Tippek

Tartalomjegyzék nézet

Bármelyik címsorra duplán kattintva megjelenítheti a dokumentum tartalomjegyzékét.

Visszaváltás: ugyanúgy dupla kattintással.

(KISFILM!)

...Tovább...

Bíró, ügytárgy keresése

KISFILM! Hogyan tud rákeresni egy bíró ítéleteire, és azokat hogyan tudja tovább szűkíteni ügytárgy szerint.

...Tovább...

Közhiteles cégkivonat

Lekérhet egyszerű és közhiteles cégkivonatot is.

...Tovább...

PREC, BH stb. ikonok elrejtése

A kapcsolódó dokumentumok ikonjainak megjelenítését kikapcsolhatja -> így csak a normaszöveg marad a képernyőn.

...Tovább...

Keresés "elvi tartalomban"

A döntvények bíróság által kiemelt "elvi tartalmában" közvetlenül kereshet. (KISFILMMEL)

...Tovább...

Mínuszjel keresésben

A '-' jel szavak elé írásával ezeket a szavakat kizárja a találati listából. Kisfilmmel mutatjuk.

...Tovább...

Link jogszabályhelyre

KISFILM! Hogyan tud linket kinyerni egy jogszabályhelyre, bekezdésre, pontra!

...Tovább...

BH-kban bírónévre, ügytárgyra

keresés: a BH-k címébe ezt az adatot is beleírjuk. ...Tovább...

Egy bíró ítéletei

A KISFILMBEN megmutatjuk, hogyan tudja áttekinteni egy bíró valamennyi ítéletét!

...Tovább...

Jogszabály paragrafusára ugrás

Nézze meg a KISFILMET, amelyben megmutatjuk, hogyan tud a keresőből egy jogszabály valamely §-ára ugrani. Érdemes hangot ráadni.

...Tovább...

Önnek 2 Jogkódexe van!

Két Jogkódex, dupla lehetőség! KISFILMÜNKBŐL fedezze fel a telepített és a webes verzió előnyeit!

...Tovább...

Veszélyhelyzeti jogalkotás

Mi a lényege, és hogyan segít eligazodni benne a Jogkódex? (KISFILM)

...Tovább...

Változásfigyelési funkció

Változásfigyelési funkció a Jogkódexen - KISFILM!

...Tovább...

Módosult §-ok megtekintése

A „változott sorra ugrás” gomb(ok) segítségével megnézheti, hogy adott időállapotban hol vannak a módosult sorok (jogszabályhelyek). ...Tovább...

Iratminták a Pp. szövegéből

Kisfilmünkben bemutatjuk, hogyan nyithat meg iratmintákat a Pp. szövegéből. ...Tovább...

77/2013. (XII. 19.) NFM rendelet

az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés a) pontjában kapott felhatalmazás alapján az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat-és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontjában meghatározott feladatkörömben eljárva - az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 2. § (1) bekezdés c) pontjában, valamint a 12. § l) pontjában meghatározott feladatkörében eljáró közigazgatási és igazságügyi miniszterrel egyetértésben - a következőket rendelem el:

1. § Az elektronikus információs rendszerrel rendelkező érintett szervezet elektronikus információs rendszereit az 1. mellékletben foglaltak szerint sorolja biztonsági osztályba.

2. § Az elektronikus információs rendszerrel rendelkező érintett szervezet a 2. mellékletben foglaltak szerint végzi el a biztonsági szintbe sorolást.

3. § (1) Az 1. § és 2. § szerint elvégzett besorolás alapján az érintett szervezet a 3. mellékletben reá vonatkozó, és az elektronikus információs rendszerére érvényes biztonsági osztályhoz és szinthez rendelt követelményeket a 4. mellékletben meghatározott módon valósítja meg.

(2) Ha az érintett szervezet az általa használt elektronikus információs rendszernek csak egyes elemeit, vagy funkcióit - részben, vagy egészben - üzemelteti, vagy használja, akkor ezen elemek és funkciók tekintetében kell a 4. mellékletben foglalt követelményt, elvárást és feltételt biztosítania és megvalósítania.

(3) Ha az elektronikus információs rendszert több szervezet használja, az elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához kapcsolódó bármely követelményt, elvárást és feltételt minden, az adott elektronikus információs rendszeren tevékenységet végző, érintett szervezet tekintetében is érvényesíti.

(4) Az elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához kapcsolódó bármely követelményt úgy érvényesíti a többi, az adott elektronikus információs rendszeren tevékenységet végző érintett szervezet tekintetében, hogy a követelmények, feltételek és elvárások az érintett szervezet elektronikus információbiztonsággal kapcsolatos eljárásrendjébe beépülhessenek.

4. § Ez a rendelet a kihirdetését követő nyolcadik napon lép hatályba.

Németh Lászlóné s. k.,

nemzeti fejlesztési miniszter

1. melléklet a 77/2013. (XII. 19.) NFM rendelethez

Az elektronikus információs rendszerek biztonsági osztályba sorolása

1. Általános irányelvek

1.1. Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti, így például

1.1.1. a nemzeti adatvagyont kezelő rendszerek esetében a sértetlenség követelményét emeli ki;

1.1.2. a létfontosságú információs rendszerelemek esetében a rendelkezésre állást követeli meg elsődlegesen;

1.1.3. a különleges személyes adatokkal kapcsolatban alapvető igényként fogalmazza meg a bizalmasság fenntartását.

1.2. Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni, amit az érintett szervezet vezetője hagy jóvá. A kockázatelemzés során ajánlott a nemzetközi vagy hazai szabványok, ajánlások, legjobb gyakorlatok figyelembevétele.

1.2.1. Az adatok és az adott információs rendszer jellegéből kiindulva a kockázatelemezés alapját

1.2.1.1. az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, és az elektronikus információs rendszerelemek sértetlenségének és rendelkezésre állásának sérüléséből, elvesztéséből bekövetkező kár, vagy káros hatás, terjedelme, nagysága;

1.2.1.2. a kár bekövetkezésének, vagy a kárral, káros hatással fenyegető veszély mértéke, becsült valószínűsége képezi.

1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni.

1.4. Az elektronikus információs rendszerek biztonsági osztályai meghatározásához az alábbi -az érintett szervezetnél szóba jöhető - közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat kell - az érintett szervezet jellemzőire tekintettel - figyelembe venni:

1.4.1. társadalmi-politikai káros hatásokat, károkat vagy a jogsértésből, kötelezettség elmulasztásából fakadó káros hatásokat, károkat (így pl. alaptevékenységek akadályozása, különösen a létfontosságú információs rendszerelemek működési zavarai, a nemzeti adatvagyon sérülései, jogszabályok és egyéb szabályozások megsértése, jogszabály által védett adatokkal történő visszaélés vagy azok sérülése, a közérdekűség követelményének sérülése, személyiséghez fűződő jogok megsértése, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben, az ország jogrendjének sérülése, vagy ennek lehetővé tétele);

1.4.2. személyeket, csoportokat érintő károk, káros hatások (pl. különleges személyes adatok, banktitkok, üzleti titkok megsértése, szervezet, személyek vagy csoportok jó hírének károsodása, személyi sérülések, vagy haláleset bekövetkeztének - ideértve az elektronikus információs rendszer működésének zavara, vagy információhiány miatt kialakult veszélyhelyzetet -veszélye);

1.4.3. közvetlen anyagi károk (az infrastruktúrát, az elektronikus információs rendszert ért károk, és ezek rendelkezésre állásának elvesztése miatti pénzügyi veszteség, adatok sértetlenségének, rendelkezésre állásának elvesztése miatti költségek, dologi kár);

1.4.4. közvetett anyagi károk (pl. helyreállítási költségek, elmaradt haszonnal arányos költségek, a környezet biztonságának veszélyeztetése, perköltségek).

1.5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő.

2. Biztonsági osztályok

2.1. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek:

2.2. Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel

2.2.1. az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot;

2.2.2. nincs bizalomvesztés, a probléma kisebb, az érintett szervezeten belül marad, és azon belül meg is oldható;

2.2.3. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentéktelen.

2.3. A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel

2.3.1. személyes adat sérülhet;

2.3.2. az üzlet-, vagy ügymenet szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat, vagy elektronikus információs rendszer sérülhet;

2.3.3. a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető;

2.3.4. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest csekély.

2.4. A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel

2.4.1. különleges személyes adat, vagy nagy tömegű személyes adatok sérülhetnek;

2.4.2. az üzlet-, vagy ügymenet szempontjából közepes értékű, vagy az érintett szervezet szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;

2.4.3. a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;

2.4.4. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest közepes.

2.5. A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel

2.5.1. nagy tömegű különleges személyes adat sérülhet;

2.5.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);

2.5.3. az üzlet-, vagy ügymenet szempontjából nagy értékű, üzleti titkot, vagy az érintett szervezet szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;

2.5.4. a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, az érintett szervezet vezetésében személyi konzekvenciákat kell alkalmazni;

2.5.5. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentős.

2.6. Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel

2.6.1. kiemelten nagy tömegű különleges személyes adat sérül;

2.6.2. emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;

2.6.3. a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;

2.6.4. az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;

2.6.5. a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;

2.6.6. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetését, szellemi és anyagi erőforrásait meghaladó, különösen nagy értékű üzleti titok, az érintett szervezet szempontjából kiemelten érzékeny információt képező adat sérül.

2. melléklet a 77/2013. (XII. 19.) NFM rendelethez

Az elektronikus információs rendszereket működtető szervezetek biztonsági szintbe sorolása

1. Általános irányelvek

1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni.

1.2. Az egyes biztonsági szinteknek fokozatosan szigorodó biztonsági jellemzői vannak. Az egyes szintekbe történő besorolás egyben a további kockázatelemzés egyik alapja is.

2. A biztonsági szintek

2.1. Az érintett szervezet biztonsági szintje 1., ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az elektronikus információbiztonsági folyamatának csak egyes elemei, és csak részleteiben szabályozottak, azaz:

2.1.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, valamint informatikai biztonsági szabályzat) szabályozzák;

2.1.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;

2.1.3. az elektronikus információs rendszerek biztonsága kizárólag a rendszerekkel kapcsolatban álló egyének tudatosságán múlik;

2.1.4. az elektronikus információs rendszerek biztonságával megkésve, a biztonsági eseményekre reagálva foglalkoznak;

2.1.5. az elektronikus információs rendszerek biztonsági szintjét nem mérik;

2.1.6. az észlelt, biztonsággal kapcsolatos kötelezettségszegések esetén a felelős kiléte azért nem állapítható meg, mert a felelősségi körök nincsenek egyértelműen tisztázva;

2.1.7. a működtetett rendszer és a kezelt adatok védelme fizikai védelmi intézkedéseket nem igényelnek.

2.2. Az érintett szervezet biztonsági szintje 2., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az érintett szervezet informatikai folyamatai részben szabályozottak, azaz:

2.2.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat, valamint a tervezésre, beszerzésre, fejlesztésre, képzésre vonatkozó szakterületi belső előírások) szabályozzák;

2.2.2. az elektronikus információs rendszerek biztonságához kapcsolódó eljárások kialakítására törekednek, de ehhez sem megfelelő szaktudás, sem megfelelő eszközrendszer nem áll rendelkezésre;

2.2.3. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;

2.2.4. az elektronikus információs rendszerek előállítanak a biztonságra vonatkozó információkat, de azokat a szervezet nem elemzi;

2.2.5. az elektronikus információs rendszerek biztonságára vonatkozó jelentések nem teljes körűek;

2.2.6. az elektronikus információs rendszerek biztonságát nem az érintett szervezet teljes körű biztonságának részeként, hanem elsősorban az informatika belső felelősségeként, területeként kezelik;

2.2.7. a fizikai beléptetés ellenőrzésén túlmenően a működtetett rendszer és a kezelt adatok védelme további fizikai védelmi intézkedéseket nem igényel.

2.3. Az érintett szervezet biztonsági szintje 3., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz:

2.3.1. az elektronikus információs rendszerek biztonsági eljárásait meghatározták, és azokat összehangolták az informatikai biztonságpolitikával, informatikai biztonsági stratégiával, és az informatikai biztonsági szabályzattal;

2.3.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket meghatározták, és azokat az érintettek ismerik és elfogadják;

2.3.3. a kockázatelemzés eredményeit figyelembe vették a biztonsági megoldások kidolgozásánál;

2.3.4. a biztonságirányítási célokat és mérési módszereket meghatározták, de még nem teljes körűen alkalmazzák;

2.3.5. eseti biztonsági tesztelést és sérülékenységi teszteket végeznek;

2.3.6. a biztonságtudatosságot megteremtették, és azt az érintett szervezet megköveteli, az informatikai és az általános szakmai területeken folynak biztonsági képzések, de azok ütemezése és a megtartása nem formalizált;

2.3.7. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a lehetséges fizikai károk ellen;

2.3.8. tartalék munkahelyek vannak kialakítva, vagy az érintett szervezet által meghatározottak szerint rendelkezésre állnak;

2.3.9. az elektronikus információs rendszerek fejlesztésénél törekednek az integrált elektronikus információs rendszer biztonsági értékelésére vagy tanúsítására.

2.4. Az érintett szervezet biztonsági szintje 4., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz:

2.4.1. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségi köröket egyértelműen meghatározták, a változásokat követik, és a felelősségi követelményeket betartatják;

2.4.2. a biztonsági kockázat- és hatáselemzés végrehajtása következetes;

2.4.3. a felhasználói azonosítás, hitelesítés és jogosultság engedélyezés szabványosított;

2.4.4. törekszenek arra, hogy a biztonsági auditálásért és irányításért felelős munkatársak elektronikus információs rendszerek biztonságához kapcsolódó szerepkör alapú szakmai képesítést szerezzenek meg;

2.4.5. a biztonság tesztelését szabványos és formális folyamatok felhasználásával végzik, amelyek eredményeképpen a biztonsági szintek javulnak;

2.4.6. az elektronikus információs rendszerek biztonsági folyamatait összehangolják a szervezet általános biztonsági funkcióival;

2.4.7. a biztonság tudatosítását elősegítő módszerek alkalmazása kötelező, az információbiztonsági képzést mind a szervezet általános szakmai, mind az informatikai részlegeinél megtartják;

2.4.8. a biztonságirányítás hatékonyságát mérik és nyilvántartják eredményeit;

2.4.9. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer egységeit védik a fizikai károk ellen;

2.4.10. tartalék munkahelyek kialakításával és az elektronikus információs rendszer elemeinek biztonságos elhelyezésével biztosítják a rendelkezésre állást;

2.4.11. a legalább 4. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek üzembeállítását megelőzi a teljes rendszer független, külső (úgynevezett fekete dobozos) sérülékenységvizsgálaton alapuló, pozitív eredményű (csak a szervezet által elfogadható maradványkockázatokat tartalmazó), legalább fokozott garanciaszintű rendszerértékelése vagy tanúsítása;

2.4.12. az elektronikus információs rendszer fejlesztésénél törekednek széleskörűen elterjedt, biztonsági szempontból értékelt termékek beszerzésére. A biztonsági funkciók beépítésének szükségét egyaránt figyelembe veszik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.

2.5. Az érintett szervezet biztonsági szintje 5., ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz:

2.5.1. az elektronikus információs rendszerek biztonsága a szakmai és az informatikai vezetés közös felelőssége, és a szervezeti biztonság az érintett szervezet szakmai célkitűzéseivel integrált;

2.5.2. az elektronikus információs rendszerek biztonsági követelményeit egyértelműen meghatározták, optimalizálták és beépítették a jóváhagyott rendszerbiztonsági tervbe;

2.5.3. a felelősség egyénre szabott a biztonsági követelmények meghatározásáért, betartásáért, és a biztonsági elvárásokat és funkciókat már az alkalmazási rendszerek tervezési szakaszában figyelembe veszik;

2.5.4. a rendkívüli biztonsági eseményekkel haladéktalanul, automatizált eszközökkel támogatott, formalizált, a rendkívüli helyzet kezelésére definiált eljárások segítségével foglalkoznak;

2.5.5. rendszeres biztonsági felméréseket végeznek a rendszerbiztonsági terv megvalósítása, és eredményességének értékelése céljából;

2.5.6. a fenyegetésekre és sebezhetőségekre vonatkozó információkat gyűjtik és elemzik,

2.5.7. a kockázatok elhárítására, vagy enyhítésére irányuló kontroll folyamatokat alkalmaznak, hatékonyságukat rendszeresen elemzik;

2.5.8. a biztonsági folyamatok folyamatos javítása érdekében felhasználják a biztonsági tesztelést, a rendkívüli biztonsági események feltáró elemzését;

2.5.9. a kockázatok felismerését aktívan kezdeményezik;

2.5.10. a rendszerbiztonsági terv folyamatos értékelés és elemzés alatt áll, a megfelelő adatok és információk figyelembevételével;

2.5.11. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a fizikai károk ellen, valamint tartalék munkahelyek kialakításával minimalizálják a lehetséges károkat;

2.5.12. a legalább 5. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek fejlesztésénél széleskörűen elterjedt, biztonsági szempontból értékelt termékeket szereznek be, integrálnak a rendszerbe, valamint az integrált rendszer független, külső és belső (fekete és fehér dobozos) sérülékenységvizsgálaton alapuló pozitív eredményű, kiemelt garanciaszintű rendszerértékelése vagy tanúsítása történik meg;

2.5.13. a biztonsági funkciók beépítését egyaránt megkövetelik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.

3. melléklet a 77/2013. (XII. 19.) NFM rendelethez

1. Besorolási útmutató

1.1. Általános rendelkezések

1.2. A megvalósítandó biztonsági intézkedéseket, és azok megvalósításának sorrendjét a kívánt biztonsági osztály (biztonsági szint) elérésére megalkotott intézkedési tervben kell meghatározni.

1.3. A sorszám rovatban a 4. melléklet "3. Védelmi intézkedés katalógus"-ának az adott számhoz rendelt intézkedésének a száma került feltüntetésre.

1.4. Az adminisztratív és fizikai védelmi intézkedések tekintetében az érintett szervezet elektronikus információs rendszerének biztonsági osztályát az 1-5. számozású oszlopok jelzik.

1.5. A logikai védelmi intézkedések követelményrendszerének kialakítása során az 1. melléklet 2. pontjára figyelemmel kell eljárni, és az elektronikus információs rendszert az információbiztonsági alapelveknek (bizalmasság, sértetlenség, rendelkezésre állás) megfelelően 2-5. osztályokba besorolni. Mivel a logikai védelmi intézkedések terén az 1. biztonsági osztály nem értelmezhető, az a táblázatban nem szerepel.

1.6. Bármely oszlopban

1.6.1. "0" jelzi, hogy a vízszintes sorban szereplő védelmi intézkedés ebben a biztonsági osztályban nem kötelező;

1.6.2. "X" jelzi, hogy a vízszintes sorban szereplő védelmi intézkedés ebben a biztonsági osztályban kötelező.

2. A 4. melléklet "3. Védelmi intézkedés katalógus"-ában jelölt védelmi intézkedések besorolásának táblázatai:

A) 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

ABCDEFG
1.SorszámIntézkedés típusaBiztonsági osztály
2.12345
3.3.1.1.Szervezeti szintű alapfeladatok
4.3.1.1.1.Informatikai biztonságpolitikaXXXXX
5.3.1.1.2.Informatikai biztonsági stratégiaXXXXX
6.3.1.1.3.Informatikai biztonsági szabályzatXXXXX
7.3.1.1.4.Az elektronikus információs rendszerek biztonságáért felelős személyXXXXX
8.3.1.1.5.Pénzügyi erőforrások biztosítása0XXXX
9.3.1.1.6.Az intézkedési terv és mérföldkövei0XXXX
10.3.1.1.7.Az elektronikus információs rendszerek nyilvántartásaXXXXX
11.3.1.1.8.A biztonsági teljesítmény mérése00XXX
12.3.1.1.9.Szervezeti szintű architektúra00XXX
13.3.1.1.10.Kockázatkezelési stratégia0XXXX
14.3.1.1.11.Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárásXXXXX
15.3.1.1.12.Tesztelés, képzés és felügyelet00XXX
16.3.1.1.13.Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott
szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel
00XXX
17.3.1.2.Kockázatelemzés
18.3.1.2.1.Kockázatelemzési eljárásrendXXXXX
19.3.1.2.2.Biztonsági osztályba sorolásXXXXX
20.3.1.2.3.KockázatelemzésXXXXX
21.3.1.2.4.Sérülékenység teszt00XXX
22.3.1.2.4.2.Frissítési képesség00XXX
23.3.1.2.4.3.Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően00XXX
24.3.1.2.4.4.Privilegizált hozzáférés00XXX
25.3.1.2.4.5.Felfedhető információk00XXX
26.3.1.3.Tervezés
27.3.1.3.1.Biztonságtervezési eljárásrend0XXXX
28.3.1.3.2.Rendszerbiztonsági terv0XXXX
29.3.1.3.2.2.Belső egyeztetés00XXX
30.3.1.3.3.Személyi biztonság0XXXX
31.3.1.3.3.2.Viselkedési szabályok az interneten0XXXX
32.3.1.3.4.Információbiztonsági architektúra leírás000XX
33.3.1.4.Rendszer és szolgáltatás beszerzés
34.3.1.4.2.Beszerzési eljárásrend0XXXX
35.3.1.4.3.Erőforrás igény felmérés00XXX
36.3.1.4.4.A rendszer fejlesztési életciklusa0XXXX
37.3.1.4.5.Beszerzések00XXX
38.3.1.4.5.2.A védelmi intézkedések funkcionális tulajdonságai000XX
39.3.1.4.5.3.A védelmi intézkedések terv-, és megvalósítási dokumentációi000XX
40.3.1.4.5.4.Funkciók - protokollok - szolgáltatások000XX
41.3.1.4.6.Az elektronikus információs rendszerre vonatkozó dokumentáció00XXX
42.3.1.4.7.Biztonságtervezési elvek000XX
43.3.1.4.8.Külső elektronikus információs rendszerek szolgáltatásai0XXXX
44.3.1.4.8.2.Funkciók, portok, protokollok, szolgáltatások000XX
45.3.1.4.9.Fejlesztői változáskövetés000XX
46.3.1.4.10.Fejlesztői biztonsági tesztelés000XX
47.3.1.4.11.A védelem szempontjainak érvényesítése a beszerzés során0000X
48.3.1.4.12.Fejlesztési folyamat, szabványok és eszközök0000X
49.3.1.4.13.Fejlesztői oktatás0000X
50.3.1.4.14.Fejlesztői biztonsági architektúra és tervezés0000X
51.3.1.5.Biztonsági elemzés
52.3.1.5.1.Biztonságelemzési eljárásrend00XXX
53.3.1.5.2.Biztonsági értékelések00XXX
54.3.1.5.2.3.Független értékelők000XX
55.3.1.5.2.4.Speciális értékelés0000X
56.3.1.5.3.Az elektronikus információs rendszer kapcsolódásai00XXX
57.3.1.5.3.2.Külső kapcsolódásokra vonatkozó korlátozások000XX
58.3.1.5.4.Cselekvési terv00XXX
59.3.1.5.5.Folyamatos ellenőrzés00XXX
60.3.1.5.5.2.Független értékelés000XX
61.3.1.5.6.Belső rendszer kapcsolatok00XXX
62.3.1.6.Emberi tényezőket figyelembe vevő - személy - biztonság
63.3.1.6.2.Személybiztonsági eljárásrend00XXX
64.3.1.6.3.Munkakörök, feladatok biztonsági szempontú besorolása00XXX
65.3.1.6.4.A személyek ellenőrzése00XXX
66.3.1.6.5.Eljárás a jogviszony megszűnésekorXXXXX
67.3.1.6.5.2.Automatikus figyelmeztetés0000X
68.3.1.6.6.Az áthelyezések, átirányítások és kirendelések kezelése00XXX
69.3.1.6.7.Az érintett szervezettel szerződéses jogviszonyban álló (külső) szervezetre
vonatkozó követelmények
00XXX
70.3.1.6.8.Fegyelmi intézkedésekXXXXX
71.3.1.7.Tudatosság és képzés
72.3.1.7.1.Képzési eljárásrendXXXXX
73.3.1.7.2.Biztonság tudatosság képzésXXXXX
74.3.1.7.2.2.Belső fenyegetés000XX
75.3.1.7.3.Szerepkör, vagy feladat alapú biztonsági képzés00XXX
76.3.1.7.4A biztonsági képzésre vonatkozó dokumentációk00XXX

B) 3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK

ABCDEFG
1.SorszámIntézkedés típusaBiztonsági osztály
2.12345
3.3.2.1.Fizikai és környezeti védelem
4.3.2.1.2.Fizikai védelmi eljárásrend0XXXX
5.3.2.1.3.Fizikai belépési engedélyek0XXXX
6.3.2.1.4.A fizikai belépés ellenőrzése0XXXX
7.3.2.1.4.2.Hozzáférés az információs rendszerhez0000X
8.3.2.1.5.Hozzáférés az adatátviteli eszközökhöz és csatornákhoz000XX
9.3.2.1.6.A kimeneti eszközök hozzáférés ellenőrzése000XX
10.3.2.1.7.A fizikai hozzáférések felügyelete00XXX
11.3.2.1.7.2.Behatolás riasztás, felügyeleti berendezések000XX
12.3.2.1.7.3.Az elektronikus információs rendszerekhez való hozzáférés felügyelete0000X
13.3.2.1.8.A látogatók ellenőrzése00XXX
14.3.2.1.8.2.Automatizált látogatói információkezelés0000X
15.3.2.1.9.Áramellátó berendezések és kábelezés000XX
16.3.2.1.10.Vészkikapcsolás000XX
17.3.2.1.11.Tartalék áramellátás000XX
18.3.2.1.11.2.Hosszútávú tartalék áramellátás a minimálisan elvárt működési képességhez0000X
19.3.2.1.12.Vészvilágítás00XXX
20.3.2.1.13.Tűzvédelem00XXX
21.3.2.1.13.2.Automatikus tűzelfojtás000XX
22.3.2.1.13.3.Észlelő berendezések, rendszerek0000X
23.3.2.1.13.4.Tűzelfojtó berendezések, rendszerek0000X
24.3.2.1.14.Hőmérséklet és páratartalom ellenőrzés00XXX
25.3.2.1.15.Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem00XXX
26.3.2.1.15.2.Automatizált védelem0000X
27.3.2.1.16.Be- és kiszállítás00XXX
28.3.2.1.17.Tartalék munkahelyszínek000XX
29.3.2.1.18.Az elektronikus információs rendszer elemeinek elhelyezése000XX

C) 3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK

ABCDEFGHIJKLMN
1.SorszámIntézkedés típusaAlapelvek
2.BizalmasságSértetlenségRendelkezésre
állás
3.Biztonsági osztályok
4.234523452345
5.3.3.1.Konfigurációkezelés
6.3.3.1.1.Konfigurációkezelési eljárásrendXXXXXXXXXXXX
7.3.3.1.2.AlapkonfigurációXXXXXXXXXXXX
8.3.3.1.2.2.Áttekintések és frissítések00XX00XX00XX
9.3.3.1.2.3.Korábbi konfigurációk megőrzése00XX00XX00XX
10.3.3.1.2.4.Magas kockázatú területek konfigurálása00XX00XX00XX
11.3.3.1.2.5.Automatikus támogatás000X000X000X
12.3.3.1.3.A konfigurációváltozások felügyelete (változáskezelés)0XXX0XXX0XXX
13.3.3.1.3.2.Előzetes tesztelés és megerősítés00XX00XX0XXX
14.3.3.1.3.3.Automatikus támogatás000X000X000X
15.3.3.1.4.Biztonsági hatásvizsgálat0XXX0XXX0XXX
16.3.3.1.4.2.Elkülönített teszt környezet000X000X000X
17.3.3.1.5.A változtatásokra vonatkozó hozzáférés korlátozások000000XX0000
18.3.3.1.5.2.Automatikus támogatás0000000X0000
19.3.3.1.5.3.Felülvizsgálat0000000X0000
20.3.3.1.5.4.Aláírt elemek0000000X0000
21.3.3.1.6.Konfigurációs beállítások0XXX0XXX0XXX
22.3.3.1.6.2.Automatikus támogatás000X000X000X
23.3.3.1.6.3.Reagálás jogosulatlan változásokra000X000X000X
24.3.3.1.7.Legszűkebb funkcionalitás0XXX0XXX0XXX
25.3.3.1.7.2.Rendszeres felülvizsgálat00XX00XX00XX
26.3.3.1.7.3.Nem futtatható szoftverek00X000X000X0
27.3.3.1.7.4.Futtatható szoftverek000X000X000X
28.3.3.1.8.Elektronikus információs rendszerelem leltárXXXXXXXXXXXX
29.3.3.1.8.2.Frissítés00XX00XX00XX
30.3.3.1.8.3.Jogosulatlan elemek automatikus észlelése000X000X00XX
31.3.3.1.8.4.Duplikálás elleni védelem000X000X00XX
32.3.3.1.8.5.Automatikus támogatás000X000X000X
33.3.3.1.8.6.Naplózás000X000X000X
34.3.3.1.9.Konfigurációkezelési terv00XX00XX00XX
35.3.3.1.10.A szoftverhasználat korlátozásaiXXXXXXXXXXXX
36.3.3.1.11.A felhasználó által telepített szoftverekXXXXXXXXXXXX
37.3.3.2.Üzletmenet (ügymenet) folytonosság tervezése
38.3.3.2.1.Üzletmenet folytonosságra vonatkozó eljárásrend00000000XXXX
39.3.3.2.2.Üzletmenet folytonossági terv informatikai erőforrás
kiesésekre
00000000XXXX
40.3.3.2.2.2.Egyeztetés0000000000XX
41.3.3.2.2.3.Alapfunkciók újraindítása0000000000XX
42.3.3.2.2.4.Kritikus rendszerelemek meghatározása0000000000XX
43.3.3.2.2.5.Kapacitástervezés00000000000X
44.3.3.2.2.6.Összes funkció újraindítása00000000000X
45.3.3.2.2.7.Alapfeladatok és alapfunkciók folyamatossága00000000000X
46.3.3.2.3.A folyamatos működésre felkészítő képzés000000000XXX
47.3.3.2.3.2.Szimuláció00000000000X
48.3.3.2.4.Az üzletmenet-folytonossági terv tesztelése0000000000XX
49.3.3.2.4.2.Koordináció0000000000XX
50.3.3.2.4.3.Tartalék feldolgozási helyszín0000000000XX
51.3.3.2.5.Biztonsági tárolási helyszín0000000000XX
52.3.3.2.5.2.Elkülönítés0000000000XX
53.3.3.2.5.3.Üzletmenet-folytonosság elérhetőség0000000000XX
54.3.3.2.5.4.Üzletmenet-folytonosság helyreállítás00000000000X
55.3.3.2.6.Tartalék feldolgozási helyszín0000000000XX
56.3.3.2.6.2.Elkülönítés00000000000X
57.3.3.2.6.3.Elérhetőség00000000000X
58.3.3.2.6.4.Szolgáltatások priorálása00000000000X
59.3.3.2.6.5.Előkészület a működés megindítására00000000000X
60.3.3.2.7.Infokommunikációs szolgáltatások0000000000XX
61.3.3.2.7.2.Szolgáltatások prioritása0000000000XX
62.3.3.2.7.3.Közös hibalehetőségek kizárása0000000000XX
63.3.3.2.8.Az elektronikus információs rendszer mentései0000XXXXXXXX
64.3.3.2.8.2.Megbízhatósági és sértetlenségi teszt0000000000XX
65.3.3.2.8.3.Helyreállítási teszt00000000000X
66.3.3.2.8.4.Kritikus információk elkülönítése00000000000X
67.3.3.2.8.5.Alternatív tárolási helyszín00000000000X
68.3.3.2.9.Az elektronikus információs rendszer helyreállítása és
újraindítása
0000XXXXXXXX
69.3.3.2.9.2.Tranzakciók helyreállítása000000XX00XX
70.3.3.2.9.3.Helyreállítási idő00000000000X
71.3.3.3.Karbantartás
72.3.3.3.1.Rendszer karbantartási eljárásrend0000XXXXXXXX
73.3.3.3.2.Rendszeres karbantartás0000XXXXXXXX
74.3.3.3.2.2.Automatikus támogatás0000000X000X
75.3.3.3.3.Karbantartási eszközök000000XX00XX
76.3.3.3.3.2.Ellenőrzés000000XX00XX
77.3.3.3.3.3.Adathordozó ellenőrzés000000XX00XX
78.3.3.3.3.4.Szállítási felügyelet000X00000000
79.3.3.3.4.Távoli karbantartás00XX00XX00XX
80.3.3.3.4.2.Dokumentálás000X000X000X
81.3.3.3.4.3.Összehasonlítható biztonság000X000X000X
82.3.3.3.5.Karbantartók0XXX0XXX0XXX
83.3.3.3.5.2.Karbantartás fokozott biztonsági intézkedésekkel000X000X000X
84.3.3.3.6.Időben történő javítás0000000000XX
85.3.3.4.Adathordozók védelme
86.3.3.4.1.Adathordozók védelmére vonatkozó eljárásrendXXXXXXXXXXXX
87.3.3.4.2.Hozzáférés az adathordozókhozXXXXXXXXXXXX
88.3.3.4.3.Adathordozók címkézése00XX00000000
89.3.3.4.4.Adathordozók tárolása00XX00000000
90.3.3.4.5.Adathordozók szállítása00XX00XX00XX
91.3.3.4.5.2.Kriptográfiai védelem00XX00XX0000
92.3.3.4.6.Adathordozók törléseXXXX00000000
93.3.3.4.6.2.Ellenőrzés000X00000000
94.3.3.4.6.3.Tesztelés000X00000000
95.3.3.4.6.4.Törlés megsemmisítés nélkül000X00000000
96.3.3.4.7.Adathordozók használataXXXXXXXXXXXX
97.3.3.4.7.2.Ismeretlen tulajdonos00XX00XX00XX
98.3.3.5.Azonosítás és hitelesítés
99.3.3.5.1.Azonosítási és hitelesítési eljárásrendXXXXXXXXXXXX
100.3.3.5.2.Azonosítás és hitelesítésXXXXXXXXXXXX
101.3.3.5.2.2.Hálózati hozzáférés privilegizált fiókokhoz0XXX00XX00XX
102.3.3.5.2.3.Hálózati hozzáférés nem privilegizált fiókokhoz00XX00XX00XX
103.3.3.5.2.4.Helyi hozzáférés privilegizált fiókokhoz00XX00XX00XX
104.3.3.5.2.5.Visszajátszás-védelem00XX00XX00XX
105.3.3.5.2.6.Távoli hozzáférés - külön eszköz00XX00XX00XX
106.3.3.5.2.7.Helyi hozzáférés nem privilegizált fiókokhoz000X000X00XX
107.3.3.5.2.8.Visszajátszás ellen védett hálózati hozzáférés nem
privilegizált fiókokhoz
000X000X00XX
108.3.3.5.3.Eszközök azonosítása és hitelesítése00XX00XX00XX
109.3.3.5.4.Azonosító kezelésXXXXXXXXXXXX
110.3.3.5.5.A hitelesítésre szolgáló eszközök kezeléseXXXXXXXXXXXX
111.3.3.5.5.2.Jelszó (tudás) alapú hitelesítés00XX00XX00XX
112.3.3.5.5.3.Birtoklás alapú hitelesítés00XX00XX00XX
113.3.3.5.5.4.Tulajdonság alapú hitelesítés00XX00XX00XX
114.3.3.5.5.5.Személyes vagy megbízható harmadik fél általi
regisztráció
00XX00XX00XX
115.3.3.5.6.A hitelesítésre szolgáló eszköz visszacsatolásaXXXXXXXXXXXX
116.3.3.5.7.Hitelesítés kriptográfiai modul esetén0XXX0XXX0XXX
117.3.3.5.8.Azonosítás és hitelesítés (szervezeten kívüli
felhasználók)
XXXXX0XXXXXX
118.3.3.5.8.2.Hitelesítésszolgáltatók tanúsítványának elfogadása0XXXXXXXXXXX
119.3.3.6.Hozzáférés ellenőrzése
120.3.3.6.1.Hozzáférés ellenőrzési eljárásrendXXXXXXXXXXXX
121.3.3.6.2.Felhasználói fiókok kezeléseXXXXXXXXXXXX
122.3.3.6.2.2.Automatikus kezelés00XX00XX00XX
123.3.3.6.2.3.Ideiglenes fiókok eltávolítása00XX00XX00XX
124.3.3.6.2.4.Inaktív fiókok letiltása00XX00XX00XX
125.3.3.6.2.5.Automatikus naplózás00XX000X00XX
126.3.3.6.2.6.Kiléptetés000X000X000X
127.3.3.6.2.7.Szokatlan használat000X000X000X
128.3.3.6.2.8.Letiltás000X000X000X
129.3.3.6.3.Hozzáférés ellenőrzés érvényesítéseXXXXXXXXXXXX
130.3.3.6.4.Információáramlás ellenőrzés érvényesítése00XX00XX00XX
13.13.3.6.5.A felelősségek szétválasztása00XX00XX00XX
132.3.3.6.6.Legkisebb jogosultság elve00XX00XX00XX
133.3.3.6.6.2.Jogosult hozzáférés a biztonsági funkciókhoz00XX00XX00XX
134.3.3.6.6.3.Nem privilegizált hozzáférés a biztonsági funkciókhoz00XX00XX00XX
135.3.3.6.6.4.Privilegizált fiókok00XX00XX00XX
136.3.3.6.6.5.Privilegizált funkciók használatának naplózása00XX00XX00XX
137.3.3.6.6.6.Privilegizált funkciók tiltása nem privilegizált
felhasználóknak
00XX00XX00XX
138.3.3.6.6.7.Hálózati hozzáférés a privilegizált parancsokhoz000X000X000X
139.3.3.6.7.Sikertelen bejelentkezési kísérletek0XXX0XXX0XXX
140.3.3.6.8.A rendszerhasználat jelzése0XXX0XXX0XXX
141.3.3.6.9.Egyidejű munkaszakasz kezelés000X000X000X
142.3.3.6.10.A munkaszakasz zárolása00XX00XX00XX
143.3.3.6.10.2.Képernyőtakarás00XX00XX00XX
144.3.3.6.11.A munkaszakasz lezárása00XX00XX00XX
145.3.3.6.12.Azonosítás vagy hitelesítés nélkül engedélyezett
tevékenységek
XXXXXXXXXXXX
146.3.3.6.13.Távoli hozzáférés0XXX0XXX0XXX
147.3.3.6.13.2.Ellenőrzés00XX00XX00XX
148.3.3.6.13.3.Titkosítás00XX00XX00XX
149.3.3.6.13.4.Hozzáférés ellenőrzési pontok00XX00XX00XX
150.3.3.6.13.5.Privilegizált parancsok elérése00XX00XX00XX
151.3.3.6.14.Vezeték nélküli hozzáférés0XXX0XXX0XXX
152.3.3.6.14.2.Hitelesítés és titkosítás000X000X000X
153.3.3.6.14.3.Felhasználó konfigurálás tiltása000X000X000X
154.3.3.6.14.4.Antennák000X000X000X
155.3.3.6.15.Mobil eszközök hozzáférés ellenőrzése0XXX0XXX0XXX
156.3.3.6.15.2.Titkosítás00XX00XX0000
157.3.3.6.16.Külső elektronikus információs rendszerek használataXXXXXXXXXXXX
158.3.3.6.16.2.Korlátozott használat00XX00XX00XX
159.3.3.6.16.3.Hordozható adattároló eszközök00XX00XX00XX
160.3.3.6.17.Információmegosztás00XX00000000
161.3.3.6.18.Nyilvánosan elérhető tartalomXXXXXXXXXXXX
162.3.3.7.Rendszer- és információsértetlenség
163.3.3.7.1.Rendszer- és információsértetlenségre vonatkozó
eljárásrend
0000XXXX0000
164.3.3.7.3.Hibajavítás0000XXXX0000
165.3.3.7.3.2.Automatizált hibajavítási állapot000000XX0000
166.3.3.7.3.3.Központi kezelés0000000X0000
167.3.3.7.4.Kártékony kódok elleni védelemXXXXXXXXXXXX
168.3.3.7.4.2.Központi kezelés00XX00XX00XX
169.3.3.7.4.3.Automatikus frissítés00XX00XX00XX
170.3.3.7.5.Az elektronikus információs rendszer felügyeleteXXXXXXXXXXXX
171.3.3.7.5.2.Automatizálás00XX00XX00XX
172.3.3.7.5.3.Felügyelet00XX00XX00XX
173.3.3.7.5.4.Riasztás00XX00XX00XX
174.3.3.7.6.Biztonsági riasztások és tájékoztatások0XXX0XXX0XXX
175.3.3.7.6.2.Automatikus riasztások000X000X000X
176.3.3.7.7.A biztonsági funkcionalitás ellenőrzése000X000X0000
177.3.3.7.8.Szoftver- és információsértetlenség00XX00XX00XX
178.3.3.7.8.2.Sértetlenség ellenőrzés000X000X000X
179.3.3.7.8.3.Észlelés és reagálás000X000X000X
180.3.3.7.8.4.Automatikus értesítés000X000X000X
181.3.3.7.8.5.Automatikus reagálás000X000X000X
182.3.3.7.8.6.Végrehajtható kód000X000X000X
183.3.3.7.9.Kéretlen üzenetek elleni védelem000000XX0000
184.3.3.7.9.2.Központi kezelés000000XX0000
185.3.3.7.9.3.Frissítés000000XX0000
186.3.3.7.10.Bemeneti információ ellenőrzés000000XX0000
187.3.3.7.11.Hibakezelés000000XX0000
188.3.3.7.12.A kimeneti információ kezelése és megőrzéseXXXXXXXX0000
189.3.3.7.13.Memóriavédelem00XX00XX00XX
190.3.3.8.Naplózás és elszámoltathatóság
191.3.3.8.1.Naplózási eljárásrendXXXXXXXXXXXX
192.3.3.8.2.Naplózható eseményekXXXXXXXXXXXX
193.3.3.8.2.2.Felülvizsgálat000X000X000X
194.3.3.8.3.Naplóbejegyzések tartalmaXXXXXXXXXXXX
195.3.3.8.3.2.Kiegészítő információk00XX00XX00XX
196.3.3.8.3.3.Központi kezelés000X000X000X
197.3.3.8.4.Napló tárkapacitás0XXX0XXX0XXX
198.3.3.8.5.Naplózási hiba kezelése0XXX0XXX0XXX
199.3.3.8.5.2.Naplózási tárhely ellenőrzés000X000X000X
200.3.3.8.5.3.Valósidejű riasztás000X000X000X
201.3.3.8.6.Naplóvizsgálat és jelentéskészítés0XXX0XXX0XXX
202.3.3.8.6.2.Folyamatba illesztés000X000X00XX
203.3.3.8.6.3.Összegzés000X000X00XX
204.3.3.8.6.4.Felügyeleti képességek integrálása000X000X000X
205.3.3.8.6.5.Összekapcsolás a fizikai hozzáférési információkkal000X000X000X
206.3.3.8.7.Naplócsökkentés és jelentéskészítés00XX00XX00XX
207.3.3.8.7.2.Automatikus feldolgozás00XX00XX00XX
208.3.3.8.8.IdőbélyegekXXXXXXXXXXXX
209.3.3.8.8.2.Szinkronizálás00XX00XX00XX
210.3.3.8.9.A naplóinformációk védelmeXXXXXXXXXXXX
211.3.3.8.9.2.Hozzáférés korlátozása0000000X00XX
212.3.3.8.9.3.Fizikailag elkülönített mentés0000000X000X
213.3.3.8.9.4.Kriptográfiai védelem0000000X0000
214.3.3.8.10.Letagadhatatlanság000X000X000X
215.3.3.8.11.A naplóbejegyzések megőrzéseXXXXXXXXXXXX
216.3.3.8.12.NaplógenerálásXXXXXXXXXXXX
217.3.3.8.12.2.Rendszerszintű időalap napló000X000X000X
218.3.3.8.12.3.Változtatások000X000X000X
219.3.3.9.Rendszer- és kommunikációvédelem
220.3.3.9.1.Rendszer- és kommunikációvédelmi eljárásrendXXXXXXXXXXXX
221.3.3.9.2.Alkalmazás szétválasztás00XX00XX00XX
222.3.3.9.3.Biztonsági funkciók elkülönítése000X000X000X
223.3.3.9.4.Információmaradványok00XX00000000
224.3.3.9.5.Túlterhelés - szolgáltatás megtagadás alapú támadás -
elleni védelem
000000000XXX
225.3.3.9.6.A határok védelmeXXXXXXXXXXXX
226.3.3.9.6.2.Hozzáférési pontok000X000X00XX
227.3.3.9.6.3.Külső kommunikációs szolgáltatások000X000X00XX
228.3.3.9.6.4.Alapeseti visszautasítás000X000X00XX
229.3.3.9.6.5.Távoli készülékek megosztott csatornahasználatának
tiltása
000X000X00XX
230.3.3.9.6.6.Hitelesített proxy kiszolgálók000X000X000X
231.3.3.9.6.7.Biztonsági hibaállapot000X000X000X
232.3.3.9.6.8.Rendszerelemek elkülönítése000X000X000X
233.3.3.9.7.Az adatátvitel bizalmassága00XX00000000
234.3.3.9.7.2.Kriptográfiai vagy egyéb védelem00XX00000000
235.3.3.9.8.Az adatátvitel sértetlensége000000XX0000
236.3.3.9.8.2.Kriptográfiai vagy egyéb védelem000000XX0000
237.3.3.9.9.A hálózati kapcsolat megszakítása0000000000XX
238.3.3.9.10.Kriptográfiai kulcs előállítása és kezeléseXXXXXXXXXXXX
239.3.3.9.10.2.Rendelkezésre állás000X000X000X
240.3.3.9.11.Kriptográfiai védelemXXXXXXXX0000
241.3.3.9.12.Együttműködésen alapuló számítástechnikai eszközökXXXX00000000
242.3.3.9.13.Nyilvános kulcsú infrastruktúra tanúsítványok00XX00XX0000
243.3.3.9.14.Mobilkód korlátozása00XX00XX0000
244.3.3.9.15.Elektronikus Információs rendszeren keresztüli
hangátvitel (úgynevezett VoIP)
00XX00000000
245.3.3.9.16.Biztonságos név/cím feloldó szolgáltatások (úgynevezett
hiteles forrás)
00000XXX0000
246.3.3.9.17.Biztonságos név/cím feloldó szolgáltatás (úgynevezett
rekurzív vagy gyorsító tárat használó feloldás)
00000XXX0000
247.3.3.9.18.Architektúra és tartalékok név/cím feloldási szolgáltatás
esetén
00000XXX0000
248.3.3.9.19.Munkaszakasz hitelessége000000XX0000
249.3.3.9.20.Hibát követő ismert állapot000X000X000X
250.3.3.9.21.A maradvány információ védelme00XX00XX0000
251.3.3.9.22.A folyamatok elkülönítéseXXXXXXXX0000
252.3.3.10.Reagálás a biztonsági eseményekre
253.3.3.10.1.Biztonsági eseménykezelési eljárásrend0XXX0XXX0XXX
254.3.3.10.2.Képzés a biztonsági események kezelésére0XXX0XXX0XXX
255.3.3.10.2.2.Szimuláció000X000X000X
256.3.3.10.2.3.Automatizált képzési környezet000X000X000X
257.3.3.10.3.A biztonsági események kezelésének tesztelése00XX00XX00XX
258.3.3.10.3.2.Egyeztetés00XX00XX00XX
259.3.3.10.4.A biztonsági események kezelése0XXX0XXX0XXX
260.3.3.10.4.2.Automatikus eseménykezelés000X000X000X
261.3.3.10.4.3.Információ korreláció000X000X000X
262.3.3.10.5.A biztonsági események figyelése0XXX0XXX0XXX
263.3.3.10.5.2.Automatikus nyomon követés, adatgyűjtés és vizsgálat000X000X000X
264.3.3.10.6.A biztonsági események jelentése0XXX0XXX0XXX
265.3.3.10.6.2Automatizált jelentés00XX00XX00XX
266.3.3.10.7.Segítségnyújtás a biztonsági események kezeléséhez0XXX0XXX0XXX
267.3.3.10.7.2.Automatizált támogatás00XX00XX00XX
268.3.3.10.8.Biztonsági eseménykezelési terv0XXX0XXX0XXX

4. melléklet a 77/2013. (XII. 19.) NFM rendelethez

AZ ADMINISZTRATÍV, FIZIKAI ÉS LOGIKAI BIZTONSÁGI KÖVETELMÉNYEK

1. ELTÉRÉSEK

1.1. Általános követelmények

Az érintett szervezetnek az alábbi lehetséges eltérésekkel és helyettesítő intézkedésekkel lehet teljesítenie a 3. pont szerinti védelmi intézkedés katalógusban meghatározott minimális követelményeket, a rendszerre meghatározott biztonsági kockázati szintnek megfelelő intézkedések kiválasztásával, amellett, hogy az érintett szervezetre érvényes minden kötelezettséget figyelembe kell venni.

1.2. Egyedi eltérések

1.2.1. Működtetéssel, környezettel kapcsolatos eltérések:

1.2.1.1. A működtetési környezet jellegétől függő biztonsági intézkedések csak akkor alkalmazandók, ha az elektronikus információs rendszert az intézkedéseket szükségessé tevő környezetben használják.

1.2.2. A fizikai infrastruktúrával kapcsolatos eltérések:

1.2.2.1. A szervezeti létesítményekkel kapcsolatos biztonsági intézkedések (zárak, őrök, környezeti paraméterek: hőmérséklet, páratartalom stb.) csak a létesítmény azon részeire alkalmazandók, amelyek közvetlenül nyújtanak védelmet vagy biztonsági támogatást az elektronikus információs rendszernek, vagy kapcsolatosak azzal (ideértve a rendszerelemeket is, mint például e-mail, web szerverek, szerver farmok, adatközpontok, hálózati csomópontok, határvédelmi eszközök és kommunikációs berendezések).

1.2.3. A nyilvános hozzáféréssel kapcsolatos eltérések:

1.2.3.1. A nyilvánosan hozzáférhető információkra vonatkozó biztonsági intézkedéseket körültekintően kell számba venni, és végrehajtani, mivel a vonatkozó védelmi intézkedés katalógus rész egyes biztonsági intézkedései (például azonosítás és hitelesítés, személyi biztonsági intézkedések) nem alkalmazhatók az elektronikus információs rendszerhez engedélyezett nyilvános kapcsolaton keresztül hozzáférő felhasználókra.

1.2.4. Technológiai eltérések:

1.2.4.1. A specifikus technológiára (például vezeték nélküli kommunikáció, kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési eljárás) vonatkozó biztonsági intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben, vagy előírják ezek használatát.

1.2.4.2. A biztonsági intézkedések az elektronikus információs rendszer csak azon komponenseire vonatkoznak, amelyek az intézkedés által megcélzott biztonsági képességet biztosítják vagy támogatják, és az intézkedés által csökkenteni kívánt lehetséges kockázatok forrásai.

1.2.5. Biztonsági politikával, szabályozással kapcsolatos eltérések:

1.2.5.1. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is.

1.2.6. A biztonsági intézkedések bevezetésének fokozatosságával kapcsolatos eltérések:

1.2.6.1. A biztonsági intézkedések fokozatosan vezethetők be. A fokozatosságot a védendő elektronikus információs rendszerek biztonsági kategorizálása alapján lehet felállítani.

1.2.7. A biztonsági célokhoz kapcsolódó eltérések:

1.2.7.1. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás:

1.2.7.1.1. összhangban van a vonatkozó bizalmasságra, sértetlenségre vagy rendelkezésre állásra vonatkozóan az úgynevezett "high water mark" elv alkalmazása előtt megállapított biztonsági szinttel, amely elv az információbiztonság szempontjából azt jelenti, hogy a legmagasabb biztonsági célhoz kell hangolni minden elemet;

1.2.7.1.2. a "high water mark" elv alkalmazásával az eredeti bizalmassági, sértetlenségi és rendelkezésre állási biztonsági célokat meghaladó, magasabb biztonsági intézkedés szint meghatározás történt, de ez a magasabb biztonsági intézkedési szint nem szükséges a költséghatékony, kockázatarányos biztonsági intézkedések szempontjából;

1.2.7.1.3. az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;

1.2.7.1.4. nem befolyásolja a biztonsági szempontból fontos információkat az elektronikus információs rendszeren belül.

2. HELYETTESÍTŐ BIZTONSÁGI INTÉZKEDÉSEK

2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést.

2.2. Egy elektronikus információs rendszer esetén az érintett szervezet az alábbi feltételek teljesülése esetén alkalmazhat helyettesítő intézkedést:

2.2.1. ha az elektronikus információs rendszerek biztonságára vonatkozó szabványokban, vagy hazai ajánlásokban fellelhető helyettesítő intézkedést választja, vagy ha ezekben nincs megfelelő helyettesítő intézkedés, akkor az érintett szervezet kivételesen alkalmazhat egy, az adott helyzetben megfelelő helyettesítő intézkedést;

2.2.2. a helyettesítő intézkedések kiválasztásánál az érintett szervezetnek törekednie kell arra, hogy a védelmi intézkedés katalógusból válasszon intézkedést; az érintett szervezet által meghatározott helyettesítő intézkedéseket csak végső esetben szabad használni, amennyiben a biztonsági intézkedések katalógusa nem tartalmaz az adott viszonyok között alkalmazható intézkedést;

2.2.3. a vonatkozó szabályozásában be kell mutatnia, hogy a helyettesítő intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, védelmi szintjét, és azt, hogy miért nem használhatók a vonatkozó alapkészlet biztonsági intézkedései;

2.2.4. a 2.2.3. pont szerinti indoklás részletezettségének és szigorúságának az elektronikus információs rendszerre megállapított biztonsági szintnek megfelelőnek kell lennie;

2.2.5. ha felméri és a kockázatkezelési eljárási rendnek megfelelően elfogadja a helyettesítő intézkedés alkalmazásával kapcsolatos kockázatot;

2.2.6. a helyettesítő biztonsági intézkedések alkalmazását dokumentálja, és az eljárási rendnek megfelelően az érintett személlyel, vagy szerepkörrel jóváhagyatja.

3. VÉDELMI INTÉZKEDÉS KATALÓGUS

3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

3.1.1. SZERVEZETI SZINTŰ ALAPFELADATOK

3.1.1.1. Informatikai biztonságpolitika

3.1.1.1.1. Az érintett szervezet:

3.1.1.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az informatikai biztonságpolitikát;

3.1.1.1.1.2. belső szabályozásában, vagy magában az informatikai biztonságpolitikáról szóló dokumentumban meghatározza az informatikai biztonságpolitika felülvizsgálatának és frissítésének gyakoriságát.

3.1.1.1.2. Elvárás:

3.1.1.1.2.1. meg kell határozni a kiberbiztonsági célokat, fel kell állítani az informatikai biztonságpolitika szervezeti szempontú alapelveit;

3.1.1.1.2.2. be kell mutatni az érintett szervezet vezető beosztású tagjainak elkötelezettségét a biztonsági feladatok irányítására és támogatására;

3.1.1.1.2.3. ki kell fejteni az érintett szervezetben alkalmazott biztonsági alapelveket és megfelelőségi követelményeket.

3.1.1.2. Informatikai biztonsági stratégia

3.1.1.2.1. Az érintett szervezet:

3.1.1.2.1.1. megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely meghatározza a biztonságpolitikai célok megvalósításának módszerét, eszközrendszerét, ütemezését;

3.1.1.2.1.2. belső szabályozásában, vagy magában az informatikai biztonsági stratégiában meghatározza az informatikai biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát;

3.1.1.2.1.3. gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, módosítható.

3.1.1.2.2. Elvárás:

3.1.1.2.2.1. az informatikai biztonsági stratégia rövid-, közép- és hosszútávú célokat tűz ki;

3.1.1.2.2.2. az informatikai biztonsági stratégia illeszkedik az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.

3.1.1.3. Informatikai biztonsági szabályzat

3.1.1.3.1. Az érintett szervezet:

3.1.1.3.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az informatikai biztonsági szabályzatot;

3.1.1.3.1.2. más belső szabályozásában, vagy magában az informatikai biztonsági szabályzatban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát;

3.1.1.3.1.3. gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, módosítható.

3.1.1.3.2. Az informatikai biztonsági szabályzatban meg kell határozni:

3.1.1.3.2.1. a célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően területi) hatályát;

3.1.1.3.2.2. az elektronikus információbiztonsággal kapcsolatos szerepköröket;

3.1.1.3.2.3. a szerepkörhöz rendelt tevékenységet;

3.1.1.3.2.4. a tevékenységhez kapcsolódó felelősséget;

3.1.1.3.2.5. az információbiztonság szervezetrendszerének belső együttműködését.

3.1.1.3.3. Az informatikai biztonsági szabályzat elsősorban a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza:

3.1.1.3.3.1. kockázatelemzés (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz);

3.1.1.3.3.2. biztonsági helyzet-, és eseményértékelés eljárási rendje;

3.1.1.3.3.3. az elektronikus információs rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzés (amennyiben az érintett szervezet ilyet végez, vagy végezhet);

3.1.1.3.3.4. biztonsággal kapcsolatos tervezés (például: beszerzés, fejlesztés, eljárásrendek kialakítását);

3.1.1.3.3.5. fizikai és környezeti védelem szabályai, jellemzői;

3.1.1.3.3.6. az emberi erőforrásokban rejlő veszélyek megakadályozása (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.);

3.1.1.3.3.7. az informatikai biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak, munkavállalóinak, megbízottjainak tekintetében;

3.1.1.3.3.8. az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatok, elvárások, jogok (amennyiben az érintett szervezetnél ez értelmezhető);

3.1.1.3.3.9. üzlet-, ügy- vagy üzemmenet folytonosság tervezése (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.);

3.1.1.3.3.10. az elektronikus információs rendszerek karbantartásának rendje;

3.1.1.3.3.11. az adathordozók fizikai és logikai védelmének szabályozása;

3.1.1.3.3.12. az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárás, és a hozzáférési szabályok betartásának ellenőrzése;

3.1.1.3.3.13. amennyiben az érintett szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelése, az értékelés eredményétől függő eljárások meghatározása;

3.1.1.3.3.14. az adatok mentésének, archiválásának rendje,

3.1.1.3.3.15. a biztonsági események - ideértve az adatok sérülését is - bekövetkeztekor követendő eljárás, ideértve a helyreállítást;

3.1.1.3.3.16. az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét szabályozó (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az elektronikus információbiztonságot érintő, szerződéskötés során érvényesítendő követelmények.

3.1.1.3.4. Az informatikai biztonsági szabályzat tartalmazza az érintett szervezet elvárt biztonsági szintjét, valamint az érintett szervezet egyes elektronikus információs rendszereinek elvárt biztonsági osztályát.

3.1.1.4. Az elektronikus információs rendszerek biztonságáért felelős személy

3.1.1.4.1. Az érintett szervezet vezetője az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki:

3.1.1.4.1.1. azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági vezetővel;

3.1.1.4.1.2. ellátja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 13. §-ában meghatározott feladatokat.

3.1.1.5. Pénzügyi erőforrások biztosítása

3.1.1.5.1. Az érintett szervezet:

3.1.1.5.1.1. költségvetés tervezés, és a beruházások, beszerzések során tervezi az informatikai biztonsági stratégia megvalósításához szükséges forrásokat, dokumentálja e követelmény alá eső kivételeket;

3.1.1.5.1.2. intézkedik a terveknek megfelelő kiadásokhoz szükséges erőforrások rendelkezésre állásának biztosítása iránt.

3.1.1.6. Az intézkedési terv és mérföldkövei

3.1.1.6.1. Az érintett szervezet:

3.1.1.6.1.1. intézkedési tervet készít az elektronikus információbiztonsági stratégia megvalósításához, ebben mérföldköveket határoz meg;

3.1.1.6.1.2. meghatározott időnként felülvizsgálja és karbantartja az intézkedési tervet:

3.1.1.6.1.2.1. a kockázatkezelési stratégia és a kockázatokra adott válasz tevékenységek prioritása alapján;

3.1.1.6.1.2.2. ha az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetése érdekében;

3.1.1.6.1.2.3. ha a meghatározott biztonsági szint alacsonyabb, mint az érintett szervezetre érvényes szint, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, az előírt biztonsági szint elérése érdekében.

3.1.1.7. Az elektronikus információs rendszerek nyilvántartása

3.1.1.7.1. Az érintett szervezet:

3.1.1.7.1.1. elektronikus információs rendszereiről nyilvántartást vezet;

3.1.1.7.1.2. folyamatosan aktualizálja a nyilvántartást.

3.1.1.7.2. A nyilvántartás minden rendszerre nézve tartalmazza:

3.1.1.7.2.1. annak alapfeladatait;

3.1.1.7.2.2. a rendszerek által biztosítandó szolgáltatásokat;

3.1.1.7.2.3. az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szervezet kezelésében vannak);

3.1.1.7.2.4. a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;

3.1.1.7.2.5. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait.

3.1.1.8. A biztonsági teljesítmény mérése

Az érintett szervezet kifejleszti, felügyeli az elektronikus információs rendszerei biztonsági mérésének rendszerét.

3.1.1.9. Szervezeti szintű architektúra

Az érintett szervezet a szervezeti felépítés, vagy szervezeti szintű architektúra kialakításánál figyelembe veszi a szervezet működését befolyásoló kockázati tényezőket.

3.1.1.10. Kockázatkezelési stratégia

3.1.1.10.1. Az érintett szervezet:

3.1.1.10.1.1. megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a kockázatkezelési stratégiát;

3.1.1.10.1.2. belső szabályozásában, vagy magában a kockázatkezelési stratégiáról szóló dokumentumban meghatározza a kockázatkezelési stratégia felülvizsgálatának és frissítésének gyakoriságát.

3.1.1.10.2. A stratégia kiterjed:

3.1.1.10.2.1. a lehetséges kockázatok felmérésére;

3.1.1.10.2.2. a kockázatok kezelésének felelősségére;

3.1.1.10.2.3. a kockázatok kezelésének elvárt minőségére.

3.1.1.11. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

3.1.1.11.1. Az érintett szervezet:

3.1.1.11.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információbiztonsággal kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási folyamatokat;

3.1.1.11.1.2. felügyeli az elektronikus információs rendszer és környezet biztonsági állapotát;

3.1.1.11.1.3. meghatározza az információbiztonsággal összefüggő szerepköröket és felelősségi köröket, kijelöli az ezeket betöltő személyeket;

3.1.1.11.1.4. integrálja az elektronikus információbiztonsági engedélyezési folyamatokat a szervezeti szintű kockázatkezelési eljárásba, összhangban az informatikai biztonsági szabályzattal.

3.1.1.11.2. Az elektronikus információbiztonsággal kapcsolatos engedélyezés kiterjed minden, az érintett szervezet hatókörébe tartozó:

3.1.1.11.2.1. emberi, fizikai és logikai erőforrásra;

3.1.1.11.2.2. eljárási és védelmi szintre és folyamatra.

3.1.1.12. Tesztelés, képzés és felügyelet

3.1.1.12.1. Az érintett szervezet:

3.1.1.12.1.1. amennyiben ez hatókörébe tartozik, megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint kihirdeti az elektronikus információs rendszer tesztelésével, képzésével és felügyeletével kapcsolatos eljárásokat, amelyek támogatják a tesztelési, képzési és felügyeleti tevékenységek:

3.1.1.12.1.1.1. fejlesztését és fenntartását,

3.1.1.12.1.1.2. folyamatos időbeni végrehajtását;

3.1.1.12.1.2. felülvizsgálja a tesztelési, képzési és ellenőrzési terveket a kockázatkezelési stratégia és a lehetséges, vagy bekövetkezett biztonsági események súlya alapján.

3.1.1.13. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel

3.1.1.13.1. Az érintett szervezet:

3.1.1.13.1.1. az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek folyamatos oktatásának, képzésének elősegítése;

3.1.1.13.1.2. az ajánlott elektronikus információbiztonsági eljárások, technikák és technológiák naprakészen tartása;

3.1.1.13.1.3. a fenyegetésekre, sebezhetőségekre és biztonsági eseményekre vonatkozó legfrissebb információk megosztása érdekében kapcsolatot alakít ki és tart fenn az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és e célt szolgáló ágazati szervezetekkel.

3.1.2. KOCKÁZATELEMZÉS

3.1.2.1. Kockázatelemzési eljárásrend

3.1.2.1.1. Az érintett szervezet:

3.1.2.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a kockázatelemzési eljárásrendet, mely a kockázatelemzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.2.1.1.2. belső szabályozásában, vagy magában a kockázatelemzési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési eljárásrend felülvizsgálatának és frissítésének gyakoriságát.

3.1.2.2. Biztonsági osztályba sorolás

3.1.2.2.1. Az érintett szervezet:

3.1.2.2.1.1. jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit, és a 3.1.1.7. pont szerinti nyilvántartás alapján meghatározza, hogy azok melyik biztonsági osztályba sorolandók;

3.1.2.2.1.2. vezetője jóváhagyja a biztonsági osztályba sorolást;

3.1.2.2.1.3. rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában.

3.1.2.2.2. Elvárás:

3.1.2.2.2.1. a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell végezni;

3.1.2.2.2.2. kapcsolódást kell biztosítani a 3.1.1.6. pontban foglalt intézkedési tervhez és mérföldköveihez.

3.1.2.3. Kockázatelemzés

3.1.2.3.1. Az érintett szervezet:

3.1.2.3.1.1. végrehajtja a biztonsági kockázatelemzéseket;

3.1.2.3.1.2. rögzíti a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, vagy a kockázatelemzési eljárásrendben előírt dokumentumban;

3.1.2.3.1.3. a kockázatelemzési eljárásrendnek megfelelően felülvizsgálja a kockázatelemzések eredményét;

3.1.2.3.1.4. a kockázatelemzési eljárásrendnek megfelelően, vagy a 3.1.1.3. pont szerinti informatikai biztonsági szabályzata keretében megismerteti a kockázatelemzés eredményét az érintettekkel;

3.1.2.3.1.5. amikor változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre;

3.1.2.3.1.6. gondoskodik arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne legyenek megismerhetők.

3.1.2.4. Sérülékenység teszt

3.1.2.4.1. Az érintett szervezet:

3.1.2.4.1.1. az elektronikus információs rendszerei, és alkalmazásai tekintetében sérülékenység tesztet végez, amennyiben azt az elektronikus információs rendszerfejlesztési, üzemeltetési és használati körülményei lehetővé teszik;

3.1.2.4.1.2. meghatározott gyakorisággal, vagy véletlenszerűen, valamint olyan esetben, amikor új lehetséges sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban, megismétli a sérülékenység tesztet;

3.1.2.4.1.3. a sérülékenység tesztet sérülékenységvizsgálati eszközök és technikák alkalmazásával, vagy külső szervezet bevonásával azon elektronikus információs rendszerek tekintetében végzi el, amelyek az érintett szervezet felügyelete, irányítása alatt állnak;

3.1.2.4.1.4. kimutatást készít a feltárt hibákról, valamint a nem megfelelő konfigurációs beállításokról;

3.1.2.4.1.5. végrehajtja az ellenőrzési listákat és tesztelési eljárásokat;

3.1.2.4.1.6. felméri a sérülékenység lehetséges hatásait;

3.1.2.4.1.7. elemzi a sérülékenység teszt eredményét;

3.1.2.4.1.8. megosztja a sérülékenység teszt eredményét a szervezet által meghatározott személyekkel és szerepkörökkel.

3.1.2.4.2. Frissítési képesség

Az érintett szervezet olyan sérülékenységi teszteszközt alkalmaz, melynek sérülékenység feltáró képessége könnyen bővíthető az ismertté váló sérülékenységekkel.

3.1.2.4.3. Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően

Az érintett szervezet az elektronikus információs rendszerre vizsgált sérülékenység körét aktualizálja az új tesztet megelőzően, vagy a sérülékenység feltárását követően azonnal.

3.1.2.4.4. Privilegizált hozzáférés

Az elektronikus információs rendszer különleges jogosultsághoz kötött - úgynevezett privilegizált -hozzáférést biztosít az érintett szervezet által kijelölt rendszerelemekhez a sérülékenység teszt végrehajtásához.

3.1.2.4.5. Felfedhető információk

Az érintett szervezet meghatározza, hogy egy támadó milyen információkat képes elérni az elektronikus információs rendszerben, és ennek elhárítására javításokat hajt végre.

3.1.3. TERVEZÉS

3.1.3.1. Biztonságtervezési eljárásrend

3.1.3.1.1. Az érintett szervezet:

3.1.3.1.1.1. megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.3.1.1.2. a biztonságtervezési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet.

3.1.3.2. Rendszerbiztonsági terv

3.1.3.2.1. Az érintett szervezet, amennyiben az elektronikus információs rendszer tervezése a hatókörébe tartozik, az elektronikus információs rendszerhez rendszerbiztonsági tervet készít, amely:

3.1.3.2.1.1. összhangban áll szervezeti felépítésével vagy szervezeti szintű architektúrájával;

3.1.3.2.1.2. meghatározza az elektronikus információs rendszer hatókörét, alapfeladatait (biztosítandó szolgáltatásait), biztonságkritikus elemeit és alapfunkcióit;

3.1.3.2.1.3. meghatározza az elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztályát;

3.1.3.2.1.4. meghatározza az elektronikus információs rendszer működési körülményeit és más elektronikus információs rendszerekkel való kapcsolatait;

3.1.3.2.1.5. a vonatkozó rendszerdokumentáció keretébe foglalja az elektronikus információs rendszer biztonsági követelményeit;

3.1.3.2.1.6. meghatározza a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket és intézkedés bővítéseket, végrehajtja a jogszabály szerinti biztonsági feladatokat;

3.1.3.2.1.7. gondoskodik arról, hogy a rendszerbiztonsági tervet a meghatározott személyi és szerepkörökben dolgozók megismerjék (ideértve annak változásait is);

3.1.3.2.1.8. belső szabályozásában, vagy a rendszerbiztonsági tervben meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszer rendszerbiztonsági tervét;

3.1.3.2.1.9. frissíti a rendszerbiztonsági tervet az elektronikus információs rendszerben vagy annak üzemeltetési környezetében történt változások, és a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt problémák esetén;

3.1.3.2.1.10. elvégzi s szükséges belső egyeztetéseket;

3.1.3.2.1.11. gondoskodik arról, hogy a rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, módosítható.

3.1.3.2.2. Belső egyeztetés

Az érintett szervezet tervezi és egyezteti az elektronikus információs rendszer biztonságát érintő tevékenységeit, hogy csökkentse annak a nem érintett szervezeti egységeire gyakorolt hatását.

3.1.3.3. Személyi biztonság

3.1.3.3.1. Az érintett szervezet:

3.1.3.3.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet;

3.1.3.3.1.2. az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozattételre kötelezi a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja;

3.1.3.3.1.3. meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet a viselkedési szabályok betartását;

3.1.3.3.1.4. gondoskodik arról, hogy a 3.1.3.3.1.3. pont szerinti változás esetén a hozzáféréssel rendelkezők tekintetében a 3.1.3.3.1.2. pont szerinti eljárás megtörténjen;

3.1.3.3.1.5. meghatározza az érintett szervezeten kívüli irányban megvalósuló követelményeket.

3.1.3.3.2. Viselkedési szabályok az interneten

3.1.3.3.2.1. Az érintett szervezet:

3.1.3.3.2.1.1. tiltja és számon kéri a szervezettel kapcsolatos információk nyilvános internetes oldalakon való illegális közzétételét;

3.1.3.3.2.1.2. tiltja a belső szabályzatában meghatározott, interneten megvalósuló tevékenységet (pl.: chat, fájlcsere, nem szakmai letöltések, tiltott oldalak, nem kívánt levelezőlisták, stb.);

3.1.3.3.2.1.3. tilthatja a közösségi oldalak használatát, magánpostafiók elérését, és más, a szervezettől idegen tevékenységet.

3.1.3.4. Információbiztonsági architektúra leírás

3.1.3.4.1. Az érintett szervezet (ha a hatókörébe tartozik, és ha más dokumentumban nem kerül meghatározásra, vagy azokból nem következik):

3.1.3.4.1.1. elkészíti az elektronikus információs rendszer információbiztonsági architektúra leírását;

3.1.3.4.1.2. az általános architektúrájában bekövetkezett változtatásokra reagálva felülvizsgálja és frissíti az információbiztonsági architektúra leírást;

3.1.3.4.1.3. biztosítja, hogy az információbiztonsági architektúra leírásban tervezett változtatás tükröződjön a rendszerbiztonsági tervben és a beszerzésekben.

3.1.3.4.2. Az információbiztonsági architektúra leírás:

3.1.3.4.2.1. összegzi az elektronikus információs rendszer bizalmasságának, sértetlenségének és rendelkezésre állásának védelmét szolgáló filozófiát, követelményeket és megközelítést;

3.1.3.4.2.2. megfogalmazza, hogy az információbiztonsági architektúra miként illeszkedik a szervezet általános architektúrájába és hogyan támogatja azt;

3.1.3.4.2.3. leírja a külső szolgáltatásokkal kapcsolatos információbiztonsági feltételezéseket és függőségeket.

3.1.4. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS

3.1.4.1. Jelen címben meghatározott eljárásokat abban az esetben nem kell bevezetni az érintett szervezetnél, amennyiben saját hatókörében informatikai szolgáltatást, vagy eszközöket nem szerez be, és nem végez, vagy végeztet rendszerfejlesztési tevékenységet (ide nem értve a jellemzően kis értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, vagy azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, vagy az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket). Jelen fejezet alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható szoftverek beszerzése és frissítése.

3.1.4.2. Beszerzési eljárásrend

3.1.4.2.1. Az érintett szervezet:

3.1.4.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a beszerzési eljárásrendet, mely az érintett szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.4.2.1.2. a beszerzési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a beszerzési eljárásrendet.

3.1.4.3. Erőforrás igény felmérés

3.1.4.3.1. Az érintett szervezet:

3.1.4.3.1.1. az elektronikus információs rendszerre és annak szolgáltatásaira vonatkozó biztonsági követelmények teljesítése érdekében meghatározza, és dokumentálja, valamint biztosítja az elektronikus információs rendszer és annak szolgáltatásai védelméhez szükséges erőforrásokat, a beruházás, vagy költségvetési tervezés részeként;

3.1.4.3.1.2. elkülönítetten kezeli az elektronikus információs rendszerek biztonságát beruházás, vagy költségvetési tervezési dokumentumaiban.

3.1.4.4. A rendszer fejlesztési életciklusa

3.1.4.4.1. Az érintett szervezet:

3.1.4.4.1.1. elektronikus információs rendszereinek teljes életútján, azok minden életciklusában figyelemmel kíséri informatikai biztonsági helyzetüket;

3.1.4.4.1.2. a fejlesztési életciklus egészére meghatározza és dokumentálja az információbiztonsági szerepköröket és felelősségeket;

3.1.4.4.1.3. meghatározza, és a szervezetre érvényes szabályok szerint kijelöli az információbiztonsági szerepköröket betöltő, felelős személyeket.

3.1.4.4.2. A rendszer életciklus szakaszai a következők:

3.1.4.4.2.1. követelmény meghatározás;

3.1.4.4.2.2. fejlesztés vagy beszerzés;

3.1.4.4.2.3. megvalósítás vagy értékelés;

3.1.4.4.2.4. üzemeltetés és fenntartás;

3.1.4.4.2.5. kivonás (archiválás, megsemmisítés).

3.1.4.5. Beszerzések

3.1.4.5.1. Az érintett szervezet az elektronikus információs rendszerre, rendszerelemre vagy szolgáltatásra irányuló beszerzési (ideértve a fejlesztést, az adaptálást, a beszerzéshez kapcsolódó rendszerkövetést, vagy karbantartást is) szerződéseiben szerződéses követelményként meghatározza:

3.1.4.5.1.1. a funkcionális biztonsági követelményeket;

3.1.4.5.1.2. a garanciális biztonsági követelményeket (pl. a biztonságkritikus termékekre elvárt garanciaszint);

3.1.4.5.1.3. a biztonsággal kapcsolatos dokumentációs követelményeket;

3.1.4.5.1.4. a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó követelményeket;

3.1.4.5.1.5. az elektronikus információs rendszer fejlesztési környezetére és tervezett üzemeltetési környezetére vonatkozó előírásokat;

3.1.4.5.1.6. az elfogadási kritériumokat.

3.1.4.5.2. A védelmi intézkedések funkcionális tulajdonságai

Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi intézkedések funkcionális tulajdonságainak a leírását.

3.1.4.5.3. A védelmi intézkedések terv-, és megvalósítási dokumentációi

Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi intézkedések terv- és megvalósítási dokumentációit, köztük a biztonsággal kapcsolatos külső rendszer interfészek leírását, a magas, és alacsony szintű biztonsági tervet, - amennyiben azzal a szállító rendelkezik - a forráskódot és futtatókörnyezetet.

3.1.4.5.4. Funkciók - protokollok - szolgáltatások

Az érintett szervezet szerződéses rendelkezésként megköveteli a fejlesztőtől, szállítótól, hogy már a fejlesztési életciklus korai szakaszában meghatározza a használatra tervezett funkciókat, protokollokat és szolgáltatásokat.

3.1.4.6. Az elektronikus információs rendszerre vonatkozó dokumentáció

3.1.4.6.1. Az érintett szervezet:

3.1.4.6.1.1. ha hatókörébe tartozik, megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre, vagy rendszerszolgáltatásra vonatkozó adminisztrátori dokumentációt, amely tartalmazza:

3.1.4.6.1.1.1. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos konfigurálását, telepítését és üzemeltetését,

3.1.4.6.1.1.2. a biztonsági funkciók hatékony alkalmazását és fenntartását,

3.1.4.6.1.1.3. a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció átadásakor ismert sérülékenységeket;

3.1.4.6.1.2. megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre vagy rendszerszolgáltatásra vonatkozó felhasználói dokumentációt, amely tartalmazza:

3.1.4.6.1.2.1. a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját,

3.1.4.6.1.2.2. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit,

3.1.4.6.1.2.3. a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának a fenntartásához;

3.1.4.6.1.3. gondoskodik arról, hogy az információs rendszerre vonatkozó - különösen az adminisztrátori és fejlesztői - dokumentáció jogosulatlanok számára ne legyen megismerhető, módosítható;

3.1.4.6.1.4. gondoskodik a dokumentációknak az érintett szervezet által meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről.

3.1.4.7. Biztonságtervezési elvek

Az érintett szervezet - amennyiben az adott információs rendszer specifikálása a hatókörébe tartozik -biztonságtervezési elveket dolgoz ki és alkalmaz az elektronikus információs rendszer specifikációjának meghatározása, tervezése, fejlesztése, kivitelezése és módosítása során.

3.1.4.8. Külső elektronikus információs rendszerek szolgáltatásai

3.1.4.8.1. Az érintett szervezet:

3.1.4.8.1.1. szerződéses kötelezettségként követeli meg, hogy a szolgáltatási szerződés alapján általa igénybe vett elektronikus információs rendszerek szolgáltatásai megfeleljenek az érintett szervezet elektronikus információbiztonsági követelményeinek;

3.1.4.8.1.2. meghatározza és dokumentálja az érintett szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban;

3.1.4.8.1.3. külső és belső ellenőrzési eszközökkel ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.

3.1.4.8.2. Funkciók, portok, protokollok, szolgáltatások

Az érintett szervezet megköveteli, hogy a szolgáltató meghatározza a szolgáltatások igénybevételéhez szükséges funkciókat, protokollokat, portokat és egyéb szolgáltatásokat.

3.1.4.9. Fejlesztői változáskövetés

3.1.4.9.1. Az érintett szervezet megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy:

3.1.4.9.1.1. vezesse végig a változtatásokat az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás tervezése, fejlesztése, megvalósítása, üzemeltetése során;

3.1.4.9.1.2. dokumentálja, kezelje és ellenőrizze a változtatásokat, biztosítsa ezek sértetlenségét;

3.1.4.9.1.3. csak a jóváhagyott változtatásokat hajtsa végre az elektronikus információs rendszeren, rendszerelemen vagy rendszerszolgáltatáson;

3.1.4.9.1.4. dokumentálja a jóváhagyott változtatásokat, és ezek lehetséges biztonsági hatásait;

3.1.4.9.1.5. kövesse nyomon az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás biztonsági hibáit és azok javításait, továbbá jelentse észrevételeit az érintett szervezet által meghatározott személyeknek.

3.1.4.10. Fejlesztői biztonsági tesztelés

3.1.4.10.1. Az érintett szervezet megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztője:

3.1.4.10.1.1. készítsen biztonságértékelési tervet és hajtsa végre az abban foglaltakat;

3.1.4.10.1.2. hajtson végre (a fejlesztéshez illeszkedő módon egység-, integrációs-, rendszer-, vagy regressziós tesztelést, és ezt értékelje ki az érintett szervezet által meghatározott lefedettség és mélység mellett;

3.1.4.10.1.3. dokumentálja, hogy végrehajtotta a biztonságértékelési tervben foglaltakat és ismertesse a biztonsági tesztelés és értékelés eredményeit;

3.1.4.10.1.4. javítsa ki a biztonsági tesztelés és értékelés során feltárt hiányosságokat.

3.1.4.11. A védelem szempontjainak érvényesítése a beszerzés során

Az érintett szervezet az informatikai biztonsági politikájában lefektetett elveknek megfelelően védi az elektronikus információs rendszert, rendszerelemet vagy rendszerszolgáltatást a beszerzés, vagy a beszerzett eszköz beillesztéséből adódó kockázatok ellen.

3.1.4.12. Fejlesztési folyamat, szabványok és eszközök

3.1.4.12.1. Az érintett szervezet:

3.1.4.12.1.1. megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy dokumentált fejlesztési folyamatot kövessen;

3.1.4.12.1.2. előírja, hogy az általa meghatározott biztonsági követelményeknek való megfelelés érdekében általa meghatározott gyakorisággal a fejlesztő tekintse át a fejlesztési folyamatot, szabványokat, eszközöket és eszköz opciókat, konfigurációkat.

3.1.4.12.2. A dokumentált fejlesztési folyamat:

3.1.4.12.2.1. kiemelten kezeli a biztonsági követelményeket;

3.1.4.12.2.2. meghatározza a fejlesztés során alkalmazott szabványokat és eszközöket;

3.1.4.12.2.3. dokumentálja a fejlesztés során alkalmazott speciális eszköz opciókat és konfigurációkat;

3.1.4.12.2.4. nyilvántartja a változtatásokat, és biztosítja ezek engedély nélküli megváltoztatás elleni védelmét.

3.1.4.13. Fejlesztői oktatás

Az érintett szervezet oktatási kötelezettséget ír elő az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztője számára, hogy az érintett szervezet által kijelölt személyek -elsősorban adminisztrátorok - és biztonsági felelősök a megvalósított biztonsági funkciók, intézkedések és mechanizmusok helyes használatát és működését megismerhessék és elsajátíthassák.

3.1.4.14. Fejlesztői biztonsági architektúra és tervezés

3.1.4.14.1. Az érintett szervezet megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, hogy olyan specifikációt és biztonsági architektúrát hozzon létre amely:

3.1.4.14.1.1. illeszkedik a szervezet biztonsági architektúrájához és támogatja azt;

3.1.4.14.1.2. leírja a szükséges biztonsági funkciókat, valamint a védelmi intézkedések megosztását a fizikai és logikai összetevők között;

3.1.4.14.1.3. bemutatja az egyes biztonsági funkciók, mechanizmusok és szolgáltatások együttműködését az előírt biztonsági követelmények megvalósításában, valamint a védelem egységes megközelítésében.

3.1.5. BIZTONSÁGI ELEMZÉS

3.1.5.1. Biztonságelemzési eljárásrend

3.1.5.1.1. Az érintett szervezet:

3.1.5.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a biztonságértékelési eljárásrendet, amely a biztonságértékelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.5.1.1.2. a biztonságértékelési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságértékelési eljárásrendet.

3.1.5.2. Biztonsági értékelések

3.1.5.2.1. Az érintett szervezet:

3.1.5.2.1.1. biztonságértékelési tervet készít;

3.1.5.2.1.2. meghatározott gyakorisággal értékeli az elektronikus információs rendszer és működési környezete védelmi intézkedéseit, kontrollálja a bevezetett intézkedések működőképességét, valamint a tervezettnek megfelelő működését;

3.1.5.2.1.3. elkészíti a biztonságértékelés eredményét összefoglaló jelentést;

3.1.5.2.1.4. gondoskodik a biztonságértékelés eredményét összefoglaló jelentésnek az érintett szervezet által meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismeréséről.

3.1.5.2.2. A biztonsági értékelés tartalmazza:

3.1.5.2.2.1. az értékelendő (adminisztratív, fizikai és logikai) védelmi intézkedéseket;

3.1.5.2.2.2. a biztonsági ellenőrzések eredményességét meghatározó eljárásrendeket;

3.1.5.2.2.3. az értékelési környezetet, az értékelő csoportot, az értékelés célját, az értékelést végzők feladatát.

3.1.5.2.3. Független értékelők

Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmaz a védelmi intézkedések értékelésére.

3.1.5.2.4. Speciális értékelés

Az érintett szervezet a védelmi intézkedések értékelése keretében bejelentés mellett, vagy bejelentés nélkül sérülékenységvizsgálatot; rosszhiszemű felhasználó tesztet, belső fenyegetettség értékelést, a biztonságkritikus egyedi fejlesztésű szoftverelemek forráskód elemzését, az érintett szervezet által meghatározott egyéb biztonsági értékeléseket végeztet.

3.1.5.3. Az elektronikus információs rendszer kapcsolódásai

3.1.5.3.1. Az érintett szervezet:

3.1.5.3.1.1. belső engedélyhez köti az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez;

3.1.5.3.1.2. dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát.

3.1.5.3.2. Külső kapcsolódásokra vonatkozó korlátozások

Az érintett szervezet a külső elektronikus információs rendszerekhez való kapcsolódásokhoz az informatikai biztonsági szabályzatában szabályrendszert állít fel, és alkalmaz, amelynek eredménye lehet az összes kapcsolat engedélyezése; vagy tiltása, meghatározott kapcsolatok engedélyezése, meghatározott kapcsolatok tiltása.

3.1.5.4. Cselekvési terv

3.1.5.4.1. Az érintett szervezet:

3.1.5.4.1.1. cselekvési tervet készít, ha az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg;

3.1.5.4.1.2. a cselekvési tervben dokumentálja a megállapított hiányosságok javítására, valamint az elektronikus információs rendszer ismert sérülékenységeinek csökkentésére vagy megszüntetésére irányuló tervezett tevékenységeit;

3.1.5.4.1.3. frissíti a meglévő cselekvési tervet az érintett szervezet által meghatározott gyakorisággal a biztonsági értékelések, biztonsági hatáselemzések és a folyamatos felügyelet eredményei alapján.

3.1.5.5. Folyamatos ellenőrzés

3.1.5.5.1. Az érintett szervezet folyamatba épített ellenőrzést vagy ellenőrzési tervet hajt végre, amely tartalmazza:

3.1.5.5.1.1. az ellenőrizendő területeket;

3.1.5.5.1.2. az ellenőrzések, valamint az ellenőrzéseket támogató értékelések gyakoriságát;

3.1.5.5.1.3. az érintett szervezet ellenőrzési stratégiájához illeszkedő folyamatos biztonsági értékeléseket;

3.1.5.5.1.4. a mérőszámok megfelelőségét;

3.1.5.5.1.5. az értékelések és az ellenőrzések által generált biztonsággal kapcsolatos adatok összehasonlító elemzését;

3.1.5.5.1.6. az érintett szervezet reagálását a biztonsággal kapcsolatos adatok elemzésének eredményére;

3.1.5.5.1.7. az érintett szervezet döntését arról, hogy milyen gyakorisággal kell az elemzési adatokat általa meghatározott személyi- és szerepkörökkel megismertetni (ideértve azok változásait is).

3.1.5.5.2. Független értékelés

Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmazhat az elektronikus információs rendszer védelmi intézkedéseinek folyamatos ellenőrzésére.

3.1.5.6. Belső rendszer kapcsolatok

3.1.5.6.1. Az érintett szervezet:

3.1.5.6.1.1. belső engedélyhez köti az elektronikus információs rendszereinek összekapcsolását;

3.1.5.6.1.2. dokumentálja az egyes belső kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát.

3.1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG

3.1.6.1. Minden, a személybiztonsággal kapcsolatos eljárás, vagy elvárás kiterjed az érintett szervezet teljes személyi állományára, valamint minden olyan természetes személyre, aki az érintett szervezet elektronikus információs rendszereivel kapcsolatba kerül, vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az érintett szervezet tagja, a jelen fejezet szerinti elvárásokat a tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell, mint kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására irányuló kötelezettségvállalást, titoktartási nyilatkozatot).

3.1.6.2. Személybiztonsági eljárásrend

3.1.6.2.1. Az érintett szervezet:

3.1.6.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a személybiztonsági eljárásrendet, amely a személybiztonsági követelményeket tartalmazza, és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.6.2.1.2. a személybiztonsági eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a személybiztonsági eljárásrendet.

3.1.6.3. Munkakörök, feladatok biztonsági szempontú besorolása

3.1.6.3.1. Az érintett szervezet:

3.1.6.3.1.1. minden érintett szervezeti munkakört, vagy érintett szervezethez kapcsolódó feladatot biztonsági szempontból besorol;

3.1.6.3.1.2. felméri a nemzetbiztonsági ellenőrzés alá eső munkaköröket és feladatokat;

3.1.6.3.1.3. rendszeresen felülvizsgálja és frissíti a munkakörök és feladatok biztonság szempontú besorolását.

3.1.6.4. A személyek ellenőrzése

3.1.6.4.1. Az érintett szervezet:

3.1.6.4.1.1. az elektronikus információs rendszerhez való hozzáférési jogosultság megadása előtt ellenőrzi, hogy az érintett személy a 3.1.6.3.1. és 3.1.6.3.2. pontok szerinti besorolásnak megfelelő feltételekkel rendelkezik-e;

3.1.6.4.1.2. a 3.1.6.3.1.2. szerinti munkaköröket betöltő, vagy feladatokat ellátó személyek tekintetében kezdeményezi a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott nemzetbiztonsági ellenőrzést;

3.1.6.4.1.3. folyamatosan ellenőrzi a 3.1.6.4.1. pont szerinti feltételek fennállását.

3.1.6.5. Eljárás a jogviszony megszűnésekor

3.1.6.5.1. Az érintett szervezet:

3.1.6.5.1.1. belső szabályozásban meghatározott időpontban megszünteti a hozzáférési jogosultságot az elektronikus információs rendszerhez;

3.1.6.5.1.2. megszünteti, vagy visszaveszi a személy egyéni hitelesítő eszközeit;

3.1.6.5.1.3. tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről;

3.1.6.5.1.4. visszaveszi az érintett szervezet elektronikus információs rendszerével kapcsolatos, tulajdonát képező összes eszközt;

3.1.6.5.1.5. megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz;

3.1.6.5.1.6. az általa meghatározott módon a jogviszony megszűnéséről értesíti az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyeket;

3.1.6.5.1.7 a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését megelőzően gondoskodik;

3.1.6.5.1.8. a jogviszony megszűnésekor a jogviszonyt megszüntető személy esetleges elektronikus információs rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő magatartását megelőzi.

3.1.6.5.2. Automatikus figyelmeztetés

Az érintett szervezet automatikus mechanizmusokat alkalmaz az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyek értesítésére az egyes jogviszonyok megszűnése esetén.

3.1.6.6. Az áthelyezések, átirányítások és kirendelések kezelése

3.1.6.6.1. Az érintett szervezet:

3.1.6.6.1.1. szükség esetén elvégzi a 3.1.6.4. pontban foglalt, a személyek ellenőrzésére vonatkozó eljárást;

3.1.6.6.1.2. logikai és fizikai hozzáférést engedélyez az újonnan használni kívánt elektronikus információs rendszerhez;

3.1.6.6.1.3. szükség esetén elvégzi az áthelyezés miatt megváltozott hozzáférési engedélyek módosítását, vagy megszüntetését;

3.1.6.6.1.4. az általa meghatározott módon a jogviszony változásáról értesíti az általa meghatározott szerepköröket betöltő, feladatokat ellátó személyeket.

3.1.6.7. Az érintett szervezettel szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények

3.1.6.7.1. Az érintett szervezet:

3.1.6.7.1.1. a külső szervezettel kötött megállapodásban, szerződésben megköveteli, hogy a külső szervezet határozza meg az érintett szervezettel kapcsolatos, az információbiztonságot érintő szerep- és felelősség köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat is;

3.1.6.7.1.2. szerződéses kötelezettségként megköveteli, hogy a szerződő fél feleljen meg az érintett szervezet által meghatározott személybiztonsági követelményeknek;

3.1.6.7.1.3. a szerződő féltől megköveteli, hogy dokumentálja a személybiztonsági követelményeket;

3.1.6.7.1.4. előírja, hogy ha a szerződő féltől olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik az érintett szervezet elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy kiemelt jogosultsággal, akkor soron kívül küldjön értesítést az érintett szervezetnek;

3.1.6.7.1.5. folyamatosan ellenőrzi a szerződő féltől személybiztonsági követelményeknek való megfelelését.

3.1.6.8. Fegyelmi intézkedések

3.1.6.8.1. Az érintett szervezet:

3.1.6.8.1.1. belső eljárási rendje szerint fegyelmi eljárást kezdeményez az elektronikus információbiztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben;

3.1.6.8.1.2. amennyiben az elektronikus információbiztonsági szabályokat nem az érintett szervezet személyi állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott következményeket, megvizsgálja az egyéb jogi lépések fennállásának lehetőségét, szükség szerint bevezeti ezeket az eljárásokat.

3.1.7. TUDATOSSÁG ÉS KÉPZÉS

3.1.7.1. Képzési eljárásrend

3.1.7.1.1. Az érintett szervezet:

3.1.7.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a képzési eljárásrendet, mely a képzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.1.7.1.1.2. a képzési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a képzési eljárásrendet.

3.1.7.2. Biztonság tudatosság képzés

3.1.7.2.1. Az érintett szervezet annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára:

3.1.7.2.1.1. az új felhasználók kezdeti képzésének részeként;

3.1.7.2.1.2. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

3.1.7.2.1.3 az érintett szervezet által meghatározott gyakorisággal.

3.1.7.2.2. Belső fenyegetés

A biztonságtudatossági képzés az érintett személyeket készítse fel a belső fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket.

3.1.7.3. Szerepkör, vagy feladat alapú biztonsági képzés

3.1.7.3.1. Az érintett szervezet szerepkör, vagy feladat alapú biztonsági képzést nyújt az egyes szerepkörök szerinti, azért felelős személyeknek:

3.1.7.3.1.1. az elektronikus információs rendszerhez való hozzáférés engedélyezését vagy a kijelölt feladat végrehajtását megelőzően;

3.1.7.3.1.2. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

3.1.7.3.1.3. az érintett szervezet által meghatározott rendszerességgel.

3.1.7.4. A biztonsági képzésre vonatkozó dokumentációk

3.1.7.4.1. Az érintett szervezet:

3.1.7.4.1.1. dokumentálja a biztonságtudatosságra vonatkozó alap-, és szerepkör alapú biztonsági képzéseket;

3.1.7.4.1.2. a képzésen résztvevőkkel a képzés megtörténtét elismerteti, és ezt a dokumentumot megőrzi.

3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK

3.2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM

3.2.1.1. Jelen fejezet alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz, és személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre, valamint arra, hogy e fejezet rendelkezései az adott létesítmény bárki által szabadon látogatható, vagy igénybe vehető területeire nem vonatkoznak.

3.2.1.2. Fizikai védelmi eljárásrend

3.2.1.2.1. Az érintett szervezet:

3.2.1.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, amely az érintett szervezet elektronikus információbiztonsági, vagy egyéb szabályzatának részét képező fizikai védelmi szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.2.1.2.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a fizikai védelmi eljárásrendet.

3.2.1.3. Fizikai belépési engedélyek

3.2.1.3.1. Az érintett szervezet:

3.2.1.3.1.1. összeállítja, jóváhagyja és kezeli az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak listáját;

3.2.1.3.1.2. belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens kártyák) bocsát ki a belépéshez a belépni szándékozó részére;

3.2.1.3.1.3. rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;

3.2.1.3.1.4. eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése nem indokolt;

3.2.1.3.1.5. intézkedik a 3.2.1.3.1.2. szerinti dokumentum visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.

3.2.1.4. A fizikai belépés ellenőrzése

3.2.1.4.1. Az érintett szervezet:

3.2.1.4.1.1. kizárólag az érintett szervezet által meghatározott be-, és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést;

3.2.1.4.1.2. naplózza a fizikai belépéseket;

3.2.1.4.1.3. ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket;

3.2.1.4.1.4. kíséri a létesítménybe ad-hoc belépésre jogosultakat és figyelemmel követi a tevékenységüket;

3.2.1.4.1.5 megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;

3.2.1.4.1.6. nyilvántartást vezet a fizikai belépést ellenőrző eszközről;

3.2.1.4.1.7. meghatározott rendszerességgel változtatja meg a hozzáférési kódokat és kulcsokat, vagy azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személy elveszti a belépési jogosultságát;

3.2.1.4.1.8. az egyéni belépési engedélyeket a belépési pontokon ellenőrzi;

3.2.1.4.1.9. a kijelölt pontokon való átjutást felügyeli a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel, vagy eszközzel;

3.2.1.4.1.10. felhívja a szervezet tagjainak figyelmét a rendellenességek jelentésére.

3.2.1.4.2. Hozzáférés az információs rendszerhez

Az érintett szervezet a létesítménybe történő fizikai belépés ellenőrzésén túl külön engedélyhez köti a fizikai belépést az elektronikus információs rendszereknek helyt adó helyiségekbe is.

3.2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz

Az érintett szervezet az általa meghatározott biztonsági védelemmel ellenőrzi az elektronikus információs rendszer adatátviteli eszközeinek és kapcsolódási pontjainak helyt adó helyiségekbe történő fizikai belépést.

3.2.1.6. A kimeneti eszközök hozzáférés ellenőrzése

Az érintett szervezet ellenőrzi az elektronikus információs rendszer kimeneti eszközeihez való fizikai hozzáférést annak érdekében, hogy jogosulatlan személyek ne férjenek azokhoz hozzá.

3.2.1.7. A fizikai hozzáférések felügyelete

3.2.1.7.1. Az érintett szervezet:

3.2.1.7.1.1. ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt és reagáljon arra;

3.2.1.7.1.2. rendszeresen átvizsgálja a fizikai hozzáférésekről készült naplókat;

3.2.1.7.1.3. azonnal átvizsgálja a fizikai hozzáférésekről készült naplókat, ha a rendelkezésre álló információk jogosulatlan fizikai hozzáférésre utalnak;

3.2.1.7.1.4. összehangolja a biztonsági események kezelését, valamint a napló átvizsgálások eredményét.

3.2.1.7.2. Behatolás riasztás, felügyeleti berendezések

Az érintett szervezet felügyeli a fizikai behatolás riasztásokat és a felügyeleti berendezéseket.

3.2.1.7.3. Az elektronikus információs rendszerekhez való hozzáférés felügyelete

Az érintett szervezet a létesítménybe való fizikai belépések ellenőrzésén felül külön felügyeli az elektronikus információs rendszer egy vagy több elemét tartalmazó helyiségekbe történő fizikai belépéseket.

3.2.1.8. A látogatók ellenőrzése

3.2.1.8.1. Az érintett szervezet:

3.2.1.8.1.1. meghatározott ideig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat;

3.2.1.8.1.2. azonnal átvizsgálja a látogatói belépésekről készített információkat és felvételeket, ha a rendelkezésre álló információk jogosulatlan belépésre utalnak.

3.2.1.8.2. Automatizált látogatói információkezelés

Az érintett szervezet automatizált mechanizmusokat alkalmaz a látogatói belépésekről készített információk és felvételek kezeléséhez, átvizsgálásához.

3.2.1.9. Áramellátó berendezések és kábelezés

Az érintett szervezet védi az elektronikus információs rendszert árammal ellátó berendezéseket és a kábelezést a sérüléssel és rongálással szemben.

3.2.1.10. Vészkikapcsolás

3.2.1.10.1. Az érintett szervezet:

3.2.1.10.1.1. lehetőséget biztosít az elektronikus információs rendszer vagy egyedi rendszerelemek áramellátásának kikapcsolására vészhelyzetben;

3.2.1.10.1.2. gondoskodik a vészkikapcsoló berendezések biztonságos és könnyű megközelíthetőségéről;

3.2.1.10.1.3. megakadályozza a jogosulatlan vészkikapcsolást.

3.2.1.11. Tartalék áramellátás

3.2.1.11.1. Az érintett szervezet az elsődleges áramforrás kiesése esetére, a tevékenységhez méretezett, rövid ideig működőképes szünetmentes áramellátást biztosít az elektronikus információs rendszer szabályos leállításához vagy a hosszútávú tartalék áramellátásra történő átkapcsoláshoz.

3.2.1.11.2. Hosszútávú tartalék áramellátás a minimálisan elvárt működési képességhez

Az érintett szervezet az elsődleges áramforrás kiesése esetén biztosítja a hosszútávú tartalék áramellátást az elektronikus információs rendszer minimálisan elvárt működési képességének és előre definiált minimálisan elvárt működési idejének fenntartására.

3.2.1.12. Vészvilágítás

Az érintett szervezet egy automatikus vészvilágítási rendszert alkalmaz és tart karban, amely áramszünet esetén aktiválódik, és amely biztosítja a vészkijáratokat és a menekülési útvonalakat.

3.2.1.13. Tűzvédelem

3.2.1.13.1. Az érintett szervezet az elektronikus információs rendszerek számára független áramellátással támogatott észlelő, az informatikai eszközökhöz megfelelő tűzelfojtó berendezéseket alkalmaz, és tart karban.

3.2.1.13.2. Automatikus tűzelfojtás

Az érintett szervezet a személyzet által folyamatosan nem felügyelt elektronikus információs rendszerek számára automatikus tűzelfojtási képességet biztosít.

3.2.1.13.3. Észlelő berendezések, rendszerek

Az érintett szervezet az elektronikus információs rendszer védelmére olyan tűzjelző berendezést vagy rendszert alkalmaz, amely tűz esetén automatikusan működésbe lép, és értesítést küld az érintett szervezet által kijelölt tűzvédelmi felelősnek.

3.2.1.13.4. Tűzelfojtó berendezések, rendszerek

Az érintett szervezet az elektronikus információs rendszer védelmére olyan tűzelfojtó berendezést vagy rendszert alkalmaz, amelynek aktiválásáról automatikusan jelzést kap az érintett szervezet által kijelölt tűzvédelmi felelős.

3.2.1.14. Hőmérséklet és páratartalom ellenőrzés

3.2.1.14.1. Az érintett szervezet:

3.2.1.14.1.1. az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) az erőforrások biztonságos működéséhez szükséges szinten tartja a hőmérsékletet és páratartalmat;

3.2.1.14.1.2. az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) figyeli a hőmérséklet és páratartalom szintjét.

3.2.1.15. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem

3.2.1.15.1. Az érintett szervezet:

3.2.1.15.1.1. védi az elektronikus információs rendszert a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a főelzárószelepek hozzáférhetőek, és megfelelően működnek, valamint a kulcsszemélyek számára ismertek;

3.2.1.15.1.2. az informatikai erőforrásokat koncentráltan tartalmazó helyiségek tervezése (pl. adatközpont, szerver szoba, központi gépterem) során biztosítja, hogy az a víz-, és más hasonló kártól védett legyen, akár csővezetékek kiváltásával, áthelyezésével is.

3.2.1.15.2. Automatizált védelem

Az érintett szervezet automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer közelében megjelenő folyadékszivárgás észlelésére és az érintett szervezet által kijelölt személyek riasztására.

3.2.1.16. Be- és kiszállítás

Az érintett szervezet engedélyezi, vagy tiltja, továbbá figyeli és ellenőrzi a létesítménybe bevitt, onnan kivitt információs rendszerelemeket, és nyilvántartást vezet ezekről.

3.2.1.17. Tartalék munkahelyszínek

3.2.1.17.1. Az érintett szervezet:

3.2.1.17.1.1. meghatározott biztonsági felügyeletet tart fenn a tartalék munkahelyszíneken;

3.2.1.17.1.2. értékeli a tartalék munkahelyszínekre vonatkozó biztonsági felügyelet hatásosságát;

3.2.1.17.1.3. biztosítja az alkalmazottak számára a biztonsági esemény vagy probléma bejelentési lehetőségét a biztonsági személyzet számára.

3.2.1.18. Az elektronikus információs rendszer elemeinek elhelyezése

Az érintett szervezet úgy helyezi el az elektronikus információs rendszer elemeit, hogy a legkisebb mértékre csökkentse a szervezet által meghatározott fizikai és környezeti veszélyekből adódó lehetséges kárt és a jogosulatlan hozzáférés lehetőségét.

3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK

3.3.1. KONFIGURÁCIÓKEZELÉS

3.3.1.1. Konfigurációkezelési eljárásrend

3.3.1.1.1. Az érintett szervezet:

3.3.1.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a konfigurációkezelési eljárásrendet, mely a konfigurációkezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.1.1.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a konfigurációkezelési eljárásrendet.

3.3.1.2. Alapkonfiguráció

3.3.1.2.1. Az érintett szervezet az elektronikus információs rendszereihez egy-egy alapkonfigurációt fejleszt ki, dokumentálja és karbantartja ezt, valamint leltárba foglalja a rendszer lényeges elemeit.

3.3.1.2.2. Áttekintések és frissítések

Az alapkonfiguráció frissítését az elektronikus információs rendszerelemek telepítésének és frissítéseinek szerves részeként kell elvégezni.

3.3.1.2.3. Korábbi konfigurációk megőrzése

Változatlan állapotban meg kell őrizni az elektronikus információs rendszer alapkonfigurációját, és annak további verzióit, hogy szükség esetén lehetővé váljon az erre való visszatérés.

3.3.1.2.4. Magas kockázatú területek konfigurálása

3.3.1.2.4.1. Biztonsági szempontokból meghatározott módon konfigurált elektronikus információs rendszerelemeket vagy eszközöket kell biztosítani azon személyek számára, akik az elektronikus információs rendszert külső helyszínen használják.

3.3.1.2.4.2. Megfelelő biztonsági eljárásokat kell alkalmazni a 3.3.1.2.4.1. pont szerinti eszköz belső használatba vonásakor.

3.3.1.2.5. Automatikus támogatás

Automatikus mechanizmusokat kell alkalmazni az elektronikus információs rendszer naprakész, teljes, pontos, és állandóan rendelkezésre álló alapkonfigurációjának a karbantartására.

3.3.1.3. A konfigurációváltozások felügyelete (változáskezelés)

3.3.1.3.1. Az érintett szervezet:

3.3.1.3.1.1. meghatározza a változáskezelési felügyelet alá eső változástípusokat;

3.3.1.3.1.2. meghatározza az egyes változástípusok esetén a változáskezelési vizsgálat kötelező és nem kötelező elemeit, előfeltételeit (csatolt dokumentációk, teszt jegyzőkönyvek, stb.);

3.3.1.3.1.3. megvizsgálja a változáskezelési felügyelet elé terjesztett, javasolt változtatásokat, majd kockázatelemzés alapján jóváhagyja, vagy elutasítja azokat;

3.3.1.3.1.4. dokumentálja az elektronikus információs rendszerben történt változtatásokra vonatkozó döntéseket;

3.3.1.3.1.5. megvalósítja a jóváhagyott változtatásokat az elektronikus információs rendszerben;

3.3.1.3.1.6. visszakereshetően megőrzi az elektronikus információs rendszerben megvalósított változtatások dokumentumait, részletes leírását;

3.3.1.3.1.7. auditálja és felülvizsgálja a konfigurációváltozás felügyelet alá eső változtatásokkal kapcsolatos tevékenységeket.

3.3.1.3.2. Előzetes tesztelés és megerősítés

A konfiguráció megváltoztatása előtt az új verziót tesztelni kell, ezután dönteni kell annak megfelelőségéről, továbbá dokumentálni kell az elektronikus információs rendszer változtatásait az éles rendszerben történő megvalósítása előtt.

3.3.1.3.3. Automatikus támogatás

3.3.1.3.3.1. Automatikus mechanizmusokat kell alkalmazni:

3.3.1.3.3.1.1. az elektronikus információs rendszerben javasolt változtatások dokumentálására;

3.3.1.3.3.1.2. a jóváhagyásra jogosultak értesítésére;

3.3.1.3.3.1.3. a késedelmes jóváhagyások kiemelésére;

3.3.1.3.3.1.4. a még nem jóváhagyott változások végrehajtásának a megakadályozására;

3.3.1.3.3.1.5. az elektronikus információs rendszerben végrehajtott változások teljes dokumentálására;

3.3.1.3.3.1.6. a jóváhagyásra jogosultak értesítésére a jóváhagyott változtatások végrehajtásáról.

3.3.1.4. Biztonsági hatásvizsgálat

3.3.1.4.1. Az érintett szervezet megvizsgálja az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt.

3.3.1.4.2. Elkülönített tesztkörnyezet

Az érintett szervezet a változtatásokat éles rendszerben történő megvalósításuk előtt egy elkülönített tesztkörnyezetben vizsgálja, hibákat, sebezhetőségeket, kompatibilitási problémákat és szándékos károkozásra utaló jeleket keresve.

3.3.1.5. A változtatásokra vonatkozó hozzáférés korlátozások

3.3.1.5.1. Az érintett szervezet belső szabályozásában meghatározza a változtatásokhoz való hozzáférési jogosultságot, dokumentálja a hozzáférési jogosultságokat, jóváhagyja azokat, fizikai és logikai hozzáférés korlátozásokat alkalmaz az elektronikus információs rendszer változtatásaival kapcsolatban.

3.3.1.5.2. Automatikus támogatás

Az érintett szervezet az elektronikus információs rendszerben automatikus mechanizmusokat alkalmaz a hozzáférési korlátozások érdekében, az ezzel kapcsolatos tevékenység naplózására.

3.3.1.5.3. Felülvizsgálat

Az érintett szervezet rendszeresen felülvizsgálja az elektronikus információs rendszer változtatásait annak megállapítására, hogy történt-e jogosulatlan változtatás.

3.3.1.5.4. Aláírt elemek

A szervezet által meghatározott szoftver- és az úgynevezett firmware (vezérlőeszköz) elemek esetében meg kell akadályozni az elemek telepítését, ha azok nincsenek digitálisan aláírva ismert és jóváhagyott tanúsítvány alkalmazásával.

3.3.1.6. Konfigurációs beállítások

3.3.1.6.1. Az érintett szervezet:

3.3.1.6.1.1. meghatározza a működési követelményeknek még megfelelő, de a biztonsági szempontból a lehető leginkább korlátozott módon - a "szükséges minimum" elv alapján - az elektronikus információs rendszerben használt információtechnológiai termékekre kötelező konfigurációs beállítást, és ezt ellenőrzési listaként dokumentálja;

3.3.1.6.1.2. elvégzi a konfigurációs beállításokat az elektronikus információs rendszer valamennyi elemében;

3.3.1.6.1.3. a meghatározott elemek konfigurációs beállításaiban azonosít, dokumentál és jóváhagy minden eltérést;

3.3.1.6.1.4. figyelemmel kíséri és ellenőrzi a konfigurációs beállítások változtatásait, az érintett szervezet belső szabályzataival és eljárásaival összhangban.

3.3.1.6.2. Automatikus támogatás

Az érintett szervezet automatikus mechanizmusokat alkalmaz a konfigurációs beállítások központi kezelésére, alkalmazására és ellenőrzésére.

3.3.1.6.3. Reagálás jogosulatlan változásokra

Az érintett szervezet meghatározott intézkedéseket vezet be a meghatározott konfigurációs beállítások jogosulatlan változtatásai esetén.

3.3.1.7. Legszűkebb funkcionalitás

3.3.1.7.1. Az érintett szervezet:

3.3.1.7.1.1. az elektronikus információs rendszert úgy konfigurálja, hogy az csak a szükséges szolgáltatásokat nyújtsa;

3.3.1.7.1.2. meghatározza a tiltott, vagy korlátozott, nem szükséges funkciók, portok, protokollok, szolgáltatások, szoftverek használatát.

3.3.1.7.2. Rendszeres felülvizsgálat

3.3.1.7.2.1. Az érintett szervezet meghatározott gyakorisággal átvizsgálja az elektronikus információs rendszert, meghatározza és kizárja, vagy letiltja a szükségtelen vagy nem biztonságos funkciókat, portokat, protokollokat és szolgáltatásokat.

3.3.1.7.2.2. Az érintett szervezetnek a szoftver használatra meghatározott szabályzatainak, vagy a szoftver használatára vonatkozó feltételeinek és kikötéseinek megfelelően az elektronikus információs rendszer megakadályozza a tiltott programok futtatását.

3.3.1.7.3. Nem futtatható szoftverek

Az érintett szervezet meghatározza, rendszeresen felülvizsgálja és frissíti az elektronikus információs rendszerben nem futtatható (tiltott, úgynevezett feketelistás) szoftverek listáját és megtiltja ezek futtatását.

3.3.1.7.4. Futtatható szoftverek

Az érintett szervezet meghatározza, rendszeresen felülvizsgálja és frissíti az elektronikus információs rendszerben jogosultan futtatható (engedélyezett, úgynevezett fehérlistás) szoftverek listáját és engedélyezi ezek futtatását, az ettől eltérő szoftver futtatását egyedi engedélyhez köti.

3.3.1.8. Elektronikus információs rendszerelem leltár

3.3.1.8.1 Az érintett szervezet:

3.3.1.8.1.1. leltárt készít az elektronikus információs rendszer elemeiről;

3.3.1.8.1.2. meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerelem leltárt;

3.3.1.8.1.3. gondoskodik arról, hogy a leltár:

3.3.1.8.1.3.1. pontosan tükrözze az elektronikus információs rendszer aktuális állapotát,

3.3.1.8.1.3.2. az elektronikus információs rendszer hatókörébe eső valamennyi hardver- és szoftverelemet tartalmazza;

3.3.1.8.1.3.3. legyen kellően részletes a nyomkövetéshez és a jelentéskészítéshez.

3.3.1.8.2. Frissítés

Az érintett szervezet az elektronikus információs rendszerelem leltárt frissíti az egyes rendszerelemek telepítésének, eltávolításának, frissítésének időpontjában.

3.3.1.8.3. Jogosulatlan elemek automatikus észlelése

3.3.1.8.3.1. Automatizált mechanizmusok biztosítják, hogy a szervezet által meghatározott gyakorisággal a jogosulatlan hardver-, szoftver- és firmware elemek észlelése megtörténjen.

3.3.1.8.3.2. A jogosulatlan elemek észlelése esetén le kell tiltani az ilyen elemek általi hálózati hozzáférést; el kell őket különíteni, és értesíteni kell az illetékes személyeket.

3.3.1.8.4. Duplikálás elleni védelem

Az érintett szervezet ellenőrzi, hogy az elektronikus információs rendszer hatókörén belüli elemek nincsenek-e felvéve más elektronikus információs rendszerek leltárában.

3.3.1.8.5. Automatikus támogatás

Az érintett szervezet automatikus mechanizmusokat alkalmaz az elektronikus információs rendszerelem leltár naprakész, teljes, pontos, és állandóan rendelkezésre álló kezelésének támogatására.

3.3.1.8.6. Naplózás

Az elektronikus információs rendszerelem leltárhoz csatolni kell az egyes elemek adminisztrálásáért felelős személyek nevét, pozícióját vagy szerepkörét.

3.3.1.9. Konfigurációkezelési terv

3.3.1.9.1. Az érintett szervezet:

3.3.1.9.1.1. kialakít, dokumentál és végrehajt egy, az elektronikus információs rendszerre vonatkozó konfigurációkezelési tervet, mely figyelembe veszi a szerepköröket, felelősségeket, konfigurációkezelési folyamatokat és eljárásokat;

3.3.1.9.1.2. bevezet egy folyamatot a konfigurációelemek azonosítására a rendszer-fejlesztési életciklus folyamán és a konfigurációelemek konfigurációjának kezelésére;

3.3.1.9.1.3. meghatározza az elektronikus információs rendszer konfigurációelemeit, és a konfigurációelemeket a konfigurációkezelés alá helyezi;

3.3.1.9.1.4. védi a konfigurációkezelési tervet a jogosulatlan felfedéssel és módosítással szemben.

3.3.1.10. A szoftverhasználat korlátozásai

3.3.1.10.1. Az érintett szervezet:

3.3.1.10.1.1. kizárólag olyan szoftvereket és kapcsolódó dokumentációt használ, amelyek megfelelnek a reájuk vonatkozó szerződésbeli elvárásoknak, és a szerzői jogi, vagy más jogszabályoknak;

3.3.1.10.1.2. a másolatok, megosztások ellenőrzésére nyomon követi a mennyiségi licencekkel védett szoftverek és a kapcsolódó dokumentációk használatát;

3.3.1.10.1.3. ellenőrzi és dokumentálja az állomány megosztásokat, hogy meggyőződjön arról, hogy ezt a lehetőséget nem használják szerzői joggal védett munka jogosulatlan megosztására, megjelenítésére, végrehajtására vagy reprodukálására.

3.3.1.11. A felhasználó által telepített szoftverek

3.3.1.11.1. Az érintett szervezet:

3.3.1.11.1.1. megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti azokat a szabályokat, amelyek meghatározzák a szoftverek felhasználó általi telepítési lehetőségét;

3.3.1.11.1.2. érvényesíti a szoftvertelepítésre vonatkozó szabályokat az érintett szervezet által meghatározott módszerek szerint;

3.3.1.11.1.3. meghatározott gyakorisággal ellenőrzi a szabályok betartását.

3.3.2. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE

3.3.2.1. Üzletmenet-folytonosságra vonatkozó eljárásrend

3.3.2.1.1. Az érintett szervezet:

3.3.2.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül az érintett személyi kör részére kihirdeti az elektronikus információs rendszerre vonatkozó eljárásrendet, mely az üzletmenet-folytonosságra vonatkozó szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.2.1.1.2. az üzletmenet-folytonossági tervben, vagy más szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az üzletmenet-folytonosságra vonatkozó eljárásrendet.

3.3.2.2. Üzletmenet-folytonossági terv informatikai erőforrás kiesésekre

3.3.2.2.1. Az érintett szervezet:

3.3.2.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kizárólag a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyek és szervezeti egységek számára kihirdeti az elektronikus információs rendszerekre vonatkozó üzletmenet-folytonossági tervet;

3.3.2.2.1.2. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági események kezelésével;

3.3.2.2.1.3. meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszerhez kapcsolódó üzletmenet-folytonossági tervet;

3.3.2.2.1.4. az elektronikus információs rendszer vagy a működtetési környezet változásainak, az üzletmenet-folytonossági terv megvalósítása, végrehajtása vagy tesztelése során felmerülő problémáknak megfelelően aktualizálja az üzletmenet-folytonossági tervet;

3.3.2.2.1.5. tájékoztatja az üzletmenet-folytonossági terv változásairól a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyeket és szervezeti egységeket;

3.3.2.2.1.6. gondoskodik arról, hogy az üzletmenet-folytonossági terv jogosulatlanok számára ne legyen megismerhető, módosítható;

3.3.2.2.1.7. meghatározza az alapfeladatokat (biztosítandó szolgáltatásokat) és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket;

3.3.2.2.1.8. rendelkezik a helyreállítási feladatokról, a helyreállítási prioritásokról és mértékekről;

3.3.2.2.1.9. jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket;

3.3.2.2.1.10. fenntartja a szervezet által előzetesen definiált alapszolgáltatásokat, még az elektronikus információs rendszer összeomlása, kompromittálódása vagy hibája ellenére is;

3.3.2.2.1.11. kidolgozza a végleges, teljes elektronikus információs rendszer helyreállításának tervét úgy, hogy az nem ronthatja le az eredetileg tervezett és megvalósított biztonsági védelmeket.

3.3.2.2.2. Egyeztetés

Az üzletmenet-folytonossági tervet egyeztetni kell a kapcsolódó, hasonló tervekért felelős szervezeti egységekkel.

3.3.2.2.3. Alapfunkciók újraindítása

Meg kell határozni az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását követőn.

3.3.2.2.4. Kritikus rendszerelemek meghatározása

Meg kell határozni az elektronikus információs rendszer alapfunkcióit támogató kritikus rendszerelemeket.

3.3.2.2.5. Kapacitástervezés

Meg kell tervezni a folyamatos működéshez szükséges információ-feldolgozó, infokommunikációs és környezeti képességek biztosításához szükséges kapacitást.

3.3.2.2.6. Összes funkció újraindítása

Meg kell határozni az összes funkció újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását követően.

3.3.2.2.7. Alapfeladatok és alapfunkciók folyamatossága

Az alapfeladatok és alapfunkciók folyamatosságát úgy kell megtervezni, hogy azok üzemelési folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő, fenntartható legyen a folyamatosság az elektronikus információs rendszer elsődleges feldolgozó vagy tárolási helyszínén történő teljes helyreállításáig.

3.3.2.3. A folyamatos működésre felkészítő képzés

3.3.2.3.1. Az érintett szervezet az elektronikus információs rendszer folyamatos működésére felkészítő képzést tart a felhasználóknak, szerepkörüknek és felelősségüknek megfelelően:

3.3.2.3.1.1. szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül;

3.3.2.3.1.2. meghatározott gyakorisággal, vagy amikor az elektronikus információs rendszer változásai ezt szükségessé teszik.

3.3.2.3.2. Szimuláció

A folyamatos működésre felkészítő képzésben szimulált eseményeket kell alkalmazni, hogy elősegítse a személyzet hatékony reagálását a kritikus helyzetekben.

3.3.2.4. Az üzletmenet-folytonossági terv tesztelése

3.3.2.4.1. Az érintett szervezet:

3.3.2.4.1.1. meghatározott gyakorisággal és meghatározott teszteken keresztül vizsgálja az elektronikus információs rendszerre vonatkozó üzletmenet-folytonossági tervet a terv hatékonyságának és az érintett szervezet felkészültségének a felmérése céljából;

3.3.2.4.1.2. értékeli az üzletmenet-folytonossági terv tesztelési eredményeit;

3.3.2.4.1.3. az értékelés alapján szükség esetén javítja a tervet, a javításokkal kapcsolatban az üzletmenet-folytonossági tervre vonatkozó általános eljárási szabályok szerint jár el.

3.3.2.4.2. Koordináció

Az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel egyeztetni kell.

3.3.2.4.3. Tartalék feldolgozási helyszín

Az üzletmenet folytonossági tervet a tartalék feldolgozási helyszínen is tesztelni kell, hogy az érintett szervezet megismerje az adottságokat, és az elérhető erőforrásokat, valamint értékelje a tartalék feldolgozási helyszín képességeit a folyamatos működés támogatására.

3.3.2.5. Biztonsági tárolási helyszín

3.3.2.5.1. Az érintett szervezet kijelöl egy biztonsági tárolási helyszínt, ahol az elektronikus információs rendszer mentéseinek másodlatát az elsődleges helyszínnel azonos módon, és biztonsági feltételek mellett tárolja.

3.3.2.5.2. Elkülönítés

A biztonsági tárolási helyszínnek el kell különülni az elsődleges tárolás helyszínétől, az azonos veszélyektől való érzékenység csökkentése érdekében.

3.3.2.5.3. Üzletmenet-folytonosság elérhetőség

A biztonsági tárolási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.

3.3.2.5.4. Üzletmenetfolytonosság helyreállítás

A biztonsági tárolási helyszínt úgy kell kialakítani, hogy az elősegítse a helyreállítási tevékenységeket, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal.

3.3.2.6. Tartalék feldolgozási helyszín

3.3.2.6.1. Az érintett szervezet:

3.3.2.6.1.1. kijelöl egy tartalék feldolgozási helyszínt azért, hogy ha az elsődleges feldolgozási képesség nem áll rendelkezésére, elektronikus információs rendszere előre meghatározott műveleteit, előre meghatározott időn belül - összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal - a tartalék helyszínen újra kezdhesse, vagy folytathassa;

3.3.2.6.1.2. biztosítja, hogy a működés újrakezdéséhez, vagy folytatásához szükséges eszközök és feltételek a tartalék feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak;

3.3.2.6.1.3. biztosítja, hogy a tartalék feldolgozási helyszín informatikai biztonsági intézkedései egyenértékűek legyenek az elsődleges helyszínen alkalmazottakkal.

3.3.2.6.2. Elkülönítés

Olyan tartalék feldolgozási helyszínt kell kijelölni, amely elkülönül az elsődleges feldolgozás helyszínétől, az azonos veszélyektől való érzékenység csökkentése érdekében.

3.3.2.6.3. Elérhetőség

Az alternatív feldolgozási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.

3.3.2.6.4. Szolgáltatások priorálása

A tartalék feldolgozási helyszínre vonatkozóan olyan megállapodásokat kell kötni, intézkedéseket kell bevezetni, amelyek a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási idő célokkal) összhangban álló szolgáltatás-prioritási rendelkezéseket tartalmaznak.

3.3.2.6.5. Előkészület a működés megindítására

Az érintett szervezet úgy készíti fel a tartalék feldolgozási helyszínt, hogy az meghatározott időn belül készen álljon az alapfunkciók működésének támogatására.

3.3.2.7. Infokommunikációs szolgáltatások

3.3.2.7.1. Az érintett szervezet - a Nemzeti Távközlési Gerinchálózatra csatlakozó elektronikus információs rendszerek kivételével - tartalék infokommunikációs szolgáltatásokat létesít, erre vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az elektronikus információs rendszer alapfunkciói, vagy meghatározott műveletek számára azok meghatározott időtartamon belüli újrakezdését, amennyiben az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék feldolgozási vagy tárolási helyszínen.

3.3.2.7.2. Szolgáltatások prioritása

Amennyiben az elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül sor, az tartalmazza a szolgáltatás-prioritási rendelkezéseket, a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási idő célokkal) összhangban.

3.3.2.7.3. Közös hibalehetőségek kizárása

Olyan tartalék infokommunikációs szolgáltatásokat kell igénybe venni, melyek csökkentik az elsődleges infokommunikációs szolgáltatásokkal közös hibalehetőségek valószínűségét (pl. alternatív technológiára épülnek).

3.3.2.8. Az elektronikus információs rendszer mentései

3.3.2.8.1. Az érintett szervezet:

3.3.2.8.1.1. meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;

3.3.2.8.1.2. meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;

3.3.2.8.1.3. meghatározott gyakorisággal elmenti az elektronikus információs rendszer dokumentációját, köztük a biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;

3.3.2.8.1.4. megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását mind az elsődleges, mind a másodlagos tárolási helyszínen.

3.3.2.8.2. Megbízhatósági és sértetlenségi teszt

Meghatározott gyakorisággal tesztelni kell a mentett információkat, az adathordozók megbízhatóságának és az információ sértetlenségének a garantálása érdekében.

3.3.2.8.3. Helyreállítási teszt

Az üzletmenet-folytonossági terv tesztelésének részeként egy kiválasztott mintát kell használni a biztonsági másolat információkból az elektronikus információs rendszer kiválasztott funkcióinak helyreállításánál.

3.3.2.8.4. Kritikus információk elkülönítése

Az érintett szervezet által meghatározott, az elektronikus információs rendszer kritikus szoftvereinek és egyéb biztonsággal kapcsolatos információinak biztonsági másolatait egy elkülönített berendezésen vagy egy minősítéssel rendelkező tűzbiztos tárolóban kell tárolni.

3.3.2.8.5. Alternatív tárolási helyszín

Az elektronikus információs rendszer biztonsági másolat információit a 3.3.2.5. pontban meghatározottak szerinti biztonsági tárolási helyszínen kell tárolni.

3.3.2.9. Az elektronikus információs rendszer helyreállítása és újraindítása

3.3.2.9.1. Az érintett szervezet gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően.

3.3.2.9.2. Tranzakciók helyreállítása

Az érintett szervezet tranzakció alapú elektronikus információs rendszerek esetén tranzakció helyreállítást hajt végre.

3.3.2.9.3. Helyreállítási idő

Az érintett szervezet biztosítja azt a lehetőséget, hogy az elektronikus információs rendszerelemeket előre definiált helyreállítási idő alatt helyre lehessen állítani egy olyan konfigurációellenőrzött és sértetlenség védett információból, ami az elem ismert működési állapotát reprezentálja.

3.3.3. KARBANTARTÁS

3.3.3.1. Rendszer karbantartási eljárásrend

3.3.3.1.1. Az érintett szervezet:

3.3.3.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a rendszer karbantartási eljárásrendet, mely a rendszer karbantartási kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.3.1.1.2. a fizikai védelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer karbantartási eljárásrendet.

3.3.3.2. Rendszeres karbantartás

3.3.3.2.1. Az érintett szervezet:

3.3.3.2.1.1. a karbantartásokat és javításokat ütemezetten hajtja végre, dokumentálja és felülvizsgálja a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően;

3.3.3.2.1.2. jóváhagyja és ellenőrzi az összes karbantartási tevékenységet, függetlenül attól, hogy azt a helyszínen vagy távolról végzik, és függetlenül attól, hogy a berendezést a helyszínen, vagy másutt tartják karban;

3.3.3.2.1.3. az ezért felelős személyek jóváhagyásához köti az elektronikus információs rendszer vagy a rendszerelemek kiszállítását a szervezeti létesítményből;

3.3.3.2.1.4. az elszállítás előtt minden adatot és információt - mentést követően - töröl a berendezésről;

3.3.3.2.1.5. ellenőrzi, hogy a berendezések a karbantartási vagy javítási tevékenységek után is megfelelően működnek-e, és biztonsági ellenőrzésnek veti alá azokat;

3.3.3.2.1.6. csatolja a meghatározott, karbantartással kapcsolatos információkat a karbantartási nyilvántartáshoz.

3.3.3.2.2. Automatikus támogatás

3.3.3.2.2.1. Az érintett szervezet:

3.3.3.2.2.1.1. automatizált mechanizmusokat alkalmaz a karbantartások és javítások ütemezésére, lefolytatására és dokumentálására;

3.3.3.2.2.1.2. naprakész, pontos és teljes nyilvántartást készít minden igényelt, ütemezett, folyamatban lévő és befejezett karbantartási és javítási akcióról.

3.3.3.3. Karbantartási eszközök

3.3.3.3.1. Az érintett szervezet jóváhagyja, nyilvántartja és ellenőrzi az elektronikus információs rendszer karbantartási eszközeit.

3.3.3.3.2. Ellenőrzés

Az érintett szervezet ellenőrzi a karbantartó személyzet által a létesítménybe hozott karbantartási eszközöket, a nem megfelelő vagy jogosulatlan módosítások megakadályozása érdekében.

3.3.3.3.3. Adathordozó ellenőrzés

Az érintett szervezet ellenőrzi a diagnosztikai és teszt programokat tartalmazó adathordozókat a kártékony kódok tekintetében, mielőtt azt az elektronikus információs rendszerben használnák.

3.3.3.3.4. Szállítási felügyelet

3.3.3.3.4.1. Az érintett szervezet meggátolja, hogy információt tartalmazó karbantartási eszközt jogosulatlanul elszállítsanak, azzal, hogy:

3.3.3.3.4.1.1. ellenőrzi az eszköz nem tartalmaz-e információt;

3.3.3.3.4.1.2. ha az eszköz tartalmaz információt, azt törli vagy megsemmisíti az eszközt;

3.3.3.3.4.1.3. az eszközt a létesítményen belül őrzi;

3.3.3.3.4.1.4. az ezért felelős személyekkel engedélyezteti az eszköz elszállítását a létesítményből.

3.3.3.4. Távoli karbantartás

3.3.3.4.1. Az érintett szervezet:

3.3.3.4.1.1. jóváhagyja, nyomon követi és ellenőrzi a távoli karbantartási és diagnosztikai tevékenységeket;

3.3.3.4.1.2. akkor engedélyezi a távoli karbantartási és diagnosztikai eszközök használatát, ha az összhangban áll az informatikai biztonsági szabályzattal és dokumentálva van az elektronikus információs rendszer rendszerbiztonsági tervében;

3.3.3.4.1.3. hitelesítéseket alkalmaz a távoli karbantartási és diagnosztikai munkaszakaszok létrehozásánál;

3.3.3.4.1.4. nyilvántartást vezet a távoli karbantartási és diagnosztikai tevékenységekről;

3.3.3.4.1.5. lezárja a munkaszakaszt és a hálózati kapcsolatokat, amikor a távoli karbantartás befejeződik.

3.3.3.4.2. Dokumentálás

Az érintett szervezet az elektronikus információs rendszer rendszerbiztonsági tervében dokumentálja a távoli karbantartási és diagnosztikai kapcsolatok létrehozására és használatára vonatkozó szabályokat és eljárásokat.

3.3.3.4.3. Összehasonlítható biztonság

3.3.3.4.3.1. Az érintett szervezet megköveteli, hogy a távoli karbantartási és diagnosztikai javítások olyan elektronikus információs rendszerből legyenek végrehajtva, amelyben a biztonsági képességek azonos szintűek a szervizelt rendszer biztonsági képességekkel.

3.3.3.4.3.2. Ha a 3.3.3.4.3.1. pont szerinti eljárás nem biztosított, a szervizelendő elemet el kell távolítani az elektronikus információs rendszerből, és a távoli karbantartási és diagnosztikai szervizelést megelőzően minden információt törölni kell az érintett rendszerelemről.

3.3.3.4.3.3. Ha a 3.3.3.4.3.1., vagy a 3.3.3.4.3.2. pont szerinti eljárást nem lehet lefolytatni, a szervizelés végrehajtását követően át kell vizsgálni az elemet a lehetséges kártékony szoftverek miatt, mielőtt visszakapcsoljak az elektronikus információs rendszerhez.

3.3.3.5. Karbantartók

3.3.3.5.1. Az érintett szervezet:

3.3.3.5.1.1. kialakít egy folyamatot a karbantartók munkavégzési engedélyének kezelésére, és nyilvántartást vezet a karbantartó szervezetekről vagy személyekről;

3.3.3.5.1.2. megköveteli a hozzáférési jogosultság igazolását az elektronikus információs rendszeren karbantartást végzőktől;

3.3.3.5.1.3. felhatalmazást ad a szervezethez tartozó, a kívánt hozzáférési jogosultságokkal és műszaki szakértelemmel rendelkező személyeknek arra, hogy felügyeljék a kívánt jogosultságokkal nem rendelkező személyek karbantartási tevékenységeit.

3.3.3.5.2. Karbantartás fokozott biztonsági intézkedésekkel

3.3.3.5.2.1. Az érintett szervezet:

3.3.3.5.2.1.1. a megfelelő biztonsági engedéllyel nem rendelkező karbantartó személyek alkalmazása során:

3.3.3.5.2.1.1.1. az ilyen karbantartó személyeket megfelelő hozzáférési jogosultságú, műszakilag képzett belső személyekkel felügyelete alatt tartja az elektronikus információs rendszeren végzett karbantartási és diagnosztikai tevékenységek során,

3.3.3.5.2.1.1.2. a karbantartási és diagnosztikai tevékenységek megkezdése előtt az elektronikus információs rendszer minden fellelhető információtároló elemét törli, és a nem törölhető adathordozót eltávolítja, vagy fizikailag leválasztja a rendszertől;

3.3.3.5.2.1.2. alternatív biztonsági védelmet alakít ki, ha egy elektronikus információs rendszerelemet nem lehet törölni, eltávolítani vagy a rendszertől leválasztani.

3.3.3.6. Időben történő javítás

Az érintett szervezet karbantartási támogatást, tartalék alkatrészeket szerez be a meghatározott elektronikus információs rendszerelemekhez.

3.3.4. ADATHORDOZÓK VÉDELME

3.3.4.1. Adathordozók védelmére vonatkozó eljárásrend

3.3.4.1.1. Az érintett szervezet:

3.3.4.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az adathordozók védelmére vonatkozó eljárásrendet, mely az adathordozókra vonatkozó védelmi szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.4.1.1.2. az adathordozók védelmére vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az adathordozók védelmére vonatkozó eljárásrendet.

3.3.4.2. Hozzáférés az adathordozókhoz

Az érintett szervezet az egyes adathordozó típusokhoz való hozzáférésre feljogosított személyek körét, jogosítványuk tartalmát meghatározza.

3.3.4.3. Adathordozók címkézése

Az érintett szervezet megjelöli az elektronikus információs rendszer adathordozóit, jelezve az információra vonatkozó terjesztési korlátozásokat, kezelési figyelmeztetéseket és a megfelelő biztonsági jelzéseket, ha ezek rendelkezésre állnak.

3.3.4.4. Adathordozók tárolása

3.3.4.4.1. Az érintett szervezet:

3.3.4.4.1.1. fizikailag ellenőrzi és biztonságosan tárolja az adathordozókat, az arra engedélyezett, vagy kijelölt helyen;

3.3.4.4.1.2. védi az elektronikus információs rendszer adathordozóit mindaddig, amíg az adathordozókat jóváhagyott eszközökkel, technikákkal és eljárásokkal nem semmisítik meg, vagy nem törlik.

3.3.4.5. Adathordozók szállítása

3.3.4.5.1. Az érintett szervezet:

3.3.4.5.1.1 meghatározott biztonsági óvintézkedésekkel védi és ellenőrzi az elektronikus információs rendszer adathordozóit az ellenőrzött területeken kívüli szállítás folyamán;

3.3.4.5.1.2. biztosítja az adathordozók elszámoltathatóságát az ellenőrzött területeken kívüli szállítás folyamán;

3.3.4.5.1.3. dokumentálja az adathordozók szállításával kapcsolatos tevékenységeket;

3.3.4.5.1.4. korlátozza az adathordozók szállításával kapcsolatos tevékenységeket az arra jogosult személyekre.

3.3.4.5.2. Kriptográfiai védelem

Kriptográfiai mechanizmusokat kell alkalmazni a digitális adathordozókon tárolt információk bizalmasságának és sértetlenségének a védelmére az ellenőrzött területeken kívüli szállítás folyamán.

3.3.4.6. Adathordozók törlése

3.3.4.6.1. Az érintett szervezet:

3.3.4.6.1.1. a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal törli az elektronikus információs rendszer meghatározott adathordozóit a leselejtezés, a szervezeti ellenőrzés megszűnte, vagy újrafelhasználásra való kibocsátás előtt;

3.3.4.6.1.2. a törlési mechanizmusokat az információ minősítési kategóriájával arányos erősségnek és sértetlenségnek megfelelően alkalmazza.

3.3.4.6.2. Ellenőrzés

Az érintett szervezet felülvizsgálja, jóváhagyja, nyomon követi, dokumentálja és ellenőrzi az adathordozók törlésével és megsemmisítésével kapcsolatos tevékenységeket.

3.3.4.6.3. Tesztelés

A törlésre alkalmazott eszközöket és eljárásokat meghatározott gyakorisággal tesztelni kell.

3.3.4.6.4. Törlés megsemmisítés nélkül

Nem romboló törlési technikák alkalmazhatók a meghatározott hordozható tárolóeszközökre, mielőtt ilyen eszközöket az elektronikus információs rendszerhez csatolnak.

3.3.4.7. Adathordozók használata

3.3.4.7.1. Az érintett szervezet engedélyezi, korlátozza, vagy tiltja egyes, vagy bármely adathordozó típusok használatát a meghatározott elektronikus információs rendszereken vagy rendszerelemeken működő biztonsági intézkedések használatával.

3.3.4.7.2. Ismeretlen tulajdonos

Az érintett szervezet megtiltja az olyan hordozható adathordozók használatát az elektronikus információs rendszerben, melyek tulajdonosa nem azonosítható.

3.3.5. AZONOSÍTÁS ÉS HITELESÍTÉS

3.3.5.1. Azonosítási és hitelesítési eljárásrend

3.3.5.1.1. Az érintett szervezet:

3.3.5.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti az azonosítási és hitelesítésre vonatkozó eljárásrendet, mely az azonosítási és hitelesítési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.5.1.1.2. az azonosítási és hitelesítésre vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az azonosítási és hitelesítésre vonatkozó eljárásrendet.

3.3.5.2. Azonosítás és hitelesítés

3.3.5.2.1. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti a szervezet felhasználóit, a felhasználók által végzett tevékenységet.

3.3.5.2.2. Hálózati hozzáférés privilegizált fiókokhoz

Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a különleges jogosultsághoz kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.

3.3.5.2.3. Hálózati hozzáférés nem privilegizált fiókokhoz

Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a nem privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.

3.3.5.2.4. Helyi hozzáférés privilegizált fiókokhoz

Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a privilegizált felhasználói fiókokhoz való helyi hozzáféréshez.

3.3.5.2.5. Visszajátszás-védelem

Az elektronikus információs rendszer visszajátszás elleni védelmet biztosító hitelesítési mechanizmusokat alkalmaz a privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.

3.3.5.2.6. Távoli hozzáférés - külön eszköz

Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a felhasználói fiókokhoz való távoli hozzáféréshez, és az egyik hozzáférést megelőző tényező egy, az elektronikus információs rendszertől elkülönülő olyan eszköz, amelyen a meghatározott biztonsági követelmények teljesülnek.

3.3.5.2.7. Helyi hozzáférés nem privilegizált fiókokhoz

Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a nem privilegizált felhasználói fiókokhoz való helyi hozzáféréshez.

3.3.5.2.8. Visszajátszás ellen védett hálózati hozzáférés nem privilegizált fiókokhoz

Az elektronikus információs rendszer visszajátszás elleni védelmet biztosító hitelesítési mechanizmusokat alkalmaz a nem privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez.

3.3.5.3. Eszközök azonosítása és hitelesítése

Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti a meghatározott eszközöket, vagy eszköz típusokat mielőtt helyi, vagy távoli hálózati kapcsolatot létesítene velük.

3.3.5.4. Azonosító kezelés

3.3.5.4.1. Az érintett szervezet:

3.3.5.4.1.1. az egyéni-, csoport-, szerepkör- vagy eszközazonosítók kijelölését a szervezet által meghatározott személyek vagy szerepkörök jogosultságához köti;

3.3.5.4.1.2. hozzárendeli az azonosítót a kívánt egyénhez, csoporthoz, szerepkörhöz vagy eszközhöz;

3.3.5.4.1.3. meghatározott időtartamig megakadályozza az azonosítók ismételt felhasználását;

3.3.5.4.1.4. meghatározott időtartamú inaktivitás esetén letiltja az azonosítót.

3.3.5.5. A hitelesítésre szolgáló eszközök kezelése

3.3.5.5.1. Az érintett szervezet:

3.3.5.5.1.1. ellenőrzi a hitelesítésre szolgáló eszközök kiosztásakor az eszközt átvevő egyén, csoport, szerepkör vagy eszköz jogosultságát;

3.3.5.5.1.2. meghatározza a hitelesítésre szolgáló eszköz kezdeti tartalmát;

3.3.5.5.1.3. biztosítja a hitelesítésre szolgáló eszköz tervezett felhasználásának megfelelő jogosultságokat;

3.3.5.5.1.4. dokumentálja a hitelesítésre szolgáló eszközök kiosztását, visszavonását, cseréjét, az elvesztett, vagy a kompromittálódott, vagy a sérült eszközöket;

3.3.5.5.1.5. megváltoztatja a hitelesítésre szolgáló eszközök alapértelmezés szerinti értékét az elektronikus információs rendszer telepítése során;

3.3.5.5.1.6. meghatározza a hitelesítésre szolgáló eszközök minimális és maximális használati idejét, valamint ismételt felhasználhatóságának feltételeit;

3.3.5.5.1.7. a hitelesítésre szolgáló eszköz típusra meghatározott időnként megváltoztatja vagy frissíti a hitelesítésre szolgáló eszközöket;

3.3.5.5.1.8. megvédi a hitelesítésre szolgáló eszközök tartalmát a jogosulatlan felfedéstől és módosítástól;

3.3.5.5.1.9. megköveteli a hitelesítésre szolgáló eszközök felhasználóitól, hogy védjék eszközeik bizalmasságát, sértetlenségét;

3.3.5.5.1.10. lecseréli a hitelesítésre szolgáló eszközt az érintett fiókok megváltoztatásakor.

3.3.5.5.2. Jelszó (tudás) alapú hitelesítés

3.3.5.5.2.1. Az érintett szervezet:

3.3.5.5.2.1.1. a jelszóra a következő elvárásokat érvényesíti: kis- és nagybetűk megkülönböztetése; a karakterek számának meghatározása; a kisbetűk, nagybetűk, számok és speciális karakterek, és minimális jelszóhosszúság;

3.3.5.5.2.1.2. meghatározott szám karakterváltozást kényszerít ki új jelszó létrehozásakor;

3.3.5.5.2.1.3. a jelszavakat nem tárolja (ide nem értve az irreverzibilis kriptográfiai hasító függvénnyel a jelszóból képzett hasító érték tárolást) és nem továbbítja;

3.3.5.5.2.1.4. a jelszavakra minimális és maximális élettartam korlátozást juttat érvényre úgy, hogy meghatározott számú új jelszóig megtiltja a jelszavak ismételt felhasználását, és a rendszerbe első lépést lehetővé tevő ideiglenes jelszó lecserélésére kötelez.

3.3.5.5.3. Birtoklás alapú hitelesítés

3.3.5.5.3.1. Az érintett szervezet:

3.3.5.5.3.1.1. az elektronikus információs rendszer hardver token alapú hitelesítése esetén olyan mechanizmusokat alkalmaz, amely megfelel az érintett szervezet által meghatározott minőségi követelményeknek, vagy

3.3.5.5.3.1.2. az elektronikus információs rendszer nyilvános kulcsú infrastruktúra alapú hitelesítés esetén:

3.3.5.5.3.1.2.1. ellenőrzi a tanúsítványokat egy elfogadott megbízható pontig tartó tanúsítványlánc felépítésével és ellenőrzésével, beleértve a tanúsítvány állapot információ ellenőrzését is;

3.3.5.5.3.1.2.2. kikényszeríti a megfelelő magánkulcshoz való jogosult hozzáférést;

3.3.5.5.3.1.2.3. összekapcsolja a hitelesített azonosságot az egyéni vagy csoport fiókkal;

3.3.5.5.3.1.2.4. megvalósítja a visszavonási adatok helyi tárolását a tanúsítványlánc felépítésének és ellenőrzésének támogatására arra az esetre, amikor a visszavonási információk a hálózaton keresztül nem elérhetők.

3.3.5.5.4. Tulajdonság alapú hitelesítés

Az érintett szervezet a felhasználó egyedi (biometrikus) azonosítást lehetővé tevő tulajdonságai alapján végzi el az azonosítást (pl.: ujjlenyomat, retina letapogatás, és más hasonló).

3.3.5.5.5. Személyes vagy megbízható harmadik fél általi regisztráció

Az érintett szervezet meghatározott hitelesítő eszköz átvételéhez megkövetel egy olyan regisztrációs eljárást, melyet meghatározott regisztrációs szervezet folytat le az érintett szervezet által meghatározott személyek vagy szerepkörök jóváhagyása mellett.

3.3.5.6. A hitelesítésre szolgáló eszköz visszacsatolása

Az elektronikus információs rendszer fedett visszacsatolást biztosít a hitelesítési folyamat során, hogy megvédje a hitelesítési információt jogosulatlan személyek esetleges felfedésétől, felhasználásától.

3.3.5.7. Hitelesítés kriptográfiai modul esetén

Az elektronikus információs rendszer egy adott kriptográfiai modulhoz való hitelesítésre olyan mechanizmusokat használ, amelyek megfelelnek a kriptográfiai modul hitelesítési útmutatójának.

3.3.5.8. Azonosítás és hitelesítés (szervezeten kívüli felhasználók)

3.3.5.8.1. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti az érintett szervezeten kívüli felhasználókat, és tevékenységüket.

3.3.5.8.2. Hitelesítésszolgáltatók tanúsítványának elfogadása

Az elektronikus információs rendszer csak a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokat fogadhatja el az érintett szervezeten kívüli felhasználók hitelesítéséhez.

3.3.6. HOZZÁFÉRÉS ELLENŐRZÉSE

3.3.6.1. Hozzáférés ellenőrzési eljárásrend

3.3.6.1.1. Az érintett szervezet:

3.3.6.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a hozzáférés ellenőrzési eljárásrendet, mely a hozzáférés ellenőrzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.6.1.1.2. a hozzáférés védelmére vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a hozzáférések védelmére vonatkozó eljárásrendet.

3.3.6.2. Felhasználói fiókok kezelése

3.3.6.2.1. Az érintett szervezet:

3.3.6.2.1.1. meghatározza és azonosítja az elektronikus információs rendszer felhasználói fiókjait, és ezek típusait;

3.3.6.2.1.2. kijelöli a felhasználói fiókok fiókkezelőit;

3.3.6.2.1.3. kialakítja a csoport- és szerepkör tagsági feltételeket;

3.3.6.2.1.4. meghatározza az elektronikus információs rendszer jogosult felhasználóit, a csoport- és szerepkör tagságot és a hozzáférési jogosultságokat, valamint (szükség esetén) az egyes felhasználói fiókok további jellemzőit;

3.3.6.2.1.5. létrehozza, engedélyezi, módosítja, letiltja és eltávolítja a felhasználói fiókokat a meghatározott eljárásokkal vagy feltételekkel összhangban;

3.3.6.2.1.6. ellenőrzi a felhasználói fiókok használatát;

3.3.6.2.1.7. értesíti a fiókkezelőket, ha:

3.3.6.2.1.7.1. a felhasználói fiókokra már nincsen szükség,

3.3.6.2.1.7.2. a felhasználók kiléptek vagy áthelyezésre kerültek,

3.3.6.2.1.7.3. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek megváltoztak;

3.3.6.2.1.8. feljogosít az elektronikus információs rendszerhez való hozzáférésre:

3.3.6.2.1.8.1. az érvényes hozzáférési engedély,

3.3.6.2.1.8.2. a tervezett rendszerhasználat,

3.3.6.2.1.8.3. az alapfeladatok és funkcióik alapján;

3.3.6.2.1.9. meghatározott gyakorisággal felülvizsgálja a felhasználói fiókokat, a fiókkezelési követelményekkel való összhangot;

3.3.6.2.1.10. kialakít egy folyamatot a megosztott vagy csoport felhasználói fiókokhoz tartozó hitelesítő eszközök vagy adatok újra kibocsátására (ha ilyet alkalmaznak), a csoport tagjainak változása esetére.

3.3.6.2.2. Automatikus kezelés

Az elektronikus információs rendszer automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer fiókjainak kezeléséhez.

3.3.6.2.3. Ideiglenes fiókok eltávolítása

Meghatározott időtartam letelte után az elektronikus információs rendszer automatikusan eltávolítja, vagy letiltja az ideiglenes vagy kényszerhelyzetben létrehozott felhasználói fiókokat, vagy egyes kijelölt felhasználói fiók típusokat.

3.3.6.2.4. Inaktív fiókok letiltása

Az elektronikus információs rendszer automatikusan letiltja az inaktív fiókokat meghatározott időtartam letelte után.

3.3.6.2.5. Automatikus naplózás

Az elektronikus információs rendszer automatikusan naplózza a fiókok létrehozásával, módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és értesíti ezekről a meghatározott személyeket vagy szerepköröket.

3.3.6.2.6. Kiléptetés

Meghatározott időtartamú várható inaktivitás, vagy egyéb előre meghatározott esetekben ki kell léptetni a felhasználót.

3.3.6.2.7. Szokatlan használat

Figyelni kell az elektronikus információs rendszer fiókjait az érintett szervezet által meghatározott szokatlan használat szempontjából, és meghatározott személyeknek vagy szerepköröknek jelenteni kell azt.

3.3.6.2.8. Letiltás

Azonnal le kell tiltani a kockázatot jelentő felhasználók fiókjait.

3.3.6.3. Hozzáférés ellenőrzés érvényesítése

Az elektronikus információs rendszer a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat az információkhoz és a rendszer erőforrásaihoz való logikai hozzáféréshez.

3.3.6.4. Információáramlás ellenőrzés érvényesítése

Az elektronikus információs rendszer a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat a rendszeren belüli és a kapcsolódó rendszerek közötti információáramlás ellenőrzéséhez az érintett szervezet által meghatározott információáramlás ellenőrzési szabályoknak megfelelően.

3.3.6.5. A felelősségek szétválasztása

3.3.6.5.1. Az érintett szervezet:

3.3.6.5.1.1. szétválasztja az egyéni felelősségeket;

3.3.6.5.1.2. dokumentálja az egyéni felelősségek szétválasztását;

3.3.6.5.1.3. meghatározza az elektronikus információs rendszer hozzáférés jogosultságait az egyéni felelősségek szétválasztása érdekében.

3.3.6.6. Legkisebb jogosultság elve

3.3.6.6.1. Az elektronikus információs rendszer a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók - vagy a felhasználók tevékenysége - számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi.

3.3.6.6.2. Jogosult hozzáférés a biztonsági funkciókhoz

Az érintett szervezet hozzáférési jogosultságokat biztosít a meghatározott biztonsági funkciókhoz és biztonságkritikus információkhoz.

3.3.6.6.3. Nem privilegizált hozzáférés a biztonsági funkciókhoz

Az érintett szervezet kötelezővé teszi, hogy a szervezet meghatározott biztonsági funkciókhoz vagy biztonságkritikus információkhoz hozzáférési jogosultsággal rendelkező felhasználói a nem biztonsági funkciók használatához nem a különleges jogosultsághoz kötött - úgynevezett privilegizált - fiókjukat vagy szerepkörüket használják.

3.3.6.6.4. Privilegizált fiókok

Az érintett szervezet az elektronikus információs rendszer privilegizált fiókjait meghatározott személyekre vagy szerepkörökre korlátozza.

3.3.6.6.5. Privilegizált funkciók használatának naplózása

Az elektronikus információs rendszer naplózza a privilegizált funkciók végrehajtását.

3.3.6.6.6. Privilegizált funkciók tiltása nem privilegizált felhasználóknak

Az elektronikus információs rendszer megakadályozza, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését, vagy megváltoztatását.

3.3.6.6.7. Hálózati hozzáférés a privilegizált parancsokhoz

A meghatározott privilegizált parancsok hálózaton keresztüli elérését csak meghatározott üzemeltetési szükséghelyzetben lehet engedélyezni, és az ilyen hozzáférések indoklását dokumentálni kell a rendszerbiztonsági tervben. Privilegizált parancsok csak meghatározott munkaállomásokról, terminálokról, szegmensekről és IP címekről adhatóak ki, mely munkaállomások/terminálok helyiségei fizikai hozzáférés szempontjából normáltól eltérő szintű besorolást kapnak.

3.3.6.7. Sikertelen bejelentkezési kísérletek

3.3.6.7.1. Az elektronikus információs rendszer:

3.3.6.7.1.1. az érintett szervezet által meghatározott esetszám korlátot alkalmaz a felhasználó meghatározott időtartamon belül egymást követő sikertelen bejelentkezési kísérleteire;

3.3.6.7.1.2. amennyiben a sikertelen bejelentkezési kísérletekre felállított esetszám korlátot a felhasználó túllépi, automatikusan zárolja a felhasználói fiókot, vagy csomópontot meghatározott időtartamig, vagy meghatározott módon késlelteti a következő bejelentkezési kísérletet.

3.3.6.8. A rendszerhasználat jelzése

3.3.6.8.1. Az érintett szervezet az elektronikus információs rendszer felhasználásával:

3.3.6.8.1.1. az érintett szervezet által meghatározott rendszer használatra vonatkozó figyelmeztető üzenetet vagy jelzést küld a felhasználó számára a rendszerhez való hozzáférés engedélyezése előtt, mely jelzi, hogy:

3.3.6.8.1.1.1. a felhasználó az érintett szervezet elektronikus információs rendszerét használja;

3.3.6.8.1.1.2. a rendszer használatot figyelhetik, rögzíthetik, naplózhatják;

3.3.6.8.1.1.3. a rendszer jogosulatlan használata tilos, és büntetőjogi vagy polgárjogi felelősségre vonással jár;

3.3.6.8.1.1.4. a rendszer használata egyben a felhasználó előbbiekbe történő beleegyezését is jelenti.

3.3.6.8.2. Az elektronikus információs rendszer a figyelmeztető üzenetet vagy jelzést mindaddig a képernyőn tartja, amíg a felhasználó közvetlen műveletet nem végez az elektronikus információs rendszerbe való bejelentkezéshez vagy további rendszer hozzáféréshez.

3.3.6.8.3. Az elektronikus információs rendszer a nyilvánosan elérhető rendszerek esetén:

3.3.6.8.3.1. kijelzi a rendszer használat feltételeit, mielőtt további hozzáférést biztosít;

3.3.6.8.3.2. amennyiben felügyelet, adatrögzítés vagy naplózás történik, kijelzi, hogy ezek megfelelnek az adatvédelmi szabályoknak;

3.3.6.8.3.3. leírást biztosít a rendszer engedélyezett felhasználásáról.

3.3.6.9. Egyidejű munkaszakasz kezelés

Az érintett szervezet az elektronikus információs rendszerben meghatározott számra korlátozza az egyidejű munkaszakaszok számát, a meghatározott fiókok vagy fiók típusok számára külön-külön.

3.3.6.10. A munkaszakasz zárolása

3.3.6.10.1. Az érintett szervezet:

3.3.6.10.1.1. meghatározott időtartamú inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával megakadályozza az elektronikus információs rendszerhez való további hozzáférést;

3.3.6.10.1.2. megtartja a munkaszakasz zárolását mindaddig, amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra.

3.3.6.10.2. Képernyőtakarás

A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel (vagy üres képernyővel), vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell eltakarni.

3.3.6.11. A munkaszakasz lezárása

Az elektronikus információs rendszer automatikusan lezárja a munkaszakaszt az érintett szervezet által meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események megtörténte után.

3.3.6.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek

3.3.6.12.1. Az érintett szervezet:

3.3.6.12.1.1. kijelöli azokat a felhasználói tevékenységeket, amelyeket az elektronikus információs rendszerben azonosítás vagy hitelesítés nélkül is végre lehet hajtani;

3.3.6.12.1.2. dokumentálja és indokolja a rendszerbiztonsági tervben, vagy más szabályzatban az azonosítás vagy hitelesítés nélkül is végrehajtható felhasználói tevékenységeket.

3.3.6.13. Távoli hozzáférés

3.3.6.13.1. Az érintett szervezet:

3.3.6.13.1.1. kidolgozza és dokumentálja minden engedélyezett távoli hozzáférés típusra a felhasználásra vonatkozó korlátozásokat, a konfigurálási vagy a kapcsolódási követelményeket és a megvalósítási útmutatókat;

3.3.6.13.1.2. engedélyezési eljárást folytat le az elektronikus információs rendszerhez történő távoli hozzáférés feltételeként.

3.3.6.13.2. Ellenőrzés

Az elektronikus információs rendszer figyeli és ellenőrzi a távoli hozzáféréseket.

3.3.6.13.3. Titkosítás

Kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére.

3.3.6.13.4. Hozzáférés ellenőrzési pontok

Minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az elektronikus információs rendszerben.

3.3.6.13.5. Privilegizált parancsok elérése

3.3.6.13.5.1. Az érintett szervezet:

3.3.6.13.5.1.1. privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli hozzáférést csak meghatározott és elfogadott igény esetén engedélyez;

3.3.6.13.5.1.2. dokumentálja és indokolja a 3.3.6.13.5.1.1. pont szerinti hozzáféréseket a rendszerbiztonsági tervben.

3.3.6.14. Vezeték nélküli hozzáférés

3.3.6.14.1. Az érintett szervezet:

3.3.6.14.1.1. belső szabályozásában felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó követelményeket, valamint technikai útmutatót ad ki a vezeték nélküli technológiák kapcsán;

3.3.6.14.1.2. engedélyezési eljárást folytat le a vezeték nélküli hozzáférés feltételeként.

3.3.6.14.2. Hitelesítés és titkosítás

Az érintett szervezet az elektronikus információs rendszerben titkosítással és a felhasználók, vagy eszközök hitelesítésével védi a vezeték nélküli hozzáférést.

3.3.6.14.3. Felhasználó konfigurálás tiltása

Az érintett szervezet azonosítja a felhasználókat, és csak közvetlen jogosultság birtokában, a védett hálózaton kialakított vezetékes kapcsolaton keresztül teszi lehetővé számukra a vezeték nélküli hálózat független konfigurálását.

3.3.6.14.4. Antennák

Az érintett szervezet olyan karakterisztikájú és teljesítményszintű antennákat és árnyékolási megoldásokat üzemeltet, vagy egyéb technikákat alkalmaz, amelyekkel csökkenti az érintett szervezet fizikai védelmi határain kívül a jelek észlelésének a valószínűségét.

3.3.6.15. Mobil eszközök hozzáférés ellenőrzése

3.3.6.15.1. Az érintett szervezet:

3.3.6.15.1.1. belső szabályozásában felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó követelményeket, valamint technikai útmutatót ad ki az általa ellenőrzött mobil eszközökre;

3.3.6.15.1.2. engedélyhez köti az elektronikus információs rendszereihez mobil eszközökkel megvalósított kapcsolódást.

3.3.6.15.2. Titkosítás

Az érintett szervezet teljes eszköztitkosítást, tároló alapú titkosítást, vagy más technológiai eljárást alkalmaz az általa meghatározott mobil eszközökön tárolt információk bizalmasságának és sértetlenségének a védelmére, vagy az információk hozzáférhetetlenné tételére.

3.3.6.16. Külső elektronikus információs rendszerek használata

3.3.6.16.1. Az érintett szervezet:

3.3.6.16.1.1. meghatározza, hogy milyen feltételek és szabályok betartása mellett jogosult a felhasználó egy külső rendszerből hozzáférni az elektronikus információs rendszerhez;

3.3.6.16.1.2. meghatározza, hogy külső elektronikus információs rendszerek segítségével hogyan jogosult a felhasználó feldolgozni, tárolni vagy továbbítani az érintett szervezet által ellenőrzött információkat.

3.3.6.16.2. Korlátozott használat

3.3.6.16.2.1. Az érintett szervezet csak abban az esetben engedélyezi jogosult felhasználóknak egy külső elektronikus információs rendszer felhasználását az elektronikus információs rendszerhez való hozzáférésre, az az által ellenőrzött információk feldolgozására, tárolására vagy továbbítására, ha:

3.3.6.16.2.1.1. előzetesen ellenőrzi a szükséges biztonsági intézkedések meglétét a külső rendszeren saját szabályzóinak megfelelő módon; vagy

3.3.6.16.2.1.2. jóváhagyott kapcsolat van az elektronikus információs rendszerek között, vagy megállapodás született a külső elektronikus információs rendszert befogadó szervezettel.

3.3.6.16.3. Hordozható adattároló eszközök

Az érintett szervezet korlátozza, vagy megtiltja az ellenőrzött hordozható tárolóeszközök használatát külső elektronikus információs rendszerben is jogosultsággal rendelkező személyek számára.

3.3.6.17. Információmegosztás

3.3.6.17.1. Az érintett szervezet:

3.3.6.17.1.1. elősegíti az információmegosztást azzal, hogy engedélyezi a jogosult felhasználóknak eldönteni, hogy a megosztásban résztvevő partnerhez rendelt jogosultságok megfelelnek-e az információra vonatkozó hozzáférési korlátozásoknak, olyan meghatározott információmegosztási körülmények esetén, amikor felhasználói megítélés szóba jöhet;

3.3.6.17.1.2. automatizált mechanizmusokat vagy kézi folyamatokat alkalmaz arra, hogy segítséget nyújtson a felhasználóknak az információmegosztási vagy együttműködési döntések meghozatalában.

3.3.6.18. Nyilvánosan elérhető tartalom

3.3.6.18.1. Az érintett szervezet:

3.3.6.18.1.1. kijelöli azokat a személyeket, akik jogosultak a nyilvánosan hozzáférhető elektronikus információs rendszeren az érintett szervezettel kapcsolatos bármely információ közzétételére;

3.3.6.18.1.2. a 3.3.6.18.1.1. pont szerinti kijelölt személyeket képzésben részesíti annak biztosítása érdekében, hogy a nyilvánosan hozzáférhető információk ne tartalmazzanak nem nyilvános információkat;

3.3.6.18.1.3. közzététel előtt átvizsgálja a javasolt tartalmat;

3.3.6.18.1.4. meghatározott gyakorisággal átvizsgálja a nyilvánosan hozzáférhető elektronikus információs rendszertartalmat a nem nyilvános információk tekintetében és eltávolítja azokat.

3.3.7. RENDSZER- ÉS INFORMÁCIÓSÉRTETLENSÉG

3.3.7.1. Ezeket a rendelkezéseket egy adott elektronikus információs rendszer tekintetében abban az esetben kell alkalmazni, ha az adott elektronikus információs rendszert az érintett szervezet üzemelteti. Üzemeltetési szolgáltatási szerződés esetén szerződéses kötelemként kell érvényesíteni a 3.3.7. pontban és alpontjaiban foglaltakat, és azokat a szolgáltatónak kell biztosítania.

3.3.7.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend

3.3.7.2.1. Az érintett szervezet:

3.3.7.2.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a rendszer- és információsértetlenségre vonatkozó eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező, rendszer- és információsértetlenségre vonatkozó szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.7.2.1.2. a rendszer- és információsértetlenségre vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer- és információsértetlenségre vonatkozó eljárásrendet.

3.3.7.3. Hibajavítás

3.3.7.3.1. Az érintett szervezet:

3.3.7.3.1.1. azonosítja, belső eljárásrendje alapján jelenti és kijavítja vagy kijavíttatja az elektronikus információs rendszer hibáit;

3.3.7.3.1.2. telepítés előtt teszteli a hibajavítással kapcsolatos szoftverfrissítéseket az érintett szervezet feladatellátásának hatékonysága, a szóba jöhető következmények szempontjából;

3.3.7.3.1.3. a biztonságkritikus szoftvereket a frissítésük kiadását követő meghatározott időtartamon belül telepíti vagy telepítteti;

3.3.7.3.1.4. beépíti a hibajavítást a konfigurációkezelési folyamatba.

3.3.7.3.2. Automatizált hibajavítási állapot

Az érintett szervezet automatizált mechanizmusokat alkalmaz az elektronikus információs rendszer elemei hibajavítási állapotának meghatározására.

3.3.7.3.3. Központi kezelés

Az érintett szervezet központilag kezeli a hibajavítás folyamatát.

3.3.7.4. Kártékony kódok elleni védelem

3.3.7.4.1. Az érintett szervezet:

3.3.7.4.1.1. az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat;

3.3.7.4.1.2. frissíti a kártékony kódok elleni védelmi mechanizmusokat a konfigurációkezelési szabályaival és eljárásaival összhangban minden olyan esetben, amikor kártékony kódirtó rendszeréhez frissítések jelennek meg;

3.3.7.4.1.3. konfigurálja a kártékony kódok elleni védelmi mechanizmusokat úgy, hogy a védelem eszköze:

3.3.7.4.1.3.1. rendszeres ellenőrzéseket hajtson végre az elektronikus információs rendszeren, és hajtsa végre a külső forrásokból származó fájlok valós idejű ellenőrzését a végpontokon, a hálózati belépési, vagy kilépési pontokon, a biztonsági szabályzatnak megfelelően, amikor a fájlokat letöltik, megnyitják, vagy elindítják,

3.3.7.4.1.3.2. a kártékony kód észlelése esetén blokkolja vagy helyezze karanténba azt; és riassza a rendszeradminisztrátort, és az érintett szervezet által meghatározott további személy(eke)t;

3.3.7.4.1.4. ellenőrzi a téves riasztásokat a kártékony kód észlelése és megsemmisítése során, valamint figyelembe veszi ezek lehetséges kihatását az elektronikus információs rendszer rendelkezésre állására.

3.3.7.4.2. Központi kezelés

Az elektronikus információs rendszer központilag kezeli a kártékony kódok elleni védelmi mechanizmusokat.

3.3.7.4.3. Automatikus frissítés

Az elektronikus információs rendszer automatikusan frissíti a kártékony kódok elleni védelmi mechanizmusokat.

3.3.7.5. Az elektronikus információs rendszer felügyelete

3.3.7.5.1. Az érintett szervezet:

3.3.7.5.1.1. felügyeli az elektronikus információs rendszert, hogy észlelje a kibertámadásokat, vagy a kibertámadások jeleit a meghatározott figyelési céloknak megfelelően, és feltárja a jogosulatlan lokális, hálózati és távoli kapcsolatokat;

3.3.7.5.1.2. azonosítja az elektronikus információs rendszer jogosulatlan használatát;

3.3.7.5.1.3. felügyeleti eszközöket alkalmaz a meghatározott alapvető információk gyűjtésére; és a rendszer ad hoc területeire a potenciálisan fontos, speciális típusú tranzakcióknak a nyomon követésére;

3.3.7.5.1.4. védi a behatolás-felügyeleti eszközökből nyert információkat a jogosulatlan hozzáféréssel, módosítással és törléssel szemben;

3.3.7.5.1.5. erősíti az elektronikus információs rendszer felügyeletét minden olyan esetben, amikor fokozott kockázatra utaló jelet észlel;

3.3.7.5.1.6. meghatározott gyakorisággal biztosítja az elektronikus információs rendszer felügyeleti információkat a meghatározott személyeknek vagy szerepköröknek.

3.3.7.5.2. Automatizálás

Automatizált eszközöket kell alkalmazni az események közel valós idejű vizsgálatának támogatására.

3.3.7.5.3. Felügyelet

Az elektronikus információs rendszer felügyelje a beérkező és kimenő adatforgalmat a szokatlan vagy jogosulatlan tevékenységekre, vagy körülményre tekintettel.

3.3.7.5.4. Riasztás

Az elektronikus információs rendszer riassza az érintett szervezet illetékes személyeit, csoportjait, amikor veszélyeztetés vagy lehetséges veszélyeztetés előre meghatározott jeleit észleli.

3.3.7.6. Biztonsági riasztások és tájékoztatások

3.3.7.6.1. Az érintett szervezet:

3.3.7.6.1.1. folyamatosan figyeli a kormányzati eseménykezelő központ által a kritikus hálózatbiztonsági eseményekről és sérülékenységekről közzétett figyelmeztetéseket;

3.3.7.6.1.2. folyamatosan figyelemmel kíséri a Nemzeti Elektronikus Információbiztonsági Hatóságtól érkező értesítéseket;

3.3.7.6.1.3. szükség esetén belső biztonsági riasztást és figyelmeztetést ad ki;

3.3.7.6.1.4. a belső biztonsági riasztást és figyelmeztetést eljuttatja az illetékes személyekhez;

3.3.7.6.1.5. kialakítja és működteti a jogszabályban meghatározott esemény bejelentési kötelezettség rendszerét, és kapcsolatot tart az érintett, külön jogszabályban meghatározott szervekkel;

3.3.7.6.1.6. megfelelő ellenintézkedéseket és válaszlépéseket tesz.

3.3.7.6.2. Automatikus riasztások

Mechanizmusokat kell kialakítani a biztonsági riasztások és figyelmeztetések szervezeten belüli elérhetőségének biztosítására.

3.3.7.7. A biztonsági funkcionalitás ellenőrzése

3.3.7.7.1. Az elektronikus információs rendszer:

3.3.7.7.1.1. ellenőrzi a beállított biztonsági funkciókat az ellenőrzésre jogosult felhasználó utasítására, vagy időszakosan;

3.3.7.7.1.2. értesítést küld az érintett szervezet által meghatározott személyeknek vagy szerepköröknek, ha az ellenőrzés hibát tár fel;

3.3.7.7.1.3. rendellenesség észlelése esetén leállítja a rendszert, az érintett szerv által alkalmazott döntése szerint újraindítja a rendszert, vagy egyéb ellenintézkedést valósít meg.

3.3.7.8. Szoftver- és információsértetlenség

3.3.7.8.1. Az érintett szervezet sértetlenség ellenőrző eszközt alkalmaz a szoftverek és információk jogosulatlan módosításának észlelésére.

3.3.7.8.2. Sértetlenség ellenőrzés

Az elektronikus információs rendszer sértetlenség ellenőrzést hajt végre a meghatározott szoftverekre és információkra, a rendszer újraindításakor, vagy biztonsági esemény bekövetkezését követően, vagy meghatározott gyakorisággal.

3.3.7.8.3. Észlelés és reagálás

Az érintett szervezet beépíti az elektronikus információs rendszer jogosulatlan változtatásainak észlelését a biztonsági eseményekre reagáló eljárásaiba.

3.3.7.8.4. Automatikus értesítés

Az érintett szervezet automatizált eszközöket alkalmaz a meghatározott személyek vagy szerepkörök értesítésére, ha a sértetlenség ellenőrzés rendellenességet tár fel.

3.3.7.8.5. Automatikus reagálás

Az elektronikus információs rendszer automatikusan leállítja, vagy újraindítja a rendszert, vagy egyéb intézkedést valósít meg, ha a sértetlenség ellenőrzés rendellenességet tár fel.

3.3.7.8.6. Végrehajtható kód

Az elektronikus információs rendszer megtiltja az olyan bináris vagy gépi kód használatát, amely nem ellenőrzött forrásból származik, vagy amelynek forráskódjával nem rendelkezik.

3.3.7.9. Kéretlen üzenetek elleni védelem

3.3.7.9.1. Az érintett szervezet:

3.3.7.9.1.1. kéretlen üzenetek - úgynevezett levélszemét - elleni védelmet valósít meg az elektronikus információs rendszer belépési és kilépési pontjain, a levélszemét észlelése és kiszűrése érdekében;

3.3.7.9.1.2. új verziók elérhetővé válásakor frissíti a levélszemét elleni védelmi mechanizmusokat, összhangban a konfigurációkezelési szabályzattal és eljárásrenddel.

3.3.7.9.2. Központi kezelés

Az érintett szervezet központi beállításokkal irányítja a levélszemét elleni védelmet.

3.3.7.9.3. Frissítés

Az elektronikus információs rendszer automatikusan frissíti a levélszemét elleni védelmi mechanizmusokat azok újabb verzióival.

3.3.7.10. Bemeneti információ ellenőrzés

Az elektronikus információs rendszer ellenőrzi a meghatározott információ belépési pontok érvényességét.

3.3.7.11. Hibakezelés

3.3.7.11.1. Az elektronikus információs rendszer:

3.3.7.11.1.1. hibajelzéseket generál a hibajavításhoz szükséges információkat biztosítva, ugyanakkor nem nyújt semmi olyan információt, amelyet a támadók kihasználhatnak;

3.3.7.11.1.2. a hibajelzéseket kizárólag a meghatározott személyek vagy szerepkörök számára teszi elérhetővé.

3.3.7.12. A kimeneti információ kezelése és megőrzése

Az érintett szervezet az elektronikus információs rendszer kimeneti információit a jogszabályokkal, szabályzatokkal és az üzemeltetési követelményekkel összhangban kezeli és őrzi meg.

3.3.7.13. Memóriavédelem

Az elektronikus információs rendszerben biztonsági beállításokat kell alkalmazni azért, hogy védje a memóriát a jogosulatlan kódok végrehajtásától.

3.3.8. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG

3.3.8.1. Naplózási eljárásrend

3.3.8.1.1. Az érintett szervezet:

3.3.8.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül a szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a naplózási eljárásrendet, mely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.8.1.1.2. a naplózásra és elszámoltathatóságra vonatkozó eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a naplózási eljárásrendet.

3.3.8.2. Naplózható események

3.3.8.2.1. Az érintett szervezet:

3.3.8.2.1.1. meghatározza a naplózható és naplózandó eseményeket, és felkészíti erre az elektronikus információs rendszerét;

3.3.8.2.1.2. egyezteti a biztonsági napló funkciókat a többi, naplóval kapcsolatos információt igénylő szervezeti egységgel, hogy növelje a kölcsönös támogatást, és hogy iránymutatással segítse a naplózható események kiválasztását;

3.3.8.2.1.3. megvizsgálja, hogy a naplózható események megfelelőnek tekinthetők-e a biztonsági eseményeket követő tényfeltáró vizsgálatok támogatásához.

3.3.8.2.2. Felülvizsgálat

Az érintett szervezet meghatározott gyakorisággal felülvizsgálja és aktualizálja a naplózandó eseményeket.

3.3.8.3. Naplóbejegyzések tartalma

3.3.8.3.1. Az elektronikus információs rendszer a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen események kimenetele.

3.3.8.3.2. Kiegészítő információk

Az elektronikus információs rendszer a naplóbejegyzésekben további, az érintett szervezet által meghatározott kiegészítő, részletesebb információkat is rögzít.

3.3.8.3.3. Központi kezelés

Az elektronikus információs rendszer biztosítja a meghatározott rendszerelemek által generált naplóbejegyzések tartalmának központi kezelését és konfigurálását.

3.3.8.4. Napló tárkapacitás

Az érintett szervezet a naplózásra elegendő méretű tárkapacitást biztosít, a biztonsági osztályba sorolásból következő naplózási funkciók figyelembevételével.

3.3.8.5. Naplózási hiba kezelése

3.3.8.5.1. Az elektronikus információs rendszer:

3.3.8.5.1.1. naplózási hiba esetén riasztást küld a meghatározott személyeknek vagy szerepköröknek;

3.3.8.5.1.2. elvégzi a meghatározott végrehajtandó tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási folyamat leállítását.

3.3.8.5.2. Naplózási tárhely ellenőrzés

Az elektronikus információs rendszer figyelmezteti a meghatározott személyeket, szerepköröket és helyszíneket, ha a lefoglalt naplózási tárhely eléri a beállított maximális naplózási tárhely előre meghatározott részét.

3.3.8.5.3. Valósidejű riasztás

Az elektronikus információs rendszer riasztást küld, ha a meghatározott, valós idejű riasztást igénylő hibaesemények listája szerint valamely esemény megtörténik.

3.3.8.6. Naplóvizsgálat és jelentéskészítés

3.3.8.6.1. Az érintett szervezet:

3.3.8.6.1.1. rendszeresen felülvizsgálja és elemzi a naplóbejegyzéseket nem megfelelő vagy szokatlan működésre utaló jelek keresése céljából;

3.3.8.6.1.2. jelenti ezeket a meghatározott személyeknek, vagy szerepköröknek.

3.3.8.6.2. Folyamatba illesztés

Az érintett szervezet automatikus mechanizmusokat használ a naplóbejegyzések vizsgálatának, elemzésének és jelentésének átfogó folyamattá integrálására, amely a veszélyes, vagy tiltott tevékenységekre és történésekre reagál.

3.3.8.6.3. Összegzés

Az érintett szervezet megvizsgálja és összefüggésbe hozza a különböző adattárakban található naplóbejegyzéseket, a teljes érintett szervezetre kiterjedő helyzetfelmérés érdekében.

3.3.8.6.4. Felügyeleti képességek integrálása

Az érintett szervezet egyesíti a naplóbejegyzések vizsgálatát a sebezhetőség ellenőrzési információkkal, a teljesítmény adatokkal, az elektronikus információs rendszer felügyeletéből származó információkkal, vagy egyéb forrásokból begyűjtött adatokkal vagy információkkal.

3.3.8.6.5. Összekapcsolás a fizikai hozzáférési információkkal

Az érintett szervezet összefüggésbe hozza a naplóbejegyzésekből származó információkat a fizikai hozzáférés felügyeletéből nyert információkkal.

3.3.8.7. Naplócsökkentés és jelentéskészítés

3.3.8.7.1. Az elektronikus információs rendszer:

3.3.8.7.1.1. lehetőséget biztosít naplócsökkentésre és jelentés készítésére, amely támogatja az igény esetén végzendő naplóáttekintési, naplóvizsgálati és jelentéskészítési követelményeket és a biztonsági eseményeket követő tényfeltáró vizsgálatait;

3.3.8.7.1.2. nem változtathatja meg a naplóbejegyzések eredeti tartalmát és időrendjét.

3.3.8.7.2. Automatikus feldolgozás

Az elektronikus információs rendszer biztosítja, hogy a fontos naplóbejegyzéseket automatikusan fel lehessen dolgozni.

3.3.8.8. Időbélyegek

3.3.8.8.1. Az elektronikus információs rendszer:

3.3.8.8.1.1. belső rendszerórákat használ a naplóbejegyzések időbélyegeinek előállításához;

3.3.8.8.1.2. időbélyegeket rögzít a naplóbejegyzésekben a koordinált világidőhöz - úgynevezett UTC -vagy a Greenwichi középidőhöz - úgynevezett GMT - rendelhető módon, megfelelve az érintett szervezet által meghatározott időmérési pontosságnak.

3.3.8.8.2. Szinkronizálás

Az elektronikus információs rendszer meghatározott gyakorisággal összehasonlítja a belső rendszerórákat egy hiteles külső időforrással, és ha az időeltérés nagyobb, mint a meghatározott időtartam, szinkronizálja a belső rendszerórákat a hiteles külső időforrással.

3.3.8.9. A naplóinformációk védelme

3.3.8.9.1. Az elektronikus információs rendszer megvédi a naplóinformációt és a napló kezelő eszközöket a jogosulatlan hozzáféréssel, módosítással és törléssel szemben.

3.3.8.9.2. Hozzáférés korlátozása

A naplófunkciók kezelésére csak az érintett szervezet által meghatározott, privilegizált felhasználók jogosultak.

3.3.8.9.3. Fizikailag elkülönített mentés

Az elektronikus információs rendszer a naplóbejegyzéseket meghatározott gyakorisággal elmenti, egy a keletkezési helyétől fizikailag elkülönülő rendszerre vagy rendszerelemre.

3.3.8.9.4. Kriptográfiai védelem

Kriptográfiai mechanizmusokat kell alkalmazni a naplóinformáció és a napló kezelő eszköz sértetlenségének védelmére.

3.3.8.10. Letagadhatatlanság

Az elektronikus információs rendszer védelmet biztosít az ellen, hogy egy adott személy az általa használt alkalmazás tekintetében letagadhassa, hogy elvégzett-e egy, a letagadhatatlanság követelménye alá sorolt tevékenységet.

3.3.8.11. A naplóbejegyzések megőrzése

Az érintett szervezet a naplóbejegyzéseket meghatározott - a jogszabályi és az érintett szervezeten belüli információ megőrzési követelményeknek megfelelő - időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében.

3.3.8.12. Naplógenerálás

3.3.8.12.1. Az elektronikus információs rendszer:

3.3.8.12.1.1. biztosítja a naplóbejegyzés generálási lehetőségét a 3.3.8.2. pontban meghatározott, naplózható eseményekre;

3.3.8.12.1.2. lehetővé teszi meghatározott személyeknek vagy szerepköröknek, hogy kiválasszák, hogy mely naplózható események legyenek naplózva az elektronikus információs rendszer egyes elemeire;

3.3.8.12.1.3. naplóbejegyzéseket állít elő a 3.3.8.2. pont szerinti eseményekre a 3.3.8.3. pontban meghatározott tartalommal.

3.3.8.12.2. Rendszerszintű időalap napló

Az elektronikus információs rendszer a naplóbejegyzéseiből rendszerszintű (logikai vagy fizikai) felülvizsgálati naplót állít össze, amely - a felülvizsgálati napló egyedi bejegyzéseinek időbélyegei közötti kapcsolat tekintetében meghatározott tűréshatáron túli - időviszonyokat is tartalmazza.

3.3.8.12.3. Változtatások

Az elektronikus információs rendszer biztosítja a lehetőséget a meghatározott személyeknek vagy szerepköröknek arra, hogy megváltoztassák az egyes rendszerelemekre végrehajtandó naplózást a kiválasztott esemény kritériumok alapján, meghatározott időtartamon belül.

3.3.9. RENDSZER- ÉS KOMMUNIKÁCIÓVÉDELEM

3.3.9.1. Rendszer- és kommunikációvédelmi eljárásrend

3.3.9.1.1. Az érintett szervezet:

3.3.9.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belüli szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a rendszer- és kommunikációvédelmi eljárásrendet, mely a rendszer- és kommunikációvédelmi szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.9.1.1.2. a rendszer- és kommunikációvédelmi eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a rendszer- és kommunikációvédelmére vonatkozó eljárásrendet.

3.3.9.2. Alkalmazás szétválasztás

Az elektronikus információs rendszer elkülöníti a felhasználók által elérhető funkcionalitást (beleértve a felhasználói felület szolgáltatásokat) az elektronikus információs rendszer irányítási funkcionalitásától.

3.3.9.3. Biztonsági funkciók elkülönítése

Az elektronikus információs rendszer elkülöníti a biztonsági funkciókat a nem biztonsági funkcióktól.

3.3.9.4. Információmaradványok

Az elektronikus információs rendszer meggátolja a megosztott rendszererőforrások útján történő jogosulatlan vagy véletlen információáramlást.

3.3.9.5. Túlterhelés - szolgáltatás megtagadás alapú támadás - elleni védelem

Az elektronikus információs rendszer véd a túlterheléses (úgynevezett szolgáltatás megtagadás) jellegű támadásokkal szemben, vagy korlátozza azok kihatásait a megtagadás jellegű támadások listája alapján, a meghatározott biztonsági intézkedések bevezetésével.

3.3.9.6. A határok védelme

3.3.9.6.1. Az elektronikus információs rendszer:

3.3.9.6.1.1. felügyeli és ellenőrzi a külső határain történő, valamint a rendszer kulcsfontosságú belső határain történő kommunikációt;

3.3.9.6.1.2. a nyilvánosan hozzáférhető rendszerelemeket fizikailag vagy logikailag alhálózatokban helyezi el, elkülönítve a belső szervezeti hálózattól;

3.3.9.6.1.3. csak az érintett szervezet biztonsági architektúrájával összhangban elhelyezett határvédelmi eszközökön felügyelt interfészeken keresztül kapcsolódik külső hálózatokhoz vagy külső elektronikus információs rendszerekhez.

3.3.9.6.2. Hozzáférési pontok

Az érintett szervezet korlátozza az elektronikus információs rendszer külső hálózati kapcsolatainak a számát.

3.3.9.6.3. Külső kommunikációs szolgáltatások

3.3.9.6.3.1. Az érintett szervezet:

3.3.9.6.3.1.1. felügyelt interfészt működtet minden külső infokommunikációs szolgáltatáshoz;

3.3.9.6.3.1.2. minden felügyelt interfészhez forgalomáramlási szabályokat alakít ki;

3.3.9.6.3.1.3. védi az összes interfésznél az átvitelre kerülő információk bizalmasságát és sértetlenségét;

3.3.9.6.3.1.4. dokumentál minden kivételt a forgalomáramlási szabályok alól, a kivételt alátámasztó alapfeladattal és az igényelt kivétel időtartamával együtt;

3.3.9.6.3.1.5. meghatározott gyakorisággal áttekinti a forgalomáramlási szabályok alóli kivételeket, és eltávolítja azokat a kivételeket, amelyeket közvetlen alapfeladat már nem indokol.

3.3.9.6.4. Alapeseti visszautasítás

Az elektronikus információs rendszer a felügyelt kapcsolódási pontjain tilt, és csak kivételként engedélyez hálózati forgalmat.

3.3.9.6.5. Távoli készülékek megosztott csatornahasználatának tiltása

A távoli készülékkel kapcsolatban álló elektronikus információs rendszer meggátolja, hogy a készülék egyidejűleg helyi kapcsolatokat létesítsen a rendszerrel.

3.3.9.6.6. Hitelesített proxy kiszolgálók

Az elektronikus információs rendszer hitelesített proxy - olyan szerver, számítógép vagy szerveralkalmazás, amely a kliensek kéréseit köztes elemként más szerverekhez továbbítja -kiszolgálók segítségével irányítja a belső kommunikációs forgalmat a felügyelt interfészeken a meghatározott külső hálózatokhoz.

3.3.9.6.7. Biztonsági hibaállapot

Az elektronikus információs rendszer hibaállapotba kerül a határvédelmi eszköz működési hibája esetén.

3.3.9.6.8. Rendszerelemek elkülönítése

Az érintett szervezet határvédelmi mechanizmusokat alkalmaz azoknak az elektronikus információs rendszerelemeknek az elkülönítésére, amelyek a meghatározott alapfeladatokat és alapfunkciókat támogatják.

3.3.9.7. Az adatátvitel bizalmassága

3.3.9.7.1. Az elektronikus információs rendszer védje meg a továbbított információk bizalmasságát.

3.3.9.7.2. Kriptográfiai vagy egyéb védelem

Az elektronikus információs rendszer kriptográfiai mechanizmusokat alkalmaz az adatátvitel során az információk jogosulatlan felfedése ellen, kivéve, ha az átvitel más, az érintett szervezet által meghatározott alternatív fizikai ellenintézkedéssel védett.

3.3.9.8. Az adatátvitel sértetlensége

3.3.9.8.1. Az elektronikus információs rendszer megvédi a továbbított információk sértetlenségét.

3.3.9.8.2. Kriptográfiai vagy egyéb védelem

Az elektronikus információs rendszer kriptográfiai mechanizmusokat alkalmaz az adatátvitel során az információk megváltozásának észlelésére, ha az átvitel nincsen más alternatív fizikai intézkedésekkel védve.

3.3.9.9. A hálózati kapcsolat megszakítása

Az elektronikus információs rendszer megszakítja a hálózati kapcsolatot egy munkaszakaszra épülő kétirányú adatcsere befejezésekor, meghatározott időtartamú inaktivitás után.

3.3.9.10. Kriptográfiai kulcs előállítása és kezelése

3.3.9.10.1. Az érintett szervezet előállítja és kezeli az elektronikus információs rendszerben alkalmazott kriptográfiához szükséges kriptográfiai kulcsokat a kulcsok előállítására, szétosztására, tárolására, hozzáférésére és megsemmisítésére vonatkozó belső szabályozásnak megfelelően.

3.3.9.10.2. Rendelkezésre állás

Az érintett szervezet előállítja, biztosítja az információk rendelkezésre állását abban az esetben is, amikor a kriptográfiai kulcsok elérhetetlenné válnak (elvesztés, sérülés, megsemmisülés).

3.3.9.11. Kriptográfiai védelem

Az elektronikus információs rendszer szabványos, egyéb jogszabályokban biztonságosnak minősített kriptográfiai műveleteket valósít meg.

3.3.9.12. Együttműködésen alapuló számítástechnikai eszközök

Az elektronikus információs rendszer meggátolja az együttműködésen alapuló számítástechnikai eszközök (pl. kamerák, mikrofonok) távoli aktiválását, kivéve, ha az érintett szervezet engedélyezte azt, és közvetlen kijelzést nyújt a távoli aktivitásról azoknak a felhasználóknak, akik fizikailag jelen vannak az eszköznél.

3.3.9.13. Nyilvános kulcsú infrastruktúra tanúsítványok

Az érintett szervezet nyilvános kulcsú tanúsítványokat állít ki a belső hitelesítési rend szerint, vagy a nyilvános kulcsú tanúsítványokat beszerzi a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítésszolgáltatótól.

3.3.9.14. Mobilkód korlátozása

3.3.9.14.1. Az érintett szervezet:

3.3.9.14.1.1. meghatározza az elfogadható és a nem elfogadható mobilkódokat és mobilkód technológiákat;

3.3.9.14.1.2. használati korlátozásokat vezet be, vagy megvalósítási útmutatót bocsát ki az elfogadható mobilkódokra és mobilkód technológiákra;

3.3.9.14.1.3. engedélyezi, felügyeli és ellenőrzi a mobilkódok használatát az elektronikus információs rendszeren belül.

3.3.9.15. Elektronikus információs rendszeren keresztüli hangátvitel (úgynevezett VoIP)

3.3.9.15.1. Az érintett szervezet:

3.3.9.15.1.1. használati korlátozásokat vezet be, vagy megvalósítási útmutatót ad a VoIP technológiákhoz, felmérve a rosszindulatú használat esetén az elektronikus információs rendszerben okozható károkat;

3.3.9.15.1.2. engedélyezi, felügyeli és ellenőrzi a VoIP használatát az elektronikus információs rendszeren belül.

3.3.9.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás)

Az elektronikus információs rendszer a név/cím feloldási kérésekre a hiteles adatokon kívül az információ eredetére és sértetlenségére vonatkozó kiegészítő adatokat is biztosít, és ha egy elosztott, hierarchikus névtár részeként működik, akkor jelzi az utódtartományok biztonsági állapotát is, és (ha azok támogatják a biztonságos feloldási szolgáltatásokat) hitelesíti az utód- és elődtartományok közötti bizalmi láncot.

3.3.9.17. Biztonságos név/cím feloldó szolgáltatás (úgynevezett rekurzív vagy gyorsító tárat használó feloldás)

Az elektronikus információs rendszer eredethitelesítést és adatsértetlenség ellenőrzést kér és hajt végre a hiteles forrásból származó név/cím feloldó válaszokra.

3.3.9.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén

Azok az elektronikus információs rendszerek, amelyek együttesen biztosítanak név/cím feloldási szolgáltatást egy szervezet számára, hibatűrők és belső/külső szerepkör szétválasztást valósítanak meg.

3.3.9.19. Munkaszakasz hitelessége

Az elektronikus információs rendszer védje meg a munkaszakaszok hitelességét.

3.3.9.20. Hibát követő ismert állapot

Meghatározott hibatípusokhoz tartozó hibát követően az elektronikus információs rendszer a kijelölt, vagy utolsó ismert állapotba kerül, amely a hiba esetén is megőrzi a rendszerállapot információkat.

3.3.9.21. A maradvány információ védelme

Az elektronikus információs rendszer védi az érintett szervezet által meghatározott maradvány információk (pl.: átmeneti fájlok) bizalmasságát; sértetlenségét.

3.3.9.22. A folyamatok elkülönítése

Az elektronikus információs rendszer elkülönített végrehajtási tartományt tart fenn minden végrehajtó folyamat számára.

3.3.10. REAGÁLÁS A BIZTONSÁGI ESEMÉNYEKRE

3.3.10.1. Biztonsági eseménykezelési eljárásrend

3.3.10.1.1. Az érintett szervezet:

3.3.10.1.1.1. megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belüli szabályozásában meghatározott személyek vagy szerepkörök számára kihirdeti a biztonsági eseménykezelési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának (vagy egyéb belső szabályozásának) részét képező elektronikus információbiztonsági esemény kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő;

3.3.10.1.1.2. a biztonsági eseménykezelési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonsági eseménykezelésre vonatkozó eljárásrendet.

3.3.10.2. Képzés a biztonsági események kezelésére

3.3.10.2.1. Az érintett szervezet:

3.3.10.2.1.1. biztonsági eseménykezelési képzést biztosít az elektronikus információs rendszer felhasználóinak a számukra kijelölt szerepkörökkel és felelősségekkel összhangban;

3.3.10.2.1.2. a képzést a biztonsági eseménykezelési szerepkör vagy felelősség kijelölését követő, meghatározott időtartamon belül, vagy amikor ezt az elektronikus információs rendszer változásai megkívánják, vagy meghatározott gyakorisággal tartja.

3.3.10.2.2. Szimuláció

Az érintett szervezet a biztonsági esemény kezelési képzésébe szimulált eseményeket foglal, hogy elősegítse a személyzet hatékony reagálását kritikus helyzetekben.

3.3.10.2.3. Automatizált képzési környezet

Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy biztonsági esemény kezelési képzéséhez mélyrehatóbb és valószerűbb környezetet biztosítson.

3.3.10.3. A biztonsági események kezelésének tesztelése

3.3.10.3.1. Az érintett szervezet meghatározott gyakorisággal teszteli az elektronikus információs rendszerre vonatkozó biztonsági eseménykezelési képességeket előre kidolgozott tesztek felhasználásával, annak érdekében, hogy meghatározza a biztonsági eseménykezelés hatékonyságát, és dokumentálja az eredményeket.

3.3.10.3.2. Egyeztetés

Az érintett szervezet egyezteti a biztonsági eseménykezelés tesztelését a kapcsolódó tervekért (pl. üzletmenet-folytonossági terv és katasztrófaelhárítási terv) felelős szervezeti egységekkel.

3.3.10.4. A biztonsági események kezelése

3.3.10.4.1. Az érintett szervezet:

3.3.10.4.1.1. eseménykezelési eljárást dolgoz ki a biztonsági eseményekre, amelyek magukban foglalják az előkészületet, az észlelést, a vizsgálatot, az elszigetelést, a megszüntetést és a helyreállítást;

3.3.10.4.1.2. egyezteti az eseménykezelési eljárásokat az üzletmenet-folytonossági tervéhez tartozó tevékenységekkel;

3.3.10.4.1.3. az eseménykezelési tevékenységekből levont tanulságokat beépíti az eseménykezelési eljárásokba, a fejlesztési és üzemeltetési eljárásokba, elvárásokba, továbbképzésekbe és tesztelésbe.

3.3.10.4.2. Automatikus eseménykezelés

Az érintett szervezet automatizált mechanizmusokat alkalmaz az eseménykezelési eljárások támogatására.

3.3.10.4.3. Információ korreláció

Az érintett szervezet összekapcsolja a biztonsági eseményekre vonatkozó információkat és az egyedi eseményekre való reagálásokat, hogy szervezetszintű rálátást nyerjen a biztonsági eseményekkel kapcsolatos tudatosságra és reagálásokra.

3.3.10.5. A biztonsági események figyelése

3.3.10.5.1. Az érintett szervezet nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.

3.3.10.5.2. Automatikus nyomon követés, adatgyűjtés és vizsgálat

Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy segítse a biztonsági események nyomon követését és a biztonsági eseményekre vonatkozó információk gyűjtését és vizsgálatát.

3.3.10.6. A biztonsági események jelentése

3.3.10.6.1. Az érintett szervezet:

3.3.10.6.1.1. mindenkitől, aki az elektronikus információs rendszerrel, vagy azok elhelyezésére szolgáló objektummal kapcsolatban áll megköveteli, hogy jelentsék a biztonsági esemény bekövetkeztét, vagy ha erre utaló jelet, vagy veszélyhelyzetet észlelnek;

3.3.10.6.1.2. jogszabályban meghatározottak szerint jelenti a biztonsági eseményekre vonatkozó információkat az elektronikus információs rendszerek biztonságának felügyeletét ellátó szerveknek.

3.3.10.6.2. Automatizált jelentés

Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy segítse a biztonsági események jelentését.

3.3.10.7. Segítségnyújtás a biztonsági események kezeléséhez

3.3.10.7.1. Az érintett szervezet tanácsadást és támogatást nyújt az elektronikus információs rendszer felhasználóinak a biztonsági események kezeléséhez és jelentéséhez.

3.3.10.7.2. Automatizált támogatás

Az érintett szervezet automatizált mechanizmusokat alkalmaz, hogy növelje a biztonsági események kezelésével kapcsolatos információk és a támogatás rendelkezésre állását.

3.3.10.8. Biztonsági eseménykezelési terv

3.3.10.8.1. Az érintett szervezet:

3.3.10.8.1.1. kidolgozza a biztonsági eseménykezelési tervet, amely:

3.3.10.8.1.1.1. az érintett szervezet számára iránymutatást ad a biztonsági esemény kezelési módjaira,

3.3.10.8.1.1.2. ismerteti a biztonsági eseménykezelési lehetőségek struktúráját és szervezetét,

3.3.10.8.1.1.3. átfogó megközelítést nyújt arról, hogy a biztonsági eseménykezelési lehetőségek hogyan illeszkednek az általános szervezetbe,

3.3.10.8.1.1.4. kielégíti az érintett szervezet feladatkörével, méretével, szervezeti felépítésével és funkcióival kapcsolatos egyedi igényeit,

3.3.10.8.1.1.5. meghatározza a bejelentésköteles biztonsági eseményeket,

3.3.10.8.1.1.6. meghatározza és folyamatosan pontosítja a biztonsági események kiértékelésének, kategorizálásának (súlyosság, stb.) kritériumrendszerét,

3.3.10.8.1.1.7. támogatást ad a biztonsági eseménykezelési lehetőségek belső mérésére,

3.3.10.8.1.1.8. meghatározza azokat az erőforrásokat és vezetői támogatást, amelyek szükségesek a biztonsági eseménykezelési lehetőségek bővítésére, hatékonyabbá tételére és fenntartására;

3.3.10.8.1.2. kihirdeti és tudomásul veteti a biztonsági eseménykezelési tervet a biztonsági eseményeket kezelő (névvel és/vagy szerepkörrel azonosított) személyeknek és szervezeti egységeknek;

3.3.10.8.1.3. meghatározott gyakorisággal felülvizsgálja a biztonsági eseménykezelési tervet;

3.3.10.8.1.4. frissíti a biztonsági eseménykezelési tervet, figyelembe véve az elektronikus információs rendszer és a szervezet változásait vagy a terv megvalósítása, végrehajtása és tesztelése során felmerülő problémákat;

3.3.10.8.1.5. a biztonsági eseménykezelési terv változásait a 3.3.10.8.1.2. pont szerint ismerteti;

3.3.10.8.1.6. gondoskodik arról, hogy a biztonsági eseménykezelési terv jogosulatlanok számára ne legyen megismerhető, módosítható.

Tartalomjegyzék