18/2018. (V. 31.) ORFK utasítás

az Informatikai Biztonsági Szabályzatról

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában foglaltak alapján, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f) pontjában meghatározott feladatok végrehajtása érdekében kiadom az alábbi utasítást:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. Az utasítás hatálya

1. Az utasítás hatálya kiterjed:

a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK);

b) a Készenléti Rendőrségre, a Repülőtéri Rendőr Igazgatóságra, a Nemzetközi Bűnügyi Együttműködési Központra, a Rendőrségi Oktatási és Kiképző Központra és a vármegyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek);[1]

c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek).

2. Az utasítás tárgyi hatálya az általános rendőrségi feladatok ellátására létrehozott szerv (a továbbiakban: Rendőrség) használatában lévő vagy általa üzemeltetett valamennyi elektronikus információs rendszerre (a továbbiakban: rendszer) és azok környezetét alkotó rendszerelemekre (adatok, szoftverek teljes körére, a folyamatokra, valamennyi telephelyére és létesítményére), az informatikai folyamatban szereplő valamennyi dokumentációra, azok teljes életciklusában kiterjed, kivéve a minősített adatokat kezelő rendszereket.

2. Értelmező rendelkezések

3. Az utasítás alkalmazásában:

a) adatállomány: informatikai infrastruktúrában lévő adatok logikai és fizikai összefogása, melyet egy névvel jelölnek vagy azonosítanak;

b) adatátvitel: adatok szállítása összeköttetéseken, összekötő utakon keresztül (különösen számítógépek között);

c) adathordozó: az elektronikus adatkezelő rendszerhez csatlakoztatható vagy abba beépített olyan eszköz, amelynek segítségével az elektronikus adatok tárolása megvalósítható;

d) alkalmazás: egy célfeladatot megvalósító szoftver;

e) biztonságtudatosság: a Rendőrség biztonságáért vállalt felelősség; a meghatározott biztonsági szintnek mint követelménynek az elfogadása, illetve a hiánya következményeinek elismerése, valamint a biztonság szempontjából etikus magatartás;

f) dokumentum: a rendszer által használt vagy létrehozott olyan termék, amely információt tartalmazhat, és amelyet a rendszer hozott létre vagy dolgozott fel;

g) folyamatgazda: a folyamat megtervezéséért, végrehajtásáért, ellenőrzéséért és javításáért felelős személy vagy csoport, aki figyelemmel kíséri a külső és belső szabályok betartását, az adott folyamatot értékeli, és szükség esetén javaslatot tesz a módosításokra, fejlesztésekre;

h) hardver: informatikai eszközök kézzel közvetlenül megfogható részeinek gyűjtőneve;

i) hálózat: az informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége;

j) hálózati aktív eszközök: a hálózat működését biztosító elektronikus elemek (különösen tűzfal, router, switch, HUB, optikai átkapcsoló);

k) hálózati passzív eszközök: a hálózati aktív eszközök kapcsolatát és kommunikációját biztosító elemek (különösen kábelezés, kábelcsatornák, fali csatlakozók és a rendezőszekrények);

l) helyi rendszer: helyi szerv által üzemeltetett és menedzselt rendszer;

m) hozzáférési jog: annak meghatározása, hogy a kezelésre jogosult milyen szoftvert, adatot vagy adathordozót kezelhet, illetve azokkal milyen műveleteket végezhet;

n) információbiztonság: olyan előírások, szabályok és szabványok betartásának eredménye, amelyek az elektronikus információs rendszerben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint az elektronikus információs rendszer és elemeinek sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és kockázatokkal arányos védelmének biztosítását érintik, és amelyeket az informatikai rendszer alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni;

o) informatikai biztonság: az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása biztosított, valamint a rendszer elemeinek biztonsága szempontjából zárt, teljes körű, folytonos és kockázatokkal arányos, a biztonság elvárt szintje és az ezt megvalósító intézkedések jellege függ az adott informatikai rendszer biztonsági osztályától;

p) informatikai eszköz: minden olyan digitális eszköz és ennek funkcionális tartozéka, amely adatok összegyűjtésére, feldolgozására (rendezésére, csoportosítására, kiszámítására), előállítására, tárolására és megjelenítésére, illetve az e tevékenységekkel kapcsolatos adatmódosításra és adattovábbításra alkalmas;

q) intézkedés: a kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, irányelveket, gyakorlatokat, képzést vagy egyéb intézkedést, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek;

r) integritás: a sérthetetlenségen túl a teljességet, továbbá az ellentmondás mentességet és a korrektséget jelenti, amelynek eredményeként az információ valamennyi része rendelkezésre áll, elérhető;

s) javítás: a hardver vagy szoftver konfigurációjának változásával, az eszközök elszállításával járó hibaelhárítási feladat;

t) karbantartás: a rendszerben vagy azok elemein végzett munka, melynek során a telepített hardver és szoftver konfiguráció nem változik, karbantartásnak minősül különösen a biztonsági réseket befoltozó hibajavítások telepítése;

u) katasztrófahelyzet: az informatikai erőforrások (különösen az elektronikus adatok, fájlok, szoftverek, számítógépek, hálózati aktív és passzív eszközök) fenyegetettsége, minden olyan nemkívánatos esemény, amely az adatok teljességét, sértetlenségét, megbízhatóságát vagy rendelkezésre állását hátrányosan befolyásolja, a fenyegetettség lehet külső esemény (tűzeset, vízkár, számítógépvírusok), vagy lehet belső tényező (hanyag kezelés, rosszindulatú adatmódosítás, szoftverhiba);

v) katasztrófa: bekövetkezett katasztrófahelyzet;

w) kibertér: a számítógépes hálózatok és az általuk összekötött számítógépek és egyéb berendezések által alkotott virtuális tér, az a környezet, amelyben az adat technikai eszközökön (számítógépes hálózatokon) keresztül áramlik, elektronikus adatok tárolódnak, online adatforgalom és kommunikáció zajlik;

x) korrektív kontroll: az eredeti állapot visszaállítását célzó intézkedés;

y) központi rendszer: az ORFK által üzemeltetett vagy menedzselt elektronikus információs rendszer;[2]

z) operációs rendszer: a számítógépek működésének elengedhetetlen részét képező szoftver, amelynek feladata az alapvető szolgáltatások biztosítása a programok számára, valamint az alkalmazások és a felhasználó közötti kommunikáció biztosítása;

aa) privilegizált felhasználó: az a felhasználó, aki a rendszer/hálózat üzemeltetési vagy fejlesztési feladatainak végrehajtásához kiemelt jogosultsággal rendelkezik;

bb) privilegizált funkció: a rendszer/hálózat üzemeltetéséhez vagy fejlesztéséhez szükséges beavatkozás;

cc) rendszerüzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős;

dd) szakmai adatgazda: annak a szervezeti egységnek vagy elemnek a vezetője, ahová jogszabály, közjogi szervezetszabályozó eszköz vagy belső norma az adat kezelését rendeli, aki az adathoz a hozzáférési jogosultságot engedélyezi, illetve ahol az adat keletkezik, támogató rendszer esetén a rendszer üzemeltetője;[3]

ee) szerver: szervernek minősül az olyan számítógép, amely hálózati szolgáltatásokat nyújt és/vagy kliensek kapcsolódnak hozzá;

ff) szoftver: valamely informatikai eszköz olyan logikai (kézzel nem megfogható) része, amely a hardver(ek) működtetéséhez, vezérléséhez szükséges (különösen alkalmazások, operációs rendszerek);

gg) területi rendszer: a területi szerv által üzemeltetett és menedzselt rendszer;

hh) vírus: olyan szoftvertörzs, amely egy szoftver részeként illegálisan készült, a szoftver alkalmazása során átterjedhet, "megfertőzhet" más, az informatikai rendszerben lévő rendszer-, illetve felhasználói szoftvert, sokszorozva önmagát, károkat és teljes működésképtelenséget okozhat.

ii) adatosztályozás: az a tevékenység, amely során a szervezet az adatairól, az információs vagyontárgyairól meghatározza, hogy melyek a védendőek és milyen mértékben;[4]

jj) támogató rendszer: minden olyan rendszer, ami nem szakrendszer.[5]

kk) eseménykezelő központ: az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 2. §-ában kijelölt eseménykezelő központ.[6]

II. FEJEZET

RÉSZLETES RENDELKEZÉSEK

3. Alapelvek

4. A felhasználó kötelessége az információvédelem területén az adott helyzetben általában elvárható magatartást tanúsítani és tartózkodni minden károkozó tevékenységtől.

5. Az informatikai eszköz felhasználója csak az a személy lehet, aki a Rendőrséggel foglalkoztatási jogviszonyban áll, a munkavégzéshez megfelelő informatikai ismeretekkel rendelkezik, legalább osztályvezető beosztású elöljárója engedélyével szükséges mértékű hozzáférési jogosultságot kapott a Rendőrség rendszereihez, és azokat az információbiztonsági tudatosság szem előtt tartásával használja, valamint nyilatkozik az utasításban foglaltak tudomásul vételéről.

6. A munkaköri leírásban el kell különíteni a jogköröket és a feladatköröket az egyes személyek között annak érdekében, hogy a rendszer vagy informatikai eszköz (a továbbiakban: eszköz) személyes felelősség megállapítása mindenkor biztosított legyen.

7. A rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható, az egyes alrendszer vagy rendszerelem funkcionalitásának megfelelő zavartalan és folyamatos működése.

8. A Rendőrség tulajdonát képező vagy használatában álló eszközöket rendeltetésszerűen, munkavégzés céljából, a Rendőrség érdekeinek szem előtt tartásával, a Rendőrség által meghatározott módon, a felhasználó felelősségére lehet használni. Az eszközök minden egyéb célú, különösen magáncélú használata tilos.

9. A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és szoftverintegritását. Az integritás sérelmének minősül a rendeltetésellenes használat, hardveres (különösen az informatikai eszközből történő eltávolítása, illetve alkatrész behelyezése) vagy szoftveres módosítás (különösen nem engedélyezett program telepítése, terjesztése, a gyártói támogatással rendelkező verzió módosítása, biztonsági beállítások átállítása).[7]

10. A felhasználó csak a saját azonosítójával jelentkezhet be a Rendőrség hálózatára, másnak a saját bejelentkezési hozzáférését nem adhatja át, nem teheti lehetővé, hogy más hozzáférjen.

11. A nem a Rendőrség tulajdonában álló, idegen, információs, számítástechnikai és telekommunikációs eszközt az informatikai üzemeltetésért felelős vezető engedélye nélkül a Rendőrség informatikai struktúrájához csatlakoztatni tilos.

12. A felhasználó köteles a biztonságot támogató szoftverek használatára, azokat az általa használt eszközről nem törölheti le, nem kapcsolhatja ki.

13. A felhasználó kizárólag olyan szoftvereket, programokat használhat, amelyek a szolgálati munkavégzés céljából szükségesek, engedélyezettek.

14. A felhasználó kötelessége az általa tapasztalt hibát, felismert biztonsági eseményt vagy az általa feltárt biztonsági sebezhetőséget haladéktalanul jelezni a rendszerüzemeltetőnek, hogy annak elhárítása a lehető leghamarabb megtörténjen.[8]

4. A Rendőrség rendszereinek biztonsági osztályba sorolásaés a szervezetek biztonsági szintbe sorolása

15. A rendszerek biztonsági osztályba sorolását kockázatelemzés (1. melléklet) alapján a szakmai adatgazda végzi, amelynek végrehajtásában az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: e-biztonságért felelős) és a rendszerüzemeltető közreműködik.

16. A területi és a helyi szintű rendszerek biztonsági osztályba sorolása esetén a hatósági nyilvántartásba vételt követően a területi szerv soron kívül tájékoztatja az ORFK Gazdasági Főigazgatóság Informatikai Főosztály (a továbbiakban: INFO) E-biztonság Felügyeleti Osztály (a továbbiakban: EBFO) vezetőjét a biztonsági osztályba sorolás eredményéről.[9]

17. A biztonsági osztályba sorolást követően 90 napon belül meg kell határozni a biztonsági osztály követelményeinek teljesítéséhez szükséges intézkedéseket.

18. A biztonsági osztályba és szintbe sorolás eredményéről naprakész nyilvántartást kell vezetni.

18/A. A központi rendszerek biztonsági osztályba sorolási eredményeinek összesítéséről és naprakészen tartásáról az EBFO vezetője gondoskodik. Az erről szóló dokumentumot a gazdasági országos rendőrfőkapitány-helyettes terjeszti fel jóváhagyás céljából az országos rendőrfőkapitány részére.[10]

19. Az ORFK biztonsági szintje 4. biztonsági szint.

5. Informatikai Biztonsági Szabályzat

20. Az egységes rendőrségi informatikai rendszer megteremtése céljából az országos rendőrfőkapitány kizárólagos hatáskörébe tartozik a Rendőrség informatikai tárgyi és technikai feltételeinek biztosítását célzó intézkedések jóváhagyása. Az országos rendőrfőkapitány kizárólagos hatáskörébe tartozó informatikai biztonsági döntések előkészítéséről a gazdasági országos rendőrfőkapitány-helyettes gondoskodik.

21. A területi szerv informatikai biztonsági szabályzatát az utasítással összhangban kell elkészíteni. A területi szerv az informatikai biztonsági szabályzatát az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) meghatározott hatósági nyilvántartásba vételt követően tájékoztatásul megküldi az EBFO vezetőjének.

6. Rendszerbiztonsági Terv

22. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszer esetében (az éles-, a tartalék-, a teszt-, a fejlesztői, az oktatói és az integrációs környezetre is, amennyiben az értelmezhető) Rendszerbiztonsági Tervet kell készíteni és naprakészen tartani. A Rendszerbiztonsági Tervben kötelező megjeleníteni a rendszerrel kapcsolatos technikai, valamint humán kockázati elemeket, maradványkockázatokat és az információbiztonság növelése érdekében javasolt fejlesztési lehetőségeket.

23. A Rendszerbiztonsági Terv kidolgozása és naprakészen tartása - a rendszer teljes életciklusában - az érintett szakterületekkel és külső személyekkel szorosan együttműködve a rendszerüzemeltető feladata.

23/A. Ha a rendszer alkalmazásüzemeltetési és szerverüzemeltetési szolgáltatásait más rendőri szerv biztosítja, a Rendszerbiztonsági Terv elkészítéséért a rendszerüzemeltetők egyetemlegesen felelnek.[11]

24. A Rendszerbiztonsági Tervet frissíteni kell a rendszerben vagy annak üzemeltetési környezetében történt változások, valamint a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett szakterületekkel és a külső személyekkel.

25. A Rendszerbiztonsági Tervet a 2. mellékletben meghatározott követelmények alapján kell elkészíteni.

26. A Rendszerbiztonsági Tervet - annak módosulása esetén is - az EBFO vezetőjének jóváhagyásra meg kell küldeni.

7. Hálózatbiztonsági Terv

27. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszerek részét képező, illetőleg ezeket összekötő hálózatok tekintetében Hálózatbiztonsági Tervet kell készíteni és naprakészen tartani. A Hálózatbiztonsági Tervben kötelező megjeleníteni az informatikai hálózattal kapcsolatos technikai, valamint humán kockázati elemeket, maradványkockázatokat és az információbiztonság növelése érdekében javasolt fejlesztési lehetőségeket.

28. A Hálózatbiztonsági Terv kidolgozása és naprakészen tartása - a hálózati aktív és passzív eszközök teljes életciklusában érintett szakterületekkel és külső személyekkel szorosan együttműködve - a hálózatüzemeltető feladata.

29. A Hálózatbiztonsági Tervet frissíteni kell a hálózatban vagy annak üzemeltetési környezetében történt változások és a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett szakterületekkel és a külső személyekkel.

30. A Hálózatbiztonsági Tervet a 3. mellékletben meghatározott követelmények alapján kell elkészíteni.

31. A Hálózatbiztonsági Tervet - annak módosulása esetén is - az EBFO vezetőjének jóváhagyásra meg kell küldeni.

8. Üzletmenet-folytonossági és katasztrófaelhárítási tervek

32. Az Üzletmenet-folytonossági (Business Continuity Plan, a továbbiakban: BCP) és katasztrófaelhárítási tervek (Disaster Recovery Plan, a továbbiakban: DRP) az utasítás hatálya alá tartozó szolgáltatásokat biztosító informatikai infrastruktúra elvárt szinten való működését biztosító, nem tervezett, negatív hatású események bekövetkezése esetére vonatkozó eljárások dokumentációja, ennek megfelelően a kritikus folyamaton elvégzett folyamatalapú kockázatmenedzsment egyik eredménye.

33. A BCP/DRP tervek kidolgozása és karbantartása a folyamatgazda feladata.

34. A rendszer BCP érintettségét a Rendszerbiztonsági Terv tartalmazza.

35. A hálózat BCP érintettségét a Hálózatbiztonsági Terv tartalmazza.

9. Információbiztonsági nyilvántartások

36. A Rendőrség információbiztonsági nyilvántartása az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszer, amelyben rögzíteni kell rendszerbiztonsági terv és a hálózatbiztonsági terv alapján összegyűjtött információkat.

37. Az irányítás-, kockázat- és megfelelésmenedzsment rendszer naprakészen tartásáért a rendszerüzemeltető, illetve a hálózatüzemeltető felelős.

10. Az információbiztonság szervezeti felépítése, szerepkörök, feladat-és hatáskörök, felelősségi szabályok[12]

38. Az információbiztonsági szerepköröket betöltő személyek kijelölése vagy kinevezése során törekedni kell arra, hogy a Rendőrség szervezetén belül az információbiztonság megvalósítását és működtetését kezdeményezni és felügyelni tudják.

39. Az információbiztonsági szerepköröket azonosítani kell az alábbiak szerint:

a) az információbiztonsággal kapcsolatos felelősséget meg kell határozni, és személyekhez kell rendelni;

b) az utasítás tárgyi hatálya alá tartozó valamennyi rendszer vonatkozásában ki kell jelölni az üzemeltetésért és biztonságért felelős szervezetet vagy személyeket, akiknek kötelessége a felhasználókkal betartatni a rendszer üzemeltetésével kapcsolatos szabályokat;

c)[13]

40. Az informatikai biztonsági szabályok betartásáról az ORFK vonatkozásában az országos rendőrfőkapitány, területi szerv vonatkozásában a területi szerv vezetője által kinevezett vagy megbízott e-biztonságért felelős személy gondoskodik.[14]

41. Az ORFK e-biztonságért felelőse az EBFO vezetője.

42. Az EBFO vezetője informatikai biztonsági kérdésekben irányítja, felügyeli és ellenőrzi az informatikai biztonsági előírások teljesítésével összefüggő tevékenységet, az ORFK és a központi rendszerek vonatkozásában ellátja az Ibtv. 13. §-ában az e-biztonságért felelős számára meghatározott feladatokat, így különösen[15]

a) a központi rendszerek vonatkozásában gondoskodik a cselekvési terv elkészítéséről;

b) az ORFK munkaállomásainak informatikai biztonsági felügyeletével összefüggésben működtetési korlátozásokat írhat elő és ellenőrizheti azok betartását;

c) informatikai biztonsági ellenőrzéseket hajt végre;

d) gondoskodik az ORFK felhasználóinak biztonságtudatossági képzéséről;

e) jóváhagyja a Rendszerbiztonsági Tervet és a Hálózatbiztonsági Tervet.

43. Az e-biztonságért felelős tevékenysége során szükség szerint együttműködik az adatvédelmi tisztviselővel, a biztonsági vezetővel, a védelmi tiszttel, a biztonsági összekötővel, az informatikai üzemeltetésért felelős vezetővel, a rendszerüzemeltetővel, valamint az Ibtv.-ben és végrehajtási rendeleteiben meghatározott szervekkel.[16]

44. Az e-biztonságért felelős információbiztonsági szempontból véleményezi az információbiztonságot érintő beszerzéseket és megkötendő megállapodásokat, illetve javaslatot tehet a már megkötött megállapodások módosítására, amennyiben azok nincsenek összhangban az elvárt biztonsági követelményekkel.

45. Az e-biztonságért felelős véleményezi az utasítás tárgyi hatálya alá tartozó beruházások információbiztonsági követelményeinek teljesülését, felügyeli azok megvalósítását a beruházás teljes életciklusa során.

46. A Rendőrség információbiztonságát érintő döntések előkészítését szolgáló egyeztetésekre - különösen a munkacsoport értekezletekre - meg kell hívni az e-biztonságért felelőst.

47.[17]

48. Az e-biztonságért felelős kijelölése, illetve személyi változása esetén a területi szerv vezetője soron kívül tájékoztatja az EBFO vezetőjét.[18]

49.[19]

50. A Rendőrségen központi, területi és helyi szintű informatikai rendszerek üzemeltethetők, melyekről az informatikai üzemeltetésért felelős vezető naprakész nyilvántartást vezet.

50/A. Az ORFK informatikai üzemeltetésért felelős vezető az INFO vezetője.[20]

51. Az INFO vezetője irányítja a Rendőrség informatikai és telekommunikációs üzemeltetési tevékenységét a központi rendszerek tekintetében.[21]

52. Központi szintű informatikai infrastruktúra üzemeltetés során biztonsági esemény vagy kritikus hibajavítás esetén az infrastrukturális alrendszerek, szolgáltatások ideiglenes vagy időszakos szüneteltetéséről, felfüggesztéséről az INFO vezetője, területi és helyi rendszer esetén a területi szerv informatikai üzemeltetésért felelős vezetője dönthet.[22]

53. Az üzemeltetésért és a fejlesztésért felelős, továbbá az e-biztonságért felelős - egymással együttműködve - úgy köteles eljárni, hogy a rendszer teljes életciklusában megvalósuljon és biztosított legyen a rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelme.[23]

54. A szakmai adatgazda feladatai:

a) igényelt jogosultságok elbírálása;

b) a hozzá rendelt adatállomány és szolgáltatás vonatkozásában a kockázatok mértékének a bizalmasság, rendelkezésre állás és sértetlenség szempontjából történő meghatározása, az 1. mellékletben foglaltak alapján;

c) a felelősségi körébe tartozó információs vagyonelemekre vonatkozó szakmai döntések meghozatala;

d) az információbiztonsági követelmények alapján az információbiztonsági kockázatok felmérése;

e) a hozzáférésre jogosult felhasználók adatainak és jogosultságainak naprakész nyilvántartása.

f) az érintett szakmai folyamatok kidolgozása;[24]

g) az adatszivárgás elleni védelem érdekében az adatosztályozás elvégzése;[25]

h) a kivezetés előtt álló, már a napi üzem során nem használt rendszerek szakmai gondozása, a kivezetés végrehajtása, annak koordinációja.[26]

54/A. A szakmai adatgazda évente jelentésben összesíti az általa aktualizált és felügyelt szakmai folyamatokat, a szakmai kockázatok megjelölésével, státuszjelentést ad az adatosztályozásról. A jelentést a tárgyévet követő év május 31-ig az e-biztonságért felelősön keresztül a szervezet vezetője részére kell felterjeszteni.[27]

55. A rendszer üzemeltetéséért felelőst meg kell nevezni a Rendszerbiztonsági Tervben. A rendszerüzemeltetési feladatok konkrét meghatározását a munkaköri leírásban kell rögzíteni.

55/A. Az ORFK munkaállomásainak üzemeltetéséről külön megállapodás alapján a Készenléti Rendőrség informatikai üzemeltetéstámogatással foglalkozó szervezeti eleme gondoskodik.[28]

56. A hálózat üzemeltetésért felelőst a hálózat vonatkozásában írásban meg kell nevezni a Hálózatbiztonsági Tervben. A hálózatüzemeltetési feladatok konkrét meghatározását a munkaköri leírásban kell rögzíteni.

57. A rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozattételre kell kötelezni a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy a rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja.

11. Együttműködés a hatóságokkal

58. A területi szerv vezetője az e-biztonságért felelős útján az Ibtv.-ben meghatározott hatósági bejelentéssel kapcsolatos feladatainak ellátásáról tájékoztatja az EBFO vezetőjét.

59. A kibertérből származó kockázatokra vonatkozó figyelmeztetéseket az e-biztonságért felelős fogadja az eseménykezelő központtól, azokat elemzi, és ha intézkedés szükséges, azok végrehajtásáról tájékoztatja az EBFO-t.[29]

60. Az e-biztonságért felelős a biztonsági események felderítése, elhárítása és megelőzése érdekében kapcsolatot tart az eseménykezelő központtal.[30]

12. Információbiztonsági kockázatok kezelése

61. A kockázatkezelés célja, hogy a Rendőrség képes legyen azonosítani az információs vagyontárgyait veszélyeztető kockázati tényezőket, és az azonosított kockázatokkal arányos védelmi intézkedéseket dolgozzon ki az információs vagyontárgyak védelmének érdekében.

62. Az ORFK az általa használt kockázatkezelési módszertanát az ORFK integrált kockázatkezelési szabályzatában írja elő.

63. Az ORFK az általa üzemeltetett vagy szolgáltatásként igénybe vett rendszer kockázatfelmérését és kockázatelemzését az adott rendszer Rendszerbiztonsági Tervében valósítja meg, melyet az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes kockázati elemek felelőseit és a kockázatok elhárításában tevékenyen részt vevőket.

64. A Rendőrség a rendszereit összekapcsoló informatikai infrastruktúra kockázatfelmérését és kockázatelemzését a Hálózatbiztonsági Tervében valósítja meg, melyet az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes kockázati elemek felelőseit és a kockázatok elhárításában tevékenyen részt vevőket.

65. Az ORFK a felmért és dokumentált folyamatai kapcsán a BCP-vel összhangban folyamatalapú kockázatelemzést végez a kockázatért felelős és a kockázat elhárításában tevékenyen részt vevő bevonásával, a kockázatok kezelésének elvárt minősége érdekében.

66. A Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben meg kell jeleníteni a maradványkockázati elemeket is.

13. Információbiztonsági feladatok tervezése, megvalósítása

67. Az információbiztonsági célok elérése és a kockázatok csökkentésére tervezett intézkedések összehangolt megvalósítása érdekében a javasolt intézkedéseket a rendszerbiztonsági tervek és a Hálózatbiztonsági Terv alapján kell összeállítani.

68. A szervezet vezetője az információbiztonsági feladatokat felelőshöz és határidőhöz rendelten hagyja jóvá, elfogadva a maradványkockázatokat. Meg kell határozni

a) az intézkedéseket,

b) az intézkedések elvárt célját és a célok mérési módszerét,

c) az intézkedések erőforrás szükségletét,

d) az erőforrások forrását.

68/A. A védelmi intézkedések értékelése céljából az ORFK és a területi szerv vezetője által meghatározott gyakorisággal a külső audit lefolytatására független értékelőket kell felkérni.[31]

14. Beszámolás az információbiztonsági feladatok végrehajtásáról

69. A területi szerv e-biztonságért felelőse évente jelentésben értékeli a területi szerv és az alárendelt adatkezelő szervek informatikai biztonsági helyzetét, felülvizsgálja az informatikai biztonsági szabályzatot.

70. Az értékelő jelentést minden év március 31-ig a területi szerv vezetőjének, valamint az EBFO vezetőjén keresztül a gazdasági országos rendőrfőkapitány-helyettes részére kell felterjeszteni.

71. Az értékelő jelentésekből készített országos helyzetet összefoglaló jelentést minden év április 30-ig az országos rendőrfőkapitány részére kell felterjeszteni.

72. Az ORFK e-biztonságért felelőse az Ibtv.-ben és végrehajtási rendeleteiben meghatározott követelmények teljesüléséről az illetékességi területén az érintett szakterületről tájékoztatást vagy adatot kérhet be.

15. Személyi biztonság

73. Amennyiben nemzetbiztonsági ellenőrzés alá eső munkaköröket ellátó személyek esetén kockázati tényező merül fel, a jogosultságokat azonnal vissza kell vonni, ezzel egyidejűleg az EBFO-t tájékoztatni kell.

74. A felhasználó köteles az e-biztonságért felelős által meghatározott módon és időközönként információbiztonsági tudatosságot fokozó képzésen részt venni. A biztonságtudatossági képzés célja az érintett személyek felkészítése a belső fenyegetések felismerésére és a jelentési kötelezettségek tudatosítása.[32]

75. A rendszerüzemeltetői és a hálózatüzemeltetői feladatokat ellátó állomány képzéséről az egyes rendszerek és a hálózat vonatkozásában a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv rendelkezik.

16. A beosztás, megbízás megszűnésével vagy munkakör változásával kapcsolatos információvédelmi feladatok

76. Az utasítás személyi hatálya alá tartozókkal szemben érvényesíteni kell a jogviszony megszűnése vagy megváltozása utáni időszakra vonatkozó titoktartási megállapodások megszegésének jogkövetkezményeit.

77. Munkakör változás esetén, illetve a foglalkoztatási jogviszony megszűnésével vagy megváltozásával egyidejűleg intézkedni kell a személynek az utasítás tárgyi hatálya alá tartozó rendszerben levő hozzáférési jogosultságainak, egyéni hitelesítő eszközeinek a felülvizsgálatára, illetve visszavonására, továbbá el kell számoltatni a rábízott informatikai eszközökkel.

17. Fizikai és környezeti biztonság

78. A rendszer védelmét a rendszer biztonsági osztályba sorolásának megfelelő fizikai biztonság kialakításával kell biztosítani. A rendszer fizikai és környezeti védelmi elemeit a Rendszerbiztonsági Tervben kell rögzíteni.

79. A hálózati aktív és passzív eszköz fizikai és környezeti védelmi elemeit a Hálózatbiztonsági Tervben és az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni.

80. Az olyan helyiségeket, ahol informatikai eszközökkel történik a munkavégzés, távollét esetén a jogosulatlan hozzáférést megakadályozó módon zárva kell tartani.

81. Az új építésű épületek vagy helyiségek esetében fel kell mérni, hogy ott milyen biztonsági osztályú rendszert fognak üzemeltetni, és ennek megfelelően kell a fizikai környezetet kialakítani.

82. Amennyiben a személyes felügyelet nem biztosított, az informatikai erőforrásokat koncentráltan tartalmazó helyiségek bejáratát zárva kell tartani. Munkaidőn túl a belépés csak előzetes bejelentkezés és engedélyezés után szabályozott módon lehetséges.

83. Azokon az épületeken belül, ahol rendszer üzemel, a nap 24 órájára személyi vagy biztonság technikai felügyeletet kell biztosítani.

84. A belépési eljárásokat és a belépési jogosultságok rendszerét minden olyan helyiségben szabályozni és ellenőrizhetően dokumentálni kell, ahol rendszer vagy annak eleme üzemel.

85. A tűzvédelmi előírásokat az adott épületre vonatkozóan annak megfelelően kell kialakítani, hogy az épületben milyen biztonsági osztályba sorolt rendszer üzemel.

86. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségeket, automatikus működtetésű oltórendszerrel és szellőztető rendszerrel kell ellátni.

87. Az elektromos és szünetmentes hálózatot, a túlfeszültség-, az érintés- és villámvédelmet, valamint a vészkikapcsoló, továbbá a szükségvilágítást biztosító berendezéseket az adott épületre vonatkozóan annak megfelelően kell kialakítani, hogy az épületben milyen biztonsági osztályba sorolt rendszer üzemel.

88. Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett szükség-áramellátó diesel-elektromos gépcsoportot is telepíteni kell, amely automatikus indítású és szabályozású, ezen kívül teljesítménye képes kiszolgálni a számítástechnikai eszközökön túl az azok működéséhez szükséges segédüzemi berendezéseket (különösen a klímaberendezéseket) is.

89. A hőmérséklet és páratartalom szintjét az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben szabályozni kell.

90. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben csak az elengedhetetlenül szükséges közműhálózat csatlakozhat, a helyiségen belül nem mehet át víz-, gáz-, csatorna és egyéb közművezeték, felette és a határoló falfelületek mentén vizesblokkot tartalmazó helyiségrész nem lehet, az esetleges vízbetörés érzékelését biztosítani kell.

91. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a nyílászárókat zártságot ellenőrző eszközzel kell ellátni, a belső terek védelmét mozgásérzékelővel kell biztosítani. A védelem ki- és bekapcsolása a bejáraton kívül elhelyezett vezérlővel történhet.

92. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségek ablakait betekintés és behatolás ellen védő biztonsági fóliával kell védeni. Ablakok elkerülhetetlen létesítése esetén azok közforgalomtól elzárt területre, belső udvarra kell, hogy nézzenek.

93. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a padlóburkolatoknak, az álpadlónak, a berendezési tárgyaknak antisztatikus kivitelűeknek kell lenniük.

94. Tilos az informatikai erőforrásokat koncentráltan tartalmazó helyiség funkciójától eltérő anyagot vagy eszközt tárolni.

95. A Rendőrség rendszereiről vagy azok elemeiről magáncélú hang- és képfelvétel készítése tilos.

96. Az adatkommunikációs kábelek fizikai védelme érdekében biztosítani kell, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen.

18. Vagyonelemek kezelése, védelme és ellenőrzése

97. Az utasítás tárgyi hatálya alá tartozó vagyonelemeket a rendszerüzemeltetőnek, illetve a hálózatüzemeltetőnek azonosítani kell, és nyilvántartást kell (a továbbiakban: Konfiguráció nyilvántartás) vezetni róluk.

98. Az információs vagyonelemeket és az információfeldolgozó eszközöket egyedi azonosító alapján azonosítani kell, ezeket a vagyonelemeket leltárba kell venni, és azt naprakészen kell tartani.

99. A Konfiguráció nyilvántartást az utasítás tárgyi hatálya alá tartozó valamennyi rendszerre (hálózatra, információs rendszerekre és a rendszerekhez hozzáférést biztosító eszközökre) el kell készíteni, melyet a hálózat tekintetében a Hálózatbiztonsági Tervben, az információs rendszerek tekintetében a Rendszerbiztonsági Tervben és az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni, valamint ki kell jelölni a vagyonelem felelősét.

100. A Konfiguráció nyilvántartásnak pontosan tükröznie kell az utasítás hatálya alá tartozó elektronikus információs rendszerek aktuális állapotát és a hatókörébe eső valamennyi hardver- és szoftverelemet, továbbá tartalmaznia kell a szükséges és elégséges licenc-, valamint tanúsítványállományt.[33]

101. A rendszerekhez hozzáférést biztosító eszközök tekintetében a nyilvántartásnak tartalmaznia kell az eszköz valamennyi hardver-, szoftverelemét (típus, gyártási szám, azonosító, megnevezés, verziószám) és felhasználóit.

102. Az információs vagyonelemeket és az információfeldolgozó eszközöket egyedi azonosítóval kell ellátni.

103. Az informatikai eszközök (adathordozók) átadása, átvétele, szállítása, megsemmisítése kizárólag dokumentáltan történhet.

104. Az utasítás hatálya alá tartozó rendszerekben kizárólag az engedélyezett és a Konfiguráció nyilvántartásban szereplő vagyonelemek, eszközök használhatók.

105. A jóváhagyott konfigurációban bekövetkező bármilyen változtatás, beleértve a konfiguráció egészének vagy egy elemének áthelyezését is, amennyiben rendelkezésre áll, az ORFK által rendszeresített változáskezelést támogató informatikai rendszer alapján lehetséges.

106. A konfiguráció engedély nélküli megváltoztatását biztonsági eseményként kell kezelni, és ki kell vizsgálni.

107. A jogosulatlan rendszerelemek automatikus észlelésére automatizált mechanizmusokat kell működtetni.

108. Az eszközök csak a zárt helyiségben hagyhatóak felügyelet nélkül.

109. A Rendőrség által biztosított felhasználói eszközöket jelszavas védelemmel kell ellátni. Az eszköz zárolásra kerül 5 perc inaktivitást követően.

110. Az utasítás hatálya alá tartozó létesítményekben hosszabb munkaszünet idejére el kell zárni a védendő információkat tartalmazó dokumentumokat és adattároló eszközöket.

111. Az eszközök képernyőjén a védendő dokumentumokat úgy szabad kezelni, hogy azok tartalmát illetéktelen személyek ne ismerhessék meg.

19. Adathordozók védelme

112. Az adatok tárolására szolgáló külső adathordozókat nyilvántartásba kell venni, a nyilvántartás naprakészen tartása az informatikai üzemeltetésért felelős vezető feladata.

113. A nyilvántartásba vétellel kell biztosítani az adathordozó nyomonkövethetőségét, ezáltal a rajta tárolt adat mozgásának ellenőrizhetőségét, továbbá a személyi felelősség megállapíthatóságát.

114. Az adathordozó vírusellenőrzéséről az informatikai üzemeltetésért felelős vezetőnek központilag menedzselt rendszerrel kell gondoskodni.

115. A beépített adathordozóval ellátott rendszer önmagában is adathordozónak minősül. Adathordozónak kell továbbá tekinteni a digitális adatok tárolására és feldolgozására alkalmas mobil eszközöket.

116. Az adatot tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, visszaéléstől vagy megrongálódástól.

117. Selejtezés alkalmával minden adathordozó tartalmát dokumentáltan törölni kell, ezután olyan fizikai roncsolással kell megsemmisíteni, hogy újbóli használatba vétele lehetetlenné váljon. A megsemmisítésről jegyzőkönyvet kell felvenni.

118. A mobil eszközöket biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, ezért a rajta tárolt információkat, alkalmazás hozzáféréseket központi management eszközzel védeni kell.[34]

119. Külső adathordozóra másolás előtt a felhasználónak vírusellenőrzést kell végrehajtania a másolandó adatállományon, a forrás munkaállomáson rendszeresített vírusellenőrző programmal.

20. A hozzáférés felügyelete

120. Az információhoz és az információfeldolgozó eszközökhöz való hozzáférést korlátozni kell az arra jogosultak körére.

121. A felhasználók részére a rendszerhez történő hozzáférést a rendszer biztonsági beállításainak érvényesítése és azok ellenőrzését követően lehet biztosítani, amelyet a rendszerüzemeltető hajt végre a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv követelményei szerint.

122. A rendszernek alkalmasnak kell lenni a hozzáférési jogok egyedi vagy csoportszinten való megkülönböztetésére és szabályozására, valamint a felhasználók személyhez köthető egyedi azonosítására.

123. A felhasználót egyedi azonosítóval kell ellátni, melynek alapján nyomon követhető a rendszerben végzett tevékenysége.

124. A rendszerhez való hozzáférést a felhasználó megbízható azonosítása előzi meg. Ez történhet személyes használatra kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag a felhasználó által ismert jelszóval vagy a használt rendszer biztonsági osztályának megfelelő további azonosítással.

125. Minden felhasználó jelszava tekintetében a jelszavakra vonatkozó szabályok betartásának ellenőrzésére és érvényesítésére a rendszerben használt címtár felhasználóazonosító rendszerét, illetve az adott alkalmazás felhasználóazonosító rendszerét kell használni.

126. A felhasználó az első bejelentkezése után köteles azonnal megváltoztatni a jelszavát. Minden felhasználónak lehetőséget kell biztosítani arra, hogy jelszavát bármikor megváltoztathassa.

127. Amennyiben a jelszó kompromittálódásának gyanúja megalapozott, azt a felhasználó haladéktalanul köteles megváltoztatni.

128. Az informatikai üzemeltetésért felelős vezető az információbiztonság fenntartása érdekében az azonosítókat letilthatja, ha

a) a jelszó kompromittálódásának gyanúja megalapozott;

b) a felhasználó megsérti a rá vonatkozó adatkezelési szabályokat;

c) a felhasználó foglalkoztatási jogviszonya megszűnt, szünetel vagy munkaköre megváltozott;

d) az azonosítók azonnali letiltására utasítást kap az állományilletékes parancsnokától.

129. A jogosultságokat a munkavégzéshez minimálisan szükséges mértékű jogosultságokra kell korlátozni, a szükséges és elégséges ismeret elvének megfelelően.

130. Az erőforrásokhoz való hozzáférési jogosultságok kiadásánál törekedni kell a csoportszintű jogosultságok alkalmazására.

131. A felhasználók számára tiltani kell a következő tevékenységeket:

a) BIOS hozzáférés;

b) hardver telepítés;

c) szoftver telepítés;

d) hozzáférés a rendszerfájlokhoz (módosítás);

e) rendszeridő és dátum módosítás;

f) naplófájlok módosítása, törlése;

g) operációs rendszer rendszerbeállításainak megváltoztatása;

h) felhasználó jogainak megváltoztatása.

i) szoftverterjesztés.[35]

132. A rendszernek meg kell akadályoznia, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését vagy megváltoztatását.

133. A távoli hozzáférést, a vezeték nélküli hozzáférést és a privilegizált parancsok és biztonságkritikus információk eléréséhez távoli hozzáférési jogosultság megadását a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv követelményei alapján a szakmai adatgazda engedélyezheti.

134. A felhasználó számára csak olyan hálózatokhoz és hálózati szolgáltatásokhoz való hozzáférés biztosítható, amelyek használata engedélyezett a számára, beleértve, hogy rendelkezik megfelelő feltételekkel, és megkapta a szerepköréhez és feladatához kapcsolódó képzést.

135. A felhasználó hibájából bekövetkezett kompromittálódás vagy annak gyanúja esetén az informatikai üzemeltetésért felelős vezetőnek vizsgálni kell a felhasználói jogosultság azonnali felfüggesztésének indokoltságát.

136. A hozzáférési jogosultságokat a szakmai adatgazda személyügyi, munkaköri változások bekövetkezésekor minden esetben haladéktalanul felülvizsgálja, és indokolt esetben intézkedik a hozzáférési jogosultságok módosítására, visszavonására.

137. A 90 napja nem használt felhasználói fiókot és a hozzá tartozó postafiókot az informatikai üzemeltetésért felelős vezetőnek fel kell függeszteni.

138. A 90 napot meghaladó távollét, betegség esetén a felhasználó jogosultságait fel kell függeszteni, a helyettesítést a hozzáférési jogosultságok ideiglenes megváltoztatásával kell biztosítani.

139. Az e-biztonságért felelős feladata, hogy rendszeres információbiztonsági képzés keretében a felhasználók számára átadja a jelszavak használatával kapcsolatos ismereteket. A felkészítés alkalmával minden felhasználóban tudatosítani kell a helytelen jelszóhasználatból adódó veszélyeket és az ezzel járó felelősséget.

140. A rendszer- és alkalmazásszintű kontrollokat megkerülni képes, kiemelt jogokkal bíró programokat csak dokumentált és engedélyezett módon lehet használni. A programokat az e-biztonságért felelősjóváhagyásával a rendszerüzemeltető engedélyezheti.

141. Az utasítás hatálya alá tartozó rendszer nyitóoldalán a rendszer használatára vonatkozó figyelmeztetést kell közzétenni, amely ismerteti a rendszer engedélyezett használatának a feltételeit, és jelzi, hogy a felhasználó a Rendőrség rendszerét használja, a rendszerhasználatot az adatvédelmi szabályoknak megfelelően figyelhetik, rögzíthetik, naplózhatják, továbbá, hogy a rendszer jogosulatlan használata tilos, és büntetőjogi vagy polgárjogi felelősségre vonással járhat.

142. A figyelmeztetésben szerepeltetni kell, hogy a rendszer használatával a felhasználó tudomásul veszi a munkaköri feladatok ellátása érdekében biztosított rendszerhasználati jogosultság jogszerű gyakorlásának ellenőrzését, ennek érdekében a rendszerben végzett tevékenységének megfigyelését, naplózását és rögzítését.

21. Titkosítás

143. Kriptográfiai mechanizmusokat kell alkalmazni

a) az utasítás tárgyi hatálya alá tartozó informatikai szolgáltatásokkal kapcsolatos digitális adathordozókon tárolt információk bizalmasságának és sértetlenségének a védelmére, a Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben rögzítettek szerint;

b) az adatátvitel során az adatok jogosulatlan felfedése ellen, kivéve, ha az átvitel más, az érintett szervezet által meghatározott alternatív fizikai ellenintézkedéssel védett;

c) a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére;

d) a naplóinformáció és a naplókezelő eszköz sértetlenségének védelmére.

144. A titkosító kulcsok használatát, védelmét a Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben meghatározottak szerint kell biztosítani, azok teljes életciklusára kiterjedően.

145. Nyilvános kulcsú infrastruktúra alapú hitelesítés esetén a tanúsítványok érvényességét az informatikai üzemeltetésért felelős vezetőnek ellenőriznie kell.

22. Az üzemeltetés biztonsága

146. Az üzemeltetési eljárásokat a Rendszerbiztonsági Tervben dokumentálni kell, és csak annak a felhasználónak lehet hozzáférhetővé tenni, akinek ez a munkaköri feladatainak ellátásához feltétlenül szükséges.

147. Dokumentált és engedélyezett módon kell kezelni minden olyan szervezeti, folyamatbeli, az információ feldolgozó rendszerelemet és rendszerkonfigurációt, valamint a rendszert és a hálózatot érintő változtatást vagy hibát, amelyeknek hatása van vagy lehet az információbiztonságra.[36]

148. Az INFO vezetőjének a változtatások központi nyilvántartását úgy kell vezetni, hogy visszakereshető legyen minden, a rendszerben megvalósított változtatás dokumentációja.[37]

149. Minden változtatás végrehajtása előtt el kell végezni a változtatás tesztelését, a rendszerkonfiguráció megváltoztatása előtt az új verziót mindig tesztelni és a Rendszerbiztonsági Tervben rögzíteni kell.

150. Az informatikai üzemeltetésért felelős vezetőnek minden változtatás engedélyezése előtt a változtatás elvégzésének információbiztonságra és az Üzletmenet-folytonosságra gyakorolt hatását értékelni kell.

151. A rendszerhez alapkonfigurációt kell összeállítani, azt dokumentálni kell, és karban kell tartani. Változatlan állapotban meg kell őrizni a rendszer alapkonfigurációját és annak előző verzióját, hogy szükség esetén lehetővé váljon az erre való visszatérés.

152. A szükséges rendszerteljesítmény biztosítása érdekében az erőforrások használatát nyomon kell követni, optimalizálni kell és a jövőbeni kapacitásszükségletet előre kell jelezni.

153. A rendszerüzemeltetésért felelős feladata, hogy folyamatosan figyelje a meglévő erőforrásokat és a várható kapacitás igényeket, illetve nyomon kövesse a rendszerek kihasználtságát.

154. A Rendszerbiztonsági Terv alapján el kell különíteni a fejlesztési és éles üzemi környezeteket.

155. Az INFO vezetőjének a rendszer elemeinek védelme érdekében folyamatos teszteket, auditokat kell végezni az audit terv alapján.[38]

156. Az éles üzemi rendszerek ellenőrzésére is kiterjedő informatikai auditok követelményeit és a vizsgálati tevékenységeket gondosan meg kell tervezni és jóvá kell hagyni azért, hogy a Rendőrség napi működésének megzavarását minimalizálni lehessen.

157. A felhasználónak a bekövetkezett hardverelem-meghibásodást haladéktalanul jelentenie kell a rendszerüzemeltető szervezetnek.

158. A Rendőrség információfeldolgozó berendezéseit a gyártó vagy a forgalmazó előírásai szerint kell karbantartani, folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.

159. A karbantartásokat és a javításokat dokumentálni kell. Minden bejegyzésnek tartalmaznia kell a dátumot, a személyeket és a végzett tevékenységet, beleértve a telepített, kiszerelt, javított vagy eltávolított elem megnevezését és egyedi azonosító adatait, valamint a végrehajtott informatikai feladatokat is.

160. A rendszer vagy annak elemének karbantartása vagy javítása kizárólag előre meghatározott, az érintett szakterülettel egyeztetett időpontban történhet.

161. A munkaállomások és szerverek karbantartási feladatai között ellenőrizni kell a telepített szoftverek listáját és verzióját, valamint a kritikus és biztonsági frissítések, tanúsítványok állapotát, összevetve az ORFK által elfogadott, és erre a célra rendszeresített, licenc- és tanúsítványgazdálkodást támogató egységes rendszer alkalmazásával.[39]

162. Az utasítás tárgyi hatálya alá tartozó rendszerek azon elemeire, amelyek esetén a karbantartáshoz szükséges információk vagy szakértelem a szervezeten belül nem áll rendelkezésre, a rendszerüzemeltetőnek rendelkeznie kell karbantartásra vonatkozó üzemeltetéstámogatási megállapodással.

163. Az eszközre csak olyan támogatási, illetőleg karbantartási megállapodás köthető, amely rögzíti, hogy az eszköz javítása során a külső személyek részére az adathordozó nem kerül átadásra.

164. A karbantartásokat és javításokat megelőzően és azok befejeztével - a használatbavétel előtt - az informatikai üzemeltetésért felelős vezetőnek teljes konfiguráció ellenőrzést kell végrehajtani.

165. A rendszer rendelkezésre állását korlátozó munkálatok felhasználókkal történő egyeztetése a rendszerüzemeltető feladata, amelynek során figyelembe kell venni a Rendszerbiztonsági Tervben vállalt szolgáltatási szint megállapodást.

166. A rendszer elemének selejtezését az informatikai üzemeltetésért felelős vezetőnek dokumentált módon kell végrehajtani. A selejtezésről minden esetben selejtezési jegyzőkönyvet kell készíteni, amelyet az iratkezelési szabályoknak megfelelően kell tárolni.

167. A rendszerüzemeltető felelős azért, hogy az eszközök újrafelhasználása esetén a korábbi használatból adódóan adatok ne vesszenek el, illetve az adatok bizalmassága ne sérüljön.

168. Az éles üzemű rendszeren elvégzendő szoftvertelepítést, frissítést szabályozott változáskezelési eljáráson keresztül dokumentáltan kell végrehajtani, melyet a Rendszerbiztonsági Tervben rögzíteni kell.

169. A rendszeren telepített szoftverekről, tanúsítványokról a rendszerüzemeltető naprakész nyilvántartást vezet az ORFK által elfogadott, és erre a célra rendszeresített, licenc- és tanúsítványgazdálkodást támogató egységes rendszer alkalmazásával. A nyilvántartásnak tartalmaznia kell a szoftver megnevezését, verziószámát és a rendszer azon elemeinek listáját, ahol beüzemelésre került.[40]

170. Az operációs rendszerek és a felhasználói programok kereskedelmi forrásból beszerzett, jogtiszta programok vagy a Rendőrség által fejlesztett alkalmazások lehetnek.

171. Az operációs rendszer, az alkalmazás és a hálózati aktív eszköz szoftver verzióját, valamint biztonsági patch szintjét tesztelést követően lehetőség szerint a gyártói támogatással rendelkező, legmagasabb szintre kell hozni.[41]

172. A biztonsági beállítások meghatározásánál figyelembe kell venni a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv követelményeit, valamint az egyes gyártók és információbiztonsági szervezetek által kiadott biztonsági megerősítési útmutatóit (hardening guide).

173. A biztonsági beállításokat az e-biztonságért felelős bármikor ellenőrizheti, azokon változtatást, auditálást ő engedélyezhet.

174. A rendszert úgy kell beállítani, hogy a működése során keletkező nem nyilvános maradvány információk (különösen az átmeneti fájlok) bizalmasságát, sértetlenségét védje.

175. Új rendszer bevezetését megelőzően vagy abban az esetben, ha a már meglévő rendszer sérülékenységére vonatkozó információ merül fel, az EBFO vezetője gondoskodik a sérülékenységvizsgálat lefolytatásáról.

176. A sérülékenységvizsgálat a Rendőrség rendszereinek napi üzemét nem veszélyeztetheti, azt kizárólag előzetesen jóváhagyott eszközökkel, dokumentáltan lehet lefolytatni.

177. Meglévő rendszer esetén a biztonságot közvetlenül veszélyeztető hibákat a lehető leghamarabb javítani kell, vagy korrektív kontroll alkalmazásával csökkenteni a kockázatokat. Új rendszer esetén feltárt sérülékenységet a használatbavételig javítani kell.

178. A hálózatok ki- és bemeneteli pontjait minimalizálni kell, továbbá a ki- és bemeneti pontok adatforgalmát elektronikusan naplózni, és a naplófájlokat ellenőrizni kell.

179. Az informatikai üzemeltetésért felelős vezetőnek a rendszer minden arra alkalmas - megfelelő hardver- és szoftverkörnyezettel rendelkező - elemére jóváhagyott, központilag rendszeresített vírusellenőrző szoftvert kell telepítenie és naprakészen tartania.[42]

180. Az informatikai üzemeltetésért felelős vezetőnek a hálózatra csatlakozó eszközök esetében központilag, a hálózatra nem csatlakozó eszközök esetében egyenként kell a vírusellenőrző rendszert felügyelni.

181. Amennyiben kártékony kód elemzése szükséges, azt az informatikai üzemeltetésért felelős vezetőnek külön külső adathordozón kell tárolni, amelyen más, kártékony kódot nem tartalmazó adat, dokumentum nem lehet. Az adathordozón látható módon fel kell tüntetni, hogy vírust, kártékony kódot tartalmaz.

182. A kéretlen és kártékony kódot tartalmazó elektronikus levelek kiszűrésére olyan központilag menedzselt szűrőt kell üzemeltetni, amely automatikusan központilag frissíti az adatbázisát, és frissíti a rendszert új verziók elérhetővé válásakor.

183. A biztonsági mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. A hatékony biztonsági adatmentés érdekében a munkaállomásokon feldolgozott adatállományokat tárolni kizárólag szervereken és központi kiszolgálókon, valamint az adatmentésre szolgáló médián lehet. Bármilyen más helyen történő adattárolás még átmenetileg is tilos.

184. Az adatokról, szoftverekről és rendszerképekről a jóváhagyott mentési és archiválási szabályozásnak megfelelően a rendszerüzemeltetőnek dokumentáltan kell mentéseket készíteni, és visszaállítási teszteket kell végrehajtani, a Rendszerbiztonsági Tervben meghatározottak szerint.[43]

185. A rendszerüzemeltetőnek és a hálózatüzemeltetőnek minden olyan adatot menteni kell, amely az auditálás, ellenőrzés eszköze lehet (különösen naplófájlok, riportok). Ezeket az adatokat a többi felhasználói, illetve rendszer adattól elkülönítetten kell menteni, és minimum öt évig meg kell őrizni.

186. A naplóbejegyzések vizsgálatát, így különösen a lokális és központi naplóbejegyzések gyűjtését, összefüggéseinek elemzését és jelentését integrált folyamattá kell alakítani, amely a veszélyes vagy tiltott tevékenységekre és történésekre megfelelően képes reagálni.[44]

187. A rendszernek naplóznia kell a felhasználói tevékenységet, valamint a privilegizált felhasználó privilegizált jogosultsággal végzett tevékenységeit.

188. A naplózásra becsült mennyiségű naplóesemény elvárt ideig való tárolásához elegendő méretű tárkapacitást kell biztosítani.

189. Törekedni kell az automatizált naplóesemény-elemző rendszer alkalmazására.

190. A rendszerüzemeltetőnek a naplózási eseményeket tartalmazó adatokról a Rendszerbiztonsági Terv szerint biztonsági mentést kell készíteni.

191. A naplózó eszközt, illetve a naplóinformációt meg kell védeni a jogosulatlan hozzáféréstől, törléstől, kiiktatástól vagy módosítástól.

23. A hálózat biztonsága

192. A hálózatüzemeltetőnek a rendszer hálózati elemeit menedzselni és felügyelni kell. A hálózatmenedzsment segítségével kell megoldani a hálózatok biztonságát és az infrastruktúra védelmét.

193. Olyan ellenőrző-felügyeleti eszközöket kell használni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, és megóvják a hálózatot a jogosulatlan hozzáférésektől.

194. Az INFO vezetője gondoskodik a hálózatok végpontjain komplex fizikai és logikai védelem alkalmazásáról.[45]

195. A Rendőrség hálózatából más hálózatba csak előre definiált és a hálózatüzemeltető által engedélyezett eszközzel és módon szabad csatlakozni.[46]

195/A. A Rendőrség tulajdonában vagy használatában álló eszközön a vezeték nélküli (WiFi) internet- és belső hálózati hozzáférési pont (Hotspot) kialakítása kizárólag az INFO vezetőjének engedélyével történhet.[47]

196. A hálózatüzemeltető gondoskodik a hálózati eszközökön a naplózás beállításáról és a hálózati eszközök rendszeridejének szinkronizálásáról.

197. A Hálózatbiztonsági Tervben dokumentálni kell az alkalmazott hálózati szolgáltatás biztonsági jellemzőit. Amennyiben több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatüzemeltető feladata.

198. Az EBFO vezetője a rendszerek összekapcsolását csak a rendszerek közötti adatforgalom felügyeletét lehetővé tevő és biztonságát garantáló rendszer közbeiktatásával engedélyezheti.

199. A rendszerek összekapcsolásának feltétele, hogy a magasabb biztonsági osztályba sorolt rendszer követelményeit kell teljesíteni, valamint sérülékenységvizsgálatot kell lefolytatni.

200. Tilos a hálózat biztonságos működését zavaró vagy veszélyeztető információk, programok terjesztése.

201. A hálózat nem használható az alábbi tevékenységekre:

a) a jogszabályokba ütköző cselekmények előkészítése vagy végrehajtása, így mások személyiségi jogainak megsértése (különösen rágalmazás), tiltott haszonszerzésre irányuló tevékenység (különösen piramisjáték), szerzői jogok megsértése (különösen szoftver nem jogszerű terjesztése);

b) profitszerzést célzó (különösen kriptovaluta bányászat), direkt üzleti célú tevékenység és reklám;

c) a hálózat, a kapcsolódó hálózatok, illetve ezek erőforrásainak rendeltetésszerű működését és biztonságát megzavaró, veszélyeztető tevékenység, ilyen információknak és programoknak a terjesztése;

d) a hálózatot, a kapcsolódó hálózatokat, illetve erőforrásaikat indokolatlanul, túlzott mértékben, pazarló módon igénybe vevő tevékenység (különösen nem hivatali körlevelek, hálózati játékok, kéretlen reklámok);

e) a hálózat erőforrásaihoz, a hálózaton elérhető adatokhoz történő illetéktelen hozzáférés, azok illetéktelen használata, eszközök és szolgáltatások - akár tesztelés céljából történő - túlzott mértékben való szisztematikus próbálgatása (különösen TCP port scan);

f) a hálózat erőforrásainak a hálózaton elérhető adatoknak illetéktelen kezelése, módosítása, elérhetetlenné tétele, törlése vagy bármely károkozásra irányuló tevékenység;

g) másokra nézve sértő, vallási, etnikai, politikai vagy más jellegű érzékenységét bántó, zaklató tevékenység (különösen pornográf anyagok közzététele);

h) hálózati üzenetek, hálózati eszközök hamisítása, olyan látszat keltése, mintha egy üzenet más gépről vagy más felhasználótól származna (spoofing).

202. Minden hálózati szolgáltatásra meg kell határozni a biztonsági mechanizmusokat, a szolgáltatási szinteket és a kezelési követelményeket, melyeket a Hálózatbiztonsági Tervben rögzíteni kell.

203. Csak a biztonsági architektúrával összhangban elhelyezett határvédelmi eszközökön, felügyelt interfészeken keresztül kapcsolódhat a rendszer külső hálózathoz vagy külső rendszerhez.

204. Az eszközök távdiagnosztikai és konfigurációs portjainak használata csak a hálózatüzemeltető engedélyével, dokumentáltan lehetséges.

205. A hálózat külső határán aktív hálózati forgalom vizsgálatára és hálózati támadás felismerésére alkalmas, továbbá az alkalmazások és adatbázisok ellenőrzött hozzáférését biztosító tűzfalat kell üzemeltetni.[48]

206. Minden külső infokommunikációs szolgáltatás használatakor felügyelt interfészt kell működtetni, amelyekhez forgalomáramlási szabályokat kell meghatározni és működtetni. A szabályok meghatározásánál az alapeseti visszautasításból kell kiindulni. A forgalomáramlási szabályok alóli minden kivételt dokumentálni kell, a kivételt alátámasztó alapfeladattal és az igényelt kivétel időtartamával együtt. Félévente dokumentáltan felül kell vizsgálni a forgalomáramlási szabályok alóli kivételeket, és el kell távolítani azokat a kivételeket, amelyeket közvetlen alapfeladat már nem indokol.

207. A hálózaton belül és kívül a rendszerek között csak az EBFO vezetője által jóváhagyott kapcsolatok, szolgáltatások és portok engedélyezhetők.

208. A rendszert és a hálózatot túlterheléses - szolgáltatás megtagadás jellegű - támadásokkal szembeni védelemmel kell ellátni.

209. Az információszolgáltatások, a felhasználók és a rendszerek különböző csoportjait a hálózatüzemeltetőnek el kell különíteni a hálózatban.

210. Külön hálózati szegmensbe kell szervezni

a) a fizikai vagy logikai alhálózatban levő szerver gépeket és hálózati eszközöket;

b) az éles üzemi környezet szerver gépeit és hálózati eszközeit;

c) a teszt- és fejlesztői környezet szerver gépeit és hálózati eszközeit.

211. Új kommunikációs csatorna alkalmazását a Hálózatbiztonsági Tervben előzetesen rögzíteni kell.

212. A Rendszerbiztonsági Tervben dokumentálni kell az egyes rendszerkapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt adatok típusát.

213. Az elektronikus levelező rendszer elemeiről, különösen a szerverek fizikai, logikai védelméről folyamatosan gondoskodni kell.

214. Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított - különösen olyan vírustámadás esetén, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet - az elektronikus levélforgalmat az informatikai üzemeltetésért felelős vezetőnek ideiglenesen le kell állítani. Ennek elrendelésére az e-biztonságért, illetőleg az informatikai üzemeltetésért felelős vezető jogosult.

215. A levelező rendszer kizárólag szolgálati feladatok ellátására használható, az abban tárolt és továbbított levelek a Rendőrség adatvagyonának részét képezik.

216. A Rendőrség elektronikus levelezési címjegyzéke külső személynek nem szolgáltatható ki.

217. Tilos az elektronikus üzenetek - rendszeres, illetve automatikus - átirányítása vagy másolat küldése külső postafiókba.

24. Rendszerekbeszerzése, fejlesztése, használatba vétele és fenntartása

218. Az információbiztonságot érintő beszerzéseket az EBFO vezetője véleményezi, a rendelkezésére bocsátott szakmai indoklás és műszaki dokumentáció alapján.

219. Az információbiztonságot érintő beszerzések teljes életciklusában az információ biztonsági követelményeknek történő megfelelésről gondoskodni kell.

219/A. A rendszer információbiztonságát érintő szerződéskötés esetén az e-biztonságért felelős bevonásával meg kell határozni a funkcionális és garanciális biztonsági követelményeket, a dokumentációs követelményeket és a dokumentumok védelmére vonatkozó követelményeket, továbbá meg kell határozni a fejlesztési környezetre és tervezett üzemeltetési környezetre vonatkozó előírásokat.[49]

220. A rendszer fejlesztése során a jogszabályi követelmények és az információbiztonsági szakmai oldal elvárásai alapján a rendszerüzemeltetőnek előzetesen el kell készíteni vagy aktualizálnia kell a rendszerspecifikációra vonatkozó biztonsági követelményrendszert és a Rendszerbiztonsági Tervet.[50]

221. A Rendőrség által vagy számára fejlesztett valamennyi rendszerre, továbbá adatátviteli hálózatra a biztonsági osztálynak megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat már a rendszer tervezése során, az e-biztonságért felelős egyetértésével definiálni kell, a rendszert ennek megfelelően kell fejleszteni, és a biztonsági előírások igazolt teljesülése esetén lehet használatba venni.

222. A fejlesztés során a biztonságos programozás irányelveit kell követni. A szoftverfejlesztés során a szoftver funkcionalitása mellett fokozott figyelmet kell fordítani a rendszer és a kapcsolódó rendszerek biztonsági követelményeinek betartására is.[51]

223. A rendszerben megvalósuló valamennyi elemet a rendszer használatba vételét megelőzően biztonsági megfelelőség szempontjából tesztelni kell. A biztonsági feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni nem lehet.

223/A. A Nemzeti Hírközlési és Informatikai Tanácsról, valamint a Digitális Kormányzati Ügynökség Zártkörűen Működő Részvénytársaság és a kormányzati informatikai beszerzések központosított közbeszerzési rendszeréről szóló 301/2018. (XII. 27.) Korm. rendelet 7. §-ában foglalt éves informatikai beszerzési és éves informatikai fejlesztési terv elkészítése az INFO vezetőjének feladata. A tervekben az információbiztonsággal kapcsolatos beszerzéseket, fejlesztéseket el kell különíteni.[52]

25. Beszállítói kapcsolatok

224. A rendszereket és a hálózatot érintő megállapodások megkötésekor érvényesíteni kell az információbiztonsági követelményeket, beleértve a szabályzatok, eljárásrendek megismerésére és betartására irányuló kötelezettségvállalást és a titoktartási nyilatkozatot.

225. Külső személyek részéről a Rendőrség vagyonelemeihez való hozzáférésének kockázatát a megkötött megállapodásban dokumentált információbiztonsági követelményekkel kell csökkenteni.

226. A megállapodásban rögzíteni kell a biztonsági követelményeket, valamint a biztonsággal kapcsolatos dokumentációs követelményeket, meg kell határozni az információbiztonságot érintő szerep- és felelősségi köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat.

26. Biztonsági események kezelése

227. Biztonsági eseménynek kell tekinteni minden olyan nem kívánt, illetve nem várt egyedi vagy sorozatos információbiztonsági kockázatot, amely veszélyeztetheti a Rendőrség tevékenységét, és fenyegetheti az információbiztonságot.

228. Biztonsági eseménynek kell tekinteni továbbá minden olyan tevékenységet vagy mulasztást, amely az utasítás be nem tartásával biztonsági eseményt eredményezhet.

229. A biztonsági eseménykezelési folyamatra olyan rendszert kell alkalmazni, amely támogatja az alábbi tevékenységeket:

a) a biztonsági esemény jelentése;

b) a biztonsági eseménnyel kapcsolatos információk gyűjtése;

c) tudásbázis kiépítése;

d) azonnali válaszlépés meghatározása;

e) azonnali válaszlépés végrehajtása;

f) átfogó válaszlépés szükségességének a meghatározása;

g) javaslat kidolgozása az átfogó válaszlépésre;

h) átfogó válaszlépés engedélyezése;

i) átfogó válaszlépés végrehajtása;

j) a végrehajtás leellenőrzése;

k) a biztonsági esemény dokumentálása;

l) biztonsági esemény kezelési képességek dokumentált tesztelése;

m) statisztikai kimutatások készítése.

230. Biztonsági esemény felfedezése vagy gyanúja esetén a felhasználónak az eszközt haladéktalanul le kell választani a hálózatról, és értesíteni kell a rendszerüzemeltetőt, aki a halaszthatatlan intézkedések megtételével egyidejűleg értesíti az e-biztonságért felelőst.[53]

231. Az e-biztonságért felelős a biztonsági esemény teljes életciklusában tájékoztatja az EBFO vezetőjét a megtett intézkedésekről.[54]

232. Ha a biztonsági esemény fokozott kockázatra utal, akkor az e-biztonságért felelős intézkedik annak kivizsgálására.[55]

233. Az e-biztonságért felelős személy a biztonsági eseménnyel kapcsolatos információkat begyűjti, biztonsági esemény esetén tájékoztatja az eseménykezelő központot, és intézkedik a biztonsági esemény elhárítására.[56]

234. A BCP-ben előírt tevékenységeket a biztonsági események kezelése során figyelembe kell venni, és össze kell hangolni az intézkedéseket.

235. Az e-biztonságért felelős elrendelheti és ellenőrizheti a rendszerüzemeltető számára az átfogó válaszlépés végrehajtását.[57]

236. Az elektronikus információbiztonsági szabályokat megsértő személy felelősségének kivizsgálására kell intézkedni, melyre az e-biztonságért felelős javaslatot tehet.[58]

27. Üzletmenet- és információbiztonsági folytonosság

237. A BCP-ben folyamatosan biztosítani kell az információbiztonsági követelmények teljesülését.

238. A rendszerüzemeltető felelős azért, hogy egy rendszerösszeomlás, kompromittálódás vagy hiba esetén a rendszerek az utolsó ismert állapotba kerüljenek helyreállításra, és az utolsó ismert mentésből a tranzakciók is helyreállításra kerüljenek a Rendszerbiztonsági Tervben meghatározottak szerint.

239. A folyamatgazdának a működtetési környezet jelentős változásakor, de legalább évente el kell végezni a BCP felülvizsgálatát és tesztelését minden feldolgozási helyszínen. A rendszerüzemeltetőnek az eredmények alapján szükséges javításokat el kell végeztetnie.

240. A rendszer kritikus szolgáltatásait az adott rendszer BCP-jének megfelelő határidőn belül a tartalék helyszínen újra kell indítani, és üzemeltetni kell.

241. Az e-biztonságért felelős az információbiztonsággal kapcsolatos feladatainak ellátása során felügyeli a rendszer biztonsága érdekében bevezetett intézkedések megfelelőségét és hatékonyságát.

III. FEJEZET

ZÁRÓ RENDELKEZÉSEK

242. Ez az utasítás a közzétételét követő napon lép hatályba.

243.[59]

244.[60]

245.[61]

246.[62]

247.[63]

248.[64]

249. Hatályát veszti a Rendőrség Ideiglenes Informatikai Biztonsági Szabályzatának kiadásáról szóló 60/2008. (OT 32.) ORFK utasítás.

Papp Károly r. altábornagy s. k.,

országos rendőrfőkapitány

1. melléklet a 18/2018. (V. 31.) ORFK utasításhoz

Kitöltési útmutató

A táblázat kitöltése:

a) a táblázatban a bizalmasság, a sértetlenség és a rendelkezésre állás oszlopban az adott biztonsági osztálynak megfelelő szekcióban "X" jelet kell tenni minden, az elektronikus információs rendszerre vonatkozó "igaz" feltételnél;

b) a bizalmasság, sértetlenség és rendelkezésre állás szintje egymástól eltérhet;

c) amennyiben a bizalmasság vagy sértetlenség vagy rendelkezésre állásra vonatkozó feltételek több biztonsági osztályra is vonatkoztathatók, akkor csak a legmagasabb biztonsági osztály megfelelő cellájába kell "X" jelet tenni.

2. melléklet a 18/2018. (V. 31.) ORFK utasításhoz

RENDSZERBIZTONSÁGI TERV KÖTELEZŐ TARTALMI ELEMEI

1. Az információs rendszer (Alkalmazás):

a) megnevezése, verziószáma, szabvány szerinti minősítése,

b) funkcionális leírása, milyen értéket ad az ORFK működéséhez, BC (Businness Case),

c) hatóköre, kiterjedtsége (országos, regionális, lokális),

d) alapfeladatai, szolgáltatásai,

e) Internet felőli elérhetőség,

f) információbiztonság szempontjából kritikus elemei,

g) kapcsolódó EU-s fenntartási kötelezettség, évszám,

h) egyedi fejlesztés/dobozos/mix,

i) garanciális időszak, lejárati dátum,

j) az alkalmazás életciklusa, jövőképe, illeszkedése az IT/üzleti stratégiához,

k) felhasználószám, Internet felől elérők száma.

2. Az információs rendszer (Alkalmazás) szakmai besorolása/működési időszak/SLA:

a) szakrendszer: rendvédelem, bűnügy, egyéb...,/támogató, adatklasszifikáció,

b) az adatklasszifikációért felelős szakmai adatgazda,

c) a rendszer működési időszaka, amikor a felhasználók elérik a rendszert,

d) a szakmai felelős területtel egyeztetett vállalt SLA.

3. Az információs rendszer (Alkalmazás) biztonsági besorolása:

a) biztonsági osztályba sorolási szintje (2013. évi L. törvény szerint),

b) a besorolás időpontja, a besorolást végző/jóváhagyó szakmai adatgazda,

c) a rendszerre vonatkozó OVI mátrix sorok (biztonsági követelmények) státusza,

d) a követelményeknek megfelelő aktuális és tervezett védelmi intézkedések listája,

e) nemzeti adatvagyon körébe tartozó állami nyilvántartó rendszer (38/2011. Korm. rend.),

f) létfontosságú rendszerként kijelölésre került (a 2012. évi CLXVI. törvény szerint),

g) az információs rendszer és működési környezete publikálható-e, látogatható-e.

4. Az információs rendszer (Alkalmazás) adatainak tárolási követelményei:

a) az adatmegőrzés törvényben meghatározott ideje (év), mikor törölhető véglegesen,

b) helyben/központilag/felhőben/vegyesen tárolt adatok.

5. Az információs rendszer (Alkalmazás) licenc követelményei:

a) licenc kategóriája (szerver és kliens operációs rendszer, adatbázis, cal),

b) licenc típusa (open source, mennyiségi, egyedi), formátuma, darabszáma, érvényességi ideje,

c) a licencelés alapja (processzor mag, munkaállomáshoz kötött, használat alapú),

d) licenc támogatás (support) lejáratának ideje, reagálási idő,

e) helyi/felhő/mix alapú licenc, függőségek, maradványkockázatok, intézkedési terv,

f) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete.[65]

6. Az információs rendszer (Alkalmazás) környezet rövid leírása:

a) vékony/vastag kliens alkalmazás,

b) kliens oldal: operációs rendszer igény, verziószám,

c) szerver oldal: fizikai/virtualizált környezet: Host név, Cluster név,

d) Host operációs rendszer típusa, verziója,

e) szerver VPN kapcsolatok, IP tartomány,

f) szükséges technikai felhasználók/technikai e-mail-címek (indoklással!),

g) szükséges tűzfal portok (pl. távfelügyeleti port) (indoklással!),

h) helye a hálózati rendszerben: topológia, felhő érintettség (mit ad a szolgáltató?),

i) belső/külső rendszerkapcsolatok, adatkapcsolatok, kiemelten a személyes adatokra.

A(z) <információs rendszer> üzembe helyezése

7. Az információs rendszert (Alkalmazást) futtató környezet, felelősségek, elérhetőségek:

(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)

a) kiterjedése (központi/helyi/felhő),

b) tartalék rendszer leírása (aktív-passzív, aktív-aktív),

c) telephely, gépterem/szerverszoba/külső gépterem megnevezése,

d) a gépterem/szerverszoba IT felügyelete, értesítendők elérhetőséggel,

e) a gépterem/szerverszoba önálló beléptetőrendszere, a beléptetés folyamata, naplózása,

f) naplók ellenőrzési ciklusa,

g) a kommunikációs hálózati kapcsolat rendundanciája, fizikai védelme, nyomvonala,

h) hálózati hiba esetén értesítendők listája elérhetőséggel,

i) az elektromos hálózati betáp redundanciája, nyomvonala, a vészkikapcsolás folyamata,

j) túlfeszültség-, érintés- és villámvédelem, értesítendők elérhetőséggel,

k) hűtőrendszer leírása, felügyelete, értesítendők elérhetőséggel,

l) szünetmentes elektromos hálózat leírása, felügyelete, értesítendők elérhetőséggel,

m) UPS/Aggregátor jog, leírással,

n) tűzvédelem, oltórendszer, szellőztetőrendszer, értesítendők elérhetőségekkel,

o) vészhelyzetek esetére kidolgozott tervek a BCP részeként,

p) a működési környezettel kapcsolatos technikai/humán kockázatok tulajdonosai,

q) maradványkockázatok, korrektív kontrollok,

r) fejlesztési lehetőségek,

s) az intézkedési tervbe került tételek.

8. Az információs rendszert (Alkalmazást) futtató hardver elemek, függőségek:

(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)

a) jóváhagyott rendszerterv, formátuma, elérhetősége,

b) cluster megvalósítása (aktív-aktív, passzív-passzív),

c) a futtató hardverelemek: fajta, típus, rack szekrénybe szerelhetőség, méret,

d) a futtató hardverelemek egyéb rendeltetése, erőforrások megoszlása, kihasználtsága,

e) gyártási év, garancia, gyári szám, leltári szám, rack szekrény megnevezése/száma,

f) a rack szekrényben futó további információs rendszerek megnevezése, függőségek,

g) függőségek esetén a további információs rendszerek üzemeltetője, elérhetőségek,

h) hálózati csatlakozások száma, sebessége,

i) fizikai védelmi elemek,

j) szükséges UPS áthidalási idő, garancia, eseti/rendszeres karbantartási szerződés,

k) elvárt/előírt üzemi hőmérséklet és páratartalom intervalluma,

l) hűtési rendszer (klíma) redundanciája, garancia, karbantartás, elérhetőségek,

m) UPS akkupakk életciklus, üzemeltető, riasztás, átjelzés, ügyelet elérhetőségek,

n) a függőségekkel kapcsolatos technikai/humán kockázatok, a kockázatok tulajdonosai,

o) maradványkockázatok, korrektív kontrollok,

p) fejlesztési lehetőségek,

q) az intézkedési tervbe került tételek.

9. Az információs rendszer (Alkalmazás) üzemeltetése:

a) az alkalmazásüzemeltetés jellege (saját/külsős), felelős elérhetőséggel,

b) rendszergazda szintű üzemeltető szervezet, üzemeltető neve, elérhetőségei,

c) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység (szakmai adatgazda), (az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is)

d) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,

e) az alkalmazásüzemeltetéssel kapcsolatos technikai/humán kockázatok (milyen kockázatot jelent, ha az üzemeltetőtől meg kell válni?),

f) a kockázatok tulajdonosai, maradványkockázatok, korrektív kontrollok,

g) fejlesztési lehetőségek,

h) az intézkedési tervbe került tételek.

10. Az üzletmenet-/üzemmenet-/informatikai szolgáltatás folytonossági terv (BCP) alapján:

a) szolgáltatás kimaradásának lehetséges időablaka (pl. konfigurációkezelés, frissítés),

b) a teljes rendszer helyreállítási ideje, figyelembe véve a tartalékrendszert is,

c) vállalt adathelyreállítási idő, vállalt visszaállítási pont,

d) függőségek dokumentálása, figyelembevétele,

e) a biztonságiesemény-kezelés folyamata,

f) a változáskezelés folyamatai, végfelhasználói/terheléses/regressziós tesztek,

g) verziófrissítés folyamata, patch folyamatok,

h) DR terv készítésének ideje, a DR terv auditálási érvényessége (év), DR tesztek,

i) a forráskód elérhetősége (letét/szabadon hozzáférhető), dokumentáció, kapcsolat,

j) a forráskód tárolásának lejárati ideje, a forráskód védelme, verzió kontrollja, felelős,

k) a fennálló technikai/humán kockázatok kiemelése, a kockázatok tulajdonosai,

l) maradványkockázatok, korrektív kontrollok,

m) fejlesztési lehetőségek,

n) az intézkedési tervbe került tételek.

11. Az információs rendszer (Alkalmazás) karbantartása, hibajelzés, hibajavítás:

a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,

b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,

c) támogatási (support) szerződés időtartama, lejárati ideje, SLA, reagálási idő,

d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,

e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,

f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,

g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,

h) ellenőrzési- és karbantartási ütemezés,

i) technikai kapcsolattartó és elérhetőségei,

j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,

k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,

l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,

m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,

n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,

o) kártékony kódoktól mentes diagnosztikai- és teszt programok tekintetében nyilatkozat,

p) a távoli diagnosztikai- és karbantartási környezet biztonsági szintje, nyilatkozat (nem lehet alacsonyabb biztonsági szintbe sorolva, mint a karbantartandó rendszer!),

q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,

r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,

s) távoli segítségnyújtáskor felhasználói hozzájárulás lehetőségének naplózott biztosítása,

t) távoli elérés esetén a szükséges kétfaktoros hitelesítés megvalósításának leírása,

u) távoli diagnosztika és karbantartás engedélyeztetése a Ticketing rendszerben,

v) távoli diagnosztikai és karbantartási tevékenységek rögzítése a Ticketing rendszerben,

w) távoli diagnosztika és karbantartás eredményének rögzítése a Ticketing rendszerben, hibakódok a Ticketing rendszerben,

x) a karbantartás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

y) a tesztelések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

z) a hibaelhárítás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

aa) technikai/humán maradványkockázatok, korrektív kontrollok,

bb) fejlesztési lehetőségek,

cc) az intézkedési tervbe került tételek.

12. Az információs rendszer (Alkalmazás, adatbázis, konfiguráció) mentése, visszaállítása:

(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)

a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,

b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,

c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),

d) a mentés helye: belső/külső adattáróló,

e) a biztonságos adattárolási helyszín megnevezése, elérhetőségek (el kell különülni az elsődleges tárolás helyszínétől),

f) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,

g) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,

h) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,

i) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,

j) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,

k) alkalmazás és környezet mentési terv: mentési időszak: napi/heti/havi,

l) alkalmazás és környezet: mentendő adat formátuma: file/image/egyéb,

m) alkalmazás konfigurációjának mentési terve: mentési időszak: napi/heti/havi,

n) alkalmazás konfigurációja: mentendő adat formátuma: file/adatbázis/image/egyéb,

o) alkalmazás licenc: mentési időszak: napi/heti/havi, elérhetősége,

p) alkalmazás licenc: mentendő adat formátuma: file/egyéb,

q) adatbázis mentési terv: mentési időszak: napi/heti/havi,

r) adatbázis mentési terv: mentési eljárás: teljes/inkrementális/differenciális,

s) adatbázis: mentendő adat formátuma: file/adatbázis/image/egyéb,

t) az alkalmazás, a környezet, a konfiguráció teljes dokumentációjának mentése,

u) tervezett leállítás és újraindítás függőségeinek dokumentálása,

v) a függőségek dokumentálása a Secube rendszerben,

w) dokumentációk: mentendő adat formátuma: file/adatbázis/image/egyéb,

x) a mentési, a visszaállítási, a leállítási és az indítási tervek mentése, elérhetősége,

y) a mentési, a visszaállítási, a leállítási és az indítási tervek dokumentációja,

z) tervek: mentendő adat formátuma: file/adatbázis/image/egyéb,

aa) a mentést, visszaállítást, dokumentálást végző szervezet: üzemeltető/külső,

bb) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,

cc) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,

dd) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,

ee) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,

ff) a mentések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

gg) technikai/humán maradványkockázatok, korrektív kontrollok,

hh) fejlesztési lehetőségek,

ii) az intézkedési tervbe került tételek.

13. Az információs rendszer (Alkalmazás) archiválása:

(Éles alkalmazás, környezet, adatbázis, konfiguráció, licenc és dokumentáció)

a) az archív tartalomra vonatkozó szakmai elvárások/jogszabályi előírások, hivatkozás,

b) az archivált adatok eléréséhez kapcsolódó szakmai követelmények,

c) az archiválás helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,

d) az archiválás helyszínének rögzítése a Secube rendszerben,

e) távoli archiválás esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),

f) a biztonságos adattárolási helyszín megnevezése, elérhetőségek (el kell különülni az elsődleges tárolás helyszínétől),

g) a használt archiválási eszköz (hardver) típusa, gyártója, verziója, támogatása,

h) a használt archiválási adattároló típusa, gyártója, verziója, támogatása (el kell különülni az információs rendszer adattárolójától),

i) archiválási szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,

j) az archív állományok szállításának módja, védelme, folyamata, feltétele, elérhetőség,

k) az archiválás eszközeinek (sw, hw) rögzítése a Secube rendszerben,

l) archiválási terv: archiválás időszak: heti/havi/negyedév/félév/egyéb,

m) archiválási terv: visszaállítások ütemezett tesztelése: félév/év/egyéb,

n) az archív állomány tartalma: információs rendszer, környezet, verzió, dokumentáció,

o) az archív állomány tartalma: konfiguráció-, licenc dokumentáció,

p) az archív állomány tartalma: adatbázis, dokumentáció (környezet, verzió, licenc),

q) az archív állomány tartalma: teljes telepítési dokumentáció (újraépítés),

r) az archív állomány tartalma: üzemeltetési és felhasználói dokumentáció,

s) az archív állomány tartalma: Rendszerbiztonsági Terv aktuális verziója,

t) az archív állomány tartalma: a mentett állományok dátuma, az archiválás időpontja,

u) az archív állomány formátuma: file/image/egyéb,

v) az archiválás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

w) technikai/humán maradványkockázatok, korrektív kontrollok,

x) fejlesztési lehetőségek,

y) az intézkedési tervbe került tételek.

14. Az információs rendszer (Alkalmazás) üzemeltetői, felhasználói képzése:

a) a képzés szükségességének (pl. új felhasználó/új verzió) és módszertanának leírása,

b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

d) kulcsfelhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

e) kulcsfelhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

f) mentori képzés: ismétlődése, tematikája, oktató, elérhetőség,

g) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

h) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

i) vizsgáztatás módja, dokumentáció,

j) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

k) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

l) információbiztonsági tudatosítást fokozó képzési elemek (információmegosztás),

m) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

n) technikai/humán maradványkockázatok, korrektív kontrollok,

o) fejlesztési lehetőségek,

p) az intézkedési tervbe került tételek,

q) az információs rendszer használata (érintett folyamatok hol vannak szabályozva?).

15. Hozzáférés az információs rendszerhez (Alkalmazáshoz, adatbázishoz), jogosultságok:

(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)

a) szerepkör alapú jogosultságmátrix minden környezetre, verzió, frissítés módja,

b) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,

c) hozzáférési jogosultságok az adathordozókhoz, dokumentáció,

d) a jogosultságok tekintetében (kiadás/korlátozás/megszüntetés) felelős (adatgazda),

e) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

f) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

g) a vezeték nélküli (mobil eszköz) hozzáférés és hozzáférés-kezelés folyamata,

h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben!,

i) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,

j) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,

k) az információs rendszerhez kapcsolódó rendszeradminisztrátorok száma,

l) az információs rendszerhez kapcsolódó felhasználók száma,

m) az információs rendszerhez kapcsolódó távoli felhasználók száma,

n) az információs rendszerhez kapcsolódó külső felhasználók száma,

o) az Internetre kiajánlott alkalmazáshasználók száma,

p) a jogosultságigénylést megelőző regisztrációs folyamat,

q) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,

r) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,

s) a jogosultságot igénylő felhasználók felelősségének pontos leírása,

t) a jogosultságot igénylő felhasználók kötelező tevékenységei,

u) a jogosultságot igénylő felhasználók tiltott tevékenységei,

v) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,

w) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,

x) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,

y) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,

z) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,

aa) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,

bb) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,

cc) annak dokumentált igazolása, hogy a rendszernek csak egyedi felhasználói lehetnek,

dd) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,

ee) azonosítás és hitelesítés nélkül Tilos a rendszerben dolgozni,

ff) központi hitelesítés (pl. AD, Novell) lehetősége az információs rendszerben,

gg) technológiai lehetőségek egy központi hitelesítési rendszerhez,

hh) többfaktoros hitelesítés lehetősége és módja az információs rendszerben,

ii) birtoklás alapú (token) hitelesítés lehetősége és módja az információs rendszerben,

jj) tulajdonság alapú hitelesítés lehetősége és módja az információs rendszerben,

kk) kriptográfiai modulhoz történő hitelesítés megnevezése,

ll) a hitelesítő eszköz igénylést/átvételt megelőző regisztrációs folyamat, mm) hitelesítésszolgáltató szükségessége, elérhetőség,

nn) hitelesítésszolgáltató által kibocsátott tanúsítványok, lejárati idő, megújítási folyamat,

oo) jelszóval kapcsolatos elvárások, a központi irányelvek érvényesülése,

pp) a hitelesítés mechanizmus lokális/távoli hozzáféréshez,

qq) visszajátszás elleni védelmet biztosító hitelesítési mechanizmus biztosítása

(Csak 5-ös biztonsági osztály esetén elvárás!),

rr) a jogosultsági tábla tárolásának helye, módja,

ss) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,

tt) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,

uu) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,

vv) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,

ww) automatizált sértetlenségkezelő eszköz a szoftver/információ tekintetében,

xx) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,

yy) incidensek, események rögzítése, folyamat, felelős,

zz) jelszóemlékeztető funkció leírása, a működés folyamata,

aaa) az információs rendszer használati feltételeinek kijelzése a hozzáférést megelőzően,

bbb) az információs rendszer használatát segítő felhasználói útmutató/súgó elérhetősége,

ccc) a munkaszakasz zárolásának/feloldásának folyamata, paraméterei,

ddd) a munkaszakasz lezárásának folyamata, paraméterei,

eee) a felhasználói információmegosztás lehetőségei, feltételei,

fff) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,

ggg) az információmegosztás automatizált kontroll és védelmi elemei,

hhh) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,

iii) a hozzáférésekkel, információmegosztással kapcsolatos kockázatok kiemelése,

jjj) a kockázatok tulajdonosai,

kkk) technikai/humán maradványkockázatok, korrektív kontrollok,

lll) fejlesztési lehetőségek,

mmm)az intézkedési tervbe került tételek.

nnn) alkalmazásprogramozási interfész (a továbbiakban: API) security checklist,[66]

ooo) API kulcsok tárolása.[67]

16. Biztonsággal kapcsolatos védelmek (Alkalmazás, adatbázis, adatátvitel):

(Az információs rendszer Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezete)

a) a frissítések kiadása, telepítések módja, reagálási idő,

b) az ismert sérülékenységek javítási határideje, biztonsági tesztek leírása,

c) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,

d) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

e) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

f) biztonsági rendszernapló automatizált védelme, mentések,

g) a rendszernapló automatizált védelme, mentések,

h) biztonsági funkciók elkülönítése, információmaradványok automatizált törlése,

i) automatizált alkalmazás és adatbázis kontroll (pl. túlterhelés ellen, memóriavédelem),

j) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,[68]

k) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),

l) böngészőben megjelenő felület esetén a futtatható kódok korlátozásának lehetőségei,

m) office alkalmazásba épülő modul esetén a futtatható kódok korlátozásának lehetőségei,

n) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,

o) monitorozott elemek, monitorozó eszközök, incidensek, kapcsolódó folyamatok,

p) riportban szereplő elemek, a riportolás eszközei, a riportok felhasználói köre,

q) a kockázatok tulajdonosai,

r) technikai/humán maradványkockázatok, korrektív kontrollok,

s) fejlesztési lehetőségek,

t) az intézkedési tervbe került tételek.

17. Gyártói/szállítói/támogatói függőségek, visszajelzések, értékelések, jövőkép:

a) gyártói/szállítói/támogatói függőségek (minősítések),

b) gyártói/szállítói/támogatói visszajelzések,

c) gyártói/szállítói/támogatói értékelések,

d) gyártói/szállítói/támogatói jövőkép,

e) gyártói/szállítói/támogatói kockázatok feltárása,

f) maradványkockázatok, korrektív kontrollok,

g) fejlesztési lehetőségek,

h) az intézkedési tervbe került tételek.

18. Audit/tanúsítási terv, terület, cél, szervezet, auditori/tanúsítói jelentések, értékelések:

a) auditálási terv, terület, cél (belső/külső/független/előaudit/felülvizsgálati audit),

b) tanúsítási audit terv, terület, cél (belső/külső/független/előaudit/tanúsító audit),

c) auditori jelentések, értékelések (előaudit/felülvizsgálati audit), dokumentáció,

d) tanúsítói jelentések, értékelések (tanúsító audit), dokumentáció, elérhetőség,

e) az audit jelentések eredményeképpen az intézkedési tervbe került tételek.

19. Az információs rendszer (Alkalmazás) által kiváltott papíralapú folyamatok:

megvalósított folyamatok, folyamatgazdák, illeszkedés a vállalati folyamatokhoz, BCP

20. Az információs rendszerben (/által) kezelt személyes és különleges adatok (GDPR):

a) személyes/különleges adatok kezelésének dokumentált, naplózott folyamata,

b) fejlesztői nyilatkozat: az adatkezelést folytató személy azonosítása folyamatos és zárt,

c) személyes/különleges adatok tárolási helye (adatbázis és rekord szinten),

d) személyes/különleges adatok tárolási ideje,

e) adatmodell, táblatér/oszlopszintű titkosítás, exportálási lehetőségek,

f) kulcs menedzsment, a kulcsok tárolásának módja, helye,

g) adatbázis életciklus menedzsment, SQL forgalom titkosítás magvalósítása,

h) privilegizált felhasználók (DBA) kontrollja,

i) adatbázis biztonsági kontrollok, audit trail naplózás,

j) adattörlési folyamatok az információs rendszerben, az adattörlések indokai,

k) ha a személyes/különleges adatok adattörlés nem lehetséges, annak indokai,

l) gyártói/fejlesztői nyilatkozat arról, hogy milyen adatok kerülnek ki hozzá,

m) adattulajdonos felhőben történő adattárolás esetén,

n) hozzáférés az adatokhoz a felhős adattárolás megszűnése esetén,

o) SQL utasítás-elemzés aktivitása (adatbázis oldali tűzfal),

p) adatbázis használatának monitorozása,

q) az adatbázis mentésének licence igénye, felelős, kapcsolat,

r) adatbáziskezelő frissítésének folyamata, kontrollok,

s) adatszivárgás elleni védelem megvalósítása az adatklasszifikáció alapján,

t) adatkezelési kockázatok, maradványkockázatok, korrektív kontrollok,

u) fejlesztési lehetőségek,

v) az intézkedési tervbe került tételek.

A(z) <információs rendszer> fejlesztése/üzemeltetése során megfogalmazott maradványkockázatok:

A(z) <információs rendszer> kapcsán az Intézkedési tervbe rögzített tételek:

Az Intézkedési terv szerinti projektek/beszerzések:

3. melléklet a 18/2018. (V. 31.) ORFK utasításhoz

HÁLÓZATBIZTONSÁGI TERV KÖTELEZŐ TARTALMI ELEMEI

1. Az informatikai hálózat és telefonközpontok:

a) topológiája,

b) típusa, strukturáltság, összetettség,

c) hatóköre, kiterjedtsége, szolgáltatásai,

d) logikai felépítése, zónák, biztonsági határok,

e) aktív hálózati elemei (switch, router, proxy, tűzfal, WiFi AP, IPS, IDS, DNS, Honeypot, Adatdióda),[69]

f) vásárolt hálózati szolgáltatások (Open DNS, SysLog, APN, MDM, végpontvédelem),

g) Internet irányú kapcsolatai, az Internet felöl látszódó IP címek, tartományok,

h) felhasználószámok [vezetékes, vezeték nélküli (WiFi, APN, egyéb...)],

i) információbiztonság szempontjából kritikus elemei (külső/belső határvédelem),

j) információbiztonság szempontjából redundáns elemei (eszköz, nyomvonal),

k) a telefonközpontok kapcsolatai, felhasználószámok,

l) kapcsolódó EU-s fenntartási kötelezettség, évszám.

m) security policy management eszköz.[70]

2. Az informatikai hálózat és telefonközpontok/működési időszakai/SLA:

a) a rendszer működési időszaka, amikor a felhasználók használhatják a hálózatot,

b) a telefonközpontok működési időszakai, SLA-k.

3. Az informatikai hálózat, aktív elemek, telefonközpontok kockázati besorolása:

a) a hálózat kockázati besorolása: alacsony/közepes/magas,

b) a WiFi hálózat kockázati besorolása: alacsony/közepes/magas,

(Besorolásnál kötelezően megadandó a VPN vagy az internet szegmens, hogy a megfelelő besorolás és kezelés lehetővé váljon),

c) a hálózat aktív elemeinek biztonsági besorolása: alacsony/közepes/magas,

d) a WiFi hálózat aktív elemeinek biztonsági besorolása: alacsony/közepes/magas,

e) telefonközpontok biztonsági besorolása: alacsony/közepes/magas.

4. Az informatikai hálózat aktív elemeinek licenc követelményei:

a) licenc típusa aktív eszköztípusonként, formátuma, darabszáma, érvényességi ideje,

b) az egyes licencek támogatása (support) lejáratának ideje,

c) helyi/felhő/mix alapú licenc, függőségek,

d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete,[71]

e) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,[72]

f) maradványkockázatok, korrektív kontrollok,

g) fejlesztési lehetőségek,

h) az intézkedési tervbe került tételek.

5. A WiFi hálózat aktív elemeinek (AP) és management eszközeinek licenc követelményei:

a) licenc típusa aktív eszköztípusonként, formátuma, darabszáma, érvényességi ideje,

b) az egyes licencek támogatása (support) lejáratának ideje,

c) helyi/felhő/mix alapú licenc, függőségek,

d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete, a tanúsítványalapú hitelesítés leírása,[73]

e) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,[74]

f) maradványkockázatok, korrektív kontrollok,

g) fejlesztési lehetőségek,

h) az intézkedési tervbe került tételek.

6. A telefonközpontok licenc követelményei:

a) licenc típusa telefonközpontonként, formátuma, darabszáma, érvényességi ideje,

b) az egyes licencek támogatása (support) lejáratának ideje,

c) helyi/felhő/mix alapú licenc, függőségek,

d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete,[75]

e) hangátviteli (VoIP) szolgáltatások, korlátozások, SLA,

f) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,[76]

g) maradványkockázatok, korrektív kontrollok,

h) fejlesztési lehetőségek,

i) az intézkedési tervbe került tételek.

7. Az informatikai hálózati környezet rövid leírása:

a) belső/külső rendszerkapcsolatok,

b) hozzáférési lehetőségek globális kiberbiztonsági adatbázisokhoz,

c) valós idejű, felhő alapú kapcsolatok,

d) WiFi rendszer helye az informatikai hálózatban,

e) a telefonközpont helye az informatikai hálózatban,

f) logikai felépítés zónák, határok, kapcsolatok, irányokat, folyamatokat is tartalmazó rajz.

Az informatikai hálózat aktív eszközeinek üzembe helyezése

A WiFi hálózat aktív eszközeinek (AP) üzembe helyezése

A telefonközpont aktív hálózati eszközeinek üzembe helyezése

8. Az informatikai hálózat, telefonközpontok környezete, felelősségek, elérhetőségek:

a) a hálózat kiterjedése: telephelyek, telephelyi strukturáltság/telephelyi rendezők,

b) a WiFi hálózat kiterjedése: telephelyek, telephelyi strukturáltság/telephelyi rendezők,

c) a telefonközpontok: telephely, gépterem, telephelyi strukturáltság/telephelyi rendezők,

d) gépterem/rendezők felügyelete, értesítendők elérhetőséggel,

e) gépterem/rendezők beléptetőrendszere, a beléptetés folyamata, naplózása,

f) naplók ellenőrzési ciklusa,

g) a hálózati eszközök, hálózati nyomvonalak redundanciája, fizikai védelme,

h) a WiFi hálózati eszközök, hálózati nyomvonalak redundanciája, fizikai védelme,

i) telefonközpontok, hálózati nyomvonalainak redundanciája, fizikai védelme,

j) hálózati hiba esetén értesítendők listája elérhetőséggel,

k) WiFi hálózati hiba esetén értesítendők listája elérhetőséggel,

l) telefonközponti hiba esetén értesítendők listája elérhetőséggel,

m) az elektromos hálózati betáp redundanciája, nyomvonala, értesítendők elérhetőséggel,

n) hűtőrendszer leírása, felügyelete, értesítendők elérhetőséggel,

o) szünetmentes elektromos hálózat leírása, felügyelete, értesítendők elérhetőséggel,

p) UPS/Aggregátor jog, leírással,

q) felelősségi zónák logikai határai, elemek besorolása,

r) vészhelyzetek esetére kidolgozott tervek a BCP részeként,

s) működési környezeti kockázatok, kockázatok tulajdonosai,

t) maradványkockázatok, korrektív kontrollok,

u) fejlesztési lehetőségek,

v) az intézkedési tervbe került tételek.

9. Az informatikai hálózat (vezetékes és WiFi) aktív elemei, telefonközpontok, függőségek:

a) jóváhagyott rendszertervek (WiFi rendszerterv is), formátuma, elérhetősége,

b) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,

c) aktív hálózati elemek: fajta, típus, rack szekrénybe szerelhetőség, méret,

d) aktív hálózati elemek automatizált azonosítása a hálózatban,

e) a futtató hardverelemek egyéb rendeltetése, erőforrások megoszlása, kihasználtsága,

f) gyártási év, garancia, gyári szám, leltári szám, rack szekrény megnevezése/száma,

g) a rack szekrényben futó további információs rendszerek megnevezése, függőségek,

h) függőségek esetén a további információs rendszerek üzemeltetője, elérhetőségek,

i) az összetartozó elemek zónákba, csoportokba rendezése,

j) hálózati csatlakozások száma, sebessége,

k) fizikai védelmi elemek,

l) szükséges UPS áthidalási idő, garancia, eseti/rendszeres karbantartási szerződés,

m) UPS akkupakk életciklus, üzemeltető, riasztás, átjelzés, ügyelet elérhetőségek,

n) elvárt/előírt üzemi hőmérséklet intervalluma,

o) hűtési rendszer (klíma) redundanciája, garancia, karbantartás, elérhetőségek,

p) a hűtési rendszer riasztásai, átjelzései, ügyelet elérhetőségek,

q) függőségi kockázatok, kockázatok tulajdonosai,

r) maradványkockázatok, korrektív kontrollok,

s) fejlesztési lehetőségek,

t) az intézkedési tervbe került tételek.

10. Az informatikai hálózat üzemeltetése:

a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,

b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,

c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,

d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,

e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,

f) a listák elérhetősége.

11. A WiFi hálózat üzemeltetése:

a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,

b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,

c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,

d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,

e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,

f) a listák elérhetősége.

12. A telefonközpontok üzemeltetése:

a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,

b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,

c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,

d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,

e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,

f) a listák elérhetősége.

13. Az üzletmenet-/üzemmenet-/informatikai szolgáltatás folytonossági terv (BCP) alapján:

(Minden hálózati aktív elemre (WiFi is), szegmensenként, minden telefonközpontra!)

a) szolgáltatás kimaradásának lehetséges időablaka (pl. konfigurációkezelés, frissítés),

b) a teljes rendszer helyreállítási ideje, figyelembe véve a tartalékrendszert is,

c) függőségek dokumentálása, figyelembevétele,

d) zónákba, illetve logikai csoportokba, alcsoportokba rendezés,

e) DR terv készítésének ideje, a DR terv auditálási érvényessége (év),

f) a fennálló kockázatok kiemelése, kockázatok tulajdonosai,

g) maradványkockázatok, korrektív kontrollok,

h) fejlesztési lehetőségek,

i) az intézkedési tervbe került tételek.

14. Az informatikai hálózat karbantartása, hibajelzés, hibajavítás:

a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,

b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,

c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,

d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,

e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,

f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,

g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,

h) ellenőrzési és karbantartási ütemezés,

i) technikai kapcsolattartó és elérhetőségei,

j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,

k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,

l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,

m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,

n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,

o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,

p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,

q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,

r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,

s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

v) maradványkockázatok, korrektív kontrollok,

w) fejlesztési lehetőségek,

x) az intézkedési tervbe került tételek.

y) az aktív eszközök frissítéséhez szükséges internetkapcsolat adatdiódán keresztül történő egyirányú biztosítása.[77]

15. WiFi hálózat karbantartása, hibajelzés, hibajavítás:

a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,

b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,

c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,

d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,

e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,

f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,

g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,

h) ellenőrzési és karbantartási ütemezés,

i) technikai kapcsolattartó és elérhetőségei,

j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,

k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,

l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,

m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,

n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,

o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,

p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,

q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,

r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,

s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

v) biztonsági zónahatár, leválasztási pont,

w) maradványkockázatok, korrektív kontrollok,

x) fejlesztési lehetőségek,

y) az intézkedési tervbe került tételek.

z) WiFi bejelentkezési portál dokumentációja (pl. forráskód letölthetősége).[78]

16. A telefonközpontok karbantartása, hibajelzés, hibajavítás:

a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,

b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,

c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,

d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,

e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,

f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,

g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,

h) ellenőrzési és karbantartási ütemezés,

i) technikai kapcsolattartó és elérhetőségei,

j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,

k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,

l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,

m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,

n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,

o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,

p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,

q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,

r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,

s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

v) maradványkockázatok, korrektív kontrollok,

w) fejlesztési lehetőségek,

x) az intézkedési tervbe került tételek.

17. Az informatikai hálózat aktív elemei konfigurációjának mentése, visszaállítása:

a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,

b) teljes logikai rendszerterv, zónákkal, határokkal, többszintű alábontással, fizikai eszköz hozzárendeléssel,

c) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,

d) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),

e) a mentés helye: belső/külső adattáróló,

f) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,

g) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,

h) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,

i) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,

j) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,

k) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,

l) a licenc: mentési időszak: napi/heti/havi, elérhetősége,

m) a licenc: mentendő adat formátuma: file/egyéb,

n) a konfiguráció és a teljes hálózat dokumentációjának mentése,

o) a függőségek dokumentálása a Secube rendszerben,

p) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,

q) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,

r) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,

s) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,

t) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,

u) a mentések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

v) maradványkockázatok, korrektív kontrollok,

w) fejlesztési lehetőségek,

x) az intézkedési tervbe került tételek.

y) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása.[79]

18. A WiFi hálózat aktív elemei konfigurációjának mentése, visszaállítása:

a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,

b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,

c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),

d) a mentés helye: belső/külső adattáróló,

e) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,

f) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,

g) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,

h) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,

i) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,

j) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,

k) a licenc: mentési időszak: napi/heti/havi, elérhetősége,

l) a licenc: mentendő adat formátuma: file/egyéb,

m) a konfiguráció és a teljes hálózat dokumentációjának mentése,

n) a függőségek dokumentálása a Secube rendszerben,

o) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,

p) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,

q) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,

r) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,

s) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,

t) a mentések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,

u) maradványkockázatok, korrektív kontrollok,

v) fejlesztési lehetőségek,

w) az intézkedési tervbe került tételek.

x) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása.[80]

19. A telefonközpontok konfigurációjának mentése, visszaállítása:

a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások, SLA,

b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,

c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),

d) a mentés helye: belső/külső adattáróló,

e) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,

f) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,

g) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,

h) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,

i) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,

j) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,

k) a licenc: mentési időszak: napi/heti/havi, elérhetősége,

l) a licenc: mentendő adat formátuma: file/egyéb,

m) a konfiguráció és a teljes hálózat dokumentációjának mentése,

n) a függőségek dokumentálása a Secube rendszerben,

o) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,

p) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,

q) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,

r) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,

s) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,

t) a mentések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

u) maradványkockázatok, korrektív kontrollok,

v) fejlesztési lehetőségek,

w) az intézkedési tervbe került tételek.

20. Az informatikai hálózat (vezetékes és WiFi), üzemeltetői, felhasználói képzése:

a) a képzés szükségességének (pl. új üzemeltető/WiFi) és módszertanának leírása,

b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

d) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

e) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

f) vizsgáztatás módja, dokumentáció,

g) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

h) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

i) információbiztonsági tudatosítást fokozó képzési elemek,

j) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

k) maradványkockázatok, korrektív kontrollok,

l) fejlesztési lehetőségek,

m) az intézkedési tervbe került tételek.

21. A telefonközpontok üzemeltetői, felhasználói képzése:

a) a képzés szükségességének és módszertanának leírása,

b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

d) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

e) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,

f) vizsgáztatás módja, dokumentáció,

g) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

h) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,

i) információbiztonsági tudatosítást fokozó képzési elemek,

j) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,

k) maradványkockázatok, korrektív kontrollok,

l) fejlesztési lehetőségek,

m) az intézkedési tervbe került tételek.

22. Hozzáférés az informatikai hálózathoz, jogosultságok (APN is):

a) szerepkör alapú jogosultságmátrix minden releváns aktív eszközre, frissítés módja (személyzeti rendszerrel és címtárral összekapcsolás minden erre alkalmas elemnél),

b) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,

c) a jogosultságok tekintetében (kiadás/korlátozás/megszűntetés) felelős (adatgazda),

d) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

e) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

f) a vezeték nélküli (mobil eszköz) APN hozzáférés és hozzáférés-kezelés folyamata,

g) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,

h) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,

i) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,

j) az informatikai hálózathoz kapcsolódó rendszeradminisztrátorok száma,

k) az informatikai hálózathoz kapcsolódó felhasználók száma,

l) az informatikai hálózathoz kapcsolódó külső felhasználók száma,

m) a jogosultságigénylést megelőző regisztrációs folyamat,

n) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,

o) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,

p) a jogosultságot igénylő felhasználók felelősségének pontos leírása,

q) a jogosultságot igénylő felhasználók kötelező tevékenységei,

r) a jogosultságot igénylő felhasználók tiltott tevékenységei,

s) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,

t) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,

u) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,

v) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,

w) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,

x) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,

y) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,

z) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,

aa) azonosítás és hitelesítés nélkül Tilos a rendszerben dolgozni,

bb) a jogosultsági tábla tárolásának helye, módja,

cc) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,

dd) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,

ee) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,

ff) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,

gg) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver tekintetében,

hh) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,

ii) jelszóemlékeztető funkció leírása, a működés folyamata,

jj) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,

kk) az információmegosztás automatizált kontroll és védelmi elemei,

ll) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,

mm) a hozzáféréssekkel, információmegosztással kapcsolatos kockázatok kiemelése,

nn) maradványkockázatok, korrektív kontrollok,

oo) fejlesztési lehetőségek,

pp) az intézkedési tervbe került tételek.

23. WiFi hozzáférés management, jogosultságok:

a) szerepkör alapú jogosultságmátrix a WiFi hálózatokhoz,

b) központi és címtár alapú azonosítás,

c) külsős (vendég) WiFi hálózat ideiglenes használatának kialakíthatósága,

d) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,

e) a jogosultságok tekintetében (kiadás/korlátozás/megszüntetés) felelős (adatgazda),

f) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

g) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,

i) szükséges külsős (vendég) hozzáférések indoklása, technikai leírása, dokumentáció,

j) a szükséges külsős hozzáférések esetén titoktartási nyilatkozat, dokumentáció,

k) a WiFi hálózathoz kapcsolódó rendszeradminisztrátorok száma,

I) a WiFi hálózathoz kapcsolódó felhasználók száma,

m) a WiFi hálózathoz kapcsolódó külső felhasználók száma,

n) a WiFi jogosultság igénylést megelőző regisztrációs folyamat,

o) a WiFi jogosultságot igénylő felhasználókkal szembeni elvárások leírása,

p) a WiFi jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,

q) a WiFi jogosultságot igénylő felhasználók felelősségének pontos leírása,

r) a WiFi jogosultságot igénylő felhasználók kötelező tevékenységei,

s) a WiFi jogosultságot igénylő felhasználók tiltott tevékenységei,

t) a WiFi jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,

u) a WiFi jogosultsággal rendelkező felhasználókra vonatkozó szabályok,

v) a WiFi jogosultsággal rendelkező felhasználók felelősségének pontos leírása,

w) a WiFi jogosultsággal rendelkező felhasználók kötelező tevékenységei,

x) a WiFi jogosultsággal rendelkező felhasználók tiltott tevékenységei,

y) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,

z) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,

aa) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,

bb) azonosítás és hitelesítés nélkül tilos a rendszerben dolgozni,

cc) megvalósított mac address szürés,

dd) a WiFi jogosultsági tábla tárolásának helye, módja,

ee) a WiFi hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,

ff) a WiFi hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,

gg) incidenskezelés és kommunikáció folyamata a WiFi hozzáférések tekintetében,

hh) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,

ii) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver/információ tekintetében,

jj) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,

kk) jelszóemlékeztető funkció leírása, a működés folyamata,

ll) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,

mm) az információmegosztás automatizált kontroll és védelmi elemei,

nn) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,

oo) a hozzáféréssekkel, információmegosztással kapcsolatos kockázatok kiemelése,

pp) maradványkockázatok, korrektív kontrollok,

qq) fejlesztési lehetőségek,

rr) az intézkedési tervbe került tételek.

24. Hozzáférés a telefonközpontokhoz, jogosultságok:

a) szerepkör alapú jogosultságmátrix minden releváns aktív eszközre, frissítés módja,

b) (amely eszköznél lehetséges címtár integráció és központi jogosultság kezelés),

c) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,

d) a jogosultságok tekintetében (kiadás/korlátozás/megszűntetés) felelős (adatgazda),

e) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

f) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),

g) a vezeték nélküli (mobil eszköz) hozzáférés és hozzáférés-kezelés folyamata,

h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,

i) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,

j) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,

k) az informatikai hálózathoz kapcsolódó rendszeradminisztrátorok száma,

l) az informatikai hálózathoz kapcsolódó felhasználók száma,

m) az informatikai hálózathoz kapcsolódó külső felhasználók száma,

n) a jogosultságigénylést megelőző regisztrációs folyamat,

o) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,

p) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,

q) a jogosultságot igénylő felhasználók felelősségének pontos leírása,

r) a jogosultságot igénylő felhasználók kötelező tevékenységei,

s) a jogosultságot igénylő felhasználók tiltott tevékenységei,

t) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,

u) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,

v) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,

w) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,

x) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,

y) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,

z) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,

aa) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,

bb) azonosítás és hitelesítés nélkül tilos a management rendszerben dolgozni,

cc) a jogosultsági tábla tárolásának helye, módja,

dd) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,

ee) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,

ff) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,

gg) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,

hh) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver tekintetében,

ii) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,

jj) jelszóemlékeztető funkció leírása, a működés folyamata,

kk) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,

ll) az információmegosztás automatizált kontroll és védelmi elemei,

mm) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,

nn) az igénybe vett VOIP szolgáltatásnál meghatározott SLA elemek,

oo) a hozzáférésekkel, információmegosztással kapcsolatos kockázatok kiemelése,

pp) maradványkockázatok, korrektív kontrollok,

qq) fejlesztési lehetőségek,

rr) az intézkedési tervbe került tételek.

25. Biztonsággal kapcsolatos védelmek (informatikai hálózat aktív és management eszközei):

a) a frissítések kiadása, telepítések módja, reagálási idő,

b) az ismert sérülékenységek javítási határideje,

c) az eseménykezelő központ által jelzett hálózatbiztonsági események, sérülékenységek figyelése,[81]

d) valós idejű védelem: hozzáférési lehetőségek globális kiberbiztonsági adatbázisokhoz,

e) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,

f) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

g) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

h) biztonsági rendszernapló automatizált védelme, mentések,

i) a rendszernapló automatizált védelme, mentések,

j) határvédelmi, túlterhelés elleni védelmi eszközök és eljárások (IDS, IPS, DDos),

k) végpontvédelemi eszközök (vírus, spam...), lehetőségek, frissítések,

l) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,[82]

m) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),

n) forgalmi statisztikai adatok automatizált elemzésének lehetősége,

o) szokatlan felhasználói tevékenységek automatizált elemzési, riasztási lehetőségei,

p) szokatlan adatforgalom automatizált elemzési, riasztási lehetőségei,

q) hálózati határvédelmi adatkommunikáció automatizált elemzési, riasztási lehetőségei,

r) hálózati határvédelmi szabályok és kivételek dokumentációja, eljárások,

s) hálózati forgalomáramlási szabályok és kivételek dokumentációja, eljárások,

t) a hálózat jogosulatlan használatának azonosítása, naplózása, elemzése, riasztás,

u) URL- és tűzfal szabályrendszerek, portok rendszeres felülvizsgálata, dokumentáció,

v) nyilatkozat a tűzfal gyártójától, hogy a terméke milyen adatokat küld ki a hálózaton a gyártó felé,

w) port management dokumentálása a Ticketing rendszerben,

x) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,

y) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,

z) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,

aa) központi felügyeleti (management) rendszerhez illesztés lehetőségei,

bb) központi naplógyűjtés és elemzés lehetőségei,

cc) a kiváltó ok elemzésének lehetőségei (root cause analysis),

dd) naplózható és naplózandó események, felülvizsgálat rendszeressége,

ee) riportolási lehetőségek, eszközök, automatizált megoldások,

ff) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,

gg) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,

hh) viselkedésfigyelés: a fertőzés terjedésének, megállításának eszközei, lehetőségei,

ii) nyilvánosan hozzáférhető rendszerelemek fizikai védelme,

jj) nyilvánosan hozzáférhető szolgáltatások logikai védelme,

kk) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,

ll) maradványkockázatok, korrektív kontrollok,

mm) fejlesztési lehetőségek,

nn) az intézkedési tervbe került tételek.

oo) az eseti vizsgálatokra fenntartott szabad fizikai portok listája.[83]

26. A WiFi szolgáltatás biztonságával kapcsolatos védelmek (AP és management eszközök):

a) kapcsolati határ, biztonsági zónák, logikai rajz,

b) a frissítések kiadása, telepítések módja, reagálási idő,

c) az ismert sérülékenységek javítási határideje,

d) az eseménykezelő központ által jelzett hálózatbiztonsági események, sérülékenységek figyelése,[84]

e) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,

f) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

g) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

h) biztonsági rendszernapló automatizált védelme, mentések,

i) a rendszernapló automatizált védelme, mentések,

j) hálózati határvédelmi, túlterhelés elleni védelmi eszközök és eljárások,

k) hálózati határvédelmi szabályok és kivételek dokumentációja, eljárások,

l) hálózati forgalomáramlási szabályok és kivételek dokumentációja, eljárások,

m) végpontvédelemi eszközök (vírus, spam...), lehetőségek, frissítések,

n) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,[85]

o) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),

p) az információ továbbítása során alkalmazott fizikai védelmi mechanizmusok,

q) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,

r) külsős személy (vendég) által használható hálózati szegmens paraméterei,

s) külsős személy (vendég) által használható hálózati sebesség- és időkorlátok,

t) lefedettségi és WiFi "roaming" paraméterek,

u) forgalmi statisztikai adatok automatizált elemzésének lehetősége,

v) szokatlan felhasználói tevékenységek automatizált elemzési, riasztási lehetőségei,

w) szokatlan adatforgalom automatizált elemzési, riasztási lehetőségei,

x) határvédelmi adatkommunikáció automatizált elemzési, riasztási lehetőségei,

y) a WiFi rendszer jogosulatlan használatának azonosítása, naplózása, elemzése, riasztás,

z) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,

aa) központi felügyeleti (management) rendszerhez illesztés lehetőségei,

bb) központi naplógyűjtés és elemzés lehetőségei,

cc) a kiváltó ok elemzésének lehetőségei (root cause analysis),

dd) naplózható és naplózandó események, felülvizsgálat rendszeressége,

ee) riportolási lehetőségek, eszközök, automatizált megoldások,

ff) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,

gg) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,

hh) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,

ii) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,

jj) nyilvánosan hozzáférhető rendszerelemek fizikai védelme,

kk) nyilvánosan hozzáférhető szolgáltatások logikai védelme,

ll) az AP eszközök elhelyezése láthatóság szempontjából,

mm) maradványkockázatok, korrektív kontrollok,

nn) fejlesztési lehetőségek,

oo) az intézkedési tervbe került tételek.

27. Biztonsággal kapcsolatos védelmek (telefonközpontok és management eszközök):

a) a frissítések kiadása, telepítések módja, reagálási idő, SLA,

b) az ismert sérülékenységek javítási határideje,

c) az eseménykezelő központ által jelzett biztonsági események, sérülékenységek figyelése,[86]

d) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,

e) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

f) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,

g) biztonsági rendszernapló automatizált védelme, mentések,

h) a rendszernapló automatizált védelme, mentések,

i) túlterhelés elleni védelmi eljárások alkalmazás és adatbázis szinten,

j) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,[87]

k) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),

l) az információ továbbítása során alkalmazott fizikai védelmi mechanizmusok,

m) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,

n) központi felügyeleti (management) rendszerhez illesztés lehetőségei,

o) központi naplógyűjtés és elemzés lehetőségei,

p) a kiváltó ok elemzésének lehetőségei (root cause analysis),

q) naplózható és naplózandó események, felülvizsgálat rendszeressége,

r) riportolási lehetőségek, eszközök, automatizált megoldások,

s) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,

t) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,

u) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,

v) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,

w) hangátviteli (VolP) szolgáltatások kontroll lehetőségei,

x) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,

y) maradványkockázatok, korrektív kontrollok,

z) fejlesztési lehetőségek,

aa) az intézkedési tervbe került tételek.

A hálózat üzemeltetése során megfogalmazott maradványkockázatok:

A hálózat üzemeltetése kapcsán az Intézkedési tervbe rögzített tételek:

Az Intézkedési terv szerinti projektek/beszerzések:

4. melléklet a 18/2018. (V. 31.) ORFK utasításhoz[88]