Az MVM Csoport Kiberbiztonsági Alapelvei

AZ MVM CSOPORT KIBERBIZTONSÁGI ALAPELVEI

Az MVM Csoport valamennyi társasága (a továbbiakban: Társaságok) részére központi irányelvben kerülnek meghatározásra azok a minimum elvárások és keretek, amelyek a Társaságok Információbiztonsági és Rendkívüli helyzetkezelési szabályozására vonatkozó egységes keretrendszer kialakításához, hatékony működtetéséhez, ellenőrzéséhez, fejlesztéséhez szükségesek.

1. Jogszabályfigyelés

A Társaságoknak kötelező figyelniük a jogszabály változásokat és az őket érintő jogszabályoknak meg kell felelniük. A központi Információbiztonsági és Rendkívüli helyzetkezelési terület felhívja a Társaságok figyelmét az alábbi két fontos jogszabályra:

• A Társaságoknak tevékenységükkel és azok változásaival összhangban vizsgálniuk kell a kritikus szervezetek ellenálló képességéről szóló 2024.évi LXXXIV. tv. (a továbbiakban: Kszetv.) szerinti érintettségüket, valamint kezelniük kell a kritikus szervezetként vagy kritikus infrastruktúra üzemeltetőként történő kijelöléssel vagy az ezzel összefüggésben bekövetkezett változásokkal, hatósági felügyelettel kapcsolatos feladatokat. Amennyiben Kszetv. alapján kijelölésre kerülnek, vagy a Kszetv. szerint feladatokat kezelnek, arról tájékoztatniuk kell a központi Információbiztonsági és a Rendkívüli helyzetkezelési területet.

• A Társaságoknak tevékenységükkel és azok változásaival összhangban, továbbá minden évben meg kell vizsgálniuk a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) szerinti érintettségüket. A Társaságoknak a változásaikkal összhangban vizsgálniuk szükséges a jogszabályi érintettségüket, valamint kezelni a Kiberbiztonsági tv. szerinti kötelezettségeiket, hatósági felügyelettel kapcsolatos feladataikat. Érintettség vagy a Kiberbiztonsági tv. szerinti feladatok kezelése esetén tájékoztatniuk kell a központi Információbiztonsági és a Rendkívüli helyzetkezelési területet.

2. Információbiztonság

2.1. Dokumentumok, szerepkörök

A Társaságoknak minimum az alábbi dokumentumokkal és szerepkörökkel kell rendelkezniük az információbiztonsági tevékenység szabályozásához, működtetéséhez.

a) Információbiztonsági szabályzat,

b) Információbiztonsági politika,

c) Információbiztonsági stratégia,

d) Adatvagyon leltár, adatosztályozás,

e) Elektronikus Információs Rendszerek (a továbbiakban: EIR) nyilvántartása,

f) EIR-ek biztonsági osztályba sorolása,

g) Információbiztonsági kockázatelemzések, kockázatarányos védelmi intézkedések meghatározása,

h) Információbiztonsági felelős (a továbbiakban: IBF).

A Társaságoknak egyértelműen meg kell határozniuk az információbiztonsággal kapcsolatos szerepköröket és felelősségeket, továbbá az alábbi információbiztonsági vonatkozású témakörök felelőseit:

o Menedzsment szintű támogatás, finanszírozás, erőforrás biztosítása,

o Belső és külső kommunikáció,

o Munkavállalói biztonságtudatosság fejlesztése,

o Dominóhatás érvényesülése esetén az érintett tagvállatokkal való kapcsolattartás,

o Hatósági kijelölés esetén együttműködés a hatósággal.

2.2. Szabályozandó témák

A Társaságoknak minimum az alábbi témákat kell szabályozniuk a szabályzataikban és ezekhez felelősöket kell rendeljenek:

Az Információbiztonsági rendszer

• Az Információbiztonsági rendszer kialakítása és céljának meghatározása. (Az információk és információs rendszerek azonosítása, kockázatainak felmérése, kockázatarányos védelmi intézkedések bevezetése és folyamatok kialakítása, valamint azok hatékony menedzsmentje.)

• Az Információbiztonsági rendszer működtetésének alapját képező szabályzati környezet kialakítása.

Besorolás információbiztonsági kategóriába

• A társaság besorolása információbiztonsági kategóriába és a kapott információbiztonsági kategóriának megfelelő követelmények következetes teljesítése.

Az információbiztonság szervezetének kialakítása

• Csoportszintű és társasági szintű közreműködők meghatározása.

• Társasági információbiztonsági felelős kinevezése.

Az elektronikus információs rendszer védelme

• Elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell:

a) az elektronikus információs rendszerben kezelt adatok, információk és az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmassága, sértetlensége és rendelkezésre állása, valamint

b) az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása vonatkozásában a zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet.

• Az elektronikus információs rendszer felett rendelkezési jogosultsággal rendelkező szervezet, az adatkezelő vagy az adatfeldolgozó által, adott cél érdekében:

a) az adatok, információk kezelésére használt eszközök, ideértve a környezeti infrastruktúrát, a hardvert, a hálózatot és az adathordozókat,

b) az adatok, információk kezelésére használt eljárások, ideértve a szabályozást, a szoftvert és a kapcsolódó folyamatokat, valamint,

c) az a) és b) pontban foglaltakat kezelő személyek,

együttesének védelmét is biztosítani szükséges.

Az információ védelme

• Adatvagyon felmérése, a szükséges védelmi intézkedések meghatározása.

• Adatosztályozás. (A Társaságok által az elektronikus információs rendszerben kezelt adatok és információk biztonsági besorolása azok bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából.)

• Kockázatok azonosítása és kezelése, a kapcsolódó erőforrások azonosítása.

• Adatvagyon elemek személyes adatköri minősítése. (GDPR szerint)

Hozzáférés-menedzsment, jogosultság kezelés

• A kezelt és tárolt adatok védelme érdekében minden alkalmazott informatikai rendszerben jogosultságkezelést kell biztosítani, melyet dokumentált módon szabályozni szükséges.

• Technikai felhasználók kezelése dokumentált módon.

Szervezeti és személyi biztonság

• Munkatársak beléptetésének információbiztonsági követelményei (jogosultság igénylés, munkavállalói felelősség, belépő tudatossági oktatás).

• Munkatársak kiléptetése/átléptetése (összeférhetetlenség, jogosultság kezelés, levelezés, archiválás, biztonsági incidens érintettség, eszközkezelés).

• Biztonságtudatossági oktatás (éves Központi Biztonságtudatossági Programhoz igazítva, szükség esetén további, specifikus tartalommal).

• Munkavállalókra vonatkozó szankciók szabályozása és működtetése.

Fizikai biztonság szabályozása

• Biztonsági zónák és követelményeik.

• Alkalmazott eszközök és információbiztonsági követelményeik (beléptető rendszer, zárak, mechanikai védelem, kamerás megfigyelő rendszer, riasztórendszer).

Iratkezelés rendje

• Dokumentumok biztonsági osztályozása, minősített adatok kezelése.

• Dokumentumok kezelése (dokumentumok tárolására használt eszközök, szállítás biztonsági követelményei, archiválás és digitalizálás, selejtezés, megsemmisítés).

Informatikai rendszerek fejlesztése, beszerzése

• Általános irányelvek informatikai rendszerek fejlesztésére, beszerzésére vonatkozóan (igények azonosítása, fejlesztési terv készítése és jóváhagyása, fejlesztés megvalósítása, tesztelés, kiadás-élesítés).

• Változáskövetés (változáskövetés fenntartása, igény elbírálásának eredményei).

Informatikai rendszerek működtetése

• Ügyviteli informatikai eszközök (munkaállomások, szerverek, egyéb eszközök [scannelés, nyomtatás], alkalmazások telepítése).

• Technológiai informatikai eszközök (minden olyan munkaállomás, szerver, nyomtató, egyéb speciális eszköz, amely csak a társaság technológiai hálózatához kapcsolódik, az ügyviteli hálózathoz közvetlen kapcsolata – általában – nincsen).

• Az authentikáció módja (jelszókezelés, erős és kétfaktoros authentikáció).

• Karbantartás (munkaállomások, szerverek karbantartása, karbantartási terv/napló).

• Naplózás (naplózandó rendszerek, naplózással kapcsolatos alapkövetelmények).

• Monitorozás (informatikai rendszerek monitorozása, felhasználói tevékenységek monitorozása, kiemelt felhasználók monitorozása).

• Archiválás (archiválás gyakorisága, módja, archiválandó adatok).

• Adathordozók törlése (egyszeri és visszaállíthatatlan törlés esetei, fizikai megsemmisítés).

• Biztonsági mentések (biztonsági mentések készítése, visszaállítása).

Kriptográfiai eszközök használata

• Teljes merevlemez titkosítás (ügyviteli és üzemviteli rendszerek esetében a felelősök és az elvárt működés).

• Fájl-titkosító alkalmazások használata.

• Elektronikus levelezés vagy egyéb kommunikáció titkosításának esetei.

• Hordozható adattárolók titkosítása (dedikált adathordozók, nem titkosított adathordozók, technológiai rendszerek esetében alkalmazott adathordozók).

Hálózatbiztonság

• Külső hálózat (biztonsági osztályba sorolt adatok tárolása a hálózaton kívül, külső hálózathoz való csatlakozás feltételei).

• Belső hálózat (belső hálózat működésére vonatkozó Információbiztonsági irányelvek).

• Vezeték nélküli hálózat (belső és külső vezeték nélküli hálózatok Információbiztonsági szabályai).

• Távoli elérés (távoli elérést megvalósító technológia leírása, teljesülendő feltételek).

Vírusvédelem, rosszindulatú kódok elleni védelem

• Ügyviteli rendszerek vírusvédelmének követelményei, egyéb vírusvédelmi intézkedések.

• Technológiai rendszerek vírusvédelmi követelményei.

• Vállalati mobil eszközök vírusvédelmének követelményei.

• Kártékony kódok kezelése (információbiztonsági események jelentése kártékony kódok észlelése esetén, esemény vizsgálatának menete, bevonandó közreműködő felek).

Elektronikus kommunikáció

• Elektronikus levelezés (általános alapelvek, e-mailek küldésére/ fogadására vonatkozó előírások, távoli elérés szabályai).

• Internet használat során betartandó információbiztonsági előírások.

• Azonnali üzenetküldő alkalmazások esetei, központilag biztosított lehetőségek.

• Videokonferencia igénybevételének lehetőségei és szabályai.

• Fájlmegosztó alkalmazások.

Mobil eszközök használata

• Laptop/notebook használatával kapcsolatos információbiztonsági követelmények.

• Hordozható adattárolók kezelésének információbiztonsági szabályai.

• Mobiltelefon, okostelefon, tablet használatának információbiztonsági szabályai.

Külső közreműködők, harmadik fél hozzáférése

• Külső felek közreműködésével kapcsolatos szabályok (szerződések információbiztonsági követelményei).

• Adatok átadása harmadik félnek, szerződéses partnerekre vonatkozó szabályok.

• Külső közreműködők hozzáférési jogosultsága.

Incidenskezelés (Központi Incidenskezelési Eljárásrenddel összhangban)

• Felkészülés az esemény/incidens kezelésére (információbiztonsági események és incidensek típusai, felelősök kijelölése).

• Információbiztonsági események és incidensek bejelentése, felelősségek és hatáskörök meghatározása.

• Információbiztonsági események és incidensek kezelésének szabálya.

• Információbiztonsági események és incidensek lezárása és dokumentálása.

• Rendszeres riportok készítése.

• Incidensjelentés és -kezelés oktatása, visszamérése.

Változáskövetés, felülvizsgálat

• A Társaságok az információbiztonságot vagy Rendkívüli helyzetkezelést érintő változásokat lekövetik a szabályozó dokumentumaikban.

• Legalább évente, de jelentős (jogszabályi környezet/szabványkörnyezeti) változás esetén azonnal felülvizsgálják.

Audit, felülvizsgálat

• Belső, csoportszintű, külső auditok, rendkívüli ellenőrzések rendje.

2.3. Egyéb kötelező információbiztonsági elvárások

A Társaságok továbbá kötelesek az alábbiak betartására:

Adatszolgáltatással kapcsolatos kötelezettségek

• A Társaságok kötelesek éves értékelő jelentést készíteni az Információbiztonsági rendszerükről és megküldeni a központi Információbiztonsági és Rendkívüli helyzetkezelési terület részére. A jelentéseknek kötelező tartalmi jegyzékük van. A társasági jelentéseket a központi terület összegyűjti és értékeli az éves csoportszintű jelentésben.

Informatikai rendszerek működtetése

• A Társaságok ügyviteli informatikai rendszereik informatikai biztonsági felügyeletét egységesen az üzleti informatikai szolgáltatónak kell biztosítania az erre irányuló szolgáltatásán keresztül (mindenkori Központi IT biztonság szolgáltatás: központi naplózás és elemzés (SIEM), azonosság és hozzáférésmenedzsment, sérülékenységmenedzsment). A SIEM rendszer és az abból készített trend és anomália elemző adatszolgáltatások felelőse az üzleti informatikai szolgáltató.

• A Társaságoknak az üzemviteli informatikai rendszereik informatikai biztonsági felügyeletére biztonsági naplózó és elemző rendszert (SIEM) kell működtetniük.

• A Társaságoknak az ügyviteli informatikai rendszereikre vonatkozó sérülékenységvizsgálatát csak az üzleti informatikai szolgáltató vagy az általa megbízott vállalkozó hajthatja végre.

• A Társaságoknak gondoskodniuk kell az üzemviteli rendszerekkel kapcsolatos sérülékenységi vizsgálatok végrehajtásáról (a társasági információbiztonsági felelős véleményezéséhez és központi engedélyhez kötött).

• A Társaságoknak adatszivárgás megelőző rendszert (a továbbiakban: DLP) kell alkalmazniuk, melyet az üzleti informatikai szolgáltató üzemeltet.

• A Társaságoknak az informatikai rendszereik fejlesztése (ideértve a módosítást, beszerzést is) esetén be kell vonniuk az társasági információbiztonsági felelőst és az érintett adatkörök adatgazdáit. Az információbiztonsági követelményekre dokumentált módon ki kell térni, melynek tartalmaznia kell az információbiztonsági kockázatokat, valószínűségeket, hatásokat, védelmi intézkedéseket, maradványkockázatokat. A fejlesztői és teszt környezet valós adatokat nem tartalmazhat, azokat anonimizálni, deperszonalizálni kell.

• A Társaságok a vállalati adatvagyont mobil eszközökön keresztül csak az üzleti informatikai szolgáltató erre vonatkozó szolgáltatásával felügyelt csatornákon keresztül érhetik el. Más módozatok használata nem engedélyezett az adatvagyon védelme érdekében.

Egyéb szempontok

• A Társaságoknak a belső szabályzóikat, dokumentumaikat, illetve szerződéseiket a mindenkori ISO 27001 szabványban foglaltakkal összhangban kell kialakítaniuk.

3. Rendkívüli helyzetkezelés

3.1. Dokumentumok, szerepkörök

A Társaságoknak minimum az alábbi dokumentumokkal és szerepkörökkel kell rendelkezniük a rendkívüli helyzetkezelési tevékenység szabályozásához, működtetéséhez.

a) Rendkívüli helyzetkezelési szabályzat,

b) Folyamatlista, kritikus folyamatlista,

c) Üzleti hatáselemzések,

d) Üzletfolytonossági kockázatelemzések,

e) Rendkívüli helyzetkezelési tervek

f) Társasági Krízis Team vagy Krízis Koordinátor,

g) Üzletfolytonossági felelős (ÜF).

Továbbá egyértelműen meg kell határozniuk az alábbi Rendkívüli helyzetkezelési vonatkozású témakörök felelőseit:

h) Menedzsment szintű támogatás, finanszírozás, erőforrás biztosítása,

i) Rendkívüli helyzetkezelés irányítása, döntések meghozatala, összehívás rendje (különböző krízis szinteket figyelembe véve),

j) Rendkívüli minősítésű időszak elrendelése, lezárása,

k) Rendkívüli helyzetkezelés dokumentálása,

l) Belső és külső kommunikáció,

m) Dominóhatás érvényesülése esetén az érintett tagvállatokkal való kapcsolattartás.

3.2. Szabályozandó témák

A Társaságoknak minimum az alábbi témákat kell szabályozniuk a szabályzataikban és ezekhez felelősöket kell rendeljenek:

Rendkívüli helyzetkezelési szabályzat kialakítása

• Szabályozói környezet megteremtése, felelősségek meghatározása.

Rendkívüli helyzetkezelés szervezeti hátterének létrehozása

• Megvalósítás és működtetés résztvevőinek meghatározása, a helyettesítések kezelésével, minimum az alábbi szereplők kijelölésével:

o Társasági Krízis Team létrehozása, vagy Krízis Koordinátor kinevezése (a társaság egyedi tulajdonságai alapján valamelyik szereplő kijelölése a kríziskezelés érdekében).

o Társasági üzletfolytonossági felelős kinevezése (központilag meghatározott minimum kompetencia alapján).

Folyamatfelmérés, erőforrás- és folyamatfüggések vizsgálata

• Társasági folyamatlista elkészítése, a folyamat során használt erőforrások azonosítása (például adat, humán, IT, külső szolgáltató, iroda), a különböző folyamatok összekapcsolása, valamint annak vizsgálata, hogy a folyamat milyen mértékben függ az általa használt erőforrásoktól és kapcsolódó folyamatoktól.

Kárérték tábla készítése

• Társaságra szabott kárjellegek és kárértékek mátrixának elkészítése, amely szükséges a kárhatás vizsgálatához.

Üzleti hatáselemzés készítése

• Speciális kockázatelemzés elkészítése, amely során egy vizsgált folyamat kiesésének a szervezetre gyakorolt hatása kerül felmérésre kárérték tábla alapján.

Kockázatok azonosítása, elemzése, kezelése

• Védelmi intézkedések kidolgozása.

• A folyamatokat kiszolgáló erőforrások működési kockázatainak feltárása, azok társaság specifikus elemzése, és kockázatcsökkentő intézkedések kidolgozása (például: üzletmenet-folytonossági terv - BCP, erőforrás-helyreállítási terv - DRP).

Maradványkockázatok számítása

• Annak elemzése, hogy a kockázatcsökkentő intézkedés bevezetése milyen mértékben csökkenti az eredeti kockázatot, cél a társaság lehetőségeit figyelembe véve a lehető legalacsonyabb kockázati érték elérése.

Rendkívüli helyzetkezelési tervek készítése, tesztelése, oktatása

• Felelősségek, gyakoriságok, célcsoportok meghatározása (például BCP, DRP esetében).

Értesítési lista készítése

• A társaság rendkívüli helyzet kezelésében feladat- vagy hatáskörrel rendelkező munkatársainak elérhetőségét tartalmazó lista készítése.

Oktatások végzése

• Társaságoknál működő Rendkívüli helyzetkezelési rendszer oktatása valamennyi munkatárs részére.

Változáskövetés és felülvizsgálat elvégzése

• Rendkívüli helyzetkezelési rendszer dokumentumaira vonatkozóan (pl. tervek, oktatási anyagok, szabályzatok).

Jegyzőkönyvek készítése

• Rendkívüli esemény lezárását követően összefoglaló jegyzőkönyv készítése.

Auditálás

• A társaság saját üzletfolytonossági és rendkívüli helyzet kezelési rendszerének önauditálása.

Adatszolgáltatás

• Felelősségek meghatározása.

A mindenkor hatályos Egységes Digitális Rádiótávközlő Rendszerre vonatkozó különös VPN használati szabályzat előírásainak kötelező átvétele.

3.3. Egyéb kötelező elvárások

A Társaságok továbbá kötelesek az alábbiak betartására:

• A Társaságoknak a belső szabályzóit, dokumentumait, illetve szerződéseit a mindenkori ISO 22301 szabványban foglaltakkal összhangban kell kialakítania.

• A Társaságoknak kötelező üzletfolytonossági felelőst kinevezni, a kijelölésről a társaság tájékoztatja a tulajdonosi joggyakorlót, és a központi Információbiztonsági és Rendkívüli helyzetkezelési területet.

• A Társaságok kötelesek felmérni krízis központ vagy alternatív telephely kialakításának, igénybevételének szükségességét.

• A Társaságok kötelesek felkészülni a Rendkívüli helyzetkezelésre úgy, hogy a rendelkezésre álló vagy a bevonható erőforrásokkal úgy gazdálkodjanak, hogy azok biztosítsák a károk optimális mérséklését.

• A Társaságok a rendkívüli helyzetet a megfelelő krízis szintbe be kell sorolják, és annak megfelelően kell kezeljék. Az egyes krízis szintek határozzák meg a társasági Krízis Team, Krízis Koordinátor, Csoportszintű Krízis Team és állami szervek bevonásának szükségességét.

• A Társaságok átadják a rendkívüli esemény kezelésének irányítását a szükség szerint megalakuló Csoportszintű Krízis Team részére, mely végzi a védekezés csoportszintű koordinálását is.

• Az egyes társaságokat, vagy az egész MVM Csoportot érintő rendkívüli események hatékony kezelése érdekében az MVM Zrt. központosított Információáramlási Rendszert működtet, melyet az Egységes Digitális Rádió-távközlő Rendszer (a továbbiakban: EDR) támogat.

o A kijelölt Társaságoknak kötelező csatlakozni a rendszerhez.

• A Társaságok kötelesek éves értékelő jelentést készíteni a Rendkívüli helyzetkezelési rendszerükről és megküldeni a központi Információbiztonsági és Rendkívüli helyzetkezelési terület részére. A jelentéseknek kötelező tartalmi jegyzékük van. A társasági jelentéseket a központi terület összegyűjti és értékeli az éves csoportszintű jelentésben.

3.4. Belső szolgáltató társaságokkal kapcsolatos további elvárások

Azon társaságok melyek az MVM Csoporton belül szolgáltatást nyújtanak, kötelesek az alábbiak betartására:

• Saját szolgáltatásaik tekintetében adatot szolgáltatnak, és fejlesztési javaslatokat készítenek a szolgáltatásaikat igénybe vevő társaságok kérésére, különösen a következő adatok tekintetében:

o a szolgáltatással kapcsolatos releváns változások,

o alternatív erőforrások igénybevételéhez szükséges időtartam (átállási idő),

o erőforrás átlagosan tervezett helyreállítási ideje,

o a mentés-archiválási protokollok alapján az adatvesztés aktuálisan érvényes paraméterei,

o helyettesítő erőforrások és azok igénybevételének feltételei,

o SIEM rendszerben kezelt esemény elemzése és trendfigyelése vonatkozásában.

• Társasági üzletfolytonossági elemzések adatainak ismeretében javaslatot adnak a központi Információbiztonsági és Rendkívüli helyzetkezelési terület részére, a folyamataik, illetve szolgáltatásaik csoportszintű priorizálása, valamint helyreállításának keretfeltételei tekintetében.

• Saját szolgáltatásaikra vonatkozó Rendkívüli helyzetkezelési eljárásrendeket ismertetik a szolgáltatásaikat igénybe vevő társaságok számára a felkészülési tevékenységeikhez szükséges mértékig.

• Társasági Rendkívüli helyzetkezelési eljárások alkalmazhatóságának (például a maximálisan elfogadható folyamat kiesési idők és a szolgáltatás helyreállítási idők összehangolása) érdekében közreműködnek a vonatkozó szolgáltatási szerződések felülvizsgálatában és módosításában.

• SLA, vagy kritikus folyamatot támogató egyedi szerződés keretében nyújtott szolgáltatások, a szolgáltatások mögött lévő infrastruktúrák és a szolgáltatás helyreállításával kapcsolatos képességek tekintetében meghatározzák:

o a maximális kiesési idő, illetve a rendelkezésre állás megrendelői elvárása alapján az erőforrásokkal szemben támasztott működésfolytonossági képességeket,

o a helyreállítási eljárásrendeket, terveket,

o a helyreállítás várható időtartamát,

o helyettesítő erőforrásokat.

• SLA, vagy kritikus folyamatot támogató egyedi szerződés keretében nyújtott szolgáltatása, illetve erőforrásai tekintetében helyreállítási terveket készítenek. Minden új szolgáltatás, vagy szolgáltatást támogató rendszer bevezetésekor helyreállítási tervet dolgoz ki és az új szolgáltatás, illetve a támogató új rendszer bevezetése előtt teszteli a helyreállítási tervet (illetve mentés-visszatöltési tesztet hajt végre az informatikai szolgáltató).

• SLA, vagy kritikus folyamatot támogató egyedi szerződés keretében nyújtott szolgáltatása, illetve erőforrásai tekintetében az üzleti igényekkel összhangban tervezik a szolgáltatásaikat támogató:

o Erőforrások hibatűrő megoldásait,

o Erőforrások tartalékolását,

o Külső szolgáltatások igénybevételének folytonosságát,

o Megelőző jellegű karbantartásokat,

o Felügyeleti megoldásokat,

o Incidenskezelési folyamatokat.

• SLA, vagy kritikus folyamatot támogató egyedi szerződés keretében nyújtott szolgáltatása, illetve erőforrásai tekintetében kockázatelemzést végeznek és tervezik a maradványkockázatok kezeléséhez szükséges védelmi intézkedéseket.

• Belső szolgáltató társaságok vonatkozásában az MVM Zrt. részéről irányítást és felügyeletet gyakorló szakterület vezetője részére rendszeresen beszámolnak a szolgáltatásaik tekintetében megtörtént szolgáltatási incidensekről, egyéb kiesésekről és kapcsolódó védekezési eljárásokról és egyéb eseményekről.

---------------------------------------------------------------------

4. A FENNTARTHATÓSÁGI JELENTÉS KIEMELT KIBERBIZTONSÁGI SZEMPONTJAI

• A kiberbiztonság kezelésére létrehozott irányítási struktúrák

A nagy leányvállalatok, beleértve a kritikus infrastruktúrát üzemeltetőket is, a csoportszintű utasításokat követve saját maguk látják el a kiberbiztonsági feladatokat. Azoknál a leányvállalatoknál, amelyek nem rendelkeznek saját IT-üzemeltetéssel, egy erre szakosodott MVM-vállalat (az MVMI Zrt.) felel valamennyi kiberbiztonsági megfelelőségért az üzemeltetés területén. Csoportszinten a kiberbiztonsági elvárások a holdingtársaságnál vannak központosítva.

• A vállalat vezetése rendszeresen készít hivatalos kiberbiztonsági jelentéseket a menedzsment részére

Az MVM Csoport minden tagvállalata köteles minden év március 1-jéig éves értékelő jelentést készíteni az információbiztonsági rendszeréről az MVM Zrt. Információbiztonsági és Rendkívüli helyzetkezelési funkció részére. A jelentéseknek kötelező tartalmi jegyzékük van. Az összegyűjtött jelentéseket a központi osztály elemzi, és az éves csoportszintű jelentéseket benyújtják a menedzsmentnek.

• Kiberbiztonsági képzések

Évente ismétlődő kötelező jellegű munkavállalói képzéseket szerveznek az MVM Csoport minden társaságánál.

• Rendszeres külső kiberbiztonsági értékelések és auditok

Az ISO27001 tanúsításhoz szükséges külső auditok rendszeresen zajlanak az érintett társaságoknál. Ezek közé tartoznak a PCI-DSS auditok, de más típusú IT biztonsági auditok is.

Az ISO 27001 szabvány követelményeinek teljesítésére vonatkozó előírásokat az Információbiztonsági és Rendkívüli helyzetkezelési központi irányelv tartalmazza.

• A vállalat kezdeményezéseket indított az operatív technológiákkal és/vagy ipari vezérlőrendszerekkel kapcsolatos kiberbiztonsági kockázatok kezelésére.

Az MVM Csoport Információbiztonsági és Rendkívüli helyzetkezelési központi irányelvében meghatározott ellenőrzések mind az IT-, mind az OT-rendszerekre vonatkoznak. Jelenleg tart az IT és az OT-rendszerek NIS 2 megfelelőségének felülvizsgálata és auditálása.

• Együttműködik a releváns kormányzati szervekkel, illetve megosztja velük a kiberbiztonsági információkat.

Az MVM Csoport Információbiztonsági és Rendkívüli helyzetkezelési központi irányelvében meghatározott ellenőrzések mind az IT-, mind az OT-rendszerekre vonatkoznak. A NIS 2 megfelelőség érdekében az MVM Csoport valamennyi érintett tagvállalata folyamatosan együttműködik a kiberbiztonsági felügyelet szempontjából releváns hatóságokkal.

• Folyamatosan figyelemmel kíséri a kiberbiztonsági fenyegetéseket

Az információbiztonsági események és incidensek kezeléséről szóló központi eljárási szabályzatban leírtak szerint az MVM Csoport rendszeres kapcsolatot tart a nemzeti kiberbiztonsági hatósággal (Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet).

• Gyakorlatokat és felkészüléseket tart a kibertámadásokkal kapcsolatos kockázatok kezelésére

Az MVM Csoport biztonsági tudatosságot növelő programot működtet, amely magában foglalja az IT-biztonsági kockázatokkal és incidensek kezelésével kapcsolatos kötelező alkalmazotti képzéseket.

Süti (cookie) információ

A weboldalon használt sütik beállítása