77/2013. (XII. 19.) NFM rendelet
az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés a) pontjában kapott felhatalmazás alapján az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat-és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontjában meghatározott feladatkörömben eljárva - az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 2. § (1) bekezdés c) pontjában, valamint a 12. § l) pontjában meghatározott feladatkörében eljáró közigazgatási és igazságügyi miniszterrel egyetértésben - a következőket rendelem el:
1. § Az elektronikus információs rendszerrel rendelkező érintett szervezet elektronikus információs rendszereit az 1. mellékletben foglaltak szerint sorolja biztonsági osztályba.
2. § Az elektronikus információs rendszerrel rendelkező érintett szervezet a 2. mellékletben foglaltak szerint végzi el a biztonsági szintbe sorolást.
3. § (1) Az 1. § és 2. § szerint elvégzett besorolás alapján az érintett szervezet a 3. mellékletben reá vonatkozó, és az elektronikus információs rendszerére érvényes biztonsági osztályhoz és szinthez rendelt követelményeket a 4. mellékletben meghatározott módon valósítja meg.
(2) Ha az érintett szervezet az általa használt elektronikus információs rendszernek csak egyes elemeit, vagy funkcióit - részben, vagy egészben - üzemelteti, vagy használja, akkor ezen elemek és funkciók tekintetében kell a 4. mellékletben foglalt követelményt, elvárást és feltételt biztosítania és megvalósítania.
(3) Ha az elektronikus információs rendszert több szervezet használja, az elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához kapcsolódó bármely követelményt, elvárást és feltételt minden, az adott elektronikus információs rendszeren tevékenységet végző, érintett szervezet tekintetében is érvényesíti.
(4) Az elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához kapcsolódó bármely követelményt úgy érvényesíti a többi, az adott elektronikus információs rendszeren tevékenységet végző érintett szervezet tekintetében, hogy a követelmények, feltételek és elvárások az érintett szervezet elektronikus információbiztonsággal kapcsolatos eljárásrendjébe beépülhessenek.
4. § Ez a rendelet a kihirdetését követő nyolcadik napon lép hatályba.
Németh Lászlóné s. k.,
nemzeti fejlesztési miniszter
1. melléklet a 77/2013. (XII. 19.) NFM rendelethez
Az elektronikus információs rendszerek biztonsági osztályba sorolása
1. Általános irányelvek
1.1. Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti, így például
1.1.1. a nemzeti adatvagyont kezelő rendszerek esetében a sértetlenség követelményét emeli ki;
1.1.2. a létfontosságú információs rendszerelemek esetében a rendelkezésre állást követeli meg elsődlegesen;
1.1.3. a különleges személyes adatokkal kapcsolatban alapvető igényként fogalmazza meg a bizalmasság fenntartását.
1.2. Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni, amit az érintett szervezet vezetője hagy jóvá. A kockázatelemzés során ajánlott a nemzetközi vagy hazai szabványok, ajánlások, legjobb gyakorlatok figyelembevétele.
1.2.1. Az adatok és az adott információs rendszer jellegéből kiindulva a kockázatelemezés alapját
1.2.1.1. az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, és az elektronikus információs rendszerelemek sértetlenségének és rendelkezésre állásának sérüléséből, elvesztéséből bekövetkező kár, vagy káros hatás, terjedelme, nagysága;
1.2.1.2. a kár bekövetkezésének, vagy a kárral, káros hatással fenyegető veszély mértéke, becsült valószínűsége képezi.
1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni.
1.4. Az elektronikus információs rendszerek biztonsági osztályai meghatározásához az alábbi -az érintett szervezetnél szóba jöhető - közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat kell - az érintett szervezet jellemzőire tekintettel - figyelembe venni:
1.4.1. társadalmi-politikai káros hatásokat, károkat vagy a jogsértésből, kötelezettség elmulasztásából fakadó káros hatásokat, károkat (így pl. alaptevékenységek akadályozása, különösen a létfontosságú információs rendszerelemek működési zavarai, a nemzeti adatvagyon sérülései, jogszabályok és egyéb szabályozások megsértése, jogszabály által védett adatokkal történő visszaélés vagy azok sérülése, a közérdekűség követelményének sérülése, személyiséghez fűződő jogok megsértése, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben, az ország jogrendjének sérülése, vagy ennek lehetővé tétele);
1.4.2. személyeket, csoportokat érintő károk, káros hatások (pl. különleges személyes adatok, banktitkok, üzleti titkok megsértése, szervezet, személyek vagy csoportok jó hírének károsodása, személyi sérülések, vagy haláleset bekövetkeztének - ideértve az elektronikus információs rendszer működésének zavara, vagy információhiány miatt kialakult veszélyhelyzetet -veszélye);
1.4.3. közvetlen anyagi károk (az infrastruktúrát, az elektronikus információs rendszert ért károk, és ezek rendelkezésre állásának elvesztése miatti pénzügyi veszteség, adatok sértetlenségének, rendelkezésre állásának elvesztése miatti költségek, dologi kár);
1.4.4. közvetett anyagi károk (pl. helyreállítási költségek, elmaradt haszonnal arányos költségek, a környezet biztonságának veszélyeztetése, perköltségek).
1.5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő.
2. Biztonsági osztályok
2.1. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek:
2.2. Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel
2.2.1. az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot;
2.2.2. nincs bizalomvesztés, a probléma kisebb, az érintett szervezeten belül marad, és azon belül meg is oldható;
2.2.3. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentéktelen.
2.3. A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel
2.3.1. személyes adat sérülhet;
2.3.2. az üzlet-, vagy ügymenet szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat, vagy elektronikus információs rendszer sérülhet;
2.3.3. a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető;
2.3.4. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest csekély.
2.4. A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel
2.4.1. különleges személyes adat, vagy nagy tömegű személyes adatok sérülhetnek;
2.4.2. az üzlet-, vagy ügymenet szempontjából közepes értékű, vagy az érintett szervezet szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;
2.4.3. a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;
2.4.4. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest közepes.
2.5. A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel
2.5.1. nagy tömegű különleges személyes adat sérülhet;
2.5.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
2.5.3. az üzlet-, vagy ügymenet szempontjából nagy értékű, üzleti titkot, vagy az érintett szervezet szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
2.5.4. a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, az érintett szervezet vezetésében személyi konzekvenciákat kell alkalmazni;
2.5.5. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentős.
2.6. Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel
2.6.1. kiemelten nagy tömegű különleges személyes adat sérül;
2.6.2. emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
2.6.3. a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
2.6.4. az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
2.6.5. a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
2.6.6. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetését, szellemi és anyagi erőforrásait meghaladó, különösen nagy értékű üzleti titok, az érintett szervezet szempontjából kiemelten érzékeny információt képező adat sérül.
2. melléklet a 77/2013. (XII. 19.) NFM rendelethez
Az elektronikus információs rendszereket működtető szervezetek biztonsági szintbe sorolása
1. Általános irányelvek
1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni.
1.2. Az egyes biztonsági szinteknek fokozatosan szigorodó biztonsági jellemzői vannak. Az egyes szintekbe történő besorolás egyben a további kockázatelemzés egyik alapja is.
2. A biztonsági szintek
2.1. Az érintett szervezet biztonsági szintje 1., ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az elektronikus információbiztonsági folyamatának csak egyes elemei, és csak részleteiben szabályozottak, azaz:
2.1.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, valamint informatikai biztonsági szabályzat) szabályozzák;
2.1.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.1.3. az elektronikus információs rendszerek biztonsága kizárólag a rendszerekkel kapcsolatban álló egyének tudatosságán múlik;
2.1.4. az elektronikus információs rendszerek biztonságával megkésve, a biztonsági eseményekre reagálva foglalkoznak;
2.1.5. az elektronikus információs rendszerek biztonsági szintjét nem mérik;
2.1.6. az észlelt, biztonsággal kapcsolatos kötelezettségszegések esetén a felelős kiléte azért nem állapítható meg, mert a felelősségi körök nincsenek egyértelműen tisztázva;
2.1.7. a működtetett rendszer és a kezelt adatok védelme fizikai védelmi intézkedéseket nem igényelnek.
2.2. Az érintett szervezet biztonsági szintje 2., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az érintett szervezet informatikai folyamatai részben szabályozottak, azaz:
2.2.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat, valamint a tervezésre, beszerzésre, fejlesztésre, képzésre vonatkozó szakterületi belső előírások) szabályozzák;
2.2.2. az elektronikus információs rendszerek biztonságához kapcsolódó eljárások kialakítására törekednek, de ehhez sem megfelelő szaktudás, sem megfelelő eszközrendszer nem áll rendelkezésre;
2.2.3. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.2.4. az elektronikus információs rendszerek előállítanak a biztonságra vonatkozó információkat, de azokat a szervezet nem elemzi;
2.2.5. az elektronikus információs rendszerek biztonságára vonatkozó jelentések nem teljes körűek;
2.2.6. az elektronikus információs rendszerek biztonságát nem az érintett szervezet teljes körű biztonságának részeként, hanem elsősorban az informatika belső felelősségeként, területeként kezelik;
2.2.7. a fizikai beléptetés ellenőrzésén túlmenően a működtetett rendszer és a kezelt adatok védelme további fizikai védelmi intézkedéseket nem igényel.
2.3. Az érintett szervezet biztonsági szintje 3., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz:
2.3.1. az elektronikus információs rendszerek biztonsági eljárásait meghatározták, és azokat összehangolták az informatikai biztonságpolitikával, informatikai biztonsági stratégiával, és az informatikai biztonsági szabályzattal;
2.3.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket meghatározták, és azokat az érintettek ismerik és elfogadják;
2.3.3. a kockázatelemzés eredményeit figyelembe vették a biztonsági megoldások kidolgozásánál;
2.3.4. a biztonságirányítási célokat és mérési módszereket meghatározták, de még nem teljes körűen alkalmazzák;
2.3.5. eseti biztonsági tesztelést és sérülékenységi teszteket végeznek;
2.3.6. a biztonságtudatosságot megteremtették, és azt az érintett szervezet megköveteli, az informatikai és az általános szakmai területeken folynak biztonsági képzések, de azok ütemezése és a megtartása nem formalizált;
2.3.7. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a lehetséges fizikai károk ellen;
2.3.8. tartalék munkahelyek vannak kialakítva, vagy az érintett szervezet által meghatározottak szerint rendelkezésre állnak;
2.3.9. az elektronikus információs rendszerek fejlesztésénél törekednek az integrált elektronikus információs rendszer biztonsági értékelésére vagy tanúsítására.
2.4. Az érintett szervezet biztonsági szintje 4., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz:
2.4.1. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségi köröket egyértelműen meghatározták, a változásokat követik, és a felelősségi követelményeket betartatják;
2.4.2. a biztonsági kockázat- és hatáselemzés végrehajtása következetes;
2.4.3. a felhasználói azonosítás, hitelesítés és jogosultság engedélyezés szabványosított;
2.4.4. törekszenek arra, hogy a biztonsági auditálásért és irányításért felelős munkatársak elektronikus információs rendszerek biztonságához kapcsolódó szerepkör alapú szakmai képesítést szerezzenek meg;
2.4.5. a biztonság tesztelését szabványos és formális folyamatok felhasználásával végzik, amelyek eredményeképpen a biztonsági szintek javulnak;
2.4.6. az elektronikus információs rendszerek biztonsági folyamatait összehangolják a szervezet általános biztonsági funkcióival;
2.4.7. a biztonság tudatosítását elősegítő módszerek alkalmazása kötelező, az információbiztonsági képzést mind a szervezet általános szakmai, mind az informatikai részlegeinél megtartják;
2.4.8. a biztonságirányítás hatékonyságát mérik és nyilvántartják eredményeit;
2.4.9. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer egységeit védik a fizikai károk ellen;
2.4.10. tartalék munkahelyek kialakításával és az elektronikus információs rendszer elemeinek biztonságos elhelyezésével biztosítják a rendelkezésre állást;
2.4.11. a legalább 4. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek üzembeállítását megelőzi a teljes rendszer független, külső (úgynevezett fekete dobozos) sérülékenységvizsgálaton alapuló, pozitív eredményű (csak a szervezet által elfogadható maradványkockázatokat tartalmazó), legalább fokozott garanciaszintű rendszerértékelése vagy tanúsítása;
2.4.12. az elektronikus információs rendszer fejlesztésénél törekednek széleskörűen elterjedt, biztonsági szempontból értékelt termékek beszerzésére. A biztonsági funkciók beépítésének szükségét egyaránt figyelembe veszik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.
2.5. Az érintett szervezet biztonsági szintje 5., ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz:
2.5.1. az elektronikus információs rendszerek biztonsága a szakmai és az informatikai vezetés közös felelőssége, és a szervezeti biztonság az érintett szervezet szakmai célkitűzéseivel integrált;
2.5.2. az elektronikus információs rendszerek biztonsági követelményeit egyértelműen meghatározták, optimalizálták és beépítették a jóváhagyott rendszerbiztonsági tervbe;
2.5.3. a felelősség egyénre szabott a biztonsági követelmények meghatározásáért, betartásáért, és a biztonsági elvárásokat és funkciókat már az alkalmazási rendszerek tervezési szakaszában figyelembe veszik;
2.5.4. a rendkívüli biztonsági eseményekkel haladéktalanul, automatizált eszközökkel támogatott, formalizált, a rendkívüli helyzet kezelésére definiált eljárások segítségével foglalkoznak;
2.5.5. rendszeres biztonsági felméréseket végeznek a rendszerbiztonsági terv megvalósítása, és eredményességének értékelése céljából;
2.5.6. a fenyegetésekre és sebezhetőségekre vonatkozó információkat gyűjtik és elemzik,
2.5.7. a kockázatok elhárítására, vagy enyhítésére irányuló kontroll folyamatokat alkalmaznak, hatékonyságukat rendszeresen elemzik;
2.5.8. a biztonsági folyamatok folyamatos javítása érdekében felhasználják a biztonsági tesztelést, a rendkívüli biztonsági események feltáró elemzését;
2.5.9. a kockázatok felismerését aktívan kezdeményezik;
2.5.10. a rendszerbiztonsági terv folyamatos értékelés és elemzés alatt áll, a megfelelő adatok és információk figyelembevételével;
2.5.11. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a fizikai károk ellen, valamint tartalék munkahelyek kialakításával minimalizálják a lehetséges károkat;
2.5.12. a legalább 5. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek fejlesztésénél széleskörűen elterjedt, biztonsági szempontból értékelt termékeket szereznek be, integrálnak a rendszerbe, valamint az integrált rendszer független, külső és belső (fekete és fehér dobozos) sérülékenységvizsgálaton alapuló pozitív eredményű, kiemelt garanciaszintű rendszerértékelése vagy tanúsítása történik meg;
2.5.13. a biztonsági funkciók beépítését egyaránt megkövetelik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.
3. melléklet a 77/2013. (XII. 19.) NFM rendelethez
1. Besorolási útmutató
1.1. Általános rendelkezések
1.2. A megvalósítandó biztonsági intézkedéseket, és azok megvalósításának sorrendjét a kívánt biztonsági osztály (biztonsági szint) elérésére megalkotott intézkedési tervben kell meghatározni.
1.3. A sorszám rovatban a 4. melléklet "3. Védelmi intézkedés katalógus"-ának az adott számhoz rendelt intézkedésének a száma került feltüntetésre.
1.4. Az adminisztratív és fizikai védelmi intézkedések tekintetében az érintett szervezet elektronikus információs rendszerének biztonsági osztályát az 1-5. számozású oszlopok jelzik.
1.5. A logikai védelmi intézkedések követelményrendszerének kialakítása során az 1. melléklet 2. pontjára figyelemmel kell eljárni, és az elektronikus információs rendszert az információbiztonsági alapelveknek (bizalmasság, sértetlenség, rendelkezésre állás) megfelelően 2-5. osztályokba besorolni. Mivel a logikai védelmi intézkedések terén az 1. biztonsági osztály nem értelmezhető, az a táblázatban nem szerepel.
1.6. Bármely oszlopban
1.6.1. "0" jelzi, hogy a vízszintes sorban szereplő védelmi intézkedés ebben a biztonsági osztályban nem kötelező;
1.6.2. "X" jelzi, hogy a vízszintes sorban szereplő védelmi intézkedés ebben a biztonsági osztályban kötelező.
2. A 4. melléklet "3. Védelmi intézkedés katalógus"-ában jelölt védelmi intézkedések besorolásának táblázatai:
A) 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK
A | B | C | D | E | F | G | |
1. | Sorszám | Intézkedés típusa | Biztonsági osztály | ||||
2. | 1 | 2 | 3 | 4 | 5 | ||
3. | 3.1.1. | Szervezeti szintű alapfeladatok | |||||
4. | 3.1.1.1. | Informatikai biztonságpolitika | X | X | X | X | X |
5. | 3.1.1.2. | Informatikai biztonsági stratégia | X | X | X | X | X |
6. | 3.1.1.3. | Informatikai biztonsági szabályzat | X | X | X | X | X |
7. | 3.1.1.4. | Az elektronikus információs rendszerek biztonságáért felelős személy | X | X | X | X | X |
8. | 3.1.1.5. | Pénzügyi erőforrások biztosítása | 0 | X | X | X | X |
9. | 3.1.1.6. | Az intézkedési terv és mérföldkövei | 0 | X | X | X | X |
10. | 3.1.1.7. | Az elektronikus információs rendszerek nyilvántartása | X | X | X | X | X |
11. | 3.1.1.8. | A biztonsági teljesítmény mérése | 0 | 0 | X | X | X |
12. | 3.1.1.9. | Szervezeti szintű architektúra | 0 | 0 | X | X | X |
13. | 3.1.1.10. | Kockázatkezelési stratégia | 0 | X | X | X | X |
14. | 3.1.1.11. | Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás | X | X | X | X | X |
15. | 3.1.1.12. | Tesztelés, képzés és felügyelet | 0 | 0 | X | X | X |
16. | 3.1.1.13. | Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel | 0 | 0 | X | X | X |
17. | 3.1.2. | Kockázatelemzés | |||||
18. | 3.1.2.1. | Kockázatelemzési eljárásrend | X | X | X | X | X |
19. | 3.1.2.2. | Biztonsági osztályba sorolás | X | X | X | X | X |
20. | 3.1.2.3. | Kockázatelemzés | X | X | X | X | X |
21. | 3.1.2.4. | Sérülékenység teszt | 0 | 0 | X | X | X |
22. | 3.1.2.4.2. | Frissítési képesség | 0 | 0 | X | X | X |
23. | 3.1.2.4.3. | Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően | 0 | 0 | X | X | X |
24. | 3.1.2.4.4. | Privilegizált hozzáférés | 0 | 0 | X | X | X |
25. | 3.1.2.4.5. | Felfedhető információk | 0 | 0 | X | X | X |
26. | 3.1.3. | Tervezés | |||||
27. | 3.1.3.1. | Biztonságtervezési eljárásrend | 0 | X | X | X | X |
28. | 3.1.3.2. | Rendszerbiztonsági terv | 0 | X | X | X | X |
29. | 3.1.3.2.2. | Belső egyeztetés | 0 | 0 | X | X | X |
30. | 3.1.3.3. | Személyi biztonság | 0 | X | X | X | X |
31. | 3.1.3.3.2. | Viselkedési szabályok az interneten | 0 | X | X | X | X |
32. | 3.1.3.4. | Információbiztonsági architektúra leírás | 0 | 0 | 0 | X | X |
33. | 3.1.4. | Rendszer és szolgáltatás beszerzés | |||||
34. | 3.1.4.2. | Beszerzési eljárásrend | 0 | X | X | X | X |
35. | 3.1.4.3. | Erőforrás igény felmérés | 0 | 0 | X | X | X |
36. | 3.1.4.4. | A rendszer fejlesztési életciklusa | 0 | X | X | X | X |
37. | 3.1.4.5. | Beszerzések | 0 | 0 | X | X | X |
38. | 3.1.4.5.2. | A védelmi intézkedések funkcionális tulajdonságai | 0 | 0 | 0 | X | X |
39. | 3.1.4.5.3. | A védelmi intézkedések terv-, és megvalósítási dokumentációi | 0 | 0 | 0 | X | X |
40. | 3.1.4.5.4. | Funkciók - protokollok - szolgáltatások | 0 | 0 | 0 | X | X |
41. | 3.1.4.6. | Az elektronikus információs rendszerre vonatkozó dokumentáció | 0 | 0 | X | X | X |
42. | 3.1.4.7. | Biztonságtervezési elvek | 0 | 0 | 0 | X | X |
43. | 3.1.4.8. | Külső elektronikus információs rendszerek szolgáltatásai | 0 | X | X | X | X |
44. | 3.1.4.8.2. | Funkciók, portok, protokollok, szolgáltatások | 0 | 0 | 0 | X | X |
45. | 3.1.4.9. | Fejlesztői változáskövetés | 0 | 0 | 0 | X | X |
46. | 3.1.4.10. | Fejlesztői biztonsági tesztelés | 0 | 0 | 0 | X | X |
47. | 3.1.4.11. | A védelem szempontjainak érvényesítése a beszerzés során | 0 | 0 | 0 | 0 | X |
48. | 3.1.4.12. | Fejlesztési folyamat, szabványok és eszközök | 0 | 0 | 0 | 0 | X |
49. | 3.1.4.13. | Fejlesztői oktatás | 0 | 0 | 0 | 0 | X |
50. | 3.1.4.14. | Fejlesztői biztonsági architektúra és tervezés | 0 | 0 | 0 | 0 | X |
51. | 3.1.5. | Biztonsági elemzés | |||||
52. | 3.1.5.1. | Biztonságelemzési eljárásrend | 0 | 0 | X | X | X |
53. | 3.1.5.2. | Biztonsági értékelések | 0 | 0 | X | X | X |
54. | 3.1.5.2.3. | Független értékelők | 0 | 0 | 0 | X | X |
55. | 3.1.5.2.4. | Speciális értékelés | 0 | 0 | 0 | 0 | X |
56. | 3.1.5.3. | Az elektronikus információs rendszer kapcsolódásai | 0 | 0 | X | X | X |
57. | 3.1.5.3.2. | Külső kapcsolódásokra vonatkozó korlátozások | 0 | 0 | 0 | X | X |
58. | 3.1.5.4. | Cselekvési terv | 0 | 0 | X | X | X |
59. | 3.1.5.5. | Folyamatos ellenőrzés | 0 | 0 | X | X | X |
60. | 3.1.5.5.2. | Független értékelés | 0 | 0 | 0 | X | X |
61. | 3.1.5.6. | Belső rendszer kapcsolatok | 0 | 0 | X | X | X |
62. | 3.1.6. | Emberi tényezőket figyelembe vevő - személy - biztonság | |||||
63. | 3.1.6.2. | Személybiztonsági eljárásrend | 0 | 0 | X | X | X |
64. | 3.1.6.3. | Munkakörök, feladatok biztonsági szempontú besorolása | 0 | 0 | X | X | X |
65. | 3.1.6.4. | A személyek ellenőrzése | 0 | 0 | X | X | X |
66. | 3.1.6.5. | Eljárás a jogviszony megszűnésekor | X | X | X | X | X |
67. | 3.1.6.5.2. | Automatikus figyelmeztetés | 0 | 0 | 0 | 0 | X |
68. | 3.1.6.6. | Az áthelyezések, átirányítások és kirendelések kezelése | 0 | 0 | X | X | X |
69. | 3.1.6.7. | Az érintett szervezettel szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények | 0 | 0 | X | X | X |
70. | 3.1.6.8. | Fegyelmi intézkedések | X | X | X | X | X |
71. | 3.1.7. | Tudatosság és képzés | |||||
72. | 3.1.7.1. | Képzési eljárásrend | X | X | X | X | X |
73. | 3.1.7.2. | Biztonság tudatosság képzés | X | X | X | X | X |
74. | 3.1.7.2.2. | Belső fenyegetés | 0 | 0 | 0 | X | X |
75. | 3.1.7.3. | Szerepkör, vagy feladat alapú biztonsági képzés | 0 | 0 | X | X | X |
76. | 3.1.7.4 | A biztonsági képzésre vonatkozó dokumentációk | 0 | 0 | X | X | X |
B) 3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK
A | B | C | D | E | F | G | |
1. | Sorszám | Intézkedés típusa | Biztonsági osztály | ||||
2. | 1 | 2 | 3 | 4 | 5 | ||
3. | 3.2.1. | Fizikai és környezeti védelem | |||||
4. | 3.2.1.2. | Fizikai védelmi eljárásrend | 0 | X | X | X | X |
5. | 3.2.1.3. | Fizikai belépési engedélyek | 0 | X | X | X | X |
6. | 3.2.1.4. | A fizikai belépés ellenőrzése | 0 | X | X | X | X |
7. | 3.2.1.4.2. | Hozzáférés az információs rendszerhez | 0 | 0 | 0 | 0 | X |
8. | 3.2.1.5. | Hozzáférés az adatátviteli eszközökhöz és csatornákhoz | 0 | 0 | 0 | X | X |
9. | 3.2.1.6. | A kimeneti eszközök hozzáférés ellenőrzése | 0 | 0 | 0 | X | X |
10. | 3.2.1.7. | A fizikai hozzáférések felügyelete | 0 | 0 | X | X | X |
11. | 3.2.1.7.2. | Behatolás riasztás, felügyeleti berendezések | 0 | 0 | 0 | X | X |
12. | 3.2.1.7.3. | Az elektronikus információs rendszerekhez való hozzáférés felügyelete | 0 | 0 | 0 | 0 | X |
13. | 3.2.1.8. | A látogatók ellenőrzése | 0 | 0 | X | X | X |
14. | 3.2.1.8.2. | Automatizált látogatói információkezelés | 0 | 0 | 0 | 0 | X |
15. | 3.2.1.9. | Áramellátó berendezések és kábelezés | 0 | 0 | 0 | X | X |
16. | 3.2.1.10. | Vészkikapcsolás | 0 | 0 | 0 | X | X |
17. | 3.2.1.11. | Tartalék áramellátás | 0 | 0 | 0 | X | X |
18. | 3.2.1.11.2. | Hosszútávú tartalék áramellátás a minimálisan elvárt működési képességhez | 0 | 0 | 0 | 0 | X |
19. | 3.2.1.12. | Vészvilágítás | 0 | 0 | X | X | X |
20. | 3.2.1.13. | Tűzvédelem | 0 | 0 | X | X | X |
21. | 3.2.1.13.2. | Automatikus tűzelfojtás | 0 | 0 | 0 | X | X |
22. | 3.2.1.13.3. | Észlelő berendezések, rendszerek | 0 | 0 | 0 | 0 | X |
23. | 3.2.1.13.4. | Tűzelfojtó berendezések, rendszerek | 0 | 0 | 0 | 0 | X |
24. | 3.2.1.14. | Hőmérséklet és páratartalom ellenőrzés | 0 | 0 | X | X | X |
25. | 3.2.1.15. | Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem | 0 | 0 | X | X | X |
26. | 3.2.1.15.2. | Automatizált védelem | 0 | 0 | 0 | 0 | X |
27. | 3.2.1.16. | Be- és kiszállítás | 0 | 0 | X | X | X |
28. | 3.2.1.17. | Tartalék munkahelyszínek | 0 | 0 | 0 | X | X |
29. | 3.2.1.18. | Az elektronikus információs rendszer elemeinek elhelyezése | 0 | 0 | 0 | X | X |
C) 3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK
A | B | C | D | E | F | G | H | I | J | K | L | M | N | |
1. | Sorszám | Intézkedés típusa | Alapelvek | |||||||||||
2. | Bizalmasság | Sértetlenség | Rendelkezésre állás | |||||||||||
3. | Biztonsági osztályok | |||||||||||||
4. | 2 | 3 | 4 | 5 | 2 | 3 | 4 | 5 | 2 | 3 | 4 | 5 | ||
5. | 3.3.1. | Konfigurációkezelés | ||||||||||||
6. | 3.3.1.1. | Konfigurációkezelési eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
7. | 3.3.1.2. | Alapkonfiguráció | X | X | X | X | X | X | X | X | X | X | X | X |
8. | 3.3.1.2.2. | Áttekintések és frissítések | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
9. | 3.3.1.2.3. | Korábbi konfigurációk megőrzése | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
10. | 3.3.1.2.4. | Magas kockázatú területek konfigurálása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
11. | 3.3.1.2.5. | Automatikus támogatás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
12. | 3.3.1.3. | A konfigurációváltozások felügyelete (változáskezelés) | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
13. | 3.3.1.3.2. | Előzetes tesztelés és megerősítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | X | X | X |
14. | 3.3.1.3.3. | Automatikus támogatás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
15. | 3.3.1.4. | Biztonsági hatásvizsgálat | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
16. | 3.3.1.4.2. | Elkülönített teszt környezet | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
17. | 3.3.1.5. | A változtatásokra vonatkozó hozzáférés korlátozások | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
18. | 3.3.1.5.2. | Automatikus támogatás | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
19. | 3.3.1.5.3. | Felülvizsgálat | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
20. | 3.3.1.5.4. | Aláírt elemek | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
21. | 3.3.1.6. | Konfigurációs beállítások | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
22. | 3.3.1.6.2. | Automatikus támogatás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
23. | 3.3.1.6.3. | Reagálás jogosulatlan változásokra | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
24. | 3.3.1.7. | Legszűkebb funkcionalitás | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
25. | 3.3.1.7.2. | Rendszeres felülvizsgálat | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
26. | 3.3.1.7.3. | Nem futtatható szoftverek | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 |
27. | 3.3.1.7.4. | Futtatható szoftverek | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
28. | 3.3.1.8. | Elektronikus információs rendszerelem leltár | X | X | X | X | X | X | X | X | X | X | X | X |
29. | 3.3.1.8.2. | Frissítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
30. | 3.3.1.8.3. | Jogosulatlan elemek automatikus észlelése | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
31. | 3.3.1.8.4. | Duplikálás elleni védelem | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
32. | 3.3.1.8.5. | Automatikus támogatás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
33. | 3.3.1.8.6. | Naplózás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
34. | 3.3.1.9. | Konfigurációkezelési terv | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
35. | 3.3.1.10. | A szoftverhasználat korlátozásai | X | X | X | X | X | X | X | X | X | X | X | X |
36. | 3.3.1.11. | A felhasználó által telepített szoftverek | X | X | X | X | X | X | X | X | X | X | X | X |
37. | 3.3.2. | Üzletmenet (ügymenet) folytonosság tervezése | ||||||||||||
38. | 3.3.2.1. | Üzletmenet folytonosságra vonatkozó eljárásrend | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X | X | X |
39. | 3.3.2.2. | Üzletmenet folytonossági terv informatikai erőforrás kiesésekre | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X | X | X |
40. | 3.3.2.2.2. | Egyeztetés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
41. | 3.3.2.2.3. | Alapfunkciók újraindítása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
42. | 3.3.2.2.4. | Kritikus rendszerelemek meghatározása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
43. | 3.3.2.2.5. | Kapacitástervezés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
44. | 3.3.2.2.6. | Összes funkció újraindítása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
45. | 3.3.2.2.7. | Alapfeladatok és alapfunkciók folyamatossága | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
46. | 3.3.2.3. | A folyamatos működésre felkészítő képzés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X | X |
47. | 3.3.2.3.2. | Szimuláció | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
48. | 3.3.2.4. | Az üzletmenet-folytonossági terv tesztelése | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
49. | 3.3.2.4.2. | Koordináció | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
50. | 3.3.2.4.3. | Tartalék feldolgozási helyszín | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
51. | 3.3.2.5. | Biztonsági tárolási helyszín | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
52. | 3.3.2.5.2. | Elkülönítés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
53. | 3.3.2.5.3. | Üzletmenet-folytonosság elérhetőség | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
54. | 3.3.2.5.4. | Üzletmenet-folytonosság helyreállítás | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
55. | 3.3.2.6. | Tartalék feldolgozási helyszín | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
56. | 3.3.2.6.2. | Elkülönítés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
57. | 3.3.2.6.3. | Elérhetőség | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
58. | 3.3.2.6.4. | Szolgáltatások priorálása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
59. | 3.3.2.6.5. | Előkészület a működés megindítására | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
60. | 3.3.2.7. | Infokommunikációs szolgáltatások | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
61. | 3.3.2.7.2. | Szolgáltatások prioritása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
62. | 3.3.2.7.3. | Közös hibalehetőségek kizárása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
63. | 3.3.2.8. | Az elektronikus információs rendszer mentései | 0 | 0 | 0 | 0 | X | X | X | X | X | X | X | X |
64. | 3.3.2.8.2. | Megbízhatósági és sértetlenségi teszt | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
65. | 3.3.2.8.3. | Helyreállítási teszt | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
66. | 3.3.2.8.4. | Kritikus információk elkülönítése | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
67. | 3.3.2.8.5. | Alternatív tárolási helyszín | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
68. | 3.3.2.9. | Az elektronikus információs rendszer helyreállítása és újraindítása | 0 | 0 | 0 | 0 | X | X | X | X | X | X | X | X |
69. | 3.3.2.9.2. | Tranzakciók helyreállítása | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | X | X |
70. | 3.3.2.9.3. | Helyreállítási idő | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X |
71. | 3.3.3. | Karbantartás | ||||||||||||
72. | 3.3.3.1. | Rendszer karbantartási eljárásrend | 0 | 0 | 0 | 0 | X | X | X | X | X | X | X | X |
73. | 3.3.3.2. | Rendszeres karbantartás | 0 | 0 | 0 | 0 | X | X | X | X | X | X | X | X |
74. | 3.3.3.2.2. | Automatikus támogatás | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
75. | 3.3.3.3. | Karbantartási eszközök | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | X | X |
76. | 3.3.3.3.2. | Ellenőrzés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | X | X |
77. | 3.3.3.3.3. | Adathordozó ellenőrzés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | X | X |
78. | 3.3.3.3.4. | Szállítási felügyelet | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
79. | 3.3.3.4. | Távoli karbantartás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
80. | 3.3.3.4.2. | Dokumentálás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
81. | 3.3.3.4.3. | Összehasonlítható biztonság | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
82. | 3.3.3.5. | Karbantartók | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
83. | 3.3.3.5.2. | Karbantartás fokozott biztonsági intézkedésekkel | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
84. | 3.3.3.6. | Időben történő javítás | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
85. | 3.3.4. | Adathordozók védelme | ||||||||||||
86. | 3.3.4.1. | Adathordozók védelmére vonatkozó eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
87. | 3.3.4.2. | Hozzáférés az adathordozókhoz | X | X | X | X | X | X | X | X | X | X | X | X |
88. | 3.3.4.3. | Adathordozók címkézése | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
89. | 3.3.4.4. | Adathordozók tárolása | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
90. | 3.3.4.5. | Adathordozók szállítása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
91. | 3.3.4.5.2. | Kriptográfiai védelem | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
92. | 3.3.4.6. | Adathordozók törlése | X | X | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
93. | 3.3.4.6.2. | Ellenőrzés | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
94. | 3.3.4.6.3. | Tesztelés | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
95. | 3.3.4.6.4. | Törlés megsemmisítés nélkül | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
96. | 3.3.4.7. | Adathordozók használata | X | X | X | X | X | X | X | X | X | X | X | X |
97. | 3.3.4.7.2. | Ismeretlen tulajdonos | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
98. | 3.3.5. | Azonosítás és hitelesítés | ||||||||||||
99. | 3.3.5.1. | Azonosítási és hitelesítési eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
100. | 3.3.5.2. | Azonosítás és hitelesítés | X | X | X | X | X | X | X | X | X | X | X | X |
101. | 3.3.5.2.2. | Hálózati hozzáférés privilegizált fiókokhoz | 0 | X | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
102. | 3.3.5.2.3. | Hálózati hozzáférés nem privilegizált fiókokhoz | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
103. | 3.3.5.2.4. | Helyi hozzáférés privilegizált fiókokhoz | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
104. | 3.3.5.2.5. | Visszajátszás-védelem | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
105. | 3.3.5.2.6. | Távoli hozzáférés - külön eszköz | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
106. | 3.3.5.2.7. | Helyi hozzáférés nem privilegizált fiókokhoz | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
107. | 3.3.5.2.8. | Visszajátszás ellen védett hálózati hozzáférés nem privilegizált fiókokhoz | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
108. | 3.3.5.3. | Eszközök azonosítása és hitelesítése | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
109. | 3.3.5.4. | Azonosító kezelés | X | X | X | X | X | X | X | X | X | X | X | X |
110. | 3.3.5.5. | A hitelesítésre szolgáló eszközök kezelése | X | X | X | X | X | X | X | X | X | X | X | X |
111. | 3.3.5.5.2. | Jelszó (tudás) alapú hitelesítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
112. | 3.3.5.5.3. | Birtoklás alapú hitelesítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
113. | 3.3.5.5.4. | Tulajdonság alapú hitelesítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
114. | 3.3.5.5.5. | Személyes vagy megbízható harmadik fél általi regisztráció | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
115. | 3.3.5.6. | A hitelesítésre szolgáló eszköz visszacsatolása | X | X | X | X | X | X | X | X | X | X | X | X |
116. | 3.3.5.7. | Hitelesítés kriptográfiai modul esetén | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
117. | 3.3.5.8. | Azonosítás és hitelesítés (szervezeten kívüli felhasználók) | X | X | X | X | X | 0 | X | X | X | X | X | X |
118. | 3.3.5.8.2. | Hitelesítésszolgáltatók tanúsítványának elfogadása | 0 | X | X | X | X | X | X | X | X | X | X | X |
119. | 3.3.6. | Hozzáférés ellenőrzése |
120. | 3.3.6.1. | Hozzáférés ellenőrzési eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
121. | 3.3.6.2. | Felhasználói fiókok kezelése | X | X | X | X | X | X | X | X | X | X | X | X |
122. | 3.3.6.2.2. | Automatikus kezelés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
123. | 3.3.6.2.3. | Ideiglenes fiókok eltávolítása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
124. | 3.3.6.2.4. | Inaktív fiókok letiltása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
125. | 3.3.6.2.5. | Automatikus naplózás | 0 | 0 | X | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
126. | 3.3.6.2.6. | Kiléptetés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
127. | 3.3.6.2.7. | Szokatlan használat | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
128. | 3.3.6.2.8. | Letiltás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
129. | 3.3.6.3. | Hozzáférés ellenőrzés érvényesítése | X | X | X | X | X | X | X | X | X | X | X | X |
130. | 3.3.6.4. | Információáramlás ellenőrzés érvényesítése | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
13.1 | 3.3.6.5. | A felelősségek szétválasztása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
132. | 3.3.6.6. | Legkisebb jogosultság elve | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
133. | 3.3.6.6.2. | Jogosult hozzáférés a biztonsági funkciókhoz | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
134. | 3.3.6.6.3. | Nem privilegizált hozzáférés a biztonsági funkciókhoz | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
135. | 3.3.6.6.4. | Privilegizált fiókok | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
136. | 3.3.6.6.5. | Privilegizált funkciók használatának naplózása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
137. | 3.3.6.6.6. | Privilegizált funkciók tiltása nem privilegizált felhasználóknak | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
138. | 3.3.6.6.7. | Hálózati hozzáférés a privilegizált parancsokhoz | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
139. | 3.3.6.7. | Sikertelen bejelentkezési kísérletek | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
140. | 3.3.6.8. | A rendszerhasználat jelzése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
141. | 3.3.6.9. | Egyidejű munkaszakasz kezelés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
142. | 3.3.6.10. | A munkaszakasz zárolása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
143. | 3.3.6.10.2. | Képernyőtakarás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
144. | 3.3.6.11. | A munkaszakasz lezárása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
145. | 3.3.6.12. | Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek | X | X | X | X | X | X | X | X | X | X | X | X |
146. | 3.3.6.13. | Távoli hozzáférés | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
147. | 3.3.6.13.2. | Ellenőrzés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
148. | 3.3.6.13.3. | Titkosítás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
149. | 3.3.6.13.4. | Hozzáférés ellenőrzési pontok | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
150. | 3.3.6.13.5. | Privilegizált parancsok elérése | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
151. | 3.3.6.14. | Vezeték nélküli hozzáférés | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
152. | 3.3.6.14.2. | Hitelesítés és titkosítás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
153. | 3.3.6.14.3. | Felhasználó konfigurálás tiltása | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
154. | 3.3.6.14.4. | Antennák | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
155. | 3.3.6.15. | Mobil eszközök hozzáférés ellenőrzése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
156. | 3.3.6.15.2. | Titkosítás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
157. | 3.3.6.16. | Külső elektronikus információs rendszerek használata | X | X | X | X | X | X | X | X | X | X | X | X |
158. | 3.3.6.16.2. | Korlátozott használat | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
159. | 3.3.6.16.3. | Hordozható adattároló eszközök | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
160. | 3.3.6.17. | Információmegosztás | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
161. | 3.3.6.18. | Nyilvánosan elérhető tartalom | X | X | X | X | X | X | X | X | X | X | X | X |
162. | 3.3.7. | Rendszer- és információsértetlenség | ||||||||||||
163. | 3.3.7.1. | Rendszer- és információsértetlenségre vonatkozó eljárásrend | 0 | 0 | 0 | 0 | X | X | X | X | 0 | 0 | 0 | 0 |
164. | 3.3.7.3. | Hibajavítás | 0 | 0 | 0 | 0 | X | X | X | X | 0 | 0 | 0 | 0 |
165. | 3.3.7.3.2. | Automatizált hibajavítási állapot | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
166. | 3.3.7.3.3. | Központi kezelés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
167. | 3.3.7.4. | Kártékony kódok elleni védelem | X | X | X | X | X | X | X | X | X | X | X | X |
168. | 3.3.7.4.2. | Központi kezelés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
169. | 3.3.7.4.3. | Automatikus frissítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
170. | 3.3.7.5. | Az elektronikus információs rendszer felügyelete | X | X | X | X | X | X | X | X | X | X | X | X |
171. | 3.3.7.5.2. | Automatizálás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
172. | 3.3.7.5.3. | Felügyelet | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
173. | 3.3.7.5.4. | Riasztás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
174. | 3.3.7.6. | Biztonsági riasztások és tájékoztatások | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
175. | 3.3.7.6.2. | Automatikus riasztások | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
176. | 3.3.7.7. | A biztonsági funkcionalitás ellenőrzése | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
177. | 3.3.7.8. | Szoftver- és információsértetlenség | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
178. | 3.3.7.8.2. | Sértetlenség ellenőrzés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
179. | 3.3.7.8.3. | Észlelés és reagálás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
180. | 3.3.7.8.4. | Automatikus értesítés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
181. | 3.3.7.8.5. | Automatikus reagálás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
182. | 3.3.7.8.6. | Végrehajtható kód | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
183. | 3.3.7.9. | Kéretlen üzenetek elleni védelem | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
184. | 3.3.7.9.2. | Központi kezelés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
185. | 3.3.7.9.3. | Frissítés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
186. | 3.3.7.10. | Bemeneti információ ellenőrzés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
187. | 3.3.7.11. | Hibakezelés | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
188. | 3.3.7.12. | A kimeneti információ kezelése és megőrzése | X | X | X | X | X | X | X | X | 0 | 0 | 0 | 0 |
189. | 3.3.7.13. | Memóriavédelem | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
190. | 3.3.8. | Naplózás és elszámoltathatóság | ||||||||||||
191. | 3.3.8.1. | Naplózási eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
192. | 3.3.8.2. | Naplózható események | X | X | X | X | X | X | X | X | X | X | X | X |
193. | 3.3.8.2.2. | Felülvizsgálat | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
194. | 3.3.8.3. | Naplóbejegyzések tartalma | X | X | X | X | X | X | X | X | X | X | X | X |
195. | 3.3.8.3.2. | Kiegészítő információk | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
196. | 3.3.8.3.3. | Központi kezelés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
197. | 3.3.8.4. | Napló tárkapacitás | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
198. | 3.3.8.5. | Naplózási hiba kezelése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
199. | 3.3.8.5.2. | Naplózási tárhely ellenőrzés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
200. | 3.3.8.5.3. | Valósidejű riasztás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
201. | 3.3.8.6. | Naplóvizsgálat és jelentéskészítés | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
202. | 3.3.8.6.2. | Folyamatba illesztés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
203. | 3.3.8.6.3. | Összegzés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
204. | 3.3.8.6.4. | Felügyeleti képességek integrálása | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
205. | 3.3.8.6.5. | Összekapcsolás a fizikai hozzáférési információkkal | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
206. | 3.3.8.7. | Naplócsökkentés és jelentéskészítés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
207. | 3.3.8.7.2. | Automatikus feldolgozás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
208. | 3.3.8.8. | Időbélyegek | X | X | X | X | X | X | X | X | X | X | X | X |
209. | 3.3.8.8.2. | Szinkronizálás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
210. | 3.3.8.9. | A naplóinformációk védelme | X | X | X | X | X | X | X | X | X | X | X | X |
211. | 3.3.8.9.2. | Hozzáférés korlátozása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | X | X |
212. | 3.3.8.9.3. | Fizikailag elkülönített mentés | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
213. | 3.3.8.9.4. | Kriptográfiai védelem | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | 0 | 0 | 0 | 0 |
214. | 3.3.8.10. | Letagadhatatlanság | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
215. | 3.3.8.11. | A naplóbejegyzések megőrzése | X | X | X | X | X | X | X | X | X | X | X | X |
216. | 3.3.8.12. | Naplógenerálás | X | X | X | X | X | X | X | X | X | X | X | X |
217. | 3.3.8.12.2. | Rendszerszintű időalap napló | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
218. | 3.3.8.12.3. | Változtatások | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
219. | 3.3.9. | Rendszer- és kommunikációvédelem | ||||||||||||
220. | 3.3.9.1. | Rendszer- és kommunikációvédelmi eljárásrend | X | X | X | X | X | X | X | X | X | X | X | X |
221. | 3.3.9.2. | Alkalmazás szétválasztás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
222. | 3.3.9.3. | Biztonsági funkciók elkülönítése | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
223. | 3.3.9.4. | Információmaradványok | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
224. | 3.3.9.5. | Túlterhelés - szolgáltatás megtagadás alapú támadás - elleni védelem | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X | X |
225. | 3.3.9.6. | A határok védelme | X | X | X | X | X | X | X | X | X | X | X | X |
226. | 3.3.9.6.2. | Hozzáférési pontok | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
227. | 3.3.9.6.3. | Külső kommunikációs szolgáltatások | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
228. | 3.3.9.6.4. | Alapeseti visszautasítás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
229. | 3.3.9.6.5. | Távoli készülékek megosztott csatornahasználatának tiltása | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | X | X |
230. | 3.3.9.6.6. | Hitelesített proxy kiszolgálók | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
231. | 3.3.9.6.7. | Biztonsági hibaállapot | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
232. | 3.3.9.6.8. | Rendszerelemek elkülönítése | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
233. | 3.3.9.7. | Az adatátvitel bizalmassága | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
234. | 3.3.9.7.2. | Kriptográfiai vagy egyéb védelem | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
235. | 3.3.9.8. | Az adatátvitel sértetlensége | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
236. | 3.3.9.8.2. | Kriptográfiai vagy egyéb védelem | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
237. | 3.3.9.9. | A hálózati kapcsolat megszakítása | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | X | X |
238. | 3.3.9.10. | Kriptográfiai kulcs előállítása és kezelése | X | X | X | X | X | X | X | X | X | X | X | X |
239. | 3.3.9.10.2. | Rendelkezésre állás | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
240. | 3.3.9.11. | Kriptográfiai védelem | X | X | X | X | X | X | X | X | 0 | 0 | 0 | 0 |
241. | 3.3.9.12. | Együttműködésen alapuló számítástechnikai eszközök | X | X | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
242. | 3.3.9.13. | Nyilvános kulcsú infrastruktúra tanúsítványok | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
243. | 3.3.9.14. | Mobilkód korlátozása | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
244. | 3.3.9.15. | Elektronikus Információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) | 0 | 0 | X | X | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
245. | 3.3.9.16. | Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) | 0 | 0 | 0 | 0 | 0 | X | X | X | 0 | 0 | 0 | 0 |
246. | 3.3.9.17. | Biztonságos név/cím feloldó szolgáltatás (úgynevezett rekurzív vagy gyorsító tárat használó feloldás) | 0 | 0 | 0 | 0 | 0 | X | X | X | 0 | 0 | 0 | 0 |
247. | 3.3.9.18. | Architektúra és tartalékok név/cím feloldási szolgáltatás esetén | 0 | 0 | 0 | 0 | 0 | X | X | X | 0 | 0 | 0 | 0 |
248. | 3.3.9.19. | Munkaszakasz hitelessége | 0 | 0 | 0 | 0 | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
249. | 3.3.9.20. | Hibát követő ismert állapot | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
250. | 3.3.9.21. | A maradvány információ védelme | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | 0 | 0 |
251. | 3.3.9.22. | A folyamatok elkülönítése | X | X | X | X | X | X | X | X | 0 | 0 | 0 | 0 |
252. | 3.3.10. | Reagálás a biztonsági eseményekre | ||||||||||||
253. | 3.3.10.1. | Biztonsági eseménykezelési eljárásrend | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
254. | 3.3.10.2. | Képzés a biztonsági események kezelésére | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
255. | 3.3.10.2.2. | Szimuláció | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
256. | 3.3.10.2.3. | Automatizált képzési környezet | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
257. | 3.3.10.3. | A biztonsági események kezelésének tesztelése | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
258. | 3.3.10.3.2. | Egyeztetés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
259. | 3.3.10.4. | A biztonsági események kezelése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
260. | 3.3.10.4.2. | Automatikus eseménykezelés | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
261. | 3.3.10.4.3. | Információ korreláció | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
262. | 3.3.10.5. | A biztonsági események figyelése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
263. | 3.3.10.5.2. | Automatikus nyomon követés, adatgyűjtés és vizsgálat | 0 | 0 | 0 | X | 0 | 0 | 0 | X | 0 | 0 | 0 | X |
264. | 3.3.10.6. | A biztonsági események jelentése | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
265. | 3.3.10.6.2 | Automatizált jelentés | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
266. | 3.3.10.7. | Segítségnyújtás a biztonsági események kezeléséhez | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
267. | 3.3.10.7.2. | Automatizált támogatás | 0 | 0 | X | X | 0 | 0 | X | X | 0 | 0 | X | X |
268. | 3.3.10.8. | Biztonsági eseménykezelési terv | 0 | X | X | X | 0 | X | X | X | 0 | X | X | X |
4. melléklet a 77/2013. (XII. 19.) NFM rendelethez
AZ ADMINISZTRATÍV, FIZIKAI ÉS LOGIKAI BIZTONSÁGI KÖVETELMÉNYEK
1. ELTÉRÉSEK
1.1. Általános követelmények
Az érintett szervezetnek az alábbi lehetséges eltérésekkel és helyettesítő intézkedésekkel lehet teljesítenie a 3. pont szerinti védelmi intézkedés katalógusban meghatározott minimális követelményeket, a rendszerre meghatározott biztonsági kockázati szintnek megfelelő intézkedések kiválasztásával, amellett, hogy az érintett szervezetre érvényes minden kötelezettséget figyelembe kell venni.
1.2. Egyedi eltérések
1.2.1. Működtetéssel, környezettel kapcsolatos eltérések:
1.2.1.1. A működtetési környezet jellegétől függő biztonsági intézkedések csak akkor alkalmazandók, ha az elektronikus információs rendszert az intézkedéseket szükségessé tevő környezetben használják.
1.2.2. A fizikai infrastruktúrával kapcsolatos eltérések:
1.2.2.1. A szervezeti létesítményekkel kapcsolatos biztonsági intézkedések (zárak, őrök, környezeti paraméterek: hőmérséklet, páratartalom stb.) csak a létesítmény azon részeire alkalmazandók, amelyek közvetlenül nyújtanak védelmet vagy biztonsági támogatást az elektronikus információs rendszernek, vagy kapcsolatosak azzal (ideértve a rendszerelemeket is, mint például e-mail, web szerverek, szerver farmok, adatközpontok, hálózati csomópontok, határvédelmi eszközök és kommunikációs berendezések).
1.2.3. A nyilvános hozzáféréssel kapcsolatos eltérések:
1.2.3.1. A nyilvánosan hozzáférhető információkra vonatkozó biztonsági intézkedéseket körültekintően kell számba venni, és végrehajtani, mivel a vonatkozó védelmi intézkedés katalógus rész egyes biztonsági intézkedései (például azonosítás és hitelesítés, személyi biztonsági intézkedések) nem alkalmazhatók az elektronikus információs rendszerhez engedélyezett nyilvános kapcsolaton keresztül hozzáférő felhasználókra.
1.2.4. Technológiai eltérések:
1.2.4.1. A specifikus technológiára (például vezeték nélküli kommunikáció, kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési eljárás) vonatkozó biztonsági intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben, vagy előírják ezek használatát.
1.2.4.2. A biztonsági intézkedések az elektronikus információs rendszer csak azon komponenseire vonatkoznak, amelyek az intézkedés által megcélzott biztonsági képességet biztosítják vagy támogatják, és az intézkedés által csökkenteni kívánt lehetséges kockázatok forrásai.
1.2.5. Biztonsági politikával, szabályozással kapcsolatos eltérések:
1.2.5.1. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is.
1.2.6. A biztonsági intézkedések bevezetésének fokozatosságával kapcsolatos eltérések:
1.2.6.1. A biztonsági intézkedések fokozatosan vezethetők be. A fokozatosságot a védendő elektronikus információs rendszerek biztonsági kategorizálása alapján lehet felállítani.
1.2.7. A biztonsági célokhoz kapcsolódó eltérések:
1.2.7.1. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás:
1.2.7.1.1. összhangban van a vonatkozó bizalmasságra, sértetlenségre vagy rendelkezésre állásra vonatkozóan az úgynevezett "high water mark" elv alkalmazása előtt megállapított biztonsági szinttel, amely elv az információbiztonság szempontjából azt jelenti, hogy a legmagasabb biztonsági célhoz kell hangolni minden elemet;
1.2.7.1.2. a "high water mark" elv alkalmazásával az eredeti bizalmassági, sértetlenségi és rendelkezésre állási biztonsági célokat meghaladó, magasabb biztonsági intézkedés szint meghatározás történt, de ez a magasabb biztonsági intézkedési szint nem szükséges a költséghatékony, kockázatarányos biztonsági intézkedések szempontjából;
1.2.7.1.3. az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;
1.2.7.1.4. nem befolyásolja a biztonsági szempontból fontos információkat az elektronikus információs rendszeren belül.
2. HELYETTESÍTŐ BIZTONSÁGI INTÉZKEDÉSEK
2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést.
2.2. Egy elektronikus információs rendszer esetén az érintett szervezet az alábbi feltételek teljesülése esetén alkalmazhat helyettesítő intézkedést:
2.2.1. ha az elektronikus információs rendszerek biztonságára vonatkozó szabványokban, vagy hazai ajánlásokban fellelhető helyettesítő intézkedést választja, vagy ha ezekben nincs megfelelő helyettesítő intézkedés, akkor az érintett szervezet kivételesen alkalmazhat egy, az adott helyzetben megfelelő helyettesítő intézkedést;
2.2.2. a helyettesítő intézkedések kiválasztásánál az érintett szervezetnek törekednie kell arra, hogy a védelmi intézkedés katalógusból válasszon intézkedést; az érintett szervezet által meghatározott helyettesítő intézkedéseket csak végső esetben szabad használni, amennyiben a biztonsági intézkedések katalógusa nem tartalmaz az adott viszonyok között alkalmazható intézkedést;
2.2.3. a vonatkozó szabályozásában be kell mutatnia, hogy a helyettesítő intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, védelmi szintjét, és azt, hogy miért nem használhatók a vonatkozó alapkészlet biztonsági intézkedései;
2.2.4. a 2.2.3. pont szerinti indoklás részletezettségének és szigorúságának az elektronikus információs rendszerre megállapított biztonsági szintnek megfelelőnek kell lennie;
2.2.5. ha felméri és a kockázatkezelési eljárási rendnek megfelelően elfogadja a helyettesítő intézkedés alkalmazásával kapcsolatos kockázatot;
2.2.6. a helyettesítő biztonsági intézkedések alkalmazását dokumentálja, és az eljárási rendnek megfelelően az érintett személlyel, vagy szerepkörrel jóváhagyatja.
3. VÉDELMI INTÉZKEDÉS KATALÓGUS
3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK
3.1.1. SZERVEZETI SZINTŰ ALAPFELADATOK
3.1.1.1. Informatikai biztonságpolitika
3.1.1.1.1. Az érintett szervezet:
3.1.1.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az informatikai biztonságpolitikát;
3.1.1.1.1.2. belső szabályozásában, vagy magában az informatikai biztonságpolitikáról szóló dokumentumban meghatározza az informatikai biztonságpolitika felülvizsgálatának és frissítésének gyakoriságát.
3.1.1.1.2. Elvárás:
3.1.1.1.2.1. meg kell határozni a kiberbiztonsági célokat, fel kell állítani az informatikai biztonságpolitika szervezeti szempontú alapelveit;
3.1.1.1.2.2. be kell mutatni az érintett szervezet vezető beosztású tagjainak elkötelezettségét a biztonsági feladatok irányítására és támogatására;
3.1.1.1.2.3. ki kell fejteni az érintett szervezetben alkalmazott biztonsági alapelveket és megfelelőségi követelményeket.
3.1.1.2. Informatikai biztonsági stratégia
3.1.1.2.1. Az érintett szervezet:
3.1.1.2.1.1. megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely meghatározza a biztonságpolitikai célok megvalósításának módszerét, eszközrendszerét, ütemezését;
3.1.1.2.1.2. belső szabályozásában, vagy magában az informatikai biztonsági stratégiában meghatározza az informatikai biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát;
3.1.1.2.1.3. gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, módosítható.
3.1.1.2.2. Elvárás:
3.1.1.2.2.1. az informatikai biztonsági stratégia rövid-, közép- és hosszútávú célokat tűz ki;
3.1.1.2.2.2. az informatikai biztonsági stratégia illeszkedik az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.
3.1.1.3. Informatikai biztonsági szabályzat
3.1.1.3.1. Az érintett szervezet:
3.1.1.3.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az informatikai biztonsági szabályzatot;
3.1.1.3.1.2. más belső szabályozásában, vagy magában az informatikai biztonsági szabályzatban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát;
3.1.1.3.1.3. gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, módosítható.
3.1.1.3.2. Az informatikai biztonsági szabályzatban meg kell határozni:
3.1.1.3.2.1. a célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően területi) hatályát;
3.1.1.3.2.2. az elektronikus információbiztonsággal kapcsolatos szerepköröket;
3.1.1.3.2.3. a szerepkörhöz rendelt tevékenységet;
3.1.1.3.2.4. a tevékenységhez kapcsolódó felelősséget;
3.1.1.3.2.5. az információbiztonság szervezetrendszerének belső együttműködését.
3.1.1.3.3. Az informatikai biztonsági szabályzat elsősorban a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza:
3.1.1.3.3.1. kockázatelemzés (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz);
3.1.1.3.3.2. biztonsági helyzet-, és eseményértékelés eljárási rendje;
3.1.1.3.3.3. az elektronikus információs rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzés (amennyiben az érintett szervezet ilyet végez, vagy végezhet);
3.1.1.3.3.4. biztonsággal kapcsolatos tervezés (például: beszerzés, fejlesztés, eljárásrendek kialakítását);
3.1.1.3.3.5. fizikai és környezeti védelem szabályai, jellemzői;
3.1.1.3.3.6. az emberi erőforrásokban rejlő veszélyek megakadályozása (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.);
3.1.1.3.3.7. az informatikai biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak, munkavállalóinak, megbízottjainak tekintetében;
3.1.1.3.3.8. az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatok, elvárások, jogok (amennyiben az érintett szervezetnél ez értelmezhető);
3.1.1.3.3.9. üzlet-, ügy- vagy üzemmenet folytonosság tervezése (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.);
3.1.1.3.3.10. az elektronikus információs rendszerek karbantartásának rendje;
3.1.1.3.3.11. az adathordozók fizikai és logikai védelmének szabályozása;
3.1.1.3.3.12. az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárás, és a hozzáférési szabályok betartásának ellenőrzése;
3.1.1.3.3.13. amennyiben az érintett szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelése, az értékelés eredményétől függő eljárások meghatározása;
3.1.1.3.3.14. az adatok mentésének, archiválásának rendje,
3.1.1.3.3.15. a biztonsági események - ideértve az adatok sérülését is - bekövetkeztekor követendő eljárás, ideértve a helyreállítást;
3.1.1.3.3.16. az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét szabályozó (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az elektronikus információbiztonságot érintő, szerződéskötés során érvényesítendő követelmények.
3.1.1.3.4. Az informatikai biztonsági szabályzat tartalmazza az érintett szervezet elvárt biztonsági szintjét, valamint az érintett szervezet egyes elektronikus információs rendszereinek elvárt biztonsági osztályát.
3.1.1.4. Az elektronikus információs rendszerek biztonságáért felelős személy
3.1.1.4.1. Az érintett szervezet vezetője az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki:
3.1.1.4.1.1. azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági vezetővel;
3.1.1.4.1.2. ellátja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 13. §-ában meghatározott feladatokat.
3.1.1.5. Pénzügyi erőforrások biztosítása
3.1.1.5.1. Az érintett szervezet:
3.1.1.5.1.1. költségvetés tervezés, és a beruházások, beszerzések során tervezi az informatikai biztonsági stratégia megvalósításához szükséges forrásokat, dokumentálja e követelmény alá eső kivételeket;
3.1.1.5.1.2. intézkedik a terveknek megfelelő kiadásokhoz szükséges erőforrások rendelkezésre állásának biztosítása iránt.
3.1.1.6. Az intézkedési terv és mérföldkövei
3.1.1.6.1. Az érintett szervezet:
3.1.1.6.1.1. intézkedési tervet készít az elektronikus információbiztonsági stratégia megvalósításához, ebben mérföldköveket határoz meg;
3.1.1.6.1.2. meghatározott időnként felülvizsgálja és karbantartja az intézkedési tervet:
3.1.1.6.1.2.1. a kockázatkezelési stratégia és a kockázatokra adott válasz tevékenységek prioritása alapján;
3.1.1.6.1.2.2. ha az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetése érdekében;
3.1.1.6.1.2.3. ha a meghatározott biztonsági szint alacsonyabb, mint az érintett szervezetre érvényes szint, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, az előírt biztonsági szint elérése érdekében.
3.1.1.7. Az elektronikus információs rendszerek nyilvántartása
3.1.1.7.1. Az érintett szervezet:
3.1.1.7.1.1. elektronikus információs rendszereiről nyilvántartást vezet;
3.1.1.7.1.2. folyamatosan aktualizálja a nyilvántartást.
3.1.1.7.2. A nyilvántartás minden rendszerre nézve tartalmazza:
3.1.1.7.2.1. annak alapfeladatait;
3.1.1.7.2.2. a rendszerek által biztosítandó szolgáltatásokat;
3.1.1.7.2.3. az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szervezet kezelésében vannak);
3.1.1.7.2.4. a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;
3.1.1.7.2.5. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait.
3.1.1.8. A biztonsági teljesítmény mérése
Az érintett szervezet kifejleszti, felügyeli az elektronikus információs rendszerei biztonsági mérésének rendszerét.
3.1.1.9. Szervezeti szintű architektúra
Az érintett szervezet a szervezeti felépítés, vagy szervezeti szintű architektúra kialakításánál figyelembe veszi a szervezet működését befolyásoló kockázati tényezőket.
3.1.1.10. Kockázatkezelési stratégia
3.1.1.10.1. Az érintett szervezet:
3.1.1.10.1.1. megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a kockázatkezelési stratégiát;
3.1.1.10.1.2. belső szabályozásában, vagy magában a kockázatkezelési stratégiáról szóló dokumentumban meghatározza a kockázatkezelési stratégia felülvizsgálatának és frissítésének gyakoriságát.
3.1.1.10.2. A stratégia kiterjed:
3.1.1.10.2.1. a lehetséges kockázatok felmérésére;
3.1.1.10.2.2. a kockázatok kezelésének felelősségére;
3.1.1.10.2.3. a kockázatok kezelésének elvárt minőségére.
3.1.1.11. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás
3.1.1.11.1. Az érintett szervezet:
3.1.1.11.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információbiztonsággal kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási folyamatokat;
3.1.1.11.1.2. felügyeli az elektronikus információs rendszer és környezet biztonsági állapotát;
3.1.1.11.1.3. meghatározza az információbiztonsággal összefüggő szerepköröket és felelősségi köröket, kijelöli az ezeket betöltő személyeket;
3.1.1.11.1.4. integrálja az elektronikus információbiztonsági engedélyezési folyamatokat a szervezeti szintű kockázatkezelési eljárásba, összhangban az informatikai biztonsági szabályzattal.
3.1.1.11.2. Az elektronikus információbiztonsággal kapcsolatos engedélyezés kiterjed minden, az érintett szervezet hatókörébe tartozó:
3.1.1.11.2.1. emberi, fizikai és logikai erőforrásra;
3.1.1.11.2.2. eljárási és védelmi szintre és folyamatra.
3.1.1.12. Tesztelés, képzés és felügyelet
3.1.1.12.1. Az érintett szervezet:
3.1.1.12.1.1. amennyiben ez hatókörébe tartozik, megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint kihirdeti az elektronikus információs rendszer tesztelésével, képzésével és felügyeletével kapcsolatos eljárásokat, amelyek támogatják a tesztelési, képzési és felügyeleti tevékenységek:
3.1.1.12.1.1.1. fejlesztését és fenntartását,
3.1.1.12.1.1.2. folyamatos időbeni végrehajtását;
3.1.1.12.1.2. felülvizsgálja a tesztelési, képzési és ellenőrzési terveket a kockázatkezelési stratégia és a lehetséges, vagy bekövetkezett biztonsági események súlya alapján.
3.1.1.13. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel
3.1.1.13.1. Az érintett szervezet:
3.1.1.13.1.1. az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek folyamatos oktatásának, képzésének elősegítése;
3.1.1.13.1.2. az ajánlott elektronikus információbiztonsági eljárások, technikák és technológiák naprakészen tartása;
3.1.1.13.1.3. a fenyegetésekre, sebezhetőségekre és biztonsági eseményekre vonatkozó legfrissebb információk megosztása érdekében kapcsolatot alakít ki és tart fenn az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és e célt szolgáló ágazati szervezetekkel.
3.1.2. KOCKÁZATELEMZÉS
3.1.2.1. Kockázatelemzési eljárásrend
3.1.2.1.1. Az érintett szervezet:
3.1.2.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a kockázatelemzési eljárásrendet, mely a kockázatelemzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.2.1.1.2. belső szabályozásában, vagy magában a kockázatelemzési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési eljárásrend felülvizsgálatának és frissítésének gyakoriságát.
3.1.2.2. Biztonsági osztályba sorolás
3.1.2.2.1. Az érintett szervezet:
3.1.2.2.1.1. jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit, és a 3.1.1.7. pont szerinti nyilvántartás alapján meghatározza, hogy azok melyik biztonsági osztályba sorolandók;
3.1.2.2.1.2. vezetője jóváhagyja a biztonsági osztályba sorolást;
3.1.2.2.1.3. rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában.
3.1.2.2.2. Elvárás:
3.1.2.2.2.1. a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell végezni;
3.1.2.2.2.2. kapcsolódást kell biztosítani a 3.1.1.6. pontban foglalt intézkedési tervhez és mérföldköveihez.
3.1.2.3. Kockázatelemzés
3.1.2.3.1. Az érintett szervezet:
3.1.2.3.1.1. végrehajtja a biztonsági kockázatelemzéseket;
3.1.2.3.1.2. rögzíti a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, vagy a kockázatelemzési eljárásrendben előírt dokumentumban;
3.1.2.3.1.3. a kockázatelemzési eljárásrendnek megfelelően felülvizsgálja a kockázatelemzések eredményét;
3.1.2.3.1.4. a kockázatelemzési eljárásrendnek megfelelően, vagy a 3.1.1.3. pont szerinti informatikai biztonsági szabályzata keretében megismerteti a kockázatelemzés eredményét az érintettekkel;
3.1.2.3.1.5. amikor változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre;
3.1.2.3.1.6. gondoskodik arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne legyenek megismerhetők.
3.1.2.4. Sérülékenység teszt
3.1.2.4.1. Az érintett szervezet:
3.1.2.4.1.1. az elektronikus információs rendszerei, és alkalmazásai tekintetében sérülékenység tesztet végez, amennyiben azt az elektronikus információs rendszerfejlesztési, üzemeltetési és használati körülményei lehetővé teszik;
3.1.2.4.1.2. meghatározott gyakorisággal, vagy véletlenszerűen, valamint olyan esetben, amikor új lehetséges sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban, megismétli a sérülékenység tesztet;
3.1.2.4.1.3. a sérülékenység tesztet sérülékenységvizsgálati eszközök és technikák alkalmazásával, vagy külső szervezet bevonásával azon elektronikus információs rendszerek tekintetében végzi el, amelyek az érintett szervezet felügyelete, irányítása alatt állnak;
3.1.2.4.1.4. kimutatást készít a feltárt hibákról, valamint a nem megfelelő konfigurációs beállításokról;
3.1.2.4.1.5. végrehajtja az ellenőrzési listákat és tesztelési eljárásokat;
3.1.2.4.1.6. felméri a sérülékenység lehetséges hatásait;
3.1.2.4.1.7. elemzi a sérülékenység teszt eredményét;
3.1.2.4.1.8. megosztja a sérülékenység teszt eredményét a szervezet által meghatározott személyekkel és szerepkörökkel.
3.1.2.4.2. Frissítési képesség
Az érintett szervezet olyan sérülékenységi teszteszközt alkalmaz, melynek sérülékenység feltáró képessége könnyen bővíthető az ismertté váló sérülékenységekkel.
3.1.2.4.3. Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően
Az érintett szervezet az elektronikus információs rendszerre vizsgált sérülékenység körét aktualizálja az új tesztet megelőzően, vagy a sérülékenység feltárását követően azonnal.
3.1.2.4.4. Privilegizált hozzáférés
Az elektronikus információs rendszer különleges jogosultsághoz kötött - úgynevezett privilegizált -hozzáférést biztosít az érintett szervezet által kijelölt rendszerelemekhez a sérülékenység teszt végrehajtásához.
3.1.2.4.5. Felfedhető információk
Az érintett szervezet meghatározza, hogy egy támadó milyen információkat képes elérni az elektronikus információs rendszerben, és ennek elhárítására javításokat hajt végre.
3.1.3. TERVEZÉS
3.1.3.1. Biztonságtervezési eljárásrend
3.1.3.1.1. Az érintett szervezet:
3.1.3.1.1.1. megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.3.1.1.2. a biztonságtervezési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet.
3.1.3.2. Rendszerbiztonsági terv
3.1.3.2.1. Az érintett szervezet, amennyiben az elektronikus információs rendszer tervezése a hatókörébe tartozik, az elektronikus információs rendszerhez rendszerbiztonsági tervet készít, amely:
3.1.3.2.1.1. összhangban áll szervezeti felépítésével vagy szervezeti szintű architektúrájával;
3.1.3.2.1.2. meghatározza az elektronikus információs rendszer hatókörét, alapfeladatait (biztosítandó szolgáltatásait), biztonságkritikus elemeit és alapfunkcióit;
3.1.3.2.1.3. meghatározza az elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztályát;
3.1.3.2.1.4. meghatározza az elektronikus információs rendszer működési körülményeit és más elektronikus információs rendszerekkel való kapcsolatait;
3.1.3.2.1.5. a vonatkozó rendszerdokumentáció keretébe foglalja az elektronikus információs rendszer biztonsági követelményeit;
3.1.3.2.1.6. meghatározza a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket és intézkedés bővítéseket, végrehajtja a jogszabály szerinti biztonsági feladatokat;
3.1.3.2.1.7. gondoskodik arról, hogy a rendszerbiztonsági tervet a meghatározott személyi és szerepkörökben dolgozók megismerjék (ideértve annak változásait is);
3.1.3.2.1.8. belső szabályozásában, vagy a rendszerbiztonsági tervben meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszer rendszerbiztonsági tervét;
3.1.3.2.1.9. frissíti a rendszerbiztonsági tervet az elektronikus információs rendszerben vagy annak üzemeltetési környezetében történt változások, és a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt problémák esetén;
3.1.3.2.1.10. elvégzi s szükséges belső egyeztetéseket;
3.1.3.2.1.11. gondoskodik arról, hogy a rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, módosítható.
3.1.3.2.2. Belső egyeztetés
Az érintett szervezet tervezi és egyezteti az elektronikus információs rendszer biztonságát érintő tevékenységeit, hogy csökkentse annak a nem érintett szervezeti egységeire gyakorolt hatását.
3.1.3.3. Személyi biztonság
3.1.3.3.1. Az érintett szervezet:
3.1.3.3.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet;
3.1.3.3.1.2. az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozattételre kötelezi a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja;
3.1.3.3.1.3. meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet a viselkedési szabályok betartását;
3.1.3.3.1.4. gondoskodik arról, hogy a 3.1.3.3.1.3. pont szerinti változás esetén a hozzáféréssel rendelkezők tekintetében a 3.1.3.3.1.2. pont szerinti eljárás megtörténjen;
3.1.3.3.1.5. meghatározza az érintett szervezeten kívüli irányban megvalósuló követelményeket.
3.1.3.3.2. Viselkedési szabályok az interneten
3.1.3.3.2.1. Az érintett szervezet:
3.1.3.3.2.1.1. tiltja és számon kéri a szervezettel kapcsolatos információk nyilvános internetes oldalakon való illegális közzétételét;
3.1.3.3.2.1.2. tiltja a belső szabályzatában meghatározott, interneten megvalósuló tevékenységet (pl.: chat, fájlcsere, nem szakmai letöltések, tiltott oldalak, nem kívánt levelezőlisták, stb.);
3.1.3.3.2.1.3. tilthatja a közösségi oldalak használatát, magánpostafiók elérését, és más, a szervezettől idegen tevékenységet.
3.1.3.4. Információbiztonsági architektúra leírás
3.1.3.4.1. Az érintett szervezet (ha a hatókörébe tartozik, és ha más dokumentumban nem kerül meghatározásra, vagy azokból nem következik):
3.1.3.4.1.1. elkészíti az elektronikus információs rendszer információbiztonsági architektúra leírását;
3.1.3.4.1.2. az általános architektúrájában bekövetkezett változtatásokra reagálva felülvizsgálja és frissíti az információbiztonsági architektúra leírást;
3.1.3.4.1.3. biztosítja, hogy az információbiztonsági architektúra leírásban tervezett változtatás tükröződjön a rendszerbiztonsági tervben és a beszerzésekben.
3.1.3.4.2. Az információbiztonsági architektúra leírás:
3.1.3.4.2.1. összegzi az elektronikus információs rendszer bizalmasságának, sértetlenségének és rendelkezésre állásának védelmét szolgáló filozófiát, követelményeket és megközelítést;
3.1.3.4.2.2. megfogalmazza, hogy az információbiztonsági architektúra miként illeszkedik a szervezet általános architektúrájába és hogyan támogatja azt;
3.1.3.4.2.3. leírja a külső szolgáltatásokkal kapcsolatos információbiztonsági feltételezéseket és függőségeket.
3.1.4. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS
3.1.4.1. Jelen címben meghatározott eljárásokat abban az esetben nem kell bevezetni az érintett szervezetnél, amennyiben saját hatókörében informatikai szolgáltatást, vagy eszközöket nem szerez be, és nem végez, vagy végeztet rendszerfejlesztési tevékenységet (ide nem értve a jellemzően kis értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, vagy azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, vagy az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket). Jelen fejezet alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható szoftverek beszerzése és frissítése.
3.1.4.2. Beszerzési eljárásrend
3.1.4.2.1. Az érintett szervezet:
3.1.4.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a beszerzési eljárásrendet, mely az érintett szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.4.2.1.2. a beszerzési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a beszerzési eljárásrendet.
3.1.4.3. Erőforrás igény felmérés
3.1.4.3.1. Az érintett szervezet:
3.1.4.3.1.1. az elektronikus információs rendszerre és annak szolgáltatásaira vonatkozó biztonsági követelmények teljesítése érdekében meghatározza, és dokumentálja, valamint biztosítja az elektronikus információs rendszer és annak szolgáltatásai védelméhez szükséges erőforrásokat, a beruházás, vagy költségvetési tervezés részeként;
3.1.4.3.1.2. elkülönítetten kezeli az elektronikus információs rendszerek biztonságát beruházás, vagy költségvetési tervezési dokumentumaiban.
3.1.4.4. A rendszer fejlesztési életciklusa
3.1.4.4.1. Az érintett szervezet:
3.1.4.4.1.1. elektronikus információs rendszereinek teljes életútján, azok minden életciklusában figyelemmel kíséri informatikai biztonsági helyzetüket;
3.1.4.4.1.2. a fejlesztési életciklus egészére meghatározza és dokumentálja az információbiztonsági szerepköröket és felelősségeket;
3.1.4.4.1.3. meghatározza, és a szervezetre érvényes szabályok szerint kijelöli az információbiztonsági szerepköröket betöltő, felelős személyeket.
3.1.4.4.2. A rendszer életciklus szakaszai a következők:
3.1.4.4.2.1. követelmény meghatározás;
3.1.4.4.2.2. fejlesztés vagy beszerzés;
3.1.4.4.2.3. megvalósítás vagy értékelés;
3.1.4.4.2.4. üzemeltetés és fenntartás;
3.1.4.4.2.5. kivonás (archiválás, megsemmisítés).
3.1.4.5. Beszerzések
3.1.4.5.1. Az érintett szervezet az elektronikus információs rendszerre, rendszerelemre vagy szolgáltatásra irányuló beszerzési (ideértve a fejlesztést, az adaptálást, a beszerzéshez kapcsolódó rendszerkövetést, vagy karbantartást is) szerződéseiben szerződéses követelményként meghatározza:
3.1.4.5.1.1. a funkcionális biztonsági követelményeket;
3.1.4.5.1.2. a garanciális biztonsági követelményeket (pl. a biztonságkritikus termékekre elvárt garanciaszint);
3.1.4.5.1.3. a biztonsággal kapcsolatos dokumentációs követelményeket;
3.1.4.5.1.4. a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó követelményeket;
3.1.4.5.1.5. az elektronikus információs rendszer fejlesztési környezetére és tervezett üzemeltetési környezetére vonatkozó előírásokat;
3.1.4.5.1.6. az elfogadási kritériumokat.
3.1.4.5.2. A védelmi intézkedések funkcionális tulajdonságai
Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi intézkedések funkcionális tulajdonságainak a leírását.
3.1.4.5.3. A védelmi intézkedések terv-, és megvalósítási dokumentációi
Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi intézkedések terv- és megvalósítási dokumentációit, köztük a biztonsággal kapcsolatos külső rendszer interfészek leírását, a magas, és alacsony szintű biztonsági tervet, - amennyiben azzal a szállító rendelkezik - a forráskódot és futtatókörnyezetet.
3.1.4.5.4. Funkciók - protokollok - szolgáltatások
Az érintett szervezet szerződéses rendelkezésként megköveteli a fejlesztőtől, szállítótól, hogy már a fejlesztési életciklus korai szakaszában meghatározza a használatra tervezett funkciókat, protokollokat és szolgáltatásokat.
3.1.4.6. Az elektronikus információs rendszerre vonatkozó dokumentáció
3.1.4.6.1. Az érintett szervezet:
3.1.4.6.1.1. ha hatókörébe tartozik, megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre, vagy rendszerszolgáltatásra vonatkozó adminisztrátori dokumentációt, amely tartalmazza:
3.1.4.6.1.1.1. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos konfigurálását, telepítését és üzemeltetését,
3.1.4.6.1.1.2. a biztonsági funkciók hatékony alkalmazását és fenntartását,
3.1.4.6.1.1.3. a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció átadásakor ismert sérülékenységeket;
3.1.4.6.1.2. megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre vagy rendszerszolgáltatásra vonatkozó felhasználói dokumentációt, amely tartalmazza:
3.1.4.6.1.2.1. a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját,
3.1.4.6.1.2.2. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit,
3.1.4.6.1.2.3. a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának a fenntartásához;
3.1.4.6.1.3. gondoskodik arról, hogy az információs rendszerre vonatkozó - különösen az adminisztrátori és fejlesztői - dokumentáció jogosulatlanok számára ne legyen megismerhető, módosítható;
3.1.4.6.1.4. gondoskodik a dokumentációknak az érintett szervezet által meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről.
3.1.4.7. Biztonságtervezési elvek
Az érintett szervezet - amennyiben az adott információs rendszer specifikálása a hatókörébe tartozik -biztonságtervezési elveket dolgoz ki és alkalmaz az elektronikus információs rendszer specifikációjának meghatározása, tervezése, fejlesztése, kivitelezése és módosítása során.
3.1.4.8. Külső elektronikus információs rendszerek szolgáltatásai
3.1.4.8.1. Az érintett szervezet:
3.1.4.8.1.1. szerződéses kötelezettségként követeli meg, hogy a szolgáltatási szerződés alapján általa igénybe vett elektronikus információs rendszerek szolgáltatásai megfeleljenek az érintett szervezet elektronikus információbiztonsági követelményeinek;
3.1.4.8.1.2. meghatározza és dokumentálja az érintett szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban;
3.1.4.8.1.3. külső és belső ellenőrzési eszközökkel ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.
3.1.4.8.2. Funkciók, portok, protokollok, szolgáltatások
Az érintett szervezet megköveteli, hogy a szolgáltató meghatározza a szolgáltatások igénybevételéhez szükséges funkciókat, protokollokat, portokat és egyéb szolgáltatásokat.
3.1.4.9. Fejlesztői változáskövetés
3.1.4.9.1. Az érintett szervezet megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy:
3.1.4.9.1.1. vezesse végig a változtatásokat az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás tervezése, fejlesztése, megvalósítása, üzemeltetése során;
3.1.4.9.1.2. dokumentálja, kezelje és ellenőrizze a változtatásokat, biztosítsa ezek sértetlenségét;
3.1.4.9.1.3. csak a jóváhagyott változtatásokat hajtsa végre az elektronikus információs rendszeren, rendszerelemen vagy rendszerszolgáltatáson;
3.1.4.9.1.4. dokumentálja a jóváhagyott változtatásokat, és ezek lehetséges biztonsági hatásait;
3.1.4.9.1.5. kövesse nyomon az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás biztonsági hibáit és azok javításait, továbbá jelentse észrevételeit az érintett szervezet által meghatározott személyeknek.
3.1.4.10. Fejlesztői biztonsági tesztelés
3.1.4.10.1. Az érintett szervezet megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztője:
3.1.4.10.1.1. készítsen biztonságértékelési tervet és hajtsa végre az abban foglaltakat;
3.1.4.10.1.2. hajtson végre (a fejlesztéshez illeszkedő módon egység-, integrációs-, rendszer-, vagy regressziós tesztelést, és ezt értékelje ki az érintett szervezet által meghatározott lefedettség és mélység mellett;
3.1.4.10.1.3. dokumentálja, hogy végrehajtotta a biztonságértékelési tervben foglaltakat és ismertesse a biztonsági tesztelés és értékelés eredményeit;
3.1.4.10.1.4. javítsa ki a biztonsági tesztelés és értékelés során feltárt hiányosságokat.
3.1.4.11. A védelem szempontjainak érvényesítése a beszerzés során
Az érintett szervezet az informatikai biztonsági politikájában lefektetett elveknek megfelelően védi az elektronikus információs rendszert, rendszerelemet vagy rendszerszolgáltatást a beszerzés, vagy a beszerzett eszköz beillesztéséből adódó kockázatok ellen.
3.1.4.12. Fejlesztési folyamat, szabványok és eszközök
3.1.4.12.1. Az érintett szervezet:
3.1.4.12.1.1. megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy dokumentált fejlesztési folyamatot kövessen;
3.1.4.12.1.2. előírja, hogy az általa meghatározott biztonsági követelményeknek való megfelelés érdekében általa meghatározott gyakorisággal a fejlesztő tekintse át a fejlesztési folyamatot, szabványokat, eszközöket és eszköz opciókat, konfigurációkat.
3.1.4.12.2. A dokumentált fejlesztési folyamat:
3.1.4.12.2.1. kiemelten kezeli a biztonsági követelményeket;
3.1.4.12.2.2. meghatározza a fejlesztés során alkalmazott szabványokat és eszközöket;
3.1.4.12.2.3. dokumentálja a fejlesztés során alkalmazott speciális eszköz opciókat és konfigurációkat;
3.1.4.12.2.4. nyilvántartja a változtatásokat, és biztosítja ezek engedély nélküli megváltoztatás elleni védelmét.
3.1.4.13. Fejlesztői oktatás
Az érintett szervezet oktatási kötelezettséget ír elő az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztője számára, hogy az érintett szervezet által kijelölt személyek -elsősorban adminisztrátorok - és biztonsági felelősök a megvalósított biztonsági funkciók, intézkedések és mechanizmusok helyes használatát és működését megismerhessék és elsajátíthassák.
3.1.4.14. Fejlesztői biztonsági architektúra és tervezés
3.1.4.14.1. Az érintett szervezet megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy olyan specifikációt és biztonsági architektúrát hozzon létre amely:
3.1.4.14.1.1. illeszkedik a szervezet biztonsági architektúrájához és támogatja azt;
3.1.4.14.1.2. leírja a szükséges biztonsági funkciókat, valamint a védelmi intézkedések megosztását a fizikai és logikai összetevők között;
3.1.4.14.1.3. bemutatja az egyes biztonsági funkciók, mechanizmusok és szolgáltatások együttműködését az előírt biztonsági követelmények megvalósításában, valamint a védelem egységes megközelítésében.
3.1.5. BIZTONSÁGI ELEMZÉS
3.1.5.1. Biztonságelemzési eljárásrend
3.1.5.1.1. Az érintett szervezet:
3.1.5.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a biztonságértékelési eljárásrendet, amely a biztonságértékelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.5.1.1.2. a biztonságértékelési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságértékelési eljárásrendet.
3.1.5.2. Biztonsági értékelések
3.1.5.2.1. Az érintett szervezet:
3.1.5.2.1.1. biztonságértékelési tervet készít;
3.1.5.2.1.2. meghatározott gyakorisággal értékeli az elektronikus információs rendszer és működési környezete védelmi intézkedéseit, kontrollálja a bevezetett intézkedések működőképességét, valamint a tervezettnek megfelelő működését;
3.1.5.2.1.3. elkészíti a biztonságértékelés eredményét összefoglaló jelentést;
3.1.5.2.1.4. gondoskodik a biztonságértékelés eredményét összefoglaló jelentésnek az érintett szervezet által meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismeréséről.
3.1.5.2.2. A biztonsági értékelés tartalmazza:
3.1.5.2.2.1. az értékelendő (adminisztratív, fizikai és logikai) védelmi intézkedéseket;
3.1.5.2.2.2. a biztonsági ellenőrzések eredményességét meghatározó eljárásrendeket;
3.1.5.2.2.3. az értékelési környezetet, az értékelő csoportot, az értékelés célját, az értékelést végzők feladatát.
3.1.5.2.3. Független értékelők
Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmaz a védelmi intézkedések értékelésére.
3.1.5.2.4. Speciális értékelés
Az érintett szervezet a védelmi intézkedések értékelése keretében bejelentés mellett, vagy bejelentés nélkül sérülékenységvizsgálatot; rosszhiszemű felhasználó tesztet, belső fenyegetettség értékelést, a biztonságkritikus egyedi fejlesztésű szoftverelemek forráskód elemzését, az érintett szervezet által meghatározott egyéb biztonsági értékeléseket végeztet.
3.1.5.3. Az elektronikus információs rendszer kapcsolódásai
3.1.5.3.1. Az érintett szervezet:
3.1.5.3.1.1. belső engedélyhez köti az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez;
3.1.5.3.1.2. dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát.
3.1.5.3.2. Külső kapcsolódásokra vonatkozó korlátozások
Az érintett szervezet a külső elektronikus információs rendszerekhez való kapcsolódásokhoz az informatikai biztonsági szabályzatában szabályrendszert állít fel, és alkalmaz, amelynek eredménye lehet az összes kapcsolat engedélyezése; vagy tiltása, meghatározott kapcsolatok engedélyezése, meghatározott kapcsolatok tiltása.
3.1.5.4. Cselekvési terv
3.1.5.4.1. Az érintett szervezet:
3.1.5.4.1.1. cselekvési tervet készít, ha az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg;
3.1.5.4.1.2. a cselekvési tervben dokumentálja a megállapított hiányosságok javítására, valamint az elektronikus információs rendszer ismert sérülékenységeinek csökkentésére vagy megszüntetésére irányuló tervezett tevékenységeit;
3.1.5.4.1.3. frissíti a meglévő cselekvési tervet az érintett szervezet által meghatározott gyakorisággal a biztonsági értékelések, biztonsági hatáselemzések és a folyamatos felügyelet eredményei alapján.
3.1.5.5. Folyamatos ellenőrzés
3.1.5.5.1. Az érintett szervezet folyamatba épített ellenőrzést vagy ellenőrzési tervet hajt végre, amely tartalmazza:
3.1.5.5.1.1. az ellenőrizendő területeket;
3.1.5.5.1.2. az ellenőrzések, valamint az ellenőrzéseket támogató értékelések gyakoriságát;
3.1.5.5.1.3. az érintett szervezet ellenőrzési stratégiájához illeszkedő folyamatos biztonsági értékeléseket;
3.1.5.5.1.4. a mérőszámok megfelelőségét;
3.1.5.5.1.5. az értékelések és az ellenőrzések által generált biztonsággal kapcsolatos adatok összehasonlító elemzését;
3.1.5.5.1.6. az érintett szervezet reagálását a biztonsággal kapcsolatos adatok elemzésének eredményére;
3.1.5.5.1.7. az érintett szervezet döntését arról, hogy milyen gyakorisággal kell az elemzési adatokat általa meghatározott személyi- és szerepkörökkel megismertetni (ideértve azok változásait is).
3.1.5.5.2. Független értékelés
Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmazhat az elektronikus információs rendszer védelmi intézkedéseinek folyamatos ellenőrzésére.
3.1.5.6. Belső rendszer kapcsolatok
3.1.5.6.1. Az érintett szervezet:
3.1.5.6.1.1. belső engedélyhez köti az elektronikus információs rendszereinek összekapcsolását;
3.1.5.6.1.2. dokumentálja az egyes belső kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát.
3.1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG
3.1.6.1. Minden, a személybiztonsággal kapcsolatos eljárás, vagy elvárás kiterjed az érintett szervezet teljes személyi állományára, valamint minden olyan természetes személyre, aki az érintett szervezet elektronikus információs rendszereivel kapcsolatba kerül, vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az érintett szervezet tagja, a jelen fejezet szerinti elvárásokat a tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell, mint kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására irányuló kötelezettségvállalást, titoktartási nyilatkozatot).
3.1.6.2. Személybiztonsági eljárásrend
3.1.6.2.1. Az érintett szervezet:
3.1.6.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a személybiztonsági eljárásrendet, amely a személybiztonsági követelményeket tartalmazza, és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.6.2.1.2. a személybiztonsági eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a személybiztonsági eljárásrendet.
3.1.6.3. Munkakörök, feladatok biztonsági szempontú besorolása
3.1.6.3.1. Az érintett szervezet:
3.1.6.3.1.1. minden érintett szervezeti munkakört, vagy érintett szervezethez kapcsolódó feladatot biztonsági szempontból besorol;
3.1.6.3.1.2. felméri a nemzetbiztonsági ellenőrzés alá eső munkaköröket és feladatokat;
3.1.6.3.1.3. rendszeresen felülvizsgálja és frissíti a munkakörök és feladatok biztonság szempontú besorolását.
3.1.6.4. A személyek ellenőrzése
3.1.6.4.1. Az érintett szervezet:
3.1.6.4.1.1. az elektronikus információs rendszerhez való hozzáférési jogosultság megadása előtt ellenőrzi, hogy az érintett személy a 3.1.6.3.1. és 3.1.6.3.2. pontok szerinti besorolásnak megfelelő feltételekkel rendelkezik-e;
3.1.6.4.1.2. a 3.1.6.3.1.2. szerinti munkaköröket betöltő, vagy feladatokat ellátó személyek tekintetében kezdeményezi a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott nemzetbiztonsági ellenőrzést;
3.1.6.4.1.3. folyamatosan ellenőrzi a 3.1.6.4.1. pont szerinti feltételek fennállását.
3.1.6.5. Eljárás a jogviszony megszűnésekor
3.1.6.5.1. Az érintett szervezet:
3.1.6.5.1.1. belső szabályozásban meghatározott időpontban megszünteti a hozzáférési jogosultságot az elektronikus információs rendszerhez;
3.1.6.5.1.2. megszünteti, vagy visszaveszi a személy egyéni hitelesítő eszközeit;
3.1.6.5.1.3. tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről;
3.1.6.5.1.4. visszaveszi az érintett szervezet elektronikus információs rendszerével kapcsolatos, tulajdonát képező összes eszközt;
3.1.6.5.1.5. megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz;
3.1.6.5.1.6. az általa meghatározott módon a jogviszony megszűnéséről értesíti az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyeket;
3.1.6.5.1.7 a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését megelőzően gondoskodik;
3.1.6.5.1.8. a jogviszony megszűnésekor a jogviszonyt megszüntető személy esetleges elektronikus információs rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő magatartását megelőzi.
3.1.6.5.2. Automatikus figyelmeztetés
Az érintett szervezet automatikus mechanizmusokat alkalmaz az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyek értesítésére az egyes jogviszonyok megszűnése esetén.
3.1.6.6. Az áthelyezések, átirányítások és kirendelések kezelése
3.1.6.6.1. Az érintett szervezet:
3.1.6.6.1.1. szükség esetén elvégzi a 3.1.6.4. pontban foglalt, a személyek ellenőrzésére vonatkozó eljárást;
3.1.6.6.1.2. logikai és fizikai hozzáférést engedélyez az újonnan használni kívánt elektronikus információs rendszerhez;
3.1.6.6.1.3. szükség esetén elvégzi az áthelyezés miatt megváltozott hozzáférési engedélyek módosítását, vagy megszüntetését;
3.1.6.6.1.4. az általa meghatározott módon a jogviszony változásáról értesíti az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyeket.
3.1.6.7. Az érintett szervezettel szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények
3.1.6.7.1. Az érintett szervezet:
3.1.6.7.1.1. a külső szervezettel kötött megállapodásban, szerződésben megköveteli, hogy a külső szervezet határozza meg az érintett szervezettel kapcsolatos, az információbiztonságot érintő szerep- és felelősség köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat is;
3.1.6.7.1.2. szerződéses kötelezettségként megköveteli, hogy a szerződő fél feleljen meg az érintett szervezet által meghatározott személybiztonsági követelményeknek;
3.1.6.7.1.3. a szerződő féltől megköveteli, hogy dokumentálja a személybiztonsági követelményeket;
3.1.6.7.1.4. előírja, hogy ha a szerződő féltől olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik az érintett szervezet elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy kiemelt jogosultsággal, akkor soron kívül küldjön értesítést az érintett szervezetnek;
3.1.6.7.1.5. folyamatosan ellenőrzi a szerződő féltől személybiztonsági követelményeknek való megfelelését.
3.1.6.8. Fegyelmi intézkedések
3.1.6.8.1. Az érintett szervezet:
3.1.6.8.1.1. belső eljárási rendje szerint fegyelmi eljárást kezdeményez az elektronikus információbiztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben;
3.1.6.8.1.2. amennyiben az elektronikus információbiztonsági szabályokat nem az érintett szervezet személyi állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott következményeket, megvizsgálja az egyéb jogi lépések fennállásának lehetőségét, szükség szerint bevezeti ezeket az eljárásokat.
3.1.7. TUDATOSSÁG ÉS KÉPZÉS
3.1.7.1. Képzési eljárásrend
3.1.7.1.1. Az érintett szervezet:
3.1.7.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a képzési eljárásrendet, mely a képzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.1.7.1.1.2. a képzési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a képzési eljárásrendet.
3.1.7.2. Biztonság tudatosság képzés
3.1.7.2.1. Az érintett szervezet annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára:
3.1.7.2.1.1. az új felhasználók kezdeti képzésének részeként;
3.1.7.2.1.2. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;
3.1.7.2.1.3 az érintett szervezet által meghatározott gyakorisággal.
3.1.7.2.2. Belső fenyegetés
A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket.
3.1.7.3. Szerepkör, vagy feladat alapú biztonsági képzés
3.1.7.3.1. Az érintett szervezet szerepkör, vagy feladat alapú biztonsági képzést nyújt az egyes szerepkörök szerinti, azért felelős személyeknek:
3.1.7.3.1.1. az elektronikus információs rendszerhez való hozzáférés engedélyezését vagy a kijelölt feladat végrehajtását megelőzően;
3.1.7.3.1.2. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;
3.1.7.3.1.3. az érintett szervezet által meghatározott rendszerességgel.
3.1.7.4. A biztonsági képzésre vonatkozó dokumentációk
3.1.7.4.1. Az érintett szervezet:
3.1.7.4.1.1. dokumentálja a biztonságtudatosságra vonatkozó alap-, és szerepkör alapú biztonsági képzéseket;
3.1.7.4.1.2. a képzésen résztvevőkkel a képzés megtörténtét elismerteti, és ezt a dokumentumot megőrzi.
3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK
3.2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM
3.2.1.1. Jelen fejezet alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz, és személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre, valamint arra, hogy e fejezet rendelkezései az adott létesítmény bárki által szabadon látogatható, vagy igénybe vehető területeire nem vonatkoznak.
3.2.1.2. Fizikai védelmi eljárásrend
3.2.1.2.1. Az érintett szervezet:
3.2.1.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, amely az érintett szervezet elektronikus információbiztonsági, vagy egyéb szabályzatának részét képező fizikai védelmi szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.2.1.2.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a fizikai védelmi eljárásrendet.
3.2.1.3. Fizikai belépési engedélyek
3.2.1.3.1. Az érintett szervezet:
3.2.1.3.1.1. összeállítja, jóváhagyja és kezeli az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak listáját;
3.2.1.3.1.2. belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens kártyák) bocsát ki a belépéshez a belépni szándékozó részére;
3.2.1.3.1.3. rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;
3.2.1.3.1.4. eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése nem indokolt;
3.2.1.3.1.5. intézkedik a 3.2.1.3.1.2. szerinti dokumentum visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.
3.2.1.4. A fizikai belépés ellenőrzése
3.2.1.4.1. Az érintett szervezet:
3.2.1.4.1.1. kizárólag az érintett szervezet által meghatározott be-, és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést;
3.2.1.4.1.2. naplózza a fizikai belépéseket;
3.2.1.4.1.3. ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket;
3.2.1.4.1.4. kíséri a létesítménybe ad-hoc belépésre jogosultakat és figyelemmel követi a tevékenységüket;
3.2.1.4.1.5 megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;
3.2.1.4.1.6. nyilvántartást vezet a fizikai belépést ellenőrző eszközről;
3.2.1.4.1.7. meghatározott rendszerességgel változtatja meg a hozzáférési kódokat és kulcsokat, vagy azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személy elveszti a belépési jogosultságát;
3.2.1.4.1.8. az egyéni belépési engedélyeket a belépési pontokon ellenőrzi;
3.2.1.4.1.9. a kijelölt pontokon való átjutást felügyeli a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel, vagy eszközzel;
3.2.1.4.1.10. felhívja a szervezet tagjainak figyelmét a rendellenességek jelentésére.
3.2.1.4.2. Hozzáférés az információs rendszerhez
Az érintett szervezet a létesítménybe történő fizikai belépés ellenőrzésén túl külön engedélyhez köti a fizikai belépést az elektronikus információs rendszereknek helyt adó helyiségekbe is.
3.2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz
Az érintett szervezet az általa meghatározott biztonsági védelemmel ellenőrzi az elektronikus információs rendszer adatátviteli eszközeinek és kapcsolódási pontjainak helyt adó helyiségekbe történő fizikai belépést.
3.2.1.6. A kimeneti eszközök hozzáférés ellenőrzése
Az érintett szervezet ellenőrzi az elektronikus információs rendszer kimeneti eszközeihez való fizikai hozzáférést annak érdekében, hogy jogosulatlan személyek ne férjenek azokhoz hozzá.
3.2.1.7. A fizikai hozzáférések felügyelete
3.2.1.7.1. Az érintett szervezet:
3.2.1.7.1.1. ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt és reagáljon arra;
3.2.1.7.1.2. rendszeresen átvizsgálja a fizikai hozzáférésekről készült naplókat;
3.2.1.7.1.3. azonnal átvizsgálja a fizikai hozzáférésekről készült naplókat, ha a rendelkezésre álló információk jogosulatlan fizikai hozzáférésre utalnak;
3.2.1.7.1.4. összehangolja a biztonsági események kezelését, valamint a napló átvizsgálások eredményét.
3.2.1.7.2. Behatolás riasztás, felügyeleti berendezések
Az érintett szervezet felügyeli a fizikai behatolás riasztásokat és a felügyeleti berendezéseket.
3.2.1.7.3. Az elektronikus információs rendszerekhez való hozzáférés felügyelete
Az érintett szervezet a létesítménybe való fizikai belépések ellenőrzésén felül külön felügyeli az elektronikus információs rendszer egy vagy több elemét tartalmazó helyiségekbe történő fizikai belépéseket.
3.2.1.8. A látogatók ellenőrzése
3.2.1.8.1. Az érintett szervezet:
3.2.1.8.1.1. meghatározott ideig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat;
3.2.1.8.1.2. azonnal átvizsgálja a látogatói belépésekről készített információkat és felvételeket, ha a rendelkezésre álló információk jogosulatlan belépésre utalnak.
3.2.1.8.2. Automatizált látogatói információkezelés
Az érintett szervezet automatizált mechanizmusokat alkalmaz a látogatói belépésekről készített információk és felvételek kezeléséhez, átvizsgálásához.
3.2.1.9. Áramellátó berendezések és kábelezés
Az érintett szervezet védi az elektronikus információs rendszert árammal ellátó berendezéseket és a kábelezést a sérüléssel és rongálással szemben.
3.2.1.10. Vészkikapcsolás
3.2.1.10.1. Az érintett szervezet:
3.2.1.10.1.1. lehetőséget biztosít az elektronikus információs rendszer vagy egyedi rendszerelemek áramellátásának kikapcsolására vészhelyzetben;
3.2.1.10.1.2. gondoskodik a vészkikapcsoló berendezések biztonságos és könnyű megközelíthetőségéről;
3.2.1.10.1.3. megakadályozza a jogosulatlan vészkikapcsolást.
3.2.1.11. Tartalék áramellátás
3.2.1.11.1. Az érintett szervezet az elsődleges áramforrás kiesése esetére, a tevékenységhez méretezett, rövid ideig működőképes szünetmentes áramellátást biztosít az elektronikus információs rendszer szabályos leállításához vagy a hosszútávú tartalék áramellátásra történő átkapcsoláshoz.
3.2.1.11.2. Hosszútávú tartalék áramellátás a minimálisan elvárt működési képességhez
Az érintett szervezet az elsődleges áramforrás kiesése esetén biztosítja a hosszútávú tartalék áramellátást az elektronikus információs rendszer minimálisan elvárt működési képességének és előre definiált minimálisan elvárt működési idejének fenntartására.
3.2.1.12. Vészvilágítás
Az érintett szervezet egy automatikus vészvilágítási rendszert alkalmaz és tart karban, amely áramszünet esetén aktiválódik, és amely biztosítja a vészkijáratokat és a menekülési útvonalakat.
3.2.1.13. Tűzvédelem
3.2.1.13.1. Az érintett szervezet az elektronikus információs rendszerek számára független áramellátással támogatott észlelő, az informatikai eszközökhöz megfelelő tűzelfojtó berendezéseket alkalmaz, és tart karban.
3.2.1.13.2. Automatikus tűzelfojtás
Az érintett szervezet a személyzet által folyamatosan nem felügyelt elektronikus információs rendszerek számára automatikus tűzelfojtási képességet biztosít.
3.2.1.13.3. Észlelő berendezések, rendszerek
Az érintett szervezet az elektronikus információs rendszer védelmére olyan tűzjelző berendezést vagy rendszert alkalmaz, amely tűz esetén automatikusan működésbe lép, és értesítést küld az érintett szervezet által kijelölt tűzvédelmi felelősnek.
3.2.1.13.4. Tűzelfojtó berendezések, rendszerek
Az érintett szervezet az elektronikus információs rendszer védelmére olyan tűzelfojtó berendezést vagy rendszert alkalmaz, amelynek aktiválásáról automatikusan jelzést kap az érintett szervezet által kijelölt tűzvédelmi felelős.
3.2.1.14. Hőmérséklet és páratartalom ellenőrzés
3.2.1.14.1. Az érintett szervezet:
3.2.1.14.1.1. az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) az erőforrások biztonságos működéséhez szükséges szinten tartja a hőmérsékletet és páratartalmat;
3.2.1.14.1.2. az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) figyeli a hőmérséklet és páratartalom szintjét.
3.2.1.15. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem
3.2.1.15.1. Az érintett szervezet:
3.2.1.15.1.1. védi az elektronikus információs rendszert a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a főelzárószelepek hozzáférhetőek, és megfelelően működnek, valamint a kulcsszemélyek számára ismertek;
3.2.1.15.1.2. az informatikai erőforrásokat koncentráltan tartalmazó helyiségek tervezése (pl. adatközpont, szerver szoba, központi gépterem) során biztosítja, hogy az a víz-, és más hasonló kártól védett legyen, akár csővezetékek kiváltásával, áthelyezésével is.
3.2.1.15.2. Automatizált védelem
Az érintett szervezet automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer közelében megjelenő folyadékszivárgás észlelésére és az érintett szervezet által kijelölt személyek riasztására.
3.2.1.16. Be- és kiszállítás
Az érintett szervezet engedélyezi, vagy tiltja, továbbá figyeli és ellenőrzi a létesítménybe bevitt, onnan kivitt információs rendszerelemeket, és nyilvántartást vezet ezekről.
3.2.1.17. Tartalék munkahelyszínek
3.2.1.17.1. Az érintett szervezet:
3.2.1.17.1.1. meghatározott biztonsági felügyeletet tart fenn a tartalék munkahelyszíneken;
3.2.1.17.1.2. értékeli a tartalék munkahelyszínekre vonatkozó biztonsági felügyelet hatásosságát;
3.2.1.17.1.3. biztosítja az alkalmazottak számára a biztonsági esemény vagy probléma bejelentési lehetőségét a biztonsági személyzet számára.
3.2.1.18. Az elektronikus információs rendszer elemeinek elhelyezése
Az érintett szervezet úgy helyezi el az elektronikus információs rendszer elemeit, hogy a legkisebb mértékre csökkentse a szervezet által meghatározott fizikai és környezeti veszélyekből adódó lehetséges kárt és a jogosulatlan hozzáférés lehetőségét.
3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK
3.3.1. KONFIGURÁCIÓKEZELÉS
3.3.1.1. Konfigurációkezelési eljárásrend
3.3.1.1.1. Az érintett szervezet:
3.3.1.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a konfigurációkezelési eljárásrendet, mely a konfigurációkezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.1.1.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a konfigurációkezelési eljárásrendet.
3.3.1.2. Alapkonfiguráció
3.3.1.2.1. Az érintett szervezet az elektronikus információs rendszereihez egy-egy alapkonfigurációt fejleszt ki, dokumentálja és karbantartja ezt, valamint leltárba foglalja a rendszer lényeges elemeit.
3.3.1.2.2. Áttekintések és frissítések
Az alapkonfiguráció frissítését az elektronikus információs rendszerelemek telepítésének és frissítéseinek szerves részeként kell elvégezni.
3.3.1.2.3. Korábbi konfigurációk megőrzése
Változatlan állapotban meg kell őrizni az elektronikus információs rendszer alapkonfigurációját, és annak további verzióit, hogy szükség esetén lehetővé váljon az erre való visszatérés.
3.3.1.2.4. Magas kockázatú területek konfigurálása
3.3.1.2.4.1. Biztonsági szempontokból meghatározott módon konfigurált elektronikus információs rendszerelemeket vagy eszközöket kell biztosítani azon személyek számára, akik az elektronikus információs rendszert külső helyszínen használják.
3.3.1.2.4.2. Megfelelő biztonsági eljárásokat kell alkalmazni a 3.3.1.2.4.1. pont szerinti eszköz belső használatba vonásakor.
3.3.1.2.5. Automatikus támogatás
Automatikus mechanizmusokat kell alkalmazni az elektronikus információs rendszer naprakész, teljes, pontos, és állandóan rendelkezésre álló alapkonfigurációjának a karbantartására.
3.3.1.3. A konfigurációváltozások felügyelete (változáskezelés)
3.3.1.3.1. Az érintett szervezet:
3.3.1.3.1.1. meghatározza a változáskezelési felügyelet alá eső változástípusokat;
3.3.1.3.1.2. meghatározza az egyes változástípusok esetén a változáskezelési vizsgálat kötelező és nem kötelező elemeit, előfeltételeit (csatolt dokumentációk, teszt jegyzőkönyvek, stb.);
3.3.1.3.1.3. megvizsgálja a változáskezelési felügyelet elé terjesztett, javasolt változtatásokat, majd kockázatelemzés alapján jóváhagyja, vagy elutasítja azokat;
3.3.1.3.1.4. dokumentálja az elektronikus információs rendszerben történt változtatásokra vonatkozó döntéseket;
3.3.1.3.1.5. megvalósítja a jóváhagyott változtatásokat az elektronikus információs rendszerben;
3.3.1.3.1.6. visszakereshetően megőrzi az elektronikus információs rendszerben megvalósított változtatások dokumentumait, részletes leírását;
3.3.1.3.1.7. auditálja és felülvizsgálja a konfigurációváltozás felügyelet alá eső változtatásokkal kapcsolatos tevékenységeket.
3.3.1.3.2. Előzetes tesztelés és megerősítés
A konfiguráció megváltoztatása előtt az új verziót tesztelni kell, ezután dönteni kell annak megfelelőségéről, továbbá dokumentálni kell az elektronikus információs rendszer változtatásait az éles rendszerben történő megvalósítása előtt.
3.3.1.3.3. Automatikus támogatás
3.3.1.3.3.1. Automatikus mechanizmusokat kell alkalmazni:
3.3.1.3.3.1.1. az elektronikus információs rendszerben javasolt változtatások dokumentálására;
3.3.1.3.3.1.2. a jóváhagyásra jogosultak értesítésére;
3.3.1.3.3.1.3. a késedelmes jóváhagyások kiemelésére;
3.3.1.3.3.1.4. a még nem jóváhagyott változások végrehajtásának a megakadályozására;
3.3.1.3.3.1.5. az elektronikus információs rendszerben végrehajtott változások teljes dokumentálására;
3.3.1.3.3.1.6. a jóváhagyásra jogosultak értesítésére a jóváhagyott változtatások végrehajtásáról.
3.3.1.4. Biztonsági hatásvizsgálat
3.3.1.4.1. Az érintett szervezet megvizsgálja az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt.
3.3.1.4.2. Elkülönített tesztkörnyezet
Az érintett szervezet a változtatásokat éles rendszerben történő megvalósításuk előtt egy elkülönített tesztkörnyezetben vizsgálja, hibákat, sebezhetőségeket, kompatibilitási problémákat és szándékos károkozásra utaló jeleket keresve.
3.3.1.5. A változtatásokra vonatkozó hozzáférés korlátozások
3.3.1.5.1. Az érintett szervezet belső szabályozásában meghatározza a változtatásokhoz való hozzáférési jogosultságot, dokumentálja a hozzáférési jogosultságokat, jóváhagyja azokat, fizikai és logikai hozzáférés korlátozásokat alkalmaz az elektronikus információs rendszer változtatásaival kapcsolatban.
3.3.1.5.2. Automatikus támogatás
Az érintett szervezet az elektronikus információs rendszerben automatikus mechanizmusokat alkalmaz a hozzáférési korlátozások érdekében, az ezzel kapcsolatos tevékenység naplózására.
3.3.1.5.3. Felülvizsgálat
Az érintett szervezet rendszeresen felülvizsgálja az elektronikus információs rendszer változtatásait annak megállapítására, hogy történt-e jogosulatlan változtatás.
3.3.1.5.4. Aláírt elemek
A szervezet által meghatározott szoftver- és az úgynevezett firmware (vezérlőeszköz) elemek esetében meg kell akadályozni az elemek telepítését, ha azok nincsenek digitálisan aláírva ismert és jóváhagyott tanúsítvány alkalmazásával.
3.3.1.6. Konfigurációs beállítások
3.3.1.6.1. Az érintett szervezet:
3.3.1.6.1.1. meghatározza a működési követelményeknek még megfelelő, de a biztonsági szempontból a lehető leginkább korlátozott módon - a "szükséges minimum" elv alapján - az elektronikus információs rendszerben használt információtechnológiai termékekre kötelező konfigurációs beállítást, és ezt ellenőrzési listaként dokumentálja;
3.3.1.6.1.2. elvégzi a konfigurációs beállításokat az elektronikus információs rendszer valamennyi elemében;
3.3.1.6.1.3. a meghatározott elemek konfigurációs beállításaiban azonosít, dokumentál és jóváhagy minden eltérést;
3.3.1.6.1.4. figyelemmel kíséri és ellenőrzi a konfigurációs beállítások változtatásait, az érintett szervezet belső szabályzataival és eljárásaival összhangban.
3.3.1.6.2. Automatikus támogatás
Az érintett szervezet automatikus mechanizmusokat alkalmaz a konfigurációs beállítások központi kezelésére, alkalmazására és ellenőrzésére.
3.3.1.6.3. Reagálás jogosulatlan változásokra
Az érintett szervezet meghatározott intézkedéseket vezet be a meghatározott konfigurációs beállítások jogosulatlan változtatásai esetén.
3.3.1.7. Legszűkebb funkcionalitás
3.3.1.7.1. Az érintett szervezet:
3.3.1.7.1.1. az elektronikus információs rendszert úgy konfigurálja, hogy az csak a szükséges szolgáltatásokat nyújtsa;
3.3.1.7.1.2. meghatározza a tiltott, vagy korlátozott, nem szükséges funkciók, portok, protokollok, szolgáltatások, szoftverek használatát.
3.3.1.7.2. Rendszeres felülvizsgálat
3.3.1.7.2.1. Az érintett szervezet meghatározott gyakorisággal átvizsgálja az elektronikus információs rendszert, meghatározza és kizárja, vagy letiltja a szükségtelen vagy nem biztonságos funkciókat, portokat, protokollokat és szolgáltatásokat.
3.3.1.7.2.2. Az érintett szervezetnek a szoftver használatra meghatározott szabályzatainak, vagy a szoftver használatára vonatkozó feltételeinek és kikötéseinek megfelelően az elektronikus információs rendszer megakadályozza a tiltott programok futtatását.
3.3.1.7.3. Nem futtatható szoftverek
Az érintett szervezet meghatározza, rendszeresen felülvizsgálja és frissíti az elektronikus információs rendszerben nem futtatható (tiltott, úgynevezett feketelistás) szoftverek listáját és megtiltja ezek futtatását.
3.3.1.7.4. Futtatható szoftverek
Az érintett szervezet meghatározza, rendszeresen felülvizsgálja és frissíti az elektronikus információs rendszerben jogosultan futtatható (engedélyezett, úgynevezett fehérlistás) szoftverek listáját és engedélyezi ezek futtatását, az ettől eltérő szoftver futtatását egyedi engedélyhez köti.
3.3.1.8. Elektronikus információs rendszerelem leltár
3.3.1.8.1 Az érintett szervezet:
3.3.1.8.1.1. leltárt készít az elektronikus információs rendszer elemeiről;
3.3.1.8.1.2. meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerelem leltárt;
3.3.1.8.1.3. gondoskodik arról, hogy a leltár:
3.3.1.8.1.3.1. pontosan tükrözze az elektronikus információs rendszer aktuális állapotát,
3.3.1.8.1.3.2. az elektronikus információs rendszer hatókörébe eső valamennyi hardver- és szoftverelemet tartalmazza;
3.3.1.8.1.3.3. legyen kellően részletes a nyomkövetéshez és a jelentéskészítéshez.
3.3.1.8.2. Frissítés
Az érintett szervezet az elektronikus információs rendszerelem leltárt frissíti az egyes rendszerelemek telepítésének, eltávolításának, frissítésének időpontjában.
3.3.1.8.3. Jogosulatlan elemek automatikus észlelése
3.3.1.8.3.1. Automatizált mechanizmusok biztosítják, hogy a szervezet által meghatározott gyakorisággal a jogosulatlan hardver-, szoftver- és firmware elemek észlelése megtörténjen.
3.3.1.8.3.2. A jogosulatlan elemek észlelése esetén le kell tiltani az ilyen elemek általi hálózati hozzáférést; el kell őket különíteni, és értesíteni kell az illetékes személyeket.
3.3.1.8.4. Duplikálás elleni védelem
Az érintett szervezet ellenőrzi, hogy az elektronikus információs rendszer hatókörén belüli elemek nincsenek-e felvéve más elektronikus információs rendszerek leltárában.
3.3.1.8.5. Automatikus támogatás
Az érintett szervezet automatikus mechanizmusokat alkalmaz az elektronikus információs rendszerelem leltár naprakész, teljes, pontos, és állandóan rendelkezésre álló kezelésének támogatására.
3.3.1.8.6. Naplózás
Az elektronikus információs rendszerelem leltárhoz csatolni kell az egyes elemek adminisztrálásáért felelős személyek nevét, pozícióját vagy szerepkörét.
3.3.1.9. Konfigurációkezelési terv
3.3.1.9.1. Az érintett szervezet:
3.3.1.9.1.1. kialakít, dokumentál és végrehajt egy, az elektronikus információs rendszerre vonatkozó konfigurációkezelési tervet, mely figyelembe veszi a szerepköröket, felelősségeket, konfigurációkezelési folyamatokat és eljárásokat;
3.3.1.9.1.2. bevezet egy folyamatot a konfigurációelemek azonosítására a rendszer-fejlesztési életciklus folyamán és a konfigurációelemek konfigurációjának kezelésére;
3.3.1.9.1.3. meghatározza az elektronikus információs rendszer konfigurációelemeit, és a konfigurációelemeket a konfigurációkezelés alá helyezi;
3.3.1.9.1.4. védi a konfigurációkezelési tervet a jogosulatlan felfedéssel és módosítással szemben.
3.3.1.10. A szoftverhasználat korlátozásai
3.3.1.10.1. Az érintett szervezet:
3.3.1.10.1.1. kizárólag olyan szoftvereket és kapcsolódó dokumentációt használ, amelyek megfelelnek a reájuk vonatkozó szerződésbeli elvárásoknak, és a szerzői jogi, vagy más jogszabályoknak;
3.3.1.10.1.2. a másolatok, megosztások ellenőrzésére nyomon követi a mennyiségi licencekkel védett szoftverek és a kapcsolódó dokumentációk használatát;
3.3.1.10.1.3. ellenőrzi és dokumentálja az állomány megosztásokat, hogy meggyőződjön arról, hogy ezt a lehetőséget nem használják szerzői joggal védett munka jogosulatlan megosztására, megjelenítésére, végrehajtására vagy reprodukálására.
3.3.1.11. A felhasználó által telepített szoftverek
3.3.1.11.1. Az érintett szervezet:
3.3.1.11.1.1. megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti azokat a szabályokat, amelyek meghatározzák a szoftverek felhasználó általi telepítési lehetőségét;
3.3.1.11.1.2. érvényesíti a szoftvertelepítésre vonatkozó szabályokat az érintett szervezet által meghatározott módszerek szerint;
3.3.1.11.1.3. meghatározott gyakorisággal ellenőrzi a szabályok betartását.
3.3.2. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE
3.3.2.1. Üzletmenet-folytonosságra vonatkozó eljárásrend
3.3.2.1.1. Az érintett szervezet:
3.3.2.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül az érintett személyi kör részére kihirdeti az elektronikus információs rendszerre vonatkozó eljárásrendet, mely az üzletmenet-folytonosságra vonatkozó szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.2.1.1.2. az üzletmenet-folytonossági tervben, vagy más szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az üzletmenet-folytonosságra vonatkozó eljárásrendet.
3.3.2.2. Üzletmenet-folytonossági terv informatikai erőforrás kiesésekre
3.3.2.2.1. Az érintett szervezet:
3.3.2.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kizárólag a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyek és szervezeti egységek számára kihirdeti az elektronikus információs rendszerekre vonatkozó üzletmenet-folytonossági tervet;
3.3.2.2.1.2. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági események kezelésével;
3.3.2.2.1.3. meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszerhez kapcsolódó üzletmenet-folytonossági tervet;
3.3.2.2.1.4. az elektronikus információs rendszer vagy a működtetési környezet változásainak, az üzletmenet-folytonossági terv megvalósítása, végrehajtása vagy tesztelése során felmerülő problémáknak megfelelően aktualizálja az üzletmenet-folytonossági tervet;
3.3.2.2.1.5. tájékoztatja az üzletmenet-folytonossági terv változásairól a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyeket és szervezeti egységeket;
3.3.2.2.1.6. gondoskodik arról, hogy az üzletmenet-folytonossági terv jogosulatlanok számára ne legyen megismerhető, módosítható;
3.3.2.2.1.7. meghatározza az alapfeladatokat (biztosítandó szolgáltatásokat) és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket;
3.3.2.2.1.8. rendelkezik a helyreállítási feladatokról, a helyreállítási prioritásokról és mértékekről;
3.3.2.2.1.9. jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket;
3.3.2.2.1.10. fenntartja a szervezet által előzetesen definiált alapszolgáltatásokat, még az elektronikus információs rendszer összeomlása, kompromittálódása vagy hibája ellenére is;
3.3.2.2.1.11. kidolgozza a végleges, teljes elektronikus információs rendszer helyreállításának tervét úgy, hogy az nem ronthatja le az eredetileg tervezett és megvalósított biztonsági védelmeket.
3.3.2.2.2. Egyeztetés
Az üzletmenet-folytonossági tervet egyeztetni kell a kapcsolódó, hasonló tervekért felelős szervezeti egységekkel.
3.3.2.2.3. Alapfunkciók újraindítása
Meg kell határozni az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását követőn.
3.3.2.2.4. Kritikus rendszerelemek meghatározása
Meg kell határozni az elektronikus információs rendszer alapfunkcióit támogató kritikus rendszerelemeket.
3.3.2.2.5. Kapacitástervezés
Meg kell tervezni a folyamatos működéshez szükséges információ-feldolgozó, infokommunikációs és környezeti képességek biztosításához szükséges kapacitást.
3.3.2.2.6. Összes funkció újraindítása
Meg kell határozni az összes funkció újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását követően.
3.3.2.2.7. Alapfeladatok és alapfunkciók folyamatossága
Az alapfeladatok és alapfunkciók folyamatosságát úgy kell megtervezni, hogy azok üzemelési folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő, fenntartható legyen a folyamatosság az elektronikus információs rendszer elsődleges feldolgozó vagy tárolási helyszínén történő teljes helyreállításáig.
3.3.2.3. A folyamatos működésre felkészítő képzés
3.3.2.3.1. Az érintett szervezet az elektronikus információs rendszer folyamatos működésére felkészítő képzést tart a felhasználóknak, szerepkörüknek és felelősségüknek megfelelően:
3.3.2.3.1.1. szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül;
3.3.2.3.1.2. meghatározott gyakorisággal, vagy amikor az elektronikus információs rendszer változásai ezt szükségessé teszik.
3.3.2.3.2. Szimuláció
A folyamatos működésre felkészítő képzésben szimulált eseményeket kell alkalmazni, hogy elősegítse a személyzet hatékony reagálását a kritikus helyzetekben.
3.3.2.4. Az üzletmenet-folytonossági terv tesztelése
3.3.2.4.1. Az érintett szervezet:
3.3.2.4.1.1. meghatározott gyakorisággal és meghatározott teszteken keresztül vizsgálja az elektronikus információs rendszerre vonatkozó üzletmenet-folytonossági tervet a terv hatékonyságának és az érintett szervezet felkészültségének a felmérése céljából;
3.3.2.4.1.2. értékeli az üzletmenet-folytonossági terv tesztelési eredményeit;
3.3.2.4.1.3. az értékelés alapján szükség esetén javítja a tervet, a javításokkal kapcsolatban az üzletmenet-folytonossági tervre vonatkozó általános eljárási szabályok szerint jár el.
3.3.2.4.2. Koordináció
Az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel egyeztetni kell.
3.3.2.4.3. Tartalék feldolgozási helyszín
Az üzletmenet folytonossági tervet a tartalék feldolgozási helyszínen is tesztelni kell, hogy az érintett szervezet megismerje az adottságokat, és az elérhető erőforrásokat, valamint értékelje a tartalék feldolgozási helyszín képességeit a folyamatos működés támogatására.
3.3.2.5. Biztonsági tárolási helyszín
3.3.2.5.1. Az érintett szervezet kijelöl egy biztonsági tárolási helyszínt, ahol az elektronikus információs rendszer mentéseinek másodlatát az elsődleges helyszínnel azonos módon, és biztonsági feltételek mellett tárolja.
3.3.2.5.2. Elkülönítés
A biztonsági tárolási helyszínnek el kell különülni az elsődleges tárolás helyszínétől, az azonos veszélyektől való érzékenység csökkentése érdekében.
3.3.2.5.3. Üzletmenet-folytonosság elérhetőség
A biztonsági tárolási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.
3.3.2.5.4. Üzletmenetfolytonosság helyreállítás
A biztonsági tárolási helyszínt úgy kell kialakítani, hogy az elősegítse a helyreállítási tevékenységeket, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal.
3.3.2.6. Tartalék feldolgozási helyszín
3.3.2.6.1. Az érintett szervezet:
3.3.2.6.1.1. kijelöl egy tartalék feldolgozási helyszínt azért, hogy ha az elsődleges feldolgozási képesség nem áll rendelkezésére, elektronikus információs rendszere előre meghatározott műveleteit, előre meghatározott időn belül - összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal - a tartalék helyszínen újra kezdhesse, vagy folytathassa;
3.3.2.6.1.2. biztosítja, hogy a működés újrakezdéséhez, vagy folytatásához szükséges eszközök és feltételek a tartalék feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak;
3.3.2.6.1.3. biztosítja, hogy a tartalék feldolgozási helyszín informatikai biztonsági intézkedései egyenértékűek legyenek az elsődleges helyszínen alkalmazottakkal.
3.3.2.6.2. Elkülönítés
Olyan tartalék feldolgozási helyszínt kell kijelölni, amely elkülönül az elsődleges feldolgozás helyszínétől, az azonos veszélyektől való érzékenység csökkentése érdekében.
3.3.2.6.3. Elérhetőség
Az alternatív feldolgozási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.
3.3.2.6.4. Szolgáltatások priorálása
A tartalék feldolgozási helyszínre vonatkozóan olyan megállapodásokat kell kötni, intézkedéseket kell bevezetni, amelyek a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási idő célokkal) összhangban álló szolgáltatás-prioritási rendelkezéseket tartalmaznak.
3.3.2.6.5. Előkészület a működés megindítására
Az érintett szervezet úgy készíti fel a tartalék feldolgozási helyszínt, hogy az meghatározott időn belül készen álljon az alapfunkciók működésének támogatására.
3.3.2.7. Infokommunikációs szolgáltatások
3.3.2.7.1. Az érintett szervezet - a Nemzeti Távközlési Gerinchálózatra csatlakozó elektronikus információs rendszerek kivételével - tartalék infokommunikációs szolgáltatásokat létesít, erre vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az elektronikus információs rendszer alapfunkciói, vagy meghatározott műveletek számára azok meghatározott időtartamon belüli újrakezdését, amennyiben az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék feldolgozási vagy tárolási helyszínen.
3.3.2.7.2. Szolgáltatások prioritása
Amennyiben az elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül sor, az tartalmazza a szolgáltatás-prioritási rendelkezéseket, a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási idő célokkal) összhangban.
3.3.2.7.3. Közös hibalehetőségek kizárása
Olyan tartalék infokommunikációs szolgáltatásokat kell igénybe venni, melyek csökkentik az elsődleges infokommunikációs szolgáltatásokkal közös hibalehetőségek valószínűségét (pl. alternatív technológiára épülnek).
3.3.2.8. Az elektronikus információs rendszer mentései
3.3.2.8.1. Az érintett szervezet:
3.3.2.8.1.1. meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;
3.3.2.8.1.2. meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;
3.3.2.8.1.3. meghatározott gyakorisággal elmenti az elektronikus információs rendszer dokumentációját, köztük a biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;
3.3.2.8.1.4. megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását mind az elsődleges, mind a másodlagos tárolási helyszínen.
3.3.2.8.2. Megbízhatósági és sértetlenségi teszt
Meghatározott gyakorisággal tesztelni kell a mentett információkat, az adathordozók megbízhatóságának és az információ sértetlenségének a garantálása érdekében.
3.3.2.8.3. Helyreállítási teszt
Az üzletmenet-folytonossági terv tesztelésének részeként egy kiválasztott mintát kell használni a biztonsági másolat információkból az elektronikus információs rendszer kiválasztott funkcióinak helyreállításánál.
3.3.2.8.4. Kritikus információk elkülönítése
Az érintett szervezet által meghatározott, az elektronikus információs rendszer kritikus szoftvereinek és egyéb biztonsággal kapcsolatos információinak biztonsági másolatait egy elkülönített berendezésen vagy egy minősítéssel rendelkező tűzbiztos tárolóban kell tárolni.
3.3.2.8.5. Alternatív tárolási helyszín
Az elektronikus információs rendszer biztonsági másolat információit a 3.3.2.5. pontban meghatározottak szerinti biztonsági tárolási helyszínen kell tárolni.
3.3.2.9. Az elektronikus információs rendszer helyreállítása és újraindítása
3.3.2.9.1. Az érintett szervezet gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően.
3.3.2.9.2. Tranzakciók helyreállítása
Az érintett szervezet tranzakció alapú elektronikus információs rendszerek esetén tranzakció helyreállítást hajt végre.
3.3.2.9.3. Helyreállítási idő
Az érintett szervezet biztosítja azt a lehetőséget, hogy az elektronikus információs rendszerelemeket előre definiált helyreállítási idő alatt helyre lehessen állítani egy olyan konfigurációellenőrzött és sértetlenség védett információból, ami az elem ismert működési állapotát reprezentálja.
3.3.3. KARBANTARTÁS
3.3.3.1. Rendszer karbantartási eljárásrend
3.3.3.1.1. Az érintett szervezet:
3.3.3.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a rendszer karbantartási eljárásrendet, mely a rendszer karbantartási kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.3.1.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer karbantartási eljárásrendet.
3.3.3.2. Rendszeres karbantartás
3.3.3.2.1. Az érintett szervezet:
3.3.3.2.1.1. a karbantartásokat és javításokat ütemezetten hajtja végre, dokumentálja és felülvizsgálja a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően;
3.3.3.2.1.2. jóváhagyja és ellenőrzi az összes karbantartási tevékenységet, függetlenül attól, hogy azt a helyszínen vagy távolról végzik, és függetlenül attól, hogy a berendezést a helyszínen, vagy másutt tartják karban;
3.3.3.2.1.3. az ezért felelős személyek jóváhagyásához köti az elektronikus információs rendszer vagy a rendszerelemek kiszállítását a szervezeti létesítményből;
3.3.3.2.1.4. az elszállítás előtt minden adatot és információt - mentést követően - töröl a berendezésről;
3.3.3.2.1.5. ellenőrzi, hogy a berendezések a karbantartási vagy javítási tevékenységek után is megfelelően működnek-e, és biztonsági ellenőrzésnek veti alá azokat;
3.3.3.2.1.6. csatolja a meghatározott, karbantartással kapcsolatos információkat a karbantartási nyilvántartáshoz.
3.3.3.2.2. Automatikus támogatás
3.3.3.2.2.1. Az érintett szervezet:
3.3.3.2.2.1.1. automatizált mechanizmusokat alkalmaz a karbantartások és javítások ütemezésére, lefolytatására és dokumentálására;
3.3.3.2.2.1.2. naprakész, pontos és teljes nyilvántartást készít minden igényelt, ütemezett, folyamatban lévő és befejezett karbantartási és javítási akcióról.
3.3.3.3. Karbantartási eszközök
3.3.3.3.1. Az érintett szervezet jóváhagyja, nyilvántartja és ellenőrzi az elektronikus információs rendszer karbantartási eszközeit.
3.3.3.3.2. Ellenőrzés
Az érintett szervezet ellenőrzi a karbantartó személyzet által a létesítménybe hozott karbantartási eszközöket, a nem megfelelő vagy jogosulatlan módosítások megakadályozása érdekében.
3.3.3.3.3. Adathordozó ellenőrzés
Az érintett szervezet ellenőrzi a diagnosztikai és teszt programokat tartalmazó adathordozókat a kártékony kódok tekintetében, mielőtt azt az elektronikus információs rendszerben használnák.
3.3.3.3.4. Szállítási felügyelet
3.3.3.3.4.1. Az érintett szervezet meggátolja, hogy információt tartalmazó karbantartási eszközt jogosulatlanul elszállítsanak, azzal, hogy:
3.3.3.3.4.1.1. ellenőrzi az eszköz nem tartalmaz-e információt;
3.3.3.3.4.1.2. ha az eszköz tartalmaz információt, azt törli vagy megsemmisíti az eszközt;
3.3.3.3.4.1.3. az eszközt a létesítményen belül őrzi;
3.3.3.3.4.1.4. az ezért felelős személyekkel engedélyezteti az eszköz elszállítását a létesítményből.
3.3.3.4. Távoli karbantartás
3.3.3.4.1. Az érintett szervezet:
3.3.3.4.1.1. jóváhagyja, nyomon követi és ellenőrzi a távoli karbantartási és diagnosztikai tevékenységeket;
3.3.3.4.1.2. akkor engedélyezi a távoli karbantartási és diagnosztikai eszközök használatát, ha az összhangban áll az informatikai biztonsági szabályzattal és dokumentálva van az elektronikus információs rendszer rendszerbiztonsági tervében;
3.3.3.4.1.3. hitelesítéseket alkalmaz a távoli karbantartási és diagnosztikai munkaszakaszok létrehozásánál;
3.3.3.4.1.4. nyilvántartást vezet a távoli karbantartási és diagnosztikai tevékenységekről;
3.3.3.4.1.5. lezárja a munkaszakaszt és a hálózati kapcsolatokat, amikor a távoli karbantartás befejeződik.
3.3.3.4.2. Dokumentálás
Az érintett szervezet az elektronikus információs rendszer rendszerbiztonsági tervében dokumentálja a távoli karbantartási és diagnosztikai kapcsolatok létrehozására és használatára vonatkozó szabályokat és eljárásokat.
3.3.3.4.3. Összehasonlítható biztonság
3.3.3.4.3.1. Az érintett szervezet megköveteli, hogy a távoli karbantartási és diagnosztikai javítások olyan elektronikus információs rendszerből legyenek végrehajtva, amelyben a biztonsági képességek azonos szintűek a szervizelt rendszer biztonsági képességekkel.
3.3.3.4.3.2. Ha a 3.3.3.4.3.1. pont szerinti eljárás nem biztosított, a szervizelendő elemet el kell távolítani az elektronikus információs rendszerből, és a távoli karbantartási és diagnosztikai szervizelést megelőzően minden információt törölni kell az érintett rendszerelemről.
3.3.3.4.3.3. Ha a 3.3.3.4.3.1., vagy a 3.3.3.4.3.2. pont szerinti eljárást nem lehet lefolytatni, a szervizelés végrehajtását követően át kell vizsgálni az elemet a lehetséges kártékony szoftverek miatt, mielőtt visszakapcsoljak az elektronikus információs rendszerhez.
3.3.3.5. Karbantartók
3.3.3.5.1. Az érintett szervezet:
3.3.3.5.1.1. kialakít egy folyamatot a karbantartók munkavégzési engedélyének kezelésére, és nyilvántartást vezet a karbantartó szervezetekről vagy személyekről;
3.3.3.5.1.2. megköveteli a hozzáférési jogosultság igazolását az elektronikus információs rendszeren karbantartást végzőktől;
3.3.3.5.1.3. felhatalmazást ad a szervezethez tartozó, a kívánt hozzáférési jogosultságokkal és műszaki szakértelemmel rendelkező személyeknek arra, hogy felügyeljék a kívánt jogosultságokkal nem rendelkező személyek karbantartási tevékenységeit.
3.3.3.5.2. Karbantartás fokozott biztonsági intézkedésekkel
3.3.3.5.2.1. Az érintett szervezet:
3.3.3.5.2.1.1. a megfelelő biztonsági engedéllyel nem rendelkező karbantartó személyek alkalmazása során:
3.3.3.5.2.1.1.1. az ilyen karbantartó személyeket megfelelő hozzáférési jogosultságú, műszakilag képzett belső személyekkel felügyelete alatt tartja az elektronikus információs rendszeren végzett karbantartási és diagnosztikai tevékenységek során,
3.3.3.5.2.1.1.2. a karbantartási és diagnosztikai tevékenységek megkezdése előtt az elektronikus információs rendszer minden fellelhető információtároló elemét törli, és a nem törölhető adathordozót eltávolítja, vagy fizikailag leválasztja a rendszertől;
3.3.3.5.2.1.2. alternatív biztonsági védelmet alakít ki, ha egy elektronikus információs rendszerelemet nem lehet törölni, eltávolítani vagy a rendszertől leválasztani.
3.3.3.6. Időben történő javítás
Az érintett szervezet karbantartási támogatást, tartalék alkatrészeket szerez be a meghatározott elektronikus információs rendszerelemekhez.
3.3.4. ADATHORDOZÓK VÉDELME
3.3.4.1. Adathordozók védelmére vonatkozó eljárásrend
3.3.4.1.1. Az érintett szervezet:
3.3.4.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az adathordozók védelmére vonatkozó eljárásrendet, mely az adathordozókra vonatkozó védelmi szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.4.1.1.2. az adathordozók védelmére vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az adathordozók védelmére vonatkozó eljárásrendet.
3.3.4.2. Hozzáférés az adathordozókhoz
Az érintett szervezet az egyes adathordozó típusokhoz való hozzáférésre feljogosított személyek körét, jogosítványuk tartalmát meghatározza.
3.3.4.3. Adathordozók címkézése
Az érintett szervezet megjelöli az elektronikus információs rendszer adathordozóit, jelezve az információra vonatkozó terjesztési korlátozásokat, kezelési figyelmeztetéseket és a megfelelő biztonsági jelzéseket, ha ezek rendelkezésre állnak.
3.3.4.4. Adathordozók tárolása
3.3.4.4.1. Az érintett szervezet:
3.3.4.4.1.1. fizikailag ellenőrzi és biztonságosan tárolja az adathordozókat, az arra engedélyezett, vagy kijelölt helyen;
3.3.4.4.1.2. védi az elektronikus információs rendszer adathordozóit mindaddig, amíg az adathordozókat jóváhagyott eszközökkel, technikákkal és eljárásokkal nem semmisítik meg, vagy nem törlik.
3.3.4.5. Adathordozók szállítása
3.3.4.5.1. Az érintett szervezet:
3.3.4.5.1.1 meghatározott biztonsági óvintézkedésekkel védi és ellenőrzi az elektronikus információs rendszer adathordozóit az ellenőrzött területeken kívüli szállítás folyamán;
3.3.4.5.1.2. biztosítja az adathordozók elszámoltathatóságát az ellenőrzött területeken kívüli szállítás folyamán;
3.3.4.5.1.3. dokumentálja az adathordozók szállításával kapcsolatos tevékenységeket;
3.3.4.5.1.4. korlátozza az adathordozók szállításával kapcsolatos tevékenységeket az arra jogosult személyekre.
3.3.4.5.2. Kriptográfiai védelem
Kriptográfiai mechanizmusokat kell alkalmazni a digitális adathordozókon tárolt információk bizalmasságának és sértetlenségének a védelmére az ellenőrzött területeken kívüli szállítás folyamán.
3.3.4.6. Adathordozók törlése
3.3.4.6.1. Az érintett szervezet:
3.3.4.6.1.1. a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal törli az elektronikus információs rendszer meghatározott adathordozóit a leselejtezés, a szervezeti ellenőrzés megszűnte, vagy újrafelhasználásra való kibocsátás előtt;
3.3.4.6.1.2. a törlési mechanizmusokat az információ minősítési kategóriájával arányos erősségnek és sértetlenségnek megfelelően alkalmazza.
3.3.4.6.2. Ellenőrzés
Az érintett szervezet felülvizsgálja, jóváhagyja, nyomon követi, dokumentálja és ellenőrzi az adathordozók törlésével és megsemmisítésével kapcsolatos tevékenységeket.
3.3.4.6.3. Tesztelés
A törlésre alkalmazott eszközöket és eljárásokat meghatározott gyakorisággal tesztelni kell.
3.3.4.6.4. Törlés megsemmisítés nélkül
Nem romboló törlési technikák alkalmazhatók a meghatározott hordozható tárolóeszközökre, mielőtt ilyen eszközöket az elektronikus információs rendszerhez csatolnak.
3.3.4.7. Adathordozók használata
3.3.4.7.1. Az érintett szervezet engedélyezi, korlátozza, vagy tiltja egyes, vagy bármely adathordozó típusok használatát a meghatározott elektronikus információs rendszereken vagy rendszerelemeken működő biztonsági intézkedések használatával.
3.3.4.7.2. Ismeretlen tulajdonos
Az érintett szervezet megtiltja az olyan hordozható adathordozók használatát az elektronikus információs rendszerben, melyek tulajdonosa nem azonosítható.
3.3.5. AZONOSÍTÁS ÉS HITELESÍTÉS
3.3.5.1. Azonosítási és hitelesítési eljárásrend
3.3.5.1.1. Az érintett szervezet:
3.3.5.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az azonosítási és hitelesítésre vonatkozó eljárásrendet, mely az azonosítási és hitelesítési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.5.1.1.2. az azonosítási és hitelesítésre vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az azonosítási és hitelesítésre vonatkozó eljárásrendet.
3.3.5.2. Azonosítás és hitelesítés
3.3.5.2.1. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti a szervezet felhasználóit, a felhasználók által végzett tevékenységet.
3.3.5.2.2. Hálózati hozzáférés privilegizált fiókokhoz
Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a különleges jogosultsághoz kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.
3.3.5.2.3. Hálózati hozzáférés nem privilegizált fiókokhoz
Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a nem privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.
3.3.5.2.4. Helyi hozzáférés privilegizált fiókokhoz
Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a privilegizált felhasználói fiókokhoz való helyi hozzáféréshez.
3.3.5.2.5. Visszajátszás-védelem
Az elektronikus információs rendszer visszajátszás elleni védelmet biztosító hitelesítési mechanizmusokat alkalmaz a privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.
3.3.5.2.6. Távoli hozzáférés - külön eszköz
Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a felhasználói fiókokhoz való távoli hozzáféréshez, és az egyik hozzáférést megelőző tényező egy, az elektronikus információs rendszertől elkülönülő olyan eszköz, amelyen a meghatározott biztonsági követelmények teljesülnek.
3.3.5.2.7. Helyi hozzáférés nem privilegizált fiókokhoz
Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a nem privilegizált felhasználói fiókokhoz való helyi hozzáféréshez.
3.3.5.2.8. Visszajátszás ellen védett hálózati hozzáférés nem privilegizált fiókokhoz
Az elektronikus információs rendszer visszajátszás elleni védelmet biztosító hitelesítési mechanizmusokat alkalmaz a nem privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.
3.3.5.3. Eszközök azonosítása és hitelesítése
Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti a meghatározott eszközöket, vagy eszköz típusokat mielőtt helyi, vagy távoli hálózati kapcsolatot létesítene velük.
3.3.5.4. Azonosító kezelés
3.3.5.4.1. Az érintett szervezet:
3.3.5.4.1.1. az egyéni-, csoport-, szerepkör- vagy eszközazonosítók kijelölését a szervezet által meghatározott személyek vagy szerepkörök jogosultságához köti;
3.3.5.4.1.2. hozzárendeli az azonosítót a kívánt egyénhez, csoporthoz, szerepkörhöz vagy eszközhöz;
3.3.5.4.1.3. meghatározott időtartamig megakadályozza az azonosítók ismételt felhasználását;
3.3.5.4.1.4. meghatározott időtartamú inaktivitás esetén letiltja az azonosítót.
3.3.5.5. A hitelesítésre szolgáló eszközök kezelése
3.3.5.5.1. Az érintett szervezet:
3.3.5.5.1.1. ellenőrzi a hitelesítésre szolgáló eszközök kiosztásakor az eszközt átvevő egyén, csoport, szerepkör vagy eszköz jogosultságát;
3.3.5.5.1.2. meghatározza a hitelesítésre szolgáló eszköz kezdeti tartalmát;
3.3.5.5.1.3. biztosítja a hitelesítésre szolgáló eszköz tervezett felhasználásának megfelelő jogosultságokat;
3.3.5.5.1.4. dokumentálja a hitelesítésre szolgáló eszközök kiosztását, visszavonását, cseréjét, az elvesztett, vagy a kompromittálódott, vagy a sérült eszközöket;
3.3.5.5.1.5. megváltoztatja a hitelesítésre szolgáló eszközök alapértelmezés szerinti értékét az elektronikus információs rendszer telepítése során;
3.3.5.5.1.6. meghatározza a hitelesítésre szolgáló eszközök minimális és maximális használati idejét, valamint ismételt felhasználhatóságának feltételeit;
3.3.5.5.1.7. a hitelesítésre szolgáló eszköz típusra meghatározott időnként megváltoztatja vagy frissíti a hitelesítésre szolgáló eszközöket;
3.3.5.5.1.8. megvédi a hitelesítésre szolgáló eszközök tartalmát a jogosulatlan felfedéstől és módosítástól;
3.3.5.5.1.9. megköveteli a hitelesítésre szolgáló eszközök felhasználóitól, hogy védjék eszközeik bizalmasságát, sértetlenségét;
3.3.5.5.1.10. lecseréli a hitelesítésre szolgáló eszközt az érintett fiókok megváltoztatásakor.
3.3.5.5.2. Jelszó (tudás) alapú hitelesítés
3.3.5.5.2.1. Az érintett szervezet:
3.3.5.5.2.1.1. a jelszóra a következő elvárásokat érvényesíti: kis- és nagybetűk megkülönböztetése; a karakterek számának meghatározása; a kisbetűk, nagybetűk, számok és speciális karakterek, és minimális jelszóhosszúság;
3.3.5.5.2.1.2. meghatározott szám karakterváltozást kényszerít ki új jelszó létrehozásakor;
3.3.5.5.2.1.3. a jelszavakat nem tárolja (ide nem értve az irreverzibilis kriptográfiai hasító függvénnyel a jelszóból képzett hasító érték tárolást) és nem továbbítja;
3.3.5.5.2.1.4. a jelszavakra minimális és maximális élettartam korlátozást juttat érvényre úgy, hogy meghatározott számú új jelszóig megtiltja a jelszavak ismételt felhasználását, és a rendszerbe első lépést lehetővé tevő ideiglenes jelszó lecserélésére kötelez.
3.3.5.5.3. Birtoklás alapú hitelesítés
3.3.5.5.3.1. Az érintett szervezet:
3.3.5.5.3.1.1. az elektronikus információs rendszer hardver token alapú hitelesítése esetén olyan mechanizmusokat alkalmaz, amely megfelel az érintett szervezet által meghatározott minőségi követelményeknek, vagy
3.3.5.5.3.1.2. az elektronikus információs rendszer nyilvános kulcsú infrastruktúra alapú hitelesítés esetén:
3.3.5.5.3.1.2.1. ellenőrzi a tanúsítványokat egy elfogadott megbízható pontig tartó tanúsítványlánc felépítésével és ellenőrzésével, beleértve a tanúsítvány állapot információ ellenőrzését is;
3.3.5.5.3.1.2.2. kikényszeríti a megfelelő magánkulcshoz való jogosult hozzáférést;
3.3.5.5.3.1.2.3. összekapcsolja a hitelesített azonosságot az egyéni vagy csoport fiókkal;
3.3.5.5.3.1.2.4. megvalósítja a visszavonási adatok helyi tárolását a tanúsítványlánc felépítésének és ellenőrzésének támogatására arra az esetre, amikor a visszavonási információk a hálózaton keresztül nem elérhetők.
3.3.5.5.4. Tulajdonság alapú hitelesítés
Az érintett szervezet a felhasználó egyedi (biometrikus) azonosítást lehetővé tevő tulajdonságai alapján végzi el az azonosítást (pl.: ujjlenyomat, retina letapogatás, és más hasonló).
3.3.5.5.5. Személyes vagy megbízható harmadik fél általi regisztráció
Az érintett szervezet meghatározott hitelesítő eszköz átvételéhez megkövetel egy olyan regisztrációs eljárást, melyet meghatározott regisztrációs szervezet folytat le az érintett szervezet által meghatározott személyek vagy szerepkörök jóváhagyása mellett.
3.3.5.6. A hitelesítésre szolgáló eszköz visszacsatolása
Az elektronikus információs rendszer fedett visszacsatolást biztosít a hitelesítési folyamat során, hogy megvédje a hitelesítési információt jogosulatlan személyek esetleges felfedésétől, felhasználásától.
3.3.5.7. Hitelesítés kriptográfiai modul esetén
Az elektronikus információs rendszer egy adott kriptográfiai modulhoz való hitelesítésre olyan mechanizmusokat használ, amelyek megfelelnek a kriptográfiai modul hitelesítési útmutatójának.
3.3.5.8. Azonosítás és hitelesítés (szervezeten kívüli felhasználók)
3.3.5.8.1. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti az érintett szervezeten kívüli felhasználókat, és tevékenységüket.
3.3.5.8.2. Hitelesítésszolgáltatók tanúsítványának elfogadása
Az elektronikus információs rendszer csak a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokat fogadhatja el az érintett szervezeten kívüli felhasználók hitelesítéséhez.
3.3.6. HOZZÁFÉRÉS ELLENŐRZÉSE
3.3.6.1. Hozzáférés ellenőrzési eljárásrend
3.3.6.1.1. Az érintett szervezet:
3.3.6.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a hozzáférés ellenőrzési eljárásrendet, mely a hozzáférés ellenőrzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.6.1.1.2. a hozzáférés védelmére vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a hozzáférések védelmére vonatkozó eljárásrendet.
3.3.6.2. Felhasználói fiókok kezelése
3.3.6.2.1. Az érintett szervezet:
3.3.6.2.1.1. meghatározza és azonosítja az elektronikus információs rendszer felhasználói fiókjait, és ezek típusait;
3.3.6.2.1.2. kijelöli a felhasználói fiókok fiókkezelőit;
3.3.6.2.1.3. kialakítja a csoport- és szerepkör tagsági feltételeket;
3.3.6.2.1.4. meghatározza az elektronikus információs rendszer jogosult felhasználóit, a csoport- és szerepkör tagságot és a hozzáférési jogosultságokat, valamint (szükség esetén) az egyes felhasználói fiókok további jellemzőit;
3.3.6.2.1.5. létrehozza, engedélyezi, módosítja, letiltja és eltávolítja a felhasználói fiókokat a meghatározott eljárásokkal vagy feltételekkel összhangban;
3.3.6.2.1.6. ellenőrzi a felhasználói fiókok használatát;
3.3.6.2.1.7. értesíti a fiókkezelőket, ha:
3.3.6.2.1.7.1. a felhasználói fiókokra már nincsen szükség,
3.3.6.2.1.7.2. a felhasználók kiléptek vagy áthelyezésre kerültek,
3.3.6.2.1.7.3. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek megváltoztak;
3.3.6.2.1.8. feljogosít az elektronikus információs rendszerhez való hozzáférésre:
3.3.6.2.1.8.1. az érvényes hozzáférési engedély,
3.3.6.2.1.8.2. a tervezett rendszerhasználat,
3.3.6.2.1.8.3. az alapfeladatok és funkcióik alapján;
3.3.6.2.1.9. meghatározott gyakorisággal felülvizsgálja a felhasználói fiókokat, a fiókkezelési követelményekkel való összhangot;
3.3.6.2.1.10. kialakít egy folyamatot a megosztott vagy csoport felhasználói fiókokhoz tartozó hitelesítő eszközök vagy adatok újra kibocsátására (ha ilyet alkalmaznak), a csoport tagjainak változása esetére.
3.3.6.2.2. Automatikus kezelés
Az elektronikus információs rendszer automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer fiókjainak kezeléséhez.
3.3.6.2.3. Ideiglenes fiókok eltávolítása
Meghatározott időtartam letelte után az elektronikus információs rendszer automatikusan eltávolítja, vagy letiltja az ideiglenes vagy kényszerhelyzetben létrehozott felhasználói fiókokat, vagy egyes kijelölt felhasználói fiók típusokat.
3.3.6.2.4. Inaktív fiókok letiltása
Az elektronikus információs rendszer automatikusan letiltja az inaktív fiókokat meghatározott időtartam letelte után.
3.3.6.2.5. Automatikus naplózás
Az elektronikus információs rendszer automatikusan naplózza a fiókok létrehozásával, módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és értesíti ezekről a meghatározott személyeket vagy szerepköröket.
3.3.6.2.6. Kiléptetés
Meghatározott időtartamú várható inaktivitás, vagy egyéb előre meghatározott esetekben ki kell léptetni a felhasználót.
3.3.6.2.7. Szokatlan használat
Figyelni kell az elektronikus információs rendszer fiókjait az érintett szervezet által meghatározott szokatlan használat szempontjából, és meghatározott személyeknek vagy szerepköröknek jelenteni kell azt.
3.3.6.2.8. Letiltás
Azonnal le kell tiltani a kockázatot jelentő felhasználók fiókjait.
3.3.6.3. Hozzáférés ellenőrzés érvényesítése
Az elektronikus információs rendszer a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat az információkhoz és a rendszer erőforrásaihoz való logikai hozzáféréshez.
3.3.6.4. Információáramlás ellenőrzés érvényesítése
Az elektronikus információs rendszer a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat a rendszeren belüli és a kapcsolódó rendszerek közötti információáramlás ellenőrzéséhez az érintett szervezet által meghatározott információáramlás ellenőrzési szabályoknak megfelelően.
3.3.6.5. A felelősségek szétválasztása
3.3.6.5.1. Az érintett szervezet:
3.3.6.5.1.1. szétválasztja az egyéni felelősségeket;
3.3.6.5.1.2. dokumentálja az egyéni felelősségek szétválasztását;
3.3.6.5.1.3. meghatározza az elektronikus információs rendszer hozzáférés jogosultságait az egyéni felelősségek szétválasztása érdekében.
3.3.6.6. Legkisebb jogosultság elve
3.3.6.6.1. Az elektronikus információs rendszer a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók - vagy a felhasználók tevékenysége - számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi.
3.3.6.6.2. Jogosult hozzáférés a biztonsági funkciókhoz
Az érintett szervezet hozzáférési jogosultságokat biztosít a meghatározott biztonsági funkciókhoz és biztonságkritikus információkhoz.
3.3.6.6.3. Nem privilegizált hozzáférés a biztonsági funkciókhoz
Az érintett szervezet kötelezővé teszi, hogy a szervezet meghatározott biztonsági funkciókhoz vagy biztonságkritikus információkhoz hozzáférési jogosultsággal rendelkező felhasználói a nem biztonsági funkciók használatához nem a különleges jogosultsághoz kötött - úgynevezett privilegizált - fiókjukat vagy szerepkörüket használják.
3.3.6.6.4. Privilegizált fiókok
Az érintett szervezet az elektronikus információs rendszer privilegizált fiókjait meghatározott személyekre vagy szerepkörökre korlátozza.
3.3.6.6.5. Privilegizált funkciók használatának naplózása
Az elektronikus információs rendszer naplózza a privilegizált funkciók végrehajtását.
3.3.6.6.6. Privilegizált funkciók tiltása nem privilegizált felhasználóknak
Az elektronikus információs rendszer megakadályozza, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését, vagy megváltoztatását.
3.3.6.6.7. Hálózati hozzáférés a privilegizált parancsokhoz
A meghatározott privilegizált parancsok hálózaton keresztüli elérését csak meghatározott üzemeltetési szükséghelyzetben lehet engedélyezni, és az ilyen hozzáférések indoklását dokumentálni kell a rendszerbiztonsági tervben. Privilegizált parancsok csak meghatározott munkaállomásokról, terminálokról, szegmensekről és IP címekről adhatóak ki, mely munkaállomások/terminálok helyiségei fizikai hozzáférés szempontjából normáltól eltérő szintű besorolást kapnak.
3.3.6.7. Sikertelen bejelentkezési kísérletek
3.3.6.7.1. Az elektronikus információs rendszer:
3.3.6.7.1.1. az érintett szervezet által meghatározott esetszám korlátot alkalmaz a felhasználó meghatározott időtartamon belül egymást követő sikertelen bejelentkezési kísérleteire;
3.3.6.7.1.2. amennyiben a sikertelen bejelentkezési kísérletekre felállított esetszám korlátot a felhasználó túllépi, automatikusan zárolja a felhasználói fiókot, vagy csomópontot meghatározott időtartamig, vagy meghatározott módon késlelteti a következő bejelentkezési kísérletet.
3.3.6.8. A rendszerhasználat jelzése
3.3.6.8.1. Az érintett szervezet az elektronikus információs rendszer felhasználásával:
3.3.6.8.1.1. az érintett szervezet által meghatározott rendszer használatra vonatkozó figyelmeztető üzenetet vagy jelzést küld a felhasználó számára a rendszerhez való hozzáférés engedélyezése előtt, mely jelzi, hogy:
3.3.6.8.1.1.1. a felhasználó az érintett szervezet elektronikus információs rendszerét használja;
3.3.6.8.1.1.2. a rendszer használatot figyelhetik, rögzíthetik, naplózhatják;
3.3.6.8.1.1.3. a rendszer jogosulatlan használata tilos, és büntetőjogi vagy polgárjogi felelősségre vonással jár;
3.3.6.8.1.1.4. a rendszer használata egyben a felhasználó előbbiekbe történő beleegyezését is jelenti.
3.3.6.8.2. Az elektronikus információs rendszer a figyelmeztető üzenetet vagy jelzést mindaddig a képernyőn tartja, amíg a felhasználó közvetlen műveletet nem végez az elektronikus információs rendszerbe való bejelentkezéshez vagy további rendszer hozzáféréshez.
3.3.6.8.3. Az elektronikus információs rendszer a nyilvánosan elérhető rendszerek esetén:
3.3.6.8.3.1. kijelzi a rendszer használat feltételeit, mielőtt további hozzáférést biztosít;
3.3.6.8.3.2. amennyiben felügyelet, adatrögzítés vagy naplózás történik, kijelzi, hogy ezek megfelelnek az adatvédelmi szabályoknak;
3.3.6.8.3.3. leírást biztosít a rendszer engedélyezett felhasználásáról.
3.3.6.9. Egyidejű munkaszakasz kezelés
Az érintett szervezet az elektronikus információs rendszerben meghatározott számra korlátozza az egyidejű munkaszakaszok számát, a meghatározott fiókok vagy fiók típusok számára külön-külön.
3.3.6.10. A munkaszakasz zárolása
3.3.6.10.1. Az érintett szervezet:
3.3.6.10.1.1. meghatározott időtartamú inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával megakadályozza az elektronikus információs rendszerhez való további hozzáférést;
3.3.6.10.1.2. megtartja a munkaszakasz zárolását mindaddig, amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra.
3.3.6.10.2. Képernyőtakarás
A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel (vagy üres képernyővel), vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell eltakarni.
3.3.6.11. A munkaszakasz lezárása
Az elektronikus információs rendszer automatikusan lezárja a munkaszakaszt az érintett szervezet által meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események megtörténte után.
3.3.6.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek
3.3.6.12.1. Az érintett szervezet:
3.3.6.12.1.1. kijelöli azokat a felhasználói tevékenységeket, amelyeket az elektronikus információs rendszerben azonosítás vagy hitelesítés nélkül is végre lehet hajtani;
3.3.6.12.1.2. dokumentálja és indokolja a rendszerbiztonsági tervben, vagy más szabályzatban az azonosítás vagy hitelesítés nélkül is végrehajtható felhasználói tevékenységeket.
3.3.6.13. Távoli hozzáférés
3.3.6.13.1. Az érintett szervezet:
3.3.6.13.1.1. kidolgozza és dokumentálja minden engedélyezett távoli hozzáférés típusra a felhasználásra vonatkozó korlátozásokat, a konfigurálási vagy a kapcsolódási követelményeket és a megvalósítási útmutatókat;
3.3.6.13.1.2. engedélyezési eljárást folytat le az elektronikus információs rendszerhez történő távoli hozzáférés feltételeként.
3.3.6.13.2. Ellenőrzés
Az elektronikus információs rendszer figyeli és ellenőrzi a távoli hozzáféréseket.
3.3.6.13.3. Titkosítás
Kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére.
3.3.6.13.4. Hozzáférés ellenőrzési pontok
Minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az elektronikus információs rendszerben.
3.3.6.13.5. Privilegizált parancsok elérése
3.3.6.13.5.1. Az érintett szervezet:
3.3.6.13.5.1.1. privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli hozzáférést csak meghatározott és elfogadott igény esetén engedélyez;
3.3.6.13.5.1.2. dokumentálja és indokolja a 3.3.6.13.5.1.1. pont szerinti hozzáféréseket a rendszerbiztonsági tervben.
3.3.6.14. Vezeték nélküli hozzáférés
3.3.6.14.1. Az érintett szervezet:
3.3.6.14.1.1. belső szabályozásában felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó követelményeket, valamint technikai útmutatót ad ki a vezeték nélküli technológiák kapcsán;
3.3.6.14.1.2. engedélyezési eljárást folytat le a vezeték nélküli hozzáférés feltételeként.
3.3.6.14.2. Hitelesítés és titkosítás
Az érintett szervezet az elektronikus információs rendszerben titkosítással és a felhasználók, vagy eszközök hitelesítésével védi a vezeték nélküli hozzáférést.
3.3.6.14.3. Felhasználó konfigurálás tiltása
Az érintett szervezet azonosítja a felhasználókat, és csak közvetlen jogosultság birtokában, a védett hálózaton kialakított vezetékes kapcsolaton keresztül teszi lehetővé számukra a vezeték nélküli hálózat független konfigurálását.
3.3.6.14.4. Antennák
Az érintett szervezet olyan karakterisztikájú és teljesítményszintű antennákat és árnyékolási megoldásokat üzemeltet, vagy egyéb technikákat alkalmaz, amelyekkel csökkenti az érintett szervezet fizikai védelmi határain kívül a jelek észlelésének a valószínűségét.
3.3.6.15. Mobil eszközök hozzáférés ellenőrzése
3.3.6.15.1. Az érintett szervezet:
3.3.6.15.1.1. belső szabályozásában felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó követelményeket, valamint technikai útmutatót ad ki az általa ellenőrzött mobil eszközökre;
3.3.6.15.1.2. engedélyhez köti az elektronikus információs rendszereihez mobil eszközökkel megvalósított kapcsolódást.
3.3.6.15.2. Titkosítás
Az érintett szervezet teljes eszköztitkosítást, tároló alapú titkosítást, vagy más technológiai eljárást alkalmaz az általa meghatározott mobil eszközökön tárolt információk bizalmasságának és sértetlenségének a védelmére, vagy az információk hozzáférhetetlenné tételére.
3.3.6.16. Külső elektronikus információs rendszerek használata
3.3.6.16.1. Az érintett szervezet:
3.3.6.16.1.1. meghatározza, hogy milyen feltételek és szabályok betartása mellett jogosult a felhasználó egy külső rendszerből hozzáférni az elektronikus információs rendszerhez;
3.3.6.16.1.2. meghatározza, hogy külső elektronikus információs rendszerek segítségével hogyan jogosult a felhasználó feldolgozni, tárolni vagy továbbítani az érintett szervezet által ellenőrzött információkat.
3.3.6.16.2. Korlátozott használat
3.3.6.16.2.1. Az érintett szervezet csak abban az esetben engedélyezi jogosult felhasználóknak egy külső elektronikus információs rendszer felhasználását az elektronikus információs rendszerhez való hozzáférésre, az az által ellenőrzött információk feldolgozására, tárolására vagy továbbítására, ha:
3.3.6.16.2.1.1. előzetesen ellenőrzi a szükséges biztonsági intézkedések meglétét a külső rendszeren saját szabályzóinak megfelelő módon; vagy
3.3.6.16.2.1.2. jóváhagyott kapcsolat van az elektronikus információs rendszerek között, vagy megállapodás született a külső elektronikus információs rendszert befogadó szervezettel.
3.3.6.16.3. Hordozható adattároló eszközök
Az érintett szervezet korlátozza, vagy megtiltja az ellenőrzött hordozható tárolóeszközök használatát külső elektronikus információs rendszerben is jogosultsággal rendelkező személyek számára.
3.3.6.17. Információmegosztás
3.3.6.17.1. Az érintett szervezet:
3.3.6.17.1.1. elősegíti az információmegosztást azzal, hogy engedélyezi a jogosult felhasználóknak eldönteni, hogy a megosztásban résztvevő partnerhez rendelt jogosultságok megfelelnek-e az információra vonatkozó hozzáférési korlátozásoknak, olyan meghatározott információmegosztási körülmények esetén, amikor felhasználói megítélés szóba jöhet;
3.3.6.17.1.2. automatizált mechanizmusokat vagy kézi folyamatokat alkalmaz arra, hogy segítséget nyújtson a felhasználóknak az információmegosztási vagy együttműködési döntések meghozatalában.
3.3.6.18. Nyilvánosan elérhető tartalom
3.3.6.18.1. Az érintett szervezet:
3.3.6.18.1.1. kijelöli azokat a személyeket, akik jogosultak a nyilvánosan hozzáférhető elektronikus információs rendszeren az érintett szervezettel kapcsolatos bármely információ közzétételére;
3.3.6.18.1.2. a 3.3.6.18.1.1. pont szerinti kijelölt személyeket képzésben részesíti annak biztosítása érdekében, hogy a nyilvánosan hozzáférhető információk ne tartalmazzanak nem nyilvános információkat;
3.3.6.18.1.3. közzététel előtt átvizsgálja a javasolt tartalmat;
3.3.6.18.1.4. meghatározott gyakorisággal átvizsgálja a nyilvánosan hozzáférhető elektronikus információs rendszertartalmat a nem nyilvános információk tekintetében és eltávolítja azokat.
3.3.7. RENDSZER- ÉS INFORMÁCIÓSÉRTETLENSÉG
3.3.7.1. Ezeket a rendelkezéseket egy adott elektronikus információs rendszer tekintetében abban az esetben kell alkalmazni, ha az adott elektronikus információs rendszert az érintett szervezet üzemelteti. Üzemeltetési szolgáltatási szerződés esetén szerződéses kötelemként kell érvényesíteni a 3.3.7. pontban és alpontjaiban foglaltakat, és azokat a szolgáltatónak kell biztosítania.
3.3.7.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend
3.3.7.2.1. Az érintett szervezet:
3.3.7.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a rendszer- és információsértetlenségre vonatkozó eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező, rendszer- és információsértetlenségre vonatkozó szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.7.2.1.2. a rendszer- és információsértetlenségre vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer- és információsértetlenségre vonatkozó eljárásrendet.
3.3.7.3. Hibajavítás
3.3.7.3.1. Az érintett szervezet:
3.3.7.3.1.1. azonosítja, belső eljárásrendje alapján jelenti és kijavítja vagy kijavíttatja az elektronikus információs rendszer hibáit;
3.3.7.3.1.2. telepítés előtt teszteli a hibajavítással kapcsolatos szoftverfrissítéseket az érintett szervezet feladatellátásának hatékonysága, a szóba jöhető következmények szempontjából;
3.3.7.3.1.3. a biztonságkritikus szoftvereket a frissítésük kiadását követő meghatározott időtartamon belül telepíti vagy telepítteti;
3.3.7.3.1.4. beépíti a hibajavítást a konfigurációkezelési folyamatba.
3.3.7.3.2. Automatizált hibajavítási állapot
Az érintett szervezet automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer elemei hibajavítási állapotának meghatározására.
3.3.7.3.3. Központi kezelés
Az érintett szervezet központilag kezeli a hibajavítás folyamatát.
3.3.7.4. Kártékony kódok elleni védelem
3.3.7.4.1. Az érintett szervezet:
3.3.7.4.1.1. az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat;
3.3.7.4.1.2. frissíti a kártékony kódok elleni védelmi mechanizmusokat a konfigurációkezelési szabályaival és eljárásaival összhangban minden olyan esetben, amikor kártékony kódirtó rendszeréhez frissítések jelennek meg;
3.3.7.4.1.3. konfigurálja a kártékony kódok elleni védelmi mechanizmusokat úgy, hogy a védelem eszköze:
3.3.7.4.1.3.1. rendszeres ellenőrzéseket hajtson végre az elektronikus információs rendszeren, és hajtsa végre a külső forrásokból származó fájlok valós idejű ellenőrzését a végpontokon, a hálózati belépési, vagy kilépési pontokon, a biztonsági szabályzatnak megfelelően, amikor a fájlokat letöltik, megnyitják, vagy elindítják,
3.3.7.4.1.3.2. a kártékony kód észlelése esetén blokkolja vagy helyezze karanténba azt; és riassza a rendszeradminisztrátort, és az érintett szervezet által meghatározott további személy(eke)t;
3.3.7.4.1.4. ellenőrzi a téves riasztásokat a kártékony kód észlelése és megsemmisítése során, valamint figyelembe veszi ezek lehetséges kihatását az elektronikus információs rendszer rendelkezésre állására.
3.3.7.4.2. Központi kezelés
Az elektronikus információs rendszer központilag kezeli a kártékony kódok elleni védelmi mechanizmusokat.
3.3.7.4.3. Automatikus frissítés
Az elektronikus információs rendszer automatikusan frissíti a kártékony kódok elleni védelmi mechanizmusokat.
3.3.7.5. Az elektronikus információs rendszer felügyelete
3.3.7.5.1. Az érintett szervezet:
3.3.7.5.1.1. felügyeli az elektronikus információs rendszert, hogy észlelje a kibertámadásokat, vagy a kibertámadások jeleit a meghatározott figyelési céloknak megfelelően, és feltárja a jogosulatlan lokális, hálózati és távoli kapcsolatokat;
3.3.7.5.1.2. azonosítja az elektronikus információs rendszer jogosulatlan használatát;
3.3.7.5.1.3. felügyeleti eszközöket alkalmaz a meghatározott alapvető információk gyűjtésére; és a rendszer ad hoc területeire a potenciálisan fontos, speciális típusú tranzakcióknak a nyomon követésére;
3.3.7.5.1.4. védi a behatolás-felügyeleti eszközökből nyert információkat a jogosulatlan hozzáféréssel, módosítással és törléssel szemben;
3.3.7.5.1.5. erősíti az elektronikus információs rendszer felügyeletét minden olyan esetben, amikor fokozott kockázatra utaló jelet észlel;
3.3.7.5.1.6. meghatározott gyakorisággal biztosítja az elektronikus információs rendszer felügyeleti információkat a meghatározott személyeknek vagy szerepköröknek.
3.3.7.5.2. Automatizálás
Automatizált eszközöket kell alkalmazni az események közel valós idejű vizsgálatának támogatására.
3.3.7.5.3. Felügyelet
Az elektronikus információs rendszer felügyelje a beérkező és kimenő adatforgalmat a szokatlan vagy jogosulatlan tevékenységekre, vagy körülményre tekintettel.
3.3.7.5.4. Riasztás
Az elektronikus információs rendszer riassza az érintett szervezet illetékes személyeit, csoportjait, amikor veszélyeztetés vagy lehetséges veszélyeztetés előre meghatározott jeleit észleli.
3.3.7.6. Biztonsági riasztások és tájékoztatások
3.3.7.6.1. Az érintett szervezet:
3.3.7.6.1.1. folyamatosan figyeli a kormányzati eseménykezelő központ által a kritikus hálózatbiztonsági eseményekről és sérülékenységekről közzétett figyelmeztetéseket;
3.3.7.6.1.2. folyamatosan figyelemmel kíséri a Nemzeti Elektronikus Információbiztonsági Hatóságtól érkező értesítéseket;
3.3.7.6.1.3. szükség esetén belső biztonsági riasztást és figyelmeztetést ad ki;
3.3.7.6.1.4. a belső biztonsági riasztást és figyelmeztetést eljuttatja az illetékes személyekhez;
3.3.7.6.1.5. kialakítja és működteti a jogszabályban meghatározott esemény bejelentési kötelezettség rendszerét, és kapcsolatot tart az érintett, külön jogszabályban meghatározott szervekkel;
3.3.7.6.1.6. megfelelő ellenintézkedéseket és válaszlépéseket tesz.
3.3.7.6.2. Automatikus riasztások
Mechanizmusokat kell kialakítani a biztonsági riasztások és figyelmeztetések szervezeten belüli elérhetőségének biztosítására.
3.3.7.7. A biztonsági funkcionalitás ellenőrzése
3.3.7.7.1. Az elektronikus információs rendszer:
3.3.7.7.1.1. ellenőrzi a beállított biztonsági funkciókat az ellenőrzésre jogosult felhasználó utasítására, vagy időszakosan;
3.3.7.7.1.2. értesítést küld az érintett szervezet által meghatározott személyeknek vagy szerepköröknek, ha az ellenőrzés hibát tár fel;
3.3.7.7.1.3. rendellenesség észlelése esetén leállítja a rendszert, az érintett szerv által alkalmazott döntése szerint újraindítja a rendszert, vagy egyéb ellenintézkedést valósít meg.
3.3.7.8. Szoftver- és információsértetlenség
3.3.7.8.1. Az érintett szervezet sértetlenség ellenőrző eszközt alkalmaz a szoftverek és információk jogosulatlan módosításának észlelésére.
3.3.7.8.2. Sértetlenség ellenőrzés
Az elektronikus információs rendszer sértetlenség ellenőrzést hajt végre a meghatározott szoftverekre és információkra, a rendszer újraindításakor, vagy biztonsági esemény bekövetkezését követően, vagy meghatározott gyakorisággal.
3.3.7.8.3. Észlelés és reagálás
Az érintett szervezet beépíti az elektronikus információs rendszer jogosulatlan változtatásainak észlelését a biztonsági eseményekre reagáló eljárásaiba.
3.3.7.8.4. Automatikus értesítés
Az érintett szervezet automatizált eszközöket alkalmaz a meghatározott személyek vagy szerepkörök értesítésére, ha a sértetlenség ellenőrzés rendellenességet tár fel.
3.3.7.8.5. Automatikus reagálás
Az elektronikus információs rendszer automatikusan leállítja, vagy újraindítja a rendszert, vagy egyéb intézkedést valósít meg, ha a sértetlenség ellenőrzés rendellenességet tár fel.
3.3.7.8.6. Végrehajtható kód
Az elektronikus információs rendszer megtiltja az olyan bináris vagy gépi kód használatát, amely nem ellenőrzött forrásból származik, vagy amelynek forráskódjával nem rendelkezik.
3.3.7.9. Kéretlen üzenetek elleni védelem
3.3.7.9.1. Az érintett szervezet:
3.3.7.9.1.1. kéretlen üzenetek - úgynevezett levélszemét - elleni védelmet valósít meg az elektronikus információs rendszer belépési és kilépési pontjain, a levélszemét észlelése és kiszűrése érdekében;
3.3.7.9.1.2. új verziók elérhetővé válásakor frissíti a levélszemét elleni védelmi mechanizmusokat, összhangban a konfigurációkezelési szabályzattal és eljárásrenddel.
3.3.7.9.2. Központi kezelés
Az érintett szervezet központi beállításokkal irányítja a levélszemét elleni védelmet.
3.3.7.9.3. Frissítés
Az elektronikus információs rendszer automatikusan frissíti a levélszemét elleni védelmi mechanizmusokat azok újabb verzióival.
3.3.7.10. Bemeneti információ ellenőrzés
Az elektronikus információs rendszer ellenőrzi a meghatározott információ belépési pontok érvényességét.
3.3.7.11. Hibakezelés
3.3.7.11.1. Az elektronikus információs rendszer:
3.3.7.11.1.1. hibajelzéseket generál a hibajavításhoz szükséges információkat biztosítva, ugyanakkor nem nyújt semmi olyan információt, amelyet a támadók kihasználhatnak;
3.3.7.11.1.2. a hibajelzéseket kizárólag a meghatározott személyek vagy szerepkörök számára teszi elérhetővé.
3.3.7.12. A kimeneti információ kezelése és megőrzése
Az érintett szervezet az elektronikus információs rendszer kimeneti információit a jogszabályokkal, szabályzatokkal és az üzemeltetési követelményekkel összhangban kezeli és őrzi meg.
3.3.7.13. Memóriavédelem
Az elektronikus információs rendszerben biztonsági beállításokat kell alkalmazni azért, hogy védje a memóriát a jogosulatlan kódok végrehajtásától.
3.3.8. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG
3.3.8.1. Naplózási eljárásrend
3.3.8.1.1. Az érintett szervezet:
3.3.8.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül a szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a naplózási eljárásrendet, mely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.8.1.1.2. a naplózásra és elszámoltathatóságra vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a naplózási eljárásrendet.
3.3.8.2. Naplózható események
3.3.8.2.1. Az érintett szervezet:
3.3.8.2.1.1. meghatározza a naplózható és naplózandó eseményeket, és felkészíti erre az elektronikus információs rendszerét;
3.3.8.2.1.2. egyezteti a biztonsági napló funkciókat a többi, naplóval kapcsolatos információt igénylő szervezeti egységgel, hogy növelje a kölcsönös támogatást, és hogy iránymutatással segítse a naplózható események kiválasztását;
3.3.8.2.1.3. megvizsgálja, hogy a naplózható események megfelelőnek tekinthetők-e a biztonsági eseményeket követő tényfeltáró vizsgálatok támogatásához.
3.3.8.2.2. Felülvizsgálat
Az érintett szervezet meghatározott gyakorisággal felülvizsgálja és aktualizálja a naplózandó eseményeket.
3.3.8.3. Naplóbejegyzések tartalma
3.3.8.3.1. Az elektronikus információs rendszer a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen események kimenetele.
3.3.8.3.2. Kiegészítő információk
Az elektronikus információs rendszer a naplóbejegyzésekben további, az érintett szervezet által meghatározott kiegészítő, részletesebb információkat is rögzít.
3.3.8.3.3. Központi kezelés
Az elektronikus információs rendszer biztosítja a meghatározott rendszerelemek által generált naplóbejegyzések tartalmának központi kezelését és konfigurálását.
3.3.8.4. Napló tárkapacitás
Az érintett szervezet a naplózásra elegendő méretű tárkapacitást biztosít, a biztonsági osztályba sorolásból következő naplózási funkciók figyelembevételével.
3.3.8.5. Naplózási hiba kezelése
3.3.8.5.1. Az elektronikus információs rendszer:
3.3.8.5.1.1. naplózási hiba esetén riasztást küld a meghatározott személyeknek vagy szerepköröknek;
3.3.8.5.1.2. elvégzi a meghatározott végrehajtandó tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási folyamat leállítását.
3.3.8.5.2. Naplózási tárhely ellenőrzés
Az elektronikus információs rendszer figyelmezteti a meghatározott személyeket, szerepköröket és helyszíneket, ha a lefoglalt naplózási tárhely eléri a beállított maximális naplózási tárhely előre meghatározott részét.
3.3.8.5.3. Valósidejű riasztás
Az elektronikus információs rendszer riasztást küld, ha a meghatározott, valós idejű riasztást igénylő hibaesemények listája szerint valamely esemény megtörténik.
3.3.8.6. Naplóvizsgálat és jelentéskészítés
3.3.8.6.1. Az érintett szervezet:
3.3.8.6.1.1. rendszeresen felülvizsgálja és elemzi a naplóbejegyzéseket nem megfelelő vagy szokatlan működésre utaló jelek keresése céljából;
3.3.8.6.1.2. jelenti ezeket a meghatározott személyeknek, vagy szerepköröknek.
3.3.8.6.2. Folyamatba illesztés
Az érintett szervezet automatikus mechanizmusokat használ a naplóbejegyzések vizsgálatának, elemzésének és jelentésének átfogó folyamattá integrálására, amely a veszélyes, vagy tiltott tevékenységekre és történésekre reagál.
3.3.8.6.3. Összegzés
Az érintett szervezet megvizsgálja és összefüggésbe hozza a különböző adattárakban található naplóbejegyzéseket, a teljes érintett szervezetre kiterjedő helyzetfelmérés érdekében.
3.3.8.6.4. Felügyeleti képességek integrálása
Az érintett szervezet egyesíti a naplóbejegyzések vizsgálatát a sebezhetőség ellenőrzési információkkal, a teljesítmény adatokkal, az elektronikus információs rendszer felügyeletéből származó információkkal, vagy egyéb forrásokból begyűjtött adatokkal vagy információkkal.
3.3.8.6.5. Összekapcsolás a fizikai hozzáférési információkkal
Az érintett szervezet összefüggésbe hozza a naplóbejegyzésekből származó információkat a fizikai hozzáférés felügyeletéből nyert információkkal.
3.3.8.7. Naplócsökkentés és jelentéskészítés
3.3.8.7.1. Az elektronikus információs rendszer:
3.3.8.7.1.1. lehetőséget biztosít naplócsökkentésre és jelentés készítésére, amely támogatja az igény esetén végzendő naplóáttekintési, naplóvizsgálati és jelentéskészítési követelményeket és a biztonsági eseményeket követő tényfeltáró vizsgálatait;
3.3.8.7.1.2. nem változtathatja meg a naplóbejegyzések eredeti tartalmát és időrendjét.
3.3.8.7.2. Automatikus feldolgozás
Az elektronikus információs rendszer biztosítja, hogy a fontos naplóbejegyzéseket automatikusan fel lehessen dolgozni.
3.3.8.8. Időbélyegek
3.3.8.8.1. Az elektronikus információs rendszer:
3.3.8.8.1.1. belső rendszerórákat használ a naplóbejegyzések időbélyegeinek előállításához;
3.3.8.8.1.2. időbélyegeket rögzít a naplóbejegyzésekben a koordinált világidőhöz - úgynevezett UTC -vagy a Greenwichi középidőhöz - úgynevezett GMT - rendelhető módon, megfelelve az érintett szervezet által meghatározott időmérési pontosságnak.
3.3.8.8.2. Szinkronizálás
Az elektronikus információs rendszer meghatározott gyakorisággal összehasonlítja a belső rendszerórákat egy hiteles külső időforrással, és ha az időeltérés nagyobb, mint a meghatározott időtartam, szinkronizálja a belső rendszerórákat a hiteles külső időforrással.
3.3.8.9. A naplóinformációk védelme
3.3.8.9.1. Az elektronikus információs rendszer megvédi a naplóinformációt és a napló kezelő eszközöket a jogosulatlan hozzáféréssel, módosítással és törléssel szemben.
3.3.8.9.2. Hozzáférés korlátozása
A naplófunkciók kezelésére csak az érintett szervezet által meghatározott, privilegizált felhasználók jogosultak.
3.3.8.9.3. Fizikailag elkülönített mentés
Az elektronikus információs rendszer a naplóbejegyzéseket meghatározott gyakorisággal elmenti, egy a keletkezési helyétől fizikailag elkülönülő rendszerre vagy rendszerelemre.
3.3.8.9.4. Kriptográfiai védelem
Kriptográfiai mechanizmusokat kell alkalmazni a naplóinformáció és a napló kezelő eszköz sértetlenségének védelmére.
3.3.8.10. Letagadhatatlanság
Az elektronikus információs rendszer védelmet biztosít az ellen, hogy egy adott személy az általa használt alkalmazás tekintetében letagadhassa, hogy elvégzett-e egy, a letagadhatatlanság követelménye alá sorolt tevékenységet.
3.3.8.11. A naplóbejegyzések megőrzése
Az érintett szervezet a naplóbejegyzéseket meghatározott - a jogszabályi és az érintett szervezeten belüli információ megőrzési követelményeknek megfelelő - időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében.
3.3.8.12. Naplógenerálás
3.3.8.12.1. Az elektronikus információs rendszer:
3.3.8.12.1.1. biztosítja a naplóbejegyzés generálási lehetőségét a 3.3.8.2. pontban meghatározott, naplózható eseményekre;
3.3.8.12.1.2. lehetővé teszi meghatározott személyeknek vagy szerepköröknek, hogy kiválasszák, hogy mely naplózható események legyenek naplózva az elektronikus információs rendszer egyes elemeire;
3.3.8.12.1.3. naplóbejegyzéseket állít elő a 3.3.8.2. pont szerinti eseményekre a 3.3.8.3. pontban meghatározott tartalommal.
3.3.8.12.2. Rendszerszintű időalap napló
Az elektronikus információs rendszer a naplóbejegyzéseiből rendszerszintű (logikai vagy fizikai) felülvizsgálati naplót állít össze, amely - a felülvizsgálati napló egyedi bejegyzéseinek időbélyegei közötti kapcsolat tekintetében meghatározott tűréshatáron túli - időviszonyokat is tartalmazza.
3.3.8.12.3. Változtatások
Az elektronikus információs rendszer biztosítja a lehetőséget a meghatározott személyeknek vagy szerepköröknek arra, hogy megváltoztassák az egyes rendszerelemekre végrehajtandó naplózást a kiválasztott esemény kritériumok alapján, meghatározott időtartamon belül.
3.3.9. RENDSZER- ÉS KOMMUNIKÁCIÓVÉDELEM
3.3.9.1. Rendszer- és kommunikációvédelmi eljárásrend
3.3.9.1.1. Az érintett szervezet:
3.3.9.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belüli szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a rendszer- és kommunikációvédelmi eljárásrendet, mely a rendszer- és kommunikációvédelmi szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.9.1.1.2. a rendszer- és kommunikációvédelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer- és kommunikációvédelmére vonatkozó eljárásrendet.
3.3.9.2. Alkalmazás szétválasztás
Az elektronikus információs rendszer elkülöníti a felhasználók által elérhető funkcionalitást (beleértve a felhasználói felület szolgáltatásokat) az elektronikus információs rendszer irányítási funkcionalitásától.
3.3.9.3. Biztonsági funkciók elkülönítése
Az elektronikus információs rendszer elkülöníti a biztonsági funkciókat a nem biztonsági funkcióktól.
3.3.9.4. Információmaradványok
Az elektronikus információs rendszer meggátolja a megosztott rendszererőforrások útján történő jogosulatlan vagy véletlen információáramlást.
3.3.9.5. Túlterhelés - szolgáltatás megtagadás alapú támadás - elleni védelem
Az elektronikus információs rendszer véd a túlterheléses (úgynevezett szolgáltatás megtagadás) jellegű támadásokkal szemben, vagy korlátozza azok kihatásait a megtagadás jellegű támadások listája alapján, a meghatározott biztonsági intézkedések bevezetésével.
3.3.9.6. A határok védelme
3.3.9.6.1. Az elektronikus információs rendszer:
3.3.9.6.1.1. felügyeli és ellenőrzi a külső határain történő, valamint a rendszer kulcsfontosságú belső határain történő kommunikációt;
3.3.9.6.1.2. a nyilvánosan hozzáférhető rendszerelemeket fizikailag vagy logikailag alhálózatokban helyezi el, elkülönítve a belső szervezeti hálózattól;
3.3.9.6.1.3. csak az érintett szervezet biztonsági architektúrájával összhangban elhelyezett határvédelmi eszközökön felügyelt interfészeken keresztül kapcsolódik külső hálózatokhoz vagy külső elektronikus információs rendszerekhez.
3.3.9.6.2. Hozzáférési pontok
Az érintett szervezet korlátozza az elektronikus információs rendszer külső hálózati kapcsolatainak a számát.
3.3.9.6.3. Külső kommunikációs szolgáltatások
3.3.9.6.3.1. Az érintett szervezet:
3.3.9.6.3.1.1. felügyelt interfészt működtet minden külső infokommunikációs szolgáltatáshoz;
3.3.9.6.3.1.2. minden felügyelt interfészhez forgalomáramlási szabályokat alakít ki;
3.3.9.6.3.1.3. védi az összes interfésznél az átvitelre kerülő információk bizalmasságát és sértetlenségét;
3.3.9.6.3.1.4. dokumentál minden kivételt a forgalomáramlási szabályok alól, a kivételt alátámasztó alapfeladattal és az igényelt kivétel időtartamával együtt;
3.3.9.6.3.1.5. meghatározott gyakorisággal áttekinti a forgalomáramlási szabályok alóli kivételeket, és eltávolítja azokat a kivételeket, amelyeket közvetlen alapfeladat már nem indokol.
3.3.9.6.4. Alapeseti visszautasítás
Az elektronikus információs rendszer a felügyelt kapcsolódási pontjain tilt, és csak kivételként engedélyez hálózati forgalmat.
3.3.9.6.5. Távoli készülékek megosztott csatornahasználatának tiltása
A távoli készülékkel kapcsolatban álló elektronikus információs rendszer meggátolja, hogy a készülék egyidejűleg helyi kapcsolatokat létesítsen a rendszerrel.
3.3.9.6.6. Hitelesített proxy kiszolgálók
Az elektronikus információs rendszer hitelesített proxy - olyan szerver, számítógép vagy szerveralkalmazás, amely a kliensek kéréseit köztes elemként más szerverekhez továbbítja -kiszolgálók segítségével irányítja a belső kommunikációs forgalmat a felügyelt interfészeken a meghatározott külső hálózatokhoz.
3.3.9.6.7. Biztonsági hibaállapot
Az elektronikus információs rendszer hibaállapotba kerül a határvédelmi eszköz működési hibája esetén.
3.3.9.6.8. Rendszerelemek elkülönítése
Az érintett szervezet határvédelmi mechanizmusokat alkalmaz azoknak az elektronikus információs rendszerelemeknek az elkülönítésére, amelyek a meghatározott alapfeladatokat és alapfunkciókat támogatják.
3.3.9.7. Az adatátvitel bizalmassága
3.3.9.7.1. Az elektronikus információs rendszer védje meg a továbbított információk bizalmasságát.
3.3.9.7.2. Kriptográfiai vagy egyéb védelem
Az elektronikus információs rendszer kriptográfiai mechanizmusokat alkalmaz az adatátvitel során az információk jogosulatlan felfedése ellen, kivéve, ha az átvitel más, az érintett szervezet által meghatározott alternatív fizikai ellenintézkedéssel védett.
3.3.9.8. Az adatátvitel sértetlensége
3.3.9.8.1. Az elektronikus információs rendszer megvédi a továbbított információk sértetlenségét.
3.3.9.8.2. Kriptográfiai vagy egyéb védelem
Az elektronikus információs rendszer kriptográfiai mechanizmusokat alkalmaz az adatátvitel során az információk megváltozásának észlelésére, ha az átvitel nincsen más alternatív fizikai intézkedésekkel védve.
3.3.9.9. A hálózati kapcsolat megszakítása
Az elektronikus információs rendszer megszakítja a hálózati kapcsolatot egy munkaszakaszra épülő kétirányú adatcsere befejezésekor, meghatározott időtartamú inaktivitás után.
3.3.9.10. Kriptográfiai kulcs előállítása és kezelése
3.3.9.10.1. Az érintett szervezet előállítja és kezeli az elektronikus információs rendszerben alkalmazott kriptográfiához szükséges kriptográfiai kulcsokat a kulcsok előállítására, szétosztására, tárolására, hozzáférésére és megsemmisítésére vonatkozó belső szabályozásnak megfelelően.
3.3.9.10.2. Rendelkezésre állás
Az érintett szervezet előállítja, biztosítja az információk rendelkezésre állását abban az esetben is, amikor a kriptográfiai kulcsok elérhetetlenné válnak (elvesztés, sérülés, megsemmisülés).
3.3.9.11. Kriptográfiai védelem
Az elektronikus információs rendszer szabványos, egyéb jogszabályokban biztonságosnak minősített kriptográfiai műveleteket valósít meg.
3.3.9.12. Együttműködésen alapuló számítástechnikai eszközök
Az elektronikus információs rendszer meggátolja az együttműködésen alapuló számítástechnikai eszközök (pl. kamerák, mikrofonok) távoli aktiválását, kivéve, ha az érintett szervezet engedélyezte azt, és közvetlen kijelzést nyújt a távoli aktivitásról azoknak a felhasználóknak, akik fizikailag jelen vannak az eszköznél.
3.3.9.13. Nyilvános kulcsú infrastruktúra tanúsítványok
Az érintett szervezet nyilvános kulcsú tanúsítványokat állít ki a belső hitelesítési rend szerint, vagy a nyilvános kulcsú tanúsítványokat beszerzi a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítésszolgáltatótól.
3.3.9.14. Mobilkód korlátozása
3.3.9.14.1. Az érintett szervezet:
3.3.9.14.1.1. meghatározza az elfogadható és a nem elfogadható mobilkódokat és mobilkód technológiákat;
3.3.9.14.1.2. használati korlátozásokat vezet be, vagy megvalósítási útmutatót bocsát ki az elfogadható mobilkódokra és mobilkód technológiákra;
3.3.9.14.1.3. engedélyezi, felügyeli és ellenőrzi a mobilkódok használatát az elektronikus információs rendszeren belül.
3.3.9.15. Elektronikus információs rendszeren keresztüli hangátvitel (úgynevezett VoIP)
3.3.9.15.1. Az érintett szervezet:
3.3.9.15.1.1. használati korlátozásokat vezet be, vagy megvalósítási útmutatót ad a VoIP technológiákhoz, felmérve a rosszindulatú használat esetén az elektronikus információs rendszerben okozható károkat;
3.3.9.15.1.2. engedélyezi, felügyeli és ellenőrzi a VoIP használatát az elektronikus információs rendszeren belül.
3.3.9.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás)
Az elektronikus információs rendszer a név/cím feloldási kérésekre a hiteles adatokon kívül az információ eredetére és sértetlenségére vonatkozó kiegészítő adatokat is biztosít, és ha egy elosztott, hierarchikus névtár részeként működik, akkor jelzi az utódtartományok biztonsági állapotát is, és (ha azok támogatják a biztonságos feloldási szolgáltatásokat) hitelesíti az utód- és elődtartományok közötti bizalmi láncot.
3.3.9.17. Biztonságos név/cím feloldó szolgáltatás (úgynevezett rekurzív vagy gyorsító tárat használó feloldás)
Az elektronikus információs rendszer eredethitelesítést és adatsértetlenség ellenőrzést kér és hajt végre a hiteles forrásból származó név/cím feloldó válaszokra.
3.3.9.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén
Azok az elektronikus információs rendszerek, amelyek együttesen biztosítanak név/cím feloldási szolgáltatást egy szervezet számára, hibatűrők és belső/külső szerepkör szétválasztást valósítanak meg.
3.3.9.19. Munkaszakasz hitelessége
Az elektronikus információs rendszer védje meg a munkaszakaszok hitelességét.
3.3.9.20. Hibát követő ismert állapot
Meghatározott hibatípusokhoz tartozó hibát követően az elektronikus információs rendszer a kijelölt, vagy utolsó ismert állapotba kerül, amely a hiba esetén is megőrzi a rendszerállapot információkat.
3.3.9.21. A maradvány információ védelme
Az elektronikus információs rendszer védi az érintett szervezet által meghatározott maradvány információk (pl.: átmeneti fájlok) bizalmasságát; sértetlenségét.
3.3.9.22. A folyamatok elkülönítése
Az elektronikus információs rendszer elkülönített végrehajtási tartományt tart fenn minden végrehajtó folyamat számára.
3.3.10. REAGÁLÁS A BIZTONSÁGI ESEMÉNYEKRE
3.3.10.1. Biztonsági eseménykezelési eljárásrend
3.3.10.1.1. Az érintett szervezet:
3.3.10.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belüli szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a biztonsági eseménykezelési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának (vagy egyéb belső szabályozásának) részét képező elektronikus információbiztonsági esemény kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;
3.3.10.1.1.2. a biztonsági eseménykezelési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonsági eseménykezelésre vonatkozó eljárásrendet.
3.3.10.2. Képzés a biztonsági események kezelésére
3.3.10.2.1. Az érintett szervezet:
3.3.10.2.1.1. biztonsági eseménykezelési képzést biztosít az elektronikus információs rendszer felhasználóinak a számukra kijelölt szerepkörökkel és felelősségekkel összhangban;
3.3.10.2.1.2. a képzést a biztonsági eseménykezelési szerepkör vagy felelősség kijelölését követő, meghatározott időtartamon belül, vagy amikor ezt az elektronikus információs rendszer változásai megkívánják, vagy meghatározott gyakorisággal tartja.
3.3.10.2.2. Szimuláció
Az érintett szervezet a biztonsági esemény kezelési képzésébe szimulált eseményeket foglal, hogy elősegítse a személyzet hatékony reagálását kritikus helyzetekben.
3.3.10.2.3. Automatizált képzési környezet
Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy biztonsági esemény kezelési képzéséhez mélyrehatóbb és valószerűbb környezetet biztosítson.
3.3.10.3. A biztonsági események kezelésének tesztelése
3.3.10.3.1. Az érintett szervezet meghatározott gyakorisággal teszteli az elektronikus információs rendszerre vonatkozó biztonsági eseménykezelési képességeket előre kidolgozott tesztek felhasználásával, annak érdekében, hogy meghatározza a biztonsági eseménykezelés hatékonyságát, és dokumentálja az eredményeket.
3.3.10.3.2. Egyeztetés
Az érintett szervezet egyezteti a biztonsági eseménykezelés tesztelését a kapcsolódó tervekért (pl. üzletmenet-folytonossági terv és katasztrófaelhárítási terv) felelős szervezeti egységekkel.
3.3.10.4. A biztonsági események kezelése
3.3.10.4.1. Az érintett szervezet:
3.3.10.4.1.1. eseménykezelési eljárást dolgoz ki a biztonsági eseményekre, amelyek magukban foglalják az előkészületet, az észlelést, a vizsgálatot, az elszigetelést, a megszüntetést és a helyreállítást;
3.3.10.4.1.2. egyezteti az eseménykezelési eljárásokat az üzletmenet-folytonossági tervéhez tartozó tevékenységekkel;
3.3.10.4.1.3. az eseménykezelési tevékenységekből levont tanulságokat beépíti az eseménykezelési eljárásokba, a fejlesztési és üzemeltetési eljárásokba, elvárásokba, továbbképzésekbe és tesztelésbe.
3.3.10.4.2. Automatikus eseménykezelés
Az érintett szervezet automatizált mechanizmusokat alkalmaz az eseménykezelési eljárások támogatására.
3.3.10.4.3. Információ korreláció
Az érintett szervezet összekapcsolja a biztonsági eseményekre vonatkozó információkat és az egyedi eseményekre való reagálásokat, hogy szervezetszintű rálátást nyerjen a biztonsági eseményekkel kapcsolatos tudatosságra és reagálásokra.
3.3.10.5. A biztonsági események figyelése
3.3.10.5.1. Az érintett szervezet nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.
3.3.10.5.2. Automatikus nyomon követés, adatgyűjtés és vizsgálat
Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy segítse a biztonsági események nyomon követését és a biztonsági eseményekre vonatkozó információk gyűjtését és vizsgálatát.
3.3.10.6. A biztonsági események jelentése
3.3.10.6.1. Az érintett szervezet:
3.3.10.6.1.1. mindenkitől, aki az elektronikus információs rendszerrel, vagy azok elhelyezésére szolgáló objektummal kapcsolatban áll megköveteli, hogy jelentsék a biztonsági esemény bekövetkeztét, vagy ha erre utaló jelet, vagy veszélyhelyzetet észlelnek;
3.3.10.6.1.2. jogszabályban meghatározottak szerint jelenti a biztonsági eseményekre vonatkozó információkat az elektronikus információs rendszerek biztonságának felügyeletét ellátó szerveknek.
3.3.10.6.2. Automatizált jelentés
Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy segítse a biztonsági események jelentését.
3.3.10.7. Segítségnyújtás a biztonsági események kezeléséhez
3.3.10.7.1. Az érintett szervezet tanácsadást és támogatást nyújt az elektronikus információs rendszer felhasználóinak a biztonsági események kezeléséhez és jelentéséhez.
3.3.10.7.2. Automatizált támogatás
Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy növelje a biztonsági események kezelésével kapcsolatos információk és a támogatás rendelkezésre állását.
3.3.10.8. Biztonsági eseménykezelési terv
3.3.10.8.1. Az érintett szervezet:
3.3.10.8.1.1. kidolgozza a biztonsági eseménykezelési tervet, amely:
3.3.10.8.1.1.1. az érintett szervezet számára iránymutatást ad a biztonsági esemény kezelési módjaira,
3.3.10.8.1.1.2. ismerteti a biztonsági eseménykezelési lehetőségek struktúráját és szervezetét,
3.3.10.8.1.1.3. átfogó megközelítést nyújt arról, hogy a biztonsági eseménykezelési lehetőségek hogyan illeszkednek az általános szervezetbe,
3.3.10.8.1.1.4. kielégíti az érintett szervezet feladatkörével, méretével, szervezeti felépítésével és funkcióival kapcsolatos egyedi igényeit,
3.3.10.8.1.1.5. meghatározza a bejelentésköteles biztonsági eseményeket,
3.3.10.8.1.1.6. meghatározza és folyamatosan pontosítja a biztonsági események kiértékelésének, kategorizálásának (súlyosság, stb.) kritériumrendszerét,
3.3.10.8.1.1.7. támogatást ad a biztonsági eseménykezelési lehetőségek belső mérésére,
3.3.10.8.1.1.8. meghatározza azokat az erőforrásokat és vezetői támogatást, amelyek szükségesek a biztonsági eseménykezelési lehetőségek bővítésére, hatékonyabbá tételére és fenntartására;
3.3.10.8.1.2. kihirdeti és tudomásul veteti a biztonsági eseménykezelési tervet a biztonsági eseményeket kezelő (névvel és/vagy szerepkörrel azonosított) személyeknek és szervezeti egységeknek;
3.3.10.8.1.3. meghatározott gyakorisággal felülvizsgálja a biztonsági eseménykezelési tervet;
3.3.10.8.1.4. frissíti a biztonsági eseménykezelési tervet, figyelembe véve az elektronikus információs rendszer és a szervezet változásait vagy a terv megvalósítása, végrehajtása és tesztelése során felmerülő problémákat;
3.3.10.8.1.5. a biztonsági eseménykezelési terv változásait a 3.3.10.8.1.2. pont szerint ismerteti;
3.3.10.8.1.6. gondoskodik arról, hogy a biztonsági eseménykezelési terv jogosulatlanok számára ne legyen megismerhető, módosítható.