A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet az érintett szervezetek számára útmutatót ad ki a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet (a továbbiakban: MK rendelet) gyakorlati alkalmazásához.
Általános információk az útmutatóról
Az útmutató célja, hogy átfogó és részletes segédanyagokat adjon az MK rendelet gyakorlati alkalmazásához.
Az útmutató felépítése tükrözi az MK rendelet struktúráját, ennek megfelelően az első rész (Előkészületek) a rendelet 1. mellékletének megfelelően bemutatja a kockázatmenedzsment keretrendszer felépítését, segítséget nyújt a biztonsági osztályba sorolás végrehajtásában, valamint a védelmi intézkedések testreszabásában, alkalmazásában.
A további részekben az útmutató – követelménycsaládok szerinti bontásban – részletes ismertetést nyújt valamennyi, az MK rendelet 2. mellékletét képező Védelmi intézkedések katalógusában szereplő kontrol működéséről, és segít a követelmények gyakorlatba történő átültetésében. A Védelmi intézkedések katalógusa a NIST 800-53 revision 5 kiberbiztonsági ajánlás Control Catalog dokumentumának információira épül, a biztonsági intézkedések bevezetését az útmutató a magyar jogi környezetben való alkalmazhatóság szempontjából releváns információkkal, irányelvekkel és a nemzetközi jó gyakorlat szerinti ajánlásokkal támogatja.
Ezeken túl az útmutató elemzi a 41/2015 BM rendelet és az MK rendelet közötti különbségeket, és konkrét, lépésről-lépésre történő útmutatást nyújt azokra a teendőkre, amelyeket az átállás során szem előtt kell tartani.
Az EIR útmutató fő tartalmi elemei
Előkészületek
A kockázatmenedzsment keretrendszer és a biztonsági osztályba sorolás folyamatának és kritériumainak bemutatása.
Követelménykatalógus
Az MK rendelet 2. mellékletét képező Védelmi intézkedések katalógusában szereplő kontrolok követelménycsaládonként táblázatos formában, amely ─ a könnyebb értelmezhetőség érdekében ─ rövidesen kézikönyvekre bontva is feltöltésre kerül.
A követelménykatalógus tartalmi felépítése
‣ A. Követelmény számkódja
A követelmény száma az MK rendelet 2. melléklete szerint. A kód 1. szintje a követelménycsaládot, 2. szintje a követelménycsoportot, míg a 3–5. szintek a védelmi intézkedés leírásának különböző mélységű részleteit jelzik.
‣ B. EIR követelmény leírása
‣ C. A követelmény használhatósága „alap” biztonsági osztály esetén
„X” jelöli, ha a védelmi intézkedés használata az adott biztonsági osztálynál elvárt, és „–” jelöli, ha a védelmi intézkedés használata az adott biztonsági osztálynál nem elvárás.
Azon védelmi intézkedések, amelyek esetében a „C” „D” és „E” oszlopok egyaránt „–” jelölést tartalmaznak, kiegészítő védelmi intézkedések. Ezen kiegészítő védelmi intézkedéseket egyik biztonsági osztály esetében sem kötelező alkalmazni, a szervezetek azonban felhasználhatják ezeket a rájuk vonatkozó egyéb – különösen rendszerspecifikus sajátosságokból eredő – követelmények teljesítése érdekében.
‣ D. A követelmény használhatósága „jelentős” biztonsági osztály esetén
‣ E. A követelmény használhatósága „magas” biztonsági osztály esetén
‣ F. Magyarázat
A NIST 800-53 revision 5 kiberbiztonsági ajánlás Control Catalog dokumentum értelmezései alapján megfogalmazott magyarázat, amely a magyar jogi környezetben való alkalmazhatóság szempontjából releváns információkkal, irányelvekkel és a nemzetközi jó gyakorlat szerinti ajánlásokkal került kiegészítésre.
‣ G. Megvalósítási lépések
Azok a fő lépések és szempontok, amelyeket a szervezetnek a követelménynek történő megfelelés érdekében javasolt megtennie és figyelembe vennie.
‣ H. 41/2015. referencia
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet kapcsolódó követelménypontja.
‣ I. ISO 27001 referencia
Az ISO/IEC 27001:2022 információbiztonsági szabvány kapcsolódó követelménypontjai.
‣ J. NIST SP 800-53rev5 referencia
A követelmény NIST SP 800-53rev5. szerinti követelménykódja.
‣ K. Követelményhez tartozó paraméterek
Azon paraméterek felsorolása, amelyeket a szervezetnek definiálnia szükséges a követelmény konkrét meghatározásához. (Lásd még a segédletek fejezetet!)
‣ L. Kapcsolódó védelmi intézkedések
Az EIR követelménykatalógus azon követelményeinek felsorolása, amely az adott követelményhez kapcsolódnak vagy kiegészítik azt.
