2. kockázatfelmérés és koc-kázatkezelés
– védendő rendszerelemek azono-sítása– fenyegető tényezők azonosítása– fenyegetettség-elemzés– kockázatkezelés
Kockázatelemzés c. dokumen-tum. Tartalma: a rendszer, vala-mint a fi zikai és személyi környe-zet elemeinek felmérése, a rele-váns fenyegetések, gyenge pontok feltárása, a nem elviselhető és az elviselhető, maradó kockázatok meghatározása, védelmi javasla-tok felsorolása, végkövetkeztetés-ként a rendszer biztonsági osztá-lya.Üzleti tulajdonos nyilatkozata a rendszer biztonsági osztályba so-rolásáról és a maradó kockázat el-fogadásáról.
3. biztonsági osztály megha-tározása
– a rendszerben kezelendő adatok érzékenységének elemzése,– titokvédelmi besorolása,– a Társaság üzletvitele szem-pontjából meghatározó szempon-tok alapjánbiztonsági osztályba sorolása (alap, fokozott, vagy kiemelt)
19. szám A MÁV Zrt. Értesítője 1039
c) a rendszer biztonságának tervezése
projektlépés biztonsági tervezés termék, dokumentum1. feladat részleteinek behatá-
rolásaA fi zikai, logikai és adminisz-tratív védelmi rendszer és funk-cióinak behatárolása a projekt-do-kumentumok felülvizsgálata ala-pján
Felülvizsgálati jelentés
2. megvalósítási követel-ményrendszer kidolgozása
informatikai biztonsági követelmények meghatározása az osztályba sorolás alapján
Rendszerterv informatikai biz-tonsági fejezete
3. biztonsági tesztelés terve-zése
a szállítandó szoftver és biztonsá-gi termékek biztonsági funkciói tesztelésének összefoglalása
Biztonsági tesztelési terv
4. változáskezelés tervezése A szoftver (modulok) módosítása és verzióváltása szabályainak ki-alakítása
a rendszer változáskezelési utasí-tása
5. részletes biztonsági szabá-lyok kialakítása
a központi informatikai biztonsá-gi szabályozás alapján a rendszer-specifi kus szabályok dokumen-tumba foglalása
Rendszerszintű informatikai biz-tonsági szabályzat (RIBSZ)
6. működés-folytonosság ter-vezése
a rendszer lehető legkevesebb üzemkieséssel járó működésének, folyamatainak megtervezése, fe-lelőseinek megnevezése
a rendszer Működés-folytonossá-gi terve
d) a rendszer használatba vétele
projektlépés biztonsági tervezés termék, dokumentum1. tesztelés végrehajtása a megvalósított informatikai
rendszer biztonságának felméré-se, minősítése, az informatikai rendszerhez kapcsolódó fi zikai logikai és adminisztratív védelmi rendszer értékelése
biztonsági tesztelési jegyzőköny-vek
2. biztonsági audit Ahol a követelmények előírják a használatba vétel előtt (akár külső céggel) biztonsági auditot kell vé-gezni.
Biztonsági audit jegyzőkönyve
3. oktatás Oktatások szervezése a használat gördülékeny elsajátítása érdeké-ben, minden felhasználói szinten.
Oktatási napló.
4. fejlesztés lezárása, a rend-szer indítása
a Biztonsági rendszertervben elő-írt felhasználói- és üzemeltetői dokumentumok terítése
üzleti tulajdonos nyilatkozata a biztonsági megfelelőségről, a rendszer használatba vételéről és az elkészült informatikai bizton-sági dokumentumok elfogadásá-ról.
1040 A MÁV Zrt. Értesítője 19. szám
5/A. sz. melléklet
Nyilatkozat az informatikai rendszer rendelkezésre állási igényéről Alulírott …………………………………………………………………………….. mint a(z)
……………………………………………………………………………...……………………
rendszer (alkalmazás) üzleti tulajdonosa / projektvezet je kijelentem, hogy a rendszerrel
szemben az alábbi követelményeket támasztom:
Üzemid : …….. nap x …….. óra
Rendelkezésre állási tényez : ……………....%/év.
Legnagyobb kiesési id : ………………perc/óra/nap (a nem kívánt id egység törlend )
Ezeket a követelményeket a rendszer (alkalmazás) kialakítása, fejlesztése valamint biztonsági
osztályának meghatározása során is figyelembe kell venni.
……………………………., 201….…………………………
……………………………….. üzleti tulajdonos / projektvezet
A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).
19. szám A MÁV Zrt. Értesítője 1041
5/B. sz. melléklet
Megbízhatósági követelmény jellemzők (kitöltési útmutató az 5/A. sz. melléklethez)
A rendszerek rendelkezésre állásával kapcsolatos követelmények az üzemidő, a rendelkezésre állási tényező és a legnagyobb kiesési idő segítségével határozhatók meg. Az egyes követelményi szintek biztosításához különböző módszerek léteznek. Ezen a területen a komolyabb követelményeket kielégítő architektúrák nagyságrendileg na-gyobb költséget jelenthetnek, így a legjobb megoldás kiválasztásához feltétlenül szükséges az elvárásoknak megfe-lelő megoldást nyújtó alapmódszerek ismerete.
A rendelkezésre állás paraméterei objektíven mérhető, számítható, illetve modellezhető értékek. A rendszer rendel-
kezésre állásával kapcsolatos követelményeket a következő értékekkel lehet megadni:
Üzemidő: Megadja, hogy a rendszernek egy héten hány napot, egy nap hány órát kell működnie. Szokásosan <nap> x <óra> alakban adják meg. (pl. 5x8, 7x24 stb.)
Rendelkezésre állásitényező:
A helyes működés valószínűségét határozza meg, nagy átlagban az üzemidőn belül. Szokásosan százalékosan (99,9…% alakban) adják meg.
Legnagyobb kiesési idő: Azt a legnagyobb kiesési időt adja meg, amely alatt még nem keletkez-nek helyrehozhatatlan, elviselhetetlen károk az informatikai rendszer leállásából. Legfeljebb ennyi idő alatt újra kell tudni indítani a rendszert és a ráépülő folyamatokat.
Nagy megbízhatóságú rendszereknél a rendelkezésre állási tényező 99% felett van. Ezeket a rendszereket szokás a rendelkezésre állási tényezőben szereplő 9-esek száma alapján kategóriákba sorolni (pl. „négy 9-es rendelkezésre ál-lású rendszer”). Az egyes kategóriáknál kiszámítható, hogy egy év alatt maximálisan mennyi időkiesés engedhető meg.
A rendelkezésre állási tényező Maximális kiesési idő 1 év alatt2 db 9-es (99%) 3,5 nap
3 db 9-es (99,9%) 9 óra4 db 9-es (99,99%) 1 óra
5 db 9-es (99,999%) 5 perc6 db 9-es (99,9999%) 32 másodperc
7 db 9-es (99,99999%) 3 másodperc
Rendelkezésre állási tényező jelentése
1042 A MÁV Zrt. Értesítője 19. szám
6. sz. melléklet
Kockázatelemzés lépései
I. szakasz: A védelmi igény feltárása
1. lépés: A feldolgozandó adatok feltérképezése1. feladat: Az informatika-alkalmazás output igényé-
nek feltérképezése.2. feladat: Esetleges különleges szolgáltatások feltér-
képezése.3. feladat: Az informatikai rendszerben feldolgozásra
kerülő valamennyi adat feltérképezése.
2. lépés: Az informatika-alkalmazás és a feldolgozan-dó adatok értékének meghatározása
1. feladat: Védelmi igény megfogalmazása.2. feladat: Értékskála rögzítése.3. feladat: Az értékek hozzárendelése az informatika-
alkalmazáshoz és az adatokhoz.
II. szakasz: Fenyegetettség-elemzés
3. lépés: A fenyegetett rendszerelemek feltérképezése1. feladat: A rendszerelemek feltérképezése.2. feladat: A rendszerelemek kölcsönös függőségeinek
leírása.
4. lépés: Az alapfenyegetettség meghatározása1. feladat: A fenyegető tényezők és a rendszerelemek
összerendelése.2. feladat: Az összerendelések dokumentálása.
5. lépés: A fenyegető tényezők meghatározása1. feladat: Az informatikai rendszer gyenge pontjainak
feltérképezése.2. feladat: A fenyegető tényezők meghatározása.
III. szakasz: Kockázatelemzés
6. lépés: A potenciális károk értékének meghatározása1. feladat: Az értékek átvitele a rendszerelemekre.2. feladat: A károk áttekintő ábrázolása.
7. lépés: Az alapfenyegetettségek okozta károk gyako-riságának meghatározása
1. feladat: A gyakorisági skála rögzítése.2. feladat: A gyakorisági értékek hozzárendelése a fe-
nyegető tényezőkhöz.
8. lépés: A fennálló kockázatok meghatározása és le-írása mátrixban
1. feladat: Valamennyi kárérték összeállítása egy átte-kintésben.
2. feladat: Az elviselhető és az elviselhetetlen kockáza-tok rögzítése.
3. feladat: Az elviselhető és az elviselhetetlen kockáza-tok megjelölése az áttekintésben.
IV. szakasz: Kockázat-menedzselés
9. lépés: Az intézkedések kiválasztása1. feladat: Az elviselhetetlen kockázatok azonosítása.2. feladat: Az intézkedések kiválasztása.
10. lépés: Az intézkedések értékelése1. feladat: Az intézkedésekkel leküzdött valamennyi
fenyegető tényező feltérképezése.2. feladat: Az intézkedések kölcsönhatásának leírása.3. feladat: Az üzemmenetre való kihatások vizsgálata.4. feladat: Vizsgálat az előírásokkal való egyezésre vo-
natkozóan.5. feladat: Az intézkedések hatékonyságának értékelé-
se.
11. lépés: A költség/haszon arány elemzése1. feladat: Az intézkedések költségeinek megállapítása.2. feladat: Szükség esetén visszalépés a 9.2 pontba.
12. lépés: A maradványkockázat elemzése1. feladat: A hatékonysági értékek bedolgozása a koc-
kázat áttekintésbe2. feladat: A maradványkockázat elemzése.
A kárértékek meghatározásánál az alábbi szemponto-kat kell fi gyelembe venni:
– Dologi károk amelyeknek közvetlen vagy közvetett költségvonzatuk van. Ilyenek lehetnek az infrastruktúra károk, informatikai rendszer elemeinek sérülése, helyre-állítási költség.
– Károk a politika és társadalom területén. Ilyenek le-hetnek: titoksértés, személyhez fűződő jogok, személyek, csoportok hírnevének károsodása, bizalmas adatok nyil-vánosságra kerülése, hamis adatok nyilvánosságra kerü-lése, közérdekű adatok titokban tartása, bizalomvesztés.
– Gazdasági károk. Ilyenek lehetnek a pénzügyi károk, lopáskárok, Társaság arculatának romlása, rossz üzleti döntés.
– Személyi biztonság sérülése a felhasználói és üze-meltetői személyzetben.
– Jogszabályok, utasítások megsértése.– Károk a tudomány területén. Ilyenek lehetnek a ku-
tatások elhalasztódása, eredmények idő előtti nyilvános-ságra kerülése, eredmények meghamisítása.
19. szám A MÁV Zrt. Értesítője 1043
7. sz. melléklet
Kárértékek besorolási táblázata
A kárértékek besorolásához nyújt segítséget az alábbi osztályozás:
0 szint: jelentéktelen kár– közvetlen anyagi kár: 0 – 100.000 Ft– közvetett anyagi kár 1 embernappal állítható helyre– nincs bizalomvesztés, a probléma a szervezeti egysé-
gen belül marad– nem sérül titokvédelmi vagy adatvédelmi előírás– testi épség jelentéktelen sérülése egy-két személynél
1 szint: csekély kár– közvetlen anyagi kár: 100.001 – 1.000.000 Ft-ig– közvetett anyagi kár 1 emberhónappal helyre állítha-
tó– társadalmi-politikai hatás: kínos helyzet a MÁV
Zrt-n belül– belső (intézményi) szabályozóval védett adat sérül– könnyű személyi sérülés egy-két személynél
2 szint: közepes kár– közvetlen anyagi kár: 1.000.001 – 10.000.000 Ft-ig– közvetett anyagi kár 1 emberévvel helyre állítható– társadalmi-politikai hatás: bizalomvesztés a MÁV
Zrt. középvezetésében, bocsánatkérést az ügyfél felé és/vagy fegyelmi intézkedést igényel
– személyes adat, üzleti titok sérül súlyos következmé-nyek nélkül
– több könnyű vagy egy-két súlyos személyi sérülés
3 szint: nagy kár– közvetlen anyagi kár: 10.000.001 – 100.000.000 Ft-ig– közvetett anyagi kár 1-10 emberévvel helyre állítható– társadalmi-politikai hatás: bizalomvesztés a MÁV
Zrt. felső vezetésében, a vezetésben személyi konzekven-ciák
– üzleti titok, személyes adat sérül jogi következmé-nyekkel
– több súlyos személyi sérülés vagy tömeges könnyű sérülés
4 szint: kiemelkedően nagy kár– közvetlen anyagi kár: 100.000.001 – 1.000.000.000
Ft-ig– közvetett anyagi kár 10-100 emberévvel helyre állít-
ható– társadalmi-politikai hatás: súlyos bizalomvesztés a
MÁV Zrt. felső vezetésén belül személyi konzekvenciá-val
– „Bizalmas!” vagy annál alacsonyabb minősítési szintű adat sérül
– különleges személyes adatok súlyosan sérülnek– egy-két személy halála vagy tömeges sérülések
5 szint : katasztrofális kár– közvetlen anyagi kár: 1.000.000.001 Ft felett– közvetett anyagi kár több mint 100 emberévvel hely-
re állítható– társadalmi-politikai hatás: súlyos bizalomvesztés a
MÁV Zrt. felső vezetésén belül több személyre kiterjedő személyi konzekvenciákkal
– nagy jelentőségű, „Titkos” vagy annál magasabb mi-nősítési szintű adat sérül
A kárgyakoriságot a következők szerint kell osztályoz-ni:
– 0- : esetleges: 100 évente legfeljebb egy.– 0 : nagyon ritka: 50 évente egy,– 1 : ritka: 10 évente egy,– 2 : közepes: évi egy,– 3 : gyakori: havi egy,– 4 : nagyon gyakori: heti egy;
1044 A MÁV Zrt. Értesítője 19. szám
8. sz. melléklet
Védelmi profi lok azonosítási rendszere
információvédelem szempontjábólalap fokozott kiemelt
rend
elke
zésr
e ál
lás
szem
pont
jábó
l
alap A/1 A/2 A/3
fokozott F/1 F/2 F/3
kiemelt K/1 K/2 K/3
9. sz. melléklet
Fizikai biztonsági védősávok
védősáv típusa alap fokozott kiemeltMinimális fi zikai-mechanikai védelem * K - -Részleges fi zikai-mechanikai védelem * - K -Teljeskörű fi zikai-mechanikai védelem * - - KMinimális elektronikai jelzőrendszer * - K -Részleges elektronikai jelzőrendszer * - - KElektronikus beléptetőrendszer - K KVideokamerás megfi gyelőrendszer - A KFolyamatos portaszolgálat - A KFegyveres biztonsági őrség - - ATúlfeszültség, villámcsapás eredetű károk elleni védelem A K KVezetett elektromágneses zavarok szűrése - K KElektromágneses sugárzás elleni árnyékolás - A KTűzgátló falak, nyílászárók - A K
* konkrét tartalom a MABISZ ajánlások szerint
A: ajánlottK: kötelező
19. szám A MÁV Zrt. Értesítője 104510
. sz.
mel
lékl
et
A
biz
tons
ági o
sztá
lyok
köv
etel
mén
yei
A
biz
tons
ági o
sztá
lyok
köv
etel
mén
yei
jelle
mz
k al
ap
foko
zott
ki
emel
t
Min
imál
is
köve
telm
é-ny
ek
egye
di a
zono
sító
, jel
szó
az a
zono
sító
és j
elsz
ó ne
m ju
that
ille
tékt
elen
tu
dom
ásár
a, n
e le
gyen
kön
nyen
meg
fejth
et, n
em
kerü
lhet
pos
tai k
ülde
mén
ybe,
vag
y el
ektro
niku
s le
vélb
e, n
em le
het o
lvas
ható
felh
aszn
álói
felü
lete
n bi
ztos
ítani
kel
l a fe
lhas
znál
ói a
zono
sító
k id
szak
os, v
agy
végl
eges
tiltá
sát,
ami e
gybe
n ho
zzáf
érés
i jog
osul
tság
meg
hatá
rozá
sára
is sz
olgá
lki
kel
l dol
gozn
i az
elle
nrz
ött j
ogos
ults
ág k
ezel
és
rend
szer
ét o
lvas
ási,
írási
(lét
reho
zás,
mód
osítá
s),
törlé
si jo
gokr
a, e
gyed
ileg
és c
sopo
rtos
meg
külö
nböz
teté
sre
a re
ndsz
er o
bjek
tum
aiho
z eg
yedi
, ill.
cso
port-
tula
jdon
osok
at k
ell r
ende
lni
bizt
osíta
ni k
ell a
jogo
sults
ágok
mód
osíth
atós
ágát
, tö
rlésé
t, fe
lfügg
eszt
ését
, új f
elvé
telé
t, am
it a
rend
szer
gazd
a m
egfe
lel
szig
orú
szab
ályo
záss
al
vége
z m
inde
n jo
gosu
latla
n ho
zzáf
érés
t nap
lózn
i kel
l, m
elye
t ren
dsze
rese
n ér
téke
lni k
ell
on-li
ne a
datm
ozgá
s ese
tébe
n a
jogo
sults
ágot
m
inde
n es
etbe
n el
len
rizni
kel
l az
egy
es a
dattí
puso
kat o
lyan
mér
tékb
en k
ell
elkü
löní
tette
n ke
zeln
i, ho
gy m
egál
lapí
that
ó le
gyen
a
hozz
áfér
és jo
gosu
ltság
a bi
zton
sági
nap
lózá
st k
ell v
égez
ni a
regi
sztrá
lás,
elsz
ámol
ás é
s aud
itálh
atós
ág é
rdek
ében
, am
i ta
rtalm
azza
a sz
elek
tív fe
lhas
znál
ói m
vele
teke
t, re
ndsz
erin
dítá
soka
t, le
állá
soka
t, le
állít
ások
at,
Min
t az
alap
biz
tons
ági o
sztá
ly k
iegé
szítv
e az
al
ábbi
akka
l: in
tera
ktív
kom
mun
ikác
ió e
seté
n, e
gyed
i szi
nten
ke
ll az
onos
ítani
és h
itele
síte
ni a
szem
élye
ket
gond
osko
dni k
ell a
z az
onos
ítási
esz
közö
k jo
gosu
latla
n to
vább
adás
ának
, has
znál
atán
ak
meg
elzé
sér
l ol
vasá
si jo
gosu
ltság
ese
tébe
n a
szem
ély
azon
osító
ja a
meg
hatá
rozó
az
erfo
rrás
hoz
képe
st
írási
jogo
sults
ág e
seté
ben
az e
rfo
rrás
azo
nosí
tója
a
meg
hatá
rozó
a sz
emél
yhez
kép
est
új o
bjek
tum
felv
étel
ekor
a b
izto
nság
i cím
ke
auto
mat
ikus
an re
ndel
dik
az o
bjek
tum
hoz
hozz
áfér
ési j
ogok
a k
övet
kez
k: o
lvas
ási j
og
(bet
ekin
tés)
, lét
reho
zási
jog,
mód
osítá
si jo
g,
törlé
si se
lejte
zési
jog,
más
olás
i jog
az
ada
toka
t – a
nyí
lt ad
atok
kiv
étel
ével
– a
vé
delm
i szi
ntre
uta
ló je
lzkk
el k
ell e
llátn
i, úg
ymin
t bel
s h
aszn
álat
ú do
kum
entu
m v
agy
üzle
ti tit
ok
Az
üzle
ti tit
ok fe
ltünt
etés
ére
feljo
gosí
tott
veze
tk
a Tá
rsas
ág ü
zlet
i tito
k és
bel
s h
aszn
álat
ra k
észü
lt do
kum
entu
mai
nak
véde
lmi s
zabá
lyza
tána
k 4.
4.1
pont
jába
n ki
jelö
lt ve
zet
k eg
y re
ndsz
eren
bel
ül a
kül
önbö
z v
édel
met
ig
ényl
ada
toka
t csa
k ak
kor l
ehet
egy
ütt k
ezel
ni,
ha m
egak
adál
yozh
atók
az
enge
délly
el n
em
rend
elke
z h
ozzá
féré
sek.
Ez
oszt
ott r
ends
zere
kre
külö
nöse
n ér
vény
es. E
gyér
telm
en
Min
t a fo
kozo
tt bi
zton
sági
osz
tály
kie
gész
ítve
az
aláb
biak
kal:
azon
osítá
s és h
itele
síté
st a
felh
aszn
áló
és
rend
szer
köz
ött e
gy a
felh
aszn
áló
álta
l kez
elt
véde
tt cs
ator
nán
kell
bizt
osíta
ni
az in
form
atik
ai re
ndsz
er m
inde
n el
emér
e és
ré
sztv
evjé
re a
szer
veze
t inf
orm
atik
ai
bizt
onsá
gi p
oliti
kájá
nak
meg
fele
len
ki k
ell
terje
szte
ni a
hoz
záfé
rési
jogo
sults
ág-
vezé
rlést
. Hoz
záfé
rése
k le
hetn
ek o
lvas
ás,
létre
hozá
s, m
ódos
ítás,
sele
jtezé
s, tö
rlés,
más
olás
. Sze
mél
yekh
ez re
ndel
t jog
ok a
kö
vetk
ezk:
eng
edél
yezé
s, vi
ssza
voná
s, ol
vasá
s, lé
treho
zás,
mód
osítá
s, se
lejte
zés,
törlé
s, m
ásol
ás.
A h
ozzá
féré
s véd
elm
et m
ezsz
inte
n ke
ll m
egva
lósí
tani
A
hoz
záfé
rést
szig
orúa
n a
jogo
sults
ágke
zelé
sben
szab
ályo
zotta
k sz
erin
t ke
ll el
len
rizni
. Meg
kel
l kül
önbö
ztet
ni
csop
orto
s és e
gyed
i hoz
záfé
rést
, am
it el
kel
l ha
táro
lni a
rend
szer
gazd
ai, b
izto
nság
i fe
lügy
eli j
ogos
ults
ágok
tól
Az
adat
ok m
insí
tésé
t és a
feljo
gosí
tás
mve
leté
t a h
atál
yos s
zabá
lyok
szer
int k
ell
vége
zni
Biz
tosí
tani
kel
l a m
onito
ring
rend
szer
ben
bekö
vetk
ezet
t inf
orm
atik
ai b
izto
nság
ot é
rint
kr
itiku
s ese
mén
yek
álla
ndó
figye
lésé
t, és
egy
1046 A MÁV Zrt. Értesítője 19. szám
rend
szer
óra
állít
ások
at, b
e/ki
jele
ntke
zése
ket,
prog
ram
leál
láso
kat
a bi
zton
sági
nap
lóna
k a
felh
aszn
áló
azon
osítá
sa é
s hi
tele
síté
se é
rdek
ében
az
aláb
bi a
dato
kat k
ell
tarta
lmaz
nia:
dát
um, i
dpo
nt, k
ezde
mén
yez
az
onos
ítója
, esz
köz
azon
osító
ja, m
vele
t er
edm
énye
sség
e va
gy e
redm
ényt
elen
sége
a
bizt
onsá
gi n
apló
nak
az e
rfo
rrás
on
kezd
emén
yeze
tt ho
zzáf
érés
i mve
let e
seté
n az
onos
ítása
és h
itele
síté
se é
rdek
ében
az
aláb
bi
adat
okat
kel
l tar
talm
azni
a: d
átum
, id
pont
, er
forr
ás a
zono
sító
, mve
let e
redm
énye
sség
e va
gy e
redm
ényt
elen
sége
a
bizt
onsá
gi n
apló
nak
az e
rfo
rrás
létre
hozá
sa
vagy
törlé
se e
seté
n az
onos
ítása
és h
itele
síté
se
érde
kébe
n az
alá
bbi a
dato
kat k
ell t
arta
lmaz
nia:
dá
tum
, id
pont
, a k
ezde
mén
yez
azo
nosí
tója
, er
forr
ás a
zono
sító
, kez
dem
énye
zés t
ípus
a a
bizt
onsá
gi n
apló
nak
felh
atal
maz
ott f
elha
szná
ló
(ren
dsze
rgaz
da) e
seté
ben
azon
osítá
s és h
itele
síté
s ér
deké
ben
az a
lább
i ada
toka
t kel
l tar
talm
azni
a:
dátu
m, i
dpo
nt, a
mve
lete
t vég
z a
zono
sító
ja,
erfo
rrás
azo
nosí
tó, a
min
a m
vele
tet v
égez
ték
a bi
zton
sági
nap
ló a
data
it ha
vont
a eg
ysze
r el
len
rizni
és a
rchi
váln
i kel
l meg
hatá
rozo
tt id
eig
inté
zked
ési t
erv
kere
tébe
n m
eg k
ell h
atár
ozni
, ho
gy il
leté
ktel
en h
ozzá
féré
s ese
tén
mily
en
szan
kció
k kö
vetk
ezze
nek,
ill.
azok
at h
ogya
n le
het
meg
elzn
i a
bizt
onsá
gi n
apló
ada
tait
illet
ékte
lene
ktl m
eg
kell
véde
ni
a bi
zton
sági
nap
ló v
izsg
álat
ához
, ka
rban
tartá
sáho
z, m
egfe
lel
szin
t
doku
men
táci
óra
van
szük
ség
lehe
tvé
kel
l ten
ni sz
elek
tív v
izsg
álat
ot a
m
agas
abb
szin
t a
uditá
lhat
óság
érd
ekéb
en
üzem
elte
tési
nap
lót k
ell v
ezet
ni, m
elye
t az
üzle
ti tu
lajd
onos
nak,
az
info
rmat
ikai
biz
tons
ágér
t fel
els
elle
nriz
het
nek
kell
lenn
ie a
hoz
záfé
rési
jo
gosu
ltság
okna
k, é
s ha
ez n
em b
izto
síth
ató
a kü
lönf
éle
véde
lmet
igén
yl a
dato
kat k
ülön
re
ndsz
erbe
kel
l ten
ni
Biz
tons
ági n
apló
meg
való
sítá
sa é
s par
amét
erei
az
onos
ak a
z al
ap b
izto
nság
i osz
tálly
al, k
iegé
szítv
e az
al
ábbi
tarta
lmak
kal:
a fe
lhas
znál
ói a
zono
sító
par
amét
erei
t er
forr
ás lé
treho
zása
, tör
lése
ese
tén
a bi
zton
sági
cí
mke
felír
ása
felh
atal
maz
ott f
elha
szná
ló (r
ends
zerg
azda
) m
vele
tei e
seté
n az
er
forr
ás a
zono
sító
ját,
bizt
onsá
gi c
ímké
jét,
amel
yre
a m
vele
t vo
natk
ozik
, vag
y a
bizt
onsá
gi c
ímke
vál
tozá
sait
az
átvi
teli
csat
orna
biz
tons
ági j
elöl
ésév
el, v
agy
oszt
ályb
a so
rolá
sáva
l a
napl
ót a
z üz
emel
tet
szer
veze
ttl (
fizik
aila
g,
logi
kaila
g) fü
gget
len
hely
en k
ell t
árol
ni
log
elem
z sz
oftv
ert k
ell a
lkal
maz
ni
Ren
delk
ezés
re á
llás s
zem
pont
jábó
l föl
draj
zila
g el
külö
níte
tten
hide
g ta
rtalé
kot k
ell k
iépí
teni
vag
y bi
ztos
ítani
. A ta
rtalé
k lé
tesí
tmén
yeke
t és a
ha
szná
latb
a vé
tel k
övet
elm
énye
it az
üze
mel
tet
sz
emél
yzet
nek
ism
erni
e ke
ll. A
tarta
lék
léte
sítm
énye
k üz
emké
szsé
gét r
ends
zere
sen
elle
nriz
ni k
ell.
A m
enté
sek
álla
potá
t vis
szat
ölté
ssel
kel
l el
len
rizni
esem
ény
bekö
vetk
ezés
e es
etén
az
érte
síté
si
rend
ben
szab
ályo
zott
mód
on k
ell e
ljárn
i A
biz
tons
ági n
apló
t het
ente
két
szer
kel
l el
len
rizni
és m
ente
ni.
Ren
delk
ezés
re á
llás s
zem
pont
jábó
l mel
eg
tarta
léko
t, ill
etve
a re
dund
áns a
lrend
szer
t fö
ldra
jzila
g el
külö
níte
tten
kell
kiép
íteni
. Az
üzem
képe
sség
et fo
lyam
atos
an fi
gyel
emm
el
kell
kísé
rni,
a sz
üksé
ges b
eava
tkoz
ások
at
azon
nal e
l kel
l vég
ezni
. K
iem
elt b
izto
nság
i osz
tály
ba ta
rtozó
re
ndsz
erek
üze
mel
teté
se c
sak
külö
nleg
es
körü
lteki
ntés
sel m
egha
táro
zott
gara
nciá
lis
elem
ek b
izto
sítá
sa e
seté
n, a
z üz
leti
tula
jdon
os, a
z IV
O é
s az
IKI e
gyüt
tes
elte
rjesz
tése
ala
pján
, a T
ársa
ság
elnö
k-ve
zérig
azga
tója
err
e vo
natk
ozó
eset
i dön
tése
es
etén
adh
ató
válla
lkoz
ásba
.
19. szám A MÁV Zrt. Értesítője 1047
szer
veze
tnek
rend
szer
esen
elle
nriz
ni k
ell
az in
form
atik
ai b
izto
nság
ot e
llen
rz sz
erve
zetn
ek
ki k
ell a
lakí
tani
a re
ndsz
erre
l kap
csol
atba
n eg
y el
len
rzés
i ter
vet,
meg
elzé
si e
ljárá
si re
ndet
. R
ende
lkez
ésre
állá
s sze
mpo
ntjá
ból t
erve
t kel
l ké
szíte
ni a
rend
szer
tartó
s kie
sésé
nek
eset
ére.
En
nek
inté
zked
ési t
erve
legy
en a
rány
ban
a ki
eset
t re
ndsz
erne
k a
Társ
aság
üzl
etm
enet
ére
gyak
orol
t ne
gatív
hat
ásáv
al.
Infr
astru
ktúr
a
(fiz
ikai
véd
elem
) a
véde
nd h
elyi
ség
fala
i le
galá
bb 6
cm
vas
tag
tégl
a, v
agy
azza
l egy
enér
ték
szer
keze
t aj
tósz
erke
zete
k re
tesz
húzá
s el
len
véde
ttek
legy
enek
, az
ajtó
k, i
ll. a
blak
ok ö
ssze
sség
ében
6
mm
üve
gezé
sek
legy
enek
A
z ol
yan
hiva
tali
hely
iség
eket
, aho
l in
form
atik
ai
eszk
özök
kel
törté
nik
a m
unka
végz
és,
bizt
onsá
gi
zárr
al k
ell
ellá
tni,
és a
hel
yisé
get
távo
llét
eset
én
zárv
a ke
ll ta
rtani
. sz
emél
yi
felü
gyel
etet
cs
ak
mun
kaid
ben
kell
alka
lmaz
ni, e
nnek
hiá
nyáb
an, i
ll. m
unka
idn
kívü
l a
hely
iség
ek a
blak
ait,
ajtó
it zá
rni k
ell
az
info
rmat
ikai
es
zköz
ök
nem
ke
rülh
etne
k kö
zvet
lenü
l fö
ldre
, fa
lban
, va
gy
falo
n fu
tó
vízv
ezet
ék
köze
lébe
, kö
zvet
lenü
l h
forr
ás
köze
lébe
B
izto
síta
ni
kell
az
adat
hord
ozók
és
do
kum
entá
ciók
tz-
és v
agyo
nvéd
ett t
árol
ását
. A
tz
elle
ni v
édel
met
els
dleg
esen
a s
zem
élyi
fe
lügy
elet
, va
lam
int
a je
lenl
év
szem
élyz
et
bizt
osítj
a a
hely
iség
en b
elül
kés
zenl
étbe
n ta
rtott
– a
tzv
édel
mi
elírá
sokn
ak
meg
fele
l
– ké
zi
tzo
ltó-k
észü
léke
kkel
. A
ké
szen
léti
hely
eken
el
sdl
eges
en
gáz
halm
azál
lapo
tú
oltó
anya
ggal
fe
ltöltö
tt t
zoltó
-kés
zülé
kek
legy
enek
. A
ké
szül
ékek
típ
usát
és
da
rabs
zám
át,
illet
ve
elhe
lyez
ését
a
tzv
édel
mi
utas
ításn
ak
kell
tarta
lmaz
nia.
A k
észü
léke
ket a
hel
yisé
geke
n be
lül
a be
jára
t m
elle
tt,
vala
min
t a
hely
iség
er
re
Min
t az
alap
biz
tons
ági o
sztá
ly k
iegé
szítv
e, a
z al
ábbi
akka
l a
véde
nd h
elyi
ség
fala
i leg
aláb
b 15
cm
vas
tag
tégl
a, v
agy
azza
l egy
enér
ték
szer
keze
t a
nyílá
szár
okra
az
aláb
bi sz
abvá
nyok
von
atko
znak
M
SZ 9
387,
939
7, 9
386,
MSZ
EN
85,
162
, 107
, D
IN18
103,
522
90
elek
troni
kai j
elz
rend
szer
t min
den
meg
köze
lítés
i út
vona
lra k
i kel
l épí
teni
, és a
biz
tons
ági
szol
gála
tnál
a ri
aszt
ó je
lekn
ek m
eg k
ell j
elen
niük
. O
pció
ként
vis
szam
enle
gese
n 72
órá
s fel
ülírá
s m
ente
s vid
eofe
lvét
el is
lehe
tség
es. A
re
ndel
kezé
sre
állá
snak
job
bnak
kel
l len
nie,
min
t 95
%/h
ó ill
. 97,
5%/é
v ki
sugá
rzás
elle
ni v
édel
met
a k
ocká
zat
arán
yoss
ágáv
al k
ell m
egva
lósí
tani
A
terü
lete
n 12
órá
s áth
idal
ást b
izto
sító
sz
ünet
men
tess
égge
l ellá
tott
olya
n el
ektro
nika
i je
lzre
ndsz
ert k
ell k
iépí
teni
, am
elly
el b
izto
síth
ató
a te
ljes f
elül
et- é
s a ré
szle
ges t
érvé
dele
m.
A sz
emél
yzet
és a
kül
s sz
emél
yek
belé
pési
és
azon
osítá
si re
ndjé
t sza
bály
ozot
t for
máb
an k
ell
meg
való
síta
ni.
Az
r- é
s a b
izto
nság
i sze
mél
yzet
léts
zám
át ú
gy
kell
meg
álla
píta
ni, é
s oly
an e
szkö
zökk
el k
ell
ellá
tni,
hogy
ese
mén
y es
etén
az
érin
tett
szem
ély
jele
zni t
udjo
n.
A h
elyi
sége
t úgy
kel
l elh
elye
zni,
hogy
fele
tte é
s a
hatá
roló
falfe
lüle
teke
n vi
zes b
lokk
ot ta
rtalm
azó
Min
t a fo
kozo
tt bi
zton
sági
osz
tály
kie
gész
ítve,
az
aláb
biak
kal:
az é
püle
tsze
rkez
etek
nek
ki k
ell
elég
íteni
e a
MA
BIS
Z el
írása
it.
Min
den
hely
iség
et
elek
troni
kus
jelz
rend
szer
rel k
ell e
llátn
i, am
i a
beha
tolá
s és t
zvéd
elm
et e
llátja
a
nyílá
szár
okra
az
al
ábbi
sz
abvá
nyok
vo
natk
ozna
k M
SZ 9
387,
939
7, 9
386,
MSZ
EN
85,
162
, 10
7, D
IN18
103,
522
90 é
s az
M
SZ E
N 1
0 A
mec
hani
kai v
édel
em v
édje
n a
közf
orga
lmú
terü
letr
l tör
tén
bet
ekin
tés e
llen
is.
Az
elek
troni
kai
véde
lem
te
rjedj
en
ki
a in
form
atik
ai
eszk
özök
re,
vala
min
t a
felü
gyel
et n
élkü
li he
lyis
égek
re is
. A
sze
mél
yzet
és
a kü
ls s
zem
élye
k be
lépé
si
és a
zono
sítá
si r
endj
ét s
zabá
lyoz
ott f
orm
ában
, in
telli
gens
be
lépt
et-r
ends
zerr
el
kell
meg
való
síta
ni,
amel
y a
min
dkét
irá
nyú
átha
ladá
soka
t na
plóz
za
és
bizt
osítj
a az
az
onos
ító
eszk
öz
azon
os
irány
ban
törté
n
több
ször
i fel
hasz
nálá
sána
k til
alm
át.
A
hely
iség
be
(épü
letb
e)
belé
pni
szán
déko
zóka
t az
onos
ítani
ke
ll,
és
a be
lép
krl n
yilv
ánta
rtást
kel
l vez
etni
. A
ter
ület
re t
örté
n b
elép
ést
azon
osítá
sra
és
hite
lesí
tésr
e al
kalm
as
rend
szer
rel
kell
elle
nriz
ni.
A f
tést
a k
límar
ends
zere
n ke
resz
tül
mel
eg
1048 A MÁV Zrt. Értesítője 19. szám
alka
lmas
, jó
l m
egkö
zelít
het
po
ntja
in
kell
elhe
lyez
ni.
A
hely
iség
ben
a vo
natk
ozó
szab
vány
ok
elírá
sain
ak
meg
fele
l
tzj
elz
re
ndsz
ert k
ell k
iépí
teni
és ü
zem
elte
tni.
Az
elek
trom
os h
álóz
at e
légí
tse
ki a
z M
SZ 2
364
és
MSZ
16
00
soro
zatú
sz
abvá
nyok
el
írása
it,
az
érin
tésv
édel
em fe
lelje
n m
eg a
z M
SZ 1
72 s
oroz
atú
szab
vány
ok e
lírá
sain
ak.
elek
troni
kai
jelz
rend
szer
es
etéb
en
a re
ndel
kezé
sre
állá
s 90
%/h
ó, il
l. 97
,5%
/év-
nek
kell
lenn
ie
Az
elek
trom
os h
álóz
atot
a s
züne
tmen
etes
ségr
e, a
z át
hida
lási
és
új
ratö
ltési
id
re
vona
tkoz
ó kö
vete
lmén
yekn
ek m
egfe
lel
en k
ell k
iala
kíta
ni é
s kü
lön
leág
azás
meg
építé
séve
l ke
ll a
betá
plál
ásró
l go
ndos
kodn
i. A
vill
ámvé
dele
m f
elel
jen
meg
a k
omm
unál
is é
s la
kóép
ület
ekre
von
atko
zó e
lírá
sokn
ak.
Az
átla
gost
ól e
ltér
klim
atik
us v
iszo
nyú
(pél
dául
a
hm
érsé
klet
, ille
tve
a pá
rata
rtalo
m é
rtéke
túllé
pi
a in
form
atik
ai e
szkö
zökr
e vo
natk
ozó
meg
enge
dett
tarto
mán
yt)
hely
iség
ekbe
n lo
kális
klim
atiz
álás
ról
kell
gond
osko
dni.
hely
iség
rész
ne
legy
en, n
yom
ó- é
s ejt
csöv
ek (v
íz,
gáz,
csa
torn
a és
egy
éb k
özm
veze
ték)
ne
hala
djan
ak á
t. A
hel
yisé
gbe
csak
ann
ak
üzem
elte
tésé
hez
elen
gedh
etet
lenü
l szü
kség
es
közm
háló
zat c
satla
kozh
at.
A te
chni
kai v
édel
mi r
ends
zert
a he
lyis
égbe
n ki
ke
ll ép
íteni
. A ri
aszt
ások
nak
az é
püle
t biz
tons
ági
szol
gála
táná
l meg
kel
l jel
enni
ük. A
véd
elem
sz
abot
ázsv
édet
t leg
yen
és a
köv
etke
z
köve
telm
énye
ket e
légí
tse
ki:
- a
nyílá
szár
ók n
yitá
s- é
s zár
tság
elle
nrz
es
zköz
zel l
egye
nek
ellá
tva,
a b
els
tere
k vé
delm
e m
ozgá
sérz
ékel
vel b
izto
síto
tt le
gyen
, a
véde
lem
ki-
és b
ekap
csol
ása
a be
jára
ton
kívü
l el
hely
ezet
t (m
inim
um 6
-8 sz
ámje
gyes
) kód
dal
mkö
dtet
ett t
aszt
atúr
áról
törté
njék
, -
a sz
emél
yzet
a h
elyi
ségb
e be
lépn
i sz
ándé
kozó
kat b
elép
és e
ltt
a bi
zton
ság
vesz
élye
ztet
ése
nélk
ül a
zono
síts
a,
- a
jelz
közp
ont é
s az
álta
la m
ködt
etet
t esz
közö
k 12
órá
s áth
idal
ást b
izto
sító
szün
etm
ente
s tá
pegy
ségg
el re
ndel
kezz
enek
oly
mód
on, h
ogy
a 12
. óra
lete
lte u
tán
még
rend
elke
zzen
ek e
gy
riasz
tási
ese
mén
y je
lzés
ére
és a
hoz
zá
kapc
soló
dó v
ezér
lés v
égre
hajtá
sára
ele
gend
en
ergi
ával
(pél
dául
han
g- v
agy
fény
jelz
esz
köz
3 pe
rces
idta
rtam
ban
való
mkö
dtet
ése)
. A
hel
yisé
g aj
taja
rend
elke
zzen
lega
lább
30
perc
es
(mbi
zony
lato
lt) t
zgát
láss
al, t
ováb
bá a
he
lyis
égen
bel
ül a
utom
atik
us é
s kéz
i jel
zésa
dók
kerü
ljene
k te
lepí
tésr
e. A
jelz
ésad
ók je
lzés
eit m
ind
a he
lyis
égen
bel
ül, m
ind
az é
püle
t biz
tons
ági
szol
gála
táná
l meg
kel
l jel
eníte
ni. A
jelz
ésad
ó es
zköz
ök, v
alam
int a
jele
ket f
eldo
lgoz
ó kö
zpon
t fe
lelje
n m
eg a
z M
SZ 9
785,
val
amin
t az
EN 5
4 sz
abvá
nyso
roza
tok
elírá
sain
ak, r
ende
lkez
zene
k a
haza
i min
sít
inté
zete
k fo
rgal
omba
hoz
atal
i en
gedé
lyév
el. A
z au
tom
atik
us t
zoltó
rend
szer
ek
terv
ezés
e és
szab
ályo
zása
a B
izto
nság
i Iga
zgat
ó
leve
g
befú
váss
al
kell
meg
olda
ni,
a he
lyis
égbe
n vi
zes
fté
s ne
m l
étes
íthet
. A
kl
ímar
ends
zer
külté
ri és
be
ltéri
egys
égb
l ép
üljö
n fe
l, ví
zhté
ses
klím
a ne
m te
lepí
thet
. K
özpo
nti k
límag
ép te
lepí
tése
ese
tén
a be
fúvó
és
az
elsz
ívó
légc
sato
rnáb
a lé
gmen
tese
n zá
ró,
tzg
átló
tzc
sapp
anty
úkat
kel
l tel
epíte
ni.
A
szer
vers
zobá
ba
csak
az
an
nak
üzem
elte
tésé
hez
elen
gedh
etet
lenü
l sz
üksé
ges
közm
háló
zat c
satla
kozh
at.
A t
echn
ikai
véd
elem
be l
egye
nek
bekö
tve
a ha
rdve
r-vé
dele
mm
el e
lláto
tt gé
pek
burk
olat
ai
az i
lleté
ktel
en k
inyi
tás
jelz
ésér
e, a
har
dver
-vé
dele
m e
ltávo
lítás
ának
meg
akad
ályo
zásá
ra.
A s
zám
ítókö
zpon
tok,
a s
zerv
ersz
obák
, és
az
egyé
b „k
özpo
nti”
je
lleg
in
form
atik
ai
hely
iség
ek
véde
lmét
in
telli
gens
be
lépt
etre
ndsz
erre
l ke
ll ki
egés
zíte
ni,
amel
y a
moz
gáso
kat
min
dkét
irá
nyba
n re
gisz
trálja
, le
galá
bb a
z ut
olsó
4.0
00 e
sem
ényt
nap
lózz
a és
az
utol
só s
zem
ély
távo
zása
kor
a vé
delm
i re
ndsz
ert
auto
mat
ikus
an é
lesí
tse.
A h
ardv
er-
véde
lem
mel
el
láto
tt m
unka
állo
más
ok
elhe
lyez
ésér
e sz
olgá
ló
hely
iség
eket
m
unka
idn
kívü
l el
ektro
niku
s vé
dele
mm
el
kell
ellá
tni.
A
hely
iség
au
tom
atik
us
mkö
dtet
és
oltó
rend
szer
rel
egés
zíte
nd
ki,
az
oltó
rend
szer
mkö
désé
t te
kint
ve h
elyi
vag
y te
ljes
elár
aszt
ásos
le
gyen
, m
ködé
se
eltt
bizt
osíts
on
eleg
end
id
t a
szem
élyz
et
evak
uálá
sára
, ve
zérl
kim
enet
eine
k eg
yiké
n ad
jon
jelz
ést
a sz
erve
rnek
az
auto
mat
ikus
m
enté
sre,
maj
d az
t köv
eten
a le
kapc
solá
sra.
A
z en
ergi
aellá
tás
bizt
onsá
ga
érde
kébe
n a
szün
etm
ente
s tá
pegy
ség
mel
lett
olya
n sz
üksé
g-ár
amel
látó
di
esel
-ele
ktro
mos
gé
pcso
porto
t is
ke
ll te
lepí
teni
, am
ely
auto
mat
ikus
indí
tású
és
szab
ályo
zású
, akk
ora
19. szám A MÁV Zrt. Értesítője 1049
álta
l meg
hatá
rozo
ttak
szer
int t
örté
nik.
A
z el
ektro
mos
hál
ózat
lega
lább
a sz
erve
r és a
sz
üksé
gvilá
gítá
s von
atko
zásá
ban
30 p
erce
s át
hida
lási
idej
meg
szak
ításm
ente
s átk
apcs
olás
sal
rend
elke
z sz
ünet
men
tes t
ápeg
ység
gel l
egye
n el
látv
a. A
tápe
gysé
g ak
kum
ulát
orai
a m
axim
ális
ig
ényb
evét
elt k
övet
tölté
s hat
ásár
a te
ljes
kapa
citá
suka
t 24
órán
bel
ül n
yerjé
k vi
ssza
. A
pad
lóbu
rkol
atok
, ber
ende
zési
tárg
yak
antis
ztat
ikus
kiv
itel
ek le
gyen
ek.
A v
illám
véde
lem
elé
gíts
e ki
a k
omm
unál
is é
s la
kóép
ület
ekre
von
atko
zó e
lírá
soka
t és a
z M
SZ
EN 6
2305
:200
6 sz
abvá
ny sz
erin
t az
LPZ
0B -
LPZ
1 zó
naha
táro
n tú
lfesz
ülts
ég e
lleni
véd
elem
be
kell
bevo
nni a
z ár
nyék
olás
t meg
test
esít
, az
épül
etbe
bel
ép m
inde
n fé
msz
erke
zete
t (az
el
ektro
mos
hál
ózat
ot, v
íz, g
áz, t
ávf
tés,
csat
orna
háló
zato
kat,
ante
nna
beve
zeté
seke
t, ad
atát
vite
li és
távb
eszé
l h
álóz
atok
at st
b.).
A tú
lmel
eged
és e
lleni
véd
elm
et a
hel
yisé
g kl
imat
izál
ásáv
al k
ell b
izto
síta
ni. A
lége
llátá
s le
gfel
jebb
a k
limat
izál
ó be
rend
ezés
ek á
ltal á
tlago
s sz
inte
n bi
ztos
ított
pork
once
ntrá
ciót
érh
eti e
l.
telje
sítm
ény
, hog
y ké
pes
legy
en k
iszo
lgál
ni
a in
form
atik
ai
eszk
özök
ön
túl
az
azok
m
ködé
séhe
z sz
üksé
ges
segé
düze
mi (
péld
ául
klím
a) b
eren
dezé
seke
t is.
Har
dver
– sz
oftv
er
a va
gyon
véde
lem
vo
natk
ozás
ában
a
MA
BIS
Z aj
ánlá
sit k
ell f
igye
lem
be v
enni
a
mun
kaál
lom
ások
at ú
gy k
ell k
onfig
urál
ni, h
ogy
a fe
lhas
znál
óhoz
köt
ött
jels
zóha
szná
lat
bizt
osíto
tt le
gyen
m
unka
állo
más
i ren
dsze
rt ho
rdoz
ható
ada
ttáro
lóró
l (f
lopp
y,
CD
/DV
D,
pend
rive
stb.
) ne
m
lehe
t in
díta
ni
gond
osko
dni
kell
a ho
rdoz
ható
ad
atho
rdoz
ók
csat
lako
ztat
ásán
ak
szab
ályo
zásá
ról
és
enne
k el
len
rizhe
tsé
gér
l m
inde
n bi
zton
sági
be
állít
ást
az
oper
áció
s re
ndsz
erbe
n ke
ll el
vége
zni.
Más
meg
oldá
st c
sak
akko
r le
het
alka
lmaz
ni,
ha
azt
az
oper
áció
s re
ndsz
er n
em ta
rtalm
azza
Min
t ala
p bi
zton
sági
osz
tály
ese
tébe
n, k
iegé
szítv
e az
al
ábbi
akka
l: a
beép
ített
adat
hord
ozók
on ta
lálh
ató
adat
okat
azo
nos
szin
ten
kell
véde
ni
a vé
delm
et ig
ényl
ada
toka
t el
állít
ó, fe
ldol
gozó
, tá
roló
, lek
érde
z p
rogr
amok
val
amin
t eze
k do
kum
entá
ciói
véd
elm
i bes
orol
ásár
ól a
jo
gosu
ltnak
kel
l gon
dosk
odni
a
Min
t a fo
kozo
tt bi
zton
sági
osz
tály
kie
gész
ítve
az
aláb
biak
kal:
min
den
eszk
özt a
zono
s szi
nten
kel
l véd
eni
az in
form
atik
ai b
izto
nság
ot k
ülön
mod
ulár
is
felé
píté
s fe
lügy
elet
i ren
dsze
r biz
tosí
tja, a
mi
önm
agát
is v
édi a
z es
etle
ges t
ámad
ások
elle
n.
A re
ndsz
erne
k sé
rthet
etle
nnek
kel
l len
nie,
m
éret
ét te
kint
ve c
élsz
er k
is m
éret
m
egha
táro
zása
, hog
y az
elle
nrz
és, e
lem
zés
egys
zer
legy
en, v
alam
int b
izto
síts
a te
ljess
éget
, és s
érth
etet
lens
éget
a
rend
szer
ele
min
ek sz
egm
entá
lhat
ónak
, és
bizt
onsá
gi m
vele
teke
t tám
ogat
ó di
alóg
usok
at ta
rtalm
azón
ak k
ell l
enni
e.
Ezek
et a
funk
ciók
at a
z X
-Ope
n bi
zton
sági
1050 A MÁV Zrt. Értesítője 19. szám
a fe
lhas
znál
ó cs
ak
azok
hoz
az
erfo
rrás
okho
z fé
rhet
hoz
zá, a
mih
ez jo
gosu
ltság
a va
n go
ndos
kodn
i kel
l meg
fele
l s
zint
és
gyak
oris
ágú
víru
svéd
elem
rl
amen
nyib
en b
árm
ely
okbó
l hor
dozh
ató
adat
táro
ló
hasz
nála
ta i
ndok
olt
min
d az
esz
köz
behe
lyez
ése
után
, min
d a
kivé
tele
el
tt ví
rusv
édel
mi e
ljárá
s al
á ke
ll vo
nni
az o
perá
ciós
ren
dsze
rben
meg
való
síto
tt vé
delm
et
és
a fe
lhas
znál
ói
szof
tver
ben
meg
való
síto
tt vé
delm
et
egym
ás
gyen
gíté
se
nélk
ül
kell
alka
lmaz
ni.
Köv
etel
mén
y, h
ogy
az a
lkal
maz
ások
az
op
erác
iós
rend
szer
vé
delm
i es
zköz
eire
ép
ülje
nek
doku
men
táln
i ke
ll az
in
form
atik
ai
eszk
özök
et
hasz
náló
k né
vsor
át é
s fel
adat
ait
min
d a
felh
aszn
álói
m
ind
az
oper
áció
s re
ndsz
erek
re v
onat
kozó
lic
ence
k ny
ilván
tartá
sát
meg
kel
l ol
dani
. O
perá
ciós
ren
dsze
r be
szer
ezés
e es
etén
sz
igor
úan
figye
lem
be
kell
venn
i a
társ
aság
nak
a fo
rgal
maz
óval
kö
tött
un.
’ope
n lic
ence
’ sze
rzdé
st
bárm
ilyen
ill
egál
is
szof
tver
te
lepí
tése
az
in
form
atik
ai
eszk
özre
sz
igor
úan
tilos
. A
z el
köve
tk
elle
n m
egfe
lel
sz
ankc
ióka
t ke
ll al
kalm
azni
az
al
kalm
azás
ok
és
eszk
özök
fe
jlesz
tése
, te
szte
lése
üz
emel
teté
se
sorá
n a
bizt
onsá
gi
funk
ciók
at k
iem
elte
n ke
ll ke
zeln
i
oszt
álya
i köz
ül a
priv
ilegi
zált
jogo
kat
bizt
osító
(X-P
RIV
) köv
etel
mén
yein
ek
meg
fele
len
kel
l kia
lakí
tani
. A
mon
itorr
ends
zerb
en a
biz
tons
ágot
érin
t
bárm
ilyen
ese
mén
y be
köve
tkez
ése
eset
én a
re
ndsz
erga
zdát
azo
nnal
érte
síte
ni k
ell,
aki a
z ér
tesí
tési
rend
ben
szab
ályo
zotta
k sz
erin
t to
vább
i érte
síté
seke
t ellá
t.
Ada
thor
dozó
k ad
atho
rdoz
ónak
érte
lmez
zük
a sz
oftv
er, a
dat v
agy
doku
men
táci
ó és
azo
k bi
zton
sági
más
olat
aina
k bá
rmily
en fo
rmáj
át
az a
dath
ordo
zók
táro
lásá
ra s
zolg
áló
hely
iség
eket
, úg
y ke
ll ki
alak
ítani
, ho
gy m
egfe
lel
biz
tons
ágot
ad
jana
k be
hato
lás,
tz,
víz
vag
y te
rmés
zeti
csap
ás
elle
n ad
atát
vite
lre v
alam
int
adat
men
tésr
e, a
rchi
válá
sra
hasz
nált
adat
okat
cs
ak
meg
bízh
atóa
n zá
rthat
ó
Min
t ala
p bi
zton
sági
osz
tály
ese
tébe
n ki
egés
zítv
e a
köve
tkez
kkel
: ad
atho
rdoz
ók tá
rolá
sa c
sak
lega
lább
30
perc
es
tzá
llóág
ú tá
roló
szek
rény
ben
vagy
ezz
el
egye
nérté
k v
édel
mi s
zint
et b
izto
sító
táro
ló
hely
en le
het
az a
dath
ordo
zók
keze
lésé
t az
2009
. évi
CLV
. tö
rvén
y sz
abál
yozz
a az
ada
ttípu
s jól
felis
mer
het
jelé
t az
adat
táro
ló é
s
Min
t a fo
kozo
tt bi
zton
sági
osz
tály
ban.
19. szám A MÁV Zrt. Értesítője 1051
hely
en
lehe
t tá
roln
i. Ez
en
adat
kört
kett
pé
ldán
yban
kel
l el
állít
ani,
a pé
ldán
yoka
t kü
lön
hely
en k
ell t
árol
ni
az
adat
hord
ozók
be
szer
zésé
t, fe
lhas
znál
ását
, ho
zzáf
érés
ét, s
elej
tezé
sét r
ends
zere
n el
len
rizni
és
doku
men
táln
i kel
l. kü
ls f
él f
elé
törté
n a
dats
zolg
álta
tás/
adat
foga
dás
eset
én a
z ad
atho
rdoz
ók k
ezel
ése
csak
dok
umen
tált
form
ában
tör
ténh
et.
Kül
dés
és f
ogad
ás e
seté
ben
min
dig
víru
svéd
elm
et k
ell a
lkal
maz
ni
egy
adat
hord
ozót
újra
alka
lmaz
ás e
seté
n m
egfe
lel
el
járá
ssal
törö
lni k
ell.
ha
ol
yan
adat
állo
mán
yt
kívá
nunk
vé
gleg
esen
tö
röln
i, am
i üz
leti
titok
nak
min
sül
ad
atot
ta
rtalm
az
akko
r az
ad
atho
rdoz
ót
viss
za
nem
ál
lítha
tó m
ódon
kel
l fe
lülír
ni. K
üls
ada
thor
dozó
es
etéb
en a
z ad
atho
rdoz
ót m
eg k
ell s
emm
isíte
ni
bels
ada
thor
dozó
vég
lege
s m
eghi
báso
dása
ese
tén
az e
szkö
zt a
kör
nyez
etéb
l el
kel
l tá
volít
ani,
és
meg
ke
ll kü
lden
i az
ill
eték
es
info
rmat
ikai
bi
zton
sági
szer
veze
tnek
meg
jele
nít
esz
közö
n bi
ztos
ítani
kel
l fo
lyam
atos
an fe
nn k
ell t
arta
ni a
z ad
atok
sérte
tlen
és h
itele
s álla
potá
t
Dok
umen
tum
ok
a ny
omta
tott
anya
gok
keze
lésé
t az
ira
tkez
elés
i ut
asítá
snak
meg
fele
len
kel
l elv
égez
ni
min
den
doku
men
tum
akt
uális
álla
potá
t m
inde
n ér
inte
ttnek
hal
adék
tala
nul m
eg k
ell k
ülde
ni
min
den
doku
men
tum
ot
az
adot
t bi
zton
sági
os
ztál
ynak
meg
fele
len
kel
l kez
elni
Min
t ala
p bi
zton
sági
osz
tály
ese
tébe
n, k
iegé
szítv
e az
al
ábbi
akka
l: go
ndos
kodn
i kel
l a v
álto
zásk
ezel
és fo
lyam
atáb
an
az in
form
atik
ai b
izto
nság
ot é
rint
vál
tozá
sok
napl
ózás
áról
a
feld
olgo
zásr
a ke
rül
ada
tok
vala
min
t a h
ozzá
juk
kapc
soló
dó jo
gosu
ltság
ok fo
lyam
atos
ny
ilván
tartá
sát s
zabá
lyoz
ni é
s elk
ülön
ített
mód
on
kell
keze
lni
telje
s kör
tesz
telé
si d
okum
entá
cióv
al k
ell
rend
elke
zni
telje
s kör
, szi
gorú
an ö
ssze
függ
, inf
orm
atik
ai
eszk
özön
kez
elt v
álto
zásm
ened
zsel
ést k
ell
meg
való
síta
ni
Min
t fo
kozo
tt bi
zton
sági
os
ztál
y es
etéb
en,
kieg
észí
tve
az a
lább
iakk
al:
a re
fere
ncia
hite
lesí
tési
mec
hani
zmus
mód
ját
doku
men
táln
i kel
l. Eb
ben
szer
epel
nie
kell
az
info
rmat
ikai
biz
tons
ági r
ends
zer é
s az
info
rmat
ikai
rend
szer
köz
ötti
kapc
sola
tok
leírá
sát,
a re
fere
ncia
rend
szer
tula
jdon
sága
it,
és a
zt, h
ogy
a le
hets
éges
tám
adás
ok e
llen
jól
véd-
e.
Ada
tok
az
info
rmác
iós
rend
szer
ho
zzáf
érés
i ad
atai
t, jo
gosu
ltság
okat
, bi
zton
sági
pa
ram
éter
eket
re
jtjel
ezve
kel
l tár
olni
Min
t ala
p bi
zton
sági
osz
tály
ban,
kie
gész
ítve
az
aláb
biak
kal:
min
síte
tt és
nem
min
síte
tt ad
atok
pár
huza
mos
Min
t a fo
kozo
tt bi
zton
sági
osz
tály
ban.
1052 A MÁV Zrt. Értesítője 19. szám
a re
ndsz
er b
izto
nság
át é
rint
ada
tok
(jels
zava
k,
jogo
sults
ágok
, bi
zton
sági
nap
lók)
véd
elm
érl
a ho
zzáf
érés
i jo
gosu
ltság
ki
oszt
ásán
ál
kell
gond
osko
dni
küls
fél
nem
fér
het
hozz
á a
rend
szer
ben
táro
lt ad
atok
hoz
adat
bevi
tel
sorá
n a
hely
essé
get
az
alka
lmaz
ás
köve
telm
ényi
nek
meg
fele
len
elle
nriz
ni k
ell
prog
ram
fejle
szté
s va
gy
prób
a cé
ljára
ad
atok
fe
lhas
znál
ását
– k
ülön
ösen
, ha
azt k
üls
fél v
égzi
, és
an
nak
ered
mén
yeit
meg
ism
erhe
ti –
el
kell
kerü
lni.
Ha
ez n
em b
izto
síth
ató
más
mód
szer
t kel
l al
kalm
azni
a b
izal
mas
ság
meg
rzés
ére
az
adat
állo
mán
yoka
t az
ad
attíp
ust
jelö
l
bizt
onsá
gi c
ímké
vel k
ell e
llátn
i
feld
olgo
zása
csa
k az
200
9. é
vi C
LV. t
örvé
ny
elírá
sain
ak fi
gyel
embe
vét
elév
el v
égez
het
Kom
mun
ikác
ió,
info
kom
mun
ikác
iós
háló
zato
k
az e
lekt
roni
kus ú
ton
tová
bbíto
tt üz
enet
ekné
l az
iratk
ezel
ési s
zabá
lyza
tnak
meg
fele
len
kel
l el
járn
i. az
ala
nyok
ra a
kom
mun
ikác
ió m
egke
zdés
e el
tt hi
tele
síté
si e
ljárá
st k
ell k
ezde
mén
yezn
i az
ado
tt há
lóza
ti al
rend
szer
hite
lesí
tési
m
echa
nizm
usa
nem
érin
thet
más
alre
ndsz
ert
azon
osíta
ni k
ell m
ás h
álóz
atbó
l jöv
ada
tok
fela
dójá
t. H
a ez
nem
lehe
tség
es, a
z ad
atok
at
elkü
löní
tette
n ke
ll tá
roln
i az
er
forr
ások
has
znál
atát
szab
ályo
zni k
ell
a re
ndsz
erel
emek
et re
ndsz
eres
en e
llen
rizni
kel
, an
nak
érde
kébe
n, h
ogy
a há
lóza
tban
a fo
rgal
om
mon
itoro
zása
és r
ögzí
tésr
e al
kalm
as e
rfo
rrás
t ill
eték
tele
nül n
e ha
szná
lják
az a
lhál
ózat
ban
defin
iált
azon
osító
joga
de
legá
lhat
ó m
ásik
alh
álóz
atba
, és e
z al
apjá
n ke
ll ér
vény
esíte
ni a
z er
edet
i azo
nosí
tóho
z re
ndel
t jo
goka
t a
szab
ad b
elát
ás sz
erin
t kia
lakí
tott
hozz
áfér
és-
vezé
rlést
ki k
ell t
erje
szte
ni a
telje
s elo
szto
tt re
ndsz
erre
kö
zpon
ti ho
zzáf
érés
men
edzs
men
t ese
tén
az
Min
t ala
p bi
zton
sági
osz
tály
ban,
kie
gész
ítve
az
aláb
biak
kal:
a ki
sugá
rzás
és z
avar
ás e
lhár
ításá
ra a
z EN
550
22
és E
N 5
5024
szab
vány
el
írása
i a m
érva
dók
min
den
csat
orna
egy
, vag
y tö
bbsz
int
biz
tons
ági
azon
osító
val r
ende
lkez
zen.
Egy
szin
t c
sato
rna
eset
ében
csa
k eg
y cí
mke
léte
zik,
és c
sak
olya
n ad
atál
lom
ány
forg
alm
azha
tó, h
ogy
anna
k bi
zton
sági
azo
nosí
tója
meg
fele
ljen
a cs
ator
na
azon
osító
jána
k. T
öbbs
zint
csa
torn
a es
etéb
en e
gy
prot
okol
l kez
eli a
csa
torn
a és
ada
tok
közö
tti
meg
fele
lteté
st, h
ogy
a fo
gadó
fél h
elyr
eállí
thas
sa,
vala
min
t pár
osíth
assa
a fo
gado
tt ad
atok
at, a
zok
azon
osító
ival
a
véde
lem
szem
pont
jábó
l fon
tos a
zono
sító
kat,
csak
az
arra
feljo
gosí
totta
k vá
ltozt
atha
tják
meg
a
hozz
áfér
és k
ezel
és v
ezér
lésé
t az
egés
z re
ndsz
erre
ki k
ell t
erje
szte
ni
közp
onti
hozz
áfér
és k
ezel
és e
seté
n az
egy
es
alan
yok
info
rmat
ikai
biz
tons
ági p
aram
éter
eit
bizt
onsá
gos ú
ton
kell
az o
szto
tt re
ndsz
er
feld
olgo
zó e
gysé
geih
ez e
ljutta
tni.
a fo
rgal
maz
ásba
n ér
inte
tt va
lam
enny
i esz
közr
e ki
Min
t fok
ozot
t biz
tons
ági o
sztá
lyba
n, k
iegé
szítv
e az
alá
bbia
kkal
: tö
bbsz
int
csa
torn
a es
etén
a v
éden
d a
dato
k cs
ak re
jtjel
ezve
tová
bbíth
atók
ne
m
alka
lmaz
ható
ol
yan
táro
ló
jelle
g
csat
orna
, am
i ho
zzáf
érés
i jo
gok
elle
nrz
ése
nélk
ül ü
zem
el
a bi
zalm
assá
g m
egrz
ése
érde
kébe
n sz
elek
tív
útve
zérlé
st k
ell a
lkal
maz
ni
a ká
bele
zésr
e az
alá
bbi
szab
vány
érv
énye
s:
EIA
/TIA
-568
, kis
ugár
záss
al k
apcs
olat
osan
az
EN55
022
és 5
5024
szab
vány
ok é
rvén
yese
k K
iem
elt
bizt
onsá
gi
oszt
ályú
re
ndsz
erhe
z tá
volró
l csa
tlako
zni t
ilos.
19. szám A MÁV Zrt. Értesítője 1053
alan
yok
bizt
onsá
gos k
ezel
éséh
ez e
losz
tott
hozz
áfér
és-v
ezér
lési
tábl
akez
elés
szük
sége
s, ho
gy
bizt
onsá
gosa
n le
hess
en a
z os
ztot
t ren
dsze
r el
emei
hez
a ho
zzáf
érés
t biz
tosí
tani
a
bizt
onsá
gos a
datc
sere
köv
etel
mén
yein
ek
telje
síté
séhe
z bi
ztos
ítani
kel
l az
adat
inte
gritá
st
min
d a
prot
okol
lvez
érl
, min
d a
felh
aszn
álói
ad
atok
ra
adat
vesz
tés é
s sér
ülés
elk
erül
ése
céljá
ból
hiba
dete
ktál
ó és
javí
tó e
ljárá
soka
t kel
l alk
alm
azni
os
ztot
t ren
dsze
rekb
en a
jels
zava
k jo
gosu
ltság
ok
csak
titk
osítv
a to
vább
íthat
ók
kell
terje
szte
ni a
biz
tons
ági s
zint
nek
meg
fele
l
véde
lmet
m
eg k
ell v
alós
ítani
a v
égpo
nt-v
égpo
nt jo
gosu
ltság
el
len
rzés
ét, e
lszá
mol
ható
ságo
t, au
ditá
lhat
óság
ot
közp
onti
audi
tálá
s ese
tén
az a
uditá
lási
in
form
áció
kat m
arad
ékta
lanu
l tov
ábbí
tani
kel
l a
több
i alh
álóz
atba
m
eg k
ell a
kadá
lyoz
ni, é
s fol
yam
atos
an e
llen
rizni
ke
ll, h
ogy
a há
lóza
tban
ne
törté
njen
ille
gális
rá
csat
lako
zás,
és le
hallg
atás
Szem
élye
k sz
abál
yozn
i kel
l a b
elép
ések
rend
jét ö
sszh
angb
an
a jo
gosu
ltság
okka
l ke
rüln
i kel
l mag
asab
b jo
gosu
ltság
ú sz
emél
yekn
él
a jo
gok
túlz
ott ö
ssze
voná
sát
min
den
újfe
lvét
eles
mun
katá
rsna
k bi
ztos
ítani
kel
l az
info
rmat
ikai
biz
tons
ág o
ktat
ását
, a re
ndsz
eres
to
vább
képz
ést
meg
hatá
rozo
tt m
unka
körö
kben
ki k
ell d
olgo
zni a
he
lyet
tesí
tési
rend
et
font
osab
b al
kalm
azás
okho
z (0
-24
órás
üz
emel
teté
ssel
) ren
dsze
rgaz
dáka
t kel
l kin
evez
ni,
és fe
lada
taik
at p
onto
san
kell
defin
iáln
i, id
szak
onké
nt e
llen
rizni
el
kel
l kül
öníte
ni a
fejle
szt
i és a
z üz
emel
tet
i kö
rnye
zete
t fig
yele
mbe
vév
e az
adm
inis
ztrá
ciós
ho
zzáf
érés
i jog
körö
ket
küls
par
tner
ek e
seté
ben
a m
egfe
lel
sz
erz
désb
en k
ell a
biz
tons
ági f
elté
tele
ket
dekl
arál
ni, s
zabá
lyoz
ni
Min
t ala
p bi
zton
sági
osz
tály
ban,
kie
gész
ítve
az
aláb
biak
kal:
a fe
lhas
znál
ók te
véke
nysé
géne
k fu
nkci
ó sz
erin
ti sz
étvá
lasz
tásá
t biz
tosí
tani
kel
l a
min
síte
tt ad
atok
at k
ezel
fela
data
it, v
alam
int a
z üz
emel
teté
si fe
lada
toka
t fel
elss
ég sz
erin
t sz
abál
yozn
i kel
l
Min
t fok
ozot
t biz
tons
ági o
sztá
lyba
n, k
iegé
szítv
e az
alá
bbia
kkal
: a
rend
szer
gazd
ákna
k eg
ymás
tól s
zele
ktív
en
kell
keze
lni a
több
szin
t k
iem
elt
szer
epkö
röke
t ki
emel
t mve
lete
k a
köve
tkez
k: fe
lhas
znál
ói
azon
osító
kez
elés
, hoz
záfé
rési
par
amét
erek
id
szak
ra v
onat
kozt
atot
t átír
ása,
rend
szer
in
dítá
sa/le
állít
ása,
feld
olgo
záso
k ha
tára
it,
adat
állo
mán
yok
para
mét
erei
t mód
osíth
atjá
k,
spec
iális
esz
közf
ájlo
kat l
étes
íthet
és
szün
teth
et m
eg, a
datá
llom
ányo
k re
ndsz
erét
vo
nhat
ja m
agáh
oz, f
elha
szná
lóka
t kez
el
eljá
ráso
kat i
ndíth
at, j
oga
van
adat
okat
im
portá
lni/e
xpor
táln
i a
rend
szer
gazd
a ke
zeli
a jo
gosu
ltság
ok
telje
skör
kez
elés
ét, a
hoz
záju
k ta
rtozó
er
forr
ássa
l egy
ütt.
Ezek
et n
yom
tath
atja
is.
Az
info
rmat
ikai
biz
tons
ági s
zint
ben
beál
lt vá
ltozá
soka
t azo
nnal
és m
arad
ékta
lanu
l kö
zöln
ie k
ell a
felh
aszn
álóv
al, é
s val
amen
nyi
alac
sony
abb
szin
t je
llem
zhö
z ho
zzá
kell
férje
n.
1054 A MÁV Zrt. Értesítője 19. szám
Jels
zóha
szná
lat:
Jels
zó:
-le
galá
bb 8
kar
akte
r hos
szús
ágú
jels
zót k
ell
hasz
náln
i -
a je
lszó
– a
z al
ábbi
4 c
sopo
rt kö
zül –
lega
lább
há
rom
cso
port
elem
eib
l, m
inim
um e
gy-e
gy
kara
kter
t tar
talm
azzo
n:
oki
sbet
o
nagy
bet
o
szám
és
okü
lönl
eges
kar
akte
rek
-
a je
lszó
ne
tarta
lmaz
zon
ékez
etes
bet
ket
-a
jels
zót l
egal
ább
180
napo
nkén
t meg
kel
l vá
ltozt
atni
(tilo
s beá
llíta
ni, h
ogy
soha
ne
járjo
n le
a je
lszó
) -
a re
ndsz
er a
z ut
oljá
ra h
aszn
ált 3
jels
zót
meg
jegy
zi, í
gy a
zoka
t nem
lehe
t újra
has
znál
ni
-a
jels
zó is
mét
elte
n le
gkor
ábba
n 5
nap
elte
ltéve
l vá
ltozt
atha
tó m
eg
-5
sike
rtele
n be
jele
ntke
zési
kís
érle
t utá
n a
felh
aszn
álói
fiók
ot 1
0 pe
rcre
zár
olja
a re
ndsz
er
Min
t ala
p bi
zton
sági
osz
tály
ban,
kie
gész
ítve
az
aláb
biak
kal:
-le
galá
bb 1
0 ka
rakt
er h
ossz
úság
ú je
lszó
t kel
l ha
szná
lni
-a
jels
zót l
egal
ább
90 n
apon
ként
meg
kel
l vá
ltozt
atni
-
4 si
kerte
len
beje
lent
kezé
si k
ísér
let u
tán
a fe
lhas
znál
ói fi
ókot
30
perc
re z
árol
ja a
rend
szer
Min
t fok
ozot
t biz
tons
ági o
sztá
lyba
n, k
iegé
szítv
e az
alá
bbia
kkal
: -
lega
lább
12
kara
kter
hos
szús
ágú
jels
zót k
ell
hasz
náln
i -
a je
lszó
t leg
aláb
b 45
nap
onké
nt m
eg k
ell
válto
ztat
ni
-3
sike
rtele
n be
jele
ntke
zési
kís
érle
t utá
n a
rend
szer
zár
olja
a fe
lhas
znál
ói fi
ókot
, am
it cs
ak a
rend
szer
gazd
a tu
d fe
lold
ani
-A
felh
aszn
álói
fiók
ok fe
lold
ásár
ól h
eten
te
jele
ntés
t kel
l kül
deni
az
üzle
ti tu
lajd
onos
ré
szér
e.
19. szám A MÁV Zrt. Értesítője 1055
11. sz. melléklet
Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról Alulírott …………………………………………………………………………….. mint a(z)
………………………………………………………………...…………………………………
rendszer (alkalmazás) üzleti tulajdonosa / projektvezet je kijelentem, hogy az elkészült
kockázatelemzés alapján megismertem a rendszert fenyeget tényez ket és a nem elviselhet
fenyegetettségek kiküszöbölése érdekében hozott intézkedéseket.
Az intézkedések következtében a maradó kockázat okozta fenyegetettségek az elfogadható
szinten belül maradnak. Ezek alapján a rendszert a következ biztonsági osztályokba sorolom:
Informatikai biztonsági szempontból: …………………………………
Rendelkezésre állás szempontjából: …………………………………
A rendszert a MÁV Zrt. Informatikai Biztonsági Szabályzatában foglalt – a fenti besorolásra
vonatkozó – követelmények szerint kell kialakítani.
……………………………., 201….…………………………
……………………………….. üzleti tulajdonos / projektvezet
A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).
1056 A MÁV Zrt. Értesítője 19. szám
12. sz. melléklet
Rendszer-szintű Informatikai Biztonsági Szabályzat (RIBSZ) vázlata
1. A RIBSZ
1.1. RIBSZ áttekintés1.1.1. Célja1.1.2. Szükségessége (alapja a Működési Folytonossági
Tervnek)
1.2. A RIBSZ hatálya1.2.1. Alanyi hatálya1.2.2. Tárgyi hatálya
1.3. A RIBSZ és más szabályzatok kapcsolata1.3.1. MÁV Zrt. Szabályzatok1.3.2. Az üzemeltetést végző szervezet szabályzatai
1.4. Kiadás dátuma, érvényessége
1.5. Felülvizsgálat (a következő felülvizsgálatára vo-natkozó előírások)
2. Fogalomtár (csak az IBSZ fogalmain kívüli meg-határozások)
3. Rendszerkörnyezet. Feladat-, felelősség- és hatás-körök
3.1. Szervezeti szintű feladat-, felelősség- és hatás-körök
3.1.1. MÁV Zrt. Infokommunikációs Igazgatóság (IKI)3.1.2. MÁV Zrt. Információvédelmi Osztály (IVO)3.1.3. Üzemeltető szervezet3.1.4. Informatikai szolgáltatók (fejlesztő, üzemeltető,
karbantartó stb. szervezetek)
3.2. Szerepkör szintű feladat-, felelősség- és hatás-körök (beosztás megnevezése, feladatai, jogköre)
3.2.1. Üzleti tulajdonos3.2.2. Vezetők munkakörei3.2.3. Kiemelt felhasználók (pl. üzemeltető, biztonsági
operátor)3.2.4. Felhasználók3.2.5. Üzemeltető szervezet vezetői, munkatársai (pl.
HelpDesk)
4. Informatikai biztonsággal szemben támasztott követelmények
4.1. A rendszert fenyegető tényezők bemutatásaA kockázatelemzés által feltárt, az üzleti tulajdonos
számára nem elviselhető kockázatot rejtő fenyegetettségi tényezők kerülnek felsorolásra a bizalmasság, sértetlen-ség és a rendelkezésre állás szerint csoportosítva.
4.2. Adatok besorolása (adatkörök felsorolása)4.2.1. Bizalmasság (bemutatása input / output elemen-
ként és származtatott adatokra: személyes-, közérdekű-, belső használatú- és üzleti titok vonatkozásban)
4.2.2. Sértetlenség (bemutatása input / output elemen-ként)
4.2.3. Rendelkezésre állás (idő és térbeliség bemutatá-sa)
4.3. Értékelés, biztonsági osztály meghatározása(kockázatelemzés összefoglaló értékelése, és az ebből
meghatározott biztonsági osztály rögzítése)
5. Informatikai biztonsági rendszer kialakítása (minden eleme a 4.3 pontban leírtaktól függ)
5.1. Adminisztratív védelem5.1.1. Szabályzatok, dokumentumok kidolgozása és
nyilvántartása5.1.2. Azonosítások, hitelesítési mechanizmusok (jel-
szó politika)5.1.3. Naplózás (annak tartalma, hozzáférése, elemzé-
se, védelme és mentése stb.).5.1.4. A felhasználókra vonatkozó szabályok (később
átemelhető a Felhasználói Kézikönyvbe)
5.2. Fizikai védelem5.2.1. Helyiségek védelme (belépési rendszer, nedves-
ség (víz), klimatizálás, villám, elektronikai zavarvéde-lem, tűz, fi zikai védelem stb.)
5.2.1.1. Belépés a központ erőforrásainak helyet adó épületbe
5.2.1.2. Belépés a számítóközpontba5.2.2. Hardver nyilvántartás és védelem, megelőző
karbantartások rendje (szerverek, aktív-passzív eszkö-zök, perifériák, munkaállomások, hálózat stb.)
5.2.3. Szoftver nyilvántartás és védelem (tárolás, jog-tisztaság igazolása dokumentumokkal stb.)
5.2.4. Adathordozók (mentések, CD/DVD, Pendrive, külső HDD stb.) kezelésének szabályai az üzemeltetőnél és a felhasználói munkahelyeken (tárolás, hozzáférés, másolatok, szállítás stb.)
5.2.5. Dokumentumok kezelésének szabályai az üze-meltetőnél és a felhasználói munkahelyeken (input/output dokumentumok, biztonsági naplók kezelése, hozzáférés, megismerhetőség stb.)
5.2.6. Mobil informatikai eszközök fi zikai védelme
5.3. Logikai védelem5.3.1. Azonosítás, jogosultságkezelés, (operációs rend-
szer, alkalmazás, hálózati stb. szinten)5.3.2. Operációs rendszer, alkalmazás, adatbázis sajá-
tosságai, védelmi funkciói5.3.3. Kapcsolat más informatikai rendszerekkel (kap-
csolat módja, védelmi intézkedések, adatcsere [interface felület] szabályozása stb.)
19. szám A MÁV Zrt. Értesítője 1057
5.3.4. Biztonsági mentések, archiválások kezelése (he-lye, nyilvántartása, mentési módszer, ütemezés, tárolás, visszaállítás-ellenőrzés, hozzáférés, megsemmisítés stb.)
5.3.5. Bejelentkezés külső hálózatról, távfelügyelet (VPN, FTP, OWA, VNC stb.)
5.3.6. Mobil informatikai eszközök logikai védelme5.3.7. Hálózat logikai védelme (elérhetőség, tűzfal, pro-
xy, WLAN, VLAN beállítások stb.)5.3.8. Kártékony kódok (vírus, kémprogram stb.) és be-
hatolás elleni védelem5.3.9. Beállítások felülvizsgálata, ellenőrzése, tesztelé-
se, frissítése. Karbantartás, tervezett leállások.
5.4. Személyi feltételek5.4.1. Felhasználói szerepkör (felelősségi kör) megadá-
sa, változása (kiválasztás, regisztrálás, azonosítók- jel-szavak kiadása, visszavonása, áthelyezés Társaságon be-lül, kilépés stb.)
5.4.2. Oktatások (a rendszer átadásakor és később), biztonsági tudat fenntartása (a használat során)
5.4.3. Biztonsági ellenőrzések, szankciók
5.5. Vagyonvédelem (a fi zikai vedelem kiterjesztése, élőerős védelem stb.)
6. Biztonsági tesztelések értékelése, áttekintése (rendszertervhez igazodva)
6.1. Ki, mikor, mit, milyen feltételekkel tesztel
6.2. Sikeresség feltételei
6.3. Rendszer megfelelőségi feltételei
6.4. Biztonsági dokumentumok megfelelősége
7. Változáskezelés megoldása
7.1. Változtatási igények kezelése, nyilvántartása
7.2. Új elemek kidolgozása
7.3. Új elemek rendszerbe illesztése
7.4. Változások átvezetése, dokumentálása
8. Működés-folytonosság tervezésének vázlata (lásd: MÁV Zrt. IBSZ 14. sz. melléklet)
8.1. Célja, lényege
8.2. Helyzetfeltárás, veszélygócok elemzése
8.3. Üzemzavar, működési hiba esetén teendők in-tézkedések, feladatok
8.4. Katasztrófa esetén teendők intézkedések, fel-adatok
Amennyiben egy-egy pont feladatot határoz meg, szükséges a feladat végrehajtásáért felelős szervezetnek (személynek), a végrehajtás mikéntjének és feladat határ-idejének pontos meghatározása (pl. Biztonsági mentések kezelése: ki-, mit-, mikor-, milyen módszerrel és milyen ütemezésben ment, tárolás helye, megőrzési idő stb.).
1058 A MÁV Zrt. Értesítője 19. szám
13. sz. melléklet
Biztonsági tesztelési jegyzőkönyv
1. A teszt célja:
2. A tesztelés helye, id pontja:
3. A tesztelést végezte: A tesztelend programok / modul(ok) azonosítása 4. Rendszer: 4. Teszt jellege: (m ködési, terhelési, integritási
stb.) 5. Alrendszer: 6. Modul(ok): 7. Program / dialógus/ riport: 8. Verziószám:
9. A tesztelés hardver és szoftver környezete:
10. A teszt input adatai (helye, mennyisége, felvételi módja stb.):
11. A teszt végrehajtása:
12. A tesztelés eredménye (outputok leírása, tapasztalt rendellenesség leírása, értékelés stb.):
13. Szükséges intézkedések: 14. Megjegyzés:
a teszt eredményének elfogadása / jóváhagyása
kivitelez részér l: üzleti tulajdonos / megbízottja(i):
név, aláírás név, aláírás
dátum dátum
név, aláírás név, aláírás
dátum dátum A jegyz könyvet átvette: üzleti tulajdonos: ……………………………………. dátum: …………………..
19. szám A MÁV Zrt. Értesítője 1059
14. sz. melléklet
Működés- Folytonossági Terv (MFT) vázlata
1. Bevezetés1.1. Célja1.2. Hatálya1.2.1. Személyi hatálya1.2.2. Tárgyi hatály1.2.3. Területi hatály1.3. A terv karbantartásáért felelős2. Fogalmak, rövidítések3. Rendszerkörnyezet3.1. Biztonsági osztály3.2. A rendszert fenyegető tényezők3.3. Tervcélok meghatározása3.4. Üzleti folyamatok elemzése3.4.1. Kárérték táblázat3.4.2. A kárgyakoriságok táblázata3.4.3. Rendelkezésre állási követelmények3.4.4. Kockázati mátrix3.5. Kockázatelemzés3.5.1. Releváns fenyegetés – kárérték – kárgyakoriság
mátrix3.5.2. Kockázat – kárérték – kárgyakoriság mátrix3.5.3. A Kockázat – kárérték – kárgyakoriság mátrix
elemzése4. Megelőzési intézkedések4.1. Kommunikáció4.2. Szolgáltatók4.3. Munkatársak4.4. Általános intézkedések4.4.1. Dokumentumok módosítása, tárolása4.4.2. Fizikai infrastruktúra4.4.3. Adathordozók védelme4.4.4. Tesztelési eljárások
5. Személyi feltételek5.1. Működés-folytonossági menedzsment szervezete5.1.1. MFM feladatai6. Rendkívüli események esetén szükséges intézkedé-
sek6.1. Rendkívüli esemény meghatározása, kategorizálá-
sa6.2. Rendkívüli esemény bekövetkezése6.3. Munkatársak feladatai6.3.1. Működés-folytonossági vezető feladatai6.3.2. Üzleti tulajdonos feladatai6.3.3. Vezető feladatai6.3.4. Rendszergazda feladatai6.3.5. Technikai üzemeltető feladatai6.3.6. Hálózatfelügyelet feladatai6.3.7. Általános munkavállalói feladatok6.4. Általános üzemeltetési feladatok6.4.1. Értesítési kötelezettség6.4.2. Fizikai eszközök előkészítése6.4.3. Adminisztrációs és dokumentálási kötelezettség6.5. Katasztrófa helyzet esetében a teendők6.5.1. Értesítés menete6.5.2. Fizikai védelmi kötelezettség, áttelepülés6.5.3. Rendszer helyreállítása6.5.4. Rendszer visszaállítása6.5.5. Eszközök ismételt üzembe helyezése6.5.6. Tartalék eszközök igénybevételének rendje,
módja6.6. Munkatársak oktatása, tréningek7. Eseményelemzés, karbantartás, módosítás, javasla-
tok7.1. Események elemzése7.2. Működés-folytonossági terv karbantartása
1060 A MÁV Zrt. Értesítője 19. szám
15. sz. melléklet
Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások
a) 1978. évi IV. törvény a Büntető Törvénykönyvről:− 177/A §: visszaélés személyes adattal,− 177/B §: visszaélés közérdekű adattal,− 178. §: levéltitok megsértése,− 178/A §: magántitok jogosulatlan megismerése,− 300. §: gazdasági titok megsértése,− 300/C §: számítástechnikai rendszer és adatok elleni
bűncselekmény,− 300/E §: számítástechnikai rendszer védelmét bizto-
sító technikai intézkedés kijátszása.b) 1992. évi LXIII. törvény a személyes adatok védel-
méről és a közérdekű adatok nyilvánosságáról.c) 1999. évi LXXVI. törvény a szerzői jogról.d) 218/1999. (XII. 28.) Korm. rendelet az egyes sza-
bálysértésekről.e) 2001. évi XXXV. törvény az elektronikus aláírásról.f) 2003. évi C. törvény az elektronikus hírközlésről.g) 2009. évi CLV. törvény a Minősített adat védelmé-
ről.h) MSZ ISO/IEC 27001:2006 sz. honosított szabvány,
melynek címe „Informatika. Biztonságtechnika. Az in-formációbiztonság irányítási rendszerei. Követelmé-nyek.”
i) MSZ ISO/IEC 27002:2007 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az in-formációbiztonság irányítási gyakorlatának kézikönyve.”
j) MSZ ISO/IEC 15408 1-2-3 Common Criteria („In-formatika. Biztonságtechnika. Az informatikai bizton-ságértékelés közös szempontjai.”)
k) Közigazgatási Informatikai Bizottság 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások. (MIBA)
l) A gazdasági és közlekedési miniszter 103/2003. (XII.27.) GKM rendelete a hagyományos vasúti rendsze-rek kölcsönös átjárhatóságáról: 4. sz. melléklet (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika.
m) 4/2009. (I. 23. MÁV Ért. 3.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Működési és Szervezeti Szabályzatá-ról és Döntési Hatásköri Listájáról szóló 8/2007. (III. 2. MÁV Ért. különszám.) VIG sz. utasítás 3. számú módosí-tásáról.
n) 10/2008. (III. 31. MÁV Ért. 8.) VIG sz. vezérigazga-tói utasítás a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatáról (egy-séges szerkezetbe foglalva).
o) 6/2008. (II. 15. MÁV Ért. 4.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Adatvédelmi Szabályzatáról. (egysé-ges szerkezetbe foglalva)
p) 68/2009. (X. 23. MÁV Ért. 31.) VIG sz. vezérigazga-tói utasítás a Projektek működéséről a MÁV Zrt-nél.
q) 31/1998. (MÁV Ért. 8.) TEB. Ig. sz. utasítás A MÁV Zrt. IP címrendszeréről.
r) 16/2000. (MÁV Ért. 8.) IKPI sz. utasítás A MÁV Zrt. Szoftvergazdálkodási Utasítása újbóli kiadásáról.
s) 28/2009. (IV. 10. MÁV Ért. 13.) VIG számú vezér-igazgatói utasítás a MÁV Magyar Államvasutak Zártkö-rűen Működő Részvénytársaság 1087 Budapest VIII. ke-rület, Könyves Kálmán körút 54-60. szám alatti székhá-zába történő be- kiléptetés és a benntartózkodás rendjé-ről.
t) 33/2009. (V. 1. MÁV Ért. 15.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. katasztrófavédelmi és polgári védel-mi feladatainak ellátására. 16. sz. melléklet: Intézkedések informatikai vészhelyzet megelőzésére
16. sz. melléklet
Az IBSZ-ben található szervezetek és dokumentumok rövidítéseinek jegyzéke
HR: Humán erőforrás (Human Research)IBSZ: Informatikai Biztonsági SzabályzatIHIR: Integrált Humán Irányítási RendszerIKI: Infokommunikációs igazgatóságIVO: Információvédelmi osztályKKA: Konfi gurációkezelési adatbázisMABISZ: Magyar Biztosítók SzövetségeMFT: Működés folytonossági tervMSZSZ: Működési és szervezeti szabályzatOWA: Levelezés távoli elérése (Outlook Web Access)RIBSZ: Rendszerszintű Informatikai Biztonsági Sza-
bályzatSLA: Szolgáltatási szerződés (Service Level
Agreement)TEBF: Távközlő-, erősáramú- és biztosítóberendezési
főosztály
19. szám A MÁV Zrt. Értesítője 1061
34/2010. (VI. 11. MÁV Ért. 19.) EVIG számúelnök-vezérigazgatói utasítás
a MÁV Zrt. Műszaki Mentési és SegítségnyújtásiUtasításáról szóló
20/2006. (MÁV Ért 21.) Biztonság –általános vezérigazgató-helyettesi utasítás
2. számú módosításáról
1. Az utasítás 4.5.3 pontja helyébe az alábbi rendel-kezés lép:
4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tartását (rendelkezésre állás) és a használatukat (műsza-ki mentés) a MÁV pályavasúti szervezettel kötött szerző-dés biztosítja. A hálózat szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli.
A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza:− a kárhelyparancsnok-helyettesi készenléti rendszer
szervezését és a beosztásról (név, telefonszám megadásá-val) az üzem- és operatív irányítás értesítését,− a műszaki mentő és segélynyújtó egységek telepítési
helyeit, értesíthetőségüket,− a műszaki mentő- és segélynyújtó egységek riasztá-
sától számított maximális indulási időt,− A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás
alapján a vasúti egységek készenlétben tartásához szük-séges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyveze-tő biztosítását,− a bármilyen okból ideiglenesen igénybe nem vehető
műszaki mentő- és segélynyújtó eszközök, illetve kiszol-gáló személyzet bejelentésének kötelezettségét,− a gépészeti vasúti vegyi elhárító szolgálat szerveze-
tének az elhelyezését, értesíthetőségüket, a szükséges lét-számot és ennek biztosítását (4.B.sz. melléklet),− a műszaki mentéssel, segélynyújtással összefüggés-
ben kapott rendelkezések és intézkedések előjegyzésének rendjét,− a műszaki mentő és segélynyújtó és a vegyi elhárító
egység személyzetének képzését és rendszeres oktatását.
2. Az utasítás 4.12 pontja helyébe az alábbi rendel-kezés lép:
4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, in-tézkedések veszélyes áru ellenőrizetlen szabadba jutá-sa esetén
4.12.1. A VVESz jogállása:A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatko-
zó Nemzetközi Szabályzat) szerint veszélyesnek minősü-lő áruk rendellenes szabadba jutásakor, vagy a szállító-
eszközök meghibásodásakor, a veszélyhelyzet elhárításá-ra kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján.
A VVESz telepítési helyét a 4.B.sz. melléklet tartal-mazza.
Záhony térségében és a MOL Dunai Finomító terüle-tén a Rail Cargo Hungária Zrt. működteti a vegyi elhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet).
A VVESz tevékenységi köre:− veszélyes árukat szállító vasúti járművek tárolóteré-
nek, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, cse-pegések, szóródások megszüntetése,− veszélyes áruval rakott kisiklott kocsik rakott álla-
potban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása,− tömörtelen tároló edényzet, tartály javíthatatlansága
vagy ideiglenes javítása esetén döntés a kocsi továbbítha-tóságáról vagy átfejtéséről és a továbbítás feltételeiről,− a veszélyes anyagoknál az átfejtés végrehajtása, a
biztonságos átrakás, átfejtés irányítása,− baleset következtében sérült, siklott, felborult, ve-
szélyes áruval rakott kocsiknál a sérülés ideiglenes hely-reállítása, döntés az emelhetőségről és annak végrehajtá-sáról, a szakmai felügyelet biztosítása,− kiömlött veszélyes áruk esetében az elsődleges fel-
szivattyúzás és a sürgős közömbösítés elrendelése, a kö-zömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pá-lyagazdálkodási hálózati fődiszpécserrel egyeztetve.
4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁV-GÉPÉSZET KJK Ferencváros) ügyeletes vezetője a háló-zati főüzemirányító (rendkívüli helyzeteket kezelő háló-zati irányító) értesítése (az elsődleges információk) alap-ján dönt a helyszínre vonulásról.
Az ügyeletes vezető szükség esetén:− folyamatos kapcsolatot tart a hálózati főüzem-
irányítóval,− szakmai tanácsaival segíti a pályavasút helyi szak-
mai irányítóját a veszélyek megelőzésében.Az ügyeletes vezető a kapott információk alapján jogo-
sult – a főüzemirányító tájékoztatása mellett – olyan ese-tekben is kivonulni, amikor nem riasztották, de a helyszí-ni jelenlétét fontosnak ítéli meg.
4.12.3. Nagyobb környezetszennyezés esetén a kár-mentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egész-ség-, Biztonság- és Környezetvédelmi szervezet hatáskö-rébe tartozik, aki köteles bekövetkezett eseményben érin-
1062 A MÁV Zrt. Értesítője 19. szám
tett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni.
4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen be-lül kötelesek a helyszínre kivonulni. Az ügyeletes vezető-nek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes ve-zetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől.
4.12.5. A VVESz riasztott egységének vezetője rövi-den és tömören köteles tájékoztatni a beosztott személy-zetet a feladatról és annak tervezett végrehajtásáról. Kü-lön fel kell hívnia a fi gyelmet az adott eseménynél előfor-duló veszélyhelyzetekre, az alkalmazandó védőfelszere-lésekre és magatartási szabályokra.
4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felsza-badítása – az elhárítás előkészítését irányítani, illetve ab-ban közreműködni.
4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezető-jének az elhárítás mielőbbi és biztonságos elvégzése ér-dekében adott rendelkezéseit végrehajtani.
4.12.8. A szolgálati hely megbízottja köteles arról gon-doskodni, hogy amennyiben a sérült járművek futóképe-sek és elvontatásuknak egyéb akadálya nincs, azokat vil-lamos felsővezetékkel el nem látott, ennek hiányában fe-szültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhe-tők. Ha az állomáson vontatójármű nem áll rendelkezés-re, úgy ennek biztosítását a területi gépészeti főirányító-tól kell kérni a kárhelyparancsnok vagy kárhelyparancsnok-helyettes útján.
4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonsá-got is veszélyeztetnek vagy a környezetszennyezés na-gyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők.
A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az el-hárítást zavarják, vagy újabb veszélyhelyzetet jelenthetnek.
4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón ke-resztül a megyei (Budapesti) Rendőr-főkapitányság, illet-ve a Katasztrófavédelmi Igazgatóság közreműködését.
4.12.11. Folyadékoknál, szilárd anyagoknál, a levegő-nél nehezebb gázoknál és gőzöknél a sérült kocsit lehető-leg olyan helyre kell állítani, ahol a veszélyeztetett terüle-ten akna, gödör, mélyedés nincs.
4.12.12. A veszélyövezetet a szélirány és a szélsebes-ség fi gyelembevételével kell kijelölni és lezárni, biztosít-va, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az eset-leges lakó-, ipari-, közlekedési objektumokat is a veszé-lyeztetés elkerülése érdekében.
4.12.13. A kivonuló egység vezetője felelős:− az egységnek a legrövidebb időn belül és a legrövi-
debb útvonalon a kárhelyre érkezéséért,− az egység vezetője által kevésbé, vagy egyáltalán
nem ismert anyagok esetében a segédletekből, ennek hiá-nyában a feladótól vagy az átvevőtől az anyag tulajdonsá-gaira, az alkalmazott elhárítási módra és eszközökre vo-natkozó ismeretek megszerzéséért,− az elhárítás előkészítéséért (pl. mentesítő (közömbö-
sítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése).
3. Az utasítás 4.14 pontja hatályát veszíti.
Az Utasítás a kihirdetés napján lép hatályba.
4. Az utasítás 6 pontja helyébe az alábbi rendelke-zés lép:
1.sz. ÖTM Országos Katasztrófavédelmi Főigazgató-ság és a MÁV Zrt. Vezérigazgatósága közötti Együttmű-ködési Megállapodás kivonata.
2.sz. A kárhelyparancsnok (helyettes) feladatai.3.sz. Adatlap a rendkívüli esemény következményei-
ről.4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és se-
gélynyújtó egységek telepítési helyei.4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító
egység telepítési helye.4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárí-
tó egységek telepítési helyei.5.sz. Irányelvek a következményektől függően alkal-
mazandó műszaki mentő és segélynyújtó egységekre.6.sz. MD 600 sorozatú daru főbb adatai.7.sz. MD 1250 sorozatú daru főbb adatai.8.sz. KRC 1220 sorozatú daru főbb adatai.9.sz. A Lucas típusú hidraulikus emelők.10.sz. A Katasztrófavédelmi Igazgatóságok Veszély-
helyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhely-zeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele.
11.sz. Vegyi Elhárítási Jegyzőkönyv.
19. szám A MÁV Zrt. Értesítője 1063
5. Az utasítás 4.B sz. melléklete az alábbiak szerint módosul:
A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egy-ség telepítési helye
Telepítési hely Közúti vegyi elhárítóegység telepítési helye
Budapest Ferencváros Vasúti Vegyi Elhárító Szol-gálat
6. Az utasítás 4.C sz. melléklete az alábbiak szerint módosul:
A Rail Cargo Hungária Zrt.közúti vegyi elhárító egység
telepítési helyeTelepítési helyVegyi Elhárító Egység
Záhony Vasúti Vegyi Elhárító Szol-gálat Kirendeltség
Az utasítás további pontjai változatlan tartalommal ha-tályban maradnak.
Módosításokkal egységes szerkezetbe foglalt szöveg
1.0 AZ UTASÍTÁS CÉLJA
A Műszaki Mentési és Segélynyújtási Utasítás (a to-vábbiakban Utasítás) célja a segélynyújtást és helyreállí-tást igénylő rendkívüli események (balesetek, tűzesetek, veszélyes áru ellenőrizetlen szabadba jutása, elháríthatat-lan külső ok) bekövetkezése esetén a műszaki mentés, a segélynyújtás, a következmények felszámolási feladatai-nak szabályozása, az együttműködés biztosítása, a fel-adatok koordinált végrehajtásának elősegítése az érintett hatóságokkal, vasúti- és más szervezetekkel.
2.0 AZ UTASÍTÁS HATÁLYA ÉS A FELELŐS-SÉG MEGHATÁROZÁSA
2.1. Az Utasítás hatálya
2.1.1 Az Utasítás területi hatálya a MÁV Zrt. kezelésé-be tartozó normál, széles és keskeny nyomtávolságú köz-forgalmú vasútvonalakon, üzemi vágányokon, valamint az azokhoz csatlakozó, a MÁV Zrt. kezelésébe tartozó saját célú vasúti pályahálózaton, külön szerződés alapján a MÁV Zrt. kezelésében nem lévő vágányokon, továbbá a BM Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapo-dás alapján, más területen bekövetkezett rendkívüli ese-mények következményeinek elhárítására terjed ki.
2.1.2 Az Utasítás személyi hatálya kiterjed a MÁV Zrt. valamennyi szervezetére, munkavállalójára és azokra a
vállalkozásokra, társaságokra, melyek a mentési, segély-nyújtási, elhárítási feladatok végrehajtásába ezen utasítás szerint bevonhatók.
Az utasítás hatálya a MÁV csoportba tartozó továbbá az Országos Katasztrófavédelmi Főigazgatósággal kötött Együttműködési Megállapodáshoz csatlakozó vasútvál-lalatok, társaságok szervezeteire és munkavállalóira az elfogadási (alávetési) nyilatkozatuk alapján terjed ki.
2.1.3 Az Utasítás nem tartalmazza a tűz elleni védeke-zésről, a műszaki mentésről és a tűzoltóságról szóló 1996. évi XXXI. törvény, és a törvény végrehajtására kiadott rendeletekben meghatározott, valamint a katasztrófák el-leni védekezés irányításáról, szervezetéről és a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védeke-zésről szóló 1999. évi LXXIV. törvény, és annak végre-hajtására kiadott rendeletek hatálya alá eső esetekre vo-natkozó feladatokat, melyeket külön utasítások szabá-lyoznak.
2.2. Az Utasítás elkészítéséért és karbantartásáért felelős meghatározása
Az Utasítás kidolgozásáért, karbantartásáért a MÁV Zrt. biztonsági igazgatója felelős.
2.3. Az Utasítás alkalmazása, kezelése
2.3.1 Az Utasítás alkalmazásánál fi gyelembe kell ven-ni a hatályos jogszabályokat, az Országos Vasúti Szabály-zatot, a MÁV Zrt. Vezérigazgatóságának az Országos Katasztrófavédelmi Főigazgatósággal, a Országos Rend-őr-főkapitánysággal, a Magyar Honvédség Közlekedési Szolgálat Főnökséggel kötött együttműködési megállapo-dásait, valamint az Utasítás által szabályozott tevékeny-ségekkel kapcsolatban a vállalkozásokkal kötött szerző-déseket, az üzemirányítás és operatív üzletági irányítási szolgálat ellátásáról szóló F.3 sz. Utasítást, az F.1.Jelzési Utasítást, az F.2.Forgalmi Utasításban (15.21.3-15.21.3.6) szabályozott „Segélymozdonyok és segélyvonatok” részt, az F.2. sz. Utasítás 2., 8. 13., 28., 31., és 33. sz. Függelékét, továbbá az Utasítás alapján a MÁV társaságok hatásköré-be tartozó szabályozásokat, a műszaki mentő, segély-nyújtó, vegyi elhárító és tűzoltó eszközök kezelésére, karbantartására vonatkozó szabályozásokat, segédköny-veket.(Az Országos Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás vonatkozó részeit az 1.sz. melléklet tartal-mazza.)
2.3.2 Az Utasítással el kell látni az oktató tiszteket, a MÁV Zrt. pályahálózatát igénybevevő vasútvállalatokat, valamint azokat a munkavállalókat és vállalkozásokat, akik közreműködnek a MÁV Zrt. területén a műszaki mentési, segélynyújtási és a helyreállítási munkákban.
1064 A MÁV Zrt. Értesítője 19. szám
2.4. Az Utasítás oktatása
Az érdekelt munkavállalókat a rájuk vonatkozó részek-ből rendszeresen és kimutathatóan oktatni kell a MÁV Zrt. O.1. sz. Oktatási Utasítása, és a MÁV Zrt. pályaháló-zatát igénybevevő vasútvállalatok szabályzata szerint.
3.0 AZ UTASÍTÁSBAN HASZNÁLT FOGAL-MAK MEGHATÁROZÁSA
3.1. Az Utasításban használt rendkívüli esemény, baleset, tűzeset, veszélyes áru ellenőrizetlen szabadba jutása fogalmakat a Balesetvizsgálati Utasítás tartalmaz-za.
3.2. Vonalelzárás: a rendkívüli esemény következmé-nyeként két állomás között a vonatforgalom kizárt.
3.3. Pályaelzárás (vágányelzárás): rendkívüli ese-mény miatt az állomás egy vagy több vágányán, több vá-gányú pályán, az egyik vágányon a vonatforgalom lebo-nyolítása kizárt.
3.4. Mentés és segélynyújtás: azoknak az elsődleges intézkedéseknek összessége, melyek a mentés, a megsé-rült személyek ellátása, a kármegelőzés érdekében szük-ségesek.
3.5. A következmények felszámolása (elhárítása): azoknak a műszaki és forgalmi intézkedéseknek összes-sége, melyek a mentési és segélynyújtási, valamint a meg-előzési feladatok elvégzése után a pálya felszabadításáig, illetve a rendkívüli esemény előtti állapot helyreállításáig szükségesek. Ideiglenes a következmények felszámolása (elhárítása) akkor, ha a pálya felszabadítása után a helyre-állítás csak forgalmi korlátozásokkal (pl. sebességcsök-kentés bevezetésével vagy villamos felső vezetékkel ellá-tott vonalon dízelvontatással) teszi lehetővé a vonatforga-lom megindítását.
3.6. Kárhelyparancsnok: a rendkívüli esemény bekö-vetkezésekor a mentés, segélynyújtás és a dologi követ-kezmények felszámolásának felelős irányítója, koordiná-lója. A kárhelyparancsnoki feladatokat – az Utasításban szabályozottak szerint – a MÁV Zrt. pályavasúti szerve-zet megbízott munkavállalója látja el.
3.7. Egészségügyi kárhelyparancsnok: a rendkívüli esemény helyszínén általában a mentők vezetője, aki a sérültek ellátását, a roncsok közé szorultak kiszabadítását egészségügyi szempontból irányítja.
3.8. Katasztrófavédelmi egység vezetője: a rendkí-vüli esemény helyszínén jogszabályban meghatározott esetekben, illetve az Együttműködési Megállapodás alapján a mentési munkák kárhelyparancsnoka.
3.9. Kárhelyparancsnok-helyettes: a rendkívüli ese-mény helyszínén a MÁV-GÉPÉSZET Zrt. részéről a mű-szaki mentő- és segélynyújtó egységek tevékenységének koordinálója.
3.10. Szakmai helyreállítás vezető: a rendkívüli ese-mény helyszínén az egyes szakmai (pálya, gépészet, biz-tosítóberendezés, személyszállítás, távközlés, felső-veze-téki berendezés, árufuvarozás, vasúti vegyi elhárítás, környezetvédelem) tevékenységeket, helyreállítási mun-kákat irányító vezető.
3.11. Forgalmi összekötő: a rendkívüli esemény hely-színén a vonatforgalmi és tolatási tevékenységek irányí-tója.
3.12. Operatív hálózati és területi szakmai főirányí-tók, rendkívüli helyzeteket kezelő irányító, fődiszpé-cserek, diszpécserek, villamos üzemirányítók hálózati és területi szinten irányítják, szervezik, koordinálják az üzletági szakmai munkákat.
3.13. Környezetvédelmi mentesítés: veszélyes áru el-lenőrizetlen szabadba jutása esetén bekövetkezett kör-nyezetkárosítások felszámolása.
4.0 AZ UTASÍTÁS LEÍRÁSA
4.1. Általános szabályok
4.1.1. Valamennyi rendkívüli esemény bekövetkezése-kor haladéktalanul intézkedést kell tenni a személyek mentésére, a további veszélyek és károk megelőzésére. Ennek érdekében a szükséges jelentési és értesítési köte-lezettségeket a Balesetvizsgálati Utasítás, az F3. Utasítás, a Munkavédelmi Szabályzat, és a mindenkor hatályos Ér-tesítési rend tartalmazza.
4.1.2. A segélynyújtásnál és helyreállításnál az alábbi fontossági sorrendet kell betartani:− a személyek mentése,− a tűz oltása,− a veszélyes áru szabadba jutásának megszüntetése,− a pálya felszabadítása (műszaki mentés, segélynyúj-
tás) és a javak mentése,− a pálya és pályavasúti berendezések helyreállítása,− a vonatforgalom megindítása,− a környezeti károkozás felszámolása.
4.1.3. A Katasztrófavédelmi egységek helyszíni men-tési és segélynyújtási feladatai kiterjednek:− a veszélyeztetett személyek mentésére,− a tűz terjedésének megakadályozására,− az anyagi javak védelmére,− a tűz eloltására,− a szükséges biztonsági intézkedések megtételére,− a tűz közvetlen veszélyének elhárítására.
19. szám A MÁV Zrt. Értesítője 1065
4.1.4. A katasztrófavédelmi szervezet jogszabály, vala-mint az Együttműködési Megállapodás alapján – a MÁV Zrt. kárhelyparancsnokának igénye esetén, a 4.9.7 és 4.9.8 pontokban szabályozottak szerint közreműködik, illetve segítséget nyújt a 4.1.3. pontban foglaltakon kívül olyan esetben is, ha:− a vasúti műszaki mentés során tűz, vagy robbanás,
vagy egyéb veszély áll fenn,− a feladat elvégzéséhez a katasztrófavédelemnél rend-
szeresített eszközök alkalmasak és azzal a helyreállításra kötelezett vasúti szervezet a helyszínen nem vagy nem kellő mennyiségben rendelkezik, valamint a vasúti kárel-hárítási feladat a számára jogszabályokban meghatáro-zott, alapvető állami tevékenység biztosítását nem veszé-lyezteti.
4.1.5. A honvédségi erők a mentési és segélynyújtási feladatokba – a MÁV Zrt. kárhelyparancsnokának igénye alapján a 4.9.7 pontban szabályozottak szerint – akkor vonhatók be, amennyiben:− a baleseti következmény, illetve annak veszélye na-
gyobb körzetre terjed ki,− rendkívüli időjárási körülmények akadályozzák a
mentési munkákat,− rossz terepviszonyok, nehezen megközelíthető bal-
eseti helyszínek, a sérültek nagyobb távolságra, kézi esz-közökkel történő szállításának szükségessége különleges eszközök igénybevételét indokolja,− a mentéshez szükséges különleges technikai eszkö-
zökkel (pl. lánctalpas járművel) csak a honvédség rendel-kezik.
4.1.6. A rendőrség – a helyszíni szemle feladatain túl-menően – intézkedik:− a további károk megelőzésére,− a helyszín biztosítására, körülhatárolására,− a terelő utak kijelölésére, a közúti forgalom irányítá-
sára,− jelentési, tájékoztatási kötelezettségek teljesítésére.
4.1.7 A MÁV Zrt. feladata:− a baleseti helyszín határolása, biztosítása, előkészíté-
se a műszaki mentési és segélynyújtási feladatok meg-kezdéséhez,− közreműködés a katasztrófavédelem mentési, se-
gélynyújtási feladataiban, és ennek érdekében a vasúti intézkedések megtétele,− veszélyes áru ellenőrizetlen szabadba jutása esetén a
vegyi elhárítás végrehajtása, biztonsági intézkedések megtétele,− a vasúti forgalom fenntartása, lebonyolítása érdeké-
ben a szükséges intézkedések megtétele,− a vizsgálatokban a rendőrséggel, illetve más illetékes
hatóságokkal, szervezetekkel az együttműködés biztosí-tása,− a kisiklott járművek beemelése, más járműre emelé-
se vagy űrszelvényen kívülre helyezése,
− a rongálódott pályavasúti eszközök (pálya, felsőve-zeték, biztosítóberendezés) helyreállítása,− a forgalom megindítása,− a rendkívüli esemény miatt bekövetkezett környezeti
károk felszámolása.
4.1.8. Amennyiben a pályavasúti szervezet a 4.1.7. pontban foglalt feladatokat a MÁV Csoport tagjaival és saját szervezeteivel, eszközeivel nem képes ellátni, köte-les közreműködőt igénybe venni, erre vonatkozóan meg-állapodást, szerződést kötni.
4.1.9. Az együttműködésben résztvevő (4.1.3. – 4.1.6. pontokban említett) szervezetek helyszínre kivonuló egy-ségeit saját illetékes vezetőjük irányítja. A résztvevő szervezetek között a munkák irányítását a helyszíni men-tési munkák jellege és fázisa határozza meg:− az egészségügyi kárhelyparancsnok végzi és irá-
nyítja a sérültek ellátásával kapcsolatos feladatokat, és jogosult utasítást adni a résztvevő más szervezetek pa-rancsnokainak,− tűz esetén, illetve műszaki mentést igénylő esetek-
ben – jogszabályokban meghatározottak szerint – a ka-tasztrófavédelmi egység vezetője jogosult utasítást adni az együttműködésben résztvevő más szervezetek pa-rancsnokainak,− veszélyes áru ellenőrizetlen szabadba jutása esetén
– a katasztrófavédelmi szervezet vezetőjével egyeztetetten – a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgá-lat (a továbbiakban: VVESz) ügyeletes vezetője irányítja a mentési munkákat, a további veszélyek megelőzését,− a rendőri erők vezetője a helyszín biztosítása és a
nyomozati munka lefolytatásában adhat utasítást.A katasztrófavédelmi szervezet közreműködő, segítsé-
get nyújtó tevékenysége a mentés befejezéséig, a veszély-helyzet elhárításáig tart. Ezt követően a további irányítási feladatokat a MÁV Zrt. kárhelyparancsnoka veszi át.
4.1.10. A pálya (vágány) felszabadítását, helyreállítást akkor lehet megkezdeni, ha:− a személyek mentése, tűz oltása további intézkedést
nem igényel,− veszélyes áru szabadba jutásának, valamint a kör-
nyezeti károkozásnak veszélye nem áll fenn,− a vagyonvédelem biztosítására szükséges intézkedé-
sek megtörténtek.
A pálya (vágány) felszabadítása, helyreállítása csak abban az esetben halasztható, ha:− olyan vágányon történt a rendkívüli esemény, amely
a vonatforgalom lebonyolítását, valamint a rendező pá-lyaudvaron a folyamatos munkát nem akadályozza,− közforgalmú mellékvonalon a vonatforgalom sűrűsé-
ge, a személyszállító vonatok utasforgalma ezt lehetővé teszi (az utasok száma 1-nél több autóbusz beállítását nem igényli) és az utasok autóbusszal történő elszállítá-sára az intézkedések megtörténtek,
1066 A MÁV Zrt. Értesítője 19. szám
A pálya felszabadításának halasztására a kárhely-pa-rancsnok kezdeményezésére – a hálózati személyszállítá-si és árufuvarozási főirányítóval történt egyeztetés alap-ján – a hálózati főüzemirányító dönt.
A döntésről a területi főüzemirányítót, valamennyi há-lózati operatív főirányítót, fődiszpécserét, villamos üzemirányítóját tájékoztatni kell.
4.1.11. A pálya-felszabadítási munka megkezdése leg-feljebb a rendkívüli esemény bekövetkezésétől számított első munkanapig halasztható.
4.1.12. A pálya felszabadítás halasztása esetén a biz-tonságos vonatközlekedés érdekében szükséges intézke-déseket a szakmailag illetékes, illetve az eszköz üzemel-tetésért felelős szervezet operatív főirányítója, fődiszpé-csere a kárhelyparancsokkal egyeztetve köteles megten-ni.
4.1.13. A MÁV társaságok segélynyújtáshoz és a kö-vetkezmények felszámolásához használt eszközeinek karbantartásáról, folyamatos rendelkezésre állásáról az állagban tartó szervezeti egység köteles gondoskodni. Más célú felhasználás, javítás miatt átmenetileg kieső eszközökről haladéktalanul értesíteni kell a hálózati főüzemirányítót, területi főüzemirányítókat, a hálózati és a területi gépészeti főirányítókat, akiknek ezt elő kell je-gyezniük és szolgálat átadáskor írásban át kell adni.
4.2 A műszaki mentés, segélynyújtás és helyreállí-tás felelős vasúti irányítója
4.2.1. A segélynyújtás és helyreállítás felelős vasúti irányítója a MÁV Zrt. kárhelyparancsnoka, aki személye-sen felelős a munkák gyors és szakszerű végzéséért, ösz-szehangolásáért.
Tevékenységét a helyszínen közvetlenül segíti, és irá-nyítja:
– a MÁV-GÉPÉSZET Zrt. által kijelölt kárhely-parancsnok-helyettes a vasúti járművek műszaki menté-sét, és a rendkívüli esemény következményeitől függően:
– a Vasúti Vegyi Elhárító Szolgálat ügyeletes vezetője a vegyi elhárítást,
– továbbá a szakmai helyreállítás vezetők, a forgalmi összekötő, valamint a helyreállításban közreműködő vál-lalkozás munkavezetője.
4.2.2. A kárhelyparancsnokokat a MÁV Zrt. Pályavas-úti területi központok vezetői a Biztonsági Igazgatóság VBO-val egyeztetve jelölik ki.
A kárhelyparancsnok-helyetteseket – szakmai alkal-masság alapján – a budapesti területre a MÁV-GÉPÉSZET Zrt. vezetője, még a többi területre a Jármű-karbantartási Főosztály vezetője jelöli ki.
A kijelölt kárhelyparancsnokok és helyettesek szolgá-lati beosztását havonta úgy kell elkészíteni, hogy terüle-
tenként folyamatosan – munkaidőn kívül készenléti szol-gálatban – rendelkezésre álljanak.
4.2.3. A kárhelyparancsnokkal és helyettessel szem-ben támasztott követelmények:− felsőfokú állami iskolai és vasúti szakmai végzett-
ség,− baleset helyreállítási szakmai gyakorlat,− jó szervezőkészség.
4.2.4. A kárhelyparancsnoki és a helyettesi feladat el-látására beosztottak név-, cím- és telefonszám jegyzékét valamint területenként a havi szolgálati beosztást a terü-leti és hálózati főüzemirányító valamint a területi és há-lózati diszpécser szolgálat részére meg kell küldeni.
4.2.5. A kárhelyparancsnokot minden olyan rendkívü-li eseményről értesíteni kell, amikor a dologi következ-mények miatt vonal- vagy pályaelzárás történt. A kárhelyparancsnok-helyettest abban az esetben kell érte-síteni, ha a rendkívüli esemény miatt műszaki mentő és segélynyújtó egység riasztása szükséges a személyek mentéséhez, illetve a pályaelzárás megszüntetéséhez. A kárhelyparancsnok és a helyettes értesítése a területi főüzemirányító feladata.
A kárhelyparancsnok és helyettes helyszínre jutását, a feladatai ellátásához valamint a kapcsolattartáshoz szük-séges hírközlő eszközöket a MÁV Zrt. pályavasúti szer-vezet, illetve a MÁV-GÉPÉSZET Zrt. köteles biztosítani.
4.2.6. Az értesítés és rendelkezésre álló információk alapján a kárhelyparancsnok – az Utasítás 4.2.7. és 4.2.14. pontjaiban szabályozottak fi gyelembevételével – dönt, hogy a helyszínen irányítja a műszaki mentési, segély-nyújtási és elhárítási munkákat, vagy azzal megbízza a szakmai helyreállítás vezetőt.
4.2.7. Abban az esetben, ha kárhely parancsnok nincs jelen, de a MÁV Biztonsági Igazgatóság VBO baleseti helyszínelő bizottság vezetője szolgáltatási szerződés alapján balesetvizsgálati tevékenységet végez, a vasúti forgalom helyreállítására vonatkozó ügyekben kárhelyparancsnokként jár el. A bizottság vezetője utasí-tásait a jelen nem lévő kárhelyparancsnokkal telefonon konzultálva hozhatja meg.
4.2.8. A kárhelyparancsnok a helyszínen köteles a mű-szaki mentési segélynyújtási és helyreállítási munkákat irányítani, amennyiben a rendkívüli esemény dologi kö-vetkezményei− vonalelzárást, vagy− több vágányú fővonalon pályaelzárást okozott, vagy− a rendkívüli esemény állomáson vagy rendező pá-
lyaudvaron történt, és a vasúti pálya- és berendezés sú-lyosan megrongálódott, továbbá, ha a műszaki mentés, valamint a helyreállítás több szakmai szervezet össze-hangolt tevékenységét igényli.
19. szám A MÁV Zrt. Értesítője 1067
Amennyiben a rendelkezésre álló információk nem elégségesek a következmények egyértelmű megállapítá-sára, úgy a kárhelyparancsnoknak a helyszínen kell dön-tenie, hogy a műszaki mentési, segélynyújtási és elhárítá-si munkák milyen szintű (kárhelyparancsnoki vagy szak-mai helyreállítás vezetői) irányítást igényelnek.
4.2.9. A kárhelyparancsnok helyszíni irányító tevé-kenysége kiterjed valamennyi olyan dologi következ-mény felszámolására – az akadályt okozó eszköz, vasúti jármű, berendezés stb. tulajdonosától függetlenül –, amely a pálya felszabadítása és a következmények elhárí-tása érdekében szükséges.
4.2.10. A kárhelyparancsnok és a helyettes teljes körű helyszíni intézkedési jogosultsága az elsődleges életmen-tési, segélynyújtási, veszélyelhárítási – beleértve a veszé-lyes áru ellenőrizetlen szabadba jutása miatti veszélyelhárítási – és tűzoltási feladatok befejezésétől a forgalom ideiglenes helyreállításáig tart, valamint vala-mennyi elhárításban résztvevő szervezeti egységre kiter-jed.
4.2.11. A vasúti baleset színhelyére kiérkező MÁV Zrt. és a MÁV társaságok vezetője a kárhelyparancsnoknak és kárhelyparancsnok-helyettesnek csak abban az esetben adhat bármilyen jellegű, a balesettel, illetve a mentéssel kapcsolatos utasítást, ha előtte írásban átveszi annak fel-adatát, és azt a helyreállítás befejeztéig végig folytatja. Egyébként csak arra jogosult, hogy a kárhelyparancsnoktól és helyettesétől információt kérjen, kapjon, illetve azok kérésére információt adjon.
4.2.12. Veszélyes áru ellenőrizetlen szabadba jutása esetén minden esetben a veszélyek elhárításáig az irányí-tási feladatokat a VVESz ügyeletes vezetője látja el, aki-nek rendelkezési jogosultsága valamennyi szakmai terü-letre kiterjed. A kárhelyparancsnok ezt követően a továb-bi segélynyújtási és helyreállítási munkák egy szakmai területet érintő, speciális szakmai ismereteket igénylő fázisában – a biztonsági és munkafolyamati intézkedések egyeztetésének kötelezettsége mellett – a kárhely-pa-rancsnoki feladatok ellátásával megbízhatja a szakmai helyreállítás vezetőt.
Amennyiben több szakmai egység párhuzamosan vé-gez segélynyújtási, illetve elhárítási munkát egyazon kör-zeten belül, úgy az irányítási feladatokat a kárhelyparancsnok nem adhatja át.
4.2.13. A kárhelyparancsnok és a kárhelyparancsnok-helyettes a műszaki mentési és segélynyújtási, valamint helyreállítási munkák helyszíni irányításakor az erre a célra rendszeresített „kárhelyparancsnok”, illetve „kárhelyparancsnok-helyettes” felirattal ellátott, jó látha-tóságot biztosító védőruházatot (védőmellényt) és név-jegykártyát tartalmazó kitűzőt, valamint fehér színű fej-védő sisakot köteles viselni.
4.2.14. A kárhelyparancsnok a pálya felszabadítási, il-letve helyreállítási munkák irányításával esetileg meg-bízhatja a szakmai helyreállítás vezetőt, amennyiben a helyreállítás egy szakmai terület felelősségi körébe tarto-zik.
Az eseti megbízást a kárhelyparancsnok szóban a szakmailag illetékes területi fő(üzem)irányító vagy disz-pécser bevonásával adhatja, akinek erről a szakmai hely-reállítás vezetőt, a hálózati főirányítót, fődiszpécsert és a rendkívüli helyzeteket kezelő irányítót is értesítenie kell.
4.2.15. A szakmai helyreállítás vezető az irányítási fel-adatok ellátásakor köteles folyamatos munkakapcsolatot tartani− a rendkívüli esemény helyszínével közvetlenül
szomszédos állomás forgalmi vezetőjével (megbízottjá-val),− a szakmailag illetékes hálózati fődiszpécserrel, fő-
irányítóval, villamos üzemirányítóval illetve területi diszpécserrel,− a területi főüzemirányítóval.
4.2.16. A megbízott szakmai helyreállítás vezető fele-lős a munkavégzésre, a vágányzári munkák lemondható-ságának műszaki és biztonsági feltételeire, a vasúti jár-művek bekövetkezett műszaki sérülésének és továbbítha-tósági feltételeinek bárcázással való rögzítéséért, illetve a munkák befejezésének előjegyzésére vonatkozó előírá-sok megtartásáért.
4.2.17. Amennyiben a műszaki mentési, helyreállítási munkák hosszabb időt igényelnek, úgy a
– kárhelyparancsnok, a kárhelyparancsnok-helyettes a szakmai helyreállítás vezetők felváltásáról a területi köz-pont vezetője,
– a műszaki mentésben, helyreállításban résztvevők felváltásáról a kárhelyparancsnok, illetve a kárhely-parancsnok-helyettes kezdeményezésére a szakmailag il-letékes szolgálati vezetők kötelesek gondoskodni.
A kárhelyparancsnoki szolgálat átadásához az átadó-nak részletesen – a szolgálat várhatóan többszöri átadása esetén rövid feljegyzésben – tájékoztatnia kell az átvevőt
– a helyreállítási munkák helyzetéről,– a folyamatban lévő intézkedésekről,– a forgalmi helyzetről,– minden olyan információról, amely a munkák folya-
matos végzéséhez szükséges.A szolgálat átadásról-átvételről a területi főüzem-irá-
nyítót a rendkívüli helyzeteket kezelő irányítót a kárhelyparancsnoki feladatot átvevőnek tájékoztatnia kell.
Az Utasítás rendelkezését alkalmazni kell a szakmai helyreállítás vezetők szolgálat átadása-átvétele esetén is.
4.2.18. A műszaki mentési, segélynyújtási, helyreállí-tási, vegyi elhárítási munkákhoz az eseti igénybevétel
1068 A MÁV Zrt. Értesítője 19. szám
lehetőségére a megfelelő eszközökkel rendelkező, MÁV társaságokon kívüli vállalkozással, veszélyes anyagok előállítását, feldolgozását végző vállalkozással a pálya-vasúti szervezet – a Biztonsági Igazgatóság egyetértésé-vel – megállapodást köthet, mely tartalmazza, hogy− a vállalkozás milyen eszközt tud biztosítani, és an-
nak főbb jellemzőit, illetve milyen feladat végzését vál-lalja,− a rendelkezésre állás időszakait,− a riasztástól számított várható indulási időt,− a riasztás módját, feltételeit.A vállalkozás igénybevételére vonatkozó megállapo-
dás alapján, vagy megállapodás nélkül is a helyi adottsá-gok kihasználásával a kárhelyparancsnok (VVESz ügye-letes vezetője) jogosult dönteni a MÁV csoporton kívüli vállalkozás bevonására. Ilyen esetekben a vállalkozás értesítésére a kárhelyparancsnok (VVESz ügyeletes ve-zetője) igényére a pályagazdálkodási hálózati fődiszpé-cser, illetve a vegyi elhárítás érdekében a rendkívüli helyzeteket kezelő irányító köteles intézkedni. A munkák helyszíni irányítója a kárhelyparancsnok, illetve a VVESz ügyeletes vezetője.
4.2.19. A kárhelyparancsnok, a rendkívüli helyzeteket kezelő irányító, területi főüzemirányító, valamennyi ope-ratív hálózati és területi főirányító, fődiszpécser, diszpé-cser, villamos üzemirányító, szakmai helyreállítás vezető a kapott értesítéseket, rendelkezéseket, az általa tett in-tézkedéseket, riasztásokat köteles az időadatok feltünte-tésével előjegyezni, illetve azokról feljegyzést készíteni.
A kárhelyparancsnok ezeken kívül köteles a következ-mények elhárításának főbb fázisait, jármű beemeléseket és minden olyan adatot előjegyezni az időpontok feltün-tetésével, mely a segélynyújtás és helyreállítás utólagos értékelését lehetővé teszi.
4.2.20. A kárhelyparancsnok és a helyettes feladatait összefoglalóan a 2. sz. melléklet tartalmazza.
4.3. Helyszíni intézkedés személyszállító vonattal történt baleset esetén
4.3.1. Személyszállító vonattal történt baleset esetén a vezető jegyvizsgáló és a jegyvizsgálók képzettségüknek megfelelően kötelesek a személyek mentésében és a se-gélynyújtásban részt venni, az utasok biztonsága érdeké-ben szükséges intézkedésekben közreműködni.
4.3.2. Amennyiben a 4.1.2. pontban meghatározott fontossági sorrendet alapul véve a személyek mentése a vezető jegyvizsgáló és a jegyvizsgálók közreműködését már nem igényli, úgy kötelesek a rendkívüli esemény be-következéséről, a várakozás várható időtartamáról, az át-szállásos közlekedésről, a csatlakozási lehetőségekről – a hálózati vagy területi személyszállítási főirányítótól (vagy szükség esetén a területi főüzemirányítótól) kért és kapott információk alapján – az utasokat tájékoztatni.
Amennyiben a vontatójármű (motorkocsi, motorvonat vagy mozdony) rendelkezik utastájékoztató berendezés-sel és az a rendkívüli esemény után üzemképes, akkor az utasok tájékoztatását a vonatszemélyzet bármely tagja ezen keresztül köteles megtenni.
Pályaudvaron, állomáson az utastájékoztató berende-zésen keresztül kell az utasokat és várakozókat értesíteni a rendkívüli esemény miatti vonatkésésekről, a menet-rendtől eltérő forgalmi változásokról.
A fentieken kívül fi gyelembe kell venni a rendkívüli események bekövetkezésekor alkalmazandó utas-tájé-koztatás megszervezéséről és végrehajtásáról szóló min-denkor hatályos utasítást. (Az Utasítás hatálybalépésekor ezt a 36/2005. (X. 24. MÁV Ért. 41.) VIG. sz. utasítás tartalmazza).
4.3.3. Nyíltvonalon – rendkívüli esemény miatt – fel-tartóztatott vonat esetén az utasok fi gyelmét fel kell hívni a leszállás veszélyeire, és amennyiben közvetlen veszély (pl. tűzeset) nem fenyeget, az utasokat a vonaton kell tar-tani.
4.3.4. Amennyiben a vonat hosszabb idejű feltartózta-tása miatt az utasok helyszíni átszállással vagy autóbusz beállításával folytathatják útjukat, úgy a vonatkísérő sze-mélyzet köteles az utasok részére ehhez segítséget nyúj-tani.
4.3.5. Az utasok tájékoztatása tényszerűen csak az utazásukkal összefüggő információkra terjedhet ki. Nem tartalmazhat olyan információt, mely pánikot, zavart idézhet elő, vagy amely csak a vizsgálat bizonyított meg-állapításain alapulhat.
4.4. A következmények helyszíni elsődleges felmé-rése
4.4.1. A rendkívüli esemény bejelentésére vonatkozó szabályokat a Balesetvizsgálati Utasítás tartalmazza. A műszaki mentés, segélynyújtás és a következmények fel-számolása érdekében – a bejelentést követően – fel kell mérni azokat a legfontosabb adatokat, melyek az intézkedé-sek mielőbbi szervezéséhez, végrehajtásához szükségesek.
4.4.2. A rendkívüli esemény következményeiről az el-sődleges adatok összegyűjtését állomáson történt esetben az állomás forgalmi vezetője (megbízottja), közlekedő vonattal történt eseménynél a vonat mozdonyvezetője vé-gezze. Nyílt vonalon történt rendkívüli eseményről az adatokat általában a mozdonyvezető, akadályoztatása esetén a személyszállító vonat vezető jegyvizsgálója, vagy a vonatszemélyzet más tagja, illetve bármely eset-ben a helyszínre érkező intézkedésre jogosult és kötele-zett munkavállaló köteles összegyűjteni. A szakszerű adatszolgáltatás érdekében – a lehetséges módon – igény-be kell venni a rendelkezésre álló vasúti műszaki munka-vállalók közreműködését.
19. szám A MÁV Zrt. Értesítője 1069
4.4.3. A helyszíni következményekről az elsődleges adatok az alábbiakra terjedjenek ki:− a sérült személyek számára és kiszabadításukhoz a
műszaki mentés szükségességére,− a megrongálódott pályaszakasz hosszára, mértékére,− a megrongálódott kitérők számára,− a baleset helyszínének körülményeire (egyenes, íves
pályaszakasz, bevágás, töltés, műtárgy, alagút),− felsővezetéki berendezéssel felszerelt pályán a ki-
dőlt oszlopok számára, a megrongált felsővezeték hosz-szára,− a kisiklott vontató és vontatott járművek típusára,
számára, azok eltávolodásának távolságára a vágány-tól,− veszélyes áruval rakott kocsi sérülésére (RID számá-
ra),− a kisiklott járművek elhelyezkedésére a vasúti pályá-
hoz, illetve más járművekhez képest (felborult, oldalára dőlt, megbillent, a járművek egymás fölé kerültek, tor-lódtak, keresztbe fordultak),− több vágányú pályán a vonatközlekedés fenntartha-
tóságának feltételeire (űrszelvény, pálya, berendezés ron-gálódása),− áruval rakott kocsi sérülése esetén az áru fajtájára,− konténerrel rakott kocsi kisiklása esetén a konténe-
rek helyzetére,− a kisiklott, megrongálódott járművek futóművén
észlelhető sérülésekre,− a baleseti helyszín megközelíthetőségére vonatkozó
adatokra,− egyéb fontosnak ítélt adatokra.
4.4.4. Veszélyes áru ellenőrizetlen szabadba jutása esetén – függetlenül attól, hogy az baleseti következ-ményként vagy attól függetlenül következett be – a jelen-tés tartalmazza:− a sérült kocsi, konténer főbb adatait,− a veszélyes áru megnevezését és RID számát,− a jármű sérülésére és annak mértékére vonatkozó
adatokat (kocsi, konténer, kamion; a veszélyes áru milyen mértékben szivárog, csepeg),− súlyos környezetszennyezés, tűz, robbanás, személy-
és vagyonbiztonság veszélyét,− a további veszély megelőzése érdekében szükséges
intézkedéseket.
Amennyiben a veszélyes áru ellenőrizetlen szabadba jutása nem baleseti következményként fordult elő, úgy a jelentés az alábbiakat is tartalmazza:− a sérült kocsi pályaszámát, cégjelét,− feladási és rendeltetési állomását,− a sérülés felfedezésének időpontját,− a megtett intézkedéseket,− a rendkívüli esemény helyére, környezetére, gépko-
csival való megközelíthetőségére vonatkozó információ-kat (állomás, szolgálati hely, vágányszám, felsővezeték alatti vágány stb.).
4.4.5. A helyszíni következményekről az adatokat a te-rületi főüzemirányító részére kell jelenteni, aki az infor-mációkat a 3. sz. melléklet szerinti adatlapon rögzíti.
A területi főüzemirányító valamennyi rendelkezésre álló információról értesíteni köteles− a rendkívüli helyzeteket kezelő irányítót és− a területi operatív irányítókat, diszpécsereket, villa-
mos üzemirányítót.A rendkívüli helyzeteket kezelő irányító valamennyi
információról tájékoztatja a hálózati főirányítókat, fő-diszpécsereket, villamos üzemirányítót, veszélyes áru ellenőrizetlen szabadba jutása esetén MÁV-GÉPÉSZET Zrt. vasúti vegyvédelem központi ügyeletét (MÁV-GÉPÉSZET Zrt. Körzeti Járműfenntartási Központ BP. Ferencváros), továbbá az Értesítési Rendben előírt veze-tőket, hatóságokat, szervezeteket.
4.4.6. Amennyiben a rendkívüli esemény következmé-nyei más vasúti társaságot vagy a vasút üzemben tartásá-hoz szükséges eszköz tulajdonosát is érinti, erről a rend-kívüli helyzeteket kezelő irányító köteles távbeszélőn ér-tesíteni a társaság, illetve az eszköz tulajdonosának illeté-kes szervezetét.
Amennyiben a baleset következményeinek helyreállí-tása a vállalkozó vasúti infrastruktúra további kárát okozza, lehetőség szerint gondoskodni kell a helyreállítás előtti állapotok dokumentálásáról (fénykép, vagy videó felvételek készítése), valamint erről tájékoztatni kell a vállalkozó vasúti társaság kijelölt képviselőjét.
4.5. A MÁV társaságok és más szervezetek szabá-lyozásának szempontjai
4.5.1. A MÁV társaságok – ezen Utasítás alapján, a Biztonsági Igazgatósággal egyeztetetten – az összehan-golt, gyors operatív intézkedések megtétele érdekében kötelesek szabályozni az operatív hálózati és területi fő-irányítók, fődiszpécserek, diszpécserek, villamos üzem-irányítók feladatait, illetve azok ellátásához szükséges információk biztosítását.
4.5.2. Pályavasúti szabályozás a forgalmi, pálya, táv-közlési, biztosítóberendezési és felsővezeték-berendezési szakmai területre kiterjedően tartalmazza:− a kárhelyparancsnoki készenléti rendszer szervezé-
sét és a beosztásról (név, telefonszám megadásával) az üzem- és operatív irányítás értesítését,− a szakmai helyreállítás vezetők, forgalmi összekötők
megbízásának szakmai feltételeit, készenléti rendszerük szervezését és készenléti beosztásukról (név, telefonszám megadásával) a diszpécserek, villamos üzemirányítók ér-tesítését,− a pályafenntartási, biztosítóberendezési, villamos
felsővezetéki berendezési állandó és változó helyű ké-szenléteket, értesíthetőségüket,
1070 A MÁV Zrt. Értesítője 19. szám
− a vágányzárakról a pályagazdálkodási diszpécserek tájékoztatását,− a főbb eszközök tárolási helyeit,− főbb anyagok tárolási helyeit, a mindenkori hozzáfé-
rés lehetőségét,− a MÁV társaságokon kívüli vállalkozás bevonásának
szükségessége esetén a következmény nagyságától füg-gően a döntési szinteket,− a helyreállításhoz szerződés vagy megállapodás
alapján bevonható vállalkozások értesíthetőségét,− veszélyes árut közömbösítő anyagok tárolási helyeit,− a segélynyújtással és helyreállítással kapcsolatos
rendelkezések, intézkedések előjegyzését,− a kárhelyparancsnokok, szakmai helyreállítás veze-
tők és a helyreállításban közreműködők képzési, tovább-képzési rendszerét.
4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tar-tását (rendelkezésre állás) és a használatukat (műszaki mentés) a MÁV pályavasúti szervezettel kötött szerződés biztosítja. A hálózati szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli.
A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza:− a kárhelyparancsnok-helyettesi készenléti rendszer
szervezését és a beosztásról (név, telefonszám megadásá-val) az üzem- és operatív irányítás értesítését,− a műszaki mentő és segélynyújtó egységek telepítési
helyeit, értesíthetőségüket,− a műszaki mentő- és segélynyújtó egységek riasztá-
sától számított maximális indulási időt,− A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás
alapján a vasúti egységek készenlétben tartásához szük-séges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyveze-tő biztosítását,− a bármilyen okból ideiglenesen igénybe nem vehető
műszaki mentő- és segélynyújtó eszközök, illetve kiszol-gáló személyzet bejelentésének kötelezettségét,− a gépészeti vasúti vegyi elhárító szolgálat szerveze-
tének az elhelyezését, értesíthetőségüket, a szükséges lét-számot és ennek biztosítását (4.B.sz. melléklet),− a műszaki mentéssel, segélynyújtással összefüggés-
ben kapott rendelkezések és intézkedések előjegyzésének rendjét,− a műszaki mentő és segélynyújtó és a vegyi elhárító
egység személyzetének képzését és rendszeres oktatását.
4.5.4. A személyszállító társaságok szabályozása tar-talmazza:− az autóbuszok igénylésének lehetőségét, más sze-
mélyszállító társaságok bevonhatóságát (esetleges megál-lapodások VOLÁN Zrt.-vel, BKV Zrt.-vel, stb.),
− az ideiglenes helyzetben a személyszállítás fenntar-tásának biztosításához a döntési szempontokat,− a személyszállító vonatok szerelvény fordulóinak
megváltoztatásával kapcsolatos intézkedéseket (pl. a bu-dapesti fejpályaudvarok esetében a fordulási technoló-gia),− a személykocsik vagyonvédelmével kapcsolatos in-
tézkedéseket,− az utastájékoztatással kapcsolatos feladatokat,− a sérült járművek továbbításának – vasúti vágányon
vagy járművön – feltételéhez kocsivizsgálót.
4.5.5. Az árufuvarozási tevékenységet végző vasúti társaságok (vállalkozó vasúti társaságok) kötelezettsége-it, feladatait hálózat-hozzáférési szerződésben kell rögzí-teni. Ezek tartalmazzák:
– az áruvédelem érdekében a rendkívüli esetekben szükséges intézkedéseket,
– az áru átrakásához szükséges intézkedési lehetősége-ket,
– az áru átrakásához szükséges közúti daru igénybevé-telének lehetőségét,
– kocsivizsgálók igényszerinti biztosításának lehetősé-gét,
– a műszaki mentesítéshez szükséges teherkocsi bizto-sítását,
– a teherkocsik vagyonvédelmével kapcsolatos intéz-kedéseket,
– a fuvaroztató felek értesítésére és részükről teendő intézkedéseket,
– a tett intézkedésekről az érintett pályavasúti diszpé-cserszolgálat, valamint a gépészeti főirányítók tájékozta-tását.
4.5.6. Központi válságkezelő törzs létesítésének és működésének rendjét, feladatait, a válságkezelés kommu-nikációs feladatait a MÁV Zrt. területén bekövetkezett biztonsági események során teljesítendő ügyeleti szolgá-lati és vezetői feladatokról, valamint a kárelhárítás irá-nyításáról szóló vezérigazgatói utasítás (20/2008. (MÁV. Ért. 13.) szabályozza.
4.5.7. A műszaki mentés és segélynyújtás eszközeinek telepítési helyeit, alkalmazásaik főbb általános műszaki paramétereit a 4. A-C, 5., 6., 7., 8., 9. mellékletek tartal-mazzák.
4.5.8. A katasztrófavédelmi igazgatóságoktól igényel-hető főbb eszközöket és azok telepítési helyeit az utasítás 10. számú melléklete tartalmazza.
4.6. Az operatív irányítók feladatai, felelőssége, ha-tásköre
4.6.1. Az operatív hálózati és területi főirányítók, fő-diszpécserek, villamos üzemirányítók a következmé-nyek ismeretében kötelesek a feladatkörükbe tarozó in-
19. szám A MÁV Zrt. Értesítője 1071
tézkedéseket megtenni a műszaki mentés és segélynyúj-tás, valamint a helyreállítás érdekében. Intézkedéseiket egymással és a rendkívüli helyzeteket kezelő irányító-val, illetve a hálózati és területi főüzemirányítóval egyeztetni kell.
4.6.2. A pályagazdálkodási hálózati fődiszpécser – a területi diszpécserek bevonásával – köteles intézkedni− a készenlétes szakmai helyreállítás vezető értesítésé-
re,− a területileg illetékes, illetve készenlétet tartó főpá-
lyamesteri szakasz riasztására,− döntése szerint – a hálózati főüzemirányítóval és
helyreállítást végző szervezet képviselőjével egyeztetve – a vágányzárban végzett munkák felfüggesztésére, a munkaerő és munkagépek részleges vagy teljes átcsopor-tosítására,− a pályavasúti szabályozásban előírt egyeztetési köte-
lezettség megtartásával a MÁV vasúttársaságokon kívüli vállalkozás bevonására, értesítésére,− a készenlétben tartott anyagok felhasználására, kár-
helyre szállítására.A hálózati fődiszpécser, illetve területi diszpécser fo-
lyamatos kapcsolatot tart a kárhelyparancsnokkal, illetve a szakmai helyreállítás vezetővel és rendelkezései szerint teszi meg a szükséges intézkedéseket, továbbá szükség esetén intézkedik a feladatok koordinálásában.
4.6.3. A hálózati villamos üzemirányító – a területi villamos üzemirányító bevonásával – köteles intézkedni:
– a készenlétes szakmai helyreállítás vezető értesítésé-re,
– a kárhelyen a villamos felsővezeték feszültség-men-tesítésére,
– a felsővezetéki berendezés megrongálódása, vagy a műszaki mentési és segélynyújtási munkákhoz szükséges bontási, illetve helyreállítási feladatokat ellátó szervezet értesítésére, riasztására.
Kapcsolatot tart a szakmai helyreállítás vezetővel és szükség esetén intézkedik a feladatok koordinálásában.
4.6.4. A biztosítóberendezési hálózati fődiszpécser – a területi biztosítóberendezési diszpécser bevonásával – köteles intézkedni:− a blokkmesteri szakaszok riasztására,− a készenlétes szakmai helyreállítás vezető értesítésé-
re,− a helyreállítás vezető rendelkezésére a MÁV vasút-
társaságokon kívüli vállalkozás bevonására.Kapcsolatot tart a szakmai helyreállítás vezetővel és
szükség esetén közreműködik a feladatok koordinálásá-ban.
4.6.5. A hálózati távközlési fődiszpécser – a területi távközlési diszpécser bevonásával – köteles intézkedni:− a területileg illetékes, illetve készenlétes távközlési
szakasz riasztására,
− a műszaki mentéshez és segélynyújtáshoz a kárhely-parancsnok által meghatározott ideiglenes távközlési ösz-szeköttetés biztosítására,− a megrongálódott légvezeték, illetve kábel helyreál-
lítása érdekében a helyreállító szervezet értesítésére, ri-asztására,− a végleges helyreállításig a vonatforgalom fenntartá-
sához, illetve megindításához szükséges távközlési ösz-szeköttetések biztosítására.
4.6.6. A MÁV-GÉPÉSZET Zrt. és a MÁV-TRAKCIÓ Zrt. közötti megállapodás alapján a MÁV-TRAKCIÓ Zrt. hálózati gépészeti főirányítója – a területi gépészeti fő-irányító bevonásával – köteles intézkedni:− a rendelkezésre álló információk alapján – a kárhely-
parancsnok-helyettessel egyeztetve – a vasúti segélynyúj-tó egység (4.A.sz. melléklet) által igényelt vontatójármű és mozdonyvezető normaidőn belüli biztosítására,− a kárhelyparancsnok-helyettes rendelkezésére a kör-
zetileg illetékes segélynyújtó egységen kívüli más se-gélynyújtó egységek igénybe vételéhez szükséges vonta-tójármű és mozdonyvezető normaidőn belüli biztosításá-ra,− pályagazdálkodási hálózati fődiszpécserrel és a
rendkívüli helyzeteket kezelő irányítóval egyeztetve a vasúti segélynyújtó és daru szerelvény egységek közleke-dési útirányának kijelölésére, esetleges közlekedési feltét-eleinek meghatározására,− a kárhelyparancsnok vagy helyettese rendelkezésére
többlet vontatójármű biztosítására,− a rendkívüli esemény miatt a vonatforgalom fenntar-
tásához, valamint a helyreállításhoz, a tárolt anyag hely-színre továbbításához szükséges vontatójármű biztosítá-sára.
4.6.7. A személyszállítási hálózati főirányító – a terü-leti személyszállítási főirányító bevonásával – köteles in-tézkedni a hálózati főüzemirányítóval, illetve a rendkívü-li helyzeteket kezelő irányítóval egyeztetetten:− a kerülő útirányon történő vonatközlekedtetés sze-
mélyszállítási feladatainak végrehajtására,− vonalelzárás esetén az utasok autóbuszok beállításá-
val történő elszállítására,− az utasok átszállással történő elszállításának szerve-
zésére,− az utastájékoztatás megszervezésére,− a sérült személykocsi rendelkezés szerinti helyre to-
vábbítására,− a személy-, háló-, étkező kocsik szükség szerinti őr-
zésvédelmére, szükség esetén a MÁV Vasútőr Kft. sze-mélyzetirányítójának bevonásával,− az utasok kiszolgálása érdekében szükséges felada-
tokra (pl. IC pótjegy visszatérítés).A személyszállítási területi főirányító az intézkedé-
sekről tájékoztatni köteles a területi főüzemirányítót.
1072 A MÁV Zrt. Értesítője 19. szám
4.6.8. A MÁV Zrt. rendkívüli helyzeteket kezelő irá-nyítója – a rendkívüli esemény következményeire vonat-kozó információk alapján – értesítse a vállalkozó vasúti társaság irányító szolgálatát− a műszaki mentéshez, segélynyújtáshoz szükséges
teherkocsi és teherkocsi fődarab (pl. forgóváz) igényről,− a sérült teherkocsikban lévő áruk átrakásának szük-
ségességéről,− a VVESz ügyeletes vezetője felkérésére a veszélyes
áru azonosításának igényéről,− az áruvédelem megszervezésének szükségességéről,− a sérült teherkocsik továbbításának igényéről,− a hálózati főüzemirányítóval egyeztetve a kerülő út-
irányon történő tehervonati közlekedtetés feladatainak ellátására,− átfejtéshez szükséges kocsi biztosításának szüksé-
gességéről.
4.7. A riasztott szervezeti egységek és segélynyújtó egységek kivonulása
4.7.1. A riasztást követően a műszaki mentő és segély-nyújtó egységek kötelesek a helyszínre kivonulni. A vo-nuló egység műszaki vezetőjének feladata a szükséges létszám meghatározása, a segélynyújtáshoz fi gyelembe vett eszközök működésének ellenőrzése, a szerelvény to-vábbításához szükséges feltételek biztosítása.
4.7.2. A vasúti segélynyújtó és daru szerelvény közle-kedésének bevezetéséről – a hálózati pályagazdálkodási fődiszpécserrel és gépészeti főirányítóval egyeztetett út-irányról, a közlekedési feltételekről – a rendkívüli helyze-teket kezelő irányító rendelkezésére a területi főüzemirányító köteles gondoskodni, amelyről az indító állomásnak írásbeli rendelkezéssel kell a segélyvonat mozdonyvezetőjét értesíteni.
4.7.3. A helyszínen a riasztott szakmai szervezeti egy-ségek vezetői kötelesek részletes felmérést készíteni a kö-vetkezményekről, a helyreállítás érdekében szükséges intézkedésekről, és azokról a szakmai operatív hálózati főirányítót, fődiszpécsert, villamos üzemirányítót (terü-leti főirányítót, diszpécsert) tájékoztatni.
4.8. A következmények felszámolásának általános szabályai
4.8.1. A személyek mentését, a további veszélyek meg-szűntetése után a következmények felszámolását úgy kell irányítani és végezni, hogy a forgalom megindítása érde-kében legalább egy vágány mielőbb szabad legyen. A ki-siklott, rongálódott járműveket úgy kell mozgatni, hogy azokban, valamint az egyéb vasúti berendezésekben a lehető legkisebb kár keletkezzen.
4.8.2. Baleset esetén a helyszín megváltoztatására – a személyek mentése, a tűz oltása, a további veszélyek
megelőzése érdekében szükséges elsődleges intézkedé-sek kivételével – a Balesetvizsgálati Utasítás rendelkezé-seit kell alkalmazni.
4.8.3. Amennyiben a következmények elhárításában több szakmai terület egységei vesznek részt, az elhárítást a kárhelyparancsnok irányítja a kárhelyparancsnok-helyettessel, az egyes szakmai helyreállítás vezetőkkel és a forgalmi összekötővel együttműködve. A következmé-nyek elhárításának sorrendjéről a kárhelyparancsnok-helyettessel egyeztetve a kárhelyparancsnok dönt.
4.8.4. A baleseti helyszínt a további veszélyek megelő-zése, a vagyon-védelem biztosítása, valamint a mentés és segélynyújtás zavartalan végzése érdekében elhatároló szalaggal vagy más módon körül kell határolni és a lehet-séges módon, vagy a MÁV Vasútőr Kft. vagy a rendőrség bevonásával meg kell akadályozni, hogy a munkaterület-re idegen sze-mélyek bejussanak.
A terület védelmét a területi főüzemirányító vagy a rendkívüli helyzeteket kezelő irányító igényelheti a MÁV Vasútőr Kft. személyzetirányítójától, illetve a megyei vagy Országos Rendőr-főkapitányság ügyeletétől.
4.8.5. Minden olyan esetben, amikor a pálya elzárás nem baleset, tűz, veszélyes áru ellenőrizetlen szabadba jutása következménye, vagy a dologi következményű bal-eset a kárhelyparancsnoki irányítását az Utasítás 4.2.8. pontja sze-rint nem teszi szükségessé, a kárhelyparancsnok eseti megbízása alap-ján az irányítási feladatokat a szak-mai helyreállítás vezető látja el.
4.8.6. A segélynyújtás és helyreállítás közben a mun-kát végző egység vezetője köteles gondoskodni a munka-végzéshez szükséges világításról, védőeszközökről. Fele-lős az ott dolgozók élet- és testi épsége védelmében szük-séges biztonsági rendszabályok meghatározásáért és be-tartásáért a Munkavédelmi Szabályzat (30/2005. (MÁV. Ért. 33.) Vezérigazgatói utasítás: A MÁV Rt. Munkavé-delmi Szabályzata) alapján.
4.8.7. A helyreállítási munkák közben biztosítani kell az egészségre, testi épségre veszélytelen munkafeltétele-ket. A beosztottak a feladat teljesítése közben előállt ve-szélyhelyzetkor csak saját életük védelmében, vagy élet-mentésben vállalhatnak önálló elhatározással kockázatot. Az elhárításban résztvevők egymást életükben, testi ép-ségükben nem veszélyeztethetik.
4.8.8. A MÁV társaságokon kívüli szervezet mentési, segélynyújtási vagy helyreállítási tevékenységet végző munkavállalóit kimutathatóan tájékoztatni kell a bizton-ságos munkavégzés feltételeiről, különös tekintettel a vasúti terület speciális veszélyeire. A tájékoztatás a kárhelyparancsnok(helyettes), távollétében a szakmai helyreállítás vezető feladata.
19. szám A MÁV Zrt. Értesítője 1073
4.8.9. A MÁV Zrt. kezelésében lévő vonalakon más vasúti társaságot érintő rendkívüli esemény bekövetkezé-sekor a vasúti társaságnak a vasúti jogszabályok alapján együttműködési kötelezettsége van:− együttműködés a MÁV Zrt. rendkívüli helyzeteket
kezelő irányítójával illetve a szakmailag illetékes opera-tív hálózati főirányítóval, fődiszpécserrel,− a következmények elhárításának segítése,− tájékoztatás minden olyan rendelkezésre álló infor-
mációról, amely a segélynyújtás és a következmények elhárításához – különösen a veszélyes áru azonosításához – szükséges,− a vonat kerülő útirányon való közlekedtetése,− a megrongálódott vagy futásképtelenné vált jármű
elszállítása,− a fuvarozott küldemény átrakása, átfejtése.
4.9. Súlyos személysérülés és dologi következményű balesetek esetén az elhárítás általános szabályai
4.9.1. A következmények elhárításának fontossági sor-rendjét az Utasítás 4.1.2. pontja tartalmazza. Ennek meg-felelően a MÁV Zrt. képviseletében a kárhely-parancs-noknak a katasztrófavédelmi (tűzoltó) szervezet elhárítás vezetőjével kell egyeztetnie az elsődleges mentési felada-tokat, és fel kell mérnie a helyszínt a teljes körű informá-ció megszerzése érdekében.
4.9.2. A MÁV Zrt. kárhelyparancsnokának a kataszt-rófavédelmi egység vezetőjével egyeztetnie kell:− a személy(ek) mentése érdekében szükséges vasúti
intézkedéseket,− a tűz oltásához esetlegesen szükséges vasúti közre-
működő intézkedéseket,− veszélyes áru ellenőrizetlen szabadba jutása esetén a
munkabiztonsági és elhárítási intézkedéseket,− a rendőrségi szervezet bevonásával a körzet lezárá-
sát, körülhatárolását.
Ellenőriznie kell, a további veszélyek megelőzése érde-kében a megtett intézkedéseket, illetve azok megfelelősé-gét.
A személyi következmények ellátásának, tűz oltásá-nak, a környezeti és más további veszélyek megelőzésé-nek időszakában a helyszíni munkákat a katasztrófavé-delmi egység vezetője irányítja. Ehhez a szükséges segít-séget a kárhelyparancsnoknak biztosítania kell.
4.9.3. A kárhelyparancsnoknak a következmények el-hárításához ellenőriznie és tisztáznia kell,− a szakmai helyreállítás vezetők részéről tett és teen-
dő intézkedéseket,− a forgalmi helyzetet a forgalmi összekötővel.
4.9.4. A riasztott egységek vezetői, valamint a szakmai helyreállítás vezetők a helyszínre történő kiérkezés után kötelesek jelentkezni a kárhelyparancsnoknál, és beszá-molni a tett intézkedéseikről.
4.9.5. A kárhelyparancsnoknak a helyzet felmérésről, és a forgalmi akadály várható megszüntetésének idejéről, a szükséges személyszállítási és árufuvarozási intézkedé-sekről tájékoztatnia kell a rendkívüli helyzeteket kezelő irányítót és a területi főüzemirányítót. A rendkívüli hely-zeteket kezelő irányító ennek alapján köteles tájékoztatni az érintett vasúti társaságokat, illetve egyeztetni a sze-mélyszállítási és árufuvarozási feladatokat.
4.9.6. Nyílt vonalon történt baleset esetén a kárhelyparancsnok-helyettes a kárhelyparancsnokkal egyeztetve köteles intézkedni – a forgalmi koordinátor, illetve területi főüzemirányító bevonásával – a segély-nyújtó egységek riasztására és kivonulására, a járművek sorrendjére, daruval szükséges jármű beemelés esetén a gémállásra. Együttesen döntenek más segélynyújtó egy-ségek riasztásának szükségességéről. A kárhely-parancsnok-helyettes rendelkezésére a hálózati gépészeti főirányító köteles közreműködni a szükséges vontatójár-mű és mozdonyvezető biztosításában.
Állomáson történt baleset esetén a helyi egyeztetést követően a forgalmi összekötő rendelkezik a vasúti jár-művek tolatási mozgásaira.
4.9.7. Amennyiben a Katasztrófavédelmi Igazgatóság gépi egységeinek vagy a Magyar Honvédség eszközeinek bevonása szükséges, úgy ennek igényéről – a feladatok egyértelmű meghatározásával – a kárhelyparancsnoknak a hálózati főüzemirányítót kell értesítenie, aki az Orszá-gos Katasztrófavédelmi Főigazgatóság főügyeletétől, il-letve az MH Katonai Közlekedési Központ diszpécser szolgálatától jogosult ezt kérni.
4.9.8. Veszélyes áru ellenőrizetlen szabadba jutása esetén, amennyiben a rendelkezésre álló eszközök, vé-dőeszközök nem elégségesek a veszélyek elhárításá-hoz, vagy a szükséges intézkedések a MÁV Zrt. jogo-sultságát és lehetőségét meghaladják, a VVESz ügyele-tes vezetője a hálózati főüzemirányítót köteles értesíte-ni, aki az Országos Katasztrófavédelmi Főigazgatóság főügyeletétől, illetve a 4.2.18. pontban szabályozottak szerint a rendkívüli helyzeteket kezelő irányító a MÁV társaságokon kívüli vállalkozástól jogosult segítséget kérni.
4.9.9 A helyszín megváltoztatására – a mentő vagy a katasztrófavédelmi egység vezetőjének az életmentés vagy tűz oltása érdekében adott rendelkezése kivételével –, bármilyen roncs, nyom eltávolítására a kárhely-pa-rancsnok csak a rendőrségi szemlebizottság és a baleset-vizsgáló bizottság(-ok) vezetőinek engedélye után rendel-kezhet. A szakmai helyreállítás vezetők csak a
1074 A MÁV Zrt. Értesítője 19. szám
kárhelyparancsnok engedélye alapján kezdhetik meg a következmények elhárítását.
A rendkívüli esemény helyszínének a halaszthatatlan, az életmentés, a tűz oltása, a veszélyhelyzet megszünteté-se érdekében szükséges megváltoztatását a kárhely-pa-rancsnok, illetve a szakmai helyreállítás vezető köteles írásban rögzíteni, és a dokumentumot az eljárásra illeté-kes szervezet (rendőrség, ügyészség, Közlekedésbizton-sági Szervezet, üzembentartói balesetvizsgálók) részére átadni.
4.9.10. Az elsődleges személymentési, további ve-szély-megelőzési feladatok után a következmények elhá-rításának irányítását a katasztrófavédelmi szervezet kár-hely-parancsnokától a MÁV Zrt. kárhelyparancsnoka ve-szi át (4.1.9. pont).
4.9.11. A helyreállítás sorrendjét, a párhuzamosan vég-zendő munkákat a kárhelyparancsnok a kárhely-parancsnok-helyettessel és a szakmai helyreállítás veze-tőkkel egyeztetve határozza meg. Amennyiben a pálya felszabadítása, a műszaki mentés, illetve tűzveszély, vagy egyéb okból a helyszíni biztosítás a katasztrófavé-delmi szervezet további közreműködését teszi szükséges-sé, úgy a kárhelyparancsnok ezt egyeztetni köteles a szer-vezet helyszíni egységének vezetőjével.
A helyreállítási munkák irányításánál követelmény− a feladatok egyértelmű meghatározása és kiadása,− a munka-, tűz-, környezetbiztonsági feltételek bizto-
sítása,− az egyes munkaterületek elhatárolása,− az egyes szakmai területek kapcsolódási pontjainak
koordinációja.
4.9.12. A szakmai helyreállítás vezetők folyamatosan tájékoztatni kötelesek a kárhelyparancsnokot a helyreállí-tás helyzetéről, továbbá a szükséges eszköz- és létszám-igényről a szakmailag illetékes hálózati fődiszpécsert, illetve területi diszpécsert, valamint a villamos üzemirá-nyítókat.
4.9.13. Amennyiben a teljes körű helyreállítás nem fe-jezhető be, de a pálya ideiglenes felszabadítása lehetővé teszi a forgalom megindítását, úgy az ideiglenes helyzet-ben szükséges forgalmi intézkedésekre a forgalmi össze-kötő – a szakmai helyreállítás vezetővel egyeztetve – ren-delkezik.
4.9.14. Amennyiben a baleset utáni következmények elhárítása már nem igényli a MÁV társaságok, a pálya-vasúton belüli szervezetek közötti, valamint a MÁV vas-úttársaságokon kívüli szervezetekkel a folyamatos koor-dinációt, a kárhelyparancsnok a további irányítási felada-tot átadhatja a szakmai helyreállítás vezetőnek, melyről a területi főüzemirányítót és a rendkívüli helyzeteket keze-lő irányítót értesíteni köteles.
4.9.15. Amennyiben – a súlyos következmények miatt – a segélynyújtási és helyreállítási munkák időtartama szükségessé teszi, a munkákban résztvevők étkeztetésé-nek, felváltásának megszervezésére a kárhely-parancs-noknak (helyettesnek) – a munkavállalókat vezénylő szolgálati hely vezetőjének bevonásával – intézkednie kell.
4.10. Dologi, nem súlyos következményű rendkívüli események helyreállítása
4.10.1. Minden olyan dologi következményű rendkívü-li esemény bekövetkezésekor, amikor személyi sérülés nem történt és a következmények helyreállítása csak egy szakterület tevékenységét igényli, a kárhelyparancsnok a szakmai helyreállítás vezetőt bízhatja meg az irányítással az Utasítás 4.2.14. pontja szerint.
4.10.2. A 4.2.6. pontban szabályozottak szerint az ese-ti megbízás alapján irányítási feladatot ellátó szakmai helyreállítás vezető
– felügyeli a MÁV társaságokon kívüli vállalkozás ál-tal végzett helyreállítási munkákat és kapcsolatot tart a vállalkozás munkavezetőjével,
– irányítja a MÁV társaságokon belüli saját szakmai szervezet által végzett helyreállítási munkákat,
– egyezteti a munkákat a közvetlenül érintett állomá-sok forgalmi vezetőjével (megbízottjával), a szakmailag illetékes operatív diszpécserrel, villamos üzemirányító-val, szükség esetén a forgalmi vonalirányítóval vagy a területi főüzemirányítóval.
4.10.3. Amennyiben a helyreállítási munkák szüksé-gessé teszik más szakmai terület bevonását, úgy az eseti megbízással rendelkező szakmai helyreállítás vezetőnek az illetékes operatív területi főirányítótól, villamos üzemirányítótól, diszpécsertől kell intézkedést kérnie.
4.10.4. Ideiglenes helyreállítás esetén a szakmai hely-reállítás vezető – amennyiben átmeneti forgalmi korláto-zás bevezetése válik szükségessé – jogosult a területi főüzemirányító intézkedését kérni.
4.10.5. Az eseti megbízással rendelkező szakmai hely-reállítás vezető felelős a munkabiztonsági feltételek és a MÁV társaságok utasításaiban a munkavégzésre, vala-mint annak befejezése után az előjegyzésekre vonatkozó előírások megtartásáért.
4.10.6. Baleset esetén az eseti megbízással rendelkező szakmai helyreállítás vezető a helyszín megváltoztatásá-ra, illetve a helyreállítás megkezdésére az Utasítás 4.9.9. pontjában előírtak megtartásával adhat engedélyt.
19. szám A MÁV Zrt. Értesítője 1075
4.11. A pálya felszabadítása személyi baleset ese-tén
4.11.1. Személyi baleset esetén – amikor dologi követ-kezménye a rendkívüli eseménynek nem volt és a személy(ek) mentése műszaki segélynyújtást a MÁV Zrt. részéről nem igényel – a pálya felszabadítását a rendőrsé-gi helyszíni szemle vezetője engedélyezi a sérült ellátása, illetve a meghalt személy elszállítása után.
Az állomás forgalmi vezetője (megbízottja) állomáson történt baleset esetén minden esetben, nyílt vonalon be-következett esetben pedig lehetőség szerint köteles közre-működni a mentést követően a pálya felszabadításában, és ehhez a forgalmi intézkedéseket megtenni.
4.11.2. Amennyiben a MÁV Zrt. balesetvizsgálója is helyszíneli a rendkívüli eseményt, úgy a rendőrségi hely-színi szemle vezetőjével egyeztetve köteles a vonat mi-előbbi továbbhaladása érdekében a szükséges intézkedé-seket megtenni.
4.11.3. Nyílt vonalon történt személyi baleset esetén – amikor az állomás forgalmi vezetőjének (megbízottjá-nak) a helyszíni intézkedésre nincs lehetősége, illetve a MÁV Zrt. részéről a helyszínelés azonnal nem kezdődik meg – a vonat továbbhaladására a rendőrségi helyszíni szemle vezetőjének engedélye után a mozdonyvezető kö-teles a forgalmi vonalirányító vagy a területi főüzem-irá-nyító hozzájárulását megkérni, akinek ezt egyeztetnie kell a rendkívüli esemény helyszínével szomszédos két állomás forgalmi szolgálattevőjével.
4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, in-tézkedések veszélyes áru ellenőrizetlen szabadba jutá-sa esetén
4.12.1. A VVESz feledata:A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatko-
zó Nemzetközi Szabályzat) szerint veszélyesnek minősü-lő áruk rendellenes szabadba jutásakor, vagy a szállító-eszközök meghibásodásakor, a veszélyhelyzet elhárításá-ra kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, – a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján.
A VVESz telepítési helyét a 4.B.sz. melléklet tartal-mazza.
Záhony térségében és a MOL Dunai Finomító terüle-tén a Rail Cargo Hungária Zrt. működteti a vegyielhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet).
A VVESz tevékenységi köre:− veszélyes árukat szállító vasúti járművek tárolóteré-
nek, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, cse-pegések, szóródások megszüntetése,
− veszélyes áruval rakott kisiklott kocsik rakott álla-potban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása,− tömörtelen tároló edényzet, tartály javíthatatlansága
vagy ideiglenes javítása esetén döntés a kocsi továbbítha-tóságáról vagy átfejtéséről és a továbbítás feltételeiről,− a veszélyes anyagoknál az átfejtés végrehajtása, a
biztonságos átrakás, átfejtés irányítása,− baleset következtében sérült, siklott, felborult, ve-
szélyes áruval rakott kocsiknál a sérülés ideiglenes hely-reállítása, döntés az emelhetőségről és annak végrehajtá-sáról, a szakmai felügyelet biztosítása,− kiömlött veszélyes áruk esetében az elsődleges fel-
szivattyúzás és a sürgős közömbösítés elrendelése, a kö-zömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pá-lyagazdálkodási hálózati fődiszpécserrel egyeztetve.
4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁV-GÉPÉSZET KJK Ferencváros) ügyeletes vezetője a háló-zati főüzemirányító (rendkívüli helyzeteket kezelő háló-zati irányító) értesítése (az elsődleges információk) alap-ján dönt a helyszínre vonulásról.
Az ügyeletes vezető szükség esetén:− folyamatos kapcsolatot tart a hálózati főüzem-
irányítóval,− szakmai tanácsaival segíti a pályavasút helyi szak-
mai irányítóját a veszélyek megelőzésében.Az ügyeletes vezető a kapott információk alapján jogo-
sult – a főüzemirányító tájékoztatása mellett – olyan ese-tekben is kivonulni, amikor nem riasztották, de a helyszí-ni jelenlétét fontosnak ítéli meg.
4.12.3. Nagyobb környezetszennyezés esetén a kár-mentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egész-ség-, Biztonság- és Környezetvédelmi szervezet hatáskö-rébe tartozik, aki köteles bekövetkezett eseményben érin-tett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni.
4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen be-lül kötelesek a helyszínre kivonulni. Az ügyeletes vezető-nek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes ve-zetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől.
4.12.5. A VVESz riasztott egységének vezetője rövi-den és tömören köteles tájékoztatni a beosztott személy-zetet a feladatról és annak tervezett végrehajtásáról. Kü-
1076 A MÁV Zrt. Értesítője 19. szám
lön fel kell hívnia a fi gyelmet az adott eseménynél előfor-duló veszélyhelyzetekre, az alkalmazandó védőfelszere-lésekre és magatartási szabályokra.
4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felsza-badítása – az elhárítás előkészítését irányítani, illetve ab-ban közreműködni.
4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezető-jének az elhárítás mielőbbi és biztonságos elvégzése ér-dekében adott rendelkezéseit végrehajtani.
4.12.8. A szolgálati hely megbízottja köteles arról gon-doskodni, hogy amennyiben a sérült járművek futóképe-sek és elvontatásuknak egyéb akadálya nincs, azokat vil-lamos felsővezetékkel el nem látott, ennek hiányában fe-szültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhe-tők. Ha az állomáson vontatójármű nem áll rendelkezés-re, úgy ennek biztosítását a területi gépészeti főirányító-tól kell kérni a kárhelyparancsnok vagy kárhelyparancsnok-helyettes útján.
4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonsá-got is veszélyeztetnek vagy a környezetszennyezés na-gyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők.
A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az elhárítást zavarják, vagy újabb veszélyhelyzetet jelent-hetnek.
4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón ke-resztül a megyei (Budapesti) Rendőr-főkapitányság, illet-ve a Katasztrófavédelmi Igazgatóság közreműködését.
4.12.11. Folyadékoknál, szilárd anyagoknál, a levegő-nél nehezebb gázoknál és gőzöknél a sérült kocsit lehető-leg olyan helyre kell állítani, ahol a veszélyeztetett terüle-ten akna, gödör, mélyedés nincs.
4.12.12. A veszélyövezetet a szélirány és a szélsebes-ség fi gyelembevételével kell kijelölni és lezárni, biztosít-va, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az eset-leges lakó-, ipari-, közlekedési objektumokat is a veszé-lyeztetés elkerülése érdekében.
4.12.13. A kivonuló egység vezetője felelős:− az egységnek a legrövidebb időn belül és a legrövi-
debb útvonalon a kárhelyre érkezéséért,− az egység vezetője által kevésbé, vagy egyáltalán
nem ismert anyagok esetében a segédletekből, ennek hiá-nyában a feladótól vagy az átvevőtől az anyag tulajdonsá-gaira, az alkalmazott elhárítási módra és eszközökre vo-natkozó ismeretek megszerzéséért,− az elhárítás előkészítéséért (pl. mentesítő (közömbö-
sítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése).
4.13. A veszélyes áru ellenőrizetlen szabadba jutá-sának elhárítása
4.13.1. A helyszínre érkezés után a VVESz ügyeletes vezetője a kapott információkat a helyszínen köteles ki-egészíteni a veszélyhelyzet körülményeire és az elhárítás módjára vonatkozó adatokkal.
4.13.2. Amennyiben a baleset következtében veszélyes áruval rakott kocsi sérült, kisiklott vagy felborult és a VVESz biztonsági felügyeletet lát el, úgy a kárhelyparancsnoknak a VVESz ügyeletes vezetőjének vegyi- és tűzvédelmi vonatkozású észrevételei kötelező fi gyelembevételével kell a segélynyújtási, elhárítási mun-kákat szervezni és irányítani.
A veszélyes áru ellenőrizetlen szabadba jutása esetén a kárhelyparancsnoki feladatokat a további veszélyek meg-szüntetéséig a VVESz ügyeletes vezetője látja el.
4.13.3. A VVESz ügyeletes vezetője – a nem baleseti következményként történt veszélyes áru ellenőrizetlen szabadba jutása esetén – köteles folyamatosan tájékoztat-ni a hálózati főüzemirányítót, az érintett vasútvállalat árufuvarozási hálózati főirányítóját, illetve a rendkívüli helyzeteket kezelő irányítót a munkák menetéről, a befe-jezés és normál üzem felvételéről, várható időpontjáról.
4.13.4. A VVESz ügyeletes vezetője bármilyen jellegű kivonulás esetén, (pl. szaktanácsadás, felügyelet ellátás, kényszer átfejtés) Vegyi Elhárítási Jegyzőkönyvet köteles kitölteni (11. sz. melléklet). Veszélyes áru ellenőrizetlen szabadba jutása esetén az eseményről a Balesetvizsgálati Utasításban szabályozott „Ténymegállapítási jelentés ve-szélyes áru ellenőrizetlen szabadba jutásáról” c. forma-nyomtatványt is köteles kitölteni. A jegyzőkönyv egy példányát az érintettek megkapják.
4.13.5. A VVESz ügyeletes vezetője a helyzet felméré-se és az időjárási viszonyok alapján intézkedik a munka-erőváltás lebonyolítására, annak fi gyelembevételével, hogy a munkák folyamata ne szakadjon meg.
4.13.6. Amennyiben – a VVESz mérései alapján – a munkaterületen mérgező anyagok, vagy a légterében egészségre ártalmas gázok tűréshatáron felüli tömény-
19. szám A MÁV Zrt. Értesítője 1077
ségben mutathatók ki, a megfelelő számú egyéni védőfel-szerelés biztosítását a VVESz ügyeletes vezetőjének vagy a kárhelyparancsnoknak a hálózati főüzemirányítón keresztül kell kérnie az Országos Katasztrófavédelmi Fő-igazgatóság főügyeletétől (4.9.8 pont).
4.13.7. A VVESz ügyeletes vezetője az elhárítási mun-kák befejezés után a vasúti kocsikkal kapcsolatos teendő-ket fuvarozási naplóban köteles bejegyezni, és az érintett vasúttársaság árufuvarozási hálózati főirányítónak, amennyiben ilyen nincs akkor a kijelölt kapcsolattartó személynek telefaxon, illetőleg a lehetőségekhez mérten e-mail-ben bejelenteni. A vasúti terület mentesítésének szükségességét a forgalmi szolgálattevőnél a fejrovatos naplóba köteles bejegyezni és a hálózati főüzemirányítónak jelenteni.
4.13.8. Ideiglenes javítás esetén gondoskodni kell ar-ról, hogy a szolgálatban lévő kocsivizsgáló a javított ko-csit megfelelő módon bárcázza le.
4.13.9. Sikertelen elhárítás esetén a VVESz addig nem hagyhatja el a helyszínt, amíg a sérült kocsi megfelelő őr-zéséről – az árufuvarozási hálózati főirányítóval vagy a MÁV Vasútőr Kft. személyzetirányítójával történt egyez-tetés alapján – nem gondoskodott, vagy a MÁV társasá-gokon kívüli vállalkozás az elhárítást nem fejezte be. A terület mentesítésekor – szükség esetén – az Egészség-, Biztonság- és Környezetvédelmi Osztály a VVESz szak-felügyeletét kérheti.
4.13.10. A környezetvédelmi mentesítés részletes sza-bályait külön utasítás tartalmazza.
5.0 HATÁLYBALÉPTETÉS
Az Utasítás a kihirdetés napján lép hatályba.
6.0 MELLÉKLETEK JEGYZÉKE
1.sz. ÖTM Országos Katasztrófavédelmi Főigazgató-ság és a MÁV Zrt. Vezérigazgatósága közötti Együttmű-ködési Megállapodás kivonata.
2.sz. A kárhelyparancsnok (helyettes) feladatai.3.sz. Adatlap a rendkívüli esemény következményei-
ről.4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és se-
gélynyújtó egységek telepítési helyei.4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító
egység telepítési helye.4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárí-
tó egységek telepítési helyei.5.sz. Irányelvek a következményektől függően alkal-
mazandó műszaki mentő és segélynyújtó egységekre.6.sz. MD 600 sorozatú daru főbb adatai.7.sz. MD 1250 sorozatú daru főbb adatai.8.sz. KRC 1220 sorozatú daru főbb adatai.9.sz. A Lucas típusú hidraulikus emelők.10.sz. A Katasztrófavédelmi Igazgatóságok Veszély-
helyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhely-zeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele.
11.sz. Vegyi Elhárítási Jegyzőkönyv.
Andrási Miklós s.k.elnök-vezérigazgató
1078 A MÁV Zrt. Értesítője 19. szám
1. sz. melléklet
Kivonat a MegállapodásbólORSZÁGOS KATASZTRÓFAVÉDELMI
FŐIGAZGATÓSÁGés a
MAGYAR ÁLLAMVASUTAK Zrt.VEZÉRIGAZGATÓSÁGA
együttműködési megállapodást köt.
1. Az együttműködésben foglaltak hatálya kiterjed
– az OKF és a MÁV Zrt. mindazon tevékenységi terü-leteire, amelyek a két szervezet szakmai munkájának ke-retében az egymást kölcsönösen segítő intézkedések ösz-szehangolásához szükségesek.
– a MÁV Zrt-n keresztül a MÁV-GÉPÉSZET Zrt., a MÁV-TRAKCIÓ Zrt., a MÁV-START Zrt. társaságokra (továbbiakban: MÁV Csoport).
– azon – további – vasúti társaságokra, melyek az Együttműködési Megállapodáshoz (továbbiakban: Meg-állapodás) csatlakozási nyilatkozat alapján – a MÁV Zrt-n keresztül – csatlakoztak, és a nyilatkozat mellékleteiben feltüntetett erőiket, eszközeiket az együttműködéshez felajánlják.
2. Általános – mindkét félre vonatkozó rendelkezé-sek
2.1. A területi (helyi) értesítési, riasztási és intézkedési kötelezettségeken túlmenően az OKF Központi Ügyelete és a MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányító) kölcsönösen telefonon tájékoztatja egymást a MÁV Cso-port, illetve a csatlakozó vasúti társaságok területén be-következett mindazon – területi szerveik által jelentett – rendkívüli eseményekről, melyek következtében
– az életmentési feladatok,– a tüzek oltása,– a jelentős vagyoni kár felszámolása, a további ve-
szélyhelyzet kialakulásának megelőzése, illetve a helyre-állítás segítése,
– a veszélyes áruk – Veszélyes áruk nemzetközi vasúti fuvarozásáról szóló szabályzat (RID) szerinti – ellenőri-zetlen szabadba jutása
a katasztrófavédelem polgári védelmi szervezeteinek, a hivatásos önkormányzati-, az önkéntes és létesítményi tűzoltóságok erőinek, eszközeinek igénybevételét szük-ségessé teszik, illetve – a MÁV Csoport területén kívüli esetben (a mentéshez a MÁV Csoportba tartozó és a csat-lakozó vasúti társaságok segélynyújtó és elhárító egysé-geinek a közreműködése szükséges.
2.2. Kölcsönösen tájékoztatják egymást – e megállapo-dás mellékleteiben feltüntetve – azokról, az országban igénybe vehető főbb segélynyújtó és műszaki mentő esz-közeikről, berendezéseikről, amelyek alkalmasak a MÁV
Csoport és a csatlakozó vasúti társaságok területén, illet-ve azon kívül előforduló rendkívüli események következ-ményeinek elhárításához.
2.3. Kölcsönösen és térítésmentesen biztosítják egy-más részére az élet- és vagyonmentéshez, valamint a kár-elhárításhoz a szaktanácsadók, valamint a speciális esz-közök, tűzoltószerek, műszaki berendezések, védőruhák, anyagok igénybevételét.
Az élet- és vagyonmentéshez, valamint a kárelhárítás-hoz igénybevett speciális eszközök, tűzoltószerek, mű-szaki berendezések, védőruhák, anyagok költségei meg-térítésével kapcsolatban a vonatkozó jogszabályok szerint járnak el.
3. Az OKF vállalja
3.1. A MÁV Csoport és a csatlakozó vasúti társaságok területén bekövetkezett káresemények helyszínén – a vo-natkozó jogszabályban előírtak teljesítésén túl – gondos-kodik a MÁV Zrt. Műszaki Mentési és Segélynyújtási Utasítása szerint eljáró kárhely parancsnok (MÁV elhárí-tás vezetője) megfelelő informálásáról. a Megállapodás keretében biztosítandó segítségnyújtásról, az 1. és 2. szá-mú mellékletben foglalt erők eszközök – szükség szerinti – kirendeléséről. Az együttesen végzett mentési és elhá-rítási munkák esetén kölcsönösen egyeztetik a kárfelszá-molás érdekében szükséges feladatok végrehajtását.
3.2. Rendkívüli esemény bekövetkezésekor az illeté-kes megyei közgyűlés elnökénél (főpolgármesternél) – szükség esetén – kezdeményezi a területi polgári védelmi szervezetek vezetésbiztosító és híradó, valamint kárfel-számolási szakszolgálat parancsnokság keretében létre-hozott szakalegységeinek bevonását a veszélyeztetett vasúti területen dolgozók és a lakosság lehetőség szerinti gyors riasztásába és informálásába, valamint a védekezé-si feladatok végrehajtásába.
3.3. A Veszélyhelyzeti Felderítő Szolgálat (továbbiak-ban: VFSZ) és a Veszélyhelyzeti Felderítő Csoportok (to-vábbiakban: VFCS-k) segítséget nyújtanak a vasúton fu-varozott, illetve tárolt fokozottan veszélyes anyaggal be-következett rendkívüli eseményeknél az anyag azonosí-tásához, és ehhez technikai eszközöket és személyzetet biztosítanak. Közreműködnek közvetlen életveszély ese-tén a mentésben, az elsősegélynyújtásban, a károk felmé-résében, kiterjedésének megelőzésében (csökkentésé-ben), mentesítésében.
4. A MÁV Zrt. vállalja
4.1. A bekövetkezett súlyos következményű vasúti bal-esetekről, tűzesetekről katasztrófát okozó veszélyes anyagok szabadba jutásáról, amikor a személyi sérülés-hez, nagy értékű dologi kár elhárításához a tűzoltóság illetve a polgári védelem segítsége szükséges, a MÁV
19. szám A MÁV Zrt. Értesítője 1079
Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányítója) haladéktalanul értesíti az OKF Központi Ügyeletét, a MÁV Zrt. területi főüzemirányítója pedig az OKF területileg illetékes ügyeletét.
4.2. A Megállapodásban foglaltakat – a hatályba lépé-sével egyidejűleg – a MÁV Csoportba tartozó MÁV-GÉPÉSZET Zrt., MÁV-TRAKCIÓ Zrt., MÁV-START Zrt. társaságokra kötelező érvénnyel kiterjeszti, a végre-hajtást koordinálja. Az erről szóló ügyirat eredeti példá-nyát, valamint az igénybe vehető erőiket, eszközeiket és a riasztásuk módját e Megállapodás 3. számú melléklete tartalmazza.
4.3. Csatlakozási Nyilatkozatban (továbbiakban: Nyi-latkozat) foglaltak alapján koordinálja a Megállapodás-hoz a MÁV Zrt-n keresztül csatlakozó vasúti társaságok-kal történő együttműködést, a Nyilatkozatokban feltünte-tett erők, eszközök igénybevételét. A Nyilatkozatok ere-deti példányait e Megállapodás mellékleteiként csatolja, melyek tartalmi követelményeit e Megállapodás 4. számú melléklete tartalmazza.
4.4. A MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányító-ja) az OKF Központi Ügyeletének igényére – a MÁV Csoport és a csatlakozó vasúti társaságok területén kívül történt rendkívüli esetben is – riasztja:
– veszélyes anyag ellenőrizetlen szabadba jutás esetén a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgála-tát,
– súlyos következményű baleset és más rendkívüli esetben a MÁV-GÉPÉSZET Zrt. műszaki-mentő és se-gélynyújtó egységét,
– a vasúti pályához közeli tűzesetek oltásához a MÁV-GÉPÉSZET Zrt. által a mellékletben meghatározott he-lyeken készenlétben tartott vízszállító tartálykocsikat, melyek segítséget nyújtanak a mentési (oltási) és védelmi feladatok ellátásához.
2. sz. melléklet
A KÁRHELYPARANCSNOK és HELYETTES FELADATAI
A kárhelyparancsnok és kárhelyparancsnok-helyettes: Riasztás után – a káresemény helyszínére indulás
előtt – tájékozódjanak a területi főüzemirányítótól a ren-delkezésre álló információkról, a következményekről, és közösen döntsenek az elsődleges intézkedésekről, a mű-szaki mentőegység(ek) riasztásáról.
Az esemény helyszínén mérjék fel a helyreállításhoz szükséges személyi és tárgyi feltételeket, és egyeztetés után intézkedjenek – amennyiben szükséges – a további segélynyújtó és elhárító egységek, eszközök kirendelésé-re, igénybevételére.
A kárhelyparancsnok: Személyek mentése esetén intézkedjen a tűzoltóság
és a mentők igénye szerint a szükséges személyi vagy műszaki segítségnyújtás biztosítására.
Egyeztesse és koordinálja a feladatokat a közremű-ködő szervezetek helyszíni munkairányítóival, és dönt-sön az elvégzendő munkák sorrendjéről. A kárhely--parancsnok utasítását az elhárításban résztvevőknek ma-radéktalanul végre kell hajtani.
Folyamatosan működjön együtt a balesetvizsgáló bizottsággal, illetve a helyszínelést végző hatóságokkal.
Egyeztesse és koordinálja a feladatok végrehajtását a forgalmi összekötővel és vegye fi gyelembe a forgalmi igényeket.
Intézkedjen a további segélynyújtó és elhárító egy-ségek, eszközök kirendelésére, az elhárítási munkák biz-tosításához.
Tartson folyamatos kapcsolatot a hálózati és területi főüzemirányítóval, a rendkívüli helyzeteket kezelő irá-nyítóval, a hálózati operatív fődiszpécserekkel, villamos üzemirányítókkal, adjon rendszeres tájékoztatást az elhá-rítási munkák állásáról.
Szükség esetén az operatív főirányítón, fődiszpé-csereken, villamos üzemirányítókon keresztül kezdemé-nyezze a külső vállalkozások bevonását a helyreállításba.
Szükség esetén kezdeményezze a katasztrófavédel-mi szervezet és a honvédségi erők közreműködését az elhárítási munkákban.
A helyreállítási munkák során intézkedjen a szüksé-ges forgalomkorlátozások előjegyeztetésére, útátjárók, műtárgyak lezárására, vágányzár, lassújel, vagy felső-ve-zetéki berendezéssel ellátott pályán a feszültség-mentesí-tés bevezetésének elrendelésére.
1080 A MÁV Zrt. Értesítője 19. szám
3.sz. melléklet
Adatlap a rendkívüli esemény következményeiről
19. szám A MÁV Zrt. Értesítője 1081
1082 A MÁV Zrt. Értesítője 19. szám
4.A.sz. melléklet
A MÁV-GÉPÉSZET Zrt. műszaki mentő és segélynyújtó egységek telepítési helyei.
Sorszám Telepítési hely Baleseti segélynyújtó egységek felsorolása Kivonulási létszám meghatározása
1. Ferencváros – közúti–vasúti segélynyújtó UNIMOG gép-jármű (KVSU–01)– vasúti segélynyújtó szerelvény– MD–603 psz. vasúti segélynyújtó darusze-relvény (nagyjavítás után MD 605 psz.)
6 fő
+ 1 fő
2. Székesfehérvár – RÁBA közúti segélynyújtó gépkocsi– MD–1252 psz. vasúti segély-nyújtó daru-szerelvény (nagyjavítás után MD 1253 psz.)
6 fő
+ 1 fő3. Győr – vasúti segélynyújtó szerelvény 6 fő4. Szolnok – vasúti segélynyújtó szerelvény
– KRC 1220 sor. vasúti segélynyújtó daru-szerelvény
6 fő+ 2 fő
5. Miskolc – vasúti segélynyújtó szerelvény 6 fő6. Debrecen – RÁBA közúti- vasúti segélynyújtó gépjár-
mű6 fő
7. Szeged – TÁTRA közúti segélynyújtó gépjármű– vasúti segélynyújtó szerelvény
6 fő
8. Dombóvár – vasúti segélynyújtó szerelvény 6 fő9. Szombathely – TÁTRA közúti segélynyújtó gépjármű
– vasúti segélynyújtó szerelvény6 fő
10. Záhony – vasúti segélynyújtó szerelvény(normál nyomtávú)– vasúti segélynyújtó szerelvény(széles nyomtávú)
6 fő
4. B sz. melléklet
A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egység telepítési helye
Telepítési hely Közúti vegyi elhárító egység telepítési helyeiBudapest Ferencváros -Vasúti Vegyi Elhárító Szolgálat
4. C sz. melléklet
A Rail Cargo Hungária Zrt. közúti vegyi elhárító egységtelepítési helye
Telepítési helyVegyi Elhárító Egység
Záhony - Vasúti Vegyi Elhárító Szolgálat Kirendeltség
19. szám A MÁV Zrt. Értesítője 1083
5.sz. melléklet
Irányelvek a következményektől függően alkalmazandóműszaki mentő és segélynyújtó egységekre
Műszaki mentő és segélynyújtó eszközök Hidraulikus emelő MD 600 MD 1250 és
KRC 12201. Állomási vágány hálózat:- folyó vágányon siklott jármű +- váltókörzetben egyszerű siklás +- váltókörzetben több kocsi siklása x +- kis állomás, kevés vágány +- kis távolságban keresztmező + x -
2. Nyílt vonali vágány hálózat:Egy vágányú pályán:- egy kocsi siklott +- több jármű siklott + + x- nagy túlemelés, több jármű + - -
Kettő vagy több vágányú pályán:- egyik vágányon egy kocsi +- egyik vágányon több kocsi x + x- mindkét vágány több kocsival zárva x +
1. és 2. területen a siklott járművek tömege, rakomá-nyának helyzete:– könnyű, kevés jármű, sínhez közel +– mozdony keresztbefordulva x +– rakott jármű mindkét oldalon besüllyedve +– könnyű jármű vágánytól távol +– rakott, nehéz vágánytól messze - +– jármű pályaszint alatt (töltéshez viszonyítva/ - +– könnyű jármű felborulva +– rakott, nehéz jármű felborulva - +– több könnyű jármű egymáson - + +
– több jármű és rakomány egymáson több egység egyidejű munkája
A táblázat jelölései a következők:+ a használat egyértelműen kedvezőbb,x vagylagosan választható,– egyértelműen kizárható.
A vasúti eszközökön kívül fi gyelembe veendők a 10. sz. mellékletben foglaltak.
1084 A MÁV Zrt. Értesítője 19. szám
6.sz. melléklet
MD 600 sorozatú daru főbb adatai
19. szám A MÁV Zrt. Értesítője 1085
7.sz. melléklet
MD 1250 sorozatú daru főbb adatai
1086 A MÁV Zrt. Értesítője 19. szám
8.sz. melléklet
KRC 1220 sorozatú daru főbb adatai
19. szám A MÁV Zrt. Értesítője 1087
9.sz. melléklet
A Lucas típusú hidraulikus emelők
1088 A MÁV Zrt. Értesítője 19. szám
10./1.sz.melléklet
Az Országos Katasztrófavédelmi IgazgatóságVeszélyhelyzeti Felderítő Szolgálat (továbbiakban: VFSZ) és aVeszélyhelyzeti Felderítő Csoportok (továbbiakban: VFCS-k)
riaszthatósága és igénybevétele:
A VFSZ és a VFCS-k riasztása és igénybevétele az OKF Központi Ügyeletén keresztül történik. Telefon: +36 1 469-4349, +36 1 469-4293 és +36 1 469-4168.
A VFSZ riasztásának ideje: 2 perc. A VFCS riasztásának ideje: munkaidőben 20 perc, hivatali időn kívül legfeljebb 60 perc.
A Regionális Műszaki Mentő Bázisok (a továbbiakban: Bázis) alkalmazhatósága és felszerelései, a bázisokat üze-meltető tűzoltóságok és járműveik:
• Fővárosi Tűzoltóparancsnokságjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Debrecen HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Győr HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Miskolc HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Pécs HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Szeged HÖTjárművek: műszaki mentő és vegyi-elhárító konténer• Szolnok HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Veszprém HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Zalaegerszeg HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer
A Bázisok működési területét a Riasztási és Segítségnyújtási Tervről, a hivatásos önkormányzati és az önkéntes tűzoltóságok működési területéről, valamint a tűzoltóságok vonulásaival kapcsolatos költségek megtérítéséről szóló 57/2005. (XI. 30.) BM rendelet (a továbbiakban: rendelet) 5. számú melléklete tartalmazza.
19. szám A MÁV Zrt. Értesítője 1089
10./2.sz.melléklet
A VFSZ és a VFCS-k működési területe és szakfelszerelései:
Telepítési hely(megyei katasztrófavédelmi igaz-
gatóságok székhelyén)Működési terület Szakfelszerelések,
alkalmazhatóság
Kecskemét Bács-Kiskun megye Mikrometeorológia, Gázkoncentrá-ció mérés, Sugárzásmérés, Biológiai mintavevők, Bőr- és légzésvédők, Hírforgalmi és adatfeldolgozó esz-közök, Áramfejlesztő, Mentesítő (fertőtlenítő) felszerelés (3 fő részé-re), Lakosság-tájékoztató eszközök.3 fős állomány: csoportvezető, tech-nikus, gépjárművezetőFeladatuk: a veszélyes anyagok je-lenlétével, kiszabadulásával, kör-nyezetbe kerülésével járó balesetek, természeti és civilizációs katasztró-fák esetén a beavatkozói állomány, a lakosság és az anyagi javak védel-mének érdekében felderítés, szakér-tői feladatok ellátása, lakosságtájé-koztatás, az elsődleges beavatkozók (tűzoltók) védelme, kárhely-pa-rancsnok alárendeltségében szakér-tői feladatok végzése.
Pécs Baranya megyeMiskolc Borsod-Abaúj-Zemplén megyeSzeged Csongrád megyei VFCS) Csongrád megye és Békés megyeSzékesfehérvár Fejér megyeDebrecen Hajdú-Bihar megyeEger Heves megyeGyőr Győr-Moson-Sopron megye Szolnok Jász-Nagykun-Szolnok megyeTatabánya Komárom-Esztergom megyeSalgótarján Nógrád megyeKaposvár Somogy megyeNyíregyháza Szabolcs-Szatmár-Bereg megyeSzekszárd Tolna megyeSzombathely Vas megyeVeszprém Veszprém megyeZalaegerszeg Zala megyeBudapest (Fővárosi VFCS, Fővárosi Polgári Védelmi Igazgatóság, FPVI Bázisán)
Pest megye
Budapest (VFSZ, Fővárosi Polgári Védelmi Igazgatóság Bázisán)
Budapest Főváros(Fővárosi Tűzoltó-parancsnokság, FTP elsődleges működési körzetével azonos terület)
1090 A MÁV Zrt. Értesítője 19. szám
11./1. sz. melléklet
Vegyi Elhárítási Jegyzőkönyv.
19. szám A MÁV Zrt. Értesítője 1091
11./2. sz. melléklet
35/2010. (VI. 11. MÁV Ért. 19.) EVIG számúelnök-vezérigazgatói utasítás
egyes humán tárgyú utasításokhatályon kívül helyezéséről
1.0 AZ UTASITÁS CÉLJA
A Humánerőforrás Igazgatóság tevékenységi körébe tartozó még hatályban lévő normatív utasítások hatályon kívül helyezése jogszabályi, szervezeti és működési fo-lyamatbeli változások miatt.
2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA
2.1 Az utasítás hatálya
Az utasítás hatálya kiterjed a MÁV Zrt. valamennyi munkavállalójára.
2.2. Az utasítás kidolgozásáért és karbantartásáért felelős
Az utasítás kidolgozásáért a Humánerőforrás Igazga-tóság a felelős.
3.0 FOGALMAK MEGHATÁROZÁSA
Külön meghatározás nem szükséges.
4.0 AZ UTASITÁS LEIRÁSA
Az utasításhoz külön leírás nem szükséges.
5.0 HIVATKOZÁSOK, MÓDOSITÁSOK HATÁ-LYON KÍVÜL HELYEZÉSEK
Jelen utasítás kiadásával hatályukat veszítik az alábbi-akban felsorolt utasítások:
1. 3/2008. (II. 8. MÁV Ért. 3.) VIG. sz. vezérigazgatói utasítás a MÁV Zrt. 2008. évi bérintézkedéseiről és a bé-ren kívüli juttatások feltételeiről
2. (I.9. MÁV Ért. 1.) A MÁV Zrt. 2009. évi bérintézke-déseiről és a béren kívüli juttatások feltételeiről szóló megállapodás
3. 13/2009. (II. 6. MÁV Ért. 5.) VIG sz. vezérigazgatói utasítás a 2009. évi személyi alapbérfejlesztés végrehajtá-sáról a 6-17 MMK-ban
Indoklás: Az utasítások a 2008. vagy 2009. évi Bérin-tézkedésekről szóló megállapodás kiadásáról és azokkal összefüggő intézkedésekről szólnak. Tekintettel arra, hogy a 2008. és 2009. évi Bérmegállapodások a tárgyév-ben teljesültek, ezért a kihirdetésükről szóló utasítások hatályon kívül helyezését kérjük.
4. 110/2000. (MÁV Ért. 47.) FMKF. sz. utasítás a hideg környezetben végzett munka munkaszervezési intézke-déseiről
5. 55/2009 (VIII.28. MÁV Ért.25.) VIG számú vezér-igazgatói utasítás a MÁV Zrt. munkavállalóinak nyelvtu-dási pótlékáról
Indoklás: A 2010. február 1-től hatályos Kollektív Szerződés rendelkezik a tárgykörben hatályos szabályok-ról, külön utasításban történő rendelkezés szükségtelen.
6. 70/2003. (MÁV Ért. 19.) ISZF. sz. utasítás a Kollek-tív Szerződés egyes rendelkezéseinek közös értelmezésé-ről szóló megállapodásról
Indoklás: A 2009. és 2010. évi Kollektív Szerződés záró rendelkezésében foglalt szabályok alapján indokolt a ha-tályon kívül helyezés.
7. 1/2005. (I. 07. MÁV Ért. 1.) Jog-vezérigazgatói utasí-tás a közbeszerzések végrehajtása a MÁV Rt. területén, illetve a 32/2005. (IX. 16. MÁV Ért. 37.) Jog-vezérigazga-tói utasítás a közbeszerzések végrehajtásáról a MÁV Rt. területén tárgyú 1/2005.(I. 07. MÁV Ért. 1.) VIG sz. uta-sítás 1. sz. módosítása.
Indoklás: A 32/2010. (VI. 04. MÁV Ért. 18.) EVIG sz. elnök-vezérigazgatói utasítás a MÁV Zrt. Közbeszerzési Szabályzatáról alapján indokoltak a hatályon kívül hely-ezések.
6.0 HATÁLYBA LÉPTETÉS
Jelen utasítás a közzététele napján lép hatályba.
7.0 MELLÉKLETEK
Az utasításhoz melléklet nem tartozik.
Andrási Miklós s.k.elnök-vezérigazgató
1092 A MÁV Zrt. Értesítője 19. szám
36/2010. (VI. 11. MÁV Ért. 19.) EVIG számúelnök-vezérigazgatói utasítás
külső féltől bérelt munkásszállásigénybevételének rendje
1.0 AZ UTASÍTÁS CÉLJA
A MÁV Zrt. által külső féltől bérelt munkásszállások igénybevételével kapcsolatos tevékenységek és folyama-tok egységes szabályozásának kialakítása, továbbá a ha-tásköri, ügyviteli és technikai szabályok meghatározása.
2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA
2.1. Az utasítás hatálya
Személyi, szervezeti hatálya kiterjed a MÁV Zrt. vala-mennyi szervezeti egységére és valamennyi munkaválla-lójára.
2.2. Felelősség
Jelen utasítás kidolgozásáért és karbantartásáért a Hu-mánerőforrás Igazgatóság Folyamat és Működés Fejlesz-tés szervezete, a működtetéséért a Humánerőforrás Igaz-gatója, munkáltatói jogkörgyakorlók és a folyamatban résztvevő szervezetek a felelősek.
3.0 FOGALOM-MEGHATÁROZÁSOK
Munkásszállás: a MÁV Zrt. által bérelt olyan szállás-hely, amely lakóhelyiségenként egynél több, a MÁV Zrt-vel munkaviszonyban lévő olyan magánszemélyek elhe-lyezésére szolgál, akiknek nincs lakóhelyük azon a tele-pülésen, ahol a munkahelyük van.
Munkásszállás koordinátor: A MÁV Zrt. és a mun-kásszállást biztosító külső fél közötti kapcsolattartó sze-mély, a Humánerőforrás Igazgatóság Folyamat- és Műkö-désfejlesztés szervezetén belül látja el ezen tevékenysé-get.
Üzemeltető: MÁV Zrt. által bérelt kereskedelmi szál-láshely szolgáltatója. Feladatait, kötelezettségeit a mun-kásszállói férőhely biztosítására a MÁV Zrt. és az üze-meltető között kötött szerződés szabályozza.
Kategória: A kategória besorolást a 4.sz. melléklet tartalmazza.
4.0 AZ UTASÍTÁS LEÍRÁSA
4.1. Férőhelyek megosztása
A munkásszálló férőhelyeinek szervezeti egységek kö-zötti megosztásáról – a csoportszintű vasúti érdekek fi -
gyelembe vételével – a MÁV Zrt. Humánerőforrás Igaz-gatója rendelkezhet a munkáltatói jogkörgyakorló kérel-mére a foglalkoztatáspolitikai szempontok alapján.
4.2. Munkavállaló elhelyezése
4.2.1. Az igénybevétel feltételei
A MÁV Zrt. által biztosított munkásszállók férőhelyé-nek igénybevételét jelen utasítás szabályozza, összhang-ban a MÁV Zrt. Kollektív Szerződésének 66.§.-ában meghatározottak szerint.
A munkásszállón lakók jogait és kötelezettségeit a munkásszálló házirendje tartalmazza, melynek megis-merése és betartása a munkavállaló kötelessége. A házi-rend a szobákban elhelyezett helyiségdokumentáció ré-sze, melyet a munkásszállás üzemeltetője biztosít.
A munkásszállói férőhelyet igénybevevő a használatra átvett felszerelésért, és berendezésért anyagilag felelős. A munkásszálló felszerelésében, berendezésében okozott kárt, annak okozója köteles megtéríteni. A károk, hiá-nyosságok bejelentése a munkásszálló üzemeltetője által megjelölt személynek minden munkásszállói férőhelyet igénybevevő érdeke és kötelessége.
Kizárja a kérelem benyújtását az alábbi tények közül bármelyik:
a. Nem rendelkezik állandó bejelentett lakóhellyel, ki-vételt képeznek az állami gondozásból munkásszállásra költözők.
b. A munkahellyel azonos közigazgatási helységben beköltözhető, lakástulajdonnal, vagy lakásbérlettel ren-delkezik.
4.2.2. Munkavállaló munkásszálláson történő elhe-lyezésének menete, szabályai
4.2.2.1. Munkásszálláson történő elhelyezés igény-lése
A munkavállaló munkásszálláson történő elhelyezési igényét az illetékes munkáltatói jogkörgyakorló felé küldi meg, kizárólag írásban, az utasítás 1.sz. mellékletét képe-ző „KÉRELEM” nyomtatvány 1. pontjának kitöltésével és aláírásával.
Az illetékes munkáltatói jogkörgyakorló a benyújtott kérelem esetén köteles megvizsgálni, hogy a kérelem be-nyújtásának van-e kizáró oka és a foglalkoztatáspolitikai szempontoknak megfelel-e. Erről nyilatkoznia szükséges a „KÉRELEM” nyomtatvány 2. pontjában.
A foglalkoztatáspolitikai szempontok az alábbiak: A MÁV Zrt szervezeti optimalizálása során a mun-
kavállaló a migrációt vállalja, A munkakör betöltése hosszú ideje nem megoldott
(a meghirdetéstől számítva több mint 2 hónap),
19. szám A MÁV Zrt. Értesítője 1093
A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás együttes ideje több mint 2 óra,
A munkakört betöltő személy munkásszálláson tör-ténő elhelyezése nélkülözhetetlen a szervezet feladatai-nak folyamatos ellátása tekintetében,
Kizáró ok fennállása esetén és/vagy ha a kérelem egyetlen foglalkoztatáspolitikai szempontnak sem felel meg, a munkáltatói jogkörgyakorló a munkavállaló ré-szére hivatalos írásos formában visszautasítja a kérelmet az ok megjelölésével.
Amennyiben nincs kizáró ok és a foglalkoztatáspoliti-kai szempontoknak is megfelel a munkavállalói kérelem, a munkáltatói jogkörgyakorló a munkavállaló kérelmé-nek támogatása – a kérelem (1.sz. melléklet) 2. pontjának kitöltése, aláírás – esetén engedélyezés céljából elsősor-ban elektronikus úton (szkennelve, e-mailen: [email protected]) továbbítja a kérelmet az utasítás 2.sz.mellékletét képező kitöltött, aláírt „NYILAT-KOZAT”-tal együtt a MÁV Zrt. Humánerőforrás Igazga-tója felé a Folyamat- és Működésfejlesztés szervezeten keresztül.
A munkásszállás koordinátor a MÁV Zrt. Humánerő-forrás Igazgató részére döntésre előkészíti a munkásszál-lás elhelyezésre megküldött kérelmet (1.sz. melléklet)− felveszi a kapcsolatot a munkásszállást biztosító üze-
meltetővel,− a kérelem (1.sz. melléklet) 3.pontját kitölti és aláírja.
Férőhely hiányában a munkásszállás koordinátor a ké-relmet támogató munkáltató jogkörgyakorló részére ezen tényt visszajelzi, és tájékoztatja arról, hogy a kérelem adatbázisba került. Üresedés esetén értesítést küld a munkáltatói jogkörgyakorló felé, aki megerősíti, hogy az igényt továbbra is fenntartja.
A MÁV Zrt. Humánerőforrás Igazgató az illetékes munkáltatói jogkörgyakorló vezető javaslata és a gazda-sági és humánpolitikai csoportszintű vasúti érdekek fi -gyelembevételével dönt az érintett munkavállaló mun-kásszálláson történő elhelyezéséről (1.sz. melléklet 4. pontja) a rendelkezésre álló kontingens fi gyelembevételé-vel.
A munkásszállás koordinátor a Humánerőforrás Igaz-gató támogató döntéséről tájékoztatja az érintett munkál-tatói jogkörgyakorlót, másolatban az illetékes humán-partnert a kérelem (1.sz. melléklet) 5. pontjának kitöltése és aláírása után, annak elektronikus úton való megküldé-sével.
Támogató döntést követően a munkásszállás koordiná-tor az SAP HR rendszer 9-es, „MÁV által biztosított munkásszállás” cím infotípuson rögzíti az adott munka-
vállalóhoz tartozó munkásszállás címet, a kérelmet (1.sz. melléklet) 5.pontjának kitöltése és aláírása után elektro-nikus úton megküldi az illetékes munkáltatói jogkörgya-korló vezető és a Humánszolgáltatás Back Offi ce szerve-zete részére. Ez utóbbi szervezet részére a munkásszállás koordinátor a kérelemhez (1.sz. melléklet) csatolt kitöl-tött, aláírt nyilatkozatot (2.sz. melléklet) papíralapon is továbbítja.
A Humánszolgáltatás Back Offi ce szervezet a megkül-dött kérelem és a nyilatkozat alapján:
• a kérelmet az SAP HR rendszerbe szkennelt doku-mentumként feltölti és az érintett munkavállaló szolgála-ti táblájába helyezi,
• Intézkedik a munkásszállás igénybevételéért fi zeten-dő összeg munkabérből történő levonásáról.
A munkáltatói jogkörgyakorló a MÁV Zrt. Humánerő-forrás Igazgató támogató döntése esetén értesíti és részle-tesen tájékoztatja az érintett munkavállalót a beköltözés-hez szükséges ügyintézésről.
A munkásszállás koordinátor a Humánerőforrás Igaz-gató elutasító döntéséről tájékoztatja az érintett munkál-tatói jogkörgyakorlót, a kérelem (1.sz. melléklet 4. pontjá-ig kitöltött) elektronikus úton történő megküldésével. A munkáltatói jogkörgyakorló az elutasítás tényéről írásban tájékoztatást ad az érintett munkavállaló részére.
A 2.sz. mellékletet képező nyilatkozat megtétele nél-kül, munkavállaló részére munkásszállói férőhely nem biztosítható.
4.2.2.2. Munkásszálláson történő bejelentkezés
A munkásszállás koordinátor a munkásszállás üzemel-tetője felé a beköltözést megelőző 30 napon belül az üze-meltetővel kötött szerződés szerinti kapcsolattartó nevére és elérhetőségére a 3.sz. melléklet (MÁV Zrt. „BEUTA-LÓ”) 1. és 2.a. pontját kitölti, aláírással és bélyegzővel ellátva megküldi.
A munkavállaló a munkáltatói jogkörgyakorló tájékoz-tatása alapján a beköltözésre megjelölt időpontban és munkásszállón
• megjelenik,• az üzemeltető által biztosított 3.sz. melléklet 2.b.
pontot kitöltve és aláírva,• a házirendnek megfelelően beköltözik.A házirend megismerése és betartása a munkavállaló
kötelessége.
A munkásszállás üzemeltetője a beutalót (3.sz. mellék-let), annak 2.b. pontjának kitöltése és aláírása után, visz-szaküldi a munkásszállás koordinátor részére.
1094 A MÁV Zrt. Értesítője 19. szám
4.2.2.3 Munkásszállói férőhelyre való jogosultság, munkavállalói igény megszűnése
Amennyiben a munkásszálláson elhelyezett dolgozó-nak a munkásszállás igénybevételére való joga megszű-nik (munkaviszony megszüntetése, fegyelmi okok, stb.) a munkásszállást haladéktalanul el kell hagynia, de legké-sőbb a tárgyhó utolsó naptári napjáig. A MÁV Zrt-t elhe-lyezési kötelezettség a továbbiakban nem terheli.
A munkásszállói férőhelyet igénybe vevő munkavállaló munkásszállói férőhelyre való jogosultságának, a Kollek-tív Szerződés 66.§-ban meghatározottak szerinti megszű-néséről az érintett munkavállaló munkáltatói jogkörgya-korló vezetője elektronikus formában haladéktalanul tájé-koztatja a MÁV Zrt. Humánerőforrás Igazgatóság Folya-mat- és működésfejlesztés szervezetét és másolatban az illetékes humánpartnert. Ennek elmulasztása esetén a munkásszállás koordinátor a tájékoztatás és a kiköltözés megtörténtéig jogosult az érintett munkavállaló munkál-tatói jogkörgyakorló költséghelyére a munkásszállói férő-hely igénybevételével felmerült költséget terheltetni.
Amennyiben a munkavállaló lakhatására más megol-dást talál és a munkásszállói elhelyezést a továbbiakban nem kívánja igénybe venni, azt a munkáltatói jogkörgya-korlójának írásban köteles jelezni.
A munkáltatói jogkörgyakorló vezetője elektronikus formában haladéktalanul tájékoztatja a MÁV Zrt. Hu-mánerőforrás Igazgatóság Folyamat- és működésfejlesz-tés szervezetét és másolatban az illetékes humánpartnert a többletköltségek elkerülése érdekében.
A Humánszolgáltató Szervezet hó közben történő igény megszűnése esetén a munkásszállói férőhely teljes havi térítési díját az érintett munkavállaló munkabéréből levonja, a nyilatkozat (2.sz. melléklet) alapján.
4.2.2.4 Munkásszállásról történő kijelentkezés
A munkáltatói jogkörgyakorló vezető elektronikus for-mában értesíti a munkásszállás koordinátort legkésőbb 2 héttel korábban az érintett munkavállaló munkásszállói férőhelyre való jogosultságának megszűnéséről. Amennyi-ben az előzetes értesítés 2 hetes intervallumon belül érke-zik meg a munkásszállás koordinátor felé, az ez alapján felmerülő költség az érintett szervezeti egységet terheli.
A munkásszállás koordinátor ezen információ birtoká-ban az érintett munkavállaló beköltözéséhez korábban kitöltött, az üzemeltető által visszajuttatott BEUTALÓ-t (3.sz. melléklet), annak 3.a. pontját kitöltve haladéktala-nul visszajuttatja a munkásszállás üzemeltetőjének és a munkáltatói jogkörgyakorlónak és másolatban az illeté-kes humánpartnernek. A munkáltatói jogkörgyakorló tá-jékoztatja az érintett munkavállalót a kiköltözéssel kap-csolatosan.
Köröztetés esetén az illetékes humánpartner a munkál-tatói jogkörgyakorló tájékoztatása és az SAP-ban rögzí-tett 9-es cím „MÁV által biztosított munkásszállás” infotípus alapján köteles a köröző lapra rávezetni: „MÁV által biztosított munkásszállás férőhelyet vesz igénybe”, a munkásszálláson való tartózkodás utolsó napjának dátu-mát (év, hó, nap).
A Humánszolgáltató Szervezet a munkásszállói férő-helyre való jogosultság, munkavállalói igény hó közben történő megszűnése, megszüntetése esetén a munkás-szállói férőhely teljes havi térítési díját az érintett munka-vállaló munkabéréből levonja, a nyilatkozat (2.sz. mel-léklet) alapján.
Ebben az esetben az érintett munkavállaló tárgyhó vagy adott hónap utolsó napjáig a munkásszállóban ma-radhat.
Az érintett munkavállaló a munkásszálláson való tar-tózkodás utolsó napján köteles:
• a munkásszállóról a házirendnek megfelelően kiköl-tözni,
• az üzemeltető által biztosított 3.sz. melléklet (beuta-ló) 3.b. pontját kitölteni és aláírni,
• gondoskodni személyes tárgyainak, eszközeinek munkásszállásról, való elviteléről. Amennyiben ennek nem tesz eleget, úgy a munkásszállást üzemeltető által meghatározott időpontig köteles annak elviteléről gon-doskodni. A munkásszállást üzemeltető a meghatározott időn túl a munkavállaló személyes tárgyainak megőrzé-sére nem kötelezhető és nem köteles.
4.3. Adatszolgáltatási, elszámolási és egyéb kötele-zettség
4.3.1. Havi költségelszámolással kapcsolatos felada-tok az üzemeltető és a megrendelő munkáltatók kö-zött
Munkásszállás koordinátor
Az üzemeltető által a számla kiállítása előtt megkül-dött igénybevevői névsort és adatokat leellenőrzi a kitöl-tött munkásszálláson történő elhelyezésre vonatkozó ké-relmen szereplő munkáltatói jogkörgyakorló költségvál-laló nyilatkozata fi gyelembevételével.
Elvégzi a tényleges munkásszállás felhasználás szer-vezeti egységekre való költségmegosztást, mely alapján előkészíti az üzemeltető által kiállítandó számla mellék-letét és a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t.
Az „igénybevevői nyilvántartás adattábla” (excell ala-pú) az alábbi adatokat tartalmazza:
19. szám A MÁV Zrt. Értesítője 1095
TörzsszámIgénybevevő munkavállaló
neve
Üzletág (Pálya=P vagy
Központ=K)
Létszámban tartó szervezet költséghely
kódja
UTK kód
(0105)
Fk.szla (516516) Összeg (Ft)
A munkásszállás számlázott költségei a 0105 (UTK) tevékenységi kódra, az 516516 főkönyvi számlára kerül-nek elszámolásra.
Az érintett költségelszámoláshoz kötődő UTK, illetve Főkönyvi számla számának változásáról haladéktalanul tájékoztatja a munkásszállás koordinátort a [email protected] e-mail címen, mely alapján van módja a munkásszállás koordinátornak ezen változást/változásokat az „igénybevevői nyilvántartás adattáblá”-n módosítani.
Humán Kontrolling
Kikontírozza a Basware rendszeren keresztül érkezett számlát az 59360 vállalati általános költséghelyre, jóvá-hagyás előtt a számlakezelő rendszerbe a munkásszállás koordinátor által megküldött excell igénybevevői nyil-vántartás adattáblát felcsatolja, ami alapján a Számviteli Szervezet a költségek szétosztását végzi.
A számlát jóváhagyásra megküldi a Humánerőforrás Igazgató részére a Basware rendszeren keresztül.
Figyelemmel kíséri minden hónapban az általános költséghely nullára való kifutását.
A MÁV Zrt. Humánerőforrás Igazgatója által leigazolt teljesítésigazolást és az alapját képező igénybevevői nyil-vántartást megküldi az üzemeltető felé.
A teljesítésigazolással egyidőben a Kontrolling Igaz-gatóság Humán Kontrolling szervezet részére elektroni-kus úton haladéktalanul megküldi a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t excell formátumban.
Számviteli Szervezet
Az üzemeltető által kiállított számlát és a mellékletét képező teljesítésigazolást beszkenneli a Basware rend-szerbe, és megküldi kontírozásra a Kontrolling Igazgató-ság Humán Kontrolling szervezet részére.
A Humánerőforrás Igazgató jóváhagyását követően, a Számviteli Szervezet a számla könyvelését a Humán Kontrolling által elektronikusan megküldött, könyvelési adatokat is tartalmazó „igénybevevői nyilvántartás adat-tábla” alapján végzi el. A könyvelés és a költségek szét-osztásának megtörténtéről a munkásszállás koordinátort a [email protected] e-mail címen haladéktalanul értesíti.
A Humánszolgáltató Szervezet által a munkásszállói férőhelyet igénybevevő munkavállaló béréből levont munkásszállói térítési díjat bevételként a létszámbantartó szervezet javára elszámolja.
1096 A MÁV Zrt. Értesítője 19. számFo
lyam
atle
írás
köl
tség
ek e
lszá
mol
ásár
ól
Ssz
Tevé
keny
ség
Tevé
keny
ség
inpu
tja
Tevé
keny
ség
outp
utja
Fele
lős
Tám
ogat
óIn
form
áció
t kap
óD
okum
entu
m, s
ablo
n,re
ndsz
er
1.M
unká
ltató
i nyi
latk
ozat
a
költs
égvi
selé
sről
Mun
káss
zállá
s férő-
hely
igén
ybev
étel
Mun
kálta
tói k
ölts
ég-
vise
lési
nyi
latk
ozat
Mun
kálta
tói
jogk
örgy
akor
-ló
Mun
káss
zállá
s ko
ordi
náto
rM
unká
ltató
i jog
körg
ya-
korló
köl
tség
válla
lási
nyi
-la
tkoz
ata
(kér
elem
)2.
Üze
mel
tető
álta
l meg
-kü
ldöt
t igé
nybe
vevő
i né
vsor
elle
nőrz
ése
Igén
ybev
evői
név
sor
beér
kezé
seSz
erve
zeti
egys
égen
-ké
nti k
ölts
égm
egos
z-tá
s, Ig
ényb
evevői
ny
ilván
tart
ás e
xcel
l ad
attá
bla
előá
llt
Mun
káss
zál-
lás k
oord
iná-
tor
Üze
mel
-te
tő,
mun
kál-
tató
i jog
-kö
rgya
-ko
rló
Igén
ybev
evői
nyi
lván
tar-
tás e
xcel
l ada
ttábl
aM
unká
ltató
i jog
körg
ya-
korló
köl
tség
válla
lási
nyi
-la
tkoz
ata
(kér
elem
) és
igén
ybev
evői
név
sor (
üze-
mel
tető
től)
alap
ján
3.Te
ljesít
ésig
azol
ás e
lőké
-sz
ítése
Szer
veze
ti eg
ység
en-
ként
i köl
tség
meg
osz-
tás,
Igén
ybev
evői
nyi
l-vá
ntar
tás e
xcel
l ada
t-tá
bla
előá
llt
Elők
észí
tett
telje
sí-té
sigaz
olás
Mun
káss
zál-
lás k
oord
iná-
tor
Hum
ánerőf
orrá
s ig
azga
tóTe
ljesít
ésig
azol
ás
4.Te
ljesít
és ig
azol
ása
Elők
észí
tett
telje
sítés
-ig
azol
ásLe
igaz
olt t
elje
síté-
sigaz
olás
Hum
ánerő-
forr
ás Ig
az-
gató
Mun
káss
zállá
s ko
ordi
náto
rLe
igaz
olt t
elje
sítés
igaz
olás
5.a
Telje
sítés
igaz
olás
meg
-kü
ldés
eTe
ljesít
ésig
azol
ásM
unká
sszá
l-lá
s koo
rdin
á-to
r
Üze
mel
tető
Leig
azol
t tel
jesít
ésig
azol
ás
5.b
Telje
sítés
igaz
olás
ala
p-já
t kép
ező
Igén
ybev
evői
ny
ilván
tart
ás e
xcel
l ad
attá
bla
küld
ése
Telje
sítés
igaz
olás
al
apjá
t kép
ező
Igén
y-be
vevő
i nyi
lván
tart
ás
exce
ll ad
attá
bla
Mun
káss
zál-
lás k
oord
iná-
tor
Kon
trolli
ng Ig
az-
gató
ság
Hum
án
Kon
trolli
ng
Igén
ybev
evői
nyi
lván
tar-
tás e
xcel
l ada
ttábl
a
6.Sz
ámla
foga
dása
, sz
kenn
elés
e B
asw
are
rend
szer
be, k
ontír
ozás
-ra
tová
bbítá
s
Üze
mel
tető
álta
l kiá
l-lít
ott s
zám
la, t
elje
sí-té
sigaz
olás
üze
mel
tető
ál
tal k
üldé
se
Szám
vite
lK
ontro
lling
Igaz
-ga
tósá
g H
umán
K
ontro
lling
Szám
la, t
elje
sítés
igaz
olás
7.K
ikon
tíroz
za a
Bas
war
e re
ndsz
eren
ker
eszt
ül é
r-ke
zett
szám
lát 5
9360
ál
talá
nos k
ölts
éghe
lyre
, ig
ényb
evevői
nyi
lván
-ta
rtás
exc
ell a
dattá
bla
felc
sato
lása
Kik
ontír
ozot
t köl
t-sé
g,Ig
ényb
evevői
nyi
l-vá
ntar
tás e
xcel
l ada
t-tá
bla
felc
sato
lva
Kon
trolli
ng
Igaz
gató
ság
Hum
án K
on-
trolli
ng
Hum
ánerőf
orrá
s Ig
azga
tóSz
ámvi
tel S
zer-
veze
t
19. szám A MÁV Zrt. Értesítője 1097Ss
zTe
véke
nysé
gTe
véke
nysé
g in
putj
aTe
véke
nysé
g ou
tput
jaFe
lelő
sTá
mog
ató
Info
rmác
iót k
apó
Dok
umen
tum
, sab
lon,
rend
szer
8.Sz
ámla
jóvá
hagy
ása
Mun
kálta
tói j
ogkö
rgya
-ko
rló k
ölts
égvá
llalá
si
nyila
tkoz
ata
(kér
elem
) al
apjá
n -1
.pon
t
Kon
tíroz
ásJó
váha
gyot
t szá
mla
Hum
ánerő-
forr
ás Ig
az-
gató
Szám
vite
lB
asw
are
rend
szer
9.Sz
ámla
kön
yvel
ése,
kö
ltség
ek sz
étos
ztás
a lé
tszá
mba
ntar
tó sz
erve
-ze
tre, m
unká
sszá
llói t
é-rít
ési d
íj be
véte
lkén
t va
ló e
lszá
mol
ása
Jóvá
hagy
ott s
zám
laK
ölts
égek
lekö
nyve
-lé
se 0
105
UTK
tevé
-ke
nysé
gi k
ódra
, 51
6516
főkö
nyvi
sz
ámlá
ra
Szám
vite
lLé
tszá
mba
ntar
tó
szer
veze
tB
asw
are
rend
szer
Álta
láno
s köl
tség
hely
fi g
yele
mm
el k
ísér
ése,
nu
llára
val
ó ki
futá
s
Kon
trolli
ng
Igaz
gató
ság
Hum
án
Kon
trolli
ng
1098 A MÁV Zrt. Értesítője 19. szám
Humán Szolgáltatás Információs Egység
A MÁV Zrt. Humán Szolgáltatás Szervezet Informáci-ós Egység havonta egyszer – tárgyhót követően legké-sőbb 15-éig az alábbi tartalmú adatállományt (excel for-mátumban) elektronikus úton szolgáltatja a MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és működésfej-lesztés szervezet részére azon munkaviszony megszűné-sekről, megszüntetésekről, melyek esetén „MÁV által biztosított munkásszállás” lakcímfajta adatot tartalmaz a rendszer.
– Törzsszám– Név– Szervezeti egység megnevezése– Költséghely kódja– MÁV által biztosított munkásszállás címe– Intézkedés megnevezése– Intézkedés dátuma
4.4. Díjfi zetés
A MÁV Zrt. által külső féltől bérelt munkásszálláson elhelyezett munkavállalók az elhelyezésért a MÁV Kol-lektív Szerződés 66.§.4. pontja szerinti, a munkásszállás besorolásának megfelelő térítési díjat kötelesek fi zetni. A munkavállaló által fi zetendő havi (fi x) munkásszállás té-rítési díjat a Humánerőforrás Igazgatóság Humánszolgál-tató Szervezet a jelen utasítás 2.sz. melléklet (Nyilatko-zat) alapján az érintett munkavállaló munkabéréből le-vonja.
A külső féltől bérelt munkásszállás teljes bérleti díját a munkásszállást igénybevevő munkavállaló(ka)t létszám-ban tartó szervezeti egység(ek) viseli(k), ugyanakkor a munkavállaló munkabéréből levont munkásszállói téríté-
si díj ugyanezen szervezeti egység(ek) részére bevétel-ként kerül lekönyvelésre.
Elhelyezésre nem jogosult szállásférőhelyet elfoglaló személy, térítési díjként a férőhelyre eső teljes költséget köteles megfi zetni.
4.5. Kapcsolattartás
MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és Működésfejlesztés utasításban foglalt feladataihoz kap-csolódóan az elérhetőség a [email protected] e-mail cím.
5.0 HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁ-LYON KÍVÜL HELYEZÉSEK
Jelen utasítás a MÁV Zrt. Kollektív Szerződés 66 §-a fi gyelembevételével készült.
6.0 HATÁLYBA LÉPTETŐ RENDELKEZÉS
Jelen utasítás a kiadás napján lép hatályba.
7.0 MELLÉKLETEK JEGYZÉKE
1.sz. melléklet: Kérelem munkásszálláson történő elhe-lyezésre vonatkozóan
2.sz. melléklet: Nyilatkozat bérből történő levonásra3.sz. melléklet: MÁV Zrt. „BEUTALÓ” Munkásszál-
lóra történő bejelentkezési és kijelentkeztetési nyomtat-vány
4.sz. melléklet: Külső féltől bérelt munkásszálló kate-gória besorolás
Andrási Miklós s.k.elnök-vezérigazgató
19. szám A MÁV Zrt. Értesítője 1099
1.sz. melléklet 1.sz melléklet Iktatószám (munkásszállás koordinátor által adott): …..….…………………..
K É R E L E M Munkásszálláson történ elhelyezésre vonatkozóan
Alulírott azzal a kérelemmel fordulok a MÁV Magyar Államvasutak Zrt.……………………….… ………………………………(szervezeti egység) vezet jéhez, hogy a ……..……..sz. utasításban foglaltak alapján, munkásszálláson történ elhelyezésemet biztosítani szíveskedjen.
1. Munkavállaló személyi és szolgálati adatai: Név: ………………………………………………… Törzsszám: Leánykori név: …………………………………………………………….. Szül.hely, id : …………………………………………………………….. Személyi igazolvány száma: …………………………………………………………….. Állandó lakcím: …………………………………………………………….. Szolgálati hely ……………………………………………………………………………. Munkakör: …………………………………………………………….. Elérhet ség (telefonszám, e-mail): …………………………………………………………….. Kért munkásszállás helye (város, címe): …………………………………………………….. ………………………, 20 . ……………..hó …. nap
Kijelentem, hogy a fent felsorolt adatok a valóságnak megfelelnek, továbbá hozzájárulok, hogy munkásszállás biztosítás céljából a munkásszállás igénybevételének rendje cím utasításban szerepl szervezetek a kérelmen szerepl adatokat nyilvántartásba vegyék. A munkásszálláson használt dolgokban és eszközökben keletkezett károkért a polgári jog szabályai szerint felelek. A használat megsz nése esetén valamennyi használt dolgot rendeltetésszer haszná-latra alkalmas állapotban vagyok köteles visszaadni vagy az ennek érdekében felmerült költséget megtéríteni. A munkásszálláson való tartózkodás utolsó napjáig gondoskodom a munkásszállón lév személyes tárgyaim, eszközeim elvitelér l.
………………………..………………………. Munkavállaló aláírása
2. Munkáltatói jogkört gyakorló javaslata:
A MÁV Zrt szervezeti optimalizálása során a munkavállaló a migrációt vállalja A munkakör betöltése hosszú ideje nem megoldott /a meghirdetést l számítva több mint 2 hónap/ A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás
együttes ideje több mint 2 óra A munkakört betölt személy munkásszálláson történ elhelyezése nélkülözhetetlen a szervezet
feladatainak folyamatos ellátása tekintetében
Engedélyezem, egyben nyilatkozom arról, hogy kizáró ok nincs és a megjelölt foglalkoztatáspoli-tikai szempontok fennállnak. A munkavállaló térítési díján felüli költségeket a létszámban tartó szer-vezeti egység vezet jeként vállalom.
Nem engedélyezem Munkáltatói jogkörgyakorló neve (nyomtatot bet vel): ………………………..……………….. Telefonszám: 06-….-………………., faxszám: 06-.…-….…...…., e-mail cím:……………………..
…………………..………… …………………………………………… Dátum Munkáltatói jogkörgyakorló aláírása
1100 A MÁV Zrt. Értesítője 19. szám
3. Munkásszállás koordinátor: Munkásszálláson történ elhelyezés Rendelkezésre áll szabad fér hely
igen, az alábbi munkásszálláson (cím)………………………………………………… nem
……....………………………..…… ……..……………..…….…………...
dátum aláírás 4. Humáner forrás Igazgató döntése:
Jóváhagyom Elutasítom Indokolás: ………………………………………………………………………………………... ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. …………………………………………………………………………………………………….
……....………………………..…… …..……..……………….…………...
dátum aláírás 5. Munkásszállás koordinátor: Munkásszálláson történ elhelyezés
Biztosítható, az alábbi helyen Munkásszállás címe: ………………………………………….……………………….… Szobai elhelyezés: 2ágyas 3ágyas
az alábbi id ponttól: A beköltözés tervezett id pontja: ………………………………………………..………
……....………………………..…… ……..…….……………….…………... dátum aláírás
19. szám A MÁV Zrt. Értesítője 1101
2.sz. melléklet N Y I L A T K O Z A T
Munkásszállás díj bérb l történ levonásra A Humánszolgáltató Szervezet Back Office jövedelem elszámolás részére
Alulírott…………………………………………………………………………………/NÉV/
Anyja neve:……………………………………………………………………………………...
Születési helye, ideje, hó, nap:………………………………………………………………….
Személyi igazolvány száma:…………………………………………………………………….
Törzsszáma:……………………………………………………………………………………..
Szolgálati hely kódja:…………………………………………………………………………....
Hozzájárulásomat adom ahhoz, hogy az általam igénybevett munkásszállás költségeit a mindenkori változások figyelembevételével (MÁV Zrt. Kollektív Szerz dés 66 §-a alapján I. és II. kategóriához rendelt térítési díj, 2ágyas szoba esetén 8.000,-Ft/f /hó, 3ágyas szoba esetén 5.000,-Ft/f /hó)
Munkáltatóm…………………………………………………………(megnevezés, cím, költséghely) a munkabéremb l minden hónapban levonhassa. Kifejezetten hozzájárulok továbbá ahhoz, hogy amennyiben a munkaviszonyom megsz nése esetén a munkaviszony megszüntetésének id pontjában munkásszállás költségtartozásom áll fenn, a tartozás teljes összegét fent nevezett munkáltatóm a munkabéremb l levonja. Tudomásul veszem, hogy jelen nyilatkozatot a munkáltatóm hozzájárulása nélkül, egyoldalúan nem vonhatom vissza. ……………………………………..,20.…. ………..hó ……nap.
………………………………………….. Munkásszállás használója
A munkásszállás díjának munkabérb l történ levonásához hozzájárulok:
…………………………………………… munkáltató P.H.
Tanúk:
………………………………………….. ………………………………………….. név név ………………………………………….. ………………………………………….. cím cím Munkásszállás koordinátor tölti ki! Szállás kategória alapján munkavállalói térítési díj összege: …………………………….. Ft/hó
………………………………… Munkásszállás koordinátor neve (nyomtatottan) Aláírása
2.sz. melléklet
1102 A MÁV Zrt. Értesítője 19. szám
3.sz. melléklet 3.sz. melléklet MÁV Zrt. „BEUTALÓ”
munkásszállóra történ bejelentkeztetési-kijelentkeztetési nyomtatvány 1. A …………………………………….iktatószámú kérelem alapján munkásszállói fér hely igénybevételére jogosult munkavállaló adatai: Név: Törzsszám: Leánykori név: Szül.hely, id : Személyi igazolvány száma: Állandó lakcím: Anyja neve: Elérhet ség (telefonszám): Munkásszállás megnevezése, címe: Szobai elhelyezés: 2ágyas 3ágyas ________________________________________________________________________________ 2.a. Beköltözésre rendelkezésre álló id tartam: . . - . . ………………………………… Munkásszállás koordinátor neve (nyomtatottan) Aláírása, bélyegz Telefonszám: - - faxszám: - -
e-mail cím: …………………………………… ________________________________________________________________________________ 2.b. Beköltözés tényleges id pontja: . . ………………………………………………………. ……………………………….. Beköltöz jogosult munkavállaló neve (nyomtatottan) Aláírása ……………………………………………….. ……………………………….. Munkásszállás üzemeltet neve (nyomtatottan) Aláírása, bélyegz Telefonszám: - - faxszám: - -
e-mail cím: …………………………………… Dátum: ………………………………, . ………………..………...hó ….…... nap ________________________________________________________________________________ 3.a. Kiköltözés tervezett id pontja: . .
………………………………, . ………………..………...hó ….…... nap ………………………………………………… ………………………………….. Munkásszállás koordinátor neve (nyomtatottan) Aláírása, bélyegz ________________________________________________________________________________ 3.b. Kiköltözés tényleges id pontja: . .
Kiköltöz munkavállaló neve (nyomtatottan) Aláírása
Munkásszállás üzemeltet neve (nyomtatottan) Aláírása, bélyegz
Dátum: ………………………………, . ………………..………...hó ….…... nap
19. szám A MÁV Zrt. Értesítője 1103
4.sz. melléklet
Külső féltől bérelt munkásszálló kategória besorolás
A MÁV Zrt. Kollektív Szerződés 66.§. 4. pontja szerint a munkásszállás I. kategóriás munkásszálló, amennyiben kettőágyas az elhelyezés, II. kategóriás amennyiben háromágyas.
Mindkettő esetben az alábbi feltételeknek azonban teljesülniük kell, melyet az üzemeltető biztosít.
• éjjel-nappal nyitvatartó recepció, éjjel-nappal elérhető gondnok, mely ellátható a recepció által is,• a vendégek rendelkezésére álló telefon nyilvános is lehet épületen belül,• ágyneműcsere legalább kéthetente 1x, új vendég esetén – a vendég érkezése előtt – kötelező,• minden megkezdett 10 ágy után egy darab emeletenként és nemenként elkülönített emeleti vizesblokk, zuhanyzó
és WC,• hideg-melegvízű mosdó a közös vizesblokkban, a szobákban kézmosási lehetőség,• vizesblokk berendezése, felszereltsége: szobák: mosdó, tükör, piperepolc, törülközőtartó, elektromos csatlakozó,
fedett szeméttároló. Közös WC: WC-kefe tartóval, WC-papírtartó WC papírral, kézmosó. Közös fürdő: elsősorban zuhanyzófülke, mosdó, tükör, törülközőtartó, ruhafogas, fedett szeméttároló,
• lift a három emeletnél magasabb épületekben,• emeletenként minden 3 férőhely után 1 db zárható tároló szekrény, fi ók, legalább 0,1m3 térfogatú, amely elhelyez-
hető szobában, étkezőben vagy folyósón,• valamennyi közös helyiség és terület takarítása naponta, illetve a szobákat takarítása heti 1 alkalommal az érintett
lakókkal előre egyeztetett időpontban,• valamennyi helyiség évenkénti 2x-i nagytakarítása,• 100 férőhelyenként 1db zsetonnal működtethető automata mosógép,• TV nézési lehetőség, épületenként legalább 3 elkülönített közös helyiség,• emeletenként, konyhánként 1 db mikrosütő és 25 férőhelyenként legalább 1db melegítőfelület,• étkezési lehetőség konyhánként legalább 6 személyes,• épületen belül kijelölt dohányzóhely,• internet elérési lehetőség, legalább 1db díjmentes csatlakozási lehetőséggel bíró számítógép,• valamennyi közös helyiség takarítása naponta,• szobák nagysága: a kétágyas szoba legalább 12 nm, háromágyas szoba legalább 18m2,• szobák berendezése: ágyméret legalább 80x190 cm, szobánként egy asztal, ágyanként ülőalkalmatosság, éjjeli-
szekrény, személyenként egy darab zárható szekrény, olvasólámpa, sötétítő függöny, 1db minimum 60 literes hűtő-szekrény, amennyiben a szobában elhelyezett zárható szekrény személyenként legalább 200cm magas, 60cm mély, és 40cm széles, úgy az éjjeli szekrényt polc is kiválthatja,
• a szobák hőmérséklete a téli időszakban minimum 20 fok.
1104 A MÁV Zrt. Értesítője 19. szám
Egyéb közleményekA MÁV Zrt. ÜDSZSZ Könyvtárbaújonnan érkezett UIC döntvények
Francia nyelvű kiadások
292 Relations entre entreprises ferroviaires et ache-teurs de prestations de transport ferroviaire en transport combiné international
Kapcsolatok a vasutak és a vasúti teljesítmé-nyek vásárlói között a nemzetközi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01
435-2 Norme de qualité pour une palette plate EUR en bois de dimensions 800 X 1200 mm (EUR-1)
A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010..04.01
435-4 Réparation de palettes plates EUR et box-pa-lettes EUR
Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása3. kiadás; Kiadva: 2010.03.01
435-5 Norme qualitative pour une palette plate EUR en bois de dimensions 1 200 mm x 1 000 mm (EUR-2) et 1 000 mm x 1 200 mm (EUR-3)
A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es(EUR-3) raklapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
435-6 Norme qualitative pour une palette plate EUR en bois de dimensions 800 mm x 600 mm (EUR-6)
A fából készült 800 x 600 mm-es (EUR-6) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
505-5 Historique, justifi cations et commentaires sur l’élaboration et l’évolution des Fiches UIC série 505 et 506 traitant du gabarit
Történet, indoklás és magyarázat az 505-ös és 506-os, űrszelvényekről megjelenő UIC dönt-vények kidolgozására3. kiadás; Kiadva: 2010.04.01
508-3 Voitures – Exigences générales applicables aux essieux à écartement variable pour les réseaux à écartement de 1 435 mm et de 1 520 mm
Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelményei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01
543-1 Frein – Contrôle d’un standard minimal dans la maintenance du frein équipant les wagons
Fékek – Teherkocsifékek karbantartására vo-natkozó minimális szabványok felülvizsgálata2. kiadás; Kiadva: 2010.03.01
623-2 Essai d’homologation des moteurs diesel d’en-gins moteurs
Dízelmotoros mozdonyok hitelesítő tesztjei6. kiadás; Kiadva: 2010.03.01
791-2 Diagnostic de l’état de la caténaire
Felsővezeték-rendszer feltételeinek vizsgálata1. kiadás. Kiadva: 2010.03.01
920-2 Codifi cation numérique unifi ée des établisse-ments
A szolgálati helyek egységes számjegyes kódolása5. kiadás; Kiadva: 2010.01.01
Német nyelvű kiadások
290 Kombinierter Ladungsverkehr – Defi nitionen
Kombinált teherforgalom – Meghatározások3. kiadás; Kiadva: 2010.02.01
291 Beziehungen zwischen den Eisenbahnunter-nehmen im internationalen Kombinierten La-dungsverkehr
Vasúti vállalatok közötti kapcsolatok a nemzet-közi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01
292 Beziehungen zwischen Eisenbahnunterneh-men und Käufern von Bahn-Transportleistun-gen im Rahmen des Internationalen Kombi-nierten Ladungsverkehrs
Kapcsolatok a vasutak és a vasúti teljesítmé-nyek vásárlói között a nemzetközi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01
19. szám A MÁV Zrt. Értesítője 1105
435-2 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 x 1200 mm (EUR-1)
A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010..04.01
435-4 Reparatur von EUR-Flachpaletten und EUR-Boxpaletten
Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása3. kiadás; Kiadva: 2010.03.01
435-5 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 1 200 mm x 1 000 mm (EUR-2) und 1 000 mm x 1 200 mm (EUR -3)
A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
435-6 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 mm x 600 mm (EUR-6)
A fából készült 800 x 600 mm-es (EUR-6) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
508-3 Reisezugwagen – Allgemeine Anforderungen für Laufwerke mit Spurwechselradsätzen für die Eisenbahnen der Spurweiten 1 435 mm und 1 520 mm
Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelmé-nyei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01
556 Informationsübertragung im Zug (Zugbus)
Információátvitel a vonaton (vonatkommuni-káció)5. kiadás; Kiadva: 2009.08.01
623-2 Zulassungsprüfung für Dieselmotoren der Triebfahrzeuge
Dízelmotoros mozdonyok hitelesítő tesztjei6. kiadás; Kiadva: 2010.03.01
920-2 Einheitliche nummerische Codierung der Bahnstellen
A szolgálati helyek egységes számjegyes kódo-lása5. kiadás; Kiadva: 2010.01.01
Angol nyelvű kiadások
292 Relations between railway undertakings and buyers of rail transport services in internation-al combined transport
Kapcsolatok a vasutak és a vasúti teljesítmé-nyek vásárlói között a nemzetközi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01
435-2 Standard of quality for EUR fl at pallet made of wood measuring 800 mm x 1200 mm (EUR-1)
A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010.04.01
435-4 Repair of EUR fl at pallets and EUR box pal-lets
Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása3. kiadás; Kiadva: 2010.04.01
435-5 Standard of quality for a EUR fl at pallet made of wood and measuring 1 200 mm x 1 000 mm (EUR-2) and 1 000 mm x 1 200 mm (EUR-3)
A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
435-6 Standard of quality for a European fl at pallet made of wood, measuring 800 mm x 600 mm (EUR-6)
A fából készült 800 x 600 mm-es (EUR-6) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01
502-2 Exceptional consignments – Outline proce-dure
Rendkívüli küldemények – Az eljárás körvona-lai1. kiadás; Kiadva: 2009.11.01
1106 A MÁV Zrt. Értesítője 19. szám
508-3 Passenger coaches – General requirements for running gear with dual gauge wheelsets for railways with 1 435 mm and 1 520 mm gauges
Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelmé-nyei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01
543-1 Brakes – A study of minimum standards for maintenance of goods wagon brakes
Fékek – Teherkocsifékek karbantartására vo-natkozó minimális szabványok felülvizsgálata2. kiadás; Kiadva:2010.03.01
559 Specifi cation „Diagnostic Data Transmission” from railway vehicles(This Leafl et is to be published in English only)
Vasúti járművek diagnosztikai adatátvitelének előírásai(A döntvény csak angol nyelven jelenik meg)1. kiadás; Kiadva: 2010.01.01
623-2 Approval tests for diesel engines of motive power units
Dízelmotoros mozdonyok hitelesítő tesztjei6. kiadás; Kiadva: 2010.03.01
920-2 Standard numerical coding of locations
A szolgálati helyek egységes számjegyes kódo-lása5. kiadás; Kiadva: 2010.01.01
Felügyeleti igazolvány érvénytelenítése
A MÁV Zrt. Biztonsági Igazgatóság Területi Vasútbiz-tonsági Osztály, Szeged létszámába tartozó Schüszler At-tila védelmi szakelőadó részére kiadott 005851 sz. fel-ügyeleti igazolvány elveszett. Fenti sorszámú felügyeleti igazolvány érvénytelen, azt megtalálás, vagy felmutatás esetén be kell vonni és a körülményeket tisztázó jegyző-könyv kíséretében a Jogi Igazgatóság Ügykezelési és Do-kumentációs Szolgáltató Szervezet részére meg kell kül-deni.
19. szám A MÁV Zrt. Értesítője 1107
1108 A MÁV Zrt. Értesítője 19. szám
Szerkeszti a MÁV Zrt. Vezérigazgatóság Jogi Igazgatósága 1087 Budapest Könyves Kálmán körút 54-60. Telefon: 511-3105.Szerkesztésért felelős a Szerkesztőbizottság.
Kiadja a MÁV ZRt. Jogi Igazgatósága. Felelős kiadó: Dr. Siska Judit.Terjeszti a MÁV Zrt. Ügykezelési és Dokumentációs Szolgáltató Szervezet (1087 Budapest, Könyves Kálmán körút 54-60.)
HU ISSN 1419–3973Nyomdai előkészítés: COMP-Press Kft. Budapest. Felelős vezető: Ibos Ferenc, műszaki vezető: Szabó Károly