ÉrtesÍtÕ - vasutas.hu · ramok [irodai alkalmazások, adatbáziskezelő, vezérlő programok,...

19. szám 125. évfolyam 2010. június 11.

MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÕ RÉSZVÉNYTÁRSASÁGTARTALOM

Oldal OldalUtasítások33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-

tói utasítás a MÁV Zrt. Informatikai Biztonsági Szabályza-táról .........................................................................................

34/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás a MÁV Zrt. Műszaki Mentési és Segítségnyújtá-si Utasításáról szóló 20/2006. (MÁV Ért 21.) Biztonság – általános vezérigazgató-helyettesi utasítás 2. számú módosí-tásáról .....................................................................................

35/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás egyes humán tárgyú utasítások hatályon kívül helyezéséről ............................................................................

36/2010. (VI. 11. MÁV Ért. 19.) EVIG számú elnök-vezérigazga-tói utasítás: Külső féltől bérelt munkásszállás igénybevéte-lének rendje .............................................................................

Egyéb közleményekA MÁV Zrt. ÜDSZSZ Könyvtárba újonnan érkezett UIC dönt-

vények .....................................................................................Felügyeleti igazolvány érvénytelenítése .....................................

989

1061

1091

1092

11041106

Utasítások33/2010. (VI. 11. MÁV Ért. 19.) EVIG számú

elnök-vezérigazgatói utasítása MÁV Zrt.

Informatikai Biztonsági Szabályzatáról

1.0. AZ INFORMATIKAI BIZTONSÁGI SZA-BÁLYZAT CÉLJA, FELADATA

Az Informatikai biztonsági szabályzat (a továbbiakban IBSZ) kiadásának célja a MÁV Zrt. (a továbbiakban Társa-ság) használatában lévő adatkezelő informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályo-zása, valamint az ehhez tartozó munkáltatói és munkavál-lalói feladatok, kötelességek, felelősségek meghatározása.

Az IBSZ általános célja az adatok b izalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, és az ezt elősegítő védelmi intézkedések megteremtése, szabályozása. Általános iránymutatással, fogalmi keret-rendszerrel és irányelvekkel szolgál a rendszerszintű in-formatikai biztonsági szabályzatok kialakításához.

Az IBSZ az informatikai biztonság sajátos eszközeivel támogatást nyújt a Társaság üzleti céljainak megvalósítá-sához. Előírja, hogy csak olyan informatikai rendszere-ket, berendezéseket és eljárásokat lehet bevezetni és al-kalmazni, amelyekkel a Társaság által működtetett folya-matok biztonságosan végezhetők. A vasúti közlekedés irányításában és az utasok tájékoztatásban is egyre na-gyobb szerephez jut az informatika, így kulcsfontosságú e rendszerek biztonságos üzemeltetése. További feladat az újabb hazai és nemzetközi szabványoknak, ajánlások-nak való megfelelés, valamint a Társaság folyamatosan változó szerkezetéhez igazítása. Mindezek mellett szem előtt kell tartani a digitális technológia robbanásszerű fej-lődése által kiváltott konvergencia folyamatot, amely az informatika, a távközlés és az elektronikus média világá-nak legmeghatározóbb jelensége. Ebből következik a biz-tonsági szabályozás terén is a harmonizálás megteremté-sének szükségessége.

Az IBSZ átlátható és nyomon követhető formában rög-zíti a Társaság azon szabályait, melyek segítségével az információbiztonság magasabb fokú kialakításának teen-dői, illetve egyéb szabályzatai, leírásai komplex, a koráb-binál átfogóbb és szélesebb körű információbiztonságot

ÉRTESÍTÕ

990 A MÁV Zrt. Értesítője 19. szám

alkot. A Társaság munkatársai részére egységes szemlé-letet nyújt az informatikai rendszerek által kezelt adatok biztonsági kérdéseivel kapcsolatban.

2.0. HATÁLY ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA

2.1. A szabályzat hatálya

2.1.1. A szabályzat személyi hatályaA szabályzatban meghatározott előírás, feladat, maga-

tartási szabály – beosztásra való tekintet nélkül – kötele-ző érvényű, és hatálya vonatkozásában kiterjed:

– a Társaság Működési és Szervezeti Szabályzatában foglalt valamennyi szervezeti egységre, továbbá vala-mennyi munkavállalójára,valamint az egyéb munkavég-zésre irányuló szerződéses jogviszonyban álló természe-tes személyre (a továbbiakban: felhasználó),

– a Társaság informatikai rendszerével kapcsolatba ke-rülő további személyekre, amennyiben azok a Társaság-gal munkavégzésre irányuló egyéb jogviszonyban állnak (pl. megbízási, vállalkozási szerződés).

A társaság informatikai rendszerével kizárólag jelen utasítás személyi hatálya alá tartozó személyek kerülhet-nek kapcsolatba. Szerződéses jogviszonyban álló szemé-lyek esetében a szerződésnek ki kell terjednie az informa-tikai biztonsági pontokra, illetve jelen szabályzat betartá-sára.

Nem terjed ki a szabályzat a Társaság által működtetett rendszerek bárki számára elérhetővé tett, nyilvánosan hozzáférhető informatikai szolgáltatásainak (pl. utas tá-jékoztató rendszer, az utazóközönség számára üzemelte-tett honlapok) igénybe vevőire.

2.2.1 A szabályzat területi hatályaA szabályzat területi hatálya kiterjed a Társasághoz

tartozó valamennyi telephelyén elhelyezett, valamennyi szervezeti egységre vonatkozó informatikai rendszerek kialakítására és üzemeltetésére. Az eszközök elhelyezé-sére szolgáló terület tulajdonviszonyától függetlenül ki-terjed a Társaság tulajdonában álló, vagy bármely jogvi-szony keretében általa használt informatikai rendszerek kialakítására és üzemeltetésére szolgáló területre azzal, hogy ez esetben a szabályzat előírásait a jogviszony kelet-keztetését eredményező szerződésben kell rögzíteni. A Társaság informatikai rendszeréhez történő távoli hozzá-férés (pl. távmunka) esetén az erre vonatkozó biztonsági kritériumokat az 4.6.8. fejezet ismerteti.

2.3.1. A szabályzat tárgyi hatályaA szabályzat tárgyi hatálya kiterjed:– a Társaság elektronikus adatainak teljes körére, a fel-

merülésük és feldolgozási helyüktől, idejüktől és az ada-tok fi zikai megjelenési formájuktól és az azokat feldolgo-zó rendszertől függetlenül,

– a Társaság tulajdonában, használatában lévő vala-mennyi informatikai eszközre, berendezésre, adatátviteli és egyéb informatikai alapú kommunikációs, illetve biz-tonsági célú hálózatára, az ezeket közvetve vagy közvet-lenül használó berendezésekre, valamint azok műszaki dokumentációira is,

– a Társaság használatában lévő rendszer- és felhasz-nálói programokra,

– a Társasághoz tartozó informatikai berendezések, eszközök, adathordozók stb. üzemeltetésére, kezelésére, szállítására és tárolására.

2.2. A szabályzat kidolgozása és karbantartása

A szabályzat kidolgozásáért és karbantartásáért felelős a Társaság Biztonsági igazgatóság Információvédelmi osztály (továbbiakban IVO) vezetője.

3.0. FOGALMAK MEGHATÁROZÁSA

Adat: Tények, elképzelések, utasítások formalizált áb-rázolása ismertetés, feldolgozás, tárolás illetve távközlési továbbítás céljára.

Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekér-dezésére és szerkesztésére alkalmas szoftvereszköz ke-zel.

Adatbiztonság: A Társaság köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azo-kat az eljárási szabályokat, amelyek a törvényi előírások, valamint az egyéb adat- és minősítettadat-védelmi szabá-lyok érvényre juttatásához szükségesek.

Az adatokat védeni kell különösen a jogosulatlan hoz-záférés, megváltoztatás, továbbítás, nyilvánosságra hoza-tal, törlés vagy megsemmisítés, valamint a véletlen meg-semmisülés és sérülés ellen. A személyes adatok techni-kai védelmének biztosítása érdekében külön védelmi in-tézkedéseket kell tennie az adatkezelőnek, az adatfeldol-gozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása háló-zaton vagy egyéb informatikai eszköz útján történik.

Adatvédelem: A személyes adatok gyűjtésének, fel-dolgozásának és felhasználásának korlátozását, az érin-tett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessé-ge. (Adatalany csak természetes személy lehet, tekintettel arra, hogy a jogi személyeknek nincsenek személyes ada-taik.)

Adminisztratív biztonság: Az információ védelme a szabályozás és dokumentálás eszközeivel, pl.: rendszer-szintű informatikai biztonsági szabályzatok.

19. szám A MÁV Zrt. Értesítője 991

Alkalmazás: Minden olyan szoftver, amely (akár egy, akár több felhasználó által) informatikai eszközön futtat-ható, és nem az operációs rendszer szerves része. Ilyen program például a levelezőrendszer, szöveg- és táblázat-kezelő programok, IHIR, GIR, SZIR, KUTINFO, RES, amellyel a felhasználó a munkáját végzi, vagy ahhoz szükséges információkat gyűjt be, rendszerez, tárol, ke-zel.

Auditálás: A Társasági gyakorlatnak, a rendszerek tényleges működési módjának, körülményeinek összeha-sonlítása azokkal a pontosan meghatározott módszerek-kel, eljárásokkal és utasításokkal, amelyek értelmében azoknak működnie kellene.

Auditálhatóság: Az a mérték, amennyire külső felek képesek lehetnek annak ellenőrzésére és elemzésére, hogy a rendszer milyen módon működik vagy működött.

Beágyazott informatikai rendszer (Embedded Information Systems): Olyan informatikai eszközökre épülő integrált alkalmazás, amelyek közös jellemzője a nagyfokú autonomitás, valamint a fi zikai környezettel való intenzív információs kapcsolat.

Bizalmasság: Az adat tulajdonsága, amely arra vonat-kozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.

Biztonsági osztály: Az informatikai rendszer bizton-sági követelményeire jellemző kategória, aminek alapja az adatok érzékenysége (fontossága, értéke, sértetlensége stb.) és sérülésükből és kiesésükből eredő károk nagysá-ga. A biztonsági követelmények osztálytól függőek, és az osztályok szerint egyre emelkedő szintű biztonságot defi -niálnak. Három kategóriát (alap – fokozott – kiemelt) kü-lönböztetünk meg mind az információvédelem, mind a rendelkezésre állás területén.

Biztonsági rendkívüli esemény – incidens: A bizton-ságot fenyegető egy vagy több tényező tényleges fellépé-se, bekövetkezése, illetve jelentkezése.

Elektronikus aláírás: Elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból mate-matikai algoritmussal készített, a hitelesíteni kívánt üze-netek végéhez csatolt és azzal együtt továbbított kódsoro-zat. Lehetővé teszi, hogy az üzenet olvasója ellenőrizni tudja egyrészt az üzenetet küldő személyazonosságát, másrészt az üzenet sértetlenségét. Nyilvános kulcsú alá-írás esetén a küldő privát kulcsával készül és annak pub-likus kulcsával lehet ellenőrizni eredetiségét. Dokumen-tumfüggő, azaz ha bármilyen változtatás történik az alá-írt üzenetben, akkor az elektronikus aláírás nem fejthető vissza. Egyszerű, fokozott biztonságú és minősített kate-góriája létezik.

Fenyegető tényezők: Olyan események vagy körül-mények, amelyek következtében a Társaság informatikai rendszerelemeinek bizalmassága, sértetlensége vagy ren-delkezésre állása sérülhet, így fellépésük kedvezőtlen kö-vetkezményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, véletlen események, kül-ső tényezők általi behatások és olyan körülmények, ame-lyek magának az informatikának a sajátosságaiból fakad-nak (pl. tűz, áramkimaradás, adatbeviteli hiba, hibás ke-zelés, hardver tönkremenetele, számítógépes vírus, prog-ramhiba).

Fizikai biztonság: Az információt kezelő rendszerek fi zikai védelmét megvalósító védelmi intézkedések, pl.: tűzvédelem, lopás elleni védelem.

Gyenge pont: Az informatikai rendszerelem azon jel-lemzője, hiányossága, amelynek révén fenyegető ténye-zők hatásának van kitéve.

Helyi hálózat (LAN) (Local Area Network): A Társa-ság (fi zikailag több helyen levő) infokommunikációs esz-közeit összekötő, rendszerint egységes kommunikációs protokollt használó hálózata. A LAN jellemzően belső információs célokra, a meglevő hardver és szoftver esz-közök közös használatára, és esetleg a gépeknek az inter-nethez vagy egy (külső) WAN-hoz való kapcsolására szolgál. Többnyire irodákban, állomási épületekben talál-ható, és alkalmas szerverek, személyi számítógépek, munkaállomások összekapcsolására.

Hitelesség: A rendszerben kezelt adatnak az a tulaj-donsága, hogy bizonyíthatóan a megjelölt forrásból szár-mazik, azaz a kapcsolatba kerülő rendszerelemek kölcsö-nösen és egyértelműen azonosítják egymást, és ez az ál-lapot a kapcsolat teljes idejére fennmarad.

Hozzáférési jogosultság: Az informatikai rendszer-ben elvégezhető tevékenységekre vonatkozó engedély a különböző szintű felhasználók számára.

Infokommunikáció: A számítástechnika a távközlés és az elektronikus média integrált egységességét kifejező megnevezés.

Informatika: E szabályzat alkalmazása során, céljától függetlenül, az infokommunikációs rendszerek összessé-gét magába foglaló fogalom, amely digitalizált adatok, információk (szöveg, kép, hang, videó stb.) kezelésére (rögzítésére, továbbítására, feldolgozására tárolására stb.) vonatkozik.

Informatikai eszköz: Bármely feladat ellátására létre-hozott, informatikai technológia felhasználásával mű-ködtetett (pl. vezérelt) telepített, vagy mobil berendezé-sek, továbbá rendszerek, eljárások összessége vagy ezek


alkotó elemei (pl. asztali és hordozható [notebook, pda, okos telefon stb.] számítógép, pendrive, nyomtató, IP tele-fon rendszer és végberendezései, hálózati aktív és passzív eszközök, szerver, operációs rendszer, felhasználói prog-ramok [irodai alkalmazások, adatbáziskezelő, vezérlő programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésű célprogramok stb.]).

Informatikai biztonság: Olyan működési és védelmi állapot, amely a megfelelő erőkkel, eszközökkel és mód-szerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a ki-esett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme – az általa kezelt adatok bizalmassá-ga, sértetlensége és rendelkezésre állása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen. Az informatikai biztonság aktuális szintje a vo-natkozó előírások, szabványok betartásának vagy mellő-zésének az eredménye; pillanatnyi dinamikus egyensúlyi állapot a fenyegetettség és a védelem között.

Informatikai rendszer: A vasúti közlekedés, illetve a Társaság egyéb üzleti folyamatai tervezésének, működteté-sének elősegítése, biztonságosabbá, hatékonyabbá tétele, továbbá az ellenőrzés, a koordináció és a döntéshozatal tá-mogatása érdekében létrehozott és üzemeltetett informati-kai eszközök, eljárások, a kapcsolódó infrastruktúra, vala-mint az adat- és információfeldolgozást, tárolást, felhaszná-lást, továbbítást, a felhasználás megakadályozását, a törlést, továbbá az üzemeltetést végző személyek, tevékenységek összessége. (E szabályzat alkalmazása során az informati-kai és kommunikációs technológiák konvergenciája miatt létrejött infokommunikációs technológia, illetve infokom-munikációs rendszer kifejezést is magába foglalja.)

Intranet: Az internetnél is használt TCP/IP protokoll-ra és szoftverekre (e-mail, FTP, Web stb.) épülő, nem nyilvános (helyi) hálózatok összefoglaló neve. Az intra-net rendszerint egy intézmény (esetleg földrajzilag na-gyon távol levő) informatikai eszközeit köti össze, és – az internetnek köszönhetően – olcsó, állandóan továbbfej-lesztett és könnyen megtanulható megoldást jelent belső információs rendszerek kialakítására. Az internet felől közvetlenül az intranet berendezéseit nem lehet elérni, csak tűzfalon keresztül, aminek feladata, hogy védelmet nyújt a belső gépek és az adatforgalom számára.

Jogtiszta szoftver: A szoftver tulajdonosa és haszná-lója között létrejött licencszerződésnek megfelelően használt szoftver. A Társaságnál a jogszerű használat ér-dekében biztosítani kell a szükséges mennyiségű és tar-talmú licencet és az annak megfelelő használatot.

Katasztrófa: Egy meghatározott területen vagy léte-sítményben bekövetkező, természeti erő vagy emberi te-vékenység következtében létrejött esemény (beleértve a

súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a kör-nyezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az infor-matikai biztonsági rendkívüli események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelen-tős részének a rendeltetésszerű, folyamatos működését.

Kéretlen levél, levélszemét (spam): A fogadó által nem kért, elektronikusan, tömegesen küldött hirdetést, felhívást tartalmazó e-mail. Az így kapott információ a fogadó szempontjából érdektelen, fölösleges sávszélessé-get, tárhelyet, szellemi ráfordítást igényel. A kéretlen le-velek egy része tudatosan megtévesztő, a címzett üzleti érdekből történő kihasználására törekszik.

Kockázat: Fenyegető tényező vagy esemény bekövet-keztének a valószínűsége, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. Ele-mei: a bekövetkezés gyakorisága és a kárnagyság. A koc-kázatot elemzéssel, a rendszert fenyegető tényezők érté-kelése útján kell megállapítani.

Kockázatelemzés: Olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontja-inak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakori-ságát.

Kockázatkezelés: Az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok a biztonsági kocká-zatok szempontjából felmért és minősített informatikai rendszerük mellé védelmi eszközöket rendelnek. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és azon kockázatok között, amelye-ket ezekkel az intézkedésekkel csökkenteni szándékoznak.

Maradványkockázat: Az az elfogadható mértékű kockázat, ami annak ellenére is fennmarad, hogy a fenye-gető tényezők ellen intézkedéseket tettünk, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, ritka jelentkezés, forráshiány stb.) nem ter-vezünk megelőző intézkedést.

Minősített adat: A minősített adat védelméről szóló törvény hatálya alá tartozó nemzeti minősített adat, vagy külföldi minősített adat.

Minősített informatikai rendszer: Olyan informati-kai rendszer, amely fokozott vagy kiemelt biztonsági osz-tályú besorolást kapott (pl. azért, mert stratégiai fontos-ságú adatot kezel, tárol, dolgoz fel a Társaság üzletvitele szempontjából).


Rendelkezésre állás: A rendszernek az a tulajdonsá-ga, hogy meghatározott helyen és időben, a rendeltetésé-nek megfelelő szolgáltatásokat nyújtani tudja. Ide kap-csolódó működés-folytonossági követelmény, hogy ha a rendszer működőképessége átmenetileg vagy tartósan akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezet-ben – akár csökkentett terjedelmű szolgáltatással – újra-éleszthetőek legyenek.

Rendszerüzemeltető: Az informatikai rendszer folya-matos üzemeltetését, a rendszerben kezelt adatok menté-sét, a meghibásodott rendszer helyreállítását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáfé-rési engedélyek birtokában levő személy.

Sértetlenség (integritás): Az adatok eredeti állapotá-nak, tartalmának, teljességének és hitelességének biztosí-tása. Célja, hogy az információkat, adatokat, programo-kat csak az arra jogosultak (személyek, vagy más rend-szerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetékte-len módosítás, hamisítás elleni védelmet is jelenti.

Személyes adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiak-ban: érintett) kapcsolatba hozható adat, az adatból levon-ható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minősé-gét, amíg kapcsolata az érintettel helyreállítható. A sze-mély különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fi zikai, fi ziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

Személyes adatok védelme: a törvény rendelkezéseit a Társaság adatvédelmi szabályzata megfelelően szabá-lyozza.

Témafelelős: Az informatikai alkalmazást vagy szol-gáltatást legnagyobb mértékben igénybe vevő szervezeti egységnél levő, az alkalmazást vagy szolgáltatást legjob-ban ismerő személy, aki a felhasználó szervezet szakmai érdekeit felelősséggel képviseli a szolgáltatóval/beszállí-tóval szemben, különös tekintettel a végzett szolgáltatá-sok mennyiségére és a feladatok határidejére.

Üzleti titoknak minősülő adat: a gazdasági tevé-kenységhez kapcsolódó minden, olyan – a közérdekű adat, illetve a közérdekből nyilvános adat fogalomkörén kívül eső – tény, információ vagy egyéb adat, valamint a belőlük álló olyan összeállítás, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult – ide nem értve a magyar államot – jogszerű pénzügyi, gazdasági vagy piaci érdekeit sérte-né vagy veszélyeztetné, és amelynek titokban tartása ér-

dekében a vele jogszerűen rendelkező személy (jogosult) az adott helyzetben általában elvárható intézkedéseket megtette.

Üzleti titok védelme: az üzleti titokkal jogszerűen rendelkező személy (jogosult) által, annak titokban tartá-sa érdekében megtett olyan intézkedések, amely az adott helyzetben általában elvárható.

VPN (Virtual Private Network – virtuális magánhá-lózat): Olyan virtuális számítógépes hálózat, amely pub-likus kommunikációs csatornák és eszközök segítségé-vel valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mel-lett, különböző titkosítási technikákat is alkalmaz, mi-által lehetőséget biztosít a Társaság számára, hogy a belső hálózatot elérhetővé tegye az erre feljogosított fel-használók számára, ezzel lehetővé téve a távmunkát végző felhasználók számára is, hogy ezen a kapcsolaton keresztül biztonságosan hozzáférjenek a Társaság háló-zatához.

4.0. AZ UTASÍTÁS LEÍRÁSA

4.1. A MÁV Zrt. informatikai biztonságpolitikája

4.1.1. Biztonságvédelmi irányelvekA Társaság informatikai rendszerei által kezelt adatok

bizalmasságának, sértetlenségének és rendelkezésre állá-sának biztosítására irányuló tudatos védelempolitika és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (pro-aktív) szemléletű biztonsági tevékeny-ség az alábbi védelmi alapelveken nyugszik.

– A védelmet fi zikai, logikai és adminisztratív vonat-kozásban egyaránt érvényesíteni kell az összes rendszer-elemre (teljeskörűség).

– Az informatikai rendszerek védelmét az általuk ke-zelt adatkörök és adatcsoportok biztonsági osztályba so-rolására kell alapozni. Magasabb biztonsági osztályban az alacsonyabb osztály(ok) követelményeit is meg kell valósítani. (differenciált védelem).

– Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell meg-valósítani (zártság).

– Az informatikai rendszerek által kezelt adatok védel-me erősségének és költségeinek a felmért veszélyforrások hatásával arányosnak kell lennie (kockázatarányosság).

– Az informatikai rendszerek fejlesztése és megvalósí-tása során kialakított védelmi képességeket a rendszerből történő kivonásig mindvégig fenn kell tartani ( folytonos-ság).

– A rendszerek hozzáférésének és használatának a funkcionális szükségszerűségen kell alapulnia. A fel-használók különböző rendszerekhez való hozzáférési jo-gosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (minimális jogosultság).


– A védelemben biztosítani kell a szabályozás – sza-bály-érvényesítés – ellenőrzés – szankcionálás folyama-tát (zárt szabályozási ciklus).

– A Társaság üzletmenete szempontjából létfontossá-gú, kiemelt biztonsági kategóriájú informatikai rendsze-reket olyan környezetben kell telepíteni és működtetni, amelyben az adatok és az adatfeldolgozás bizalmassága, sértetlensége, rendelkezésre állása és auditálhatósága egyaránt magas fokon garantált.

– Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon, szabályszerű jóváhagyási, prob-léma- és változáskezelési eljárások alkalmazásával vezet-hető be.

– A Társaság informatikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők.

– A Társaság által a munkakör ellátásához biztosított informatikai eszköz (PC, laptop, nyomtató, egyéb infor-matikai rendszerrel támogatott telekommunikációs esz-köz [vezetékes és mobiltelefon, rádió adóvevő] stb.) – el-térő írásbeli megállapodás hiányában – kizárólag a mun-ka és az azzal összefüggő tevékenység végzésére szolgál, magáncélú használata nem megengedett.

– Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a szabályozás, a felügyelet, az el-lenőrzés, a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén.

– Minden felhasználó személyesen felelős saját mun-kájában a biztonsági irányelvek betartásáért, továbbá a rendszerekben az azonosítójával végrehajtott cselekmé-nyekért.

– A munkáltató jogkör gyakorló felelős annak biztosí-tásáért, hogy minden munkatársa megismerje és betartsa a biztonsági intézkedéseket.

4.1.2. Az informatikai biztonsági irányelvek érvé-nyesítése

Amennyiben egy kiadásra vagy módosításra tervezett utasításnak bármely tekintetben információvédelmi von-zata is lehet, a kiadásáért felelősnek az egyeztetés folya-matába be kell vonni az IVO-t.

A Társaság által megkötni tervezett, informatikát bármilyen módon érintő szolgáltatási szerződést, továb-bá hozzáférési szerződést vagy megállapodást írásba kell foglalni, és azt kötelező előzetesen véleményeztet-ni:

– az Infokommunikációs igazgatósággal (IKI) az in-formatikai stratégiával való illeszkedés biztosítása, az infokommunikációs tárgyú szabályzatoknak való megfe-lelés és a szerződés nyilvántartásba vétele,

– a Pályavasút üzletág Távközlő-, erősáramú- és bizto-sítóberendezési főosztállyal (TEBF) az infokommuniká-ciós hálózat igénybevételének megváltozásához kapcso-lódó következmények elbírálása, továbbá

– az IVO-val az informatikai biztonsági megfelelőség garantálása érdekében.

A szerződés kizárólag a felsorolt szervezeti egységek állásfoglalásának fi gyelembe vételével köthető meg, munkájukat e tekintetben az IKI koordinálja.

4.1.3. Az informatikai biztonság dokumentumai

4.1.3.1. Informatikai Biztonsági SzabályzatA jelen Informatikai Biztonsági Szabályzat a Társaság

informatikai, infokommunikációs biztonságával kapcso-latos alapvető dokumentum, amely tartalmazza a bizton-ságpolitikát, az alapvető fogalmakat, az informatikai biz-tonsággal kapcsolatos feladat- és hatásköröket, felelőssé-geket, a biztonsági események jelentésének rendjét és a kötelező eljárásokat a Társaság általános szintjén. Kar-bantartását az IVO végzi.

4.1.3.2. Infokommunikációs Biztonsági StratégiaAz Infokommunikációs stratégia integráns részeként,

annak önálló fejezeteként készül el az Infokommunikáci-ós Biztonsági Stratégia melyben átfogóbb biztonsági cé-lok szabják meg a Társaság informatikai biztonságpoliti-kájának kívánt szintjét. Az Infokommunikációs Bizton-sági Stratégiát alapul véve az éves szintű terveket projekt formájában kell elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékeny-ségeket érintő intézkedési tervek összeállításának kiin-dulási alapja. Karbantartását az IKI az IVO-val együtt-működve végzi el.

4.1.3.3. Rendszerszintű Informatikai Biztonsági Szabályzatok

Az Informatikai biztonsági szabályzat követelményeit alapul véve az adott informatikai rendszerre nézve spe-cifi kus szabályokat a rendszerszintű IBSZ-eknek (továb-biakban RIBSZ) kell tartalmaznia. Főbb pontjai: rend-szerkörnyezet, feladat-, felelősség- és hatáskörök, infor-matikai biztonsági rendszer kialakítása, a biztonsággal szemben támasztott követelmények, adminisztratív, lo-gikai, fi zikai, személyi és vagyonvédelem, biztonsági tesztelések, változáskezelés, működés-folytonosság terv. Tekintettel arra, hogy az ebben foglalt információk ille-téktelenek számára kitudódása a rendszer biztonságára veszélyes, szükség szerint belső használatúvá való nyil-vánításuk indokoltságát a kiadáskor, illetve módosítás-kor minden alkalommal az üzleti tulajdonosnak vizsgál-nia kell.

A RIBSZ nem tartalmazhat az IBSZ-szel ellentétes in-tézkedést vagy szabályozást. Egyedi esetben az IBSZ-től való eltérést az elnök-vezérigazgató engedélyezheti.

A RIBSZ minimális követelményeit tartalmazó mintát a 12. sz. melléklet tartalmazza.


4.1.4. A fejlesztés, üzemeltetés és felülvizsgálat irányelvei

4.1.4.1. Informatikai rendszerek és az adatátviteli hálózat biztonságos fejlesztése

A Társaság által, vagy számára fejlesztett valamennyi rendszerre, továbbá az országos kiterjedésű adatátviteli hálózatra a biztonsági besorolásának megfelelő biztonsá-gi szabályokat és ellenőrzéseket kell előírni és működtet-ni. A biztonsági szabályokat időben, már a rendszer ter-vezése során, az IVO egyetértésével defi niálni kell, a rendszert ennek megfelelően kell kifejleszteni, és a biz-tonsági előírások igazolt teljesülése esetén szabad hasz-nálatba venni.

Biztonságos rendszer létrehozását a fejlesztési folya-matba épített ellenőrzési pontokkal kell garantálni. A fej-lesztés során az informatikai biztonsági követelményeket önállóan kell szerepeltetni, de szoros összefüggésben más informatikai követelményekkel, valamint egyeztetni kell az érintett szakterületekkel, fi gyelembe véve az üzle-ti folyamatok érvényesülésének elsődlegességét.

Minősített informatikai rendszerek kifejlesztése és módosítása során kifejezetten erre a célra létesített biz-tonsági munkacsoporttal kell biztosítani az informatikai biztonsági előírások érvényesülését, amelybe az IKI-t és az IVO-t is be kell vonni. Kiemelt biztonsági osztályú rendszert csak független biztonsági audit elvégzését kö-vetően szabad üzembe helyezni, amelyről az üzleti tulaj-donos rendelkezik.

4.1.4.2. Számítógépes és hálózati szolgáltatások biz-tonságos üzemeltetése

A Társaság területén üzemelő informatikai eszközö-kön és hálózati berendezéseken – feltéve, hogy kifejezet-ten erre vonatkozó, az IVO által is véleményezett szerző-dés másként nem rendelkezik – kizárólag a Társaság ada-tait szabad kezelni, feldolgozni, illetve forgalmazni, kizá-rólag a Társaság által rendszeresített, jogtiszta, továbbá megfelelő vírusellenőrzésnek alávetett szoftverek alkal-mazásával. Szolgáltatási szerződés alapján külső szer-veknek átadott, a Társaság tulajdonát képező adatokat úgy kell feldolgoztatni, hogy azok elkülönüljenek más szervek ezzel egyidejűleg kezelt adataitól.

Az Társaság informatikai rendszereit (konfi guráció, rendszerfunkciók, felhasználói profi lok, üzemeltetési szabályok, biztonsági intézkedések stb.) naprakészen do-kumentálni (adatbázisban rögzíteni) kell oly módon, hogy a rendszer folyamatosan és hatékonyan működtet-hető legyen az egyes személyek egyéni tudásától és hely-ismeretétől való túlzott függőség nélkül.

Törekedni kell arra, hogy az informatikai eszközök előre nem látható, vagy nem jelzett kiesése miatt a Társa-ság üzleti tevékenysége minél kisebb hátrányt szenved-jen, ezért megfelelő intézkedéseket kell hozni valameny-nyi rendszer és adat meghatározott biztonsági osztálya szerinti rendelkezésre állásának biztosítására. A műkö-dés-folytonosság tervezésével el kell érni, hogy kárese-

mény, katasztrófa esetén a működésben bekövetkezett zavarokat ellensúlyozni lehessen, és a rendszerek védet-tek legyenek a nagyobb hibák és katasztrófák következ-ményeitől.

A minősített rendszerekben kért és kiadott jogosultsá-gokat hiteles, védett nyilvántartásban kell megőrizni.

A hálózatmenedzsment segítségével kell megoldani a hálózatok adattartalmának a biztonságát és az infrastruk-túra védelmét. Olyan ellenőrző-felügyeleti eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban ke-zelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat, és megóvják a hálózatot az illetéktelen hozzáférésektől. A hálózatok és az informatikai eszközök működtetésének feladatait szét kell választani. A nyilvá-nos hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellen-őrző eszközöket kell rendszerbe állítani. Pontosan defi ni-álni kell a távfelügyelet és a távmunka végzésének biz-tonsági feltételeit. Az adatátviteli hálózatok végpontjain komplex logikai és fi zikai védelmet kell alkalmazni. A Társaság belső hálózataiból más hálózatokba (pl. inter-net, levelező rendszerek) átlépni csak előre defi niált és engedélyezett módon szabad.

Az üzleti tulajdonos köteles az informatikai biztonság dokumentumait legfeljebb 3 évente átvizsgálni, továbbá akkor, ha a rendszer szempontjából lényeges változtatá-sok valósulnak meg.

4.2 A MÁV Zrt. informatikai biztonságának szer-vezeti struktúrája

A Társaság informatikai infrastruktúrája biztonságá-nak központi irányítását az elnök-vezérigazgató szabály-rendszerek kiadásán keresztül gyakorolja. A szakmai irányítás és felügyelet az MSZSZ-ben foglaltak szerint a Biztonsági igazgatóság Információvédelmi osztály, az Infokommunikációs igazgatóság és a Távközlő-, erős-áramú- és biztosítóberendezési főosztály útján valósul meg.

Az informatikai biztonság tekintetében az alábbi főbb feladatokat látják el:

– IVO: szabályozás kialakítása, felügyelet, ellenőrzés,– IKI: technológiai biztonság kialakítása, informatikai

fejlesztések koordinálása,– TEBF: az infokommunikációs hálózat üzemeltetési

területén a technológiai biztonság kialakítása, a fel-adatkörébe tartozó rendszerek biztonságos üzemelteté-se.

A biztonsági irányelvek érvényre juttatásának garantá-lása érdekében, az Információvédelmi osztály a Társaság valamennyi informatikai fejlesztési és infokommuniká-ciós üzemeletetési szervezeteitől függetlenül kialakított szervezet.


4.2.1. Feladat-, felelősség és hatáskörök szétválasz-tása

Az informatikai biztonság különböző szakterületeket fog át, amely a Társaság minden informatikai projektjét, rendszerét és felhasználóját érinti.

Követelmény, hogy a Társaságon belül a feladat-, fele-lősség- és hatáskörök az egyes szervezeti egységek, illet-ve személyek között jól elkülönüljenek, biztosítva ezzel a Társaság céljainak hatékony elérését, az összeférhetet-len funkciók szétválasztását és a felelősségre vonhatósá-got.

4.2.2. A MÁV Zrt. informatikai biztonságát irányí-tó vezetők és feladataik

Az informatikai biztonság irányításának szereplői:– elnök-vezérigazgató– biztonsági igazgató– információvédelmi osztályvezető– infokommunikációs igazgató

4.2.2.1. Elnök-vezérigazgatóa) Az informatikai biztonságra vonatkozó jogszabá-

lyok alapján ellátja a Társaság informatikai biztonsági tevékenységének felsőszintű központi irányítását.

b) Létrehozza a Társaság informatikai biztonsági mun-kaszervezetét és biztosítja a szükséges humán erőforrást.

c) Meghatározza az informatikai biztonsági szervezet működési elveit és a Társaság gazdálkodása útján bizto-sítja a hatékony működés szervezeti, anyagi, műszaki, személyi, tárgyi feltételeit.

d) A biztonsági igazgató útján irányítja és ellenőrzi a Társaság informatikai biztonsági tevékenységét ellenőr-ző, felügyelő információvédelmi szervezetet.

e) Elnök-vezérigazgatói utasításként kiadja a Társaság informatikai biztonságpolitikáját és a teljes tevékenysé-gére, eszközrendszerére vonatkozó biztonsági előírásokat egyaránt tartalmazó informatikai biztonsági szabályzatot (IBSZ).

f) A Társaság infokommunikációs stratégiája része-ként, jóváhagyja az informatikai biztonsági stratégiá-ját.

g) A jogszabályokban a gazdálkodó szervezet vezető-jére háruló informatikai biztonsági ellenőrzéseket a biz-tonsági igazgató közreműködésével gyakorolja, és irá-nyítja a megfelelő intézkedési jogkörrel felhatalmazott informatikai biztonsági munkaszervezetet.

h) Az informatikai létesítmények és rendszerek meg-valósításával, üzemeltetésével, fejlesztésével összhang-ban gondoskodik a jogszabályokban és kötelezően alkal-mazandó szabványokban meghatározott informatikai biztonsági követelmények megtartásáról, valamint a te-vékenységi körökkel kapcsolatos veszélyhelyzetek meg-előzésének és elhárításának feltételeiről,

i) A hozzá felterjesztett rendszerek vonatkozásában dönt a biztonsági osztályba sorolás jóváhagyásáról (lásd 4.8.5. pont).

4.2.2.2. Biztonsági igazgatóa) Gondoskodik az informatikai biztonságra vonatko-

zó jogszabályok végrehajtásáról, továbbá elkészíti a Tár-saságra vonatkozóan az informatikai biztonságpolitikát, az Informatikai Biztonsági Stratégiát és az Informatikai Biztonsági Szabályzatot.

b) Az informatikai biztonságot érintő jogszabályi vál-tozások és a gyakorlati tapasztalatok alapján intézkedik az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kez-deményezi új szabályok kibocsátását.

c) Az informatikai biztonságra is tekintettel, biztonsá-gi szempontból véleményezi a Társaság szabályzatait, szerződéseit.

d) Felelős az információvédelmi szervezet működési feltételrendszerének megteremtéséért. Lehetővé teszi a szakértők ismereteinek naprakészen tartása és folyama-tos továbbfejlődődés érdekében oktatásokon, továbbkép-zéseken, konferenciákon való részévelt. Gazdálkodása útján biztosítja a szükséges személyi, tárgyi, anyagi erő-forrásokat.

e) Szabályozza a Társaság területén az informatikai biztonsági tevékenység szakmai és a munkafolyamatok-ba épített ellenőrzési feladatait, tevékenységeit.

f) Szükség esetén informatikai biztonsági incidensek megelőzése, illetve hatásainak csökkentése érdekében in-tézkedést, állásfoglalást, körlevelet stb. ad ki, és végrehaj-tását az Információvédelmi osztály vezetője útján rend-szeresen ellenőrzi.

g) Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, illetve az ilyen károk csökkentése érdeké-ben intézkedik az érintetteknek az informatikai rendsze-rekből való kizárására.

h) A Társaságra kiterjedően azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén.

i) Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit.

j) Egyetértési jogot gyakorol az üzleti tulajdonosok ki-jelölése során.

4.2.2.3. Információvédelmi osztályvezető (informa-tikai biztonsági vezető)

Feladata:a) A Társaság által üzemeltetett, illetve a szervezet

adatait feldolgozó informatikai valamint informatikával támogatott távközlési és képtovábbító rendszerek bizton-ságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek ter-vezése, szervezése, irányítása, koordinálása és ellenőrzé-se.

b) Felméri és elemzi a Társaság működéséből eredő, az informatikai biztonsággal összefüggő veszélyforráso-kat.

c) Irányítja a területi informatikai biztonsági megbí-zottak munkájának szakfelügyeletét.


d) Előkészíti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenn-tartására vonatkozó szabályokat és utasításokat. Feladata a Társaság Informatikai Biztonsági Szabályzatának ki-dolgozása, továbbá közreműködik a Társaság Informati-kai Stratégiájának létrehozásában az Informatikai Biz-tonsági Stratégia beépítésével. Az informatikai biztonság sérülése esetén vagy annak megelőzése érdekében kezde-ményezi hírlevél kiadását, illetve e-mail útján informá-cióvédelmi tájékoztatót küld a Társaság munkavállalói részére.

e) Ellenőrzi a jelen szabályzatban megfogalmazott kö-vetelmények betartását. Értékeli a biztonsági intézkedé-sek hatékonyságát és hatásosságát. Intézkedéseket rendel el bűncselekmény elkövetésének megakadályozása, illet-ve a Társaságot veszélyeztető vagyonvédelmi károkozás megelőzésére, az információbiztonság sérülése, valamint az ilyen károk csökkentése vagy megelőzése érdekében. Az informatikai biztonsággal összefüggő incidenseket és egyéb rendkívüli eseményeket jelenti a biztonsági igaz-gató részére, és részt vesz azok kivizsgálásában.

f) Segíti az üzleti tulajdonosokat az előírásszerű biz-tonsági szaktevékenység irányításának, ellenőrzésének ellátásában. Elemzéseket végez, amelyek alapján javasla-tokat tesz az informatikai biztonsági intézkedésekre, va-lamint a biztonságosabb működés érdekében a szabályok megváltoztatására. Véleményezi a biztonsági folyamatok tervezését, a társasági szintű szabályozások és szolgálta-tási szerződések kialakítását, szükség esetén ellenőrzi azok betartását.

g) Biztonsági szempontból felügyeli és támogatja az informatikai fejlesztéseket, projekteket, állást foglal azok rendszerszintű informatikai biztonsági szabályzatainak megfelelőségéről.

h) Koordináló szerepet vállal az informatikai rendsze-rek üzemeltetési biztonságának növelése, valamint a fel-használók informatikai biztonsági tudatának fejlesztése érdekében.

i) Felkérésre állást foglal a szabályzat előírásainak ér-telmezésében, illetve a szabályzatban közvetlenül nem megfogalmazott, informatikai biztonságot érintő kérdé-sekben.

j) Közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF vezetőivel, az üzleti tulajdonosokkal, a Társaság leányvállalatainak informatikai biztonságért fe-lelős szervezeteinek vezetőivel, különös tekintettel a MÁV Informatika Zrt. vezetőire.

k) Biztonsági szolgáltatási szerződések keretén belül támogatja a MÁV vállalatcsoportba tartozó társaságok informatikai biztonsági tevékenységét. Ennek során köz-vetlenül együttműködik az érintett társaság informatikai biztonságért felelős vezetőjével.

Külön felhatalmazás nélkül jogosult:a) Az ellenőrzési, vizsgálati tevékenysége során, a Tár-

saság tulajdonában, használatában vagy területén lévő, illetve a Társaságra vonatkozó, az informatikai bizton-sággal kapcsolatban bármilyen iratba, dokumentumba,

okmányba, adatbázisba, számítógépes vagy más adathor-dozó tartalmába való betekintésre, illetve ezekkel kap-csolatban felvilágosítás kérésére. E tevékenysége nem terjed ki a személyes adatok nagy tömegét tartalmazó adatbázisban kezelt adatok megismerésére. (E kérdéskör-ben a Társaság belső adatvédelmi felelőse jogosult ellen-őrzést gyakorolni.)

b) A Társaság tulajdonában lévő, vagy általa bérelt épületben és azon belül minden – a Társaság tulajdoná-ban, kezelésében vagy használatában lévő – helyiségben az informatikai és távközlési eszközök biztonsági szem-pontú vizsgálatára.

Amennyiben ellenőrzési tevékenysége az üzleti folya-matok teljesítését zavarná vagy akadályozná, abban az esetben kérheti az üzleti tulajdonos illetve a munkáltatói jogkör gyakorló állásfoglalását.

4.2.2.4. Infokommunikációs igazgatóa) A Társaság infokommunikációs stratégiájának ter-

vezése és végrehajtása során, továbbá az általa vezetett szervezeti egységek által megvalósított, biztosított és be-szerzett informatikai szolgáltatások és eszközök fejlesz-tésében, tervezésében és teljesítésében fi gyelembe veszi és elősegíti a Társaság informatikai biztonsági szabályai-nak érvényesülését.

b) Felelős az üzleti tulajdonosok kijelöléséért, azok fe-lelősségi körébe tartozó rendszerek, alkalmazások meg-határozásáért.

c) Támogatja az üzleti tulajdonos munkáját, részt vesz a felkészítésében.

4.2.3. A MÁV Zrt. informatikai biztonságát megva-lósító szervezetek és személyek

A Társaság azon szervezeti egységei, melyek – a Mű-ködési és Szervezeti Szabályzat értelmében – az informa-tikai rendszerek és szolgáltatások beszerzésében, fejlesz-tésében, működtetésében feladatai vannak, vagy ezekre vonatkozó szerződés megkötésére hatáskörrel rendelkez-nek, az alábbi módon felelősek a Társaság működését tá-mogató informatikai szolgáltatások és infrastruktúra ál-tal kezelt információk védelméért.

4.2.3.1. Infokommunikációs igazgatóságFelelős:– a Társaság infokommunikációs stratégiájának kiala-

kítása és végrehajtása során a jelen IBSZ-ben foglalt elő-írások érvényesüléséért,

– a Társaság informatikai biztonsági stratégiája biz-tonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, irá-nyításáért és átvételéért, a Társaságnál való honosításá-ért,

– az üzleti tulajdonos támogatásáért, hogy új informa-tikai rendszerek megvalósítást célzó projektek előkészí-tése során a biztonsági rendszer tervezéséhez és megva-lósításához szükséges anyagi, eszköz és humán feltételek betervezésre kerüljenek,


– annak biztosításáért, hogy az új informatikai rend-szerek bevezetésénél, illetve a meglévők korszerűsítésé-nél a biztonsági rendszer tervezése és létesítése a projekt-megvalósítás keretein belül, annak szerves részeként ér-vényre jusson,

– minden informatikai rendszer tekintetében – a rend-szerfejlesztés részeként az üzleti tulajdonossal együttmű-ködve – a fejlesztésért, ennek során a rendszerszintű in-formatikai biztonsági követelmények (pl.: kockázatelem-zésre alapuló RIBSZ [benne a változáskezelés], műkö-dés-folytonossági terv) kialakításáért, valamint az ezek-ben foglalt informatikai követelmények operatív érvé-nyesítéséért, ellenőrzéséért és a szükséges védelmi intéz-kedések megvalósításáért, illetve szükség esetén a szank-cionálás kezdeményezéséért,

– az üzleti tulajdonosok kijelöléséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásá-ért,

– informatikai tárgyú beszerzési, szolgáltatási stb. szerződésekben, továbbá erőforrás-kihelyezéssel működ-tetett rendszerek esetében a Társaság informatikai biz-tonsági érdekeinek az érvényesítéséért,

– az informatikai szolgáltatók, szolgáltatási szerződé-sek és SLA-k biztonsági megfelelőségéért,

– jogtiszta szoftverekkel társasági szintű vírusvédelmi rendszer fenntartásáért,

– az operációs rendszerek és alkalmazások – a Társa-ság által ellenőrzött – biztonsági javításainak beszerzésé-ért és telepítéséért,

– társasági szintű Konfi gurációkezelési Adatbázis fel-állításáért és működtetéséért,

– felhasználói azonosítók egységes képzésére központi névkonvenciós szabályrendszer felállításáért,

– a minősített rendszerekben társasági szinten egysé-gesített elvekre épülő változáskezelés működtetéséért,

– a távfelügyelet, a mobil eszközökkel végzett és a táv-munka biztonságos feltételeinek kialakításáért (pl. táv-munka nyilvántartása, hálózati becsatlakozási pontok ki-jelölése, eszközök védelméhez authentikációs és rejtjelző eszközök biztosítása, védett vonalak kialakítása) a TEBF, az IVO és az üzleti tulajdonosok (távmunka engedélyez-tetése) közreműködésével,

– A PKI (Publikus Kulcsú Infrastruktúra) vonatkozá-sában a tanúsítvány szolgáltatóknál a Társaság teljes jog-körű képviseletéért és ennek kapcsán kizárólagos jogkör-rel – egyutas ügyintézésként – a „kapcsolattartói” fel-adatkör ellátásáért.

– az informatikai biztonsági adminisztráció, így külö-nösen a hozzáférés-menedzsment kialakításáért.

4.2.3.2. Pályavasút üzletág Távközlő-, erősáramú- és biztosítóberendezési főosztály

Távközlési osztályFelelős a Társaság infokommunikációs hálózata vonat-

kozásában:– a biztonsági osztályok követelményeinek megfelelő

adathálózati védelmi rendszerek, eszközök honosításáért, fejlesztések koordinálásáért, szabványosításáért,

– a rendszerszintű informatikai biztonsági követelmé-nyek és a RIBSZ kialakításáért, valamint az ezekben fog-laltak operatív érvényesítéséért, ellenőrzéséért és a szük-séges logikai, fi zikai és adminisztratív védelmi intézke-dések megvalósításáért, illetve szükség esetén szankcio-nálás kezdeményezéséért,

– Társaság szinten egységes változáskezelési rendszer kialakításáért,

– annak biztosításáért, hogy az új hálózati technológi-ák és struktúrák bevezetésében a biztonsági rendszer ter-vezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként jusson érvényre,

– az adathálózatot megvalósító rendszerekben, környe-zetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért,

– a működtetés biztonságával kapcsolatos rendszerek üzemeltetéséért, az üzemeltetési biztonság operatív el-lenőrzéséért.

4.2.3.3. Főtevékenységi kör vezetőKöteles főtevékenységi körében megvalósítani az in-

formációvédelmet és adatbiztonságot. A munkaszerve-zetébe tartozó üzleti tulajdonosokon keresztül felelős a területén üzemelő informatikai rendszerek, valamint ezek felügyeleti rendszerei által kezelt információk vé-delméért. Ennek keretében irányítási területén, a felelős-ségi körébe tartozó informatikai rendszerekre nézve fe-lelős:

– a rendszer biztonsági követelményeiben foglaltak operatív érvényesítésért, ellenőrzéséért és a szükséges védelmi intézkedések megvalósításáért, illetve szükség esetén a szankcionálás kezdeményezéséért,

– a rendszerfejlesztési projekt előkészítése során a biz-tonsági rendszer tervezéséhez és megvalósításához szük-séges anyagi, eszköz és humán feltételek beállításának és jóváhagyásnak biztosításáért,

– a bekövetkezett károk felméréséért, kiértékeléséért és az intézkedések megtételéért,

– a biztonsági beruházások éves tervének összeállítá-sáért és annak megvalósításáért,

– az informatikai rendszerek és környezetük minden elemén a zárt és kockázatokkal arányos védelem biztosí-tásáért,

– a biztonsági rendszernek a rendszerszintű informati-kai biztonsági szabályoknak megfelelő üzemeltetéséért és ennek operatív ellenőrzéséért, a rendszerből történő szabályos kivonásért,

– az általános biztonsági kultúra folyamatos gondozá-sáért,


– informatikai biztonsági ügyekben a Biztonsági igaz-gatósággal és az IKI-vel való együttműködésért.

4.2.3.4. Üzleti tulajdonosMinden informatikai rendszer és eszköz biztonságát

egy-egy üzleti tulajdonoshoz kell rendelni, amit az in-formatikai rendszerfejlesztést kezdeményező tájékozta-tása alapján az infokommunikációs igazgató előterjesz-tése és a biztonsági igazgató egyetértése alapján az el-nök-vezérigazgató hagy jóvá. A funkció köthető konkrét beosztás mindenköri betöltőjéhez, de minden esetben a beosztást betöltő konkrét személy munkaköri leírásá-ban is szerepeltetni kell. Mindaddig, amíg az üzleti tu-lajdonos megnevezésre nem kerül, az érintett rendszer üzleti tulajdonosi feladatait az adott szervezeti egység vezérigazgató helyettese látja el, a vezérigazgatóhoz közvetlenül rendelt szervezeti egységek esetében pedig a vezérigazgató.

Az üzleti tulajdonos az a vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Cél-szerűen annak a szervezeti egységnek a vezetője, akihez az adott rendszer témafelelőse tartozik. Tulajdonosi jog-köre a rendszerrel szemben nem csak a projekt megvaló-sítási szakaszában, hanem azon túl a rendszer teljes élet-ciklusában fennáll. Ő a rendszer biztonsági kockázatai-nak kezelője, felelőssége kiterjed az adott rendszer infor-matikai termékeit, illetve szolgáltatásait érintő hagyomá-nyos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. Az üzleti tulajdonosnak biztosítania kell, hogy az infor-matikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellen-őrizzék. A biztonsági előírások érvényesülése szempont-jából legfeljebb 3 évenként felül kell vizsgáltatnia a tulaj-donolt rendszer működését biztosító informatikai hátte-ret, a rendszer beszállítóját, a felhasználók jogosultságait és a rendszerhasználat biztonságában érintett vezetők te-vékenységét.

Felelős a hatáskörébe tartozó informatikai rendszer(ek) vonatkozásában:

– a rendszerek tervezése és fejlesztése során az üze-meltetés biztonsági kockázatainak felméréséért és érté-keléséért, ennek alapján az IKI és az IVO vezetőjének egyetértésével a rendszer biztonsági osztályba sorolásá-ért,

– a kockázatok minimalizálásához szükséges ráfordí-tások, erőforrások, intézkedések menedzseléséért, a ma-radványkockázat meghatározásáért és elfogadásáért,

– a rendszer rendelkezésre állási paramétereinek meg-határozásáért, az előre nem várható események (inciden-sek) esetén a szükséges tevékenység irányításáért,

– a rendszer biztonsági osztályának meghatározása alapján a kezelt adatok védelmének előírások szerinti biz-tosításáért,

– a rendszer kifejlesztése során a szükséges biztonsági tervek és dokumentumok (pl. kockázatelemzés, rend-szerterv, RIBSZ, Működés-folytonossági terv, felhaszná-lói- és üzemeltetői kézikönyvek) elkészítéséért és aktua-lizálásáért,

– a rendszernek a rendszertervben leírtak szerinti megvalósításáért (fejlesztés, megvalósítás, tesztelés),

– a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért,

– a rendszer használata során a kialakított biztonsági szint fenntartásáért,

– a rendszer változása (fi zikai, jogi, szervezeti, szoft-ver, hardver stb.) esetén a lehetséges új kockázati ténye-zők feltárásáért és értékeléséért,

– a kezelt adatoknak a jogszabályokban előírt szintű biztosításáért az adatok teljes életciklusában,

– a működés-folytonosság biztosítása érdekében terve-zett feladatok végrehajtásának ellenőrzéséért,

– a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért,

– a rendszer üzemeltetésére kötött szerződésben a RIBSZ betartásának érvényre juttatásáért,

– a rendszert használók és üzemeltetők jogosultságai-nak kialakításáért. Minősített biztonsági osztályok esetén a szerepkörök meghatározásáért,

– központi jogosultság menedzsment létrejötte esetén az elvek szerinti kialakításért.

Jogosult az általa tulajdonolt rendszer(ek) vonatkozá-sában:

– megbízott kijelölésére, aki a nevében eljár,– a rendszer kifejlesztésével (beszerzésével), használa-

tával és karbantartásával kapcsolatos biztonsági döntések meghozatalára,

– a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyek kijelölésére,

– a rendszer biztonsági osztályba sorolásából követke-ző védelmi intézkedések foganatosítására, illetve kezde-ményezésére a Társaság felső vezetése felé,

– az esetlegesen előforduló informatikai biztonsági in-cidensek kivizsgálásában való közreműködésre, a szük-séges szankciók kezdeményezésére,

– IVO, IKI és más szakmai szervezetek segítségének közvetlen igénybe vételére,

– szükség szerint az informatikai biztonsági tevékeny-ség ellátásában közreműködő rendszerszintű informati-kai biztonsági megbízott kijelölésére (lásd 4.2.3.9. feje-zet).

4.2.3.5. Szakterületi vezetők:Az alábbi kiemelt feladatok vonatkozásában a Társa-

ság egészére kiterjedően felelős:Személyzetfejlesztés vezetője:– Az Infokommunikációs Igazgatóság, illetve a Biz-

tonsági Igazgatóság által igényelt és az éves képzési terv-ben jóváhagyott informatikai biztonsági képzések, to-vábbképzések és tréningek megszervezéséért.


Belső ellenőrzési főosztály vezetője:– az informatikai és az informatikai biztonsági szakte-

rület ellenőrzési folyamatai kialakításának szakmai irá-nyításáért és a szakmai szabályzatokban foglaltak elő-írásszerű végrehajtásának ellenőrzéséért,

– az Általános Ellenőrzési Utasítás informatikát érintő tevékenységeinek ellátása során az együttműködés kez-deményezéséért, a feltárt informatikai kockázatokkal és hiányosságokkal kapcsolatos megállapítások IVO számá-ra történő átadásáért.

Jogi igazgatóság vezetője:– az informatikai rendszerekben előforduló, társasági

szintű következményekkel járó biztonsági események ér-tékelésénél az ezek alapján meghozandó munkáltatói in-tézkedések, szankciók foganatosításáért.

Ingatlangazdálkodási igazgatóság vezetője:– a Társaság objektumainak, telephelyeinek az infor-

matikai biztonsági követelményeknek is megfelelő védel-me biztosításáért.

4.2.3.6. Felhasználó beosztottal rendelkező vezetőIrányítási területén biztosítania kell, hogy az informa-

tikai biztonságra vonatkozó dokumentumokban (IBSZ, Felhasználói- és Üzemeltetési kézikönyvek stb.) foglalta-kat minden általa vezetett munkavállaló és külső hozzá-férő teljes mértékben megismerje és betartsa. Ennek so-rán feladata:

– a közvetlen irányítása alá tartozók részére a Társa-ságnál betöltött munkakörüknek megfelelő felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüg-gesztés, visszavonás stb.) kezdeményezése,

– a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás stb.) szükséges ideiglenes jogosultságok biztosítása, mi-nősített rendszerek esetén a munkálatok felügyeletének megszervezése,

– a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos fi gyelemmel kísérése, a tapasztalható gyenge pontok vagy az esetleg bekövetkező biztonsági események jelzése közvetlen felettese, az adott rendszer üzleti tulajdonosa, és közvetlenül az IVO részé-re (lásd 4.9.1. fejezet),

– szükség esetén a működési területe speciális jelleg-zetességeit tükröző helyi végrehajtási utasítás kibocsátá-sa vagy oktatások megigénylése, és a hozzátartozó mun-kavállalók oktatásokon való megjelenésének biztosítása,

– a Felhasználók biztonsági kötelezettségei c. doku-mentumban (1. sz. melléklet) rögzítettől eltérő használa-tának észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az IVO részére.

4.2.3.7. Információvédelmi szakértőAz IVO szervezeti keretei között, az információvédel-

mi szakértők közreműködnek a társasági MSZSZ-ben és a jelen szabályzatban a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban:

– a rendszerszintű informatikai biztonsági dokumen-tumok kidolgoztatása,

– informatikai fejlesztésekben az IVO képviselete,– az informatikai biztonsági rendszerek, valamint a

rendszer-adminisztrátorok és rendszergazdák tevékeny-ségének ellenőrzése, biztonsági felügyelete,

– a területi informatikai biztonsági megbízottak mun-kájának szakfelügyelete,

– rendszerüzemeltetési dokumentumok vizsgálata,– informatikai biztonság események (incidensek) ki-

vizsgálása,– javaslattétel a védelmi intézkedésekre, szankciókra,– a fi zikai biztonság megvalósulásának felügyelete,– informatikai biztonsági szaktanácsadás, üzleti tulaj-

donosok, vezetők, felhasználók segítése,– biztonsági naplók ellenőrzése,– szakmai ismereteit felhasználva támogatást nyújt az

informatikai biztonsági képzési, oktatási tevékenység ré-szére, az O.1. utasításban szereplő informatikai biztonsá-gi oktatások tematikájának véleményezésében, az oktatá-sok időtartamának és gyakoriságának előírásában,

– közvetlenül együttműködik és kapcsolatot tart az IKI és a TEBF szakértőivel, az informatikai rendszerek kiemelt fontosságú munkaköreinek betöltőivel, a területi, illetve a rendszerszintű informatikai biztonsági megbí-zottakkal, a projektvezetőkkel, valamint a Társaság le-ányvállalatainak informatikai biztonságért felelős biz-tonsági szervezeteinek szakértőivel, különös tekintettel a MÁV Informatika Zrt.-re,

– biztonsági szolgáltatási szerződések keretén belül részt vesz a MÁV vállalatcsoportba tartozó társaságok informa-tikai biztonsági tevékenységének támogatásában. Ennek során közvetlenül együttműködik az érintett társaság infor-matikai biztonsági tevékenységét ellátó szakértőjével.

4.2.3.8. Területi informatikai biztonsági megbízottA Biztonsági igazgatóság területi vasútbiztonsági osztá-

lyain létesített biztonsági megbízott munkakör betöltője a területi osztályvezető hatáskörében eljárva, kizárólag neki alárendelten, az IVO szakmai irányításával végzi az infor-matikai biztonságot támogató munkáját. Ennek érdekében a munkakörére előírt vasútbiztonsági feladatai mellett:

– ellenőrzi az informatikai biztonságra vonatkozó egy-szerűbb szabályok betartását, különös tekintettel az ille-téktelen, vagy nem az előírásoknak megfelelő jelszó- és informatikai eszköz használatra, a jelszavak illetéktele-nek tudomására jutására stb.,

– informatikai biztonsági rendkívüli események (pl. vírusfertőzés) észlelése vagy tudomásra jutása esetén a szolgálati út betartásával tájékoztatja a területi osztályve-zetőt és az IVO-t,

– helyi ismereteit felhasználva részt vesz az informati-kai biztonsági rendkívüli események kivizsgálásában,

– ellenőrzi a feltárt hiányosságok megszüntetésére tett intézkedések hatékonyságát,

– felügyeli a fi zikai biztonsági előírások betartását (pl. szerverszobák zárása, belépés naplózása).


4.2.3.9. Rendszerszintű informatikai biztonsági megbízott

Az üzleti tulajdonos egyedi kijelölése alapján, az infor-matikai fejlesztések és projektek, valamint az informati-kai rendszerek üzemeltetése során – az IVO szakmai tá-mogatásával – közreműködik az üzleti tulajdonos rend-szer biztonságát érintő feladatainak teljesítésében. Ennek érdekében a munkakörére előírt feladatai mellett:

– előkészíti és nyomon követi az informatikai bizton-ságot érintő dokumentumokat,

– előkészítő munkát végez az üzleti tulajdonos dönté-seinek támogatása érdekében,

– fi gyelemmel kíséri a biztonsági követelményekre ki-alakított szabályok betartását,

– közreműködik az érintett rendszer informatikai biz-tonsági feladatainak ellátásában,

– informatikai biztonsági rendkívüli események észle-lése vagy tudomásra jutása esetén tájékoztatja az üzleti tulajdonost és az IVO-t.

4.2.3.10. ProjektvezetőA Társaság informatikai rendszereit érintő fejlesztési

projektjeinek előkészítési- és megvalósítási fázisában a projektvezető felelős:

– a rendszer fejlesztésére kötött szerződésben az IBSZ előírásainak szerepeltetéséért,

– az adott informatikai rendszerben és annak környe-zetében megvalósítandó fi zikai, logikai és adminisztratív védelmi rendszerre vonatkozó biztonsági követelmények, továbbá a szükséges anyagi- és humán feltételek megha-tározásának kezdeményezéséért,

– az informatikai rendszerben kezelendő, üzleti titok-nak minősülő adatok titokban tartása érdekében a szük-séges intézkedések kezdeményezéséért,

– az informatikai rendszer biztonsági osztályba sorolá-sát megalapozó kezdeti kockázatelemzés elvégzéséért, a besorolási javaslat elkészítéséért és annak az üzleti tulaj-donossal történő jóváhagyatásáért,

– A biztonságos hozzáférés rendszerének kialakítása során a jogosultságok és a szerepkörök meghatározásáért, illetve a későbbiekben kialakításra kerülő központi jogo-sultság kezelő rendszer elveinek érvényesítéséért.

– mindaddig, amíg az üzleti tulajdonos nem kerül kije-lölésre, annak feladatait a projektvezető látja el,

– a fi zikai- és a logikai védelmi rendszer tervezésében, megvalósításában és tesztelésében az IVO szakmai együttműködésének a biztosításáért,

– a rendszer biztonsági dokumentumainak (Kockázat-elemzés, RIBSZ, Működés-folytonossági terv, felhaszná-lói- és rendszer dokumentációk) elkészíttetéséért,

– a projekt bevezetéséhez szükséges képzések és okta-tások tematikájának felterjesztéséért, a képzésben részt-vevők körére és a képzések szervezésének ütemezésére.

– a biztonsági rendszernek az éles üzembe történő be-vezetéséért.

4.2.3.11. Üzemeltetés-vezetőA Társaság kiemelt fontosságú informatikai rendszere-

inek és koncentrált informatikai erőforrásainak (pl. szá-mítóközpontok, adathálózati központok) üzemeltetésével megbízott vezető felelős:

– a hatáskörébe utalt informatikai rendszerekben ke-zelt információk bizalmasságának, hitelességének és sér-tetlenségének védelméért,

– a rendszerek üzemeltetésében a jelen IBSZ, valamint a rendszerspecifi kus RIBSZ biztonsági előírásainak ér-vényre juttatásáért,

– a működő biztonsági rendszerek üzemeltetésének felügyeletéért, a rendszerek logikai védelmi mechaniz-musainak a védelmi rendszertervben jóváhagyott beállí-tásáért és naprakészen tartásáért,

– a biztonsági rendszerben beállt változások dokumen-tálásáért,

– a biztonsági naplók szabályszerű kezeléséért, az ész-lelt biztonsági események feljegyzéséért, ezekről a rend-szer üzleti tulajdonosa és az IVO tájékoztatásáért,

– a rendszer működtetésében résztvevő rendszergaz-dák, biztonsági adminisztrátorok tevékenységének ösz-szehangolásáért.

4.2.3.12. Rendszeradminisztrátor, rendszergazdaA Társaság informatikai rendszerének telepítését, kon-

fi gurálását, karbantartását végző, az ehhez szükséges speciális ismeretek és rendszer-hozzáférési engedélyek birtokában levő személy. A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata:

– a logikai védelmi rendszer beállítása a védelmi rend-szertervnek és a jóváhagyott jogosultságoknak megfele-lően,

– adatszolgáltatás a jogosultság nyilvántartó rendszer részére,

– a biztonsági és védelmi beállítások módosítása, ak-tualizálása a jóváhagyott változásoknak megfelelően,

– RIBSZ betartásának operatív ellenőrzése a biztonsá-gi rendszerek folyamatos felügyeletével, az észlelt rendel-lenességek kezelése,

– az informatikai rendszeren elvégzett hardver és szoftver karbantartási, hibajavítási, módosítási tevékeny-ségek biztonsági felügyelete,

– különösen fontos az informatikai rendszeren észlelt illegális hardver-változtatások, jogellenes használat, jo-gosulatlan licensz-felhasználás jelentése a felettes üze-meltetés-vezető és közvetlenül az IVO részére,

– a biztonsági rendszerben történt változások doku-mentált követése,

– a rögzített biztonsági események gyűjtése, értékelése és jelentése a felettes üzemeltetés-vezető, és közvetlenül az IVO részére.

4.2.3.13. FelhasználóAki a Társaság üzleti céljainak elérése érdekében in-

formatikai eszközt kezel, és arra telepített programot (al-kalmazást) használ feladatai megoldásához, köteles az


általa kezelt eszközök, rendszerek informatikai biztonsá-gára vonatkozó dokumentumaiban (Felhasználói- és Üzemeltetési Kézikönyvek stb.) a felhasználókra vonat-kozó szerepköröknek megfelelően részletezett szabályok szerint eljárni. A vonatkozó szabályokat a Dokumentáci-ók biztonsága c. fejezetben (4.6.1.1. pont) megjelölt sze-mélynek kell a felhasználó rendelkezésére bocsátania.

Köteles továbbá a jelen szabályzat (1. sz. melléklet) Felhasználók biztonsági kötelezettségei c. dokumentum-ban foglaltakat megismerni, azt a 2. sz. melléklet aláírá-sával elfogadni és napi munkájában alkalmazni.

4.2.3.14. Informatikai szolgáltatóA Társaság részéről szerződő fél köteles a Társaság in-

formatikai biztonsági előírásait érvényesíteni az infor-matikai szolgáltatási és egyéb szerződésekhez tartozó informatikai rendszerek fejlesztése, üzemeltetése során.

Az informatikai szolgáltatónak a folyamatokba épített rendszeres ellenőrzésekkel kell garantálnia a technikai, adminisztratív és személyi biztonsági tevékenységek el-látása során a kezelt adatok bizalmasságának, sértetlen-ségének és rendelkezésre állásának megőrzését, a Társa-ság jelen informatikai biztonsági előírásainak és az egyes rendszerekre kiadott RIBSZ-eknek, valamint a Szolgál-tatási szerződésnek megfelelő működést.

4.2.4. Az informatikai biztonság szabályozása a MÁV Zrt. partnereire vonatkozóan

4.2.4.1. ÜgyfelekAz ügyfelek informatikai biztonságával kapcsolatos

intézkedések célja, hogy megakadályozza az üzletmenet folytán felmerülő nem nyilvános adatnak minősülő infor-mációk kiszivárgását. Ezért a biztonsági gyakorlat az ügyfeleket hasznosságuk mellett, bizonyos mértékű ve-szélyforrásnak is tekinti. A Társaság ügyfelei nem köte-lezhetőek a biztonsági intézkedések szigorú betartására, ezért az informatikai rendszereket kell úgy kialakítani, hogy azok használata során ne okozhassanak kárt a Tár-saság részére. A szerződéssel rendelkező ügyfelek eseté-ben tájékoztató jelleggel fel kell hívni a fi gyelmet a szol-gáltatás igénybevétele kapcsán fennálló kockázatokra, ajánlásokat kell adni a megfelelő biztonságot nyújtó eljá-rások alkalmazására.

4.2.4.2. Más vasúttársaságok, nemzetközi vasút-szervezetek

A Társaság informatikai rendszerei több szálon is kap-csolódnak más nemzeti vagy nemzetközi vasúti szerve-zet rendszereihez: tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás).

Ezekben a kapcsolatokban – megfelelő szakmai előké-szítő tárgyalások után – az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biz-

tonsági követelményeiben, besorolásában. Az írásba fog-lalt együttműködési szerződés műszaki mellékletében külön biztonsági fejezetben kell rögzíteni az informatikai biztonságot érintő hatásköröket, felelősségeket, a bizton-ság garantálásához alkalmazandó üzemeltetési, felügye-leti és ellenőrzési eljárások részleteit.

A Társaság oldalán az érintett rendszerek üzleti tulaj-donosainak gondoskodniuk kell arról, hogy az együttmű-ködési szerződés és az adott rendszerre vonatkozó RIBSZ rendelkezései összhangban álljanak egymással.

4.2.4.3. Informatikai szolgáltatók, beszállítók, szer-vizek

Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság ügyfélként veszi igénybe a partner cég vala-mely – informatikai biztonságot is érintő – szolgáltatását. Ilyen szolgáltatás lehet:

– hálózat (internet) szolgáltatás,– on-line banki szolgáltatás,– hardverkarbantartás, javítás,– hardver/szoftver bérbeadás,– hardver/szoftver üzemeltetés– hosting szolgáltatás– rendszeradminisztráció, vírusvédelem,– szoftverfejlesztés,– alkalmazás-követés (upgrade, patch stb.),– oktatás,– egyéb informatikai szolgáltatás (pl. nyomtatás),– takarítás, őrzés-védelem,– stb.A Társaság biztonsági érdekeit érvényesíteni kell mind

a beszállítók megválasztásával, mind a szerződések meg-kötésénél a megfelelő biztonsági garanciák beépítésével. Az informatikai beszállítók kijelölése, kiválasztása az IKI feladata, de a biztonsági megfelelőség megítélésében köteles kikérni és fi gyelembe venni az IVO véleményét.

Minősített rendszereket érintő esetekben a biztonsági szempontból is optimális kiválasztás érdekében beszállí-tói biztonsági minősítési rendszert kell fenntartani, amely alapján objektíven összemérhetők a potenciális partnerek által hordozott kockázatok. Ennek a minősítési rendszer-nek 3. sz. mellékletben felsorolt elemekből kell felépül-nie. A minősítést az IKI igénye alapján az IVO végzi, véleményét (értékelését) írásban megadja, amit a további-akban a fejlesztési dokumentumok részeként kell kezelni.

4.2.4.4. Projekt partnerekA Társaság informatikai rendszereinek korszerűsítésé-

re, új rendszerek létrehozására indított projektek kapcsán az együttműködésre pályázó jelentkezők versenyezteté-sénél – az érintett rendszer biztonsági besorolásának megfelelően – az informatikai biztonsági előírások mara-déktalan érvényesítését is biztosítani kell.

A pályázati felhívásban – a funkcionális követelmé-nyek mellett – a pályázóktól elvárt informatikai biztonsá-gi követelményeknek is egyértelműen meg kell jelenniük (pl. MÁV Zrt. IBSZ). Ennek érdekében az informatikai


rendszereket érintő pályázatok informatikai biztonsági részeivel kapcsolatban az IVO állásfoglalását ki kell kér-ni. A pályázati anyagok elbírálása során a biztonsági be-sorolás szintje által determinált súlyozással kell fi gyelem-be venni a pályázó cég informatikai biztonsági helyzetét és képességét, a pályázati munka tartalmi részének az informatikai biztonsággal összefüggő fejezeteit, és a vál-lalt biztonsági garanciákat. A kiválasztás során alkal-mazni kell a 3. sz. mellékletben bemutatott biztonsági minősítési rendszert.

4.2.4.5. Partner-Szerződések megkötésének bizton-sági szabályai

Azzal, hogy a Társaság informatikai rendszereihez a partnerek számára különféle fi zikai-, illetve logikai hoz-záférési lehetőségeket biztosítunk, újabb kockázatok je-lennek meg. Ezek kompenzálása érdekében a partnerek-kel megkötendő szerződésekbe adminisztratív védelmi intézkedéseket kell beépíteni, hogy a rendszerek bizton-sági szintje ne sérüljön. A szerződésekben mindkét fél számára egyértelműen le kell fektetni azokat a kereteket, feltételeket, amik szabályozzák (lehetővé teszik, vagy tiltják)

a partner számára:– a Társaság informatikai rendszereinek tárgyiasult

elemeihez (infrastruktúra, hardver, adathordozók, doku-mentumok) való közvetlen fi zikai hozzáférést, a Társaság objektumaiban végzett munkát,

– a Társaság informatikai rendszereihez, az azokban tárolt adatokhoz, informatikai szolgáltatásokhoz való külső vagy belső logikai hozzáférést,

– személyes adatok kezelését,– a szerződéssel kapcsolatos információk nyilvánosság-

ra hozatalát, vagy harmadik fél részére történő átadását,– alvállalkozók bevonását;

a Társaság számára:– a partner által végzett belső- és külső tevékenységek

felügyeletét, ellenőrzését, szükség esetén beavatkozását,– a partner által nyújtandó szolgáltatás szintjének ob-

jektív értékelését, mérését, nem megfelelőség esetén szankciók érvényesítését,

– a partner által esetlegesen okozott kár miatt, illetve garanciális kérdésekben kártérítési igény érvényesítését,

– biztonsági auditor cégek bevonását.

A szerződésekben, illetve azok műszaki mellékletében ki kell térni a következő kérdésekre is:

– titokvédelem,– szerzői jogi és tulajdonjogi kérdések,– hazai, nemzetközi valamint MÁV Zrt. szabványok-

nak, előírásoknak való megfelelés,– változáskezelés folyamata,– problémakezelés folyamata,– kockázatkezelés, a biztonsági szint fenntartásának

folyamata.

A partnerekkel fennálló szerződések előkészítése, megkötése a Társaság mindenkor érvényes szabályai sze-rint történik, de a rendszerek kialakítását vagy módosítá-sát érintő szerződéseknek kötelező informatikai bizton-sági fejezetet is tartalmaznia. Minden informatikai rend-szert érintő előkészítésbe be kell vonni az IVO-t, a szer-ződés megkötéséhez állásfoglalását ki kell kérni. A pro-jekt munkaszervezetében az IVO részvételével, illetve javaslata alapján rendszerszintű informatikai biztonsági megbízott (lásd. 4.2.3.9. fejezet) részvételével külön biz-tonsági alprojektet / projektmodult kell működtetni, ami-nek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése.

Beszállítói szerződést csak olyan partnerrel köthető, aki / amely tudomásul veszi és vállalja, hogy betartja a jelen szabályzatban leírtakat, a Társaság informatikai biztonsági érdekeinek érvényesítése céljából megfogal-mazásra kerülő speciális elvárások teljesítését, és lehető-séget biztosít a Társaság számára azok teljesülésének fel-ügyeletére. Ezeket az elvárásokat az érintett rendszerek üzleti tulajdonosainak kell megfogalmazniuk, és rögzíte-niük a rendszerfejlesztés keretei között. Az IKI segíti az üzleti tulajdonost a biztonsági igények megfogalmazásá-ban, közreműködik abban, hogy a leendő partnerek mindezeket megismerjék, elfogadják, továbbá az ebből következő feladatokat, eljárásokat az együttműködési / beszállítói / fejlesztési stb. szerződésben egyértelműen rögzítsék.

4.2.5. Az informatikai biztonság szabályozása erő-forrás-kihelyezés esetén

Az erőforrás-kihelyezés (outsourcing) a szerződéses partnerkapcsolatok speciális formája, ezért a 4.2.4.5. fe-jezet általános szabályai ezekre az esetekre is érvénye-sek.

Tekintettel arra, hogy az outsourcing típusú szolgálta-tások esetén a Társaság – mint megbízó – a szolgáltatás megvalósításának részleteire nem kíván érdemi befolyást gyakorolni, a vállalkozó partner önállósága, hatásköre, felelőssége jóval nagyobb. Ennek a megnövekedett fele-lősségnek tükröződnie kell a szerződések tartalmi részé-ben. Egyértelmű szerepkör-elhatárolás szükséges a meg-bízó és a vállalkozó között az informatikai rendszer üze-meltetési folyamatai tekintetében, hogy egyetlen lénye-ges tevékenység se maradjon gazdátlanul, illetve ne le-gyenek indokolatlan párhuzamosságok.

Az üzleti tulajdonos egyedi döntése alapján, az outsourcing partner kiválasztásának folyamatában az IKI, illetve az IVO együttműködésével környezettanul-mányokat kell végezni a potenciális partnereknél.

Kiemelt biztonsági osztályba tartozó rendszerek üze-meltetése csak különleges körültekintéssel meghatáro-zott garanciális elemek biztosítása esetén, az üzleti tulaj-donos, az IVO és az IKI együttes előterjesztése alapján, a Társaság elnök-vezérigazgatója erre vonatkozó eseti dön-tése esetén adható vállalkozásba.


4.3. Az informatikai eszközök leltárba vétele és el-lenőrzése

A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a Társaság vagyontárgyainak megfe-lelő és folyamatos védelme, amelynek részletszabályait külön utasításban kell meghatározni. A vagyonleltár számviteli adatai mellett informatikai biztonsági szem-pontból kiemelten fontos a fi zikai vagyon, a szoftver-va-gyon és az információ-vagyon számbavétele.

4.3.1. Számadási kötelezettségek az eszközökkel kapcsolatban

A Társaság informatikai vagyontárgyait leltárba kell venni. Az azonosított vagyon értékével és jelentőségével arányosan lehet megállapítani a védelmi szinteket. A va-gyonleltár adatai fontos kiindulópontot jelentenek a koc-kázatkezelés és az informatikai stratégia tervezése során. Törekedni kell arra, hogy az egyes vagyontárgyak egyéni azonosítóval legyenek ellátva.

4.3.2. Konfi gurációkezelési adatbázis (KKA)A Társaság informatikai infrastruktúrája áttekinthető-

ségének fontos eszköze a vagyonleltár számviteli kereteit meghaladó információtartalmú konfi gurációkezelési adatbázis (KKA), amely – a vagyonleltár részeként vagy külön adatbázisban – a biztonság hatékony menedzselésé-hez nélkülözhetetlen adatokat kezel. E naprakész nyilván-tartásban kell lekérdezhetővé tenni az összes (nem csupán fi zikai jellegű) informatikai rendszerelem, illetve a biz-tonság menedzselésével összefüggő egyéb entitás (pl. biz-tonsági tartományok, biztonsági osztály, üzleti tulajdo-nos, üzemeltetés / tárolás helyszíne, felhasználó, változta-tási kérelmek, események, problémák, ismert hibák fel-jegyzése stb.) adatait, ezek egymás közötti összefüggéseit.

A statikus adatok mellett (rendszerelem típusa, fajtája, műszaki paraméterei, azonosítói stb.) a dinamikus adatok pillanatnyi-, és historikus értékeit, (üzemeltetés / tárolás helyszíne, vagyonleltár szerinti tulajdonos stb.), valamint a konfi gurációs elemekkel összefüggő egyéb információ-kat (változtatási kérelmek, események, problémák, ismert hibák feljegyzése, rendszerdokumentációk stb.) is nyil-ván kell tartani.

A tevékenység ellátását elősegítheti egy olyan megol-dás, amely a teljes körű hardver- és szoftverleltár, vala-mint a licencgazdálkodás elősegítése érdekében az infor-matikai eszközök állapotáról rendszeres időközönként információt továbbít a központi adatbázis számára.

A KKA kialakítása és naprakészen tartásának biztosí-tása az IKI feladata, melyet, a vagyonleltárt kezelő rend-szerrel összefüggésben – lehetőleg azzal együtt – kell létrehozni. A jogosultságok meghatározását követően, megfelelő hozzáférés-védelmi mechanizmusok alkalma-zásával, az adatbázist olvasási joggal hozzáférhetővé kell tenni az IVO, a tulajdonolt rendszer vonatkozásában az üzleti tulajdonos és az adott informatikai rendszerek üze-meltetését, mennyiségi stb. felügyeletét végzők számára.

4.4. Személyi biztonság

4.4.1. Az alkalmazás előttAz eszközök nem megfelelő használata során bizton-

sági kockázatok jelentkezhetnek, melynek mérséklése már a munkaerő-felvételt, illetve más munkakörben al-kalmazást megelőzően szükségessé válik. A munkaszer-ződés meg vagy újrakötésekor a munkájához informati-kai eszköz használatra kötelezett munkavállalónak (az 1. sz. melléklet megismerése után) a 2. sz. mellékletben sze-replő nyilatkozat aláírásával érvényesíteni kell az infor-matikai biztonságra vonatkozó követelményeket. A mel-lékletek átadása és a munkavállalóval való kitöltetése a humánpartner szervezet feladata. Az aláírt nyilatkozatot meg kell őrizni a dolgozó szolgálati táblázatában. Az elő-zőleg ismertetett folyamatot azon informatikai eszközt használó felhasználókkal is el kell végeztetni, akiknek nincs aláírt 2. sz. nyilatkozatuk.

Nem új belépő munkatársak (pl. Társaságon belüli munkahelyváltás) esetén a 2. sz. mellékletet nem szüksé-ges újból aláíratni, azonban az 1. sz. mellékleltet – az esetlegesen bekerült változások miatt – meg kell ismer-tetni a felhasználókkal.

Az egyéni munkaköri leírásoknak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcso-latos követelményeket a felelősség egyértelmű megjelölé-sével. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. Amennyiben a Társa-ság informatikai eszközöket és szolgáltatásokat bocsát a munkakörhöz, a használat szabályairól és az ellenőrzésé-nek lehetőségéről a munkakör betöltésével kapcsolatos eljárás folyamatában a munkavállalókat írásban kell tájé-koztatni.

4.4.1.1. A kiemelt fontosságú munkakörökKiemelt fontosságú munkakörnek tekintjük azon sze-

repkörök betöltőit, akiknek jogosultsága meghaladja az általános felhasználókét, egyúttal több felhasználóra, al-kalmazásra vagy rendszerre kiterjedő adatkezelési, dön-tési stb. jogkörrel rendelkeznek.

Az utasítás 4.2.3.8. – 4.2.3.12. pontjaiban szereplő, in-formatikai biztonság szempontjából kiemelt fontosságú tevékenységekhez kapcsolódó munkakörök betöltése so-rán a jelölt előzetes hozzájárulása mellett az interjú jegy-zőkönyvet a Humánerőforrás igazgatóság az IVO vezető-je részére megküldi, és a kiválasztott jelölt referencia vizsgálatát az IVO elvégzi.

A kiemelt fontosságú munkaköröket betöltő személyek helyettesítésének rendjét előre ki kell dolgozni, és ezt a helyettesítő munkatárs munkaköri leírásában is szerepel-tetni kell.


4.4.2. Az alkalmazás alatt

Az alkalmazás alatt a munkáltatói jogkör gyakorlójá-nak, az üzleti tulajdonosnak, az IKI-nek, az IVO-nak együttesen, folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai bizton-ság fenyegetéseinek, ezáltal is motiválva legyenek az in-formatikai biztonsági szabályok betartására. A felhasz-nálókat az oktatások alkalmával és egyéb csatornákon keresztül (intranet, hírlevél stb.) is tájékoztatni kell a biz-tonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok mini-malizálása érdekében.

4.4.2.1. A vezetők felelősségeAz adott szervezeti egység vezetőjének felelőssége,

hogy megkövetelje a felhasználóktól és a szerződő felek-től, hogy a biztonsági intézkedéseket az IBSZ-el össz-hangban alkalmazzák, a biztonságot érintő kérdésekben megfelelő, naprakész jártasságuk legyen. Erre vonatkozó képzési igényeket a Társaság szervezetei szükség esetén az éves képzési tervükben szerepeltetik.

A Biztonsági Igazgatóság feladata annak biztosítása, hogy az utasítás tartalmának megismertetése az informa-tikai képzések tematikájában megfelelő súllyal szerepel-jen.

A munkáltatói jogkör gyakorló joga munkatársainak a tervezett képzésre való kijelölése.

4.4.2.2.Oktatás és képzésA felhasználóknak a munkakörüknek megfelelően is-

merniük kell a biztonsági eljárások alkalmazását és az információ-feldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat.

A felhasználói oktatás tematikáját és időtartamát – mind az informatikai, mind az informatikai biztonsági igényeket fi gyelembe – véve a Társaság oktatási utasítá-sában (O1) kell szabályozni. Főszabályként belépéskor biztonsági alapképzést, majd évente utánképzést kell megvalósítani. A biztonsági képzések tananyagát a ko-rábban már említett, a 1. sz. mellékletben bemutatott, Fel-használók biztonsági kötelezettségei c. segédlet képezi, amit az adott munkaterület speciális igényei szerinti elő-adásokkal kell kiegészíteni. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az infokommunikációs esz-közök helyes használatát.

4.4.2.3. Biztonsági események megelőzése, jelentéseMinden felhasználónak ismernie kell a Társaság mű-

ködésének és az általa használt informatikai eszközök használatának a biztonságát befolyásoló különböző ese-mények (biztonsági előírások megsértése, veszélyek, hiá-nyosságok vagy működési zavarok, pl. vírusfertőzés) je-lentésének eljárási szabályait. Munkaköri leírásában munkájához informatikai eszköz használatára kötelezett

munkavállaló ezt a 4.4.1 fejezetben leírtak szerinti Infor-matikai biztonsági nyilatkozat aláírásával tejesíti.

Az informatikai rendszert, vagy a hálózat működését érintő biztonsági rendkívüli eseményt a felhasználói köte-les a közvetlen vezetőjének, akadályoztatása esetén az ille-tékes személyzetnek jelenteni, szükség esetén a kármegelő-zési, kárelhárítási intézkedéseket érdekében mindent meg-tenni. Köteles az eredményes kivizsgálást elősegíteni. A szervezeti egység vezetője jelentését haladéktalanul köteles megtenni az IVO vezetőjének (telefon, fax, e-mail stb.).

A jelen IBSZ személyi hatálya alá tartozó vállalkozó-nak (2.1.1 fejezet 3. bekezdés), továbbá az erre alkalmas rendszerek külső használóinak a velük kötött szerződés-ben kell felelősséget vállalni a biztonsági követelmények betartásáért. A kötelezettségnek a szerződésben való sze-repeltetéséért a szerződés Társaság oldali aláírója felelős.

Az események biztonságos kezeléséhez, az ismételt fellépés elleni védekezés kidolgozásához szükség van arra, hogy a történést követően az eseményt előidéző, az esemény okait és lefolyását feltáró, vagy megismerhetővé tevő bizonyítékok ne semmisüljenek meg, azok össze-gyűjthetők és értékelhetők maradjanak.

4.4.2.4. Felelősség vizsgálataAzokkal a munkavállalókkal szemben, akik a Társa-

ság informatikai biztonsági szabályzatait és eljárásait megsértették fegyelmi eljárást kell indítani. Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyéb-ként hajlamosak lennének arra, hogy a biztonsági szabá-lyokat megszegjék. A biztonsággal összefüggő munka-vállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssége és egyben kötelessége. A vizs-gálat az IVO bevonásával történik.

4.4.3. Az alkalmazás megszűnésekor vagy változá-sakor

A munkaviszony megszüntetése illetve munkaviszony Társaságon belüli megváltozása biztonsági szempontból azonos kategória, az áthelyezett munkatársat azonosan kell kezelni a kilépő munkatárssal.

A munkaviszony megszüntetésekor a Társaság szem-pontjából biztonsági alapkövetelmény, hogy a munkavál-lalók rendezett módon hagyják el a szervezetet vagy vált-sanak munkakört. A munkáltatói jogokat gyakorló vezető döntése alapján a távozó munkatárs bármely általa hasz-nált informatikai, telekommunikációs eszközéről még a munkaviszony megszűnése előtt mentést kell végezni. A munkatárs nyilatkozata alapján, a mentő eszközökről a hitelt érdemlően bizonyítható személyes adatait törölni kell. Az adatok további felhasználásáról a munkáltatói jogkör gyakorló dönt. Egyéb esetben a távozó munkatárs által előkészített és lebonyolított munkakör átadásával kapcsolatban – erre vonatkozó nyilatkozat hiányában is, tekintettel a magáncélú használat tilalmára – feltételezni kell, hogy az esetlegesen tárolt személyes adatait törölte, azok között ilyen jellegű adatok nem szerepelnek.


Távozás során a berendezéseket át-, illetve a nem hasz-nált eszközöket le kell adni a hozzáférési jogokat azonnal vissza kell vonni, amelynek ellenőrzéséért a munkáltatói jogkör gyakorlója felelős. Az informatikai jogosultságo-kon kívül visszavonásra kerülő vagy átalakítandó hozzá-férési jogok közé tartoznak a fi zikai vagy logikai hozzá-férések, azonosítók, beléptető kártyák, előfi zetések. Kü-lönös fi gyelemmel kell lenni a munkakörből távozáskor az aktív számlákhoz hozzáférést biztosító jelszavak visz-szavonására, illetve megváltoztatására.

Amennyiben szükséges a munkaviszony megszűnése-kor titoktartási nyilatkozatban, megállapodásban kell rögzíteni a felelősségeket, amelyek még vonatkoznak a távozó munkatársra egy meghatározott időszakon át a munkaviszony megszűnése után is.

4.4.3.1. Az eszközök visszaadásaAlapvető biztonsági cél, hogy minden felhasználó

szerződése lejártáig a Társaság minden vagyontárgyát dokumentáltan szolgáltassa vissza, beleértve a szoftvere-ket, társasági dokumentumokat, az informatikai eszkö-zöket, hitelkártyákat, beléptető kártyákat, illetve külön-féle elektronikus adathordozón tárolt információkat.

Azokban az esetekben, amikor egy felhasználó meg-veszi a Társaság egy digitális adatok tárolására alkalmas eszközét a kiléptetési folyamat során az eszközről min-den a Társaságot érintő adatot biztonságosan törölni kell (lásd 4.6.4.1. fejezet „h” pont). Ennek megvalósulása ér-dekében a megállapodás kizárólag az IVO – ennek meg-történtét igazoló – véleményének kiadását követően tör-ténhet meg.

4.4.3.2. Az átszervezés biztonsági kérdései

Egy átszervezés esetében már a tervezési szinten az IVO bevonásával információvédelmi szempontból is át-fogóan elemezni kell a biztonsági kockázatokat, meg kell határozni azokat az informatikai biztonsági követelmé-nyeket, intézkedéseket, melyeket szervezetnek érvényesí-tenie kell. A fájlszervereken lévő megosztott munka-könyvtárak és az alkalmazási rendszer hozzáférés-védel-mét ellenőrizni, szükség esetén módosítani kell. Ezek a veszélyforrások csak részben küszöbölhetőek ki techni-kai biztonsági intézkedésekkel.

4.5. Fizikai és környezeti biztonság

A berendezések fi zikai védelmének célja az eszközök állagának, információfeldolgozó képességüknek megőr-zése, folyamatos működőképességük fi zikai feltételeinek biztosítása, védelme az alábbi veszélyekkel szemben:

a) gondatlan emberi magatartásból, helytelen üzemelte-tésből, mulasztásból eredő fi zikai jellegű veszélyeztetés,

b) szándékos emberi beavatkozásból származó fi zikai jellegű károkozás, rongálás,

c) illetéktelen személyek hozzáférése, beavatkozása okozta károk,

d) lopásból eredő károk,e) műszaki meghibásodás, üzemzavar okozta károk,f) természeti csapások, katasztrófa események követ-

keztében keletkező károk.A védelmi intézkedések e csoportja a Társaság infor-

matikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló ingatlanok, telephe-lyek védelmére, valamint a berendezések folyamatos mű-ködéséhez szükséges környezeti feltételek biztosítására szolgál.

4.5.1. Biztonsági szegmensekA fi zikai biztonság megalapozását biztonsági területek

kijelölésével kell kezdeni. Minden olyan helyiséget, épü-letet, telephelyet, amely az informatikai rendszer bármely elemének üzemszerű elhelyezésére vagy tárolására szol-gál, be kell sorolni az alábbi osztályoknak megfelelően:

a) kiemelt biztonsági osztály: különlegesen fontos számítóközpontok és adathálózati központok, kiemelt biztonsági osztályú alkalmazást futtató szerverek helyi-ségei,

b) fokozott biztonsági osztály: számítóközpontok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági osztályú alkalmazást futtató szerverek elhelyezésére szolgáló szerverszobák, helyisé-gek,

c) alap biztonsági osztály: az előző két kategóriába nem sorolt körletek (pl. akár irodában, akár számítóköz-pontban elhelyezett, alap biztonsági osztályú alkalmazást futtató szerverek helyiségei).

Az adott terület biztonsági ügyeire vonatkozóan meg kell nevezni az üzleti tulajdonost, aki köteles együttmű-ködni az adott területen üzemelő rendszerek üzleti tulaj-donosaival. Ezt a személyt az alkalmazás RIBSZ-ekben nevesíteni kell. Bármely biztonsági szintre történő beso-roláshoz az IVO – írásba foglalt – állásfoglalása is szük-séges. Kiemelt biztonsági szintre történő minősítés csak független biztonsági szakértők bevonásával végzett ered-ményes auditálást követően történhet. A biztonsági terü-letek defi niálása és nyilvántartása – a KKA részeként – az IKI feladata.

4.5.1.1. Fizikai biztonsági védősávokA biztonsági területek határfelületein, ahol alacso-

nyabb szintű területekkel, vagy a külvilággal érintkez-nek, biztonsági védősávokat kell kialakítani, amelyek egy vagy több fi zikai természetű veszélyeztetés kivédé-sére szolgálnak. A 9. sz. mellékleten feltüntetett táblázat összefoglalja a védősávok típusait, illetve azt, hogy az egyes biztonsági szinteken melyek megvalósítása kötele-ző (K), vagy ajánlott (A).

4.5.2. Beléptetési intézkedésekA biztonsági területekre és az egyes biztonsági zó-

nákba való belépést, beléptetést ellenőrizni kell. Erre vo-natkozóan a Társaság beléptetéssel kapcsolatos szabály-zatait, illetve a vagyonvédelem szabályait megfogalma-


zó törvény előírásait kell érvényesíteni. A biztonsági te-rületekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. Külső szemé-lyek csak kísérettel tartózkodhatnak a Társaság objektu-main belül.

Alap biztonsági szintre besorolt területekre a bejutást – a minimális fi zikai védelem kialakítása keretében – az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott terü-leten dolgozók személyes felelőssége, hogy minden helyi-séghez csak az oda önálló belépésre is feljogosított sze-mélyek rendelkezzenek kulccsal, és hogy idegen szemé-lyek felügyelet nélkül ne tartózkodhassanak a helyiség-ben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni – megfelelően biztonságos tárolással –, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására.

A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelke-ző személyek be- és kilépését is naplózni kell. A belépés ellenőrzését a beléptető rendszer kártyán túl egyéb hitele-sítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni. Min-den külső munkatársat, szerződő felet, és minden vendé-get meg kell kérni, hogy viseljenek az általuk képviselt szervezetre utaló, jól látható jelzést. A munkatársak min-den esetben jelentsék a biztonsági személyzetnek, ha kí-sérő nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót.

Minden fokozott és kiemelt biztonsági szintű területre az üzleti tulajdonosnak a helyi sajátosságoknak megfele-lő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő be-lépés és munkavégzés rendjét mind az állandó dolgozók, mind az ideiglenes dolgozók, mind az eseti látogatók vo-natkozásában.

Ebben az utasításban kell lefektetni:a) a személyes azonosító eszközök (kártyák, kitűzők,

PIN-kódok) használatának, kiadásának, visszavételének szabályait,

b) a területre anyagok, eszközök be- és kiszállításának szabályait,

c) a területen munkaidőn túli tartózkodás szabályait,d) az ideiglenes- és vendég jelleggel belépők nyilván-

tartásának, kísérésének szabályait.A beléptetési utasításokat az IVO egyetértésével kell

kiadni.Kamerás megfi gyelő rendszerek használatáról a Társa-

ság adatvédelmi szabályzata rendelkezik (lásd 15. sz. melléklet).

4.5.3. Védelem a külső környezeti fenyegetettségek ellen

Az adatfeldolgozó, vagy tároló telephelyek kiválasztá-sakor fontos fi gyelembe venni, az adott földrajzi elhe-lyezkedéséből eredő veszélyforrásokat (pl. árvíz, föld-rengés, erdő vagy bozóttűz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése).

Az informatikai berendezések telepítési, elhelyezési helyének megválasztásakor – az adott eszköz rendelteté-sétől, biztonsági besorolásától függően biztosítani kell a zavartalan működéshez szükséges feltételeket.

Az informatikai rendszerek védelmének ki kell terjed-nie:

1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás),

2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni vé-delem),

3) külső tényezők (tűz, víz, vihar stb.) elleni védelem-re, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre,

4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással),

5) az áramellátás területén a villámcsapások elsődle-ges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre,

6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették).

A RIBSZ-ekben részletesen kell szabályozni:1) a műszaki berendezések elhelyezését és védelmét,2) az energiaellátást,3) a kábelezés biztonságát,4) a berendezések karbantartását,5) a telephelyen kívüli berendezések védelmét,6) a berendezések biztonságos tárolását és újrafelhasz-

nálását.

A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és rendelkezésre állásának biztosításában nagy szerepet ját-szik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. En-nek a védelemnek az adatok feldolgozását, tárolását, a há-lózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelke-zésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költsé-gével, valamint a Társaság üzletvitele szempontjából be-töltött szerepével kell arányban lennie. A fenyegető ténye-


zőket a kockázatelemzés tárja fel. Tekintettel ezek fajlago-san magas árára, a védelem teljes körű és mindenre kiter-jedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A véde-lem egyaránt terjedjen ki az élőerős, a mechanikai (építé-szeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonat-kozó összefüggések fi gyelembevételével (elhelyezés, fala-zatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogal-mazott biztonság mértékétől. Ilyen helyiségek a távbeszé-lő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok.

A megfelelő védelmi szintekhez tartózó feltételeket a Biztonsági osztályok követelményei c. táblázat (10. sz. mel-léklet) Infrastruktúra (fi zikai védelem) része tartalmazza.

4.5.3.1. EnergiaellátásA berendezéseket az alább felsorolt lehetőségek alkal-

mazásával kell megvédeni a tápáramellátás kiesése vagy meghibásodása esetén fellépő rendellenességektől. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifi kációjának.

Azok a lehetőségek, amelyekkel a tápáramellátás fo-lyamatosságát lehet elérni, magukban foglalják:

a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük,

b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply),

c) tartalék áramforrás alkalmazását.A folyamatos működést és a szabályos kikapcsolási fo-

lyamatot szolgáló UPS alkalmazása ajánlott olyan beren-dezésekhez, amelyek az üzlet működésére nézve kritiku-sak. Ajánlatos gondoskodni vészvilágításról is a fő ener-giaellátás meghibásodása/kimaradása esetére. Villámhá-rítót ajánlatos felszerelni valamennyi épületre, és villám-védő szűrőket alkalmazni az épületbe belépő kábelekre.

4.5.3.2. A kábelezés biztonságaAz adatkommunikációs kábelek fi zikai védelme a

nagy földrajzi kiterjedés, a többnyire folyamatos felügye-let nélküli nyomvonal miatt külön szabályok alkalmazá-sát követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, sza-botázs és lopás ellen.

Az adathálózat elemeit, a legfontosabb műszaki para-métereket, a rájuk kapcsolódó eszközöket stb. a KKA-ban is nyilván kell tartani. A Társaság infokommunikáci-ós hálózatának fi zikai és logikai védelmi rendszerét erre vonatkozó RIBSZ-ben és az Informatikai biztonsági stra-tégia szerint kell kialakítani. Ennek elkészítése és a ben-ne foglaltak szerinti működés megkövetelése a hálózat üzleti tulajdonosának a feladata.

4.5.3.3. A berendezések elhelyezésének szabályaiMinden berendezés csak a biztonsági besorolásának

megfelelő szintű biztonsági területen telepíthető. Az in-formatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati kapcsoló-berendezések, érzé-keny adatokat tartalmazó adathordozók, fontos doku-mentációk stb.) a jobb védhetőség érdekében koncentrál-tan, magasabb biztonsági szintű területek formájában kialakított számítóközpontokban (szerverszobákban, ren-dezőszekrényekben) kell elhelyezni, működtetni.

Extrém üzemi környezetben (poros, nyirkos, túl hideg vagy túl meleg helyszíneken) csak olyan berendezést sza-bad használni, amely – specifi kációja szerint – erre kife-jezetten alkalmas.

4.5.4. Hordozható informatikai eszközök védelmeAz eszközök nem hagyhatók felügyelet nélkül, ameny-

nyiben nem biztosítható azok előírt védelme. Ha lehetsé-ges, fi zikailag el kell zárni vagy különleges zárat kell al-kalmazni a berendezés biztosítására (pl. notebook védel-me Kensington zárral).

4.5.5. Felhasználói munkaállomások védelmeMinden számítógépes munkaállomáshoz (teljes konfi -

gurációt fi gyelembe véve), továbbá önálló nyilvántartási egységet képező más informatikai berendezésekhez va-gyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége:

a) a berendezések állagának, épségének megóvása a tőle elvárható gondoskodással,

b) sérülés, hiány azonnali jelentése a közvetlen vezető-nek,

c) hordozható eszközök (pl. notebook számítógép, PDA, mobiltelefon, projektor) esetén a Társaság objektu-main kívül történő használat vagy tárolás során a va-gyonvédelmi előírások maradéktalan betartása,

d) meghibásodásra utaló jelek (szokatlan zajok, mele-gedés stb.) esetén a készülék azonnali kikapcsolása, kar-bantartás igénylése,

e) tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmeneti tárolásáról.

A berendezések közvetlen közelében tartózkodni kell minden olyan tevékenységtől, amely azok sérülését, be-szennyezését okozhatja. Informatikai eszközök és tarto-zékaik eltulajdonítása ellen – ahol ezt a közvetlen munka-helyi vezető indokoltnak tartja – mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasz-tórendszerébe kapcsolt tárgyvédelemmel kell a veszé-lyeztetett berendezéseket ellátni.

4.5.6. Informatikai eszközök tárolása, karbantartá-sa, javítása és selejtezése

TárolásA Társaság kulcsfontosságú informatikai eszközeit

tartalmazó helyiségek, épületek pontos funkciójára, ki-


alakításának körülményeire vonatkozó információkat a nyilvánosság elől rejtve kell kezelni (ne legyenek nyilvá-nos helyen tájékoztató táblák, nyilvános telefonkönyvből, címtárból kiolvasható címek stb.).

A biztonsági területeket úgy kell kialakítani, hogy azokon belül az információ-feldolgozó tevékenység teljes lefedéséhez szükséges eszközök rendelkezésre álljanak. Ugyanakkor meg kell tiltani a munkafolyamatok szem-pontjából oda nem illő eszközök, anyagok tárolását, rak-tározását.

KarbantartásMinden jelentősebb berendezéshez – műszaki specifi -

kációjának előírásai alapján – meg kell határozni a meg-előző karbantartások rendjét. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ-ben is rögzíteni kell. Ugyancsak a RIBSZ-ben kell rendelkezni az eseti hibajavító karbantartások kezde-ményezésének, végrehajtásának szabályairól.

A berendezések valamennyi adathordozó részegységét az üzemeltető szervezet ellenőrizze annak érdekében, hogy az adatok és a vásárolt (licenc szerinti) szoftverek arról eltávolításra és felülírásra kerüljenek, mielőtt mások rendelkezésére bocsájtják.

JavításMeg kell akadályozni, hogy javításra, vagy egyéb cél-

ból elszállításra kerülő digitális adattárolásra alkalmas eszközök ellenőrizetlenül kerüljenek ki a Társaságon kí-vülre. Az elszállítás az Infokommunikációs igazgatóság vezetője által kijelölt személy engedélyéhez kötött. Jegy-zőkönyvben, vagy a szállító levélen kell feltüntetni az adathordozót tartalmazó informatikai eszköz gyári szá-mát és egyéb azonosító adatait, típusát. Amennyiben a hiba jellege lehetővé teszi, akkor a benne lévő adathordo-zó visszaállíthatatlan törlésére kell intézkedni, illetve a javítás idejére el kell távolítani. Erről szóló nyilatkozatot az Társaság informatikai szolgáltatójának munkatársával kell ellenjegyeztetni. Amennyiben az adathordozó eltá-volítása nem lehetséges, abban az esetben a Társaság ré-széről megfelelő informatikai szakértelemmel rendelkező szakértőnek kell fi gyelemmel kísérni az eszközt a javítás teljes időtartama alatt.

SelejtezésA berendezések üzemen kívül helyezésével kapcsola-

tos eseményeket a KKA-ban is rögzíteni kell. Az eszkö-zök gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez vezethet. A digitális adathordozó eszközöket meg kell semmisíteni, vagy a rajta található adatokat biztonságosan, vissza nem állít-ható módon kell törölni a felhasználónak, illetve az üze-meltetést végző szakembernek.

A selejtezésnek engedélyhez kötöttnek és megfelelően dokumentáltnak kell lennie. Jegyzőkönyvben fel kell tün-tetni az alkatrész gyári számát, típusát, valamint a benne lévő adathordozók törléséről szóló nyilatkozatot a felelős

munkatárs aláírásával. A kényes információk kiszivárgá-sának megelőzése érdekében a selejtezendő adathordozók esetében a sikeres törlés tényét ellenőrizni kell.

4.6. Hálózati szolgáltatások és az üzemeltetés me-nedzsmentje

4.6.1. Üzemeltetési eljárások és felelősségek

4.6.1.1. A dokumentációk biztonságaAz üzemeltetési eljárásokat és felelősségeket részlete-

sen és szabályszerűen dokumentálni kell, és az üzemelte-tés helyén hozzáférhetővé kell tenni. Az üzemeltetési el-járások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint:

a) az adatkezelés, (-feldolgozás és -tárolás),b) tervezett követelmények, más rendszerek bizalmas-

ságának megsérülhetősége,c) munkaidőn kívüli munkahelyen való tartózkodás,d) hibaesetekre és rendellenes működésre vonatkozó

eljárások,e) hardver és szoftver karbantartási eljárások,f) munkavégzés közben fellépő kivételes állapotok ke-

zelése,g) rendszer újraindítása és visszaállítása.Az üzemeltetési és a dokumentált eljárásokat a rend-

szer tevékenységeire vonatkozóan hivatalos dokumen-tumként kell kezelni. Az üzemeltetési eljárások, rend-szerdokumentációk (pl. RIBSZ) tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordo-zók tárolási helye, hálózati hozzáférési pontok) ezért ilyen esetekben a titokban tartásuk érdekében elvárható intézkedések megtétele indokolt.

A RIBSZ-ben az illetéktelen hozzáféréseket szabá-lyozni kell:

a) Gondoskodni kell a rendszerdokumentációk bizton-ságos tárolásáról.

b) Minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentációkhoz.

c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről.

d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági foko-zatának megfelelő módon kell kezelni.

e) Az informatikai rendszer (vagy annak bármely ele-mének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani.

f) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni.

g) Az informatikai rendszer beszerzéssel és/vagy fej-lesztéssel történő kialakításához és üzemeltetéséhez, a


rendszer funkcionalitásának és megbízható üzemelteté-sének biztosításához a következő dokumentációk szüksé-gesek:

– Architektúra és konfi guráció szintű dokumentáció– Modul szintű dokumentáció– Teljes rendszerdokumentáció– Tesztkövetelmények és eljárások dokumentációja

rendszer szinten– Felhasználói dokumentáció– Átadás-átvételi dokumentáció– Üzemeltetési dokumentáció (normál üzemeltetés, hi-

baelhárítás, újraindítás)– Rendszer biztonsági dokumentumai (kockázatelem-

zés, RIBSZ, MFT)– Oktatási naplóA rendszerek, alrendszerek biztonsági dokumentáció-

jának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Ezeket a doku-mentumokat csak az üzleti tulajdonos, illetve az általa kijelölt személyek kezelhetik és bocsáthatják a jogosultak rendelkezésére. Erről az üzleti tulajdonos az IKI-t a KKA-ban történő dokumentum nyilvántartás érdekében, valamint az IVO vezetőjét értesíti.

4.6.1.2. VáltozáskezelésA biztonsági osztályba sorolástól függetlenül az infor-

mációs rendszerek, alkalmazói programok és rendszerle-író paraméterek, rendszerszoftver- és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait – a változáskezelési szabályzat alapján – ellenőrzött és doku-mentált módon kell elvégezni.

A változáskezelési szabályok összessége határozza meg egy informatikai alkalmazás adatszolgáltatási folya-mataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemelte-tését lehetővé tevő informatikai infrastruktúrában bekö-vetkező módosítások, változások biztonságos végrehajtá-sát és nyilvántartását, változásainak nyomon követhető-ségét. Ennek során a következő tevékenységeket kell vé-gezni, amelyekben a döntéseket az üzleti tulajdonos hoz-za:

a) változás iránti igény azonosítása, jelentőrendszerbe rögzítése,

b) a változások lehetséges hatásainak felmérése,c) döntés a változás megvalósításáról / a változtatási

kérelem elutasításáról,d) a változás megvalósításában felelős résztvevők

megjelölése,e) a tervezett változások jóváhagyási eljárásainak el-

lenőrzése,f) a változás kidolgozása,g) a változás tesztelése, nem megfelelőség esetén visz-

szalépés az f) pontra,h) döntés a bevezetésről,i) az összes érintett értesítése a változások részleteiről,

j) a változás bevezetése,k) a tényleges változások dokumentálása,l) a megváltozott környezetről biztonsági mentés ké-

szítése.Társasági szinten egységes változáskezelési rendszer

kialakítása az IKI, az infokommunikációs hálózatra pe-dig a TEBF feladata. A teljes változáskezelési folyamatra biztosítani kell az IVO biztonsági felügyeletét.

A feladatkörök elhatárolásaAz összes adatfeldolgozó eszköz üzemeltetési eljárása-

it és az üzemeltetéssel járó felelősségi köröket előre defi -niálni kell, és folyamatosan felül kell vizsgálni. Az egyes feladatok vagy felelősségi körök végrehajtását és irányí-tását szét kell választani annak érdekében, hogy az infor-máció jogosulatlan módosítására vagy visszaélésre veze-tő alkalmak esélyét csökkentsük. Minősített rendszerek esetében ilyen beállítások csak az IVO munkatársa előze-tes írásos (pl. e-mail) értesítését követően végezhetők. A jól defi niált feladatelhatárolás, minden munkavállaló ré-szére, csak a munkájához szükséges információhoz ad hozzáférést, így jelentősen csökken a gondatlan vagy szándékos visszaélés kockázata.

A feladatok szétválasztásának szabályai:– ”éles” üzemben működtetett informatikai rendszer-

ben fejlesztések, tesztelések nem folytathatók,– ”éles” adatokkal tesztelést végezni tilos, teszteléshez

mindig tesztadatokat kell készíteni (generálni),– fejlesztés alatt álló rendszerben „éles” üzemi tevé-

kenységet folytatni tilos,– a fordító, szerkesztő és egyéb segédprogramok „éles”

üzemi rendszerben csak abban az esetben legyenek elér-hetők, ha ezekre a programokra dokumentáltan és enge-délyezetten szükség van,

– a fejlesztők az üzemi rendszerben rendszergazdai (administrator, root, supervisor stb.) jogosultságokat csak kivételesen és ideiglenes jelleggel kaphatnak; amennyi-ben erre már nincs szükség, a jelszavakat meg kell vál-toztatni, és a rendszer biztonsági beállításait teljeskörűen felül kell vizsgálni,

– az IVO munkatársai részére esetlegesen kiadott ad-minisztrátori jogosultságok csak a biztonsági tevékeny-séggel kapcsolatos munkák során, naplózottan használ-hatók.

A biztonsági ellenőrzést a végrehajtó szervezettől füg-getlenül, az IVO hatáskörében kell működtetni.

KapacitástervezésA rendszerek kapacitásigényét folyamatosan fi gyelem-

mel kell kísérni, és a mért értékek alapján meg kell be-csülni a jövőre nézve is. A kapacitástervezés célja, hogy időben álljon rendelkezésre a kellő feldolgozási teljesít-mény és tárolóhely, az üzleti folyamatok támogatásához. A tervek az újabb üzleti és rendszerkövetelményeket is vegyék fi gyelembe, valamint a Társaság adatfeldolgozá-sának folyó és megjósolt trendjeit.


4.6.2. Védelem rosszindulatú programok ellenA felhasználóknak tudatában kell lenniük azzal, hogy

rosszindulatú programokat tudnak bevinni környezetek-be a hálózati csatlakozásokon vagy hordozható eszközö-kön keresztül is. Megfelelő biztosítékok nélkül a rosszin-dulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. Aktiválódásakor hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkrete-hetik az adatállományokat, lelassíthatja a rendszereket. Megjelenésük lehet szándékos tevékenység következmé-nye vagy olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók számára. A rosszindulatú kód a bizalmasság, sértetlenség és rendel-kezésre állás elvesztéséhez vezethet.

A Társaság rosszindulatú programok elleni védelmi rendszerét erre vonatkozó RIBSZ-ben, az Infokommuni-kációs Stratégia és annak az Infokommunikációs Bizton-sági Stratégia c. fejezete előírásai szerint kell kialakítani. Ebben tervezni kell a vírusvédelmi szoftverek kiválasz-tásának elveit, beszerzésének gyakoriságát, a szükséges licenc-számot, a rendszeres frissítés módját és felelőseit, továbbá ki kell jelölni a rendszer kialakításának és fenn-tartásának felelőseit.

A rosszindulatú kódok elleni védelmet a következő biztosítékokkal lehet elérni:

1) Keresők: A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális kereső szoft-verekkel, amelyeknek biztosítani kell az önműködő fris-sítését. A keresők aktív és passzív módban üzemelhet-nek. Az aktív védelem felfedi (és valószínűleg el is távo-lítja) a rosszindulatú kódot még mielőtt bármilyen fertő-zés történhetne, és károk keletkeznének az informatikai rendszerben. Tudni kell azonban, hogy nem lehet abban bízni, hogy a keresők minden rosszindulatú kódot megta-lálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg ezek új formái.

2) Sértetlenség biztosítása: A sértetlenséget ellenőrző szoftverek lényeges részét képezik a rosszindulatú kódok ellen védő technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és programok esetében lehet használni, amelyek nem őriznek meg későbbi használatra szánt állapotinformációkat. (pl. ellenőrző összegeket használnak annak eldöntésére, hogy egy program módo-sult-e vagy sem)

3) Tűzfalak: feladatuk a hálózat különböző szegmen-seinek teljes elválasztása, például a belső (biztonságos) hálózat elválasztása a külső (nem biztonságos) hálózattól.

4) Tartalomszűrés: Az adatforgalom házirend alapú szabályozása vagy teljes blokkolása, ezáltal a biztonsági szint növelése és a biztonsági problémák megelőzése.

5) (pl. fájlcserélők-, kémprogramok-, internetről letölthe-tő hacker programok, azonnali üzenetküldők, hamisított jelszóhalász vagy rosszindulatú weboldalak elleni védelem)

6) Állományok ellenőrzése: RIBSZ-ben kell szabá-lyozni a bizonytalan eredetű hordozható adattárolón vagy a bizalmat nem élvező hálózaton át kapott állományok

használat előtti vírusfertőzöttség ellenőrzését – beleértve minden elektronikusan kapott levélmellékletet és letöl-tést – valamint a kritikus üzleti folyamatokat segítő rend-szerek szoftverének és adattartalmának időközönkénti felülvizsgálatát.

7) Formális szabályzat: Megköveteli a megfelelést a szoftverlicenceknek, és megtiltja a jogtalan szoftverhasz-nálatot, valamint véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külső hálózatokból való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, valamint azt is megadja, hogy milyen vé-delmi intézkedéseket ajánlatos hozni.

8) Oktatás: A felhasználók biztonsági tudatosságát fenntartó oktatásokat kell tartani, illetve szabályozni, hogy mit kell tenniük, ha rendellenes eseményt észlelnek.

9) Működés-folytonossági terv: Tartalmazza a (pl. ví-rustámadás utáni) helyreállításra vonatkozó szükséges adatmentési, visszaállítási eljárásokat.

A rosszindulatú kódokat leggyakrabban a következő módokon lehet továbbadni/hordozni, ezért különösen fontos e területek pontos szabályozása:

a) végrehajtható (futtatható) szoftverek, makrók, scriptekb) kivehető adathordozók pl. fl oppylemez, Pen Drive,

fl ash memória, CD/DVDc) elektronikus levél (csatolmány is)d) hálózatok, távoli hozzáférése) aktív tartalmat hordozó weboldalak, letöltések

4.6.3. HálózatmenedzsmentA hálózatmenedzselés során olyan óvintézkedéseket

kell megvalósítani, amelyek fenntartják a hálózatokban (LAN, WAN, WLAN, intranet) az adatok biztonságát és védik a szolgáltatásokat a jogtalan és az illetéktelen hoz-záféréstől. A hálózati RIBSZ-ben ezért a hálózaton átha-ladó adat és az ezt lebonyolító, lehetővé tevő infrastruk-túra védelmében szabályozni kell:

– a felelősséget a teljes hálózatért, illetve annak logikai és fi zikai szegmenseiért, alhálózataiért, és a hálózat vál-tozásainak kezeléséért,

– az eszközök távoli menedzselésének szabályait, eljá-rásait és felelőseit,

– a nyilvános hálózatokon is áthaladó adatok biztonsá-gát,

– a szervezeti határokon átnyúló informatikai szolgál-tatások hálózati elemeinek biztonságát,

– a hálózathoz való hozzáférés menedzselésének sza-bályait, különös tekintettel az esetleges külső szolgálta-tók és felhasználók hozzáférési lehetőségeire,

– a védett, a nyilvános és a vezeték nélküli (WLAN) hálózat biztonságos összekapcsolásának és átjárásának feltételeit, eszközrendszerét,

– a hálózati és hálózatfelügyeleti szolgáltatások folya-matos fenntartását biztosító eljárásokat,

– a diagnosztikai pontokhoz való hozzáférést, a háló-zati események naplózását, és azok rendszeres ellenőrzé-sét.


Hálózatba kapcsolt informatikai eszközök használata-kor előnyben kell részesíteni a vezetékes kapcsolódást, amennyiben technikailag lehetséges hálózat azonosítási protokoll (pl. 802.1x) használatával. Vezeték nélküli kap-csolódás csak indokolt esetben engedélyezett (pl. tárgya-lókban, vagy ha a munkahelyen nem lehet a vezetékes csatlakozások számát növelni), de ebben az esetben is fi -gyelembe kell venni a megnövekedett kockázati tényező-ket, különös fi gyelemmel a fokozott biztonsági osztályba sorolt rendszerekre.

Az érvényes hatásköri feladatmegosztás alapján az IKI és a TEBF engedélye szükséges a vezeték nélküli kapcso-lódás létrehozásához. Indokolt esetben az IVO állásfogla-lását is ki kell kérni. Az engedélyek nyilvántartását a KKA-ban is át kell vezetni. Az ilyen csatlakozásnak meg kell felelnie a Társaság informatikai biztonsági szabálya-inak.

Kiemelt biztonsági osztályba sorolt rendszerekhez ve-zeték nélküli módon kapcsolódni tilos.

Internet elérés biztonságaa) Az internetre csatlakozás a Társaság belső hálózatá-

ra csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett.

b) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek.

c) A nem kívánatos, és a kártékony weboldalak látoga-tásának megakadályozására tartalomszűrést kell működ-tetni, amelynek a meghatározását az IVO végzi.

d) Az internetes tevékenység naplózni kell, melynek során fi gyelembe kell venni az elektronikus hírközlésről szóló törvény előírásait (lásd: 15. sz. melléklet).

e) A fórumok, chat-oldalak, az egyéb fi le- és videó-megosztó valamint az úgynevezett kapcsolatépítő portá-lok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggés-ben és azt elősegítő, a közvetlen vezető kezdeményezésé-re az IVO vezetője adhat engedélyt ezek használatára. Bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatá-nak felülvizsgálását.

Vezeték nélküli (WLAN, WiFi) hálózatokAmíg a vezetékes hálózatok fi zikai védelme viszony-

lag jól megoldható a WLAN hálózat nem ér véget az épü-let falainál, ami jelentős biztonsági problémák forrása.

A következő tipikus támadási formák fordulhatnak elő, amelyek ellen védekezni kell:

– Passzív lehallgatás: a támadó megfi gyeli a hálózati forgalmat és így illetéktelenül jut adatokhoz. Ez a táma-dás megfelelő eszközökkel egészen nagy távolságról is elvégezhető és mivel passzív, teljességgel felderíthetetlen.

– Illetéktelen kapcsolódás a hálózathoz: a támadó rá-kapcsolódik a WLAN hálózatra és aktívan részt vesz an-nak működésében. Gyakori, hogy a támadás csak a háló-zat (internet-elérés) használatára korlátozódik, a támadó

nem akar adatokat lopni, nem is érdekli a hálózati forga-lom, csak hozzáférést szeretne.

– Kliensek „eltérítése”: a támadó egy „hamis” hálóza-tot állít fel, és a felhasználók hozzá, nem pedig az eredeti hálózathoz csatlakoznak. Ezek után a kliensek forgalmát a támadó megfi gyelheti.

WLAN hálózatoknál szabályozni kell a hozzáférést a hálózathoz (lehetőség szerint 802.1x hálózat azonosítási protokoll használatával) illetve titkosítással megakadá-lyozni a forgalom „lehallgatását”. A vezeték nélküli háló-zat megfelelő beállítása függ a rendelkezésre álló eszkö-zök által támogatott lehetőségeitől is.

A vezeték nélküli hálózatok beállításait a hálózati RIBSZ-ben kell meghatározni, konfi gurálásának általá-nos biztonsági követelményei a következőek:

a) Access Point-ot (AP) nem szabad minden biztonsági beállítást nélkülöző alapbeállításon hagyni. Előbb végre kell hajtani a megfelelő beállításokat, és csak utána lehet csatlakoztatni a hálózatra.

b) A hálózat nevét (SSID) mindenképpen át kell állíta-ni gyári alapértelmezésről, amely lehetőleg semmitmon-dó vagy értelmetlen szó legyen.

c) A legtöbb AP alaphelyzetben hirdeti a hálózat nevét (SSID broadcast). Ezt meg kell szüntetni.

d) Törekedni kell MAC (hálózati csatoló azonosítója) szerinti szűrés alkalmazására. Ez a szűrés nem ad meg-kerülhetetlen védelmet, de nehezíti a támadó dolgát.

e) Legalább WPA2 titkosítást kell használni.f) AP-k telepítése engedély nélkül tilos!g) Minősített biztonsági osztályba sorolt rendszerek

forgalmát titkosítani kell.h) Az AP-ok úgy legyenek a hálózatra kötve, hogy

szükség esetén gyorsan leválaszthatóak legyenek. Az AP-ket lehetőleg külön vezetékes hálózaton és aktív esz-közökön keresztül kell összekötni és, egy tűzfalon ke-resztül kapcsolni a hálózatra.

i) Az AP-ok kezelését WLAN hálózaton keresztül le kell tiltani. Így a pusztán vezeték nélküli hozzáféréssel rendelkező támadó nem képes módosításokat tenni az AP-ban.

j) Bizonyos beállításokat a klienseken kell megtenni:– Az általában használt hálózatot (SSID) elsődlegesnek

kell beállítani, azaz a kliens először ehhez próbáljon csat-lakozni.

– A kliens tetszőleges hálózathoz nem csatlakozhat! A támadó zavarhatja a hálózatot, és így ráveheti a kliense-ket arra, hogy az általa felállított „hamis” hálózathoz csatlakozzanak, majd megfi gyelheti forgalmukat.

Bluetooth biztonságA Bluetooth összetett protokoll nem elsősorban háló-

zati elérésre szolgál (bár arra is alkalmas), hanem eszkö-zök közötti adatcserére. Így például mobiltelefonok, PDA-k címjegyzékét, naptárbejegyzéseit lehet elérni, de alkalmas például mobiltelefonok és kihangosítók össze-kapcsolására is.


A Bluetooth hatótávolsága a legtöbb hordozható esz-köznél néhány méter, így a támadónak fi zikailag is közel kell kerülnie az eszközhöz, ami megnehezíti, de nem te-szi lehetetlenné a támadásokat. Néhány alapvető beállí-tással azonban kellően biztonságossá tehető a Bluetooth kapcsolattal rendelkező eszköz:

– Az eszköz ne legyen „látható”.– Csak indokolt esetben engedélyezhető a jóváhagyás

nélküli kapcsolódás.– Kapcsolódási kérelem esetén gondosan tanulmá-

nyozni kell, hogy honnan és milyen célból történik.– Ki kell kapcsolni a Bluetooth szolgáltatást, ha nem

állandó kapcsolatra van szükség.A bluetooth kapcsolattal rendelkező eszközök csatla-

koztatását a Társaság munkaállomásaihoz az IVO tájé-koztatása mellett a szervezeti egység vezetője engedé-lyezheti.

Mobiltelefonos adatátvitelA mobiltelefonos adatátvitel (GPRS, EDGE, 3G stb.)

az országos mobiltelefon hálózatokon keresztül valósul meg. Előfi zetéses szolgáltatás keretében érhető el, mely-nek használatához mobiltelefon, Blackberry, mobil inter-net kártya stb. szükséges.

Használatuk során különös fi gyelmet kell fordítani a szolgáltatás csomag helyes megválasztására, mivel túl-forgalmazás esetén többszörös díjat kell fi zetni.

4.6.4. AdatmentésA mentés célja az információ és az adatfeldolgozó

szoftverek épségének és rendelkezésre állásának bizto-sítása. A hatékony biztonsági adatmentések érdekében a munkaállomásokon feldolgozott adatokat a felhaszná-lóknak egy szerveren kialakított könyvtárban, hálózati meghajtón kell tárolnia. A biztonsági osztályba sorolás-tól függetlenül a számítógépes alkalmazások esetében rendszeresen biztonsági mentéseket kell készíteni a rendszer által kezelt adatokról, amelyek felhasználásá-val az éles adatállomány szükség esetén reprodukálha-tó. A visszaállításra való alkalmasságot évente egy al-kalommal ellenőrizni és a teszt eredményét dokumen-tálni kell.

Az ehhez kapcsolódó RIBSZ-ben az alábbi óvintézke-déseket kell betartani:

1) A megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását a RIBSZ-ben előírt időközönként rendszeresen ellenőriz-ni kell.

2) A mentési médiákat valamint a visszaállítás doku-mentált eljárásait, a rendeltetési helytől távoli helyen ér-demes biztonságba helyezni. Elég távol ahhoz, hogy bár-mely rongálódástól meg legyenek kímélve, ha a rendelte-tési helyen katasztrófa következne be.

3) A mentések típusa (pl. teljes vagy differenciált men-tés) és gyakorisága álljon arányban a mentett adatok jel-legével, fontosságával.

4) A biztonsági mentéseket megfelelő szintű fi zikai és környezeti védelemmel ajánlatos ellátni, ugyanazokkal a biztonsági előírásokkal összhangban, mint amelyet a ren-deltetési helyén alkalmaztunk. Az adathordozó médiák körére a rendeltetési helyén érvényesített biztonsági in-tézkedések hatályát a tartalék mentési médiák és eszkö-zök elhelyezési körletére is ki kell kiterjeszteni.

5) A biztonsági mentések adathordozóit, ahol az kivi-hető, időről időre ajánlatos megvizsgálni annak érdeké-ben, hogy megbizonyosodjunk, használhatóságukról. Fontos fi gyelemmel kísérni a mentési médiák garanciájá-nak lejárati idejét, lehetséges tárolási és visszaállíthatósá-gi idejét, és a lejárt médiákat ki kell vonni a mentési fo-lyamatokból.

6) A visszaállítási eljárások hatékonyságát időről időre ellenőrizni kell, hogy megbizonyosodjunk, arról hogy azok elvégezhetőek az adott idő alatt.

7) Üzleti titoknak minősülő adatok esetén a mentett adatokat, titokban tartásuk érdekében, az illetéktelen hozzáférést megakadályozó, megfelelő kódolási eljárást alkalmazva is védeni kell.

8) Meg kell határozni a lényeges adatok megőrzési idő-szakát és az állandóan megtartandó archív példányokra vonatkozó valamennyi követelményt.

9) A mentési eljárások során minden rendszerinformá-ciót, alkalmazást le kell fedni, beleértve a dokumentáció-kat is.

10) A mentések nyilvántartását a RIBSZ előírásainak megfelelően kell vezetni, és azok helyességét az üzleti tu-lajdonosnak és az IVO-nak rendszeresen ellenőriznie kell.

Az adathordozók biztonságos kezeléseA védelmi intézkedések célja, hogy az adathordozók

fi zikai védelmét szabályozzák, megfelelő eljárásokkal védjék az informatikai eszközök adathordozóit, a beme-net/kimenet adatait és a rendszer dokumentációját a jogo-sulatlan megszerzésétől, felhasználástól, módosítástól, törléstől és megsemmisüléstől.

Az adathordozók kezelésének legfontosabb biztonsági követelményei:

a) Gondoskodni kell az adathordozók ellenőrzéséről és fi zikai védelméről.

b) Meg kell előzni a dokumentumok, a digitális adat-hordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulaj-donítását és engedély nélküli törlését, megsemmisítését.

c) Szabályozni kell az adathordozók beszerzését, táro-lását és kezelését.

d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartal-mazott adatok szempontjából egyenértékű papír doku-mentumokkal azonos módon történjék. Az adathordo-zókról és azok tartalmáról nyilvántartást kell vezetni.

e) A Társaságnál – az egyszer írható optikai adathor-dozók és a fl oppy lemezek kivételével – csak nyilvántar-


tott és egyedi azonosítóval ellátott adathordozót szabad használni.

f) A Társaságon kívüli adatforgalomban használt adat-hordozók előállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helye-ken, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőr-ző eljárások elvégzése után szabad (például vírus ellenőr-zés).

g) Sérült adathordozók garanciális cseréje esetén – ha a meghibásodott eszköz üzleti titoknak minősülő adato-kat is tartalmazott – az eredeti alkatrészt nem, vagy csak az adatok kiolvasását lehetetlenné tevő hatástalanítást kö-vetően szabad a karbantartó részére átadni.

h) Minden adathordozót újraalkalmazás előtt, felsza-badítás, selejtezés után az adatok megsemmisítését ered-ményező megfelelő eljárással törölni kell.

i) Az adattípus felismerhető jelölését az informatikai berendezéssel előállított adattároló és megjelenítő eszkö-zökön biztosítani kell.

j) Az adatok sértetlen és hiteles állapotának megőrzé-sét biztosítani kell.

Az adathordozók tárolásaAz adathordozókat – azokat is, amelyek használaton

kívül vannak – biztonságos helyen, a gyártó előírásainak megfelelően kell tárolni, illetve fi gyelembe kell venni az adott rendszer biztonsági osztályának követelményeit (lásd: 10. sz. melléklet), vagy amennyiben ezek munka-közi példányok, meg kell azokat semmisíteni.

Az adathordozók tárolására vonatkozó fi zikai védelem követelményeivel kapcsolatban a RIBSZ-ekben meg kell határozni:

a) a tárolók környezeti paramétereire vonatkozó előírá-sokat és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket,

b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres átírás),

c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat,

d) az adathordozók kölcsönzésével kapcsolatos előírá-sokat,

e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpél-dányok készítésére vonatkozó előírásokat.

Adathordozók szállításaAz információ a fi zikai szállítás során történő átvitel

esetén ki van téve az illetéktelen hozzáférésnek és vissza-élésnek. Az informatikai adathordozók biztonságos szál-lítása az alábbi szabályok alkalmazásával történhet:

a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el.

b) Szállítás során átadás-átvételi bizonylat szükséges.c) A szállítást – lehetőség szerint – több embernek kell

végeznie.

d) A szállítást végző embereket mindig azonosítani kell.

e) Indokolt esetben mérlegelni kell a szállítmány több részre bontását, és a különböző útvonalakon történő szál-lítását.

f) Épületen kívüli szállítás esetén a legrövidebb és leg-gyorsabb útvonalat kell kiválasztani.

g) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása.

h) Épületen kívüli szállítás esetén – például a MABISZ ajánlását fi gyelembe vevő – megfelelő zárható tárolóesz-köz szükséges.

i) Elektronikusan rögzített adatokat tartalmazó mág-neses adathordozó szállításakor elkerülendő a nyilvánva-lóan erős mágneses tér (például nagyfeszültségű távveze-tékek).

j) Szállítás során a vagyonbiztonság érdekében foko-zott fi gyelemmel kell eljárni.

k) Az adathordozót tilos őrizetlenül hagyni.l) Az adathordozókat óvni kell a fi zikai sérülésektől.m) Speciális csomagolás és zárcímkék használata, lát-

hatóvá teszi a felbontást vagy az arra tett kísérleteket.n) Az adathordozókon a rajta szereplő adatok védelmé-

vel kapcsolatos jelölést fel kell tüntetni.o) Meghibásodott eszköz cseréje esetén – még garanci-

ális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került.

Rendkívüli esemény esetén a szervezeti egység (a szál-lítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egyidőben tájékoztatnia kell az IVO vezetőjét az eseményről és a megtett intézkedések-ről.

Az adathordozók selejtezéseAz adathordozókat visszaállíthatatlanul, dokumentál-

tan kell selejtezni. A különféle szabványokban defi niált adattörlési és megsemmisítési eljárások a lehető legki-sebbre csökkentik az információ kiszivárgásának kocká-zatát.

– Az érzékeny információt tartalmazó adathordozót biztosan visszaállíthatatlan módon kell selejtezni, (pl. égetéssel, aprítással) valamint az eljárásnak arányosnak kell lennie az információ értékével.

– Adathordozó selejtezéssel foglalkozó cégekkel való együttműködésekor, kulcsfontosságú biztonsági tényező a megfelelő kvalitású szerződő fél kiválasztása, valamint az informatikai biztonsági feltételek szerződésbe foglalá-sa.

– Az érzékeny tételek eltávolítását naplózzák, ha lehet az informatikai biztonsági vizsgálatok kísérő dokumen-tumaként kezeljék.

Azokat az adathordozókat, amelyeket nem lehet enge-délyezett módon törölni (például működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi


intézkedések hatóköréből, meg kell semmisíteni. Ameny-nyiben az adathordozó oly mértékben sérült vagy elhasz-nálódott, hogy a további használata lehetetlen vagy cél-szerűtlen, azt az ügyviteli szabályok szerint jegyző-könyvben kell selejtezni. Ebben az esetben – ha lehetsé-ges – a tartalmát visszaállíthatatlan módon törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabálysze-rű megsemmisítésről.

4.6.5. Hordozható adattárolók kezeléseA hordozható adattárolókat biztonságos módon kell

kezelni, annak érdekében, hogy ne kerülhessenek illeték-telen felhasználásra, ennek során az következő biztonsági követelményeket kell alkalmazni.

– Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és az üzleti titokvédel-mi szabályzat szerint kell tárolni és kezelni.

– Amennyiben a választott adattároló eszköz esetében a technológia rendelkezésre áll, az információkat titkosít-va kell tárolni, illetve gondoskodni kell az adott műszaki-technikai színvonalon elérhető korszerű védelmi megol-dások alkalmazásáról. Előnyben kell részesíteni a hard-ver alapú titkosítást, illetve az olyan megoldásokat, ame-lyek nem teszik lehetővé a védelmi eljárás megkerülését.

Optikai adathordozók és fl oppy lemez eseténA hosszú távú megőrzésre szánt adatokat – a választott

adattároló eszköz technológiájától függően – az adat-vesztés megelőzése érdekében 3-5 évenként át kell má-solni. Az adatok épségének ellenőrzése során kellő körül-tekintéssel kell eljárni, szükség szerint az informatikai üzemeltető bevonását kell kezdeményezni.

Pendrive, külső HDD stb. eseténCsak az IVO által meghatározott paramétereknek

megfelelő, az IKI által kiválasztott és beszerzett eszkö-zök használhatók. Az eszközök igénylését a munkáltatói jogkör gyakorlója hagyja jóvá és jelzi az igényt az IKI felé.

Amennyiben technológiailag megvalósítható, a nem engedélyezett USB-s tároló eszközök használatát a fel-használói munkaállomásokon le kell tiltani. Az engedé-lyezett adathordozókat egyedi azonosítóval kell ellátni, amelyek kiadásáról, átadásáról, visszavételezéséről a KKA részeként az IKI-nek elkülönített nyilvántartást kell vezetnie.

Társaságon kívüli adathordozó csak kivételes esetben használható (pl. külső fél bemutatója) olyan számítógé-pen, amely nincs a hálózatra kötve és működik rajta a folyamatosan frissített víruskereső szoftver. Törekedni kell arra, hogy ilyen esetben a bemutató a külső fél hor-dozható számítógépéről történjen.

Memóriakártya eseténMemóriakártya használata csak multimédiás eszkö-

zökben engedélyezett (digitális fényképezőgép, videoka-

mera, diktafon, okostelefon stb.), számítógépben való fel-használásuk csak e tartalmak átvitelére, a munkával ösz-szefüggésben történhet.

Hordozható számítógép eseténAzon informatikai eszközök esetében, amelyek amel-

lett, hogy nagy mennyiségű digitális adat tárolására al-kalmasak önmagukban is képesek azok feldolgozására (ilyenek pl. laptop, notebook, okostelefon, Blackberry, pda), különös fi gyelemmel kell lenni az eszköz fi zikai biztonságára és logikai hozzáférésére.

Laptop, notebook csak úgy adható ki, illetve rajta adat csak úgy tárolható, ha az adatok tárolására szolgáló könyvtár vagy a merevlemez egésze titkosításra kerül.

4.6.6. Perifériák csatlakoztatásának szabályaiA szabályzatokban részletezett eseteken túlmenően

az IKI kifejezett engedélye szükséges a felhasználói munkaállomásokhoz hardver eszköz (pl. nyomtató, szkenner, digitális fényképezőgép, merevlemez stb.) vagy bármilyen telekommunikációs eszköz (pl. modem, okostelefon stb.) csatlakoztatásához. Indokolt esetben az IVO állásfoglalását is ki kell kérni. Az engedélyek nyil-vántartását a KKA-ban is át kell vezetni. Az ilyen csat-lakozásnak meg kell felelnie a Társaság informatikai biztonsági szabályainak. Amennyiben az eszköz vala-mely szoftver telepítését igényli, abban az esetben kizá-rólag az erre kiképzett és feljogosított személyzet való-síthatja meg. Munkaállomáshoz csatlakoztatott hordoz-ható adattároló eszközön (pl. pendrive, külső adattáro-ló) biztosítani kell az adatok titkosított tárolását. (lásd 4.6.5. pont)

4.6.7. Adatok és programok cseréjeAz adatok és a programok szervezetek közötti átadá-

sát, cseréjét ellenőrizni kell. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési, adatátviteli eszközökön keresztül kicserélt információk védelméről.

A munkavállalók a távközlési, adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani:

a) A telefonbeszélgetések során ügyelniük kell a köz-vetlen környezetükben tartózkodó emberekre, illetve kihangosítás esetén a hívott félnél tartózkodó személyek-re.

b) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken.

c) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert eze-ket illetéktelen személyek visszajátszhatják, elolvashat-ják. Az üzenetet megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni.

d) Amikor fontos a bizalmasság fenntartása, titkosítás-sal kapcsolatos biztosítékokat kell alkalmazni a hálóza-ton áthaladó adatforgalom titkosítása érdekében.


e) A sértetlenség fenntartása érdekében törekedni kell az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatára a hálózaton áthaladó információk védelmében.

f) A faxgépek használata során meg kell akadályozni a dokumentumok és üzenetek – esetleges – téves számra való elküldését, a beépített üzenettárolókhoz való illeték-telen hozzáférést, az üzenetek visszakeresését és lehall-gatását.

g) A felhasználókat tájékoztatni kell, hogy korszerű faxgépekben és fénymásoló gépekben belső oldalgyorsító memóriatárak, esetlegesen merevlemezek és laptárolók vannak. A problémát ilyen esetben az okozza, hogy a pl. üzleti titoknak minősülő adatait tartalmazó anyagok ki-nyomtatása is csak akkor folytatódik, ha a hibát kiküsz-öbölték. A biztonsági intézkedések megtételéig a felhasz-náló ne hagyja el a helyszínt, és a problémát mihamarabb jelezze az illetékes üzemeltető szakember számára.

A Társaság más szervezettel informatikai eszközökön adat- és programcserét kizárólag az IVO által véleménye-zett írásbeli szerződés alapján bonyolíthat, melyben utal-ni kell az érzékeny információk kezelésére is.

Az adatcsere biztonsági feltételeire vonatkozó megál-lapodásokban meg kell határozni:

a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait.

b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait.

c) Adatvesztéssel kapcsolatos kötelezettséget és fele-lősséget.

d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet előírásait minden érintett félnél.

e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfi ai kulcsok).

f) A hitelesség kritériumait (pl. elektronikus aláírás)

4.6.8. Mobil informatikai tevékenység, távmunkaA Társaság hálózatára kétféleképpen csatlakozhat egy

felhasználó mobil eszközzel:a) közvetlenül a védett adatátviteli hálózatra csatlakoz-

va, irodai, munkahelyi környezetbőlb) nem védett környezetből biztonságos hozzáférést

garantáló távoli hozzáféréssel (pl. VPN), ami kívül esik a Társaság biztonsági rendszerének zónájából (pl. otthon-ról)

A mobil informatikai eszközön, illetve a távoli hozzá-féréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek össz-hangban kell lennie az adott munkavégzés kockázataival. Ennek szabályozását az IVO vezetőjének közvetlenül jóvá kell hagynia. A laptopok, notebook-ok, otthoni mun-kaállomások használóinak mind a fi zikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rend-szerszintű IBSZ-ekben foglaltakat kell fi gyelembe venni-ük.

A távmunka általános biztonsági tényezőiA használat során a következő biztonsági tényezőket

kell fi gyelembe venni:– a távmunka helyszínének környezetét és fi zikai biz-

tonságát;– a kommunikáció biztonsági követelményeit, fi gye-

lembe véve az igényt, hogy távolról kívánnak hozzáférni a Társaság belső rendszereihez, az információ érzékeny-ségét, amelyhez hozzá fognak férni, és amely áthalad a kommunikációs kapcsolaton, és a belső rendszer által ke-zelt adatok érzékenységét;

– a kapcsolathoz használt vezetékes vagy vezeték-nél-küli hálózati szolgáltatások konfi gurációját.

A VPN hozzáférés biztonsági szabályaiA távmunka infokommunikációs technológiát használ

annak érdekében, hogy lehetővé tegye a felhasználók számára a Társaságon kívüli helyről, távolról történő munkavégzést. Amennyiben a hozzáférés VPN kapcsola-ton keresztül valósul meg, a felhasználó ugyanazokat az erőforrásokat (hálózati meghajtók, levelezés) érheti el, mint a munkahelyi környezetből.

a) A távmunka során is be kell tartani a Társaság sza-bályzataiban foglaltakat.

b) A VPN szolgáltató szervezet útján technikailag biz-tosítani kell, hogy csak a központilag nyilvántartott, az azonosítási és hitelesítési feltételeknek egyértelműen megfelelt munkaállomásokról lehessen a rendszerekbe belépni. Hitelesítésre lehetőleg erős authentikációt kell alkalmazni (pl. token, chip kártya, biometrikus azonosí-tás). Egységes munkaállomás-névhasználatot kell kiala-kítani, a hálózatban lévő munkaállomások pontos azono-sítása érdekében.

c) A VPN kapcsolat megvalósításához a Társaság el-lenőrzése alatt nem álló, magántulajdonban lévő berende-zés alkalmazása nem megengedett.

d) A Társaság informatikai rendszereiben mobil esz-közzel és otthoni számítógéppel távoli VPN kapcsolaton keresztül történő munkavégzésre feljogosított felhaszná-lókról (beleértve a Társaság, a MÁV Informatika Zrt. és más informatikai szolgáltatók erre felhatalmazott rend-szergazdáit is) a KKA keretében az IKI vezet nyilvántar-tást, és az abban beállt változásokról folyamatosan tájé-koztatja a TEBF-t és az IVO-t.

e) A távmunkát végző csak a kijelölt csatlakozási pon-tokon keresztül csatlakozhat a Társaság hálózatába, ame-lyet az informatikai üzemeltető(k) határoznak meg.

f) A mobil informatikai berendezéseket nyilvános he-lyeken használók ügyeljenek arra, hogy elkerüljék a jogo-sulatlan személyek általi betekintés kockázatát.

g) A távmunka során biztosítani kell az információ-hoz vagy erőforrásokhoz való jogosulatlan hozzáférés megakadályozását olyan személyek részéről, akik az adott eszközt egyéb célból használják (pl. a család, bará-tok).

h) A felhasználónak kötelessége gondoskodni a mobil informatikai eszközök megfelelő fi zikai védelméről.


i) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. Ha le-hetséges, fi zikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására.

j) A távoli hozzáféréssel végzett munkához védett (rejtjelzett) csatornáról kell gondoskodni, a kommuniká-ciót titkosítani kell olyan algoritmussal, ami megakadá-lyozza a tartalom visszafejtését.

k) Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos.

l) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és biztonsági (pl. tűzfal) eszközöknek telepítve kell lenniük, ezeket kötele-ző folyamatosan használni és frissíteni.

m) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott fi gyelmet kell fordítani. A minősített adat védelméről szóló törvény alapján minősített adatokat tárolni tilos, üzleti titoknak minősülő adatot pedig csak az illetéktelen hozzáférést megakadályozó, megfelelő kó-dolási eljárást alkalmazva szabad.

n) A felhasználónak gondoskodnia kell a kritikus mű-ködési információ rendszeres mentéséről és a mentések megfelelő védelméről (pl. lopás vagy adatvesztés ellen).

o) A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegű mun-kavégzésből származó többletkockázattal szemben és a bevezetendő intézkedések elfogadtatásával kapcsolatban.

p) A távmunkát végző gépek esetében, a kliens gépre telepített VPN kapcsolat használatával egyidőben más in-ternetes csatlakozás tiltott, az esetlegesen szükséges in-ternet elérésnek is a titkosított VPN kapcsolaton keresz-tül kell működnie.

q) Egy adott rendszerben végzendő távmunkát a fel-használó közvetlen vezetőjének és az adott rendszer üzle-ti tulajdonosának jóváhagyásával ellátott megbízólevélen kell engedélyezni, és az engedély másolatát meg kell kül-deni az IVO-nak. Az engedélyben rögzíteni kell:

– azon rendszer(ek) megnevezését, amely(ek)re az en-gedély kiterjed,

– a hivatali helyiségeken kívüli munkavégzés engedé-lyezési időszakát,

– a munkavégzéshez a felhasználó részére (otthonában) szükséges vállalati berendezések azonosítását, ill. a szüksé-ges berendezések és anyagok átadási és elszámolási módját,

– a felhasználó általi tudomásulvételét annak, hogy a Társaság rendszeresen megvizsgálja a naplókat (logs), a hívások adatait, és szúrópróba szerinti ellenőrzést végez annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó biztonsági előírásoknak.

r) A távmunka szabályai betartásának ellenőrzéséért a felhasználó közvetlen vezetője, az adott rendszer üzleti tulajdonosa és üzemeltetője, valamint a VPN szolgáltató egymással együttműködve felelősek. Az IVO jogosult e területen is közvetlen ellenőrzést végezni.

A jogosultság megszűnését követően gondoskodni kell a hozzáférési jogosultságok érvénytelenítéséről és a be-rendezés visszaadásáról.

Elektronikus levelezés távoli eléréseA Társaság – az arra feljogosított felhasználói számára

– biztosítja a levelezés távoli elérését az OWA (Outlook Web Access) szolgáltatáson keresztül, amelyhez nincs szükség VPN kapcsolatra, csupán internetes hozzáférés-re (pl. otthon, internetes kávézóban, repülőtéren). A szol-gáltatás használatakor minden esetben be kell tartani a „Kezelési útmutató – A MÁV Zrt. EXCHANGE 2007 levelezőrendszerének Outlook Web Access (OWA) bön-gészős eléréséhez” című dokumentumban leírt biztonsá-gi előírásokat.

4.6.9. Az elektronikus levelezés biztonságaAz elektronikus üzenetküldésnek a papír alapú adat-

közléstől jelentősen eltérő kockázatai vannak. Ezek a biz-tonsági kockázatok magukba foglalják az üzenetek ille-téktelen elérésének vagy módosításának, illetve a szol-gáltatás megtagadásának veszélye, emberi hibákból ere-dő veszélyeztető tényezők, pl. rossz címzés vagy irányí-tás, bizalmas adatok továbbításának lehetősége és ennek veszélyei, a feladó és címzett hitelesítési problémák, illet-ve a levél átvételének bizonyítása, a kívülről hozzáférhe-tő címjegyzékek tartalmával való visszaélési lehetőségek, vagy pedig a távolról bejelentkező felhasználó biztonsági problémái.

A Társaságnál folytatott elektronikus levelezés védel-mi rendszerét erre vonatkozó RIBSZ-ben kell kialakítani, összhangban az Informatikai biztonsági stratégia doku-mentummal.

A fontosabb biztonsági szabályok a következők:– Elektronikus levél jogi következményekkel járó kö-

telezettség vállalására csak akkor használható, ha a fel-adó elektronikus aláírással hitelesíti magát.

– Az elektronikus levelező eszközökről, elsősorban a szerverek fi zikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfris-sítések, service pack-ok és security-patch állományok megjelenését).

– Az elektronikus levelező rendszeren keresztül törté-nő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az interneten keresztül bo-nyolított elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére a levelezőrendszer üzleti tu-lajdonosa és az IVO vezetője jogosult.

– A nem hitelesíthető, kétes forrásból (pl. adathalász, hoax) származó üzeneteket, továbbá a nagy mennyiség-ben továbbított kéretlen üzeneteket (spam) az IVO-nak kell jelezni kivizsgálás céljából.

– A bizalmas adatok kiszivárgásának elkerülése érde-kében biztosítani kell az elektronikus levelezés tartalmi szűrésének lehetőségét.

– Tekintettel arra, hogy a levelező rendszer kizárólag a Társaság feladatainak végrehajtására használható, a fel-használókat tájékoztatni kell arról, hogy a Társaság leve-


lező rendszerén tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Társaság szabályzataiban fel-jogosított ellenőrző szervezeteknek ezekhez az állomá-nyokhoz a vizsgálathoz szükséges mértékig betekintési joguk van. A betekintés szabályait a Társaság Adatvédel-mi szabályzata tartalmazza.

– A Társaság levelező rendszere a Társaság üzletmene-tétől idegen (pl. reklám), üzleti célokra nem használható.

– A levelező rendszerben egyidejűleg maximálisan 50 címzett számára engedélyezett üzenet küldése. Ez alól az IVO vezetője adhat felmentést.

– A Társaság elektronikus levelezési címjegyzéke a Társaságon kívüli szervezetnek a Társaság belső adatvé-delmi felelőse egyetértésével, törvényben meghatározott esetekben szolgáltatható ki.

– Magáncélra kialakított (nem MÁV-os, pl. Gmail, Hotmail, Freemail, Citromail) postafi ók használata a Tár-saság hálózatába kapcsolt munkaállomásról nem megen-gedett.

– Tilos az elektronikus üzenetek – rendszeres illetve automatikus – átirányítása vagy másolat küldése a Társa-ságon kívüli e-mail címekre (pl. Freemail, Gmail, Hot-mail stb.)

4.6.10. Az elektronikus kereskedelem biztonságaA korszerű piaci igények kielégítésére szolgáló, az in-

terneten keresztül elérhető elektronikus szolgáltatások biztonsága komplex védelmet igényel, mert az adatkeze-lés során adatcserére és nyilvános hálózat igénybevételé-re egyaránt sor kerülhet.

A hatékony védelem megvalósítására integrált bizton-ságot kell az ilyen rendszer kifejlesztése során kialakíta-ni, melynek legfontosabb feladatai:

– a hozzáférés szabályozása és ellenőrzése,– egységes azonosítás és hitelesítés,– az elektronikus aláírások kezelése, rejtjelzés, kulcs-

menedzsment (PKI),– a behatolási kísérletek fi gyelése,– biztonsági naplózás a hozzáférések, az azonosítás és

a hitelesítés ellenőrzéséhez,– az auditálhatóság biztosítása.

4.6.11. A MÁV Zrt. nyilvános rendszereinek bizton-sága

Nyilvános rendszerben (pl. internet hálózaton keresz-tül elérhető MÁV Zrt. honlap, Dokumentációs Központ műszaki adatbázisa) esetén szükség van a rendszer jog-hatóságának területén hatályos törvények, jogszabályok és rendeletek betartására.

Az elektronikus hirdető rendszereknél – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az in-formáció közvetlen beléptetését – megfelelő eszközökkel kell gondoskodni arról, hogy:

– Az információ megszerzésének módja feleljen meg a 1992. évi LXIII. törvény a személyes adatok védelméről

és a közérdekű adatok nyilvánosságáról, illetve 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a ver-senykorlátozás tilalmáról rendelkezéseinek.

– Időben kerüljön sor a rendszerbe beléptetett informá-ció pontos és hiánytalan feldolgozására.

– Az adatok kezelése (gyűjtés, tárolás, feldolgozás) so-rán a szükséges mértékig gondoskodni kell az adatok, valamint – a biztonsági osztálynak megfelelően – az in-formatikai rendszerek védelméről.

– A kiadó rendszerhez való hozzáférés ne tegye lehető-vé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik.

4.6.12. Társasági információs rendszerekA Társasági információs rendszerek védelme az infor-

máció megjelenési formájának sokszínűsége miatt a leg-több informatikai biztonsági kockázatot rejti. Különösen megnő a kockázat a rendszerek összekapcsolásakor (pl. üzleti partnerek esetében).

A Társasági információs rendszerek összekötésével kapcsolatos biztonsági intézkedések defi niálásakor a kö-vetkezőket kell megvizsgálni:

a) ismert veszélyforrások azonosítása az adminisztra-tív és elszámolási rendszerekben, ahol az információ meg van osztva a Társaság különböző egységei között,

b) a továbbított és felhasznált adatok sebezhetősége a működési infokommunikációs rendszerekben, pl. tele-fonhívások rögzítése vagy konferenciahívások (körtele-fon), a hívások bizalmassága, a faxok tárolása, postabon-tás stb.,

c) információ elosztási irányelvek defi niálása,d) az érzékeny információk és a védendő dokumentu-

mok kizárása a rendszerből,e) Az adatok védelmi szintje szerinti kezelése, a biz-

tonsági osztályba sorolásnak megfelelő védelmi követel-mények teljesítése, illetve betartásuk ellenőrzése az adat-tal jogszerűen rendelkező (jogosult) feladata.

f) korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. érzékeny projekte-ken dolgozó személyzet,

g) személyzeti, szerződéses vagy üzleti ügyfelek kate-góriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhető (lásd 4.2.4. feje-zet),

h) a kiválasztott berendezések korlátozása egyes fel-használói kategóriákra,

i) a felhasználói státus (külső vagy belső) azonosítása,j) A felhasználók hozzáférési jogosultságainak megha-

tározásánál, kiosztásánál és használatuk ellenőrzése so-rán fi gyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírásait.

k) A rendszeren tárolt adatok mentése (lásd 4.6.4. feje-zet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell kezelni és tárolni, ezt részletesen a RIBSZ-ben kell szabályozni.

l) Visszalépési követelmények és intézkedések


m) A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsér-tése stb.) az IVO bevonásával haladéktalanul ki kell vizs-gálni, és a vizsgálat eredményét jegyzőkönyvezni kell. A kivizsgálás folyamatáért az adott szervezeti egység veze-tője a felelős.

n) A rendszer által kezelt adatbázisokat, használt esz-közöket (szerverek, munkaállomások, adattárak, hálóza-tok) a biztonsági osztályba sorolásnak megfelelően az il-letéktelen fi zikai hozzáférés ellen is védeni kell.

4.7. Hozzáférés-menedzsment

4.7.1. A hozzáférés ellenőrzés üzleti követelményeiAz adatok és az üzleti folyamatok elérését az üzleti és

biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerülnek a rendszer-erőforrások, alkalmazások, külső összeköttetések, adatbázisok eléré-sére, terjesztésére és engedélyezésére vonatkozó általá-nos irányelvek.

Korlátozni kell az információkhoz, informatikai esz-közökhöz, hálózatokhoz, alkalmazásokhoz, rendszer erő-forrásokhoz, állományokhoz és programokhoz való hoz-záférést. A hibákat és felhasználói tevékenységeket ese-ménynaplókban kell rögzíteni, és a tárolt részleteket ele-mezni a biztonsági események megfelelő módon való felderítésének és kezelésének érdekében.

4.7.2. A hozzáférés menedzsment általános szabá-lyai

A jogosultságkezelési tevékenység ellátásának meg-szervezése az üzleti tulajdonos feladata az általa tulajdo-nolt rendszerek vonatkozásában. Tekintettel a Társaság kiterjedt alkalmazás portfóliójára és a felhasználók nagy számára, törekedni kell arra, hogy mielőbb megvalósul-jon egy átláthatóbb jogosultsági rendszert összefogó köz-ponti adatbázis, amely elősegíti az összehangoltabb mű-ködést. Ennek későbbi továbbfejlesztésének feltétele a rendszerek olyan átalakítása, amely a bekapcsolt rend-szerek vonatkozásában lehetővé teszi a jogosultságok központi menedzselését.

Hozzáférési jogosultság kiadása kizárólag a 2.1.1. pont szerinti személyek, valamint a 4.2.4. pont szerint hozzáférő partnerek kizárólagos írásban kötött hozzá-férési szerződés megléte esetén adható. A szerződésnek egyértelműen ki kell mondania, hogy a hozzáférés so-rán teljes körűen betartja az IBSZ-t, valamint a végre-hajtási rendelkezéseket tartalmazó RIBSZ-ek előírása-it.

A hozzáférési jogosultságok megállapításának alapját az érintett dolgozó munkaköri leírásában (beszállítók és karbantartók alkalmazottai esetében a vonatkozó szerző-désben) rögzített szerepköre ellátásához szükséges és in-dokolt adathozzáférési igény képezi. Az informatikai eszközökhöz történő felhasználói hozzáférés ellenőrzés feladata az illetéktelen hozzáférés megakadályozása,

ezért a rendszerben azonosítani kell a felhasználókat. En-nek során a „szükséges minimális jogosultság” elvet ér-vényesíteni kell: a felhasználó csak a munkájához feltét-lenül szükséges adatokhoz és csak a szükséges időtar-tamban férhessen hozzá.

Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési jogosultságok érvényesí-tése, az adatkezelés eseményeinek nyomon-követhetősé-ge és személyi felelősséghez köthetősége garantálható legyen. A hozzáférési jogosultságokra vonatkozó elkép-zelést (pl. a jogok korlátozó elvű kiosztását) már a rend-szer tervezésének időszakában, a biztonsági osztálynak megfelelő követelményszinten ki kell alakítani. Az infor-matikai rendszerrel dolgozó minden munkatárs az alkal-mazás RIBSZ által meghatározott szerepkörbe sorolan-dó, amely alapján örökli a szerepkörre meghatározott hozzáférési jogokat. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás használata fokozott és kiemelt szinten kötelező. A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók. A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során pedig az üzleti tulajdonosnak kell meghatározni és az IVO ve-zetőjével egyeztetni.

A kiosztott hozzáférési jogosultságokat minden fel-használó esetében felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A visszaélések elkerülése érdekében a ki-emelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni. A Társaság dolgozóinak felhasználói azonosí-tóját munkaviszonyuk megszűnésével, a külső munka-vállalók felhasználói azonosítóját megbízatásuk lejártá-val haladéktalanul le kell tiltani. Akinek munkaviszonya megszűnt a rendszer szolgáltatásait nem veheti igénybe, és erőforrásait nem használhatja.

A munkaviszonyukat huzamosabb ideig szüneteltető (pl. gyermek szülése), illetve a tartósan más okból távol-levő (pl. külföldi kiküldetés, elhúzódó gyógykezelés) dolgozók felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell. A dolgozók áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltá-sa, jogosultságok törlése, új azonosítók vagy jogosultsá-gok létrehozása stb.) az áthelyezéssel egy időben, hala-déktalanul át kell vezetni. Ennek kezdeményezése az át-helyezés előtti és az áthelyezés utáni közvetlen vezető feladata.

A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus email üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve. A levelező rendszer adminisztrátora vezetői engedély alapján – de legfeljebb 3 hónap múlva – törölje a postafi -ókot, annak archiválását követően.


Azokban a rendszerekben, amelyek regisztrálják a fel-használó utolsó bejelentkezésének időpontját, ha egy fel-használó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), erről a felhasználót, valamint a munkahelyi vezetőjét értesíteni szükséges. Amennyiben az ezt követő 15 napon belül nem történik belépés a rendszerbe, azonosítóját le kell tiltani. Erről is-mét értesítést kell küldeni, megjelölve az érvénytelenítés okát.

A felhasználó-azonosítónak fő szabályként egyedinek kell lennie. Ennek érdekében a felhasználói azonosítók képzésére központi névkonvenciós szabályt kell megha-tározni az IKI kezelésében. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) minden rend-szerben külön-külön naplózni kell.

A rendszergazdai azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható lemez- vagy páncélszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésé-vel. A listákat az üzleti tulajdonos által kijelölt vezetőnek kell tárolnia úgy, hogy azok rendkívüli esetben hozzáfér-hetőek legyenek.

Felhasználók csak az IKI külön engedélyével rendel-kezhetnek a munkaállomáson helyi (lokális) rendszergaz-dai jogosultságokkal, amelyhez az IVO állásfoglalását is ki kell kérni. Hálózati rendszergazdai jogosultságok nem adhatók ki a felhasználók számára. A jogosultságot a KKA-ban nyilván kell tartani.

Minden számítógépen kötelező a rendszer jelszavas képernyővédőjét beállítani, illetve azt kézzel bekapcsolni (a Windows+L billentyű egyidejű lenyomásával), ha azt a kezelő ideiglenesen magára hagyja. A képernyővédelem beállításait csak rendszergazda változtathatja meg, vala-mint minden munkaállomáson az automatikus bekapcso-lási időt 10 percben kell meghatározni. Amennyiben az alkalmazott munkafolyamat indokolja, a biztonsági szempontok mérlegelése alapján, az IVO vezetője adhat egyedi felmentést a funkció használata alól.

4.7.3. A távfelügyeleti megoldások biztonságaTávfelügyeleti megoldás alkalmazása esetén a felhasz-

nálói munkaállomás meghibásodása vagy a felhasználó segítségkérése esetén a HelpDesk szolgáltatást nyújtó szervezet nem jelenik meg fi zikailag a helyszínen, hanem hálózaton keresztül (távolról) csatlakozik a felhasználó számítógépére, így oldva meg a felmerült problémát.

A távfelügyeletet végző személy ebben az esetben át-veszi a gép irányítását és megkapja a felhasználó rendel-kezésre álló jogosultságokat is, így bármit tehet a számí-tógéppel.

Ez fokozott kockázatot jelent, ezért távfelügyelet csak az alábbi feltételek esetén jöhet létre:

– a létrejövő kapcsolat nem futhat harmadik félen is keresztül,

– a távfelügyelet ideje alatt folyamatos telefonos kap-csolat szükséges a támogató és a felhasználó személy kö-zött,

– a felhasználók minden esetben kísérjék fi gyelemmel a PC munkaállomásukat érintő üzemeltetési, (táv)kar-bantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjü-ket,

– az üzleti tulajdonos ellenkező értelmű utasításának hiányában a támogató szervezetnek jelentést kell írnia az elvégzett munkáról, amit meg kell küldenie a felhaszná-lónak,

– a rendszer Kockázatelemzés és RIBSZ dokumentu-mai rendelkezzenek e folyamatokról.

A kockázatok minimalizálása érdekében a távfelügye-leti rendszerek használata során ellenőrizni és szabályoz-ni kell:

– az alkalmazandó megoldás (szoftver) biztonsági megfelelőségét és dokumentáltságát,

– ingyenes szoftverek esetén a gyártói támogatást és a verziókövetés meglétét,

– erős azonosítási és hitelesítési mechanizmusok meg-létét és használatát,

– a kommunikációs csatorna titkosságát,– a felhasználó gépén működő kliens program háttér-

ben (service-ként) való állandó futásának szükségessé-gét,

– külső fél által nyújtott támogatás esetén csak az eseti kapcsolódás engedélyezett (nem futhat a háttérben állan-dóan a kliens program),

– a fájl átvitel szükségességét (amennyiben nincs rá szükség, a funkció legyen elérhetetlen),

– a felhasználók egyértelmű tájékoztatását, hogy távfelügyelik a munkaállomását,

– a lehetőséget a felhasználói beavatkozásra (pl. kap-csolat engedélyezése vagy megszakítása),

– a felhasználók és a segítségnyújtók oktatását és tájé-koztatását,

– a naplózás meglétét és szintjét,– a segítségnyújtók körét (név szerint), amit a távfel-

ügyelt rendszer üzleti tulajdonos hagy jóvá.

A Társaság hálózatán működő számítógépek távfel-ügyeletét az IVO jóváhagyása mellett az IKI engedélyezi. Fokozott és kiemelt biztonsági osztályba tartozó rendsze-rek távfelügyelete esetén a biztonság szempontjából leg-szigorúbb előírásokat kell alkalmazni.

4.7.4. A felhasználó hozzáférési jogosultságának el-lenőrzése

Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerep-körüknek megfelelő legyen. Ennek érdekében:

– A jogosultságokat az üzleti tulajdonosnak rendszeres időközönként ellenőrizni kell. Az általános felhasználók


esetében ezt évente, a fokozott biztonsági besorolású rendszerekben félévente, míg a kiemelt besorolásúban 3 havonta kell megtenni. Az ellenőrzéskor az IHIR SAP HR rendszerből lekért adatokkal is össze kell vetni.

– A szerepkörök változásakor a hozzáférési jogosultsá-gokat felül kell vizsgálni és az új szerepkörnek megfele-lően módosítani kell.

4.7.5. A felhasználói jelszavak kezeléseAz informatikai rendszerekben a felhasználók hitelesí-

tésének alapvető módja a jelszó megadása.

A felhasználói jelszavak kezelésére a következő szabá-lyok a mérvadók:

a) A felhasználónak kötelezően alá kell írnia egy nyi-latkozatot, melyben felelősséget vállal személyes, (esetleg csoportos) jelszavainak bizalmas kezelésére.

b) Belépéskor megkapott, ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó elő-zetes – például személyes – azonosítása után. Az ideigle-nes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező.

c) A jelszó elfelejtése esetén a felhasználó közvetlen vezetője kérheti email-en a jelszó alaphelyzetbe állítását, amelyben feltünteti a saját maga és a beosztottja azonosí-tásához szükséges adatokat (pl. szervezet, név, telefon, email cím stb.). A jelszó megváltoztatása az első bejelent-kezés alkalmával kötelező.

d) Telefonon vagy faxon történő kérésre jelszóváltozta-tás nem kezdeményezhető.

e) A jelszónak minden felhasználó számára – a jelszó-politika határain belül – szabadon megváltoztathatónak kell lennie.

f) A felhasználói jelszavakkal kapcsolatban (amennyi-ben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:

minimális jelszóhossz megadása,a jelszó egyediségét (történeti tárolás),a központi jelszó megadás utáni első bejelentkezéskor

a kötelező jelszó cseréjét,a jelszó maximális élettartamát,a jelszó minimális élettartamát,a jelszó zárolását,a jelszó képzési szabályainak – bonyolultsági kritéri-

umnak – meghatározását.– Az informatikai rendszerekben a jelszavakat tilos

nyílt formában tárolni. A jelszófájlokat megfelelő rejtjelzési védelemmel kell ellátni.

– A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos.

– A felhasználói jelszó hosszával, ill. szerkezeti szabá-lyaival (bonyolultság) szemben támasztott követelménye-ket minden esetben az határozza meg, hogy milyen a ki-szolgálón tárolt adatok érzékenységi besorolása és ebből következően a kiszolgáló informatikai biztonsági osz-tályba sorolása.

Jelszó használatA Társaság informatikai rendszereit használó vala-

mennyi felhasználónak a következő jelszóhasználati sza-bályokat kell betartania:

a) A jelszavak bármilyen tárolási formáját (pl. jelszó, hash) bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók.

b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elke-rülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásá-ról. Ezektől eltérően a legmagasabb jogosultságot biztosí-tó felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, azokat két különböző helyen, lemez- vagy páncélszekrényben tárolni.

c) Amennyiben a felhasználó azt gyanítja, hogy jelsza-vát valaki megismerte, azonnal le kell azt cserélnie.

d) A jelszó hossza legkevesebb 8 karakter legyen, ne tartalmazzon egymást követő azonos karaktereket, vagy számokat, mert ez meglehetősen megkönnyíti a feltörhe-tőséget, pl. az ún. kipróbálásos (brute force) támadások esetében.

e) A jelszó kívülálló számára ne legyen egyszerűen ki-található vagy könnyen megjegyezhető, ne tartalmazzon a felhasználó személyére utaló információkat (például neveket, telefonszámokat, születési dátumokat), össze-függő szövegként ne legyen olvasható.

f) A jelszó lehetőleg ne legyen szótárakban is szereplő értelmes szó, mivel ez igen megkönnyíti a feltörhetőséget, pl. az ún. szótártámadások (dictionary attack) esetében.

g) A felhasználói jelszavakat rendszeresen (a biztonsági osztály előírásainak megfelelően), vagy a hozzáférések szá-mától függően cserélni kell a rendszerben, kerülve a koráb-ban használt jelszavak ismételt vagy ciklikus használatát.

h) Az átlag jogosultságoktól eltérő, előjogokkal rendel-kező felhasználók jelszavait (pl. rendszergazdai jogosult-ságok, telepítési jogosultsággal rendelkező felhasználók esetében) sokkal gyakrabban kell cserélni.

i) Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani.

j) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót.

k) Amennyiben a munkaállomásokon a hitelesítési fo-lyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltető-jének fi gyelmeztetése alapján, a felhasználó köteles gon-doskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót.

l) A biztonságos jelszóhasználat szabályait minden fel-használónak oktatni kell.

m) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „ter-hére” könyveli el, és azokért személyesen felel.

A jelszó házirendet a fentiekkel összefüggésben, rend-szerfüggően, a RIBSZ-ben kell rögzíteni.


4.7.6. NaplózásAz illetéktelen hozzáférések, a tiltott tevékenységek

kiszűrése érdekében fi gyelemmel kell kísérni a hozzáfé-rési irányelvektől való eltéréseket, és rögzíteni kell a megfi gyelhető eseményeket, hogy adott esetben bizonyí-tékul szolgáljanak a biztonsági események kivizsgálásá-hoz, és segítséget nyújtsanak az IBSZ aktualizálásához. A biztonsági monitorrendszert csak az arra feljogosítot-tak használhatják, és tevékenységüket naplózni kell.

A naplózás általános szabályaiAlapvető naplózási követelmények:a) Kerüljön naplózásra a biztonságot érintő összes te-

vékenység, a naplófájlok tartalmát megadott időinter-vallum alapján képernyőn és nyomtatón is meg lehessen jeleníteni, a személyes adatokat nem tartalmazó napló-állományokat tilos megsemmisíteni, felülírni, módosí-tani, azokat archiválni kell. A naplóállományok legye-nek kódoltak, ellenőrző összeggel ellátottak. A fokozott és kiemelt biztonsági osztályba sorolt rendszerek biz-tonsági naplóit egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és ille-téktelen hozzáférés ellen), valamint rögzíteni kell a hi-bás bejelentkezési kísérletek adatait és a jelszócsere dá-tumát.

b) Nyilván kell tartani, hogy adott alkalmazáshoz me-lyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilvántartásra, melyből az kérdezhető le, hogy egy adott felhasználói csoport mely alkalmazás-hoz és milyen joggal férhet hozzá.

c) A biztonsági napló adatait az IKI rendszeresen, de legalább havonta egy alkalommal ellenőrzi és archiválja.

d) A biztonsági napló értékelése során meg kell hatá-rozni, hogy mely eseményeket kell jegyzőkönyvezni, me-lyek azok az események, amelyekről soron kívül, vagy a következő munkanapon kell jelentést adni az IKI és az IVO vezetőjének, akik egyeztetést követően döntenek az üzleti tulajdonos tájékoztatásáról.

e) A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni.

f) A biztonsági eseménynapló (naplófájl) és a jegyző-könyvek adatait védeni kell az illetéktelen hozzáféréstől, ezért az adott rendszer adminisztrátorának is csak olva-sási joga lehet felettük.

g) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen esz-közök állapotának regisztrálhatónak és dokumentálható-nak kell lennie.

h) A rendszerben a biztonsági eseménynapló-fájlok au-ditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát.

i) Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

j) A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelően kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági cé-lokra lehet felhasználni ezeket.

k) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (bizton-sági napló) úgy kell kialakítani, hogy abból utólag megál-lapíthatóak legyenek az informatikai rendszerben bekö-vetkezett fontosabb események, különös tekintettel azok-ra, amelyek a rendszer biztonságát érintik. Ezáltal ellen-őrizni lehet a hozzáférések jogosultságát, meg lehet álla-pítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét.

l) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A következő eseményeket (sikeres/sikertelen) feltétlenül naplózni kell: rendszerindítások, leállítások, rendszeróra-állítások, be- és kijelentkezések, programleállások, az azonosítási és a hitelesítési mechanizmus használata, hozzáférési jog ér-vényesítése azonosítóval ellátott fájlokhoz vagy erőfor-ráshoz, azonosítóval ellátott fájl, erőforrás létrehozása vagy törlése, felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik

A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni, és azt a hozzáférés nyo-mon követhetősége érdekében meg kell őrizni.

A biztonsági naplóban az egyes eseményekhez kap-csolódóan a következő adatokat is rögzíteni kell:

A felhasználó azonosítása és hitelesítése esetén: dá-tum, időpont, a felhasználó azonosítója, az eszköz (példá-ul terminál) azonosítója, amelyről az azonosítási és hite-lesítési művelet kezdeményezése történt, a hozzáférési művelet eredményessége vagy sikertelensége.

Az olyan erőforráson kezdeményezett hozzáférési mű-velet esetén, amelynél a hozzáférési jogok ellenőrzése kö-telező: dátum, időpont, a felhasználó azonosítója, az erő-forrás azonosítója, a hozzáférési kezdeményezés típusa, a hozzáférés eredményessége vagy sikertelensége.

Az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező: dá-tum, időpont, a felhasználó azonosítója, az erőforrás azo-nosítója, a kezdeményezés típusa, a művelet eredményes-sége vagy sikertelensége. A felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan műveletei ese-tén, amelyek a rendszer biztonságát érintik: dátum, idő-pont, a műveletet végző azonosítója, az erőforrás azono-sítója, amelyre a művelet vonatkozik, a művelet eredmé-nyessége vagy sikertelensége.

A rendszer használat megfi gyeléseA felhasználók által elvégzett tevékenységeket – az el-

lenőrizhetőség érdekében – rögzíteni, naplózni kell:a) Az informatikai rendszer üzemeltetéséről (a bizton-

sági napló mellett) üzemeltetési naplót kell vezetni, ame-


lyet az IKI, illetve az IVO vezetőjének döntése alapján ellenőrizni kell.

b) Az informatikai rendszer üzemeltetéséről nyilván-tartást (adatkérések, -szolgáltatások, feldolgozások stb.) kell vezetni, amelyet az arra illetékes személynek rend-szeresen ellenőriznie kell.

c) Az eseménynaplózási adatokat folyamatosan kell ar-chiválni és karbantartani.

d) A rendszereseményeket automatikusan kell archi-válni, a naplóbejegyzéseket (eseményrekordokat) folya-matosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektá-lására.

Fokozott, és kiemelt szinten:a) Az ellenőrzési rendszernek riasztania kell támadás

esetén, meg kell szakítania és le kell tiltania a támadó folyamatot (process-t) és a felhasználói fi ókot (felhaszná-lót), vagy szolgáltatást és meg kell szakítsa a kapcsolatot.

b) A rendszereseményeket automatikusan kell archi-válni, a naplóbejegyzéseket (eseményrekordokat) folya-matosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektá-lására.

Naplózási információk védelmeKülönös fi gyelmet kell fordítani a naplózó eszközök

biztonságára, mert ha meghamisítják, akkor hamis biz-tonságérzetet kelthetnek. Óvintézkedéseket kell alkal-mazni azért, hogy megvédjük az olyan illetéktelen vál-toztatásoktól és üzemeltetési problémáktól, mint az olyan naplózási rendszer, amit kiiktattak, üzenetfajták, amelye-ket rögzítés után módosítottak, naplófájlok, amelyeket átszerkesztettek vagy töröltek, naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet már velük az eseményekről feljegyzést készíteni, vagy önmagukat írják felül.

A biztonsági naplókat a rendszertől külön kell archi-válni, mint a rendszerhasználat bizonyítékait, így ezek az információk (bizonyítékok) későbbi vizsgálatokhoz is felhasználhatóak.

Adminisztrátori és operátori tevékenységek napló-zása

Az informatikai rendszer üzemeltetése során operátori (rendszergazdai) naplót kell vezetni az üzemeltetési ese-ményekről, amit az üzleti tulajdonosnak és az IVO-nak rendszeresen ellenőriznie kell.

Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az in-formatikai rendszerben bekövetkezett fontosabb esemé-nyek, különös tekintettel azokra, amelyek a rendszer biz-tonságát érintik. Egyúttal lehessen ellenőrizni a hozzáfé-rések jogosultságát, meg lehessen állapítani a felelőssé-get, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.

A rendszernek képesnek kell lennie minden egyes fel-használó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A minimálisan regisztrálandó események a következők:

– rendszerindítások, -leállások, leállítások,– rendszerhibák és korrekciós intézkedések,– programindítások és -leállások, leállítások,– az azonosítási és hitelesítési mechanizmus használa-

ta,– hozzáférési jog érvényesítése azonosítóval ellátott

erőforráshoz,– az adatállományok és kimeneti adatok kezelésének

visszaigazolása,– azonosítóval ellátott erőforrás létrehozása vagy törlése,– felhatalmazott személy műveletei, amelyek a rend-

szer biztonságát érintik.A további naplózandó eseményeket (pl. az azonosítási

és hitelesítési mechanizmus használata) rendszerfüggően kell meghatározni és a RIBSZ-ben tételesen rögzíteni.

Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

Az informatikai rendszer üzemeltetéséről nyilvántar-tást kell vezetni, amelyet az informatikai vezető által ki-jelölt személynek rendszeresen ellenőriznie kell.

Rendszerhibák naplózásaAz üzemzavarok bejelentését követően korrekciós in-

tézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek mű-ködésében észlelt hibákat naplózni kell.

Az üzemzavarok kezelésének szabályai:– A hibanapló vizsgálata és a hiba kezelésének, elhárí-

tásának ellenőrzése.– Korrekciós intézkedések vizsgálata, illetve ezek vég-

rehajtásának és a kezdeményezett intézkedések engedé-lyezésének szabályosságának ellenőrzése.

Rendszerórák szinkronizálásaKiemelt fi gyelmet kell fordítani az operációs rendszer

és alkalmazás dokumentációjának fi gyelembevételével a rendszerdátum és -idő beállítására, mert minden tevé-kenység visszakereshetőségének alapja a hiteles, pontos dátum és idő. A felhasználók nem jogosultak saját gépü-kön a dátum és idő megváltoztatására.

4.8. Informatikai rendszerek fejlesztése

Új rendszer fejlesztésében – illetve meglevőnek a to-vábbfejlesztésében, átalakításában értelemszerűen – az alábbi szabályoknak kell teljesülni.

Amennyiben a kialakítandó rendszer komplexitása vagy egy új technológia bevezetése igényli, célszerű megvalósíthatósági tanulmányt készíteni a rendszer ki-alakítása előtt és ennek eredményét fi gyelembe venni a tervezéskor.


4.8.1. Döntés a rendszer kialakításárólA döntés fázisban egyértelmű elhatározás születik a

rendszer megvalósításáról, az érintett vezetők elkötelezik magukat a rendszer használata mellett. A döntés pillana-tától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit, amelynek kialakításába az IKI-t és az IVO-t is be kell vonni. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevő álla-potát és színvonalát.

A fejlesztés céljának megfogalmazása során meg kell határozni az összes biztonsági követelményt (lásd: 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai). Az ott leírtakat a nem projektszerűen végrehajtott valamint a kisebb fejlesztésekben értelem-szerűen kell alkalmazni. Ezeket a követelményeket és szükséges megoldásokat az informatikai rendszer fejlesz-tésének részeként kell megtervezni, egyeztetni és doku-mentálni.

4.8.2. A rendszerfejlesztés előkészítése

Az előkészítés lépéseit az Informatikai fejlesztés biz-tonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) Projektindítás) összefoglaltak szerint kell el-végezni.

A felsorolt feladatok végrehajtója a projektvezető, il-letve, ha ilyen még nincs kijelölve – vagy a fejlesztés nem projektszerűen folyik – akkor a fejlesztést kezdeményező szervezeti egység vezetője.

Az előkészítésnek fontos lépése az üzleti tulajdonos kijelölése (lásd 4.2.3.4. fejezet „üzleti tulajdonos” rész). Mindaddig, amíg ez nem történik meg, a projektvezető kötelezettsége az üzleti tulajdonos számára e szabály-zatban meghatározott feladatok ellátása. A rendszer biz-tonságát az üzleti tulajdonos a saját igényei és lehetősé-gei szerint valósítja meg, és döntési kompetenciával rendelkezik az ehhez szükséges források mozgósításá-hoz.

Az informatikai beruházások előkészítési, tervezési fázisában fi gyelemmel kell kísérni a következő biztonsá-gi szempontok érvényesítését:

a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a rendelkezésre állás szempont-jából történő elemzése és a védelmi célkitűzések megha-tározása,

b) az informatikai rendszer várható informatikai biz-tonsági osztályba sorolása,

c) az informatikai projekt jóváhagyott költségvetésé-ben szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. Ezek álljanak arányban a le-hetséges kockázatokkal, károkkal.

Az előző pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentősen megnöveli az információbiztonsági kockázatokat, valamint a későb-bi kiadásokat.

A kiírásban szerepeltetni kell a létrehozandó (fejlesz-tendő, átalakítandó) informatikai rendszer fi zikai, logikai és adminisztratív védelmi rendszerének – a projekt (fej-lesztés) keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit, valamint az informatikai biztonságra vonatkozó követelményeket (pl. a védelmi igényt és célokat, a kezelendő adatok érzékenységét, a rendszerrel szemben támasztott rendelkezésre állási igényt, a jogszabályokból és egyéb vállalati belső utasítá-sokból fakadó biztonsági kötelezettségeket). A kiírásban szerepeltetni kell, hogy az ajánlat biztonsági szempont-ból csak akkor fogadható el, ha:

– a kitűzött védelmi célokra megfelelő szinten reagáló fejezetet (részeket) tartalmaz,

továbbá ajánlattevő nyilatkozik arról, hogy– csak jogtiszta szoftver rendszert szállít,– biztonsági rendszer megvalósítását csak a projektben

(fejlesztésben) megjelölt személyek / alvállalkozók vég-zik,

– elfogadja a Társaságnál érvényes informatikai biz-tonsági szabályokat a rendszer kialakításában.

Előnyben kell részesíteni azt a pályázót, aki / amely rendelkezik informatikai vagy informatikai biztonsági színvonalát bizonyító minősítéssel vagy deklaráltan a legújabb szabványok szerint dolgozik (jelenleg ezek: MSZ EN ISO 9001:2009, MSZ ISO/IEC 27001:2006, MSZ ISO/IEC 27002:2007 stb.). A 3. sz. mellékletben be-mutatott biztonsági minősítési rendszert a pályázók beso-rolásánál is alkalmazni kell.

A fejlesztésre vonatkozó szerződésnek külön fejezet-ben kell foglalkoznia az informatikai biztonsággal. Eb-ben a fejezetben szerepeltetni kell a szállítandó szoftver és a kapcsolódó termék:

– teljesítendő informatikai biztonsági követelményeit,– biztonsági tanúsításával, minősítésével kapcsolatos

feltételeket,– dokumentációjának biztosításával, a dokumentációi-

ba történő betekintéssel kapcsolatos követelményeket,– használati (futtatható) illetve forráskód felhasználá-

sának és ellenőrzési jogának, a licencek felhasználásának a feltételeit,

– szavatosságával, jótállásával, auditálhatóságával kapcsolatos feltételeket,

– garanciális időn túlmenő szervizelési feltételeit, úgy-mint rendelkezésre állási idő, reakció-idő, tartalék alkat-rész biztosítása, cserefeltételek, tartalék eszközök,

– titoktartási (ha a rendszer üzleti titoknak minősülő adatokat is kezel), és adatvédelmi (ha a rendszer szemé-lyes adatokat is kezel) követelményeket, megállapodáso-kat,

– a szállító nyilatkozatát, hogy a védelmi rendszer ter-vezéséhez és megvalósításához használt információkat és dokumentumokat átadják,

– a szállító nyilatkozatát, hogy az informatikai rend-szer fejlesztése során eleget tesznek a Társaság valameny-nyi szabályzatának, különös tekintettel az IBSZ-re.


További lényeges, a biztonságot is érintő elvárás a szerződéssel kapcsolatban, hogy az ajánlattevő szükség szerint az alábbiakról is nyilatkozzon:

– a megkötendő szerződés alapján létrejött szellemi termékre a MÁV Zrt. valamennyi szervezeti egysége – működési körén belül – korlátlan felhasználási joggal rendelkezik majd;

– a megkötendő szerződés alapján szállított szoftverek használati joga átkerül majd

– a MÁV Zrt.-hez;– szavatol azért, hogy a majdan szállított szoftverek

rendeltetésszerű használatra alkalmasak és rendelkeznek a hardver, szoftver leírásokban meghatározott paraméte-rekkel (kellékszavatosság);

– szavatol azért, hogy a majdan szállított szoftverek és hardverek fölött harmadik személynek nincs olyan joga, amely a megkötendő szerződés teljesítésében feleket gá-tolná (jogszavatosság);

– kártalanítania fogja Ajánlatkérőt minden olyan igény esetén, amely valamely szabadalmi, védjegy, szoftverrel összefüggő jogok stb. megsértéséből származik azáltal, hogy azt szerződő felek a majdan megkötendő szerződés során felhasználták.

A pályázat kiírásába és értékelésébe, a szerződés szö-vegének kialakításába, továbbá a fejlesztés és tesztelés folyamatába minden esetben be kell vonni az IVO-t.

A Rendszerkoncepció, vagy a Projekt alapító okirat nevű dokumentumban meg kell határozni az alapvető in-formatikai biztonsági követelményeket. A rendszer biz-tonságával kapcsolatosan meg kell határozni a szereplő-ket, meg kell nevezni a biztonsági határokat, adatátviteli hálózat biztonsági feltételeit, az életciklus kezelési feltét-eleit.

4.8.3. A kockázatok kezeléseA fejlesztendő rendszer megvalósítása során az infor-

matikai biztonságot a rendszerbe integrálva kell kialakí-tani, amihez ismerni kell a rendszert konkrétan fenyegető veszélyeket, ismerni kell a várható biztonsági kockázato-kat.

A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontja-inak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakori-ságát. Az ehhez szükséges lépéseket az Informatikai fej-lesztés biztonsági feladatai és dokumentumai c. táblázat-ban (4. sz. melléklet b) Kockázatelemzés) összefoglaltak szerint kell elvégezni.

Az ott felsorolt feladatokat az üzleti tulajdonos irányít-ja és a rendszerre vonatkozó biztonsági igényei alapján a beszállítóval végezteti a megvalósítási szerződés kereté-ben.

A kockázatelemzés szakaszban részletesen fel kell tár-ni a rendszert fenyegető tényezőket. Ehhez csoportosítani kell a vizsgálandó szempontokat legalább a:

– környezeti infrastruktúra,– hardver eszközök,– adathordozók,– dokumentumok,– szoftver,– adatok,– kommunikáció,– szolgáltatások,– személyi elemcsoportok vonatkozásban.Ezekhez a csoportokhoz kell egyedenként meghatá-

rozni a fenyegető tényezőket a Kockázatelemzés lépései c. táblázat szerint (6. sz. melléklet). A kapcsolódó kárér-tékek besorolási táblázatát a 7. sz. melléklet tartalmazza.

A későbbiekben valamennyi védelmi intézkedést (pl. az adatok és rendszerek biztonsági osztályba sorolását) ezek tükrében kell megtenni.

4.8.4. Adatok, informatikai rendszerek biztonsági osztályba sorolása

A Társaság informatikai rendszereit a bennük kezelt adatok érzékenysége, az adatokat és a rendszert fenyege-tő tényezők veszélyessége és előfordulási gyakorisága alapján biztonsági osztályba kell sorolni. A biztonsági osztályozás célja az informatikai vagyontárgyak szüksé-ges védelmi szintjének előírása. Ezt a besorolást minden esetben az adat, illetve az adatot feldolgozó rendszer üz-leti tulajdonosa állapítja meg a kockázatelemzés eredmé-nye alapján. Az adatok minősítése maga után vonja az azokat tároló, feldolgozó többi informatikai rendszer-elem, illetve a teljes informatikai rendszer biztonsági be-sorolását is.

A létrejött dokumentumokból, valamint a tervezés so-rán felállított követelményrendszerből levonható infor-matikai biztonsági következtetéseknek egyértelműen arányban kell állniuk a fejlesztendő rendszernek a Tár-saság üzletvitele szempontjából betöltött fontosságával.

A biztonsági osztályba sorolás általános menete során az üzleti tulajdonos feladatai:

– Nyilatkozik a rendszerrel szemben támasztott ren-delkezésre állási igényéről (5/A. sz. melléklet).

– A rendszer által kezelt adatkörök elemeztetésével meghatározza, hogy a rendszer kezel-e személyes adato-kat, minősített adatokat, vagy üzleti titoknak minősülő adatokat.

– Meghatároztatja, hogy az elvárt rendelkezésre állás melyik biztonsági osztálynak megfelelő intézkedésekkel biztosítható (10. sz. melléklet).

– A biztonsági osztály megállapításakor előzetesen ki-kéri az IKI és az IVO állásfoglalását.

– Amennyiben az üzleti tulajdonos a javasoltnál ala-csonyabb biztonsági osztályba történő besorolás mellett dönt, köteles annak jóváhagyása érdekében az állásfogla-lásokkal együtt felterjeszteni az elnök-vezérigazgató ré-szére. Amennyiben az üzleti tulajdonos által meghatáro-zott alacsonyabb szintű besorolást az elnök-vezérigazgató nem hagyja jóvá, abban az esetben az üzleti tulajdonos a


rendszer fejlesztésének céljait, a ráfordításait úgy módo-sítja, hogy a biztonsági osztályba sorolás tekintetében végül megegyező álláspont alakuljon ki.

– A kockázatelemzés által feltárt, a rendszert fenyege-tő tényezők alapján intézkedik azok megszüntetéséről vagy minimális értékre való csökkentéséről.

– Elfogadja a maradványkockázatokat, továbbá a rendszert információvédelem (a bizalmasság sérül vagy a sértetlenség károsodik) és rendelkezésre állás szem-pontjából biztonsági osztályba sorolja, amelyet írásban kell rögzíteni a biztonsági dokumentumokban (lásd nyi-latkozat a 11. sz. mellékletben).

A biztonságnövelő intézkedések egy része nem tesz különbséget a két fenyegetettség (információvédelem és rendelkezésre állás) között, ebben az esetben az adat vé-delmét a két besorolás közül a magasabb fokozatú szerint kell megvalósítani.

– A besorolásról értesíti az IKI-t, a KKA-ban eltárolás érdekében. A védelmi profi lok jelölésére a 8. sz. mellék-letet (Védelmi profi lok azonosítási rendszerét) kell hasz-nálni.

Alap biztonsági osztályba kell sorolni minden olyan rendszert, amely nem igényel fokozott vagy kiemelt biz-tonsági besorolást.

Fokozott biztonsági osztályba kell sorolni:– a Társaság üzletvitele szempontjából stratégiai jelen-

tőségű rendszereket,– az üzleti titoknak minősülő adatokat valamint a nagy

mennyiségű, vagy különleges személyes adatot feldolgo-zó rendszert.

Bizalmasság szempontjából fokozott kategóriába so-rolt adatokra vonatkozóan, az üzleti tulajdonosnak meg kell vizsgálni az egyezőséget a Társaság üzletititok-vé-delmi szabályzat titokköri jegyzékével, és szükség esetén intézkedni kell annak kiegészítésére.

A minősített adat védelméről szóló törvény alapján mi-nősített adat védelme érdekében, az azt feldolgozó rend-szert kiemelt biztonsági osztályba kell sorolni. E szabály-zat rendelkezéseit a jogszabályok által előírt elektronikus biztonsági intézkedések és eljárási rend fi gyelembe véte-lével kell alkalmazni.

4.8.5. A rendszer biztonságának tervezéseA következő fázisban Rendszerszintű Informatikai

Biztonsági Szabályzatot (RIBSZ) – melynek vázlata a 12. sz. mellékletben található – (kisebb rendszerekben a Rendszertervben informatikai biztonsági fejezetet) kell kialakítani.

RIBSZ-et kell készíteni különösen, ha a rendszer:– fokozott vagy kiemelt biztonsági osztályba van so-

rolva,– a Társaság üzletvitele szempontjából stratégiai, ki-

emelt fontosságú,– nagy mennyiségű személyes adatot kezel.

Az ehhez szükséges lépéseket az Informatikai fejlesz-tés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. Biztonsági szem-pontból az IVO vezetője felügyeli és támogatja az infor-matikai fejlesztéseket, projekteket, ennek során állást foglal a rendszerszintű informatikai biztonsági szabály-zatok megfelelőségéről.

Az RIBSZ (illetve a Rendszerterv informatikai bizton-sági fejezete) tartalmának szigorú összhangban kell len-nie a korábbi fázisban meghatározott biztonsági osztály-ra vonatkozó informatikai biztonsági követelményekkel és a kockázatelemzés által előírt intézkedésekkel. A vé-delmet fi zikai, logikai és adminisztratív területen kell megvalósítani. Ezek részleteit a Biztonsági osztályok kö-vetelményei című táblázat (10. sz. melléklet) a besorolási osztályokra bontva tartalmazza.

A fejlesztési folyamat minden lépésében konzultálni kell mind az üzemeltetőkkel (operátorokkal), mind a fel-használókkal a rendszer hatékonyságának érdekében.

A rendszer tervezése, valamint az informatikai bizton-sági osztály meghatározása után világosan látszik, hogy kell-e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az RIBSZ-ben, illetve a Rendszerterv informatikai biztonsági feje-zetében részletesen ki kell dolgozni az ide vonatkozó vé-delmi intézkedéseket is. Ilyen szolgáltatással rendelkező rendszerben a kulcsokat külön védeni kell az elvesztés és illetéktelenek tudomására jutása ellen, hogy a sértetlen-ség, titkosítás, hitelesség rendszere ne sérüljön.

4.8.6. A rendszer használatba vétele

TesztelésA rendszerben megvalósuló valamennyi elemet a rend-

szer használatba vételét megelőzően biztonsági megfele-lőség szempontjából tesztelni kell. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet d) A rendszer használatba vétele) összefoglaltak szerint kell elvégezni.

A biztonsági teszt-feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesz-telési folyamatok irányítására – amennyiben indokolt – egy szervezetet kell létrehozni, aminek a vezetője az üz-leti tulajdonos által kijelölt teszt menedzser. Tagjai továb-bá a rendszer méretétől (bonyolultságától) függő létszám-ban a teszt tervező(k), tesztelő(k), értékelő(k). A teszte-lésbe a felhasználó környezetéből is be kell vonni szemé-lyeket, akiket az üzleti tulajdonos vagy a projekt mene-dzser jelöl ki. A tesztelés végrehajtására a teszt mene-dzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Ennek legfőbb elemei a következők:

– a teszt céljainak meghatározása,– a teszt lépéseinek meghatározása,– a rendszer tesztelendő elemeinek behatárolása,


– tesztelési mód, teszt környezet, teszt adatbázis meg-határozása,

– tesztek értékelési módszerének kialakítása,– teszteredmények megfelelőségi kritériumainak defi -

niálása,– dokumentálási faladatok meghatározása,– a tesztelési szervezet kialakítása, személyek megha-

tározása, szerepkörök, felelősségi leírása,– ütemterv meghatározása.A tesztelés tervét a rendszertervvel párhuzamosan kell

elkészíteni, mivel a biztonsági követelmények addigra már ismertek. Lehetőleg az informatikai tesztelésekkel párhuzamosan meg kell kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rend-szerrel szembeni biztonsági elvárásainak időbeni teljesü-lését. A tesztek (modul-, integrációs-, rendszer-, teljesít-mény- stb.) eredményét a 13. sz. melléklet szerinti Biz-tonsági tesztelési jegyzőkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell őrizni.

A használatba vétel feltételeiA rendszer csak akkor vehető használatba, ha rendel-

kezésre állnak az alábbi dokumentumok:a) Felhasználói Kézikönyv az összes kezelési szintrebenne olyan funkciókkal, mint az informatikai bizton-

sági rendkívüli eseményekre való reagálás, a működés-folytonosság biztosítása és a felhasználók személyes ada-tainak kezelése fejezet. A RIBSZ-ben szereplő informati-kai biztonsági szabályokat ezen a módon kell a felhaszná-lóknak eljuttatni.

b) Üzemeltetési kézikönyv,c) Rendszerszintű Informatikai Biztonsági Szabályzat

(RIBSZ)tartalmazza a rendszer összes konkrét védelmi intéz-

kedését, önálló fejezetben vagy különálló mellékletben a felhasználókkal kapcsolatos biztonsági előírások rend-szerszintű szabályait,

d) Működés-folytonossági terve) Üzleti tulajdonos nyilatkozataia rendszerrel szemben támasztott rendelkezésre állási

igényről, a biztonsági osztályba sorolásról, a maradó koc-kázat és az elkészült dokumentumok elfogadásáról,

f) Jegyzőkönyveka biztonsági tesztfeltételeknek való megfelelésről,g) Megfelelőségi tanúsítványamely minősített rendszer esetében független auditortól

származik.

Az átvétel során ellenőrizni kell továbbá:a) a teljesítőképességi és a számítógépkapacitás-köve-

telményeket,b) a hibajavító és az újraindítási eljárások vészterveit,c) a rutin üzemeltetési eljárások előkészítését és be-

vizsgálását,d) a megállapodások szerinti biztonsági óvintézkedé-

sek megtételét,e) a hatékony kézi (manuális) eljárásokat,

f) a működés folyamatosságának érdekében a 4.10.1. fejezet által megkívánt elrendezéseket,

g) annak bizonyítékait, hogy az új rendszer üzembe he-lyezése nem lesz ellenkező, káros hatással a meglévő rend-szerekre, különösen nem a feldolgozási csúcsidőkben.

h) annak bizonyítékait, hogy fi gyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a Társaság általános biztonságára,

i) az új rendszerek üzemeltetésének valamint használa-tának a betanítását, oktatását.

4.9. Az informatikai biztonsági incidensek kezelése

Alapvető cél, hogy a biztonsági események és zavarok okozta kár minimális legyen, a biztonsági események fo-lyamatosan nyomon legyenek követve, biztosítva legyen a mielőbbi normális üzemre való visszaállás és a megfe-lelő következtetéseket az illetékesek levonják.

Mindazon biztonsági eseményeket, amelyek a folya-matos éles üzemet megzavarják, a napi feldolgozást hát-ráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek. Minden munkavállalónak és vállalkozó-nak ismernie és alkalmaznia kell a Társaság működésé-nek és az általa használt eszközök használatának bizton-ságát befolyásoló különböző események (biztonsági elő-írások megsértése, veszélyek, hiányosságok vagy műkö-dési zavarok) jelentésének eljárási szabályait.

Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elkerülhetők az el-hamarkodott döntések, bizonyítékot lehet használni és megőrizni az esemény forrásának lenyomozásához és azo-nosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható, és nem csak az esemény, de a vá-lasz költségei is csökkenthetők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók. Minden szervezetnek fel kell készülnie a biztonsági események be-következésére, ezért a következő lépéseket kell megtenni:

a) felkészülés – előre dokumentált megelőző intézke-dések, eseménykezelési útmutatások és eljárások (a bizo-nyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges do-kumentumok, valamint működés-folytonossági tervek,

b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek jelentsék az esemé-nyeket,

c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meghatározásában,

d) irányítás – eljárások és felelősségek az események-kel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájé-koztatásakor,

e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor,

f) áttekintő vizsgálat – eljárások és felelősségek az ese-ményt követő tevékenységek során, ideértve a jogi követ-kezmények kivizsgálását és a trendek elemzését.


4.9.1. A biztonsági események, gyenge pontok jelen-tése

A Társaság minden informatikai eszközén, folyamato-san fi gyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhaszná-lók nem veszik fi gyelembe, ezért ennek fontosságát a fel-használókkal is tudatosítani kell.

Teendők rendszer-, illetve alkalmazáshiba esetén:a) Figyelemmel kell kísérni a működési zavar tüneteit,

a képernyőn megjelenő üzeneteket. Rendszer-, vagy al-kalmazáshiba esetén az adott számítógépen fel kell füg-geszteni a munkát. A hibaüzenetet a felhasználó nem tö-rölheti a képernyőről, amíg az illetékes informatikai munkatárs azt nem látta vagy azt meg nem beszélte vele. A felhasználó semmiféle kísérletet nem tehet az informa-tikai rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem ha kellő felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az il-letékes informatikai munkatárs jogosult.

b) Amennyiben a rendszerhibát vélhetően külső, ille-téktelen beavatkozás, vagy vírustámadás okozta, az érin-tett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, továbbá szükség esetén gondoskodni kell a hibernálás aktiválásáról vagy a kikapcsolásról. Ilyen esetekben fokozottan fi gyelni kell a hordozható adathor-dozókra is, melyeket az illetékes informatikai munkatárs-nak vizsgálat céljára át kell adni.

c) A Társaság hozzáférési, és egyéb adatvédelmi rend-szereinek működés zavarát, a megtett intézkedéseket, ha-ladéktalanul jelenteni kell a szervezet illetékes vezetőjé-nek és az IVO-nak.

d) A meghibásodott informatikai eszközben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más berendezésekben.

A biztonságot érintő eseményeket – amilyen gyorsan csak lehet – a megfelelő vezetői csatornákon jelenteni kell. Az IVO az eseményt a lehető legrövidebb idő alatt vizsgálja ki, és amennyiben a felelősségre vonás szüksé-gessége fennáll, értesítse a biztonsági igazgatón keresztül a munkáltatói jogkör gyakorlóját, hogy a munkavállaló-val szemben a kötelességszegés gyanúja esetén alkalma-zott intézkedést meg kell indítani.

4.9.2. Az informatikai biztonsági incidensek értéke-lése

Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monito-rozási rendszer működési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályza-tok korszerűsítését.

Szükség van arra, hogy kellő bizonyítékkal rendelkez-zünk ahhoz, hogy fegyelmi, vagy jogi eljárást folytas-sunk egy személy vagy szervezet ellen. Amennyiben az informatikai biztonsági incidens jogi felelősséget vet fel,

törekedni kell az összes bizonyíték feltárására, megőrzé-sére és a nyomozó hatóság illetve a bíróság részére törté-nő megfelelő átadásra.

4.10. Működés-folytonosság kezelése

Működési hibák, különböző fokozatú rendkívüli álla-potok (pl. természeti katasztrófa) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkező hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából foko-zott és kiemelt biztonsági osztályba sorolt informatikai rendszerének – annak kiterjedésétől függetlenül – köte-lező rendelkeznie Működés-folytonossági tervvel. Alap biztonsági osztályba sorolt rendszereknél is indokolt en-nek elkészítése. A tervezés olyan hibák és jelenségek ke-zelésére szolgál, amelyek a rendszer működése során gyakran előfordulhatnak a helytelen munkavégzésből, fi gyelmetlenségből, vagy a technikai körülmények előnytelen változásaiból, személyek változásából, illetve elháríthatatlan okból (pl. természeti katasztrófa). A ka-tasztrófa súlyosságú működés-folytonossági események informatikát érintő kezeléséről a Társaság katasztrófavé-delmi és polgári védelmi feladatainak ellátásáról szóló utasítás Intézkedések informatikai vészhelyzet megelő-zésére c. melléklete rendelkezik. (lásd: 15. sz. melléklet ’t’ pont)

4.10.1. A működés-folytonosság menedzseléseA működés-folytonossági tervezést az üzleti tulajdo-

nos irányítja.

Első lépésben meg kell határoznia a rendszer azon ki-esési idejét, amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása számára üzleti-leg még elviselhető, és aminek leteltével életbe kell lép-tetni a rendkívüli események kezelésére szolgáló intézke-déseket. Ennek megfelelően alapvetően három alappillér-re támaszkodik:

a) magas színvonalú, jó minőségű technológia és üze-meltetés;

b) megfelelő szabályozottság, dokumentáltság és infor-matikai szervezet;

c) az előre nem látható eseményekre történő előzetes felkészülés.

A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is fi gyelembe kell venni. A működés-folytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerű működést. Ezek lehetnek például hard-ver meghibásodások, adatátviteli útvonalon történő za-var, tartós szakadás, programhiba, vagy tűzeset, vízkár.

A tervezés az alábbi kulcsfontosságú elemekből áll:– fel kell készülni mindazokra a kockázatokra (lásd:

kockázatelemzés, maradványkockázat) melyek bekövet-kezése reális, és befolyásolja az üzleti folyamatokat,


– megfelelő stratégiát kell kidolgozni, hogy a kockáza-tok minimálisak legyenek,

– meg kell állapítani a felelősségi területeket, a köve-tendő eljárási tematikát,

– meg kell határozni a reagálási és a helyreállítási stra-tégiát, annak idejét,

– tervezni kell az oktatást, hogy a működtető személy-zet (rendszergazdák, operátorok stb.) maradéktalanul is-merje a teendőket, a szabályozási rendet,

– szimulált hibák létrehozásával gyakorolni kell a hely-reállítási folyamatot (a rendszer biztonsági osztályba soro-lása függvényében legalább: alap 3 évenként, fokozott 2 évenként és kiemelt osztályú rendszerekben évente),

– minden működés-folytonossági eseményt dokumen-tálni kell és ezen tudásbázis alapján intézkedéseket kell tenni a rendszeresen ismétlődő hibák megelőzésére,

– a tervet időszakonként felül kell vizsgálni és a szük-ségletnek megfelelően módosítani kell,

– ki kell dolgozni a közönségkapcsolatok, a média ke-zelésének szabályait.

4.10.2. A tervezés keretrendszereA működés-folytonossági terv általános tematikáját a

14. sz. melléklet tartalmazza. A dokumentumnak szoros logikai kapcsolatban kell állnia az IBSZ, RIBSZ és Fel-használói kézikönyv dokumentumokkal. A tematikai vázlatot az alábbi tervezési szempontok fi gyelembe véte-lével kell alkalmazni:

– ki kell alakítani a terv szinkronját az üzleti stratégiá-hoz, biztosítani kell alkalmazkodását a változó jogi elő-írásokhoz,

– rögzíteni kell a meglevő és a helyreállításra igénybe vehető erőforrások térbeli és minőségi helyzetét,

– fel kell mérni azokat a környezeti szereplőket, ame-lyeket valamilyen formában értesíteni, vagy bevonni kell egy rendkívüli helyzet esetén (pl. MÁV Informatika Zrt. területileg illetékes informatikai központja, közvetlen munkahelyi vezető, üzleti tulajdonos, MÁV-os rendszer-gazda, tűzoltóság, rendőrség, katasztrófa-védelem, írott és elektronikus sajtó),

– meg kell különböztetni az incidenskezelést a kataszt-rófahelyzet kezelésétől, fi gyelembe véve azonban, hogy a katasztrófa-esemény az üzletmenetet hátrányosan befo-lyásoló, azt különböző mértékben érintő tényezők leg-durvább előfordulási módja ugyan, de csak egy a káros hatású tényezők sorában,

– a kockázatoknak megfelelően tartalék erőforrásokat kell feltárni, elemezni kell a rendszer külső beszállítóinak szolgáltatásait,

– nagyobb rendszerben asztali modellezéssel különbö-ző forgatókönyveket kell készíteni a különböző típusú káresetek megelőzésére, illetve kezelésére,

– vizsgálni kell a műszaki helyreállítás lehetőségeit (az eszközök üzembe történő visszaállítása, tartalék eszkö-zök üzembe helyezése, melegtartalék kezelése, alternatív helyszín igénybe vétele) fi gyelembe véve a rendszerre vo-natkozó kapacitás-igényt,

– el kell végezni a tartalék helyszín megfelelőségi vizs-gálatát,

– tervezni kell a helyreállítási fázisok részfelelőseinek folyamatos beszámoltatási kötelezettségét,

– ki kell alakítani az érintettek listáját, rögzíteni kell elérhetőségüket (cím, telefonszám), és a listát az üze-meltető személyzet számára könnyen elérhetővé kell tenni,

– minél rövidebb terjedelmű, működési zavarral terhelt környezetben dolgozó (esetleg katasztrófa-helyzetben pá-nik-közeli állapotba került) munkatársak számára is könnyen érthető, elméleti fejtegetéseket teljes mértékben mellőző feladatleírást, cselekvési tervet kell kialakíttatni, ami egyértelműen és kizárólag a végrehajtandó feladato-kat tartalmazza, meghatározva azok sorrendjét és felelő-seit,

– valamennyi részelemnek – függetlenül az üzleti tu-lajdonos mindenre kiterjedő biztonsági felelősségétől – további felelőse kell, hogy legyen, aki felel a felelősségi körébe tartozó rendszerelemek működésének helyreállí-tásáért, annak feladatait ismeri és készség szintjén be-gyakorolta.

4.10.3. A terv felülvizsgálata és karbantartásaA Működés-folytonossági tervet az üzleti tulajdonos

köteles évente vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy előfordulhatnak hibás feltételezések, személyi változások, vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, ha-nem ismerni kell annak időbeliségét, hatását és következ-ményeit is.

4.10.4. A rendszerek és a programok működési za-varainak értékelése

A Társaság minden szerverén és munkaállomásán, (amennyiben a működtető szoftver ezt lehetővé teszi) ak-tiválni kell a folyamatos rendszer vagy alkalmazás napló-zást, az esetleges hibaüzenetek visszakereshetősége vagy incidensek feltárása érdekében.

A hibaüzenetek fontosságát a működés-folytonosság fenntartásában a felhasználókkal is tudatosítani kell.

Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdo-nosnak évente elemeznie, értékelnie kell. Az elemzés alapján – szükség esetén – kezdeményeznie kell az IVO-nál jelen szabályzat, illetve saját hatáskörében az adott rendszer Működés-folytonossági tervének és RIBSZ-ének a korszerűsítését.

4.11. Megfelelés a jogszabályoknak

4.11.1. A jogszabályi előírások betartásaAz Informatikai biztonsági szabályzat alkalmazása so-

rán bevezetett védelmi intézkedések nem ütközhetnek büntetőjogi vagy polgári jogi szabályozásba, nem ered-ményezhetik a Társaság törvényes, szabályozói vagy


szerződéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhe-tőek, illetve valósíthatóak meg, amelyek a jogszabályi és egyéb előírásoknak megfelelően biztosítják az informati-kai infrastruktúra védelmét.

A szabályzat kialakításánál a 15. sz. mellékletben fel-sorolt jogforrások és előírások normái voltak irányadók, amelyekre az informatikai biztonság irányítása és meg-valósítása során az abban részt vevőknek kiemelt fi gyel-met kell fordítaniuk.

Az informatikai rendszerekkel kezelt és feldolgozott– minősített adat védelméről szóló törvény hatálya alá

tartozó adatok és az üzleti titoknak minősülő adatok vé-delmét a Társaság biztonsági vezetője a vonatkozó jog-szabályok és szabályzatok szerint,

– személyes adatok védelmét a Társaság belső adatvé-delmi felelőse a Társaság Adatvédelmi szabályzata sze-rint lássa el.

4.11.2. Az informatikai biztonság megfelelőségi fe-lülvizsgálata

A Társaság informatikai biztonsági szintjét folyamato-san és célirányosan ellenőrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel-e a mindenkori tárgybani jogforrásoknak, az in-formatikai biztonság megvalósítását végző személyektől, szervezeti egységektől független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg:

a) az IVO munkaszervezete folyamatosan, napi szakte-vékenysége részeként rutinszerűen ellenőrzi a rendszere-ket, felügyeli a rendszerek biztonságának megvalósításá-ban feladattal megbízott, a 4.2.2. és 4.2.3. fejezetekban felsorolt szervezeti egységeknek és személyeknek a rend-szerbe jelen szabályzattal beépített biztonsági mechaniz-musaival kapcsolatos tevékenységét,

b) a Belső Ellenőrzési Főosztály – saját hatáskörében kidolgozott eljárásrend szerint – esetenként, de rendsze-resen (az egyes szakterületek tevékenységének vizsgálata során) belső auditálás formájában, komplexen ellenőrzi és értékeli az informatikai biztonság helyzetét, beleértve az IVO a) pontban leírt felügyeleti tevékenységét is,

c) a Társaságon kívüli, független szakértők megbízásá-val külső auditálást kell végeztetniük az érintett rendsze-rek üzleti tulajdonosainak az alábbi esetekben:

– fokozott biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően,

– kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, majd 2 évenként rendsze-resen.

4.12. Kivételkezelés

Az IBSZ által nem szabályozott esetekben az üzleti tu-lajdonosok, projektvezetők és a munkáltatói jogkört gya-korló vezetők kezdeményezhetik az IVO-nál az adott kér-

déskörben eligazodást adó döntés meghozatalát. Az IVO vezetője szükség szerint az IKI, a TEB, illetve egyéb érintett szakterület bevonásával, az érvényes jogszabá-lyok, szabványok, ajánlások, továbbá az aktuális infor-matikai fejlettségi szint ismeretében javaslatot tesz a Biz-tonsági igazgató számára, aki saját hatáskörben döntést hoz, vagy ha az eset körülményeiből más következik, akkor vezérigazgató vagy elnök-vezérigazgató elé ter-jeszti döntés meghozatalára.

5.0. HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁ-LYON KÍVÜL HELYEZÉSEK

– 19/2005. (VI. 17. MÁV Ért. 24.) VIG. sz. vezérigaz-gatói utasítás a MÁV Rt. Informatikai Biztonsági Sza-bályzatáról, valamint a

– 18/2005. (VI. 17. MÁV. Ért. 24.) Biztonság (IVF) – Vezérigazgatói utasítás a MÁV Rt. informatikai biztonsá-gi irányelveiről, valamint módosításáról szóló 40/2002. (MÁV Ért. 20.) ADV.F.sz. utasítás.

6.0. HATÁLYBA LÉPTETÉS

Jelen szabályzat a kiadása napján, de legkorábban 2010. április 30-án lép hatályba.

7.0. MELLÉKLETEK JEGYZÉKE

1. Felhasználók biztonsági kötelezettségei2. Informatikai biztonsági nyilatkozat3. Informatikai beszállító biztonsági minősítési rend-

szere4. Informatikai fejlesztés biztonsági feladatai és doku-

mentumai5/A. Nyilatkozat az informatikai rendszer rendelkezés-

re állási igényéről5/B. Megbízhatósági követelmény jellemzők (kitöltési

útmutató az 5/A. sz. melléklethez)6. Kockázatelemzés lépései7. Kárértékek besorolási táblázata8. Védelmi profi lok azonosítási rendszere9. Fizikai biztonsági védősávok10. Biztonsági osztályok követelményei11. Üzleti tulajdonos nyilatkozata a maradó kockázat

elfogadásáról és a rendszer biztonsági osztályba sorolá-sáról.

12. Rendszerszintű informatikai biztonsági szabályzat (RIBSZ) vázlata

13. Biztonsági tesztelési jegyzőkönyv14. Működés-Folytonossági Terv (MFT) vázlata15. A MÁV Zrt. informatikai biztonsági szabályzata

tartalmát meghatározó vagy befolyásoló jogforrás-ok16. Rövidítések jegyzéke

Andrási Miklós s.k.Elnök-vezérigazgató


1. sz. melléklet

Felhasználók biztonsági kötelezettségei

Jelen dokumentum célja, hogy biztosítsa minden fel-használó számára azokat a legfontosabb információkat, amelyek ismeretében a MÁV Zrt. (a továbbiakban Társa-ság) informatikai infrastruktúrája eredményesen, haté-konyan, és biztonságosan használható. Az Informatikai Biztonsági Szabályzat szerint a Társaságnak azon mun-kavállalója, aki munkája ellátásához informatikai eszközt használ (a továbbiakban felhasználó) köteles az itt felso-rolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közreműködni.

Bevezetés

A Társaság rohamosan növekvő mértékben alkalmaz informatikai rendszereket az üzleti tevékenységével ösz-szefüggő nyilvántartási, adatfeldolgozási feladatokra, de belső és külső elektronikus kommunikációra is. A rend-szerek a velük végzett napi munka során különböző biz-tonsági fenyegetéseknek vannak kitéve, amelyeket fel kell ismerni. Ellenük a Társaság védelmi rendszert mű-ködtet. Informatikai biztonsági szempontból elsősorban az adatok és feldolgozórendszerek bizalmasságának, sér-tetlenségének és rendelkezésre állásának megőrzése a fő feladat.

Bizalmasság: A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáfér-hető.

Sértetlenség: A sértetlenség védelme arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándé-kozott és a jogosultságnak megfelelő módon és mérték-ben változzanak.

Rendelkezésre állás: A rendelkezésre állás biztosítása pedig azt célozza, hogy az adatok és informatikai szol-gáltatások az előre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára hozzá-férhetőek legyenek.

Az informatikai eszközök és rendszerek folyamatos működőképessége és ennek során a biztonsági követel-mények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni.

1. Biztonsági ismeretek, felelősségtudat

A Társaság munkavállalói, mint felhasználók felelős-séggel tartoznak az általuk használt személyi számítógép és tartozékai, továbbá az informatikai rendszerek (számí-tógépes programok) biztonságának megőrzéséért. Köte-lesek a használatra vonatkozó biztonsági szabályokat (je-len dokumentumot, a használt rendszer üzleti tulajdonosa által elrendelt ismertetőket, felhasználói vagy üzemelte-

tői kézikönyveket stb.) megismerni, azokat a tevékenysé-güknek megfelelő esetekben alkalmazni és ennek során a tőlük elvárható gondossággal ellenőrizni az alkalmazott biztonsági funkciók helyes működését.

2. Egyéni felelősség

a) A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. A felhasználók kötelesek mindent megtenni annak érdekében, hogy má-sok a nevükben illetéktelenül ne tevékenykedhessenek. Kötelesek betartani a jelszóválasztási és változtatási sza-bályokat. A jelszót azonnal meg kell változtatni, ha a fel-használó megtudja, vagy gyanakszik rá, hogy az más számára ismertté vált.

b) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhaszná-lói azonosítókat és jelszavakat, továbbá más nevében nem léphetnek be a rendszerbe.

c) Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Excel-táb-lák, makró-programok, SQL lekérdezések, kis adatbázi-sok) nem tekinthetők informatikai alkalmazásnak. A ve-zetők az általuk irányított területen felelősek a végfel-használói alkalmazásoknak a biztonsági előírásokkal összhangban lévő használatáért. Az ezekkel előállított adatok, eredmények stb. megbízhatóságának ellenőrzése a felhasználó felelőssége.

d) A felhasználók kísérjék fi gyelemmel a PC munkaál-lomásukat érintő üzemeltetési, (táv)karbantartási tevé-kenységet, legyenek jelen ezek végzése során. Amennyi-ben az eszközök működésében váratlan változást tapasz-talnak, tájékoztassák közvetlen vezetőjüket.

e) A felhasználók a jelszavuk által aktivált berendezé-süket rövid időre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból, illetve kötelesek aktivizálni a PC munkaállomás jelszavas védelemmel el-látott képernyővédő funkcióját, ha munkahelyüket – akár rövid időre is – elhagyják, vagy egyéb módon gondos-kodjanak a számítógép mások általi használatának meg-akadályozásáról (pl. a helyiség bezárása).

3. Felhasználói jogosultság

a) A felhasználók a részükre meghatározott munka el-végzéséhez szükséges mértékű hozzáférést kapnak az in-formatikai rendszerekhez „a szükséges minimális jogo-sultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelően.

b) A felhasználók kötelesek a vezetőjük által engedé-lyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funk-ciók, adatok elérésére, amelyekre nincsenek feljogosítva.

c) A felhasználók csak technikailag indokolt esetekben kaphatnak rendszergazdai (adminisztrátori) jogosultsá-got.


4. Jelszavak használata

A Társaság informatikai rendszereit használó vala-mennyi felhasználónak a következő jelszóhasználati sza-bályokat kell betartania:

a) A felhasználónak tudatában kell lennie, hogy mind-azon műveleteket, melyeket az ő azonosítójával és jelsza-vával bárki végrehajt, az informatikai rendszer az ő „ter-hére” könyveli el. Ezért a jelszavait bizalmasan kell ke-zelnie, azokat más személyeknek nem adhatja meg, nyil-vánosságra nem hozhatja, köteles azok titkosságát meg-őrizni. A felsoroltakért személyesen felelős.

b) A jelszó jellemzői (hossz, bonyolultság, cserélés pe-riódusa stb.) rendszerenként változhatnak, de alapsza-bály, hogy a jelszó nem egyezhet meg a felhasználói azo-nosítóval.

c) A jelszó kívülálló számára ne legyen egyszerűen ki-található, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra stb. utaló információ-kat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét stb.), és összefüggő szövegként ne legyen olvasható.

d) A felhasználó nem adhat meg a hálózati bejelentke-zésére használt jelszóval megegyező jelszót az általa használt informatikai rendszerekben.

e) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez el-kerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt boríték-ban, a közvetlen vezetőnél történő, biztonságos tárolá-sáról.

f) Amennyiben a felhasználó azt gyanítja, hogy jelsza-vát valaki megismerte, azonnal le kell azt cserélnie és a felmerülő biztonsági kockázat lehetőségéről tájékoztatni kell az Információvédelmi osztály (a továbbiakban IVO) vezetőjét.

g) Amennyiben a munkaállomásokon a hitelesítési fo-lyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót.

h) A felhasználó részére generált első jelszót, továbbá a jelszómódosításra felhívó rendszerüzenetek után az ad-dig érvényes jelszavát a felhasználó a legelső bejelentke-zése alkalmával köteles módosítani.

5. Társaság eszközeinek használata

a) A felhasználók nem jogosultak a Társaság infokom-munikációs erőforrásai – az informatikai alkalmazások (szoftvertermékek, szolgáltatások) az infokommunikáci-ós hálózat, az internet, a munkaállomások, perifériák és az egyedi PC-k, továbbá az adathordozók (mágneslemez, CD/DVD stb.) – személyes célú használatára.

b) Az infokommunikációs erőforrásokhoz való hozzá-férés és azok használata kizárólag megfelelően azonosí-tott, hitelesített és jogosított felhasználók számára enge-délyezett.

c) A Társaságnál csak a hivatalos csatornákon keresz-tül beszerzett, elfogadott és installált PC hardver (pl. szkenner, digitális fényképezőgép) és szoftver, illetve adathordozó (pl. CD/DVD, Pen-drive) használható. Az engedéllyel végzett távmunka eseteit kivéve tilos a Társa-ság informatikai hálózatához saját tulajdonú informatikai berendezésekkel csatlakozni. Amennyiben ez a munka-végzéshez elengedhetetlen, azt az üzleti tulajdonos enge-délyezheti az IVO egyetértésével.

d) A Társaság munkaállomásain a szoftverek installá-cióját és karbantartását szerződésben megbízott üzemel-tető szervezetre kell hagyni.

e) Olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott biztonsági szoftvert vagy ellenőrzéseket, ti-los az informatikai eszközökre telepíteni.

f) Bemutató céljára tilos olyan PC-t használni, amely képes minősített biztonsági osztályú üzleti alkalmazás elérésére.

g) A munkaviszony megszűnése, a munkakör megvál-tozása, vagy más, a munkahelyi vezetője által támasztott igény esetén a felhasználónak minden eszközt és infor-mációs erőforrást, vissza kell szolgáltatnia.

6. Az adatok bizalmassága

a) A felhasználó felelős a rendszerek használata során tudomására jutott üzleti titoknak minősülő adatok tőle elvárható védelméért, a nem nyilvános adatok és a sze-mélyes adatok megőrzéséért.

b) Üzleti titoknak minősülő adatok külső tárolóra má-solása csak az erre vonatkozó, kifejezetten megengedő szabályok szerint történhet. Az ilyen információt tartal-mazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni.

c) A felhasználók senki előtt nem fedhetik fel az üzleti titoknak minősülő információt, kivéve, ha az arra jogo-sult engedélyezi. Ebbe beletartoznak a Társaságra, vala-mint ügyfeleire, informatikai rendszerére és szoftverfej-lesztésére, termékeire és szoftverlicenszeire vonatkozó technikai és üzleti információk.

d) Az informatikai biztonsági intézkedéseket és a Tár-saság erre vonatkozó belső szabályzatait bizalmasan kell kezelni.

e) Üzleti titoknak minősülő adatokat tartalmazó infor-mációkat külső félnek elektronikus úton kizárólag a Tár-saság titokvédelmi szabályzatában leírt módon szabad küldeni.

f) Minden a felhasználónak a számítógépekhez való hozzáféréséhez szükséges azonosító, jelszó, telefonszám, valamint egyéb, a informatikai erőforrásokhoz való „hoz-záférési lehetőség” a felhasználó tulajdona és titka. Az ilyen hozzáférési lehetőség birtokosa felelősségre vonha-tó ennek jogtalan vagy gondatlan használatáért, felfedé-séért.

g) A felhasználók a belső adatok védelmére kötelesek külön intézkedéseket alkalmazni a kapott lehetőségeken belül, vagy külön intézkedéseket kérni (pl. diszk-zárakat,


a bizalmas fájlok és üzenetek titkosítását, a könyvtárak és fájlok külön jelszavas védelmét).

h) Az általa használt elektronikus adathordozókról (pl. mágnesszalag, merevlemez, CD/DVD) az adatokat újra-felhasználás vagy selejtezés előtt a szokásos eszközök-kel, helyreállíthatatlan módon le kell töröltetnie. Az üzle-ti titoknak minősülő adatokat tartalmazó szalagokat, le-mezeket stb. selejtezés előtt fi zikailag meg kell semmisí-teni, vagy más módon lehetetlenné tenni az adatok visz-szaállíthatóságát. Az erre vonatkozó általános eljárásokat az IBSZ 4.6.4.4. számú fejezete tartalmazza.

i) A kinyomtatott érzékeny anyagokat, a feleslegessé vált, bizalmas információt tartalmazó papírokat, mint pl. a képernyők kinyomtatott képeit, táblázatokat, levelezé-sek és szabályzatok másolatait stb. a vonatkozó iratkeze-lési, iratmegsemmisítési szabályok szerint kell kezelni.

7. Adatok biztonsági mentése

a) A helytakarékos tárolás elvének megfelelően a fel-használók kötelesek a nem szükséges anyagaikat folya-matosan törölni a könyvtáraikból, továbbá a közös hasz-nálatú anyagokat közös elérésű könyvtárakban kell ke-zelni.

b) A külön engedéllyel helyben, különféle elektronikus adathordozón tárolt adatok biztonsági másolatának elké-szítéséről a felhasználók kötelesek gondoskodni.

c) A biztonsági mentések adathordozóit az erre feljo-gosított felhasználónak a vonatkozó előírásoknak megfe-lelő módon kell tárolni (eredeti helyszíntől földrajzilag távol, tűzvédett, kulccsal zárható stb. helyen).

d) Az informatikai rendszerek rendelkezésre állásá-ban minden felhasználó érdekelt. Az informatikai rend-szer működésképtelensége esetén minden felhasználó felelősséggel tartozik a szolgáltatások helyreállításának támogatásáért, a biztonsági mentések megfelelő haszná-latáért.

8. Vírusok elleni védelem

a) Az installált vírusvédelmet tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani.

b) Vírusfertőzést vagy annak gyanúját (pl. a munkaál-lomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjele-nése) haladéktalanul jelenteni kell a közvetlen vezető út-ján a rendszergazdának illetve az IVO-nak.

9. Szoftver tulajdonjog

a) A Társaság által beszerzett szoftvereket és a hozzá-juk tartozó dokumentációt nem szabad másolni, kivéve biztonsági másolat készítése céljából vagy a szoftver-ter-jesztő / fejlesztő egyértelmű írásos engedélye mellett. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja. Egyetlen termék többszörös használata

esetén a szoftver csak a licensz megállapodásban rögzí-tett darabszámban és módon használható.

b) A felhasználók:– nem installálhatnak, nem karbantarthatnak, vagy

nem tölthetnek le szoftvert (beleértve az ún. szabad-fel-használású, freeware, shareware stb. programokat is) a Társaság munkaállomásaira,

– a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történő használat céljából,

– ha kétségeik merülnek fel a szoftver szerzői jogai fe-lől, akkor lépjenek kapcsolatba az IT terület szoftver li-cenc-nyilvántartásáért, installációjáért és karbantartásá-ért felelős munkatársával,

– a szerzői jogok megsértése törvénybe ütköző cselek-mény, ezért felelősségre vonáshoz vezethet és a felhasz-náló elleni büntetőeljárás megindítását eredményezheti.

10. Berendezésvédelem

a) A felhasználóknak szállítás közben a lehetőségei ha-tárain belül személyesen kell vigyázniuk személyi számí-tógépükre, hordozható infokommunikációs eszközeikre (pl.: notebook, okostelefon, kéziszámítógép). Meg kell óvniuk a kivehető adattároló eszközök (CD/DVD-k, sza-lagok, kazetták, HDD-k stb.) fi zikai állapotát, gondos-kodniuk kell az eltulajdonítás megakadályozásáról (pl.: használaton kívül, illetve irodán kívül zárható íróasztal-ban vagy szekrényben kell tartani).

b) A munkaállomás átadásakor a felhasználó köteles gondoskodni a felelősségi körébe tartozó adatoknak a PC-ről való ún. biztonságos törléséről, vagy az új gép-használónak dokumentált módon való átadásáról.

c) Selejtezésre leadott PC-ről minden adatot – beleért-ve az operációs rendszert is – visszaállíthatatlan módon el kell távolítani.

d) A berendezéseket védeni kell a fi zikai és környezeti hatásokkal szemben. (magas vagy alacsony hőmérséklet, folyadék stb.)

11. Területvédelem

A felhasználók kötelesek távol tartani a berendezése-iktől és adataiktól az oda hozzáférési jogosultsággal nem rendelkező személyeket, és közvetlen munkakörnyeze-tükben kötelesek kérdőre vonni az idegeneket.

12. Infokommunikációs eszközön végzett munka-végzés távolról

Ebben az esetben a felhasználó (jellemzően VPN-en keresztül) úgy éri el a megszokott munkakörnyezetét va-lamely külső helyről (pl. otthonról), mint ha ezt az irodá-jából tenné. Emiatt további biztonsági intézkedések szükségesek:

a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelősségre, fel-tételekre, követelményekre és a munkavégzés engedélye-


zési időszakára. A távoli munkavégzéshez a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának az írá-sos megbízása szükséges.

b) Ha a Társaság távoli hozzáférés létesítésére enge-délyt ad, fenntartja magának a jogot, hogy rendszeresen megvizsgálja a kapcsolattal összefüggésben keletkezett napló állományokat, a hívások adatait, és szúrópróba sze-rinti ellenőrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó előírások-nak.

c) A távoli munkavégzés esetén az üzleti titoknak mi-nősülő adatokat illetéktelen hozzáférés ellen kódolással kell védeni a továbbítás során, és – a biztonságos jelszó mellett – további hitelesítő eszközt (pl. token) kell alkal-mazni.

Az elektronikus levelezés (e-mail) távoli elérése során be kell tartani az Outlook Web Access (OWA) Felhaszná-lói kézikönyvében leírt biztonsági szabályokat.

13. Internet-használat

a) Az internetre csatlakozás a Társaság belső hálózatá-ra csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett.

b) A Társaság hozzáférési pontjairól a felhasználó ré-szére az internetre kapcsolódás lehetőségének kialakítá-sát és az internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetőnek kell jóváhagynia.

c) Az internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek.

d) A Társaság fenntartja magának a jogot a nem kívá-natos, és a kártékony weboldalak látogatásának megaka-dályozására (tartalomszűrés).

e) A Társaság fenntartja magának a jogot az internetes tevékenység kontrolljára, szükség esetén korlátozások bevezetésére.

f) A fórumok, chat-oldalak, az egyéb fi le- és videó-megosztó valamint az úgynevezett kapcsolatépítő portá-lok (pl. iWiW, MySpace, Facebook, MyVip) használata nem engedélyezett. Kizárólag a munkával összefüggés-ben és azt elősegítő, a közvetlen vezető kezdeményezésé-re az IVO vezetőjétől kapott engedély birtokában azon-ban használható. Az engedély megléte sem jogosít fel arra, hogy az ilyen típusú oldalakon a Titokvédelmi Sza-bályzatban meghatározott üzleti titkokat és a Társaságra vonatkozó bizalmas adatokat nyilvánosságra hozzuk. A bizalmas adatok kiszivárgása esetén, a vizsgálat során az IVO kezdeményezheti a felhasználók internethasználatá-nak felülvizsgálását.

14. Elektronikus levelezés

Az elektronikus üzenetváltás (e-mail) a Társaság hiva-talos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a mun-ka hatékonyságának növekedését szolgálja.

A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleért-ve, de nem kizárólag, az alábbiakat:

a) Üzleti titoknak minősülő adatokat kizárólag a külön szabályzatban engedélyezett módon szabad tárolni, illet-ve továbbítani.

b) Elektronikus levél jogi következményekkel járó kö-telezettség vállalására csak akkor használható, ha a fel-adó elektronikus aláírással hitelesíti magát.

c) Az elektronikus üzenet üzleti kommunikációra szol-gál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezőrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság fenntartja ma-gának a jogot azok tartalmának vizsgálatára.

d) Tilos a Társaság levelezőrendszeréből a bejövő üze-netek automatikus továbbítása bármilyen külső e-mail cím(ek)re. A szabadság, hosszabb távollét stb. esetére be-állítható automatikus válaszban (ha szükséges) helyettest kell megjelölni. A válasz alapján a küldő felelőssége el-dönteni, hogy a helyettesnek megküldi-e a kérdéses üze-netet. A Társaság levelezőrendszere – az arra feljogosított felhasználók számára – az interneten keresztül bárhon-nan elérhető (OWA).

e) Az elektronikus levél általában rövid üzenetek to-vábbítására szolgál. A túlzott szerverterhelés és vonalfor-galom elkerülése érdekében egy levél maximális mérete nem haladhatja meg a 10 Mbyte-os méretet, és egy levél egyidejűleg maximálisan csak 50 címzett részére küldhe-tő, illetve továbbítható. Ettől a főtevékenységi kör vezető-jének kérésére, az IVO engedélyével lehet csak eltérni.

f) Tilos lánc- vagy kéretlen elektronikus leveleket má-soknak továbbítani, azokra válaszolni, mivel a csatolt anyagokban könnyen terjedhetnek számítógépes vírusok és rosszindulatú kódok. Aki ilyet kap, az köteles az üze-netet – lehetőleg elolvasás, és továbbküldés nélkül – tö-rölni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására, ezért az üzenet első két címzettje köteles az IVO-t értesíteni.

g) A felhasználó elektronikus postaládájának karban-tartása (az időszerűtlen és szükségtelen üzenetek meg-semmisítése) a levelesláda tulajdonosának feladata és fe-lelőssége.

h) A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezőrendszerbeli azonosítóját és jelszavát. In-dokolt esetben ideiglenes olvasási jogot adhat másoknak a saját email fi ókjához a megfelelő eljárás szerint, de ezt az indok megszűnésekor azonnal vissza kell vonnia.

i) A Társaságtól való távozás vagy áthelyezés esetén – a munkakör átadási folyamat részeként – indokolt esetben rendelkezni kell automatikus e-mail üzenet kiküldéséről, amely azt tartalmazza, hogy a postaláda tulajdonosa már nem tölti be a beosztást, valamint a munkafeladatotokkal összefüggő levelek mely e-mail címre legyenek elküldve.

j) A küldőnek ellenőriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illető személy jogosult az in-formáció kézhez vételére.


k) A közvetlen vezetőnek – és közvetlenül az IVO ré-szére is – jelenteni kell minden gyalázkodó, rasszista vagy kéretlen elektronikus levél érkezését.

l) A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne le-gyen túl formális vagy feleslegesen közlékeny. Kerülen-dő olyan üzenet küldése, amely zavarba ejtő lenne, ha valaki körbeküldené az egész szervezetnek. Ha egy sze-mélyt név szerint megemlít az üzenet, az illetőnek máso-latot kell küldeni.

m) A levélre adott válaszban kerülni kell az összes előzmény visszaküldését, lehetőség szerint csak az a sze-mély kapjon választ, akinek konkrétan szól az elektroni-kus üzenet. Ha az üzenethez tartozó korábbi levélváltá-sok is részei a levélnek, akkor valamennyi korábbi cím-zettnek is továbbítani kell a válaszlevelet.

n) A felhasználók – a munkavégzéssel való összefüg-gés esetét kivéve – nem adhatják ki munkatársaik e-mail címét, különösen nem a teljes címlistát.

o) Ismeretlen helyről vagy személytől származó leve-lek érkezése estén, fokozott elővigyázatosságot kell tanú-sítani. Amennyiben feltételezhető, hogy kéretlen levélről van szó, abban az esetben tilos azt megnyitni. Ha a levél megnyitását követően észlelhető a levél kéretlen jellege, tilos a hivatkozásokat, illetve a hozzá csatolt mellékleteit megnyitni vagy elmenteni. Ezeket a leveleket a felhasz-náló köteles olvasatlanul, azonnal törölni.

p) Magáncélú elektronikus üzenetek továbbítása a Tár-saság hálózatába kapcsolt munkaállomásról tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Freemail, Citromail, Vipmail, Gmail, Hotmail).

15. Az információbiztonsági események és gyenge pontok jelentése

a) A felhasználók kötelesek közvetlen vezetőiknek – és közvetlenül az IVO vezetőjének is – haladéktalanul jelen-teni a biztonsági előírások megsértését, a biztonsággal kapcsolatban felismert gyengeségeket, adataik gyanított jogosulatlan megváltozását.

b) Sürgős vagy indokolt esetben (pl. több gép egyidejű kiesése, infokommunikációs eszközök nyilvánvaló fi zi-kai sérülése, rendszergazda szokatlan tevékenysége) köz-vetlenül a biztonsági igazgatóhoz és az IVO vezetőjéhez is lehet fordulni.

16. Elérhetőségek

A tájékoztatóban felsorolt biztonsági szabályokra vo-natkozó kérdésekben az Információvédelmi osztály szak-értői állnak rendelkezésre.

Információvédelmi osztály:Titkárság: tel.: 14-51, fax: 22-46Vezető: tel.: 32-66, e-mail: [email protected]


2. sz. melléklet

Informatikai biztonsági nyilatkozat 1. Alulírott ………………………………………....……. kijelentem, hogy a MÁV Zrt.

informatikai eszközeinek és számítógépes programjainak használatára vonatkozó

informatikai biztonsági szabályokat a Felhasználók biztonsági kötelezettségei c.

segédlet alapján megismertem.

2. Tudomásul veszem, hogy a munkaköröm ellátásához kapott, a MÁV Zrt. tulajdonát

képez informatikai eszközöket (PC, laptop, nyomtató, mobiltelefon stb.) kizárólag a

munkámmal összefügg feladatok ellátására használhatom, a magáncélú felhasználás –

az arra vonatkozó külön engedély nélkül – nem megengedett. E tevékenység során

keletkezett adatokat a munkáltatói jogkör gyakorló a munkafeladataim ellátásával

összefüggésben, illetve biztonsági szempontból az adatok mellett, a létrejött

naplóállomány bejegyzéseket is a Társaság információvédelmi szakemberei

ellen rizhetik.

3. Tudomásul veszem, hogy az általam az informatikai rendszerek és adatok nem

el írásszer használatával és a rendszerek védelmét biztosító technikai intézkedések

kijátszásával elkövetett cselekményekért munkajogi, a törvénybe ütköz súlyosságú

esetekben pedig büntet jogi felel sséggel tartozom.

Budapest, 201… …………………………

……………………………….. aláírás


3. sz. melléklet

Informatikai beszállító biztonsági minősítési rendszere

A vizsgálandó területek és az adható pontok táblázata:

Vizsgálandó területek:Adható

maximális pontszám.

1. ISO minőségbiztosítás megléte 102. biztonsági referenciák 103. belső biztonsági szervezet megléte létszámának megoszlása a teljes lét-

számhoz képest10

4. Informatikai Biztonsági Irányelvekkel rendelkezik-e 105. Informatikai Biztonsági Szabályzattal rendelkezik-e 106. alkalmaz-e RIBSZ-ekben testre szabott eljárásokat 107. milyen szabványt / szabványokat alkalmaz 108. belső biztonsága milyen osztályba sorolt 109. informatikai kiadásainak hány %-át fordítja biztonságra 1010. fi zikai biztonsági jellemzők 1011. logikai biztonsági jellemzők 1012. egyéb, a biztonságot befolyásoló tényezők (pl. bizalmasság (sértetlen-

ség) rendelkezésre állás garanciái)10

összesen: 120

Pontozás:1. 10=van, 0= nincs, 2-6=folyamatban2. mennyiségtől függően 1-103. nincs=0, létszám 2%-áig 5, 2% felett 104. 10=van, 0= nincs, 2-6=folyamatban5. 10=van, 0= nincs, 2-6=folyamatban6. 10=igen, 0=nem, 2=csak igény szerint7. MSZ ISO/IEC 27001:2006 vagy MSZ ISO/IEC 27002:2007=10,8. MSZ ISO/IEC 15408=5, Cobit=3, nincs=09. alap=2, fokozott=5, kiemelt=1010. 0-2%=2, 2-5%=5, 5% felett=1011. nincs=0MABISZ „minimális”=6MABISZ „részleges” és „teljes”=1012. 0=nem alkalmaznak,13. 2=csak azonosítókat alkalmaznak,14. 4=azonosító és jelszó alkalmazása,15. 10=egyedi védelmeket is használnak (külön alkalmazás-védelmek)16. az előzőeket kiegészítő információk pontozhatóak 1 és 10 között

Értékelés:A pontrendszer alapján a következő csoportosítási lehetőségek szerint ajánlatos a szerződés elbírálása:– 50 pont alatt nem ajánlott a szerződés megkötése,– 51 – 80 pont esetén a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai biztonsági szabály-

zata szerint dolgozik ÉS beleegyezik ennek folyamatos és mindenre kiterjedő ellenőrzésébe,– 81 pont felett a szerződés megköthető, de vállalnia kell, hogy a MÁV Zrt. Informatikai Biztonsági Szabályzata

szerint dolgozik


4. sz. melléklet

Informatikai fejlesztés biztonsági feladatai és dokumentumai

a) projektindítás

projektlépés biztonsági tervezés termék, dokumentum1. projekt alapító okirat ha-

tályba lépéseProjekt alapító okirat vagy Rendszerkoncepció alapvető in-formatikai biztonsági követelmé-nyekkel

2. projekt- (fejlesztésért fele-lős) szervezet felállítása

Informatikai biztonsági al-team / alprojekt létrehozása az IVO munkatársaiból

3. projekt tervezés informatikai biztonsági feladatok nagybani tervezése, megvalósítási ütemezéssel

Projektterv, benne a projekt in-formatikai biztonsági megfelelő-ségi rendszerének nagybani meg-határozása

4. üzleti tulajdonos kijelölése5. az informatikai biztonság

kialakítása ütemének tervezése

projektlépések és felelősök meg-nevezése, határidők hozzárende-lése

informatikai biztonsági alprojekt terve

b) kockázatelemzés, biztonsági osztály meghatározása

projektlépés biztonsági tervezés termék, dokumentum1. biztonsági funkciók terve-

zése, elfogadtatásaa szállítandó szoftver és a bizton-sági termékek biztonsági funkci-óinak felmérése, összefoglalása

- biztonsági funkciók ellenjegyez-tetése a beszállítóval,– Forrásgazda vagy üzleti tulaj-donos nyilatkozata, hogy mi az igénye rendelkezésre állás szem-pontjából.

2. kockázatfelmérés és koc-kázatkezelés

– védendő rendszerelemek azono-sítása– fenyegető tényezők azonosítása– fenyegetettség-elemzés– kockázatkezelés

Kockázatelemzés c. dokumen-tum. Tartalma: a rendszer, vala-mint a fi zikai és személyi környe-zet elemeinek felmérése, a rele-váns fenyegetések, gyenge pontok feltárása, a nem elviselhető és az elviselhető, maradó kockázatok meghatározása, védelmi javasla-tok felsorolása, végkövetkeztetés-ként a rendszer biztonsági osztá-lya.Üzleti tulajdonos nyilatkozata a rendszer biztonsági osztályba so-rolásáról és a maradó kockázat el-fogadásáról.

3. biztonsági osztály megha-tározása

– a rendszerben kezelendő adatok érzékenységének elemzése,– titokvédelmi besorolása,– a Társaság üzletvitele szem-pontjából meghatározó szempon-tok alapjánbiztonsági osztályba sorolása (alap, fokozott, vagy kiemelt)


c) a rendszer biztonságának tervezése

projektlépés biztonsági tervezés termék, dokumentum1. feladat részleteinek behatá-

rolásaA fi zikai, logikai és adminisz-tratív védelmi rendszer és funk-cióinak behatárolása a projekt-do-kumentumok felülvizsgálata ala-pján

Felülvizsgálati jelentés

2. megvalósítási követel-ményrendszer kidolgozása

informatikai biztonsági követelmények meghatározása az osztályba sorolás alapján

Rendszerterv informatikai biz-tonsági fejezete

3. biztonsági tesztelés terve-zése

a szállítandó szoftver és biztonsá-gi termékek biztonsági funkciói tesztelésének összefoglalása

Biztonsági tesztelési terv

4. változáskezelés tervezése A szoftver (modulok) módosítása és verzióváltása szabályainak ki-alakítása

a rendszer változáskezelési utasí-tása

5. részletes biztonsági szabá-lyok kialakítása

a központi informatikai biztonsá-gi szabályozás alapján a rendszer-specifi kus szabályok dokumen-tumba foglalása

Rendszerszintű informatikai biz-tonsági szabályzat (RIBSZ)

6. működés-folytonosság ter-vezése

a rendszer lehető legkevesebb üzemkieséssel járó működésének, folyamatainak megtervezése, fe-lelőseinek megnevezése

a rendszer Működés-folytonossá-gi terve

d) a rendszer használatba vétele

projektlépés biztonsági tervezés termék, dokumentum1. tesztelés végrehajtása a megvalósított informatikai

rendszer biztonságának felméré-se, minősítése, az informatikai rendszerhez kapcsolódó fi zikai logikai és adminisztratív védelmi rendszer értékelése

biztonsági tesztelési jegyzőköny-vek

2. biztonsági audit Ahol a követelmények előírják a használatba vétel előtt (akár külső céggel) biztonsági auditot kell vé-gezni.

Biztonsági audit jegyzőkönyve

3. oktatás Oktatások szervezése a használat gördülékeny elsajátítása érdeké-ben, minden felhasználói szinten.

Oktatási napló.

4. fejlesztés lezárása, a rend-szer indítása

a Biztonsági rendszertervben elő-írt felhasználói- és üzemeltetői dokumentumok terítése

üzleti tulajdonos nyilatkozata a biztonsági megfelelőségről, a rendszer használatba vételéről és az elkészült informatikai bizton-sági dokumentumok elfogadásá-ról.


5/A. sz. melléklet

Nyilatkozat az informatikai rendszer rendelkezésre állási igényéről Alulírott …………………………………………………………………………….. mint a(z)

……………………………………………………………………………...……………………

rendszer (alkalmazás) üzleti tulajdonosa / projektvezet je kijelentem, hogy a rendszerrel

szemben az alábbi követelményeket támasztom:

Üzemid : …….. nap x …….. óra

Rendelkezésre állási tényez : ……………....%/év.

Legnagyobb kiesési id : ………………perc/óra/nap (a nem kívánt id egység törlend )

Ezeket a követelményeket a rendszer (alkalmazás) kialakítása, fejlesztése valamint biztonsági

osztályának meghatározása során is figyelembe kell venni.

……………………………., 201….…………………………

……………………………….. üzleti tulajdonos / projektvezet

A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).


5/B. sz. melléklet

Megbízhatósági követelmény jellemzők (kitöltési útmutató az 5/A. sz. melléklethez)

A rendszerek rendelkezésre állásával kapcsolatos követelmények az üzemidő, a rendelkezésre állási tényező és a legnagyobb kiesési idő segítségével határozhatók meg. Az egyes követelményi szintek biztosításához különböző módszerek léteznek. Ezen a területen a komolyabb követelményeket kielégítő architektúrák nagyságrendileg na-gyobb költséget jelenthetnek, így a legjobb megoldás kiválasztásához feltétlenül szükséges az elvárásoknak megfe-lelő megoldást nyújtó alapmódszerek ismerete.

A rendelkezésre állás paraméterei objektíven mérhető, számítható, illetve modellezhető értékek. A rendszer rendel-

kezésre állásával kapcsolatos követelményeket a következő értékekkel lehet megadni:

Üzemidő: Megadja, hogy a rendszernek egy héten hány napot, egy nap hány órát kell működnie. Szokásosan <nap> x <óra> alakban adják meg. (pl. 5x8, 7x24 stb.)

Rendelkezésre állásitényező:

A helyes működés valószínűségét határozza meg, nagy átlagban az üzemidőn belül. Szokásosan százalékosan (99,9…% alakban) adják meg.

Legnagyobb kiesési idő: Azt a legnagyobb kiesési időt adja meg, amely alatt még nem keletkez-nek helyrehozhatatlan, elviselhetetlen károk az informatikai rendszer leállásából. Legfeljebb ennyi idő alatt újra kell tudni indítani a rendszert és a ráépülő folyamatokat.

Nagy megbízhatóságú rendszereknél a rendelkezésre állási tényező 99% felett van. Ezeket a rendszereket szokás a rendelkezésre állási tényezőben szereplő 9-esek száma alapján kategóriákba sorolni (pl. „négy 9-es rendelkezésre ál-lású rendszer”). Az egyes kategóriáknál kiszámítható, hogy egy év alatt maximálisan mennyi időkiesés engedhető meg.

A rendelkezésre állási tényező Maximális kiesési idő 1 év alatt2 db 9-es (99%) 3,5 nap

3 db 9-es (99,9%) 9 óra4 db 9-es (99,99%) 1 óra

5 db 9-es (99,999%) 5 perc6 db 9-es (99,9999%) 32 másodperc

7 db 9-es (99,99999%) 3 másodperc

Rendelkezésre állási tényező jelentése


6. sz. melléklet

Kockázatelemzés lépései

I. szakasz: A védelmi igény feltárása

1. lépés: A feldolgozandó adatok feltérképezése1. feladat: Az informatika-alkalmazás output igényé-

nek feltérképezése.2. feladat: Esetleges különleges szolgáltatások feltér-

képezése.3. feladat: Az informatikai rendszerben feldolgozásra

kerülő valamennyi adat feltérképezése.

2. lépés: Az informatika-alkalmazás és a feldolgozan-dó adatok értékének meghatározása

1. feladat: Védelmi igény megfogalmazása.2. feladat: Értékskála rögzítése.3. feladat: Az értékek hozzárendelése az informatika-

alkalmazáshoz és az adatokhoz.

II. szakasz: Fenyegetettség-elemzés

3. lépés: A fenyegetett rendszerelemek feltérképezése1. feladat: A rendszerelemek feltérképezése.2. feladat: A rendszerelemek kölcsönös függőségeinek

leírása.

4. lépés: Az alapfenyegetettség meghatározása1. feladat: A fenyegető tényezők és a rendszerelemek

összerendelése.2. feladat: Az összerendelések dokumentálása.

5. lépés: A fenyegető tényezők meghatározása1. feladat: Az informatikai rendszer gyenge pontjainak

feltérképezése.2. feladat: A fenyegető tényezők meghatározása.

III. szakasz: Kockázatelemzés

6. lépés: A potenciális károk értékének meghatározása1. feladat: Az értékek átvitele a rendszerelemekre.2. feladat: A károk áttekintő ábrázolása.

7. lépés: Az alapfenyegetettségek okozta károk gyako-riságának meghatározása

1. feladat: A gyakorisági skála rögzítése.2. feladat: A gyakorisági értékek hozzárendelése a fe-

nyegető tényezőkhöz.

8. lépés: A fennálló kockázatok meghatározása és le-írása mátrixban

1. feladat: Valamennyi kárérték összeállítása egy átte-kintésben.

2. feladat: Az elviselhető és az elviselhetetlen kockáza-tok rögzítése.

3. feladat: Az elviselhető és az elviselhetetlen kockáza-tok megjelölése az áttekintésben.

IV. szakasz: Kockázat-menedzselés

9. lépés: Az intézkedések kiválasztása1. feladat: Az elviselhetetlen kockázatok azonosítása.2. feladat: Az intézkedések kiválasztása.

10. lépés: Az intézkedések értékelése1. feladat: Az intézkedésekkel leküzdött valamennyi

fenyegető tényező feltérképezése.2. feladat: Az intézkedések kölcsönhatásának leírása.3. feladat: Az üzemmenetre való kihatások vizsgálata.4. feladat: Vizsgálat az előírásokkal való egyezésre vo-

natkozóan.5. feladat: Az intézkedések hatékonyságának értékelé-

se.

11. lépés: A költség/haszon arány elemzése1. feladat: Az intézkedések költségeinek megállapítása.2. feladat: Szükség esetén visszalépés a 9.2 pontba.

12. lépés: A maradványkockázat elemzése1. feladat: A hatékonysági értékek bedolgozása a koc-

kázat áttekintésbe2. feladat: A maradványkockázat elemzése.

A kárértékek meghatározásánál az alábbi szemponto-kat kell fi gyelembe venni:

– Dologi károk amelyeknek közvetlen vagy közvetett költségvonzatuk van. Ilyenek lehetnek az infrastruktúra károk, informatikai rendszer elemeinek sérülése, helyre-állítási költség.

– Károk a politika és társadalom területén. Ilyenek le-hetnek: titoksértés, személyhez fűződő jogok, személyek, csoportok hírnevének károsodása, bizalmas adatok nyil-vánosságra kerülése, hamis adatok nyilvánosságra kerü-lése, közérdekű adatok titokban tartása, bizalomvesztés.

– Gazdasági károk. Ilyenek lehetnek a pénzügyi károk, lopáskárok, Társaság arculatának romlása, rossz üzleti döntés.

– Személyi biztonság sérülése a felhasználói és üze-meltetői személyzetben.

– Jogszabályok, utasítások megsértése.– Károk a tudomány területén. Ilyenek lehetnek a ku-

tatások elhalasztódása, eredmények idő előtti nyilvános-ságra kerülése, eredmények meghamisítása.


7. sz. melléklet

Kárértékek besorolási táblázata

A kárértékek besorolásához nyújt segítséget az alábbi osztályozás:

0 szint: jelentéktelen kár– közvetlen anyagi kár: 0 – 100.000 Ft– közvetett anyagi kár 1 embernappal állítható helyre– nincs bizalomvesztés, a probléma a szervezeti egysé-

gen belül marad– nem sérül titokvédelmi vagy adatvédelmi előírás– testi épség jelentéktelen sérülése egy-két személynél

1 szint: csekély kár– közvetlen anyagi kár: 100.001 – 1.000.000 Ft-ig– közvetett anyagi kár 1 emberhónappal helyre állítha-

tó– társadalmi-politikai hatás: kínos helyzet a MÁV

Zrt-n belül– belső (intézményi) szabályozóval védett adat sérül– könnyű személyi sérülés egy-két személynél

2 szint: közepes kár– közvetlen anyagi kár: 1.000.001 – 10.000.000 Ft-ig– közvetett anyagi kár 1 emberévvel helyre állítható– társadalmi-politikai hatás: bizalomvesztés a MÁV

Zrt. középvezetésében, bocsánatkérést az ügyfél felé és/vagy fegyelmi intézkedést igényel

– személyes adat, üzleti titok sérül súlyos következmé-nyek nélkül

– több könnyű vagy egy-két súlyos személyi sérülés

3 szint: nagy kár– közvetlen anyagi kár: 10.000.001 – 100.000.000 Ft-ig– közvetett anyagi kár 1-10 emberévvel helyre állítható– társadalmi-politikai hatás: bizalomvesztés a MÁV

Zrt. felső vezetésében, a vezetésben személyi konzekven-ciák

– üzleti titok, személyes adat sérül jogi következmé-nyekkel

– több súlyos személyi sérülés vagy tömeges könnyű sérülés

4 szint: kiemelkedően nagy kár– közvetlen anyagi kár: 100.000.001 – 1.000.000.000

Ft-ig– közvetett anyagi kár 10-100 emberévvel helyre állít-

ható– társadalmi-politikai hatás: súlyos bizalomvesztés a

MÁV Zrt. felső vezetésén belül személyi konzekvenciá-val

– „Bizalmas!” vagy annál alacsonyabb minősítési szintű adat sérül

– különleges személyes adatok súlyosan sérülnek– egy-két személy halála vagy tömeges sérülések

5 szint : katasztrofális kár– közvetlen anyagi kár: 1.000.000.001 Ft felett– közvetett anyagi kár több mint 100 emberévvel hely-

re állítható– társadalmi-politikai hatás: súlyos bizalomvesztés a

MÁV Zrt. felső vezetésén belül több személyre kiterjedő személyi konzekvenciákkal

– nagy jelentőségű, „Titkos” vagy annál magasabb mi-nősítési szintű adat sérül

A kárgyakoriságot a következők szerint kell osztályoz-ni:

– 0- : esetleges: 100 évente legfeljebb egy.– 0 : nagyon ritka: 50 évente egy,– 1 : ritka: 10 évente egy,– 2 : közepes: évi egy,– 3 : gyakori: havi egy,– 4 : nagyon gyakori: heti egy;


8. sz. melléklet

Védelmi profi lok azonosítási rendszere

információvédelem szempontjábólalap fokozott kiemelt

rend

elke

zésr

e ál

lás

szem

pont

jábó

l

alap A/1 A/2 A/3

fokozott F/1 F/2 F/3

kiemelt K/1 K/2 K/3

9. sz. melléklet

Fizikai biztonsági védősávok

védősáv típusa alap fokozott kiemeltMinimális fi zikai-mechanikai védelem * K - -Részleges fi zikai-mechanikai védelem * - K -Teljeskörű fi zikai-mechanikai védelem * - - KMinimális elektronikai jelzőrendszer * - K -Részleges elektronikai jelzőrendszer * - - KElektronikus beléptetőrendszer - K KVideokamerás megfi gyelőrendszer - A KFolyamatos portaszolgálat - A KFegyveres biztonsági őrség - - ATúlfeszültség, villámcsapás eredetű károk elleni védelem A K KVezetett elektromágneses zavarok szűrése - K KElektromágneses sugárzás elleni árnyékolás - A KTűzgátló falak, nyílászárók - A K

* konkrét tartalom a MABISZ ajánlások szerint

A: ajánlottK: kötelező


. sz.

mel

lékl

et

A

biz

tons

ági o

sztá

lyok

köv

etel

mén

yei

A

biz

tons

ági o

sztá

lyok

köv

etel

mén

yei

jelle

mz

k al

ap

foko

zott

ki

emel

t

Min

imál

is

köve

telm

é-ny

ek

egye

di a

zono

sító

, jel

szó

az a

zono

sító

és j

elsz

ó ne

m ju

that

ille

tékt

elen

tu

dom

ásár

a, n

e le

gyen

kön

nyen

meg

fejth

et, n

em

kerü

lhet

pos

tai k

ülde

mén

ybe,

vag

y el

ektro

niku

s le

vélb

e, n

em le

het o

lvas

ható

felh

aszn

álói

felü

lete

n bi

ztos

ítani

kel

l a fe

lhas

znál

ói a

zono

sító

k id

szak

os, v

agy

végl

eges

tiltá

sát,

ami e

gybe

n ho

zzáf

érés

i jog

osul

tság

meg

hatá

rozá

sára

is sz

olgá

lki

kel

l dol

gozn

i az

elle

nrz

ött j

ogos

ults

ág k

ezel

és

rend

szer

ét o

lvas

ási,

írási

(lét

reho

zás,

mód

osítá

s),

törlé

si jo

gokr

a, e

gyed

ileg

és c

sopo

rtos

meg

külö

nböz

teté

sre

a re

ndsz

er o

bjek

tum

aiho

z eg

yedi

, ill.

cso

port-

tula

jdon

osok

at k

ell r

ende

lni

bizt

osíta

ni k

ell a

jogo

sults

ágok

mód

osíth

atós

ágát

, tö

rlésé

t, fe

lfügg

eszt

ését

, új f

elvé

telé

t, am

it a

rend

szer

gazd

a m

egfe

lel

szig

orú

szab

ályo

záss

al

vége

z m

inde

n jo

gosu

latla

n ho

zzáf

érés

t nap

lózn

i kel

l, m

elye

t ren

dsze

rese

n ér

téke

lni k

ell

on-li

ne a

datm

ozgá

s ese

tébe

n a

jogo

sults

ágot

m

inde

n es

etbe

n el

len

rizni

kel

l az

egy

es a

dattí

puso

kat o

lyan

mér

tékb

en k

ell

elkü

löní

tette

n ke

zeln

i, ho

gy m

egál

lapí

that

ó le

gyen

a

hozz

áfér

és jo

gosu

ltság

a bi

zton

sági

nap

lózá

st k

ell v

égez

ni a

regi

sztrá

lás,

elsz

ámol

ás é

s aud

itálh

atós

ág é

rdek

ében

, am

i ta

rtalm

azza

a sz

elek

tív fe

lhas

znál

ói m

vele

teke

t, re

ndsz

erin

dítá

soka

t, le

állá

soka

t, le

állít

ások

at,

Min

t az

alap

biz

tons

ági o

sztá

ly k

iegé

szítv

e az

al

ábbi

akka

l: in

tera

ktív

kom

mun

ikác

ió e

seté

n, e

gyed

i szi

nten

ke

ll az

onos

ítani

és h

itele

síte

ni a

szem

élye

ket

gond

osko

dni k

ell a

z az

onos

ítási

esz

közö

k jo

gosu

latla

n to

vább

adás

ának

, has

znál

atán

ak

meg

elzé

sér

l ol

vasá

si jo

gosu

ltság

ese

tébe

n a

szem

ély

azon

osító

ja a

meg

hatá

rozó

az

erfo

rrás

hoz

képe

st

írási

jogo

sults

ág e

seté

ben

az e

rfo

rrás

azo

nosí

tója

a

meg

hatá

rozó

a sz

emél

yhez

kép

est

új o

bjek

tum

felv

étel

ekor

a b

izto

nság

i cím

ke

auto

mat

ikus

an re

ndel

dik

az o

bjek

tum

hoz

hozz

áfér

ési j

ogok

a k

övet

kez

k: o

lvas

ási j

og

(bet

ekin

tés)

, lét

reho

zási

jog,

mód

osítá

si jo

g,

törlé

si se

lejte

zési

jog,

más

olás

i jog

az

ada

toka

t – a

nyí

lt ad

atok

kiv

étel

ével

– a

vé

delm

i szi

ntre

uta

ló je

lzkk

el k

ell e

llátn

i, úg

ymin

t bel

s h

aszn

álat

ú do

kum

entu

m v

agy

üzle

ti tit

ok

Az

üzle

ti tit

ok fe

ltünt

etés

ére

feljo

gosí

tott

veze

tk

a Tá

rsas

ág ü

zlet

i tito

k és

bel

s h

aszn

álat

ra k

észü

lt do

kum

entu

mai

nak

véde

lmi s

zabá

lyza

tána

k 4.

4.1

pont

jába

n ki

jelö

lt ve

zet

k eg

y re

ndsz

eren

bel

ül a

kül

önbö

z v

édel

met

ig

ényl

ada

toka

t csa

k ak

kor l

ehet

egy

ütt k

ezel

ni,

ha m

egak

adál

yozh

atók

az

enge

délly

el n

em

rend

elke

z h

ozzá

féré

sek.

Ez

oszt

ott r

ends

zere

kre

külö

nöse

n ér

vény

es. E

gyér

telm

en

Min

t a fo

kozo

tt bi

zton

sági

osz

tály

kie

gész

ítve

az

aláb

biak

kal:

azon

osítá

s és h

itele

síté

st a

felh

aszn

áló

és

rend

szer

köz

ött e

gy a

felh

aszn

áló

álta

l kez

elt

véde

tt cs

ator

nán

kell

bizt

osíta

ni

az in

form

atik

ai re

ndsz

er m

inde

n el

emér

e és

ré

sztv

evjé

re a

szer

veze

t inf

orm

atik

ai

bizt

onsá

gi p

oliti

kájá

nak

meg

fele

len

ki k

ell

terje

szte

ni a

hoz

záfé

rési

jogo

sults

ág-

vezé

rlést

. Hoz

záfé

rése

k le

hetn

ek o

lvas

ás,

létre

hozá

s, m

ódos

ítás,

sele

jtezé

s, tö

rlés,

más

olás

. Sze

mél

yekh

ez re

ndel

t jog

ok a

kö

vetk

ezk:

eng

edél

yezé

s, vi

ssza

voná

s, ol

vasá

s, lé

treho

zás,

mód

osítá

s, se

lejte

zés,

törlé

s, m

ásol

ás.

A h

ozzá

féré

s véd

elm

et m

ezsz

inte

n ke

ll m

egva

lósí

tani

A

hoz

záfé

rést

szig

orúa

n a

jogo

sults

ágke

zelé

sben

szab

ályo

zotta

k sz

erin

t ke

ll el

len

rizni

. Meg

kel

l kül

önbö

ztet

ni

csop

orto

s és e

gyed

i hoz

záfé

rést

, am

it el

kel

l ha

táro

lni a

rend

szer

gazd

ai, b

izto

nság

i fe

lügy

eli j

ogos

ults

ágok

tól

Az

adat

ok m

insí

tésé

t és a

feljo

gosí

tás

mve

leté

t a h

atál

yos s

zabá

lyok

szer

int k

ell

vége

zni

Biz

tosí

tani

kel

l a m

onito

ring

rend

szer

ben

bekö

vetk

ezet

t inf

orm

atik

ai b

izto

nság

ot é

rint

kr

itiku

s ese

mén

yek

álla

ndó

figye

lésé

t, és

egy


rend

szer

óra

állít

ások

at, b

e/ki

jele

ntke

zése

ket,

prog

ram

leál

láso

kat

a bi

zton

sági

nap

lóna

k a

felh

aszn

áló

azon

osítá

sa é

s hi

tele

síté

se é

rdek

ében

az

aláb

bi a

dato

kat k

ell

tarta

lmaz

nia:

dát

um, i

dpo

nt, k

ezde

mén

yez

az

onos

ítója

, esz

köz

azon

osító

ja, m

vele

t er

edm

énye

sség

e va

gy e

redm

ényt

elen

sége

a

bizt

onsá

gi n

apló

nak

az e

rfo

rrás

on

kezd

emén

yeze

tt ho

zzáf

érés

i mve

let e

seté

n az

onos

ítása

és h

itele

síté

se é

rdek

ében

az

aláb

bi

adat

okat

kel

l tar

talm

azni

a: d

átum

, id

pont

, er

forr

ás a

zono

sító

, mve

let e

redm

énye

sség

e va

gy e

redm

ényt

elen

sége

a

bizt

onsá

gi n

apló

nak

az e

rfo

rrás

létre

hozá

sa

vagy

törlé

se e

seté

n az

onos

ítása

és h

itele

síté

se

érde

kébe

n az

alá

bbi a

dato

kat k

ell t

arta

lmaz

nia:

dá

tum

, id

pont

, a k

ezde

mén

yez

azo

nosí

tója

, er

forr

ás a

zono

sító

, kez

dem

énye

zés t

ípus

a a

bizt

onsá

gi n

apló

nak

felh

atal

maz

ott f

elha

szná

ló

(ren

dsze

rgaz

da) e

seté

ben

azon

osítá

s és h

itele

síté

s ér

deké

ben

az a

lább

i ada

toka

t kel

l tar

talm

azni

a:

dátu

m, i

dpo

nt, a

mve

lete

t vég

z a

zono

sító

ja,

erfo

rrás

azo

nosí

tó, a

min

a m

vele

tet v

égez

ték

a bi

zton

sági

nap

ló a

data

it ha

vont

a eg

ysze

r el

len

rizni

és a

rchi

váln

i kel

l meg

hatá

rozo

tt id

eig

inté

zked

ési t

erv

kere

tébe

n m

eg k

ell h

atár

ozni

, ho

gy il

leté

ktel

en h

ozzá

féré

s ese

tén

mily

en

szan

kció

k kö

vetk

ezze

nek,

ill.

azok

at h

ogya

n le

het

meg

elzn

i a

bizt

onsá

gi n

apló

ada

tait

illet

ékte

lene

ktl m

eg

kell

véde

ni

a bi

zton

sági

nap

ló v

izsg

álat

ához

, ka

rban

tartá

sáho

z, m

egfe

lel

szin

t

doku

men

táci

óra

van

szük

ség

lehe

tvé

kel

l ten

ni sz

elek

tív v

izsg

álat

ot a

m

agas

abb

szin

t a

uditá

lhat

óság

érd

ekéb

en

üzem

elte

tési

nap

lót k

ell v

ezet

ni, m

elye

t az

üzle

ti tu

lajd

onos

nak,

az

info

rmat

ikai

biz

tons

ágér

t fel

els

elle

nriz

het

nek

kell

lenn

ie a

hoz

záfé

rési

jo

gosu

ltság

okna

k, é

s ha

ez n

em b

izto

síth

ató

a kü

lönf

éle

véde

lmet

igén

yl a

dato

kat k

ülön

re

ndsz

erbe

kel

l ten

ni

Biz

tons

ági n

apló

meg

való

sítá

sa é

s par

amét

erei

az

onos

ak a

z al

ap b

izto

nság

i osz

tálly

al, k

iegé

szítv

e az

al

ábbi

tarta

lmak

kal:

a fe

lhas

znál

ói a

zono

sító

par

amét

erei

t er

forr

ás lé

treho

zása

, tör

lése

ese

tén

a bi

zton

sági

cí

mke

felír

ása

felh

atal

maz

ott f

elha

szná

ló (r

ends

zerg

azda

) m

vele

tei e

seté

n az

er

forr

ás a

zono

sító

ját,

bizt

onsá

gi c

ímké

jét,

amel

yre

a m

vele

t vo

natk

ozik

, vag

y a

bizt

onsá

gi c

ímke

vál

tozá

sait

az

átvi

teli

csat

orna

biz

tons

ági j

elöl

ésév

el, v

agy

oszt

ályb

a so

rolá

sáva

l a

napl

ót a

z üz

emel

tet

szer

veze

ttl (

fizik

aila

g,

logi

kaila

g) fü

gget

len

hely

en k

ell t

árol

ni

log

elem

z sz

oftv

ert k

ell a

lkal

maz

ni

Ren

delk

ezés

re á

llás s

zem

pont

jábó

l föl

draj

zila

g el

külö

níte

tten

hide

g ta

rtalé

kot k

ell k

iépí

teni

vag

y bi

ztos

ítani

. A ta

rtalé

k lé

tesí

tmén

yeke

t és a

ha

szná

latb

a vé

tel k

övet

elm

énye

it az

üze

mel

tet

sz

emél

yzet

nek

ism

erni

e ke

ll. A

tarta

lék

léte

sítm

énye

k üz

emké

szsé

gét r

ends

zere

sen

elle

nriz

ni k

ell.

A m

enté

sek

álla

potá

t vis

szat

ölté

ssel

kel

l el

len

rizni

esem

ény

bekö

vetk

ezés

e es

etén

az

érte

síté

si

rend

ben

szab

ályo

zott

mód

on k

ell e

ljárn

i A

biz

tons

ági n

apló

t het

ente

két

szer

kel

l el

len

rizni

és m

ente

ni.

Ren

delk

ezés

re á

llás s

zem

pont

jábó

l mel

eg

tarta

léko

t, ill

etve

a re

dund

áns a

lrend

szer

t fö

ldra

jzila

g el

külö

níte

tten

kell

kiép

íteni

. Az

üzem

képe

sség

et fo

lyam

atos

an fi

gyel

emm

el

kell

kísé

rni,

a sz

üksé

ges b

eava

tkoz

ások

at

azon

nal e

l kel

l vég

ezni

. K

iem

elt b

izto

nság

i osz

tály

ba ta

rtozó

re

ndsz

erek

üze

mel

teté

se c

sak

külö

nleg

es

körü

lteki

ntés

sel m

egha

táro

zott

gara

nciá

lis

elem

ek b

izto

sítá

sa e

seté

n, a

z üz

leti

tula

jdon

os, a

z IV

O é

s az

IKI e

gyüt

tes

elte

rjesz

tése

ala

pján

, a T

ársa

ság

elnö

k-ve

zérig

azga

tója

err

e vo

natk

ozó

eset

i dön

tése

es

etén

adh

ató

válla

lkoz

ásba

.


szer

veze

tnek

rend

szer

esen

elle

nriz

ni k

ell

az in

form

atik

ai b

izto

nság

ot e

llen

rz sz

erve

zetn

ek

ki k

ell a

lakí

tani

a re

ndsz

erre

l kap

csol

atba

n eg

y el

len

rzés

i ter

vet,

meg

elzé

si e

ljárá

si re

ndet

. R

ende

lkez

ésre

állá

s sze

mpo

ntjá

ból t

erve

t kel

l ké

szíte

ni a

rend

szer

tartó

s kie

sésé

nek

eset

ére.

En

nek

inté

zked

ési t

erve

legy

en a

rány

ban

a ki

eset

t re

ndsz

erne

k a

Társ

aság

üzl

etm

enet

ére

gyak

orol

t ne

gatív

hat

ásáv

al.

Infr

astru

ktúr

a

(fiz

ikai

véd

elem

) a

véde

nd h

elyi

ség

fala

i le

galá

bb 6

cm

vas

tag

tégl

a, v

agy

azza

l egy

enér

ték

szer

keze

t aj

tósz

erke

zete

k re

tesz

húzá

s el

len

véde

ttek

legy

enek

, az

ajtó

k, i

ll. a

blak

ok ö

ssze

sség

ében

6

mm

üve

gezé

sek

legy

enek

A

z ol

yan

hiva

tali

hely

iség

eket

, aho

l in

form

atik

ai

eszk

özök

kel

törté

nik

a m

unka

végz

és,

bizt

onsá

gi

zárr

al k

ell

ellá

tni,

és a

hel

yisé

get

távo

llét

eset

én

zárv

a ke

ll ta

rtani

. sz

emél

yi

felü

gyel

etet

cs

ak

mun

kaid

ben

kell

alka

lmaz

ni, e

nnek

hiá

nyáb

an, i

ll. m

unka

idn

kívü

l a

hely

iség

ek a

blak

ait,

ajtó

it zá

rni k

ell

az

info

rmat

ikai

es

zköz

ök

nem

ke

rülh

etne

k kö

zvet

lenü

l fö

ldre

, fa

lban

, va

gy

falo

n fu

tó

vízv

ezet

ék

köze

lébe

, kö

zvet

lenü

l h

forr

ás

köze

lébe

B

izto

síta

ni

kell

az

adat

hord

ozók

és

do

kum

entá

ciók

tz-

és v

agyo

nvéd

ett t

árol

ását

. A

tz

elle

ni v

édel

met

els

dleg

esen

a s

zem

élyi

fe

lügy

elet

, va

lam

int

a je

lenl

év

szem

élyz

et

bizt

osítj

a a

hely

iség

en b

elül

kés

zenl

étbe

n ta

rtott

– a

tzv

édel

mi

elírá

sokn

ak

meg

fele

l

– ké

zi

tzo

ltó-k

észü

léke

kkel

. A

ké

szen

léti

hely

eken

el

sdl

eges

en

gáz

halm

azál

lapo

tú

oltó

anya

ggal

fe

ltöltö

tt t

zoltó

-kés

zülé

kek

legy

enek

. A

ké

szül

ékek

típ

usát

és

da

rabs

zám

át,

illet

ve

elhe

lyez

ését

a

tzv

édel

mi

utas

ításn

ak

kell

tarta

lmaz

nia.

A k

észü

léke

ket a

hel

yisé

geke

n be

lül

a be

jára

t m

elle

tt,

vala

min

t a

hely

iség

er

re

Min

t az

alap

biz

tons

ági o

sztá

ly k

iegé

szítv

e, a

z al

ábbi

akka

l a

véde

nd h

elyi

ség

fala

i leg

aláb

b 15

cm

vas

tag

tégl

a, v

agy

azza

l egy

enér

ték

szer

keze

t a

nyílá

szár

okra

az

aláb

bi sz

abvá

nyok

von

atko

znak

M

SZ 9

387,

939

7, 9

386,

MSZ

EN

85,

162

, 107

, D

IN18

103,

522

90

elek

troni

kai j

elz

rend

szer

t min

den

meg

köze

lítés

i út

vona

lra k

i kel

l épí

teni

, és a

biz

tons

ági

szol

gála

tnál

a ri

aszt

ó je

lekn

ek m

eg k

ell j

elen

niük

. O

pció

ként

vis

szam

enle

gese

n 72

órá

s fel

ülírá

s m

ente

s vid

eofe

lvét

el is

lehe

tség

es. A

re

ndel

kezé

sre

állá

snak

job

bnak

kel

l len

nie,

min

t 95

%/h

ó ill

. 97,

5%/é

v ki

sugá

rzás

elle

ni v

édel

met

a k

ocká

zat

arán

yoss

ágáv

al k

ell m

egva

lósí

tani

A

terü

lete

n 12

órá

s áth

idal

ást b

izto

sító

sz

ünet

men

tess

égge

l ellá

tott

olya

n el

ektro

nika

i je

lzre

ndsz

ert k

ell k

iépí

teni

, am

elly

el b

izto

síth

ató

a te

ljes f

elül

et- é

s a ré

szle

ges t

érvé

dele

m.

A sz

emél

yzet

és a

kül

s sz

emél

yek

belé

pési

és

azon

osítá

si re

ndjé

t sza

bály

ozot

t for

máb

an k

ell

meg

való

síta

ni.

Az

r- é

s a b

izto

nság

i sze

mél

yzet

léts

zám

át ú

gy

kell

meg

álla

píta

ni, é

s oly

an e

szkö

zökk

el k

ell

ellá

tni,

hogy

ese

mén

y es

etén

az

érin

tett

szem

ély

jele

zni t

udjo

n.

A h

elyi

sége

t úgy

kel

l elh

elye

zni,

hogy

fele

tte é

s a

hatá

roló

falfe

lüle

teke

n vi

zes b

lokk

ot ta

rtalm

azó

Min

t a fo

kozo

tt bi

zton

sági

osz

tály

kie

gész

ítve,

az

aláb

biak

kal:

az é

püle

tsze

rkez

etek

nek

ki k

ell

elég

íteni

e a

MA

BIS

Z el

írása

it.

Min

den

hely

iség

et

elek

troni

kus

jelz

rend

szer

rel k

ell e

llátn

i, am

i a

beha

tolá

s és t

zvéd

elm

et e

llátja

a

nyílá

szár

okra

az

al

ábbi

sz

abvá

nyok

vo

natk

ozna

k M

SZ 9

387,

939

7, 9

386,

MSZ

EN

85,

162

, 10

7, D

IN18

103,

522

90 é

s az

M

SZ E

N 1

0 A

mec

hani

kai v

édel

em v

édje

n a

közf

orga

lmú

terü

letr

l tör

tén

bet

ekin

tés e

llen

is.

Az

elek

troni

kai

véde

lem

te

rjedj

en

ki

a in

form

atik

ai

eszk

özök

re,

vala

min

t a

felü

gyel

et n

élkü

li he

lyis

égek

re is

. A

sze

mél

yzet

és

a kü

ls s

zem

élye

k be

lépé

si

és a

zono

sítá

si r

endj

ét s

zabá

lyoz

ott f

orm

ában

, in

telli

gens

be

lépt

et-r

ends

zerr

el

kell

meg

való

síta

ni,

amel

y a

min

dkét

irá

nyú

átha

ladá

soka

t na

plóz

za

és

bizt

osítj

a az

az

onos

ító

eszk

öz

azon

os

irány

ban

törté

n

több

ször

i fel

hasz

nálá

sána

k til

alm

át.

A

hely

iség

be

(épü

letb

e)

belé

pni

szán

déko

zóka

t az

onos

ítani

ke

ll,

és

a be

lép

krl n

yilv

ánta

rtást

kel

l vez

etni

. A

ter

ület

re t

örté

n b

elép

ést

azon

osítá

sra

és

hite

lesí

tésr

e al

kalm

as

rend

szer

rel

kell

elle

nriz

ni.

A f

tést

a k

límar

ends

zere

n ke

resz

tül

mel

eg


alka

lmas

, jó

l m

egkö

zelít

het

po

ntja

in

kell

elhe

lyez

ni.

A

hely

iség

ben

a vo

natk

ozó

szab

vány

ok

elírá

sain

ak

meg

fele

l

tzj

elz

re

ndsz

ert k

ell k

iépí

teni

és ü

zem

elte

tni.

Az

elek

trom

os h

álóz

at e

légí

tse

ki a

z M

SZ 2

364

és

MSZ

16

00

soro

zatú

sz

abvá

nyok

el

írása

it,

az

érin

tésv

édel

em fe

lelje

n m

eg a

z M

SZ 1

72 s

oroz

atú

szab

vány

ok e

lírá

sain

ak.

elek

troni

kai

jelz

rend

szer

es

etéb

en

a re

ndel

kezé

sre

állá

s 90

%/h

ó, il

l. 97

,5%

/év-

nek

kell

lenn

ie

Az

elek

trom

os h

álóz

atot

a s

züne

tmen

etes

ségr

e, a

z át

hida

lási

és

új

ratö

ltési

id

re

vona

tkoz

ó kö

vete

lmén

yekn

ek m

egfe

lel

en k

ell k

iala

kíta

ni é

s kü

lön

leág

azás

meg

építé

séve

l ke

ll a

betá

plál

ásró

l go

ndos

kodn

i. A

vill

ámvé

dele

m f

elel

jen

meg

a k

omm

unál

is é

s la

kóép

ület

ekre

von

atko

zó e

lírá

sokn

ak.

Az

átla

gost

ól e

ltér

klim

atik

us v

iszo

nyú

(pél

dául

a

hm

érsé

klet

, ille

tve

a pá

rata

rtalo

m é

rtéke

túllé

pi

a in

form

atik

ai e

szkö

zökr

e vo

natk

ozó

meg

enge

dett

tarto

mán

yt)

hely

iség

ekbe

n lo

kális

klim

atiz

álás

ról

kell

gond

osko

dni.

hely

iség

rész

ne

legy

en, n

yom

ó- é

s ejt

csöv

ek (v

íz,

gáz,

csa

torn

a és

egy

éb k

özm

veze

ték)

ne

hala

djan

ak á

t. A

hel

yisé

gbe

csak

ann

ak

üzem

elte

tésé

hez

elen

gedh

etet

lenü

l szü

kség

es

közm

háló

zat c

satla

kozh

at.

A te

chni

kai v

édel

mi r

ends

zert

a he

lyis

égbe

n ki

ke

ll ép

íteni

. A ri

aszt

ások

nak

az é

püle

t biz

tons

ági

szol

gála

táná

l meg

kel

l jel

enni

ük. A

véd

elem

sz

abot

ázsv

édet

t leg

yen

és a

köv

etke

z

köve

telm

énye

ket e

légí

tse

ki:

- a

nyílá

szár

ók n

yitá

s- é

s zár

tság

elle

nrz

es

zköz

zel l

egye

nek

ellá

tva,

a b

els

tere

k vé

delm

e m

ozgá

sérz

ékel

vel b

izto

síto

tt le

gyen

, a

véde

lem

ki-

és b

ekap

csol

ása

a be

jára

ton

kívü

l el

hely

ezet

t (m

inim

um 6

-8 sz

ámje

gyes

) kód

dal

mkö

dtet

ett t

aszt

atúr

áról

törté

njék

, -

a sz

emél

yzet

a h

elyi

ségb

e be

lépn

i sz

ándé

kozó

kat b

elép

és e

ltt

a bi

zton

ság

vesz

élye

ztet

ése

nélk

ül a

zono

síts

a,

- a

jelz

közp

ont é

s az

álta

la m

ködt

etet

t esz

közö

k 12

órá

s áth

idal

ást b

izto

sító

szün

etm

ente

s tá

pegy

ségg

el re

ndel

kezz

enek

oly

mód

on, h

ogy

a 12

. óra

lete

lte u

tán

még

rend

elke

zzen

ek e

gy

riasz

tási

ese

mén

y je

lzés

ére

és a

hoz

zá

kapc

soló

dó v

ezér

lés v

égre

hajtá

sára

ele

gend

en

ergi

ával

(pél

dául

han

g- v

agy

fény

jelz

esz

köz

3 pe

rces

idta

rtam

ban

való

mkö

dtet

ése)

. A

hel

yisé

g aj

taja

rend

elke

zzen

lega

lább

30

perc

es

(mbi

zony

lato

lt) t

zgát

láss

al, t

ováb

bá a

he

lyis

égen

bel

ül a

utom

atik

us é

s kéz

i jel

zésa

dók

kerü

ljene

k te

lepí

tésr

e. A

jelz

ésad

ók je

lzés

eit m

ind

a he

lyis

égen

bel

ül, m

ind

az é

püle

t biz

tons

ági

szol

gála

táná

l meg

kel

l jel

eníte

ni. A

jelz

ésad

ó es

zköz

ök, v

alam

int a

jele

ket f

eldo

lgoz

ó kö

zpon

t fe

lelje

n m

eg a

z M

SZ 9

785,

val

amin

t az

EN 5

4 sz

abvá

nyso

roza

tok

elírá

sain

ak, r

ende

lkez

zene

k a

haza

i min

sít

inté

zete

k fo

rgal

omba

hoz

atal

i en

gedé

lyév

el. A

z au

tom

atik

us t

zoltó

rend

szer

ek

terv

ezés

e és

szab

ályo

zása

a B

izto

nság

i Iga

zgat

ó

leve

g

befú

váss

al

kell

meg

olda

ni,

a he

lyis

égbe

n vi

zes

fté

s ne

m l

étes

íthet

. A

kl

ímar

ends

zer

külté

ri és

be

ltéri

egys

égb

l ép

üljö

n fe

l, ví

zhté

ses

klím

a ne

m te

lepí

thet

. K

özpo

nti k

límag

ép te

lepí

tése

ese

tén

a be

fúvó

és

az

elsz

ívó

légc

sato

rnáb

a lé

gmen

tese

n zá

ró,

tzg

átló

tzc

sapp

anty

úkat

kel

l tel

epíte

ni.

A

szer

vers

zobá

ba

csak

az

an

nak

üzem

elte

tésé

hez

elen

gedh

etet

lenü

l sz

üksé

ges

közm

háló

zat c

satla

kozh

at.

A t

echn

ikai

véd

elem

be l

egye

nek

bekö

tve

a ha

rdve

r-vé

dele

mm

el e

lláto

tt gé

pek

burk

olat

ai

az i

lleté

ktel

en k

inyi

tás

jelz

ésér

e, a

har

dver

-vé

dele

m e

ltávo

lítás

ának

meg

akad

ályo

zásá

ra.

A s

zám

ítókö

zpon

tok,

a s

zerv

ersz

obák

, és

az

egyé

b „k

özpo

nti”

je

lleg

in

form

atik

ai

hely

iség

ek

véde

lmét

in

telli

gens

be

lépt

etre

ndsz

erre

l ke

ll ki

egés

zíte

ni,

amel

y a

moz

gáso

kat

min

dkét

irá

nyba

n re

gisz

trálja

, le

galá

bb a

z ut

olsó

4.0

00 e

sem

ényt

nap

lózz

a és

az

utol

só s

zem

ély

távo

zása

kor

a vé

delm

i re

ndsz

ert

auto

mat

ikus

an é

lesí

tse.

A h

ardv

er-

véde

lem

mel

el

láto

tt m

unka

állo

más

ok

elhe

lyez

ésér

e sz

olgá

ló

hely

iség

eket

m

unka

idn

kívü

l el

ektro

niku

s vé

dele

mm

el

kell

ellá

tni.

A

hely

iség

au

tom

atik

us

mkö

dtet

és

oltó

rend

szer

rel

egés

zíte

nd

ki,

az

oltó

rend

szer

mkö

désé

t te

kint

ve h

elyi

vag

y te

ljes

elár

aszt

ásos

le

gyen

, m

ködé

se

eltt

bizt

osíts

on

eleg

end

id

t a

szem

élyz

et

evak

uálá

sára

, ve

zérl

kim

enet

eine

k eg

yiké

n ad

jon

jelz

ést

a sz

erve

rnek

az

auto

mat

ikus

m

enté

sre,

maj

d az

t köv

eten

a le

kapc

solá

sra.

A

z en

ergi

aellá

tás

bizt

onsá

ga

érde

kébe

n a

szün

etm

ente

s tá

pegy

ség

mel

lett

olya

n sz

üksé

g-ár

amel

látó

di

esel

-ele

ktro

mos

gé

pcso

porto

t is

ke

ll te

lepí

teni

, am

ely

auto

mat

ikus

indí

tású

és

szab

ályo

zású

, akk

ora


álta

l meg

hatá

rozo

ttak

szer

int t

örté

nik.

A

z el

ektro

mos

hál

ózat

lega

lább

a sz

erve

r és a

sz

üksé

gvilá

gítá

s von

atko

zásá

ban

30 p

erce

s át

hida

lási

idej

meg

szak

ításm

ente

s átk

apcs

olás

sal

rend

elke

z sz

ünet

men

tes t

ápeg

ység

gel l

egye

n el

látv

a. A

tápe

gysé

g ak

kum

ulát

orai

a m

axim

ális

ig

ényb

evét

elt k

övet

tölté

s hat

ásár

a te

ljes

kapa

citá

suka

t 24

órán

bel

ül n

yerjé

k vi

ssza

. A

pad

lóbu

rkol

atok

, ber

ende

zési

tárg

yak

antis

ztat

ikus

kiv

itel

ek le

gyen

ek.

A v

illám

véde

lem

elé

gíts

e ki

a k

omm

unál

is é

s la

kóép

ület

ekre

von

atko

zó e

lírá

soka

t és a

z M

SZ

EN 6

2305

:200

6 sz

abvá

ny sz

erin

t az

LPZ

0B -

LPZ

1 zó

naha

táro

n tú

lfesz

ülts

ég e

lleni

véd

elem

be

kell

bevo

nni a

z ár

nyék

olás

t meg

test

esít

, az

épül

etbe

bel

ép m

inde

n fé

msz

erke

zete

t (az

el

ektro

mos

hál

ózat

ot, v

íz, g

áz, t

ávf

tés,

csat

orna

háló

zato

kat,

ante

nna

beve

zeté

seke

t, ad

atát

vite

li és

távb

eszé

l h

álóz

atok

at st

b.).

A tú

lmel

eged

és e

lleni

véd

elm

et a

hel

yisé

g kl

imat

izál

ásáv

al k

ell b

izto

síta

ni. A

lége

llátá

s le

gfel

jebb

a k

limat

izál

ó be

rend

ezés

ek á

ltal á

tlago

s sz

inte

n bi

ztos

ított

pork

once

ntrá

ciót

érh

eti e

l.

telje

sítm

ény

, hog

y ké

pes

legy

en k

iszo

lgál

ni

a in

form

atik

ai

eszk

özök

ön

túl

az

azok

m

ködé

séhe

z sz

üksé

ges

segé

düze

mi (

péld

ául

klím

a) b

eren

dezé

seke

t is.

Har

dver

– sz

oftv

er

a va

gyon

véde

lem

vo

natk

ozás

ában

a

MA

BIS

Z aj

ánlá

sit k

ell f

igye

lem

be v

enni

a

mun

kaál

lom

ások

at ú

gy k

ell k

onfig

urál

ni, h

ogy

a fe

lhas

znál

óhoz

köt

ött

jels

zóha

szná

lat

bizt

osíto

tt le

gyen

m

unka

állo

más

i ren

dsze

rt ho

rdoz

ható

ada

ttáro

lóró

l (f

lopp

y,

CD

/DV

D,

pend

rive

stb.

) ne

m

lehe

t in

díta

ni

gond

osko

dni

kell

a ho

rdoz

ható

ad

atho

rdoz

ók

csat

lako

ztat

ásán

ak

szab

ályo

zásá

ról

és

enne

k el

len

rizhe

tsé

gér

l m

inde

n bi

zton

sági

be

állít

ást

az

oper

áció

s re

ndsz

erbe

n ke

ll el

vége

zni.

Más

meg

oldá

st c

sak

akko

r le

het

alka

lmaz

ni,

ha

azt

az

oper

áció

s re

ndsz

er n

em ta

rtalm

azza

Min

t ala

p bi

zton

sági

osz

tály

ese

tébe

n, k

iegé

szítv

e az

al

ábbi

akka

l: a

beép

ített

adat

hord

ozók

on ta

lálh

ató

adat

okat

azo

nos

szin

ten

kell

véde

ni

a vé

delm

et ig

ényl

ada

toka

t el

állít

ó, fe

ldol

gozó

, tá

roló

, lek

érde

z p

rogr

amok

val

amin

t eze

k do

kum

entá

ciói

véd

elm

i bes

orol

ásár

ól a

jo

gosu

ltnak

kel

l gon

dosk

odni

a

Min

t a fo

kozo

tt bi

zton

sági

osz

tály

kie

gész

ítve

az

aláb

biak

kal:

min

den

eszk

özt a

zono

s szi

nten

kel

l véd

eni

az in

form

atik

ai b

izto

nság

ot k

ülön

mod

ulár

is

felé

píté

s fe

lügy

elet

i ren

dsze

r biz

tosí

tja, a

mi

önm

agát

is v

édi a

z es

etle

ges t

ámad

ások

elle

n.

A re

ndsz

erne

k sé

rthet

etle

nnek

kel

l len

nie,

m

éret

ét te

kint

ve c

élsz

er k

is m

éret

m

egha

táro

zása

, hog

y az

elle

nrz

és, e

lem

zés

egys

zer

legy

en, v

alam

int b

izto

síts

a te

ljess

éget

, és s

érth

etet

lens

éget

a

rend

szer

ele

min

ek sz

egm

entá

lhat

ónak

, és

bizt

onsá

gi m

vele

teke

t tám

ogat

ó di

alóg

usok

at ta

rtalm

azón

ak k

ell l

enni

e.

Ezek

et a

funk

ciók

at a

z X

-Ope

n bi

zton

sági


a fe

lhas

znál

ó cs

ak

azok

hoz

az

erfo

rrás

okho

z fé

rhet

hoz

zá, a

mih

ez jo

gosu

ltság

a va

n go

ndos

kodn

i kel

l meg

fele

l s

zint

és

gyak

oris

ágú

víru

svéd

elem

rl

amen

nyib

en b

árm

ely

okbó

l hor

dozh

ató

adat

táro

ló

hasz

nála

ta i

ndok

olt

min

d az

esz

köz

behe

lyez

ése

után

, min

d a

kivé

tele

el

tt ví

rusv

édel

mi e

ljárá

s al

á ke

ll vo

nni

az o

perá

ciós

ren

dsze

rben

meg

való

síto

tt vé

delm

et

és

a fe

lhas

znál

ói

szof

tver

ben

meg

való

síto

tt vé

delm

et

egym

ás

gyen

gíté

se

nélk

ül

kell

alka

lmaz

ni.

Köv

etel

mén

y, h

ogy

az a

lkal

maz

ások

az

op

erác

iós

rend

szer

vé

delm

i es

zköz

eire

ép

ülje

nek

doku

men

táln

i ke

ll az

in

form

atik

ai

eszk

özök

et

hasz

náló

k né

vsor

át é

s fel

adat

ait

min

d a

felh

aszn

álói

m

ind

az

oper

áció

s re

ndsz

erek

re v

onat

kozó

lic

ence

k ny

ilván

tartá

sát

meg

kel

l ol

dani

. O

perá

ciós

ren

dsze

r be

szer

ezés

e es

etén

sz

igor

úan

figye

lem

be

kell

venn

i a

társ

aság

nak

a fo

rgal

maz

óval

kö

tött

un.

’ope

n lic

ence

’ sze

rzdé

st

bárm

ilyen

ill

egál

is

szof

tver

te

lepí

tése

az

in

form

atik

ai

eszk

özre

sz

igor

úan

tilos

. A

z el

köve

tk

elle

n m

egfe

lel

sz

ankc

ióka

t ke

ll al

kalm

azni

az

al

kalm

azás

ok

és

eszk

özök

fe

jlesz

tése

, te

szte

lése

üz

emel

teté

se

sorá

n a

bizt

onsá

gi

funk

ciók

at k

iem

elte

n ke

ll ke

zeln

i

oszt

álya

i köz

ül a

priv

ilegi

zált

jogo

kat

bizt

osító

(X-P

RIV

) köv

etel

mén

yein

ek

meg

fele

len

kel

l kia

lakí

tani

. A

mon

itorr

ends

zerb

en a

biz

tons

ágot

érin

t

bárm

ilyen

ese

mén

y be

köve

tkez

ése

eset

én a

re

ndsz

erga

zdát

azo

nnal

érte

síte

ni k

ell,

aki a

z ér

tesí

tési

rend

ben

szab

ályo

zotta

k sz

erin

t to

vább

i érte

síté

seke

t ellá

t.

Ada

thor

dozó

k ad

atho

rdoz

ónak

érte

lmez

zük

a sz

oftv

er, a

dat v

agy

doku

men

táci

ó és

azo

k bi

zton

sági

más

olat

aina

k bá

rmily

en fo

rmáj

át

az a

dath

ordo

zók

táro

lásá

ra s

zolg

áló

hely

iség

eket

, úg

y ke

ll ki

alak

ítani

, ho

gy m

egfe

lel

biz

tons

ágot

ad

jana

k be

hato

lás,

tz,

víz

vag

y te

rmés

zeti

csap

ás

elle

n ad

atát

vite

lre v

alam

int

adat

men

tésr

e, a

rchi

válá

sra

hasz

nált

adat

okat

cs

ak

meg

bízh

atóa

n zá

rthat

ó

Min

t ala

p bi

zton

sági

osz

tály

ese

tébe

n ki

egés

zítv

e a

köve

tkez

kkel

: ad

atho

rdoz

ók tá

rolá

sa c

sak

lega

lább

30

perc

es

tzá

llóág

ú tá

roló

szek

rény

ben

vagy

ezz

el

egye

nérté

k v

édel

mi s

zint

et b

izto

sító

táro

ló

hely

en le

het

az a

dath

ordo

zók

keze

lésé

t az

2009

. évi

CLV

. tö

rvén

y sz

abál

yozz

a az

ada

ttípu

s jól

felis

mer

het

jelé

t az

adat

táro

ló é

s

Min

t a fo

kozo

tt bi

zton

sági

osz

tály

ban.


hely

en

lehe

t tá

roln

i. Ez

en

adat

kört

kett

pé

ldán

yban

kel

l el

állít

ani,

a pé

ldán

yoka

t kü

lön

hely

en k

ell t

árol

ni

az

adat

hord

ozók

be

szer

zésé

t, fe

lhas

znál

ását

, ho

zzáf

érés

ét, s

elej

tezé

sét r

ends

zere

n el

len

rizni

és

doku

men

táln

i kel

l. kü

ls f

él f

elé

törté

n a

dats

zolg

álta

tás/

adat

foga

dás

eset

én a

z ad

atho

rdoz

ók k

ezel

ése

csak

dok

umen

tált

form

ában

tör

ténh

et.

Kül

dés

és f

ogad

ás e

seté

ben

min

dig

víru

svéd

elm

et k

ell a

lkal

maz

ni

egy

adat

hord

ozót

újra

alka

lmaz

ás e

seté

n m

egfe

lel

el

járá

ssal

törö

lni k

ell.

ha

ol

yan

adat

állo

mán

yt

kívá

nunk

vé

gleg

esen

tö

röln

i, am

i üz

leti

titok

nak

min

sül

ad

atot

ta

rtalm

az

akko

r az

ad

atho

rdoz

ót

viss

za

nem

ál

lítha

tó m

ódon

kel

l fe

lülír

ni. K

üls

ada

thor

dozó

es

etéb

en a

z ad

atho

rdoz

ót m

eg k

ell s

emm

isíte

ni

bels

ada

thor

dozó

vég

lege

s m

eghi

báso

dása

ese

tén

az e

szkö

zt a

kör

nyez

etéb

l el

kel

l tá

volít

ani,

és

meg

ke

ll kü

lden

i az

ill

eték

es

info

rmat

ikai

bi

zton

sági

szer

veze

tnek

meg

jele

nít

esz

közö

n bi

ztos

ítani

kel

l fo

lyam

atos

an fe

nn k

ell t

arta

ni a

z ad

atok

sérte

tlen

és h

itele

s álla

potá

t

Dok

umen

tum

ok

a ny

omta

tott

anya

gok

keze

lésé

t az

ira

tkez

elés

i ut

asítá

snak

meg

fele

len

kel

l elv

égez

ni

min

den

doku

men

tum

akt

uális

álla

potá

t m

inde

n ér

inte

ttnek

hal

adék

tala

nul m

eg k

ell k

ülde

ni

min

den

doku

men

tum

ot

az

adot

t bi

zton

sági

os

ztál

ynak

meg

fele

len

kel

l kez

elni

Min

t ala

p bi

zton

sági

osz

tály

ese

tébe

n, k

iegé

szítv

e az

al

ábbi

akka

l: go

ndos

kodn

i kel

l a v

álto

zásk

ezel

és fo

lyam

atáb

an

az in

form

atik

ai b

izto

nság

ot é

rint

vál

tozá

sok

napl

ózás

áról

a

feld

olgo

zásr

a ke

rül

ada

tok

vala

min

t a h

ozzá

juk

kapc

soló

dó jo

gosu

ltság

ok fo

lyam

atos

ny

ilván

tartá

sát s

zabá

lyoz

ni é

s elk

ülön

ített

mód

on

kell

keze

lni

telje

s kör

tesz

telé

si d

okum

entá

cióv

al k

ell

rend

elke

zni

telje

s kör

, szi

gorú

an ö

ssze

függ

, inf

orm

atik

ai

eszk

özön

kez

elt v

álto

zásm

ened

zsel

ést k

ell

meg

való

síta

ni

Min

t fo

kozo

tt bi

zton

sági

os

ztál

y es

etéb

en,

kieg

észí

tve

az a

lább

iakk

al:

a re

fere

ncia

hite

lesí

tési

mec

hani

zmus

mód

ját

doku

men

táln

i kel

l. Eb

ben

szer

epel

nie

kell

az

info

rmat

ikai

biz

tons

ági r

ends

zer é

s az

info

rmat

ikai

rend

szer

köz

ötti

kapc

sola

tok

leírá

sát,

a re

fere

ncia

rend

szer

tula

jdon

sága

it,

és a

zt, h

ogy

a le

hets

éges

tám

adás

ok e

llen

jól

véd-

e.

Ada

tok

az

info

rmác

iós

rend

szer

ho

zzáf

érés

i ad

atai

t, jo

gosu

ltság

okat

, bi

zton

sági

pa

ram

éter

eket

re

jtjel

ezve

kel

l tár

olni

Min

t ala

p bi

zton

sági

osz

tály

ban,

kie

gész

ítve

az

aláb

biak

kal:

min

síte

tt és

nem

min

síte

tt ad

atok

pár

huza

mos

Min

t a fo

kozo

tt bi

zton

sági

osz

tály

ban.


a re

ndsz

er b

izto

nság

át é

rint

ada

tok

(jels

zava

k,

jogo

sults

ágok

, bi

zton

sági

nap

lók)

véd

elm

érl

a ho

zzáf

érés

i jo

gosu

ltság

ki

oszt

ásán

ál

kell

gond

osko

dni

küls

fél

nem

fér

het

hozz

á a

rend

szer

ben

táro

lt ad

atok

hoz

adat

bevi

tel

sorá

n a

hely

essé

get

az

alka

lmaz

ás

köve

telm

ényi

nek

meg

fele

len

elle

nriz

ni k

ell

prog

ram

fejle

szté

s va

gy

prób

a cé

ljára

ad

atok

fe

lhas

znál

ását

– k

ülön

ösen

, ha

azt k

üls

fél v

égzi

, és

an

nak

ered

mén

yeit

meg

ism

erhe

ti –

el

kell

kerü

lni.

Ha

ez n

em b

izto

síth

ató

más

mód

szer

t kel

l al

kalm

azni

a b

izal

mas

ság

meg

rzés

ére

az

adat

állo

mán

yoka

t az

ad

attíp

ust

jelö

l

bizt

onsá

gi c

ímké

vel k

ell e

llátn

i

feld

olgo

zása

csa

k az

200

9. é

vi C

LV. t

örvé

ny

elírá

sain

ak fi

gyel

embe

vét

elév

el v

égez

het

Kom

mun

ikác

ió,

info

kom

mun

ikác

iós

háló

zato

k

az e

lekt

roni

kus ú

ton

tová

bbíto

tt üz

enet

ekné

l az

iratk

ezel

ési s

zabá

lyza

tnak

meg

fele

len

kel

l el

járn

i. az

ala

nyok

ra a

kom

mun

ikác

ió m

egke

zdés

e el

tt hi

tele

síté

si e

ljárá

st k

ell k

ezde

mén

yezn

i az

ado

tt há

lóza

ti al

rend

szer

hite

lesí

tési

m

echa

nizm

usa

nem

érin

thet

más

alre

ndsz

ert

azon

osíta

ni k

ell m

ás h

álóz

atbó

l jöv

ada

tok

fela

dójá

t. H

a ez

nem

lehe

tség

es, a

z ad

atok

at

elkü

löní

tette

n ke

ll tá

roln

i az

er

forr

ások

has

znál

atát

szab

ályo

zni k

ell

a re

ndsz

erel

emek

et re

ndsz

eres

en e

llen

rizni

kel

, an

nak

érde

kébe

n, h

ogy

a há

lóza

tban

a fo

rgal

om

mon

itoro

zása

és r

ögzí

tésr

e al

kalm

as e

rfo

rrás

t ill

eték

tele

nül n

e ha

szná

lják

az a

lhál

ózat

ban

defin

iált

azon

osító

joga

de

legá

lhat

ó m

ásik

alh

álóz

atba

, és e

z al

apjá

n ke

ll ér

vény

esíte

ni a

z er

edet

i azo

nosí

tóho

z re

ndel

t jo

goka

t a

szab

ad b

elát

ás sz

erin

t kia

lakí

tott

hozz

áfér

és-

vezé

rlést

ki k

ell t

erje

szte

ni a

telje

s elo

szto

tt re

ndsz

erre

kö

zpon

ti ho

zzáf

érés

men

edzs

men

t ese

tén

az

Min

t ala

p bi

zton

sági

osz

tály

ban,

kie

gész

ítve

az

aláb

biak

kal:

a ki

sugá

rzás

és z

avar

ás e

lhár

ításá

ra a

z EN

550

22

és E

N 5

5024

szab

vány

el

írása

i a m

érva

dók

min

den

csat

orna

egy

, vag

y tö

bbsz

int

biz

tons

ági

azon

osító

val r

ende

lkez

zen.

Egy

szin

t c

sato

rna

eset

ében

csa

k eg

y cí

mke

léte

zik,

és c

sak

olya

n ad

atál

lom

ány

forg

alm

azha

tó, h

ogy

anna

k bi

zton

sági

azo

nosí

tója

meg

fele

ljen

a cs

ator

na

azon

osító

jána

k. T

öbbs

zint

csa

torn

a es

etéb

en e

gy

prot

okol

l kez

eli a

csa

torn

a és

ada

tok

közö

tti

meg

fele

lteté

st, h

ogy

a fo

gadó

fél h

elyr

eállí

thas

sa,

vala

min

t pár

osíth

assa

a fo

gado

tt ad

atok

at, a

zok

azon

osító

ival

a

véde

lem

szem

pont

jábó

l fon

tos a

zono

sító

kat,

csak

az

arra

feljo

gosí

totta

k vá

ltozt

atha

tják

meg

a

hozz

áfér

és k

ezel

és v

ezér

lésé

t az

egés

z re

ndsz

erre

ki k

ell t

erje

szte

ni

közp

onti

hozz

áfér

és k

ezel

és e

seté

n az

egy

es

alan

yok

info

rmat

ikai

biz

tons

ági p

aram

éter

eit

bizt

onsá

gos ú

ton

kell

az o

szto

tt re

ndsz

er

feld

olgo

zó e

gysé

geih

ez e

ljutta

tni.

a fo

rgal

maz

ásba

n ér

inte

tt va

lam

enny

i esz

közr

e ki

Min

t fok

ozot

t biz

tons

ági o

sztá

lyba

n, k

iegé

szítv

e az

alá

bbia

kkal

: tö

bbsz

int

csa

torn

a es

etén

a v

éden

d a

dato

k cs

ak re

jtjel

ezve

tová

bbíth

atók

ne

m

alka

lmaz

ható

ol

yan

táro

ló

jelle

g

csat

orna

, am

i ho

zzáf

érés

i jo

gok

elle

nrz

ése

nélk

ül ü

zem

el

a bi

zalm

assá

g m

egrz

ése

érde

kébe

n sz

elek

tív

útve

zérlé

st k

ell a

lkal

maz

ni

a ká

bele

zésr

e az

alá

bbi

szab

vány

érv

énye

s:

EIA

/TIA

-568

, kis

ugár

záss

al k

apcs

olat

osan

az

EN55

022

és 5

5024

szab

vány

ok é

rvén

yese

k K

iem

elt

bizt

onsá

gi

oszt

ályú

re

ndsz

erhe

z tá

volró

l csa

tlako

zni t

ilos.


alan

yok

bizt

onsá

gos k

ezel

éséh

ez e

losz

tott

hozz

áfér

és-v

ezér

lési

tábl

akez

elés

szük

sége

s, ho

gy

bizt

onsá

gosa

n le

hess

en a

z os

ztot

t ren

dsze

r el

emei

hez

a ho

zzáf

érés

t biz

tosí

tani

a

bizt

onsá

gos a

datc

sere

köv

etel

mén

yein

ek

telje

síté

séhe

z bi

ztos

ítani

kel

l az

adat

inte

gritá

st

min

d a

prot

okol

lvez

érl

, min

d a

felh

aszn

álói

ad

atok

ra

adat

vesz

tés é

s sér

ülés

elk

erül

ése

céljá

ból

hiba

dete

ktál

ó és

javí

tó e

ljárá

soka

t kel

l alk

alm

azni

os

ztot

t ren

dsze

rekb

en a

jels

zava

k jo

gosu

ltság

ok

csak

titk

osítv

a to

vább

íthat

ók

kell

terje

szte

ni a

biz

tons

ági s

zint

nek

meg

fele

l

véde

lmet

m

eg k

ell v

alós

ítani

a v

égpo

nt-v

égpo

nt jo

gosu

ltság

el

len

rzés

ét, e

lszá

mol

ható

ságo

t, au

ditá

lhat

óság

ot

közp

onti

audi

tálá

s ese

tén

az a

uditá

lási

in

form

áció

kat m

arad

ékta

lanu

l tov

ábbí

tani

kel

l a

több

i alh

álóz

atba

m

eg k

ell a

kadá

lyoz

ni, é

s fol

yam

atos

an e

llen

rizni

ke

ll, h

ogy

a há

lóza

tban

ne

törté

njen

ille

gális

rá

csat

lako

zás,

és le

hallg

atás

Szem

élye

k sz

abál

yozn

i kel

l a b

elép

ések

rend

jét ö

sszh

angb

an

a jo

gosu

ltság

okka

l ke

rüln

i kel

l mag

asab

b jo

gosu

ltság

ú sz

emél

yekn

él

a jo

gok

túlz

ott ö

ssze

voná

sát

min

den

újfe

lvét

eles

mun

katá

rsna

k bi

ztos

ítani

kel

l az

info

rmat

ikai

biz

tons

ág o

ktat

ását

, a re

ndsz

eres

to

vább

képz

ést

meg

hatá

rozo

tt m

unka

körö

kben

ki k

ell d

olgo

zni a

he

lyet

tesí

tési

rend

et

font

osab

b al

kalm

azás

okho

z (0

-24

órás

üz

emel

teté

ssel

) ren

dsze

rgaz

dáka

t kel

l kin

evez

ni,

és fe

lada

taik

at p

onto

san

kell

defin

iáln

i, id

szak

onké

nt e

llen

rizni

el

kel

l kül

öníte

ni a

fejle

szt

i és a

z üz

emel

tet

i kö

rnye

zete

t fig

yele

mbe

vév

e az

adm

inis

ztrá

ciós

ho

zzáf

érés

i jog

körö

ket

küls

par

tner

ek e

seté

ben

a m

egfe

lel

sz

erz

désb

en k

ell a

biz

tons

ági f

elté

tele

ket

dekl

arál

ni, s

zabá

lyoz

ni

Min

t ala

p bi

zton

sági

osz

tály

ban,

kie

gész

ítve

az

aláb

biak

kal:

a fe

lhas

znál

ók te

véke

nysé

géne

k fu

nkci

ó sz

erin

ti sz

étvá

lasz

tásá

t biz

tosí

tani

kel

l a

min

síte

tt ad

atok

at k

ezel

fela

data

it, v

alam

int a

z üz

emel

teté

si fe

lada

toka

t fel

elss

ég sz

erin

t sz

abál

yozn

i kel

l

Min

t fok

ozot

t biz

tons

ági o

sztá

lyba

n, k

iegé

szítv

e az

alá

bbia

kkal

: a

rend

szer

gazd

ákna

k eg

ymás

tól s

zele

ktív

en

kell

keze

lni a

több

szin

t k

iem

elt

szer

epkö

röke

t ki

emel

t mve

lete

k a

köve

tkez

k: fe

lhas

znál

ói

azon

osító

kez

elés

, hoz

záfé

rési

par

amét

erek

id

szak

ra v

onat

kozt

atot

t átír

ása,

rend

szer

in

dítá

sa/le

állít

ása,

feld

olgo

záso

k ha

tára

it,

adat

állo

mán

yok

para

mét

erei

t mód

osíth

atjá

k,

spec

iális

esz

közf

ájlo

kat l

étes

íthet

és

szün

teth

et m

eg, a

datá

llom

ányo

k re

ndsz

erét

vo

nhat

ja m

agáh

oz, f

elha

szná

lóka

t kez

el

eljá

ráso

kat i

ndíth

at, j

oga

van

adat

okat

im

portá

lni/e

xpor

táln

i a

rend

szer

gazd

a ke

zeli

a jo

gosu

ltság

ok

telje

skör

kez

elés

ét, a

hoz

záju

k ta

rtozó

er

forr

ássa

l egy

ütt.

Ezek

et n

yom

tath

atja

is.

Az

info

rmat

ikai

biz

tons

ági s

zint

ben

beál

lt vá

ltozá

soka

t azo

nnal

és m

arad

ékta

lanu

l kö

zöln

ie k

ell a

felh

aszn

álóv

al, é

s val

amen

nyi

alac

sony

abb

szin

t je

llem

zhö

z ho

zzá

kell

férje

n.


Jels

zóha

szná

lat:

Jels

zó:

-le

galá

bb 8

kar

akte

r hos

szús

ágú

jels

zót k

ell

hasz

náln

i -

a je

lszó

– a

z al

ábbi

4 c

sopo

rt kö

zül –

lega

lább

há

rom

cso

port

elem

eib

l, m

inim

um e

gy-e

gy

kara

kter

t tar

talm

azzo

n:

oki

sbet

o

nagy

bet

o

szám

és

okü

lönl

eges

kar

akte

rek

-

a je

lszó

ne

tarta

lmaz

zon

ékez

etes

bet

ket

-a

jels

zót l

egal

ább

180

napo

nkén

t meg

kel

l vá

ltozt

atni

(tilo

s beá

llíta

ni, h

ogy

soha

ne

járjo

n le

a je

lszó

) -

a re

ndsz

er a

z ut

oljá

ra h

aszn

ált 3

jels

zót

meg

jegy

zi, í

gy a

zoka

t nem

lehe

t újra

has

znál

ni

-a

jels

zó is

mét

elte

n le

gkor

ábba

n 5

nap

elte

ltéve

l vá

ltozt

atha

tó m

eg

-5

sike

rtele

n be

jele

ntke

zési

kís

érle

t utá

n a

felh

aszn

álói

fiók

ot 1

0 pe

rcre

zár

olja

a re

ndsz

er

Min

t ala

p bi

zton

sági

osz

tály

ban,

kie

gész

ítve

az

aláb

biak

kal:

-le

galá

bb 1

0 ka

rakt

er h

ossz

úság

ú je

lszó

t kel

l ha

szná

lni

-a

jels

zót l

egal

ább

90 n

apon

ként

meg

kel

l vá

ltozt

atni

-

4 si

kerte

len

beje

lent

kezé

si k

ísér

let u

tán

a fe

lhas

znál

ói fi

ókot

30

perc

re z

árol

ja a

rend

szer

Min

t fok

ozot

t biz

tons

ági o

sztá

lyba

n, k

iegé

szítv

e az

alá

bbia

kkal

: -

lega

lább

12

kara

kter

hos

szús

ágú

jels

zót k

ell

hasz

náln

i -

a je

lszó

t leg

aláb

b 45

nap

onké

nt m

eg k

ell

válto

ztat

ni

-3

sike

rtele

n be

jele

ntke

zési

kís

érle

t utá

n a

rend

szer

zár

olja

a fe

lhas

znál

ói fi

ókot

, am

it cs

ak a

rend

szer

gazd

a tu

d fe

lold

ani

-A

felh

aszn

álói

fiók

ok fe

lold

ásár

ól h

eten

te

jele

ntés

t kel

l kül

deni

az

üzle

ti tu

lajd

onos

ré

szér

e.


11. sz. melléklet

Nyilatkozat a maradó kockázat elfogadásáról és a rendszer biztonsági osztályba sorolásáról Alulírott …………………………………………………………………………….. mint a(z)

………………………………………………………………...…………………………………

rendszer (alkalmazás) üzleti tulajdonosa / projektvezet je kijelentem, hogy az elkészült

kockázatelemzés alapján megismertem a rendszert fenyeget tényez ket és a nem elviselhet

fenyegetettségek kiküszöbölése érdekében hozott intézkedéseket.

Az intézkedések következtében a maradó kockázat okozta fenyegetettségek az elfogadható

szinten belül maradnak. Ezek alapján a rendszert a következ biztonsági osztályokba sorolom:

Informatikai biztonsági szempontból: …………………………………

Rendelkezésre állás szempontjából: …………………………………

A rendszert a MÁV Zrt. Informatikai Biztonsági Szabályzatában foglalt – a fenti besorolásra

vonatkozó – követelmények szerint kell kialakítani.

……………………………., 201….…………………………

……………………………….. üzleti tulajdonos / projektvezet

A nyilatkozatot a rendszerdokumentáció részeként kell kezelni (tárolni).


12. sz. melléklet

Rendszer-szintű Informatikai Biztonsági Szabályzat (RIBSZ) vázlata

1. A RIBSZ

1.1. RIBSZ áttekintés1.1.1. Célja1.1.2. Szükségessége (alapja a Működési Folytonossági

Tervnek)

1.2. A RIBSZ hatálya1.2.1. Alanyi hatálya1.2.2. Tárgyi hatálya

1.3. A RIBSZ és más szabályzatok kapcsolata1.3.1. MÁV Zrt. Szabályzatok1.3.2. Az üzemeltetést végző szervezet szabályzatai

1.4. Kiadás dátuma, érvényessége

1.5. Felülvizsgálat (a következő felülvizsgálatára vo-natkozó előírások)

2. Fogalomtár (csak az IBSZ fogalmain kívüli meg-határozások)

3. Rendszerkörnyezet. Feladat-, felelősség- és hatás-körök

3.1. Szervezeti szintű feladat-, felelősség- és hatás-körök

3.1.1. MÁV Zrt. Infokommunikációs Igazgatóság (IKI)3.1.2. MÁV Zrt. Információvédelmi Osztály (IVO)3.1.3. Üzemeltető szervezet3.1.4. Informatikai szolgáltatók (fejlesztő, üzemeltető,

karbantartó stb. szervezetek)

3.2. Szerepkör szintű feladat-, felelősség- és hatás-körök (beosztás megnevezése, feladatai, jogköre)

3.2.1. Üzleti tulajdonos3.2.2. Vezetők munkakörei3.2.3. Kiemelt felhasználók (pl. üzemeltető, biztonsági

operátor)3.2.4. Felhasználók3.2.5. Üzemeltető szervezet vezetői, munkatársai (pl.

HelpDesk)

4. Informatikai biztonsággal szemben támasztott követelmények

4.1. A rendszert fenyegető tényezők bemutatásaA kockázatelemzés által feltárt, az üzleti tulajdonos

számára nem elviselhető kockázatot rejtő fenyegetettségi tényezők kerülnek felsorolásra a bizalmasság, sértetlen-ség és a rendelkezésre állás szerint csoportosítva.

4.2. Adatok besorolása (adatkörök felsorolása)4.2.1. Bizalmasság (bemutatása input / output elemen-

ként és származtatott adatokra: személyes-, közérdekű-, belső használatú- és üzleti titok vonatkozásban)

4.2.2. Sértetlenség (bemutatása input / output elemen-ként)

4.2.3. Rendelkezésre állás (idő és térbeliség bemutatá-sa)

4.3. Értékelés, biztonsági osztály meghatározása(kockázatelemzés összefoglaló értékelése, és az ebből

meghatározott biztonsági osztály rögzítése)

5. Informatikai biztonsági rendszer kialakítása (minden eleme a 4.3 pontban leírtaktól függ)

5.1. Adminisztratív védelem5.1.1. Szabályzatok, dokumentumok kidolgozása és

nyilvántartása5.1.2. Azonosítások, hitelesítési mechanizmusok (jel-

szó politika)5.1.3. Naplózás (annak tartalma, hozzáférése, elemzé-

se, védelme és mentése stb.).5.1.4. A felhasználókra vonatkozó szabályok (később

átemelhető a Felhasználói Kézikönyvbe)

5.2. Fizikai védelem5.2.1. Helyiségek védelme (belépési rendszer, nedves-

ség (víz), klimatizálás, villám, elektronikai zavarvéde-lem, tűz, fi zikai védelem stb.)

5.2.1.1. Belépés a központ erőforrásainak helyet adó épületbe

5.2.1.2. Belépés a számítóközpontba5.2.2. Hardver nyilvántartás és védelem, megelőző

karbantartások rendje (szerverek, aktív-passzív eszkö-zök, perifériák, munkaállomások, hálózat stb.)

5.2.3. Szoftver nyilvántartás és védelem (tárolás, jog-tisztaság igazolása dokumentumokkal stb.)

5.2.4. Adathordozók (mentések, CD/DVD, Pendrive, külső HDD stb.) kezelésének szabályai az üzemeltetőnél és a felhasználói munkahelyeken (tárolás, hozzáférés, másolatok, szállítás stb.)

5.2.5. Dokumentumok kezelésének szabályai az üze-meltetőnél és a felhasználói munkahelyeken (input/output dokumentumok, biztonsági naplók kezelése, hozzáférés, megismerhetőség stb.)

5.2.6. Mobil informatikai eszközök fi zikai védelme

5.3. Logikai védelem5.3.1. Azonosítás, jogosultságkezelés, (operációs rend-

szer, alkalmazás, hálózati stb. szinten)5.3.2. Operációs rendszer, alkalmazás, adatbázis sajá-

tosságai, védelmi funkciói5.3.3. Kapcsolat más informatikai rendszerekkel (kap-

csolat módja, védelmi intézkedések, adatcsere [interface felület] szabályozása stb.)


5.3.4. Biztonsági mentések, archiválások kezelése (he-lye, nyilvántartása, mentési módszer, ütemezés, tárolás, visszaállítás-ellenőrzés, hozzáférés, megsemmisítés stb.)

5.3.5. Bejelentkezés külső hálózatról, távfelügyelet (VPN, FTP, OWA, VNC stb.)

5.3.6. Mobil informatikai eszközök logikai védelme5.3.7. Hálózat logikai védelme (elérhetőség, tűzfal, pro-

xy, WLAN, VLAN beállítások stb.)5.3.8. Kártékony kódok (vírus, kémprogram stb.) és be-

hatolás elleni védelem5.3.9. Beállítások felülvizsgálata, ellenőrzése, tesztelé-

se, frissítése. Karbantartás, tervezett leállások.

5.4. Személyi feltételek5.4.1. Felhasználói szerepkör (felelősségi kör) megadá-

sa, változása (kiválasztás, regisztrálás, azonosítók- jel-szavak kiadása, visszavonása, áthelyezés Társaságon be-lül, kilépés stb.)

5.4.2. Oktatások (a rendszer átadásakor és később), biztonsági tudat fenntartása (a használat során)

5.4.3. Biztonsági ellenőrzések, szankciók

5.5. Vagyonvédelem (a fi zikai vedelem kiterjesztése, élőerős védelem stb.)

6. Biztonsági tesztelések értékelése, áttekintése (rendszertervhez igazodva)

6.1. Ki, mikor, mit, milyen feltételekkel tesztel

6.2. Sikeresség feltételei

6.3. Rendszer megfelelőségi feltételei

6.4. Biztonsági dokumentumok megfelelősége

7. Változáskezelés megoldása

7.1. Változtatási igények kezelése, nyilvántartása

7.2. Új elemek kidolgozása

7.3. Új elemek rendszerbe illesztése

7.4. Változások átvezetése, dokumentálása

8. Működés-folytonosság tervezésének vázlata (lásd: MÁV Zrt. IBSZ 14. sz. melléklet)

8.1. Célja, lényege

8.2. Helyzetfeltárás, veszélygócok elemzése

8.3. Üzemzavar, működési hiba esetén teendők in-tézkedések, feladatok

8.4. Katasztrófa esetén teendők intézkedések, fel-adatok

Amennyiben egy-egy pont feladatot határoz meg, szükséges a feladat végrehajtásáért felelős szervezetnek (személynek), a végrehajtás mikéntjének és feladat határ-idejének pontos meghatározása (pl. Biztonsági mentések kezelése: ki-, mit-, mikor-, milyen módszerrel és milyen ütemezésben ment, tárolás helye, megőrzési idő stb.).


13. sz. melléklet

Biztonsági tesztelési jegyzőkönyv

1. A teszt célja:

2. A tesztelés helye, id pontja:

3. A tesztelést végezte: A tesztelend programok / modul(ok) azonosítása 4. Rendszer: 4. Teszt jellege: (m ködési, terhelési, integritási

stb.) 5. Alrendszer: 6. Modul(ok): 7. Program / dialógus/ riport: 8. Verziószám:

9. A tesztelés hardver és szoftver környezete:

10. A teszt input adatai (helye, mennyisége, felvételi módja stb.):

11. A teszt végrehajtása:

12. A tesztelés eredménye (outputok leírása, tapasztalt rendellenesség leírása, értékelés stb.):

13. Szükséges intézkedések: 14. Megjegyzés:

a teszt eredményének elfogadása / jóváhagyása

kivitelez részér l: üzleti tulajdonos / megbízottja(i):

név, aláírás név, aláírás

dátum dátum

név, aláírás név, aláírás

dátum dátum A jegyz könyvet átvette: üzleti tulajdonos: ……………………………………. dátum: …………………..


14. sz. melléklet

Működés- Folytonossági Terv (MFT) vázlata

1. Bevezetés1.1. Célja1.2. Hatálya1.2.1. Személyi hatálya1.2.2. Tárgyi hatály1.2.3. Területi hatály1.3. A terv karbantartásáért felelős2. Fogalmak, rövidítések3. Rendszerkörnyezet3.1. Biztonsági osztály3.2. A rendszert fenyegető tényezők3.3. Tervcélok meghatározása3.4. Üzleti folyamatok elemzése3.4.1. Kárérték táblázat3.4.2. A kárgyakoriságok táblázata3.4.3. Rendelkezésre állási követelmények3.4.4. Kockázati mátrix3.5. Kockázatelemzés3.5.1. Releváns fenyegetés – kárérték – kárgyakoriság

mátrix3.5.2. Kockázat – kárérték – kárgyakoriság mátrix3.5.3. A Kockázat – kárérték – kárgyakoriság mátrix

elemzése4. Megelőzési intézkedések4.1. Kommunikáció4.2. Szolgáltatók4.3. Munkatársak4.4. Általános intézkedések4.4.1. Dokumentumok módosítása, tárolása4.4.2. Fizikai infrastruktúra4.4.3. Adathordozók védelme4.4.4. Tesztelési eljárások

5. Személyi feltételek5.1. Működés-folytonossági menedzsment szervezete5.1.1. MFM feladatai6. Rendkívüli események esetén szükséges intézkedé-

sek6.1. Rendkívüli esemény meghatározása, kategorizálá-

sa6.2. Rendkívüli esemény bekövetkezése6.3. Munkatársak feladatai6.3.1. Működés-folytonossági vezető feladatai6.3.2. Üzleti tulajdonos feladatai6.3.3. Vezető feladatai6.3.4. Rendszergazda feladatai6.3.5. Technikai üzemeltető feladatai6.3.6. Hálózatfelügyelet feladatai6.3.7. Általános munkavállalói feladatok6.4. Általános üzemeltetési feladatok6.4.1. Értesítési kötelezettség6.4.2. Fizikai eszközök előkészítése6.4.3. Adminisztrációs és dokumentálási kötelezettség6.5. Katasztrófa helyzet esetében a teendők6.5.1. Értesítés menete6.5.2. Fizikai védelmi kötelezettség, áttelepülés6.5.3. Rendszer helyreállítása6.5.4. Rendszer visszaállítása6.5.5. Eszközök ismételt üzembe helyezése6.5.6. Tartalék eszközök igénybevételének rendje,

módja6.6. Munkatársak oktatása, tréningek7. Eseményelemzés, karbantartás, módosítás, javasla-

tok7.1. Események elemzése7.2. Működés-folytonossági terv karbantartása


15. sz. melléklet

Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások, szabványok és ajánlások

a) 1978. évi IV. törvény a Büntető Törvénykönyvről:− 177/A §: visszaélés személyes adattal,− 177/B §: visszaélés közérdekű adattal,− 178. §: levéltitok megsértése,− 178/A §: magántitok jogosulatlan megismerése,− 300. §: gazdasági titok megsértése,− 300/C §: számítástechnikai rendszer és adatok elleni

bűncselekmény,− 300/E §: számítástechnikai rendszer védelmét bizto-

sító technikai intézkedés kijátszása.b) 1992. évi LXIII. törvény a személyes adatok védel-

méről és a közérdekű adatok nyilvánosságáról.c) 1999. évi LXXVI. törvény a szerzői jogról.d) 218/1999. (XII. 28.) Korm. rendelet az egyes sza-

bálysértésekről.e) 2001. évi XXXV. törvény az elektronikus aláírásról.f) 2003. évi C. törvény az elektronikus hírközlésről.g) 2009. évi CLV. törvény a Minősített adat védelmé-

ről.h) MSZ ISO/IEC 27001:2006 sz. honosított szabvány,

melynek címe „Informatika. Biztonságtechnika. Az in-formációbiztonság irányítási rendszerei. Követelmé-nyek.”

i) MSZ ISO/IEC 27002:2007 sz. honosított szabvány, melynek címe „Informatika. Biztonságtechnika. Az in-formációbiztonság irányítási gyakorlatának kézikönyve.”

j) MSZ ISO/IEC 15408 1-2-3 Common Criteria („In-formatika. Biztonságtechnika. Az informatikai bizton-ságértékelés közös szempontjai.”)

k) Közigazgatási Informatikai Bizottság 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások. (MIBA)

l) A gazdasági és közlekedési miniszter 103/2003. (XII.27.) GKM rendelete a hagyományos vasúti rendsze-rek kölcsönös átjárhatóságáról: 4. sz. melléklet (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika.

m) 4/2009. (I. 23. MÁV Ért. 3.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Működési és Szervezeti Szabályzatá-ról és Döntési Hatásköri Listájáról szóló 8/2007. (III. 2. MÁV Ért. különszám.) VIG sz. utasítás 3. számú módosí-tásáról.

n) 10/2008. (III. 31. MÁV Ért. 8.) VIG sz. vezérigazga-tói utasítás a MÁV Zrt. üzleti titok és belső használatra készült dokumentumainak védelmi szabályzatáról (egy-séges szerkezetbe foglalva).

o) 6/2008. (II. 15. MÁV Ért. 4.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. Adatvédelmi Szabályzatáról. (egysé-ges szerkezetbe foglalva)

p) 68/2009. (X. 23. MÁV Ért. 31.) VIG sz. vezérigazga-tói utasítás a Projektek működéséről a MÁV Zrt-nél.

q) 31/1998. (MÁV Ért. 8.) TEB. Ig. sz. utasítás A MÁV Zrt. IP címrendszeréről.

r) 16/2000. (MÁV Ért. 8.) IKPI sz. utasítás A MÁV Zrt. Szoftvergazdálkodási Utasítása újbóli kiadásáról.

s) 28/2009. (IV. 10. MÁV Ért. 13.) VIG számú vezér-igazgatói utasítás a MÁV Magyar Államvasutak Zártkö-rűen Működő Részvénytársaság 1087 Budapest VIII. ke-rület, Könyves Kálmán körút 54-60. szám alatti székhá-zába történő be- kiléptetés és a benntartózkodás rendjé-ről.

t) 33/2009. (V. 1. MÁV Ért. 15.) VIG sz. vezérigazgatói utasítás a MÁV Zrt. katasztrófavédelmi és polgári védel-mi feladatainak ellátására. 16. sz. melléklet: Intézkedések informatikai vészhelyzet megelőzésére

16. sz. melléklet

Az IBSZ-ben található szervezetek és dokumentumok rövidítéseinek jegyzéke

HR: Humán erőforrás (Human Research)IBSZ: Informatikai Biztonsági SzabályzatIHIR: Integrált Humán Irányítási RendszerIKI: Infokommunikációs igazgatóságIVO: Információvédelmi osztályKKA: Konfi gurációkezelési adatbázisMABISZ: Magyar Biztosítók SzövetségeMFT: Működés folytonossági tervMSZSZ: Működési és szervezeti szabályzatOWA: Levelezés távoli elérése (Outlook Web Access)RIBSZ: Rendszerszintű Informatikai Biztonsági Sza-

bályzatSLA: Szolgáltatási szerződés (Service Level

Agreement)TEBF: Távközlő-, erősáramú- és biztosítóberendezési

főosztály


34/2010. (VI. 11. MÁV Ért. 19.) EVIG számúelnök-vezérigazgatói utasítás

a MÁV Zrt. Műszaki Mentési és SegítségnyújtásiUtasításáról szóló

20/2006. (MÁV Ért 21.) Biztonság –általános vezérigazgató-helyettesi utasítás

2. számú módosításáról

1. Az utasítás 4.5.3 pontja helyébe az alábbi rendel-kezés lép:

4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tartását (rendelkezésre állás) és a használatukat (műsza-ki mentés) a MÁV pályavasúti szervezettel kötött szerző-dés biztosítja. A hálózat szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli.

A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza:− a kárhelyparancsnok-helyettesi készenléti rendszer

szervezését és a beosztásról (név, telefonszám megadásá-val) az üzem- és operatív irányítás értesítését,− a műszaki mentő és segélynyújtó egységek telepítési

helyeit, értesíthetőségüket,− a műszaki mentő- és segélynyújtó egységek riasztá-

sától számított maximális indulási időt,− A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás

alapján a vasúti egységek készenlétben tartásához szük-séges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyveze-tő biztosítását,− a bármilyen okból ideiglenesen igénybe nem vehető

műszaki mentő- és segélynyújtó eszközök, illetve kiszol-gáló személyzet bejelentésének kötelezettségét,− a gépészeti vasúti vegyi elhárító szolgálat szerveze-

tének az elhelyezését, értesíthetőségüket, a szükséges lét-számot és ennek biztosítását (4.B.sz. melléklet),− a műszaki mentéssel, segélynyújtással összefüggés-

ben kapott rendelkezések és intézkedések előjegyzésének rendjét,− a műszaki mentő és segélynyújtó és a vegyi elhárító

egység személyzetének képzését és rendszeres oktatását.

2. Az utasítás 4.12 pontja helyébe az alábbi rendel-kezés lép:

4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, in-tézkedések veszélyes áru ellenőrizetlen szabadba jutá-sa esetén

4.12.1. A VVESz jogállása:A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatko-

zó Nemzetközi Szabályzat) szerint veszélyesnek minősü-lő áruk rendellenes szabadba jutásakor, vagy a szállító-

eszközök meghibásodásakor, a veszélyhelyzet elhárításá-ra kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján.

A VVESz telepítési helyét a 4.B.sz. melléklet tartal-mazza.

Záhony térségében és a MOL Dunai Finomító terüle-tén a Rail Cargo Hungária Zrt. működteti a vegyi elhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet).

A VVESz tevékenységi köre:− veszélyes árukat szállító vasúti járművek tárolóteré-

nek, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, cse-pegések, szóródások megszüntetése,− veszélyes áruval rakott kisiklott kocsik rakott álla-

potban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása,− tömörtelen tároló edényzet, tartály javíthatatlansága

vagy ideiglenes javítása esetén döntés a kocsi továbbítha-tóságáról vagy átfejtéséről és a továbbítás feltételeiről,− a veszélyes anyagoknál az átfejtés végrehajtása, a

biztonságos átrakás, átfejtés irányítása,− baleset következtében sérült, siklott, felborult, ve-

szélyes áruval rakott kocsiknál a sérülés ideiglenes hely-reállítása, döntés az emelhetőségről és annak végrehajtá-sáról, a szakmai felügyelet biztosítása,− kiömlött veszélyes áruk esetében az elsődleges fel-

szivattyúzás és a sürgős közömbösítés elrendelése, a kö-zömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pá-lyagazdálkodási hálózati fődiszpécserrel egyeztetve.

4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁV-GÉPÉSZET KJK Ferencváros) ügyeletes vezetője a háló-zati főüzemirányító (rendkívüli helyzeteket kezelő háló-zati irányító) értesítése (az elsődleges információk) alap-ján dönt a helyszínre vonulásról.

Az ügyeletes vezető szükség esetén:− folyamatos kapcsolatot tart a hálózati főüzem-

irányítóval,− szakmai tanácsaival segíti a pályavasút helyi szak-

mai irányítóját a veszélyek megelőzésében.Az ügyeletes vezető a kapott információk alapján jogo-

sult – a főüzemirányító tájékoztatása mellett – olyan ese-tekben is kivonulni, amikor nem riasztották, de a helyszí-ni jelenlétét fontosnak ítéli meg.

4.12.3. Nagyobb környezetszennyezés esetén a kár-mentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egész-ség-, Biztonság- és Környezetvédelmi szervezet hatáskö-rébe tartozik, aki köteles bekövetkezett eseményben érin-


tett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni.

4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen be-lül kötelesek a helyszínre kivonulni. Az ügyeletes vezető-nek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes ve-zetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől.

4.12.5. A VVESz riasztott egységének vezetője rövi-den és tömören köteles tájékoztatni a beosztott személy-zetet a feladatról és annak tervezett végrehajtásáról. Kü-lön fel kell hívnia a fi gyelmet az adott eseménynél előfor-duló veszélyhelyzetekre, az alkalmazandó védőfelszere-lésekre és magatartási szabályokra.

4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felsza-badítása – az elhárítás előkészítését irányítani, illetve ab-ban közreműködni.

4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezető-jének az elhárítás mielőbbi és biztonságos elvégzése ér-dekében adott rendelkezéseit végrehajtani.

4.12.8. A szolgálati hely megbízottja köteles arról gon-doskodni, hogy amennyiben a sérült járművek futóképe-sek és elvontatásuknak egyéb akadálya nincs, azokat vil-lamos felsővezetékkel el nem látott, ennek hiányában fe-szültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhe-tők. Ha az állomáson vontatójármű nem áll rendelkezés-re, úgy ennek biztosítását a területi gépészeti főirányító-tól kell kérni a kárhelyparancsnok vagy kárhelyparancsnok-helyettes útján.

4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonsá-got is veszélyeztetnek vagy a környezetszennyezés na-gyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők.

A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az el-hárítást zavarják, vagy újabb veszélyhelyzetet jelenthetnek.

4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón ke-resztül a megyei (Budapesti) Rendőr-főkapitányság, illet-ve a Katasztrófavédelmi Igazgatóság közreműködését.

4.12.11. Folyadékoknál, szilárd anyagoknál, a levegő-nél nehezebb gázoknál és gőzöknél a sérült kocsit lehető-leg olyan helyre kell állítani, ahol a veszélyeztetett terüle-ten akna, gödör, mélyedés nincs.

4.12.12. A veszélyövezetet a szélirány és a szélsebes-ség fi gyelembevételével kell kijelölni és lezárni, biztosít-va, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az eset-leges lakó-, ipari-, közlekedési objektumokat is a veszé-lyeztetés elkerülése érdekében.

4.12.13. A kivonuló egység vezetője felelős:− az egységnek a legrövidebb időn belül és a legrövi-

debb útvonalon a kárhelyre érkezéséért,− az egység vezetője által kevésbé, vagy egyáltalán

nem ismert anyagok esetében a segédletekből, ennek hiá-nyában a feladótól vagy az átvevőtől az anyag tulajdonsá-gaira, az alkalmazott elhárítási módra és eszközökre vo-natkozó ismeretek megszerzéséért,− az elhárítás előkészítéséért (pl. mentesítő (közömbö-

sítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése).

3. Az utasítás 4.14 pontja hatályát veszíti.

Az Utasítás a kihirdetés napján lép hatályba.

4. Az utasítás 6 pontja helyébe az alábbi rendelke-zés lép:

1.sz. ÖTM Országos Katasztrófavédelmi Főigazgató-ság és a MÁV Zrt. Vezérigazgatósága közötti Együttmű-ködési Megállapodás kivonata.

2.sz. A kárhelyparancsnok (helyettes) feladatai.3.sz. Adatlap a rendkívüli esemény következményei-

ről.4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és se-

gélynyújtó egységek telepítési helyei.4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító

egység telepítési helye.4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárí-

tó egységek telepítési helyei.5.sz. Irányelvek a következményektől függően alkal-

mazandó műszaki mentő és segélynyújtó egységekre.6.sz. MD 600 sorozatú daru főbb adatai.7.sz. MD 1250 sorozatú daru főbb adatai.8.sz. KRC 1220 sorozatú daru főbb adatai.9.sz. A Lucas típusú hidraulikus emelők.10.sz. A Katasztrófavédelmi Igazgatóságok Veszély-

helyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhely-zeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele.

11.sz. Vegyi Elhárítási Jegyzőkönyv.


5. Az utasítás 4.B sz. melléklete az alábbiak szerint módosul:

A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egy-ség telepítési helye

Telepítési hely Közúti vegyi elhárítóegység telepítési helye

Budapest Ferencváros Vasúti Vegyi Elhárító Szol-gálat

6. Az utasítás 4.C sz. melléklete az alábbiak szerint módosul:

A Rail Cargo Hungária Zrt.közúti vegyi elhárító egység

telepítési helyeTelepítési helyVegyi Elhárító Egység

Záhony Vasúti Vegyi Elhárító Szol-gálat Kirendeltség

Az utasítás további pontjai változatlan tartalommal ha-tályban maradnak.

Módosításokkal egységes szerkezetbe foglalt szöveg

1.0 AZ UTASÍTÁS CÉLJA

A Műszaki Mentési és Segélynyújtási Utasítás (a to-vábbiakban Utasítás) célja a segélynyújtást és helyreállí-tást igénylő rendkívüli események (balesetek, tűzesetek, veszélyes áru ellenőrizetlen szabadba jutása, elháríthatat-lan külső ok) bekövetkezése esetén a műszaki mentés, a segélynyújtás, a következmények felszámolási feladatai-nak szabályozása, az együttműködés biztosítása, a fel-adatok koordinált végrehajtásának elősegítése az érintett hatóságokkal, vasúti- és más szervezetekkel.

2.0 AZ UTASÍTÁS HATÁLYA ÉS A FELELŐS-SÉG MEGHATÁROZÁSA

2.1. Az Utasítás hatálya

2.1.1 Az Utasítás területi hatálya a MÁV Zrt. kezelésé-be tartozó normál, széles és keskeny nyomtávolságú köz-forgalmú vasútvonalakon, üzemi vágányokon, valamint az azokhoz csatlakozó, a MÁV Zrt. kezelésébe tartozó saját célú vasúti pályahálózaton, külön szerződés alapján a MÁV Zrt. kezelésében nem lévő vágányokon, továbbá a BM Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapo-dás alapján, más területen bekövetkezett rendkívüli ese-mények következményeinek elhárítására terjed ki.

2.1.2 Az Utasítás személyi hatálya kiterjed a MÁV Zrt. valamennyi szervezetére, munkavállalójára és azokra a

vállalkozásokra, társaságokra, melyek a mentési, segély-nyújtási, elhárítási feladatok végrehajtásába ezen utasítás szerint bevonhatók.

Az utasítás hatálya a MÁV csoportba tartozó továbbá az Országos Katasztrófavédelmi Főigazgatósággal kötött Együttműködési Megállapodáshoz csatlakozó vasútvál-lalatok, társaságok szervezeteire és munkavállalóira az elfogadási (alávetési) nyilatkozatuk alapján terjed ki.

2.1.3 Az Utasítás nem tartalmazza a tűz elleni védeke-zésről, a műszaki mentésről és a tűzoltóságról szóló 1996. évi XXXI. törvény, és a törvény végrehajtására kiadott rendeletekben meghatározott, valamint a katasztrófák el-leni védekezés irányításáról, szervezetéről és a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védeke-zésről szóló 1999. évi LXXIV. törvény, és annak végre-hajtására kiadott rendeletek hatálya alá eső esetekre vo-natkozó feladatokat, melyeket külön utasítások szabá-lyoznak.

2.2. Az Utasítás elkészítéséért és karbantartásáért felelős meghatározása

Az Utasítás kidolgozásáért, karbantartásáért a MÁV Zrt. biztonsági igazgatója felelős.

2.3. Az Utasítás alkalmazása, kezelése

2.3.1 Az Utasítás alkalmazásánál fi gyelembe kell ven-ni a hatályos jogszabályokat, az Országos Vasúti Szabály-zatot, a MÁV Zrt. Vezérigazgatóságának az Országos Katasztrófavédelmi Főigazgatósággal, a Országos Rend-őr-főkapitánysággal, a Magyar Honvédség Közlekedési Szolgálat Főnökséggel kötött együttműködési megállapo-dásait, valamint az Utasítás által szabályozott tevékeny-ségekkel kapcsolatban a vállalkozásokkal kötött szerző-déseket, az üzemirányítás és operatív üzletági irányítási szolgálat ellátásáról szóló F.3 sz. Utasítást, az F.1.Jelzési Utasítást, az F.2.Forgalmi Utasításban (15.21.3-15.21.3.6) szabályozott „Segélymozdonyok és segélyvonatok” részt, az F.2. sz. Utasítás 2., 8. 13., 28., 31., és 33. sz. Függelékét, továbbá az Utasítás alapján a MÁV társaságok hatásköré-be tartozó szabályozásokat, a műszaki mentő, segély-nyújtó, vegyi elhárító és tűzoltó eszközök kezelésére, karbantartására vonatkozó szabályozásokat, segédköny-veket.(Az Országos Katasztrófavédelmi Főigazgatóság és a MÁV Zrt. Vezérigazgatósága közötti Együttműködési Megállapodás vonatkozó részeit az 1.sz. melléklet tartal-mazza.)

2.3.2 Az Utasítással el kell látni az oktató tiszteket, a MÁV Zrt. pályahálózatát igénybevevő vasútvállalatokat, valamint azokat a munkavállalókat és vállalkozásokat, akik közreműködnek a MÁV Zrt. területén a műszaki mentési, segélynyújtási és a helyreállítási munkákban.


2.4. Az Utasítás oktatása

Az érdekelt munkavállalókat a rájuk vonatkozó részek-ből rendszeresen és kimutathatóan oktatni kell a MÁV Zrt. O.1. sz. Oktatási Utasítása, és a MÁV Zrt. pályaháló-zatát igénybevevő vasútvállalatok szabályzata szerint.

3.0 AZ UTASÍTÁSBAN HASZNÁLT FOGAL-MAK MEGHATÁROZÁSA

3.1. Az Utasításban használt rendkívüli esemény, baleset, tűzeset, veszélyes áru ellenőrizetlen szabadba jutása fogalmakat a Balesetvizsgálati Utasítás tartalmaz-za.

3.2. Vonalelzárás: a rendkívüli esemény következmé-nyeként két állomás között a vonatforgalom kizárt.

3.3. Pályaelzárás (vágányelzárás): rendkívüli ese-mény miatt az állomás egy vagy több vágányán, több vá-gányú pályán, az egyik vágányon a vonatforgalom lebo-nyolítása kizárt.

3.4. Mentés és segélynyújtás: azoknak az elsődleges intézkedéseknek összessége, melyek a mentés, a megsé-rült személyek ellátása, a kármegelőzés érdekében szük-ségesek.

3.5. A következmények felszámolása (elhárítása): azoknak a műszaki és forgalmi intézkedéseknek összes-sége, melyek a mentési és segélynyújtási, valamint a meg-előzési feladatok elvégzése után a pálya felszabadításáig, illetve a rendkívüli esemény előtti állapot helyreállításáig szükségesek. Ideiglenes a következmények felszámolása (elhárítása) akkor, ha a pálya felszabadítása után a helyre-állítás csak forgalmi korlátozásokkal (pl. sebességcsök-kentés bevezetésével vagy villamos felső vezetékkel ellá-tott vonalon dízelvontatással) teszi lehetővé a vonatforga-lom megindítását.

3.6. Kárhelyparancsnok: a rendkívüli esemény bekö-vetkezésekor a mentés, segélynyújtás és a dologi követ-kezmények felszámolásának felelős irányítója, koordiná-lója. A kárhelyparancsnoki feladatokat – az Utasításban szabályozottak szerint – a MÁV Zrt. pályavasúti szerve-zet megbízott munkavállalója látja el.

3.7. Egészségügyi kárhelyparancsnok: a rendkívüli esemény helyszínén általában a mentők vezetője, aki a sérültek ellátását, a roncsok közé szorultak kiszabadítását egészségügyi szempontból irányítja.

3.8. Katasztrófavédelmi egység vezetője: a rendkí-vüli esemény helyszínén jogszabályban meghatározott esetekben, illetve az Együttműködési Megállapodás alapján a mentési munkák kárhelyparancsnoka.

3.9. Kárhelyparancsnok-helyettes: a rendkívüli ese-mény helyszínén a MÁV-GÉPÉSZET Zrt. részéről a mű-szaki mentő- és segélynyújtó egységek tevékenységének koordinálója.

3.10. Szakmai helyreállítás vezető: a rendkívüli ese-mény helyszínén az egyes szakmai (pálya, gépészet, biz-tosítóberendezés, személyszállítás, távközlés, felső-veze-téki berendezés, árufuvarozás, vasúti vegyi elhárítás, környezetvédelem) tevékenységeket, helyreállítási mun-kákat irányító vezető.

3.11. Forgalmi összekötő: a rendkívüli esemény hely-színén a vonatforgalmi és tolatási tevékenységek irányí-tója.

3.12. Operatív hálózati és területi szakmai főirányí-tók, rendkívüli helyzeteket kezelő irányító, fődiszpé-cserek, diszpécserek, villamos üzemirányítók hálózati és területi szinten irányítják, szervezik, koordinálják az üzletági szakmai munkákat.

3.13. Környezetvédelmi mentesítés: veszélyes áru el-lenőrizetlen szabadba jutása esetén bekövetkezett kör-nyezetkárosítások felszámolása.

4.0 AZ UTASÍTÁS LEÍRÁSA

4.1. Általános szabályok

4.1.1. Valamennyi rendkívüli esemény bekövetkezése-kor haladéktalanul intézkedést kell tenni a személyek mentésére, a további veszélyek és károk megelőzésére. Ennek érdekében a szükséges jelentési és értesítési köte-lezettségeket a Balesetvizsgálati Utasítás, az F3. Utasítás, a Munkavédelmi Szabályzat, és a mindenkor hatályos Ér-tesítési rend tartalmazza.

4.1.2. A segélynyújtásnál és helyreállításnál az alábbi fontossági sorrendet kell betartani:− a személyek mentése,− a tűz oltása,− a veszélyes áru szabadba jutásának megszüntetése,− a pálya felszabadítása (műszaki mentés, segélynyúj-

tás) és a javak mentése,− a pálya és pályavasúti berendezések helyreállítása,− a vonatforgalom megindítása,− a környezeti károkozás felszámolása.

4.1.3. A Katasztrófavédelmi egységek helyszíni men-tési és segélynyújtási feladatai kiterjednek:− a veszélyeztetett személyek mentésére,− a tűz terjedésének megakadályozására,− az anyagi javak védelmére,− a tűz eloltására,− a szükséges biztonsági intézkedések megtételére,− a tűz közvetlen veszélyének elhárítására.


4.1.4. A katasztrófavédelmi szervezet jogszabály, vala-mint az Együttműködési Megállapodás alapján – a MÁV Zrt. kárhelyparancsnokának igénye esetén, a 4.9.7 és 4.9.8 pontokban szabályozottak szerint közreműködik, illetve segítséget nyújt a 4.1.3. pontban foglaltakon kívül olyan esetben is, ha:− a vasúti műszaki mentés során tűz, vagy robbanás,

vagy egyéb veszély áll fenn,− a feladat elvégzéséhez a katasztrófavédelemnél rend-

szeresített eszközök alkalmasak és azzal a helyreállításra kötelezett vasúti szervezet a helyszínen nem vagy nem kellő mennyiségben rendelkezik, valamint a vasúti kárel-hárítási feladat a számára jogszabályokban meghatáro-zott, alapvető állami tevékenység biztosítását nem veszé-lyezteti.

4.1.5. A honvédségi erők a mentési és segélynyújtási feladatokba – a MÁV Zrt. kárhelyparancsnokának igénye alapján a 4.9.7 pontban szabályozottak szerint – akkor vonhatók be, amennyiben:− a baleseti következmény, illetve annak veszélye na-

gyobb körzetre terjed ki,− rendkívüli időjárási körülmények akadályozzák a

mentési munkákat,− rossz terepviszonyok, nehezen megközelíthető bal-

eseti helyszínek, a sérültek nagyobb távolságra, kézi esz-közökkel történő szállításának szükségessége különleges eszközök igénybevételét indokolja,− a mentéshez szükséges különleges technikai eszkö-

zökkel (pl. lánctalpas járművel) csak a honvédség rendel-kezik.

4.1.6. A rendőrség – a helyszíni szemle feladatain túl-menően – intézkedik:− a további károk megelőzésére,− a helyszín biztosítására, körülhatárolására,− a terelő utak kijelölésére, a közúti forgalom irányítá-

sára,− jelentési, tájékoztatási kötelezettségek teljesítésére.

4.1.7 A MÁV Zrt. feladata:− a baleseti helyszín határolása, biztosítása, előkészíté-

se a műszaki mentési és segélynyújtási feladatok meg-kezdéséhez,− közreműködés a katasztrófavédelem mentési, se-

gélynyújtási feladataiban, és ennek érdekében a vasúti intézkedések megtétele,− veszélyes áru ellenőrizetlen szabadba jutása esetén a

vegyi elhárítás végrehajtása, biztonsági intézkedések megtétele,− a vasúti forgalom fenntartása, lebonyolítása érdeké-

ben a szükséges intézkedések megtétele,− a vizsgálatokban a rendőrséggel, illetve más illetékes

hatóságokkal, szervezetekkel az együttműködés biztosí-tása,− a kisiklott járművek beemelése, más járműre emelé-

se vagy űrszelvényen kívülre helyezése,

− a rongálódott pályavasúti eszközök (pálya, felsőve-zeték, biztosítóberendezés) helyreállítása,− a forgalom megindítása,− a rendkívüli esemény miatt bekövetkezett környezeti

károk felszámolása.

4.1.8. Amennyiben a pályavasúti szervezet a 4.1.7. pontban foglalt feladatokat a MÁV Csoport tagjaival és saját szervezeteivel, eszközeivel nem képes ellátni, köte-les közreműködőt igénybe venni, erre vonatkozóan meg-állapodást, szerződést kötni.

4.1.9. Az együttműködésben résztvevő (4.1.3. – 4.1.6. pontokban említett) szervezetek helyszínre kivonuló egy-ségeit saját illetékes vezetőjük irányítja. A résztvevő szervezetek között a munkák irányítását a helyszíni men-tési munkák jellege és fázisa határozza meg:− az egészségügyi kárhelyparancsnok végzi és irá-

nyítja a sérültek ellátásával kapcsolatos feladatokat, és jogosult utasítást adni a résztvevő más szervezetek pa-rancsnokainak,− tűz esetén, illetve műszaki mentést igénylő esetek-

ben – jogszabályokban meghatározottak szerint – a ka-tasztrófavédelmi egység vezetője jogosult utasítást adni az együttműködésben résztvevő más szervezetek pa-rancsnokainak,− veszélyes áru ellenőrizetlen szabadba jutása esetén

– a katasztrófavédelmi szervezet vezetőjével egyeztetetten – a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgá-lat (a továbbiakban: VVESz) ügyeletes vezetője irányítja a mentési munkákat, a további veszélyek megelőzését,− a rendőri erők vezetője a helyszín biztosítása és a

nyomozati munka lefolytatásában adhat utasítást.A katasztrófavédelmi szervezet közreműködő, segítsé-

get nyújtó tevékenysége a mentés befejezéséig, a veszély-helyzet elhárításáig tart. Ezt követően a további irányítási feladatokat a MÁV Zrt. kárhelyparancsnoka veszi át.

4.1.10. A pálya (vágány) felszabadítását, helyreállítást akkor lehet megkezdeni, ha:− a személyek mentése, tűz oltása további intézkedést

nem igényel,− veszélyes áru szabadba jutásának, valamint a kör-

nyezeti károkozásnak veszélye nem áll fenn,− a vagyonvédelem biztosítására szükséges intézkedé-

sek megtörténtek.

A pálya (vágány) felszabadítása, helyreállítása csak abban az esetben halasztható, ha:− olyan vágányon történt a rendkívüli esemény, amely

a vonatforgalom lebonyolítását, valamint a rendező pá-lyaudvaron a folyamatos munkát nem akadályozza,− közforgalmú mellékvonalon a vonatforgalom sűrűsé-

ge, a személyszállító vonatok utasforgalma ezt lehetővé teszi (az utasok száma 1-nél több autóbusz beállítását nem igényli) és az utasok autóbusszal történő elszállítá-sára az intézkedések megtörténtek,


A pálya felszabadításának halasztására a kárhely-pa-rancsnok kezdeményezésére – a hálózati személyszállítá-si és árufuvarozási főirányítóval történt egyeztetés alap-ján – a hálózati főüzemirányító dönt.

A döntésről a területi főüzemirányítót, valamennyi há-lózati operatív főirányítót, fődiszpécserét, villamos üzemirányítóját tájékoztatni kell.

4.1.11. A pálya-felszabadítási munka megkezdése leg-feljebb a rendkívüli esemény bekövetkezésétől számított első munkanapig halasztható.

4.1.12. A pálya felszabadítás halasztása esetén a biz-tonságos vonatközlekedés érdekében szükséges intézke-déseket a szakmailag illetékes, illetve az eszköz üzemel-tetésért felelős szervezet operatív főirányítója, fődiszpé-csere a kárhelyparancsokkal egyeztetve köteles megten-ni.

4.1.13. A MÁV társaságok segélynyújtáshoz és a kö-vetkezmények felszámolásához használt eszközeinek karbantartásáról, folyamatos rendelkezésre állásáról az állagban tartó szervezeti egység köteles gondoskodni. Más célú felhasználás, javítás miatt átmenetileg kieső eszközökről haladéktalanul értesíteni kell a hálózati főüzemirányítót, területi főüzemirányítókat, a hálózati és a területi gépészeti főirányítókat, akiknek ezt elő kell je-gyezniük és szolgálat átadáskor írásban át kell adni.

4.2 A műszaki mentés, segélynyújtás és helyreállí-tás felelős vasúti irányítója

4.2.1. A segélynyújtás és helyreállítás felelős vasúti irányítója a MÁV Zrt. kárhelyparancsnoka, aki személye-sen felelős a munkák gyors és szakszerű végzéséért, ösz-szehangolásáért.

Tevékenységét a helyszínen közvetlenül segíti, és irá-nyítja:

– a MÁV-GÉPÉSZET Zrt. által kijelölt kárhely-parancsnok-helyettes a vasúti járművek műszaki menté-sét, és a rendkívüli esemény következményeitől függően:

– a Vasúti Vegyi Elhárító Szolgálat ügyeletes vezetője a vegyi elhárítást,

– továbbá a szakmai helyreállítás vezetők, a forgalmi összekötő, valamint a helyreállításban közreműködő vál-lalkozás munkavezetője.

4.2.2. A kárhelyparancsnokokat a MÁV Zrt. Pályavas-úti területi központok vezetői a Biztonsági Igazgatóság VBO-val egyeztetve jelölik ki.

A kárhelyparancsnok-helyetteseket – szakmai alkal-masság alapján – a budapesti területre a MÁV-GÉPÉSZET Zrt. vezetője, még a többi területre a Jármű-karbantartási Főosztály vezetője jelöli ki.

A kijelölt kárhelyparancsnokok és helyettesek szolgá-lati beosztását havonta úgy kell elkészíteni, hogy terüle-

tenként folyamatosan – munkaidőn kívül készenléti szol-gálatban – rendelkezésre álljanak.

4.2.3. A kárhelyparancsnokkal és helyettessel szem-ben támasztott követelmények:− felsőfokú állami iskolai és vasúti szakmai végzett-

ség,− baleset helyreállítási szakmai gyakorlat,− jó szervezőkészség.

4.2.4. A kárhelyparancsnoki és a helyettesi feladat el-látására beosztottak név-, cím- és telefonszám jegyzékét valamint területenként a havi szolgálati beosztást a terü-leti és hálózati főüzemirányító valamint a területi és há-lózati diszpécser szolgálat részére meg kell küldeni.

4.2.5. A kárhelyparancsnokot minden olyan rendkívü-li eseményről értesíteni kell, amikor a dologi következ-mények miatt vonal- vagy pályaelzárás történt. A kárhelyparancsnok-helyettest abban az esetben kell érte-síteni, ha a rendkívüli esemény miatt műszaki mentő és segélynyújtó egység riasztása szükséges a személyek mentéséhez, illetve a pályaelzárás megszüntetéséhez. A kárhelyparancsnok és a helyettes értesítése a területi főüzemirányító feladata.

A kárhelyparancsnok és helyettes helyszínre jutását, a feladatai ellátásához valamint a kapcsolattartáshoz szük-séges hírközlő eszközöket a MÁV Zrt. pályavasúti szer-vezet, illetve a MÁV-GÉPÉSZET Zrt. köteles biztosítani.

4.2.6. Az értesítés és rendelkezésre álló információk alapján a kárhelyparancsnok – az Utasítás 4.2.7. és 4.2.14. pontjaiban szabályozottak fi gyelembevételével – dönt, hogy a helyszínen irányítja a műszaki mentési, segély-nyújtási és elhárítási munkákat, vagy azzal megbízza a szakmai helyreállítás vezetőt.

4.2.7. Abban az esetben, ha kárhely parancsnok nincs jelen, de a MÁV Biztonsági Igazgatóság VBO baleseti helyszínelő bizottság vezetője szolgáltatási szerződés alapján balesetvizsgálati tevékenységet végez, a vasúti forgalom helyreállítására vonatkozó ügyekben kárhelyparancsnokként jár el. A bizottság vezetője utasí-tásait a jelen nem lévő kárhelyparancsnokkal telefonon konzultálva hozhatja meg.

4.2.8. A kárhelyparancsnok a helyszínen köteles a mű-szaki mentési segélynyújtási és helyreállítási munkákat irányítani, amennyiben a rendkívüli esemény dologi kö-vetkezményei− vonalelzárást, vagy− több vágányú fővonalon pályaelzárást okozott, vagy− a rendkívüli esemény állomáson vagy rendező pá-

lyaudvaron történt, és a vasúti pálya- és berendezés sú-lyosan megrongálódott, továbbá, ha a műszaki mentés, valamint a helyreállítás több szakmai szervezet össze-hangolt tevékenységét igényli.


Amennyiben a rendelkezésre álló információk nem elégségesek a következmények egyértelmű megállapítá-sára, úgy a kárhelyparancsnoknak a helyszínen kell dön-tenie, hogy a műszaki mentési, segélynyújtási és elhárítá-si munkák milyen szintű (kárhelyparancsnoki vagy szak-mai helyreállítás vezetői) irányítást igényelnek.

4.2.9. A kárhelyparancsnok helyszíni irányító tevé-kenysége kiterjed valamennyi olyan dologi következ-mény felszámolására – az akadályt okozó eszköz, vasúti jármű, berendezés stb. tulajdonosától függetlenül –, amely a pálya felszabadítása és a következmények elhárí-tása érdekében szükséges.

4.2.10. A kárhelyparancsnok és a helyettes teljes körű helyszíni intézkedési jogosultsága az elsődleges életmen-tési, segélynyújtási, veszélyelhárítási – beleértve a veszé-lyes áru ellenőrizetlen szabadba jutása miatti veszélyelhárítási – és tűzoltási feladatok befejezésétől a forgalom ideiglenes helyreállításáig tart, valamint vala-mennyi elhárításban résztvevő szervezeti egységre kiter-jed.

4.2.11. A vasúti baleset színhelyére kiérkező MÁV Zrt. és a MÁV társaságok vezetője a kárhelyparancsnoknak és kárhelyparancsnok-helyettesnek csak abban az esetben adhat bármilyen jellegű, a balesettel, illetve a mentéssel kapcsolatos utasítást, ha előtte írásban átveszi annak fel-adatát, és azt a helyreállítás befejeztéig végig folytatja. Egyébként csak arra jogosult, hogy a kárhelyparancsnoktól és helyettesétől információt kérjen, kapjon, illetve azok kérésére információt adjon.

4.2.12. Veszélyes áru ellenőrizetlen szabadba jutása esetén minden esetben a veszélyek elhárításáig az irányí-tási feladatokat a VVESz ügyeletes vezetője látja el, aki-nek rendelkezési jogosultsága valamennyi szakmai terü-letre kiterjed. A kárhelyparancsnok ezt követően a továb-bi segélynyújtási és helyreállítási munkák egy szakmai területet érintő, speciális szakmai ismereteket igénylő fázisában – a biztonsági és munkafolyamati intézkedések egyeztetésének kötelezettsége mellett – a kárhely-pa-rancsnoki feladatok ellátásával megbízhatja a szakmai helyreállítás vezetőt.

Amennyiben több szakmai egység párhuzamosan vé-gez segélynyújtási, illetve elhárítási munkát egyazon kör-zeten belül, úgy az irányítási feladatokat a kárhelyparancsnok nem adhatja át.

4.2.13. A kárhelyparancsnok és a kárhelyparancsnok-helyettes a műszaki mentési és segélynyújtási, valamint helyreállítási munkák helyszíni irányításakor az erre a célra rendszeresített „kárhelyparancsnok”, illetve „kárhelyparancsnok-helyettes” felirattal ellátott, jó látha-tóságot biztosító védőruházatot (védőmellényt) és név-jegykártyát tartalmazó kitűzőt, valamint fehér színű fej-védő sisakot köteles viselni.

4.2.14. A kárhelyparancsnok a pálya felszabadítási, il-letve helyreállítási munkák irányításával esetileg meg-bízhatja a szakmai helyreállítás vezetőt, amennyiben a helyreállítás egy szakmai terület felelősségi körébe tarto-zik.

Az eseti megbízást a kárhelyparancsnok szóban a szakmailag illetékes területi fő(üzem)irányító vagy disz-pécser bevonásával adhatja, akinek erről a szakmai hely-reállítás vezetőt, a hálózati főirányítót, fődiszpécsert és a rendkívüli helyzeteket kezelő irányítót is értesítenie kell.

4.2.15. A szakmai helyreállítás vezető az irányítási fel-adatok ellátásakor köteles folyamatos munkakapcsolatot tartani− a rendkívüli esemény helyszínével közvetlenül

szomszédos állomás forgalmi vezetőjével (megbízottjá-val),− a szakmailag illetékes hálózati fődiszpécserrel, fő-

irányítóval, villamos üzemirányítóval illetve területi diszpécserrel,− a területi főüzemirányítóval.

4.2.16. A megbízott szakmai helyreállítás vezető fele-lős a munkavégzésre, a vágányzári munkák lemondható-ságának műszaki és biztonsági feltételeire, a vasúti jár-művek bekövetkezett műszaki sérülésének és továbbítha-tósági feltételeinek bárcázással való rögzítéséért, illetve a munkák befejezésének előjegyzésére vonatkozó előírá-sok megtartásáért.

4.2.17. Amennyiben a műszaki mentési, helyreállítási munkák hosszabb időt igényelnek, úgy a

– kárhelyparancsnok, a kárhelyparancsnok-helyettes a szakmai helyreállítás vezetők felváltásáról a területi köz-pont vezetője,

– a műszaki mentésben, helyreállításban résztvevők felváltásáról a kárhelyparancsnok, illetve a kárhely-parancsnok-helyettes kezdeményezésére a szakmailag il-letékes szolgálati vezetők kötelesek gondoskodni.

A kárhelyparancsnoki szolgálat átadásához az átadó-nak részletesen – a szolgálat várhatóan többszöri átadása esetén rövid feljegyzésben – tájékoztatnia kell az átvevőt

– a helyreállítási munkák helyzetéről,– a folyamatban lévő intézkedésekről,– a forgalmi helyzetről,– minden olyan információról, amely a munkák folya-

matos végzéséhez szükséges.A szolgálat átadásról-átvételről a területi főüzem-irá-

nyítót a rendkívüli helyzeteket kezelő irányítót a kárhelyparancsnoki feladatot átvevőnek tájékoztatnia kell.

Az Utasítás rendelkezését alkalmazni kell a szakmai helyreállítás vezetők szolgálat átadása-átvétele esetén is.

4.2.18. A műszaki mentési, segélynyújtási, helyreállí-tási, vegyi elhárítási munkákhoz az eseti igénybevétel


lehetőségére a megfelelő eszközökkel rendelkező, MÁV társaságokon kívüli vállalkozással, veszélyes anyagok előállítását, feldolgozását végző vállalkozással a pálya-vasúti szervezet – a Biztonsági Igazgatóság egyetértésé-vel – megállapodást köthet, mely tartalmazza, hogy− a vállalkozás milyen eszközt tud biztosítani, és an-

nak főbb jellemzőit, illetve milyen feladat végzését vál-lalja,− a rendelkezésre állás időszakait,− a riasztástól számított várható indulási időt,− a riasztás módját, feltételeit.A vállalkozás igénybevételére vonatkozó megállapo-

dás alapján, vagy megállapodás nélkül is a helyi adottsá-gok kihasználásával a kárhelyparancsnok (VVESz ügye-letes vezetője) jogosult dönteni a MÁV csoporton kívüli vállalkozás bevonására. Ilyen esetekben a vállalkozás értesítésére a kárhelyparancsnok (VVESz ügyeletes ve-zetője) igényére a pályagazdálkodási hálózati fődiszpé-cser, illetve a vegyi elhárítás érdekében a rendkívüli helyzeteket kezelő irányító köteles intézkedni. A munkák helyszíni irányítója a kárhelyparancsnok, illetve a VVESz ügyeletes vezetője.

4.2.19. A kárhelyparancsnok, a rendkívüli helyzeteket kezelő irányító, területi főüzemirányító, valamennyi ope-ratív hálózati és területi főirányító, fődiszpécser, diszpé-cser, villamos üzemirányító, szakmai helyreállítás vezető a kapott értesítéseket, rendelkezéseket, az általa tett in-tézkedéseket, riasztásokat köteles az időadatok feltünte-tésével előjegyezni, illetve azokról feljegyzést készíteni.

A kárhelyparancsnok ezeken kívül köteles a következ-mények elhárításának főbb fázisait, jármű beemeléseket és minden olyan adatot előjegyezni az időpontok feltün-tetésével, mely a segélynyújtás és helyreállítás utólagos értékelését lehetővé teszi.

4.2.20. A kárhelyparancsnok és a helyettes feladatait összefoglalóan a 2. sz. melléklet tartalmazza.

4.3. Helyszíni intézkedés személyszállító vonattal történt baleset esetén

4.3.1. Személyszállító vonattal történt baleset esetén a vezető jegyvizsgáló és a jegyvizsgálók képzettségüknek megfelelően kötelesek a személyek mentésében és a se-gélynyújtásban részt venni, az utasok biztonsága érdeké-ben szükséges intézkedésekben közreműködni.

4.3.2. Amennyiben a 4.1.2. pontban meghatározott fontossági sorrendet alapul véve a személyek mentése a vezető jegyvizsgáló és a jegyvizsgálók közreműködését már nem igényli, úgy kötelesek a rendkívüli esemény be-következéséről, a várakozás várható időtartamáról, az át-szállásos közlekedésről, a csatlakozási lehetőségekről – a hálózati vagy területi személyszállítási főirányítótól (vagy szükség esetén a területi főüzemirányítótól) kért és kapott információk alapján – az utasokat tájékoztatni.

Amennyiben a vontatójármű (motorkocsi, motorvonat vagy mozdony) rendelkezik utastájékoztató berendezés-sel és az a rendkívüli esemény után üzemképes, akkor az utasok tájékoztatását a vonatszemélyzet bármely tagja ezen keresztül köteles megtenni.

Pályaudvaron, állomáson az utastájékoztató berende-zésen keresztül kell az utasokat és várakozókat értesíteni a rendkívüli esemény miatti vonatkésésekről, a menet-rendtől eltérő forgalmi változásokról.

A fentieken kívül fi gyelembe kell venni a rendkívüli események bekövetkezésekor alkalmazandó utas-tájé-koztatás megszervezéséről és végrehajtásáról szóló min-denkor hatályos utasítást. (Az Utasítás hatálybalépésekor ezt a 36/2005. (X. 24. MÁV Ért. 41.) VIG. sz. utasítás tartalmazza).

4.3.3. Nyíltvonalon – rendkívüli esemény miatt – fel-tartóztatott vonat esetén az utasok fi gyelmét fel kell hívni a leszállás veszélyeire, és amennyiben közvetlen veszély (pl. tűzeset) nem fenyeget, az utasokat a vonaton kell tar-tani.

4.3.4. Amennyiben a vonat hosszabb idejű feltartózta-tása miatt az utasok helyszíni átszállással vagy autóbusz beállításával folytathatják útjukat, úgy a vonatkísérő sze-mélyzet köteles az utasok részére ehhez segítséget nyúj-tani.

4.3.5. Az utasok tájékoztatása tényszerűen csak az utazásukkal összefüggő információkra terjedhet ki. Nem tartalmazhat olyan információt, mely pánikot, zavart idézhet elő, vagy amely csak a vizsgálat bizonyított meg-állapításain alapulhat.

4.4. A következmények helyszíni elsődleges felmé-rése

4.4.1. A rendkívüli esemény bejelentésére vonatkozó szabályokat a Balesetvizsgálati Utasítás tartalmazza. A műszaki mentés, segélynyújtás és a következmények fel-számolása érdekében – a bejelentést követően – fel kell mérni azokat a legfontosabb adatokat, melyek az intézkedé-sek mielőbbi szervezéséhez, végrehajtásához szükségesek.

4.4.2. A rendkívüli esemény következményeiről az el-sődleges adatok összegyűjtését állomáson történt esetben az állomás forgalmi vezetője (megbízottja), közlekedő vonattal történt eseménynél a vonat mozdonyvezetője vé-gezze. Nyílt vonalon történt rendkívüli eseményről az adatokat általában a mozdonyvezető, akadályoztatása esetén a személyszállító vonat vezető jegyvizsgálója, vagy a vonatszemélyzet más tagja, illetve bármely eset-ben a helyszínre érkező intézkedésre jogosult és kötele-zett munkavállaló köteles összegyűjteni. A szakszerű adatszolgáltatás érdekében – a lehetséges módon – igény-be kell venni a rendelkezésre álló vasúti műszaki munka-vállalók közreműködését.


4.4.3. A helyszíni következményekről az elsődleges adatok az alábbiakra terjedjenek ki:− a sérült személyek számára és kiszabadításukhoz a

műszaki mentés szükségességére,− a megrongálódott pályaszakasz hosszára, mértékére,− a megrongálódott kitérők számára,− a baleset helyszínének körülményeire (egyenes, íves

pályaszakasz, bevágás, töltés, műtárgy, alagút),− felsővezetéki berendezéssel felszerelt pályán a ki-

dőlt oszlopok számára, a megrongált felsővezeték hosz-szára,− a kisiklott vontató és vontatott járművek típusára,

számára, azok eltávolodásának távolságára a vágány-tól,− veszélyes áruval rakott kocsi sérülésére (RID számá-

ra),− a kisiklott járművek elhelyezkedésére a vasúti pályá-

hoz, illetve más járművekhez képest (felborult, oldalára dőlt, megbillent, a járművek egymás fölé kerültek, tor-lódtak, keresztbe fordultak),− több vágányú pályán a vonatközlekedés fenntartha-

tóságának feltételeire (űrszelvény, pálya, berendezés ron-gálódása),− áruval rakott kocsi sérülése esetén az áru fajtájára,− konténerrel rakott kocsi kisiklása esetén a konténe-

rek helyzetére,− a kisiklott, megrongálódott járművek futóművén

észlelhető sérülésekre,− a baleseti helyszín megközelíthetőségére vonatkozó

adatokra,− egyéb fontosnak ítélt adatokra.

4.4.4. Veszélyes áru ellenőrizetlen szabadba jutása esetén – függetlenül attól, hogy az baleseti következ-ményként vagy attól függetlenül következett be – a jelen-tés tartalmazza:− a sérült kocsi, konténer főbb adatait,− a veszélyes áru megnevezését és RID számát,− a jármű sérülésére és annak mértékére vonatkozó

adatokat (kocsi, konténer, kamion; a veszélyes áru milyen mértékben szivárog, csepeg),− súlyos környezetszennyezés, tűz, robbanás, személy-

és vagyonbiztonság veszélyét,− a további veszély megelőzése érdekében szükséges

intézkedéseket.

Amennyiben a veszélyes áru ellenőrizetlen szabadba jutása nem baleseti következményként fordult elő, úgy a jelentés az alábbiakat is tartalmazza:− a sérült kocsi pályaszámát, cégjelét,− feladási és rendeltetési állomását,− a sérülés felfedezésének időpontját,− a megtett intézkedéseket,− a rendkívüli esemény helyére, környezetére, gépko-

csival való megközelíthetőségére vonatkozó információ-kat (állomás, szolgálati hely, vágányszám, felsővezeték alatti vágány stb.).

4.4.5. A helyszíni következményekről az adatokat a te-rületi főüzemirányító részére kell jelenteni, aki az infor-mációkat a 3. sz. melléklet szerinti adatlapon rögzíti.

A területi főüzemirányító valamennyi rendelkezésre álló információról értesíteni köteles− a rendkívüli helyzeteket kezelő irányítót és− a területi operatív irányítókat, diszpécsereket, villa-

mos üzemirányítót.A rendkívüli helyzeteket kezelő irányító valamennyi

információról tájékoztatja a hálózati főirányítókat, fő-diszpécsereket, villamos üzemirányítót, veszélyes áru ellenőrizetlen szabadba jutása esetén MÁV-GÉPÉSZET Zrt. vasúti vegyvédelem központi ügyeletét (MÁV-GÉPÉSZET Zrt. Körzeti Járműfenntartási Központ BP. Ferencváros), továbbá az Értesítési Rendben előírt veze-tőket, hatóságokat, szervezeteket.

4.4.6. Amennyiben a rendkívüli esemény következmé-nyei más vasúti társaságot vagy a vasút üzemben tartásá-hoz szükséges eszköz tulajdonosát is érinti, erről a rend-kívüli helyzeteket kezelő irányító köteles távbeszélőn ér-tesíteni a társaság, illetve az eszköz tulajdonosának illeté-kes szervezetét.

Amennyiben a baleset következményeinek helyreállí-tása a vállalkozó vasúti infrastruktúra további kárát okozza, lehetőség szerint gondoskodni kell a helyreállítás előtti állapotok dokumentálásáról (fénykép, vagy videó felvételek készítése), valamint erről tájékoztatni kell a vállalkozó vasúti társaság kijelölt képviselőjét.

4.5. A MÁV társaságok és más szervezetek szabá-lyozásának szempontjai

4.5.1. A MÁV társaságok – ezen Utasítás alapján, a Biztonsági Igazgatósággal egyeztetetten – az összehan-golt, gyors operatív intézkedések megtétele érdekében kötelesek szabályozni az operatív hálózati és területi fő-irányítók, fődiszpécserek, diszpécserek, villamos üzem-irányítók feladatait, illetve azok ellátásához szükséges információk biztosítását.

4.5.2. Pályavasúti szabályozás a forgalmi, pálya, táv-közlési, biztosítóberendezési és felsővezeték-berendezési szakmai területre kiterjedően tartalmazza:− a kárhelyparancsnoki készenléti rendszer szervezé-

sét és a beosztásról (név, telefonszám megadásával) az üzem- és operatív irányítás értesítését,− a szakmai helyreállítás vezetők, forgalmi összekötők

megbízásának szakmai feltételeit, készenléti rendszerük szervezését és készenléti beosztásukról (név, telefonszám megadásával) a diszpécserek, villamos üzemirányítók ér-tesítését,− a pályafenntartási, biztosítóberendezési, villamos

felsővezetéki berendezési állandó és változó helyű ké-szenléteket, értesíthetőségüket,


− a vágányzárakról a pályagazdálkodási diszpécserek tájékoztatását,− a főbb eszközök tárolási helyeit,− főbb anyagok tárolási helyeit, a mindenkori hozzáfé-

rés lehetőségét,− a MÁV társaságokon kívüli vállalkozás bevonásának

szükségessége esetén a következmény nagyságától füg-gően a döntési szinteket,− a helyreállításhoz szerződés vagy megállapodás

alapján bevonható vállalkozások értesíthetőségét,− veszélyes árut közömbösítő anyagok tárolási helyeit,− a segélynyújtással és helyreállítással kapcsolatos

rendelkezések, intézkedések előjegyzését,− a kárhelyparancsnokok, szakmai helyreállítás veze-

tők és a helyreállításban közreműködők képzési, tovább-képzési rendszerét.

4.5.3. A vasúti járművek műszaki mentését, a vegyi elhárítási tevékenységet a MÁV-GÉPÉSZET Zrt. kijelölt szervezeti egységei végzik. A feladathoz rendszeresített speciális járművek, eszközök, egységek készenlétben tar-tását (rendelkezésre állás) és a használatukat (műszaki mentés) a MÁV pályavasúti szervezettel kötött szerződés biztosítja. A hálózati szervezeti rendszerét (4.A és 4.B sz. melléklet) a MÁV Zrt. Biztonsági Igazgatóság felügyeli.

A MÁV-GÉPÉSZET Zrt. szabályozása tartalmazza:− a kárhelyparancsnok-helyettesi készenléti rendszer

szervezését és a beosztásról (név, telefonszám megadásá-val) az üzem- és operatív irányítás értesítését,− a műszaki mentő és segélynyújtó egységek telepítési

helyeit, értesíthetőségüket,− a műszaki mentő- és segélynyújtó egységek riasztá-

sától számított maximális indulási időt,− A MÁV-TRAKCIÓ Zrt.-vel kötött megállapodás

alapján a vasúti egységek készenlétben tartásához szük-séges személyzet biztosítását és – igénybevétel esetén – kiszolgáláshoz szükséges vontatójármű és mozdonyveze-tő biztosítását,− a bármilyen okból ideiglenesen igénybe nem vehető

műszaki mentő- és segélynyújtó eszközök, illetve kiszol-gáló személyzet bejelentésének kötelezettségét,− a gépészeti vasúti vegyi elhárító szolgálat szerveze-

tének az elhelyezését, értesíthetőségüket, a szükséges lét-számot és ennek biztosítását (4.B.sz. melléklet),− a műszaki mentéssel, segélynyújtással összefüggés-

ben kapott rendelkezések és intézkedések előjegyzésének rendjét,− a műszaki mentő és segélynyújtó és a vegyi elhárító

egység személyzetének képzését és rendszeres oktatását.

4.5.4. A személyszállító társaságok szabályozása tar-talmazza:− az autóbuszok igénylésének lehetőségét, más sze-

mélyszállító társaságok bevonhatóságát (esetleges megál-lapodások VOLÁN Zrt.-vel, BKV Zrt.-vel, stb.),

− az ideiglenes helyzetben a személyszállítás fenntar-tásának biztosításához a döntési szempontokat,− a személyszállító vonatok szerelvény fordulóinak

megváltoztatásával kapcsolatos intézkedéseket (pl. a bu-dapesti fejpályaudvarok esetében a fordulási technoló-gia),− a személykocsik vagyonvédelmével kapcsolatos in-

tézkedéseket,− az utastájékoztatással kapcsolatos feladatokat,− a sérült járművek továbbításának – vasúti vágányon

vagy járművön – feltételéhez kocsivizsgálót.

4.5.5. Az árufuvarozási tevékenységet végző vasúti társaságok (vállalkozó vasúti társaságok) kötelezettsége-it, feladatait hálózat-hozzáférési szerződésben kell rögzí-teni. Ezek tartalmazzák:

– az áruvédelem érdekében a rendkívüli esetekben szükséges intézkedéseket,

– az áru átrakásához szükséges intézkedési lehetősége-ket,

– az áru átrakásához szükséges közúti daru igénybevé-telének lehetőségét,

– kocsivizsgálók igényszerinti biztosításának lehetősé-gét,

– a műszaki mentesítéshez szükséges teherkocsi bizto-sítását,

– a teherkocsik vagyonvédelmével kapcsolatos intéz-kedéseket,

– a fuvaroztató felek értesítésére és részükről teendő intézkedéseket,

– a tett intézkedésekről az érintett pályavasúti diszpé-cserszolgálat, valamint a gépészeti főirányítók tájékozta-tását.

4.5.6. Központi válságkezelő törzs létesítésének és működésének rendjét, feladatait, a válságkezelés kommu-nikációs feladatait a MÁV Zrt. területén bekövetkezett biztonsági események során teljesítendő ügyeleti szolgá-lati és vezetői feladatokról, valamint a kárelhárítás irá-nyításáról szóló vezérigazgatói utasítás (20/2008. (MÁV. Ért. 13.) szabályozza.

4.5.7. A műszaki mentés és segélynyújtás eszközeinek telepítési helyeit, alkalmazásaik főbb általános műszaki paramétereit a 4. A-C, 5., 6., 7., 8., 9. mellékletek tartal-mazzák.

4.5.8. A katasztrófavédelmi igazgatóságoktól igényel-hető főbb eszközöket és azok telepítési helyeit az utasítás 10. számú melléklete tartalmazza.

4.6. Az operatív irányítók feladatai, felelőssége, ha-tásköre

4.6.1. Az operatív hálózati és területi főirányítók, fő-diszpécserek, villamos üzemirányítók a következmé-nyek ismeretében kötelesek a feladatkörükbe tarozó in-


tézkedéseket megtenni a műszaki mentés és segélynyúj-tás, valamint a helyreállítás érdekében. Intézkedéseiket egymással és a rendkívüli helyzeteket kezelő irányító-val, illetve a hálózati és területi főüzemirányítóval egyeztetni kell.

4.6.2. A pályagazdálkodási hálózati fődiszpécser – a területi diszpécserek bevonásával – köteles intézkedni− a készenlétes szakmai helyreállítás vezető értesítésé-

re,− a területileg illetékes, illetve készenlétet tartó főpá-

lyamesteri szakasz riasztására,− döntése szerint – a hálózati főüzemirányítóval és

helyreállítást végző szervezet képviselőjével egyeztetve – a vágányzárban végzett munkák felfüggesztésére, a munkaerő és munkagépek részleges vagy teljes átcsopor-tosítására,− a pályavasúti szabályozásban előírt egyeztetési köte-

lezettség megtartásával a MÁV vasúttársaságokon kívüli vállalkozás bevonására, értesítésére,− a készenlétben tartott anyagok felhasználására, kár-

helyre szállítására.A hálózati fődiszpécser, illetve területi diszpécser fo-

lyamatos kapcsolatot tart a kárhelyparancsnokkal, illetve a szakmai helyreállítás vezetővel és rendelkezései szerint teszi meg a szükséges intézkedéseket, továbbá szükség esetén intézkedik a feladatok koordinálásában.

4.6.3. A hálózati villamos üzemirányító – a területi villamos üzemirányító bevonásával – köteles intézkedni:

– a készenlétes szakmai helyreállítás vezető értesítésé-re,

– a kárhelyen a villamos felsővezeték feszültség-men-tesítésére,

– a felsővezetéki berendezés megrongálódása, vagy a műszaki mentési és segélynyújtási munkákhoz szükséges bontási, illetve helyreállítási feladatokat ellátó szervezet értesítésére, riasztására.

Kapcsolatot tart a szakmai helyreállítás vezetővel és szükség esetén intézkedik a feladatok koordinálásában.

4.6.4. A biztosítóberendezési hálózati fődiszpécser – a területi biztosítóberendezési diszpécser bevonásával – köteles intézkedni:− a blokkmesteri szakaszok riasztására,− a készenlétes szakmai helyreállítás vezető értesítésé-

re,− a helyreállítás vezető rendelkezésére a MÁV vasút-

társaságokon kívüli vállalkozás bevonására.Kapcsolatot tart a szakmai helyreállítás vezetővel és

szükség esetén közreműködik a feladatok koordinálásá-ban.

4.6.5. A hálózati távközlési fődiszpécser – a területi távközlési diszpécser bevonásával – köteles intézkedni:− a területileg illetékes, illetve készenlétes távközlési

szakasz riasztására,

− a műszaki mentéshez és segélynyújtáshoz a kárhely-parancsnok által meghatározott ideiglenes távközlési ösz-szeköttetés biztosítására,− a megrongálódott légvezeték, illetve kábel helyreál-

lítása érdekében a helyreállító szervezet értesítésére, ri-asztására,− a végleges helyreállításig a vonatforgalom fenntartá-

sához, illetve megindításához szükséges távközlési ösz-szeköttetések biztosítására.

4.6.6. A MÁV-GÉPÉSZET Zrt. és a MÁV-TRAKCIÓ Zrt. közötti megállapodás alapján a MÁV-TRAKCIÓ Zrt. hálózati gépészeti főirányítója – a területi gépészeti fő-irányító bevonásával – köteles intézkedni:− a rendelkezésre álló információk alapján – a kárhely-

parancsnok-helyettessel egyeztetve – a vasúti segélynyúj-tó egység (4.A.sz. melléklet) által igényelt vontatójármű és mozdonyvezető normaidőn belüli biztosítására,− a kárhelyparancsnok-helyettes rendelkezésére a kör-

zetileg illetékes segélynyújtó egységen kívüli más se-gélynyújtó egységek igénybe vételéhez szükséges vonta-tójármű és mozdonyvezető normaidőn belüli biztosításá-ra,− pályagazdálkodási hálózati fődiszpécserrel és a

rendkívüli helyzeteket kezelő irányítóval egyeztetve a vasúti segélynyújtó és daru szerelvény egységek közleke-dési útirányának kijelölésére, esetleges közlekedési feltét-eleinek meghatározására,− a kárhelyparancsnok vagy helyettese rendelkezésére

többlet vontatójármű biztosítására,− a rendkívüli esemény miatt a vonatforgalom fenntar-

tásához, valamint a helyreállításhoz, a tárolt anyag hely-színre továbbításához szükséges vontatójármű biztosítá-sára.

4.6.7. A személyszállítási hálózati főirányító – a terü-leti személyszállítási főirányító bevonásával – köteles in-tézkedni a hálózati főüzemirányítóval, illetve a rendkívü-li helyzeteket kezelő irányítóval egyeztetetten:− a kerülő útirányon történő vonatközlekedtetés sze-

mélyszállítási feladatainak végrehajtására,− vonalelzárás esetén az utasok autóbuszok beállításá-

val történő elszállítására,− az utasok átszállással történő elszállításának szerve-

zésére,− az utastájékoztatás megszervezésére,− a sérült személykocsi rendelkezés szerinti helyre to-

vábbítására,− a személy-, háló-, étkező kocsik szükség szerinti őr-

zésvédelmére, szükség esetén a MÁV Vasútőr Kft. sze-mélyzetirányítójának bevonásával,− az utasok kiszolgálása érdekében szükséges felada-

tokra (pl. IC pótjegy visszatérítés).A személyszállítási területi főirányító az intézkedé-

sekről tájékoztatni köteles a területi főüzemirányítót.


4.6.8. A MÁV Zrt. rendkívüli helyzeteket kezelő irá-nyítója – a rendkívüli esemény következményeire vonat-kozó információk alapján – értesítse a vállalkozó vasúti társaság irányító szolgálatát− a műszaki mentéshez, segélynyújtáshoz szükséges

teherkocsi és teherkocsi fődarab (pl. forgóváz) igényről,− a sérült teherkocsikban lévő áruk átrakásának szük-

ségességéről,− a VVESz ügyeletes vezetője felkérésére a veszélyes

áru azonosításának igényéről,− az áruvédelem megszervezésének szükségességéről,− a sérült teherkocsik továbbításának igényéről,− a hálózati főüzemirányítóval egyeztetve a kerülő út-

irányon történő tehervonati közlekedtetés feladatainak ellátására,− átfejtéshez szükséges kocsi biztosításának szüksé-

gességéről.

4.7. A riasztott szervezeti egységek és segélynyújtó egységek kivonulása

4.7.1. A riasztást követően a műszaki mentő és segély-nyújtó egységek kötelesek a helyszínre kivonulni. A vo-nuló egység műszaki vezetőjének feladata a szükséges létszám meghatározása, a segélynyújtáshoz fi gyelembe vett eszközök működésének ellenőrzése, a szerelvény to-vábbításához szükséges feltételek biztosítása.

4.7.2. A vasúti segélynyújtó és daru szerelvény közle-kedésének bevezetéséről – a hálózati pályagazdálkodási fődiszpécserrel és gépészeti főirányítóval egyeztetett út-irányról, a közlekedési feltételekről – a rendkívüli helyze-teket kezelő irányító rendelkezésére a területi főüzemirányító köteles gondoskodni, amelyről az indító állomásnak írásbeli rendelkezéssel kell a segélyvonat mozdonyvezetőjét értesíteni.

4.7.3. A helyszínen a riasztott szakmai szervezeti egy-ségek vezetői kötelesek részletes felmérést készíteni a kö-vetkezményekről, a helyreállítás érdekében szükséges intézkedésekről, és azokról a szakmai operatív hálózati főirányítót, fődiszpécsert, villamos üzemirányítót (terü-leti főirányítót, diszpécsert) tájékoztatni.

4.8. A következmények felszámolásának általános szabályai

4.8.1. A személyek mentését, a további veszélyek meg-szűntetése után a következmények felszámolását úgy kell irányítani és végezni, hogy a forgalom megindítása érde-kében legalább egy vágány mielőbb szabad legyen. A ki-siklott, rongálódott járműveket úgy kell mozgatni, hogy azokban, valamint az egyéb vasúti berendezésekben a lehető legkisebb kár keletkezzen.

4.8.2. Baleset esetén a helyszín megváltoztatására – a személyek mentése, a tűz oltása, a további veszélyek

megelőzése érdekében szükséges elsődleges intézkedé-sek kivételével – a Balesetvizsgálati Utasítás rendelkezé-seit kell alkalmazni.

4.8.3. Amennyiben a következmények elhárításában több szakmai terület egységei vesznek részt, az elhárítást a kárhelyparancsnok irányítja a kárhelyparancsnok-helyettessel, az egyes szakmai helyreállítás vezetőkkel és a forgalmi összekötővel együttműködve. A következmé-nyek elhárításának sorrendjéről a kárhelyparancsnok-helyettessel egyeztetve a kárhelyparancsnok dönt.

4.8.4. A baleseti helyszínt a további veszélyek megelő-zése, a vagyon-védelem biztosítása, valamint a mentés és segélynyújtás zavartalan végzése érdekében elhatároló szalaggal vagy más módon körül kell határolni és a lehet-séges módon, vagy a MÁV Vasútőr Kft. vagy a rendőrség bevonásával meg kell akadályozni, hogy a munkaterület-re idegen sze-mélyek bejussanak.

A terület védelmét a területi főüzemirányító vagy a rendkívüli helyzeteket kezelő irányító igényelheti a MÁV Vasútőr Kft. személyzetirányítójától, illetve a megyei vagy Országos Rendőr-főkapitányság ügyeletétől.

4.8.5. Minden olyan esetben, amikor a pálya elzárás nem baleset, tűz, veszélyes áru ellenőrizetlen szabadba jutása következménye, vagy a dologi következményű bal-eset a kárhelyparancsnoki irányítását az Utasítás 4.2.8. pontja sze-rint nem teszi szükségessé, a kárhelyparancsnok eseti megbízása alap-ján az irányítási feladatokat a szak-mai helyreállítás vezető látja el.

4.8.6. A segélynyújtás és helyreállítás közben a mun-kát végző egység vezetője köteles gondoskodni a munka-végzéshez szükséges világításról, védőeszközökről. Fele-lős az ott dolgozók élet- és testi épsége védelmében szük-séges biztonsági rendszabályok meghatározásáért és be-tartásáért a Munkavédelmi Szabályzat (30/2005. (MÁV. Ért. 33.) Vezérigazgatói utasítás: A MÁV Rt. Munkavé-delmi Szabályzata) alapján.

4.8.7. A helyreállítási munkák közben biztosítani kell az egészségre, testi épségre veszélytelen munkafeltétele-ket. A beosztottak a feladat teljesítése közben előállt ve-szélyhelyzetkor csak saját életük védelmében, vagy élet-mentésben vállalhatnak önálló elhatározással kockázatot. Az elhárításban résztvevők egymást életükben, testi ép-ségükben nem veszélyeztethetik.

4.8.8. A MÁV társaságokon kívüli szervezet mentési, segélynyújtási vagy helyreállítási tevékenységet végző munkavállalóit kimutathatóan tájékoztatni kell a bizton-ságos munkavégzés feltételeiről, különös tekintettel a vasúti terület speciális veszélyeire. A tájékoztatás a kárhelyparancsnok(helyettes), távollétében a szakmai helyreállítás vezető feladata.


4.8.9. A MÁV Zrt. kezelésében lévő vonalakon más vasúti társaságot érintő rendkívüli esemény bekövetkezé-sekor a vasúti társaságnak a vasúti jogszabályok alapján együttműködési kötelezettsége van:− együttműködés a MÁV Zrt. rendkívüli helyzeteket

kezelő irányítójával illetve a szakmailag illetékes opera-tív hálózati főirányítóval, fődiszpécserrel,− a következmények elhárításának segítése,− tájékoztatás minden olyan rendelkezésre álló infor-

mációról, amely a segélynyújtás és a következmények elhárításához – különösen a veszélyes áru azonosításához – szükséges,− a vonat kerülő útirányon való közlekedtetése,− a megrongálódott vagy futásképtelenné vált jármű

elszállítása,− a fuvarozott küldemény átrakása, átfejtése.

4.9. Súlyos személysérülés és dologi következményű balesetek esetén az elhárítás általános szabályai

4.9.1. A következmények elhárításának fontossági sor-rendjét az Utasítás 4.1.2. pontja tartalmazza. Ennek meg-felelően a MÁV Zrt. képviseletében a kárhely-parancs-noknak a katasztrófavédelmi (tűzoltó) szervezet elhárítás vezetőjével kell egyeztetnie az elsődleges mentési felada-tokat, és fel kell mérnie a helyszínt a teljes körű informá-ció megszerzése érdekében.

4.9.2. A MÁV Zrt. kárhelyparancsnokának a kataszt-rófavédelmi egység vezetőjével egyeztetnie kell:− a személy(ek) mentése érdekében szükséges vasúti

intézkedéseket,− a tűz oltásához esetlegesen szükséges vasúti közre-

működő intézkedéseket,− veszélyes áru ellenőrizetlen szabadba jutása esetén a

munkabiztonsági és elhárítási intézkedéseket,− a rendőrségi szervezet bevonásával a körzet lezárá-

sát, körülhatárolását.

Ellenőriznie kell, a további veszélyek megelőzése érde-kében a megtett intézkedéseket, illetve azok megfelelősé-gét.

A személyi következmények ellátásának, tűz oltásá-nak, a környezeti és más további veszélyek megelőzésé-nek időszakában a helyszíni munkákat a katasztrófavé-delmi egység vezetője irányítja. Ehhez a szükséges segít-séget a kárhelyparancsnoknak biztosítania kell.

4.9.3. A kárhelyparancsnoknak a következmények el-hárításához ellenőriznie és tisztáznia kell,− a szakmai helyreállítás vezetők részéről tett és teen-

dő intézkedéseket,− a forgalmi helyzetet a forgalmi összekötővel.

4.9.4. A riasztott egységek vezetői, valamint a szakmai helyreállítás vezetők a helyszínre történő kiérkezés után kötelesek jelentkezni a kárhelyparancsnoknál, és beszá-molni a tett intézkedéseikről.

4.9.5. A kárhelyparancsnoknak a helyzet felmérésről, és a forgalmi akadály várható megszüntetésének idejéről, a szükséges személyszállítási és árufuvarozási intézkedé-sekről tájékoztatnia kell a rendkívüli helyzeteket kezelő irányítót és a területi főüzemirányítót. A rendkívüli hely-zeteket kezelő irányító ennek alapján köteles tájékoztatni az érintett vasúti társaságokat, illetve egyeztetni a sze-mélyszállítási és árufuvarozási feladatokat.

4.9.6. Nyílt vonalon történt baleset esetén a kárhelyparancsnok-helyettes a kárhelyparancsnokkal egyeztetve köteles intézkedni – a forgalmi koordinátor, illetve területi főüzemirányító bevonásával – a segély-nyújtó egységek riasztására és kivonulására, a járművek sorrendjére, daruval szükséges jármű beemelés esetén a gémállásra. Együttesen döntenek más segélynyújtó egy-ségek riasztásának szükségességéről. A kárhely-parancsnok-helyettes rendelkezésére a hálózati gépészeti főirányító köteles közreműködni a szükséges vontatójár-mű és mozdonyvezető biztosításában.

Állomáson történt baleset esetén a helyi egyeztetést követően a forgalmi összekötő rendelkezik a vasúti jár-művek tolatási mozgásaira.

4.9.7. Amennyiben a Katasztrófavédelmi Igazgatóság gépi egységeinek vagy a Magyar Honvédség eszközeinek bevonása szükséges, úgy ennek igényéről – a feladatok egyértelmű meghatározásával – a kárhelyparancsnoknak a hálózati főüzemirányítót kell értesítenie, aki az Orszá-gos Katasztrófavédelmi Főigazgatóság főügyeletétől, il-letve az MH Katonai Közlekedési Központ diszpécser szolgálatától jogosult ezt kérni.

4.9.8. Veszélyes áru ellenőrizetlen szabadba jutása esetén, amennyiben a rendelkezésre álló eszközök, vé-dőeszközök nem elégségesek a veszélyek elhárításá-hoz, vagy a szükséges intézkedések a MÁV Zrt. jogo-sultságát és lehetőségét meghaladják, a VVESz ügyele-tes vezetője a hálózati főüzemirányítót köteles értesíte-ni, aki az Országos Katasztrófavédelmi Főigazgatóság főügyeletétől, illetve a 4.2.18. pontban szabályozottak szerint a rendkívüli helyzeteket kezelő irányító a MÁV társaságokon kívüli vállalkozástól jogosult segítséget kérni.

4.9.9 A helyszín megváltoztatására – a mentő vagy a katasztrófavédelmi egység vezetőjének az életmentés vagy tűz oltása érdekében adott rendelkezése kivételével –, bármilyen roncs, nyom eltávolítására a kárhely-pa-rancsnok csak a rendőrségi szemlebizottság és a baleset-vizsgáló bizottság(-ok) vezetőinek engedélye után rendel-kezhet. A szakmai helyreállítás vezetők csak a


kárhelyparancsnok engedélye alapján kezdhetik meg a következmények elhárítását.

A rendkívüli esemény helyszínének a halaszthatatlan, az életmentés, a tűz oltása, a veszélyhelyzet megszünteté-se érdekében szükséges megváltoztatását a kárhely-pa-rancsnok, illetve a szakmai helyreállítás vezető köteles írásban rögzíteni, és a dokumentumot az eljárásra illeté-kes szervezet (rendőrség, ügyészség, Közlekedésbizton-sági Szervezet, üzembentartói balesetvizsgálók) részére átadni.

4.9.10. Az elsődleges személymentési, további ve-szély-megelőzési feladatok után a következmények elhá-rításának irányítását a katasztrófavédelmi szervezet kár-hely-parancsnokától a MÁV Zrt. kárhelyparancsnoka ve-szi át (4.1.9. pont).

4.9.11. A helyreállítás sorrendjét, a párhuzamosan vég-zendő munkákat a kárhelyparancsnok a kárhely-parancsnok-helyettessel és a szakmai helyreállítás veze-tőkkel egyeztetve határozza meg. Amennyiben a pálya felszabadítása, a műszaki mentés, illetve tűzveszély, vagy egyéb okból a helyszíni biztosítás a katasztrófavé-delmi szervezet további közreműködését teszi szükséges-sé, úgy a kárhelyparancsnok ezt egyeztetni köteles a szer-vezet helyszíni egységének vezetőjével.

A helyreállítási munkák irányításánál követelmény− a feladatok egyértelmű meghatározása és kiadása,− a munka-, tűz-, környezetbiztonsági feltételek bizto-

sítása,− az egyes munkaterületek elhatárolása,− az egyes szakmai területek kapcsolódási pontjainak

koordinációja.

4.9.12. A szakmai helyreállítás vezetők folyamatosan tájékoztatni kötelesek a kárhelyparancsnokot a helyreállí-tás helyzetéről, továbbá a szükséges eszköz- és létszám-igényről a szakmailag illetékes hálózati fődiszpécsert, illetve területi diszpécsert, valamint a villamos üzemirá-nyítókat.

4.9.13. Amennyiben a teljes körű helyreállítás nem fe-jezhető be, de a pálya ideiglenes felszabadítása lehetővé teszi a forgalom megindítását, úgy az ideiglenes helyzet-ben szükséges forgalmi intézkedésekre a forgalmi össze-kötő – a szakmai helyreállítás vezetővel egyeztetve – ren-delkezik.

4.9.14. Amennyiben a baleset utáni következmények elhárítása már nem igényli a MÁV társaságok, a pálya-vasúton belüli szervezetek közötti, valamint a MÁV vas-úttársaságokon kívüli szervezetekkel a folyamatos koor-dinációt, a kárhelyparancsnok a további irányítási felada-tot átadhatja a szakmai helyreállítás vezetőnek, melyről a területi főüzemirányítót és a rendkívüli helyzeteket keze-lő irányítót értesíteni köteles.

4.9.15. Amennyiben – a súlyos következmények miatt – a segélynyújtási és helyreállítási munkák időtartama szükségessé teszi, a munkákban résztvevők étkeztetésé-nek, felváltásának megszervezésére a kárhely-parancs-noknak (helyettesnek) – a munkavállalókat vezénylő szolgálati hely vezetőjének bevonásával – intézkednie kell.

4.10. Dologi, nem súlyos következményű rendkívüli események helyreállítása

4.10.1. Minden olyan dologi következményű rendkívü-li esemény bekövetkezésekor, amikor személyi sérülés nem történt és a következmények helyreállítása csak egy szakterület tevékenységét igényli, a kárhelyparancsnok a szakmai helyreállítás vezetőt bízhatja meg az irányítással az Utasítás 4.2.14. pontja szerint.

4.10.2. A 4.2.6. pontban szabályozottak szerint az ese-ti megbízás alapján irányítási feladatot ellátó szakmai helyreállítás vezető

– felügyeli a MÁV társaságokon kívüli vállalkozás ál-tal végzett helyreállítási munkákat és kapcsolatot tart a vállalkozás munkavezetőjével,

– irányítja a MÁV társaságokon belüli saját szakmai szervezet által végzett helyreállítási munkákat,

– egyezteti a munkákat a közvetlenül érintett állomá-sok forgalmi vezetőjével (megbízottjával), a szakmailag illetékes operatív diszpécserrel, villamos üzemirányító-val, szükség esetén a forgalmi vonalirányítóval vagy a területi főüzemirányítóval.

4.10.3. Amennyiben a helyreállítási munkák szüksé-gessé teszik más szakmai terület bevonását, úgy az eseti megbízással rendelkező szakmai helyreállítás vezetőnek az illetékes operatív területi főirányítótól, villamos üzemirányítótól, diszpécsertől kell intézkedést kérnie.

4.10.4. Ideiglenes helyreállítás esetén a szakmai hely-reállítás vezető – amennyiben átmeneti forgalmi korláto-zás bevezetése válik szükségessé – jogosult a területi főüzemirányító intézkedését kérni.

4.10.5. Az eseti megbízással rendelkező szakmai hely-reállítás vezető felelős a munkabiztonsági feltételek és a MÁV társaságok utasításaiban a munkavégzésre, vala-mint annak befejezése után az előjegyzésekre vonatkozó előírások megtartásáért.

4.10.6. Baleset esetén az eseti megbízással rendelkező szakmai helyreállítás vezető a helyszín megváltoztatásá-ra, illetve a helyreállítás megkezdésére az Utasítás 4.9.9. pontjában előírtak megtartásával adhat engedélyt.


4.11. A pálya felszabadítása személyi baleset ese-tén

4.11.1. Személyi baleset esetén – amikor dologi követ-kezménye a rendkívüli eseménynek nem volt és a személy(ek) mentése műszaki segélynyújtást a MÁV Zrt. részéről nem igényel – a pálya felszabadítását a rendőrsé-gi helyszíni szemle vezetője engedélyezi a sérült ellátása, illetve a meghalt személy elszállítása után.

Az állomás forgalmi vezetője (megbízottja) állomáson történt baleset esetén minden esetben, nyílt vonalon be-következett esetben pedig lehetőség szerint köteles közre-működni a mentést követően a pálya felszabadításában, és ehhez a forgalmi intézkedéseket megtenni.

4.11.2. Amennyiben a MÁV Zrt. balesetvizsgálója is helyszíneli a rendkívüli eseményt, úgy a rendőrségi hely-színi szemle vezetőjével egyeztetve köteles a vonat mi-előbbi továbbhaladása érdekében a szükséges intézkedé-seket megtenni.

4.11.3. Nyílt vonalon történt személyi baleset esetén – amikor az állomás forgalmi vezetőjének (megbízottjá-nak) a helyszíni intézkedésre nincs lehetősége, illetve a MÁV Zrt. részéről a helyszínelés azonnal nem kezdődik meg – a vonat továbbhaladására a rendőrségi helyszíni szemle vezetőjének engedélye után a mozdonyvezető kö-teles a forgalmi vonalirányító vagy a területi főüzem-irá-nyító hozzájárulását megkérni, akinek ezt egyeztetnie kell a rendkívüli esemény helyszínével szomszédos két állomás forgalmi szolgálattevőjével.

4.12. A Vasúti Vegyi Elhárító Szolgálat feladata, in-tézkedések veszélyes áru ellenőrizetlen szabadba jutá-sa esetén

4.12.1. A VVESz feledata:A RID (Veszélyes Áruk Vasúti Fuvarozására Vonatko-

zó Nemzetközi Szabályzat) szerint veszélyesnek minősü-lő áruk rendellenes szabadba jutásakor, vagy a szállító-eszközök meghibásodásakor, a veszélyhelyzet elhárításá-ra kijelölt szolgálat, a MÁV Zrt. és a GySEV Zrt. hazai vonalain, – a MÁV Zrt. és a MÁV-GÉPÉSZET Zrt. között kötött szerződés alapján.

A VVESz telepítési helyét a 4.B.sz. melléklet tartal-mazza.

Záhony térségében és a MOL Dunai Finomító terüle-tén a Rail Cargo Hungária Zrt. működteti a vegyielhárító szolgálatot a Gépészeti szakszolgálat szakmai irányítása és felügyelete mellett. (4.C.sz. melléklet).

A VVESz tevékenységi köre:− veszélyes árukat szállító vasúti járművek tárolóteré-

nek, tároló tartályainak, edényeinek, szerelvényeinek rendellenes állapotából eredő szivárgások, fúvások, cse-pegések, szóródások megszüntetése,

− veszélyes áruval rakott kisiklott kocsik rakott álla-potban történő emelésekor vagy zárttéri javításánál a szakmai felügyelet ellátása,− tömörtelen tároló edényzet, tartály javíthatatlansága

vagy ideiglenes javítása esetén döntés a kocsi továbbítha-tóságáról vagy átfejtéséről és a továbbítás feltételeiről,− a veszélyes anyagoknál az átfejtés végrehajtása, a

biztonságos átrakás, átfejtés irányítása,− baleset következtében sérült, siklott, felborult, ve-

szélyes áruval rakott kocsiknál a sérülés ideiglenes hely-reállítása, döntés az emelhetőségről és annak végrehajtá-sáról, a szakmai felügyelet biztosítása,− kiömlött veszélyes áruk esetében az elsődleges fel-

szivattyúzás és a sürgős közömbösítés elrendelése, a kö-zömbösítő anyagok kiválasztása, a mentesítés módjának meghatározása és a mentesítés szakmai irányítása a pá-lyagazdálkodási hálózati fődiszpécserrel egyeztetve.

4.12.2. A VVESz szakmai felügyeletét hálózati szinten a MÁV-GÉPÉSZET Zrt. látja el. A folyamatos készenléti szolgálatot ellátó vegyi elhárító szolgálat (MÁV-GÉPÉSZET KJK Ferencváros) ügyeletes vezetője a háló-zati főüzemirányító (rendkívüli helyzeteket kezelő háló-zati irányító) értesítése (az elsődleges információk) alap-ján dönt a helyszínre vonulásról.

Az ügyeletes vezető szükség esetén:− folyamatos kapcsolatot tart a hálózati főüzem-

irányítóval,− szakmai tanácsaival segíti a pályavasút helyi szak-

mai irányítóját a veszélyek megelőzésében.Az ügyeletes vezető a kapott információk alapján jogo-

sult – a főüzemirányító tájékoztatása mellett – olyan ese-tekben is kivonulni, amikor nem riasztották, de a helyszí-ni jelenlétét fontosnak ítéli meg.

4.12.3. Nagyobb környezetszennyezés esetén a kár-mentesítés megkezdése a VVESz irányításával történik, megszüntetésére, az intézkedések megtétele, az Egész-ség-, Biztonság- és Környezetvédelmi szervezet hatáskö-rébe tartozik, aki köteles bekövetkezett eseményben érin-tett vasúttársaságokat az elhárítás folyamatába bevonni, arról tájékoztatni.

4.12.4. A VVESz ügyeletes vezetője és beosztottjai az értesítés vétele után a riasztástól számított 20 percen be-lül kötelesek a helyszínre kivonulni. Az ügyeletes vezető-nek meg kell győződnie arról, hogy a feladatról elégséges információ áll-e rendelkezésre. A VVESz ügyeletes ve-zetője a számára ismeretlen helyszín megközelítéséhez kérheti a területi főüzemirányító útján a helyi ismerettel rendelkező munkavállaló biztosítását a kárhely szerinti szolgálati helytől.

4.12.5. A VVESz riasztott egységének vezetője rövi-den és tömören köteles tájékoztatni a beosztott személy-zetet a feladatról és annak tervezett végrehajtásáról. Kü-


lön fel kell hívnia a fi gyelmet az adott eseménynél előfor-duló veszélyhelyzetekre, az alkalmazandó védőfelszere-lésekre és magatartási szabályokra.

4.12.6. Az állomás forgalmi vezetője vagy megbízottja a bejelentés után köteles a helyszínen – esetenként a VVESz ügyeletes vezetőjének előzetes információja alapján is pl. helyszín lezárása, szomszéd vágány felsza-badítása – az elhárítás előkészítését irányítani, illetve ab-ban közreműködni.

4.12.7. Az elhárításnál a szolgálati hely helyszínen lévő vezetője (megbízottja) köteles a VVESz ügyeletes vezető-jének az elhárítás mielőbbi és biztonságos elvégzése ér-dekében adott rendelkezéseit végrehajtani.

4.12.8. A szolgálati hely megbízottja köteles arról gon-doskodni, hogy amennyiben a sérült járművek futóképe-sek és elvontatásuknak egyéb akadálya nincs, azokat vil-lamos felsővezetékkel el nem látott, ennek hiányában fe-szültségmentesített vágányra állítsák, ahol az elhárítási munkák biztonságosan és akadálymentesen elvégezhe-tők. Ha az állomáson vontatójármű nem áll rendelkezés-re, úgy ennek biztosítását a területi gépészeti főirányító-tól kell kérni a kárhelyparancsnok vagy kárhelyparancsnok-helyettes útján.

4.12.9. Ha a kiömlő anyagok élet- és vagyonbiztonsá-got is veszélyeztetnek vagy a környezetszennyezés na-gyobb kárt okozhat, a kocsikat olyan helyre kell állítani, ahol a környezeti károk csökkenthetők.

A vegyi elhárítási tevékenységgel egyidejűleg tilos egyéb olyan helyreállítási munkákat végezni, melyek az elhárítást zavarják, vagy újabb veszélyhelyzetet jelent-hetnek.

4.12.10. Amennyiben a körülmények indokolják, a VVESz ügyeletes vezetője kérheti a további veszélyek megelőzése vagy a terület lezárása, kiürítése, személyek eltávolítása érdekében a hálózati főüzemirányítón ke-resztül a megyei (Budapesti) Rendőr-főkapitányság, illet-ve a Katasztrófavédelmi Igazgatóság közreműködését.

4.12.11. Folyadékoknál, szilárd anyagoknál, a levegő-nél nehezebb gázoknál és gőzöknél a sérült kocsit lehető-leg olyan helyre kell állítani, ahol a veszélyeztetett terüle-ten akna, gödör, mélyedés nincs.

4.12.12. A veszélyövezetet a szélirány és a szélsebes-ség fi gyelembevételével kell kijelölni és lezárni, biztosít-va, hogy a sérült, csepegő, vagy tömítetlen, illetve nyitott töltő, vagy lejtő szerkezetű kocsik körzetébe illetéktelen személyek ne jussanak be. Figyelembe kell venni az eset-leges lakó-, ipari-, közlekedési objektumokat is a veszé-lyeztetés elkerülése érdekében.

4.12.13. A kivonuló egység vezetője felelős:− az egységnek a legrövidebb időn belül és a legrövi-

debb útvonalon a kárhelyre érkezéséért,− az egység vezetője által kevésbé, vagy egyáltalán

nem ismert anyagok esetében a segédletekből, ennek hiá-nyában a feladótól vagy az átvevőtől az anyag tulajdonsá-gaira, az alkalmazott elhárítási módra és eszközökre vo-natkozó ismeretek megszerzéséért,− az elhárítás előkészítéséért (pl. mentesítő (közömbö-

sítő) anyagok helyszínre szállítása, vontatójármű, védőkocsi igénylése).

4.13. A veszélyes áru ellenőrizetlen szabadba jutá-sának elhárítása

4.13.1. A helyszínre érkezés után a VVESz ügyeletes vezetője a kapott információkat a helyszínen köteles ki-egészíteni a veszélyhelyzet körülményeire és az elhárítás módjára vonatkozó adatokkal.

4.13.2. Amennyiben a baleset következtében veszélyes áruval rakott kocsi sérült, kisiklott vagy felborult és a VVESz biztonsági felügyeletet lát el, úgy a kárhelyparancsnoknak a VVESz ügyeletes vezetőjének vegyi- és tűzvédelmi vonatkozású észrevételei kötelező fi gyelembevételével kell a segélynyújtási, elhárítási mun-kákat szervezni és irányítani.

A veszélyes áru ellenőrizetlen szabadba jutása esetén a kárhelyparancsnoki feladatokat a további veszélyek meg-szüntetéséig a VVESz ügyeletes vezetője látja el.

4.13.3. A VVESz ügyeletes vezetője – a nem baleseti következményként történt veszélyes áru ellenőrizetlen szabadba jutása esetén – köteles folyamatosan tájékoztat-ni a hálózati főüzemirányítót, az érintett vasútvállalat árufuvarozási hálózati főirányítóját, illetve a rendkívüli helyzeteket kezelő irányítót a munkák menetéről, a befe-jezés és normál üzem felvételéről, várható időpontjáról.

4.13.4. A VVESz ügyeletes vezetője bármilyen jellegű kivonulás esetén, (pl. szaktanácsadás, felügyelet ellátás, kényszer átfejtés) Vegyi Elhárítási Jegyzőkönyvet köteles kitölteni (11. sz. melléklet). Veszélyes áru ellenőrizetlen szabadba jutása esetén az eseményről a Balesetvizsgálati Utasításban szabályozott „Ténymegállapítási jelentés ve-szélyes áru ellenőrizetlen szabadba jutásáról” c. forma-nyomtatványt is köteles kitölteni. A jegyzőkönyv egy példányát az érintettek megkapják.

4.13.5. A VVESz ügyeletes vezetője a helyzet felméré-se és az időjárási viszonyok alapján intézkedik a munka-erőváltás lebonyolítására, annak fi gyelembevételével, hogy a munkák folyamata ne szakadjon meg.

4.13.6. Amennyiben – a VVESz mérései alapján – a munkaterületen mérgező anyagok, vagy a légterében egészségre ártalmas gázok tűréshatáron felüli tömény-


ségben mutathatók ki, a megfelelő számú egyéni védőfel-szerelés biztosítását a VVESz ügyeletes vezetőjének vagy a kárhelyparancsnoknak a hálózati főüzemirányítón keresztül kell kérnie az Országos Katasztrófavédelmi Fő-igazgatóság főügyeletétől (4.9.8 pont).

4.13.7. A VVESz ügyeletes vezetője az elhárítási mun-kák befejezés után a vasúti kocsikkal kapcsolatos teendő-ket fuvarozási naplóban köteles bejegyezni, és az érintett vasúttársaság árufuvarozási hálózati főirányítónak, amennyiben ilyen nincs akkor a kijelölt kapcsolattartó személynek telefaxon, illetőleg a lehetőségekhez mérten e-mail-ben bejelenteni. A vasúti terület mentesítésének szükségességét a forgalmi szolgálattevőnél a fejrovatos naplóba köteles bejegyezni és a hálózati főüzemirányítónak jelenteni.

4.13.8. Ideiglenes javítás esetén gondoskodni kell ar-ról, hogy a szolgálatban lévő kocsivizsgáló a javított ko-csit megfelelő módon bárcázza le.

4.13.9. Sikertelen elhárítás esetén a VVESz addig nem hagyhatja el a helyszínt, amíg a sérült kocsi megfelelő őr-zéséről – az árufuvarozási hálózati főirányítóval vagy a MÁV Vasútőr Kft. személyzetirányítójával történt egyez-tetés alapján – nem gondoskodott, vagy a MÁV társasá-gokon kívüli vállalkozás az elhárítást nem fejezte be. A terület mentesítésekor – szükség esetén – az Egészség-, Biztonság- és Környezetvédelmi Osztály a VVESz szak-felügyeletét kérheti.

4.13.10. A környezetvédelmi mentesítés részletes sza-bályait külön utasítás tartalmazza.

5.0 HATÁLYBALÉPTETÉS

Az Utasítás a kihirdetés napján lép hatályba.

6.0 MELLÉKLETEK JEGYZÉKE

1.sz. ÖTM Országos Katasztrófavédelmi Főigazgató-ság és a MÁV Zrt. Vezérigazgatósága közötti Együttmű-ködési Megállapodás kivonata.

2.sz. A kárhelyparancsnok (helyettes) feladatai.3.sz. Adatlap a rendkívüli esemény következményei-

ről.4.A.sz. A MÁV-GÉPÉSZET Zrt. műszaki mentő és se-

gélynyújtó egységek telepítési helyei.4.B.sz. A MÁV-GÉPÉSZET Zrt. vasúti vegyi elhárító

egység telepítési helye.4.C.sz. A Rail Cargo Hungária Zrt. vasúti vegyi elhárí-

tó egységek telepítési helyei.5.sz. Irányelvek a következményektől függően alkal-

mazandó műszaki mentő és segélynyújtó egységekre.6.sz. MD 600 sorozatú daru főbb adatai.7.sz. MD 1250 sorozatú daru főbb adatai.8.sz. KRC 1220 sorozatú daru főbb adatai.9.sz. A Lucas típusú hidraulikus emelők.10.sz. A Katasztrófavédelmi Igazgatóságok Veszély-

helyzeti Felderítő Szolgálatának (VFSZ) és Veszélyhely-zeti Felderítő csoportjainak(VFCS) riszthatósága és igénybevétele.

11.sz. Vegyi Elhárítási Jegyzőkönyv.

Andrási Miklós s.k.elnök-vezérigazgató


1. sz. melléklet

Kivonat a MegállapodásbólORSZÁGOS KATASZTRÓFAVÉDELMI

FŐIGAZGATÓSÁGés a

MAGYAR ÁLLAMVASUTAK Zrt.VEZÉRIGAZGATÓSÁGA

együttműködési megállapodást köt.

1. Az együttműködésben foglaltak hatálya kiterjed

– az OKF és a MÁV Zrt. mindazon tevékenységi terü-leteire, amelyek a két szervezet szakmai munkájának ke-retében az egymást kölcsönösen segítő intézkedések ösz-szehangolásához szükségesek.

– a MÁV Zrt-n keresztül a MÁV-GÉPÉSZET Zrt., a MÁV-TRAKCIÓ Zrt., a MÁV-START Zrt. társaságokra (továbbiakban: MÁV Csoport).

– azon – további – vasúti társaságokra, melyek az Együttműködési Megállapodáshoz (továbbiakban: Meg-állapodás) csatlakozási nyilatkozat alapján – a MÁV Zrt-n keresztül – csatlakoztak, és a nyilatkozat mellékleteiben feltüntetett erőiket, eszközeiket az együttműködéshez felajánlják.

2. Általános – mindkét félre vonatkozó rendelkezé-sek

2.1. A területi (helyi) értesítési, riasztási és intézkedési kötelezettségeken túlmenően az OKF Központi Ügyelete és a MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányító) kölcsönösen telefonon tájékoztatja egymást a MÁV Cso-port, illetve a csatlakozó vasúti társaságok területén be-következett mindazon – területi szerveik által jelentett – rendkívüli eseményekről, melyek következtében

– az életmentési feladatok,– a tüzek oltása,– a jelentős vagyoni kár felszámolása, a további ve-

szélyhelyzet kialakulásának megelőzése, illetve a helyre-állítás segítése,

– a veszélyes áruk – Veszélyes áruk nemzetközi vasúti fuvarozásáról szóló szabályzat (RID) szerinti – ellenőri-zetlen szabadba jutása

a katasztrófavédelem polgári védelmi szervezeteinek, a hivatásos önkormányzati-, az önkéntes és létesítményi tűzoltóságok erőinek, eszközeinek igénybevételét szük-ségessé teszik, illetve – a MÁV Csoport területén kívüli esetben (a mentéshez a MÁV Csoportba tartozó és a csat-lakozó vasúti társaságok segélynyújtó és elhárító egysé-geinek a közreműködése szükséges.

2.2. Kölcsönösen tájékoztatják egymást – e megállapo-dás mellékleteiben feltüntetve – azokról, az országban igénybe vehető főbb segélynyújtó és műszaki mentő esz-közeikről, berendezéseikről, amelyek alkalmasak a MÁV

Csoport és a csatlakozó vasúti társaságok területén, illet-ve azon kívül előforduló rendkívüli események következ-ményeinek elhárításához.

2.3. Kölcsönösen és térítésmentesen biztosítják egy-más részére az élet- és vagyonmentéshez, valamint a kár-elhárításhoz a szaktanácsadók, valamint a speciális esz-közök, tűzoltószerek, műszaki berendezések, védőruhák, anyagok igénybevételét.

Az élet- és vagyonmentéshez, valamint a kárelhárítás-hoz igénybevett speciális eszközök, tűzoltószerek, mű-szaki berendezések, védőruhák, anyagok költségei meg-térítésével kapcsolatban a vonatkozó jogszabályok szerint járnak el.

3. Az OKF vállalja

3.1. A MÁV Csoport és a csatlakozó vasúti társaságok területén bekövetkezett káresemények helyszínén – a vo-natkozó jogszabályban előírtak teljesítésén túl – gondos-kodik a MÁV Zrt. Műszaki Mentési és Segélynyújtási Utasítása szerint eljáró kárhely parancsnok (MÁV elhárí-tás vezetője) megfelelő informálásáról. a Megállapodás keretében biztosítandó segítségnyújtásról, az 1. és 2. szá-mú mellékletben foglalt erők eszközök – szükség szerinti – kirendeléséről. Az együttesen végzett mentési és elhá-rítási munkák esetén kölcsönösen egyeztetik a kárfelszá-molás érdekében szükséges feladatok végrehajtását.

3.2. Rendkívüli esemény bekövetkezésekor az illeté-kes megyei közgyűlés elnökénél (főpolgármesternél) – szükség esetén – kezdeményezi a területi polgári védelmi szervezetek vezetésbiztosító és híradó, valamint kárfel-számolási szakszolgálat parancsnokság keretében létre-hozott szakalegységeinek bevonását a veszélyeztetett vasúti területen dolgozók és a lakosság lehetőség szerinti gyors riasztásába és informálásába, valamint a védekezé-si feladatok végrehajtásába.

3.3. A Veszélyhelyzeti Felderítő Szolgálat (továbbiak-ban: VFSZ) és a Veszélyhelyzeti Felderítő Csoportok (to-vábbiakban: VFCS-k) segítséget nyújtanak a vasúton fu-varozott, illetve tárolt fokozottan veszélyes anyaggal be-következett rendkívüli eseményeknél az anyag azonosí-tásához, és ehhez technikai eszközöket és személyzetet biztosítanak. Közreműködnek közvetlen életveszély ese-tén a mentésben, az elsősegélynyújtásban, a károk felmé-résében, kiterjedésének megelőzésében (csökkentésé-ben), mentesítésében.

4. A MÁV Zrt. vállalja

4.1. A bekövetkezett súlyos következményű vasúti bal-esetekről, tűzesetekről katasztrófát okozó veszélyes anyagok szabadba jutásáról, amikor a személyi sérülés-hez, nagy értékű dologi kár elhárításához a tűzoltóság illetve a polgári védelem segítsége szükséges, a MÁV


Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányítója) haladéktalanul értesíti az OKF Központi Ügyeletét, a MÁV Zrt. területi főüzemirányítója pedig az OKF területileg illetékes ügyeletét.

4.2. A Megállapodásban foglaltakat – a hatályba lépé-sével egyidejűleg – a MÁV Csoportba tartozó MÁV-GÉPÉSZET Zrt., MÁV-TRAKCIÓ Zrt., MÁV-START Zrt. társaságokra kötelező érvénnyel kiterjeszti, a végre-hajtást koordinálja. Az erről szóló ügyirat eredeti példá-nyát, valamint az igénybe vehető erőiket, eszközeiket és a riasztásuk módját e Megállapodás 3. számú melléklete tartalmazza.

4.3. Csatlakozási Nyilatkozatban (továbbiakban: Nyi-latkozat) foglaltak alapján koordinálja a Megállapodás-hoz a MÁV Zrt-n keresztül csatlakozó vasúti társaságok-kal történő együttműködést, a Nyilatkozatokban feltünte-tett erők, eszközök igénybevételét. A Nyilatkozatok ere-deti példányait e Megállapodás mellékleteiként csatolja, melyek tartalmi követelményeit e Megállapodás 4. számú melléklete tartalmazza.

4.4. A MÁV Zrt. Üzemirányító Központ hálózati főüzemirányítója (rendkívüli helyzeteket kezelő irányító-ja) az OKF Központi Ügyeletének igényére – a MÁV Csoport és a csatlakozó vasúti társaságok területén kívül történt rendkívüli esetben is – riasztja:

– veszélyes anyag ellenőrizetlen szabadba jutás esetén a MÁV-GÉPÉSZET Zrt. Vasúti Vegyi Elhárító Szolgála-tát,

– súlyos következményű baleset és más rendkívüli esetben a MÁV-GÉPÉSZET Zrt. műszaki-mentő és se-gélynyújtó egységét,

– a vasúti pályához közeli tűzesetek oltásához a MÁV-GÉPÉSZET Zrt. által a mellékletben meghatározott he-lyeken készenlétben tartott vízszállító tartálykocsikat, melyek segítséget nyújtanak a mentési (oltási) és védelmi feladatok ellátásához.

2. sz. melléklet

A KÁRHELYPARANCSNOK és HELYETTES FELADATAI

A kárhelyparancsnok és kárhelyparancsnok-helyettes: Riasztás után – a káresemény helyszínére indulás

előtt – tájékozódjanak a területi főüzemirányítótól a ren-delkezésre álló információkról, a következményekről, és közösen döntsenek az elsődleges intézkedésekről, a mű-szaki mentőegység(ek) riasztásáról.

Az esemény helyszínén mérjék fel a helyreállításhoz szükséges személyi és tárgyi feltételeket, és egyeztetés után intézkedjenek – amennyiben szükséges – a további segélynyújtó és elhárító egységek, eszközök kirendelésé-re, igénybevételére.

A kárhelyparancsnok: Személyek mentése esetén intézkedjen a tűzoltóság

és a mentők igénye szerint a szükséges személyi vagy műszaki segítségnyújtás biztosítására.

Egyeztesse és koordinálja a feladatokat a közremű-ködő szervezetek helyszíni munkairányítóival, és dönt-sön az elvégzendő munkák sorrendjéről. A kárhely--parancsnok utasítását az elhárításban résztvevőknek ma-radéktalanul végre kell hajtani.

Folyamatosan működjön együtt a balesetvizsgáló bizottsággal, illetve a helyszínelést végző hatóságokkal.

Egyeztesse és koordinálja a feladatok végrehajtását a forgalmi összekötővel és vegye fi gyelembe a forgalmi igényeket.

Intézkedjen a további segélynyújtó és elhárító egy-ségek, eszközök kirendelésére, az elhárítási munkák biz-tosításához.

Tartson folyamatos kapcsolatot a hálózati és területi főüzemirányítóval, a rendkívüli helyzeteket kezelő irá-nyítóval, a hálózati operatív fődiszpécserekkel, villamos üzemirányítókkal, adjon rendszeres tájékoztatást az elhá-rítási munkák állásáról.

Szükség esetén az operatív főirányítón, fődiszpé-csereken, villamos üzemirányítókon keresztül kezdemé-nyezze a külső vállalkozások bevonását a helyreállításba.

Szükség esetén kezdeményezze a katasztrófavédel-mi szervezet és a honvédségi erők közreműködését az elhárítási munkákban.

A helyreállítási munkák során intézkedjen a szüksé-ges forgalomkorlátozások előjegyeztetésére, útátjárók, műtárgyak lezárására, vágányzár, lassújel, vagy felső-ve-zetéki berendezéssel ellátott pályán a feszültség-mentesí-tés bevezetésének elrendelésére.


3.sz. melléklet

Adatlap a rendkívüli esemény következményeiről


4.A.sz. melléklet

A MÁV-GÉPÉSZET Zrt. műszaki mentő és segélynyújtó egységek telepítési helyei.

Sorszám Telepítési hely Baleseti segélynyújtó egységek felsorolása Kivonulási létszám meghatározása

1. Ferencváros – közúti–vasúti segélynyújtó UNIMOG gép-jármű (KVSU–01)– vasúti segélynyújtó szerelvény– MD–603 psz. vasúti segélynyújtó darusze-relvény (nagyjavítás után MD 605 psz.)

6 fő

+ 1 fő

2. Székesfehérvár – RÁBA közúti segélynyújtó gépkocsi– MD–1252 psz. vasúti segély-nyújtó daru-szerelvény (nagyjavítás után MD 1253 psz.)

6 fő

+ 1 fő3. Győr – vasúti segélynyújtó szerelvény 6 fő4. Szolnok – vasúti segélynyújtó szerelvény

– KRC 1220 sor. vasúti segélynyújtó daru-szerelvény

6 fő+ 2 fő

5. Miskolc – vasúti segélynyújtó szerelvény 6 fő6. Debrecen – RÁBA közúti- vasúti segélynyújtó gépjár-

mű6 fő

7. Szeged – TÁTRA közúti segélynyújtó gépjármű– vasúti segélynyújtó szerelvény

6 fő

8. Dombóvár – vasúti segélynyújtó szerelvény 6 fő9. Szombathely – TÁTRA közúti segélynyújtó gépjármű

– vasúti segélynyújtó szerelvény6 fő

10. Záhony – vasúti segélynyújtó szerelvény(normál nyomtávú)– vasúti segélynyújtó szerelvény(széles nyomtávú)

6 fő

4. B sz. melléklet

A MÁV-GÉPÉSZET Zrt. közúti vegyi elhárító egység telepítési helye

Telepítési hely Közúti vegyi elhárító egység telepítési helyeiBudapest Ferencváros -Vasúti Vegyi Elhárító Szolgálat

4. C sz. melléklet

A Rail Cargo Hungária Zrt. közúti vegyi elhárító egységtelepítési helye

Telepítési helyVegyi Elhárító Egység

Záhony - Vasúti Vegyi Elhárító Szolgálat Kirendeltség


5.sz. melléklet

Irányelvek a következményektől függően alkalmazandóműszaki mentő és segélynyújtó egységekre

Műszaki mentő és segélynyújtó eszközök Hidraulikus emelő MD 600 MD 1250 és

KRC 12201. Állomási vágány hálózat:- folyó vágányon siklott jármű +- váltókörzetben egyszerű siklás +- váltókörzetben több kocsi siklása x +- kis állomás, kevés vágány +- kis távolságban keresztmező + x -

2. Nyílt vonali vágány hálózat:Egy vágányú pályán:- egy kocsi siklott +- több jármű siklott + + x- nagy túlemelés, több jármű + - -

Kettő vagy több vágányú pályán:- egyik vágányon egy kocsi +- egyik vágányon több kocsi x + x- mindkét vágány több kocsival zárva x +

1. és 2. területen a siklott járművek tömege, rakomá-nyának helyzete:– könnyű, kevés jármű, sínhez közel +– mozdony keresztbefordulva x +– rakott jármű mindkét oldalon besüllyedve +– könnyű jármű vágánytól távol +– rakott, nehéz vágánytól messze - +– jármű pályaszint alatt (töltéshez viszonyítva/ - +– könnyű jármű felborulva +– rakott, nehéz jármű felborulva - +– több könnyű jármű egymáson - + +

– több jármű és rakomány egymáson több egység egyidejű munkája

A táblázat jelölései a következők:+ a használat egyértelműen kedvezőbb,x vagylagosan választható,– egyértelműen kizárható.

A vasúti eszközökön kívül fi gyelembe veendők a 10. sz. mellékletben foglaltak.


6.sz. melléklet

MD 600 sorozatú daru főbb adatai


7.sz. melléklet

MD 1250 sorozatú daru főbb adatai


8.sz. melléklet

KRC 1220 sorozatú daru főbb adatai


9.sz. melléklet

A Lucas típusú hidraulikus emelők


10./1.sz.melléklet

Az Országos Katasztrófavédelmi IgazgatóságVeszélyhelyzeti Felderítő Szolgálat (továbbiakban: VFSZ) és aVeszélyhelyzeti Felderítő Csoportok (továbbiakban: VFCS-k)

riaszthatósága és igénybevétele:

A VFSZ és a VFCS-k riasztása és igénybevétele az OKF Központi Ügyeletén keresztül történik. Telefon: +36 1 469-4349, +36 1 469-4293 és +36 1 469-4168.

A VFSZ riasztásának ideje: 2 perc. A VFCS riasztásának ideje: munkaidőben 20 perc, hivatali időn kívül legfeljebb 60 perc.

A Regionális Műszaki Mentő Bázisok (a továbbiakban: Bázis) alkalmazhatósága és felszerelései, a bázisokat üze-meltető tűzoltóságok és járműveik:

• Fővárosi Tűzoltóparancsnokságjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Debrecen HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Győr HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Miskolc HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Pécs HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Szeged HÖTjárművek: műszaki mentő és vegyi-elhárító konténer• Szolnok HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Veszprém HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer• Zalaegerszeg HÖTjárművek: daru, műszaki mentő és vegyi-elhárító konténer

A Bázisok működési területét a Riasztási és Segítségnyújtási Tervről, a hivatásos önkormányzati és az önkéntes tűzoltóságok működési területéről, valamint a tűzoltóságok vonulásaival kapcsolatos költségek megtérítéséről szóló 57/2005. (XI. 30.) BM rendelet (a továbbiakban: rendelet) 5. számú melléklete tartalmazza.


10./2.sz.melléklet

A VFSZ és a VFCS-k működési területe és szakfelszerelései:

Telepítési hely(megyei katasztrófavédelmi igaz-

gatóságok székhelyén)Működési terület Szakfelszerelések,

alkalmazhatóság

Kecskemét Bács-Kiskun megye Mikrometeorológia, Gázkoncentrá-ció mérés, Sugárzásmérés, Biológiai mintavevők, Bőr- és légzésvédők, Hírforgalmi és adatfeldolgozó esz-közök, Áramfejlesztő, Mentesítő (fertőtlenítő) felszerelés (3 fő részé-re), Lakosság-tájékoztató eszközök.3 fős állomány: csoportvezető, tech-nikus, gépjárművezetőFeladatuk: a veszélyes anyagok je-lenlétével, kiszabadulásával, kör-nyezetbe kerülésével járó balesetek, természeti és civilizációs katasztró-fák esetén a beavatkozói állomány, a lakosság és az anyagi javak védel-mének érdekében felderítés, szakér-tői feladatok ellátása, lakosságtájé-koztatás, az elsődleges beavatkozók (tűzoltók) védelme, kárhely-pa-rancsnok alárendeltségében szakér-tői feladatok végzése.

Pécs Baranya megyeMiskolc Borsod-Abaúj-Zemplén megyeSzeged Csongrád megyei VFCS) Csongrád megye és Békés megyeSzékesfehérvár Fejér megyeDebrecen Hajdú-Bihar megyeEger Heves megyeGyőr Győr-Moson-Sopron megye Szolnok Jász-Nagykun-Szolnok megyeTatabánya Komárom-Esztergom megyeSalgótarján Nógrád megyeKaposvár Somogy megyeNyíregyháza Szabolcs-Szatmár-Bereg megyeSzekszárd Tolna megyeSzombathely Vas megyeVeszprém Veszprém megyeZalaegerszeg Zala megyeBudapest (Fővárosi VFCS, Fővárosi Polgári Védelmi Igazgatóság, FPVI Bázisán)

Pest megye

Budapest (VFSZ, Fővárosi Polgári Védelmi Igazgatóság Bázisán)

Budapest Főváros(Fővárosi Tűzoltó-parancsnokság, FTP elsődleges működési körzetével azonos terület)


11./1. sz. melléklet

Vegyi Elhárítási Jegyzőkönyv.


11./2. sz. melléklet


egyes humán tárgyú utasításokhatályon kívül helyezéséről

1.0 AZ UTASITÁS CÉLJA

A Humánerőforrás Igazgatóság tevékenységi körébe tartozó még hatályban lévő normatív utasítások hatályon kívül helyezése jogszabályi, szervezeti és működési fo-lyamatbeli változások miatt.

2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA

2.1 Az utasítás hatálya

Az utasítás hatálya kiterjed a MÁV Zrt. valamennyi munkavállalójára.

2.2. Az utasítás kidolgozásáért és karbantartásáért felelős

Az utasítás kidolgozásáért a Humánerőforrás Igazga-tóság a felelős.

3.0 FOGALMAK MEGHATÁROZÁSA

Külön meghatározás nem szükséges.

4.0 AZ UTASITÁS LEIRÁSA

Az utasításhoz külön leírás nem szükséges.

5.0 HIVATKOZÁSOK, MÓDOSITÁSOK HATÁ-LYON KÍVÜL HELYEZÉSEK

Jelen utasítás kiadásával hatályukat veszítik az alábbi-akban felsorolt utasítások:

1. 3/2008. (II. 8. MÁV Ért. 3.) VIG. sz. vezérigazgatói utasítás a MÁV Zrt. 2008. évi bérintézkedéseiről és a bé-ren kívüli juttatások feltételeiről

2. (I.9. MÁV Ért. 1.) A MÁV Zrt. 2009. évi bérintézke-déseiről és a béren kívüli juttatások feltételeiről szóló megállapodás

3. 13/2009. (II. 6. MÁV Ért. 5.) VIG sz. vezérigazgatói utasítás a 2009. évi személyi alapbérfejlesztés végrehajtá-sáról a 6-17 MMK-ban

Indoklás: Az utasítások a 2008. vagy 2009. évi Bérin-tézkedésekről szóló megállapodás kiadásáról és azokkal összefüggő intézkedésekről szólnak. Tekintettel arra, hogy a 2008. és 2009. évi Bérmegállapodások a tárgyév-ben teljesültek, ezért a kihirdetésükről szóló utasítások hatályon kívül helyezését kérjük.

4. 110/2000. (MÁV Ért. 47.) FMKF. sz. utasítás a hideg környezetben végzett munka munkaszervezési intézke-déseiről

5. 55/2009 (VIII.28. MÁV Ért.25.) VIG számú vezér-igazgatói utasítás a MÁV Zrt. munkavállalóinak nyelvtu-dási pótlékáról

Indoklás: A 2010. február 1-től hatályos Kollektív Szerződés rendelkezik a tárgykörben hatályos szabályok-ról, külön utasításban történő rendelkezés szükségtelen.

6. 70/2003. (MÁV Ért. 19.) ISZF. sz. utasítás a Kollek-tív Szerződés egyes rendelkezéseinek közös értelmezésé-ről szóló megállapodásról

Indoklás: A 2009. és 2010. évi Kollektív Szerződés záró rendelkezésében foglalt szabályok alapján indokolt a ha-tályon kívül helyezés.

7. 1/2005. (I. 07. MÁV Ért. 1.) Jog-vezérigazgatói utasí-tás a közbeszerzések végrehajtása a MÁV Rt. területén, illetve a 32/2005. (IX. 16. MÁV Ért. 37.) Jog-vezérigazga-tói utasítás a közbeszerzések végrehajtásáról a MÁV Rt. területén tárgyú 1/2005.(I. 07. MÁV Ért. 1.) VIG sz. uta-sítás 1. sz. módosítása.

Indoklás: A 32/2010. (VI. 04. MÁV Ért. 18.) EVIG sz. elnök-vezérigazgatói utasítás a MÁV Zrt. Közbeszerzési Szabályzatáról alapján indokoltak a hatályon kívül hely-ezések.

6.0 HATÁLYBA LÉPTETÉS

Jelen utasítás a közzététele napján lép hatályba.

7.0 MELLÉKLETEK

Az utasításhoz melléklet nem tartozik.




külső féltől bérelt munkásszállásigénybevételének rendje

1.0 AZ UTASÍTÁS CÉLJA

A MÁV Zrt. által külső féltől bérelt munkásszállások igénybevételével kapcsolatos tevékenységek és folyama-tok egységes szabályozásának kialakítása, továbbá a ha-tásköri, ügyviteli és technikai szabályok meghatározása.

2.0 HATÁLY- ÉS FELELŐSSÉG MEGHATÁRO-ZÁSA

2.1. Az utasítás hatálya

Személyi, szervezeti hatálya kiterjed a MÁV Zrt. vala-mennyi szervezeti egységére és valamennyi munkaválla-lójára.

2.2. Felelősség

Jelen utasítás kidolgozásáért és karbantartásáért a Hu-mánerőforrás Igazgatóság Folyamat és Működés Fejlesz-tés szervezete, a működtetéséért a Humánerőforrás Igaz-gatója, munkáltatói jogkörgyakorlók és a folyamatban résztvevő szervezetek a felelősek.

3.0 FOGALOM-MEGHATÁROZÁSOK

Munkásszállás: a MÁV Zrt. által bérelt olyan szállás-hely, amely lakóhelyiségenként egynél több, a MÁV Zrt-vel munkaviszonyban lévő olyan magánszemélyek elhe-lyezésére szolgál, akiknek nincs lakóhelyük azon a tele-pülésen, ahol a munkahelyük van.

Munkásszállás koordinátor: A MÁV Zrt. és a mun-kásszállást biztosító külső fél közötti kapcsolattartó sze-mély, a Humánerőforrás Igazgatóság Folyamat- és Műkö-désfejlesztés szervezetén belül látja el ezen tevékenysé-get.

Üzemeltető: MÁV Zrt. által bérelt kereskedelmi szál-láshely szolgáltatója. Feladatait, kötelezettségeit a mun-kásszállói férőhely biztosítására a MÁV Zrt. és az üze-meltető között kötött szerződés szabályozza.

Kategória: A kategória besorolást a 4.sz. melléklet tartalmazza.

4.0 AZ UTASÍTÁS LEÍRÁSA

4.1. Férőhelyek megosztása

A munkásszálló férőhelyeinek szervezeti egységek kö-zötti megosztásáról – a csoportszintű vasúti érdekek fi -

gyelembe vételével – a MÁV Zrt. Humánerőforrás Igaz-gatója rendelkezhet a munkáltatói jogkörgyakorló kérel-mére a foglalkoztatáspolitikai szempontok alapján.

4.2. Munkavállaló elhelyezése

4.2.1. Az igénybevétel feltételei

A MÁV Zrt. által biztosított munkásszállók férőhelyé-nek igénybevételét jelen utasítás szabályozza, összhang-ban a MÁV Zrt. Kollektív Szerződésének 66.§.-ában meghatározottak szerint.

A munkásszállón lakók jogait és kötelezettségeit a munkásszálló házirendje tartalmazza, melynek megis-merése és betartása a munkavállaló kötelessége. A házi-rend a szobákban elhelyezett helyiségdokumentáció ré-sze, melyet a munkásszállás üzemeltetője biztosít.

A munkásszállói férőhelyet igénybevevő a használatra átvett felszerelésért, és berendezésért anyagilag felelős. A munkásszálló felszerelésében, berendezésében okozott kárt, annak okozója köteles megtéríteni. A károk, hiá-nyosságok bejelentése a munkásszálló üzemeltetője által megjelölt személynek minden munkásszállói férőhelyet igénybevevő érdeke és kötelessége.

Kizárja a kérelem benyújtását az alábbi tények közül bármelyik:

a. Nem rendelkezik állandó bejelentett lakóhellyel, ki-vételt képeznek az állami gondozásból munkásszállásra költözők.

b. A munkahellyel azonos közigazgatási helységben beköltözhető, lakástulajdonnal, vagy lakásbérlettel ren-delkezik.

4.2.2. Munkavállaló munkásszálláson történő elhe-lyezésének menete, szabályai

4.2.2.1. Munkásszálláson történő elhelyezés igény-lése

A munkavállaló munkásszálláson történő elhelyezési igényét az illetékes munkáltatói jogkörgyakorló felé küldi meg, kizárólag írásban, az utasítás 1.sz. mellékletét képe-ző „KÉRELEM” nyomtatvány 1. pontjának kitöltésével és aláírásával.

Az illetékes munkáltatói jogkörgyakorló a benyújtott kérelem esetén köteles megvizsgálni, hogy a kérelem be-nyújtásának van-e kizáró oka és a foglalkoztatáspolitikai szempontoknak megfelel-e. Erről nyilatkoznia szükséges a „KÉRELEM” nyomtatvány 2. pontjában.

A foglalkoztatáspolitikai szempontok az alábbiak: A MÁV Zrt szervezeti optimalizálása során a mun-

kavállaló a migrációt vállalja, A munkakör betöltése hosszú ideje nem megoldott

(a meghirdetéstől számítva több mint 2 hónap),


A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás együttes ideje több mint 2 óra,

A munkakört betöltő személy munkásszálláson tör-ténő elhelyezése nélkülözhetetlen a szervezet feladatai-nak folyamatos ellátása tekintetében,

Kizáró ok fennállása esetén és/vagy ha a kérelem egyetlen foglalkoztatáspolitikai szempontnak sem felel meg, a munkáltatói jogkörgyakorló a munkavállaló ré-szére hivatalos írásos formában visszautasítja a kérelmet az ok megjelölésével.

Amennyiben nincs kizáró ok és a foglalkoztatáspoliti-kai szempontoknak is megfelel a munkavállalói kérelem, a munkáltatói jogkörgyakorló a munkavállaló kérelmé-nek támogatása – a kérelem (1.sz. melléklet) 2. pontjának kitöltése, aláírás – esetén engedélyezés céljából elsősor-ban elektronikus úton (szkennelve, e-mailen: [email protected]) továbbítja a kérelmet az utasítás 2.sz.mellékletét képező kitöltött, aláírt „NYILAT-KOZAT”-tal együtt a MÁV Zrt. Humánerőforrás Igazga-tója felé a Folyamat- és Működésfejlesztés szervezeten keresztül.

A munkásszállás koordinátor a MÁV Zrt. Humánerő-forrás Igazgató részére döntésre előkészíti a munkásszál-lás elhelyezésre megküldött kérelmet (1.sz. melléklet)− felveszi a kapcsolatot a munkásszállást biztosító üze-

meltetővel,− a kérelem (1.sz. melléklet) 3.pontját kitölti és aláírja.

Férőhely hiányában a munkásszállás koordinátor a ké-relmet támogató munkáltató jogkörgyakorló részére ezen tényt visszajelzi, és tájékoztatja arról, hogy a kérelem adatbázisba került. Üresedés esetén értesítést küld a munkáltatói jogkörgyakorló felé, aki megerősíti, hogy az igényt továbbra is fenntartja.

A MÁV Zrt. Humánerőforrás Igazgató az illetékes munkáltatói jogkörgyakorló vezető javaslata és a gazda-sági és humánpolitikai csoportszintű vasúti érdekek fi -gyelembevételével dönt az érintett munkavállaló mun-kásszálláson történő elhelyezéséről (1.sz. melléklet 4. pontja) a rendelkezésre álló kontingens fi gyelembevételé-vel.

A munkásszállás koordinátor a Humánerőforrás Igaz-gató támogató döntéséről tájékoztatja az érintett munkál-tatói jogkörgyakorlót, másolatban az illetékes humán-partnert a kérelem (1.sz. melléklet) 5. pontjának kitöltése és aláírása után, annak elektronikus úton való megküldé-sével.

Támogató döntést követően a munkásszállás koordiná-tor az SAP HR rendszer 9-es, „MÁV által biztosított munkásszállás” cím infotípuson rögzíti az adott munka-

vállalóhoz tartozó munkásszállás címet, a kérelmet (1.sz. melléklet) 5.pontjának kitöltése és aláírása után elektro-nikus úton megküldi az illetékes munkáltatói jogkörgya-korló vezető és a Humánszolgáltatás Back Offi ce szerve-zete részére. Ez utóbbi szervezet részére a munkásszállás koordinátor a kérelemhez (1.sz. melléklet) csatolt kitöl-tött, aláírt nyilatkozatot (2.sz. melléklet) papíralapon is továbbítja.

A Humánszolgáltatás Back Offi ce szervezet a megkül-dött kérelem és a nyilatkozat alapján:

• a kérelmet az SAP HR rendszerbe szkennelt doku-mentumként feltölti és az érintett munkavállaló szolgála-ti táblájába helyezi,

• Intézkedik a munkásszállás igénybevételéért fi zeten-dő összeg munkabérből történő levonásáról.

A munkáltatói jogkörgyakorló a MÁV Zrt. Humánerő-forrás Igazgató támogató döntése esetén értesíti és részle-tesen tájékoztatja az érintett munkavállalót a beköltözés-hez szükséges ügyintézésről.

A munkásszállás koordinátor a Humánerőforrás Igaz-gató elutasító döntéséről tájékoztatja az érintett munkál-tatói jogkörgyakorlót, a kérelem (1.sz. melléklet 4. pontjá-ig kitöltött) elektronikus úton történő megküldésével. A munkáltatói jogkörgyakorló az elutasítás tényéről írásban tájékoztatást ad az érintett munkavállaló részére.

A 2.sz. mellékletet képező nyilatkozat megtétele nél-kül, munkavállaló részére munkásszállói férőhely nem biztosítható.

4.2.2.2. Munkásszálláson történő bejelentkezés

A munkásszállás koordinátor a munkásszállás üzemel-tetője felé a beköltözést megelőző 30 napon belül az üze-meltetővel kötött szerződés szerinti kapcsolattartó nevére és elérhetőségére a 3.sz. melléklet (MÁV Zrt. „BEUTA-LÓ”) 1. és 2.a. pontját kitölti, aláírással és bélyegzővel ellátva megküldi.

A munkavállaló a munkáltatói jogkörgyakorló tájékoz-tatása alapján a beköltözésre megjelölt időpontban és munkásszállón

• megjelenik,• az üzemeltető által biztosított 3.sz. melléklet 2.b.

pontot kitöltve és aláírva,• a házirendnek megfelelően beköltözik.A házirend megismerése és betartása a munkavállaló

kötelessége.

A munkásszállás üzemeltetője a beutalót (3.sz. mellék-let), annak 2.b. pontjának kitöltése és aláírása után, visz-szaküldi a munkásszállás koordinátor részére.


4.2.2.3 Munkásszállói férőhelyre való jogosultság, munkavállalói igény megszűnése

Amennyiben a munkásszálláson elhelyezett dolgozó-nak a munkásszállás igénybevételére való joga megszű-nik (munkaviszony megszüntetése, fegyelmi okok, stb.) a munkásszállást haladéktalanul el kell hagynia, de legké-sőbb a tárgyhó utolsó naptári napjáig. A MÁV Zrt-t elhe-lyezési kötelezettség a továbbiakban nem terheli.

A munkásszállói férőhelyet igénybe vevő munkavállaló munkásszállói férőhelyre való jogosultságának, a Kollek-tív Szerződés 66.§-ban meghatározottak szerinti megszű-néséről az érintett munkavállaló munkáltatói jogkörgya-korló vezetője elektronikus formában haladéktalanul tájé-koztatja a MÁV Zrt. Humánerőforrás Igazgatóság Folya-mat- és működésfejlesztés szervezetét és másolatban az illetékes humánpartnert. Ennek elmulasztása esetén a munkásszállás koordinátor a tájékoztatás és a kiköltözés megtörténtéig jogosult az érintett munkavállaló munkál-tatói jogkörgyakorló költséghelyére a munkásszállói férő-hely igénybevételével felmerült költséget terheltetni.

Amennyiben a munkavállaló lakhatására más megol-dást talál és a munkásszállói elhelyezést a továbbiakban nem kívánja igénybe venni, azt a munkáltatói jogkörgya-korlójának írásban köteles jelezni.

A munkáltatói jogkörgyakorló vezetője elektronikus formában haladéktalanul tájékoztatja a MÁV Zrt. Hu-mánerőforrás Igazgatóság Folyamat- és működésfejlesz-tés szervezetét és másolatban az illetékes humánpartnert a többletköltségek elkerülése érdekében.

A Humánszolgáltató Szervezet hó közben történő igény megszűnése esetén a munkásszállói férőhely teljes havi térítési díját az érintett munkavállaló munkabéréből levonja, a nyilatkozat (2.sz. melléklet) alapján.

4.2.2.4 Munkásszállásról történő kijelentkezés

A munkáltatói jogkörgyakorló vezető elektronikus for-mában értesíti a munkásszállás koordinátort legkésőbb 2 héttel korábban az érintett munkavállaló munkásszállói férőhelyre való jogosultságának megszűnéséről. Amennyi-ben az előzetes értesítés 2 hetes intervallumon belül érke-zik meg a munkásszállás koordinátor felé, az ez alapján felmerülő költség az érintett szervezeti egységet terheli.

A munkásszállás koordinátor ezen információ birtoká-ban az érintett munkavállaló beköltözéséhez korábban kitöltött, az üzemeltető által visszajuttatott BEUTALÓ-t (3.sz. melléklet), annak 3.a. pontját kitöltve haladéktala-nul visszajuttatja a munkásszállás üzemeltetőjének és a munkáltatói jogkörgyakorlónak és másolatban az illeté-kes humánpartnernek. A munkáltatói jogkörgyakorló tá-jékoztatja az érintett munkavállalót a kiköltözéssel kap-csolatosan.

Köröztetés esetén az illetékes humánpartner a munkál-tatói jogkörgyakorló tájékoztatása és az SAP-ban rögzí-tett 9-es cím „MÁV által biztosított munkásszállás” infotípus alapján köteles a köröző lapra rávezetni: „MÁV által biztosított munkásszállás férőhelyet vesz igénybe”, a munkásszálláson való tartózkodás utolsó napjának dátu-mát (év, hó, nap).

A Humánszolgáltató Szervezet a munkásszállói férő-helyre való jogosultság, munkavállalói igény hó közben történő megszűnése, megszüntetése esetén a munkás-szállói férőhely teljes havi térítési díját az érintett munka-vállaló munkabéréből levonja, a nyilatkozat (2.sz. mel-léklet) alapján.

Ebben az esetben az érintett munkavállaló tárgyhó vagy adott hónap utolsó napjáig a munkásszállóban ma-radhat.

Az érintett munkavállaló a munkásszálláson való tar-tózkodás utolsó napján köteles:

• a munkásszállóról a házirendnek megfelelően kiköl-tözni,

• az üzemeltető által biztosított 3.sz. melléklet (beuta-ló) 3.b. pontját kitölteni és aláírni,

• gondoskodni személyes tárgyainak, eszközeinek munkásszállásról, való elviteléről. Amennyiben ennek nem tesz eleget, úgy a munkásszállást üzemeltető által meghatározott időpontig köteles annak elviteléről gon-doskodni. A munkásszállást üzemeltető a meghatározott időn túl a munkavállaló személyes tárgyainak megőrzé-sére nem kötelezhető és nem köteles.

4.3. Adatszolgáltatási, elszámolási és egyéb kötele-zettség

4.3.1. Havi költségelszámolással kapcsolatos felada-tok az üzemeltető és a megrendelő munkáltatók kö-zött

Munkásszállás koordinátor

Az üzemeltető által a számla kiállítása előtt megkül-dött igénybevevői névsort és adatokat leellenőrzi a kitöl-tött munkásszálláson történő elhelyezésre vonatkozó ké-relmen szereplő munkáltatói jogkörgyakorló költségvál-laló nyilatkozata fi gyelembevételével.

Elvégzi a tényleges munkásszállás felhasználás szer-vezeti egységekre való költségmegosztást, mely alapján előkészíti az üzemeltető által kiállítandó számla mellék-letét és a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t.

Az „igénybevevői nyilvántartás adattábla” (excell ala-pú) az alábbi adatokat tartalmazza:


TörzsszámIgénybevevő munkavállaló

neve

Üzletág (Pálya=P vagy

Központ=K)

Létszámban tartó szervezet költséghely

kódja

UTK kód

(0105)

Fk.szla (516516) Összeg (Ft)

A munkásszállás számlázott költségei a 0105 (UTK) tevékenységi kódra, az 516516 főkönyvi számlára kerül-nek elszámolásra.

Az érintett költségelszámoláshoz kötődő UTK, illetve Főkönyvi számla számának változásáról haladéktalanul tájékoztatja a munkásszállás koordinátort a [email protected] e-mail címen, mely alapján van módja a munkásszállás koordinátornak ezen változást/változásokat az „igénybevevői nyilvántartás adattáblá”-n módosítani.

Humán Kontrolling

Kikontírozza a Basware rendszeren keresztül érkezett számlát az 59360 vállalati általános költséghelyre, jóvá-hagyás előtt a számlakezelő rendszerbe a munkásszállás koordinátor által megküldött excell igénybevevői nyil-vántartás adattáblát felcsatolja, ami alapján a Számviteli Szervezet a költségek szétosztását végzi.

A számlát jóváhagyásra megküldi a Humánerőforrás Igazgató részére a Basware rendszeren keresztül.

Figyelemmel kíséri minden hónapban az általános költséghely nullára való kifutását.

A MÁV Zrt. Humánerőforrás Igazgatója által leigazolt teljesítésigazolást és az alapját képező igénybevevői nyil-vántartást megküldi az üzemeltető felé.

A teljesítésigazolással egyidőben a Kontrolling Igaz-gatóság Humán Kontrolling szervezet részére elektroni-kus úton haladéktalanul megküldi a teljesítésigazolás alapját képező „igénybevevői nyilvántartás adattáblá”-t excell formátumban.

Számviteli Szervezet

Az üzemeltető által kiállított számlát és a mellékletét képező teljesítésigazolást beszkenneli a Basware rend-szerbe, és megküldi kontírozásra a Kontrolling Igazgató-ság Humán Kontrolling szervezet részére.

A Humánerőforrás Igazgató jóváhagyását követően, a Számviteli Szervezet a számla könyvelését a Humán Kontrolling által elektronikusan megküldött, könyvelési adatokat is tartalmazó „igénybevevői nyilvántartás adat-tábla” alapján végzi el. A könyvelés és a költségek szét-osztásának megtörténtéről a munkásszállás koordinátort a [email protected] e-mail címen haladéktalanul értesíti.

A Humánszolgáltató Szervezet által a munkásszállói férőhelyet igénybevevő munkavállaló béréből levont munkásszállói térítési díjat bevételként a létszámbantartó szervezet javára elszámolja.

1096 A MÁV Zrt. Értesítője 19. számFo

lyam

atle

írás

köl

tség

ek e

lszá

mol

ásár

ól

Ssz

Tevé

keny

ség

Tevé

keny

ség

inpu

tja

Tevé

keny

ség

outp

utja

Fele

lős

Tám

ogat

óIn

form

áció

t kap

óD

okum

entu

m, s

ablo

n,re

ndsz

er

1.M

unká

ltató

i nyi

latk

ozat

a

költs

égvi

selé

sről

Mun

káss

zállá

s férő-

hely

igén

ybev

étel

Mun

kálta

tói k

ölts

ég-

vise

lési

nyi

latk

ozat

Mun

kálta

tói

jogk

örgy

akor

-ló

Mun

káss

zállá

s ko

ordi

náto

rM

unká

ltató

i jog

körg

ya-

korló

köl

tség

válla

lási

nyi

-la

tkoz

ata

(kér

elem

)2.

Üze

mel

tető

álta

l meg

-kü

ldöt

t igé

nybe

vevő

i né

vsor

elle

nőrz

ése

Igén

ybev

evői

név

sor

beér

kezé

seSz

erve

zeti

egys

égen

-ké

nti k

ölts

égm

egos

z-tá

s, Ig

ényb

evevői

ny

ilván

tart

ás e

xcel

l ad

attá

bla

előá

llt

Mun

káss

zál-

lás k

oord

iná-

tor

Üze

mel

-te

tő,

mun

kál-

tató

i jog

-kö

rgya

-ko

rló

Igén

ybev

evői

nyi

lván

tar-

tás e

xcel

l ada

ttábl

aM

unká

ltató

i jog

körg

ya-

korló

köl

tség

válla

lási

nyi

-la

tkoz

ata

(kér

elem

) és

igén

ybev

evői

név

sor (

üze-

mel

tető

től)

alap

ján

3.Te

ljesít

ésig

azol

ás e

lőké

-sz

ítése

Szer

veze

ti eg

ység

en-

ként

i köl

tség

meg

osz-

tás,

Igén

ybev

evői

nyi

l-vá

ntar

tás e

xcel

l ada

t-tá

bla

előá

llt

Elők

észí

tett

telje

sí-té

sigaz

olás

Mun

káss

zál-

lás k

oord

iná-

tor

Hum

ánerőf

orrá

s ig

azga

tóTe

ljesít

ésig

azol

ás

4.Te

ljesít

és ig

azol

ása

Elők

észí

tett

telje

sítés

-ig

azol

ásLe

igaz

olt t

elje

síté-

sigaz

olás

Hum

ánerő-

forr

ás Ig

az-

gató

Mun

káss

zállá

s ko

ordi

náto

rLe

igaz

olt t

elje

sítés

igaz

olás

5.a

Telje

sítés

igaz

olás

meg

-kü

ldés

eTe

ljesít

ésig

azol

ásM

unká

sszá

l-lá

s koo

rdin

á-to

r

Üze

mel

tető

Leig

azol

t tel

jesít

ésig

azol

ás

5.b

Telje

sítés

igaz

olás

ala

p-já

t kép

ező

Igén

ybev

evői

ny

ilván

tart

ás e

xcel

l ad

attá

bla

küld

ése

Telje

sítés

igaz

olás

al

apjá

t kép

ező

Igén

y-be

vevő

i nyi

lván

tart

ás

exce

ll ad

attá

bla

Mun

káss

zál-

lás k

oord

iná-

tor

Kon

trolli

ng Ig

az-

gató

ság

Hum

án

Kon

trolli

ng

Igén

ybev

evői

nyi

lván

tar-

tás e

xcel

l ada

ttábl

a

6.Sz

ámla

foga

dása

, sz

kenn

elés

e B

asw

are

rend

szer

be, k

ontír

ozás

-ra

tová

bbítá

s

Üze

mel

tető

álta

l kiá

l-lít

ott s

zám

la, t

elje

sí-té

sigaz

olás

üze

mel

tető

ál

tal k

üldé

se

Szám

vite

lK

ontro

lling

Igaz

-ga

tósá

g H

umán

K

ontro

lling

Szám

la, t

elje

sítés

igaz

olás

7.K

ikon

tíroz

za a

Bas

war

e re

ndsz

eren

ker

eszt

ül é

r-ke

zett

szám

lát 5

9360

ál

talá

nos k

ölts

éghe

lyre

, ig

ényb

evevői

nyi

lván

-ta

rtás

exc

ell a

dattá

bla

felc

sato

lása

Kik

ontír

ozot

t köl

t-sé

g,Ig

ényb

evevői

nyi

l-vá

ntar

tás e

xcel

l ada

t-tá

bla

felc

sato

lva

Kon

trolli

ng

Igaz

gató

ság

Hum

án K

on-

trolli

ng

Hum

ánerőf

orrá

s Ig

azga

tóSz

ámvi

tel S

zer-

veze

t

19. szám A MÁV Zrt. Értesítője 1097Ss

zTe

véke

nysé

gTe

véke

nysé

g in

putj

aTe

véke

nysé

g ou

tput

jaFe

lelő

sTá

mog

ató

Info

rmác

iót k

apó

Dok

umen

tum

, sab

lon,

rend

szer

8.Sz

ámla

jóvá

hagy

ása

Mun

kálta

tói j

ogkö

rgya

-ko

rló k

ölts

égvá

llalá

si

nyila

tkoz

ata

(kér

elem

) al

apjá

n -1

.pon

t

Kon

tíroz

ásJó

váha

gyot

t szá

mla

Hum

ánerő-

forr

ás Ig

az-

gató

Szám

vite

lB

asw

are

rend

szer

9.Sz

ámla

kön

yvel

ése,

kö

ltség

ek sz

étos

ztás

a lé

tszá

mba

ntar

tó sz

erve

-ze

tre, m

unká

sszá

llói t

é-rít

ési d

íj be

véte

lkén

t va

ló e

lszá

mol

ása

Jóvá

hagy

ott s

zám

laK

ölts

égek

lekö

nyve

-lé

se 0

105

UTK

tevé

-ke

nysé

gi k

ódra

, 51

6516

főkö

nyvi

sz

ámlá

ra

Szám

vite

lLé

tszá

mba

ntar

tó

szer

veze

tB

asw

are

rend

szer

Álta

láno

s köl

tség

hely

fi g

yele

mm

el k

ísér

ése,

nu

llára

val

ó ki

futá

s

Kon

trolli

ng

Igaz

gató

ság

Hum

án

Kon

trolli

ng


Humán Szolgáltatás Információs Egység

A MÁV Zrt. Humán Szolgáltatás Szervezet Informáci-ós Egység havonta egyszer – tárgyhót követően legké-sőbb 15-éig az alábbi tartalmú adatállományt (excel for-mátumban) elektronikus úton szolgáltatja a MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és működésfej-lesztés szervezet részére azon munkaviszony megszűné-sekről, megszüntetésekről, melyek esetén „MÁV által biztosított munkásszállás” lakcímfajta adatot tartalmaz a rendszer.

– Törzsszám– Név– Szervezeti egység megnevezése– Költséghely kódja– MÁV által biztosított munkásszállás címe– Intézkedés megnevezése– Intézkedés dátuma

4.4. Díjfi zetés

A MÁV Zrt. által külső féltől bérelt munkásszálláson elhelyezett munkavállalók az elhelyezésért a MÁV Kol-lektív Szerződés 66.§.4. pontja szerinti, a munkásszállás besorolásának megfelelő térítési díjat kötelesek fi zetni. A munkavállaló által fi zetendő havi (fi x) munkásszállás té-rítési díjat a Humánerőforrás Igazgatóság Humánszolgál-tató Szervezet a jelen utasítás 2.sz. melléklet (Nyilatko-zat) alapján az érintett munkavállaló munkabéréből le-vonja.

A külső féltől bérelt munkásszállás teljes bérleti díját a munkásszállást igénybevevő munkavállaló(ka)t létszám-ban tartó szervezeti egység(ek) viseli(k), ugyanakkor a munkavállaló munkabéréből levont munkásszállói téríté-

si díj ugyanezen szervezeti egység(ek) részére bevétel-ként kerül lekönyvelésre.

Elhelyezésre nem jogosult szállásférőhelyet elfoglaló személy, térítési díjként a férőhelyre eső teljes költséget köteles megfi zetni.

4.5. Kapcsolattartás

MÁV Zrt. Humánerőforrás Igazgatóság Folyamat- és Működésfejlesztés utasításban foglalt feladataihoz kap-csolódóan az elérhetőség a [email protected] e-mail cím.

5.0 HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁ-LYON KÍVÜL HELYEZÉSEK

Jelen utasítás a MÁV Zrt. Kollektív Szerződés 66 §-a fi gyelembevételével készült.

6.0 HATÁLYBA LÉPTETŐ RENDELKEZÉS

Jelen utasítás a kiadás napján lép hatályba.

7.0 MELLÉKLETEK JEGYZÉKE

1.sz. melléklet: Kérelem munkásszálláson történő elhe-lyezésre vonatkozóan

2.sz. melléklet: Nyilatkozat bérből történő levonásra3.sz. melléklet: MÁV Zrt. „BEUTALÓ” Munkásszál-

lóra történő bejelentkezési és kijelentkeztetési nyomtat-vány

4.sz. melléklet: Külső féltől bérelt munkásszálló kate-gória besorolás



1.sz. melléklet 1.sz melléklet Iktatószám (munkásszállás koordinátor által adott): …..….…………………..

K É R E L E M Munkásszálláson történ elhelyezésre vonatkozóan

Alulírott azzal a kérelemmel fordulok a MÁV Magyar Államvasutak Zrt.……………………….… ………………………………(szervezeti egység) vezet jéhez, hogy a ……..……..sz. utasításban foglaltak alapján, munkásszálláson történ elhelyezésemet biztosítani szíveskedjen.

1. Munkavállaló személyi és szolgálati adatai: Név: ………………………………………………… Törzsszám: Leánykori név: …………………………………………………………….. Szül.hely, id : …………………………………………………………….. Személyi igazolvány száma: …………………………………………………………….. Állandó lakcím: …………………………………………………………….. Szolgálati hely ……………………………………………………………………………. Munkakör: …………………………………………………………….. Elérhet ség (telefonszám, e-mail): …………………………………………………………….. Kért munkásszállás helye (város, címe): …………………………………………………….. ………………………, 20 . ……………..hó …. nap

Kijelentem, hogy a fent felsorolt adatok a valóságnak megfelelnek, továbbá hozzájárulok, hogy munkásszállás biztosítás céljából a munkásszállás igénybevételének rendje cím utasításban szerepl szervezetek a kérelmen szerepl adatokat nyilvántartásba vegyék. A munkásszálláson használt dolgokban és eszközökben keletkezett károkért a polgári jog szabályai szerint felelek. A használat megsz nése esetén valamennyi használt dolgot rendeltetésszer haszná-latra alkalmas állapotban vagyok köteles visszaadni vagy az ennek érdekében felmerült költséget megtéríteni. A munkásszálláson való tartózkodás utolsó napjáig gondoskodom a munkásszállón lév személyes tárgyaim, eszközeim elvitelér l.

………………………..………………………. Munkavállaló aláírása

2. Munkáltatói jogkört gyakorló javaslata:

A MÁV Zrt szervezeti optimalizálása során a munkavállaló a migrációt vállalja A munkakör betöltése hosszú ideje nem megoldott /a meghirdetést l számítva több mint 2 hónap/ A munkakör betöltésére alkalmas jelölt lakóhelye és a munkahely közötti oda- és visszautazás

együttes ideje több mint 2 óra A munkakört betölt személy munkásszálláson történ elhelyezése nélkülözhetetlen a szervezet

feladatainak folyamatos ellátása tekintetében

Engedélyezem, egyben nyilatkozom arról, hogy kizáró ok nincs és a megjelölt foglalkoztatáspoli-tikai szempontok fennállnak. A munkavállaló térítési díján felüli költségeket a létszámban tartó szer-vezeti egység vezet jeként vállalom.

Nem engedélyezem Munkáltatói jogkörgyakorló neve (nyomtatot bet vel): ………………………..……………….. Telefonszám: 06-….-………………., faxszám: 06-.…-….…...…., e-mail cím:……………………..

…………………..………… …………………………………………… Dátum Munkáltatói jogkörgyakorló aláírása


3. Munkásszállás koordinátor: Munkásszálláson történ elhelyezés Rendelkezésre áll szabad fér hely

igen, az alábbi munkásszálláson (cím)………………………………………………… nem

……....………………………..…… ……..……………..…….…………...

dátum aláírás 4. Humáner forrás Igazgató döntése:

Jóváhagyom Elutasítom Indokolás: ………………………………………………………………………………………... ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. ……………………………………………………………………………………………………. …………………………………………………………………………………………………….

……....………………………..…… …..……..……………….…………...

dátum aláírás 5. Munkásszállás koordinátor: Munkásszálláson történ elhelyezés

Biztosítható, az alábbi helyen Munkásszállás címe: ………………………………………….……………………….… Szobai elhelyezés: 2ágyas 3ágyas

az alábbi id ponttól: A beköltözés tervezett id pontja: ………………………………………………..………

……....………………………..…… ……..…….……………….…………... dátum aláírás


2.sz. melléklet N Y I L A T K O Z A T

Munkásszállás díj bérb l történ levonásra A Humánszolgáltató Szervezet Back Office jövedelem elszámolás részére

Alulírott…………………………………………………………………………………/NÉV/

Anyja neve:……………………………………………………………………………………...

Születési helye, ideje, hó, nap:………………………………………………………………….

Személyi igazolvány száma:…………………………………………………………………….

Törzsszáma:……………………………………………………………………………………..

Szolgálati hely kódja:…………………………………………………………………………....

Hozzájárulásomat adom ahhoz, hogy az általam igénybevett munkásszállás költségeit a mindenkori változások figyelembevételével (MÁV Zrt. Kollektív Szerz dés 66 §-a alapján I. és II. kategóriához rendelt térítési díj, 2ágyas szoba esetén 8.000,-Ft/f /hó, 3ágyas szoba esetén 5.000,-Ft/f /hó)

Munkáltatóm…………………………………………………………(megnevezés, cím, költséghely) a munkabéremb l minden hónapban levonhassa. Kifejezetten hozzájárulok továbbá ahhoz, hogy amennyiben a munkaviszonyom megsz nése esetén a munkaviszony megszüntetésének id pontjában munkásszállás költségtartozásom áll fenn, a tartozás teljes összegét fent nevezett munkáltatóm a munkabéremb l levonja. Tudomásul veszem, hogy jelen nyilatkozatot a munkáltatóm hozzájárulása nélkül, egyoldalúan nem vonhatom vissza. ……………………………………..,20.…. ………..hó ……nap.

………………………………………….. Munkásszállás használója

A munkásszállás díjának munkabérb l történ levonásához hozzájárulok:

…………………………………………… munkáltató P.H.

Tanúk:

………………………………………….. ………………………………………….. név név ………………………………………….. ………………………………………….. cím cím Munkásszállás koordinátor tölti ki! Szállás kategória alapján munkavállalói térítési díj összege: …………………………….. Ft/hó

………………………………… Munkásszállás koordinátor neve (nyomtatottan) Aláírása

2.sz. melléklet


3.sz. melléklet 3.sz. melléklet MÁV Zrt. „BEUTALÓ”

munkásszállóra történ bejelentkeztetési-kijelentkeztetési nyomtatvány 1. A …………………………………….iktatószámú kérelem alapján munkásszállói fér hely igénybevételére jogosult munkavállaló adatai: Név: Törzsszám: Leánykori név: Szül.hely, id : Személyi igazolvány száma: Állandó lakcím: Anyja neve: Elérhet ség (telefonszám): Munkásszállás megnevezése, címe: Szobai elhelyezés: 2ágyas 3ágyas ________________________________________________________________________________ 2.a. Beköltözésre rendelkezésre álló id tartam: . . - . . ………………………………… Munkásszállás koordinátor neve (nyomtatottan) Aláírása, bélyegz Telefonszám: - - faxszám: - -

e-mail cím: …………………………………… ________________________________________________________________________________ 2.b. Beköltözés tényleges id pontja: . . ………………………………………………………. ……………………………….. Beköltöz jogosult munkavállaló neve (nyomtatottan) Aláírása ……………………………………………….. ……………………………….. Munkásszállás üzemeltet neve (nyomtatottan) Aláírása, bélyegz Telefonszám: - - faxszám: - -

e-mail cím: …………………………………… Dátum: ………………………………, . ………………..………...hó ….…... nap ________________________________________________________________________________ 3.a. Kiköltözés tervezett id pontja: . .

………………………………, . ………………..………...hó ….…... nap ………………………………………………… ………………………………….. Munkásszállás koordinátor neve (nyomtatottan) Aláírása, bélyegz ________________________________________________________________________________ 3.b. Kiköltözés tényleges id pontja: . .

Kiköltöz munkavállaló neve (nyomtatottan) Aláírása

Munkásszállás üzemeltet neve (nyomtatottan) Aláírása, bélyegz

Dátum: ………………………………, . ………………..………...hó ….…... nap


4.sz. melléklet

Külső féltől bérelt munkásszálló kategória besorolás

A MÁV Zrt. Kollektív Szerződés 66.§. 4. pontja szerint a munkásszállás I. kategóriás munkásszálló, amennyiben kettőágyas az elhelyezés, II. kategóriás amennyiben háromágyas.

Mindkettő esetben az alábbi feltételeknek azonban teljesülniük kell, melyet az üzemeltető biztosít.

• éjjel-nappal nyitvatartó recepció, éjjel-nappal elérhető gondnok, mely ellátható a recepció által is,• a vendégek rendelkezésére álló telefon nyilvános is lehet épületen belül,• ágyneműcsere legalább kéthetente 1x, új vendég esetén – a vendég érkezése előtt – kötelező,• minden megkezdett 10 ágy után egy darab emeletenként és nemenként elkülönített emeleti vizesblokk, zuhanyzó

és WC,• hideg-melegvízű mosdó a közös vizesblokkban, a szobákban kézmosási lehetőség,• vizesblokk berendezése, felszereltsége: szobák: mosdó, tükör, piperepolc, törülközőtartó, elektromos csatlakozó,

fedett szeméttároló. Közös WC: WC-kefe tartóval, WC-papírtartó WC papírral, kézmosó. Közös fürdő: elsősorban zuhanyzófülke, mosdó, tükör, törülközőtartó, ruhafogas, fedett szeméttároló,

• lift a három emeletnél magasabb épületekben,• emeletenként minden 3 férőhely után 1 db zárható tároló szekrény, fi ók, legalább 0,1m3 térfogatú, amely elhelyez-

hető szobában, étkezőben vagy folyósón,• valamennyi közös helyiség és terület takarítása naponta, illetve a szobákat takarítása heti 1 alkalommal az érintett

lakókkal előre egyeztetett időpontban,• valamennyi helyiség évenkénti 2x-i nagytakarítása,• 100 férőhelyenként 1db zsetonnal működtethető automata mosógép,• TV nézési lehetőség, épületenként legalább 3 elkülönített közös helyiség,• emeletenként, konyhánként 1 db mikrosütő és 25 férőhelyenként legalább 1db melegítőfelület,• étkezési lehetőség konyhánként legalább 6 személyes,• épületen belül kijelölt dohányzóhely,• internet elérési lehetőség, legalább 1db díjmentes csatlakozási lehetőséggel bíró számítógép,• valamennyi közös helyiség takarítása naponta,• szobák nagysága: a kétágyas szoba legalább 12 nm, háromágyas szoba legalább 18m2,• szobák berendezése: ágyméret legalább 80x190 cm, szobánként egy asztal, ágyanként ülőalkalmatosság, éjjeli-

szekrény, személyenként egy darab zárható szekrény, olvasólámpa, sötétítő függöny, 1db minimum 60 literes hűtő-szekrény, amennyiben a szobában elhelyezett zárható szekrény személyenként legalább 200cm magas, 60cm mély, és 40cm széles, úgy az éjjeli szekrényt polc is kiválthatja,

• a szobák hőmérséklete a téli időszakban minimum 20 fok.


Egyéb közleményekA MÁV Zrt. ÜDSZSZ Könyvtárbaújonnan érkezett UIC döntvények

Francia nyelvű kiadások

292 Relations entre entreprises ferroviaires et ache-teurs de prestations de transport ferroviaire en transport combiné international

Kapcsolatok a vasutak és a vasúti teljesítmé-nyek vásárlói között a nemzetközi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01

435-2 Norme de qualité pour une palette plate EUR en bois de dimensions 800 X 1200 mm (EUR-1)

A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010..04.01

435-4 Réparation de palettes plates EUR et box-pa-lettes EUR

Az EUR sík rakodólapok és az EUR oldalfalas rakodólapok (rakodódobozok) javítása3. kiadás; Kiadva: 2010.03.01

435-5 Norme qualitative pour une palette plate EUR en bois de dimensions 1 200 mm x 1 000 mm (EUR-2) et 1 000 mm x 1 200 mm (EUR-3)

A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es(EUR-3) raklapok szabványos minősége2. kiadás; Kiadva: 2010.04.01

435-6 Norme qualitative pour une palette plate EUR en bois de dimensions 800 mm x 600 mm (EUR-6)

A fából készült 800 x 600 mm-es (EUR-6) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01

505-5 Historique, justifi cations et commentaires sur l’élaboration et l’évolution des Fiches UIC série 505 et 506 traitant du gabarit

Történet, indoklás és magyarázat az 505-ös és 506-os, űrszelvényekről megjelenő UIC dönt-vények kidolgozására3. kiadás; Kiadva: 2010.04.01

508-3 Voitures – Exigences générales applicables aux essieux à écartement variable pour les réseaux à écartement de 1 435 mm et de 1 520 mm

Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelményei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01

543-1 Frein – Contrôle d’un standard minimal dans la maintenance du frein équipant les wagons

Fékek – Teherkocsifékek karbantartására vo-natkozó minimális szabványok felülvizsgálata2. kiadás; Kiadva: 2010.03.01

623-2 Essai d’homologation des moteurs diesel d’en-gins moteurs

Dízelmotoros mozdonyok hitelesítő tesztjei6. kiadás; Kiadva: 2010.03.01

791-2 Diagnostic de l’état de la caténaire

Felsővezeték-rendszer feltételeinek vizsgálata1. kiadás. Kiadva: 2010.03.01

920-2 Codifi cation numérique unifi ée des établisse-ments

A szolgálati helyek egységes számjegyes kódolása5. kiadás; Kiadva: 2010.01.01

Német nyelvű kiadások

290 Kombinierter Ladungsverkehr – Defi nitionen

Kombinált teherforgalom – Meghatározások3. kiadás; Kiadva: 2010.02.01

291 Beziehungen zwischen den Eisenbahnunter-nehmen im internationalen Kombinierten La-dungsverkehr

Vasúti vállalatok közötti kapcsolatok a nemzet-közi kombinált forgalomban2. kiadás; Kiadva: 2010.02.01

292 Beziehungen zwischen Eisenbahnunterneh-men und Käufern von Bahn-Transportleistun-gen im Rahmen des Internationalen Kombi-nierten Ladungsverkehrs



435-2 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 x 1200 mm (EUR-1)

A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010..04.01

435-4 Reparatur von EUR-Flachpaletten und EUR-Boxpaletten


435-5 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 1 200 mm x 1 000 mm (EUR-2) und 1 000 mm x 1 200 mm (EUR -3)

A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01

435-6 Gütenorm für einen EUR-Ladungsträger aus Holz mit den Abmessungen 800 mm x 600 mm (EUR-6)


508-3 Reisezugwagen – Allgemeine Anforderungen für Laufwerke mit Spurwechselradsätzen für die Eisenbahnen der Spurweiten 1 435 mm und 1 520 mm

Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelmé-nyei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01

556 Informationsübertragung im Zug (Zugbus)

Információátvitel a vonaton (vonatkommuni-káció)5. kiadás; Kiadva: 2009.08.01

623-2 Zulassungsprüfung für Dieselmotoren der Triebfahrzeuge


920-2 Einheitliche nummerische Codierung der Bahnstellen

A szolgálati helyek egységes számjegyes kódo-lása5. kiadás; Kiadva: 2010.01.01

Angol nyelvű kiadások

292 Relations between railway undertakings and buyers of rail transport services in internation-al combined transport


435-2 Standard of quality for EUR fl at pallet made of wood measuring 800 mm x 1200 mm (EUR-1)

A fából készült 800 x 1200 mm-es (EUR-1) raklapok szabványos minősége10. kiadás; Kiadva: 2010.04.01

435-4 Repair of EUR fl at pallets and EUR box pal-lets


435-5 Standard of quality for a EUR fl at pallet made of wood and measuring 1 200 mm x 1 000 mm (EUR-2) and 1 000 mm x 1 200 mm (EUR-3)

A fából készült 1 200 mm x 1 000 mm-es (EUR-2) és 1 000 x 1 200 mm-es (EUR-3) rak-lapok szabványos minősége2. kiadás; Kiadva: 2010.04.01

435-6 Standard of quality for a European fl at pallet made of wood, measuring 800 mm x 600 mm (EUR-6)


502-2 Exceptional consignments – Outline proce-dure

Rendkívüli küldemények – Az eljárás körvona-lai1. kiadás; Kiadva: 2009.11.01


508-3 Passenger coaches – General requirements for running gear with dual gauge wheelsets for railways with 1 435 mm and 1 520 mm gauges

Személykocsik – A változtatható nyomtávú ke-rékpárok futóműveinek általános követelmé-nyei az 1435 és 1520 mm nyomközű vasutak számára1. kiadás; Kiadva: 2010.01.01

543-1 Brakes – A study of minimum standards for maintenance of goods wagon brakes

Fékek – Teherkocsifékek karbantartására vo-natkozó minimális szabványok felülvizsgálata2. kiadás; Kiadva:2010.03.01

559 Specifi cation „Diagnostic Data Transmission” from railway vehicles(This Leafl et is to be published in English only)

Vasúti járművek diagnosztikai adatátvitelének előírásai(A döntvény csak angol nyelven jelenik meg)1. kiadás; Kiadva: 2010.01.01

623-2 Approval tests for diesel engines of motive power units


920-2 Standard numerical coding of locations

A szolgálati helyek egységes számjegyes kódo-lása5. kiadás; Kiadva: 2010.01.01

Felügyeleti igazolvány érvénytelenítése

A MÁV Zrt. Biztonsági Igazgatóság Területi Vasútbiz-tonsági Osztály, Szeged létszámába tartozó Schüszler At-tila védelmi szakelőadó részére kiadott 005851 sz. fel-ügyeleti igazolvány elveszett. Fenti sorszámú felügyeleti igazolvány érvénytelen, azt megtalálás, vagy felmutatás esetén be kell vonni és a körülményeket tisztázó jegyző-könyv kíséretében a Jogi Igazgatóság Ügykezelési és Do-kumentációs Szolgáltató Szervezet részére meg kell kül-deni.


Szerkeszti a MÁV Zrt. Vezérigazgatóság Jogi Igazgatósága 1087 Budapest Könyves Kálmán körút 54-60. Telefon: 511-3105.Szerkesztésért felelős a Szerkesztőbizottság.

Kiadja a MÁV ZRt. Jogi Igazgatósága. Felelős kiadó: Dr. Siska Judit.Terjeszti a MÁV Zrt. Ügykezelési és Dokumentációs Szolgáltató Szervezet (1087 Budapest, Könyves Kálmán körút 54-60.)

HU ISSN 1419–3973Nyomdai előkészítés: COMP-Press Kft. Budapest. Felelős vezető: Ibos Ferenc, műszaki vezető: Szabó Károly

ÉrtesÍtÕ - vasutas.hu · ramok [irodai alkalmazások, adatbáziskezelő, vezérlő programok,...

Documents