223/2009. (X. 14.) Korm. rendelet
223/2009. (X. 14.) Korm. rendelet
az elektronikus közszolgáltatás biztonságáról1
A Kormány az elektronikus közszolgáltatásról szóló 2009. évi LX. törvény 31. § (2) bekezdés b) pontjában foglalt felhatalmazás alapján, az Alkotmány 35. § (1) bekezdés b) pontjában meghatározott feladatkörében eljárva a következőket rendeli el:
ÁLTALÁNOS RENDELKEZÉSEK
A rendelet hatálya
1. § (1) E rendelet hatálya az elektronikus közszolgáltatásokra, azok működtetőire, üzemeltetőire, az elektronikus közszolgáltatások nyújtásában részt vevő szervezetekre és személyekre, valamint az elektronikus közszolgáltatások igénybe vevőire terjed ki.
(2) Minősített információt kezelő rendszerekben az itt rögzítetteken túlmenő, a tárgykört szabályozó külön jogszabályokban foglaltak alkalmazása is szükséges.
(3) Amennyiben törvény felhatalmazása alapján jogszabály az elektronikus közszolgáltatás nyújtására informatikai biztonsági követelményt ír elő, az elektronikus közszolgáltatás informatikai biztonsági követelményei tekintetében a külön jogszabályban foglaltak alkalmazása is szükséges.
Értelmező rendelkezések
2. § E rendelet alkalmazásában:
a) adatkezelő: a kormány által az elektronikus közszolgáltatásról szóló törvény (a továbbiakban: Ekszt.) felhatalmazása alapján az elektronikus közszolgáltatás működtetéséről szóló kormányrendeletben a központi rendszerben kezelt adatok kezelésére kijelölt közigazgatási szerv;
b) audit: a szervezet, illetve meghatározott program, szolgáltatás vagy alkalmazás folyamataira vonatkozó menedzsment- és üzemeltetési biztonsági intézkedések szabványokban, ajánlásokban, illetve a nemzetközi legjobb gyakorlatokban leírt elvárásoknak való megfelelőségének vizsgálata, és a megfelelés, illetve meg nem felelés tanúsítása;
c) értékelés: a hardver eszközök, hálózatok, az ezekből kialakított komplex informatikai rendszerek, és az ezek működtetését, üzemeltetését végző szervezet biztonsági intézkedéseinek, kialakított eljárásrendjeinek Magyarországon elfogadott technológiai értékelési szabványok, követelményrendszerek és ajánlások szerinti megfelelőségi vizsgálata;
d) felhasználó: az elektronikus közszolgáltatást igénybe vevő szerv vagy személy;
e) információbiztonsági fenyegetés: mindazok az események, amelynek bekövetkezése esetén a rendszerhez fűződő érzékeny információk jogosulatlanul kerülnek más birtokába, vagy válnak megismerhetővé, vagy válnak elérhetetlenné, vagyis sérülnek az e rendeletben megfogalmazott adat- és információbiztonságra meghatározott követelmények;
f) kritikus infrastruktúra: olyan, egymással összekapcsolódó, interaktív és egymástól kölcsönös függésben lévő infrastruktúra elemek, létesítmények, szolgáltatások, rendszerek és folyamatok hálózata, amelyek az ország (lakosság, gazdaság és kormányzat) működése szempontjából létfontosságúak, érdemi szerepük van egy társadalmilag elvárt minimális szintű jogbiztonság, közbiztonság, nemzetbiztonság, gazdasági működőképesség, közegészségügyi és környezeti állapot fenntartásában, és ezért meg kell felelniük az alapvető biztonsági, nemzetbiztonsági követelményeknek;
g) működtető: az elektronikus közszolgáltatás működtetéséről szóló kormányrendeletben kijelölt, az elektronikus közszolgáltatás megvalósítását a központi elektronikus szolgáltató rendszeren lehetővé tevő, a közszolgáltatásokat összehangoló közigazgatási szerv;
h) szervezet: valamennyi jogi személyiséggel rendelkező és jogi személyiséggel nem rendelkező jogképes szervezet, valamint az egyéni vállalkozás;
i) titkosító kulcspár: a központi rendszerben végzett azonosításról szóló kormányrendeletben meghatározott információvédelmi eszköz;
j)2 üzemeltető: az elektronikus közszolgáltatás működtetéséről szóló kormányrendeletben kijelölt, a központi rendszer elemeinek létrehozását, fejlesztését és üzemeltetését a működtető irányításával – szükség esetén más szervezetek bevonásával – ellátó szervezet.
AZ INFORMATIKAI BIZTONSÁG IRÁNYÍTÁSA
Az elektronikus közszolgáltatás biztonsági alapkövetelményei
3. § (1) A központi rendszer a kritikus infrastruktúra része, védelmét a kritikus infrastruktúrára vonatkozó, nemzetközileg kialakult biztonsági követelményeknek megfelelően kell kialakítani.
(2) A kritikus infrastruktúra követelményeinek érvényesítésétől csak olyan elektronikus közszolgáltatást nyújtó rendszerek esetében lehet eltérni, ahol a folyamatos rendelkezésre állás hiánya nem veszélyezteti az államszervezet működését, leállása nem terheli túl a központi rendszert, illetve nem okozza pótolhatatlan adatok elvesztését vagy regisztrálásának elmaradását.
(3) Az elektronikus közszolgáltatást nyújtó rendszernek biztosítania kell:
a) a rendszerben található adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása az adatkezelést szabályozó törvényi előírások betartásával történjen (törvényes adatkezelés);
b) a rendszerben kezelt adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhessék meg, használhassák fel, illetve rendelkezhessenek a felhasználásáról (bizalmasság);
c) a rendszerben kezelt adat tartalma és tulajdonságai az elvárttal megegyezzenek – ideértve a bizonyosságot abban, hogy az elvárt forrásból származik és a származás megtörténtének bizonyosságát is –, továbbá a rendszerelemek a rendeltetésüknek megfelelően használhatóak legyenek (sértetlenség);
d) a rendszerben kezelt adatokat, illetve az informatikai rendszer elemeit az arra jogosultak a szükséges időpontban és időtartamra használhassák (rendelkezésre állás);
e) érvényesüljön a zárt, teljes körű, folytonos és a kockázatokkal arányos védelem
ea) zárt védelem: az összes releváns fenyegetést figyelembe vevő védelem,
eb) teljes körű védelem: a rendszer valamennyi elemére kiterjedő védelem,
ec) folytonos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósuló védelem,
ed) kockázattal arányos védelem: egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel.
(4) Elektronikus közszolgáltatás csak az Ekszt. 30. §-ában rögzített tanúsítás megléte, és annak bejelentése esetén folytatható (a továbbiakban: biztonságos informatikai rendszer).
Felelősségi viszonyok
4. § (1) Ha egy elektronikus közszolgáltatást nyújtó rendszer (alrendszer) működtetője szolgáltatását biztonságos informatikai rendszer útján teszi elérhetővé a felhasználók számára, akkor szolgáltatása részeként köteles az eljárási és biztonsági követelmények megismertetéséről – az irányítása alá tartozók esetében elsajátításáról, teljesítéséről – is gondoskodni.
(2) Az elektronikus közszolgáltatást nyújtó rendszer (alrendszer) működtetőjének biztosítania kell, hogy a rendszer belső és külső használói, valamint a külső szolgáltatók tudatában legyenek a rendszerrel szembeni információbiztonsági fenyegetéseknek.
(3) Az elektronikus közszolgáltatást nyújtó, működtető szervezet vezetője köteles biztosítani, hogy az informatikai rendszer az eljárási és biztonsági követelményeknek megfeleljen, függetlenül attól, hogy az üzemeltetést részben vagy egészben harmadik személy végzi.
(4) Az üzemeltető a fokozott veszéllyel járó tevékenység szabályai szerint felelős azért, hogy a működtetőt valamennyi lehetséges kockázatról haladéktalanul tájékoztassa, illetve azok megszüntetéséért, csökkentéséért mindent megtegyen.
(5) E felelősség alól csak akkor mentesül, ha megfelelően dokumentált jelzése ellenére a működtető nem intézkedett időben a probléma megoldására.
(6) Az eljárási és biztonsági követelményeknek való megfelelés nem érinti az elektronikus közszolgáltatást nyújtó szervezet azon kötelezettségét, hogy teljesítse a más jogszabályokban meghatározott követelményeket.
Az informatikai biztonsági felügyelet rendszere
5. § (1)3 Az elektronikus közszolgáltatást nyújtó rendszerek informatikai biztonságának felügyeletét a közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért felelős miniszter (a továbbiakban: miniszter) látja el. A miniszter a feladat ellátására az irányítása alá tartozó informatikai biztonsági felügyelőt jelöl ki.
(2) Az informatikai biztonsági felügyelő ellenőrzi az elektronikus közszolgáltatást nyújtó rendszerek eljárási és biztonsági követelményeknek való megfelelőségét.
(3) Az informatikai biztonsági felügyelő jogosult a központi rendszer üzemeltetőjétől, adatkezelőjétől, valamint az elektronikus közszolgáltatást nyújtó, szolgáltatást nyújtó szervezetektől az eljárási és biztonsági követelmények teljesülésével kapcsolatban tájékoztatást kérni, a követelményeknek való megfelelőség alátámasztásához szükséges, az elektronikus közszolgáltatást nyújtó alrendszer tervezésével, beszerzésével, előállításával, működésével vagy felülvizsgálatával kapcsolatos adatot, illetve a rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot – különösen az e rendeletben előírt dokumentációt, szabályzatokat – bekérni.
(4)4 Az informatikai biztonsági felügyelő hatásköre a központi rendszer működtetőjére, adatkezelőjére, üzemeltetőjére, a helyi önkormányzat vagy szerve kivételével az elektronikus közszolgáltatást nyújtó szervezetek, valamint a számukra a rendszer üzemeltetéséhez szolgáltatást nyújtó szervezetek informatikai biztonsággal összefüggő tevékenységére terjed ki.
6. § (1) Az informatikai biztonsági felügyelő e rendeletben meghatározott biztonsági követelmények érvényesítése érdekében
a) folyamatosan figyelemmel kíséri a központi rendszert üzemeltető szervezetekkel, valamint a központi rendszer számára szolgáltató szervezetekkel kötött megállapodásokban foglalt informatikai biztonsági követelmények betartását;
b) véleményt nyilvánít a központi rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról;
c) jogosult a 4. § (4) bekezdése szerint feladatkörébe tartozó szervezet informatikai biztonsággal összefüggő tevékenységének és ellátottságának ellenőrzésére;
d) jóváhagyja a központi rendszer üzemeltetője, adatkezelője biztonsági irányelveit, szabályzatait és eljárásrendjeit;
e) az arra jogosult jóváhagyását megelőzően szakmailag ellenőrzi az elektronikus közszolgáltatást nyújtó szervezetek biztonsági irányelveit, szabályzatait és eljárásrendjeit;
f) határidő tűzésével felhívja az érintett szervezetek vezetőit az ellenőrzés vagy egyéb úton tudomására jutott eltérések felszámolására, ellenőrzi a követelmények megvalósítását;
g)5 kapcsolatot tart a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) a biztonságos elektronikus szolgáltatásokat nyilvántartó szervezeti egységével;
h) ellenőrzi a biztonságirányítási rendszerek működtetését.
(2) A felügyelő a biztonsági, adatbiztonsági és eljárási követelmények hiányos teljesítése esetén jogosult határidő tűzésével felszólítani az érintett szervezetet a hiányosságok pótlására. A felhívás eredménytelensége esetén kezdeményezi a (4) bekezdésben rögzített eljárást.
(3) Amennyiben a feltárt vagy tudomására jutott hiányosság a központi rendszer biztonságos működését vagy a kezelt adatok biztonságát veszélyezteti, jogosult azonnali hatállyal, végrehajthatóan az elektronikus közszolgáltatást nyújtó alrendszer működését a hiba, hiányosság elhárításáig felfüggeszteni. A felfüggesztés ellen – nem halasztó hatályú kifogással – a miniszterhez lehet fordulni.
(4)6 Az eljárási és biztonsági követelmények felszólítás ellenére elégtelen teljesülése esetén az informatikai biztonsági felügyelő javaslatára a miniszter értesíti az érintett szervezet felügyeletét – köztestület esetén a törvényességi felügyeletet – ellátó minisztert, kérve haladéktalan intézkedését.
Intézkedések a biztonsági hiányosságok esetén
7. § (1) Az ellenőrzés, valamint a megtett intézkedések felülvizsgálata során tapasztalt hiányosságok esetében az informatikai biztonsági felügyelő
a) kiemelt kockázatot jelentő – azaz adatvesztés, vagy adatokhoz való jogosulatlan hozzáférés veszélyét felvető – hiányosság esetén a szolgáltatást azonnal felfüggeszti,
b) az a) pontba nem tartozó kockázatot jelentő hiányosság esetén a működtetőt, és – amennyiben a hiányosság elhárítása közvetlenül az üzemeltető feladatát képezi – az üzemeltetőt határidő tűzésével a hiányosság megszüntetésére szólítja fel,
c) amennyiben a hiányosság határidőt követően is fennáll, a szolgáltatás felfüggesztéséről intézkedhet.
(2) Egy rendszerelem üzemeltetésének vagy felfüggesztett szolgáltatásának újraindítása – a hiányosságok megszüntetését követően is – csak az informatikai biztonsági felügyelő engedélyével történhet.
(3)7 A felfüggesztésről, valamint az újraindítási engedély kiadásáról az informatikai biztonsági felügyelő tájékoztatja a biztonságos működést regisztráló NMHH-t.
(4) A szolgáltatás felfüggesztését, az erről szóló döntést követően haladéktalanul, illetve újraindítását annak pontos időpontjával és a korlátozás kiterjedésének megjelölésével a kormányzati portálon az üzemeltetési események között a kormányzati portál üzemeltetője a biztonsági felügyelő közlése alapján közzéteszi.
(5) Az üzemeltető a központi rendszer vagy az elektronikus közszolgáltatás biztonságát súlyosan fenyegető veszély vagy katasztrófa esetén köteles a katasztrófaelhárítási tervnek megfelelően eljárni, és az informatikai biztonsági felügyelőt, valamint a működtetőt erről haladéktalanul értesíteni.
Nemzeti hálózatbiztonsági központ
8. §8 (1) A kormány a magyar kritikus információs infrastruktúrák védelme, valamint a központi rendszeren megvalósuló kommunikáció biztonsága, a vírus- és más támadások káros hatásainak korlátozása érdekében nemzetközi együttműködéssel hálózatbiztonsági központot (a továbbiakban: Központ) működtet.
(2) A Központ nemzetközi hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben tagsággal rendelkező, akkreditált szervezet, mely védi a központi rendszer szolgáltatásait az interneten keresztül érkező támadások ellen. Ezen feladat körében technikai védelmi, megelőző és felvilágosító tevékenységet végez, továbbá képviseli Magyarországot a nemzetközi hálózatbiztonsági és kritikus információs infrastruktúrák védelmére szakosodott együttműködési fórumokon és szervezetekben. Részt vesz az informatikai és a hálózatbiztonságra, valamint a kritikus információs infrastruktúrák védelmére vonatkozó stratégiák és szabályozások előkészítésében.
(3) A Központ a miniszter felügyelete alatt áll, működését az informatikai biztonsági felügyelő ellenőrzi.
(4) A Központ üzemeltetését a Puskás Tivadar Közalapítvány biztosítja közszolgáltatási szerződés keretében az Országos Informatikai és Hírközlési Főügyelet üzemeltetésével párhuzamosan.
(5) A Központ évente jelentést készít tevékenységéről, a potenciális veszélyforrásokról és elhárításuk lehetőségeiről, és azt a következő év február 28-ig közzéteszi.
(6) Nem tartozik a Központ tevékenységi körébe a következő kormányzati hálózatok védelme:
a) a nemzetbiztonsági szolgálatok speciális műveleti hálózatai;
b) a Honvédelmi Minisztérium által működtetett katonai műveleti hálózatok;
c) az Egységes Digitális Rádiótávközlő Rendszer;
d) a Külügyminisztérium által Magyarországon és külképviseleti viszonylatban működtetett diplomáciai információs rendszerek;
e9) Magyarország nemzetközi kötelezettségei alapján működtetett nemzetközi hálózatok.
9. §10 (1) A Központ szolgáltatásai:
a) A Központ a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé magyar Nemzeti Kapcsolati Pontként (a továbbiakban: NKP), kormányzati számítástechnikai sürgősségi reagáló egységként (kormányzati CERT) működik, folyamatos rendelkezésre állással;
b) A Központ, mint NKP ellátja a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé az internetet támadási csatornaként felhasználó beavatkozások kezelését és elhárításának koordinálását;
c) A Központ, mint NKP kezeli a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé a felismert és publikált szoftver sérülékenységeket, a tudomására jutott szoftver sérülékenységeket honlapján, www.cert-hungary.hu magyar nyelven publikálja, illetve a nemzetközi hálózat felé biztosítja a magyar szoftver-sérülékenységekről az angol nyelvű információt;
d) A Központ – a központi rendszer üzemeltetőjétől a központi rendszer működtetője felhatalmazásával átvett információk és adatok alapján – folyamatosan megfigyeli és kiértékeli az internet forgalmat beavatkozásra utaló jeleket keresve, továbbá a folyamatos ügyeleti rendszerén keresztül szükség esetén értesíti a központi rendszer működtetőjét, valamint a hazai és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezeteket a gyanús tevékenységekről.
e) A Központ képviseli és érvényesíti Magyarország érdekeit az informatikai és hálózatbiztonsági, valamint a kritikus információs infrastruktúrák védelmére irányuló nemzetközi együttműködésekben;
f) A Központ részt vesz az informatikai és a hálózatbiztonságra, valamint a kritikus információs infrastruktúrák védelmére vonatkozó stratégiák és szabályozások előkészítésében.
(2) A Központ tevékenységei:
a) A Központ oktatási anyagokat dolgoz ki és tréningeket tart, felvilágosító, szemléletformáló kampányokat szervez, továbbá a tudatosságot növelő honlapot alakít ki és tart fenn az interneten;
b) A Központ együttműködik a magyar informatikai és hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmében érintett bűnüldöző szervekkel, akadémiai és iparági szereplőkkel, ennek keretében gyakorlatokat tart és munkacsoportokat működtet, illetve azokban részt vesz.
10. §11 (1) A Központ a központi rendszer használói és működtetői számára a 9. § (1) bekezdésében meghatározott szolgáltatásokat a közszolgáltatási szerződés keretében, további díjazás nélkül biztosítja.
(2) A Központ a 9. §-ban foglalt feladatainak maradéktalan ellátása mellett jogosult külön szerződésben meghatározott módon, díjazás ellenében további emelt szintű szolgáltatásokat is nyújtani, mind a központi rendszer használói és működtetői, mind a kritikus információs infrastruktúrával rendelkező szervezetek számára. E tevékenységet egyértelműen el kell különíteni a közszolgáltatási tevékenységtől.
A BIZTONSÁGOS MŰKÖDÉS ALÁTÁMASZTÁSA, MINŐSÉGIRÁNYÍTÁSI KÖVETELMÉNYEK
11. § (1) Az elektronikus közszolgáltatást nyújtó szervezetnek a központi rendszeren keresztül szolgáltatást nyújtó rendszer tervezésére, beszerzésére, megvalósítására (különösen fejlesztésére, testreszabására, paraméterezésére, telepítésére) és felülvizsgálatára kiterjedő, az e §-ban meghatározott feltételeknek megfelelő minőségirányítással kell alátámasztania az eljárási és biztonsági követelmények teljesülését.
(2) A minőségirányítás alapjául szolgáló dokumentációnak alkalmasnak kell lennie arra, hogy az eljárási és biztonsági követelményeknek való megfelelőséget bemutassa. A dokumentációt a biztonsági ellenőrzést végezni jogosultak rendelkezésére kell bocsátani.
(3) Amennyiben az elektronikus közszolgáltatást nyújtó szervezet a szolgáltatásnyújtással összefüggő egyes feladatait – ideértve az üzemeltetést is – közreműködő igénybevételével látja el, a saját dokumentáció helyett csatolhatja a feladatot ellátó közreműködő szervezet vonatkozó dokumentációját, azonban annak a (4) bekezdésben meghatározott követelmények szerinti teljességéért való felelőssége ez esetben is fennáll.
(4) A minőségirányítás alapjául szolgáló dokumentáció
a) a tervezéssel összefüggésben:
aa) meghatározza az előállítandó informatikai célrendszer terveivel kapcsolatos, az eljárási és biztonsági követelmények teljesítését biztosító funkcionális és alkalmassági követelményeket, valamint a tervezés folyamata során és annak befejezésekor elvégzendő ellenőrzéseket és vizsgálatokat,
ab) összefoglaló jelleggel rögzíti az aa) pontban meghatározott egyes ellenőrzések és vizsgálatok eredményét;
b) az egyes elemeinek beszerzésével összefüggésben:
ba) a beszerzést megelőzően rögzíti az eljárási és biztonsági követelmények teljesítését biztosító beszerzési követelményeket, meghatározza a kiválasztás és kiértékelés feltételeit,
bb) kialakítja és alkalmazza azokat az ellenőrzési tevékenységeket, amelyek biztosítják, hogy a beszerzés tárgya megfeleljen az előírt követelményeknek;
c) a rendszer kialakításával összefüggésben:
ca) munkafolyamatba építve meghatározza a rendszernek az előállítás és a végellenőrzés során ellenőrizendő és vizsgálandó, az eljárási, adatbiztonsági követelmények teljesítését biztosító követelményeit,
cb) a végellenőrzéshez dokumentálja – amennyiben az előírt – a rendszer hatósági elfogadásának feltételéül előírt követelmények teljesülését,
cc) rögzíti az egyes ellenőrzések és vizsgálatok eredményét úgy, hogy az alkalmas legyen az előírt – különösen az eljárási, adatbiztonsági – követelmények teljesítésének megítélésére;
d) szabályozza a rendszer elkészülte utáni változáskezelés, rendszeres időközönkénti felülvizsgálat eljárásrendjét, az eljárási, adatbiztonsági és biztonsági követelményeknek való megfelelőség igazolásának módját;
e) igazolja a minőségirányítási rendszer alkalmasságát, teljeskörűségét.
(5) Ha az elektronikus közszolgáltatást nyújtó szervezet olyan, a vonatkozó MSZ ISO/IEC szabványok szerinti, független, erre feljogosított tanúsító szervezet által tanúsított minőségirányítási rendszert működtet, amely az (1) bekezdésben meghatározott területekre, valamint az eljárási és biztonsági követelmények teljesítésére is kiterjed, és azt a rendszer elkészülte utáni audit-jelentéssel igazolja, vélelmezni kell, hogy a minőségirányítással kapcsolatos követelmények e minőségirányítási rendszer útján teljesülnek.
12. § (1) Az elektronikus közszolgáltatást nyújtó szervezet vezetője gondoskodik a 11. § szerinti minőségirányítási dokumentációban foglaltak betartásáról, betartatásáról.
(2) Ha az elektronikus közszolgáltatást nyújtó rendszerre vonatkozó jogi, adatvédelmi vagy biztonsági követelmények megváltoznak, a rendszer (alrendszer) működtetőjének a változás, az új szabályozás ismertté válásától számított 90 napon belül kell gondoskodnia a minőségirányítási dokumentáció módosításáról.
Dokumentáltsági, személyügyi követelmények
13. § (1) Az elektronikus közszolgáltatást működtető szervezetnek – szükség esetén az üzemeltető bevonásával – az elektronikus közszolgáltatási biztonsági minimum követelmény teljesítéséhez legalább a következő informatikai biztonsági követelményeket kell kielégítenie:
a) rendelkezni kell üzemeltetési, valamint informatikai biztonsági szabályzatokkal;
b) üzletmenet-folytonossági, katasztrófaelhárítási tervvel kell rendelkezni a kritikus információkat tartalmazó erőforrások rendkívüli helyzetekben technikailag elérhető folyamatos rendelkezésre állásának biztosítása érdekében;
c) a tárolt és kezelt adatok biztonsága érdekében az elektronikus szolgáltatásra vonatkozóan szolgáltatásműködési szabályzatot kell készíteni, amelyben meg kell határozni a rendszer működéséért felelős, az adatgazda, az adatkezelő, illetőleg az adatfeldolgozó, az üzemeltető és az igénybe vevők jogait és kötelezettségeit, valamint az adatkezelés, adattovábbítás és adatszolgáltatás eljárásrendjét;
d) az elektronikus közszolgáltatás keretében az informatikai rendszerben forgalmazott adatok illetéktelen személy által történő megismerhetőségének megakadályozását elektronikus úton kell biztosítani az adatok keletkezési helyétől azok végső tárolási helyéig bezárólag, beleértve az adatok nyilvános hálózaton történő forgalmazását is;
e) az elektronikus közszolgáltatás keretében gyűjtött, illetőleg keletkezett adatok – személyes adatok tekintetében az adatkezelésre vonatkozó jogszabályi rendelkezésre is figyelemmel – kizárólag a szolgáltatás igénybevételére vonatkozó szerződésben meghatározott esetekben, illetőleg – kizárólag műszaki – hibajavítás céljából, minden esetben dokumentált módon, az annak végrehajtására jogosult személy azonosítása mellett és a változások nyomon követésének, szükség esetén visszaállíthatóságának biztosításával módosíthatók;
f) az elektronikus közszolgáltatás informatikai rendszereinek (alrendszereinek) módosítása előzetesen jóváhagyott változáskezelési szabályzat alapján, az abban foglalt eljárásrend betartásával állítható éles üzembe, melynek során a szoftver összetevőinek változásait verziószámmal és az éles alkalmazásba vétel dátumával ellátva elektronikus adathordozón külön jogszabályban meghatározott ideig, de legalább az elektronikus közszolgáltatás vagy alkalmazás használatának megszüntetését követő öt évig archiválni kell.
(2) Az elektronikus közszolgáltatási biztonsági minimum követelmények teljesülésének igazolására a működtető köteles az elektronikus közszolgáltatást informatikai biztonsági szempontból auditáltatni, illetőleg üzemeltető köteles az elektronikus közszolgáltatáshoz kapcsolódó informatikai rendszert és háttérrendszert informatikai biztonsági szempontból értékeltetni.
(3) Az elektronikus közszolgáltatás működtetőjének belső szabályzatban kell kijelölnie
a) az egyes informatikai biztonsági követelmények teljesítése érdekében ellátandó feladatokat és azok felelőseit,
b) az egyes informatikai biztonsági döntési jogköröket, és azokat, melyek gyakorlásához előzetes döntés szükséges,
c) a rendszer biztonságos működtetéséhez szükséges eszközök rendelkezésre állásáért, folyamatok megvalósulásért felelős vezető személyét,
d) a rendszer használatával kapcsolatos hatásköröket (jogosultsági szinteket),
e) az informatikai biztonsági felelős kiválasztásának módját,
f) a rendszer működtetése szempontjából kritikus feladatköröket, amelyek esetében a 14. § (2) bekezdését kell érvényesíteni.
14. § (1) Az elektronikus közszolgáltatást nyújtó rendszernek rendelkeznie kell
a) a rendszer felépítésére és működésére vonatkozó, naprakész igazgatási, informatikai és üzemeltetési dokumentációkkal, belső utasításokkal és a külső felhasználók számára módszertani segédletekkel,
b) a rendszerben tárolt és feldolgozott adatok tárolási szerkezetének és szintaktikai feldolgozási szabályainak leírásával, a személyes adatok kezelésére vonatkozó adatvédelmi szabályzattal, valamint az adatok kezelésére vonatkozó adatbiztonsági követelményrendszerrel és eljárásrenddel,
c) a rendszer funkcióihoz, az adatokhoz történő hozzáférési (jogosultsági) rend meghatározásával.
(2) A szolgáltatást nyújtó szervezet belső szabályzatában határozza meg az informatikai rendszer üzemeltetésével és ellenőrzésével kapcsolatos egyes munkakörök betöltéséhez szükséges alkalmazási feltételeket és más személyi biztonsági követelményeket. A rendszer működtetése szempontjából kulcsfontosságú, az adatokhoz hozzáférést biztosító munkakörök esetében a fontos és bizalmas munkakörökre vonatkozó követelményeket is – az erre vonatkozó jogszabályban meghatározott garanciális szabályok és eljárásrend szerint – érvényesíteni kell.
(3) Az elektronikus közszolgáltatást nyújtó szervezet vezetője a szolgáltatást működtető szervezeti egységétől független, a közszolgáltatást nyújtó szervezet vezetőjének közvetlen irányítása alá tartozó informatikai biztonsági felelőst jelöl ki, aki személyesen felel a biztonsági követelmények betartásáért. Az informatikai biztonsági felelős e feladatának ellátása körében más vezető által nem utasítható. Amennyiben az informatikai biztonsági felelős – álláspontja szerint – az elektronikus közszolgáltatást nyújtó rendszer biztonságát veszélyeztető utasítást kap, haladéktalanul köteles arról az informatikai biztonsági felügyelőt tájékoztatni, és intézkedését kérni.
(4) Az elektronikus közszolgáltatást nyújtó szervezet vezetője az e szolgáltatást nyújtó rendszer (alrendszer) működtetéséért önállóan felelős személyt nevez ki, valamint kijelöli a kezelt adatok biztonságos tárolásáért felelős szervezeti egységet.
(5) Az elektronikus közszolgáltatást nyújtó szervezet:
a) évente felülvizsgálja a biztonsági irányelveket, a biztonsági szabályzatokat és eljárásrendeket,
b) a szolgáltatással kapcsolatos szervezeti és műszaki változások, illetve biztonsági esemény esetén saját hatáskörben soron kívüli felülvizsgálatot valósít, valósíttat meg, és
c) az a) pont szerinti dokumentációkat, illetve a b) pont szerinti módosított szabályozási tervezetet jóváhagyásra megküldi az informatikai biztonsági felügyelőnek.
(6) A szolgáltatással kapcsolatos szervezeti és műszaki változások esetén, amennyiben az a központi rendszer terhelését érinti, az elektronikus közszolgáltatást nyújtó szervezet külön felhívás nélkül köteles a változásról a központi rendszer működtetőjét előzetesen tájékoztatni. Amennyiben a változás veszélyezteti a központi rendszer egészének működési biztonságát, a központi rendszer működtetője jogosult a változtatást megakadályozni vagy feltételhez kötni. A változás megvalósításának feltétele az elektronikus közszolgáltatások működtetéséről szóló kormányrendelet szerinti együttműködési megállapodás előzetes módosítása, amennyiben a módosítás érinti a rendszer biztonságát.
(7) Az elektronikus közszolgáltatást nyújtó szervezet – a biztonsági követelmények teljesítésének ellenőrzéséhez – a központi rendszer működtetőjének megkeresésére a forgalomról, az alkalmazott hardver és szoftver, valamint biztonsági megoldásokról, eljárásrendekről, szervezeti intézkedésekről adatot szolgáltat.
A folyamatok naplózása
15. § (1) A szolgáltatást nyújtó szervezet az általa működtetett rendszerben vagy annak környezetében vagy mindkettőben gondoskodik a rendszer működése szempontjából meghatározó folyamatok valamennyi kritikus eseményének naplózásáról.
(2) A szolgáltatást nyújtó szervezet a naplózandó események körét, a napló adattartalmának megőrzési idejét – a vonatkozó jogi szabályozás alapján, az adott eljárási cselekmény biztonsági jellegére, érzékenységére tekintettel – határozza meg. A megőrzési időn belül a megbízhatóság megítéléséhez szükséges mértékben valamennyi, az eljárási cselekménnyel kapcsolatos eseménynek rekonstruálhatónak kell lennie. Naplózni kell minden személyes adat továbbítását.
(3) A naplóállomány bejegyzéseit védeni kell az arra jogosulatlan személy általi hozzáféréstől, módosítástól, törléstől, illetve biztosítani kell, hogy a napló tartalma a megőrzési időn belül a jogosult számára megismerhető és értelmezhető maradjon.
(4) A naplóállományokat a 16–17. §-ban szabályozott mentési rendnek megfelelően, a maradandó értékű dokumentumokra vonatkozó szabályok szerint kell tárolni, hogy egy esetleges lokális károsodás ne tegye lehetetlenné a bizonyítást.
(5) A naplóállományok megőrzési idejét – a (2) bekezdésben foglaltak figyelembevételével – a vonatkozó iratkezelési szabályzatok részeként kell meghatározni. A működtető a vonatkozó jogszabály, illetve iratkezelési szabályzat rendelkezésétől függően, a megőrzési határidő lejártával gondoskodik a naplóállományok adathordozóinak levéltári őrizetbe adásáról vagy az adatállományok dokumentált, visszaállítást kizáró megsemmisítéséről.
A mentés és archiválás rendje
16. § (1) Az elektronikus közszolgáltatást nyújtó rendszer működtetőjének a rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan mentési renddel és biztonsági mentésekkel kell rendelkeznie, amelyek biztosítják, hogy az érintett szolgáltatás működése a biztonsági követelményeknek megfelelő helyreállítási időn belül helyreállítható, az éppen folyamatban lévő eljárás, eljárási cselekmény a biztonsági követelményeknek megfelelő helyreállítási időn belül helyreállítható, folytatható legyen. A biztonsági mentéseknek biztosítaniuk kell azt is, hogy a már lefolytatott eljárások, eljárási cselekmények az adott eljárásra vonatkozó követelmények szerint rekonstruálhatóak legyenek.
(2) A mentési rend meghatározza a mentések típusát, módját, a visszatöltési és helyreállítási tesztek rendjét, valamint a mentési eljárásokat.
(3) A mentéseket azok tartalmától függően kockázati szempontból elkülönítetten, az üzletmenet-folytonossági tervben előírt esetben tűzbiztos módon kell tárolni.
17. § (1) Az eljárási cselekmény jellegének megfelelően a rendszer működtetője az üzemi rendszertől műszakilag független, területileg elkülönült, megfelelő biztonsági szaktudással és infrastruktúrával rendelkező szervezetnél köteles biztonsági másolatot elhelyezni olyan nyilvántartásairól, amelyeket papír alapon (eredetiben vagy másolatban) nem őriz meg.
(2) Az (1) bekezdés szerint szükséges biztonsági másolatok kezelése során az adatok elhelyezését és tárolását olyan dokumentáltsággal és módon kell végezni, amely a rendszer teljes megsemmisülése esetén is lehetővé teszi a nyilvántartás azonos funkcionalitású, és lehetőség szerinti legteljesebb adattartalmú újbóli rövid idő alatt történő kialakítását.
(3) A biztonsági őrzés során gondoskodni kell arról, hogy az adatokat az arra jogosult személyen kívül más ne ismerhesse meg, valamint biztosítani kell az adatok jogosulatlan személy általi megsemmisítése, megváltoztatása vagy hozzáférhetetlenné tétele elleni védelmét mind a szervezeten belülről, mind a szervezeten kívülről jövő informatikai és más támadások esetén.
A felhasználók problémáinak kezelése
18. § (1) Az elektronikus közszolgáltatást nyújtó szervezetnek a felhasználók számára – önállóan vagy a központi rendszerrel megállapodás alapján együttműködve – folyamatosan (7-szer 24 órában) rendelkezésre álló, legalább telefonon és interneten elérhető hibakezelési, támogatási hátteret kell biztosítania. Amennyiben a rendszernek belső felhasználói (ügyintézői) vannak, számukra a tényleges használat időszakában kell szakmai és informatikai támogatást biztosítani.
(2) Munkaidőn kívül – megállapodás alapján – a felhasználói hibakezelési, támogatási hátteret az ügyfélvonal biztosíthatja.
(3) A felhasználói támogatásnak mind a szolgáltató által rendelkezésre bocsátott alkalmazás, mind a központi rendszer ehhez felhasznált elemeivel kapcsolatos műszaki, igazgatási, adatkezelési, adatbiztonsági vonatkozásokra is ki kell terjednie.
(4) A felhasználói támogatásnak valós idejű információt kell nyújtania a rendszer állapotáról, terheléséről, válaszidejéről.
(5) A felhasználói, ügyfélszolgálati támogatás elsődleges csatornája a központi ügyfélszolgálat (a továbbiakban: ügyfélvonal). Ennek megfelelően az elektronikus közszolgáltatást nyújtónak a szolgáltatás indítását megelőzően meg kell állapodnia az ügyfélvonal üzemeltetőjével az információszolgáltatás, illetve az információkérés rendjéről.
(6) Az ügyfélvonalon túli támogatás elérhetőségét a szervezet honlapján, az ügyfélszolgálati irodákban és a kormányzati portálon is hozzáférhetővé kell tenni.
Az üzemeltetés kiszervezésével kapcsolatos speciális követelmények
19. § (1) Ha az elektronikus közszolgáltatást biztosító rendszer üzemeltetését harmadik személy végzi, ideértve a rendszer által ellátandó egyes feladatok kiszervezését is, e harmadik személlyel kötött szerződésben biztosítani kell az e rendeletben foglalt ellenőrzési jogosultságok gyakorlását, illetve a működtetőre és üzemeltetőre vonatkozó kötelezettségek teljesítését is.
(2) A szerződésnek biztosítania kell, hogy minden, a rendszer működtetőjével szemben jogszabályban megfogalmazott követelmény az üzemeltető harmadik személy útján is azonos módon teljesüljön.
(3) A rendszer működtetője bármikor igényelheti az adatkezelésébe tartozó, a rendszerben tárolt adatok akár egy meghatározott egyedre vonatkozó, akár részbeni, akár teljes körű átadását a szerződésben meghatározott formátumban. Az igényt legkésőbb 10 munkanapon belül kell teljesíteni, és az adatátadás nem köthető külön díj fizetéséhez a közvetlen költségek megtérítésén túlmenően.
(4) Ha a működtető az üzemeltetés kiszervezése során valamely feladatot olyan harmadik személy által nyújtott szolgáltatás igénybevételével lát el, amelyet a harmadik személy más adatkezelő vagy adatfeldolgozó szervezet számára is nyújt, a szerződésben ki kell kötni, hogy megfelelő műszaki és személyi feltételekkel kell biztosítani a különböző adatállományok elkülönítését, illetve azt, hogy a különböző szervezetek által kezelt adatok jogosulatlan összekapcsolására ne kerülhessen sor.
(5) A kiszervezésre irányuló szerződésben rendelkezni kell az üzemeltetés kiszervezésének megszűnésekor követendő visszavételi eljárásról. A kiszervezés megszüntetése után a korábbi üzemeltetőnek az üzemeltetés során átvett és a rendszereiben tárolt adatokat – megfelelő dokumentálás mellett – haladéktalanul véglegesen, visszaállításra alkalmatlan módon meg kell semmisítenie.
BIZTONSÁGI KÖVETELMÉNYEK
Védelem a biztonsági kockázatokat jelentő adatoktól
20. § (1) A központi rendszerhez csatlakozott szervezetnek biztosítania kell az informatikai rendszere elégséges, az adatok, illetve a rendszer besorolása alapján meghatározott kockázattal arányos védelmét a számítógépes vírusokkal és más rosszindulatú programokkal – amelyek a rendszer működését vagy az adattartalom integritását veszélyeztetik (a továbbiakban: vírus) – szemben, valamint gondoskodnia kell arról, hogy a rendszer által küldött üzenetek ne tartalmazzanak ilyen programokat.
(2) Amennyiben az elektronikus közszolgáltatást nyújtó vagy a központi rendszerhez csatlakozott szervezet tudomására jut, hogy a saját rendszerében rosszindulatú program fordulhat elő, vagy vírus előfordulásának gyanúja merül fel, haladéktalanul tájékoztatja a központi rendszer üzemeltetőjét, és együttesen – szükség esetén az informatikai biztonsági felügyelő bevonásával – a 7. §-ban foglalt eljárásrendben döntenek a szükséges lépésekről. A hibaelhárítással párhuzamosan, a nagyobb kár elhárításának elősegítése érdekében tájékoztatni kell a központi rendszer helpdesk szolgáltatását is.
(3) Az elektronikus közszolgáltatást nyújtó szervezet által biztosított közszolgáltatások igénybevételéhez szükséges vagy azt elősegítő programot csak megfelelő vírusellenőrzés és a kód változatlanságát ellenőrző eljárás beépítése mellett szabad a felhasználóknak átadni.
(4) A központi rendszer kialakításakor megfelelő védelmet kell biztosítani az olyan, dokumentumokkal, adatcsomagokkal szemben, amelyek azért jelentenek biztonsági kockázatot, mert tömeges küldésük-fogadásuk révén az informatikai rendszer üzemelését vagy egyes felhasználók hozzáférését akadályozhatják (kéretlen tömeges üzenetek elleni védelem).
Az adattovábbítás bizalmasságának támogatása
21. § (1) Közvetlen adatbázis kapcsolatra épülő, személyes adatokat is tartalmazó adatszolgáltatást vagy adattovábbítást az elektronikus közszolgáltatást nyújtó – a jogszabályi, adatvédelmi feltételek teljesülése esetén is – csak úgy valósíthat meg, ha megfelelő biztonságos csatornát (titkosítási, védelmi eljárást) használva megakadályozza az elektronikus dokumentum illetéktelenek általi megismerését.
(2) Az elektronikus közszolgáltatást nyújtó biztosítja, hogy a naplózott, az írásbeliség követelményeinek megfelelő, párbeszédes, elektronikus üzenetekre épülő elektronikus ügyintézés során a részére küldött üzenetet megfelelő rejtjelezési eljárással továbbítsák nyilvános adathálózaton.
(3) Amennyiben a felhasználó a szolgáltatást nyújtóval párbeszédre épülő kapcsolatot folytat, és a központi rendszer által biztosított, a szolgáltatók számára hozzáférhető kulcstárban letétbe helyezi nyilvános titkosító kulcsát, a szolgáltatást nyújtó – igény esetén – köteles az igénybe vevőnek szóló üzenetet titkosítva megküldeni.
(4) Az elektronikus közszolgáltatást nyújtó és az azt igénybe vevő egyaránt felelős a saját titkosító magánkulcsa biztonságos és más számára hozzáférhetetlen megőrzéséért. A kulcs bizalmasságának sérülése esetén saját költségére és felelősségére kell azt kicserélnie. Az elektronikus közszolgáltatást nyújtó köteles a titkosító kulcsa bizalmasságának sérüléséből származó, a felhasználónak okozott, bizonyított kárt megtéríteni.
(5) Az elektronikus közszolgáltatást nyújtó olyan biztonságos kulcstároló, letéti rendszert köteles saját magán titkosító kulcsa kezeléséhez kialakítani vagy igénybe venni, amely az eredetileg kijelölt kulcskezelő kiesése vagy a kulcs használt példányának sérülése esetén is biztosítja a biztonságos üzemmenetet.
(6) A központi rendszer működtetője a felhasználók és szolgáltatást nyújtók számára biztosít olyan kulcsgeneráló szolgáltatást, amellyel a biztonsági előírásoknak megfelelő kulcskezelés esetén a központi rendszeren belüli használatra elégséges biztonságú kulcspárok generálhatók.
(7) Az e §-ban meghatározott követelmények nem érintik a minősített adatok védelmével kapcsolatos, a minősített adatok kezelésére vonatkozó jogszabályban meghatározott kötelezettségeket és eljárásrendet.
A szolgáltatást nyújtó rendszer hozzáférési és fizikai biztonsága
22. § (1) A szolgáltatásra, illetve az annak alapját képező adatbázisra vonatkozóan a szükséges adatbiztonsági követelményeket a szolgáltatást nyújtó határozza meg.
(2) Ha az adatbázisban személyes adatok is kezelésre kerülnek, akkor a hozzáférést a 15. §-ban meghatározottak szerint naplózni kell, és a kezelt adatokhoz csak az arra felhatalmazott által biztosított hozzáférési jogosultsággal rendelkező, megfelelően azonosított használók (személyek és folyamatok), kizárólag a hozzáférési jogosultság keretei között férhetnek hozzá.
(3) Az elektronikus közszolgáltatást működtetőnek biztosítania kell, hogy az egyes hozzáférésre jogosultak minden esetben – más személy helyettesítésekor is – saját hozzáférési jogosultságuk keretei között és saját nevükben azonosítottként járhassanak el, és ne férhessenek hozzá más személy azonosításához vagy elektronikus aláírásához használt adatához vagy eszközéhez.
(4) A (2) bekezdésben rögzített naplózási kötelezettség alól kivételt az a felhasználó, igénybe vevő jelent, aki névtelenül, kizárólag nyilvános információhoz fér hozzá.
(5) A központi rendszer a rendszer egyes felhasználói számára megőrzött elektronikus ügyintézéssel kapcsolatos dokumentumaikhoz a hozzáférést – a törvényben biztosított kivétellel – csak az azonosítás után biztosíthatja.
(6) Jogszabályban meghatározott esetekben a hozzáférhetővé tett vagy nyilvánosságra hozott dokumentumok esetében a központi rendszer garantálja azok változatlan tartalommal történő közzé-, illetve hozzáférhetővé tételét.
23. § (1) A jogosulatlan hozzáféréstől fizikailag is védeni kell az informatikai rendszernek az informatikai biztonsági célokat szolgáló elemeit és a 15–17. §-ok szerinti naplókat, mentéseket, illetve az ezeket magukban foglaló helyiségeket.
(2) Az (1) bekezdésben említett helyiségekbe csak az erre feljogosított személyek léphetnek be. A belépésre jogosultak személyét (azonosítását), belépésének, kilépésének időpontját, a végzett tevékenységeket naplóban kell rögzíteni. A védett területen való munkavégzés nyilvántartásának rendjét az informatikai biztonsági szabályzat (illetve annak valamely részszabályzata) tartalmazza.
24. § Az elektronikus közszolgáltatást ellátó informatikai rendszernek más informatikai rendszerrel, hálózattal történő összekapcsolása esetén – az összekapcsolás jogi feltételeinek teljesítésén túlmenően – az elektronikus közszolgáltatást működtető szervezet köteles megkövetelni a kapcsolódó rendszernél is a 11. és 13. § szerinti biztonsági minimum követelmények teljesítését, és ennek erre feljogosítottak általi rendszeres értékeléssel és auditálással történő igazolását.
Az üzemeltetés biztonsága
25. § (1) Az elektronikus közszolgáltatást nyújtó alrendszer megbízható üzemeltetéséhez az elektronikus közszolgáltatást nyújtónak rendelkeznie kell
a) a rendkívüli üzemeltetési helyzetekre kidolgozott eljárásrenddel, amely lehetővé teszi a megbízható üzemmenetnek a rendszer nem működéséből származó veszteségek és a rendszer üzemképességének visszaállításához szükséges ráfordítások optimalizálásával megállapított időn belüli helyreállítását;
b) a rendkívüli helyzetekben folyamatos üzemelést biztosító tartalékberendezésekkel (hálózati, energiaellátási és egyéb tartalék, párhuzamos elemek) vagy e berendezések hiányában az ezeket helyettesítő más megoldásokkal.
(2) Az üzemeltetés során fellépő, a rendszer rendelkezésre állását csökkentő kiesések, megszakítások és más üzemzavarok esetén az elektronikus közszolgáltatást nyújtó biztosítja az elektronikus közszolgáltatás működéséről szóló kormányrendeletben rögzített tájékoztatást, és haladéktalanul intézkedik a hiányosság kiküszöbölésére.
26. § (1) Az elektronikus közszolgáltatás nyújtását biztosító szoftver és hardver rendszerelemek csak egyértelmű azonosítást és tesztelést követően vehetők használatba.
(2) Az elektronikus közszolgáltatás nyújtásához alkalmazási (éles) környezetben használt alapvető rendszerelemeket elkülönítetten kell kezelni és működtetni
a) az elektronikus közszolgáltatással össze nem függő tevékenységekhez használt eszközöktől, és
b) a fejlesztési és tesztelési környezetben használt rendszerelemektől.
(3) Az elektronikus közszolgáltatás nyújtásához használt informatikai eszközök más célra történő felhasználását megelőzően ellenőrizni kell, hogy a rendszerelemek nem tartalmaznak-e olyan adatokat, amelyek az elektronikus közszolgáltatás nyújtásával, az annak részeként kezelt adatokkal összefüggenek, és szükség esetében gondoskodni kell azok törléséről. Biztosítani kell, hogy a törölt adatoknak a más célra felhasznált rendszereken, rendszerelemeken történő visszaállítására ne legyen lehetőség.
(4) A (3) bekezdés szerinti ellenőrzést, illetve az ellenőrzés eredménye alapján végrehajtott intézkedéseket naplózni kell.
27. § Az elektronikus közszolgáltatást nyújtónak gondoskodnia kell a rendszerben felhasznált elektronikus adathordozók szabályozott és biztonságos kezeléséről, megőrzéséről, selejtezéséről és megsemmisítéséről.
SZABÁLYOZÁSI ÉS ELLENŐRZÉSI KÖVETELMÉNYEK
Informatikai biztonsági irányítás és kockázatfelmérés
28. § (1) Az elektronikus közszolgáltatást nyújtó szervezet az informatikai rendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik a rendszer kockázatokkal arányos védelméről a tervezés, a beszerzés, az előállítás, az üzemeltetés és a felülvizsgálat területén.
(2) Az informatikai biztonsági kockázatok feltárását, értékelését, elemzését és a szükséges védelmi intézkedések meghatározását a változáskezelési eljárásba illesztve, folyamatosan kell végezni.
(3) Az elektronikus közszolgáltatást nyújtó az e rendeletben megfogalmazott informatikai biztonsági követelmények kockázatokkal arányos teljesítésének elősegítése, valamint a követelmények teljesülése ellenőrzésének elősegítése céljából informatikai biztonsági irányítási rendszer kialakításáról gondoskodik, amelynek részeként informatikai biztonsági tervet dolgoz ki a következő tartalommal:
a) az informatikai szolgáltatást nyújtó rendszer rendszerszintű biztonsági problémáinak meghatározása;
b) biztonsági célok;
c) a fejlesztésre vonatkozó funkcionális és garanciális biztonsági követelmények;
d) az üzemeltetésre vonatkozó rendelkezésre állási, adatbiztonsági alkalmassági követelmények.
(4) Az elektronikus közszolgáltatást nyújtó szerv kidolgozza és működteti az általa üzemeltetett informatikai rendszer biztonságos működtetését felügyelő informatikai ellenőrző rendszert.
(5) Az informatikai biztonsági irányításnak az e-közszolgáltatás területén alkalmazandó alapkövetelményeinek teljesítéséhez alkalmazható megoldásokat a központi rendszer működtetője a www.ekkk.gov.hu honlapon közzéteszi. A Közigazgatási Informatikai Bizottság a biztonságirányításra vonatkozó ajánlásában szereplő követelmények teljesülése esetén a biztonságirányítására vonatkozó követelmények teljesítését vélelmezni kell.
Biztonsági osztályozás
29. § (1) Az elektronikus közszolgáltatást nyújtó szervezet az általa nyújtott szolgáltatás, illetve adatkezelés egyes elemeit biztonsági osztályokba sorolja annak alapján, hogy az érintett eljárási cselekmény a 28. § szerinti kockázatfelmérés szerint a szolgáltatás nyújtója és igénybe vevője részére milyen informatikai biztonsági kockázatokkal jár.
(2) Az eljárási cselekmény biztonsági osztályba sorolását nemzetközileg elfogadott osztályozási metodika szerint kell végezni. A fenti követelménynek megfelelő megoldásokat a működtető a www.ekk.gov.hu honlapon közzéteszi.
(3) A szolgáltatást nyújtó szervezet a biztonsági osztályba sorolást és annak az adott informatikai rendszerben a (2) bekezdésben meghatározott egyes követelményekkel összefüggő megvalósítását az informatikai biztonsági tervében megjeleníti.
(4) A biztonsági osztályba sorolásnak összhangban kell lennie – amennyiben ilyen létezik – a jogszabályokban meghatározott eljárási követelményekkel, nem okozhat a felhasználó számára a jogszabályban meghatározott kötelezettségekhez képest terhesebb eljárásrendet.
(5) Az elektronikus közszolgáltatást nyújtó kérésére az informatikai biztonsági felügyelő véleményezi az eljárási cselekmények biztonsági osztályba sorolását, valamint a biztonsági osztályba sorolás szerint az egyes informatikai biztonsági követelményeknek az adott informatikai célrendszerben történő megvalósítását, szükség esetén javaslatot tesz pontosításukra, kiegészítésükre.
Biztonságos elektronikus szolgáltatások tanúsítása és regisztrálása
30. § (1) Biztonságosnak a független, a (2) bekezdésben foglalt feltételeknek megfelelő, informatikai rendszerek, elektronikus szolgáltatások értékelésére feljogosított szervezet által auditált elektronikus szolgáltatás tekinthető. Elektronikus közszolgáltatásként kizárólag biztonságos elektronikus szolgáltatás működtethető.
(2) Az informatikai rendszer értékelésére, illetőleg az elektronikus szolgáltatás auditálására az a szervezet jogosult, amely rendelkezik
a) a Nemzeti Akkreditációs Testület (a továbbiakban: NAT), vagy valamely EGT-állam, illetve azzal e területen megállapodás alapján azonos jogállású állam akkreditációs szervezete által kiadott, az adott területen értékelés, illetve auditálás lefolytatására jogosító tanúsítvánnyal, vagy
b) más országban kiadott, a NAT vagy bármely EGT-állam akkreditációs szervezete által kiadottal azonos érvényű tanúsítvánnyal, vagy
c) az informatikai biztonság területén megfelelőségértékelő szervezetek kijelölésére feljogosított bizottság informatikai rendszer értékelésére, illetőleg az elektronikus szolgáltatás auditálására alkalmassá minősítő döntésével.
(3)12 Az auditált, biztonságos elektronikus szolgáltatást az NMHH a szolgáltatás nyújtójának a tanúsításról szóló igazolást tartalmazó írásbeli kérelmére a szolgáltatás rövid leírásával és azonosító jelével az írásbeli kérelem benyújtásától számított 5 napon belül regisztrálja. A nyilvántartás tartalmazza a működtető és az üzemeltető megnevezését és elérhetőségét.
(4)13 A biztonságos szolgáltatások listájának a www.ekk.gov.hu honlapon történő megjelentetéséről az NMHH-tól kapott információk alapján az informatikai biztonsági felügyelő gondoskodik, és ő engedélyezi a regisztráció alapján a szolgáltatás elindítását.
(5)14 A biztonságos elektronikus szolgáltatás nyilvántartásba vételét követően a működtető köteles a regisztrált adatokban (szolgáltatás leírása; működtető, üzemeltető megnevezése és elérhetősége) bekövetkező változásokról az NMHH-t értesíteni, aki az információt közzététel céljából eljuttatja az informatikai biztonsági felügyelőnek.
(6)15 A biztonságos elektronikus szolgáltatásra vonatkozó audit tényét az NMHH által végzett regisztrációt követően a szolgáltatás honlapján elhelyezett, erre utaló logó jelzi.
(7)16 Ha az Ekszt. 30. § (4) bekezdése szerint a regisztráció visszavonásra kerül, az NMHH a regisztrációt törli.
31. § (1) Az auditálást abban az esetben kell megújítani, ha a technikai eszközökben, a technológiában, az informatikai vagy biztonsági környezetben, illetve az alkalmazásban jelentős változás áll be.
(2) A megújítás szükségességéről dönthet a szolgáltató, javaslatot tehet az értékelés megújítása keretében az értékelő, és annak szükségességét az (1) bekezdésben rögzített változások valamelyike esetén előírhatja az informatikai biztonsági felügyelő is.
(3) Az auditálás és értékelés a jogszabályokban meghatározott informatikai biztonsági dokumentumok meglétére, azok tartalmi megfelelőségére, az abban foglaltak alkalmazhatóságára és gyakorlati megvalósítására terjed ki.
(4) Az informatikai biztonsági dokumentumok tartalmi követelményeit a központi rendszer működtetője a www.ekk.gov.hu honlapon közzéteszi.
32. § Az elektronikus közszolgáltatás auditálása, értékelése, annak kritikus infrastruktúra jellegére tekintettel az alapvető biztonsági, nemzetbiztonsági szempontok figyelembevételével végezhető (végeztethető) az alábbiak szerint:
a) a közbeszerzésről szóló törvény (a továbbiakban: Kbt.) alkalmazására kötelezett szervezetek az elektronikus közszolgáltatás auditálását, illetőleg értékelését végző szervezet kiválasztását az ország alapvető biztonsági érdekével összefüggő beszerzésekről szóló jogszabály rendelkezései szerint folytathatják,
b) a Kbt. hatálya alá nem tartozó, de e rendelet alapján auditálásra illetőleg értékelésre kötelezett szervezet az auditálást, illetőleg értékelést kizárólag olyan szervezettel végeztetheti, amely igazolja, hogy szerepel a nemzetbiztonsági szolgálatok által vezetett, az előzetes nemzetbiztonsági vizsgálaton átesett cégeket tartalmazó jegyzéken.
KÜLÖNÖS RENDELKEZÉSEK
Alkalmazásszolgáltató központokra vonatkozó speciális követelmények
33. § (1) Az elektronikus közszolgáltatást nyújtó alkalmazásszolgáltató központtól (a továbbiakban: ASP) igénybe vett elektronikus közszolgáltatás esetén a rendelet rendelkezéseit az e cím szerinti kiegészítésekkel kell alkalmazni.
(2) Az ASP-nek biztosítani kell:
a) az alkalmazásokon belül az egyes megrendelők adatainak biztonságos és egyértelmű elkülönítését;
b) az ASP és a megbízó szervezet közötti adatkapcsolatoknak biztonságos adatátviteli csatornán, külső személy által nem értelmezhető, kódolt módon történő megvalósítását;
c) kötelező, folyamatos géptermi jelenlétet, amely kizárja az illetéktelen behatolást;
d) az objektumbiztonság – elektronikus védelem, belépés-ellenőrzés a legmagasabb biztonsági osztályhoz tartozó követelményeinek betartását;
e) katasztrófa-gépterem kialakítását.
(3) Az ASP köteles a fejlesztést és üzemeltetést végző szervezeti egységektől független, az ASP-t szolgáltató szervezet vezetőjének közvetlenül alárendelt informatikai biztonsági felelőst alkalmazni.
(4) Az ASP köteles hibatűrő rendszerekhez legalább két független körös, egyenként is elégséges hűtőrendszert kialakítani, és biztosítani a kábelezés strukturált megvalósítását.
(5) Az ASP az általánosan kötelező szabályzatokon túlmenően köteles kialakítani az alábbiakat:
a) géptermi biztonsági szabályzat;
b) elektronikus levelezéssel összefüggő szabályzat;
c) vírus- és egyéb kártevők elleni védelemmel kapcsolatos szabályzat;
d) rendszer- és adathozzáférési szabályzat;
e) titkosítási szabályzat;
f) szoftverfejlesztési szabályzat;
g) mentési szabályzat.
34. §17
A központi elektronikus szolgáltató rendszer biztonsági alapdokumentumai
35. § (1) A központi rendszer üzembiztonsága és a kezelt adatok biztonsága érdekében a központi elektronikus szolgáltató rendszer egységes informatikai biztonsági követelményrendszerét az 1. melléklet, a központi elektronikus szolgáltató rendszer informatikai katasztrófaelhárítási tervének alapkövetelményeit a 2. melléklet, az elektronikus kormányzati gerinchálózat biztonsági szabályzatát a 3. melléklet határozza meg.
(2) A központi rendszer és a csatlakozó alrendszerek biztonsági követelményrendszerét a következő dokumentumhierarchiában kell érvényesíteni:
a) biztonsági irányelv, mely meghatározza az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat;
b) biztonsági szabályzat, mely leírja a biztonsági intézkedéseket, azok dokumentálásának és ellenőrzésének feladatait, a végrehajtás felelősét és a végrehajtás gyakoriságát vagy idejét;
c) végrehajtási eljárásrendek, melyek részletesen leírják a szabályzatban meghatározott feladatok végrehajtásának, ellenőrzésének módját, folyamatát.
(3) A (2) bekezdés szerinti dokumentumokat minden egyes a központi rendszert üzemeltető szervezet, valamint a központi rendszeren keresztül elektronikus közszolgáltatást nyújtó szervezet elkészíti és gondoskodik azok karbantartásáról.
36. § (1) A biztonsági követelményrendszertől, illetve az informatikai katasztrófaelhárítási terv alapkövetelményeitől akkor lehet eltérni, ha a követelmény az adott szolgáltatásra, környezetre nem értelmezhető vagy nem alkalmazható. Ebben az esetben az eltérést indokolni, és a dokumentumokban rögzíteni kell.
(2) A biztonsági követelményrendszerben, illetve az informatikai katasztrófaelhárítási terv alapkövetelményeiben meghatározott követelményeknél kockázatarányosan akkor lehet magasabb követelményszintet megállapítani, ha a kezelt adatok érzékenysége, vagy a felhasználók bizalmának megerősítése ezt szükségessé teszi. A többletkövetelmények alkalmazása esetén az újabb követelményeket a megadott struktúrába kell illeszteni.
(3) A (2) bekezdés szerinti többletelőírások a központi rendszer szolgáltatásait igénybe vevő felhasználó számára csak akkor jelenthetnek többletfeladatot, többletkövetelményt, ha annak teljesítését – a saját biztonsága érdekében – önkéntesen vállalja.
37. § (1) A központi rendszer működési és adatbiztonságának fenntartása a központi rendszer működtetőjének feladata.
(2) A központi rendszer üzemeltetője – a működtető és az informatikai biztonsági felügyelő jóváhagyásával – a központi rendszer egészére vonatkozóan
a) kialakítja az informatikai biztonságirányítási rendszert;
b) rendszeresen, de legalább évente, valamint minden jelentősebb módosítást követően felülvizsgálja a meglévő informatikai biztonsági irányelveket és szabályzatokat, eljárásrendeket, szükség esetén javaslatot tesz azok módosítására.
(3) A központi rendszer működtetője
a) véleményezi a központi rendszert és szolgáltatásait érintő üzemeltetői és szolgáltatói biztonsági irányelveket, szabályzatokat, eljárásrendeket;
b) kidolgozza a biztonsági szabályok alkalmazására és ellenőrzésére szolgáló eljárásrendeket, illetve gondoskodik azok rendszeres aktualizálásáról;
c) ellenőrzi az üzemeltető, valamint a szolgáltató szervezetek biztonsági megfelelőségét, a velük kötött szerződésekben és megállapodásokban érvényesíti a központi rendszerrel kapcsolatos biztonsági elvárásokat;
d) jogosult bekérni az üzemeltetőtől, valamint a közszolgáltatást nyújtó szervezetektől a jelen rendeletben meghatározott biztonsági követelmények teljesítésének értékeléséhez szükséges adatokat és dokumentumokat;
e) szakmai segítséget nyújt a biztonsági dokumentumok elkészítésében.
(4) A központi rendszer működtetője – együttműködve a központi rendszer adatkezelőjével és az üzemeltetővel – biztosítja a központi rendszer egészét átfogó tájékoztatási (ügyfélszolgálati) rendszert, az ügyfélvonalat, amely kiterjed a rendszer üzemállapotára, a benne kezelt adatokra, illetve a felhasználók informatikai és ügyintézési támogatására. Az ügyfélvonal interneten és telefonon egyaránt folyamatosan elérhető.
38. § (1) Az üzemeltető biztosítja a központi rendszer általa üzemeltetett alrendszereinek biztonságos üzemeltetését, és tevékenységével nem veszélyeztetheti a központi rendszer más elemeinek biztonságát.
(2) Az üzemeltető – a működtetővel egyetértésben – meghatározza azon munkaköröket, ahol a rendszer működésének biztonsága, a kezelt adatok védelme érdekében a fontos és bizalmas munkakörökre vonatkozó követelmények érvényesítendők. A működtető felelős a biztonsági ellenőrzések lebonyolíttatásáért, az üzemeltető pedig azért, hogy minden érintett munkakörben megkövetelje a személyi alkalmasságot.
(3) Az üzemeltető a központi rendszer általa üzemeltetett minden egyes alrendszere vonatkozásában a következő biztonsági dokumentumokat készíti el:
a) a biztonsági irányelv;
b) az egyes szolgáltatásokra vonatkozó biztonsági szabályzat;
c) a biztonsági szabályzatok végrehajtásához szükséges eljárásrend.
(4) Az üzemeltető szervezet a (3) bekezdésben meghatározott dokumentumok tervezetét véleményezésre megküldi a központi rendszert működtető szervezetnek, majd a véglegesített tervezetet – jóváhagyásra – az informatikai biztonsági felügyelőnek küldi meg.
(5) A biztonsági szabályzatok rendelkezéseinek érvényesítésére az üzemeltető eljárásrendeket dolgoz ki.
(6) Az üzemeltető
a) félévente tájékoztatást nyújt az informatikai biztonsági eljárásrendek működéséről az informatikai biztonsági felügyelőnek;
b) e rendelet 7. § (1) bekezdés a) pontja szerinti biztonsági esemény esetén
ba) haladéktalanul felfüggeszti a veszélyt okozó alkalmazást vagy más megoldás hiányában a központi rendszer működését, és jelentést tesz az informatikai biztonsági felügyelőnek,
bb) az informatikai biztonsági felügyelővel együttműködve értesíti a működtetőt és a korlátozás által érintett szervezeteket,
bc) igény esetén a működtetővel együttműködve beszámol az Országgyűlés illetékes bizottságának;
c) a működtető kérésére adatokat szolgáltat a biztonsági követelmények teljesítésének ellenőrzéséhez.
(7) Üzemeltetéssel kapcsolatos szervezeti és műszaki változások, illetve biztonsági esemény esetén a (3) bekezdés szerinti dokumentumokat soron kívül kell felülvizsgálni.
39. § Az elektronikus közszolgáltatást nyújtó szervezet köteles gondoskodni arról, hogy az általa nyújtott szolgáltatás, illetve annak igénybevétele ne veszélyeztesse a központi rendszer biztonságát.
40. § A központi rendszer szolgáltatásai biztonságos igénybevételének követelményeit a 4. melléklet határozza meg. A szolgáltatások biztonsági követelményeinek a felhasználó általi megszegése következtében bekövetkező károkozás esetén az üzemeltető és a szolgáltató szervezet – ha ezt igazolja – mentesül a felelősség alól.
ZÁRÓ ÉS HATÁLYBA LÉPTETŐ RENDELKEZÉSEK
41. § (1) A rendelet – a (2) bekezdésben meghatározott kivétellel – a kihirdetését követő 8. napon lép hatályba.
(2) A 8–10. §-ok 2010. január 1-jén lépnek hatályba.
42. § (1)18
(2)19
(3)20
43. §21
1. melléklet a 223/2009. (X. 14.) Korm. rendelethez
biztonsági követelményrendszere
1.1. A dokumentumok azonosítása |
|
Cél: |
A dokumentum rendelkezzen az egyértelmű azonosításhoz szükséges adattartalommal. |
Feladat: |
Legalább a következő azonosító adatokkal kell ellátni a dokumentumokat: |
Eredmény: |
Egyértelműen azonosítható, hogy mely dokumentum milyen állapotában lévő példányáról van szó, ki a felelős a tartalomért és a kiadásáért, mi a minősítése, kire (mire) érvényes, mi az időbeli hatálya. |
Felelős: |
A szabályzat kiadásáért felelős személy |
2.1. Általános tartalmi elemek |
|
Cél: |
A szabályzat környezetének és kapcsolatainak, a készítés körülményeinek |
Feladat: |
A szabályzat általános része legalább a következő adattartalommal kell |
Eredmény: |
A szabályzatra vonatkozó átfogó ismeretek leírása, amelynek alapján azonosíthatóak annak céljai, a készítés körülményei, az előzmények, kapcsolatok és hivatkozások és az, hogy kire, illetve mire vonatkozik. |
Felelős: |
A szabályzat kiadásáért felelős személy |
3.1. Informatikai biztonsági szerepkörök (státuszok) meghatározása |
|
Cél: |
A biztonsági feladatok ellátására és ellenőrzésére azonosítható szerepkörök álljanak rendelkezésre. |
Feladat: |
A szervezet vezetésének világos iránymutatással, elkötelezettsége kinyilvánításával, az informatikai biztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell az informatikai biztonságot a szervezeten belül. |
Eredmény: |
Független, jól irányított szervezet, központilag koordinált, folyamatos szakmai tevékenység, világos szerepkörök és feladatok. |
Felelős: |
A szervezet vezetője |
3.2. Külső szolgáltatók igénybevétele |
|
Cél: |
Az informatikai feladatok kiszervezése esetén fenntartani az informatikai biztonság szintjét. |
Feladat: |
Külső szolgáltatók igénybevételével az informatikai biztonsággal kapcsolatos felelősség nem hárítható át, az a feladatért felelős szervezet első számú vezetőjét terheli. |
Eredmény: |
Informatikai biztonsági követelmények a szolgáltatási megállapodásokban. |
Felelős: |
A szervezet vezetője |
4.1. Felelősség az informatikai vagyontárgyakért |
|
Cél: |
Meg kell határozni, hogy a szervezetben ki és milyen módon viseli a felelősséget az informatikai vagyontárgyakért (materiális és immateriális vagyonelemekre egyaránt). |
Feladat: |
Az informatikai vagyontárgyakat nyilvántartásba kell venni a következő csoportosításban: |
Eredmény: |
Vagyontárgyak és felelős(ök) listája. |
Felelős: |
Üzemeltetési vezető |
4.2.1. Osztályozási elvek kialakítása |
|
Cél: |
Az adatok (az informatikailag feldolgozott, meta- és üzemeltetési adatok) osztályozásának célja, hogy azok adatvédelmi és biztonsági súlyának megfelelően kerüljön kialakításra az arányos védelem. |
Feladat: |
Az adatokat értékük, a jogi előírások, a szervezet szempontjából képviselt érzékenységük és kritikusságuk szempontjából kell osztályozni. |
Eredmény: |
Az adatok biztonsági besorolása és azok védelmi követelményeinek leírása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
4.2.2. Adatok jelölése és kezelése |
|
Cél: |
A felhasználók az adatokat (elektronikus és papír hordozójú) biztonsági besorolásának megfelelően kezeljék. |
Feladat: |
Összhangban a szervezet által elfogadott biztonsági osztályozási rendszerrel, megfelelő eljárásokat kell kidolgozni és bevezetni az adatok (információhordozók) jelölésére és kezelésére. |
Eredmény: |
Az adatok osztályba sorolásának jelölése és a kezelésre vonatkozó eljárások. |
Felelős: |
Adatgazda |
5.1. Ellenőrzött munkatársak alkalmazása |
|
Cél: |
Az informatikai munkaköröket csak megfelelően ellenőrzött munkatársak töltsék be. |
Kiinduló adat: |
Biztonsági szempontból kritikus munkakörök listája. |
Feladat: |
Az informatikai munkatársak munkába állását meg kell előzzék a kezelt adatok érzékenységével arányos mélységű, a fontos és bizalmas munkakörökre vonatkozó szabályok szerinti ellenőrzések. |
Eredmény: |
Munkatársak alkalmazása során gyakorolt biztonsági eljárások. |
Felelős: |
Humánpolitikai vezető és az informatikai biztonsági felügyelő/felelős |
5.2. Feladatok és felelősségi körök meghatározása |
|
Cél: |
A biztonsági intézkedések végrehajtásával kapcsolatos feladatok, felelősségi és hatáskörök legyenek megfelelően rögzítettek. |
Feladat: |
Munkaköri leírásokban, szabályzatokban kell rögzíteni az egyes munkakörökhöz tartozó feladatokat és felelősségi kört, a szükséges informatikai jogosultságokat. Minden munkakörhöz csak a munkához feltétlen szükséges jogosultságokat kell megadni. |
Eredmény: |
Aktuális munkaköri leírások. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
5.3. Személyi biztonság az alkalmazás megszűnése, illetve megváltozása esetén |
|
Cél: |
A munkatársak jogállásának megváltozása esetén fenn kell tartani a biztonsági szintet. |
Feladat: |
A munkatársak kilépése, tartós távolléte, a munkakör változása esetére eljárást kell kidolgozni a szükséges biztonsági intézkedésekről (jogosultság visszavonása, felfüggesztése, változtatása). |
Eredmény: |
Eljárás az alkalmazás megszűnése, illetve munkakör megváltozása esetére. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
6.1.1. Fizikai biztonsági zónák kialakítása |
|
Cél: |
A védett erőforrások fizikai védelmének kockázatarányos megvalósítása. |
Feladat: |
Biztonsági zónákat és a hozzájuk tartozó adminisztratív és műszaki védelmi intézkedéseket kell meghatározni. |
Eredmény: |
Helyiségek biztonsági besorolása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
6.1.2. Belépés- és mozgásellenőrzés |
|
Cél: |
Az erőforrásokhoz való fizikai hozzáférési eljárás ellenőrzése. |
Feladat: |
A különböző biztonsági zónák közötti mozgást ellenőrizni kell. A biztonsági zónához meghatározott követelményeknek megfelelő adminisztratív és műszaki eljárásokat kell alkalmazni. |
Eredmény: |
Belépés- és mozgásellenőrző rendszer. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
6.2.1. Berendezések elhelyezése és védelme |
|
Cél: |
Biztosítani kell a berendezések működőképességét és védelmét az illetéktelen hozzáféréstől. |
Feladat: |
A berendezések elhelyezésére szolgáló helyiségek kiválasztásánál és kialakításánál figyelembe kell venni a berendezés biztonsági besorolása szerinti követelményeket. Meg kell határozni a környezeti hatások, szándékos támadás és véletlen károkozás kockázatát és ennek megfelelő fizikai, elektronikai és élőerős védelmet kell biztosítani. |
Eredmény: |
Berendezések biztonsági besorolása szerinti védelemi követelmények. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
6.2.2. Közműszolgáltatások biztosítása |
|
Cél: |
A berendezések védelme a közműszolgáltatások kiesésével, valamint működési rendellenességeivel szemben. |
Feladat: |
A közműszolgáltatások (pl. áram) kiesése esetére a szolgáltatási szint megállapodásokkal és a katasztrófaelhárítási eljárásokkal összhangban kell kiválasztani a szükséges műszaki megoldásokat (pl. áramellátás: szünetmentes áramforrás, többirányú betáplálás, áramtermelő generátor). |
Eredmény: |
Intézkedési terv a közműszolgáltatások kiesése esetére. |
Felelős: |
Üzemeltetési vezető |
6.2.3. Kábelezés biztonsága |
|
Cél: |
Az informatikai erőforrások által használt kábelek védelme sérülésektől és lehallgatástól. |
Feladat: |
A kábelek elhelyezésekor, a használt anyagok kiválasztásakor figyelembe kell venni a kiszolgált informatikai erőforrások biztonsági besorolását. |
Eredmény: |
A biztonsági elvárásoknak megfelelően kialakított és megvalósított kábelezési terv és karbantartási eljárások. |
Felelős: |
Üzemeltetési vezető |
6.2.4. Berendezések karbantartása |
|
Cél: |
A berendezések megbízhatóságának biztosítása, a váratlan hibák elhárítására fordítandó erőforrások minimalizálása. |
Feladat: |
A berendezések karbantartására karbantartási tervet kell készíteni, amely biztosítja a berendezések előírt (idő vagy igénybevételi) intervallumonként történő szakszerű karbantartását. |
Eredmény: |
Berendezések karbantartási terve. |
Felelős: |
Üzemeltetési vezető |
6.2.5. Berendezések biztonságos selejtezése és újrafelhasználása |
|
Cél: |
Az adathordozókon tárolt információk ne kerülhessenek illetéktelen kezekbe. |
Feladat: |
Olyan selejtezési és megsemmisítési eljárásokat kell kidolgozni, amelyek biztosítják, hogy a selejtezett eszközökön tárolt információk visszaállítása ne legyen lehetséges. |
Eredmény: |
Informatikai berendezések selejtezési eljárásai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.1.1. Dokumentált üzemeltetési eljárások |
|
Cél: |
Az üzemeltetési tevékenységek végrehajtásának és az ellenőrzés alapjának biztosítása. |
Feladat: |
Az üzemeltetési feladatok határidőre történő, szabályozott végrehajtása érdekében üzemeltetési szabályzatot és üzemeltetési eljárásokat kell készíteni. |
Eredmény: |
Üzemeltetési szabályzat. |
Felelős: |
Üzemeltetési vezető |
7.1.2. Változáskezelési eljárások |
|
Cél: |
Az informatikai rendszer konfigurációján csak előzetesen engedélyezett változások történhessenek. |
Feladat: |
Ki kell dolgozni a változások kezelésének szabványos folyamatát az igényfelvetéstől az átadás-átvételig. |
Eredmény: |
Változáskezelési eljárás. |
Felelős: |
Üzemeltetési vezető |
7.1.3. Feladatkörök, kötelezettségek elhatárolása |
|
Cél: |
Kerüljenek szétválasztásra a biztonsági szempontból összeférhetetlen feladatkörök. |
Feladat: |
Meg kell határozni a biztonsági szempontból összeférhetetlen feladatokat, amelyek véletlen vagy szándékos károkozást tesznek lehetővé és ezek szétválasztását érvényesíteni kell a szervezeti felépítésben valamint a munkakörök kialakításakor. |
Eredmény: |
Összeférhetetlen feladatkörök azonosítva és szétválasztva. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.1.4. Fejlesztési, teszt és üzemeltetési berendezések különválasztása |
|
Cél: |
Az üzemeltetési környezethez való jogosulatlan hozzáférés, illetve jogosulatlan módosítás kockázatának csökkentése. |
Feladat: |
A fejlesztési, tesztkörnyezeteket és üzemi környezetet logikailag és lehetőség szerint fizikailag is szét kell választani egymástól. |
Eredmény: |
Elkülönített fejlesztési, teszt- és üzemeltetési környezetek. |
Felelős: |
Informatikai vezető |
7.2.1. Szolgáltatásnyújtás |
|
Cél: |
A külső szolgáltatótól igénybe vett szolgáltatások esetén is biztosítani kell a biztonsági követelmények teljesülését. |
Feladat: |
Meg kell határozni azokat a szerződéses elemeket és tevékenységeket, amelyeket érvényesíteni kell a harmadik felekkel kötött szolgáltatási szerződésekben. Ki kell dolgozni ezen követelmények teljesülésének ellenőrzési eljárásait. |
Eredmény: |
Biztonsági követelmények a szolgáltatási megállapodásokban. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.2.2. Harmadik felek szolgáltatásainak figyelemmel kísérése és átvizsgálása |
|
Cél: |
Ellenőrizni kell, hogy a külső féltől igénybe vett szolgáltatások esetén teljesül-e az elvárt szolgáltatási szint. |
Feladat: |
Ki kell dolgozni a szolgáltatási szintek leírásának, érvényesítésének, a teljesítés dokumentálásának, ellenőrzésének és a nem megfelelő teljesítés szankcionálásának eljárásait. |
Eredmény: |
Szolgáltatási szint menedzselését biztosító eljárások. |
Felelős: |
Üzemeltetési vezető és informatikai biztonsági felügyelő/felelős |
7.2.3. Harmadik felek szolgáltatásaival kapcsolatos változások kezelése |
|
Cél: |
Biztosítani kell, hogy a változásokat csak a megfelelő jogosultságokkal lehessen kezdeményezni és a végrehajtás ellenőrzött és dokumentált körülmények között történjen az igény felvetésétől az átadás-átvételig. |
Feladat: |
Ki kell dolgozni a változáskezelési eljárásokat a külső fél által nyújtott szolgáltatásokra. |
Eredmény: |
Változáskezelési eljárások külső szolgáltatásokra. |
Felelős: |
Üzemeltetési vezető és informatikai biztonsági felügyelő/felelős |
7.3.1. Kapacitásmenedzsment |
|
Cél: |
A mindenkori erőforrás-igények hatékony kielégítése és a szűk keresztmetszetek kialakulásának elkerülése. |
Feladat: |
Ki kell dolgozni az erőforrás-kihasználtság figyelésének, elemzésének és a jövőbeli trendek előrejelzésének folyamatait és ennek eredményét figyelembe kell venni az erőforrás-beszerzések tervezésekor. |
Eredmény: |
Kapacitás-menedzsment tervek. |
Felelős: |
Üzemeltetési vezető és informatikai biztonsági felügyelő/felelős |
7.3.2. Rendszerek elfogadása, átvétele |
|
Cél: |
Biztosítani kell, hogy az átvett rendszerek tegyenek eleget az elvárt minőségi, mennyiségi, biztonsági és funkcionális követelményeknek. |
Feladat: |
A rendszerek átvételéhez olyan eljárásokat kell kidolgozni, amelyek biztosítják az elvárásoknak való megfelelés ellenőrzését. Az ellenőrzés módszerei a tesztelés (funkcionális/terheléses stb.), a forráskód-audit, szakértői ellenőrzés stb. |
Eredmény: |
Átadás-átvételi eljárási rend. |
Felelős: |
Üzemeltetési vezető |
7.4.1. Rosszindulatú kód elleni védelem |
|
Cél: |
Meg kell akadályozni, hogy a szervezet működésében zavart, adatvesztést vagy adatkiszivárgást okozzon bármilyen rosszindulatú kód (vírus, trójai stb.). |
Feladat: |
Olyan adminisztratív és technikai intézkedéseket kell alkalmazni, amelyek megakadályozzák a rosszindulatú kódokat tartalmazó programok bejutását, alkalmazását. |
Eredmény: |
Rosszindulatú kód elleni védelem. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.4.2. Mobil kód elleni intézkedések |
|
Cél: |
Meg kell akadályozni, hogy a szervezet működésében zavart, adatvesztést vagy adatkiszivárgást okozzon bármilyen rosszindulatú mobil kód. |
Feladat: |
Le kell tiltani minden olyan kód futtatását, amelyek nem szükségesek a felhasználók munkájához. |
Eredmény: |
Biztonságos böngésző beállítások. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.5.1. Információk biztonsági mentése |
|
Cél: |
Az elviselhetetlen mértékű adatvesztés megakadályozása és az elvárt időn belüli visszaállítás biztosítása. |
Feladat: |
Olyan mentési rendet kell kialakítani, ami biztosítja az adatok visszaállíthatóságát a szervezet által meghatározott követelmények szerint (elvárt visszaállítás idő, maximálisan elviselhető adatvesztés stb.). |
Eredmény: |
Mentési és visszaállítási eljárások. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.6.1. Hálózatok védelme |
|
Cél: |
A hálózatokon továbbított adatok biztonságának és a hálózat rendelkezésre állásának védelme. |
Feladat: |
A hálózatok biztonsági érdekében a következő intézkedések megvalósítása javasolt: a hálózat szegmentációja, tűzfalas védelem (csomag-/alkalmazásszintű), vírusvédelmi eszközök, tartalomszűrés, titkosított adatvédelmi csatornák kialakítása. |
Eredmény: |
Hálózatbiztonsági intézkedések dokumentációja. |
Felelős: |
Hálózatbiztonsági szabályzat. |
7.6.2. Hálózati szolgáltatások biztonsága |
|
Cél: |
Az elvárt minőségi, mennyiségi, funkcionális és biztonsági paraméterek megbízható nyújtásának biztosítása a hálózati szolgáltatók részéről. |
Feladat: |
Dokumentálni kell a hálózati szolgáltatásokkal szemben támasztott biztonsági követelményeket és azok ellenőrzésének, valamint a nem megfelelő teljesítés szankcionálásának eljárásait. |
Eredmény: |
Hálózati szolgáltatások biztonsági követelményei. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.7.1. Adathordozók kezelése |
|
Cél: |
Biztosítani kell, hogy az adathordozók, illetve a rajtuk tárolt adatok a telephelyről kikerülve se sérülhessenek, módosulhassanak vagy kerülhessenek illetéktelen kezekbe. |
Feladat: |
Ki kell dolgozni valamennyi adathordozó kezelésének eljárásait, kiemelt figyelmet fordíva a telephelyen kívüli védelemre. A szabályzatnak ki kell terjednie a teljes élettartamra, a nyilvántartásra, a selejtezésre, a frissítésrekre, több példány készítésére. Kiemelt figyelmet kell fordítani az USB eszközökre, a memóriakártyákra. |
Eredmény: |
Adathordozók kezelési szabályzata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.7.2. Adathordozók selejtezése |
|
Cél: |
Biztosítani kell, hogy a selejtezett adathordozókon tárolt információk se kerülhessenek illetéktelen kezekbe. |
Feladat: |
Meg kell határozni azon adathordozók körét, amelyek a rajtuk tárolt adatok miatt selejtezés után sem kerülhetnek ellenőrizetlen körülmények közé. |
Eredmény: |
Adathordozók biztonsági besorolása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.7.3. Informatikai rendszerekben tárolt adatok kezelési eljárásai |
|
Cél: |
Az adatok biztonsági besorolása szerinti védelem biztosítása. |
Feladat: |
Minden biztonsági osztályra ki kell dolgozni az adatok tárolási és kezelési eljárásait, amelyek biztosítják a biztonsági osztály által előírt védelmi szintet. |
Eredmény: |
Adatkezelési eljárások minden biztonsági osztályra. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.7.4. Rendszerdokumentáció védelme |
|
Cél: |
A rendszerdokumentáció rendelkezésre állásának és adatbiztonságának védelme. |
Feladat: |
Ki kell dolgozni a rendszerek dokumentációinak tárolási és hozzáférési szabályait, ami biztosítja azok rendelkezésre állását és a jogosultsághoz kötött, ellenőrzött hozzáférést. |
Eredmény: |
Rendszerdokumentációk tárolási szabályzata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.8.1. Adatcserére, adattovábbításra vonatkozó szabályzatok és eljárások |
|
Cél: |
Biztosítani kell az adatcserének, a továbbított adatoknak a biztonsági osztályuknak megfelelő védelmét. |
Feladat: |
Ki kell dolgozni a külső szervezetekkel történő adatcsere, a részükre történő adattovábbítás technikai és adminisztratív eljárásait. Az alkalmazott védelmet az átadott információ biztonsági besorolásának megfelelően kell kialakítani. Az eljárásoknak ki kell térnie az adatkéréstől az adat megérkezésének visszaigazolásáig minden lépésre és egyértelműen definiálnia kell a folyamatban résztvevők felelősségét. |
Eredmény: |
Kommunikációra vonatkozó biztonsági szabályok. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.8.2. Megállapodások az adatcseréről, adattovábbításról |
|
Cél: |
Más adatkezelésre feljogosított szervezetekkel történő adatcsere biztonságának fenntartása. |
Feladat: |
Az adatcsere, adattovábbítás biztonságáról a szervezetek között olyan megállapodást kell kötni, amely mindkét fél által támasztott követelményeknek megfelel. |
Eredmény: |
Adatcsere, adattovábbítás biztonsági eljárásai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.8.3. Fizikai adathordozók szállítása |
|
Cél: |
Az adathordozók sérülésének, módosulásának és elvesztésének megakadályozása a szállítás során. |
Feladat: |
Ki kell dolgozni az adathordozók szállítására vonatkozó szabályzatot. A szállításhoz használt eszközt, járművet és adminisztratív védelmet a szállított adat érzékenysége és kritikus volta alapján kell meghatározni. |
Eredmény: |
Adathordozók szállításának eljárásrendje. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.8.4. Elektronikus üzenetek küldése/fogadása |
|
Cél: |
Az elektronikus üzenetek védelme jogosulatlan hozzáférés és módosítás ellen. |
Feladat: |
Biztosítani kell az elektronikus üzenetekben továbbított információk biztonságát és rendelkezésre állását. Ehhez meg kell határozni azokat az eljárásokat, amelyeket az elektronikus üzenetek továbbítása során alkalmaznak. |
Eredmény: |
Elektronikus üzenetváltás szabályai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.8.5. Működést támogató információs rendszerek |
|
Cél: |
A szervezet által használt információs rendszerek biztonságának védelme. |
Feladat: |
Szabályozni kell a rendszerek használatát azok túlterhelésének, üzemzavarának elkerülése, illetve a tárolt információk sérülésének megakadályozása érdekében. Meg kell határozni, hogy az érintett rendszerek ki által, milyen célra és módon alkalmazhatók (pl. internethasználat, |
Eredmény: |
Felhasználói utasítás a kritikus rendszerekre. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.9.1. On-line üzenetváltások (tranzakciók) |
|
Cél: |
Biztosítani kell az on-line tranzakciók bizalmasságát, sértetlenségét és meg kell akadályozni az adatvesztést. |
Feladat: |
Ki kell dolgozni az on-line tranzakciók védelmére vonatkozó követelményeket és a követelmények teljesítése érdekében végrehajtott technikai és adminisztratív intézkedéseket. |
Eredmény: |
On-line tranzakciók biztonsági követelményei. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.9.2. Nyilvánosan hozzáférhető információk |
|
Cél: |
Biztosítani kell a nyilvánosan hozzáférhető információk sértetlenségét. |
Feladat: |
Ki kell dolgozni a nyilvánosan hozzáférhető információk (pl. honlapok, nyilvános adatbázisok) sértetlensége érdekében szükséges adminisztratív és technikai intézkedéseket. Ki kell térni az információ változtatásának eljárásrendjére, új információ közzététele előtt követendő eljárásra és egyes információk törlésének eljárásaira is. |
Eredmény: |
Változáskezelési eljárások a nyilvánosan hozzáférhető információkra. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.10.1. Audit naplózás |
|
Cél: |
A felhasználói tevékenység (jogosult és illetéktelen) figyelemmel kísérése, a támadási kísérletek mielőbbi felfedése érdekében biztosítani kell a naplófájlok biztonságát. |
Feladat: |
Meg kell határozni, hogy milyen adatok hozzáférése/módosítása esetén van szükség és milyen mélységű naplózásra. Ki kell dolgozni a naplófájlok kezelésére (rögzítés, elemzés) vonatkozó adminisztratív eljárásokat és technikai megoldásokat. |
Eredmény: |
Naplófájlok létrehozásának, kezelésének és felhasználásának szabályai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.10.2. Rendszerhasználat figyelése |
|
Cél: |
A rendszerek jogosulatlan használatának megakadályozása és a hibás működés időben történő észlelése. |
Feladat: |
Ki kell dolgozni a rendszerhasználat figyelésének (adatgyűjtés–elemzés–intézkedés) eljárásait, amelyek biztosítják, hogy a rendellenességek időben feltárásra kerüljenek és kezelhetők legyenek. |
Eredmény: |
Monitoringeljárások. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.10.3. Naplóinformációk védelme |
|
Cél: |
A rendszer működésére vonatkozó információk rendelkezésre állása. |
Feladat: |
Ki kell dolgozni a rendszernaplók rögzítésének, tárolásának és elemzésének eljárásait, amelyek biztosítják azok sértetlenségét, megváltoztathatatlanságát és a jogosultsághoz kötött hozzáférést. |
Eredmény: |
Naplóinformációk kezelési eljárásai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.10.4. Adminisztrátori és kezelői naplók |
|
Cél: |
Az ellenőrzés, visszakereshetőség és számon kérhetőség biztosítása a rendszerekben végzett tevékenységekkel kapcsolatban. |
Feladat: |
Ki kell dolgozni az adminisztrátori és operátori naplók rögzítésének és tárolásának eljárásait, amelyek biztosítják azok sértetlenségét, megváltoztathatatlanságát és a jogosultsághoz kötött hozzáférést. |
Eredmény: |
Rendszerekben végzett tevékenységek naplózásának eljárásai. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
7.10.5. Hibák naplózása |
|
Cél: |
A hibák nyilvántartása a tanulságok levonása és a hibák jövőbeli elkerülése érdekében. |
Feladat: |
Ki kell dolgozni a hibákra vonatkozó információk rögzítésének, tárolásának és elemzésének eljárásait. |
Eredmény: |
Hibanaplók kezelési rendje. |
Felelős: |
Informatikai vezető és informatikai biztonsági felügyelő/felelős |
7.10.6. Időadatok szinkronizálása |
|
Cél: |
Biztosítani kell, hogy a különböző rendszerekben rögzített adatok (tranzakciók, naplóbejegyzések, üzenetek) időadatai a lehető legteljesebb összhangban legyenek. |
Feladat: |
Meg kell határozni az órajelek és időadatok szinkronizálásra vonatkozó eljárásait. Az órajelek szinkronizálását a szervezeten belül ugyanazon forráshoz kell igazítani. Összetett, sok elemében időadatokat felhasználó rendszer esetén vizsgálni kell a helyi időszerver üzembe állításának lehetőségét, illetve külső – központi – referenciaforráshoz történő szinkronizálást. |
Eredmény: |
Egységes időadatok, időbélyegzések a rendszerekben és naplófájlokban. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.1.1. Hozzáférés-ellenőrzési szabályzat |
|
Cél: |
A dokumentumokhoz, információkhoz, adatokhoz történő hozzáférés ellenőrzése. |
Feladat: |
Hozzáférési-ellenőrzési szabályzat kialakítása, bevezetése, betartatása; a szabályzat periodikus felülvizsgálata és módosítása elengedhetetlen. Minden felhasználó csak azokhoz az erőforrásokhoz/információkhoz férhessen hozzá, amelyek a munkájához mindenképp szükségesek. |
Eredmény: |
Dokumentált információ-hozzáférési szabályozás révén csökken az információk kiszivárgásának és az illetéktelen hozzáférések kockázata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.2.1. Felhasználók regisztrálása |
|
Cél: |
Az erőforrásokhoz és információkhoz való hozzáférési jogok megadásának és megvonásának szabályozása. |
Feladat: |
Ki kell dolgozni, be kell vezetni és szigorúan be kell tartatni a felhasználóknak való jogosultságok kiadásának és visszavételének rendszerét; lehetőleg az egyes felhasználók igénybevételi, csatlakozási szerződéséhez – ahol ilyen van – kötve. A felhasználók hozzáférési jogait rendszeresen át kell tekinteni, hogy minden felhasználó csakis azokhoz az információkhoz férhessen hozzá, amelyek munkájához aktuálisan szükségesek. |
Eredmény: |
A pontosan szabályozott hozzáférési jogok révén csökken az információk kiszivárgásának, illetéktelen hozzáférésének kockázata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.2.2. Speciális jogosultságok kezelése |
|
Cél: |
A speciális jogosultságok megszerzésének és alkalmazásának korlátozása. |
Feladat: |
Az általános összeférhetetlenségi szabályoktól való speciális eltérés kockázati tényező, ezért az ilyen jogosultságok kiadását mindenképp kerülni kell. Amennyiben valamilyen elkerülhetetlen ok miatt mégis létre kell hozni ilyent, akkor azt csak dokumentáltan, s csak a feltétlenül szükséges időtartamra szabad adni. |
Eredmény: |
Csökken annak a kockázata, hogy a speciális jogosultságok nem megfelelő menedzselése miatt a rendszer működésében hibák keletkeznek; vagy illetéktelen helyre kerülnek védendő adatok. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.2.3. Felhasználói jelszavak kezelése, gondozása |
|
Cél: |
A jelszavak kezelésének biztonságos megvalósítása. |
Feladat: |
A jelszavak, azonosítási eszközök felhasználói kezelését szabályozni kell; figyelve arra, hogy a felhasználók titokban tartsák és megfelelő időközönként változtassák jelszavaikat; valamint biztosítani kell, hogy a jelszavak kiosztásakor, illetve használatakor csakis a tulajdonos szerezzen tudomást a jelszóról. |
Eredmény: |
Felhasználói jelszókezelés szabályozása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.3.1. Jelszóhasználat |
|
Cél: |
Megfelelő erősségű jelszavak, azonosítási módszerek használata. |
Feladat: |
A felhasználók számára olyan használati rendet kell kialakítani, amely biztosítja megfelelő erősségű jelszavak, illetve azonosító eszközök használatát és ezek megfelelő gyakoriságú cseréjét, pótlását. |
Eredmény: |
Felhasználói jelszókezelés szabályozása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.3.2. Őrizetlenül hagyott felhasználói berendezések kezelése |
|
Cél: |
Az őrizetlenül hagyott berendezéseken való jogosulatlan hozzáférések megelőzése. |
Feladat: |
A külső felhasználókat a kapcsolati alrendszerek megfelelő kialakításával, a belső felhasználókat (alkalmazottakat) szabályzatokkal kell kötelezni arra, ha őrizetlenül hagyják a berendezéseiket, akkor (akár logikailag, akár fizikailag) zárják le azokat. |
Eredmény: |
Felhasználói informatikai biztonsági követelmények. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.4.1. Hálózati szolgáltatások használatára vonatkozó szabályzat |
|
Cél: |
A hálózatra telepített szolgáltatások védelme. |
Feladat: |
A hálózati szolgáltatások használatáról szabályzatot kell készíteni, s azt be kell tartatni. |
Eredmény: |
A hálózati szolgáltatások használatára vonatkozó szabályzat. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.4.2. Felhasználó azonosítása, jogosultságkezelése külső hozzáférés esetén |
|
Cél: |
A távoli felhasználók megbízható azonosítása. |
Feladat: |
A külső összeköttetéseket csak a feltétlenül munkaidőn kívül is elérni szükséges rendszerekhez szabad engedélyezni, s kriptográfiai védelmi módszereket kell alkalmazni. |
Eredmény: |
A hálózati szolgáltatások használatára vonatkozó szabályzat. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.4.3. Távdiagnosztikai és konfigurációs portok védelme |
|
Cél: |
A távdiagnosztikai és a konfigurációs portok védelmének biztosítása. |
Feladat: |
A távdiagnosztikai és a konfigurációs portokhoz való fizikai és logikai hozzáférést ellenőrizni, szabályozni kell. A hozzáféréshez a rendszerben alkalmazott legszigorúbb azonosítási eljárásokat és naplózási rendet kell használni. |
Eredmény: |
A távdiagnosztikai és a konfigurációs portok használatának szabályzata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.5.1. Biztonságos bejelentkezési eljárások |
|
Cél: |
Szabályzat az operációs rendszerek hozzáférési eljárásainak beállítására és használatára. |
Feladat: |
Az operációs rendszerekbe való bejelentkezési eljárásokat – a jogosulatlan hozzáférés, a szándékos károkozás elkerülése érdekében – szabályozni kell. Fontos a különböző szerepköröknek megfelelő hozzáférési jogosultság meghatározása és az ehhez tartozó jogok beállításának szabályozása (igénylés, engedélyezés, beállítás, visszavonás). |
Eredmény: |
A biztonsági szempontoknak megfelelő hozzáférés az operációs rendszer funkciókhoz. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.5.2. Felhasználó azonosítása és jogosultságkezelése |
|
Cél: |
Az operációs rendszer szintű felhasználók azonosítása és jogosultságkezelése. |
Feladat: |
A felhasználók egyedi azonosítására, jogosultságainak kiosztására megbízható módszert kell választani, annak használatát szabályzatban kell rögzíteni, használatát szigorúan meg kell követelni. A szabályzatnak ki kell terjednie az azonosítás és jogosultságkezelés teljes életciklusára (igénylés, engedélyezés, beállítás, visszavonás). |
Eredmény: |
Egyértelműen szabályozott felhasználói hozzáférési és hitelesítési rendszer. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.5.3. Rendszer-segédprogramok használata |
|
Cél: |
Átlátható, ellenőrzött, dokumentált, a biztonságot nem veszélyeztető rendszer-segédprogram használat megvalósítása. |
Feladat: |
A rendszer-segédprogramok használata különös lehetőségeket teremt nehezen ellenőrizhető manipulációkra, ezért ezek használatát különös figyelemmel kell szabályozni és a szabályzatban foglaltakat ellenőrizni. A fejlesztő eszközökhöz, az adatbázis közvetlen hozzáféréseket lehetővé tevő segédprogramokhoz való hozzáférés csak indokolt esetben engedélyezhető és a tevékenység végén az engedélyt vissza kell vonni és lehetőleg ki kell zárni az ellenőrizhetetlen származású programok használatát. |
Eredmény: |
A rendszer-segédprogramok ellenőrzött, biztonságos használata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.5.4. Az összeköttetés/kapcsolat idejének korlátozása |
|
Cél: |
Annak megakadályozása, hogy a szükséges időn túl aktív maradjon az összeköttetés/kapcsolat. |
Feladat: |
Szabályozni kell, hogy mekkora az inaktív vagy teljes időtartam, amely után az adatkapcsolatot meg kell szüntetni. Ezt az időintervallumot figyelembe kell venni a rendszerek paraméterezésénél, illetve alkalmazások fejlesztésénél. Az időtartam betartandó attól függetlenül, hogy humán beavatkozásról vagy alkalmazás automatikus aktivitásról van szó. |
Eredmény: |
Bizonyos inaktív vagy teljes időtartam után az összeköttetés megszakításra (ismételt felépítésre) kerül. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.6.1. Adathozzáférés korlátozása |
|
Cél: |
A konkrét alkalmazás egyes funkciói elérésének, használatának korlátozása. |
Feladat: |
Alkalmazás funkciónként, illetve egyes adatkörökre (adatminősítés, biztonsági szint stb. szerint) vonatkozó hozzáférés szabályozása, a jogosulatlanok kizárása. Fontos az egyes manipulációk, jogosulatlan kísérletek naplózása, a napló állomány rendszeres értékelése. |
Eredmény: |
Finoman hangolható, jól naplózott hozzáférési rendszer. |
Felelős: |
Adatgazda és informatikai biztonsági felügyelő/felelős |
8.6.2. Érzékeny adatokat kezelő rendszerek elkülönítése |
|
Cél: |
Az érzékeny adatokat kezelő rendszereknek erre a célra létrehozott, elkülönített számítógépes környezettel kell rendelkezniük. |
Feladat: |
Az egyes rendszereket kategóriákba kell sorolni az általuk kezelt adatok érzékenységének megfelelően. Az érzékenynek minősített adatokat kezelő alkalmazás elkülönítésével hozható létre a szükséges biztonsági szint. A rendszerek besorolását rendszeresen felül kell vizsgálni és aktualizálni kell. |
Eredmény: |
Kategóriáknak megfelelő biztonságú elkülönített informatikai környezet. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.7.1. Mobil számítógép használata és a vele történő kommunikáció |
|
Cél: |
Mobil számítógép biztonságos használatának szabályozása. |
Feladat: |
A mobil számítógépek (notebook, palm, pda) biztonságos használatának szabályozása. |
Eredmény: |
Biztonságos távoli és helyi mobil számítógép használat. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
8.7.2. Távmunka |
|
Cél: |
A biztonságos távmunka, távoli elérés megvalósítása. |
Feladat: |
Szabályozni kell, hogy a biztonságos távoli hozzáférés, illetve munkavégzés érdekében milyen tevékenységek és technikai feltételek szükségesek. Távoli hozzáférés |
Eredmény: |
A biztonsági elvárásokat kielégítő távoli munkavégzés. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.1.1. Biztonsági követelmények elemzése és meghatározása |
|
Cél: |
Annak biztosítása, hogy a biztonság az informatikai rendszereknek szerves részét képezze. |
Feladat: |
A fejlesztés vagy beszerzés kezdete előtt, az információs rendszerekre vonatkozó biztonsági kockázatokat elemezni kell, ez alapján meg kell határozni a vonatkozó biztonsági intézkedéseket. Előnyben kell részesíteni azokat az informatikai rendszereket, melyek az adott, technológiai jellegű biztonsági intézkedések teljesítéséről értékeléssel rendelkeznek. |
Eredmény: |
Az információs rendszerekre vonatkozó biztonsági rendszerterv. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.2.1. Bemenő adatok érvényesítése |
|
Cél: |
Az informatikai rendszerek helyes működéséhez szükséges bemenő adatok megfelelőségének biztosítása. |
Feladat: |
Az informatikai rendszerek bemenő adatainak ellenőrzése mind tartalmi, mind formai szempontból. |
Eredmény: |
Adatbeviteli ellenőrzési eljárások. |
Felelős: |
Adatgazda |
9.2.2. Belső feldolgozás ellenőrzése |
|
Cél: |
A belső feldolgozás során mind a szándékos, mind a véletlen károkozás kockázatának minimálisra csökkentése. |
Feladat: |
Az alkalmazásokba érvényességi ellenőrzéseket kell beépíteni, hogy észlelni lehessen az információk feldolgozási hibákból vagy akár a szándékos cselekedetekből adódó bármilyen sérülését. |
Eredmény: |
A feldolgozás során bekövetkező hiba esélyének jelentős csökkentése. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.2.3. Üzenetek hitelessége és sértetlensége |
|
Cél: |
Az alkalmazások közötti kommunikáció során a hitelesség és a sértetlenség biztosítása. |
Feladat: |
Meg kell határozni, hogy az alkalmazások közötti kommunikáció során milyen eszközökkel (például aszimmetrikus kulcsú aláírás, szimmetrikus vagy aszimmetrikus titkosítás, időbélyegek alkalmazásával) lehet biztosítani a sértetlenséget és a hitelességet; illetve hogy ezen óvintézkedés mely üzenettípusok esetén szükséges. Az így meghatározott üzenettípusokra a hitelességet és sértetlenséget biztosító eszközök alkalmazását szabályozni kell. |
Eredmény: |
A kommunikáció hitelességének és a sértetlenségének biztosítása révén a megbízhatóság jelentős növelése. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.2.4. Kimenő adatok ellenőrzése |
|
Cél: |
A kimenő adatok érvényessége, a tárolt információk későbbi feldolgozása helyes és a körülményeknek megfelelő legyen. |
Feladat: |
Annak biztosítása, hogy mind az automatikus, mind a manuális illesztő felületeken (interface-eken) a megfelelő időben, a megfelelő (szabályozott) struktúrában és adattartalommal jelenjen meg a kimenő információ. |
Eredmény: |
Az alkalmazások kimenetén szabványos, sértetlen, megbízható adatok jelentkeznek; javítva a szolgáltatás megbízhatóságát. |
Felelős: |
Adatgazda |
9.3.1. Titkosítási eljárások használatára vonatkozó szabályzat |
|
Cél: |
A titkosítási eljárások használatának szabályozása. |
Feladat: |
Az adatok védelme érdekében ki kell alakítani és alkalmazni kell a titkosítási eljárások használatára vonatkozó szabályzatot; valamint ezen szabályzat betartását ellenőrizni kell. A védelem szükséges szintjét a kockázatanalízisre, illetve független értékelésre kell alapozni. |
Eredmény: |
Megbízható titkosítási eljárások; a bizalmasság, a sértetlenség és a hitelesség megléte. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.3.2. Kulcsmenedzsment |
|
Cél: |
A hatályos jogi szabályozásnak megfelelő, lehetőleg az Európai Unió gyakorlatának és ajánlásainak is eleget tevő kriptográfiai technikákon alapuló kulcsmenedzsment-rendszer kialakítása. |
Feladat: |
A magyar jogi szabályozásnak eleget tevő, lehetőleg a nemzetközi gyakorlatban is bevált kulcsmenedzsment-rendszerek értékelése; az alkalmazandó kulcsmenedzsment-rendszer kiválasztása, a megfelelő szabályzat kialakítása, bevezetése és betartatása szükséges. |
Eredmény: |
A titkosítási és hitelesítési, illetve visszafejtési eljárások során megbízható kulcsok kerülnek felhasználásra. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.4.1. Üzemelő szoftverek ellenőrzése |
|
Cél: |
Megbízható szoftverek használata. |
Feladat: |
Szabályzatba kell foglalni a szoftverek telepítésének és üzemeltetésének elvárt folyamatát; létre kell hozni a központi, illetve intézményi szoftverkatalógust, s csak az abban szereplő (előzetesen bevizsgált) szoftvereket szabad a számítógépekre telepíteni. Biztosítani kell, hogy a fejlesztők és karbantartók csak azokhoz a rendszerekhez férjenek hozzá, amelyekre munkájukhoz feltétlenül szükségük van. |
Eredmény: |
Megbízható szoftverek használata, az információ kiszivárgási veszélyének csökkentése. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.4.2. Rendszervizsgálat adatainak védelme |
|
Cél: |
A rendszer vizsgálatához szükséges adatok teljes körű védelmének biztosítása. |
Feladat: |
A vizsgált adatok körét gondosan kell megválasztani, azokat a teljes életútjuk során folyamatosan védeni és ellenőrizni kell. A személyes adatokat tartalmazó üzemeltetési, tesztelési adatbázisok használatát el kell kerülni. |
Eredmény: |
A rendszer-felügyeleti adatok sérülési, illetéktelen helyre való kerülési kockázatának jelentős csökkenése. |
Felelős: |
Adatgazda és informatikai biztonsági felügyelő/felelős |
9.4.3. Programok forráskódjához való hozzáférés ellenőrzése |
|
Cél: |
A programok forráskódjához való hozzáférés szabályozása. |
Feladat: |
A használt programok forráskódját biztonságos helyen kell tárolni, a hozzáférést szigorúan korlátozni és naplózni szükséges. Amennyiben a forráskód nem ellenőrizhető, az önmagában egy kockázati tényezőt jelent. |
Eredmény: |
A programforráskódok kikerülésének; ily módon a rendszer potenciális sebezhetőségi pontjai illetéktelen helyre kerülésének kockázata jelentősen csökken, ugyanakkor az esetleges hibajavításhoz haladéktalanul rendelkezésre áll az éppen használt verzióban. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.5.1. Változáskezelés szabályozási eljárásai |
|
Cél: |
A változtatások megvalósításának ellenőrzés alatt tartása. |
Feladat: |
A változtatások végrehajtására változáskezelési eljárásokat kell bevezetni, kidolgozni és betartatni. Biztosítani kell, hogy a fejlesztők és karbantartók csak azokhoz a rendszerekhez férjenek hozzá, amelyekre munkájukhoz feltétlenül szükségük van. |
Eredmény: |
A változtatások felügyelet alatt tarthatók lesznek; így a rendszer részét képező összes szoftver kontrollálható. Ez a káros programok elleni védelem hatékonyságát is növeli. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.5.2. Alkalmazások műszaki átvizsgálása az üzemelő rendszerek megváltoztatását követően |
|
Cél: |
A változtatás ne okozzon működési zavart a szervezetben és biztonságában. |
Feladat: |
A használatban levő rendszerek megváltozásakor meg kell vizsgálni, hogy (főleg a működés szempontjából kritikus) alkalmazások működésére az adott változtatás nincs-e káros hatással. |
Eredmény: |
Csökken a káros hatás kockázata a használat alatt levő rendszerekre. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.5.3. Szoftvercsomagok változásának korlátozása |
|
Cél: |
A szoftvercsomagok módosításának visszaszorítása a feltétlen szükséges esetekre. |
Feladat: |
Valamennyi változtatás szükségességét, indokoltságát ellenőrizni kell; minél alacsonyabb szinten kell tartani a szoftvercsomagok változtatását. Változtatás esetén az eredeti verziót meg kell őrizni, s a fejlesztést egy másolaton kell végezni. Az új verziót alapos tesztelésnek kell alávetni, éles bevezetése csak ez után lehetséges. |
Eredmény: |
A szoftvercsomagok egységessége miatt az esetleges sebezhetőségek javítása kisebb ráfordítást igényel, csökken a sebezhetőség kockázata. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.5.4. Veszélyes (forrás)kódok kiszűrése |
|
Cél: |
Meg kell előzni az információk kiszivárgását. |
Feladat: |
Az információk kiszivárgásának elkerülése érdekében minden rendelkezésre álló forráskódot le kell vizsgálni/vizsgáltatni használat előtt, hogy nincs e benne „hátsó ajtó”. Csak tiszta forrásból szabad programokat beszerezni. Csak szigorú tesztelés után lehet bármely programot a végleges rendszerbe engedni. |
Eredmény: |
Kisebb eséllyel kerülnek információk illetéktelen kezekbe. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.5.5. Kiszervezett szoftverfejlesztés |
|
Cél: |
A használatba vétel előtt a szervezeten kívüli eredetű (készített, fejlesztett, javított) szoftvereket kiemelt figyelemmel kell ellenőrizni. |
Feladat: |
Kiemelt figyelemmel kell kísérni a külső szoftver-fejlesztést; s a kapott programot alaposan felül kell vizsgálni/vizsgáltatni. Csak megbízható forrásból származó szoftvert szabad alkalmazni. |
Eredmény: |
Az alkalmazott szoftverek alapos vizsgálata révén alacsonyabb eséllyel lesz (trójai típusú) támadásnak kitéve a rendszer. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
9.6.1. A műszaki sebezhetőségek ellenőrzése |
|
Cél: |
A műszaki sebezhetőség minimális szinten tartása. |
Feladat: |
Fel kell mérni az alkalmazott rendszerek sebezhető pontjait, s az ezekből fakadó kockázatot meg kell szüntetni (illetve minimalizálni a kockázattal arányosan) megfelelő védelmi intézkedések meghozásával. |
Eredmény: |
A sebezhető pontok megszűnése. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
10.1. Informatikai biztonsági események és sérülékenységek jelentése |
|
Cél: |
A biztonsági sérülékenységek és események ismertek legyenek, azokra megfelelő választ adjon a szervezet. |
Feladat: |
A szervezetnek rendelkeznie kell a biztonsági események osztályozására és jelentésére vonatkozó eljárással. A biztonsági események értékelése és osztályozása az alapja a megfelelő védelmi eljárások kialakításának. |
Eredmény: |
Nem marad feltáratlan, megfelelően lereagálatlan biztonsági esemény. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
10.2. Informatikai biztonsági események kezelése |
|
Cél: |
Az informatikai biztonsági események gyors, hatékony kezelése. |
Feladat: |
A feltárt és dokumentált eseményeket gyűjteni és rendszeresen értékelni kell. |
Eredmény: |
Biztonsági események kezelési eljárása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
10.3. Informatikai biztonsági problémakezelési eljárás kialakítása |
|
Cél: |
Az informatikai biztonsági problémák megelőzése, illetve hatékony védekezés kialakítása. |
Feladat: |
Eljárásokat kell kidolgozni és felelősöket kell megnevezni az informatikai biztonsági problémák megállapítására és kezelésére. |
Eredmény: |
Problémakezelési eljárás kialakítása. |
Felelős: |
Informatikai vezető és informatikai biztonsági felügyelő/felelős |
11.1. Működésfolytonosság biztosítása |
|
Cél: |
Az informatikai működés folytonosságának biztosítása. |
Feladat: |
Működésfolytonossági eljárásokat kell kidolgozni és dokumentálni. |
Eredmény: |
Működésfolytonossági terv (dokumentum). |
Felelős: |
Üzemeltetési vezető és informatikai biztonsági felügyelő/felelős |
11.2. Informatikai katasztrófa-elhárítási terv |
|
Cél: |
A kritikus informatikai erőforrások működésének visszaállítása. |
Feladat: |
Az informatikai működés sérülhet az informatikai erőforrás katasztrófa jellegű kiesése esetén. |
Eredmény: |
Informatikai katasztrófa-elhárítási terv (dokumentum). |
Felelős |
Üzemeltetési vezető és informatikai biztonsági felügyelő/felelős |
12.1. Jogi követelményeknek való megfelelés |
|
Cél: |
Jogszerű informatikai működés és szolgáltatások. |
Feladat: |
Az informatikai működés során fenn kell tartani a jogszabályi megfelelést. |
Eredmény: |
Vonatkozó jogszabályok listája. A jogszabályoknak megfelelő eljárások. |
Felelős: |
Üzemeltetési vezető |
12.2. Biztonsági szabályzatnak és az auditálási követelményeknek való megfelelés, és műszaki megfelelőség |
|
Cél: |
Az informatikai működés megfelelőségének biztosítása érdekében az auditálási követelményeket is figyelembe vevő szabályzatok készítése. |
Feladat: |
Eljárás kidolgozása a biztonsági szabályzatnak, szabványoknak való megfelelés ellenőrzésére. Éves ütemterv alapján és releváns változások alkalmával ellenőrizni kell a biztonsági eljárások tartalmát és működését. |
Eredmény: |
Eljárás és ütemterv a biztonsági ellenőrzésre. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
12.2.1. Auditálási szempontok |
|
Cél: |
Biztosítani kell, hogy a védelmi intézkedések a szabályzatokban leírtak szerint megvalósuljanak. |
Feladat: |
Ki kell dolgozni a védelmi intézkedések felülvizsgálatának rendszerét, kitérve az alkalmazott felülvizsgálati eljárásra, a végrehajtás gyakoriságára és az érintettek felelősségére és feladataira. |
Eredmény: |
A védelmi intézkedések rendszeres, módszeres felülvizsgálata, javító intézkedések. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
12.2.2. Értékelési szempontok |
|
Cél: |
Biztosítani kell, hogy a műszaki megfelelőségi követelmények az elvárásoknak megfelelően megvalósuljanak. |
Feladat: |
Amennyiben a beszerzés során a komplett szolgáltatói rendszer értékelését nem nyújtották be, a megfelelőség-értékelésre külön jogszabály alapján feljogosított értékelő szervezettel értékeltetni kell a hardver eszközök, hálózatok, az ezekből kialakított komplex informatikai rendszerek megfelelőségét. |
Eredmény: |
A műszaki védelmi intézkedések megfelelő szintjének garantálása. |
Felelős: |
Informatikai biztonsági felügyelő/felelős |
2. melléklet a 223/2009. (X. 14.) Korm. rendelethez
alapkövetelményei
Kritérium |
Rendszer |
Rendszer1 |
Rendszer2 |
Rendszer3 |
Rendszer4 |
Rendszer5 |
Rendszer6 |
Rendszer7 |
Rendszer8 |
---|---|---|---|---|---|---|---|---|---|
Katasztrófahelyzet bekövetkeztekor a visszaállítás prioritása |
|
|
|
|
|
|
|
|
|
A rendszer hardver |
|
|
|
|
|
|
|
|
|
Hardver elemek |
|
|
|
|
|
|
|
|
|
Szoftver elemek |
|
|
|
|
|
|
|
|
|
Egyéb |
|
|
|
|
|
|
|
|
|
Tartalék eszközök |
|
|
|
|
|
|
|
|
|
Tartalék eszközök státusza (hideg, meleg stb.) |
|
|
|
|
|
|
|
|
|
A rendszer egyes elemének kiesése milyen mértékben befolyásolja a szolgáltatási szintet |
|
|
|
|
|
|
|
|
|
A rendszer dokumentációi |
|
|
|
|
|
|
|
|
|
Az üzemeltetési kézikönyv tartalmának értékelése |
|
|
|
|
|
|
|
|
|
Van-e kidolgozott mentési- |
|
|
|
|
|
|
|
|
|
A rendszer rendelkezik-e tartalékeszközzel (és annak tárolási helye) |
|
|
|
|
|
|
|
|
|
A rendszer szállítója/szállítói, elérhetőségei, kapcsolattartói |
|
|
|
|
|
|
|
|
|
A rendszer szállítójának rendelkezésre állása |
|
|
|
|
|
|
|
|
|
SLA |
|
|
|
|
|
|
|
|
|
Van-e támogatási szerződés |
|
|
|
|
|
|
|
|
|
Van-e kidolgozott szállítói támogatás eljárásrend |
|
|
|
|
|
|
|
|
|
Milyen rendszerességgel készül mentés a rendszerről |
|
|
|
|
|
|
|
|
|
A mentések tárolási helye |
|
|
|
|
|
|
|
|
|
Kapcsolódó rendszerek (input) |
|
|
|
|
|
|
|
|
|
Kapcsolódó rendszerek (output) |
|
|
|
|
|
|
|
|
|
Üzemeltetők száma |
|
|
|
|
|
|
|
|
|
Üzemeltetők képzettsége |
|
|
|
|
|
|
|
|
|
Sebezhetőségi ablak |
|
|
|
|
|
|
|
|
|
Kapcsolódó adatkommunikációs vonalak |
|
|
|
|
|
|
|
|
Idetartozik például az energiaellátás kiesése. Jellegénél fogva a pusztítás lokalizált, a helyreállítás kevésbé költséges és időigényes, mint az I. Kategóriába sorolt katasztrófák esetében.
A III. kategória veszélyforrásai az Üzemeltetési Szabályzat tárgykörébe esnek. A veszélyforrások képezte fenyegetés bekövetkezése az Üzemeltetési Szabályzatban tárgyalt védelmi intézkedések alkalmazásával előzhetők meg, illetve bekövetkezés esetén ugyancsak ezen védelmi intézkedések alkalmasak a károk mértékének csökkentésére.
3. melléklet a 223/2009. (X. 14.) Korm. rendelethez22
1. |
Informatikai biztonsági szabályzat |
|||
|
1.1. |
A biztonsági szabályzat hatálya |
||
|
1.2. |
Biztonsági szabályzat helye a szabályzatok között |
||
2. |
Biztonsági intézkedések |
|||
|
2.1. |
Szervezet |
|
|
|
|
2.1.1. |
Felelősségi körök |
|
|
|
2.1.2. |
Személyzet |
|
|
|
2.1.3. |
Eljárás rend |
|
|
|
2.1.4. |
Csatlakozás biztonsági feltételei |
|
|
|
2.1.5. |
Beszerzés |
|
|
|
2.1.6. |
Üzemeltetés |
|
|
|
2.1.7. |
Fenntartás |
|
|
|
2.1.8. |
Katasztrófa terv |
|
|
|
2.1.9. |
Biztonsági osztályok |
|
|
2.2. |
Infrastruktúra |
||
|
|
2.2.1. |
Általános intézkedések |
|
|
|
2.2.2. |
Számítógéptermek |
|
|
|
2.2.3. |
A számítógéptermeken kívül található eszközök védelme |
|
|
|
2.2.4. |
Üzemelés biztosítása |
|
|
|
2.2.5. |
Villámcsapás- és túlfeszültség-védelem |
|
|
|
2.2.6. |
Tűzvédelem |
|
|
|
2.2.7. |
Vízvédelem |
|
|
2.3. |
Hardver eszközök |
||
|
|
2.3.1. |
Szerverek |
|
|
|
2.3.2. |
Munkaállomások |
|
|
|
2.3.3. |
Hálózati hardver eszközök |
|
|
|
2.3.4. |
A csatlakozott intézmények által üzemeltetett eszközök |
|
|
|
2.3.5. |
Hardver eszközök nyilvántartása |
|
|
|
2.3.6. |
Tartalék eszközök |
|
|
2.4. |
Szoftverek |
||
|
|
2.4.1. |
Szoftverkarbantartás |
|
|
|
2.4.2. |
Biztonsági mentések |
|
|
|
2.4.3. |
Vírusvédelem |
|
|
2.5. |
Hálózat védelme |
||
|
|
2.5.1. |
Rendelkezésre állás biztosítása |
|
|
|
2.5.2. |
Jogosultsági rendszer |
|
|
|
2.5.3. |
MPLS VPN |
|
|
|
2.5.4. |
IP VPN |
|
|
|
2.5.5. |
Tűzfalakra, védelmi intézkedésekre vonatkozó követelmények |
|
|
|
2.5.6. |
Csatlakozott szervezetekre vonatkozó szabályok |
|
|
|
2.5.7. |
Hálózat felügyelete |
|
|
|
2.5.8. |
Rendhagyó (rendkívüli) események jelentése, kezelése |
|
3. |
Záró rendelkezések |
|||
|
3.1. |
A biztonsági szabályzat bevezetése, oktatása |
||
|
3.2. |
A biztonsági szabályzat hatálybalépése |
||
|
3.3. |
A biztonsági szabályzattól való eltérés rendje |
||
|
3.4. |
A biztonsági szabályzat aktualizálásának, kiegészítésének rendje |
Biztonságért felelős szervezet kialakítása |
||
Feladat: |
– |
A biztonságért felelős szervezet felállítása a következő munkakörök kialakításával (munkaköri leírás készítése): |
|
biztonságért felelős vezető – a hálózat informatikai biztonságáért, és ennek megfelelően magáért a (csatlakozott intézményi, illetve üzemeltetői) biztonsági szabályzat (BSZ) meglétéért, tartalmáért felelős személy |
|
|
biztonsági felügyelők – a BSZ betartásának ellenőrzéséért felelős személyek |
|
|
biztonsági szakértők – a hálózat biztonságát célzó védelmi intézkedésekért, a káresemények elemzéséért, a BSZ naprakészen tartásáért felelős személyek |
|
|
– |
A megfelelő személyek körültekintő kiválasztása. |
Eredmény: |
Biztonságért felelős szervezet. |
|
Felelős: |
Kormányzati célú hírközlési szolgáltató (a szabályzat meglétéért, EKG-ra vonatkozó tartalmáért és a szervezet kialakításáért) |
|
Gyakoriság: |
A biztonsági szabályzat hatálybalépésekor, ezt követően szükség szerint (megfelelő munkatárs távozása stb.). |
|
Feladatok és hatáskörök pontos meghatározása és dokumentálása |
||
Feladat: |
– |
Az EKG-val kapcsolatban pontosan meg kell határozni, hogy mik a feladatok, kinek, milyen felelőssége van, és milyen hatáskörrel bír. Mindezt írásban dokumentálni kell, és gondoskodni kell arról, hogy az EKG-val kapcsolatba kerülő minden szereplő tisztában legyen a rá vonatkozó részekkel. |
Eredmény: |
Feladatok és hatáskörök pontos leírása. |
|
Felelős: |
Kormányzati célú hírközlési szolgáltató |
|
Gyakoriság: |
A biztonsági szabályzat hatálybalépésekor, majd ezt követően legalább évente kell felülvizsgálni, illetve káresemény esetén azonnal. |
Személyzet kiválasztása |
||
Feladat: |
– |
Mivel az EKG nemzetbiztonsági jelentőséggel bír, ezért az azzal kapcsolatba kerülő, annak tervezésében, üzemeltetésében, karbantartásában részt vevő személyeket nagyon körültekintően, az erre vonatkozó jogszabályoknak megfelelően kell kiválasztani. |
|
– |
Külön figyelmet kell fordítani mindazokra, akik az EKG üzemeltetésében adminisztrátori jogosultságokkal rendelkeznek, az ő megbízhatóságuk ellenőrzése kiemelten fontos feladat. |
Eredmény: |
Körültekintően kiválasztott, megbízható személyzet. |
|
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető, csatlakozott szervezetek |
|
Gyakoriság: |
A biztonsági szabályzat hatálybalépésekor, majd ezt követően szükség szerint (munkatárs távozása stb.). |
|
Személyzet képzése |
||
Feladat: |
– Feladatuk szerint csoportosítva el kell készíteni a személyi állomány képzését segítő anyagokat és meg kell szervezni azok tervszerű és ellenőrzött végrehajtását. |
|
|
– A képzések során fokozott figyelmet kell fordítani biztonsági kérdésekre. |
|
|
– A képzések színvonalát és az elsajátított tudás szintjét ellenőrizni kell. |
|
Eredmény: |
Képzett, a feladatait megfelelően ellátni képes, a biztonsági előírásokkal és teendőkkel tisztában lévő személyi állomány. |
|
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
|
Gyakoriság: |
A biztonsági szabályzat hatálybalépésekor, majd ezt követően szükség szerint (új munkatárs belépése stb.), rendszeres ismeret karbantartás. |
|
Biztonsági előírások betartásának ellenőrzése |
||
Feladat: |
– A biztonsági felügyelőnek folyamatosan ellenőriznie kell, hogy a személyzet tisztában van a megfelelő biztonsági előírásokkal és be is tartja azokat. |
|
Eredmény: |
Betartott biztonsági előírások. |
|
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
|
Gyakoriság: |
Folyamatosan, de nem kiszámítható módon (fontos, hogy ne lehessen rá előre felkészülni). |
Védelmi intézkedések ellenőrzése és felülvizsgálata |
|
Feladat: |
– Az üzembiztonság érdekében tett védelmi intézkedéseket a biztonsági felügyelőnek rendszeresen kell ellenőriznie és felülvizsgálnia. |
|
– Az ellenőrzéseket és felülvizsgálatokat dokumentálni kell, az ezt tartalmazó jegyzőkönyveket legalább 2 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
|
– A felülvizsgálat eredményeképp a felügyelő a védelmi intézkedések módosítását kezdeményezheti. |
Eredmény: |
Ellenőrzött, visszakövethető és naprakészen tartott védelmi intézkedések. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Félévente, illetve káresemény esetén azonnal. |
Káresemény kezelése |
|
Feladat: |
– Az üzembiztonság sérülése esetén a felfedezést követően haladéktalanul meg kell kezdeni az elhárítást és a károk csökkentését (lásd alább a biztonsági események kezelésénél). |
|
– A káreseményeket elhárításuk után azonnal elemeznie kell a biztonsági szervezetnek (a biztonsági vezető vezetésével a kijelölt biztonsági szakértők végzik). |
|
– Az elemzést dokumentálni kell, a jegyzőkönyvet legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
|
– Az elemzés eredményeképp a biztonsági szakértők akciótervet dolgoznak ki a hasonló káresemények jövőbeni elkerülésének érdekében. Ebben javaslatot tehetnek a védelmi intézkedések és a felelősségi körök megváltoztatására, kiegészítésére. |
|
– Az akciótervet a biztonságért felelős vezető hagyja jóvá, ezt követően haladéktalanul végre kell hajtani. |
Eredmény: |
Elhárított és elemzett káresemény, a jövőbeli előfordulás elkerülését célzó jóváhagyott és végrehajtott akcióterv. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Káresemény esetén. |
Csatlakozott/csatlakoztatandó szervezetek biztonsági szabályzata |
|
Feladat: |
– Minden csatlakozó szervezetnek az EKG biztonsági szabályzatával összhangban álló, azzal teljes mértékben harmonizáló biztonsági szabályzatot kell kidolgozni (újonnan csatlakozó szervezet esetén ez alapkövetelmény), melyet a kormányzati célú hírközlési szolgáltató nevében az EKG biztonsági felelősének véleményeznie kell. Ha a csatlakozott szervezet teljes biztonsági szabályzata nem adható ki véleményezésre, akkor az EKG-t érintő részeket kell véleményezni. |
Eredmény: |
Az EKG biztonsági felelőse által véleményezett biztonsági szabályzat. |
Felelős: |
Csatlakozott/csatlakozandó szervezet |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépését követően 6 hónapon belül, illetve a csatlakozás előtt, a csatlakozással hatályba léptetve. |
Beszerzési politika |
|
Feladat: |
– A Hálózatgazdának egységes beszerzési politikát kell kidolgoznia az EKG-ra vonatkozó minden (hardver, szoftver stb.) beszerzési feladatra, a közbeszerzésre vonatkozó jogszabályok maximális figyelembevételével. |
|
– A beszerzési politikában lehetőség szerint maximálisan érvényesíteni kell az üzembiztonság fenntartását elősegítő szempontokat. |
|
– Amennyire ezt a közbeszerzés szabályai megengedik, törekedni kell arra, hogy az EKG eszközei minél egységesebbek legyenek. |
Eredmény: |
Egységes beszerzési politika (egységes megbízhatóságú rendszer). |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor aktualizálni a külső tényezők (pl. jogszabályok stb.) megváltozásakor, illetve a piac lényeges változásakor szükséges. |
Amortizációs szabályozás |
|
Feladat: |
– A Hálózatgazdának ki kell dolgoznia az EKG minden eszközére (beleértve a hardver és a szoftver eszközöket is) vonatkozó amortizációs szabályokat. |
|
– Az amortizációs szabályok kidolgozásakor az eszközöket azonos amortizációs jellemzővel rendelkező kategóriákba kell sorolni, minden egyes kategóriára meghatározva az amortizációs időtartamot és az amortizációs eljárást. |
Eredmény: |
Amortizációs szabályok. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
A biztonsági szabályzat hatálybalépésekor, aktualizálni a külső vagy belső tényezők (pl. technológia stb.) megváltozásakor szükséges. |
Eszköznyilvántartás |
|
Feladat: |
– Az üzemeltetőnek naprakész nyilvántartást kell vezetni minden az EKG-hoz tartozó eszközről (hardverek, szoftverek stb.), annak állapotáról, helyéről stb. (a nyilvántartásnak minden olyan adatot tartalmaznia kell, ami alapján az adott eszköz megtalálható, felügyelhető, tervszerűen karbantartható, amortizálható stb.). |
|
– A nyilvántartásban már a beszerzési szándéktól fogva meg szükséges jeleníteni az adott eszközt és állapotát (beszerzés alatt, leszállítva, raktárban, tesztelés alatt, installálás alatt, üzemben, meghibásodott, javítás alatt, kivezetés alatt, amortizálva stb.) a teljes életciklus során végigkövetni. |
Eredmény: |
Naprakész eszköznyilvántartás. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Tesztelés |
|
Feladat: |
– Az üzemeltetőnek minden eszköztípusra (lehetőség szerint a tömeges, |
|
– Minden eszközt üzembe helyezése előtt tesztelni kell az előre kidolgozott |
|
– Káresemények esetén az elemzések eredménye magával vonhatja a teszttervek kiegészítését. |
Eredmény: |
Kész teszttervek, csökkentett kockázatú üzembe helyezési folyamat. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor, majd ezt követően folyamatosan. |
Változások |
|
Feladat: |
– Az EKG-ban bekövetkezett bármilyen változást (pl. új tűzfal üzembe helyezése, korszerűtlen eszközök újabbra cserélése, router konfiguráció változtatása stb.) dokumentálni kell, minden a változás visszakövethetőségét elősegítő információval (pl. az esemény leírása, oka, az azt megelőző helyzet, az általa okozott tényleges változások, ezek hatása stb.). |
|
– A változások jegyzőkönyvét legalább 2 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
Eredmény: |
Nyomon követhető változások. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Bármilyen az EKG-ban bekövetkező változással egy időben. |
Külső cégekkel végeztetett javítások, karbantartások |
|
Feladat: |
– Minden esetben, amikor külső céget kell valamilyen javítási vagy karbantartási feladattal megbízni, amely csak a hálózatba „beavatkozva” (helyszíni javítás, illetve távoli elérésen keresztül végzett tevékenységek stb.) végezhető el, az üzemeltető köteles ezt a tevékenységet folyamatosan ellenőrizni, felügyelni és gondoskodni arról, hogy az EKG-ra vonatkozó bizalmas információk (pl. tűzfal konfiguráció stb.) ne kerülhessenek illetéktelen kezekbe. |
Eredmény: |
A külső cégek bevonásával járó kockázat minimalizálása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Minden esetben, amikor külső cég helyszíni javítást vagy karbantartást végez. |
Katasztrófa terv kidolgozása |
|
Feladat: |
– A Hálózatgazdának és az üzemeltetőnek együttműködve ki kell dolgozni a megfelelő katasztrófa tervet, mely csökkenti a bekövetkezett esemény okozta károkat, segít fenntartani a működést, és hozzájárul az eredeti állapot (vagy a körülményekhez képest az ahhoz legközelebb álló állapot) visszaállításához. |
|
– A katasztrófa terv részeként el kell készíteni a végrehajtás feltételeit megteremtő akciótervet, amit jóváhagyás után gyakoroltatni kell. |
|
– A katasztrófa tervet évente aktualizálni kell, és tükröznie kell az időközben beállt változásokat. Amennyiben szükséges, úgy ismételten akciótervet kell megfogalmazni és azt gyakoroltatni. |
|
– A katasztrófa tervet ismertetni kell az érintettekkel, és gondoskodni kell arról, hogy minden érintett tisztában legyen a rá háruló feladatokkal. |
Eredmény: |
Katasztrófa terv. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor, majd ezt követően évente, illetve a körülmények lényegi megváltozása esetén kell aktualizálni. |
EKG-eszközök biztonsági osztályokba történő sorolása |
|
Feladat: |
– Az EKG, illetve az EKG üzemeltetéshez szükséges eszközöket az ITB ajánlásnak megfelelően három biztonsági osztályba kell besorolnia az üzemeltetőnek. |
|
– A biztonsági osztályokba sorolás támogatja, hogy az adott rendszerelem mennyire fontos a tartalékképzés, a karbantartás és redundancia biztosításának szempontjából. |
|
– Az alábbi osztályokba kell sorolni az eszközöket: |
|
= A – alapbiztonsági követelmények, ha az elem kiesése vagy hibás működése |
|
= F – fokozott biztonsági követelmények, ha az elem kiesése vagy hibás működése |
|
= K – kiemelt biztonsági követelmények, ha az elem kiesése vagy hibás működése |
Eredmény: |
Biztonsági osztályok kialakítása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor. |
Biztonsági zónák kialakítása |
|
Feladat: |
– Az EKG eszközeit tároló, valamint az üzemeltetéssel más módon kapcsolódó helyiségeket biztonsági zónákra kell felosztani. |
|
– Az épületbe való bejutáson túl biztosítani kell, hogy az EKG üzemelést biztosító helyiségekbe (pl. szerverszoba, hálózati felügyeleti szoba) csak azok juthassanak be, akik jogosultak a belépésre. |
|
– Definiálni szükséges, hogy melyik helyiségek legyenek védettebbek, mint az épület egyéb helyiségei (pl. szerverszoba). |
Eredmény: |
Fizikailag elkülönített biztonsági zónák az EKG üzemelését biztosító épületekben. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor. |
A biztonsági zónákon belüli közlekedés szabályozása |
|
Feladat: |
– Definiálni szükséges, hogy az egyes helyiségekbe (pl. szerverszoba) ki léphet be. Javasolt, hogy az üzemeltető különböző szakértő csoportjai csak saját helyiségeikbe kapjanak belépést (pl. a hálózati eszközöket tartalmazó terekbe csak a hálózati szakértők juthassanak be). |
Eredmény: |
A definiált biztonsági zónákba csak a jogosult embereknek, személyeknek van belépési lehetősége. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
A rendszer kiépítésekor, illetve új helyiségek igénybevételekor. |
Számítógéptermek |
|
Feladat: |
– Az EKG védett eszközeit (szerverek, menedzsment eszközök stb.) az üzemeltető köteles a kormányzati célú hírközlési szolgáltató által kijelölt helyiségekben elhelyezni. |
|
– A hálózatgazdának gondoskodnia kell arról, hogy a kijelölt helyiségek rendelkezzenek mindazokkal a felszerelésekkel, amelyek a nagy üzembiztonságú rendszerek üzemeltetéséhez kellenek (részletesen lásd az Infrastruktúra fejezet további intézkedéseiben). |
Eredmény: |
Az EKG eszközeinek a nagy üzembiztonságú működést biztosítani képes környezetben való elhelyezése. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Amikor az EKG bővülése ezt szükségessé teszi. |
Számítógéptermek beléptető rendszere |
|
Feladat: |
– Az EKG eszközeinek helyt adó számítógéptermeknek olyan beléptető rendszerrel kell rendelkezniük, melyek lehetővé teszik, hogy kizárólag az arra jogosult személyek juthassanak be. |
|
– A számítógéptermekbe való belépéseket, illetve belépési kísérleteket minden esetben naplózni kell, a naplókat legalább 2 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
Eredmény: |
Az EKG számítógéptermeibe csak a hozzáféréshez jogosult emberek lépnek be, illetéktelenül nem juthatnak be a helyiségekbe. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
A számítógépterem üzembe helyezésekor, illetve a jogosulti kör változásakor haladéktalanul. |
Számítógéptermekre vonatkozó belépési jogosultságok kezelése |
|
Feladat: |
– Definiálni kell a számítógéptermekbe való belépési jogosultságok menedzselésének módját. Meg kell határozni, hogy kinek adható ki belépési engedély, mikor módosulhat valakinek a hozzáférése, illetve belépési jogosultság megszűnése esetén azonnali hatállyal intézkedést kell tenni a jog megvonására. |
Eredmény: |
Az EKG számítógéptermeibe csak a hozzáféréshez jogosult emberek, személyek lépnek be. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Számítógépterem üzembe helyezésekor, illetve a jogosulti kör változásakor haladéktalanul. |
Számítógéptermek fizikai védelme |
|
Feladat: |
– Az üzemeltetőnek gondoskodnia kell arról, hogy az EKG eszközeinek helyt adó számítógéptermek (ideértve a klímaberendezéseket és a szünetmentes tápellátást biztosító eszközöket is) fizikailag is védettek legyenek úgy, hogy mindennemű lopás, manipuláció, külső beavatkozás, támadás lehetőség szerint elkerülhető, illetve legrosszabb esetben legalább észlelhető legyen. |
|
– A megyei központokban elsősorban a számítógépszekrények védelmét szükséges megoldani, mivel a számítógépes helyiségek ott nem az EKG tulajdonát képezik. |
Eredmény: |
Fizikailag védett számítógéptermek. |
Felelős: |
Az üzemeltető telephelyén az üzemeltető, a kormányzati célú hírközlési szolgáltató telephelyén lévő helyiségek védelméért a kormányzati célú hírközlési szolgáltató a felelős. Csak olyan helyiségben lehet EKG eszközt elhelyezni, amelyre annak üzemeltetője garanciát vállal az EKG normáinak megfelelő biztonságáért. |
Gyakoriság: |
Számítógéptermek kialakításakor 2 évente, illetve átalakításkor felülvizsgálva az intézkedéseket. |
Számítógépszekrények védelme |
|
Feladat: |
– Az üzemeltető köteles az EKG megyei csatlakozási pontjainál elhelyezett eszközeit az illetéktelen hozzáféréstől számítógépszekrényekkel védeni. |
|
– Gondoskodni kell arról, hogy a számítógépszekrények kinyitását kizárólag arra jogosult személy tehesse meg. |
|
– A számítógépszekrényekhez való hozzáférést minden esetben naplózni kell, a naplókat legalább 2 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
Eredmény: |
A területi alközpontokban elhelyezett eszközök megfelelő szintű védelme. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Újabb csoportos csatlakozási pontok kialakításakor, 2 évente felülvizsgálva az intézkedéseket. |
Belépési eszközök (pl. belépési kártya) használati szabályának előírása |
|
Feladat: |
– Rögzíteni (valamennyi használóval ismertetni) kell a belépésre szolgáló eszközök használati szabályait. Ezek a szabályok a következők: |
|
eszköz elvesztésének bejelentési kötelezettsége, |
|
eszköz másra való átruházásának tiltása, |
|
eszköz biztos helyen való őrzése, |
|
kilépéskor eszköz visszaadása. |
|
– A szabályokat a belépési eszköz használóival ismertetni kell. |
Eredmény: |
Belépési eszközök rendeltetésének megfelelő használata. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Belépési eszköz kiadásakor. |
Számítógéptermeken kívül található eszközök védelme |
|
Feladat: |
– A számítógéptermeken kívül található, távközlési szolgáltatótól bérelt telekommunikációs csatornákat is védeni szükséges. Mivel ezek az eszközök nem az EKG tulajdonát képezik, ezért a távközlési szolgáltatóval kötött szerződésben kell felelősségszintű védelmet biztosítani (rendelkezésre állás, tartalék biztosítása, hibaelhárítási kötelezettség). |
|
– Az EKG-hoz csatlakozó intézmények biztonságos üzemelése szempontjából javasolt, hogy az intézmény biztosítson hozzáférést saját az EKG-hoz csatlakozó routeréhez, valamint hiba esetén bejelentési kötelezettsége legyen az üzemeltető felé. |
Eredmény: |
Számítógéptermeken kívül található eszközök szerződésben meghatározott védelme. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Szerződések megkötésekor. |
Üzemeltető raktárának védelme |
|
Feladat: |
– Mivel az üzemeltető a tartalék eszközöket nem a számítógéptermekben tárolja, ezért szükséges a raktárnak is a megfelelő belépési és fizikai védelme. A raktárba csak az üzemeltető léphet be, illetve akinek a kormányzati célú hírközlési szolgáltató erre külön engedélyt ad. |
Eredmény: |
Tartalék eszközöket tároló raktár megfelelő védelme. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Rendszer kialakításakor. |
Eszközök szünetmentes áramellátásának biztosítása |
|
Feladat: |
– Az üzemeltetőnek – a kormányzati célú hírközlési szolgáltató által biztosított eszközök terhére – gondoskodnia kell arról, hogy az EKG eszközeinek szünetmentes áramellátása biztosítva legyen. Az üzemeltetést biztosító eszközöket redundáns UPS-sel szükséges ellátni. A hosszabb áramszünetek esetére tartalék generátort kell biztosítani az országos központban. A megyei központokban a tervezett áramszünetek esetére mobil generátoros megoldást kell biztosítani (az üzemeltető szakemberei szállítják a helyszínre a generátort). |
|
– Az UPS-eket rendszeresen ellenőrizni kell, mert azok akkumulátorai gyakran meghibásodhatnak. Az UPS-ekből ennek megfelelően kellő számú tartalékot kell képezni (lásd 3.3.6. Tartalékgazdálkodás). |
Eredmény: |
Szünetmentes energiaforrással (UPS) és generátorral ellátott számítástechnikai eszközök. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Számítógéptermek kialakításakor, félévente ellenőrizve az UPS és a generátor állapotát. |
Működtetéshez szükséges optimális külső hőmérséklet fenntartása |
|
Feladat: |
– A számítástechnikai eszközök zavarmentes működéséhez folyamatosan optimális hőmérsékletet kell fenntartani. Különösen veszélyeztetett időszak a nyár, amikor a környezeti hőmérséklet magasabb lehet, mint az eszközök tűrőképessége. Az optimális hőmérsékletet klimatizáló készülékekkel szükséges biztosítani. Ez vonatkozik a budapesti központra és a vidéki központokra egyaránt. |
Eredmény: |
Optimális hőmérséklet a számítástechnikai eszközök zavartalan működéséhez. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Infrastruktúra kiépítésekor, illetve új infrastruktúra igénybevételekor. |
Klimatizáló, illetve megfelelő hőmérsékletet biztosító készülékek rendszeres ellenőrzése |
|
Feladat: |
– Az optimális hőmérsékletet biztosító eszközök működését folyamatosan ellenőrizni szükséges. Amennyiben a klíma nem üzemszerűen működik, úgy gondoskodni kell annak javításáról vagy szükség esetén cseréjéről. |
Eredmény: |
Optimális hőmérséklet a számítástechnikai eszközök zavartalan működéséhez. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Félévente. |
Környezeti tűréshatárok túllépésének figyelése és kezelése |
|
Feladat: |
– A számítástechnikai eszközök környezeti tűréshatárát folyamatosan monitorozni kell. Amennyiben az eszköz túl magas hőmérsékletnek van kitéve, akkor intézkedni szükséges, amely a körülményektől függően többféle tevékenység is lehet (shutdown, állományok elmentése, tovább üzemelés, körülmények megváltoztatása). |
Eredmény: |
Az eszközök nem lépik túl fizikai tűréshatárukat, és folyamatosan üzemelnek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Túlfeszültség-védelem |
|
Feladat: |
– Fel kell készülni a vihar, illetve villám okozta károkozásokra. Az EKG eszközeit tároló épületeket megfelelő védelemmel kell ellátni, valamint védekezni kell a villám által okozott esetleges feszültségcsúcsokkal (feszültségtüskékkel) szemben is. |
Eredmény: |
Vihar- és villámvédett épületek, eszközök. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Kiépítéskor. |
Túlfeszültség-védelem |
|
Feladat: |
– A villám keltette vagy a hálózati feszültség ingadozásából eredő túlfeszültség meghibásodást okozhat számítógépekben, illetve egyéb hardver eszközökben. Ezeket az eszközöket minden helyszínen védeni kell megfelelően érzékeny, akár többszintű feszültségszabályozó eszközökkel. |
Eredmény: |
Túlfeszültség elleni védelem. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Eszközök telepítésekor. |
Tűzvédelem |
|
Feladat: |
– A tűz ellen minden érintett helységben (budapesti központ, üzemeltető telephelyei, vidéki központok stb.) megfelelő mennyiségű és minőségű füstérzékelő és tűzjelző készüléket szükséges biztosítani. Az érzékelő és riasztó rendszereken túl biztosítani kell a helyszíni oltáshoz szükséges eszközöket. |
|
– A szerverszobában tárolt biztonsági mentéseket tartalmazó adathordozók és dokumentáció tűz- és vagyonvédett tárolását is biztosítani kell. Arra is figyelmet kell fordítani, hogy esetleges oltás esetén se sérüljenek. |
|
– Ki kell dolgozni a tűzvész esetére a szükséges intézkedéseket, melyeket tűz esetén felül kell vizsgálni. |
Eredmény: |
Megfelelő tűzvédelemmel ellátott eszközök, illetve helyiségek. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
2 évente, de minden rendszer indításakor, minden új helyiség igénybevétele esetén, valamint tűzeset után. |
Tűzjelző készülékek rendszeres ellenőrzése |
|
Feladat: |
– A tűzjelző, illetve füstértékelő készülékeket rendszeresen ellenőrizni szükséges. Ezek közé beleértendő nemcsak a helyiségek tűzvédelmét biztosító eszközök, de a számítógépes szekrények érzékelői is. |
Eredmény: |
Működőképes tűzjelző készülékek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Félévente, illetve riasztás után. |
Vízvédelem |
|
Feladat: |
– A szomszédos helyiségekben, illetve az eszközökhöz közel levő falakban történt csőtörés miatt érheti víz az EKG eszközeit. Mivel vízérzékelővel jelenleg nem minden az EKG működtetését szolgáló helyiség rendelkezik, ezért biztosítani kell, hogy ilyen helyiségben az eszközök ne legyenek vízvezeték közelében. |
|
– Vízveszély olyan esetben is előfordulhat, amennyiben árvíz fenyegeti az épületet. Amennyiben az EKG eszközeit biztosító eszközök árvízveszélyes helyen vannak (egyes vidéki központokban előfordulhat), úgy gondoskodni kell arról, hogy az eszközök áthelyezhetőek legyenek olyan szintre, ahol az árvíz már nem okoz problémát. |
Eredmény: |
Vízveszélytől védett EKG-eszközök. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
A „vízbiztos” helyszínek kijelölését a rendszer telepítésekor, illetve konkrét intézkedéseket vízveszély esetén szükséges megtenni. |
Vízvédelmet támogató készülékek rendszeres ellenőrzése és karbantartása |
|
Feladat: |
– Amennyiben rendelkezik egy helyiség vagy eszköz vízérzékelő készülékkel (javasolt), akkor ezeket a készülékeket rendszeresen kell ellenőrizni, és rajtuk szükség esetén a megfelelő karbantartási munkálatokat végezni. |
Eredmény: |
Működőképes vízvédelmet támogató készülékek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Félévente, illetve riasztás után. |
Szerverek üzembe helyezése |
|
Feladat: |
– A szerverek üzembe helyezését meg kell előznie az installálás utáni tesztelésnek, melyek eredményéről jegyzőkönyvet kell írni. Amennyiben a szerver üzembe helyezése csere okán történik, úgy tesztelni kell, hogy a biztonsági mentésből visszaállított programok, fájlok elérhetők-e. |
|
– A tesztelési jegyzőkönyveket a szerver üzemből való kivonása után legalább még |
Eredmény: |
Működőképes új szerverek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Új szerver beüzemelése esetén. |
Szerverek karbantartása |
|
Feladat: |
– A szerverek karbantartását és javítását az üzemeltető felügyeli. |
|
– Hiba esetén az üzemeltető a tartalékokból biztosít készüléket, majd a szerver szállítójával javíttatja a meghibásodott hardvert. |
|
– A szállítókkal kötött szerződésekben mindenképp szerepelnie kell a hardverjavítások időintervallumára vonatkozó megállapodásnak, illetve a tartalékeszközök biztosításáról szóló garanciának (A szállító vállalja a 12 órán belüli hibajavítást, vagy tartalék eszközt kell biztosítani, amelyet 12 órán belül az üzemeltetőnek képes kell lenni konfigurálni és telepíteni). |
|
– Folyamatosan vizsgálni kell, hogy az újabb kiadású szoftverek (operációs rendszer, biztonsági szoftverek stb.) futnak-e a szerveren. Amennyiben nem, úgy csere lehet szükséges (lásd Szerverek cseréje). |
Eredmény: |
Hiba esetén a szerverek gyors helyreállítása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Szerverek cseréje |
|
Feladat: |
– Az amortizáció nyomán a régi szervereket ki kell cserélni, hogy a korszerűbb operációs rendszerek, védelmi programok, illetve egyéb szoftverek megfelelően futhassanak rajtuk. Ennek megfelelően a hardverekből kell tartalék. A szerverek cseréjét az üzemeltető kell javasolja írásban, amit a kormányzati célú hírközlési szolgáltató bírál el. |
|
– A régi szervereken levő tartalomról biztonsági mentést kell készíteni. |
|
– A kiselejtezett szerverek adattárolóin szereplő adatok megsemmisítéséről minden esetben gondoskodni kell, függetlenül az adatok esetleges minősítésétől. |
Eredmény: |
Korszerű hardverek, melyeken az újabb fejlesztésű szoftverek is megfelelően futnak. |
Felelős: |
Szervercsere időben történő igénylése és indokolása: üzemeltető; Szervercseréről döntés: kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Üzemeltető javaslata alapján. |
Munkaállomásokra vonatkozó korlátozások |
|
Feladat: |
– A munkaállomások jogosultságait az üzemeltetéshez szükséges mértékre kell korlátozni, hogy az azokat ért támadások minél kevesebb eséllyel következzenek be. |
|
– Tiltani szükséges mindenféle program öncélú telepítését. Szoftvert csak a rendszergazda telepíthessen a gépekre, az üzemeltető ezért felelős munkatársának jóváhagyása után. |
|
– A munkaállomások vírusvédelmét üzemeltetői szinten központilag kell megoldani. |
|
– Azokra a munkaállomásokra, amit egy felhasználó használ csak, kizárólag az adminisztrátornak és a felhasználónak legyen belépési jogosultsága. |
Eredmény: |
Jól ellenőrizhető munkaállomások. |
Felelős: |
Üzemeltető, csatlakozott szervezetek |
Gyakoriság: |
Új munkaállomás implementálásakor. |
Hálózati hardver eszközök üzembe helyezése |
|
Feladat: |
– Hálózati eszköz üzembe helyezése esetén az eszközt tesztelni kell, és az eredményről jegyzőkönyvet szükséges felvenni. Biztosítani kell, hogy az új eszköz esetleges működésképtelensége esetén legyen olyan meleg tartalék, amelyik ellátja az eszköz funkcióit. |
|
– A tesztelési jegyzőkönyveket az eszköz üzemből való kivonása után legalább még |
Eredmény: |
Működőképes hálózati hardver eszközök. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Új hálózati eszköz beüzemelésekor. |
Hálózati hardver eszközök karbantartása |
|
Feladat: |
– A hálózati hardver eszközök karbantartását és javítását az üzemeltető felügyeli. |
|
– Hiba esetén az üzemeltető a tartalékokból biztosít készüléket, majd a hálózati eszköz szállítójával javíttatja a meghibásodott eszközt. |
|
– A szállítókkal kötött szerződéseknek mindenképp tartalmazniuk kell a hálózati eszközjavítások időintervallumára vonatkozó megállapodást, illetve a tartalékeszközök biztosítására vonatkozó kötöttségeket (pl. a szállító vállalja a |
Eredmény: |
Hiba esetén a hálózati eszközök gyors helyreállítása, illetve rendszeres karbantartása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Hálózati hardver eszközök cseréje |
|
Feladat: |
– A hálózati eszköz cseréjét az üzemeltető kell javasolja írásban, amit a kormányzati célú hírközlési szolgáltató bírál el. Ezen túlmenően a kormányzati célú hírközlési szolgáltató is utasíthatja írásban az üzemeltetőt az eszköz cseréjére. |
|
– A javításra külső szervezetnek átadott, illetve leselejtezett hálózati eszközök nem tartalmazhatnak konfigurációs információt. |
|
– A csere céljára használt új eszközt előzetesen tesztelni szükséges. |
|
– A lecserélt eszköz a körülményektől függően kerülhet selejtezésre, de képezhet tartalékot is. |
Eredmény: |
Működőképes hálózati hardver eszközök. |
Felelős: |
Hálózati hardver eszköz cseréjének időben történő jelzése és indoklása: üzemeltető; Eszközcseréről döntés: kormányzati célú hírközlési szolgáltató. |
Gyakoriság: |
Üzemeltető javaslata alapján. |
Csatlakozott intézmények által üzemeltetett eszközök |
|
Feladat: |
– A csatlakozott szervezetek által üzemeltetett hálózati eszközök rendelkezésre állása az adott intézmény felelőssége, ilyen esetben az üzemeltetőt semmilyen kötelezettség sem terheli. |
|
– A csatlakozott intézménytől elvárható, hogy gondoskodjon az adott eszköz folyamatos és zavartalan üzemeléséhez szükséges körülményekről (pl. folyamatos áramellátás, klimatizálás stb.). |
|
– Az elektronikus közszolgáltatást nyújtó szervezet köteles gondoskodni az általa üzemeltetett eszköz védelméről (pl. illetéktelen hozzáféréstől, lopástól és manipulációtól való védelem). |
Eredmény: |
Az elektronikus közszolgáltatást nyújtó szervezetek által üzemeltetett eszközökből eredő biztonsági kockázat csökkenése. |
Felelős: |
Csatlakozott szervezet |
Gyakoriság: |
Folyamatosan. |
Csatlakozott intézmények által üzemeltetett eszközökkel kapcsolatos hibák |
|
Feladat: |
– Az elektronikus közszolgáltatást nyújtó szervezetek kötelesek az általuk üzemeltetett EKG-hoz kapcsolt eszközökkel kapcsolatos bárminemű hibáról az üzemeltetőt haladéktalanul értesíteni. |
|
– A hibák javítása az elektronikus közszolgáltatást nyújtó szervezet feladata, de a hiba igazolt kijavításáig a hiba természetétől függően a hálózatgazdának joga van az üzemeltetővel az adott szervezet hálózati kapcsolatát lezáratni. |
Eredmény: |
Az elektronikus közszolgáltatást nyújtó szervezetek által üzemeltetett eszközökből eredő biztonsági kockázat csökkenése. |
Felelős: |
Csatlakozott szervezet |
Gyakoriság: |
Csatlakozott szervezetek által üzemeltetett eszközök hibája esetén. |
Csatlakozott intézmények által üzemeltetett eszközökkel kapcsolatos változások |
|
Feladat: |
– Az elektronikus közszolgáltatást nyújtó szervezetek az általuk üzemeltetett EKG-hoz kapcsolt eszközökről, az azokkal kapcsolatos bármilyen változásról kötelesek az üzemeltetőt haladéktalanul tájékoztatni. |
|
– Aktív hálózati hardver elemek esetén az elektronikus közszolgáltatást nyújtó szervezet még a változtatás előtt köteles a tervezett változtatást bejelenteni, és arról az üzemeltető véleményét kérni. |
Eredmény: |
A csatlakozott szervezetek által üzemeltetett eszközökből eredő biztonsági kockázat csökkenése. |
Felelős: |
Csatlakozott szervezet |
Gyakoriság: |
Csatlakozáskor teljes eszközlistáról tájékoztatás, ezt követően változás esetén. |
Hardvernyilvántartás |
|
Feladat: |
– Az üzemeltetőnek az összes EKG hardver eszközről (szerverek, munkaállomások, hálózati eszközök, valamint egyéb elektronikus eszközök) részletes nyilvántartást kell készítenie. |
|
– A nyilvántartást biztonságos helyen kell tárolni, melyhez csak megfelelő jogosultsággal férhet hozzá bárki. Gondoskodni kell arról, hogy az aktuális nyilvántartásról mindig legyen biztonsági másolat, melyet az eredetitől elszeparáltan, szintén biztonságos helyen, lopástól és manipulációtól védetten tárolnak. |
|
– A hardvernyilvántartás alapján kell történjen a szükséges tartalék eszközök számszerűsítése. |
|
– A nyilvántartásban dokumentálni kell a tervezett eszközbeszerzéseket is. |
Eredmény: |
Pontos hardvernyilvántartás, mely alapján a tartalékképzés tervezhető. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Tartalékolási osztályokba sorolás |
||||
Feladat: |
– Az EKG eszközöket az alábbi tartalékolási osztályokba kell sorolni: |
|||
|
Általános eszközök (normális mennyiségű – lásd köv. pont – tartalék szükséges); üzemeltetés szempontjából kiemelt eszközök (dupla mennyiségű tartalék szükséges) |
|||
Eredmény: |
Eszközök tartalékolási osztályokba sorolása, amely alapján tervezhető a tartalékképzés. |
|||
Felelős: |
Üzemeltető |
|||
Gyakoriság: |
IBSZ érvénybe lépésekor, utána tapasztalatok alapján átsorolni. |
|||
Tartalékképzés |
||||
Feladat: |
– A tartalékképzés a folyamatos üzemeltetés egyik legfontosabb feladata, ennek megfelelően fokozott figyelmet igényel. |
|||
|
– Alapvető szabály, hogy minden EKG-üzemelést biztosító eszközből legyen megfelelő mennyiségű tartalék; és azok üzemképességét folyamatosan kell ellenőrizni. Eszközök, amelyekből tartalékot kell biztosítani: Szerverek, Munkaállomások, hálózati hardver eszközök (switchek, routerek, tűzfalak, hub-ok stb.), Egyéb elektronikus eszközök (UPS, klíma, UPS-akkumulátorok stb.), Egyéb alkatrészek (pl. porszűrő szivacs stb.) |
|||
|
– Az általános eszközökből megközelítőleg 5–20%-nyi tartalék szükséges |
|||
|
– Az üzemeltetés szempontjából lényeges elemekre megközelítőleg dupla ennyi tartalék (kb. 20–40%) szükséges (pl. 5 router esetén 1 vagy 2 tartalék router). |
|||
|
– A tartalékképzésre történő szabály bizonyos esetekben változtatható, a 20% durva becslés. Jelenleg a hálózati eszközökre az alábbi tartalékolási szabály létezik: |
|||
|
= 1– 10 darab létezik az eszközből: 1 tartalék eszköz; |
|||
|
|
= 11– 30: |
2 tartalék eszköz; |
|
|
|
= 31– 60: |
3 tartalék eszköz; |
|
|
|
= 61–100: |
4 tartalék eszköz; |
|
|
|
= 100–: |
5 tartalék eszköz. |
|
|
– Javasolt megoldás a tartalékok előre történő beszerzésére az éves gazdálkodási terv kialakítása. |
|||
Eredmény: |
Megfelelő mennyiségű tartalék, mely meghibásodás esetén is biztosítja az EKG üzemelését. |
|||
Felelős: |
Tartalékképzésért és tartalékok időben történő igényléséért: üzemeltető; Tartalékok beszerzéséért: kormányzati célú hírközlési szolgáltató. |
|||
Gyakoriság: |
Folyamatosan. |
Szoftverek biztonsági frissítéseinek nyomon követése és alkalmazása |
|
Feladat: |
– Az üzemeltető köteles az EKG eszközein használt szoftverek frissítéseit figyelemmel kísérni, és a csatlakoztatott intézmények figyelmét felhívni, illetve azok további működését a szoftverfrissítés után is biztosítani. |
|
– A szoftverfrissítéseket (update-ek, service pack-ok) a várható biztonsági hatásuk (pl. kritikus biztonsági probléma javítása stb.) alapján értékelni kell, majd ennek alapján ütemtervet kell meghatározni a bevezetésükre, amennyiben erre tényleg sor kerül. Az ütemtervben meghatározott határidőknek tükrözniük kell a frissítés fontosságát. |
|
– Minden használt szoftverre (és azok minden egyes üzemben lévő verzióira) az üzemeltetőnek rendelkeznie kell kidolgozott teszttervekkel. |
|
– Minden frissítést az éles rendszeren való telepítés előtt a kidolgozott tesztterveknek megfelelően tesztelni kell. A tesztelés eredménye alapján kell a telepítésre vonatkozó döntést meghozni. |
|
– Amennyiben a tesztelés után a telepítés végrehajtását jóváhagyó döntés születik, úgy a megfelelő frissítést a korábban kidolgozott ütemterv szerint telepíteni kell (kritikus frissítés esetén ennek haladéktalanul meg kell történnie). |
|
– A szállítókkal kötött szerződésekben mindenképp szerepelnie kell a szoftverfrissítések rendelkezésre állásának, ezzel is biztosítva a szoftverek naprakészségét. |
Eredmény: |
Biztonsági szempontból naprakész szoftverek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Minden szoftverfrissítés megjelenésekor. |
Szoftverek újabb verzióinak nyomon követése és alkalmazása |
|
Feladat: |
– Az üzemeltető köteles figyelemmel kísérni az EKG üzemeltetésében használt szoftverek újabb verzióinak megjelenését. |
|
– Új verzió esetén elemezni kell a verzióváltás hatásait (pl. direkt és indirekt költségek, biztonsági szint változása, használhatóság javulása stb.). Az elemzés eredményét dokumentálni kell. Az elemzést lehetőség szerint az új verzió tesztelésével is meg kell támogatni (csak akkor hagyható ki, ha az új verzió nem elérhető, de ebben az esetben az átállási döntésnél figyelembe kell venni a tesztelés hiányából fakadó kockázatokat). |
|
– Az elemzés eredménye alapján döntést kell hozni a verzióváltás szükségességéről, és pozitív döntés esetén meg kell határozni az átállás ütemezését. |
|
– A kidolgozott ütemezésnek megfelelően el kell végezni a verzióváltást. |
|
– Az üzemeltetőnek törekednie kell arra, hogy a használt szoftverek a lehető legnagyobb mértékben egységesek legyenek. |
|
– A szállítókkal kötött szerződésekben lehetőség szerint szerepelnie kell a szoftverek verziókövetésének, ezzel is segítve a verzióváltások végrehajtását. |
Eredmény: |
A lehetőségekhez igazodó, korszerű szoftverpark. |
Felelős: |
Üzemeltető |
Gyakoriság: |
A használt szoftverek újabb verzióinak megjelenésekor. |
Szoftverek üzemeltetői környezetének folyamatos ellenőrzése és karbantartása |
|
Feladat: |
– Az üzemeltetőnek folyamatosan ellenőriznie kell, hogy minden az EKG üzemeltetésében használt szoftver üzemeltetési feltételei megvannak-e |
|
– Amennyiben valamely feltétel nem teljesül, úgy haladéktalanul meg kell kezdeni ennek javítását. |
|
– Időszakosan (hetente, de legalább kéthetente) gondoskodni kell arról (tárhelyek felszabadítása, megfelelő adatok archiválása stb.), hogy a szükséges környezeti feltételek normális üzemmenet esetén a következő időszakra teljesüljenek. |
Eredmény: |
A szoftverek üzembiztonságának fenntartása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Ellenőrzés folyamatosan, karbantartás szükség esetén, de legalább kéthetente. |
Biztonsági mentések |
|
Feladat: |
– Az üzemeltetőnek definiálnia kell minden – az EKG-hoz tartozó – adattartalomra |
|
– Az ütemezéseknek megfelelően az üzemeltető köteles a biztonsági mentések elvégzésére. |
|
– Amennyiben valamilyen biztonsági esemény ezt szükségessé teszi, úgy az üzemeltető köteles a biztonsági mentésekből az utolsó stabil állapotot visszaállítani. |
Eredmény: |
Visszaállítható kritikus adattartalom. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor kidolgozott ütemezésnek megfelelően. |
Biztonsági mentések tárolása |
|
Feladat: |
– A biztonsági mentéseknek legalább három példányban kell elkészülniük, melyeket egymástól szeparáltan kell tárolni, lehetőség szerint a két budapesti központból és a vidéki tartalékközpontból elérhető helyeken. |
|
– Az utolsó 5 biztonsági mentést úgy kell tárolni, hogy azokból a visszaállítás azonnal megkezdhető legyen. |
|
– A biztonsági mentéseket legalább 2 évig biztonságosan, lopástól, manipulációtól |
Eredmény: |
Többszörösen védett biztonsági másolatok. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor kidolgozott ütemezésnek megfelelően. |
Az EKG-n forgalmazott adatok vírusszűrése és mentesítése |
|
Feladat: |
– Mivel az EKG dedikáltan átviteli közeg, ezért sem a hálózatgazdának, sem az üzemeltetőnek nincs jogalapja az adatok tartalmába való betekintésre. Emiatt azok vírusszűrését és mentesítését nem végezheti el. |
|
– A fentiek miatt minden csatlakozott szervezet köteles gondoskodni a hozzá tartozó adatok vírusvédelméről, és az ilyen jellegű károkért minden esetben az azt okozó |
Eredmény: |
Vírusmentesített adatok. |
Felelős: |
Csatlakozott szervezetek |
Gyakoriság: |
Folyamatosan. |
EKG-ra csatlakozott számítógépek vírusvédelme |
|
Feladat: |
– Az EKG minden szerverén (ahol ilyen megoldás elérhető) gondoskodni kell a folyamatos vírusvédelemről. Ez kiemelten érvényes a Microsoft által forgalmazott operációs rendszereket futtató gépekre. |
|
– Minden az EKG-hoz csatlakozott munkaállomáson és szerveren (ahol ilyen megoldás elérhető) gondoskodni kell a vírusvédelemről, ez kiemelten érvényes egyrészt a Microsoft operációs rendszerekre, másrészt azokra a gépekre, amelyekről a hálózat menedzsmentje, üzemeltetése folyik. |
Eredmény: |
Vírusvédett eszközök. |
Felelős: |
Üzemeltető, csatlakozott/csatlakozandó szervezetek |
Gyakoriság: |
Szerverek, munkaállomások üzembe helyezésekor és utána folyamatosan. |
A vírusvédelmi eszközök karbantartása |
|
Feladat: |
– Minden az EKG-hoz csatlakozott szerver vagy munkaállomás üzemeltetője (ez vagy a hálózat üzemeltetője, vagy a csatlakozott szervezet) köteles gondoskodni a telepített vírusvédelmi eszközök folyamatos karbantartásáról. |
|
– Folyamatosan figyelemmel kell kísérni a vírusvédelmi eszközhöz megjelenő frissítéseket (pl. vírus adatbázis aktualizálás) és azokat haladéktalanul telepíteni kell. |
|
– Folyamatosan figyelemmel kell kísérni a vírusvédelmi eszköz újabb verzióinak megjelenését. Új verzió esetén elemezni kell, hogy a verzióváltás milyen hatással járna, el kell dönteni, hogy kell-e verziót váltani, és amennyiben igen, úgy előre kidolgozott ütemterv szerint végre kell hajtani. |
|
– A vírusvédelmi eszközök szállítóival kötött szerződésben ki kell kötni, hogy frissítések megjelenése esetén a szállító azt nyomban rendelkezésre bocsátja. |
Eredmény: |
Naprakész vírusvédelmi eszközök. |
Felelős: |
Üzemeltető, csatlakozott szervezetek |
Gyakoriság: |
Folyamatosan. |
Szolgáltatási szint megállapodások (SLA) |
|
Feladat: |
– A hálózatgazdának megfelelő szolgáltatási szint megállapodásokat (SLA) kell kötnie az üzemeltetővel és a hálózati kapcsolatokat biztosító távközlési szolgáltatókkal. |
Eredmény: |
Szolgáltatási szint megállapodások (SLA). |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Az üzemeltetési szerződés, illetve a szolgáltatási szerződések megkötésekor, megújításakor. |
Hálózati központok |
|
Feladat: |
– Az EKG üzembiztonságának szempontjából a hálózati központok kiesése jelentheti a legnagyobb problémát, ezért a hálózatgazdának gondoskodnia kell arról, hogy két, gyakorlatilag azonos üzemeltetési képességgel rendelkező hálózati központ legyen. |
|
– A hálózatgazdának gondoskodnia kell arról is, hogy létezzen olyan vidéki központ, mely ha csökkentett funkcionalitással is, de képes átvenni a hálózat üzemeltetési központjának a szerepét olyan esetben, amikor Budapest nagy területét érintő katasztrófahelyzet következik be. |
|
– Amennyiben a kormányzati célú hírközlési szolgáltató biztosítja az ehhez szükséges eszközöket és helyiségeket, úgy az üzemeltető feladata a központok megtervezése, kialakítása és üzembe helyezése. |
Eredmény: |
Nagyon megbízható hálózati struktúra. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Az anyagi források rendelkezésre állásától függően. |
Redundáns hálózati elemek |
|
Feladat: |
– Az EKG rendelkezésre állási követelményei miatt a hálózat minden elemének redundánsnak kell lennie, nem lehet olyan eszköz vagy hálózati összeköttetés, ami egyedi hibapontnak (single point of failure) minősül. |
|
– A redundancia mértékét a szerint kell megválasztani, hogy az adott hálózati elem kiesése a hálózat szolgáltatásának milyen mértékű kiesését veszélyezteti. |
|
– Lehetőség szerint a redundanciát úgy kell kialakítani, hogy az egymás kiváltására használt eszközök együtt csak nagyon kivételes esetekben sérülhessenek. |
Eredmény: |
Nagyon megbízható hálózati struktúra. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
A hálózati elem üzembe állításakor, illetve a hálózat bővítésekor. |
Jogosultságokra vonatkozó szabályok |
|
Feladat: |
– A jogosult személyek azonosításának egyértelműnek kell lennie. |
|
– A jogosultságokat feladatra vonatkozóan kell meghatározni, és amint szükségtelenné válik haladéktalanul vissza kell vonni. |
|
– Az azonosítást és hitelesítést jelszóval vagy egyéb eszközökkel (smart card, token stb.) kell támogatni. |
|
– Jelszóhasználat esetén ki kell kötni a jelszavakra vonatkozó szabályokat (minimális hossz, minimális bonyolultság, ciklikusan változó jelszavak kiküszöbölése), és ezeket a jogosultsági rendszernek ki kell kényszerítenie. |
|
– Szabályozni kell tudni, hogy az egyes eszközökre (pl. router) milyen IP-címekről lehet bejelentkezni. |
|
– Egyéb azonosítást és hitelesítést támogató eszközök esetén meg kell határozni az azok használatára vonatkozó szabályokat (pl. nem átruházható, elvesztés esetén azonnal jelenteni kell, jelentés hiányában az okozott kárért az adott személyt terheli a felelősség stb.). |
|
– A szabályokat rendszeresen felül kell vizsgálni és szükség esetén átalakítani. |
Eredmény: |
A jogosultsági rendszer kijátszásából eredő kockázatok csökkenése. |
Felelős: |
Üzemeltető, csatlakozott szervezetek |
Gyakoriság: |
Az informatikai biztonsági szabályzat, illetve a BSZ hatálybalépésével, majd félévente. |
Jogosult személyek és alkalmazások nyilvántartása |
|
Feladat: |
– Az üzemeltető köteles a jogosult személyek és alkalmazások nyilvántartására a kapott jogosultságokkal együtt. |
|
– A nyilvántartásnak naprakésznek kell lennie, minden változást azonnal át kell vezetni. A változásokat naplózni kell, a naplókat legalább 2 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
|
– Lehetőség szerint minden jogosultságokkal kapcsolatos menedzsment feladatot központilag az üzemeltetőnek kell elvégeznie. |
Eredmény: |
Egyértelmű, naprakész jogosultság-nyilvántartás. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Jogosultságok kiadásának és visszavonásának folyamata és szabályai |
|
Feladat: |
– Jogosultságok kiadására és visszavonására a kormányzati célú hírközlési szolgáltató jogosult, melyet utasítására az üzemeltető végez el, csatlakozott intézményeknek bármilyen ezzel kapcsolatos igényüket írásban kell jelezniük. |
|
– Jogosultságkérés esetén minden esetben meg kell vizsgálni annak indokoltságát, és ennek eredménye alapján kell meghozni az engedélyezési döntést. |
|
– Minden a hálózatban valamilyen szereppel bíró intézmény (csatlakozott intézmények, üzemeltető) haladéktalanul köteles tájékoztatni a hálózatgazdát, ha valamely személy vagy alkalmazás bármilyen jogosultságát vissza kell vonni |
Eredmény: |
Ellenőrzött jogosultság kiadás és visszavonás. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető, csatlakozott intézmény |
Gyakoriság: |
Jogosultsági igény felléptekor vagy megszűnésekor. |
Jogosultságok felülvizsgálata |
|
Feladat: |
– Az üzemeltető köteles a jogosultságokat negyedévente felülvizsgálni, és mindazokat a jogosultságokat megszüntetni, melyek már nem indokoltak. |
|
– Jogosultság felülvizsgálat alapján történő megvonásáról az adott intézményt előzetesen írásban kell tájékoztatni. |
Eredmény: |
Naprakész, indokolt jogosultságok. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Negyedévente. |
Azonosítási és hitelesítési kísérletek naplózása |
|
Feladat: |
– Mind a sikeres, mind a sikertelen azonosítási és hitelesítési kísérleteket naplózni kell. |
|
– A naplófájlok 3 hónap elteltével archiválhatók, de az archivált állományokat legalább 2 évig biztonságosan, lopás és manipulációtól védve meg kell őrizni. |
|
– A rendszerben lévő naplóállományokhoz csak adminisztrátori jogosultsággal rendelkező személyek, illetve a biztonsági felügyelők férhetnek hozzá. |
|
– A naplófájlokat rendszeresen, legalább naponta fel kell dolgozni (ezt a tevékenységet mindenképpen érdemes megfelelő automatikus eszközökkel segíteni), és amennyiben szükséges, úgy haladéktalanul intézkedni kell a jogosultságok korlátozásáról, visszavonásáról vagy a rendszer biztonságának fokozásáról. |
Eredmény: |
Ismert és minden jogosult által elfogadott eljárásrend. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor, majd ezt követően évente felülvizsgálva. |
Eredménytelen azonosítás, illetve hitelesítés esetén elvégzendő intézkedések rögzítése |
|
Feladat: |
– Meg kell határozni, hogy eredménytelen azonosítás, illetve hitelesítés esetén milyen eljárásrendet kell követni (pl. érvénytelen jelszó vagy felhasználói név beírása után maximum háromszor újra próbálkozhat, ha harmadikra sem sikerül, akkor fél órára zárolódnak a jogosultságai és a rendszer üzenetet küld az adminisztrátornak). |
|
– Az eljárásrendet írásban kell rögzíteni és minden jogosultsággal rendelkező személynek vagy alkalmazás felelősének alkalmaznia kell, ellenkező esetben elveszíti a jogosultságait. |
|
– Az eljárásrendet évente felül kell vizsgálni és szükség esetén módosítani. |
Eredmény: |
Ismert és minden jogosult által elfogadott eljárásrend. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Az informatikai biztonsági szabályzat hatálybalépésekor, majd ezt követően évente felülvizsgálva. |
VPN-csoportok kialakítása |
|
Feladat: |
– Az EKG tagjai közötti biztonságos és garantált sávszélességű kommunikáció miatt a hálózatban VPN-kapcsolatokat szükséges kiépíteni. Az intézményeket kapcsolatok jellegétől függően csoportokba javasolt bontani. A VPN-csoportokat meg kell határozni, és a már csatlakozott intézményeket be kell sorolni ezekbe a kategóriákba. |
|
– Meg kell oldani, hogy egy intézmény több VPN-csoportba is tartozhasson. |
|
– Ki kell dolgozni a VPN-használat szabályzatát, amely garantálja, hogy több csoportba is tartozó felhasználó révén az érintett VPN-csoportok nem válnak eggyé. A szabályzatot minden érintetthez el kell juttatni. |
Eredmény: |
Biztonságos, VPN-en keresztül történő kommunikáció. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
VPN-ek kialakítása előtt. |
Csatlakozó intézmények VPN-csoportba való besorolása, átsorolása |
|
Feladat: |
– Az újonnan csatlakozó intézmények valamelyik VPN-csoportba történő besorolása. |
|
– A már csatlakozott intézmény kérésére más VPN-csoportba történő átsorolása, illetve hozzáadása. |
Eredmény: |
Biztonságos, VPN-en keresztül történő kommunikáció. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Csatlakozáskor, illetve intézmény igénye esetén. |
Egy VPN-csoport kiesése nem érintheti más VPN-csoport működését |
|
Feladat: |
– Amennyiben valamelyik VPN-csoport tevékenységét korlátozni kell (pl. az adott VPN-csoportba tartozó intézmények valamelyikét célzott spam támadás éri), úgy gondoskodni kell arról, hogy ez a többi csoport működését csak a lehető legkevésbé zavarja. |
Eredmény: |
Biztonságosan szeparált és egymástól független VPN-ek. |
Felelős: |
Üzemeltető |
Gyakoriság: |
VPN-csoport működésképtelensége vagy korlátozásának szükségessége esetén. |
Külső VPN-kapcsolatok engedélyezésének vizsgálata |
|
Feladat: |
– Az üzemeltetés alatt nagy valószínűséggel előfordulnak olyan esetek a jövőben, hogy az EKG-hoz csatlakozott intézmény külső, nem EKG-s IP-címmel kíván VPN-kapcsolatot nyitni. Ilyen esetben erre az adott intézménynek írásban kell engedélyt kérnie a hálózatgazdától, akinek az üzemeltető segítségével meg kell vizsgálnia az adott kapcsolat veszélyeit. A kockázati szint figyelembevételével kell az engedélyezési döntést meghozni. |
|
– Engedélyezése esetén az érintett intézménytől igényelni kell a kapcsolat logolását, a logok archiválását és az üzemeltetőnek való átadását. |
|
– Az üzemeltető köteles a kapott log fájlokat rendszeresen auditálni és az üzembiztonságot veszélyeztető esemény esetén a kapcsolatot azonnal lezárni. |
|
– Ilyen kapcsolatból származó kár esetén a felelősség a kapcsolatot igénylő intézményt terheli. |
Eredmény: |
Az intézmény oldaláról logolt kapcsolat, melyet az igénylési adminisztráció és a felelősség miatt valószínűleg megfontoltabban kér az intézmény. |
Felelős: |
Kormányzati célú hírközlési szolgáltató az engedélyezésért, üzemeltető a felügyeletért |
Gyakoriság: |
Külső VPN-kapcsolat igénylése esetén. |
IP VPN-ek használata |
|
Feladat: |
– A csatlakozott szervezeteknek ajánlott IP VPN-ek kialakítása, mellyel saját tevékenységüket is még biztonságosabbá tehetik. |
|
– IP VPN-ek kódolt adatcsomagjainak kicsomagolására az EKG határvédelmi tűzfalán nincs lehetőség, így azok szűréséről a csatlakozott szervezeteknek kell gondoskodniuk. Ezért minden ebből eredő kár az adott intézményt terheli. |
Eredmény: |
Intézményi IP VPN-ek. |
Felelős: |
Csatlakozott szervezetek |
Gyakoriság: |
Csatlakozáskor vagy erre vonatkozó igény esetén. |
Határvédelmi tűzfalak felállítása |
|
Feladat: |
– Az EKG üzembiztonsága megköveteli, hogy hálózati forgalmának zavartalanságát többszintű határvédelmi (a gerinchálózat az internet felé való védelme, amely az üzembiztonságot védi, de a rajta átfolyó adatmennyiség adatbiztonságáért már nem felel) tűzfalrendszer védje. |
|
– A felállítandó tűzfalrendszer megtervezéséről, méretezéséről, felállításáról és karbantartásáról az üzemeltetőnek kell gondoskodnia. |
Eredmény: |
Az EKG tűzfalakkal védett működése. |
Felelős: |
Üzemeltető |
Gyakoriság: |
A hálózat kiépítésekor. |
Tűzfalak felügyelete és karbantartása |
|
Feladat: |
– Az üzemeltetőnek gondoskodnia kell a tűzfalak zavartalan üzemeléséről. |
|
– A tűzfalak konfigurációját időszakosan felül kell vizsgálni, és szükség esetén el kell végezni a megfelelő változtatásokat. A változtatást minden esetben dokumentálni kell, megadva az okot és tényleges változásokat. A jegyzőkönyvet legalább 2 évig biztonságosan, lopástól és manipulációtól védetten meg kell őrizni. |
|
– A tűzfalak szállítóival kötött szerződésben ki kell kötni, hogy bármely, a tűzfalakat érintő, nem az üzemeltetésből fakadó hiba esetén köteles annak haladéktalan elhárítására. |
|
– A tűzfalaknak minden kapcsolatot naplózniuk kell, a naplófájlokat archiválni kell és legalább 2 évig biztonságosan, lopástól és manipulációtól védetten meg kell őrizni. |
|
– A tűzfalak naplófájljait az üzemeltetőnek folyamatosan auditálnia kell. |
Eredmény: |
Naprakész, felügyelt tűzfalrendszer. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Felülvizsgálat negyedévente, illetve betörés esetén; naplófájlok auditja legalább hetente. |
Intézmény adott portjának megnyitása |
|
Feladat: |
– Amennyiben valamilyen csatlakozott intézmény tevékenységéhez a tűzfalon egy új portot akar megnyittatni, úgy azt írásban a hálózatgazdával kell engedélyeztetni. |
|
– A kormányzati célú hírközlési szolgáltató az üzemeltető segítségével megvizsgálja, hogy a kérvényezett port megnyitása milyen kockázatokat rejt magában. A vizsgálatról írásos jegyzőkönyvet kell készíteni, melyet legalább 2 évig biztonságos helyen, lopástól és manipulációtól védett módon meg kell őrizni. A kockázati szinttől függően engedélyezhető a port megnyitása. |
|
– Az üzemeltető negyedévente köteles felülvizsgálni a megnyitott portokat. Nem használt vagy veszélyforrást jelentő nyitott portok esetén kezdeményezni kell azok lezárását, amit a kormányzati célú hírközlési szolgáltató hagy jóvá és az üzemeltető végez el. Ilyen esetben előzetesen írásban kell az adott intézményt értesíteni. |
Eredmény: |
Felügyelt és ellenőrzött port megnyitások. |
Felelős: |
Csatlakozott intézmény, kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Port megnyitás kérésekor, illetve a felülvizsgálat negyedévente. |
Csatlakozó intézmény egyéb internetkapcsolatainak megszüntetése |
|
Feladat: |
– Az EKG egyik legjelentősebb veszélyforrása az, hogy a csatlakozó intézmények oldaláról érkezik támadás – azok internetes hálózatának nem megfelelő védelme miatt. Ezért az EKG-ra történő csatlakozás alapfeltétele (szerződésben rögzítve), hogy a kapcsolódó intézmény az EKG-ra csatlakozó számítógépeivel, illetve az e számítógépekből álló hálózatával nem kapcsolódhat más külső hálózatra. |
– Szerződésben szükséges szabályozni, hogy a csatlakozó intézmény felelős |
|
Eredmény: |
Biztonságosan üzemeltethető hálózat. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Csatlakozás esetén. |
Csatlakozó intézmény routerének felügyelete |
|
Feladat: |
– A csatlakozó vidéki intézmények nagy száma miatt törekedni kell arra, hogy a csatlakozás minden igényelt kapcsolódási ponton megfelelő router meglétéhez legyen kötve, amelyre az üzemeltetőnek betekintési és menedzselési jogokat kell adni. |
|
– Ha a csatlakozó szervezet számára a szükséges routereket az EKG bocsátja rendelkezésre, úgy ezek karbantartása és felügyelete teljes mértékben az üzemeltető feladata, az adott intézmény a routerhez semmilyen jogosultsággal nem rendelkezhet. |
Eredmény: |
Üzemeltető felügyelete alatt álló routerek. |
Felelős: |
Felügyeletért az üzemeltető, a betekintési jogok adásáért a kormányzati célú hírközlési szolgáltató. |
Gyakoriság: |
Csatlakozás esetén. |
Csatlakozó intézmény kapcsolattartóinak megnevezése |
|
Feladat: |
– A csatlakozó intézményektől a szerződés megkötésekor be kell kérni azokat az adatokat, amelyek meghibásodás esetén lehetnek fontosak az EKG üzemeltetésének szempontjából: |
|
kapcsolattartók megnevezése (informatikai vezető, illetve technikai szakember), |
|
amennyiben a kapcsolat EKG kezelésű eszközzel történik (nem valamely szolgáltató biztosítja a kapcsolatot a megyei alközpontig) |
|
pontosan hol helyezkednek el az EKG-hoz kapcsolódó eszközök, klimatizációs lehetőségek, |
|
tűzjelző és oltókészülék helye, |
|
bejutási lehetőségek adminisztrációja. |
|
– Amennyiben ezek az adatok megváltoznak, úgy az intézménynek tájékoztatási kötelezettsége legyen az üzemeltető felé. |
Eredmény: |
A csatlakozott intézmény főbb – üzemeltetés szempontjából lényeges – adatai. |
Felelős: |
Kormányzati célú hírközlési szolgáltató, üzemeltető |
Gyakoriság: |
Csatlakozás, illetve valamely adat megváltozása esetén. |
Hálózati események felügyelete |
|
Feladat: |
– Az üzemeltető köteles folyamatos (7×24 órás) hálózati felügyeletet biztosítani. |
|
– A hálózat felügyelete magába foglalja a hálózathoz tartozó minden eszköz (amennyiben erre lehetőség van) folyamatos monitorozását, a különböző hálózati események figyelemmel kísérését (pl. terhelések nyomon követése, esetleges kiesések felismerése stb.), azok naplózását, illetve szükség szerint beavatkozást. |
|
– A felügyeletet lehetőség szerint a hálózat minél nagyobb részére kiterjedő menedzsment eszközzel kell megtámogatni. |
Eredmény: |
Felügyelt hálózat. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Folyamatosan. |
Biztonsági események kezelése |
|
Feladat: |
– Üzembiztonságot befolyásoló esemény észlelése történhet a hálózat felügyelet által, illetve felhasználói bejelentésre. |
|
– Mindkét esetben haladéktalanul meg kell kezdeni az esemény hatásainak csökkentését és magának az eseménynek az elemzését. |
|
– Az elemzés eredményét dokumentálni kell, a jegyzőkönyvet legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
|
– Az elemzés eredményét felhasználva el kell dönteni, hogy milyen módon kell a hálózatba beavatkozni, az esemény kivédéséhez és az okozott kár minimalizálásához. Ennek megfelelően ki kell alakítani egy akciótervet. |
|
– A kialakított akciótervet végre kell hajtani folyamatosan ellenőrizve, hogy közben a hálózatban nem keletkeznek-e újabb biztonságot befolyásoló események. |
Eredmény: |
Kezelt biztonsági események. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Biztonsági esemény bekövetkeztekor. |
Incidens menedzsment |
|
Feladat: |
– Incidensnek minősül bármi, ami arra utal, hogy a hálózat nem üzemszerűen, az elvárt módon működik. |
|
– Incidens észlelése történhet a hálózat felügyelet által, illetve felhasználói bejelentésre. |
|
– Mindkét esetben az incidenst az üzemeltető erre a célra használt rendszerében rögzíteni kell az összes felderítést és elhárítást elősegíthető adattal együtt, majd haladéktalanul meg kell kezdeni az esemény hatásainak csökkentését és magának az eseménynek az elemzését. |
|
– Az elemzés eredményét dokumentálni kell, a jegyzőkönyvet legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell őrizni. |
|
– Az elemzés eredményét felhasználva el kell dönteni, hogy milyen módon kell a hálózatba beavatkozni, az esemény kivédéséhez és az okozott kár minimalizálásához. Ennek megfelelően ki kell alakítani egy akciótervet. |
|
– A kialakított akciótervet végre kell hajtani folyamatosan ellenőrizve, hogy közben a hálózatban nem keletkeznek-e újabb biztonságot befolyásoló események. |
|
– Az üzemeltető incidens követő rendszerének képesnek kell lennie az incidensek életciklusának nyomon követésére, a korábbi incidensek közötti keresés támogatására, a problémák eszkalálására stb. |
Eredmény: |
Kialakult incidenskezelési folyamat, hálózati problémák gyors, szakszerű megoldása. |
Felelős: |
Üzemeltető |
Gyakoriság: |
Incidens bekövetkeztekor. |
Nagy felhasználószámú intézmény csatlakozása |
|
Feladat: |
– Amennyiben nagy felhasználószámú intézmény csatlakozik az EKG-hoz, úgy a kormányzati célú hírközlési szolgáltató értesítse az üzemeltetőt, hogy az fel tudjon készülni a várható terhelésnövekedésre. Ilyen esetben eszközbővítések válhatnak szükségessé. |
Eredmény: |
Nagyobb intézmény csatlakozása sem okoz negatív változást az üzemeltetés biztonságában. |
Felelős: |
Kormányzati célú hírközlési szolgáltató |
Gyakoriság: |
Nagy felhasználószámú intézmény csatlakozásakor. |
1. számú függelék23
Megnevezés |
Leírás |
Hálózatgazda |
A közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért felelős miniszter. |
Üzemeltető |
A hálózatgazdával közszolgáltatási szerződéses viszonyban lévő, a hálózat felügyeletéért és rendelkezésre állásáért felelős szervezet. Külön jogszabály alapján a Kopint-Datorg Zrt. |
Távközlési szolgáltatók |
Mindazok a távközlési szolgáltatók vagy konzorciumok, amelyek az EKG üzemeltetéséhez szükséges infrastruktúrát biztosítják. |
Csatlakozott intézmény |
Mindazok a – jellemzően közigazgatási – intézmények, melyek az EKG valamely szolgáltatását igénybe veszik. |
Nagy felhasználószámú intézmény |
Olyan csatlakozott intézmény, amelyben a munkaállomások száma a 400 darabot meghaladja. |
ITSEC |
Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok). |
UPS |
Szünetmentes áramforrás, amely áramkimaradás esetén rövid ideig biztosítja a hozzá kötött eszközök áramellátását. |
VPN |
Virtuális magánhálózat (Virtual Private Network). Használatával a kapcsolódó felek lényegében úgy kommunikálhatnak, külön titkosítás nélkül a nyilvános hálózatokon, mintha külön bérelt, fizikailag elválasztott magánhálózatot hoztak volna létre. |
4. melléklet a 223/2009. (X. 14.) Korm. rendelethez24
biztonsági feltételei
A rendeletet a 85/2012. (IV. 21.) Korm. rendelet 53. § b) pontja hatályon kívül helyezte 2012. április 22. napjával. Alkalmazására lásd e hatályon kívül helyező rendelet 52. §-át.
A 2. § j) pontja a 215/2011. (X. 19.) Korm. rendelet 17. § (1) bekezdésével megállapított szöveg.
Az 5. § (1) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés a) pontja szerint módosított szöveg.
Az 5. § (4) bekezdése a 171/2010. (V. 13.) Korm. rendelet 2. § (10) bekezdése szerint módosított szöveg.
A 6. § (1) bekezdés g) pontja a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés b) pontja szerint módosított szöveg.
A 6. § (4) bekezdése a 171/2010. (V. 13.) Korm. rendelet 1. § 18. pontja szerint módosított szöveg.
A 7. § (3) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés c) pontja szerint módosított szöveg.
A 8. § a 41. § (2) bekezdése alapján 2010. január 1-jén lép hatályba.
A 8. § (6) bekezdés e) pontja a 304/2011. (XII. 23.) Korm. rendelet 38. §-a szerint módosított szöveg.
A 9. § a 41. § (2) bekezdése alapján 2010. január 1-jén lép hatályba.
A 10. § a 41. § (2) bekezdése alapján 2010. január 1-jén lép hatályba.
A 30. § (3) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés d) pontja szerint módosított szöveg.
A 30. § (4) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés e) pontja szerint módosított szöveg.
A 30. § (5) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés c) pontja szerint módosított szöveg.
A 30. § (6) bekezdése a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés f) pontja szerint módosított szöveg.
A 30. § (7) bekezdését a 215/2011. (X. 19.) Korm. rendelet 17. § (2) bekezdése iktatta be.
A 34. §-t és az azt megelőző alcímet a 346/2010. Korm. rendelet 40. § (1) bekezdés f) pontja hatályon kívül helyezte.
A 42. § (1) bekezdését a 43. § – 244/2009. (X. 29.) Korm. rendelet 9. § (1) bekezdése szerint módosított – (2) bekezdése hatályon kívül helyezte.
A 42. § (2) bekezdését a 43. § – 244/2009. (X. 29.) Korm. rendelet 9. § (1) bekezdése szerint módosított – (3) bekezdése hatályon kívül helyezte.
A 42. § (3) bekezdését a 215/2011. (X. 19.) Korm. rendelet 17. § (5) bekezdés a) pontja hatályon kívül helyezte.
A 43. §-t a 215/2011. (X. 19.) Korm. rendelet 17. § (5) bekezdés a) pontja hatályon kívül helyezte.
A 3. melléklet a 346/2010. Korm. rendelet 39. §-a szerint módosított szöveg.
A 3. melléklet 1. számú függeléke a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés g) pontja szerint módosított szöveg.
A 4. melléklet a 215/2011. (X. 19.) Korm. rendelet 17. § (3) bekezdés h)–j) pontja, 17. § (4) bekezdése és 17. § (5) bekezdés b) pontja szerint módosított szöveg.
Jelenleg csak a Java futtató környezet, amely szintén díjtalanul áll rendelkezésre.
Az érintett szervezetek ügyfélszolgálati elérhetőségei a www.magyarorszag.hu honlap hivatalkeresőjében találhatók meg.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás