185/2015. (VII. 13.) Korm. rendelet
a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól
A Kormány
az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés e), j) és k) pontjában,
a 6. alcím tekintetében a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény 14. § i) pontjában
kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
1. adminisztrátori jogosultsággal rendelkező informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy rendszergazdai jogosultsággal rendelkezik, és az eljárás célja, hogy megfelelőségi listák alapján az érintett szervezet teljes informatikai rendszerének az állapota ellenőrzésre kerüljön;
2. automatizált informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett szervezet informatikai rendszerének a sérülékenységei célszoftverek segítségével kerülnek feltérképezésre;
3. belső informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett szervezet informatikai rendszerének sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik;
4. biztonságiesemény-kezelési megbízott: az érintett szervezet vezetője által a biztonsági események kivizsgálására megbízott személy;
5. célszoftverek: a biztonsági vizsgálati eljárás során a sérülékenységvizsgálat egyes fázisainak végrehajtására kifejlesztett szoftverek;
6. érintett szervezet: a biztonsági vizsgálattal vagy sérülékenységvizsgálattal érintett, elektronikus információs rendszert üzemeltető szervezet;
7. kézi informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett szervezet informatikai rendszerének sérülékenységei a vizsgálatot végző személy által egyedileg, manuálisan összeállított lekérdezések alkalmazásával kerülnek feltérképezésre;
8. külső informatikai biztonsági vizsgálat: az informatikai rendszer internet felőli, külső sérülékenységvizsgálata, amelynek során az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre, valamint az elérhető számítógépek szolgáltatásainak, sebezhetőségének feltérképezésére kerül sor;
9. regisztrált felhasználói jogosultság nélküli informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy semmilyen előzetes információval nem rendelkezik az érintett szervezet informatikai rendszeréről, és nincs felhasználói jogosultsága a rendszerhez;
10. regisztrált felhasználói jogosultsággal rendelkező informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy a számára külön létrehozott felhasználói jogosultsággal végzi a vizsgálatot;
11. titkosítási eljárás: olyan eljárás, amely az adat megismerhetőségét azáltal korlátozza, hogy az adat egy algoritmus segítségével átalakításra kerül olyan jelsorozattá, ami olvashatatlan azon személy számára, aki nem rendelkezik a visszaalakításhoz szükséges egyedi jelsorozatból álló kulccsal;
12. titkosítási kulcs: titkosítási eljárás során alkalmazott olyan jelsorozat, amelynek ismeretében a titkosított állomány megismerhető;
13. webes vizsgálat: olyan biztonsági vizsgálati eljárás, amely során automatizált és kézi vizsgálatok útján kerülnek feltárásra a webes alkalmazások sérülékenységei;
14. vezeték nélküli hálózat informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik.
15.[1] CSIRT: számítógép-biztonsági eseményekre reagáló csoport. E rendelet 2. és 6. §-ai szerinti eseménykezelő központok CSIRT-nek minősülnek.
2. A kormányzati eseménykezelő központ feladat- és hatásköre
2. § A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 19. §-a szerinti kormányzati eseménykezelő központként (a továbbiakban: Központ) a Nemzetbiztonsági Szakszolgálatot jelöli ki.
3. § (1) A Központ a biztonsági események és fenyegetések kezelésével támogatja az állami és önkormányzati szerveket, amelynek céljából együttműködik
a) az állami és önkormányzati szervek elektronikus információs rendszerei biztonságának felügyeletét ellátó hatósággal és az Ibtv. 2. § (4)-(6) bekezdése szerint kijelölt hatóságokkal (a továbbiakban együtt: hatóságok),
b) az Ibtv. 19. § (2)-(4) bekezdése szerint kijelölt eseménykezelő központokkal (a továbbiakban együtt: eseménykezelő központok),
c) a rendvédelmi szervekkel és a Katonai Nemzetbiztonsági Szolgálattal,
d) a Nemzeti Média- és Hírközlési Hatósággal és az általa működtetett Országos Informatikai és Hírközlési Főügyelettel,
e) az elektronikus hírközlési szolgáltatókkal, a központosított informatikai és elektronikus hírközlési szolgáltatóval,
f) az elektronikus kereskedelmi szolgáltatókkal és közvetítő szolgáltatókkal,
g) az elektronikus információs rendszer biztonságáért felelős személlyel,
h)[2] a magyar és a nemzetközi hálózatbiztonsági szervekkel, így különösen az Európai Unió számítógép-biztonsági eseményekre reagáló csoportjával,
i)[3] az iparági szereplőkkel, valamint
j)[4] a Nemzeti Elektronikus Információbiztonsági Hatósággal [a továbbiakban az a)-j) pont együtt: együttműködő szerv].
(2) A Központ a biztonsági eseményre vagy fenyegetésre utaló tevékenységeket kivizsgálhatja és szükség esetén figyelmeztetést ad ki a központosított informatikai és elektronikus hírközlési szolgáltató, a felhasználók, az eseménykezelő központok és a hatóságok felé.
(3)[5] A Központ - az érintett CSIRT kezdeményezésére - segítséget kérhet az Európai Hálózat- és Információbiztonsági Ügynökségtől a CSIRT-ek továbbfejlesztéséhez.
4. § A Központ a biztonságiesemény-kezelési feladatkörében felelős
a) a tudomására jutott biztonsági eseményekről az érintettek haladéktalan értesítéséért,
b) a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza a biztonsági esemény kapcsán megtett intézkedéseket és azok eredményét, valamint
c) az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért.
5. § (1) A Központ a biztonsági események megelőzése céljából az állami és önkormányzati szervek elektronikus információs rendszereit érintő fenyegetésekkel összefüggő tájékoztatási és tudatosítási feladatokat a (2)-(4) bekezdésben meghatározottak szerint látja el.
(2) A Központ az elektronikus információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal összefüggésben felelős
a) az elektronikus információs rendszerek biztonságáért felelős személyek tájékoztatásáért,
b) a hatóságok és az eseménykezelő központok tájékoztatásáért, valamint
c) a sérülékenységekről és fenyegetésekről, valamint a javasolt biztonsági intézkedésekről a honlapján rendszeres tájékoztatás nyújtásáért.
(3) A Központ
a) elemzéseket, jelentéseket készít a magyar és nemzetközi információbiztonsági irányokról,
b) a hatáskörébe tartozó biztonsági eseményekről negyedévente jelentést tesz a Nemzeti Kiberbiztonsági Koordinációs Tanács részére, valamint
c) évente jelentést készít a tevékenységéről a Központot irányító miniszter részére.
(4) A Központ
a) nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki,
b) a biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az információbiztonság tudatosításáért felelős intézmények tudatosítási programjában, szakértői-oktatói tevékenységet végezhet,
c) kormányzati információtechnológiai, hálózatbiztonsági, és biztonságiesemény-kezelési együttműködési fórumot működtethet, valamint
d) részt vesz az infokommunikációs biztonságra vonatkozó stratégiák és szabályozások előkészítésében.
e)[6] a hatáskörébe tartozó elektronikus információs rendszerek tekintetében részt vesz a CSIRT-ek hálózatának tevékenységében, amelynek keretében ellátja a többi eseménykezelő központ képviseletét.
5/A. §[7] (1) A Központ jogosult az Lrtv. szerint kijelölt alapvető szolgáltatásokat nyújtó szereplők, továbbá az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény szerinti bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereire jelentős hatást gyakorló biztonsági események és fenyegetések kezeléséért felelős eseménykezelő központoktól tájékoztatást kérni.
(2) A Központ tájékoztatja az (1) bekezdésben meghatározott biztonsági eseményről a többi érintett tagállamot.
(3) A Központ az (1) bekezdés szerinti eseménykezelő központ tájékoztatása alapján vizsgálja az alapvető, valamint a bejelentés-köteles szolgáltatást nyújtók szolgáltatásaira jelentős hatást gyakorló biztonsági események határon átnyúló hatását.
3. Az eseménykezelő központok feladat- és hatásköre
6. § (1)[8] A Kormány a honvédelmi célú elektronikus információs rendszereket érintő biztonsági események és fenyegetések kezelésére a Katonai Nemzetbiztonsági Szolgálatot jelöli ki. A Katonai Nemzetbiztonsági Szolgálat a biztonsági események és fenyegetések kezelését a szakmai irányítása és koordinálása alatt álló, szakfeladat szerint elkülönülő - a honvédelemért felelős miniszter irányítása, vezetése alatt álló szervnél, szervezetnél működő - eseménykezelő központokkal együtt látja el.
(2) A Kormány a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelésére az Információs Hivatalt jelöli ki. Az Információs Hivatal e feladat ellátására a szervezeti keretén belül működő eseménykezelő központot (a továbbiakban: IntCERT) működtet.
(3)[9] A Kormány az Ibtv. 2. § (2) bekezdés c) pontjában meghatározott kijelölt létfontosságú létesítmény, rendszer elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelésére a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot (a továbbiakban: BM OKF) jelöli ki.
(3a)[10] A BM OKF
a) felelős a biztonsági eseményekre történő reagálásért, ennek érdekében információt kérhet a hatáskörébe tartózó szervektől,
b) dinamikus kockázat- és eseményelemzéseket, valamint a biztonsági eseményekkel kapcsolatos helyzetképet készít,
c) felelős a kockázatokkal és biztonsági eseményekkel kapcsolatos tájékoztatásért, korai előrejelzéséért, koordinációért,
d) a hatáskörébe tartozó elektronikus információs rendszerek tekintetében - a Központ útján - részt vesz az EU számítógép-biztonsági eseményekre reagáló csoportjának tevékenységében.
(3b)[11] A BM OKF megosztja a Központtal a CSIRT szolgáltatási, operatív és együttműködési képességeivel kapcsolatos információit az 5. § (4) bekezdés e) pontjában meghatározott feladat teljesítése érdekében.
(3c)[12] A BM OKF 7. § (1) bekezdés b) pontja szerinti tájékoztatásának az alábbi adatokat is tartalmaznia kell
a) a biztonsági esemény által érintett felhasználók számát,
b) a biztonsági esemény időtartamát,
c) a biztonsági esemény által érintett terület földrajzi kiterjedését,
d) a szolgáltatás működésében támadt zavar mértékét,
e) a gazdaságra és társadalomra gyakorolt hatás mértékét.
(3d)[13] A BM OKF a (3c) bekezdésben felsorolt információk alapján tájékoztatja a Központot az alapvető, valamint a bejelentés-köteles szolgáltatást nyújtók szolgáltatásaira jelentős hatást gyakorló biztonsági eseményekről, a határon átnyúló hatások jelentőségének vizsgálata érdekében.
(3e)[14] A BM OKF tájékoztatja az egyedüli kapcsolattartó pontot a biztonsági események kezelésére vonatkozó, jogszabályban nem részletezett eljárásrendjéről.
(4) Az eseménykezelő központok a hatáskörükbe tartozó elektronikus információs rendszerek tekintetében,
a) biztonságiesemény-kezelési feladatkörükben ellátják a Központ 4. §,
b) tájékoztatási feladatkörükben ellátják a Központ 5. § (2) bekezdés b) pontja, és 5. § (3) bekezdés c) pontja,
c) tudatosítási feladatkörükben ellátják a Központ 5. § (4) bekezdés a)-c) pontja
szerinti feladatait.
7. § (1) Az eseménykezelő központok a hatáskörükbe tartozó elektronikus információs rendszerek tekintetében
a) személyes adatokat nem tartalmazó nyilvántartást vezetnek a hatáskörükbe tartozó és együttműködő szervekkel való kapcsolattartáshoz szükséges elérhetőségekről, és
b) az észlelt, valamint a tudomásukra jutott biztonsági eseményekről haladéktalanul tájékoztatják a Központot.
(2) Az eseménykezelő központok a működésük megkezdéséről - működésüknek a tervezett megkezdését megelőzően legalább öt nappal - a Központot tájékoztatják, a kapcsolattartáshoz szükséges adatokat, valamint a kapcsolattartási adatok változását haladéktalanul bejelentik a Központnak.
4. A biztonsági események kezelésének, műszaki vizsgálatának szabályai
8. § Az állami és önkormányzati szervek elektronikus információs rendszereit érintő biztonsági események kivizsgálásában első sorban
a) az elektronikus információs rendszer biztonságáért felelős személy,
b) biztonságiesemény-kezelési megbízott, valamint
c) a hatáskörrel rendelkező eseménykezelő központ vehet részt.
9. § (1) A nemzetbiztonsági védelem alá eső szerv vezetője - a 6. § (1)-(3) bekezdésben meghatározott szervek kivételével -
a) az elektronikus információs rendszer biztonságáért felelős személy esetében a feladatra történő kinevezése,
b) a biztonságiesemény-kezelési megbízott esetében a feladatra történő megbízása
tervezett hatálybalépését megelőző harminc nappal véleményezés céljából - az érintett személy hozzájárulásával - megküldi a Központ részére a kinevezésben, illetve a megbízásban szereplő személy adatait.
(2) A Központ a feladatra történő kinevezés, illetve a megbízás hatálybalépésének időpontjáig köteles a véleményét a véleménykérő szerv vezetője részére megküldeni.
(3) A biztonságiesemény-kezelési megbízottat az Ibtv.-ben meghatározott elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személynek kell tekinteni.
10. § (1) Az állami és önkormányzati szervek - a (6) bekezdés kivételével - kötelesek a Központ részére az elektronikus információs rendszereiken bekövetkezett biztonsági eseményeket haladéktalanul bejelenteni.
(2) A biztonsági eseménnyel érintett szervezet a Központ kérésére köteles a biztonsági események kezeléséhez szükséges műszaki, technikai adatokat, információkat összegyűjteni és elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni.
(3) Ha a biztonsági eseménnyel érintett szervezet bármely okból nem képes a (2) bekezdés szerinti adatok összegyűjtésére, a Központ begyűjtheti az adatokat. A biztonsági eseménnyel érintett szervezet gondoskodik arról, hogy a Központ az adatokhoz hozzáférjen.
(4) A Központ a biztonsági eseménnyel érintett szervezettel együttműködve kidolgozza a biztonsági esemény felszámolásához szükséges intézkedéseket, amelyeket a biztonsági eseménnyel érintett szervezet köteles végrehajtani.
(5) A Központ a biztonsági eseményről szigorúan zárt kezelésű technológiai naplót vezet, amely tartalmazza a biztonsági esemény kivizsgálásának támogatása során tett intézkedéseket, és azok eredményét is.
(6) Az (1) bekezdésben meghatározott jelentéstételi kötelezettség a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat részéről az IntCERT felé áll fenn. Az IntCERT haladéktalanul tájékoztatja a Központot a hozzá beérkezett biztonsági eseményekről.
11. § (1) A Központ a hatáskörébe tartozó elektronikus információs rendszert működtető szervektől és az eseménykezelő központoktól kért és kötelezően átadott információk és adatok alapján, az elektronikus információs rendszereket érintő, biztonsági eseményre vagy fenyegetésre utaló jeleket elemezi, kiértékeli, és folyamatos ügyeleti rendszerén keresztül értesíti az elektronikus információs rendszer üzemeltetőjét a biztonsági esemény bekövetkeztének veszélyéről vagy fennállásáról, valamint a javasolt intézkedésekről.
(2) A Központ a központosított informatikai és elektronikus hírközlési szolgáltatótól átvett műszaki adatok és információk folyamatos figyelésével értékelést végezhet, valamint keresheti a hálózatok, illetve szolgáltatások működését érintő biztonsági eseményre vagy fenyegetésre utaló jeleket.
(3) A központosított informatikai és elektronikus hírközlési szolgáltató a Központ által történő biztonságiesemény-kezelés során köteles
a) a biztonsági eseményben érintettek (támadó/támadott) beazonosításához szükséges műszaki, technikai adatok Központ részére történő átadására,
b) az ismert fenyegetések elleni védelmi intézkedések, műszaki, technikai megoldások alkalmazására,
c) a Központ kérésére adatokat szolgáltatni a hálózati forgalomba való beavatkozásra utaló jelek elemzése, kiértékelése céljából, valamint
d) a Központ által meghatározott, biztonsági eseményekkel kapcsolatos feladatokban együttműködni.
12. § (1) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálatának célja, hogy a bekövetkezett biztonsági események kivizsgálása révén a Központ
a) feltárja a biztonsági esemény bekövetkeztének okait, körülményeit, az okozott kár mértékét,
b) behatárolja a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
c) javaslatot tegyen a biztonsági esemény által okozott kár elhárítására, és
d) a bekövetkezett biztonsági eseményből levonható tanulságokról tájékoztassa a biztonsági eseménnyel érintett más szerveket és a hatóságot annak érdekében, hogy a jövőben a biztonsági esemény bekövetkezése megelőzhető legyen.
(2) A biztonsági eseményekkel érintett szerv köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a Központ rendelkezésére bocsátani.
13. § A 6. § (1)-(3) bekezdése szerinti eseménykezelő központok a biztonsági esemény kivizsgálása során a 8-12. § szerinti eljárásrendnek megfelelően járnak el.
5. Sérülékenységvizsgálat
14. § (1) A nemzetbiztonsági védelem alá eső szervek elektronikus információs rendszerei, az Ibtv. 2. § (1) bekezdése szerinti állami és önkormányzati szervek európai létfontosságú rendszerelemmé vagy nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemeinek elektronikus információs rendszerei, valamint a zárt célú elektronikus információs rendszerek sérülékenységvizsgálatát - a (2) és (3) bekezdésben meghatározott kivételével - a Központ végzi. A Központ jogosult továbbá az Ibtv. 18. § (3) bekezdése szerinti állami szervként a sérülékenységvizsgálat lefolytatására.
(2) A polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszerei sérülékenységvizsgálatát a 6. § (2) bekezdése szerinti eseménykezelő központ végzi.
(3) A honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálatát a 6. § (1) bekezdése szerinti eseménykezelő központ végzi.
(4) Az Ibtv. 18. § (3) bekezdés b) pontja szerinti gazdasági társaság (a továbbiakban: gazdasági társaság) abban az esetben végezhet sérülékenységvizsgálatot, ha
a) a gazdasági társaság nevében és alkalmazásában eljárva a sérülékenységvizsgálatban részt vevő személy az Ibtv.-ben meghatározott feltételeken túl rendelkezik a sérülékenységvizsgálat lefolytatásához szükséges ismeretek meglétét igazoló végzettséggel, és ezen a szakterületen legalább 2 év szakmai tapasztalattal, valamint
b) a gazdasági társaság bejegyzésre került a sérülékenységvizsgálat lefolytatására jogosult gazdasági társaságok nyilvántartásába.
(5) A sérülékenységvizsgálat lefolytatására jogosult gazdasági társaságokról az Alkotmányvédelmi Hivatal - személyes adatot nem tartalmazó - nyilvántartást vezet. A nyilvántartás tartalmazza a gazdasági társaság adatait, a sérülékenységvizsgálatban részt vevő személyek számát és a sérülékenységvizsgálat lefolytatásához szükséges ismereteket igazoló végzettség megnevezését és megszerzési idejét.
(6) Az (5) bekezdés szerinti adatok tekintetében az Alkotmányvédelmi Hivatal egyéni, írásbeli kérelem alapján, annak beérkezésétől számított tizenöt napon belül nyújt tájékoztatást azon elektronikus információs rendszereket üzemeltető szervezet részére, amelyek az Ibtv. 18. § (2) bekezdése alapján jogosultak sérülékenységvizsgálatot kezdeményezni.
(7) A nyilvántartásba való felvételt a gazdasági társaság kezdeményezi az Alkotmányvédelmi Hivatal felé, a (4) bekezdésben meghatározott feltételek meglétét igazoló okiratok benyújtásával. A (4) bekezdésben meghatározott feltételek szakmai megfelelősége tekintetében a Központ nyilatkozata irányadó.
(8) Az Alkotmányvédelmi Hivatal elutasítja a nyilvántartásba történő felvételi kérelmet, ha
a) a gazdasági társaság nem rendelkezik az Ibtv. 18. § (3) bekezdés b) pontjában megkövetelt telephely biztonsági tanúsítvánnyal,
b) a Központ nyilatkozata alapján a sérülékenységvizsgálat lefolytatásához szükséges ismeretek meglétét igazoló végzettség, és ezen a szakterületen legalább 2 év szakmai tapasztalat nem áll fenn, vagy
c) a gazdasági társaság által közölt adatok a valóságnak nem felelnek meg.
(9) A sérülékenységvizsgálat lefolytatására jogosult gazdasági társaság az alkalmassági feltételeket érintő változásokról, valamint a sérülékenységvizsgálatban részt vevő személyeket érintő változásokról a változást követő nyolc napon belül értesíti az Alkotmányvédelmi Hivatalt.
(10) Az Alkotmányvédelmi Hivatal jogosult az alkalmassági feltételek meglétét, valamint a nyilvántartásban szereplő adatok valódiságát ellenőrizni. Az értesítési kötelezettség elmulasztása esetén, valamint az alkalmassági feltételek meglétének hiánya esetén az Alkotmányvédelmi Hivatal a gazdasági társaságot a nyilvántartásából törli.
15. § (1) A sérülékenységvizsgálat célja az esetleges biztonsági események bekövetkeztét megelőzően az érintett szervezet elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása az elektronikus információs rendszerek, rendszerelemek védelmének és biztonságának megerősítése érdekében.
(2) A sérülékenységvizsgálat tárgya az adatok, információk kezelésére használt elektronikus információs rendszerek, rendszerelemek, eszközök, eljárások és kapcsolódó folyamatok vizsgálata, valamint az ezeket kezelő személyek általános informatikai felkészültségének, és az érintett szervezetnél használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata.
16. § (1) A sérülékenységvizsgálat során a sérülékenységvizsgálati eljárását megalapozó dokumentációban meghatározottak szerint az alábbi vizsgálatok elvégzésére kerül sor:
a) külső informatikai biztonsági vizsgálat,
b) webes vizsgálat,
c) belső informatikai biztonsági vizsgálat, illetve
d) vezeték nélküli hálózat informatikai biztonsági vizsgálata.
(2) A sérülékenységvizsgálat az (1) bekezdésben meghatározott irányultságok tekintetében három típusú jogosultsági fázist tartalmazhat:
a) regisztrált felhasználói jogosultság nélküli vizsgálat,
b) regisztrált felhasználói jogosultsággal rendelkező vizsgálat és
c) adminisztrátori jogosultsággal rendelkező vizsgálat.
(3) A sérülékenységvizsgálat határideje a hatóság határozatának keltétől, illetve az előzetesen egyeztetett kezdési időponttól számítva az (1) bekezdésben meghatározott vizsgálatok szerint:
a) külső informatikai biztonsági vizsgálat esetén harminc nap,
b) webes vizsgálat esetén hetvenöt nap,
c) belső informatikai biztonsági vizsgálat esetén kilencven nap,
d) vezeték nélküli hálózat informatikai biztonsági vizsgálat esetén harminc nap.
17. § (1) A sérülékenységvizsgálat előkészítése során a sérülékenységvizsgálatot végző szerv sérülékenységvizsgálati dokumentációt készít. A sérülékenységvizsgálati dokumentációban rögzíti a vizsgálati feladatokat, célokat, a technikai és személyi feltételeket, a módszertant, az egyeztetések, a sérülékenységvizsgálat várható befejezésének dátumát.
(2) Ha a sérülékenységvizsgálatot a hatóság rendeli el, akkor a sérülékenységvizsgálati dokumentációban a határozatban rögzített vizsgálati feladatokat kell feltüntetni. A sérülékenységvizsgálat egyedi kezdeményezése esetén a vizsgálati feladatokra a kezdeményező javaslatot tehet, amelyről a sérülékenységvizsgálatot végző szerv dönt.
(3) A sérülékenységvizsgálati dokumentációt a sérülékenységvizsgálatot végző szerv megküldi az érintett szervezet részére. Az érintett szervezet a sérülékenységvizsgálati dokumentáció tartalmára a kézhezvételtől számított nyolc napon belül észrevételt tehet. Az észrevétel nem érintheti a hatóság által elrendelt vizsgálatokat. Az észrevételekről a sérülékenységvizsgálatot végző szerv dönt.
18. § (1) A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálat során kellő gondossággal eljárva, törekedni köteles a vizsgált elektronikus információs rendszer által nyújtott szolgáltatások szükségesnél nem nagyobb mértékű korlátozására, a sérülékenységvizsgálatnak a szolgáltatás szempontjából nem kritikus időszakban történő elvégzésére. A sérülékenységvizsgálatot végző szerv köteles a korlátozás várható mértékéről és időtartalmáról az érintett szervezetet előzetesen tájékoztatni.
(2) Hatósági határozat alapján elrendelt sérülékenységvizsgálat esetén az érintett szervezet köteles a sérülékenységvizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a sérülékenységvizsgálatot végző szerv rendelkezésére bocsátani, valamint tűrni a sérülékenységvizsgálatból fakadó, a vizsgált elektronikus információs rendszeren bekövetkezett szolgáltatáscsökkenést.
(3) Egyedi kezdeményezés esetén az érintett szervezet a 17. § (3) bekezdés szerinti észrevételezés során kizárhatja azon vizsgálatokat, amelyek jelentős szolgáltatáscsökkenést eredményeznek.
(4) A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálatra irányadó határidőt, annak letelte előtt egy alkalommal legfeljebb harminc nappal meghosszabbíthatja, és erről az érintett szervezetet és a hatóságot értesíti.
19. § (1) Az érintett szervezet elektronikus információs rendszere az átlagostól jelentősen eltér, ha
a) az elektronikus információs rendszer
aa) a külső internetes tartományban több mint 20 IP címen elérhető eszközzel,
ab) több mint 10 webes szolgáltatással,
ac) a belső hálózat tekintetében több mint 50 szerverrel,
ad) több mint 500 munkaállomással,
ae) több mint 5 vezeték nélküli hálózattal, vagy
af) több mint 500 fős felhasználói létszámmal
rendelkezik, vagy
b) az érintett szervezet több mint három telephelyen rendelkezik a vizsgálattal érintett elektronikus információs rendszerrel.
(2) Ha az érintett szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen eltér és emiatt egyedi sérülékenységvizsgálati eljárás szükséges, a sérülékenységvizsgálati határidő a 16. § (3) bekezdésben meghatározottakon túl további harminc nappal meghosszabbítható.
20. § (1) A sérülékenységvizsgálat lezárásakor a sérülékenységvizsgálatot végző szerv állásfoglalást készít, és azt nyolc napon belül megküldi az érintett szervezet és a hatóság részére.
(2) Az (1) bekezdés szerinti állásfoglalás tartalmazza:
a) a vizsgálati eredmények leírását, és
b) a rövid-, közép- és hosszú távú intézkedésekre vonatkozó intézkedési javaslatokat.
6. Hálózatbiztonsági tevékenységgel összefüggő szabályok
21. §[15] A BM OKF keretében működő Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja - az állami és önkormányzati elektronikus információs rendszerek, a zárt célú elektronikus információs rendszerek, a honvédelmi célú, valamint a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat által üzemeltetett létfontosságú rendszerek és létesítmények kivételével - ellátja a nemzeti létfontosságú rendszerek és létesítmények védelmével kapcsolatos hálózatbiztonsági tevékenységet.
7. Záró rendelkezések
22. § Ez a rendelet a kihirdetését követő harmadik napon lép hatályba.
23. §[16] Ez a rendelet
a) a belső piaci szolgáltatásokról szóló, 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelvnek és
b) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-i 2016/1148/EU európai parlamenti és tanácsi irányelvnek
való megfelelést szolgálja.
24. § E rendelet tervezetének a belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént.
25. §[17]
Orbán Viktor s. k.,
miniszterelnök
Lábjegyzetek:
[1] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (1) bekezdése. Hatályos 2018.05.10.
[2] Megállapította a 394/2017. (XII. 13.) Korm. rendelet 6. § (2) bekezdése. Hatályos 2018.05.10.
[3] Megállapította a 394/2017. (XII. 13.) Korm. rendelet 6. § (2) bekezdése. Hatályos 2018.05.10.
[4] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (3) bekezdése. Hatályos 2018.05.10.
[5] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (4) bekezdése. Hatályos 2018.05.10.
[6] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (5) bekezdése. Hatályos 2018.05.10.
[7] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (6) bekezdése. Hatályos 2018.05.10.
[8] Módosította a 259/2016. (VIII. 31.) Korm. rendelet 8. §-a. Hatályos 2016.09.01.
[9] Megállapította a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[10] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[11] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[12] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[13] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[14] Beiktatta a 394/2017. (XII. 13.) Korm. rendelet 6. § (7) bekezdése. Hatályos 2018.05.10.
[15] Módosította a 394/2017. (XII. 13.) Korm. rendelet 6. § (8) bekezdése. Hatályos 2018.05.10.
[16] Megállapította a 441/2016. (XII. 16.) Korm. rendelet 57. §-a. Hatályos 2016.12.17.
[17] Hatályon kívül helyezte a 2010. évi CXXX. törvény 12. §-a. Hatálytalan 2015.07.17.