7/2024. (VI. 24.) MK rendelet
7/2024. (VI. 24.) MK rendelet
a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés a) pontjában és a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (5) bekezdésében kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 9. § (1) bekezdés 6., 7., 14. és 16. pontjában meghatározott feladatkörömben eljárva – az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés a) pontjában, valamint a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (6) bekezdésében biztosított véleményezési jogkörében eljáró Szabályozott Tevékenységek Felügyeleti Hatósága elnöke véleményének kikérésével – a következőket rendelem el:
1. § (1) Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerrel rendelkező szervezet a rendelkezésében lévő elektronikus információs rendszert az 1. mellékletben felsorolt szempontok szerint sorolja biztonsági osztályba.
(2) A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertantv.) hatálya alá tartozó elektronikus információs rendszert a Kibertantv. szerinti érintett szervezet (a továbbiakban: érintett szervezet) az 1. mellékletben felsorolt szempontok szerint sorolja biztonsági osztályba.
2. § (1) Az 1. § (1) bekezdésében foglaltak szerint elvégzett besorolás alapján az elektronikus információs rendszer felett rendelkezni jogosult szervezet a 2. mellékletben meghatározott, az elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt követelményeket az abban meghatározott módon teljesíti.
(2) Az elektronikus információs rendszer felett rendelkezni jogosult szervezetre és elektronikus információs rendszerére az e rendelet előírásai szerint kidolgozott szabályzatokban meghatározott adminisztratív, logikai és fizikai védelmi intézkedések irányadóak. Ha ezen intézkedésektől egy elektronikus információs rendszer esetében a szervezet által elvégzett kockázatelemzés alapján indokolt eltérni, akkor az 1. mellékletben meghatározottak szerint kell eljárni.
(3) Ha az elektronikus információs rendszer felett rendelkezni jogosult szervezet rendelkezési joga az elektronikus információs rendszernek csak egyes elemeire vagy funkcióira terjed ki, a 2. mellékletben meghatározott követelményeket ezen elemek és funkciók tekintetében kell teljesíteni.
(4) Ha az elektronikus információs rendszernek több felhasználó szervezete van, az elektronikus információs rendszer felett rendelkezni jogosult szervezet a felhasználó szervezet által alkalmazható elektronikus információbiztonsági követelményeket az elektronikus információs rendszer minden felhasználó szervezete tekintetében érvényesíti.
(5) Az elektronikus információs rendszer felett rendelkezni jogosult szervezet az elektronikus információbiztonsági követelményeket úgy érvényesíti a felhasználó szervezet tekintetében, hogy a követelményeknek való megfelelés a felhasználó szervezet elektronikus információbiztonsággal kapcsolatos eljárási rendjébe beépüljön.
(6) Az elektronikus információs rendszer felett rendelkezni jogosult szervezet a kockázatelemzés és a kockázatok kezelése körében azonosítja és dokumentálja az elektronikus információs rendszer bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket a 3. melléklet szerinti fenyegetéskatalógus elemeinek vizsgálatával.
3. § (1) Az 1. § (2) bekezdésében foglaltak szerint elvégzett besorolás alapján az érintett szervezet a 2. mellékletben meghatározott, az elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt követelményeket az abban meghatározott módon teljesíti.
(2) Az érintett szervezetre és elektronikus információs rendszereire az e rendelet előírásai szerint kidolgozott szabályzatokban meghatározott adminisztratív, logikai és fizikai védelmi intézkedések irányadóak. Ha ezen intézkedésektől egy elektronikus információs rendszer esetében a szervezet által elvégzett kockázatelemzés alapján indokolt eltérni, akkor az 1. mellékletben meghatározottak szerint kell eljárni.
(3) Ha az érintett szervezet rendelkezési joga az elektronikus információs rendszernek csak egyes elemeire vagy funkcióira terjed ki, a 2. mellékletben meghatározott követelményeket ezen elemek és funkciók tekintetében kell teljesíteni.
(4) Az érintett szervezet a kockázatelemzés és a kockázatok kezelése körében azonosítja és dokumentálja az elektronikus információs rendszer bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket a 3. mellékletben foglalt fenyegetéskatalógus elemeinek vizsgálatával.
(5) Az e rendelet 1. melléklet 3.2.6. pontjában foglalt rendelkezések az érintett szervezet tekintetében nem alkalmazhatók.
4. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – a kihirdetését követő napon lép hatályba.
(2) Az 1. § (1) bekezdése, a 2. § és a 6. § 2025. január 1-jén lép hatályba.
5. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
6. §1
1. melléklet a 7/2024. (VI. 24.) MK rendelethez
1. A KOCKÁZATMENEDZSMENT KERETRENDSZER
1.1. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerrel rendelkező szervezet, valamint a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény szerinti érintett szervezet (a továbbiakban együtt: szervezet) a biztonsági osztályba sorolás és a védelmi intézkedések bevezetésének támogatására kockázatmenedzsment keretrendszert működtet, amelynek keretében
1.1.1. a keretrendszer alkalmazására való felkészülésként
1.1.1.1. a szervezetre vonatkozóan meghatározza és dokumentumban rögzíti:
1.1.1.1.1. az elektronikus információs rendszerei védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat és az ehhez szükséges hatásköröket,
1.1.1.1.2. a kockázatmenedzsment stratégiáját, amely leírja, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat,
1.1.1.1.3. a védelmi intézkedések hatékonyságának folyamatos ellenőrzésére vonatkozó biztonságfelügyeleti stratégiát, amely magába foglalja a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit,
1.1.1.2. az elektronikus információs rendszerekre vonatkozóan meghatározza és dokumentumban rögzíti:
1.1.1.2.1. a rendszer által támogatandó üzleti célokat, funkciókat és folyamatokat,
1.1.1.2.2. a tervezésben, fejlesztésben, implementálásban, üzemeltetésben, karbantartásban, használatban és ellenőrzésben érintett személyeket vagy szervezeteket,
1.1.1.2.3. az érintett vagyonelemeket,
1.1.1.2.4. a rendszer szervezeti és technológiai határát,
1.1.1.2.5. a rendszer által feldolgozandó, tárolandó és továbbítandó adatköröket és azok életciklusát,
1.1.1.2.6. a rendszerrel kapcsolatos fenyegetettségből adódó biztonsági kockázatok értékelését és kezelését az 5. pontban meghatározott elvek szerint,
1.1.1.2.7. a rendszer helyét a szervezeti architektúrában, amennyiben a szervezet rendelkezik vele;
1.1.2. a 2. pontban meghatározott irányelvek szerint biztonsági osztályba sorolja az elektronikus információs rendszereit;
1.1.3. a 2. melléklet szerint beazonosítja a biztonsági osztályhoz tartozó védelmi intézkedéseket. A beazonosított intézkedéseket kockázatelemzés alapján testre szabja. Amennyiben a kockázatelemzés indokolja, a szervezet a 3. pontban meghatározott módon eltérhet a rendszerre vonatkozó biztonsági követelményektől, illetve a 4. pont szerint alkalmazhat helyettesítő védelmi intézkedéseket. Fentiek végrehajtásával megállapítja az elektronikus információs rendszerre értelmezendő és alkalmazandó biztonsági követelményeket. A szervezet a biztonsági követelményeket a rendszerbiztonsági tervben dokumentálja, amelyet szervezet vezetője vagy az elektronikus információs rendszer biztonságáért felelős szerepkört betöltő személy hagy jóvá. A szervezet a folyamatos felügyeleti stratégiával összhangban kidolgozza a rendszerre vonatkozó védelmi intézkedések hatékonyságának folyamatos ellenőrzésére vonatkozó eljárásrendet;
1.1.4. rangsorolja, majd végrehajtja a kiválasztott és a rendszerbiztonsági tervben dokumentált intézkedéseket. Az intézkedések végrehajtása során a szervezet a rendszerbiztonsági tervet a védelmi intézkedések tényleges megvalósítása, valamint a tervtől való esetleges eltérések alapján frissíti;
1.1.5. értékeli a megvalósított védelmi intézkedéseket, amelynek érdekében
1.1.5.1. meghatározza a védelmi intézkedések értékeléséért felelős szerepkört betöltő személyeket,
1.1.5.2. kialakítja, felülvizsgálja és jóváhagyja a megvalósított védelmi intézkedések értékelésének tervét,
1.1.5.3. az értékelési tervben meghatározott értékelési eljárásrend alapján értékeli a védelmi intézkedéseket,
1.1.5.4. a védelmi intézkedések értékelésének dokumentálásaként elkészíti az észrevételeket és javaslatokat tartalmazó értékelési jelentését,
1.1.5.5. az értékelési jelentésben foglalt észrevételek és javaslatok alapján a szervezet további intézkedéseket vezet be a követelmények teljesítése érdekében, majd újraértékeli a védelmi intézkedéseket, valamint intézkedési tervet készít a fennmaradó kockázatok kezelésére;
1.1.6. a szervezet a rendszer biztonsági állapotára vonatkozó dokumentumok (rendszerbiztonsági terv, értékelési jelentés, rendszer kockázatelemzés, intézkedési terv) alapján az üzembe helyezésére vagy üzemben tartására vonatkozó kockázatokat megvizsgálja, és a szervezet vezetője más személyre át nem ruházható feladatkörében eljárva – jegyzőkönyvben dokumentált módon – dönt a rendszer használatbavételéről vagy használatának folytatásáról;
1.1.7. a védelmi intézkedések folyamatos felügyeletével az elektronikus információs rendszer teljes életciklusa alatt gondoskodik arról, hogy a bekövetkezett szervezeti, technológiai és biztonsági környezetének változása esetén a védelmi intézkedések a kockázatokkal arányosak maradjanak. Ennek keretében:
1.1.7.1. figyelemmel kíséri az elektronikus információs rendszerben vagy a működési környezetében bekövetkezett, a rendszer biztonsági helyzetét befolyásoló változásokat, és ennek alapján frissíti a vonatkozó dokumentumokat,
1.1.7.2. a folyamatos felügyeleti stratégia alapján értékeli a rendszerben megvalósított védelmi intézkedéseket, azok állapotát rendszeresen jelenti a jogosult személyek felé,
1.1.7.3. rendszeresen felülvizsgálja az elektronikus információs rendszer biztonsági állapotát, hogy megbizonyosodjon arról, hogy az azonosított kockázatok elfogadhatók-e a szervezet számára,
1.1.7.4. biztosítja, hogy a rendszer élesüzemből való kivonására vonatkozó terv tartalmazza a felmerülő kockázatok kezeléséhez tartozó intézkedéseket.
2. A BIZTONSÁGI OSZTÁLYBA SOROLÁS
2.1. Általános irányelvek
2.1.1. A szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor az elektronikus információs rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának követelményeit a rendszer funkcióira tekintettel, és azokhoz igazodó súllyal érvényesíti.
2.1.2. Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet a szervezet vezetője hagy jóvá, hatáselemzés alapján kell elvégezni. Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság ajánlásként hatáselemzési módszertanokat ad ki. Ha a szervezet saját hatáselemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.
2.2. Biztonsági osztályok
2.2.1. A jogszabályban meghatározott biztonsági osztályba sorolás elvégzése a szervezet felelőssége. A biztonsági osztályba sorolás elvégzése során a 2.2.2–2.2.4. pont szerinti elvek, valamint szempontok figyelembevételével jár el.
2.2.2. Az „alap” biztonsági osztály esetében legfeljebb csekély káresemény következhet be, mivel:
2.2.2.1. az elektronikus információs rendszerben jogszabály által nem védett adat vagy legfeljebb kis mennyiségű személyes adat sérülhet,
2.2.2.2. a szervezet üzleti vagy ügymenete szempontjából csekély értékű vagy csak belső (szervezeti) szabályzóval védett adat vagy rendszer sérülhet,
2.2.2.3. a lehetséges társadalmi-politikai hatás a szervezeten belül kezelhető, vagy
2.2.2.4. a közvetlen és közvetett anyagi kár a szervezet éves költségvetésének vagy nettó árbevételének 1%-át nem haladja meg.
2.2.3. A „jelentős” biztonsági osztály esetében közepes káresemény következhet be, mivel:
2.2.3.1. nagy mennyiségű személyes adat, illetve különleges személyes adat sérülhet,
2.2.3.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket),
2.2.3.3. a szervezet üzleti vagy ügymenete szempontjából érzékeny folyamatokat kezelő rendszer, információt képező adat vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok stb.) védett adat sérülhet,
2.2.3.4. a káresemény lehetséges társadalmi-politikai hatásai a szervezettel szemben bizalomvesztést eredményezhetnek, a jogszabályok betartása vagy végrehajtása elmaradhat, vagy a szervezet vezetésében személyi felelősségre vonást kell alkalmazni, vagy
2.2.3.5. a közvetlen és közvetett anyagi kár meghaladja a szervezet éves költségvetésének vagy nettó árbevételének 1%-át, de nem haladja meg annak 10%-át.
2.2.4. A „magas” biztonsági osztály esetében nagy káresemény következhet be, mivel
2.2.4.1. különleges személyes adat nagy mennyiségben sérülhet,
2.2.4.2. emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be,
2.2.4.3. nemzeti adatvagyon helyreállíthatatlanul megsérülhet,
2.2.4.4. az ország, a társadalom működőképességének fenntartását biztosító kritikus infrastruktúra rendelkezésre állása nem biztosított,
2.2.4.5. a szervezet üzleti vagy ügymenete szempontjából nagy értékű, üzleti titkot vagy különösen érzékeny folyamatokat kezelő rendszer vagy információt képező adat tömegesen vagy jelentősen sérülhet,
2.2.4.6. súlyos bizalomvesztés állhat elő a szervezettel szemben, alapvető emberi vagy a társadalom működése szempontjából kiemelt jogok is sérülhetnek, vagy
2.2.4.7. a közvetlen és közvetett anyagi kár meghaladja a szervezet éves költségvetésének vagy nettó árbevételének 10%-át.
3. ELTÉRÉSEK
3.1. Biztonsági osztályok
3.1.1. A szervezet az alábbi lehetséges eltérésekkel teljesítheti a 2. mellékletben meghatározott minimális követelményeket a rendszerre meghatározott biztonsági kockázati szintnek megfelelő intézkedések kiválasztásával, amellett, hogy a szervezetre érvényes minden kötelezettséget figyelembe kell venni.
3.1.2. A szervezet a vonatkozó szabályozásában dokumentálja és indokolja, hogy a jelen rendeletben foglalt védelmi intézkedésektől eltérő, általa meghatározott intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, kockázatokkal arányos biztonsági követelményszintjét, és azt, hogy miért nem használhatók a jelen rendeletben megjelölt védelmi intézkedések.
3.1.3. Az eltéréseket bemutató dokumentumot a szervezet vonatkozásában a szervezet vezetője vagy a kockázatok felvállalására jogosult szerepkört betöltő személy hagyja jóvá.
3.2. Egyedi eltérések
3.2.1. Működtetéssel, környezettel kapcsolatos eltérések:
3.2.1.1. A működtetési környezet jellegétől függő védelmi intézkedések csak akkor alkalmazandók, ha az elektronikus információs rendszert az intézkedéseket szükségessé tevő környezetben használják.
3.2.2. A fizikai infrastruktúrával kapcsolatos eltérések:
3.2.2.1. A szervezeti létesítményekkel kapcsolatos védelmi intézkedések csak azokra a létesítményekre alkalmazandók, amelyek közvetlenül nyújtanak védelmet vagy biztonsági támogatást az elektronikus információs rendszernek, vagy kapcsolatosak azzal.
3.2.3. A nyilvános hozzáféréssel kapcsolatos eltérések:
3.2.3.1. A nyilvánosan hozzáférhető információkra vonatkozó védelmi intézkedéseket körültekintően kell azonosítani és alkalmazni, mivel a vonatkozó védelmi intézkedés katalógus rész egyes védelmi intézkedései (például azonosítás és hitelesítés, személyi biztonsági intézkedések) nem minden esetben alkalmazhatók az elektronikus információs rendszerhez engedélyezett nyilvános kapcsolaton keresztül hozzáférő felhasználókra.
3.2.4. Technológiai eltérések:
3.2.4.1. A specifikus technológiára [például vezeték nélküli kommunikáció, kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési eljárás] vonatkozó védelmi intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben, vagy jogszabály vagy szervezetre vonatkozó szabályozó előírja ezek használatát.
3.2.4.2. A védelmi intézkedések az elektronikus információs rendszer csak azon komponenseire vonatkoznak, amelyek az intézkedés által megcélzott biztonsági képességet biztosítják vagy támogatják, és az intézkedés által csökkenteni kívánt lehetséges kockázatok forrásai.
3.2.5. Biztonsági szabályozással kapcsolatos eltérések:
3.2.5.1. A tervezett vagy már működtetett elektronikus információs rendszerekre alkalmazott védelmi intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is.
3.2.6. A védelmi intézkedések bevezetésének fokozatosságával kapcsolatos eltérések:
3.2.6.1. A védelmi intézkedések fokozatosan vezethetők be. A fokozatosságot a védendő elektronikus információs rendszerek biztonsági osztályozása alapján lehet felállítani.
3.2.7. Az elektronikus információs rendszer dokumentáltan elkülönített, informatikai biztonsági szempontból önállóan értékelhető elemei tekintetében a védelmi intézkedések a szervezet által elfogadott kockázatmenedzsment eljárásrendben rögzített vizsgálatot követően, külön-külön egyedi eltérésekkel is alkalmazhatóak, ha az elkülönített elemek közötti határvédelemről gondoskodtak. A határvédelem megfelelőségét, valamint az egyedi eltérések okát és mértékét dokumentálni és meghatározott gyakorisággal felülvizsgálni szükséges.
4. HELYETTESÍTŐ VÉDELMI INTÉZKEDÉSEK
4.1. A helyettesítő védelmi intézkedés alkalmazása olyan eljárás, amelyet a szervezet az adott biztonsági osztályhoz tartozó védelmi intézkedés helyett kíván alkalmazni, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például jogszabályoknak vagy szervezeti szintű szabályozóknak) való megfelelést.
4.2. Egy elektronikus információs rendszer esetén a szervezet az alábbi feltételek egyidejű fennállása esetén alkalmazhat helyettesítő intézkedést:
4.2.1. a védelmi intézkedések katalógusa nem tartalmaz az adott viszonyok között eredményesen és kockázatarányosan alkalmazható intézkedést;
4.2.2. felméri és a kockázatelemzési és kockázatkezelési eljárásrendnek megfelelően elfogadja a helyettesítő intézkedés alkalmazásával kapcsolatos kockázatot;
4.2.3. a vonatkozó dokumentumban bemutatja, hogy a helyettesítő intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, biztonsági követelményszintjét, és azt, hogy miért nem használhatók a jelen rendeletben megjelölt védelmi intézkedések;
4.2.4. a helyettesítő védelmi intézkedések alkalmazását dokumentálja, és az eljárási rendnek megfelelően a szervezet vezetőjével vagy a kockázatok felvállalására jogosult szerepkört betöltő személlyel jóváhagyatja.
5. KOCKÁZATELEMZÉS ÉS A KOCKÁZATOK KEZELÉSE
5.1. A szervezet az 1.1.1.2.6. pontban előírt kockázatelemzést és a kockázatok kezelését az alábbiakban meghatározott elvek szerint hajtja végre.
5.1.1. A szervezet értékeli az elektronikus információs rendszerrel, az általa kezelt adatokkal kapcsolatosan felmerülő kockázatokat, amelynek keretében:
5.1.1.1. Azonosítja és dokumentálja az elektronikus információs rendszer és az általa feldolgozott adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket. Az azonosítás során legalább a 3. mellékletben található fenyegetés katalógus elemeit vizsgálja.
5.1.1.2. Azonosítja a sérülékenységeket és a hajlamosító körülményeket, amelyek befolyásolják annak valószínűségét, hogy a fenyegetések a szervezeti vagyonelemek, személyek, vagy más szervezetek számára káros hatásokhoz vezetnek.
5.1.1.3. Meghatározza annak a valószínűségét, hogy az 5.1.1.1. pontban azonosított fenyegetések a szervezeti vagyonelemek, folyamatok, személyek vagy más szervezetek számára káros hatásokat eredményeznek-e, figyelembe véve az 5.1.1.2. pontban meghatározottak szerint azonosított sérülékenységeket és körülményeket, valamint a szervezet a fenyegetések kihasználhatóságával kapcsolatosan végrehajtott ellenintézkedéseit.
5.1.1.4. Meghatározza a fenyegetések szervezeti vagyonelemekre, személyekre, vagy más szervezetekre vonatkozó lehetséges káros hatásait és azok mértékét.
5.1.1.5. Meghatározza a fenyegetések káros hatásainak és azok bekövetkezésének valószínűsége alapján az eredő kockázatokat, valamint legalább négy fokozatú skálán („alacsony”, „közepes”, „magas”, „kritikus”) azok mértékét (kockázati kategória).
5.1.1.6. Dokumentálja és a szervezeti döntéshozók számára kommunikálja a kockázatelemzés eredményét a kockázatkezelési válaszlépések támogatása érdekében, valamint biztosítja a kockázatelemzési folyamat során keletkezett információk megosztását az arra jogosultakkal.
5.1.2. A szervezet az azonosított kockázatokat az alábbiak szerint kezeli:
5.1.2.1. Eldönti és dokumentumban rögzíti, hogy az egyes kockázatok kezelése érdekében az alábbiak közül egyenként mely intézkedést alkalmazza:
5.1.2.1.1. kockázat elkerülése (például az elektronikus információs rendszer vagy a rendszerelemének, funkciójának használatból való teljes körű kivezetésével),
5.1.2.1.2. kockázat csökkentése védelmi intézkedések kialakításával és működtetésével,
5.1.2.1.3. kockázat áthárítása vagy megosztása harmadik felekkel,
5.1.2.1.4. kockázat felvállalása.
5.1.2.2. Biztosítja, hogy kizárólag a legalacsonyabb kockázati kategóriába eső kockázatok esetén alkalmaz részletes indoklás nélkül kockázatfelvállalást. Az ennél magasabb kategóriába eső kockázatok esetén az egyes kockázatok felvállalását a szervezet vezetője vagy a kockázatok kezeléséért felelős szerepkört betöltő személy kockázatonként történő indoklás mellett hagyja jóvá.
5.1.2.3. A kockázatelemzés eredményét felhasználja az elektronikus információs rendszer biztonsági osztálya megállapításának, valamint az 1.1.3. pontban meghatározottak szerint a védelmi intézkedések kiválasztásának és testre szabásának támogatására.
5.1.2.4. Az 1.1.4–1.1.7. pont szerint végrehajtja, értékeli és felügyeli a kockázatcsökkentő védelmi intézkedéseket.
5.1.3. A szervezet folyamatosan nyomon követi az elektronikus információs rendszerrel kapcsolatos kockázatok változásaihoz hozzájáruló tényezőket, és ennek alapján frissíti és naprakészen tartja a kockázatelemzési dokumentumait.
2. melléklet a 7/2024. (VI. 24.) MK rendelethez
1. Programmenedzsment
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
1.1. Információbiztonsági szabályzat |
1.1. A szervezet: |
X |
X |
X |
3. |
1.2. Elektronikus információs rendszerek biztonságáért felelős személy |
1.2. A szervezet vezetője a jogszabályi követelményeknek megfelelő, az elektronikus információs rendszerek biztonságáért felelős személyt nevez ki a szervezeti szintű információbiztonsági szabályzatnak való megfelelés koordinálására, fejlesztésére, bevezetésére és fenntartására és biztosítja számára a célok eléréséhez szükséges erőforrásokat. |
X |
X |
X |
4. |
1.3. Információbiztonságot érintő erőforrások |
1.3. A szervezet: |
X |
X |
X |
5. |
1.4. Intézkedési terv és mérföldkövei |
1.4. A szervezet: |
X |
X |
X |
6. |
1.5. Elektronikus információs rendszerek nyilvántartása |
1.5. A szervezet létrehozza és a szervezet EIR-jeiben bekövetkezett változások (pl.: új rendszer bevezetése, meglévő rendszer kivezetése) esetén frissíti, valamint a szervezet által meghatározott gyakorisággal felülvizsgálja az EIR-ek nyilvántartását. |
X |
X |
X |
7. |
1.6. Biztonsági teljesítmény mérése |
1.6. A szervezet kifejleszti az EIR-ei biztonsági mérésének rendszerét, folyamatosan felügyeli a teljesítménymutatókat, és rendszeres jelentéseket készít ezekről. |
X |
X |
X |
8. |
1.7. Szervezeti architektúra |
1.7. A szervezet kifejleszti és fenntartja a szervezeti szervezetrendszert, amely tekintettel van mindazon kockázatokra, amelyek hatással lehetnek a szervezeti működésre, az eszközökre, az egyénekre és más szervezetekre. |
X |
X |
X |
9. |
1.8. Szervezeti Architektúra – Tehermentesítés |
1.8. A szervezet más rendszerekbe, rendszerelemekbe szervezi át vagy külső szolgáltatóhoz szervezi ki a szervezet által meghatározott és a szervezet működése szempontjából nem kritikus funkciókat vagy szolgáltatásokat. |
- |
- |
- |
10. |
1.9. A szervezet működése szempontjából kritikus infrastruktúra biztonsági terve |
1.9. A szervezet a szervezet működése szempontjából kritikus infrastruktúra és kulcsfontosságú erőforrások biztonsági tervének kidolgozása, dokumentálása és frissítése során kezeli az információbiztonsági kérdéseket. |
X |
X |
X |
11. |
1.10. Kockázatmenedzsment stratégia |
1.10. A szervezet: |
X |
X |
X |
12. |
1.11. Engedélyezési folyamatok meghatározása |
1.11. A szervezet: |
X |
X |
X |
13. |
1.12. Szervezeti működés és üzleti folyamatok meghatározása |
1.12. A szervezet: |
X |
X |
X |
14. |
1.13. Belső fenyegetés elleni program |
1.13.A szervezet bevezet egy belső fenyegetések elleni programot, amely magában foglalja egy több szakterületet átfogó, belső fenyegetéssel kapcsolatos biztonsági események kezelését végző csoport működtetését. |
- |
- |
- |
15. |
1.14. Biztonsági személyzet képzése |
1.14. A szervezet létrehozza a biztonsági személyzet képzését és fejlesztését elősegítő programot. |
X |
X |
X |
16. |
1.15. Tesztelés, képzés és felügyelet |
1.15. A szervezet: |
X |
X |
X |
17. |
1.16. Szakmai csoportokkal és közösségekkel való kapcsolattartás |
1.16. A szervezet: |
X |
X |
X |
18. |
1.17. Fenyegetettség tudatosító program |
1.17. A szervezet a fenyegetésekkel kapcsolatos információk megosztására fenyegetettség tudatosító programot vezet be, amely magában foglalja a fenyegetések felismerését szolgáló szervezeten belüli és szervezetek közötti információmegosztási képességet. |
X |
X |
X |
19. |
1.18. Fenyegetettség tudatosító program – Fenyegetési információk automatizált megosztása |
1.18. A szervezet automatizált mechanizmusokat alkalmaz a fenyegetésekkel kapcsolatos információk megosztási hatékonyságának maximalizálása érdekében. |
- |
- |
- |
20. |
1.19. Kockázatmenedzsment keretrendszer |
1.19. A szervezet: |
X |
X |
X |
21. |
1.20. Kockázatkezelésért felelős szerepkörök |
1.20. A szervezet kijelöl: |
X |
X |
X |
22. |
1.21. Ellátási lánc kockázatmenedzsment stratégiája |
1.21. A szervezet: |
X |
X |
X |
23. |
1.22. Ellátási lánc kockázatmenedzsment stratégia – Üzletmenet (ügymenet) szempontjából kritikus termékek beszállítói |
1.22. A szervezet azonosítja, rangsorolja és értékeli azokat a beszállítókat, amelyek a szervezet működése szempontjából kritikus technológiákat, termékeket és szolgáltatásokat szállítanak a szervezet alapvető feladatainak ellátásához. |
X |
X |
X |
24. |
1.23. Folyamatos felügyeleti stratégia |
1.23. A szervezet folyamatos felügyeleti stratégiát fejleszt ki és folyamatos felügyeleti programot működtet, amely magában foglalja: |
X |
X |
X |
2. Hozzáférés-felügyelet
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
2.1. Szabályzat és eljárásrendek |
2.1. A szervezet: |
X |
X |
X |
3. |
2.2. Fiókkezelés |
2.2. A szervezet: |
X |
X |
X |
4. |
2.3. Fiókkezelés – Automatizált fiókkezelés |
2.3. A szervezet meghatározott automatizált mechanizmusok segítségével támogatja az EIR fiókjainak kezelését. |
- |
X |
X |
5. |
2.4. Fiókkezelés – Automatizált ideiglenes és vészhelyzeti fiók kezelés |
2.4. Az EIR a meghatározott időtartam letelte után automatikusan eltávolítja vagy letiltja az ideiglenes és vészhelyzeti fiókokat. |
- |
X |
X |
6. |
2.5. Fiókkezelés – Fiókok letiltása |
2.5. Az EIR a meghatározott időtartam letelte után letiltja a fiókokat, vagy amikor a fiókok: |
- |
X |
X |
7. |
2.6. Fiókkezelés – Automatikus naplózási műveletek |
2.6. Az EIR automatikusan naplózza a fiókok létrehozásával, módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket. |
- |
X |
X |
8. |
2.7. Fiókkezelés – Inaktivitásból fakadó kijelentkeztetés |
2.7. A szervezet megköveteli a felhasználó kijelentkeztetését egy meghatározott inaktivitási időszak leteltét követően, vagy egy meghatározott időpontban. |
- |
X |
X |
9. |
2.8. Fiókkezelés – Dinamikus jogosultságkezelés |
2.8. A szervezet meghatározott módon alkalmaz dinamikus jogosultságkezelési képességeket. |
- |
- |
- |
10. |
2.9. Fiókkezelés – Privilegizált fiókok |
2.9. A szervezet: |
- |
- |
- |
11. |
2.10. Fiókkezelés – Dinamikus fiókkezelés |
2.10. A szervezet a meghatározott rendszerfiókok létrehozását, aktiválását, kezelését és letiltását dinamikusan végzi. |
- |
- |
- |
12. |
2.11. Fiókkezelés – Megosztott és csoportfiókok használati korlátozása |
2.11. A szervezet csak meghatározott feltételeknek megfelelő megosztott és csoportfiókok használatát engedélyezi. |
- |
- |
- |
13. |
2.12. Fiókkezelés – Használati feltételek |
2.12. A szervezet kikényszeríti a meghatározott körülmények és a használati feltételek betartását a meghatározott rendszerfiókok esetében. |
- |
- |
X |
14. |
2.13. Fiókkezelés – Fiókok szokatlan használatának felügyelete |
2.13. A szervezet: |
- |
- |
X |
15. |
2.14. Fiókkezelés – Magas kockázatú személyek fiókjának letiltása |
2.14. A szervezet az általa meghatározott jelentős kockázat felfedezésétől számított meghatározott időtartamon belül letiltja az érintett felhasználók fiókjait. |
- |
X |
X |
16. |
2.15. Hozzáférési szabályok érvényesítése |
2.15. Az EIR a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott logikai hozzáférési jogosultságokat az információkhoz és a rendszer erőforrásaihoz. |
X |
X |
X |
17. |
2.16. Hozzáférési szabályok érvényesítése – Kettős jóváhagyás |
2.16. A szervezet kettős jóváhagyást követel meg a meghatározott privilegizált parancsok, vagy a szervezet által meghatározott egyéb műveletek végrehajtása esetében. |
- |
- |
- |
18. |
2.17. Hozzáférési szabályok érvényesítése – Kötelező hozzáférés-ellenőrzés |
2.17. Az EIR az alábbi kötelező és a szervezet által meghatározott hozzáférés-felügyeleti szabályokat érvényesíti: |
- |
- |
- |
19. |
2.18. Hozzáférési szabályok érvényesítése – Mérlegelés alapú hozzáférés-felügyelet |
2.18. Az EIR érvényesíti a meghatározott mérlegelés alapú hozzáférés-felügyeleti szabályokat a szervezet által meghatározott alanyok és objektumok halmazán, ahol a szabályzat meghatározza, hogy az információhoz való hozzáférést engedélyező alany az alábbiak közül egyet vagy többet megtehet: |
- |
- |
- |
20. |
2.19. Hozzáférési szabályok érvényesítése – Biztonsággal kapcsolatos információk |
2.19. A szervezet megakadályozza a hozzáférést a meghatározott, biztonsági szempontból releváns információkhoz, kivéve, ha a rendszer biztonságos, de nem aktív rendszerállapotban van. |
- |
- |
- |
21. |
2.20. Hozzáférési szabályok érvényesítése – Szerepkör alapú hozzáférés-ellenőrzés |
2.20. A szervezet szerepkör alapú hozzáférési szabályokat alkalmaz a meghatározott alanyokra és objektumokra vonatkozóan. A hozzáféréseket a meghatározott szerepkörök és az ilyen szerepkörök betöltésére jogosult felhasználók alapján szabályozza. |
- |
- |
- |
22. |
2.21. Hozzáférési szabályok érvényesítése – Hozzáférési engedélyek visszavonása |
2.21. A szervezet érvényesíti a hozzáférési jogosultságok visszavonását az alanyok és az objektumok biztonsági tulajdonságainak változása esetén, a szervezet által meghatározott, a hozzáférési jogosultságok visszavonásának időzítésére vonatkozó szabályok alapján. |
- |
- |
- |
23. |
2.22. Hozzáférési szabályok érvényesítése – Szabályozott továbbítás |
2.22. A szervezet csak akkor továbbít információt az EIR-ből, ha: |
- |
- |
- |
24. |
2.23. Hozzáférési szabályok érvényesítése – Hozzáférés-ellenőrző mechanizmusok ellenőrzött felülbírálata |
2.23. A szervezet meghatározott feltételek esetén meghatározott szerepkörök számára biztosítja az automatizált hozzáférés-felügyeleti mechanizmusok ellenőrzött felülbírálatát. |
- |
- |
- |
25. |
2.24. Hozzáférési szabályok érvényesítése – Meghatározott információtípusokhoz való hozzáférés korlátozása |
2.24. A szervezet korlátozza a hozzáférést a meghatározott információtípusokat tartalmazó adattárakhoz. |
- |
- |
- |
26. |
2.25. Hozzáférési szabályok érvényesítése – Alkalmazás-hozzáférés biztosítása és érvényesítése |
2.25. A szervezet: |
- |
- |
- |
27. |
2.26. Hozzáférési szabályok érvényesítése – Tulajdonság alapú hozzáférés-ellenőrzés |
2.26. A szervezet tulajdonság alapú hozzáférés-felügyeleti szabályokat alkalmaz a meghatározott alanyok és objektumok esetében. A hozzáférési jogosultságokat és engedélyeket a szervezet által meghatározott tulajdonságok alapján szabályozza. |
- |
- |
- |
28. |
2.27. Hozzáférési szabályok érvényesítése – Kötelező és mérlegelés alapú hozzáférés-felügyelet |
2.27. A szervezet érvényesíti |
- |
- |
- |
29. |
2.28. Információáramlási szabályok érvényesítése |
2.28. A szervezet a meghatározott információáramlási szabályokkal összhangban érvényesíti a jóváhagyott jogosultságokat a rendszeren belüli és a kapcsolódó rendszerek közötti információáramlás ellenőrzése során. |
- |
X |
X |
30. |
2.29. Információáramlási szabályok érvényesítése – Az objektumok biztonsági tulajdonságai |
2.29. A szervezet meghatározott biztonsági tulajdonságokat rendel a meghatározott információkhoz, forrás- és cél objektumokhoz kapcsolódóan, hogy a meghatározott információáramlási szabályokat kikényszerítse az információáramlást érintő döntések során. |
- |
- |
- |
31. |
2.30. Információáramlási szabályok érvényesítése – Feldolgozási tartományok |
2.30. A szervezet védett feldolgozási tartományokat használ a meghatározott információáramlási szabályok érvényesítésére, az információáramlással kapcsolatos döntések megalapozásához. |
- |
- |
- |
32. |
2.31. Információáramlási szabályok érvényesítése – Az információáramlás dinamikus irányítása |
2.31. A szervezet kikényszeríti a meghatározott dinamikus információáramlási szabályokat. |
- |
- |
- |
33. |
2.32. Információáramlási szabályok érvényesítése – Titkosított információk áramlásának irányítása |
2.32. A szervezet az információk dekódolásával, a titkosított információáramlás blokkolásával vagy a titkosított információk átvitelével próbálkozó kommunikációs folyamat megszakításával megakadályozza, hogy titkosított információkkal megkerüljék a meghatározott információáramlás-ellenőrzési mechanizmusokat. |
- |
- |
X |
34. |
2.33. Információáramlási szabályok érvényesítése – Beágyazott adattípusok |
2.33. A szervezet kikényszeríti az adattípusok más adattípusokba való beágyazására vonatkozó meghatározott korlátozásokat. |
- |
- |
- |
35. |
2.34. Információáramlási szabályok érvényesítése – Metaadat |
2.34. A szervezet meghatározott metaadatok alapján érvényesíti az információáramlási szabályokat. |
- |
- |
- |
36. |
2.35. Információáramlási szabályok érvényesítése – Egyirányú információáramlási mechanizmusok |
2.35. A szervezet hardver alapú áramlásszabályozó mechanizmusok segítségével kényszeríti ki az információk egyirányú áramlását. |
- |
- |
- |
37. |
2.36. Információáramlási szabályok érvényesítése – Biztonsági szűrők |
2.36. A szervezet: |
- |
- |
- |
38. |
2.37. Információáramlási szabályok érvényesítése – Emberi beavatkozással történő felülvizsgálat |
2.37. A szervezet meghatározott feltételeket alkalmaz az információáramlás emberi beavatkozással történő felülvizsgálatára. |
- |
- |
- |
39. |
2.38. Információáramlási szabályok érvényesítése – Biztonsági szűrők engedélyezése és kikapcsolása |
2.38. A szervezet lehetővé teszi a jogosultsággal rendelkező adminisztrátorok számára, hogy meghatározott feltételek szerint engedélyezzék vagy kikapcsolják a meghatározott biztonsági szűrőket. |
- |
- |
- |
40. |
2.39. Információáramlási szabályok érvényesítése – Biztonsági szűrők konfigurálása |
2.39. A szervezet lehetővé teszi a kiemelt jogosultsággal rendelkező adminisztrátorok számára, hogy konfigurálják a meghatározott biztonsági szűrőket a különböző biztonsági szabályok támogatása érdekében. |
- |
- |
- |
41. |
2.40. Információáramlási szabályok érvényesítése – Adattípus azonosítók |
2.40. A szervezet az információk különböző biztonsági tartományok közötti átvitelekor meghatározott adattípus azonosítókat használ az információáramlási döntésekhez szükséges adatok validálására. |
- |
- |
- |
42. |
2.41. Információáramlási szabályok érvényesítése – Adatok alkotóelemeire való bontása |
2.41. A szervezet az információk különböző biztonsági tartományok közötti átvitelekor az adatokat a szervezet által meghatározott elemeire bontja le annak érdekében, hogy az adatáramlási szabályokat kikényszerítő mechanizmusok működőképessége biztosított legyen. |
- |
- |
- |
43. |
2.42. Információáramlási szabályok érvényesítése – Biztonsági szabályzat szűrési korlátozások |
2.42. A szervezet az információk különböző biztonsági tartományok közötti átvitelekor érvényesíti a meghatározott biztonsági szabályzat alapján alkalmazott szűrőket, amelyek az adatszerkezetet és a tartalmat korlátozó, meghatározott formátumokat írnak elő. |
- |
- |
- |
44. |
2.43. Információáramlási szabályok érvényesítése – Nem engedélyezett információk észlelése |
2.43. A szervezet megvizsgálja az információt a különböző biztonsági tartományok közötti átvitel során annak érdekében, hogy a nem engedélyezett információ észlelése esetén - a biztonsági szabályok szerint - megtiltsa annak továbbítását. |
- |
- |
- |
45. |
2.44. Információáramlási szabályok érvényesítése – Tartományhitelesítés |
2.44. A szervezet egyedileg azonosítja és hitelesíti a forrás- és célpontokat (szervezetenként, rendszerenként, alkalmazásonként, szolgáltatásonként, egyénekként) az információátvitel során. |
- |
- |
- |
46. |
2.45. Információáramlási szabályok érvényesítése – Metaadatok ellenőrzése |
2.45. A szervezet az információk különböző biztonsági tartományok közötti átvitele során meghatározott biztonsági szűrőket alkalmaz a metaadatokra. |
- |
- |
- |
47. |
2.46. Információáramlási szabályok érvényesítése – Jóváhagyott megoldások |
2.46. A szervezet jóváhagyott konfigurációs megoldásokat alkalmaz az információáramlás ellenőrzésére a biztonsági tartományok között. |
- |
- |
- |
48. |
2.47. Információáramlási szabályok érvényesítése – Információáramlás fizikai vagy logikai szétválasztása |
2.47. A szervezet meghatározott mechanizmusokkal vagy technikákkal fizikailag vagy logikailag szétválasztja az információáramlásokat, hogy a meghatározott információtípusok szerinti elkülönítést megvalósítsa. |
- |
- |
- |
49. |
2.48. Információáramlási szabályok érvényesítése – Hozzáférés korlátozása |
2.48. Amikor az EIR egyetlen készülékről több különböző biztonsági tartományban található informatikai platformhoz, alkalmazáshoz vagy adathoz biztosít hozzáférést, megakadályozza az információáramlást a különböző biztonsági tartományok között. |
- |
- |
- |
50. |
2.49. Információáramlási szabályok érvényesítése – Nem nyilvános információ módosítása |
2.49. A szervezet a meghatározott eljárásokat alkalmazva módosítja a nem nyilvános információkat a különböző biztonsági tartományok közötti átvitel során. |
- |
- |
- |
51. |
2.50. Információáramlási szabályok érvényesítése – Belső normalizált formátum |
2.50. Az EIR a különböző biztonsági tartományok közötti információátvitel során a beérkező adatokat normalizált formátumba hozza, majd újra formázza, hogy azok összhangban legyenek az elvárt adatformátummal. |
- |
- |
- |
52. |
2.51. Információáramlási szabályok érvényesítése – Adattisztítás |
2.51. Amikor az EIR információt továbbít különböző biztonsági tartományok között, az adatokat a meghatározott szabályoknak megfelelően megtisztítja, hogy minimalizálja a rosszindulatú tartalom átvitelét. |
- |
- |
- |
53. |
2.52. Információáramlási szabályok érvényesítése – Szűrési műveletek ellenőrzése |
2.52. A szervezet rögzíti és ellenőrzi a tartalomszűrési műveleteket és azok eredményeit a szűrt információra vonatkozóan, a biztonsági tartományok között történő információátvitel során. |
- |
- |
- |
54. |
2.53. Információáramlási szabályok érvényesítése – Redundáns szűrőmechanizmusok |
2.53. A szervezet olyan tartalomszűrési megoldásokat alkalmaz a különböző biztonsági tartományok között történő információk átvitele során, amelyek redundáns és független szűrőmechanizmusokat biztosítanak minden adattípusra. |
- |
- |
- |
55. |
2.54. Információáramlási szabályok érvényesítése – Lineáris szűrőcsatornák |
2.54. A szervezet olyan lineáris tartalomszűrési folyamatot hajt végre a különböző biztonsági tartományok között történő információk átvitele során, amelyeket szabadon választható és kötelező hozzáférési szabályokkal kényszerít ki. |
- |
- |
- |
56. |
2.55. Információáramlási szabályok érvényesítése – Összehangolt tartalomszűrés |
2.55. A szervezet tartalomszűrő rendszert alkalmaz az információk különböző biztonsági tartományok közötti átvitelekor annak biztosítása érdekében, hogy: |
- |
- |
- |
57. |
2.56. Információáramlási szabályok érvényesítése – Több folyamatot használó szűrőmechanizmusok |
2.56. A szervezet a különböző biztonsági tartományok közötti információátvitel során több folyamatot használó tartalomszűrési mechanizmust valósít meg. |
- |
- |
- |
58. |
2.57. Információáramlási szabályok érvényesítése – Hibás tartalom átvitelének megakadályozása |
2.57. A szervezet a különböző biztonsági tartományok közötti információátvitel során megakadályozza a hibásan átadott tartalom átvitelét a fogadó tartományba. |
- |
- |
- |
59. |
2.58. Információáramlási szabályok érvényesítése – Folyamatkövetelmények az információ átviteléhez |
2.58. A különböző biztonsági tartományok közötti információátvitel során a szűrőcsatornák közötti információátviteli folyamat: |
- |
- |
- |
60. |
2.59. Felelősségek szétválasztása |
2.59. A szervezet: |
- |
X |
X |
61. |
2.60. Legkisebb jogosultság elve |
2.60. A szervezet a legkisebb jogosultság elvét alkalmazza, és a felhasználók vagy a felhasználók nevében eljáró folyamatok számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi. |
- |
X |
X |
62. |
2.61. Legkisebb jogosultság elve – Hozzáférés biztosítása a biztonsági funkciókhoz |
2.61. A szervezet: |
- |
X |
X |
63. |
2.62. Legkisebb jogosultság elve – Nem privilegizált hozzáférés biztosítása a nem biztonsági funkciókhoz |
2.62. A szervezet megköveteli, hogy a meghatározott biztonsági funkciókhoz vagy biztonságkritikus információkhoz hozzáférési jogosultsággal rendelkező fiókok felhasználói a nem biztonsági funkciók használatához ne privilegizált fiókot vagy szerepkört használjanak. |
- |
X |
X |
64. |
2.63. Legkisebb jogosultság elve – Hálózati hozzáférés a privilegizált parancsokhoz |
2.63. A szervezet csak kényszerű üzemeltetési okokból engedélyezi a hálózati hozzáférést a meghatározott privilegizált parancsokhoz, és dokumentálja az ilyen hozzáférés indoklását a rendszerbiztonsági tervében. |
- |
- |
X |
65. |
2.64. Legkisebb jogosultság elve – Elkülönített feldolgozási tartományok |
2.64. A szervezet elkülönített feldolgozási tartományokat biztosít a felhasználói jogosultságok pontosabb kiosztásának lehetővé tétele érdekében. |
- |
- |
- |
66. |
2.65. Legkisebb jogosultság elve – Privilegizált fiókok |
2.65. A szervezet az EIR privilegizált fiókjait meghatározott személyekre vagy szerepkörökre korlátozza. |
- |
X |
X |
67. |
2.66. Legkisebb jogosultság elve – Privilegizált hozzáférés szervezeten kívüli felhasználók számára |
2.66. A szervezet megtiltja a szervezeten kívüli felhasználók számára az EIR-hez való privilegizált hozzáférést. |
- |
- |
- |
68. |
2.67. Legkisebb jogosultság elve – Felhasználói jogosultságok felülvizsgálata |
2.67. A szervezet: |
- |
X |
X |
69. |
2.68. Legkisebb jogosultság elve – Jogosultsági szintek kódvégrehajtáshoz |
2.68. A szervezet megakadályozza, hogy az általa meghatározott szoftverek magasabb jogosultsági szinteken fussanak, mint a szoftvert futtató felhasználók jogosultsági szintje. |
- |
- |
- |
70. |
2.69. Legkisebb jogosultság elve – Privilegizált funkciók használatának naplózása |
2.69. Az EIR naplózza a privilegizált funkciók végrehajtását. |
- |
X |
X |
71. |
2.70. Legkisebb jogosultság elve – Nem-privilegizált felhasználók korlátozása |
2.70. Az EIR megakadályozza, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre. |
- |
X |
X |
72. |
2.71. Sikertelen bejelentkezési kísérletek |
2.71. A szervezet: |
X |
X |
X |
73. |
2.72. Sikertelen bejelentkezési kísérletek – Mobil eszköz törlése vagy alaphelyzetbe állítása |
2.72. Előzetesen meghatározott számú egymást követő sikertelen bejelentkezési kísérletet követően a szervezet törli vagy alaphelyzetbe állítja a szervezet által meghatározott mobileszközökről származó információt, a meghatározott adattörlési és adattisztítási követelményeknek és technikáknak megfelelően. |
- |
- |
- |
74. |
2.73. Sikertelen bejelentkezési kísérletek – Biometrikus bejelentkezési kísérletek korlátozása |
2.73. A szervezet korlátozza a sikertelen biometrikus bejelentkezési kísérletek számát. |
- |
- |
- |
75. |
2.74. Sikertelen bejelentkezési kísérletek – Alternatív hitelesítési faktor használata |
2.74. A szervezet: |
- |
- |
- |
76. |
2.75. A rendszerhasználat jelzése |
2.75.1. Az EIR a rendszer használata előtt megjelenít a felhasználóknak egy meghatározott rendszerhasználati értesítést vagy üzenetet, amely biztonsági értesítést tartalmaz a szervezetre vonatkozó, hatályos jogszabályi előírásokban, irányelvekben, szabályozásokban, eljárásrendekben, szabványokban és útmutatókban meghatározottak szerint és tartalmazza, hogy: |
X |
X |
X |
77. |
2.76. Legutóbbi bejelentkezési értesítés |
2.76. Az EIR a sikeres bejelentkezést követően értesíti a felhasználót a legutóbbi bejelentkezés időpontjáról. |
- |
- |
- |
78. |
2.77. Korábbi bejelentkezések jelzése – Sikertelen bejelentkezések |
2.77. Az EIR a sikeres bejelentkezést követően értesíti a felhasználót az utolsó sikeres bejelentkezés óta történt sikertelen bejelentkezési kísérletek számáról. |
- |
- |
- |
79. |
2.78. Korábbi bejelentkezések jelzése – Sikeres és sikertelen bejelentkezések |
2.78. Az EIR a sikeres bejelentkezést követően tájékoztatja a felhasználót a sikeres bejelentkezések és a sikertelen bejelentkezési kísérletek számáról a meghatározott időszakra vonatkozóan. |
- |
- |
- |
80. |
2.79. Korábbi bejelentkezések jelzése – Értesítés a fiókváltozásokról |
2.79. A rendszer a sikeres bejelentkezést követően értesíti a felhasználót a meghatározott időszak alatt a felhasználói fiók biztonsággal kapcsolatos jellemzőinek vagy beállításainak változásairól. |
- |
- |
- |
81. |
2.80. Korábbi bejelentkezések jelzése – Kiegészítő bejelentkezési információk |
2.80. Az EIR a sikeres bejelentkezést követően a szervezet által meghatározott további információkat közöl a felhasználónak. |
- |
- |
- |
82. |
2.81. Egyidejű munkaszakasz kezelés |
2.81. A szervezet az EIR-ben meghatározott számra korlátozza az egyidejű munkaszakaszok számát minden egyes meghatározott fiókra vagy fióktípusra vonatkozóan. |
- |
- |
X |
83. |
2.82. Eszköz zárolása |
2.82. A szervezet: |
- |
X |
X |
84. |
2.83. Eszköz zárolása – Képernyőtakarás |
2.83. A szervezet az eszköz zárolása során elrejti a kijelzőn lévő információkat. |
- |
X |
X |
85. |
2.84. A munkaszakasz lezárása |
2.84. Az EIR automatikusan lezárja a munkaszakaszt a szervezet által meghatározott feltételek, vagy a munkaszakasz megszakítását igénylő események után. |
- |
X |
X |
86. |
2.85. Munkaszakasz megszakítása – Felhasználó által kezdeményezett kijelentkezések |
2.85. Az EIR biztosítja a kijelentkezési lehetőséget a felhasználó által kezdeményezett kommunikációs munkaszakaszból, ha az ahhoz történő hozzáférés hitelesítést igényel. |
- |
- |
- |
87. |
2.86. Munkaszakasz megszakítása – Megszakítási üzenet |
2.86. Az EIR egyértelmű kijelentkezési üzenetet jelenít meg a felhasználók számára, amely jelzi a hitelesített kommunikációs munkaszakaszok befejezését. |
- |
- |
- |
88. |
2.87. Munkaszakasz megszakítása – Időkorlátozásra figyelmeztető üzenet |
2.87. Az EIR egyértelmű üzenetet jelenít meg a felhasználók számára, amely jelzi, hogy a munkaszakasz a meghatározott idő leteltét követően véget ér. |
- |
- |
- |
89. |
2.88. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek |
2.88. A szervezet: |
X |
X |
X |
90. |
2.89. Biztonsági tulajdonságok |
2.89. A szervezet: |
- |
- |
- |
91. |
2.90. Biztonsági tulajdonságok – Dinamikus tulajdonságtársítás |
2.90. A szervezet dinamikusan társítja a biztonsági tulajdonságokat a meghatározott alanyokhoz és objektumokhoz, a meghatározott információbiztonsági előírásoknak megfelelően, az információk létrehozásakor és összeállításakor. |
- |
- |
- |
92. |
2.91. Biztonsági tulajdonságok – Tulajdonságértékek jogosult személyek általi módosítása |
2.91. A szervezet lehetőséget biztosít a jogosult személyeknek vagy a nevükben eljáró folyamatoknak, a kapcsolódó biztonsági tulajdonságértékek meghatározására vagy megváltoztatására. |
- |
- |
- |
93. |
2.92. Biztonsági tulajdonságok – Tulajdonságtársítások rendszerenkénti karbantartása |
2.92. A szervezet fenntartja a meghatározott biztonsági tulajdonságok sértetlenségét és hozzárendelését a meghatározott alanyokhoz és objektumokhoz. |
- |
- |
- |
94. |
2.93. Biztonsági tulajdonságok – Tulajdonságok jogosult személyek által történő társítása |
2.93. A szervezet lehetővé teszi a jogosult személyeknek vagy a nevükben eljáró folyamatoknak, a meghatározott biztonsági tulajdonságok és a meghatározott alanyok és objektumok társítását. |
- |
- |
- |
95. |
2.94. Biztonsági tulajdonságok – Tulajdonságok megjelenítése a kimeneti objektumokon |
2.94. A szervezet biztosítja, hogy az EIR az ember által olvasható formában jeleníti meg a biztonsági tulajdonságokat minden olyan objektumra vonatkozóan, amelyet az EIR a kimeneti eszközök felé továbbít, hogy azokon a meghatározott speciális terjesztési, kezelési vagy elosztási utasítások egyértelműen azonosíthatók legyenek. |
- |
- |
- |
96. |
2.95. Biztonsági tulajdonságok – Tulajdonságtársítás karbantartása |
2.95. A szervezet arra kötelezi a személyzetet, hogy a meghatározott biztonsági szabályokkal összhangban rendelje hozzá és tartsa fenn a meghatározott biztonsági tulajdonságokat, valamint az alanyok és objektumok meghatározott összekapcsolását. |
- |
- |
- |
97. |
2.96. Biztonsági tulajdonságok – Következetes tulajdonságértelmezés |
2.96. A szervezet biztosítja az elosztott rendszerelemek között továbbított biztonsági tulajdonságok következetes értelmezését. |
- |
- |
- |
98. |
2.97. Biztonsági tulajdonságok – Tulajdonságtársítási technikák és technológiák |
2.97. A szervezet meghatározott technikákat és technológiákat alkalmaz a biztonsági tulajdonságok információkkal való társítása során. |
- |
- |
- |
99. |
2.98. Biztonsági tulajdonságok – Tulajdonságok átcsoportosítása - Átminősítési mechanizmusok |
2.98. A szervezet csak meghatározott technikák vagy eljárások segítségével, hitelesített besorolás módosítási mechanizmusok alkalmazásával változtatja meg az információkhoz kapcsolódó biztonsági tulajdonságokat. |
- |
- |
- |
100. |
2.99. Biztonsági tulajdonságok – A tulajdonságok konfigurálása felhatalmazott személyek által |
2.99. A szervezet lehetőséget biztosít a jogosult személyek számára, hogy megváltoztassák az alanyokhoz és objektumokhoz társítható biztonsági tulajdonságok típusát és értékét. |
- |
- |
- |
101. |
2.100. Távoli hozzáférés |
2.100. A szervezet: |
X |
X |
X |
102. |
2.101. Távoli hozzáférés – Felügyelet és irányítás |
2.101. A szervezet automatizált mechanizmusokat alkalmaz a távoli hozzáférési módok felügyeletére és ellenőrzésére. |
- |
X |
X |
103. |
2.102. Távoli hozzáférés – Bizalmasság és sértetlenség védelme titkosítás által |
2.102. A szervezet kriptográfiai mechanizmusokat alkalmaz a távoli hozzáférés biztonságának és sértetlenségének biztosítása érdekében. |
- |
X |
X |
104. |
2.103. Távoli hozzáférés – Menedzselt hozzáférés-felügyeleti pontok |
2.103. A szervezet a távoli hozzáféréseket engedélyezett és menedzselt hálózati hozzáférés-felügyeleti pontokon keresztül irányítja. |
- |
X |
X |
105. |
2.104. Távoli hozzáférés – Privilegizált parancsok és hozzáférés |
2.104. A szervezet: |
- |
X |
X |
106. |
2.105. Távoli hozzáférés – Hozzáférési mechanizmusra vonatkozó információk védelme |
2.105. Az EIR védi a távoli hozzáférési mechanizmusokra vonatkozó információkat a jogosulatlan felhasználástól és nyilvánosságra hozataltól. |
- |
- |
- |
107. |
2.106. Távoli hozzáférés – Hozzáférés megszakítása vagy letiltása |
2.106. A szervezet biztosítja a rendszerhez való távoli hozzáférés meghatározott időn belüli szétkapcsolásának vagy letiltásának a lehetőségét. |
- |
- |
- |
108. |
2.107. Távoli hozzáférés – Távoli parancsok hitelesítése |
2.107. A szervezet meghatározott mechanizmusokat vezet be a meghatározott parancsok hitelesítésére. |
- |
- |
- |
109. |
2.108. Vezeték nélküli hozzáférés |
2.108. A szervezet: |
X |
X |
X |
110. |
2.109. Vezeték nélküli hozzáférés – Hitelesítés és titkosítás |
2.109. A szervezet az EIR-ben titkosítással és a felhasználók vagy az eszközök hitelesítésével védi a vezeték nélküli hozzáférést. |
- |
X |
X |
111. |
2.110. Vezeték nélküli hozzáférés – Vezeték nélküli hálózat letiltása |
2.110. A szervezet a rendszerelemekbe ágyazott vezeték nélküli hálózati hozzáférést letiltja amennyiben annak használata nem szükséges. |
- |
X |
X |
112. |
2.111. Vezeték nélküli hozzáférés – Felhasználók általi konfiguráció korlátozása |
2.111. A szervezet azonosítja és külön engedélyezési eljáráson keresztül jogosítja fel azokat a felhasználókat, akik jogosultak a vezeték nélküli hálózati funkciók önálló konfigurálására. |
- |
- |
X |
113. |
2.112. Vezeték nélküli hozzáférés – Antennák és átviteli teljesítmény |
2.112. A szervezet olyan rádióantennákat választ ki és az átviteli teljesítményszinteket oly módon kalibrálja, hogy minimalizálja annak valószínűségét, hogy a vezeték nélküli hozzáférési pontok jelei a szervezet által ellenőrzött határokon túl is foghatók legyenek. |
- |
- |
X |
114. |
2.113. Mobil eszközök hozzáférés-ellenőrzése |
2.113. A szervezet: |
X |
X |
X |
115. |
2.114. Mobil eszközök hozzáférés-ellenőrzése – Teljes eszköz vagy konténer-alapú titkosítás |
2.114. A szervezet teljes eszköztitkosítást vagy tárolóalapú titkosítást alkalmaz a meghatározott mobil eszközökön tárolt információk bizalmasságának és sértetlenségének védelme érdekében. |
- |
X |
X |
116. |
2.115. Külső elektronikus információs rendszerek használata |
2.115. A szervezet: |
X |
X |
X |
117. |
2.116. Külső rendszerek használata – Engedélyezett használat korlátozásai |
2.116. A szervezet csak akkor engedélyezi a jogosult személyek számára a külső rendszer használatát, a rendszerhez való hozzáférést, illetve a szervezet által ellenőrzött információk feldolgozását, tárolását vagy továbbítását, ha: |
- |
X |
X |
118. |
2.117. Külső rendszerek használata – Hordozható adattárolók használatának korlátozása |
2.117. A szervezet a meghatározott feltételek szerint korlátozza a jogosult személyek által külső rendszerekben használt, szervezet által ellenőrzött hordozható adattároló eszközök használatát. |
- |
X |
X |
119. |
2.118. Külső rendszerek használata – A nem szervezeti tulajdonban lévő rendszerek használatának korlátozása |
2.118. A szervezet a meghatározott feltételek szerint korlátozza a nem szervezeti tulajdonban lévő rendszerek és rendszerelemek használatát a szervezeti információk feldolgozására, tárolására vagy továbbítására. |
- |
- |
- |
120. |
2.119. Külső rendszerek használata – Hálózati adattárolók használatának tiltása |
2.119. A szervezet megtiltja a meghatározott hálózati adattároló eszközök használatát külső rendszerekben. |
- |
- |
- |
121. |
2.120. Külső rendszerek használata – Hordozható adattárolók használatának tiltása |
2.120. A szervezet megtiltja a szervezet által felügyelt hordozható adattároló eszközöknek a jogosult személyek által külső rendszerekben történő használatát. |
- |
- |
- |
122. |
2.121. Információmegosztás |
2.121. A szervezet: |
- |
X |
X |
123. |
2.122. Információmegosztás – Automatizált döntéstámogatás |
2.122. A szervezet automatizált mechanizmusokat alkalmaz az információmegosztási döntések érvényesítésére, amelyeket a jogosult felhasználók hajtanak végre, figyelembe véve a megosztásban érintett partnerek hozzáférési jogosultságait és az információhoz való hozzáférés korlátozásait. |
- |
- |
- |
124. |
2.123. Információmegosztás – Információkeresés és visszakeresés |
2.123. A szervezet olyan információkeresési és lekérdezési szolgáltatásokat alkalmaz, amelyek érvényesítik a meghatározott információmegosztási korlátozásokat. |
- |
- |
- |
125. |
2.124. Nyilvánosan elérhető tartalom |
2.124. A szervezet: |
X |
X |
X |
126. |
2.125. Adatbányászat elleni védelem |
2.125. A szervezet a meghatározott adattárakon alkalmazza a meghatározott adatbányászatot megelőző és észlelő technikákat, hogy észlelje és védekezzen az engedély nélküli adatbányászat ellen. |
- |
- |
- |
127. |
2.126. Hozzáférés-ellenőrzésre vonatkozó döntések |
2.126. A szervezet eljárásokat alakít ki, illetve mechanizmusokat valósít meg annak érdekében, hogy a meghatározott hozzáférés-felügyeleti szabályok minden hozzáférési kérelem esetén alkalmazásra kerüljenek a hozzáférés engedélyezését megelőzően. |
- |
- |
- |
128. |
2.127. Hozzáférés-ellenőrzési döntések – Hozzáférési engedélyek továbbítása |
2.127. A szervezet a meghatározott hozzáférés-engedélyezési információkat a meghatározott követelmények szerint továbbítja azokba a rendszerekbe, amelyek a hozzáférés-felügyeleti döntéseket végrehajtják. |
- |
- |
- |
129. |
2.128. Felhasználó- vagy a folyamatazonosító ismerete nélküli hozzáférés-ellenőrzési döntések. |
2.128. A szervezet a hozzáférés-felügyeleti döntéseket olyan meghatározott biztonsági tulajdonságok alapján hajtja végre, amelyek nem tartalmazzák a felhasználó vagy a felhasználó nevében eljáró folyamat azonosítóját. |
- |
- |
- |
130. |
2.129. Referenciának való megfelelőség vizsgálata |
2.129. A szervezet a meghatározott hozzáférés-felügyeleti szabályzat ellenőrzésére olyan megfelelőségellenőrző megoldást valósít meg, amely manipulációbiztos, folyamatba épített és a teljes körű elemzés és tesztelés elvégzéséhez alkalmas terjedelmű. |
- |
- |
- |
3. Tudatosság és képzés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
3.1. Szabályzat és eljárásrendek |
3.1. A szervezet: |
X |
X |
X |
3. |
3.2. Biztonságtudatossági képzés |
3.2. A szervezet: |
X |
X |
X |
4. |
3.3. Biztonságtudatossági képzés – Gyakorlati feladatok |
3.3. A szervezet a felkészítő képzést olyan gyakorlati feladatokkal egészíti ki, amelyek szimulálják a biztonsági eseményeket. |
- |
- |
- |
5. |
3.4. Biztonságtudatossági képzés – Belső fenyegetés |
3.4. A szervezet felkészítő képzést nyújt a belső fenyegetések potenciális jeleinek felismerésére és jelentésére. |
X |
X |
X |
6. |
3.5. Biztonságtudatossági képzés – Pszichológiai befolyásolás és információszerzés |
3.5. A szervezet felkészítő képzést nyújt a pszichológiai manipuláció és adatgyűjtés lehetséges és valós jeleinek felismerésére, valamint azok jelentésére. |
- |
X |
X |
7. |
3.6. Biztonságtudatossági képzés – Gyanús kommunikáció és szokatlan rendszerviselkedés |
3.6. A szervezet felkészítő képzést nyújt a szervezet rendszereiben felmerülő gyanús kommunikáció és rendellenes viselkedés felismerésére. |
- |
- |
- |
8. |
3.7. Biztonságtudatossági képzés – Tartós fejlett fenyegetések |
3.7. A szervezet felkészítő képzést nyújt a tartós fejlett fenyegetések (APT) felismerésére és kezelésére vonatkozóan. |
- |
- |
- |
9. |
3.8. Biztonság-tudatossági képzés – Kiberfenyegetési környezet |
3.8.1. A szervezet felkészítő képzést nyújt a kiberfenyegetési környezetről és |
- |
- |
- |
10. |
3.9. Szerepkör alapú biztonsági képzés |
3.9. A szervezet: |
X |
X |
X |
11. |
3.10. Szerepkör alapú biztonsági képzés – Környezeti védelmi intézkedések |
3.10. A szervezet kezdeti és időszakos képzést biztosít a szervezet által meghatározott személyek vagy szerepkörök számára a környezethez kapcsolódó biztonsági követelmények alkalmazásáról és működtetéséről. |
- |
- |
- |
12. |
3.11. Szerepkör alapú biztonsági képzés – Fizikai védelmi intézkedések |
3.11. A szervezet kezdeti és időszakos képzést biztosít a szervezet által meghatározott személyeknek vagy szerepköröknek a fizikai biztonsági követelményekből fakadó védelmi intézkedések alkalmazásáról és működtetéséről. |
- |
- |
- |
13. |
3.12. Szerepkör alapú biztonsági képzés – Gyakorlati feladatok |
3.12. A szervezet olyan biztonsági gyakorlati feladatokkal egészíti ki a felkészítő képzést, amelyek megerősítik a képzési célokat. |
- |
- |
- |
14. |
3.13. A biztonsági képzésre vonatkozó dokumentációk |
3.13. A szervezet: |
X |
X |
X |
15. |
3.14. Képzés eredményeiről való visszajelzés |
3.14. A szervezet rendszeresen visszajelzést ad a meghatározott személyeknek a szervezeti képzések eredményeiről. |
- |
- |
- |
4. Naplózás és elszámoltathatóság
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
4.1. Szabályzat és eljárásrendek |
4.1. A szervezet: |
X |
X |
X |
3. |
4.2. Naplózható események |
4.2. A szervezet: |
X |
X |
X |
4. |
4.3. Naplóbejegyzések tartalma |
4.3. A szervezet biztosítja, hogy a naplóbejegyzésekből az alábbi információk megállapíthatóak legyenek: |
X |
X |
X |
5. |
4.4. Naplóbejegyzések tartalma – Kiegészítő naplóinformációk |
4.4. Az EIR a naplóbejegyzésekben további, a szervezet által meghatározott kiegészítő információkat is rögzít. |
- |
X |
X |
6. |
4.5. Naplózás tárkapacitása |
4.5. A szervezet elegendő méretű tárkapacitást biztosít a naplózásra, figyelembe véve a naplózási funkciókat és a meghatározott megőrzési követelményeket. |
X |
X |
X |
7. |
4.6. Napló tárkapacitás – Naplók átvitele alternatív tárolási helyszínre |
4.6. A szervezet meghatározott gyakorisággal továbbítja a naplóbejegyzéseket a forrásrendszerből vagy rendszerelemből egy különálló rendszerbe, rendszerelembe vagy tárolórendszerbe. |
- |
- |
- |
8. |
4.7. Naplózási hiba kezelése |
4.7. A szervezet naplózási hiba esetén: |
X |
X |
X |
9. |
4.8. Naplózási hiba kezelése – Tárhelykapacitás figyelmeztetés |
4.8. Az EIR a szervezet által meghatározott időn belül figyelmezteti a meghatározott személyeket, szerepköröket és helyszíneket, ha a lefoglalt naplózási tárhely eléri a maximális naplózási tárhely szervezet által meghatározott százalékos értékét. |
- |
- |
X |
10. |
4.9. Naplózási hiba kezelése – Valós idejű riasztások |
4.9. Az EIR riasztást küld a meghatározott személyeknek vagy szerepköröknek, ha a meghatározott, valós idejű riasztást igénylő hibaesemények közül bármelyik bekövetkezik. |
- |
- |
X |
11. |
4.10. Naplózási hiba kezelése – Konfigurálható forgalmi küszöbértékek |
4.10. A szervezet olyan konfigurálható hálózati kommunikációs forgalmi küszöbértéket alkalmaz, amely megfelel a naplózás tárolási kapacitási korlátjainak és a küszöbérték feletti forgalmat visszautasítja vagy késlelteti. |
- |
- |
- |
12. |
4.11. Naplózási hiba kezelése – Leállítás hiba esetén |
4.11. A szervezet meghatározott naplózási hibák esetén kezdeményezi az EIR teljes vagy részleges leállítását, vagy korlátozza az elérhető ügymeneti és üzleti funkciókat, kivéve, ha a szervezet rendelkezik alternatív naplózási képességgel. |
- |
- |
- |
13. |
4.12. Naplózási hiba kezelése – Alternatív naplózási képesség |
4.12. Az EIR alternatív naplózási funkciót biztosít arra az esetre, ha az elsődleges naplózási funkció meghibásodik. |
- |
- |
- |
14. |
4.13. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel |
4.13. A szervezet: |
X |
X |
X |
15. |
4.14. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Automatizált folyamatintegráció |
4.14. A szervezet automatizált mechanizmusokat használ a naplóbejegyzések felülvizsgálatának, elemzésének és jelentési folyamatainak integrálására. |
- |
X |
X |
16. |
4.15. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Naplózási tárhelyek összekapcsolása |
4.15. A szervezet elemzi és összekapcsolja a különböző tárhelyeken található naplóbejegyzéseket a teljes szervezetre kiterjedő helyzetfelismerés érdekében. |
- |
X |
X |
17. |
4.16. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Központi vizsgálat és elemzés |
4.16. Az EIR biztosítja a több rendszerelemből származó naplóbejegyzések központi felülvizsgálatát és elemzését. |
- |
- |
- |
18. |
4.17. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Felügyeleti képességek integrálása |
4.17. A szervezet egyesíti a naplók elemzését a sérülékenységmenedzsment során keletkezett információkkal, a teljesítményadatokkal, a rendszerfelügyeleti információkkal vagy egyéb forrásokból begyűjtött információkkal a nem megfelelő vagy szokatlan tevékenységek azonosításának javítása érdekében. |
- |
- |
X |
19. |
4.18. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Összevetés a fizikai felügyelettel |
4.18. A szervezet összeveti a naplóbejegyzésekből származó információkat a fizikai hozzáférés felügyeletéből nyert adatokkal, a szokatlan, nem odaillő, gyanús vagy rosszindulatú tevékenységek azonosítására vonatkozó képességek fejlesztése érdekében. |
- |
- |
X |
20. |
4.19. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Engedélyezett műveletek |
4.19. A szervezet meghatározza az engedélyezett tevékenységeket minden olyan rendszerfolyamathoz, szerepkörhöz vagy felhasználóhoz, amely a naplóbejegyzések felülvizsgálatával, elemzésével és jelentésekkel kapcsolatos. |
- |
- |
- |
21. |
4.20. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Privilegizált parancsok teljes szöveges elemzése |
4.20. A szervezet elvégzi a naplózott privilegizált parancsok teljes szöveges elemzését a rendszer egy fizikailag és funkcionálisan elkülönített elemében vagy alrendszerében, vagy más, kifejezetten erre az elemzésre szolgáló rendszerben. |
- |
- |
- |
22. |
4.21. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Összevetés a nem technológiai forrásokból származó információkkal |
4.21. A szervezet összeveti a naplóbejegyzésekből származó információkat a nem technológiai forrásokból származó információkkal, a teljes szervezetre kiterjedő helyzetfelismerés javítása érdekében. |
- |
- |
- |
23. |
4.22. Naplóbejegyzések csökkentése és jelentéskészítés |
4.22. A szervezet lehetőséget biztosít naplóbejegyzések csökkentésre és jelentéskészítésre: |
- |
X |
X |
24. |
4.23. Naplóbejegyzések csökkentése és jelentéskészítés – Automatikus feldolgozás |
4.23. A szervezet gondoskodik arról, hogy a naplóbejegyzések automatikusan feldolgozhatók, rendezhetők és kereshetők legyenek a meghatározott adatmezők tekintetében. |
- |
X |
X |
25. |
4.24. Időbélyegek |
4.24. A szervezet: |
X |
X |
X |
26. |
4.25. Naplóinformációk védelme |
4.25. Az EIR: |
X |
X |
X |
27. |
4.26. A naplóinformációk védelme – Egyszer írható adathordozó |
4.26. Az EIR a naplóbejegyzéseket egy hardveresen kikényszerített, egyszer írható adathordozóra rögzíti. |
- |
- |
- |
28. |
4.27. A naplóinformációk védelme – Tárolás fizikailag különálló rendszereken vagy rendszerelemeken |
4.27. Az EIR a naplóbejegyzéseket meghatározott gyakorisággal eltárolja egy olyan tárhelyen, amely a keletkezési helyétől fizikailag elkülönült rendszer vagy rendszerelem része. |
- |
- |
X |
29. |
4.28. A naplóinformációk védelme – Kriptográfiai védelem |
4.28. A szervezet kriptográfiai eszközöket alkalmaz a naplóinformációk és a naplókezelő eszköz sértetlenségének védelmére. |
- |
- |
X |
30. |
4.29. A naplóinformációk védelme – Privilegizált felhasználók hozzáférése |
4.29. A szervezet a naplózási funkciók kezeléséhez csak egy meghatározott jogosultsági szinttel rendelkező felhasználói csoportnak vagy felhasználói szerepeknek ad hozzáférési jogosultságot. |
- |
X |
X |
31. |
4.30. A naplóinformációk védelme – Kettős jóváhagyás |
4.30. A szervezet kikényszeríti a kettős jóváhagyást a szervezet által meghatározott naplóinformációk áthelyezéséhez vagy törléséhez. |
- |
- |
- |
32. |
4.31. A naplóinformációk védelme – Hozzáférés csak olvasásra |
4.31. A szervezet csak olvasási hozzáférést biztosít a naplóinformációkhoz a privilegizált felhasználók vagy szerepkörök egy meghatározott részhalmazának. |
- |
- |
- |
33. |
4.32. A naplóinformációk védelme – Tárolás eltérő operációs rendszert futtató rendszerelemen |
4.32. Az EIR a naplóinformációkat egy olyan rendszerelemben tárolja, amely eltérő operációs rendszert futtat, mint a naplózott rendszer vagy rendszerelem. |
- |
- |
- |
34. |
4.33. Letagadhatatlanság |
4.33. Az EIR megcáfolhatatlan bizonyítékot szolgáltat arra, hogy egy személy vagy a nevében futó feldolgozási folyamat végrehajtott egy a szervezet által meghatározott, a letagadhatatlanság követelménye alá eső tevékenységet. |
- |
- |
X |
35. |
4.34. Letagadhatatlanság – Személyazonosság társítása |
4.34. Az EIR: |
- |
- |
- |
36. |
4.35. Letagadhatatlanság – Az információt előállító egyén személyazonossági kapcsolatának hitelesítése |
4.35. A szervezet: |
- |
- |
- |
37. |
4.36. Letagadhatatlanság – Felügyeleti lánc |
4.36. A szervezet fenntartja az információ kibocsátójához és felülvizsgálójához tartozó hitelesítő adatokat a létrehozott felügyeleti láncon belül. |
- |
- |
- |
38. |
4.37. Letagadhatatlanság – Az információt ellenőrző egyén személyazonossági kapcsolatának hitelesítése |
4.37. A szervezet: |
- |
- |
- |
39. |
4.38. A naplóbejegyzések megőrzése |
4.38. A szervezet a naplóbejegyzéseket a jogszabályi és a szervezeten belüli információmegőrzési követelmények szerint meghatározott időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében. |
X |
X |
X |
40. |
4.39. A naplóbejegyzések megőrzése – Hosszú távú visszakeresési képesség |
4.39. A szervezet olyan intézkedéseket alkalmaz, amelyek biztosítják a rendszer által generált naplóbejegyzések hosszú távú visszakereshetőségét. |
- |
- |
- |
41. |
4.40. Naplóbejegyzések létrehozása |
4.40. Az EIR: |
X |
X |
X |
42. |
4.41. Naplóbejegyzések létrehozása – Az egész rendszerre kiterjedő és időbeli naplózási nyomvonal. |
4.41. Az EIR a szervezet által meghatározott rendszerelemekből származó naplóbejegyzésekből egy rendszerszintű naplót állít össze, amely a szervezet által meghatározott tűréshatáron belüli időbélyegek alapján kerül összekapcsolásra. |
- |
- |
X |
43. |
4.42. Naplóbejegyzések létrehozása – Szabványos formátumok |
4.42. Az EIR az egész rendszerre kiterjedő szabványos formátumú naplóbejegyzésekből álló naplót állít össze. |
- |
- |
- |
44. |
4.43. Naplóbejegyzések létrehozása – Felhatalmazott személyek változtatásai |
4.43. Az EIR lehetőséget biztosít a meghatározott személyeknek vagy szerepköröknek, hogy megváltoztassák az egyes rendszerelemek naplózását a meghatározott eseménykritériumok alapján egy meghatározott időtartamon belül. |
- |
- |
X |
45. |
4.44. Információk kiszivárgásának figyelemmel kísérése |
4.44. A szervezet: |
- |
- |
- |
46. |
4.45. Információ kiszivárgásának figyelemmel kísérése – Automatizált eszközök használata |
4.45. A szervezet meghatározott automatizált mechanizmusok segítségével figyelemmel kíséri a nyílt forrású információkat és információs oldalakat. |
- |
- |
- |
47. |
4.46. Információ kiszivárgásának figyelemmel kísérése – Figyelemmel kísért webhelyek felülvizsgálata |
4.46. A szervezet meghatározott gyakorisággal felülvizsgálja a figyelemmel kísért nyílt forrású információs oldalak listáját. |
- |
- |
- |
48. |
4.47. Információ kiszivárgásának figyelemmel kísérése – Információk jogosulatlan másolása |
4.47. A szervezet felderítési technikákat, folyamatokat és eszközöket alkalmaz annak meghatározására, hogy külső entitások jogosulatlan módon másolják-e a szervezeti információkat. |
- |
- |
- |
49. |
4.48. Munkaszakasz-ellenőrzés |
4.48. A szervezet: |
- |
- |
- |
50. |
4.49. Munkaszakasz ellenőrzés – Rendszerindítás |
4.49. Az EIR automatikusan elindítja a munkaszakasz ellenőrzéshez szükséges folyamatokat a rendszerindításkor. |
- |
- |
- |
51. |
4.50. Munkaszakasz ellenőrzése – Távoli megfigyelés és lehallgatás |
4.50. A szervezet biztosítja és megvalósítja azt a képességet, hogy az arra feljogosított felhasználók valós időben távolról megtekinthessék és meghallgathassák a létrehozott felhasználói munkaszakaszhoz kapcsolódó tartalmat. |
- |
- |
- |
52. |
4.51. Szervezeten átívelő naplózás |
4.51. A szervezet meghatározott módszereket alkalmaz a meghatározott naplóinformációk külső szervezetekkel történő egyeztetésére, amikor a naplóinformációt a szervezeti határokon túlra továbbítják. |
- |
- |
- |
53. |
4.52. Szervezeten átívelő naplózás – Naplóinformációk megosztása |
4.52. A szervezet biztosítja a meghatározott naplóinformációkat a meghatározott szervezetek számára az adott információmegosztási megállapodások alapján. |
- |
- |
- |
5. Értékelés, engedélyezés és monitorozás
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
5.1. Szabályzat és eljárásrendek |
5.1. A szervezet: |
X |
X |
X |
3. |
5.2. Biztonsági értékelések |
5.2. A szervezet: |
X |
X |
X |
4. |
5.3. Biztonsági értékelések – Független értékelők |
5.3. A 1. § (1) bekezdés hatálya alá tartozó szervezet - a honvédelmi célú rendszerek kivételével - független értékelőket vagy értékelőcsoportokat alkalmaz az EIR védelmi intézkedéseinek értékelésére. |
- |
X |
X |
5. |
5.4. Biztonsági értékelések – Kiberbiztonsági audit |
5.4. A 1. § (2) bekezdés hatálya alá tartozó szervezet független auditorokat alkalmaz az EIR védelmi intézkedéseinek értékelésére. |
X |
X |
X |
6. |
5.5. Biztonsági értékelések – Speciális értékelések |
5.5. A szervezet a védelmi intézkedések értékelése céljából rendszeresen bejelentett, vagy bejelentés nélküli: |
- |
- |
X |
7. |
5.6. Biztonsági értékelések – Külső szervezetek eredményeinek felhasználása |
5.6. A vizsgált szervezet alkalmazza a meghatározott külső szervezetek által végzett értékelések eredményeit saját EIR-eiben, feltéve, hogy azok megfelelnek a szervezet által támasztott elvárásoknak. |
- |
- |
- |
8. |
5.7. Információcsere |
5.7. A szervezet: |
X |
X |
X |
9. |
5.8. Információcsere – Átviteli engedélyek |
5.8. A szervezet az adattovábbítás elfogadása előtt gondoskodik róla és ellenőrzi, hogy a kapcsolódó rendszerek között adatokat továbbító személyek vagy rendszerek rendelkeznek-e az adatátvitelhez szükséges jogosultságokkal. |
- |
- |
X |
10. |
5.9. Információcsere – Áthaladó információcsere |
5.9. A szervezet: |
- |
- |
- |
11. |
5.10. Az intézkedési terv és mérföldkövei |
5.10. A szervezet: |
X |
X |
X |
12. |
5.11. Az intézkedési terv és mérföldkövek – Pontosság és naprakészség automatizált támogatása |
5.11. A szervezet meghatározott automatizált mechanizmusok segítségével biztosítja az EIR intézkedési tervének és mérföldköveinek pontosságát, naprakészségét és elérhetőségét. |
- |
- |
- |
13. |
5.12. Engedélyezés |
5.12. A szervezet: |
X |
X |
X |
14. |
5.13. Engedélyezés – Közös engedélyezés – Szervezeten belüli |
5.13. A szervezet olyan együttes engedélyezési folyamatot alkalmaz, amely ugyanazon szervezet több engedélyezőjét is magában foglalja. |
- |
- |
- |
15. |
5.14. Engedélyezés – Közös engedélyezés – Szervezetek közötti |
5.14. A szervezet a szervezetek közötti engedélyezés esetén olyan együttes engedélyezési folyamatot alkalmaz, amely magában foglalja ugyanazon szervezet több engedélyezőjét, és legalább egy olyan engedélyező szerepben lévő személyt, aki nem a saját szervezetéhez tartozik. |
- |
- |
- |
16. |
5.15. Folyamatos felügyelet |
5.15. A szervezet kidolgozza a rendszerszintű folyamatos felügyeleti stratégiát és megvalósítja a folyamatos felügyeletet a szervezeti szintű stratégiával összhangban, amely magában foglalja a következőket: |
X |
X |
X |
17. |
5.16. Folyamatos felügyelet – Független értékelés |
5.16. A szervezet független értékelőket vagy értékelőcsoportokat alkalmaz az EIR-ben lévő védelmi intézkedések folyamatos ellenőrzésére. |
- |
X |
X |
18. |
5.17. Folyamatos felügyelet – Trendelemzés |
5.17. A szervezet trendelemzéseket alkalmaz, hogy a tapasztalati adatok alapján megállapítsa, szükséges-e módosítani a védelmi intézkedések végrehajtását, a folyamatos felügyeleti tevékenységek gyakoriságát, valamint a folyamatos felügyeleti folyamatban alkalmazott tevékenységtípusokat. |
- |
- |
- |
19. |
5.18. Folyamatos felügyelet – Kockázatmonitorozás |
5.18. A szervezet biztosítja, hogy a kockázatmonitorozás szerves része legyen a folyamatos felügyeleti stratégiának, amely a következőket tartalmazza: |
X |
X |
X |
20. |
5.19. Folyamatos felügyelet – Következetesség elemzése |
5.19. A szervezet az általa meghatározott intézkedéseket alkalmazza, hogy ellenőrizze a szabályzatok kialakítását, illetve a végrehajtott védelmi intézkedések azzal konzisztens működését. |
- |
- |
- |
21. |
5.20. Folyamatos felügyelet – Felügyelet automatizált támogatása |
5.20. A szervezet az általa meghatározott automatizált mechanizmusok segítségével biztosítja, hogy a rendszer felügyeleti eredményei pontosak és naprakészek legyenek, valamint rendelkezésre álljanak. |
- |
- |
- |
22. |
5.21. Behatolásvizsgálat (penetration testing) |
5.21. A szervezet behatolásvizsgálatot végez a szervezet által meghatározott gyakorisággal a meghatározott EIR-eken vagy rendszerelemeken. |
- |
- |
- |
23. |
5.22. Behatolásvizsgálat – Független szakértő vagy csapat |
5.22. A szervezet független szakértőt vagy csapatot alkalmaz az EIR vagy a rendszerelemek behatolásvizsgálatának elvégzésére. |
- |
- |
X |
24. |
5.23. Behatolásvizsgálat – „Vörös csapat” (red team) gyakorlatok |
5.23. A szervezet meghatározott „vörös csapat” (red team) gyakorlatokat hajt végre annak érdekében, hogy szimulálja a támadók kísérleteit a szervezeti EIR-ek kompromittálására a vonatkozó szabályok szerint. |
- |
- |
- |
25. |
5.24. Behatolásvizsgálat – Fizikai környezet |
5.24. A szervezet meghatározott gyakorisággal olyan eljárásokat alkalmaz az EIR fizikai környezetének behatolásvizsgálatára, amelyek magukba foglalják a bejelentett vagy be nem jelentett, a védelmi intézkedések megkerülésére vagy kijátszására irányuló kísérleteket. |
- |
- |
- |
26. |
5.25. Belső rendszerkapcsolatok |
5.25. A szervezet: |
X |
X |
X |
27. |
5.26. Belső rendszerkapcsolatok – Megfelelőségi ellenőrzések |
5.26. A szervezet a biztonsági szabályoknak való megfelelőség ellenőrzést végez a rendszerelemeken, a belső kapcsolatok létrehozása előtt. |
- |
- |
- |
6. Konfigurációkezelés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
6.1. Szabályzat és eljárásrendek |
6.1. A szervezet: |
X |
X |
X |
3. |
6.2. Alapkonfiguráció |
6.2. A szervezet: |
X |
X |
X |
4. |
6.3. Alapkonfiguráció – Automatikus támogatás a pontosság és a napra készségérdekében |
6.3. A szervezet automatizált mechanizmusokat alkalmaz az EIR naprakész, teljes, pontos és állandóan rendelkezésre álló alapkonfigurációjának karbantartására. |
- |
X |
X |
5. |
6.4. Alapkonfiguráció – Korábbi konfigurációk megőrzése |
6.4. A szervezet megőrzi az EIR alapkonfigurációjának a szervezet által meghatározott számú korábbi verzióit, hogy szükség esetén lehetővé váljon az erre való visszatérés. |
- |
X |
X |
6. |
6.5. Alapkonfiguráció – Fejlesztési és tesztkörnyezetek |
6.5. A szervezet egy-egy alapkonfigurációt tart fenn a rendszerfejlesztési és tesztkörnyezetekhez, amelyeket külön kezel az élesüzemi alapkonfigurációtól. |
- |
- |
- |
7. |
6.6. Alapkonfiguráció – Rendszerek és rendszerelemek konfigurálása magas kockázatú területekre |
6.6. A szervezet: |
- |
X |
X |
8. |
6.7. A konfigurációváltozások felügyelete (változáskezelés) |
6.7. A szervezet: |
- |
X |
X |
9. |
6.8. A konfigurációváltozások felügyelete – Automatizált dokumentáció, értesítés és változtatási tilalom |
6.8. A szervezet meghatározott automatizált mechanizmusokat alkalmaz: |
- |
- |
X |
10. |
6.9. A konfigurációváltozások felügyelete – Változások tesztelése, jóváhagyása és dokumentálása |
6.9. A szervezet teszteli, jóváhagyja és dokumentálja az EIR változtatásait azok bevezetése előtt. |
- |
X |
X |
11. |
6.10. A konfigurációváltozások felügyelete – Automatizált változásbevezetés |
6.10. A szervezet meghatározott automatizált mechanizmusok segítségével hajtja végre az alapkonfiguráció módosítását és a frissített alapkonfiguráció telepítését az EIR-ben. |
- |
- |
- |
12. |
6.11. A konfigurációváltozások felügyelete – Automatizált biztonsági válaszlépések |
6.11. A szervezet automatikusan végrehajtja a meghatározott biztonsági válaszlépéseket, amennyiben az alapkonfigurációt jogosulatlanul megváltoztatják. |
- |
- |
- |
13. |
6.12. A konfigurációváltozások felügyelete – Kriptográfia kezelése |
6.12. A szervezet az általa meghatározott védelmi intézkedésekhez használt kriptográfiai mechanizmusokat a konfigurációkezelés hatálya alá vonja. |
- |
- |
X |
14. |
6.13. A konfigurációváltozások felügyelete – Rendszer változásainak felülvizsgálata |
6.13. A szervezet meghatározott gyakorisággal, vagy a szervezet által meghatározott körülmények esetén megvizsgálja a rendszerben történt változásokat annak megállapítása érdekében, hogy történtek-e jogosulatlan változtatások. |
- |
- |
- |
15. |
6.14. A konfigurációváltozások felügyelete – Konfiguráció megváltoztatásának megakadályozása vagy korlátozása |
6.14. A szervezet meghatározott körülmények esetén megakadályozza vagy korlátozza az EIR konfigurációjának módosítását. |
- |
- |
- |
16. |
6.15. Biztonsági hatásvizsgálatok |
6.15. A szervezet még a változtatások bevezetése előtt megvizsgálja az EIR-ben tervezett változtatásoknak az információbiztonsági hatásait. |
X |
X |
X |
17. |
6.16. Biztonsági hatásvizsgálatok – Különálló tesztkörnyezetek |
6.16. A szervezet elkülönített tesztkörnyezetben vizsgálja a változtatásokat, mielőtt azokat éles rendszerben alkalmazná, keresve a biztonsági hatásokat, amelyek hiányosságokból, sérülékenységekből, kompatibilitási problémákból vagy szándékos rosszindulatból adódhatnak. |
- |
- |
X |
18. |
6.17. Biztonsági hatásvizsgálatok – Követelmények ellenőrzése |
6.17. A szervezet a rendszermódosítások után ellenőrzi, hogy a védelmi intézkedések helyesen lettek-e bevezetve, megfelelően működnek-e, és biztosítják-e a kívánt eredményeket, figyelembe véve az EIR biztonsági követelményeit. |
- |
X |
X |
19. |
6.18. A változtatásokra vonatkozó hozzáférés korlátozások |
6.18. A szervezet meghatározza, dokumentálja, jóváhagyja és érvényesíti azokat a fizikai és logikai hozzáférési korlátozásokat, amelyek az EIR változtatásaihoz kapcsolódnak. |
X |
X |
X |
20. |
6.19. A változtatásokra vonatkozó hozzáférés korlátozások – Automatizált hozzáférés-érvényesítés és naplóbejegyzések |
6.19. Az EIR: |
- |
- |
X |
21. |
6.20. A változtatásokra vonatkozó hozzáférés korlátozások – Kettős jóváhagyás |
6.20. A szervezet kettős jóváhagyást alkalmaz a változások végrehajtásához, a szervezet által meghatározott rendszerelemek és rendszerszintű információk esetében. |
- |
- |
- |
22. |
6.21. A változtatásokra vonatkozó hozzáférés korlátozások – Jogosultságok korlátozása élesüzemi rendszerek esetén |
6.21. A szervezet: |
- |
- |
- |
23. |
6.22. A változtatásokra vonatkozó hozzáférés korlátozások – Szoftverkönyvtári jogosultságok korlátozása |
6.22. A szervezet korlátozza a szoftverkönyvtárakban lévő szoftverek módosítására vonatkozó jogosultságokat. |
- |
- |
- |
24. |
6.23. Konfigurációs beállítások |
6.23. A szervezet |
X |
X |
X |
25. |
6.24. Konfigurációs beállítások – Automatizált kezelés, alkalmazás és ellenőrzés |
6.24. A szervezet az által meghatározott automatizált mechanizmusok segítségével irányítja, alkalmazza és ellenőrzi a szervezet által meghatározott rendszerelemek konfigurációs beállításait. |
- |
- |
X |
26. |
6.25. Konfigurációs beállítások – Reagálás a jogosulatlan változtatásokra |
6.25. A szervezet meghatározott lépéseket tesz a szervezet által meghatározott konfigurációs beállítások jogosulatlan módosításaira válaszul. |
- |
- |
X |
27. |
6.26. Legszűkebb funkcionalitás |
6.26. A szervezet: |
X |
X |
X |
28. |
6.27. Legszűkebb funkcionalitás – Rendszeres felülvizsgálat |
6.27. A szervezet: |
- |
X |
X |
29. |
6.28. Legszűkebb funkcionalitás – Program futtatásának megakadályozása |
6.28. A szervezet megakadályozza a program futtatását, amennyiben az nem a meghatározott szabályzatok és eljárásrendek szerint történik. |
- |
X |
X |
30. |
6.29. Legszűkebb funkcionalitás – Regisztrációs követelményeknek való megfelelés |
6.29. A szervezet biztosítja, hogy a funkciók, portok, protokollok és szolgáltatások regisztrációja megfeleljen a meghatározott követelményeknek. |
- |
- |
- |
31. |
6.30. Legszűkebb funkcionalitás – Engedély nélküli szoftverek — Kivételes letiltás |
6.30. A szervezet: |
- |
- |
- |
32. |
6.31. Legszűkebb funkcionalitás – Engedélyezett Szoftverek — Kivételes Engedélyezés |
6.31. A szervezet: |
- |
X |
X |
33. |
6.32. Legszűkebb funkcionalitás – Korlátozott jogosultságú zárt környezetek |
6.32. A szervezet megköveteli, hogy a meghatározott felhasználók által telepített szoftvereket fizikai vagy virtuális gépi környezetben korlátozott jogosultságokkal futtassák. |
- |
- |
- |
34. |
6.33. Legszűkebb funkcionalitás – Kódvégrehajtás védett környezetekben |
6.33. A szervezet a bináris vagy gépi kód futtatását csak korlátozott fizikai vagy virtuális környezetben és a meghatározott személyek vagy szerepkörök külön jóváhagyásával engedélyezi, ha az ilyen kód: |
- |
- |
- |
35. |
6.34. Legszűkebb funkcionalitás – Bináris vagy gépi futtatható kód |
6.34. A szervezet: |
- |
- |
- |
36. |
6.35. Legszűkebb funkcionalitás – Nem engedélyezett hardverek használatának tilalma |
6.35. A szervezet: |
- |
- |
- |
37. |
6.36. Rendszerelem leltár |
6.36. A szervezet: |
X |
X |
X |
38. |
6.37. Rendszerelem leltár – Frissítések a telepítés és eltávolítás során |
6.37. A szervezet a rendszerelemek leltárát frissíti minden egyes rendszerelem telepítése, eltávolítása és frissítése alkalmával. |
- |
X |
X |
39. |
6.38. Rendszerelem leltár – Automatizált karbantartás |
6.38. A szervezet meghatározott automatizált mechanizmusokat alkalmaz a rendszerelem leltár naprakészségének, teljességének, pontosságának és hozzáférhetőségének a fenntartására. |
- |
- |
X |
40. |
6.39. Rendszerelem leltár – Jogosulatlan elemek automatikus észlelése |
6.39. A szervezet: |
- |
- |
X |
41. |
6.40. Rendszerelem leltár – Elszámoltathatósággal kapcsolatos információk |
6.40. A szervezet a rendszerelem leltárt olyan módon alakítja ki, amely lehetővé teszi a rendszerelemek kezeléséért felelős és számonkérhető személyek azonosítását név, munkakör és szerepkör alapján. |
- |
- |
X |
42. |
6.41. Rendszerelem leltár – Értékelés alatt álló konfigurációk és jóváhagyott eltérések |
6.41. Az értékelés alatt álló rendszerelem konfigurációknak, valamint az aktuálisan telepített konfigurációktól való minden jóváhagyott eltérésnek szerepelnie kell a rendszerelem leltárában. |
- |
- |
- |
43. |
6.42. Rendszerelem leltár – Központi adattár |
6.42. A szervezet egy központi adattárat biztosít a rendszerelem leltárának. |
- |
- |
- |
44. |
6.43. Rendszerelem leltár – Automatizált helymeghatározás |
6.43. A szervezet automatizált mechanizmusokat alkalmaz a rendszerelemek földrajzi hely szerinti nyomon követésének támogatására. |
- |
- |
- |
45. |
6.44. Rendszerelem leltár – Rendszerelemek rendszerhez rendelése |
6.44. A szervezet: |
- |
- |
- |
46. |
6.45. Konfigurációkezelési terv |
6.45. A szervezet kialakít, dokumentál és végrehajt egy, az EIR-re vonatkozó konfigurációkezelési tervet, amely: |
- |
X |
X |
47. |
6.46. Konfigurációkezelési terv – Felelősség hozzárendelése |
6.46. A szervezet a konfigurációkezelési folyamat fejlesztésének felelősségét olyan személyre bízza, aki közvetlenül nem vesz részt a rendszerfejlesztésben. |
- |
- |
- |
48. |
6.47. A szoftverhasználat korlátozásai |
6.47. A szervezet: |
X |
X |
X |
49. |
6.48. A szoftverhasználat korlátozásai – Nyílt-forráskódú szoftver |
6.48. A szervezet meghatározott korlátozásokat alkalmaz a nyílt forráskódú szoftverek használatára vonatkozóan. |
- |
- |
- |
50. |
6.49. Felhasználó által telepített szoftver |
6.49. A szervezet: |
X |
X |
X |
51. |
6.50. Felhasználó által telepített szoftverek – Szoftvertelepítés privilegizált státusszal |
6.50. A szervezet csak a kifejezetten privilegizált jogosultsággal rendelkező felhasználóknak engedélyezi a szoftverek telepítését. |
- |
- |
- |
52. |
6.51. A felhasználó által telepített szoftverek – Automatizált kikényszerítés és felügyelet |
6.51. A szervezet automatizált mechanizmusokat alkalmaz a szoftvertelepítési szabályok kikényszerítésére és ellenőrzésére. |
- |
- |
- |
53. |
6.52. Információ helyének azonosítása és dokumentálása |
6.52. A szervezet: |
- |
X |
X |
54. |
6.53. Aláírt rendszerelemek |
6.53. A szervezet megakadályozza a meghatározott szoftver- és firmware-összetevők telepítését még annak ellenőrzését megelőzően, hogy az összetevő digitális aláírása a szervezet által jóváhagyott tanúsítvánnyal megtörtént. |
- |
- |
- |
7. Készenléti tervezés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
7.1. Szabályzat és eljárásrendek |
7.1. A szervezet: |
X |
X |
X |
3. |
7.2. Üzletmenet-folytonossági terv |
7.2. A szervezet: |
X |
X |
X |
4. |
7.3. Üzletmenet-folytonossági terv – Összehangolás a kapcsolódó tervekkel |
7.3. A szervezet egyezteti az üzletmenet-folytonossági tervet a kapcsolódó tervekért felelős szervezeti egységekkel. |
- |
X |
X |
5. |
7.4. Üzletmenet-folytonossági terv – Kapacitás tervezése |
7.4. A szervezet megtervezi a folyamatos működéshez szükséges információfeldolgozó, infokommunikációs és környezeti képességek biztosításához szükséges kapacitást. |
- |
- |
X |
6. |
7.5. Üzletmenet-folytonossági terv – Üzleti (ügymeneti) funkciók visszaállítása |
7.5. A szervezet meghatározza az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását követően. |
- |
X |
X |
7. |
7.6. Üzletmenet-folytonossági terv – Alapfeladatok és alapfunkciók folyamatossága |
7.6. A szervezet az alapfeladatok és alapfunkciók folyamatosságát úgy tervezi meg, hogy azok üzemelési folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő. Fenntartható legyen a folyamatosság az EIR elsődleges feldolgozó vagy tárolási helyszínén történő teljes helyreállításáig. |
- |
- |
X |
8. |
7.7. Üzletmenet-folytonossági terv – Alternatív feldolgozási és tárolási helyszínek |
7.7. A szervezet a folytonosság fenntartása érdekében megtervezi az alapfeladatok vagy alapfunkciók minimális, vagy akár veszteség nélküli átirányítását alternatív feldolgozási vagy tárolási helyszínekre, amíg az EIR vissza nem állítható az elsődleges feldolgozási vagy tárolási helyszínen. |
- |
- |
- |
9. |
7.8. Üzletmenet-folytonossági terv – Együttműködés külső szolgáltatókkal |
7.8. A szervezet összehangolja saját üzletmenet-folytonossági tervét a külső szolgáltatókkal, hogy a folyamatos működéshez szükséges követelmények teljesíthetők legyenek. |
- |
- |
- |
10. |
7.9. Üzletmenet-folytonossági terv – Kritikus erőforrások meghatározása |
7.9. A szervezet meghatározza az összes szervezet működése szempontjából kritikus erőforrást, amelyek az alapfeladatok vagy az alapvető üzleti folyamatok működéséhez szükségesek. |
- |
X |
X |
11. |
7.10. A folyamatos működésre felkészítő képzés |
7.10. A szervezet: |
X |
X |
X |
12. |
7.11. A folyamatos működésre felkészítő képzés – Szimulált események |
7.11. A szervezet a folyamatos működésre felkészítő képzésben szimulált eseményeket alkalmaz, hogy elősegítse a személyzet hatékony reagálását a szervezet működése szempontjából kritikus helyzetekben. |
- |
- |
X |
13. |
7.12. A folyamatos működésre felkészítő képzés – A képzési környezetben használt mechanizmusok |
7.12. A szervezet valós működési mechanizmusokat alkalmaz, hogy ezáltal alaposabb és valósághűbb vészhelyzeti képzési környezetet biztosítson. |
- |
- |
- |
14. |
7.13. Üzletmenet-folytonossági terv tesztelése |
7.13. A szervezet: |
- |
X |
X |
15. |
7.14. Üzletmenet-folytonossági terv tesztelése – Összehangolás a kapcsolódó tervekkel |
7.14. A szervezet egyezteti az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel. |
- |
X |
X |
16. |
7.15. Üzletmenet-folytonossági terv tesztelése – Alternatív feldolgozási helyszín |
7.15. A szervezet teszteli az üzletmenet folytonossági tervet az alternatív feldolgozási helyszínen: |
- |
- |
X |
17. |
7.16. Üzletmenet-folytonossági terv tesztelése – Automatizált tesztelés |
7.16. A szervezet meghatározott automatizált mechanizmusok segítségével teszteli az üzletmenet-folytonossági tervet. |
- |
- |
- |
18. |
7.17. Üzletmenet-folytonossági terv tesztelése – Teljes helyreállítás és rekonstrukció |
7.17. Az üzletmenet-folytonossági terv tesztelésének részét képezi a rendszer teljes és az utolsó ismert állapotba történő helyreállítása. |
- |
- |
- |
19. |
7.18. Üzletmenet-folytonossági terv tesztelése – Öntesztelés |
7.18. A szervezet meghatározott mechanizmusokat alkalmaz az EIR vagy rendszerelem működésének zavarására és hátrányos befolyásolására. |
- |
- |
- |
20. |
7.19. Biztonsági tárolási helyszín |
7.19. A szervezet: |
- |
X |
X |
21. |
7.20. Biztonsági tárolási helyszín – Elkülönítés az elsődleges tárolási helyszíntől |
7.20. A szervezet megfelelően elkülöníti a biztonsági tárolási helyszínt az elsődleges tárolási helyszíntől, az azonos veszélyeknek való kitettségük csökkentése érdekében. |
- |
X |
X |
22. |
7.21. Biztonsági tárolási helyszín – Helyreállítási idő és helyreállítási pont céljai |
7.21. A szervezet a biztonsági tárolási helyszínt úgy konfigurálja, hogy az elősegítse a helyreállítási tevékenységeket, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal. |
- |
- |
X |
23. |
7.22. Biztonsági tárolási helyszín – Hozzáférhetőség |
7.22. A szervezet azonosítja a potenciális hozzáférési problémákat a biztonsági tárolási helyszínhez egy meghatározott területre kiterjedő zavar vagy katasztrófa esetére és ezek alapján konkrét kockázatcsökkentő intézkedéseket határoz meg. |
- |
X |
X |
24. |
7.23. Alternatív feldolgozási helyszín |
7.23. A szervezet: |
- |
X |
X |
25. |
7.24. Alternatív feldolgozási helyszín – Elkülönítés az elsődleges helyszíntől |
7.24. A szervezet olyan alternatív feldolgozási helyszínt jelöl ki, amely megfelelően elkülönül az elsődleges feldolgozási helyszíntől, az azonos fenyegetésekkel szembeni kitettség csökkentése érdekében. |
- |
X |
X |
26. |
7.25. Alternatív feldolgozási helyszín – Hozzáférhetőség |
7.25. A szervezet azonosítja a potenciális hozzáférési problémákat az alternatív feldolgozási helyszínhez egy meghatározott területre kiterjedő zavar vagy katasztrófa esetére és ezek alapján konkrét kockázatcsökkentő intézkedéseket határoz meg. |
- |
X |
X |
27. |
7.26. Alternatív feldolgozási helyszín – Szolgálatás prioritása |
7.26. A szervezet az alternatív feldolgozási helyszínre vonatkozóan olyan megállapodásokat köt, és olyan intézkedéseket vezet be, amelyek a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási időcélokkal) összhangban álló szolgáltatásprioritási rendelkezéseket tartalmaznak. |
- |
X |
X |
28. |
7.27. Alternatív feldolgozási helyszín – Használatra való felkészítés |
7.27. A szervezet úgy készíti fel az alternatív feldolgozási helyszínt, hogy az meghatározott időn belül készen álljon az alapfunkciók működésének támogatására. |
- |
- |
X |
29. |
7.28. Alternatív feldolgozási helyszín – Az elsődleges helyszínre való visszatérés akadályoztatása |
7.28. A szervezet tervet készít és felkészül azokra a körülményekre, amikor nem lehetséges a visszatérés az elsődleges feldolgozási helyszínre. |
- |
- |
- |
30. |
7.29. Telekommunikációs szolgáltatások |
7.29. A szervezet tartalék infokommunikációs szolgáltatásokat létesít. Erre vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az EIR alapfunkcióinak, vagy meghatározott műveleteinek számára azok meghatározott időtartamon belüli újrakezdését, ha az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék feldolgozási vagy tárolási helyszínen. |
- |
- |
X |
31. |
7.30. Telekommunikációs szolgáltatások – Szolgáltatásprioritási rendelkezések |
7.30. Amennyiben A szervezet által igénybe vett elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül sor, akkor annak tartalmaznia kell a szolgáltatásprioritási rendelkezéseket, összhangban a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási időcélokkal). |
- |
X |
X |
32. |
7.31. Telekommunikációs szolgáltatások – Kritikus meghibásodási pont |
7.31. A szervezet olyan tartalék infokommunikációs szolgáltatásokat vesz igénybe, amelyek csökkentik az elsődleges infokommunikációs szolgáltatásokkal közös hibalehetőségek valószínűségét. |
- |
X |
X |
33. |
7.32. Telekommunikációs szolgáltatások – Elsődleges és másodlagos szolgáltatók különválasztása |
7.32. A szervezet tartalék infokommunikációs szolgáltatásokat szerez be, nem csak az elsődleges szolgáltatóktól, hanem a tőlük elkülönült független szolgáltatóktól is, hogy csökkentse a szervezet azonos fenyegetéseknek való kitettségét. |
- |
- |
X |
34. |
7.33. Telekommunikációs szolgáltatások – Szolgáltatói üzletmenet-folytonossági terv |
7.33. A szervezet: |
- |
- |
X |
35. |
7.34. Telekommunikációs szolgáltatások – Másodlagos távközlési szolgáltatás tesztelése |
7.34. A szervezet meghatározott gyakorisággal teszteli a tartalék infokommunikációs szolgáltatásokat. |
- |
- |
- |
36. |
7.35. Az elektronikus információs rendszer mentései |
7.35. A szervezet: |
X |
X |
X |
37. |
7.36. Az elektronikus információs rendszer mentései – Megbízhatóság és sértetlenség tesztelése |
7.36. A szervezet meghatározott gyakorisággal teszteli a mentett információkat, az adathordozók megbízhatóságának és az információ sértetlenségének garantálása érdekében. |
- |
X |
X |
38. |
7.37. Az elektronikus információs rendszer mentései – Visszaállítás tesztelése mintavétellel |
7.37. A szervezet a helyreállítási terv tesztelésének részeként egy kiválasztott mintát használ a mentett információkból az EIR kiválasztott funkcióinak helyreállítása során. |
- |
- |
X |
39. |
7.38. Az elektronikus információs rendszer mentései – Kritikus információk elkülönített tárhelye |
7.38. A szervezet az EIR szervezet működése szempontjából kritikus szoftvereinek és egyéb biztonsággal kapcsolatos információinak mentéseit az elsődleges feldolgozási helyszíntől elkülönített létesítményben vagy egy tűzbiztos tárolóban tárolja. |
- |
- |
X |
40. |
7.39. Az elektronikus információs rendszer mentései – Átvitel másodlagos tárolási helyszínre |
7.39. A szervezet meghatározott adatátviteli sebességgel vagy meghatározott idő alatt, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal, átmásolja az EIR mentésének információit az alternatív tárolási helyszínre. |
- |
- |
X |
41. |
7.40. Az elektronikus információs rendszer mentései – Redundáns másodlagos rendszer |
7.40. A szervezet az EIR biztonsági mentését egy másodlagos, redundáns rendszeren tárolja, amely az elsődleges EIR-től különálló helyen található, és információvesztés vagy működési zavarok nélkül állítható üzembe. |
- |
- |
- |
42. |
7.41. Az elektronikus információs rendszer mentései – Kettős jóváhagyás a törlésre vagy megsemmisítésre |
7.41. A szervezet kettős jóváhagyáshoz köti a szervezet által meghatározott biztonsági mentési információk törlését vagy megsemmisítését. |
- |
- |
- |
43. |
7.42. Az elektronikus információs rendszer mentései – Kriptográfiai védelem |
7.42. A szervezet kriptográfiai mechanizmusokat alkalmaz, hogy megakadályozza a meghatározott biztonsági mentési információk jogosulatlan felfedését és módosítását. |
- |
X |
X |
44. |
7.43. Az elektronikus információs rendszer helyreállítása és újraindítása |
7.43. A szervezet a meghatározott helyreállítási idővel és helyreállítási ponttal kapcsolatos célkitűzésekkel összhangban lévő időtartam alatt gondoskodik az EIR utolsó ismert, üzembiztos állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően. |
X |
X |
X |
45. |
7.44. Az elektronikus információs rendszer helyreállítása és újraindítása – Tranzakciók helyreállítása |
7.44. A szervezet tranzakció alapú EIR-ek esetén tranzakció-helyreállítást hajt végre. |
- |
X |
X |
46. |
7.45. Az elektronikus információs rendszer helyreállítása és újraindítása – Meghatározott időn belüli visszaállítás |
7.45. A szervezet biztosítja, hogy a rendszerelemeket előre definiált helyreállítási idő alatt helyre lehessen állítani, olyan ellenőrzött konfigurációból és sértetlenségvédett információkból, amelyek a rendszerelem ismert működési állapotát reprezentálják. |
- |
- |
X |
47. |
7.46. Az elektronikus információs rendszer helyreállítása és újraindítása – Rendszerelem védelem |
7.46. A szervezet védi azokat a rendszerelemeket, amelyeket a helyreállítás során használnak. |
- |
- |
- |
48. |
7.47. Alternatív kommunikációs protokollok |
7.47. A szervezet biztosítja a meghatározott alternatív kommunikációs protokollok alkalmazását a műveletek folyamatosságának fenntartása érdekében. |
- |
- |
- |
49. |
7.48. Átállás biztonságosüzemmódra |
7.48. Az érintett EIR a szervezet által meghatározott korlátozásokkal rendelkező biztonságos üzemmódba vált, amennyiben a szervezet által meghatározott feltételek észlelésre kerülnek. |
- |
- |
- |
50. |
7.49. Alternatív biztonsági mechanizmusok alkalmazása |
7.49. A szervezet a meghatározott tartalék vagy kiegészítő biztonsági mechanizmusokat alkalmazza a meghatározott biztonsági funkciók megvalósítására, amikor az elsődleges biztonsági funkció megvalósítása nem elérhető vagy veszélyeztetett. |
- |
- |
- |
8. Azonosítás és hitelesítés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
8.1. Szabályzat és eljárásrendek |
8.1. A szervezet: |
X |
X |
X |
3. |
8.2. Azonosítás és hitelesítés |
8.2. A szervezet egyedileg azonosítja és hitelesíti a felhasználókat, és egyedi azonosítóhoz kapcsolja a felhasználók által végzett tevékenységeket. |
X |
X |
X |
4. |
8.3. Azonosítás és hitelesítés (felhasználók) – Privilegizált fiókok többtényezős hitelesítése |
8.3. A szervezet többtényezős hitelesítést alkalmaz a privilegizált fiókokhoz való hozzáféréshez. |
X |
X |
X |
5. |
8.4. Azonosítás és hitelesítés (felhasználók) – Nem-privilegizált fiókok többtényezős hitelesítése |
8.4. A szervezet többtényezős hitelesítést alkalmaz a nem privilegizált fiókokhoz való hozzáféréshez. |
- |
X |
X |
6. |
8.5. Azonosítás és hitelesítés (felhasználók) – Egyéni azonosítás csoportos hitelesítéssel |
8.5. Amikor a szervezet közös használatú fiókokat vagy hitelesítő eszközöket alkalmaz, akkor a felhasználókat egyénileg azonosítja, mielőtt hozzáférést biztosítana a közös használatú fiókokhoz vagy erőforrásokhoz. |
- |
- |
X |
7. |
8.6. Azonosítás és hitelesítés (felhasználók) – Hozzáférés a fiókokhoz – különálló eszköz |
8.6. A szervezet többtényezős hitelesítést vezet be a privilegizált vagy nem privilegizált fiókokhoz való helyi, hálózati vagy távoli hozzáféréshez úgy, hogy: |
- |
- |
- |
8. |
8.7. Azonosítás és hitelesítés (felhasználók) – Hozzáférés a fiókokhoz – Visszajátszás elleni védelem |
8.7. A szervezet visszajátszás elleni védelmet biztosító hitelesítési mechanizmusokat alkalmaz a privilegizált és a nem privilegizált fiókokhoz való hozzáféréshez. |
X |
X |
X |
9. |
8.8. Azonosítás és hitelesítés (felhasználók) – Egyszeri bejelentkezés (SSO) |
8.8. A szervezet biztosítja, hogy az egyszeri bejelentkezési képesség (SSO) rendelkezésre álljon a meghatározott rendszerfiókok és szolgáltatások számára. |
- |
- |
- |
10. |
8.9. Azonosítás és hitelesítés (felhasználók) – Másodlagos hitelesítési csatorna |
8.9. A szervezet másodlagos hitelesítési csatornát alkalmaz, az általa meghatározott feltételek fennállása esetén, a kért művelet vagy hitelesítés ellenőrzése érdekében. |
- |
- |
- |
11. |
8.10. Eszközök azonosítása és hitelesítése |
8.10. A szervezet egyedileg azonosítja és hitelesíti a meghatározott eszközöket, vagy eszköztípusokat, mielőtt helyi, távoli, hálózati vagy egyéb kapcsolatot létesítene velük. |
- |
X |
X |
12. |
8.11. Eszközök azonosítása és hitelesítése – Kétirányú kriptográfiai hitelesítés |
8.11. A szervezet hitelesíti a szervezet által meghatározott eszközöket vagy eszköztípusokat, mielőtt kétirányú kriptográfiai hitelesítéssel helyi vagy távoli hálózati, vagy egyéb kapcsolatot létesítene velük. |
- |
- |
- |
13. |
8.12. Eszközök azonosítása és hitelesítése – Dinamikus címkiosztás |
8.12. A szervezet: |
- |
- |
- |
14. |
8.13. Eszközök azonosítása és hitelesítése – Eszköztanúsítványok |
8.13. A szervezet az általa meghatározott konfigurációkezelési folyamatok mentén kezeli az eszközök azonosításához és hitelesítéséhez használt tanúsítványokat |
- |
- |
- |
15. |
8.14. Azonosító kezelés |
8.14. A szervezet: |
X |
X |
X |
16. |
8.15. Azonosító kezelés – Fiókazonosítók nyilvános azonosítóként való használatának tiltása |
8.15. A szervezet megtiltja, hogy fiókok azonosítói megegyezzenek az egyéni fiókok nyilvánosan hozzáférhető azonosítóival. |
- |
- |
- |
17. |
8.16. Azonosító kezelés – Felhasználói státusz azonosítása |
8.16. A szervezet a felhasználói azonosítókhoz státuszjelölést rendel. |
- |
X |
X |
18. |
8.17. Azonosító kezelés – Dinamikus kezelés |
8.17. A szervezet dinamikusan kezeli az egyéni azonosítókat a meghatározott dinamikus azonosítókezelési szabályoknak megfelelően. |
- |
- |
- |
19. |
8.18. Azonosító kezelés – Szervezetek közötti kezelés |
8.18. A szervezet koordinálja a szervezetközi azonosítók használatát a meghatározott külső szervezetek esetében. |
- |
- |
- |
20. |
8.19. Azonosító kezelés – Álnevesített azonosítók |
8.19. A szervezet álnevesített (pszeudonim), nem újra felhasználható azonosítókat alkalmaz. |
- |
- |
- |
21. |
8.20. Azonosító kezelés – Attribútumkarbantartás és -védelem |
8.20. A szervezet megőrzi az egyedileg azonosított személyek, eszközök vagy szolgáltatások attribútumait egy meghatározott, védett központi tárhelyen. |
- |
- |
- |
22. |
8.21. A hitelesítésre szolgáló eszközök kezelése |
8.21. A szervezet a hitelesítő eszközöket az alábbiak szerint kezeli: |
X |
X |
X |
23. |
8.22. A hitelesítésre szolgáló eszközök kezelése – Jelszó alapú hitelesítés |
8.22. A szervezet: |
X |
X |
X |
24. |
8.23. A hitelesítésre szolgáló eszközök kezelése – Nyilvános kulcs alapú hitelesítés |
8.23.1. A nyilvános kulcs alapú hitelesítés esetén: |
- |
X |
X |
25. |
8.24. A hitelesítésre szolgáló eszközök kezelése – Hitelesítők módosítása az átadás előtt |
8.24. A szervezet a rendszerelemek fejlesztőit és telepítőit arra kötelezi, hogy egyedi hitelesítő adatokat biztosítsanak, vagy változtassák az alapértelmezett hitelesítő adatokat az átadás és telepítés előtt. |
- |
- |
- |
26. |
8.25. A hitelesítésre szolgáló eszközök kezelése – A hitelesítő eszközök védelme |
8.25. A szervezet a hitelesítő eszközöket az információk biztonsági besorolásának megfelelő védelemmel látja el, amelyekhez a hitelesítő eszköz a hozzáférést biztosítja. |
- |
X |
X |
27. |
8.26. A hitelesítésre szolgáló eszközök kezelése – Nincsenek beágyazott titkosítatlan statikus hitelesítők |
8.26. Az EIR biztosítja, hogy ne legyenek titkosítatlan, statikus hitelesítők beépítve az alkalmazásokba vagy más statikus tárolási formákba. |
- |
- |
- |
28. |
8.27. A hitelesítésre szolgáló eszközök kezelése – Több rendszerbeli felhasználó fiókok |
8.27. A szervezet biztonsági követelményeket határoz meg, hogy kezelje a több rendszerben is fiókkal rendelkező egyének általi kompromittálási kockázatot. |
- |
- |
- |
29. |
8.28. A hitelesítésre szolgáló eszközök kezelése – Egyesített hitelesítő adatok kezelése |
8.28. A szervezet meghatározza, hogy mely külső szervezetekkel kapcsolatban használható vagy engedélyezhető a hitelesítő adatok egyesítése. |
- |
- |
- |
30. |
8.29. A hitelesítésre szolgáló eszközök kezelése – Dinamikus hitelesítési adatkapcsolat |
8.29. A szervezet képes a felhasználói személyazonosságokat és a hitelesítő adatokat dinamikusan összekapcsolni a szervezeti szabályok alapján. |
- |
- |
- |
31. |
8.30. A hitelesítésre szolgáló eszközök kezelése – Biometrikus hitelesítés hatékonysága |
8.30. A szervezet olyan biometrikus hitelesítési mechanizmusokat alkalmaz, amelyek megfelelnek a biometrikus eszközökkel szemben meghatározott minőségi követelményeknek. |
- |
- |
- |
32. |
8.31. A hitelesítésre szolgáló eszközök kezelése – A gyorsítótárban tárolt hitelesítők lejárata |
8.31. A szervezet tiltja a gyorsítótárazott hitelesítési adatok meghatározottnál hosszabb idejű használatát. |
- |
- |
- |
33. |
8.32. A hitelesítésre szolgáló eszközök kezelése – A megbízható PKI tanúsítványtárak kezelése |
8.32. A szervezet a PKI-alapú hitelesítéshez egy szervezeti szintű módszertant alkalmaz, ami meghatározza a megbízható PKI tanúsítványtárak tartalmának kezelését minden platformon, beleértve a hálózatokat, operációs rendszereket, böngészőket és alkalmazásokat. |
- |
- |
- |
34. |
8.33. A hitelesítésre szolgáló eszközök kezelése – Személyes jelenlét melletti vagy megbízható külső fél általi hitelesítőeszköz kibocsátás |
8.33. A szervezet előírja, hogy a meghatározott típusú vagy különleges hitelesítőeszközök kiadása személyes jelenlét mellett vagy egy megbízható külső fél által történjen, a szervezet által meghatározott hitelesítés szolgáltató előtt, a szervezet által meghatározott személyek vagy szerepkörök jóváhagyása után. |
- |
- |
- |
35. |
8.34. A hitelesítésre szolgáló eszközök kezelése – Hamis biometrikus adatokat felhasználó támadások |
8.34. A szervezet biometrikus azonosításon alapuló hitelesítéseknél olyan mechanizmusokat alkalmaz, amelyek képesek a támadások - beleértve a hamis biometrikus adatok (például: ujjlenyomat, arckép) használatával elkövetett támadások - észlelésére. |
- |
- |
- |
36. |
8.35. A hitelesítésre szolgáló eszközök kezelése – Jelszókezelők |
8.35. A szervezet: |
- |
- |
- |
37. |
8.36. Hitelesítési információk visszajelzésének elrejtése |
8.36. Az EIR fedett visszacsatolást biztosít a hitelesítési folyamat során, hogy megvédje a hitelesítési információt a jogosulatlan személyek általi felfedésétől és felhasználásától. |
X |
X |
X |
38. |
8.37. Hitelesítés kriptográfiai modul esetén |
8.37. Az EIR olyan mechanizmusokat alkalmaz a kriptográfiai modul hitelesítéséhez, amelyek megfelelnek a kriptográfiai modul hitelesítési útmutatójának, a hatályos törvényeknek, a végrehajtási utasításoknak, szabályzatoknak, szabványoknak. |
X |
X |
X |
39. |
8.38. Azonosítás és hitelesítés (szervezeten kívüli felhasználók) |
8.38. Az EIR egyedileg azonosítja és hitelesíti a szervezeten kívüli felhasználókat, tevékenységüket, valamint a nevükben futó folyamatokat. |
X |
X |
X |
40. |
8.39. Azonosítás és hitelesítés (szervezeten kívüli felhasználók) – Meghatározott azonosítási profilok használata |
8.39. A szervezet meghatározott profilokat alkalmaz az azonosítási folyamat során. |
X |
X |
X |
41. |
8.40. Azonosítás és hitelesítés (szervezeten kívüli felhasználók) – PKI alapú hitelesítő adatok elfogadása |
8.40. A szervezet elfogadja és ellenőrzi a PKI hitelesítő adatokat, amelyek megfelelnek a szervezet által meghatározott előírásoknak. |
- |
- |
- |
42. |
8.41. Szolgáltatás azonosítása és hitelesítése |
8.41. A szervezet egyedileg azonosítja és hitelesíti a meghatározott rendszerszolgáltatásokat és alkalmazásokat, mielőtt kapcsolatot létesítene az eszközökkel, felhasználókkal, szolgáltatásokkal vagy alkalmazásokkal. |
- |
- |
- |
43. |
8.42. Helyzetfüggő hitelesítés |
8.42. A szervezet megköveteli, hogy a rendszerhez hozzáférő egyének meghatározott kiegészítő hitelesítési technikákat vagy eszközöket alkalmazzanak meghatározott konkrét körülmények vagy helyzetek esetén. |
- |
- |
- |
44. |
8.43. Újrahitelesítés |
8.43. A szervezet meghatározott körülmények vagy helyzetek esetén megköveteli a felhasználótól az újrahitelesítést. |
X |
X |
X |
45. |
8.44. Személyazonosság igazolása |
8.44. A szervezet: |
- |
X |
X |
46. |
8.45. Személyazonosság igazolása – Felettes jóváhagyása |
8.45. A szervezet előírja, hogy a logikai hozzáféréshez szükséges fiók regisztrációs folyamatában szerepeljen a felettes vagy a támogató (vezető) engedélye. |
- |
- |
- |
47. |
8.46. Személyazonosság igazolása – Személyazonosság bizonyítéka |
8.46. A szervezet megköveteli a személyazonosságot igazoló bizonyíték bemutatását a fiókok regisztrációját végző szervnél. |
- |
X |
X |
48. |
8.47. Személyazonosság igazolása – Személyazonossági bizonyítékok hitelesítése és ellenőrzése |
8.47. A szervezet megköveteli a bemutatott személyazonosságot igazoló bizonyíték meghatározott módszerekkel történő hitelesítését és ellenőrzését. |
- |
X |
X |
49. |
8.48. Személyazonosság igazolása – Személyes jelenlét melletti hitelesítés és ellenőrzés |
8.48. A szervezet megköveteli, hogy a személyazonosságot igazoló bizonyítékok hitelesítését és ellenőrzését személyes jelenlét mellett a fiókok regisztrációját végző szerv előtt kell elvégezni. |
- |
- |
X |
50. |
8.49. Személyazonosság igazolása – Cím megerősítése |
8.49. A szervezet megköveteli, hogy egy regisztrációs kód vagy megerősítő értesítés egy másodlagos csatornán keresztül kerüljön kézbesítésre, hogy a felhasználók nyilvántartásba vett (fizikai vagy elektronikus) címe ellenőrzésre kerüljön. |
- |
X |
X |
51. |
8.50. Személyazonosság igazolása – Külsőleg hitelesített személyazonosság elfogadása |
8.50. A szervezet elfogadja a külsőleg igazolt személyazonosságokat a szervezet által meghatározott személyazonosság megbízhatósági szinten. |
- |
- |
- |
9. Biztonsági események kezelése
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
9.1. Szabályzat és eljárásrendek |
9.1. A szervezet: |
X |
X |
X |
3. |
9.2. Képzés a biztonsági események kezelésére |
9.2. A szervezet: |
X |
X |
X |
4. |
9.3. Képzés a biztonsági események kezelésére – Szimulált események |
9.3. A szervezet szimulált eseményeket épít be a biztonsági események kezelésére vonatkozó képzésbe, hogy elősegítse a személyzet számára a válsághelyzetekben szükséges reagálást. |
- |
- |
X |
5. |
9.4. Képzés a biztonsági események kezelésére – Automatizált képzési környezet |
9.4. A szervezet automatizált mechanizmusokat alkalmaz, hogy a biztonsági eseménykezelési képzéséhez valósághű környezetet biztosítson. |
- |
- |
X |
6. |
9.5. Biztonsági események kezelésének tesztelése |
9.5. A szervezet meghatározott módon és gyakorisággal teszteli a rendszerre vonatkozó biztonsági eseménykezelési képességek hatékonyságát. |
- |
X |
X |
7. |
9.6. Biztonsági események kezelésének tesztelése – Automatizált tesztelés |
9.6. A szervezet meghatározott automatizált eszközök használatával teszteli a biztonsági eseménykezelési képességét. |
- |
- |
- |
8. |
9.7. Biztonsági események kezelésének tesztelése – Összehangolás a kapcsolódó tervekkel |
9.7. A szervezet egyezteti a biztonsági eseménykezelés tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel. |
- |
X |
X |
9. |
9.8. Biztonsági események kezelésének tesztelése – Folyamatos fejlesztés |
9.8. A szervezet a tesztelés során keletkezett kvalitatív és kvantitatív adatokat felhasználva |
- |
- |
- |
10. |
9.9. Biztonsági események kezelése |
9.9.1. A szervezet: |
X |
X |
X |
11. |
9.10. Biztonsági események kezelése – Automatizált eseménykezelő folyamatok |
9.10. A szervezet meghatározott automatizált mechanizmusok segítségével támogatja a biztonsági eseménykezelési folyamatot. |
- |
X |
X |
12. |
9.11. Biztonsági események kezelése – Dinamikus újrakonfigurálás |
9.11. A szervezet a meghatározott rendszerelemekhez kapcsolódó dinamikus újrakonfigurálási funkciót épít be a biztonsági eseményekre történő reagálási képességébe. |
- |
- |
- |
13. |
9.12. Biztonsági események kezelése – Működés folytonossága |
9.12. A szervezet a szervezeti célok teljesülésének és az üzleti funkciók folyamatosságának biztosítása érdekében osztályozza a biztonsági eseményeket, és az egyes osztályokhoz rendelt meghatározott válaszlépéseket hajtja végre a biztonsági eseményekre reagálva. |
- |
- |
- |
14. |
9.13. Biztonsági események kezelése – Információk korrelációja |
9.13. A szervezet korrelálja a biztonsági eseményekre vonatkozó információkat a szervezet egyéb releváns információival az átfogóbb helyzetfelismerés és -értékelés érdekében. |
- |
- |
X |
15. |
9.14. Biztonsági események kezelése – Rendszer automatikus leállítása |
9.14. A szervezet olyan konfigurálható képességet alkalmaz, amely automatikusan leállítja a rendszert a meghatározott biztonsági szabályok megsértésének észlelése esetén. |
- |
- |
- |
16. |
9.15. Biztonsági események kezelése – Belső fenyegetések |
9.15. A szervezet biztonsági eseménykezelési képességet alakít ki a belső fenyegetésekkel kapcsolatos eseményekre vonatkozóan. |
- |
- |
- |
17. |
9.16. Biztonsági események kezelése – Belső fenyegetések – Szervezeten belüli együttműködés |
9.16. A szervezet a meghatározott szervezeti egységek bevonásával koordinálja a belső fenyegetések kezelésére szolgáló biztonsági eseménykezelési képességet. |
- |
- |
- |
18. |
9.17. Biztonsági események kezelése – Együttműködés külső szervezetekkel |
9.17. A szervezet a kijelölt külső szervezetekkel együttműködve korrelálja és megosztja a biztonsági eseményekkel kapcsolatos információit, hogy átfogó képet kapjon a biztonsági eseményekről, és hatékonyabban tudjon reagálni rájuk. |
- |
- |
- |
19. |
9.18. Biztonsági események kezelése – Dinamikus válaszadási képesség |
9.18. A szervezet dinamikus reagálási képességeket alkalmaz a biztonsági események kezelésére. |
- |
- |
- |
20. |
9.19. Biztonsági események kezelése – Ellátási lánc koordinációja |
9.19. A szervezet összehangolja az ellátási láncban bekövetkező biztonsági események kezelését az ellátási láncban részt vevő szervezetekkel. |
- |
- |
- |
21. |
9.20. Biztonsági események kezelése – Integrált eseménykezelő csoport |
9.20. A szervezet létrehoz és fenntart egy integrált biztonsági eseménykezelő csoportot, amely a szervezet által meghatározott időn belül bármely kijelölt helyszínen bevethető. |
- |
- |
X |
22. |
9.21. Biztonsági események kezelése – Kártékony kód és forenzikus vizsgálat |
9.21. A szervezet elemzi a kártékony kódokat és minden más olyan nyomot, amelyek a biztonsági esemény után maradtak a rendszerben. |
- |
- |
- |
23. |
9.22. Biztonsági események kezelése – Viselkedéselemzés |
9.22. A szervezet elemzi a rendellenes vagy feltételezhetően rosszindulatú viselkedést, amely meghatározott környezettel vagy erőforrásokkal kapcsolatos. |
- |
- |
- |
24. |
9.23. Biztonsági események kezelése – Biztonsági műveleti központ |
9.23. A szervezet létrehoz és fenntart egy biztonsági műveleti központot. |
- |
- |
- |
25. |
9.24. Biztonsági események kezelése – Szervezeti kapcsolatok és jóhírnév helyreállítása |
9.24. A szervezet: |
- |
- |
- |
26. |
9.25. A biztonsági események nyomonkövetése |
9.25. A szervezet nyomon követi és dokumentálja az EIR biztonsági eseményeit. |
X |
X |
X |
27. |
9.26. A biztonsági események nyomonkövetése – Automatizált nyomon követés, adatgyűjtés és elemzés |
9.26. A szervezet automatizált mechanizmusokat alkalmaz a biztonsági események nyomonkövetésére, a biztonsági eseményekre vonatkozó információk gyűjtésére és vizsgálatára. |
- |
- |
X |
28. |
9.27. A biztonsági események jelentése |
9.27. A szervezet: |
X |
X |
X |
29. |
9.28. A biztonsági események jelentése – Automatizált jelentés |
9.28. A szervezet automatizált mechanizmusokat alkalmaz a biztonsági események bejelentésének támogatására. |
- |
X |
X |
30. |
9.29. A biztonsági események jelentése – Eseményekkel kapcsolatos sérülékenységek |
9.29. A szervezet megköveteli a biztonsági eseményekkel kapcsolatosan az EIR-ek sérülékenységeinek jelentését a szervezet által meghatározott személyeknek vagy szerepköröknek. |
- |
- |
- |
31. |
9.30. A biztonsági események jelentése – Ellátási lánc koordinációja |
9.30. A szervezet megosztja a biztonsági eseményekkel kapcsolatos információkat az érintett termék vagy szolgáltatás szállítójával, valamint más szervezetekkel, amelyek részt vesznek az érintett rendszerek vagy rendszerelemek ellátási láncában, vagy annak irányításában. |
- |
X |
X |
32. |
9.31. Segítségnyújtás a biztonsági események kezeléséhez |
9.31. A szervezet támogatást biztosít a biztonsági események kezeléséhez és jelentéséhez az EIR felhasználói számára. |
X |
X |
X |
33. |
9.32. Segítségnyújtás biztonsági események kezeléséhez – Automatizált támogatás az információk és a támogatás elérhetőségéhez |
9.32. A szervezet automatizált mechanizmusokat alkalmaz, hogy növelje a biztonsági események kezelésével kapcsolatos információk hozzáférhetőségét és a támogatást. |
- |
X |
X |
34. |
9.33. Segítségnyújtás biztonsági események kezeléséhez – Külső szolgáltatókkal való koordináció |
9.33. A szervezet: |
- |
- |
- |
35. |
9.34. Biztonsági eseménykezelési terv |
9.34. A szervezet: |
X |
X |
X |
36. |
9.35. Információszivárgásra adott válaszlépések |
9.35. A szervezet az információszivárgásra az alábbi válaszokat adja: |
- |
- |
- |
37. |
9.36. Információszivárgásra adott válaszlépések – Képzés |
9.36. A szervezet meghatározott gyakorisággal megtartja az információszivárgási események kezelésére vonatkozó képzést. |
- |
- |
- |
38. |
9.37. Információszivárgásra adott válaszlépések – Szivárgást követő műveletek |
9.37. A szervezet meghatározott intézkedéseket hajt végre annak érdekében, hogy az információszivárgásban érintett szervezethez köthető személyek folyamatosan el tudják látni kijelölt feladatukat, amíg az információszivárgásban érintett rendszereken javító intézkedések folynak. |
- |
- |
- |
39. |
9.38. Információszivárgásra adott válaszlépések – Illetéktelen hozzáférés |
9.38. A szervezet meghatározott intézkedéseket alkalmaz azokkal a személyekkel szemben, akik olyan információkhoz férnek hozzá, amelyek kívül esnek hozzáférési jogosultságaikon. |
- |
- |
- |
10. Karbantartás
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
10.1. Szabályzat és eljárásrendek |
10.1. A szervezet: |
X |
X |
X |
3. |
10.2. Szabályozott karbantartás |
10.2. A szervezet: |
X |
X |
X |
4. |
10.3. Rendszeres karbantartás – Automatizált karbantartási tevékenységek |
10.3.1. A szervezet automatizált mechanizmusokat alkalmaz a karbantartások és javítások ütemezésére, lefolytatására és dokumentálására. |
- |
- |
X |
5. |
10.4. Karbantartási eszközök |
10.4. A szervezet: |
- |
X |
X |
6. |
10.5. Karbantartási eszközök – Eszközök vizsgálata |
10.5. A szervezet ellenőrzi a karbantartó személyzet által használt eszközöket, a nem megfelelő, vagy nem engedélyezett módosítások észlelése érdekében. |
- |
X |
X |
7. |
10.6. Karbantartási eszközök – Adathordozók vizsgálata |
10.6. A szervezet az EIR-ben történő felhasználást megelőzően ellenőrizi a diagnosztikai és tesztprogramok adathordozóit, hogy tartalmaznak-e kártékony kódot. |
- |
X |
X |
8. |
10.7. Karbantartási eszközök – Jogosulatlan elszállítás megakadályozása |
10.7. A szervezet megakadályozza a szervezeti információkat tartalmazó karbantartó eszközök elszállítását az alábbiak szerint: |
- |
X |
X |
9. |
10.8. Karbantartási eszközök – Korlátozott eszközhasználat |
10.8. A szervezet a karbantartási eszközök használatát csak a megfelelő engedéllyel rendelkező személyek számára teszi lehetővé. |
- |
- |
- |
10. |
10.9. Karbantartási eszközök – Privilegizált jogosultsággal való futtatás |
10.9. A szervezet monitorozza a privilegizált jogosultsággal futtatott karbantartási eszközök használatát. |
- |
- |
- |
11. |
10.10. Karbantartási eszközök – Szoftverfrissítések és javítások |
10.10. A szervezet ellenőrzi a karbantartási eszközöket, hogy megbizonyosodjon arról, hogy azokon a legújabb szoftverfrissítések és javítások telepítésre kerültek. |
- |
- |
- |
12. |
10.11. Távoli karbantartás |
10.11. A szervezet: |
X |
X |
X |
13. |
10.12. Távoli karbantartás – Naplózás és felülvizsgálat |
10.12. A szervezet: |
- |
- |
- |
14. |
10.13. Távoli karbantartás – Azonos szintű biztonság és adattörlés |
10.13. A szervezet: |
- |
- |
X |
15. |
10.14. Távoli karbantartás – Hitelesítés és a karbantartási munkaszakaszok szétválasztása |
10.14. A szervezet az alábbi intézkedésekkel védi a munkaszakaszokat a távoli karbantartás során: |
- |
- |
- |
16. |
10.15. Távoli karbantartás – Jóváhagyások és értesítések |
10.15. A szervezet: |
- |
- |
- |
17. |
10.16. Távoli karbantartás – Kriptográfiai védelem |
10.16. A szervezet meghatározott kriptográfiai mechanizmusokat alkalmaz a távoli karbantartási és diagnosztikai tevékenységhez használt kommunikáció sértetlenségének és bizalmasságának védelme érdekében. |
- |
- |
- |
18. |
10.17. Távoli karbantartás – Kapcsolat megszakításának megerősítése |
10.17. A szervezet ellenőrzi a munkaszakaszok és a hálózati kapcsolatok megszűnését a távoli karbantartási és diagnosztikai munkaszakasz befejezése után. |
- |
- |
- |
19. |
10.18. Karbantartó személyek |
10.18. A szervezet: |
X |
X |
X |
20. |
10.19. Karbantartó személyek – Nem megfelelő ellenőrzöttségű személyek |
10.19. A szervezet: |
- |
- |
X |
21. |
10.20. Karbantartó személyek – Nem rendszer karbantartás |
10.20. A szervezet biztosítja, hogy a rendszerhez közvetlenül nem kapcsolódó, de a rendszer fizikai közelében tartózkodó, kísérettel nem rendelkező karbantartási tevékenységeket végző személyzet rendelkezzen a szükséges hozzáférési engedélyekkel. |
- |
- |
- |
22. |
10.21. Kellő időben történő karbantartás |
10.21. A szervezet meghatározza, hogy mely rendszerelemek esetén, milyen időtartamon belül szükséges karbantartási támogatást vagy pótalkatrészt biztosítani hiba esetén. |
- |
X |
X |
23. |
10.22. Kellő időben történő karbantartás – Megelőző karbantartás |
10.22. A szervezet meghatározott gyakorisággal megelőző karbantartást végez a kijelölt rendszerelemeken. |
- |
- |
- |
24. |
10.23. Kellő időben történő karbantartás – Prediktív karbantartás |
10.23. A szervezet meghatározott gyakorisággal prediktív karbantartást végez a kijelölt rendszerelemeken. |
- |
- |
- |
25. |
10.24. Kellő időben történő karbantartás – Prediktív karbantartás automatizált támogatása |
10.24. A szervezet meghatározott automatizált mechanizmusok segítségével végzi el a prediktív karbantartási adatok átvitelét egy karbantartáskezelő rendszerbe. |
- |
- |
- |
26. |
10.25. Terepi karbantartás szabályozása |
10.25. A szervezet korlátozza vagy megtiltja a meghatározott EIR-ek vagy rendszerelemek terepen végzett karbantartását, vagy azt kizárólag a meghatározott, megbízható karbantartó létesítményekben engedélyezi. |
- |
- |
- |
11. Adathordozók védelme
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
11.1. Szabályzat és eljárásrendek |
11.1. A szervezet: |
X |
X |
X |
3. |
11.2. Hozzáférés az adathordozókhoz |
11.2. A szervezet korlátozza a hozzáférést a meghatározott digitális vagy analóg adathordozókhoz, és ezt a hozzáférést kizárólag a szervezet által meghatározott személyek vagy szerepkörök számára engedélyezi. |
X |
X |
X |
4. |
11.3. Adathordozók címkézése |
11.3. A szervezet: |
- |
X |
X |
5. |
11.4. Adathordozók tárolása |
11.4. A szervezet: |
- |
X |
X |
6. |
11.5. Adathordozók tárolása – Automatizált korlátozott hozzáférés |
11.5. A szervezet korlátozza a hozzáférést az adathordozókat tároló ellenőrzött területekhez, valamint a szervezet által meghatározott automatizált mechanizmusok segítségével naplózza a hozzáféréseket és a hozzáférési kísérleteket. |
- |
- |
- |
7. |
11.6. Adathordozók szállítása |
11.6. A szervezet: |
- |
X |
X |
8. |
11.7. Adathordozók szállítása – Kijelölt felelős |
11.7. A szervezet egy felügyeleti feladattal megbízott személyt jelöl ki az adathordozók ellenőrzött területeken kívüli szállítása során. |
- |
- |
- |
9. |
11.8. Adathordozók törlése |
11.8. A szervezet: |
X |
X |
X |
10. |
11.9. Adathordozók törlése – Felülvizsgálat, jóváhagyás, nyomon követés, dokumentálás és ellenőrzés |
11.9. A szervezet felülvizsgálja, jóváhagyja, nyomonköveti, dokumentálja és ellenőrzi az adathordozók biztonságos törlésével és megsemmisítésével kapcsolatos tevékenységeket. |
- |
- |
X |
11. |
11.10. Adathordozók törlése – Berendezés tesztelése |
11.10. A szervezet a biztonságos törléshez alkalmazott eszközöket és eljárásokat a szervezet által meghatározott időközönként teszteli. |
- |
- |
X |
12. |
11.11. Adathordozók törlése – Roncsolásmentes technikák |
11.11. A szervezet roncsolásmentes adattörlési technikákat alkalmaz a meghatározott hordozható tárolóeszközökön, mielőtt azokat a szervezet által meghatározott körülmények között csatlakoztatná a rendszerhez. |
- |
- |
X |
13. |
11.12. Adathordozók törlése – Kettős jóváhagyás |
11.12. A szervezet kettős jóváhagyáshoz köti a meghatározott EIR adathordozóinak biztonságos törlését. |
- |
- |
- |
14. |
11.13. Adathordozók törlése – Adatok távoli törlése vagy megsemmisítése |
11.13. A szervezet kialakítja a képességet a távoli információtörlésre vagy felülírásra a meghatározott EIR-eken vagy rendszerelemeken, a szervezet által meghatározott feltételek teljesülése mellett. |
- |
- |
- |
15. |
11.14. Adathordozók használata |
11.14. A szervezet: |
X |
X |
X |
16. |
11.15. Adathordozók használata – Biztonságos törlésnek ellenálló adathordozók használatának tiltása |
11.15. A szervezet megtiltja a biztonságos törlésnek ellenálló adathordozók használatát a szervezeti EIR-ekben. |
- |
- |
- |
17. |
11.16. Adathordozók visszaminősítése |
11.16. A szervezet: |
- |
- |
- |
18. |
11.17. Adathordozók visszaminősítése – Folyamat dokumentációja |
11.17. A szervezet a szervezet által meghatározott gyakorisággal teszteli a visszaminősítés során használatos eszközöket és eljárásokat, hogy biztosítsa a visszaminősítési műveletek sikeres végrehajtását. |
- |
- |
- |
19. |
11.18. Adathordozók visszaminősítése – Berendezés tesztelése |
11.18. A szervezet a szervezet által meghatározott gyakorisággal teszteli a visszaminősítés során használatos eszközöket és eljárásokat, hogy biztosítsa a visszaminősítési műveletek sikeres végrehajtását. |
- |
- |
- |
12. Fizikai és környezeti védelem
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
12.1. Szabályzat és eljárásrendek |
12.1. A szervezet: |
X |
X |
X |
3. |
12.2. A fizikai belépési engedélyek |
12.2. A szervezet |
X |
X |
X |
4. |
12.3. Fizikai belépési engedélyek – Szerep- vagy feladatkör alapú hozzáférés |
12.3. A szervezet szerepkör vagy beosztás alapján engedélyezi a fizikai belépést az EIR-nek helyet adó létesítménybe. |
- |
- |
- |
5. |
12.4. Fizikai belépési engedélyek – Kétféle azonosító megléte |
12.4. A szervezet előírja, hogy a látogatóknak kétféle, a szervezet által meghatározott és elfogadott azonosító okmányt kell bemutatniuk az EIR-nek helyet adó létesítménybe történő belépéshez. A szervezet határozza meg az általa elfogadhatónak ítélt azonosító okmányok listáját. |
- |
- |
- |
6. |
12.5. Fizikai belépési engedélyek – Kíséret nélküli hozzáférés korlátozása |
12.5. A szervezet a szükséges biztonsági ellenőrzéssel és hozzáférési jogosultsággal rendelkező személyzetre korlátozza a kíséret nélküli fizikai belépést az EIR-nek helyet adó létesítmény területére. |
- |
- |
- |
7. |
12.6. A fizikai belépés ellenőrzése |
12.6. A szervezet: |
X |
X |
X |
8. |
12.7. A fizikai belépés ellenőrzése – Rendszer hozzáférés |
12.7. A szervezet a létesítménybe történő fizikai belépés ellenőrzésén túlmenően külön engedélyhez köti a fizikai belépést a szervezet által meghatározott fizikai helyiségekbe, amelyek egy vagy több rendszerelemet tartalmaznak. |
- |
- |
X |
9. |
12.8. A fizikai belépés ellenőrzése – Létesítmény és rendszerek |
12.8. A szervezet meghatározott gyakorisággal biztonsági ellenőrzéseket végez a létesítmény vagy rendszer fizikai határain annak érdekében, hogy megakadályozza az információk kiszivárogtatását vagy a rendszerelemek eltávolítását. |
- |
- |
- |
10. |
12.9. A fizikai belépés ellenőrzése – Folyamatos élőerős felügyelet |
12.9. A szervezet az EIR-nek helyet adó létesítménynek meghatározott fizikai hozzáférési pontjain 24 órás őrszolgálatot biztosít a hét minden napján. |
- |
- |
- |
11. |
12.10. A fizikai belépés ellenőrzése – Zárható házak vagy burkolatok |
12.10. A szervezet a meghatározott rendszerelemek védelmében zárható fizikai házat vagy egyéb burkolatot alkalmaz a jogosulatlan fizikai hozzáférés megakadályozására. |
- |
- |
- |
12. |
12.11. A fizikai belépés ellenőrzése – Manipuláció elleni védelem |
12.11. A szervezet meghatározott manipuláció elleni technológiákat alkalmaz a fizikai beavatkozások vagy módosítások észlelésének és megakadályozásának érdekében a szervezet által meghatározott rendszerelemeken. |
- |
- |
- |
13. |
12.12. A fizikai belépés ellenőrzése – Fizikai akadályok |
12.12. A szervezet fizikai akadályok használatával korlátozza a különböző területekhez való hozzáférést. |
- |
- |
- |
14. |
12.13. A fizikai belépés ellenőrzése – Beléptető helyiségek |
12.13. A szervezet hozzáférés-ellenőrző előtereket használ az általa meghatározott helyszíneken a létesítményeken belül. |
- |
- |
- |
15. |
12.14. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz |
12.14. A szervezet meghatározott biztonsági követelményeket alkalmaz a fizikai hozzáférés szabályozására a saját létesítményeiben található meghatározott rendszerelosztókhoz (például: csatlakozók, elosztók) és átviteli vezetékekhez. |
- |
X |
X |
16. |
12.15. A kimeneti eszközök hozzáférés-ellenőrzése |
12.15. A szervezet ellenőrzi az EIR kimeneti eszközeihez való fizikai hozzáférést annak érdekében, hogy jogosulatlan személyek ne férjenek hozzá az előállított kimenetekhez. |
- |
X |
X |
17. |
12.16. A kimeneti eszközök hozzáférés-ellenőrzése – Személyazonossághoz kapcsolhatóság |
12.16. A szervezet a kimeneti eszközökből származó információk fogadását vagy átvételét a fogadó vagy átvevő személy azonosításhoz köti. |
- |
- |
- |
18. |
12.17. A fizikai hozzáférések felügyelete |
12.17. A szervezet: |
X |
X |
X |
19. |
12.18. A fizikai hozzáférések felügyelete – Behatolásjelző és megfigyelő berendezések |
12.18. A szervezet fizikai behatolásjelző és felügyeleti berendezések alkalmazásával ellenőrzi a fizikai hozzáférési pontokat az EIR-nek helyet adó létesítményekben. |
- |
X |
X |
20. |
12.19. A fizikai hozzáférések felügyelete – Automatizált betörés felismerés válaszadás |
12.19. A szervezet képes felismerni a szervezet által meghatározott típusú behatolásokat, és a szervezet által meghatározott válaszintézkedések meghozatalát kezdeményezi a szervezet által meghatározott automatizált mechanizmusok használatával. |
- |
- |
- |
21. |
12.20. A fizikai hozzáférések felügyelete – Kamerás megfigyelés |
12.20. A szervezet: |
- |
- |
- |
22. |
12.21. A fizikai hozzáférések felügyelete – Rendszerekhez való fizikai hozzáférés-ellenőrzése |
12.21. A szervezet a létesítménybe történő fizikai belépések ellenőrzésén túl külön figyelmet fordít az EIR egy vagy több elemét tartalmazó helyiségekbe történő fizikai belépésekre. |
- |
- |
X |
23. |
12.22. Látogatói hozzáférési naplók |
12.22. A szervezet: |
X |
X |
X |
24. |
12.23. Látogatói hozzáférési naplók – Nyilvántartások automatizált karbantartása és felülvizsgálata |
12.23. A szervezet automatizált eszközöket alkalmaz a látogatói belépésekről készített információk és felvételek kezeléséhez és átvizsgálásához. |
- |
- |
X |
25. |
12.24. Áramellátó berendezések és kábelezés |
12.24. A szervezet védi az EIR áramellátását biztosító berendezéseket és a kábelezést a sérülésektől és rongálásoktól. |
- |
X |
X |
26. |
12.25. Áramellátó berendezések és kábelezés – Redundáns kábelezés |
12.25. A szervezet redundáns tápellátó kábelútvonalakat alkalmaz, amelyeket egymástól meghatározott távolságra helyez el. |
- |
- |
- |
27. |
12.26. Áramellátó berendezések és kábelezés – Automatikus feszültségszabályozás |
12.26. A szervezet automatikus feszültségszabályozót alkalmaz a meghatározott EIR és a szervezet működése szempontjából kritikus rendszerelemeknél. |
- |
- |
- |
28. |
12.27. Vészkikapcsolás |
12.27. A szervezet: |
- |
X |
X |
29. |
12.28. Vészhelyzeti tápellátás |
12.28. A szervezet az elsődleges áramforrás kiesése esetén, a tevékenységéhez méretezett szünetmentes áramellátást biztosít az EIR szabályos leállításához, vagy a hosszútávú tartalék áramellátásra történő átkapcsoláshoz. |
- |
X |
X |
30. |
12.29. Vészhelyzeti tápellátás – Tartalék áramellátás – Minimális működési képesség |
12.29. A szervezet az elsődleges áramforrás kiesése esetén automatikus vagy manuális aktiválású hosszútávú alternatív áramellátást biztosít az EIR minimálisan elvárt működési képességének és előre definiált minimálisan elvárt működési idejének fenntartására. |
- |
- |
X |
31. |
12.30. Vészhelyzeti tápellátás – Tartalék áramellátás – Önellátás |
12.30. A szervezet automatikusan vagy kézzel aktiválható alternatív áramellátást biztosít az EIR számára, amely: |
- |
- |
- |
32. |
12.31. Vészvilágítás |
12.31. A szervezet alkalmaz és karbantart egy automatikus vészvilágítási rendszert a létesítményben, amely áramszünet esetén aktiválódik, és megvilágítja a vészkijáratokat és a menekülési útvonalakat. |
X |
X |
X |
33. |
12.32. Vészvilágítás – Alapvető üzleti (ügymeneti) funkciók |
12.32. A szervezet biztosítja a vészvilágítást a létesítményen belül minden olyan területen, amely támogatja az üzleti funkciókat. |
- |
- |
- |
34. |
12.33. Tűzvédelem |
12.33. A szervezet független energiaforrással rendelkező tűzérzékelő, illetve tűzoltó rendszereket tart fenn és alkalmaz az EIR-ek védelme érdekében. |
X |
X |
X |
35. |
12.34. Tűzvédelem – Érzékelőrendszerek – Automatikus élesítés és értesítés |
12.34. A szervezet az EIR védelmére olyan tűzjelző berendezést vagy rendszert alkalmaz, amely tűz esetén automatikusan működésbe lép, és értesítést küld a szervezet által kijelölt tűzvédelmi felelősnek. |
- |
X |
X |
36. |
12.35. Tűzvédelem – Tűzoltó berendezések – Automatikus élesítés és értesítés |
12.35. A szervezet: |
- |
- |
X |
37. |
12.36. Tűzvédelem – Hatósági ellenőrzések |
12.36. A szervezet biztosítja, hogy a létesítményt a jogszabályi előírásoknak megfelelő ellenőrök a vonatkozó jogszabályok szerint és a szervezet által meghatározott gyakorisággal tűzvédelmi ellenőrzésnek vessék alá, és az azonosított hiányosságokat a vonatkozó jogszabályok és a szervezet által meghatározott időn belül orvosolják. |
- |
- |
- |
38. |
12.37. Környezeti védelmi intézkedések |
12.37. A szervezet: |
X |
X |
X |
39. |
12.38. Környezeti védelmi intézkedések – Automatikus szabályozás |
12.38. A szervezet automatizált környezeti szabályozó eszközöket alkalmaz a létesítményben, hogy megakadályozza azokat az ingadozásokat, amelyek potenciálisan károsak lehetnek az EIR-re nézve. |
- |
- |
- |
40. |
12.39. Környezeti védelmi intézkedések – Felügyeleti riasztások és értesítések |
12.39. Az adott szervezet egy olyan biztonsági rendszert használ, amely figyelmezteti a kijelölt személyeket vagy szerepeket, ha olyan változások történnek, amelyek potenciálisan veszélyeztethetik az embereket vagy a berendezéseket. |
- |
- |
- |
41. |
12.40. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem |
12.40. Védi az EIR-t a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a főelzárószelepek hozzáférhetők és működőképesek, valamint a nélkülözhetetlen szerepköröket betöltő személyek számára ismertek legyenek. |
X |
X |
X |
42. |
12.41. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem – Automatizálás támogatása |
12.41. A szervezet automatizált mechanizmusokat alkalmaz az EIR közelében megjelenő folyadékszivárgás észlelésére, valamint a szervezet által kijelölt személyek riasztására. |
- |
- |
X |
43. |
12.42. Be- és kiszállítás |
12.42. A szervezet |
X |
X |
X |
44. |
12.43. Munkavégzésre kijelölt alternatív helyszín |
12.43. A szervezet: |
- |
X |
X |
45. |
12.44. Az elektronikus információs rendszer elemeinek elhelyezése |
12.44. A szervezet úgy helyezi el az EIR elemeit, hogy a legkisebb mértékre csökkentse a szervezet által meghatározott fizikai és környezeti veszélyekből adódó lehetséges kárt, valamint a jogosulatlan hozzáférés lehetőségét. |
- |
- |
X |
46. |
12.45. Információszivárgás |
12.45. A szervezet megvédi az EIR-t az elektromágneses jelek kisugárzása miatt bekövetkező információszivárgástól. |
- |
- |
- |
47. |
12.46. Eszközök felügyelete és nyomon követése |
12.46. A szervezet olyan technológiákat alkalmaz, amelyek képesek a szervezet által meghatározott eszközök helyének és mozgásának nyomon követésére a szervezet által ellenőrzött területeken belül. |
- |
- |
- |
48. |
12.47. Elektromágneses impulzus elleni védelem |
12.47. A szervezet meghatározott védelmi intézkedéseket alkalmaz az EIR-ek és rendszerelemek védelmére az elektromágneses impulzusok okozta károk ellen. |
- |
- |
- |
49. |
12.48. Rendszerelemek jelölése |
12.48. A szervezet kijelöli az EIR-ben azokat a hardverelemeket, amelyek képesek meghatározott biztonsági besorolású információkat feldolgozni, tárolni és továbbítani. |
- |
- |
- |
50. |
12.49. Létesítmény elhelyezkedése |
12.49. A szervezet: |
- |
- |
- |
13. Tervezés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
13.1. Szabályzat és eljárásrendek |
13.1. A szervezet: |
X |
X |
X |
3. |
13.2. Rendszerbiztonsági terv |
13.2. A szervezet: |
X |
X |
X |
4. |
13.3. Viselkedési szabályok |
13.3.1. A szervezet megfogalmazza és a szervezetre érvényes követelmények szerint dokumentálja, valamint a szervezeten belül kihirdeti az EIR-hez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelezően elvárt vagy tiltott tevékenységet. |
X |
X |
X |
5. |
13.4. Viselkedési szabályok – Közösségi média és külső webhelyek, alkalmazások használatára vonatkozó korlátozások |
13.4. A szervezet a viselkedési szabályaiba a következő korlátozásokat építi be: |
X |
X |
X |
6. |
13.5. Működési koncepció |
13.5. A szervezet: |
- |
- |
- |
7. |
13.6. Információbiztonsági architektúra leírás |
13.6. A szervezet: |
- |
X |
X |
8. |
13.7. Információbiztonsági architektúra leírás – Mélységi védelem |
13.7. A szervezet az EIR információbiztonsági architektúrájának megtervezésekor mélységi védelmi megközelítést alkalmaz, amely: |
- |
- |
- |
9. |
13.8. Információbiztonsági architektúra leírás – Beszállítói diverzifikáció |
13.8. A szervezet megköveteli, hogy az általa meghatározott helyeken és architektúrális rétegekben alkalmazott biztonsági megoldások különböző beszállítóktól származzanak. |
- |
- |
- |
10. |
13.9. Központi kezelés |
13.9. A szervezet központilag kezeli a meghatározott védelmi intézkedéseket és a hozzájuk kapcsolódó folyamatokat. |
- |
- |
- |
11. |
13.10. Biztonsági követelmények kiválasztása |
13.10. A szervezet kiválasztja az EIR számára az 1. melléklet 1.1.3. ponttal összhangban a biztonsági követelményeket. |
X |
X |
X |
12. |
13.11. Biztonsági követelmények testre szabása |
13.11. A szervezet testre szabja a kiválasztott biztonsági követelményeket. |
X |
X |
X |
14. Személyi biztonság
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
14.1. Szabályzat és eljárásrendek |
14.1. A szervezet: |
X |
X |
X |
3. |
14.2. Munkakörök biztonsági szempontú besorolása |
14.2. A szervezet: |
X |
X |
X |
4. |
14.3. Személyek háttérellenőrzése |
14.3. A szervezet: |
X |
X |
X |
5. |
14.4. Személyek háttérellenőrzése – Különleges védelmi intézkedéseket igénylő információk |
14.4. A szervezet ellenőrzi, hogy azok az egyének, akik hozzáférnek egy speciális védelmet igénylő információkat feldolgozó, tároló vagy továbbító rendszerhez |
- |
- |
- |
6. |
14.5. Személyek munkaviszonyának megszűnése |
14.5. A szervezet az egyéni munkaviszony megszűnésekor: |
X |
X |
X |
7. |
14.6. Személyek munkaviszonyának megszűnése – Munkaviszony megszűnését követő követelmények |
14.6. A szervezet: |
- |
- |
- |
8. |
14.7. Személyek munkaviszonyának megszűnése – Automatizált intézkedések |
14.7. A szervezet meghatározott automatizált mechanizmusokat alkalmaz annak érdekében, hogy értesítse a meghatározott személyeket vagy szerepköröket az egyén kilépésével összefüggő tevékenységekről, illetve, hogy megszüntesse a hozzáférést a rendszer erőforrásaihoz. |
- |
- |
X |
9. |
14.8. Az áthelyezések, átirányítások és kirendelések kezelése |
14.8. A szervezet: |
X |
X |
X |
10. |
14.9. Hozzáférési megállapodások |
14.9. A szervezet: |
X |
X |
X |
11. |
14.10. Hozzáférési megállapodások – Munkaviszony megszűnése után is fennálló kötelezettségek |
14.10. A szervezet: |
- |
- |
- |
12. |
14.11. Külső személyekhez kapcsolódó biztonsági követelmények |
14.11. A szervezet: |
X |
X |
X |
13. |
14.12. Fegyelmi intézkedések |
14.12. A szervezet: |
X |
X |
X |
14. |
14.13. Munkaköri leírások |
14.13. A szervezet belefoglalja a biztonsági szerepköröket és felelősségeket a szervezeti munkaköri leírásokba. |
X |
X |
X |
15. Kockázatkezelés
A |
B |
C |
D |
E |
|
---|---|---|---|---|---|
1. |
Követelménycsoport megnevezése |
Követelmény szövege |
Biztonsági osztály |
||
Alap |
Jelentős |
Magas |
|||
2. |
15.1. Szabályzat és eljárásrendek |
15.1. A szervezet: |
X |
X |
X |
3. |
15.2. Biztonsági osztályba sorolás |
15.2. A szervezet: |
X |
X |
X |
4. |
15.3. Biztonsági osztályba sorolás – Hatásszintek súlyozása |
15.3. A szervezet elvégzi a szervezeti EIR-ek működési hatása szerinti rangsorolását annak érdekében, hogy még részletesebben meghatározhassa a rendszerek hatásszintjeit. |
- |
- |
- |
5. |
15.4. Kockázatelemzés |
15.4. A szervezet: |
X |
X |
X |
6. |
15.5. Kockázatelemzés – Ellátási lánc |
15.5. A szervezet: |
X |
X |
X |
7. |
15.6. Kockázatelemzés – Különböző forrásokból származó információk felhasználása |
15.6. A szervezet minden lehetséges forrásból (all-source-intelligence) származó információt felhasznál a kockázatok értékelésében. |
- |
- |
- |
8. |
15.7. Kockázatelemzési és kockázatkezelési eljárásrend – Dinamikus fenyegetésfelismerés |
15.7. A szervezet folyamatosan értékeli az aktuális kiberfenyegetettségi helyzetét az általa meghatározott eszközökkel. |
- |
- |
- |
9. |
15.8. Kockázatelemzési és kockázatkezelési eljárásrend – Prediktív elemzés |
15.8. A szervezet fejlett, automatizált elemzési képességeket alkalmaz, hogy előre jelezze és azonosítsa a meghatározott EIR-ek vagy rendszerelemek kockázatait. |
- |
- |
- |
10. |
15.9. Sérülékenységek ellenőrzése |
15.9. A szervezet: |
X |
X |
X |
11. |
15.10. Sérülékenységmenedzsment |
15.10. A szervezet: |
- |
X |
X |
12. |
15.11. Sérülékenységmenedzsment – Sérülékenységi adatbázis frissítése |
15.11. A szervezet meghatározott gyakorisággal, valamint minden új vizsgálat megkezdése előtt, továbbá új sérülékenységek azonosítása és jelentése esetén frissíti az EIR-ben szkennelt sérülékenységek körét. |
- |
X |
X |
13. |
15.12. Sérülékenységmenedzsment – A lefedettség szélessége és mélysége |
15.12. A szervezet meghatározza a sérülékenységmenedzsment folyamat hatókörét és mélységét. |
- |
- |
- |
14. |
15.13. Sérülékenységmenedzsment – Felfedezhető információk |
15.13. A szervezet megállapítja, hogy milyen információk érhetők el az EIR-ről, annak kompromittálása nélkül, és ez alapján szükség esetén korrekciós intézkedéseket hajt végre. |
- |
X |
X |
15. |
15.14. Sérülékenységmenedzsment – Privilegizált hozzáférés |
15.14. A szervezet privilegizált hozzáférést biztosít a meghatározott rendszerelemekhez a szervezet által meghatározott sérülékenységmenedzsment tevékenységek elvégzéséhez. |
- |
X |
X |
16. |
15.15. Sérülékenységmenedzsment – Automatizált trendelemzések |
15.15. A szervezet meghatározott automatizált mechanizmusok segítségével összehasonlítja a sérülékenységszkennelések eredményeit. |
- |
- |
- |
17. |
15.16. Sérülékenységmenedzsment – Naplóbejegyzések felülvizsgálata |
15.16. A szervezet átvizsgálja a korábbi naplóbejegyzéseket, hogy megállapítsa, hogy egy meghatározott, az EIR-ben azonosított sérülékenységet korábban kihasználták-e egy meghatározott időszakban. |
- |
- |
- |
18. |
15.17. Sérülékenységmenedzsment – Észlelt információk összekapcsolása |
15.17. A szervezet a sérülékenységmenedzsment eszközök kimeneteit annak érdekében korrelálja, hogy megállapítsa az összetett sérülékenységek és többlépcsős támadási vektorok jelenlétét. |
- |
- |
- |
19. |
15.18. Sérülékenységmenedzsment – Sérülékenységi információk fogadása |
15.18. A szervezet létrehoz egy csatornát, amelyen keresztül fogadhatja a szervezeti EIR-ekben és rendszerelemekben található sérülékenységekről szóló jelentéseket. |
X |
X |
X |
20. |
15.19. Technikai megfigyeléssel szembeni intézkedések |
15.19. A szervezet meghatározott gyakorisággal, vagy egyes előre meghatározott események bekövetkezésekor, vagy ráutaló jelek észlelése esetén az előre meghatározott helyszíneken ellenőrzi a technikai megfigyelőeszközök jelenlétét. |
- |
- |
- |
21. |
15.20. Kockázatokra adott válasz |
15.20. A szervezet a kockázatmenedzsment szabályokkal összhangban reagál a biztonsági értékelések, ellenőrzések és vizsgálatok megállapításaira. |
X |
X |
X |
22. |
15.21. Rendszerelemek kritikusságának elemzése |
15.21. A szervezet azonosítja a szervezet működése szempontjából kritikus rendszerelemeket és funkciókat - a meghatározott EIR-ekre, rendszerelemekre vagy rendszerszolgáltatásokra vonatkozó kritikussági elemzés végrehajtásával - a rendszerfejlesztési életciklus meghatározott döntési pontjain. |
- |
X |
X |
23. |
15.22. Fenyegetés felderítés |
15.22.1. A szervezet létrehoz és fenntart egy fenyegetés-felderítő képességet, hogy: |
- |
- |
- |
A 6. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás