DIMOP követelmények

Az elektronikus információbiztonságra vonatkozó követelmények

 

Jelen dokumentum célja, hogy összefoglalja a Digitális Megújulás Operatív Program Plusz (a továbbiakban: DIMOP Plusz) keretében a kedvezményezettek által teljesítendő, az elektronikus információbiztonsághoz kapcsolódó követelményeket. Az alábbiakban általános érvényű elvárások kerültek megfogalmazásra, amelyeket a kedvezményezetteknek projektspecifikus módon szükséges lehet kiegészíteni, különös tekintettel saját környezetük jellemzőire és a jogszabályok által támasztott követelményekre.

A DIMOP Plusz keretében elektronikus információs rendszer (a továbbiakban: EIR) kialakítására, bővítésére vagy átalakítására irányuló projekt megvalósítása során a projektgazda köteles az EIR biztonságára vonatkozó jogszabályi követelményeknek való megfelelést biztosítani és ennek érdekében az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.), valamint az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet (továbbiakban: Kr.) 8. § szerint a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézettel (a továbbiakban: NBSZ NKI, Hatóság) együttműködni.

I. Tervezési fázis – biztonsági koncepció

A projekt tervezési időszakában a projektgazda köteles az Ibtv. 7. § alapján, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet (továbbiakban: BM Rendelet) 1. sz. mellékletében meghatározott kritériumrendszer mentén meghatározni a projekt keretében fejlesztéssel érintett EIR biztonsági osztályát.

Az EIR biztonsági osztályának meghatározása előtt előzetes kockázatelemzést kell készíteni, a kockázatelemzés elvégzését követően pedig az NBSZ NKI ajánlása alapján a fejlesztendő EIR-eket előzetesen biztonsági osztályba kell sorolni (Elozetes-besorolast-tamogato-utmutato.docx).

Az NBSZ NKI ajánlása alapján a megvalósíthatósági tanulmány részeként információbiztonsági tervet szükséges készíteni (Informaciobiztonsagi-terv-sablon.docx).

A projekt végrehajtása során független, megfelelő képzettséggel, képességekkel és tapasztalattal rendelkező ITB műszaki ellenőrt kell alkalmazni a biztonsági szempontok érvényre juttatása érdekében. Az ITB műszaki ellenőrre vonatkozó fontos elvárás, hogy olyan szerződéses jogviszonyban álljon, amiből a projekt időtartama alatt a személyes felelőssége egyértelműen megállapítható. A további elvárások részleteit, az ITB műszaki ellenőr pontos feladatait és a projekt során felmerülő kötelezettségeit az NBSZ NKI ajánlása tartalmazza. (ITB-muszaki-ellenor.docx).

II. Tervezési fázis – funkcionális biztonságtervezés

Az NBSZ NKI ajánlása alapján rendszerbiztonsági tervet kell készíteni (Rendszerbiztonsagi-terv-sablon.docx).

Az NBSZ NKI-val együttműködve szükséges megvizsgálni és amennyiben a csatlakozás megvalósulásának nincs elháríthatatlan akadálya, akkor a rendszerbiztonsági tervben dokumentálni kell a Reaktív, IDS típusú eseménydetekciós céllal létrehozott korai megelőző rendszerhez (EWS) való csatlakozás lehetséges módjait (az NBSZ NKI EWS dokumentáció a Szolgaltatasi-szabalyzat-EWS.pdf linken található). Az EWS rendszer szolgáltatásai javítják a csatlakozó intézmény észlelési, felügyeleti és megfelelőség-ellenőrzési képességét.

Az NBSZ NKI ajánlása alapján szükséges kialakítani a projekt keretében létrehozott EIR incidenskezelési módszertanát (dokumentum feltöltése folyamatban). A módszertant a megvalósíthatósági tanulmányban kell bemutatni, valamint a rendszerbiztonsági tervben kell szerepeltetni.

Az NBSZ NKI-val való egyeztetést követően megvizsgálni és a megvalósíthatósági tanulmányban dokumentálni az NBSZ NKI Automatizált Sebezhetőségdetektáló Rendszer (ASR) történő csatlakozás lehetséges módjait. Az NBSZ NKI által közzétett módon, az adategyeztető dokumentum kitöltésével és megküldésével szükséges kezdeményezni a csatlakozást, amennyiben az technológiai szempontból lehetséges. (https://nki.gov.hu/asr/).

III. Megvalósítási fázis

A projekt kivitelezése az információbiztonsági tervben, valamint a rendszerbiztonsági tervben meghatározott biztonsági követelményeknek megfelelően.

A megvalósítás során, a tervektől történő eltérések átvezetése a rendszerbiztonsági tervből a rendszerbiztonsági dokumentumba.

IV. Lezárási fázis

Az NBSZ NKI-val együttműködve a CTI (Cyber Threat Intelligence) platformhoz való kapcsolódás lehetőségének vizsgálata, a kapcsolódási dokumentum elkészítése (https://nki.gov.hu/).

Éles üzembe állítást megelőzően szükséges a sérülékenységvizsgálat tervezése, annak megvalósítása az NBSZ NKI bevonásával, valamint az NBSZ NKI, vagy annak elvégzésére engedéllyel rendelkező szervezet sérülékenységvizsgálati jelentésében foglalt sérülékenységek javítása. (https://nki.gov.hu/szolgaltatasok/tartalom/serulekenysegvizsgalat/).

A projekt keretében létrehozott EIR biztonsági megfelelősége, az NBSZ NKI által megállapított hiányosságok pótlása, valamint a kockázatkezelési intézkedés meghozatala kapcsán készített szakmai beszámoló NBSZ NKI általi elfogadása a projekt fejlesztési fázisai lezárásának és az üzembe helyezésnek a feltétele.

Az NBSZ NKI eljárásának határidejére az egyéb jogszabályokban előírt határidők az irányadók, amelyek az NBSZ NKI és az egyes pályázatok honlapján megtalálhatók. A fenti dokumentumokat a Hatósággal konstruktívan együttműködve folyamatosan (különös tekintettel bármelyik dokumentum változása esetén), de legkésőbb a fejlesztett EIR élesbe állítását megelőzően 60 nappal szükséges megküldeni az NBSZ NKI részére.

A DIMOP pályázat keretében készítendő I. és II. fázishoz kapcsolódó információbiztonsági dokumentumok összefüggéseit a következő ábra szemlélteti, különös tekintettel a fejlesztési fázisokhoz tartozó információbiztonsági dokumentumok előállításának folyamatlépéseire, valamint bemeneti és kimeneti eredménytermékeinek összefüggéseire.

Fázis Dokumentum Folyamatlépés Bemenet Feladat Kimenet
Specifikáció Előzetes biztonsági osztályba sorolás Adatkörök meghatározása Funkcionális követelmények Az egyes funkciókhoz tartozó adatörök meghatározása Adatkörök
Fenyegetettségek azonosítása Adatkörök Az adatkörökre vonatkozó fenyegetettségek azonosítása Adatkör-fenyegetés összerendelés
Kockázat – kártérték meghatározás Adatkör-fenyegetés összerendelés A bizalmassági, sértetlenségi és rendelkezésre állással kapcsolatos kártértékek azonosítása adatkörönként BSR kárértékek adatkörönként
Előzetes biztonsági osztályba sorolás BSR kárértékek adatkörönként A rendszer biztonsági osztályba sorolása a BSR értékek összesítésével Előzetes biztonsági osztályba sorolás
Információbiztonsági terv Biztonsági követelmények azonosítása Előzetes biztonsági osztályba sorolás A biztonsági osztályhoz tartozó minimális követelmények azonosítása Biztonsági követelmények
Tervezés Védelmi intézkedések magasszintű tervezése Biztonsági követelmények A biztonsági célokat és követelményeket kielégítő védelmi intézkedések magasszintű tervezése Információbiztonsági terv
Rendszerbiztonsági terv Védelmi intézkedések alacsonyszintű tervezése Információbiztonsági terv A biztonsági célokat és követelményeket kielégítő védelmi intézkedések alacsonyszintű tervezése Rendszerbiztonsági terv