Az elektronikus információbiztonságra vonatkozó követelmények
Jelen dokumentum célja, hogy összefoglalja a Digitális Megújulás Operatív Program Plusz (a továbbiakban: DIMOP Plusz) keretében a kedvezményezettek által teljesítendő, az elektronikus információbiztonsághoz kapcsolódó követelményeket. Az alábbiakban általános érvényű elvárások kerültek megfogalmazásra, amelyeket a kedvezményezetteknek projektspecifikus módon szükséges lehet kiegészíteni, különös tekintettel saját környezetük jellemzőire és a jogszabályok által támasztott követelményekre.
A DIMOP Plusz keretében elektronikus információs rendszer (a továbbiakban: EIR) kialakítására, bővítésére vagy átalakítására irányuló projekt megvalósítása során a projektgazda köteles az EIR biztonságára vonatkozó jogszabályi követelményeknek való megfelelést biztosítani és ennek érdekében a 2025. január 1-től hatályos, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (6) bekezdés 13. pontja szerint a Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézettel (a továbbiakban: nemzeti kiberbiztonsági hatóság vagy Hatóság) együttműködni.
I. Tervezési fázis – biztonsági koncepció
A projekt tervezési időszakában a projektgazda köteles a Kiberbiztonsági tv. 10. § alapján, a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet (továbbiakban: Kiberbiztonsági vhr.) 1. mellékletében meghatározott kritériumrendszer mentén meghatározni a projekt keretében fejlesztéssel érintett EIR biztonsági osztályát.
- Az EIR biztonsági osztályának meghatározása előtt előzetes kockázatelemzést kell készíteni, a kockázatelemzés elvégzését követően pedig a Hatóság ajánlása alapján a fejlesztendő EIR-eket előzetesen biztonsági osztályba kell sorolni (Elozetes-besorolast-tamogato-utmutato.docx).
- A Hatóság ajánlása alapján a megvalósíthatósági tanulmány részeként információbiztonsági tervet szükséges készíteni (Informaciobiztonsagi-terv-sablon.docx).
A projekt végrehajtása során független, megfelelő képzettséggel, képességekkel és tapasztalattal rendelkező ITB műszaki ellenőrt kell alkalmazni a biztonsági szempontok érvényre juttatása érdekében. Az ITB műszaki ellenőrre vonatkozó fontos elvárás, hogy olyan szerződéses jogviszonyban álljon, amiből a projekt időtartama alatt a személyes felelőssége egyértelműen megállapítható. A további elvárások részleteit, az ITB műszaki ellenőr pontos feladatait és a projekt során felmerülő kötelezettségeit az NBSZ NKI ajánlása tartalmazza. (ITB-muszaki-ellenor.docx).
II. Tervezési fázis – funkcionális biztonságtervezés
A Hatóság ajánlása alapján rendszerbiztonsági tervet kell készíteni.
A 2025.01.01-től alkalmazandó rendszerbiztonsági terv sablonok alábbi linkeken tölthetők le:
- NBSZ – Rendszerbiztonsági terv sablon_NIS2_Alap V.1.0.
- NBSZ – Rendszerbiztonsági terv sablon_NIS2_Jelentős V.1.0.
- NBSZ – Rendszerbiztonsági terv sablon_NIS2_Magas V.1.0.
A korábbi (2024.12.31-ig indult fejlesztések során használható) rendszerbiztonsági terv sablon itt tölthető le:
A Hatósággal együttműködve szükséges megvizsgálni és amennyiben a csatlakozás megvalósulásának nincs elháríthatatlan akadálya, akkor a rendszerbiztonsági tervben dokumentálni kell a Reaktív, IDS típusú eseménydetekciós céllal létrehozott korai megelőző rendszerhez (EWS) való csatlakozás lehetséges módjait (az NBSZ NKI EWS dokumentáció a Szolgaltatasi-szabalyzat-EWS.pdf linken található). Az EWS rendszer szolgáltatásai javítják a csatlakozó intézmény észlelési, felügyeleti és megfelelőség-ellenőrzési képességét.
- A Hatóság ajánlása alapján szükséges kialakítani a projekt keretében létrehozott EIR incidenskezelési módszertanát (a dokumentum feltöltése folyamatban). A módszertant a megvalósíthatósági tanulmányban kell bemutatni, valamint a rendszerbiztonsági tervben kell szerepeltetni.
- A Hatósággal való egyeztetést követően megvizsgálni és a megvalósíthatósági tanulmányban dokumentálni az NBSZ NKI Automatizált Sebezhetőségdetektáló Rendszer (ASR) történő csatlakozás lehetséges módjait. Az NBSZ NKI által közzétett módon, az adategyeztető dokumentum kitöltésével és megküldésével szükséges kezdeményezni a csatlakozást, amennyiben az technológiai szempontból lehetséges. (https://nki.gov.hu/asr/).
III. Megvalósítási fázis
A projekt kivitelezése az információbiztonsági tervben, valamint a rendszerbiztonsági tervben meghatározott biztonsági követelményeknek megfelelően.
A megvalósítás során, a tervektől történő eltérések átvezetése a rendszerbiztonsági tervből a rendszerbiztonsági dokumentumba.
IV. Lezárási fázis
A Hatósággal együttműködve a CTI (Cyber Threat Intelligence) platformhoz való kapcsolódás lehetőségének vizsgálata, a kapcsolódási dokumentum elkészítése (https://nki.gov.hu/).
Éles üzembe állítást megelőzően szükséges a sérülékenységvizsgálat tervezése, annak megvalósítása a Hatóság bevonásával, valamint az NBSZ-NKI, vagy annak elvégzésére engedéllyel rendelkező szervezet sérülékenységvizsgálati jelentésében foglalt sérülékenységek javítása. (https://nki.gov.hu/szolgaltatasok/tartalom/serulekenysegvizsgalat/).
A projekt keretében létrehozott EIR biztonsági megfelelősége, a Hatóság által megállapított hiányosságok pótlása, valamint a kockázatkezelési intézkedés meghozatala kapcsán készített szakmai beszámoló a Hatóság általi elfogadása a projekt fejlesztési fázisai lezárásának és az üzembe helyezésnek a feltétele.
A hatósági eljárásának határidejére az egyéb jogszabályokban előírt határidők az irányadók, amelyek a Hatóság és az egyes pályázatok honlapján megtalálhatók. A fenti dokumentumokat a Hatósággal konstruktívan együttműködve folyamatosan (különös tekintettel bármelyik dokumentum változása esetén), de legkésőbb a fejlesztett EIR élesbe állítását megelőzően 60 nappal szükséges megküldeni a Hatóság részére.
A DIMOP pályázat keretében készítendő I. és II. fázishoz kapcsolódó információbiztonsági dokumentumok összefüggéseit a következő ábra szemlélteti, különös tekintettel a fejlesztési fázisokhoz tartozó információbiztonsági dokumentumok előállításának folyamatlépéseire, valamint bemeneti és kimeneti eredménytermékeinek összefüggéseire.
| Fázis | Dokumentum | Folyamatlépés | Bemenet | Feladat | Kimenet |
| Specifikáció | Előzetes biztonsági osztályba sorolás | Adatkörök meghatározása | Funkcionális követelmények | Az egyes funkciókhoz tartozó adatörök meghatározása | Adatkörök |
| Fenyegetettségek azonosítása | Adatkörök | Az adatkörökre vonatkozó fenyegetettségek azonosítása | Adatkör-fenyegetés összerendelés | ||
| Kockázat – kártérték meghatározás | Adatkör-fenyegetés összerendelés | A bizalmassági, sértetlenségi és rendelkezésre állással kapcsolatos kártértékek azonosítása adatkörönként | BSR kárértékek adatkörönként | ||
| Előzetes biztonsági osztályba sorolás | BSR kárértékek adatkörönként | A rendszer biztonsági osztályba sorolása a BSR értékek összesítésével | Előzetes biztonsági osztályba sorolás | ||
| Információbiztonsági terv | Biztonsági követelmények azonosítása | Előzetes biztonsági osztályba sorolás | A biztonsági osztályhoz tartozó minimális követelmények azonosítása | Biztonsági követelmények | |
| Tervezés | Védelmi intézkedések magasszintű tervezése | Biztonsági követelmények | A biztonsági célokat és követelményeket kielégítő védelmi intézkedések magasszintű tervezése | Információbiztonsági terv | |
| Rendszerbiztonsági terv | Védelmi intézkedések alacsonyszintű tervezése | Információbiztonsági terv | A biztonsági célokat és követelményeket kielégítő védelmi intézkedések alacsonyszintű tervezése | Rendszerbiztonsági terv |
