CIIP Levelezö

Kritikus információs
infrastruktúrák védelme
Dr. Bonnyai Tünde PhD
2022.04.01.
Hazai jogszabályi környezet
©Dr. Bonnyai Tünde

Stratégiai tervezés – tagállami szint
Biztonság … tagállami kötelezettség

szavatolásának
egyik … kormányzati stratégiai irányításról szóló kormányrendelet kötelez
alapvető
feltétele … közösségi stratégia leképezése, követése szükséges
a
stratégiai
tervezés
Magyarország Nemzeti Biztonsági Stratégiája

Biztonság 2012 1035/2012. (II. 21.) Korm. hat.
szavatolásának FÓKUSZBAN:
egyik természeti csapások, civilizációs kihívások,
terrorfenyegetettség, kiberbiztonság, energiabiztonság,
alapvető pénzügyi biztonság, szervezett bűnözés, migráció
feltétele
a
stratégiai
tervezés
Magyarország Nemzeti Biztonsági Stratégiája

Biztonság 2012 1035/2012. (II. 21.) Korm. hat.
szavatolásának
egyik Magyarország Nemzeti Kiberbiztonsági Stratégiája
2013
alapvető
1139/2013. (III. 21.) Korm. hat.
FÓKUSZBAN:
feltétele Magyarország kiberbiztonsági környezete, értékrendje és céljai; célok
megvalósítása érdekében meghatározott feladatok és erőforrásfejlesztés.
a Együttműködés fejlesztése (kormányzati szervek, civil szervek,
tudományos és gazdasági szervezetek).
stratégiai Kritikus információs infrastruktúrák biztonsága.
Szabályozási környezet modernizálása és nemzetközi és regionális
tervezés kapcsolatok fejlesztése.
Kiberbiztonsági szempontok érvényesítése a fejlesztési projektek,
beruházások terén is.
Stratégiai FÓKUSZBAN:
tervezés – tagállami szint
NIS irányelvi kötelezettség
Alapvető fogalmak, kiberbűnözés kapcsolódásai, kibertámadások és célpontjaik (CI),
Magyarországaktualitások a magyar Stratégiája
Nemzeti Biztonsági kibertérben…
Biztonság 2012
A digitális környezet(II.
1035/2012. iránti
21.)bizalom erősítése: együttműködés, tudatosság növelés,
Korm. hat.
… tagállami kötelezettség intézményrendszer fejlesztés.
szavatolásának Digitális infrastruktúra védelem: informatikai fejlesztések, szolgáltatás biztonság,
egyik védekező-elhárító-reagáló
Magyarország képesség fejlesztés.
Nemzeti Kiberbiztonsági Stratégiája
… 2013
kormányzati stratégiai
Gazdasági irányításról
szereplők szóló
(III. 21.)támogatása:kormányrendelet kötelez
Korm. hat. K+F+I, versenyképesség.
alapvető
1139/2013.
feltétele 2018 Magyarország hálózati és információs rendszerek biztonságára

vonatkozó Stratégiája 1838/2018. (XII. 28.) Korm. hat.
a
stratégiai
tervezés
Magyarország NemzetiFÓKUSZBAN:Biztonsági Stratégiája

Biztonság 2012 1035/2012.
Alapvető
… tagállami
Biztonságos Magyarország
(II. 21.) Korm. hat. egy változó világban.
értékek, nemzetközi közösségekhez tartozás, adottságok.
kötelezettség
szavatolásának Biztonsági környezet bemutatása, globalizációs hatások, információs technológia
FÓKUSZBAN:
fejlődésének következményei,
természeti szervezettcivilizációs
csapások, bűnözés.
egyik Magyarország Nemzeti Kiberbiztonsági Stratégiája kihívások,
Alapvető1139/2013.
… 2013
kormányzati érdekeink: szuverenitás,
stratégiai(III.
irányításról integritás,
szóló stabilitás,
hat.kormányrendelet
terrorfenyegetettség, versenyképesség,
kötelez
kiberbiztonság, energiabiztonság,
alapvető
21.) Korm.
kutatás-fejlődés-innováció.
pénzügyi biztonság, szervezett bűnözés, migráció
Biztonsági kockázatok: fizikai vagy kibertámadások, gazdasági válságok,
feltétele energiaellátási
… közösségi problémák,
stratégia leképezése,
Magyarország hálózati
szervezett
követése
és
civilizációs
bűnözés, természeti- és
szükséges
információs
katasztrófák.
2018 vonatkozó Stratégiája 1838/2018. (XII. 28.) Korm. hat.rendszerek biztonságára
Célok/feladatok/eszközök.
a
stratégiai 2020 Magyarország Nemzeti Biztonsági Stratégiája
tervezés
1163/2020. (IV. 21.) Korm. hat.

2008 CIP IRÁNYELV
jogharmonizációs
kötelezettség
2012 Nemzeti Biztonsági Stratégia (első)

2012. évi CLXVI. törvény a létfontosságú rendszerek és
2013 létesítmények azonosításáról, kijelöléséről és védelméről (Lrtv.)
65/2013. (III. 8.) kormányrendelet (Lrtv. vhr.)
+ ágazati kormányrendeletek Lrtv. (2013/2015/2017/2019)
Nemzeti Kiberbiztonsági Stratégia
2013. évi L. törvény az állami és önkormányzati szervek
elektronikus információbiztonságáról (Ibtv.)
301/2013. (VII. 29.) kormányrendelet (NEIH)
187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)

2015 185/2015 (VII. 13.) kormányrendelet (Ibtv. eseménykezelés)
2017… NIS IRÁNYELV
jogharmonizációs
kötelezettség
TAGÁLLAMI
KÖTELEZETTSÉGEK
nemzeti
stratégia SPOC
alapvető
illetékes OES
hatóság azonosítás szolgáltatások
jegyzéke
DSP CSIRT
követel- jelentős
küszöb-
értékek mények zavar
értelmezése

2017… NIS IRÁNYELV
jogharmonizációs
kötelezettség
létesítmények azonosításáról, kijelöléséről és védelméről (Lrtv.)
2013. évi L. törvény az állami és önkormányzati szervek

elektronikus információbiztonságáról (Ibtv.)
187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)
271/2018.(VII.
185/2015 (XII.13.) kormányrendelet(Ibtv.
20.)kormányrendelet eseménykezelés)
(Ibtv.eseménykezelés)
2018
270/2018. 20.) kormányrendelet (bejelentés-köteles szolg.)
410/2017. (XII. 15.)
Hálózatbiztonsági Stratégia
2020 felülvizsgálat
TAGÁLLAMI
KÖTELEZETTSÉGEK
nemzeti
stratégia
Hálózatbiztonsági Stratégia (2018)
alapvető
szolgáltatások 65/2013. (III. 8.) kormányrendelet (Lrtv. vhr.)
jegyzéke

OES
azonosítás létesítmények azonosításáról, kijelöléséről és védelméről (Lrtv.)
jelentős Ágazati kormányrendeletek (Lrtv.)

küszöb-
zavar értékek [541/2013; 246/2015; 330/2015;
értelmezése 249/2017; 161/2019; 374/2020]
TAGÁLLAMI
KÖTELEZETTSÉGEK
illetékes
hatóság/ 187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)
SPOC
kiberbiztonsági
Ibtv + 41/2015. (VII. 15.) BM rendelet
követelmények
nemzeti
271/2018. (XII. 20.) kormányrendelet (Ibtv. eseménykezelés)
CSIRT
270/2018. (XII. 20.) kormányrendelet (bejelentésköteles-szolg.) DSP

KIK – KIVEL ÁLL KAPCSOLATBAN IBTV SZERINT?
SZEMÉLYI HATÁLY ALÁ TARTOZNAK
! pl.:
központi államigazgatási szervek
fővárosi és megyei kormányhivatalok
önkormányzati hivatalok
nemzeti adatvagyon körébe tartozó
állami nyilvántartások adatfeldolgozói elektronikus információs
rendszerei
kijelölt létfontosságú rendszerelemek
alapvető szolgáltatást nyújtó szereplők
nb. védelem alá eső szervek
Magyar Honvédség*
elektronikus információs
felelős
SZEMÉLYI HATÁLY ALÁ TARTOZNAK rendszerek biztonságának
eseménykezelő központ
! pl.:
központi államigazgatási szervek EIR-jei
felügyeletét ellátó hatóság
fővárosi és megyei kormányhivatalok EIR-jei

önkormányzati hivatalok EIR-jei
nemzeti adatvagyon körébe tartozó állami
Nemzetbiztonsági Szakszolgálat
nyilvántartások adatfeldolgozói EIR-jei
kijelölt létfontosságú rendszerelemek EIR-jei
OES-ek EIR-jei
nb. védelem alá eső szervek EIR-jei
MH EIR-jei, honvédelmi célú EIR-ek Katonai Nemzetbiztonsági Szolgálat

A hálózati és információs rendszerek biztonságával
kapcsolatos ALAPVETŐ KÖVETELMÉNYEK
milyen védelem?
elektronikus információs rendszerek

teljes életciklusában előkészítés, tervezés, megvalósítás, üzemeltetés, rekonstrukció
zárt az összes releváns fenyegetést figyelembe vevő védelem
teljes körű a védelmi intézkedések a rendszer összes elemére kiterjednek
folytonos megszakítás nélkül megvalósuló védelem
kockázatokkal arányos a védelem költségei arányosak a potenciális kárértékkel

minek a védelme?
elektronikus
információs rendszer
elektronikus
információs rendszer
elemei
elektronikus információs rendszerben
kezelt adatok és információk

mire irányuló védelme?
elektronikus információs rendszer / elemei / kezelt adatok&információk
adatot, információt csak az arra jogosultak és csak a jogosultságuk

bizalmasságára szintje szerint ismerhetik meg, használhatják fel
adat tartalma és tulajdonságai az elvárttal megegyeznek, tehát az

sértetlenségére elvárt forrásból származik (hiteles) és a származás ellenőrizhető
(letagadhatatlan)
annak biztosítása, hogy az elektronikus információs rendszerek az

rendelkezésre állására arra jogosult személy számára elérhetőek és az abban kezelt adatok
felhasználhatóak legyenek
• nyomon- • biztonsági
K követés osztály
Ö • reagálás és • biztonsági
kezelés szint
BIZTONSÁGI
T
E • (SOC)
L ESEMÉNY BESOROLÁS
E
Z KEZELÉS
E
T
KOCKÁZAT- DOKUMENTUM
T
S ELEMZÉS ÉS SZEMÉLY
É • kockázat- • IBSZ
G felmérés/elem- • IBF
E zés/értékelés • oktatás
K • ellenőrzés, • kapcsolat-
audit tartás
kijelölő
hatóság
nemzeti NBSZ
CSIRT CII
NKI
BM
OKF
NBSZ kijelölő
vezető NKI hatóság
IBF
SLO nemzeti BM
CSIRT OKF
CII állam/jogalkotó
kijelölő
vezető
BM NBSZ nemzeti
IBF SLO hatóság OKF NKI CSIRT
azonosítási jelentés kijelölés

OES? azonosítás
javaslat
üzemeltetés CI nyilvántartás
SLO alkalmazás SLO megfelelés
IBF alkalmazás IBF megfelelés
tájékoztat, jelent
ÜBT készítése
ÜBT jóváhagyása ÜBT megfelelés
kijelölő
vezető
BM NBSZ nemzeti
IBSZ készítése
IBSZ kiadása nyilvántartás
oktatás biztosítása
oktatás – képzés
besorolás döntéshozatal
megfelelés
ellenőrzés
kockázatkezelés
követelményelőírás
elhárításra kötelezés
kijelölő
vezető
BM NBSZ nemzeti
szankcionálás
reagálás és kezelés értesítés

bejelentés nyomon követés/kezelés
tájékoztatás eljárást indít
nyilvántartást vezet
kapcsolattartás
együttműködés a hatóságokkal
együttműködés

kijelölő
vezető
BM EIR nemzeti
IBF SLO hatóság OKF
NBSZ NKI
hatóság CSIRT
EZÉRT KELL:
bejelenteni EWS működtetés
kapcsolatot tartani figyelmeztetések
kommunikálni sérülékenységvizsgálat
kérdezni… IBF kapcsolattartás
FEEDBACK jogalkotás…
Információbiztonsági követelmények

• nyomon- • biztonsági
K követés osztály
Ö • reagálás és • biztonsági
kezelés szint
BIZTONSÁGI
T
E • (SOC)
L ESEMÉNY BESOROLÁS
E
Z KEZELÉS
E
T
KOCKÁZAT- DOKUMENTUM
T
S ELEMZÉS ÉS SZEMÉLY
É • kockázat- • IBSZ
G felmérés/elem- • IBF
E zés/értékelés • oktatás
K • ellenőrzés, • kapcsolat-
audit tartás
A szervezet elektronikus információs rendszereit biztonsági osztályba
kell sorolni, majd a szervezet biztonsági szintjét meg kell határozni.
Ibtv. 7-8. §
a kockázatok alapján az elektronikus információs
+
rendszer védelme elvárt erősségének meghatározása
41-es 1. melléklet
Ibtv. 9-10. § a szervezet felkészültsége az e törvényben és a

+ végrehajtására kiadott jogszabályokban meghatározott
41-es 2. melléklet biztonsági feladatok kezelésére
kijelölő határozat véglegessé KRITIKUS

válásától számított EGY éven INFRASTRUKTÚRÁK
BESOROLÁS belül ESETÉBEN

A biztonsági osztályba sorolás….
cél: az elektronikus információs rendszerek, valamint az azokban kezelt adatok védelme
a kockázatokkal arányosan biztosítható legyen
MINDEN
EGYES
RENDSZERRE  szempontok: bizalmasság, a sértetlenség és a rendelkezésre állás
KÜLÖN!!! Pl.: azok ismerjék az adatokat, akik jogosultak rá (hozzáférés-vezérlés)
az adatok hitelesek legyenek (digitális aláírások alkalmazása)
hozzáférhető és ellenőrizhető adatok (vírusvédelmi rendszerek és auditok)
ötfokozatú besorolás alapján kell teljesíteni a biztonsági osztályhoz rendelt követelményeket

skálán (a 41-es BM rendelet 4. mellékletében meghatározott módon)
3 évente
felülvizsgálni követelményrendszer: ennek teljesítésével lehet a védelem színvonalát növelni
→ 3 fő védelmi intézkedés típust különböztetünk meg:
adminisztratív védelem: szabályzatok, IBF, nyilvántartások, kockázatelemzés, dokumentációk
fizikai védelem: fizikai hozzáférés szabályozása, áramellátás, elhatárolt területek,
logikai védelem: biztonsági elemzések, tesztelések, konfiguráció-kezelés, frissítés, naplózás…
BIZTONSÁGI OSZTÁLYBA SOROLÁS FOLYAMATA
A fenti szempontokat vizsgálva meg kell állapítani „hol tart jelenleg a szervezetünk”, minden
1. egyes információs rendszerét tekintve külön-külön.
Meg kell állapítani az információs rendszereinkben kezelt adatok, a szervezet funkciója és védelmi
2. képességei alapján az AKTUÁLIS biztonsági osztályt/osztályokat.
Jogszabályi előírások alapján az adott rendszerre vonatkozó ELÉRENDŐ (előírt) biztonsági

3. osztályt fel kell mérni (hova kell eljutni?) – cselekvési tervet kell készíteni ennek elérésére.
Úgy kell kialakítani és fejleszteni a védelmi struktúrát, hogy az megfeleljen a jogszabályokban

4.
előírtaknak, vagyis adott időn belül el kell érni az előírt biztonsági osztályt
Hatóság: alacsonyabb osztály Fokozatos elérés elve!!!

alkalmazásának lehetőségét javasolhatja. (2 év / lépés)
Ha a szervezet vezetője alacsonyabb

osztályt állapít meg, azt részletesen
indokolnia kell.
A biztonsági szint meghatározása…
cél: kockázatokkal arányos, költséghatékony védelem kialakítása az elektronikus
információs rendszerek védelmére való felkészültség alapján
ötfokozatú szervezet egészére vonatkozóan

skálán
EIR fejlesztéséért, üzemeltetéséért, információbiztonságáért felelős
szervezeti egységekre
 szempont: biztonsági menedzsmentjének fejlettsége, érettsége

(mennyire prioritás a biztonság, mit tesz érte és milyen módon, hogyan törekszik
szervezeti szinten az információbiztonsági követelmények teljesítésére, mit áldoz a
biztonsági szint növelésére, stb.)
3 évente  leggyengébb szint esetén (1-es) a szervezetnél vannak az információbiztonságot érintő

felülvizsgálni szabályozók, de a folyamatok ad hoc jellegűek, nem ellenőrzöttek;
 a szintek emelkedésével párhuzamosan a folyamatok szabályozottabbak, ellenőrzöttek, számon
kérhetőek, oktatottak, teszteltek, mérhetőek
BIZTONSÁGI SZINTBE SOROLÁS FOLYAMATA
Meg kell állapítani a kezelt adatok, a szervezet funkciója és védelmi képességei alapján az
1. AKTUÁLIS biztonsági szintet.
Jogszabályi előírások alapján az ELÉRENDŐ (előírt) biztonsági szintet fel kell mérni (hova
2. kell eljutni?) – cselekvési tervet kell készíteni ennek elérésére.
Úgy kell kialakítani és fejleszteni a szervezeti biztonsági kultúrát, hogy az megfeleljen a

3. jogszabályokban előírtaknak, vagyis adott időn belül el kell érni az előírt biztonsági szintet
Fokozatos elérés elve!!!

Ha a biztonsági szint az első vizsgálat (2 év / lépés)
alapján az 1. szintet nem éri el, annak
eléréséhez szükséges intézkedéseket A biztonsági osztály és biztonsági szint közötti
tíz éven belül meg kell valósítani összefüggés:
szigorú védelmi intézkedéseket csak fejlett
biztonsági kultúrával rendelkező szervezet tud
végrehajtatni
Kötelezettségek teljesítése a szervezetnél
 kockázatelemzés szerinti eljárásrend kidolgozása (biztonsági

osztályba sorolás)
 cselekvési terv (Ibtv.) készítésével kapcsolatos eljárásrend kialakítása
 biztonsági osztályokhoz társított követelményrendszer (fizikai,
biztonsági osztályba és
szintbe sorolás adminisztratív, logikai intézkedések) integrálása a védelmi
protokollokba
 a biztonsági menedzsment érettségének megállapítására szolgáló
eljárásrend kialakítása (biztonsági szintbe sorolás)
 felülvizsgálat rendjének meghatározása

2. melléklet
Az elektronikus információs
rendszerrel rendelkező
szervezetek, vagy szervezeti
egységek biztonsági szintbe
sorolása

nem üzemeltet / fejleszt
elektronikus információs rendszert
KÖVETELMÉNYEI 1
adatkezelés tekintetében technikai /
információtechnológiai döntést nem hoz
a használt elektronikus információs
Az érintettek részére rendelkezésre áll IBSZ,
infrastruktúra kialakítása tekintetében
vagy azzal egyenértékű dokumentum.
döntési jogköre nincs
Az IBSZ része a folyamatos
egyedi adatokat és információkat kezel / kockázatelemzési eljárás.
dolgoz fel, de kritikus adatot nem kezel
Az IBSZ tartalmazza az információbiztonság
felügyeleti rendszerét, a kapcsolódó
A SZERVEZET kötelezettségeket és felelősségeket.
Az IBSZ be nem tartása jogkövetkezményt

von maga után.
nem üzemeltet / fejleszt
elektronikus információs rendszert
adatkezelés tekintetében technikai / KÖVETELMÉNYEI 2
információtechnológiai döntést nem hoz
a használt elektronikus információs infrastruktúra

kialakítása tekintetében döntési jogköre nincs
! 1-es szint követelményei +++
egyedi adatokat és információkat kezel / dolgoz fel, de Biztonsági kontrollfolyamatok eljárásrendben

kritikus adatot nem kezel szabályozottak (módszer, időpont,
olyan elektronikus információs rendszert végrehajtók, tárgy, eszközök).
használ, amely személyes adatokat kezel A folyamatok egyértelműen meghatározzák az
információbiztonsági felelősségeket és a
szervezet jogszabály alapján kijelölt
biztonságtudatos viselkedést.
szolgáltatót vesz igénybe
Az egyes folyamatok szervezeti egységek,
vagy személyek felügyelete alá vannak
A SZERVEZET rendelve, akik együttműködnek.
A folyamatokat kontrolláltan dokumentálják.
nem üzemeltet / fejleszt EIR-t
adatkezelés tekintetében technikai / információtechnológiai döntést
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 3
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
olyan EIR- t használ, amely személyes adatokat kezel A biztonsági kontroll folyamataiba bevonja, az
szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe
elvárásokról tájékoztatja az érintetteket.
szakfeladatait támogató EIR-t használ, de Ezeket a folyamatokat szabályozottan és
nem üzemelteti azt ellenőrizhető módon vezeti be, oktatja.
kritikus adatot; nem minősített, de nem A biztonsági kontroll folyamatokat erre
közérdekű / közérdekből nyilvános adatot jogosult vezető hagyja jóvá.
kezel
A folyamatok előzetes tesztelésével biztosítják
központi üzemeltetésű, és több szervezetre
a követelmények szerinti működését.
érvényes biztonsági megoldásokkal védett
EIR-ek / zárt célú* EIR felhasználója Rendelkezik információbiztonsági költség- és
haszonelemzési módszertannal.
A SZERVEZET
KÖVETELMÉNYEI
nem hoz
nem kezel
! 3-as szint követelményei +++
olyan EIR- t használ, amely személyes adatokat kezel

Beépített, rendszeres tesztekkel biztosítja az
üzemeltetés/fejlesztés információbiztonsági
szakfeladatait támogató EIR-t használ, de nem üzemelteti azt
intézkedéseinek megfelelőségét.
kritikus adatot; nem minősített, de nem közérdekű / közérdekből
nyilvános adatot kezel Tesztelési eljárásban biztosítja minden szabályozási
központi üzemeltetésű, és több szervezetre érvényes biztonsági folyamat/kontroll információbiztonsági
megoldásokkal védett EIR-ek / zárt célú EIR felhasználója
követelmények szerinti működését.
EIR-t vagy zárt célú EIR-t üzemeltet, vagy Biztonsági intézkedéseket vezet be a
fejleszt feltárt/bekövetkezett biztonsági események
kezelésére.
A SZERVEZET Beépített, rendszeres belső értékelés keretében
vizsgálja a biztonsági intézkedések megfelelőségét és
hatékonyságát.
KÖVETELMÉNYEI
nem hoz
nem kezel
! 3-as szint követelményei +++

A folyamatokba épített belső értékelések nem
helyettesíthetőek.
kritikus adatot; nem minősített, de nem közérdekű / közérdekből A biztonsági eseményekkel kapcsolatos információk
nyilvános adatot kezel alapján tesztelési eljárást, vagy biztonsági ellenőrzést
központi üzemeltetésű, és több szervezetre érvényes biztonsági végez.
A tesztelés értékelése alapján megállapított
EIR-t vagy zárt célú EIR-t üzemeltet, vagy követelményeket dokumentálja, illetékes vezetővel
fejleszt jóváhagyatja és bevezeti.
Az egyedi kontroll eljárások tesztelésének
A SZERVEZET Beépített, rendszeres
gyakoriságát belsőahhoz
és mélységét értékelés keretében
igazítja, hogy
vizsgálja a biztonsági
milyen biztonsági intézkedések
kockázattal jár amegfelelőségét
kontrollok nemés
hatékonyságát.
megfelelő működése.
KÖVETELMÉNYEI
nem hoz
nem kezel

Biztosítja az információbiztonsági
kontrollfolyamatok szervezet alapfeladataiba
történő beépítését.
nyilvános adatot kezel Biztosítja a szabályzatok, tesztelési eljárások,
központi üzemeltetésű, és több szervezetre érvényes biztonsági biztonsági folyamatok rendszeres
felülvizsgálatát és fejlesztését.
EIR-t vagy zárt célú EIR-t üzemeltet, vagy fejleszt
Rendelkezik átfogó információbiztonsági
az információbiztonsági ellenőrzések, programmal és biztosítja a személyi állomány
tesztelések végrehajtására jogosult biztonságtudatosságának növelését.
A személyi állomány rendelkezik
IJELÖLT KRITIKUS
vagy KA SZERVEZET információbiztonsági operatív képességgel és a
INFRASTRUKTÚRA szükséges szaktudással.
KÖVETELMÉNYEI
nem hoz
nem kezel

szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe Rendelkezik a biztonsági sérülékenységek
szakfeladatait támogató EIR-t használ, de nem üzemelteti azt felismerésének és kezelésének képességével.
nyilvános adatot kezel A fenyegetettségek folyamatos újraértékelésével, a
központi üzemeltetésű, és több szervezetre érvényes biztonsági kontrollfolyamatok felülvizsgálatával nyomon követi
az információbiztonsági környezet változását.
EIR-t vagy zárt célú EIR-t üzemeltet, vagy fejleszt
Az információbiztonságot érintő külső, vagy belső
az információbiztonsági ellenőrzések, környezeti változásokra figyelemmel alternatívákat
tesztelések végrehajtására jogosult határoz meg.
Kialakítja az információbiztonsági képesség- és
IJELÖLT KRITIKUS
vagy KA SZERVEZET állapotmérési és értékelési módszertanát, szükség
INFRASTRUKTÚRA esetén aktualizálja.
1. melléklet
Az elektronikus információs
rendszerek biztonsági
osztályba sorolása

A besorolás alapelvei

Biztonsági osztályba sorolást az EIR-ben tárolt
adatok és a rendszer funkciói határozzák meg.
Az EIR-ben kezelt adatok bizalmasságának,
sértetlenségének és rendelkezésre állásának követelményeit
a rendszer funkcióira tekintettel, és azokhoz igazodó
súllyal kell érvényesíteni.
adatot, információt csak az arra jogosultak és csak a jogosultságuk
bizalmasság szintje szerint ismerhetik meg, használhatják fel
adat tartalma és tulajdonságai az elvárttal megegyeznek, tehát az

sértetlenség elvárt forrásból származik (hiteles) és a származás ellenőrizhető
(letagadhatatlan)
annak biztosítása, hogy az elektronikus információs rendszerek az
rendelkezésre állás arra jogosult személy számára elérhetőek és az abban kezelt adatok
felhasználhatóak legyenek
különleges személyes adatokkal kapcsolatban alapvető
bizalmasság
igény
nemzeti adatvagyont kezelő rendszerek esetében kiemelten

sértetlenség
kezelendő
létfontosságú információs rendszerelemek esetében

rendelkezésre állás
elsődlegesen megkövetelendő
Biztonsági osztályba sorolást kockázatelemzés
alapján kell elvégezni.
A szervezet elektronikus információs rendszereinek
osztályba sorolását a vezető hagyja jóvá.
Az
A besorolás
osztályokalapelvei
jellemzői

4 következmény „típus” vizsgálandó
bekövetkező
káresemény
adatsérülés
hatás
eszkalálódása
anyagi kár

1. Biztonsági osztály esetén
bekövetkező káresemény
jelentéktelen
súlyossága
adatsérülés mértéke nem értelmezhető (nem kezel védett adatot)
hatás eszkalálódása nem jellemző
anyagi kár mértéke jelentéktelen

csekély
súlyossága
személyes adat, csekély értékű védett adat, vagy
adatsérülés mértéke
EIR sérülhet
hatás eszkalálódása szervezeten belül kezelhető
anyagi kár mértéke költségvetés 1%-át elérő

közepes
súlyossága
különleges/személyes adat, jogszabállyal védett
adat sérülhet + érzékeny folyamatot kezelő EIR
hatás eszkalálódása bizalomvesztés szervezeten belül

nagy
súlyossága
adatsérülés mértéke különleges személyes adat nagy mennyiségben

személyi sérülés, üzleti titkot/érzékeny folyamatokat
hatás eszkalálódása
kezelő EIR jelentősen sérül

kiemelkedően nagy
súlyossága
különleges személyes adat kiemelten nagy
mennyiségben
személyi sérülések, nemzeti adatvagyon, üzleti titok
hatás eszkalálódása
sérülhet, KI nem áll rendelkezésre, súlyos bizalomvesztés

A biztonsági osztályba sorolás….
cél: az elektronikus információs rendszerek, valamint az azokban kezelt adatok védelme a

kockázatokkal arányosan biztosítható legyen
 szempontok:
bizalmasság sértetlenség rendelkezésre állás
besorolás alapján kell teljesíteni a biztonsági osztályhoz rendelt követelményeket

(3. melléklet) a 4. mellékletében meghatározott módon
3 fő védelmi intézkedés típust különböztetünk meg:

adminisztratív fizikai logikai
4. melléklet
Védelmi intézkedés katalógus

1. Szervezeti szintű 1. Fizikai védelmi eljárásrend 1. Általános védelmi intézkedések

alapfeladatok 2. Fizikai belépési engedélyek és 2. Tervezés
ellenőrzés 3. Rendszer és szolgáltatás
2. Kockázatelemzés beszerzés
3. Rendszer és szolgáltatás 3. Hozzáférés (+felügyelet)
4. Biztonsági elemzés
beszerzés 4. Áramellátás 5. Tesztelés, képzés és felügyelet
4. Üzletmenet folytonosság 5. Vészkikapcsolás 6. Konfigurációkezelés
tervezése 6. Tűzvédelem 7. Karbantartás
8. Adathordozók védelme
5. Biztonsági események 7. Hőmérséklet és páratartalom
9. Azonosítás és hitelesítés
kezelése ellenőrzés
10. Hozzáférés ellenőrzése
6. Emberi tényezőket 8. Víz-, és más, csővezetéken 11. Rendszer- és
figyelembe vevő - személy – szállított anyag okozta kár
információsértetlenség
elleni védelem
biztonság 12. Naplózás és elszámoltathatóság
9. Be- és kiszállítás (+felügyelet) 13. Rendszer- és
7. Tudatosság és képzés
10. Karbantartás kommunikációvédelem
Adminisztratív védelmi intézkedések
Informatikai biztonsági szabályzat

• legalább rögzíti:
Felülvizsgálat és frissítés (külön belső szabályozóban)
Célok, tárgyi és személyi hatály
Információbiztonsággal kapcsolatos szerepkörök, érintett szervezetrendszer
együttműködésének rendje
Szerepkörökhöz rendelt tevékenységek és felelősségek
• legalább szabályozza:  Tudatosítás  Adatok mentése

Kockázatelemzés  Üzletmenetfolytonosság  Biztonsági esemény
Helyzet- és eseményértékelés  Karbantartás kezelés
Beszerzési eljárások  Adathordozók védelme  Biztonsági szint
Biztonsági tervezés  Azonosítás és hitelesítés  Biztonsági osztályok
Információbiztonsági felelős
Kinevezve vagy megbízva
Jogszabályokkal való összhang megteremtése
A biztonsággal kapcsolatos tevékenység tervezése, szervezése, koordinálása
IBSZ előkészítése
EIR-ek biztonsági osztályba és a szervezet biztonsági szintbe történő besorolása
Kapcsolattartás a hatósággal

Intézkedési terv és mérföldkövei

Tervezett mérföldkövek mentén történő megfelelés és fejlődés
Felülvizsgálat
Hiányosságot állapít meg
Alacsonyabb biztonsági szintet állapít meg az előírtnál
Karbantartás és folyamatos aktualizálás

Kockázatelemzés
Kockázatelemzési és kockázatkezelési eljárásrend
Felelősségi körök meghatározása
Lehetséges kockázatok felmérése / kezelése / kezelés minősége
A biztonsági osztályba sorolás rendje, módszertana, ismétlés szabályai
Kockázatelemzési eredmények megismerésének szabályai

Biztonsági események kezelése

Eseménykezelési eljárás (előkészület, észlelés, vizsgálat, elszigetelés, megszüntetés,
helyreállítás)
Üzletmenet-folytonossági terv tevékenységeivel összhang
Automatikus eseménykezelés, nyomon követés, dokumentálás
A biztonsági események jelentése
Biztonsági eseménykezelési terv kidolgozása
Képzés a biztonsági események kezelésére
A biztonsági események kezelésének tesztelése
1. Szervezeti szintű 1. Fizikai védelmi eljárásrend 1. Általános védelmi intézkedések

alapfeladatok 2. Fizikai belépési engedélyek és 2. Tervezés
ellenőrzés 3. Rendszer és szolgáltatás
2. Kockázatelemzés beszerzés
3. Rendszer és szolgáltatás 3. Hozzáférés (+felügyelet)
4. Biztonsági elemzés
beszerzés 4. Áramellátás 5. Tesztelés, képzés és felügyelet
4. Üzletmenet folytonosság 5. Vészkikapcsolás 6. Konfigurációkezelés
tervezése 6. Tűzvédelem 7. Karbantartás
8. Adathordozók védelme
5. Biztonsági események 7. Hőmérséklet és páratartalom
9. Azonosítás és hitelesítés
kezelése ellenőrzés
10. Hozzáférés ellenőrzése
6. Emberi tényezőket 8. Víz-, és más, csővezetéken 11. Rendszer- és
figyelembe vevő - személy – szállított anyag okozta kár
információsértetlenség
elleni védelem
biztonság 12. Naplózás és elszámoltathatóság
9. Be- és kiszállítás (+felügyelet) 13. Rendszer- és
7. Tudatosság és képzés
10. Karbantartás kommunikációvédelem
Logikai védelmi intézkedések
Rendszer és szolgáltatás beszerzés

KIVÉTEL szabály: nem kell bevezetni, ha saját hatáskörben informatikai szolgáltatást
vagy eszközöket nem szerez be, és nem végez/végeztet rendszerfejlesztési tevékenységet
KIEGÉSZÍTŐ szabály: nem minősül fejlesztésnek a kereskedelmi forgalomban
kapható szoftverek beszerzése és frissítése
A rendszer életciklusai:
követelmény meghatározás  fejlesztés / beszerzés  megvalósítás / értékelés  üzemeltetés és
fenntartás  kivonás
megköveteli, hogy a szolgáltató meghatározza a szolgáltatások igénybevételéhez
szükséges funkciókat, protokollokat, portokat és egyéb szolgáltatásokat
+ fejlesztői változáskövetés + fejlesztői biztonsági tesztelés + fejlesztési folyamatkövetés +
fejlesztői oktatás + fejlesztői biztonsági architektúra és tervezés
Adathordozók védelme
Adathordozók védelmére vonatkozó eljárásrend
Hozzáférés az adathordozókhoz
Adathordozók tárolása
Kriptográfiai védelem
Adathordozók használata
Adathordozók törlése + ellenőrzés és tesztelés
Azonosítás és hitelesítés
Azonosítási és hitelesítési eljárásrend (belső és külső felhasználók egyaránt)
Az EIR egyedileg azonosítja és hitelesíti a szervezet felhasználóit
Hálózati hozzáférés privilegizált és nem fiókokhoz
Belső fenyegetések ismerete
Helyi és távoli hozzáférés biztosítása
Eszközök azonosítása és hitelesítése
Azonosító kezelés
A hitelesítésre szolgáló eszközök kezelése
Naplózás és elszámoltathatóság
Naplózási eljárásrend
Naplózható és naplózandó események + időbélyegek
Naplóbejegyzések tartalma, tárkapacitás
Naplózási hiba kezelése
Naplóvizsgálat és jelentéskészítés
A naplóinformációk védelme és letagadhatatlanság
A naplóbejegyzések megőrzése
OVI TÁBLA…
Letölthető:
https://nki.gov.hu/hatosag/tartalom/urlapok/
[NEIH-OVI] Osztályba sorolás és védelmi intézkedés űrlap (v4.60, MS Office)

Kitöltési útmutató a NEIH-OVI űrlap 4.60-as változatához

NÉGY fő részre osztható
A szervezet adatai és egy összegzés
1. sheet: (ami kitöltés után szolgál információval)
Összegzés Itt jelölhető, hogy kritikus-e
Ez a lap mutatja az elvárt és az aktuális biztonsági osztályt.

Kockázatelemzés – minden állítás kapcsán nyilatkozni kell azok

2. sheet: teljesüléséről a 3 szempont szerint  ez adja a biztonsági osztályt
Osztályba sorolás Lehet saját módszertan alapján is kockázatelemzést készíteni, annak
számszerűsített adatait kell itt rögzíteni.


Minden cellában képlet alapján számított adat szerepel, miután a teljes
3-5. sheets: táblázat kitöltése megtörtént.
Értékelések Egyfajta összefoglalásként értelmezhető, hogy átlátható legyen mi
teljesül és mit kell pótolni.


Minden cellában képlet alapján számított adat szerepel, miután a teljes
3-5. sheets: táblázat kitöltése megtörtént.
Értékelések Egyfajta összefoglalásként értelmezhető, hogy átlátható legyen mi
teljesül és mit kell pótolni.
A védelmi intézkedés katalógus felsorolásai és az előírt biztonsági osztály

3.1.1. – 3.3.13. sheets (sárgával kiemelve)  nyilatkozni kell a megvalósulásról.
Hatósági felügyelet

NIS irányelv
a hálózati és információs rendszerek biztonságára vonatkozó NEMZETI

STRATÉGIA elfogadása
EGYÜTTMŰKÖDÉSI CSOPORT létrehozása a tagállamok szakértőiből
SZÁMÍTÓGÉP-BIZTONSÁGI ESEMÉNYEKRE REAGÁLÓ CSOPORTOK

HÁLÓZATÁnak létrehozása
KÖVETELMÉNYEK az alapvető szolgáltatásokat nyújtó szereplők és a

digitális szolgáltatók számára
tagállami ILLETÉKES HATÓSÁGOK, EGYEDÜLI KAPCSOLATTARTÓ PONT,

valamint CSIRT-EK kijelölése/létrehozása
!
NIS irányelv
RENDELKEZIK:
H
hatáskörrel, eszközökkel és erőforrásokkal ahhoz, hogy felmérje, hogy az
OES’s és a DSP’s teljesítik-e a jogszabályokban foglalt kötelezettségeiket A
olyan jogosultsággal, amely alapján ellenőrzést végezhet, és betekinthet az
T
információs rendszerek biztonságát szavatoló intézkedésekbe, folyamatokba Ó
felhatalmazással, hogy vizsgálja a szervezetek által bemutatott, a biztonsági S
szabályzatok eredményes végrehajtását igazoló dokumentumokat
Á
azzal a joggal, hogy utasításokat adhat az azonosított hiányosságok azonnali
és maradéktalan pótlására G
szankcionálási hatáskörrel, amelynek alkalmazása hatékony, arányos és
visszatartó erejű kell legyen
TAGÁLLAMI
KÖTELEZETTSÉGEK
illetékes
hatóság/ 187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)
SPOC
kiberbiztonsági
Ibtv + 41/2015. (VII. 15.) BM rendelet
követelmények
nemzeti
271/2018. (XII. 20.) kormányrendelet (Ibtv. eseménykezelés)
CSIRT
270/2018. (XII. 20.) kormányrendelet (bejelentésköteles-szolg.) DSP

elektronikus információs
felelős
SZEMÉLYI HATÁLY ALÁ TARTOZNAK rendszerek biztonságának
eseménykezelő központ
! pl.:
központi államigazgatási szervek EIR-jei
felügyeletét ellátó hatóság
fővárosi és megyei kormányhivatalok EIR-jei

önkormányzati hivatalok EIR-jei
nemzeti adatvagyon körébe tartozó állami
Nemzetbiztonsági Szakszolgálat
nyilvántartások adatfeldolgozói EIR-jei
kijelölt létfontosságú rendszerelemek EIR-jei
OES-ek EIR-jei
nb. védelem alá eső szervek EIR-jei
MH EIR-jei, honvédelmi célú EIR-ek Katonai Nemzetbiztonsági Szolgálat

KATASZTRÓFAVÉDELEM MÁR NEM RENDELKEZIK
INFORMÁCIÓBIZTONSÁGI HATÁSKÖRREL!!!

TEHÁT MIT CSINÁL A HATÓSÁG?
ÉS MI ALAPJÁN TESZI?
Jogosult:
Ibtv. III. fejezet + 187-es KR megtenni, elrendelni, ellenőrizni minden olyan, az EIR
védelmére vonatkozó intézkedést, amellyel az érintett EIR-t
EIR-ek biztonságának felügyelete veszélyeztető fenyegetések kezelhetőek
BO/BSZ ellenőrzése + döntés
+ javaslatot tehet
követelmények teljesítésének ellenőrzése információbiztonsági felügyelő* kirendelésére
hiányosságok elhárításának elrendelése Elrendelheti:

BE kivizsgálására eljárás megindítása az ideiglenes hozzáférhetetlenné tételét annak az adatnak
vagy egyéb információs társadalommal összefüggő
nyilvántartja és kezeli az EIR-ek adatait szolgáltatásnak, amely a magyar kibertér biztonságára
fenyegetést jelent, és amellyel kapcsolatosan a CSIRT
eseménykezelést folytat.

INFORMÁCIÓBIZTONSÁGI FELÜGYELŐ
 hatóság javaslatára az e-közigazgatásért felelős miniszter* határozott időtartamra

 a fenyegetés elhárításához szükséges védelmi intézkedések eredményes megtétele érdekében
a intézkedéseket javasolhat
 a szervezet intézkedései tekintetében kifogással élhet, de pénzügyi kötelezettségvállalásra
nem jogosult
 információbiztonsági felügyelő lehet, aki rendelkezik a feladatellátáshoz szükséges
felsőfokú végzettséggel és szakképzettséggel, valamint legalább 3 év vezetői gyakorlattal
 megbízólevéllel kell rendelkeznie
 jogosult tájékoztatást, adatszolgáltatást kérni a szervezet vezetőitől
 be kell tartania a titoktartási kötelezettségre vonatkozó szabályokat
 a megbízatásának megszűnésekor összefoglaló beszámolót készítenie (megtett
intézkedések, eredmények, javasolt további intézkedések  elfogadásáról a hatóság dönt)
ügyfél EIR felügyeletét ellátó hatóság (NKI)
azonosítási jelentés javaslat kijelölésre

IBF alkalmazás IBF megfelelés
IBSZ kiadása nyilvántartás
besorolás döntéshozatal
megfelelés ellenőrzés
kockázatkezelés követelményelőírás
mulasztás elhárításra kötelezés
szankcionálás
ügyfél EIR felügyeletét ellátó hatóság (NKI)
BIZTONSÁGI
ESEMÉNY
bejelentés
együttműködés a
reagálás&kezelés CSIRT-tel
tájékoztatás eljárás indítása
ellenőrzés
elhárításra kötelezés
szankcionálás
együttműködés kapcsolattartás
Eseménykezelő központok
271/2018. (XII. 20.) Korm. rendelet

az eseménykezelő központok feladat- és hatásköréről, valamint
a biztonsági események kezelésének és műszaki vizsgálatának,
továbbá a sérülékenységvizsgálat lefolytatásának szabályairól
NEMZETI CSIRT (KÖZPONT)
kormányzati eseménykezelő központ

eseménykezelő központ (Központ)
GovCERT Nemzeti CSIRT
honvédelmi
célú EIR-ek
kivételével
a biztonsági események és az illetékes hatóságokkal

fenyegetések kezelése céljából
a honvédelmi célú EIR-ek eseménykezelő
együttműködik
központjával (működteti: KNBSZ)
a rendvédelmi szervekkel
a Nemzeti Média- és Hírközlési
Hatósággal (+Országos Informatikai és
Hírközlési Főügyelet)
az Lrtv. szerinti kritikus infrastruktúra
üzemeltetőkkel, kijelölő hatóságokkal
a Nemzeti Adatvédelmi és
Információszabadság Hatósággal
Biztonsági események fenyegetéssel kapcsolatos információkról

megelőzése érdekében: figyelmeztetést ad ki
részt vesz a tudatosítási feladatokban
honlapján rendszeresen tájékoztatást ad aktuális
sérülékenységekről, szükséges biztonsági
intézkedésekről
állásfoglalásokat, ajánlásokat adhat ki
fenyegetéseket vizsgál, kockázat- és
eseményelemzéseket készít
tájékoztatást, korai előrejelzést, riasztást ad ki

sérülékenységvizsgálatot folytathat
Biztonsági események kezelése

kapcsán:
reagál a biztonsági eseményekre

nyomon követi a biztonsági eseményeket (nemzeti szinten)
érintetteket haladéktalanul értesíti
biztonsági eseményekről nyilvántartást vezet
korai figyelmeztető rendszert működtet
Biztonsági események köteles
bejelentése
haladéktalanul
+ önkéntes
rövid leírás, státusz
bejelentés
zavar mértéke
1. elektronikus úton
2. bármely módon
kapcsolattartási adatok
hatást meghatározó szempontok

Biztonsági események köteles
bejelentése
indokolatlan
alapvető szolgáltatást nyújtó késedelem nélkül
szereplők
biztonsági esemény hatása jelentőségének meghatározása érdekében
zavar által érintett felhasználók

száma
határon átnyúló
biztonsági esemény időtartama hatás
SPOC
érintett földrajzi terület

Biztonsági események részt vehet
kivizsgálása IBF
biztonságiesemény-
Az érintett szervezet köteles: kezelési megbízott
illetékes eseménykezelő
Központtal együttműködni központ munkatársai
Központnak adatokhoz hozzáférést

biztosítani
CÉL:
okok feltárása
A Központ köteles: károk elhárítása
tanulságok megállapítása és
zárt kezelésű technológiai naplót hasznosítása
vezetni
áttekintés és kérdéstípusok
MIRE SZÁMÍTSUNK A ZÁRTHELYIBEN…
• 30 tesztfeladat
 egy helyes válasz kiválasztása
 több helyes válasz kiválasztása (kérdésből derül ki!)
 igaz/hamis megállapítás
 párosítás
• egy kifejtendő választ igénylő kérdés 90 perc
 foglalja össze…
 hasonlítsa össze…
 mutassa be…
 fejtse ki…
• Érintett kérdéskörök
 kiberbiztonság megjelenése az EU biztonsági stratégiáiban – kiemelten 2020
 kiberbiztonságra vonatkozó stratégiák prioritásai – kiemelten 2020
 kapcsolódó szakpolitikák fejlődése – főbb mérföldkövek
 kritikus infrastruktúra védelem fejlődése + kifejezések értelmezése
 tagállami kötelezettségek a kritikus infrastruktúrák védelmét érintően
 kritikus információs infrastruktúra értelmezése
 NIS irányelv lényeges tartalmi elemei – tagállami kötelezettségek
 Blueprint javaslat célkitűzései
 kibertámadások elleni korlátozó intézkedések összefoglalása
Kiberbiztonsági jogszabály: tanúsítási rendszer lényege és az ENISA szerepe
• Érintett kérdéskörök – hazai reláció
 hazai szabályozási keretek a kritikus infrastruktúrák védelmére vonatkozóan
 alapvető szolgáltatást nyújtó szereplők azonosítása Magyarországon
 NIS kötelezettségek a hazai jogrendben
 kiberbiztonsági követelményrendszer a hazai jogrendben
 kiberbiztonsági kötelezettségek teljesítésének rendszere Magyarországon

Köszönöm
a megtisztelő figyelmet!
Dr. Bonnyai Tünde PhD

biztonsági szakértő
bonnyai.tunde@mvm.hu

CIIP Levelezö

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CIIP Levelezö

Uploaded by

Copyright:

Available Formats

Kritikus információs

©Dr. Bonnyai Tünde

Biztonság … tagállami kötelezettség

Magyarország Nemzeti Biztonsági Stratégiája

Magyarország Nemzeti Biztonsági Stratégiája

feltétele 2018 Magyarország hálózati és információs rendszerek biztonságára

Magyarország NemzetiFÓKUSZBAN:Biztonsági Stratégiája

©Dr. Bonnyai Tünde

2012 Nemzeti Biztonsági Stratégia (első)

187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)

©Dr. Bonnyai Tünde

2013. évi L. törvény az állami és önkormányzati szervek

2012. évi CLXVI. törvény a létfontosságú rendszerek és

jelentős Ágazati kormányrendeletek (Lrtv.)

270/2018. (XII. 20.) kormányrendelet (bejelentésköteles-szolg.) DSP

©Dr. Bonnyai Tünde

SZEMÉLYI HATÁLY ALÁ TARTOZNAK

fővárosi és megyei kormányhivatalok EIR-jei

MH EIR-jei, honvédelmi célú EIR-ek Katonai Nemzetbiztonsági Szolgálat

elektronikus információs rendszerek

zárt az összes releváns fenyegetést figyelembe vevő védelem

teljes körű a védelmi intézkedések a rendszer összes elemére kiterjednek

folytonos megszakítás nélkül megvalósuló védelem

kockázatokkal arányos a védelem költségei arányosak a potenciális kárértékkel

©Dr. Bonnyai Tünde

©Dr. Bonnyai Tünde

elektronikus információs rendszer / elemei / kezelt adatok&információk

adatot, információt csak az arra jogosultak és csak a jogosultságuk

adat tartalma és tulajdonságai az elvárttal megegyeznek, tehát az

annak biztosítása, hogy az elektronikus információs rendszerek az

azonosítási jelentés kijelölés

reagálás és kezelés értesítés

©Dr. Bonnyai Tünde

bejelenteni EWS működtetés

kapcsolatot tartani figyelmeztetések

kérdezni… IBF kapcsolattartás

©Dr. Bonnyai Tünde

Ibtv. 9-10. § a szervezet felkészültsége az e törvényben és a

kijelölő határozat véglegessé KRITIKUS

©Dr. Bonnyai Tünde

ötfokozatú besorolás alapján kell teljesíteni a biztonsági osztályhoz rendelt követelményeket

Jogszabályi előírások alapján az adott rendszerre vonatkozó ELÉRENDŐ (előírt) biztonsági

Úgy kell kialakítani és fejleszteni a védelmi struktúrát, hogy az megfeleljen a jogszabályokban

Hatóság: alacsonyabb osztály Fokozatos elérés elve!!!

Ha a szervezet vezetője alacsonyabb

ötfokozatú szervezet egészére vonatkozóan

 szempont: biztonsági menedzsmentjének fejlettsége, érettsége

3 évente  leggyengébb szint esetén (1-es) a szervezetnél vannak az információbiztonságot érintő

Úgy kell kialakítani és fejleszteni a szervezeti biztonsági kultúrát, hogy az megfeleljen a

Fokozatos elérés elve!!!

 kockázatelemzés szerinti eljárásrend kidolgozása (biztonsági

©Dr. Bonnyai Tünde

©Dr. Bonnyai Tünde

Az IBSZ be nem tartása jogkövetkezményt

a használt elektronikus információs infrastruktúra

egyedi adatokat és információkat kezel / dolgoz fel, de Biztonsági kontrollfolyamatok eljárásrendben

olyan EIR- t használ, amely személyes adatokat kezel

olyan EIR- t használ, amely személyes adatokat kezel

olyan EIR- t használ, amely személyes adatokat kezel

olyan EIR- t használ, amely személyes adatokat kezel

©Dr. Bonnyai Tünde

©Dr. Bonnyai Tünde

adat tartalma és tulajdonságai az elvárttal megegyeznek, tehát az