60/2013. (IX. 30.) HM utasítás

a Magyar Honvédség Kibervédelmi Szakmai Koncepciójának kiadásáról

A honvédelemről és a Magyar Honvédségről, valamint a különleges jogrendben bevezethető intézkedésekről szóló 2011. évi CXIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 290/2011. (XII. 22.) Korm. rendelet 2. § (5) bekezdése alapján az alábbi utasítást adom ki:

1. § Az utasítás hatálya a Honvédelmi Minisztériumra, a honvédelmi miniszter közvetlen alárendeltségébe tartozó szervezetekre, továbbá a Magyar Honvédség (a továbbiakban: MH) katonai szervezeteire terjed ki.

2. § (1) Az MH Kibervédelmi Szakmai Koncepcióját (a továbbiakban: Koncepció) az 1. mellékletben foglaltak szerint határozom meg.

(2) A Koncepció feladata az MH szervezetek kiberbiztonságához szükséges elvi irányok, általános követelmények meghatározása.

(3) Az erőforrás-tervezési feladatokat a Tárca Védelmi Tervező Rendszerében megfogalmazott eljárásrend szerint kell végezni, alap tervezési dokumentumként az MH Informatikai Stratégiájára figyelemmel.

(4) A Koncepciót a gyakorlati tapasztalatok bedolgozása, a jogszabályok változásainak követése, a katonai műveletekre vonatkozó követelmények változásainak figyelembe vétele érdekében évente felül kell vizsgálni.

3. § Ez az utasítás a közzétételét követő nyolcadik napon lép hatályba.

Dr. Hende Csaba s. k.,

honvédelmi miniszter

1. melléklet a 60/2013. (IX. 30.) HM utasításhoz

A Magyar Honvédség Kibervédelmi szakmai koncepciója

1. Célmeghatározás

1) A technológiai fejlődés és az információs igények globalizálódása, az egyre nagyobb intenzitású és egyre veszélyesebb - többek között a kritikus infrastruktúrákat is érintő - fenyegetések megkövetelik a honvédelmi feladatokhoz kapcsolódó kibervédelmi helyzet áttekintését és a szükséges feladatok meghatározását és végrehajtását.

2) A Magyar Honvédség (a továbbiakban: MH) Kibervédelmi Szakmai Koncepció (a továbbiakban: Koncepció) célja a honvédelem érdekében végzett műveletek vezetési és irányítási képesség biztonságához szükséges cselekvési programot meghatározó stratégia és a megvalósítást támogató programok előkészítése.

3) A technikai és társadalmi fejlődés, a gyorsuló innováció miatt kiemelt fontosságú a Koncepció elfogadása és folyamatos továbbfejlesztése, szükség szerinti kiterjesztése az aktuális jogi, technikai és katonai szempontok figyelembevételével. Emiatt a Koncepció évente felülvizsgált és pontosított dokumentum.

2. Fogalmak (A koncepció alkalmazásában)

1) Honvédelmi ágazati kritikus információs infrastruktúra (KII): a honvédelmi feladatokhoz, a közigazgatási szolgáltatások ellátásához, a veszélyes anyagok szállításához szükséges létfontosságú vezetési és irányítási feladatokat biztosító elektronikus adatkezelő képességek, valamint a képességeket biztosító honvédelmi létesítmények, eszközök, hálózatok.

2) Honvédelmi ágazati kritikus információs infrastruktúra védelem (KIIV): a honvédelmi ágazati kritikus információs infrastruktúrák (KII) folyamatos működésének fenntartására irányuló tervezői, üzemeltetői, alkalmazói tevékenység, melynek célja a honvédelmi szervezetek és együttműködők információs tevékenységének meghatározott minimum szinten történő folyamatos biztosítása, illetve kiesés esetén a helyreállítási tevékenység végrehajtása és támogatása.

3) Kiberbiztonság: az az állapot, melyben a kibertérre vonatkozóan az eszközök, politikák, irányelvek, kockázatmenedzsment megközelítések, műveletek, tréningek, bevált gyakorlatok, biztonsági megbízhatóságot szavatoló eljárások és technológiák érvényesülnek.

4) Kiberfenyegetettség: kibertérből eredő technológiai, politikai, személyes, vagy egyéb indíttatású ellenséges tevékenységek, szándékok előre nem meghatározható, folyamatosan változó összessége.

5) Kiberkörnyezet: felhasználók, valamint a kibertérben lévő hálózatok, eszközök és minden szoftver, folyamat, tárolt vagy továbbított adat, alkalmazás, szolgáltatás, továbbá a hálózatokhoz közvetlenül vagy közvetetten csatlakozó hálózat.

6) Kiberművelet: a kibertérben végzett elektronikus adatkezelés és az adatkezelő képességek működésével kapcsolatos tevékenységek, illetve tágan értelmezve az ezek védelmére és befolyásolására vagy támadására irányuló tevékenységek, folyamatok.

7) Kibertámadás: a kibertéren keresztül történő támadás, melynek célja egy információs környezet vagy infrastruktúra üzemelésének megszakítása, kikapcsolása, megsemmisítése, felügyeleti jogának megszerzése, a kezelt adat integritásának megsemmisítése, vagy a felügyelet alatt álló adat megszerzése.

8) Kibertér: az elektromágneses spektrum használatával meghatározható, dinamikusan változó tartomány, mely az összekapcsolt hálózatok, eszközök és kiegészítő fizikai infrastruktúrák közötti adatok kezelésére szolgál.

9) Kibervédelem: a kiberbiztonság megteremtését célzó védelmi rendszabályok alkalmazása a kijelölt kritikus információs infrastruktúra elemekre irányuló, szolgáltatás megszakítást, megszüntetést vagy korlátozást, esetleg illetéktelen adatkezelést okozó szándékos, hálózaton keresztül érkező vagy egyéb formában megjelenő hatások ellen. A védelem fontosabb feladatai a megelőzés, detektálás, elemzés, értékelés, reagálás, helyreállítás és a szolgáltatásjavítás.

3. Általános követelmények

3.1. EU és NATO követelmények

1) A kor kihívásainak megfelelően az Európai Unió (a továbbiakban: EU) különös figyelmet fordít a kritikus információs infrastruktúrák védelmére, megindult az európai kritikus infrastruktúrák azonosítása és kijelölése, ezzel 2011-ben megkezdődött a globális kiberbiztonság felé történő közelítés. Az EU Kiberbiztonsági Stratégiája [JOIN (2013) 1 final] a nyílt, megbízható és biztonságos kibertér szellemét képviseli. A virtuális teret meg kell védeni a biztonsági eseményektől, a rosszindulatú tevékenységektől és a visszaélésektől; a kormányok fontos szerepet játszanak a szabad és biztonságos kibertér biztosításában, ami egyértelmű irányt jelent a nemzeti katonai képességek megfogalmazása, kialakítása és biztosítása érdekében.

2) A NATO 2010-ben elfogadott Stratégiai Koncepciója kiemelt fontosságúnak minősíti a kibertérből eredő támadások elleni védelmi képességek kialakítását. Az ennek megfelelően 2011-ben átdolgozott NATO Kibervédelmi Politika szerint a kiberfenyegetések közös védelmi fellépést igényelhetnek. A NATO műveletek szempontjából kritikus fontosságú nemzeti tulajdonú információs infrastruktúra védelme érdekében a NATO kibervédelmi minimum követelményeket és irányelveket dolgoz ki.

3.2. Nemzeti követelmények

1) A Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Korm. határozattal kiadott Nemzeti Biztonsági Stratégia megállapítja, hogy az állam és a társadalom működése mind meghatározóbb módon az infokommunikációs technológiára épül. Fokozott veszélyt jelent, hogy a tudományos és technológiai fejlődés szinte mindenki számára elérhetővé vált eredményeit egyes államok, vagy nem-állami - akár terrorista - csoportok arra használhatják, hogy megzavarják az információs és kommunikációs rendszerek, kormányzati (gerinc)hálózatok rendeltetésszerű működését. Emiatt a kibertérben növekvő mértékben jelentkező nemzetbiztonsági, honvédelmi, bűnüldözési és katasztrófavédelmi vonatkozású kockázatok és fenyegetések kezelésére, a megfelelő szintű kiberbiztonság garantálására, a kibervédelem feladatainak ellátására és a nemzeti kritikus infrastruktúra működésének biztosítására Magyarországnak is készen kell állnia. A nemzeti szintű védelem az MH számára is iránymutatóan kettős feladatot jelent:

a) a tényleges vagy potenciális fenyegetések és kockázatok rendszeres felmérése és priorizálása, a kormányzati koordináció erősítése, a társadalmi tudatosság fokozása, valamint a nemzetközi együttműködési lehetőségek kiaknázása;

b) a nemzeti kritikus információs infrastruktúra védelmének erősítése mellett a szövetségesekkel és EU-partnerekkel együtt az információs rendszerek biztonságának erősítése, a megfelelő szintű kibervédelem kialakításában való részvétel.

2) A Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozattal kiadott Nemzeti Kiberbiztonsági Stratégia (a továbbiakban: Nemzeti Kiberbiztonsági Stratégia) egyik célja a globális kibertér részét képező nemzeti kibertérben a nemzeti érdekek védelme. A globális kibertérben a védelmet az azonos értékrendet valló szövetségesekkel, a lehető legszélesebb körű kormányzati és nem kormányzati szereplők közötti együttműködésben kell megvalósítani. A Nemzeti Kiberbiztonsági Stratégiában az MH-ra is értelmezhető, megvalósítandó célként szerepel a hatékony megelőzési, észlelési, reagálási, válaszadási és helyreállítási képességek kialakítása a kiberfenyegetések és véletlen információszivárgás ellen. Cél továbbá a nemzeti adatvagyon szükséges mértékű védelmének kialakítása és fenntartása, a létfontosságú rendszerek üzembiztonságához szükséges különleges jogrendben is alkalmazható helyreállítási képességek rendelkezésre állása. A termékek, szolgáltatások színvonalát a nemzetközi bevált gyakorlat szintjére kell emelni, beleértve a biztonsági tanúsítási szabványoknak való megfelelés követelményét. Az oktatás és képzés, a kutatás és fejlesztés színvonalának meg kell felelnie a nemzetközi bevált gyakorlatnak. A Nemzeti Kiberbiztonsági Stratégiában megtörtént az MH-t is érintő területek azonosítása, mint kormányzati koordináció, együttműködés, szakosított intézmények, szabályozás, nemzetközi együttműködések, tudatosság és oktatás és kutatás fejlesztés.

3) A Magyarország Nemzeti Katonai Stratégiájának elfogadásáról szóló 1656/2012. (XII. 20.) Korm. határozattal kiadott Nemzeti Katonai Stratégia (a továbbiakban: Nemzeti Katonai Stratégia) új kihívásként és potenciális veszélyforrásként azonosítja a globális közjavak területén a kibertér hozzáférhetőségét és használatát, negatív hatásként értékeli az egyes állami és nem állami szereplők által alkalmazott modern infokommunikációs eszközök általi biztonsági kockázatot. A Nemzeti Katonai Stratégia megállapítja, hogy az aszimmetrikus kihívások miatt bővült a háború és a támadás fogalmainak jelentése. "A károkozás mértékétől függően egy nem fegyveres támadás - megítélését tekintve - akár egy fegyveres támadással is egyenértékű lehet. Ilyen fenyegetést jelent elsősorban a kiber hadviselés, amely anyagi kár okozásában és a közrend megzavarásában potenciálját tekintve egyre kevésbé marad el a hagyományos fegyverektől." A Nemzeti Katonai Stratégia fogalmi kérdések tisztázását és kibervédelmi képesség megteremtését is meghatározza, a következők szerint: "erősíteni kell a Magyar Honvédség kibervédelmét, amihez koncepcionálisan megalapozott rendszabályok kidolgozása, modern eszközök beszerzése, valamint az állomány megfelelő felkészítése és kiképzése szükséges"

4) A Magyar Honvédség Kiberműveleti Koncepciójának szemlélete szerint a kibertér azonos jelentőségre tett szert, mint a hagyományos földrajzilag meghatározott hadszínterek (szárazföld, légtér, tengerek, világűr). A kiber-hadszíntéren különböző típusú - például hírszerző, felderítő, aktív vagy támadó jellegű - műveletek folyhatnak. Emiatt a magas szintű kiberbiztonság szavatolására, a katonai kritikus információs infrastruktúrák védelmére, rendeltetésszerű használatuk biztosítására a szakmai felügyeleti szerveknek, az üzemeltető és a biztonságért felelős állománynak, valamint a felhasználóknak egyaránt készen kell állnia.

4. Az információs fenyegetések és jellemzőik

4.1. Információs fenyegetések

1) A napi életben tapasztalható események jelzik a kiberbiztonsági szempontok felértékelődését. Az információs fenyegetések súlyosságát, összetettségét mutatják az észt és a grúz informatikai rendszereket ért támadások. Az iráni nukleáris létesítményeket ért célzott vírustámadás már számítógépes (kiber) háborúként is értelmezhető.

2) A fenyegetett célok változnak, egyre szélesebb körű szolgáltatások veszélyeztethetők. A támadó célja infokommunikációs eszközök alkalmazásával a vezetési és irányítási rendszerek feletti irányítás megszerzése, a támadott fél erőinek lekötése, reagáló képességének felmérése, a nemzeti kritikus infrastruktúrák, a nemzeti adatvagyon veszélyeztetése vagy a katonai műveletek, katonai erő hatékony alkalmazásának blokkolása, befolyásolása. A technikai vagy katonai jellegű kérdések mellett a hatalmi szempontok - mint befolyásolás, megszerzés vagy megtartás - érvényesülése egyre erőteljesebben jelentkezik. A támadás forrása lehet hacker tevékenység, szervezett bűnözés, ideológiai vagy politikai szélsőség, kormányzati támogatással rendelkező agresszió.

3) A rendszerhibák, sebezhetőségek, valamint egyéb incidensek, és a függőségek kölcsönhatásaiból és együtthatásaiból a kritikus információs infrastruktúráknál kialakulhatnak nehezen felderíthető és elhárítható káresemények.

4) A sebezhetőség kihasználása az engedély nélküli hozzáférés, a hagyományos kémkedés típusú fenyegetések, és a gazdasági, politikai előnyszerzést célzó kémkedés mellett, a szolgáltatás túlterhelés és a szolgáltatás elérhetetlenné tétele is jelentős mértékben jelen van. A támadások megvalósítása is megváltozott. Sokszor a sérülékenység kihasználása és a támadás végrehajtása között eltelt hosszú idő a támadó rejtve maradását eredményezheti, illetve a sérülékenység felfedezése és kihasználása közötti idő nem ad lehetőséget a sérülékenységek kiküszöbölésére. A kereskedelmi forgalomból nem ellenőrzött gyártótól beszerzett eszközök, megoldások jelentős kockázatokat jelenthetnek a honvédelmi célú kritikus információs infrastruktúrákra.

5) Az információs fenyegetések történhetnek:

a) külső hálózati csatlakozáson keresztül, vagy hálózaton belülről. Mindkét esetben figyelembe kell venni a vezeték nélküli adatátviteli eseteket;

b) adathordozón, vagy humán tényezőkön keresztül, melyeknél a komoly támadások előkészítéséhez, a nagy károkozás eléréséhez már az adott hálózat ismerete is szükséges.

6) Az információs fenyegetések negatív hatásait felerősíti a felgyorsult tempójú technikai fejlődés, a támadás céljára is alkalmazható, elérhető áron beszerezhető modern technika, az egyre könnyebben megszerezhető szakismeret és automatizált szoftver eszközök, valamint a rövid fejlesztési ciklusidőkből és a teljes rendszerre vonatkozó tesztelési műveletek elhagyásából eredő hiányosságok. Ennek következtében az ismeretek naprakészen tartása egyre nagyobb kihívást jelent, miközben a védelemre fordítható kiadások jelentősen csökkennek.

4.2. Kibertámadás esetén bekövetkező, lehetséges negatív hatások

1) A széles skálán jellemezhető kibertámadások - a honvédelmi célú kritikus információs infrastruktúrák, ezen belül a katonai kritikus információs infrastruktúrák esetében - az adatkezelő szolgáltatások részleges, vagy teljes kiesését, adatvagyon vesztését, illetőleg adatvagyon-integritás sérülését okozhatják. Ebből következően a kibertámadás a vezetési és irányítási képesség elvesztését, a közigazgatási feladatok ellátásának akadályozását vagy teljes ellehetetlenítését eredményezheti.

2) A fenyegetésekből adódó kockázatok eredményeképpen az MH Kormányzati Célú Elkülönült Hírközlő Hálózat rendelkezésre állásának és szolgáltatásainak csökkenése vagy megszűnése, transzport hálózati végpontok leszakadása következhet be.

4.3. Következtetések

1) Az internet alapú fenyegetések az alkalmazott architektúra miatt az MH Kormányzati Célú Elkülönült Hírközlő Hálózatnál és célrendszereinél nem közvetlenül, hanem áttételesen jelentkeznek, míg az egyéb rendszereknél közvetlen hatásokkal is számolni kell. A kiberfenyegetések összetettsége miatt a hálózati fenyegetések mellett az adatszivárgás és a hálózati "belső" oldal egyéb sebezhetőségeit is vizsgálni kell, mint:

a) szolgáltatások, rendszererőforrások illetéktelen igénybevétele, illetéktelen hozzáférés;

b) eszközrongálás, eszközlopás, nem engedélyezett eszközök használata;

c) adatok illetéktelen módosítása, törlése, illetéktelen hozzáférés;

d) nem szándékolt információs károkozás.

2) Az állandó telepítésű rendszerek mellett vizsgálni kell a tábori katonai elektronikus adatkezelő rendszerek védelmét is a tábori rendszerek eltérő sebezhetőségi pontjai, valamint a hatások központi szolgáltatásokra történő átterjedésének veszélye miatt.

3) Az előző fejezetben átfogóan összegzett negatív hatások kiküszöbölése vagy ellensúlyozása érdekében történő hatékony és több negatív hatás együttes fellépése esetén is megbízható kibervédelmi reagáló képesség kialakítását az egymásra épülés logikája szerint lépcsőzetesen, a rendelkezésre álló erőforrások figyelembevételével kell megvalósítani.

5. A honvédelmi célú kibervédelmet igénylő szolgáltatások

1) A honvédelmi feladatok ellátásához a következő kritikus információs infrastruktúra elemeket kell megkülönböztetni:

a) EU vagy NATO tulajdonú EU vagy NATO adatot kezelő rendszer;

b) nemzeti tulajdonú EU vagy NATO adatot kezelő rendszer;

c) kormányzati rendszer;

d) honvédelmi ágazati állandó (stacioner) rendszer (MH Kormányzati Célú Elkülönült Hírközlő Hálózat és hozzá csatlakozó vagy önállóan üzemelő helyi hálózat) vagy honvédelmi ágazati tábori rendszer;

e) honvédelmi szervezettel együttműködő szervezet rendszere;

f) nyilvános hálózat.

2) A szükséges védelmi szint meghatározásakor, illetve a védelmi rendszabályok kialakításáért, fenntartásáért és fejlesztéséért való felelősség azonosításakor figyelembe kell venni az alábbi függőségeket:

a) a honvédelmi feladatok ellátása a katonai kritikus információs infrastruktúra szolgáltatások mellett igényelheti más szervezetek által üzemeltetett elektronikus adatkezelő képességek igénybevételét is;

b) más szervezetek működéséhez szükség lehet honvédelmi szervezetek szolgáltatásaira;

c) a nem katonai kritikus információs infrastruktúra védelme tekintetében meg kell határozni a Magyar Honvédség és más kormányzati szervek (egymástól független) feladat- és hatásköreit, illetve ezek kapcsolódási pontjait.

6. Általános irányelvek

1) Az MH Kibervédelmi Képesség kialakítása során az e fejezetben meghatározott általános irányelvek szerint kell eljárni.

2) A képességkialakítás tervezési és szervezési feladatai során az irányelvek alapján pontos követelményeket, majd azok alapján kivitelezési, részletes üzemeltetési és biztonsági eljárásokat kell kialakítani.

6.1. A jogi és szabályozási környezet kialakítása

1) Azonosítani kell a kibervédelmi követelményeket, ezen belül:

a) a kormányzati szintű és nemzetközi felelős szervezeteket és a biztonsági követelményeket;

b) a kibervédelemben érintett nemzeti és nemzetközi együttműködő szervezeteket, hatásköreiket és feladataikat.

2) Részletesen szabályozni kell a honvédelmi ágazati kritikus információs infrastruktúrák egységes üzemeltetési és biztonsági eljárásai érdekében az üzemeltető és felügyelő, valamint a rendelkezésre álló forráskeretek elosztásáért felelős szervezetek hatásköreit, feladatait, továbbá ezek külső-belső együttműködését.

3) A kiberbiztonsági követelményeket és feladatokat a honvédelmi ágazati specifikációk figyelembevételével egységesen - a meglevő jogszabályi környezet felülvizsgálatával, szükség esetén az összehangoláshoz szükséges jogszabály-módosítások kezdeményezésével - kell kidolgozni.

4) A kibervédelmi követelmények és feladatok kidolgozása során ki kell alakítani a különleges jogrend alkalmazásával kapcsolatos azon alapvető irányelveket, amelyek segítik a Magyarország Alaptörvényében meghatározott rendkívüli állapot, megelőző védelmi helyzet és váratlan támadás esetén szükséges rendelkezések mielőbbi bevezetését.

6.2. Az elektronikus adatkezelő hálózatok biztonsági szintjének emelése

6.2.1. A hálózatok biztonságának növelése

1) Egységes védelmi rendszabályokat kell kialakítani:

a) szabvány és bevált gyakorlat alapú módszereket kell alkalmazni a védelmi rendszabályok kialakítása, alkalmazása, felülvizsgálata és továbbfejlesztése során;

b) specializált módszertant kell kialakítani a védelmi rendszabályok ellenőrzéséhez.

2) A honvédelmi kritikus információs infrastruktúra védelem érdekében el kell végezni a következő feladatokat:

a) egységes fogalmi környezetet kell létrehozni;

b) meg kell határozni a kritikus függőségeket;

c) meghatározott rend szerint vizsgálni kell a sebezhetőséget;

d) elemezni és menedzselni kell a fenyegetésekkel és sebezhetőségekkel kapcsolatos kockázatokat;

e) kiegészítő védelmi rendszabályokat kell meghatározni és alkalmazni a magas kockázatú szolgáltatások biztonsága érdekében.

6.2.2. Tanúsított termékek alkalmazása

1) A honvédelmi kritikus információs infrastruktúra biztonsága érdekében a jogszabályi követelményeknek, a hatósági ajánlásoknak, a nemzeti és nemzetközi szabványoknak megfelelő tanúsított termékeket kell alkalmazni.

2) A kiemelt fontosságú, vagy magas minősítésű nemzeti elektronikus rendszerek esetében garantált biztonságú, nemzeti termékek alkalmazását kell előtérbe helyezni.

6.2.3. A biztonságtudatosság növelése

1) Az elektronikus adatkezelés biztonsága érdekében a biztonságtudatosságot célcsoportonként specializáltan kell erősíteni:

a) a felhasználóknál;

b) az üzemeltetőknél (beleértve a tervezést és az üzemeltetés irányítást);

c) a biztonsági állománynál;

d) a kibervédelem kialakításában és fejlesztésében érintett vezetői és döntéshozó állománynál.

2) A biztonságtudatosság szinten tartása érdekében a rendelkezésre álló kommunikációs lehetőségek kihasználásával figyelemfelhívó programokat, időszakos tájékoztatásokat kell tartani.

6.2.4. A szolgáltatások életciklus kockázatának menedzselése

1) Fel kell tárni a szolgáltatások életciklusa során az üzemeltetéssel és fejlesztéssel kapcsolatos biztonsági réseket.

2) Azonosítani kell a gyorsuló információs szolgáltatás életciklusából - erkölcsi és technikai avulás -, illetve a beszerzési eljárások elhúzódásából eredő veszélyeket, valamint ellensúlyozni kell az azokból fakadó negatív hatásokat.

3) Kezelni kell a projektek egymásra hatásából adódó függőségek negatív hatásait.

6.3. A kibertámadások elleni képességek kialakítása és fejlesztése A kibervédelmi képesség kialakítása és fejlesztése érdekében:

a) időszakosan és változáshoz kötötten elemezni és értékelni kell a kiberbiztonsággal kapcsolatos kockázatokat;

b) ki kell alakítani a szervezetek közötti és szervezeten belüli információmegosztás szabályait (sebezhetőség, riasztások);

c) ki kell dolgozni és folyamatosan fejleszteni kell a szervezeten belüli és a szervezetek közötti együttműködés rendjét és feladatait;

d) meg kell határozni a kiberbiztonság aktuális állapotának megítéléséhez szükséges adatok körét, az adatok felhasználóit és az adatcserére vonatkozó követelményeket;

e) azonosítani kell a biztonsági követelmények szerint kialakított, rendszer- és szolgáltatásspecifikusan alkalmazható védelmi rendszabályokat, figyelembe véve a túlzott egységesítésből adódó esetleges veszélyeket;

f) ki kell alakítani a védelmi rendszabályokon belül a detektálásra és jelzésre épülő mechanizmusok mellett a valós idejű döntéstámogatást és előkészítést, a reagálást, illetve a bizonyítékszolgáltatást és helyreállítást is támogató eljárásokat;

g) ki kell használni az önkéntes szervezetekkel, oktatási és kutatási intézményekkel kapcsolatos nemzeti és nemzetközi együttműködési lehetőségeket (tanácsadás és konzultáció);

h) ki kell alakítani a kritikus információs infrastruktúra elemek rendszerbe állítása és üzemben tartása érdekében előre meghatározott jóváhagyási eljárásokat;

i) ki kell alakítani és fenn kell tartani az üzemeltetési, biztonsági felügyeleti feladatokat ellátó, illetve a kibervédelmi eljárásokat irányító állomány számára specializált képzési és továbbképzési rendszert;

j) a védelmi rendszabályok hatékonyságának, valamint a kibervédelmi reagáló képesség értékelésének érdekében komplex - váratlan ellenőrzéseket is tartalmazó - ellenőrzési módszertant kell kialakítani és fenntartani;

k) ki kell használni a honvédelmi érdekek érvényesítése és a honvédelmi kritikus információs infrastruktúrák védelmének kiterjesztése érdekében az üzemeltetési és biztonsági adatok elemzéséből és a bizonyítékszolgáltatásból adódó lehetőségeket.

6.4. A szaktudás növelése

1) Az általános katonai képzésekbe integrálni kell az információbiztonsági ismereteket.

2) A vezetői, üzemeltetői és biztonsági állomány részére a kibervédelmi ismeretek megszerzése és fejlesztése érdekében specializált tanfolyamokat kell kialakítani.

3) A szükséges képességek kialakítása és fenntartása érdekében a biztonsági és üzemeltető állomány számára specializált, valósághű gyakorlási lehetőségeket kell biztosítani.

4) A biztonsági incidensek, üzemeltetési tapasztalatok, gyakorlások alapján szerzett tudás hasznosítását a tapasztalat feldolgozási rendszeren keresztül kell hasznosítani.

6.5. Kutatás és fejlesztés

1) A kibervédelmi képességek fejlesztése érdekében ki kell használni a központi kutatási programokban való részvétel, valamint a nemzeti és nemzetközi - kiemelten az EU által finanszírozott - programokban, projektekben, K+F folyamatokban és feladatokban, illetve az ezeket megvalósító szervezetekben való részvétel lehetőségét.

2) A napi élet során figyelemmel kell kísérni az adatkezelési igényeket, folyamatosan elemezni kell a rendelkezésre álló megoldásokat, és elemezni kell alkalmazhatóságukat.

3) A kibervédelmi feladatok tervezését az újonnan felbukkanó technológiák és azok hatásainak vizsgálatával, a technológiai trendek előrejelzésével kell támogatni.

6.6. Együttműködés

1) A kibervédelmi feladatok érdekében a Nemzeti Kiberbiztonsági Koordinációs Tanáccsal, az illetékes tárcákkal, nemzeti hatóságokkal és kibervédelmi feladatokat ellátó szervezetekkel szoros, specializált, szinergiát eredményező együttműködési kapcsolatokat kell kialakítani. Az MH katonai képességeinek szakmai területű biztosításához szükséges kibervédelmi feladatokat a kormányzati irányelveknek megfelelően kell tervezni és végrehajtani.

2) NATO és EU direktívákon, irányelveken és külön megállapodásokon nyugvó együttműködéseket kell kialakítani a NATO és EU szervezetekkel, valamint tagállamaikkal, a V4 csoport tagjaival, illetve a NATO partnerországokkal.

3) Az oktatási és tudományos intézményekkel, szervezetekkel szorosan együtt kell működni.

4) Figyelemmel kell kísérni a kritikus infrastruktúra védelemben érintett szervezetek, információbiztonsági fórumok és testületek, önkéntes, valamint civil szervezetek munkáját, illetve ki kell használni az együttműködésből adódó előnyöket.

5) A lehetséges együttműködési kereteket felhasználva kapcsolatokat kell tartani a kiberbiztonság szempontjából jelentős gyártókkal, forgalmazókkal, auditor- és tanácsadó szervezetekkel.

6) Hatékonyan működő kapcsolatokat kell fenntartani a honvédelmi érdekből összekapcsolt nemzeti és nemzetközi hálózatok üzemeltető-, illetve menedzsment állományával.

7. A Magyar Honvédség kibervédelmi feladatai

1) Az MH Kormányzati Célú Elkülönült Hírközlő Hálózat - mint kritikus nemzeti információs infrastruktúra elem - és szolgáltatásainak biztonsága egy reálisan megvalósítható koncepcióban nem fogalmazható meg a kibervédelmi képesség összetettsége, illetve az erőforrásokkal való ellátottság miatt, így a NATO által is alkalmazott fokozatos, folyamatjellegű képességkialakítási módszert kell alkalmazni.

2) Az egymásra épülő képességkialakítási feladatok a technológiai fejlődés, valamint a szervezeti feladatok változása miatt az elért eredmények és a környezeti változások elemzésén kell, hogy alapuljanak. Az MH Kibervédelmi Képesség kialakítását három fő lépésben kell végrehajtani:

a) Kezdeti Kibervédelmi Képesség;

b) Alap Kibervédelmi Képesség és

c) Teljes Kibervédelmi Képesség kialakítása.

3) Az MH Kibervédelmi Képesség kialakításával kapcsolatos feladatokat hatásvizsgálatokkal kell alátámasztani. A hatásvizsgálat eredményeit be kell dolgozni a rendszertervekbe, a végrehajtást szabályozó dokumentumokba.

4) A képesség kialakítása során ki kell alakítani, majd folyamatosan fejleszteni kell a szabályozási-, szervezeti-, képzési-, technikai biztosítási-, irányítási-, személyi és infrastrukturális keretrendszert. A kiberbiztonság soha nem tekinthető teljesnek, így a "teljes kibervédelmi képesség" megfogalmazás adott honvédelmi követelmények, információs infrastruktúra és szolgáltatások ismeretében kialakított, azok megfelelő szintű védelméhez igazított képességet jelent.

5) A fokozatosan kialakuló katonai kibervédelmi képességet olyan irányba kell továbbfejleszteni, hogy alkalmas legyen a szélesen értelmezett honvédelmi kritikus információs infrastruktúra védelmi feladatait ellátni. E továbbfejlesztés során az elért eredményekre támaszkodva vizsgálni kell a kialakított szervezet, valamint a kibervédelmi képesség megteremtése során felhalmozódott tapasztalatok hasznosításának nemzeti keretek között szélesen értelmezhető lehetőségeit is.

7.1. A Kezdeti Kibervédelmi Képesség

1) A Kezdeti Kibervédelmi Képesség a tervezett forráskeretek figyelembevételével, lehetőség szerint 2013-2014-ben megvalósítható képesség. A fontosság szerinti célkitűzések:

a) a rendelkezésre álló technikai és szervezeti keretekre támaszkodva a biztonság szempontjából kiemelt fontosságú területeket célzó megoldások kidolgozása és alkalmazása (hálózati architektúra felülvizsgálat, egyszerűsítések, hálózati kapacitások áttekintése);

b) a folyamatban lévő beruházáshoz kapcsolódó lehetőségek kihasználása, mint detektálás, incidenskezelés;

c) az elektronikus hitelesítés szolgáltatás bevezetéséhez kapcsolódó feladatok felgyorsítása;

d) az elektronikus iratkezelés bevezetéséhez szükséges fejlesztési, fenntartási, üzemeltetési, képzési és információvédelmi feladatok támogatása;

e) MH szintű, szabvány alapú elektronikus információbiztonsági követelményrendszer - benne az incidenskezelésre vonatkozó követelmények - meghatározása és kiadása;

f) a centralizált incidenskezelés alapjainak megteremtése (típusba sorolható műveletek, felelősségek és feladatok, együttműködés);

g) a kompromittáló kisugárzás elleni védelemhez szükséges zónázási képesség kialakítása, fejlesztése a NATO rendszabályok és a jogszabályok követelményeinek megfelelően.

2) A Kezdeti Kibervédelmi Képesség nem biztosít hálózati szintű komplex megoldást, csak az alapképesség kialakításáig végez biztonsági szint megerősítési feladatokat, úgy mint:

a) az MH Kormányzati Célú Elkülönült Hírközlő Hálózat központi szolgáltatásainak és erőforrásainak védelme;

b) a kiemelt fontosságú célrendszerek védelmének megerősítése.

3) A Kezdeti Kibervédelmi Képesség kialakításával párhuzamosan el kell végezni:

a) a megvalósított beruházásokra építve a biztonsági rendszertervek pontosítását és ennek megfelelően a következő rövidtávú tervben foglalt feladatok meghatározását;

b) a fenyegetések és sebezhetőség területén a fontosabb trendek azonosítását, kimutatását, valamint a tervezéshez történő felhasználását;

c) a technikai üzemeltetési feladatok pontosítását;

d) a képesség kialakításához szükséges humán erőforrásra vonatkozó követelmények meghatározását, a védelmi tervezési rendszeren keresztül a szükséges szervezeti változások megtervezését, beleértve az önkéntes tartalékos rendszer igénybevételének vizsgálatát, továbbá az ebből adódó lehetőségek kihasználását.

4) A Kezdeti Kibervédelmi Képességhez szükséges modernizálási feladatok és folyamatok mellett - a meglévő erőforrásokra támaszkodva - az ország fegyveres védelmi tervében ki kell dolgozni a honvédelmi érdekből szükséges mértékű kiberbiztonság eléréséhez szükséges feladatokat.

7.2. Az Alap Kibervédelmi Képesség

1) Az Alap Kibervédelmi Képességnek a 2013-2016 közötti időszakra vonatkozó rövidtávú tervben tervezett forráskeretek figyelembevételével meghatározott technikai fejlesztések elindulása, az ehhez kapcsolódó eljárások, szervezeti elemek, valamint szervezeti kapcsolatok kialakítása, oktatási és képzési követelmények együttes teljesülése esetén valósul meg. Általános célkitűzések:

a) a katonai kritikus információs infrastruktúrák elleni támadás elhárítása;

b) a katonai kritikus információs infrastruktúrák sebezhetőségének csökkentése;

c) a katonai kritikus információs infrastruktúrák sérüléseinek helyreállításához szükséges idők csökkentése;

d) a honvédelmi célú feladatvégrehajtás szempontjából a kritikus információs infrastruktúrák védelmének biztosítása kapcsán az ágazati együttműködési feladatok végzése, részvétel a nemzeti kritikus infrastruktúra védelmi programokban és feladatokban, a katonai kritikus információs infrastruktúra védelem továbbfejlesztése a honvédelmi kritikus információs infrastruktúra védelem irányába.

2) Általános követelmények:

a) az Alap Kibervédelmi Képességet az MH Kormányzati Célú Elkülönült Hírközlő Hálózat központi szolgáltatásainak védelmére és a nem központi szolgáltatású, de a kritikus információs infrastruktúra körébe tartozó, jogszabályban meghatározott feladatvégrehajtáshoz szükséges képességekre kell értelmezni;

b) az Alap Kibervédelmi Képesség meghatározásakor figyelembe kell venni a NATO Kibervédelmi Akcióterv nemzeti infrastruktúrákra vonatkozó követelményeit és javaslatait, valamint az EU követelményeken alapuló nemzeti kritikus infrastruktúra védelmi feladatokat.

3) A kialakításkor az automatizált detektálás-elemzés-reagálás-helyreállítás képesség kialakítására kell törekedni a centralizált incidenskezelést célul tűzve.

4) A képességtervezés és kialakítás során menedzsment szintű, valamint technikai jellegű együttműködést kell kialakítani a kormányzati eseménykezelő szervezettel, ágazati eseménykezelőkkel, továbbá más kibervédelmi szervezetekkel.

5) A kialakított eljárásokat, műveleti terveket és együttműködési eljárásokat a technikai korszerűsítés függvényében folyamatosan pontosítani kell.

6) Humán szakterületen ki kell alakítani a szakállomány képzésének és továbbképzésének rendjét, feladatait, kiemelt figyelmet kell fordítani a biztonságtudatosságra.

7) A technikai jellegű képzés, továbbképzés és gyakoroltatás feladatait az éves tervezések során az üzemeltetési és információvédelmi feladatok közé be kell illeszteni, összehangolva a hivatásos, szerződéses és önkéntes tartalékos állomány tevékenységét.

8) Az Alap Kibervédelmi Képesség részeként a nemzeti követelmények szerint meg kell határozni az egymással összefüggő rendszerek azon eseteit, amelyek kritikus honvédelmi képességeket negatívan befolyásolhatnak, majd a továbbiakban ellensúlyozni kell a kockázatokat.

7.3. A Teljes Kibervédelmi Képesség kialakítása

1) A Teljes Kibervédelmi Képességre vonatkozó pontos követelmények a jelenlegi kidolgozói fázisban nem fogalmazhatók meg, csak átfogó jellegű irányelvek adhatók. Az Alap Kibervédelmi Képesség megvalósulásával párhuzamosan a következő rövidtávú tervek kialakításával, továbbá az eljárások és követelmények pontosításával a jelenlegi Koncepciót dinamikusan tovább kell fejleszteni a Teljes Kibervédelmi Képességre vonatkozó koncepcióvá.

2) A Teljes Kibervédelmi Képességre vonatkozó követelmények meghatározásának alapjai:

a) a fejlődő és a megjelenő új technológiákra, fenyegetésekre vonatkozó előrejelzések;

b) az alap képességet biztosító technikai rendszer üzemeltetéséből származó tapasztalatok;

c) az aktuális EU, NATO és nemzeti követelmények, szabványok és ajánlások.

8. Szükséges erőforrások, feladatok

1) Az MH kiberbiztonsági szakmai szemléletének figyelembevételével a kibervédelmi képesség kialakításához szükséges feladatokat és az azok ellátásához kapcsolódó erőforrásokat a Tárca Védelmi Tervező Rendszerében megfogalmazott eljárásrend szerint hosszú- és rövidtávú tervekben kell azonosítani, illetve a tárgyévben végrehajtásra tervezett feladatokat a rövidtávú terv alapján az éves beszerzési tervben kell rögzíteni.

2) A kibervédelmi képesség kialakításához szükséges források esetében a költségvetési támogatáson felül kiemelten szükséges vizsgálni az EU forrásokból megvalósítható fejlesztési lehetőségeket.

3) A Kezdeti Kibervédelmi Képesség kialakítását - mint kiinduló feladatot - külön kell elrendelni a szükséges erőforrások azonosításával együtt.

4) Az ország fegyveres védelmi tervében a kibervédelmi feladatokat a meghatározott fejlesztési lépcsők szerint kialakított kibervédelmi képesség mindenkori szintjének, a rendelkezésre álló erőforrásoknak és az elektronikus adatkezelő rendszerek szolgáltatásainak megfelelően naprakészen kell tartani.