Felhő

A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 1. sz. mellékletének 4.2.2.2. pontja a nemzeti kiberbiztonsági hatóság (a továbbiakban: Hatóság) számára előírja harmadik fél általi kiberbiztonsági tanúsítására, auditjára vagy engedélyezésére használható szabványok vagy ajánlások közzétételét, amelyet a Hatóság az alábbi 1. és 2. sz táblázatban hoz nyilvánosságra.

A Hatóság a Vhr. 1. sz. melléklete által meghatározott adatosztályokra vonatkozó követelményekről és korlátozásokról tájékoztató céllal egy összefoglaló listát is közzé tesz, amely a 3. sz táblázatban található.

Az 1. sz. táblázatban található kiberbiztonsági kontroll keretrendszerek alapján auditált vagy tanúsított felhőszolgáltatásokat a Hatóság a Vhr. 1. melléklet 4.2.2.2. pontjában definiált tanúsított felhőszolgáltatásként ismeri el.

Szabvány/Ajánlás	Leírás	Bővebb információ
CSA Cloud Controls Matrix (CCM)	A CSA Cloud Controls Matrix (CCM) a felhőalapú számítástechnika kiberbiztonsági keretrendszere. 197 kontrollból áll, amelyek 17 domainbe kerülnek felosztásra, és lefedik a felhőtechnológia minden kulcsfontosságú aspektusát.	https://cloudsecurityalliance.org/research/cloud-controls-matrix
NIST SP 500-292	Az NIST Cloud Computing Reference Architecture egy speciális kiadvány (NIST SP 500-292) az Amerikai Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének ajánlása, amely a teljes felhőarchitektúra kiberbiztonsági aspektusú kialakítására tesz javaslatot.	https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication500-292.pdf
ISO/IEC 27017:2015	Az ISO/IEC 27017:2015 az ISO/IEC 27002 szabványt további hét kontrollal egészíti ki. (Kapcsolódó szabvány: ISO/IEC 27018:2019.)	https://www.iso.org/standard/43757.html
ISO/IEC 27018:2019	Az ISO/IEC 27018:2019 szabvány az ISO/IEC 27002 szabványt személyazonosításra alkalmas adatok (PII) védelmére vonatkozó kontrollokkal egészíti ki.	https://www.iso.org/standard/76559.html
C5:2020 és C5:2016 (Bundesamt für Sicherheit in der Informationstechnik (BSI) Cloud Computing Compliance Controls Catalogue)	A német Szövetségi Információbiztonsági Hivatal (BSI) információbiztonsági kontroll katalógusa alapvető biztonsági követelményeket tartalmaz a felhőszolgáltatásokra vonatkozóan.	https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_Archiv/C5_Archiv_node.html
System and Organization Controls (SOC2)	Az American Institute of Certified Public Accountants (AICPA) által gondozott SOC 2 audit is alkalmas lehet a szolgáltatóra vonatkozó elvárt kontrollok igazolására.	https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2

1. táblázat: Harmadik féltől származó kiberbiztonsági tanúsításra vagy auditra elfogadható kontroll keretrendszerek és szabványok listája

A FedRAMP marketplace-en megtalálható listában szereplő felhőszolgáltatásokat a nemzeti kiberbiztonsági hatóság engedélyezett és a Vhr. 1. melléklet 4.2.2.2. pontjában definiált tanúsított felhőszolgáltatásként ismeri el. A FedRAMP marketplace listáról az alábbi táblázat tartalmaz rövid ismertetőt.

Lista	Leírás	Bővebb információ
FedRAMP marketplace	Az Amerikai Egyesült Államok FedRAMP programja költséghatékony, kockázatalapú megközelítést biztosít a felhőszolgáltatások szövetségi kormány általi elfogadásához és használatához. A FedRAMP marketplace egy naprakész online lista azon felhőszolgáltatásokról, amelyek az Amerikai Egyesült Államokban engedélyezettnek minősülnek.	https://marketplace.fedramp.gov/products

Lista

Leírás

Bővebb információ

FedRAMP marketplace

Az Amerikai Egyesült Államok FedRAMP programja költséghatékony, kockázatalapú megközelítést biztosít a felhőszolgáltatások szövetségi kormány általi elfogadásához és használatához.

A FedRAMP marketplace egy naprakész online lista azon felhőszolgáltatásokról, amelyek az Amerikai Egyesült Államokban engedélyezettnek minősülnek.

https://marketplace.fedramp.gov/products

2. táblázat: A FedRAMP által elfogadott felhőszolgáltatások listájának elérhetősége

Fontos kiemelni, hogy a Vhr. szerinti harmadik fél általi tanúsítottság ténye önmagában nem jelenti egyúttal azt is, hogy az adott felhőszolgáltatás megfelel az érintett elektronikus információs rendszer biztonsági osztályából fakadó követelményeknek is. Ennek következtében az adatosztályozásból fakadó követelmények teljesítése és a fenti listáknak történő megfelelés nem váltja ki a biztonsági osztályból fakadó követelmények teljesítésének szükségességét.

A Vhr. 1. sz. melléklete szerint az adatosztályozás biztonsági követelményeket támaszt (az adatok titkosítása, hazai adatmásolat készítése, nem privát felhőszolgáltatás esetén a szolgáltatás harmadik féltől származó tanúsítása) és korlátozásokról rendelkezik (az adatok kezelésének és tárolásának helyszíne) az EIR-ekkel szemben az adatok bizalmassági értéke (B1-B4), valamint a sértetlenség és rendelkezésre állás szerinti értékek (SR1 vagy SR2) összesítése alapján (F = B+SR értékek összeadása).

A külföldi adatkezelésre és nem privát felhőszolgáltatásokra vonatkozó követelményeket és korlátozásokat az 3. sz. táblázat foglalja össze:

B	SR	F	Felhős korlátozás	Lokációs korlátozás	Külföldi adattárolás esetén az adat hazai rendelkezésre állásának biztosítása	Külföldi adatkezelés vagy nem privát felhőszolgáltatás esetén titkosítás
1	1	F1	nincs	nincs	nem szükséges	nem szükséges
1	2	F2	EGT-n kívül harmadik fél által tanúsított nem privát felhőben, EGT-n belül nincs korlátozás	EGT	szükséges	nem szükséges
2	1	F2		nincs	nem szükséges	Kötelező, amennyiben technológiailag lehetséges
2	2	F3	Magyarországon kívül harmadik fél által tanúsított nem privát felhőben, nem tanúsított nem privát felhőben csak Magyarországon belül	EGT-n belül	szükséges	Kötelező, amennyiben technológiailag lehetséges
3	1	F3		EGT-n belül	nem szükséges	Kötelező
3	2	F4	Harmadik fél által tanúsított privát felhőben vagy kormányzati felhőben	Magyarországon belül	nem releváns	nem releváns
4	1
4	2