Az elektronikus információbiztonságra vonatkozó követelmények
Jelen dokumentum célja, hogy összefoglalja a Digitális Megújulás Operatív Program Plusz (a továbbiakban: DIMOP Plusz) keretében a kedvezményezettek által teljesítendő, az elektronikus információbiztonsághoz kapcsolódó követelményeket. Az alábbiakban általános érvényű elvárások kerültek megfogalmazásra, amelyeket a kedvezményezetteknek projektspecifikus módon szükséges lehet kiegészíteni, különös tekintettel saját környezetük jellemzőire és a jogszabályok által támasztott követelményekre.
A DIMOP Plusz keretében elektronikus információs rendszer (a továbbiakban: EIR) kialakítására, bővítésére vagy átalakítására irányuló projekt megvalósítása során a projektgazda köteles az EIR biztonságára vonatkozó jogszabályi követelményeknek való megfelelést biztosítani és ennek érdekében az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.), valamint az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet (továbbiakban: Kr.) 8. § szerint a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézettel (a továbbiakban: NBSZ NKI, Hatóság) együttműködni.
I. Tervezési fázis – biztonsági koncepció
A projekt tervezési időszakában a projektgazda köteles az Ibtv. 7. § alapján, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet (továbbiakban: BM Rendelet) 1. sz. mellékletében meghatározott kritériumrendszer mentén meghatározni a projekt keretében fejlesztéssel érintett EIR biztonsági osztályát.
Az EIR biztonsági osztályának meghatározása előtt előzetes kockázatelemzést kell készíteni, a kockázatelemzés elvégzését követően pedig az NBSZ NKI ajánlása alapján a fejlesztendő EIR-eket előzetesen biztonsági osztályba kell sorolni (Elozetes-besorolast-tamogato-utmutato.docx).
Az NBSZ NKI ajánlása alapján a megvalósíthatósági tanulmány részeként információbiztonsági tervet szükséges készíteni (Informaciobiztonsagi-terv-sablon.docx).
A projekt végrehajtása során független, megfelelő képzettséggel, képességekkel és tapasztalattal rendelkező ITB műszaki ellenőrt kell alkalmazni a biztonsági szempontok érvényre juttatása érdekében. Az ITB műszaki ellenőrre vonatkozó fontos elvárás, hogy olyan szerződéses jogviszonyban álljon, amiből a projekt időtartama alatt a személyes felelőssége egyértelműen megállapítható. A további elvárások részleteit, az ITB műszaki ellenőr pontos feladatait és a projekt során felmerülő kötelezettségeit az NBSZ NKI ajánlása tartalmazza. (ITB-muszaki-ellenor.docx).
II. Tervezési fázis – funkcionális biztonságtervezés
Az NBSZ NKI ajánlása alapján rendszerbiztonsági tervet kell készíteni (Rendszerbiztonsagi-terv-sablon.docx).
Az NBSZ NKI-val együttműködve szükséges megvizsgálni és amennyiben a csatlakozás megvalósulásának nincs elháríthatatlan akadálya, akkor a rendszerbiztonsági tervben dokumentálni kell a Reaktív, IDS típusú eseménydetekciós céllal létrehozott korai megelőző rendszerhez (EWS) való csatlakozás lehetséges módjait (az NBSZ NKI EWS dokumentáció a Szolgaltatasi-szabalyzat-EWS.pdf linken található). Az EWS rendszer szolgáltatásai javítják a csatlakozó intézmény észlelési, felügyeleti és megfelelőség-ellenőrzési képességét.
Az NBSZ NKI ajánlása alapján szükséges kialakítani a projekt keretében létrehozott EIR incidenskezelési módszertanát (dokumentum feltöltése folyamatban). A módszertant a megvalósíthatósági tanulmányban kell bemutatni, valamint a rendszerbiztonsági tervben kell szerepeltetni.
Az NBSZ NKI-val való egyeztetést követően megvizsgálni és a megvalósíthatósági tanulmányban dokumentálni az NBSZ NKI Automatizált Sebezhetőségdetektáló Rendszer (ASR) történő csatlakozás lehetséges módjait. Az NBSZ NKI által közzétett módon, az adategyeztető dokumentum kitöltésével és megküldésével szükséges kezdeményezni a csatlakozást, amennyiben az technológiai szempontból lehetséges. (https://nki.gov.hu/asr/).
III. Megvalósítási fázis
A projekt kivitelezése az információbiztonsági tervben, valamint a rendszerbiztonsági tervben meghatározott biztonsági követelményeknek megfelelően.
A megvalósítás során, a tervektől történő eltérések átvezetése a rendszerbiztonsági tervből a rendszerbiztonsági dokumentumba.
IV. Lezárási fázis
Az NBSZ NKI-val együttműködve a CTI (Cyber Threat Intelligence) platformhoz való kapcsolódás lehetőségének vizsgálata, a kapcsolódási dokumentum elkészítése (https://nki.gov.hu/).
Éles üzembe állítást megelőzően szükséges a sérülékenységvizsgálat tervezése, annak megvalósítása az NBSZ NKI bevonásával, valamint az NBSZ NKI, vagy annak elvégzésére engedéllyel rendelkező szervezet sérülékenységvizsgálati jelentésében foglalt sérülékenységek javítása. (https://nki.gov.hu/szolgaltatasok/tartalom/serulekenysegvizsgalat/).
A projekt keretében létrehozott EIR biztonsági megfelelősége, az NBSZ NKI által megállapított hiányosságok pótlása, valamint a kockázatkezelési intézkedés meghozatala kapcsán készített szakmai beszámoló NBSZ NKI általi elfogadása a projekt fejlesztési fázisai lezárásának és az üzembe helyezésnek a feltétele.
Az NBSZ NKI eljárásának határidejére az egyéb jogszabályokban előírt határidők az irányadók, amelyek az NBSZ NKI és az egyes pályázatok honlapján megtalálhatók. A fenti dokumentumokat a Hatósággal konstruktívan együttműködve folyamatosan (különös tekintettel bármelyik dokumentum változása esetén), de legkésőbb a fejlesztett EIR élesbe állítását megelőzően 60 nappal szükséges megküldeni az NBSZ NKI részére.
A DIMOP pályázat keretében készítendő I. és II. fázishoz kapcsolódó információbiztonsági dokumentumok összefüggéseit a következő ábra szemlélteti, különös tekintettel a fejlesztési fázisokhoz tartozó információbiztonsági dokumentumok előállításának folyamatlépéseire, valamint bemeneti és kimeneti eredménytermékeinek összefüggéseire.
| Fázis | Dokumentum | Folyamatlépés | Bemenet | Feladat | Kimenet |
| Specifikáció | Előzetes biztonsági osztályba sorolás | Adatkörök meghatározása | Funkcionális követelmények | Az egyes funkciókhoz tartozó adatörök meghatározása | Adatkörök |
| Fenyegetettségek azonosítása | Adatkörök | Az adatkörökre vonatkozó fenyegetettségek azonosítása | Adatkör-fenyegetés összerendelés | ||
| Kockázat – kártérték meghatározás | Adatkör-fenyegetés összerendelés | A bizalmassági, sértetlenségi és rendelkezésre állással kapcsolatos kártértékek azonosítása adatkörönként | BSR kárértékek adatkörönként | ||
| Előzetes biztonsági osztályba sorolás | BSR kárértékek adatkörönként | A rendszer biztonsági osztályba sorolása a BSR értékek összesítésével | Előzetes biztonsági osztályba sorolás | ||
| Információbiztonsági terv | Biztonsági követelmények azonosítása | Előzetes biztonsági osztályba sorolás | A biztonsági osztályhoz tartozó minimális követelmények azonosítása | Biztonsági követelmények | |
| Tervezés | Védelmi intézkedések magasszintű tervezése | Biztonsági követelmények | A biztonsági célokat és követelményeket kielégítő védelmi intézkedések magasszintű tervezése | Információbiztonsági terv | |
| Rendszerbiztonsági terv | Védelmi intézkedések alacsonyszintű tervezése | Információbiztonsági terv | A biztonsági célokat és követelményeket kielégítő védelmi intézkedések alacsonyszintű tervezése | Rendszerbiztonsági terv |
