18/2018. (V. 31.) ORFK utasítás
18/2018. (V. 31.) ORFK utasítás
az Informatikai Biztonsági Szabályzatról
1. melléklet a 18/2018. (V. 31.) ORFK utasításhoz
A lehetséges károk |
Bizalmasság |
Sértetlenség |
Rendelkezésre állás |
|
„1. osztály”: jelentéktelen kár |
|
|||
a) |
a közvetlen és anyagi kár11 az érintett szervezet költségvetéséhez képest jelentéktelen |
|
|
|
b) |
a kiesés 1 embernappal állítható helyre |
|
|
|
c) |
nincs bizalomvesztés, a probléma a szervezeti egységen belül kezelhető |
|
|
|
d) |
testi épség jelentéktelen sérülése egy-két személynél |
|
|
|
e) |
nem jogszabály által védett adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet |
|
|
|
„2. osztály”: csekély kár |
|
|||
a) |
a közvetlen és anyagi kár eléri az érintett szervezet költségvetésének 1%-át |
|
|
|
b) |
a kiesés 1 emberhónappal állítható helyre |
|
|
|
c) |
társadalmi-politikai hatás: kínos helyzet, ami az ORFK-n belül kezelhető |
|
|
|
d) |
könnyű személyi sérülés egy-két személynél |
|
|
|
e) |
személyes adatok bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
f) |
csekély értékű üzleti titok vagy belső (intézményi) szabályzóval védett adat bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
„3. osztály”: közepes kár |
|
|||
a) |
a közvetlen és anyagi kár eléri az érintett szervezet költségvetésének 5%-át |
|
|
|
b) |
a kiesés 1 emberévvel állítható helyre |
|
|
|
c) |
társadalmi-politikai hatás: bizalomvesztés az ORFK középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel |
|
|
|
d) |
több könnyű vagy egy-két súlyos személyi sérülés |
|
|
|
e) |
különleges személyes adatok bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
f) |
nagy tömegű személyes adat bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
g) |
közepes értékű üzleti titok vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok stb.) védett bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
„4. osztály”: nagy kár |
|
|||
a) |
a közvetlen és anyagi kár eléri az érintett szervezet költségvetésének 10%-át |
|
|
|
b) |
a kiesés 1–10 emberévvel állítható helyre |
|
|
|
c) |
társadalmi-politikai hatás: bizalomvesztés az ORFK felső vezetésében, a középvezetésen belül személyi konzekvenciák |
|
|
|
d) |
több súlyos személyi sérülés vagy tömeges könnyű sérülés |
|
|
|
e) |
nagy értékű üzleti titok bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
f) |
nagy tömegű különleges személyes adat bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
„5. osztály”: kiemelkedően nagy kár |
|
|||
a) |
a közvetlen és anyagi kár eléri az érintett szervezet költségvetésének 15%-át |
|
|
|
b) |
a kiesés több mint 10 emberévvel állítható helyre |
|
|
|
c) |
társadalmi-politikai hatás: súlyos bizalomvesztés az ORFK felső vezetésével szemben, személyi konzekvenciák, alapvető emberi vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek |
|
|
|
d) |
egy-két személy halála vagy tömeges sérülések |
|
|
|
e) |
különösen nagy tömegű különleges adat bizalmassága, sértetlensége vagy rendelkezésre állása sérül |
|
|
|
f) |
a nemzeti adatvagyon helyreállíthatatlanul megsérülhet |
|
|
|
g) |
az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított |
|
|
|
h) |
nagy értékű üzleti titok bizalmassága, sértetlensége vagy rendelkezésre állása tömegesen vagy jelentősen sérül |
|
|
|
1 A 41/2015. (VII. 15.) BM rendelet alapján.
név, beosztás
szakmai adatgazda
2. melléklet a 18/2018. (V. 31.) ORFK utasításhoz66
<információs rendszer> Éles-, Tartalék-, Teszt-, Fejlesztő, Oktatói, Integrációs környezete |
Dátum |
Kibocsátó |
Verzió |
Változás |
Név |
Beosztás |
Véleményezett verzió |
Dátum |
Név |
Beosztás |
Jóváhagyott verzió |
Dátum |
Név |
Beosztás |
Milyen körben (Intranet, …) |
Verzió |
Dátum |
Név |
Beosztás |
Rögzített verzió |
Dátum |
Szervezet |
Vizsgált verzió |
A vizsgálat időtartama |
Audit eredménye/tervezett időpontja |
1. Az információs rendszer (Alkalmazás):
a) megnevezése, verziószáma, szabvány szerinti minősítése,
b) funkcionális leírása, milyen értéket ad az ORFK működéséhez, BC (Businness Case),
c) hatóköre, kiterjedtsége (országos, regionális, lokális),
d) alapfeladatai, szolgáltatásai,
e) Internet felőli elérhetőség,
f) információbiztonság szempontjából kritikus elemei,
g) kapcsolódó EU-s fenntartási kötelezettség, évszám,
h) egyedi fejlesztés/dobozos/mix,
i) garanciális időszak, lejárati dátum,
j) az alkalmazás életciklusa, jövőképe, illeszkedése az IT/üzleti stratégiához,
k) felhasználószám, Internet felől elérők száma.
2. Az információs rendszer (Alkalmazás) szakmai besorolása/működési időszak/SLA:
a) szakrendszer: rendvédelem, bűnügy, egyéb…,/támogató, adatklasszifikáció,
b) az adatklasszifikációért felelős szakmai adatgazda,
c) a rendszer működési időszaka, amikor a felhasználók elérik a rendszert,
d) a szakmai felelős területtel egyeztetett vállalt SLA.
3. Az információs rendszer (Alkalmazás) biztonsági besorolása:
a) biztonsági osztályba sorolási szintje (2013. évi L. törvény szerint),
b) a besorolás időpontja, a besorolást végző/jóváhagyó szakmai adatgazda,
c) a rendszerre vonatkozó OVI mátrix sorok (biztonsági követelmények) státusza,
d) a követelményeknek megfelelő aktuális és tervezett védelmi intézkedések listája,
e) nemzeti adatvagyon körébe tartozó állami nyilvántartó rendszer (38/2011. Korm. rend.),
f) létfontosságú rendszerként kijelölésre került (a 2012. évi CLXVI. törvény szerint),
g) az információs rendszer és működési környezete publikálható-e, látogatható-e.
4. Az információs rendszer (Alkalmazás) adatainak tárolási követelményei:
a) az adatmegőrzés törvényben meghatározott ideje (év), mikor törölhető véglegesen,
b) helyben/központilag/felhőben/vegyesen tárolt adatok.
5. Az információs rendszer (Alkalmazás) licenc követelményei:
a) licenc kategóriája (szerver és kliens operációs rendszer, adatbázis, cal),
b) licenc típusa (open source, mennyiségi, egyedi), formátuma, darabszáma, érvényességi ideje,
c) a licencelés alapja (processzor mag, munkaállomáshoz kötött, használat alapú),
d) licenc támogatás (support) lejáratának ideje, reagálási idő,
e) helyi/felhő/mix alapú licenc, függőségek, maradványkockázatok, intézkedési terv,
f) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete.
6. Az információs rendszer (Alkalmazás) környezet rövid leírása:
a) vékony/vastag kliens alkalmazás,
b) kliens oldal: operációs rendszer igény, verziószám,
c) szerver oldal: fizikai/virtualizált környezet: Host név, Cluster név,
d) Host operációs rendszer típusa, verziója,
e) szerver VPN kapcsolatok, IP tartomány,
f) szükséges technikai felhasználók/technikai e-mail-címek (indoklással!),
g) szükséges tűzfal portok (pl. távfelügyeleti port) (indoklással!),
h) helye a hálózati rendszerben: topológia, felhő érintettség (mit ad a szolgáltató?),
i) belső/külső rendszerkapcsolatok, adatkapcsolatok, kiemelten a személyes adatokra.
A(z) <információs rendszer> üzembe helyezése
Környezet |
Alkalmazás verziószáma |
Szervezet |
Felelős |
Időpont |
Telephely/Gépterem |
Éles |
|||||
Tartalék |
|||||
Teszt |
|||||
Oktatói |
|||||
Integrációs |
7. Az információs rendszert (Alkalmazást) futtató környezet, felelősségek, elérhetőségek:
(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)
a) kiterjedése (központi/helyi/felhő),
b) tartalék rendszer leírása (aktív-passzív, aktív-aktív),
c) telephely, gépterem/szerverszoba/külső gépterem megnevezése,
d) a gépterem/szerverszoba IT felügyelete, értesítendők elérhetőséggel,
e) a gépterem/szerverszoba önálló beléptetőrendszere, a beléptetés folyamata, naplózása,
f) naplók ellenőrzési ciklusa,
g) a kommunikációs hálózati kapcsolat rendundanciája, fizikai védelme, nyomvonala,
h) hálózati hiba esetén értesítendők listája elérhetőséggel,
i) az elektromos hálózati betáp redundanciája, nyomvonala, a vészkikapcsolás folyamata,
j) túlfeszültség-, érintés- és villámvédelem, értesítendők elérhetőséggel,
k) hűtőrendszer leírása, felügyelete, értesítendők elérhetőséggel,
l) szünetmentes elektromos hálózat leírása, felügyelete, értesítendők elérhetőséggel,
m) UPS/Aggregátor jog, leírással,
n) tűzvédelem, oltórendszer, szellőztetőrendszer, értesítendők elérhetőségekkel,
o) vészhelyzetek esetére kidolgozott tervek a BCP részeként,
p) a működési környezettel kapcsolatos technikai/humán kockázatok tulajdonosai,
q) maradványkockázatok, korrektív kontrollok,
r) fejlesztési lehetőségek,
s) az intézkedési tervbe került tételek.
8. Az információs rendszert (Alkalmazást) futtató hardver elemek, függőségek:
(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)
a) jóváhagyott rendszerterv, formátuma, elérhetősége,
b) cluster megvalósítása (aktív-aktív, passzív-passzív),
c) a futtató hardverelemek: fajta, típus, rack szekrénybe szerelhetőség, méret,
d) a futtató hardverelemek egyéb rendeltetése, erőforrások megoszlása, kihasználtsága,
e) gyártási év, garancia, gyári szám, leltári szám, rack szekrény megnevezése/száma,
f) a rack szekrényben futó további információs rendszerek megnevezése, függőségek,
g) függőségek esetén a további információs rendszerek üzemeltetője, elérhetőségek,
h) hálózati csatlakozások száma, sebessége,
i) fizikai védelmi elemek,
j) szükséges UPS áthidalási idő, garancia, eseti/rendszeres karbantartási szerződés,
k) elvárt/előírt üzemi hőmérséklet és páratartalom intervalluma,
l) hűtési rendszer (klíma) redundanciája, garancia, karbantartás, elérhetőségek,
m) UPS akkupakk életciklus, üzemeltető, riasztás, átjelzés, ügyelet elérhetőségek,
n) a függőségekkel kapcsolatos technikai/humán kockázatok, a kockázatok tulajdonosai,
o) maradványkockázatok, korrektív kontrollok,
p) fejlesztési lehetőségek,
q) az intézkedési tervbe került tételek.
9. Az információs rendszer (Alkalmazás) üzemeltetése:
a) az alkalmazásüzemeltetés jellege (saját/külsős), felelős elérhetőséggel,
b) rendszergazda szintű üzemeltető szervezet, üzemeltető neve, elérhetőségei,
c) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység (szakmai adatgazda),
(az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is)
d) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,
e) az alkalmazásüzemeltetéssel kapcsolatos technikai/humán kockázatok
(milyen kockázatot jelent, ha az üzemeltetőtől meg kell válni?),
f) a kockázatok tulajdonosai, maradványkockázatok, korrektív kontrollok,
g) fejlesztési lehetőségek,
h) az intézkedési tervbe került tételek.
10. Az üzletmenet-/üzemmenet-/informatikai szolgáltatás folytonossági terv (BCP) alapján:
a) szolgáltatás kimaradásának lehetséges időablaka (pl. konfigurációkezelés, frissítés),
b) a teljes rendszer helyreállítási ideje, figyelembe véve a tartalékrendszert is,
c) vállalt adathelyreállítási idő, vállalt visszaállítási pont,
d) függőségek dokumentálása, figyelembevétele,
e) a biztonságiesemény-kezelés folyamata,
f) a változáskezelés folyamatai, végfelhasználói/terheléses/regressziós tesztek,
g) verziófrissítés folyamata, patch folyamatok,
h) DR terv készítésének ideje, a DR terv auditálási érvényessége (év), DR tesztek,
i) a forráskód elérhetősége (letét/szabadon hozzáférhető), dokumentáció, kapcsolat,
j) a forráskód tárolásának lejárati ideje, a forráskód védelme, verzió kontrollja, felelős,
k) a fennálló technikai/humán kockázatok kiemelése, a kockázatok tulajdonosai,
l) maradványkockázatok, korrektív kontrollok,
m) fejlesztési lehetőségek,
n) az intézkedési tervbe került tételek.
11. Az információs rendszer (Alkalmazás) karbantartása, hibajelzés, hibajavítás:
a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,
b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,
c) támogatási (support) szerződés időtartama, lejárati ideje, SLA, reagálási idő,
d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,
e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,
f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,
g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,
h) ellenőrzési- és karbantartási ütemezés,
i) technikai kapcsolattartó és elérhetőségei,
j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,
k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,
l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,
m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,
n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,
o) kártékony kódoktól mentes diagnosztikai- és teszt programok tekintetében nyilatkozat,
p) a távoli diagnosztikai- és karbantartási környezet biztonsági szintje, nyilatkozat
(nem lehet alacsonyabb biztonsági szintbe sorolva, mint a karbantartandó rendszer!),
q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,
r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,
s) távoli segítségnyújtáskor felhasználói hozzájárulás lehetőségének naplózott biztosítása,
t) távoli elérés esetén a szükséges kétfaktoros hitelesítés megvalósításának leírása,
u) távoli diagnosztika és karbantartás engedélyeztetése a Ticketing rendszerben,
v) távoli diagnosztikai és karbantartási tevékenységek rögzítése a Ticketing rendszerben,
w) távoli diagnosztika és karbantartás eredményének rögzítése a Ticketing rendszerben, hibakódok a Ticketing rendszerben,
x) a karbantartás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
y) a tesztelések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
z) a hibaelhárítás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
aa) technikai/humán maradványkockázatok, korrektív kontrollok,
bb) fejlesztési lehetőségek,
cc) az intézkedési tervbe került tételek.
12. Az információs rendszer (Alkalmazás, adatbázis, konfiguráció) mentése, visszaállítása:
(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)
a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,
b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,
c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),
d) a mentés helye: belső/külső adattáróló,
e) a biztonságos adattárolási helyszín megnevezése, elérhetőségek
(el kell különülni az elsődleges tárolás helyszínétől),
f) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,
g) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,
h) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,
i) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,
j) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,
k) alkalmazás és környezet mentési terv: mentési időszak: napi/heti/havi,
l) alkalmazás és környezet: mentendő adat formátuma: file/image/egyéb,
m) alkalmazás konfigurációjának mentési terve: mentési időszak: napi/heti/havi,
n) alkalmazás konfigurációja: mentendő adat formátuma: file/adatbázis/image/egyéb,
o) alkalmazás licenc: mentési időszak: napi/heti/havi, elérhetősége,
p) alkalmazás licenc: mentendő adat formátuma: file/egyéb,
q) adatbázis mentési terv: mentési időszak: napi/heti/havi,
r) adatbázis mentési terv: mentési eljárás: teljes/inkrementális/differenciális,
s) adatbázis: mentendő adat formátuma: file/adatbázis/image/egyéb,
t) az alkalmazás, a környezet, a konfiguráció teljes dokumentációjának mentése,
u) tervezett leállítás és újraindítás függőségeinek dokumentálása,
v) a függőségek dokumentálása a Secube rendszerben,
w) dokumentációk: mentendő adat formátuma: file/adatbázis/image/egyéb,
x) a mentési, a visszaállítási, a leállítási és az indítási tervek mentése, elérhetősége,
y) a mentési, a visszaállítási, a leállítási és az indítási tervek dokumentációja,
z) tervek: mentendő adat formátuma: file/adatbázis/image/egyéb,
aa) a mentést, visszaállítást, dokumentálást végző szervezet: üzemeltető/külső,
bb) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,
cc) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,
dd) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,
ee) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,
ff) a mentések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
gg) technikai/humán maradványkockázatok, korrektív kontrollok,
hh) fejlesztési lehetőségek,
ii) az intézkedési tervbe került tételek.
13. Az információs rendszer (Alkalmazás) archiválása:
(Éles alkalmazás, környezet, adatbázis, konfiguráció, licenc és dokumentáció)
a) az archív tartalomra vonatkozó szakmai elvárások/jogszabályi előírások, hivatkozás,
b) az archivált adatok eléréséhez kapcsolódó szakmai követelmények,
c) az archiválás helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,
d) az archiválás helyszínének rögzítése a Secube rendszerben,
e) távoli archiválás esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),
f) a biztonságos adattárolási helyszín megnevezése, elérhetőségek
(el kell különülni az elsődleges tárolás helyszínétől),
g) a használt archiválási eszköz (hardver) típusa, gyártója, verziója, támogatása,
h) a használt archiválási adattároló típusa, gyártója, verziója, támogatása
(el kell különülni az információs rendszer adattárolójától),
i) archiválási szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,
j) az archív állományok szállításának módja, védelme, folyamata, feltétele, elérhetőség,
k) az archiválás eszközeinek (sw, hw) rögzítése a Secube rendszerben,
l) archiválási terv: archiválás időszak: heti/havi/negyedév/félév/egyéb,
m) archiválási terv: visszaállítások ütemezett tesztelése: félév/év/egyéb,
n) az archív állomány tartalma: információs rendszer, környezet, verzió, dokumentáció,
o) az archív állomány tartalma: konfiguráció-, licenc dokumentáció,
p) az archív állomány tartalma: adatbázis, dokumentáció (környezet, verzió, licenc),
q) az archív állomány tartalma: teljes telepítési dokumentáció (újraépítés),
r) az archív állomány tartalma: üzemeltetési és felhasználói dokumentáció,
s) az archív állomány tartalma: Rendszerbiztonsági Terv aktuális verziója,
t) az archív állomány tartalma: a mentett állományok dátuma, az archiválás időpontja,
u) az archív állomány formátuma: file/image/egyéb,
v) az archiválás hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
w) technikai/humán maradványkockázatok, korrektív kontrollok,
x) fejlesztési lehetőségek,
y) az intézkedési tervbe került tételek.
14. Az információs rendszer (Alkalmazás) üzemeltetői, felhasználói képzése:
a) a képzés szükségességének (pl. új felhasználó/új verzió) és módszertanának leírása,
b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
d) kulcsfelhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
e) kulcsfelhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
f) mentori képzés: ismétlődése, tematikája, oktató, elérhetőség,
g) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
h) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
i) vizsgáztatás módja, dokumentáció,
j) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
k) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
l) információbiztonsági tudatosítást fokozó képzési elemek (információmegosztás),
m) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
n) technikai/humán maradványkockázatok, korrektív kontrollok,
o) fejlesztési lehetőségek,
p) az intézkedési tervbe került tételek,
q) az információs rendszer használata (érintett folyamatok hol vannak szabályozva?).
15. Hozzáférés az információs rendszerhez (Alkalmazáshoz, adatbázishoz), jogosultságok:
(Az Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezetre is.)
a) szerepkör alapú jogosultságmátrix minden környezetre, verzió, frissítés módja,
b) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,
c) hozzáférési jogosultságok az adathordozókhoz, dokumentáció,
d) a jogosultságok tekintetében (kiadás/korlátozás/megszüntetés) felelős (adatgazda),
e) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
f) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
g) a vezeték nélküli (mobil eszköz) hozzáférés és hozzáférés-kezelés folyamata,
h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben!,
i) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,
j) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,
k) az információs rendszerhez kapcsolódó rendszeradminisztrátorok száma,
l) az információs rendszerhez kapcsolódó felhasználók száma,
m) az információs rendszerhez kapcsolódó távoli felhasználók száma,
n) az információs rendszerhez kapcsolódó külső felhasználók száma,
o) az Internetre kiajánlott alkalmazáshasználók száma,
p) a jogosultságigénylést megelőző regisztrációs folyamat,
q) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,
r) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,
s) a jogosultságot igénylő felhasználók felelősségének pontos leírása,
t) a jogosultságot igénylő felhasználók kötelező tevékenységei,
u) a jogosultságot igénylő felhasználók tiltott tevékenységei,
v) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,
w) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,
x) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,
y) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,
z) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,
aa) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,
bb) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,
cc) annak dokumentált igazolása, hogy a rendszernek csak egyedi felhasználói lehetnek,
dd) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,
ee) azonosítás és hitelesítés nélkül Tilos a rendszerben dolgozni,
ff) központi hitelesítés (pl. AD, Novell) lehetősége az információs rendszerben,
gg) technológiai lehetőségek egy központi hitelesítési rendszerhez,
hh) többfaktoros hitelesítés lehetősége és módja az információs rendszerben,
ii) birtoklás alapú (token) hitelesítés lehetősége és módja az információs rendszerben,
jj) tulajdonság alapú hitelesítés lehetősége és módja az információs rendszerben,
kk) kriptográfiai modulhoz történő hitelesítés megnevezése,
ll) a hitelesítő eszköz igénylést/átvételt megelőző regisztrációs folyamat,
mm) hitelesítésszolgáltató szükségessége, elérhetőség,
nn) hitelesítésszolgáltató által kibocsátott tanúsítványok, lejárati idő, megújítási folyamat,
oo) jelszóval kapcsolatos elvárások, a központi irányelvek érvényesülése,
pp) a hitelesítés mechanizmus lokális/távoli hozzáféréshez,
qq) visszajátszás elleni védelmet biztosító hitelesítési mechanizmus biztosítása
(Csak 5-ös biztonsági osztály esetén elvárás!),
rr) a jogosultsági tábla tárolásának helye, módja,
ss) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,
tt) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,
uu) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,
vv) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,
ww) automatizált sértetlenségkezelő eszköz a szoftver/információ tekintetében,
xx) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,
yy) incidensek, események rögzítése, folyamat, felelős,
zz) jelszóemlékeztető funkció leírása, a működés folyamata,
aaa) az információs rendszer használati feltételeinek kijelzése a hozzáférést megelőzően,
bbb) az információs rendszer használatát segítő felhasználói útmutató/súgó elérhetősége,
ccc) a munkaszakasz zárolásának/feloldásának folyamata, paraméterei,
ddd) a munkaszakasz lezárásának folyamata, paraméterei,
eee) a felhasználói információmegosztás lehetőségei, feltételei,
fff) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,
ggg) az információmegosztás automatizált kontroll és védelmi elemei,
hhh) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,
iii) a hozzáférésekkel, információmegosztással kapcsolatos kockázatok kiemelése,
jjj) a kockázatok tulajdonosai,
kkk) technikai/humán maradványkockázatok, korrektív kontrollok,
lll) fejlesztési lehetőségek,
mmm) az intézkedési tervbe került tételek.
nnn) alkalmazásprogramozási interfész (a továbbiakban: API) security checklist,
ooo) API kulcsok tárolása.
16. Biztonsággal kapcsolatos védelmek (Alkalmazás, adatbázis, adatátvitel):
(Az információs rendszer Éles-, Tartalék-, Teszt-, Fejlesztő-, Oktatói, Integrációs környezete)
a) a frissítések kiadása, telepítések módja, reagálási idő,
b) az ismert sérülékenységek javítási határideje, biztonsági tesztek leírása,
c) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,
d) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
e) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
f) biztonsági rendszernapló automatizált védelme, mentések,
g) a rendszernapló automatizált védelme, mentések,
h) biztonsági funkciók elkülönítése, információmaradványok automatizált törlése,
i) automatizált alkalmazás és adatbázis kontroll (pl. túlterhelés ellen, memóriavédelem),
j) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,
k) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),
l) böngészőben megjelenő felület esetén a futtatható kódok korlátozásának lehetőségei,
m) office alkalmazásba épülő modul esetén a futtatható kódok korlátozásának lehetőségei,
n) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,
o) monitorozott elemek, monitorozó eszközök, incidensek, kapcsolódó folyamatok,
p) riportban szereplő elemek, a riportolás eszközei, a riportok felhasználói köre,
q) a kockázatok tulajdonosai,
r) technikai/humán maradványkockázatok, korrektív kontrollok,
s) fejlesztési lehetőségek,
t) az intézkedési tervbe került tételek.
17. Gyártói/szállítói/támogatói függőségek, visszajelzések, értékelések, jövőkép:
a) gyártói/szállítói/támogatói függőségek (minősítések),
b) gyártói/szállítói/támogatói visszajelzések,
c) gyártói/szállítói/támogatói értékelések,
d) gyártói/szállítói/támogatói jövőkép,
e) gyártói/szállítói/támogatói kockázatok feltárása,
f) maradványkockázatok, korrektív kontrollok,
g) fejlesztési lehetőségek,
h) az intézkedési tervbe került tételek.
18. Audit/tanúsítási terv, terület, cél, szervezet, auditori/tanúsítói jelentések, értékelések:
a) auditálási terv, terület, cél (belső/külső/független/előaudit/felülvizsgálati audit),
b) tanúsítási audit terv, terület, cél (belső/külső/független/előaudit/tanúsító audit),
c) auditori jelentések, értékelések (előaudit/felülvizsgálati audit), dokumentáció,
d) tanúsítói jelentések, értékelések (tanúsító audit), dokumentáció, elérhetőség,
e) az audit jelentések eredményeképpen az intézkedési tervbe került tételek.
19. Az információs rendszer (Alkalmazás) által kiváltott papíralapú folyamatok:
megvalósított folyamatok, folyamatgazdák, illeszkedés a vállalati folyamatokhoz, BCP
20. Az információs rendszerben (/által) kezelt személyes és különleges adatok (GDPR):
a) személyes/különleges adatok kezelésének dokumentált, naplózott folyamata,
b) fejlesztői nyilatkozat: az adatkezelést folytató személy azonosítása folyamatos és zárt,
c) személyes/különleges adatok tárolási helye (adatbázis és rekord szinten),
d) személyes/különleges adatok tárolási ideje,
e) adatmodell, táblatér/oszlopszintű titkosítás, exportálási lehetőségek,
f) kulcs menedzsment, a kulcsok tárolásának módja, helye,
g) adatbázis életciklus menedzsment, SQL forgalom titkosítás magvalósítása,
h) privilegizált felhasználók (DBA) kontrollja,
i) adatbázis biztonsági kontrollok, audit trail naplózás,
j) adattörlési folyamatok az információs rendszerben, az adattörlések indokai,
k) ha a személyes/különleges adatok adattörlés nem lehetséges, annak indokai,
l) gyártói/fejlesztői nyilatkozat arról, hogy milyen adatok kerülnek ki hozzá,
m) adattulajdonos felhőben történő adattárolás esetén,
n) hozzáférés az adatokhoz a felhős adattárolás megszűnése esetén,
o) SQL utasítás-elemzés aktivitása (adatbázis oldali tűzfal),
p) adatbázis használatának monitorozása,
q) az adatbázis mentésének licence igénye, felelős, kapcsolat,
r) adatbáziskezelő frissítésének folyamata, kontrollok,
s) adatszivárgás elleni védelem megvalósítása az adatklasszifikáció alapján,
t) adatkezelési kockázatok, maradványkockázatok, korrektív kontrollok,
u) fejlesztési lehetőségek,
v) az intézkedési tervbe került tételek.
A(z) <információs rendszer> fejlesztése/üzemeltetése során megfogalmazott maradványkockázatok:
Maradványkockázatok |
Korrektív kontrollok |
Elvégzendő feladat |
Vállalt határidő |
Szervezet |
Felelős |
Státusz |
Elvégzendő feladat |
Projekt/Beszerzés |
Szervezet |
PM/Felelős |
Státusz |
3. melléklet a 18/2018. (V. 31.) ORFK utasításhoz67
Változáskövetés |
|||
Dátum |
Kibocsátó |
Verzió |
Változás |
Név |
Beosztás |
Véleményezett verzió |
Dátum |
Név |
Beosztás |
Jóváhagyott verzió |
Dátum |
Név |
Beosztás |
Milyen körben (Intranet, …) |
Verzió |
Dátum |
Név |
Beosztás |
Rögzített verzió |
Dátum |
Szervezet |
Vizsgált verzió |
A vizsgálat időtartama |
Az audit eredménye/tervezett időpontja |
1. Az informatikai hálózat és telefonközpontok:
a) topológiája,
b) típusa, strukturáltság, összetettség,
c) hatóköre, kiterjedtsége, szolgáltatásai,
d) logikai felépítése, zónák, biztonsági határok,
e) aktív hálózati elemei (switch, router, proxy, tűzfal, WiFi AP, IPS, IDS, DNS, Honeypot, Adatdióda),
f) vásárolt hálózati szolgáltatások (Open DNS, SysLog, APN, MDM, végpontvédelem),
g) Internet irányú kapcsolatai, az Internet felöl látszódó IP címek, tartományok,
h) felhasználószámok [vezetékes, vezeték nélküli (WiFi, APN, egyéb…)],
i) információbiztonság szempontjából kritikus elemei (külső/belső határvédelem),
j) információbiztonság szempontjából redundáns elemei (eszköz, nyomvonal),
k) a telefonközpontok kapcsolatai, felhasználószámok,
l) kapcsolódó EU-s fenntartási kötelezettség, évszám.
m) security policy management eszköz.
2. Az informatikai hálózat és telefonközpontok/működési időszakai/SLA:
a) a rendszer működési időszaka, amikor a felhasználók használhatják a hálózatot,
b) a telefonközpontok működési időszakai, SLA-k.
3. Az informatikai hálózat, aktív elemek, telefonközpontok kockázati besorolása:
a) a hálózat kockázati besorolása: alacsony/közepes/magas,
b) a WiFi hálózat kockázati besorolása: alacsony/közepes/magas,
(Besorolásnál kötelezően megadandó a VPN vagy az internet szegmens, hogy a megfelelő besorolás és kezelés lehetővé váljon),
c) a hálózat aktív elemeinek biztonsági besorolása: alacsony/közepes/magas,
d) a WiFi hálózat aktív elemeinek biztonsági besorolása: alacsony/közepes/magas,
e) telefonközpontok biztonsági besorolása: alacsony/közepes/magas.
4. Az informatikai hálózat aktív elemeinek licenc követelményei:
a) licenc típusa aktív eszköztípusonként, formátuma, darabszáma, érvényességi ideje,
b) az egyes licencek támogatása (support) lejáratának ideje,
c) helyi/felhő/mix alapú licenc, függőségek,
d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete,
e) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,
f) maradványkockázatok, korrektív kontrollok,
g) fejlesztési lehetőségek,
h) az intézkedési tervbe került tételek.
5. A WiFi hálózat aktív elemeinek (AP) és management eszközeinek licenc követelményei:
a) licenc típusa aktív eszköztípusonként, formátuma, darabszáma, érvényességi ideje,
b) az egyes licencek támogatása (support) lejáratának ideje,
c) helyi/felhő/mix alapú licenc, függőségek,
d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete, a tanúsítványalapú hitelesítés leírása,
e) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,
f) maradványkockázatok, korrektív kontrollok,
g) fejlesztési lehetőségek,
h) az intézkedési tervbe került tételek.
6. A telefonközpontok licenc követelményei:
a) licenc típusa telefonközpontonként, formátuma, darabszáma, érvényességi ideje,
b) az egyes licencek támogatása (support) lejáratának ideje,
c) helyi/felhő/mix alapú licenc, függőségek,
d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete,
e) hangátviteli (VoIP) szolgáltatások, korlátozások, SLA,
f) a szükséges licencek/tanúsítványok hiányának kockázatai, kockázatok tulajdonosai,
g) maradványkockázatok, korrektív kontrollok,
h) fejlesztési lehetőségek,
i) az intézkedési tervbe került tételek.
7. Az informatikai hálózati környezet rövid leírása:
a) belső/külső rendszerkapcsolatok,
b) hozzáférési lehetőségek globális kiberbiztonsági adatbázisokhoz,
c) valós idejű, felhő alapú kapcsolatok,
d) WiFi rendszer helye az informatikai hálózatban,
e) a telefonközpont helye az informatikai hálózatban,
f) logikai felépítés zónák, határok, kapcsolatok, irányokat, folyamatokat is tartalmazó rajz.
Az informatikai hálózat aktív eszközeinek üzembe helyezése
Hálózati szegmens |
Aktív eszköz |
IP/Mac |
Szervezet |
Felelős |
Időpont |
Hálózati szegmens |
Eszköz |
IP/Mac |
Szervezet |
Felelős |
Időpont |
Hálózati szegmens |
Telefonközpont |
IP/Mac |
Szervezet |
Felelős |
Időpont |
8. Az informatikai hálózat, telefonközpontok környezete, felelősségek, elérhetőségek:
a) a hálózat kiterjedése: telephelyek, telephelyi strukturáltság/telephelyi rendezők,
b) a WiFi hálózat kiterjedése: telephelyek, telephelyi strukturáltság/telephelyi rendezők,
c) a telefonközpontok: telephely, gépterem, telephelyi strukturáltság/telephelyi rendezők,
d) gépterem/rendezők felügyelete, értesítendők elérhetőséggel,
e) gépterem/rendezők beléptetőrendszere, a beléptetés folyamata, naplózása,
f) naplók ellenőrzési ciklusa,
g) a hálózati eszközök, hálózati nyomvonalak redundanciája, fizikai védelme,
h) a WiFi hálózati eszközök, hálózati nyomvonalak redundanciája, fizikai védelme,
i) telefonközpontok, hálózati nyomvonalainak redundanciája, fizikai védelme,
j) hálózati hiba esetén értesítendők listája elérhetőséggel,
k) WiFi hálózati hiba esetén értesítendők listája elérhetőséggel,
l) telefonközponti hiba esetén értesítendők listája elérhetőséggel,
m) az elektromos hálózati betáp redundanciája, nyomvonala, értesítendők elérhetőséggel,
n) hűtőrendszer leírása, felügyelete, értesítendők elérhetőséggel,
o) szünetmentes elektromos hálózat leírása, felügyelete, értesítendők elérhetőséggel,
p) UPS/Aggregátor jog, leírással,
q) felelősségi zónák logikai határai, elemek besorolása,
r) vészhelyzetek esetére kidolgozott tervek a BCP részeként,
s) működési környezeti kockázatok, kockázatok tulajdonosai,
t) maradványkockázatok, korrektív kontrollok,
u) fejlesztési lehetőségek,
v) az intézkedési tervbe került tételek.
9. Az informatikai hálózat (vezetékes és WiFi) aktív elemei, telefonközpontok, függőségek:
a) jóváhagyott rendszertervek (WiFi rendszerterv is), formátuma, elérhetősége,
b) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,
c) aktív hálózati elemek: fajta, típus, rack szekrénybe szerelhetőség, méret,
d) aktív hálózati elemek automatizált azonosítása a hálózatban,
e) a futtató hardverelemek egyéb rendeltetése, erőforrások megoszlása, kihasználtsága,
f) gyártási év, garancia, gyári szám, leltári szám, rack szekrény megnevezése/száma,
g) a rack szekrényben futó további információs rendszerek megnevezése, függőségek,
h) függőségek esetén a további információs rendszerek üzemeltetője, elérhetőségek,
i) az összetartozó elemek zónákba, csoportokba rendezése,
j) hálózati csatlakozások száma, sebessége,
k) fizikai védelmi elemek,
l) szükséges UPS áthidalási idő, garancia, eseti/rendszeres karbantartási szerződés,
m) UPS akkupakk életciklus, üzemeltető, riasztás, átjelzés, ügyelet elérhetőségek,
n) elvárt/előírt üzemi hőmérséklet intervalluma,
o) hűtési rendszer (klíma) redundanciája, garancia, karbantartás, elérhetőségek,
p) a hűtési rendszer riasztásai, átjelzései, ügyelet elérhetőségek,
q) függőségi kockázatok, kockázatok tulajdonosai,
r) maradványkockázatok, korrektív kontrollok,
s) fejlesztési lehetőségek,
t) az intézkedési tervbe került tételek.
10. Az informatikai hálózat üzemeltetése:
a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,
b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,
c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,
d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,
e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,
f) a listák elérhetősége.
11. A WiFi hálózat üzemeltetése:
a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,
b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,
c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,
d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,
e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,
f) a listák elérhetősége.
12. A telefonközpontok üzemeltetése:
a) az üzemeltetés jellege (saját/külsős), felelős elérhetőséggel,
b) hozzáférést (jogosultságot) engedélyező szakmai felelős szervezeti egység,
c) üzemeltetői utasítás, kiadás dátuma, érvényesség státusza,
d) engedélyezett szolgáltatást nyújtó és használó eszköztípusok listája,
e) az ORFK biztonsági architektúrájának megfelelő aktív hálózati elemek alkalmazása,
f) a listák elérhetősége.
13. Az üzletmenet-/üzemmenet-/informatikai szolgáltatás folytonossági terv (BCP) alapján:
(Minden hálózati aktív elemre (WiFi is), szegmensenként, minden telefonközpontra!)
a) szolgáltatás kimaradásának lehetséges időablaka (pl. konfigurációkezelés, frissítés),
b) a teljes rendszer helyreállítási ideje, figyelembe véve a tartalékrendszert is,
c) függőségek dokumentálása, figyelembevétele,
d) zónákba, illetve logikai csoportokba, alcsoportokba rendezés,
e) DR terv készítésének ideje, a DR terv auditálási érvényessége (év),
f) a fennálló kockázatok kiemelése, kockázatok tulajdonosai,
g) maradványkockázatok, korrektív kontrollok,
h) fejlesztési lehetőségek,
i) az intézkedési tervbe került tételek.
14. Az informatikai hálózat karbantartása, hibajelzés, hibajavítás:
a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,
b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,
c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,
d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,
e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,
f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,
g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,
h) ellenőrzési és karbantartási ütemezés,
i) technikai kapcsolattartó és elérhetőségei,
j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,
k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,
l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,
m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,
n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,
o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,
p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,
q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,
r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,
s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
v) maradványkockázatok, korrektív kontrollok,
w) fejlesztési lehetőségek,
x) az intézkedési tervbe került tételek.
y) az aktív eszközök frissítéséhez szükséges internetkapcsolat adatdiódán keresztül történő egyirányú biztosítása.
15. WiFi hálózat karbantartása, hibajelzés, hibajavítás:
a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,
b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,
c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,
d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,
e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,
f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,
g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,
h) ellenőrzési és karbantartási ütemezés,
i) technikai kapcsolattartó és elérhetőségei,
j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,
k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,
l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,
m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,
n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,
o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,
p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,
q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,
r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,
s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
v) biztonsági zónahatár, leválasztási pont,
w) maradványkockázatok, korrektív kontrollok,
x) fejlesztési lehetőségek,
y) az intézkedési tervbe került tételek.
z) WiFi bejelentkezési portál dokumentációja (pl. forráskód letölthetősége).
16. A telefonközpontok karbantartása, hibajelzés, hibajavítás:
a) eseti és rendszeres karbantartást végző szervezet (külső/belső), elérhetőségekkel,
b) garanciális időszak alatt elérhető gyártói/fejlesztői támogatás, elérhetőségekkel, SLA,
c) támogatási (support) szerződés időtartama, lejárati ideje, SLA,
d) az eseti (pl. konfiguráció, licenc) és rendszeres karbantartás folyamatai, időablakai,
e) a hibajelzés, tesztelés, hibajavítás folyamatai, időablakai,
f) rendszeres ellenőrzést végző szervezet és személy, elérhetőséggel,
g) a hibajavítást, tesztelést végző szervezet és személy, elérhetőséggel,
h) ellenőrzési és karbantartási ütemezés,
i) technikai kapcsolattartó és elérhetőségei,
j) az automatizált hibaátjelzés lehetősége a szállító/fejlesztő Ticketing rendszere felé,
k) a karbantartás során használandó eszközök (szoftverek) listája, verziója, eredete,
l) a hibaelhárítás során használandó eszközök (szoftverek) listája, verziója, eredete,
m) a tesztelések során használandó eszközök (szoftverek) listája, verziója, eredete,
n) automatizált hibaelhárítási eszközök (szoftverek) listája, verziója, eredete,
o) kártékony kódoktól mentes diagnosztikai és tesztprogramok tekintetében nyilatkozat,
p) a távoli diagnosztikai és karbantartási környezet biztonsági szintje, nyilatkozat,
q) a távoli karbantartás indokának, lehetőségének, folyamatának és naplózásának leírása,
r) távoli segítségnyújtás lehetőségének, technikai feltételeinek és folyamatának leírása,
s) a karbantartás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
t) a tesztelések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
u) a hibaelhárítás hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
v) maradványkockázatok, korrektív kontrollok,
w) fejlesztési lehetőségek,
x) az intézkedési tervbe került tételek.
17. Az informatikai hálózat aktív elemei konfigurációjának mentése, visszaállítása:
a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,
b) teljes logikai rendszerterv, zónákkal, határokkal, többszintű alábontással, fizikai eszköz hozzárendeléssel,
c) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,
d) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),
e) a mentés helye: belső/külső adattáróló,
f) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,
g) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,
h) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,
i) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,
j) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,
k) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,
l) a licenc: mentési időszak: napi/heti/havi, elérhetősége,
m) a licenc: mentendő adat formátuma: file/egyéb,
n) a konfiguráció és a teljes hálózat dokumentációjának mentése,
o) a függőségek dokumentálása a Secube rendszerben,
p) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,
q) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,
r) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,
s) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,
t) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,
u) a mentések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
v) maradványkockázatok, korrektív kontrollok,
w) fejlesztési lehetőségek,
x) az intézkedési tervbe került tételek.
y) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása.
18. A WiFi hálózat aktív elemei konfigurációjának mentése, visszaállítása:
a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások,
b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,
c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),
d) a mentés helye: belső/külső adattáróló,
e) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,
f) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,
g) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,
h) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,
i) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,
j) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,
k) a licenc: mentési időszak: napi/heti/havi, elérhetősége,
l) a licenc: mentendő adat formátuma: file/egyéb,
m) a konfiguráció és a teljes hálózat dokumentációjának mentése,
n) a függőségek dokumentálása a Secube rendszerben,
o) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,
p) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,
q) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,
r) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,
s) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,
t) a mentések hiányából adódó kockázatok kiemelése, kockázatok tulajdonosai,
u) maradványkockázatok, korrektív kontrollok,
v) fejlesztési lehetőségek,
w) az intézkedési tervbe került tételek.
x) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása.
19. A telefonközpontok konfigurációjának mentése, visszaállítása:
a) a mentett tartalomra és a tartalom elérésére vonatkozó szakmai elvárások, SLA,
b) a mentés helyszíne: telephely/gépterem/szerverszoba/külső (távoli) gépterem,
c) távoli mentés esetén a kommunikációs csatorna védettsége (kriptográfiai/fizikai),
d) a mentés helye: belső/külső adattáróló,
e) a használt mentési eszköz (szoftver) típusa, gyártója, verziója, támogatása,
f) a használt mentési eszköz (szoftver) működéséhez szükséges licenc és lejárata,
g) a használt mentési eszköz (hardver) típusa, gyártója, verziója, támogatása,
h) mentési szolgáltatás leírása, szolgáltatója, támogatása, folyamata, elérhetőségek,
i) a mentés eszközeinek (sw, hw) rögzítése a Secube rendszerben,
j) a konfiguráció: mentendő adat formátuma: file/adatbázis/image/egyéb,
k) a licenc: mentési időszak: napi/heti/havi, elérhetősége,
l) a licenc: mentendő adat formátuma: file/egyéb,
m) a konfiguráció és a teljes hálózat dokumentációjának mentése,
n) a függőségek dokumentálása a Secube rendszerben,
o) a konfiguráció mentés, visszaállítás, dokumentálást végző szervezet: üzemeltető/külső,
p) a mentést, visszaállítást, a leállítást és az indítást végző üzemeltető,
q) a mentési, a visszaállítási, a leállítási és az indítási tervek papíralapú elérhetősége,
r) a mentési, visszaállítási, a leállítási és az indítási tervek papíros elérhetősége,
s) a mentésekből történő visszaállítási tesztek folyamata, felelős megnevezése,
t) a mentések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
u) maradványkockázatok, korrektív kontrollok,
v) fejlesztési lehetőségek,
w) az intézkedési tervbe került tételek.
20. Az informatikai hálózat (vezetékes és WiFi), üzemeltetői, felhasználói képzése:
a) a képzés szükségességének (pl. új üzemeltető/WiFi) és módszertanának leírása,
b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
d) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
e) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
f) vizsgáztatás módja, dokumentáció,
g) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
h) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
i) információbiztonsági tudatosítást fokozó képzési elemek,
j) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
k) maradványkockázatok, korrektív kontrollok,
l) fejlesztési lehetőségek,
m) az intézkedési tervbe került tételek.
21. A telefonközpontok üzemeltetői, felhasználói képzése:
a) a képzés szükségességének és módszertanának leírása,
b) üzemeltetői elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
c) üzemeltetői gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
d) felhasználói elméleti képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
e) felhasználói gyakorlati képzés: ideje, ismétlődése, tematikája, oktató, elérhetőség,
f) vizsgáztatás módja, dokumentáció,
g) kapcsolódó e-learning oktatóanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
h) kapcsolódó e-learning vizsgaanyag tematikája, elérhetősége, fejlesztője, elérhetőség,
i) információbiztonsági tudatosítást fokozó képzési elemek,
j) a képzések hiányából adódó kockázatok kiemelése, a kockázatok tulajdonosai,
k) maradványkockázatok, korrektív kontrollok,
l) fejlesztési lehetőségek,
m) az intézkedési tervbe került tételek.
22. Hozzáférés az informatikai hálózathoz, jogosultságok (APN is):
a) szerepkör alapú jogosultságmátrix minden releváns aktív eszközre, frissítés módja (személyzeti rendszerrel és címtárral összekapcsolás minden erre alkalmas elemnél),
b) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,
c) a jogosultságok tekintetében (kiadás/korlátozás/megszűntetés) felelős (adatgazda),
d) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
e) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
f) a vezeték nélküli (mobil eszköz) APN hozzáférés és hozzáférés-kezelés folyamata,
g) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,
h) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,
i) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,
j) az informatikai hálózathoz kapcsolódó rendszeradminisztrátorok száma,
k) az informatikai hálózathoz kapcsolódó felhasználók száma,
l) az informatikai hálózathoz kapcsolódó külső felhasználók száma,
m) a jogosultságigénylést megelőző regisztrációs folyamat,
n) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,
o) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,
p) a jogosultságot igénylő felhasználók felelősségének pontos leírása,
q) a jogosultságot igénylő felhasználók kötelező tevékenységei,
r) a jogosultságot igénylő felhasználók tiltott tevékenységei,
s) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,
t) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,
u) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,
v) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,
w) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,
x) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,
y) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,
z) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,
aa) azonosítás és hitelesítés nélkül Tilos a rendszerben dolgozni,
bb) a jogosultsági tábla tárolásának helye, módja,
cc) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,
dd) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,
ee) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,
ff) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,
gg) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver tekintetében,
hh) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,
ii) jelszóemlékeztető funkció leírása, a működés folyamata,
jj) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,
kk) az információmegosztás automatizált kontroll és védelmi elemei,
ll) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,
mm) a hozzáféréssekkel, információmegosztással kapcsolatos kockázatok kiemelése,
nn) maradványkockázatok, korrektív kontrollok,
oo) fejlesztési lehetőségek,
pp) az intézkedési tervbe került tételek.
23. WiFi hozzáférés management, jogosultságok:
a) szerepkör alapú jogosultságmátrix a WiFi hálózatokhoz,
b) központi és címtár alapú azonosítás,
c) külsős (vendég) WiFi hálózat ideiglenes használatának kialakíthatósága,
d) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,
e) a jogosultságok tekintetében (kiadás/korlátozás/megszüntetés) felelős (adatgazda),
f) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
g) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,
i) szükséges külsős (vendég) hozzáférések indoklása, technikai leírása, dokumentáció,
j) a szükséges külsős hozzáférések esetén titoktartási nyilatkozat, dokumentáció,
k) a WiFi hálózathoz kapcsolódó rendszeradminisztrátorok száma,
l) a WiFi hálózathoz kapcsolódó felhasználók száma,
m) a WiFi hálózathoz kapcsolódó külső felhasználók száma,
n) a WiFi jogosultság igénylést megelőző regisztrációs folyamat,
o) a WiFi jogosultságot igénylő felhasználókkal szembeni elvárások leírása,
p) a WiFi jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,
q) a WiFi jogosultságot igénylő felhasználók felelősségének pontos leírása,
r) a WiFi jogosultságot igénylő felhasználók kötelező tevékenységei,
s) a WiFi jogosultságot igénylő felhasználók tiltott tevékenységei,
t) a WiFi jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,
u) a WiFi jogosultsággal rendelkező felhasználókra vonatkozó szabályok,
v) a WiFi jogosultsággal rendelkező felhasználók felelősségének pontos leírása,
w) a WiFi jogosultsággal rendelkező felhasználók kötelező tevékenységei,
x) a WiFi jogosultsággal rendelkező felhasználók tiltott tevékenységei,
y) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,
z) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,
aa) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,
bb) azonosítás és hitelesítés nélkül tilos a rendszerben dolgozni,
cc) megvalósított mac address szürés,
dd) a WiFi jogosultsági tábla tárolásának helye, módja,
ee) a WiFi hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,
ff) a WiFi hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,
gg) incidenskezelés és kommunikáció folyamata a WiFi hozzáférések tekintetében,
hh) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,
ii) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver/információ tekintetében,
jj) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,
kk) jelszóemlékeztető funkció leírása, a működés folyamata,
ll) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,
mm) az információmegosztás automatizált kontroll és védelmi elemei,
nn) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,
oo) a hozzáféréssekkel, információmegosztással kapcsolatos kockázatok kiemelése,
pp) maradványkockázatok, korrektív kontrollok,
qq) fejlesztési lehetőségek,
rr) az intézkedési tervbe került tételek.
24. Hozzáférés a telefonközpontokhoz, jogosultságok:
a) szerepkör alapú jogosultságmátrix minden releváns aktív eszközre, frissítés módja,
b) (amely eszköznél lehetséges címtár integráció és központi jogosultság kezelés),
c) egyedi azonosítás és a legszűkebb jogosultság elvének érvényesítése,
d) a jogosultságok tekintetében (kiadás/korlátozás/megszűntetés) felelős (adatgazda),
e) a hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
f) a távoli hozzáférés-kezelés folyamata (igénylés/módosítás/kiadás/korlátozás/törlés),
g) a vezeték nélküli (mobil eszköz) hozzáférés és hozzáférés-kezelés folyamata,
h) a hozzáférés-kezelés folyamatának lépései rögzítésre kerülnek a Ticketing rendszerben,
i) szükséges külső (távoli) hozzáférések indoklása, technikai leírása, dokumentáció,
j) a szükséges külső hozzáférések esetén titoktartási nyilatkozat, dokumentáció,
k) az informatikai hálózathoz kapcsolódó rendszeradminisztrátorok száma,
l) az informatikai hálózathoz kapcsolódó felhasználók száma,
m) az informatikai hálózathoz kapcsolódó külső felhasználók száma,
n) a jogosultságigénylést megelőző regisztrációs folyamat,
o) a jogosultságot igénylő felhasználókkal szembeni elvárások leírása,
p) a jogosultságot igénylő felhasználókra vonatkozó szabályok megfogalmazása,
q) a jogosultságot igénylő felhasználók felelősségének pontos leírása,
r) a jogosultságot igénylő felhasználók kötelező tevékenységei,
s) a jogosultságot igénylő felhasználók tiltott tevékenységei,
t) a jogosultsággal rendelkező felhasználókkal szembeni elvárások leírása,
u) a jogosultsággal rendelkező felhasználókra vonatkozó szabályok megfogalmazása,
v) a jogosultsággal rendelkező felhasználók felelősségének pontos leírása,
w) a jogosultsággal rendelkező felhasználók kötelező tevékenységei,
x) a jogosultsággal rendelkező felhasználók tiltott tevékenységei,
y) hozzájárulási nyilatkozat a felhasználói tevékenység monitorozásához, elemzéséhez,
z) hozzájárulási nyilatkozat az rendszeradminisztrátori tevékenység monitorozásához,
aa) igazolás, hogy azonosítás és hitelesítés nélkül lehetetlen a rendszerben dolgozni,
bb) azonosítás és hitelesítés nélkül tilos a management rendszerben dolgozni,
cc) a jogosultsági tábla tárolásának helye, módja,
dd) a hozzáférések ellenőrzésének módja, naplózása, a naplók megőrzésének ideje, helye,
ee) a hozzáférések naplójának ellenőrzése, monitorozása, elemzése, ütemezések,
ff) incidenskezelés és kommunikáció folyamata a hozzáférések tekintetében,
gg) incidenskezelés és kommunikáció folyamata a tiltott/szokatlan tevékenység esetén,
hh) automatizált sértetlenségkezelő eszköz alkalmazása a szoftver tekintetében,
ii) automatizált incidenskezelés, riasztás, átjelzés, folyamat, felelős,
jj) jelszóemlékeztető funkció leírása, a működés folyamata,
kk) a rendszeradminisztrátori információmegosztás lehetőségei, feltételei,
ll) az információmegosztás automatizált kontroll és védelmi elemei,
mm) információmegosztási folyamat, ha a rendszer biztosít nyilvánosan elérhető tartalmat,
nn) az igénybe vett VOIP szolgáltatásnál meghatározott SLA elemek,
oo) a hozzáférésekkel, információmegosztással kapcsolatos kockázatok kiemelése,
pp) maradványkockázatok, korrektív kontrollok,
qq) fejlesztési lehetőségek,
rr) az intézkedési tervbe került tételek.
25. Biztonsággal kapcsolatos védelmek (informatikai hálózat aktív és management eszközei):
a) a frissítések kiadása, telepítések módja, reagálási idő,
b) az ismert sérülékenységek javítási határideje,
c) a eseménykezelő központ által jelzett hálózatbiztonsági események, sérülékenységek figyelése,
d) valós idejű védelem: hozzáférési lehetőségek globális kiberbiztonsági adatbázisokhoz,
e) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,
f) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
g) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
h) biztonsági rendszernapló automatizált védelme, mentések,
i) a rendszernapló automatizált védelme, mentések,
j) határvédelmi, túlterhelés elleni védelmi eszközök és eljárások (IDS, IPS, DDos),
k) végpontvédelemi eszközök (vírus, spam…), lehetőségek, frissítések,
l) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,
m) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),
n) forgalmi statisztikai adatok automatizált elemzésének lehetősége,
o) szokatlan felhasználói tevékenységek automatizált elemzési, riasztási lehetőségei,
p) szokatlan adatforgalom automatizált elemzési, riasztási lehetőségei,
q) hálózati határvédelmi adatkommunikáció automatizált elemzési, riasztási lehetőségei,
r) hálózati határvédelmi szabályok és kivételek dokumentációja, eljárások,
s) hálózati forgalomáramlási szabályok és kivételek dokumentációja, eljárások,
t) a hálózat jogosulatlan használatának azonosítása, naplózása, elemzése, riasztás,
u) URL- és tűzfal szabályrendszerek, portok rendszeres felülvizsgálata, dokumentáció,
v) nyilatkozat a tűzfal gyártójától, hogy a terméke milyen adatokat küld ki a hálózaton a gyártó felé,
w) port management dokumentálása a Ticketing rendszerben,
x) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,
y) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,
z) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,
aa) központi felügyeleti (management) rendszerhez illesztés lehetőségei,
bb) központi naplógyűjtés és elemzés lehetőségei,
cc) a kiváltó ok elemzésének lehetőségei (root cause analysis),
dd) naplózható és naplózandó események, felülvizsgálat rendszeressége,
ee) riportolási lehetőségek, eszközök, automatizált megoldások,
ff) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,
gg) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,
hh) viselkedésfigyelés: a fertőzés terjedésének, megállításának eszközei, lehetőségei,
ii) nyilvánosan hozzáférhető rendszerelemek fizikai védelme,
jj) nyilvánosan hozzáférhető szolgáltatások logikai védelme,
kk) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,
ll) maradványkockázatok, korrektív kontrollok,
mm) fejlesztési lehetőségek,
nn) az intézkedési tervbe került tételek.
oo) az eseti vizsgálatokra fenntartott szabad fizikai portok listája.
26. A WiFi szolgáltatás biztonságával kapcsolatos védelmek (AP és management eszközök):
a) kapcsolati határ, biztonsági zónák, logikai rajz,
b) a frissítések kiadása, telepítések módja, reagálási idő,
c) az ismert sérülékenységek javítási határideje,
d) a eseménykezelő központ által jelzett hálózatbiztonsági események, sérülékenységek figyelése,
e) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,
f) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
g) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
h) biztonsági rendszernapló automatizált védelme, mentések,
i) a rendszernapló automatizált védelme, mentések,
j) hálózati határvédelmi, túlterhelés elleni védelmi eszközök és eljárások,
k) hálózati határvédelmi szabályok és kivételek dokumentációja, eljárások,
l) hálózati forgalomáramlási szabályok és kivételek dokumentációja, eljárások,
m) végpontvédelemi eszközök (vírus, spam…), lehetőségek, frissítések,
n) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,
o) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),
p) az információ továbbítása során alkalmazott fizikai védelmi mechanizmusok,
q) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,
r) külsős személy (vendég) által használható hálózati szegmens paraméterei,
s) külsős személy (vendég) által használható hálózati sebesség- és időkorlátok,
t) lefedettségi és WiFi „roaming” paraméterek,
u) forgalmi statisztikai adatok automatizált elemzésének lehetősége,
v) szokatlan felhasználói tevékenységek automatizált elemzési, riasztási lehetőségei,
w) szokatlan adatforgalom automatizált elemzési, riasztási lehetőségei,
x) határvédelmi adatkommunikáció automatizált elemzési, riasztási lehetőségei,
y) a WiFi rendszer jogosulatlan használatának azonosítása, naplózása, elemzése, riasztás,
z) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,
aa) központi felügyeleti (management) rendszerhez illesztés lehetőségei,
bb) központi naplógyűjtés és elemzés lehetőségei,
cc) a kiváltó ok elemzésének lehetőségei (root cause analysis),
dd) naplózható és naplózandó események, felülvizsgálat rendszeressége,
ee) riportolási lehetőségek, eszközök, automatizált megoldások,
ff) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,
gg) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,
hh) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,
ii) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,
jj) nyilvánosan hozzáférhető rendszerelemek fizikai védelme,
kk) nyilvánosan hozzáférhető szolgáltatások logikai védelme,
ll) az AP eszközök elhelyezése láthatóság szempontjából,
mm) maradványkockázatok, korrektív kontrollok,
nn) fejlesztési lehetőségek,
oo) az intézkedési tervbe került tételek.
27. Biztonsággal kapcsolatos védelmek (telefonközpontok és management eszközök):
a) a frissítések kiadása, telepítések módja, reagálási idő, SLA,
b) az ismert sérülékenységek javítási határideje,
c) a eseménykezelő központ által jelzett biztonsági események, sérülékenységek figyelése,
d) technikai együttműködés a rendszeresített és elfogadott vírusvédelmi rendszerrel,
e) a rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
f) biztonsági rendszernapló tárolási helye, a naplótárhely figyelése, naplóelemzés,
g) biztonsági rendszernapló automatizált védelme, mentések,
h) a rendszernapló automatizált védelme, mentések,
i) túlterhelés elleni védelmi eljárások alkalmazás és adatbázis szinten,
j) a továbbított információk tekintetében a bizalmasság és a sértetlenség biztosítása,
k) az információ továbbítása során alkalmazott védelmi mechanizmusok (titkosítás),
l) az információ továbbítása során alkalmazott fizikai védelmi mechanizmusok,
m) monitorozó, felügyeleti és naplóelemző eszközök, automatizált megoldások,
n) központi felügyeleti (management) rendszerhez illesztés lehetőségei,
o) központi naplógyűjtés és elemzés lehetőségei,
p) a kiváltó ok elemzésének lehetőségei (root cause analysis),
q) naplózható és naplózandó események, felülvizsgálat rendszeressége,
r) riportolási lehetőségek, eszközök, automatizált megoldások,
s) riportok gyakorisága, érintett és informálandó személyek, szerepkörök,
t) redundanciák alkalmazásának lehetőségei szolgáltatói, nyomvonal és eszköz szinten,
u) redundanciák alkalmazása szolgáltatói, nyomvonal és eszköz szinten,
v) automatizált támadás előre jelzési lehetőségek, kommunikációs folyamatok,
w) hangátviteli (VoIP) szolgáltatások kontroll lehetőségei,
x) a frissítésekkel, sérülékenységekkel, naplózással kapcsolatos kockázatok kiemelése,
y) maradványkockázatok, korrektív kontrollok,
z) fejlesztési lehetőségek,
aa) az intézkedési tervbe került tételek.
A hálózat üzemeltetése során megfogalmazott maradványkockázatok:
Maradványkockázatok |
Korrektív kontrollok |
Elvégzendő feladat |
Vállalt határidő |
Szervezet |
Felelős |
Státusz |
Elvégzendő feladat |
Projekt/Beszerzés |
Szervezet |
PM/Felelős |
Státusz |
4. melléklet a 18/2018. (V. 31.) ORFK utasításhoz68
Az 1. pont b) alpontja a 40/2022. (XII. 30.) ORFK utasítás 144. pontja szerint módosított szöveg.
A 3. pont kk) alpontját a 21/2021. (IX. 30.) ORFK utasítás 1. pontja iktatta be.
A 3. pont y) alpont a 37/2019. (X. 14.) ORFK utasítás 26. pont a) alpontja szerint módosított szöveg.
A 3. pont dd) alpontja a 37/2019. (X. 14.) ORFK utasítás 1. pontjával megállapított szöveg.
A 3. pont ii) alpontját a 37/2019. (X. 14.) ORFK utasítás 2. pontja iktatta be.
A 3. pont jj) alpontját a 37/2019. (X. 14.) ORFK utasítás 2. pontja iktatta be.
A 9. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont b) alpontja szerint módosított szöveg.
A 14. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont c) alpontja szerint módosított szöveg.
A 16. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont d) alpontja szerint módosított szöveg.
A 18/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 2. pontja iktatta be.
A 23/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 3. pontja iktatta be.
A 10. alcím címe a 21/2021. (IX. 30.) ORFK utasítás 13. pont a) alpontja szerint módosított szöveg.
A 39. pont c) alpontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont a) alpontja hatályon kívül helyezte.
A 40. pont a 21/2021. (IX. 30.) ORFK utasítás 4. pontjával megállapított szöveg.
A 42. pont a 21/2021. (IX. 30.) ORFK utasítás 5. pontjával megállapított szöveg.
A 43. pont a 21/2021. (IX. 30.) ORFK utasítás 5. pontjával megállapított szöveg.
A 47. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont b) alpontja hatályon kívül helyezte.
A 48. pont a 21/2021. (IX. 30.) ORFK utasítás 14. pont c) alpontja szerint módosított szöveg.
A 49. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont d) alpontja hatályon kívül helyezte.
Az 50/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 6. pontja iktatta be.
Az 51. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont f) alpontja szerint módosított szöveg.
Az 52. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont g) alpontja szerint módosított szöveg.
Az 53. pont a 21/2021. (IX. 30.) ORFK utasítás 13. pont b) alpontja szerint módosított szöveg.
Az 54. pont f) alpontját a 37/2019. (X. 14.) ORFK utasítás 3. pontja iktatta be.
Az 54. pont g) alpontját a 37/2019. (X. 14.) ORFK utasítás 3. pontja iktatta be.
Az 54. pont h) alpontját a 37/2019. (X. 14.) ORFK utasítás 3. pontja iktatta be.
Az 54/A. pontot a 37/2019. (X. 14.) ORFK utasítás 4. pontja iktatta be.
Az 55/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 7. pontja iktatta be.
Az 59. pont a 21/2021. (IX. 30.) ORFK utasítás 8. pontjával megállapított szöveg.
A 60. pont a 21/2021. (IX. 30.) ORFK utasítás 8. pontjával megállapított szöveg.
A 68/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 9. pontja iktatta be.
A 74. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont h) alpontja szerint módosított szöveg.
A 100. pont a 37/2019. (X. 14.) ORFK utasítás 5. pontjával megállapított szöveg.
A 118. pont a 37/2019. (X. 14.) ORFK utasítás 6. pontjával megállapított szöveg.
A 131. pont i) alpontját a 37/2019. (X. 14.) ORFK utasítás 7. pontja iktatta be.
A 147. pont a 37/2019. (X. 14.) ORFK utasítás 8. pontjával megállapított szöveg.
A 148. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont g) alpontja szerint módosított szöveg.
A 155. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont g) alpontja szerint módosított szöveg.
A 161. pont a 37/2019. (X. 14.) ORFK utasítás 9. pontjával megállapított szöveg.
A 169. pont a 37/2019. (X. 14.) ORFK utasítás 10. pontjával megállapított szöveg.
A 171. pont a 37/2019. (X. 14.) ORFK utasítás 11. pontjával megállapított szöveg.
A 179. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont i) alpontja szerint módosított szöveg.
A 184. pont a 37/2019. (X. 14.) ORFK utasítás 12. pontjával megállapított szöveg.
A 186. pont a 37/2019. (X. 14.) ORFK utasítás 13. pontjával megállapított szöveg.
A 194. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont g) alpontja szerint módosított szöveg.
A 195. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont j) alpontja szerint módosított szöveg.
A 195/A. pontot a 37/2019. (X. 14.) ORFK utasítás 14. pontja iktatta be.
A 205. pont a 37/2019. (X. 14.) ORFK utasítás 15. pontjával megállapított szöveg.
A 219/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 10. pontja iktatta be.
A 220. pont a 37/2019. (X. 14.) ORFK utasítás 16. pontjával megállapított szöveg.
A 222. pont a 37/2019. (X. 14.) ORFK utasítás 26. pont k) alpontja szerint módosított szöveg.
A 223/A. pontot a 21/2021. (IX. 30.) ORFK utasítás 11. pontja iktatta be.
A 230. pont a 21/2021. (IX. 30.) ORFK utasítás 14. pont e) alpontja szerint módosított szöveg.
A 231. pont a 21/2021. (IX. 30.) ORFK utasítás 13. pont c) alpontja szerint módosított szöveg.
A 232. pont a 21/2021. (IX. 30.) ORFK utasítás 13. pont d) alpontja szerint módosított szöveg.
A 233. pont a 21/2021. (IX. 30.) ORFK utasítás 12. pontjával megállapított szöveg.
A 235. pont a 21/2021. (IX. 30.) ORFK utasítás 13. pont e) alpontja szerint módosított szöveg.
A 236. pont a 21/2021. (IX. 30.) ORFK utasítás 13. pont d) alpontja szerint módosított szöveg.
A 243. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 244. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 245. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 246. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 247. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 248. pontját a 21/2021. (IX. 30.) ORFK utasítás 14. pont f) alpontja hatályon kívül helyezte.
A 249. pont a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 2. melléklet a 37/2019. (X. 14.) ORFK utasítás 17. pontja és 26. pont l)–m) alpontja szerint módosított szöveg.
A 3. melléklet a 37/2019. (X. 14.) ORFK utasítás 18–25. pontja és 26. pont n)–p) alpontja, a 21/2021. (IX. 30.) ORFK utasítás 13. pont f) alpontja szerint módosított szöveg.
A 4. mellékletet a 21/2021. (IX. 30.) ORFK utasítás 14. pont g) alpontja hatályon kívül helyezte.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás