ASR kitöltési útmutató

A szolgáltatás igénybevételének feltételei

Annak érdekében, hogy az ASR sikeresen működjön, a partnereknek szükséges mindazon rendszerelemeikkel kapcsolatos adatok rögzítése az adategyeztető dokumentum segítségével, amelyekről úgy ítélik meg, hogy azok az információbiztonság szempontjából veszélynek kitettek, függetlenül a rendszerelemek felügyeletének, kezelésének módjától.

Az adategyeztető dokumentum kitöltésével a Rendelet 27. § (1) bekezdésében foglaltaknak eleget tehet, miszerint az NBSZ NKI – eseménykezelő központként – saját hatáskörében indított sérülékenységvizsgálatának végrehajtása érdekében a 22. § (1) bekezdése szerinti szervezetek kötelesek bejelenteni részére a webes szolgáltatások, weboldalak és web-szerverek elérhetőségére vonatkozó egyedi technikai adatokat, azonosítókat.

A nyilvántartásba történő felvételhez a https://nki.gov.hu/asr oldalról letölthető adategyeztető dokumentumot szükséges kitölteni. A vizsgálathoz elengedhetetlen, hogy az oldalon felsorolt IP címek az ügyfél oldali tűzfalon engedélyezésre vagy fehérlistára (white-list) kerüljenek.

Az elkészült adategyeztető dokumentumot az asr@nki.gov.hu e-mail címre kell megküldeni, amely rögzítését követően a megjelölt rendszerelemek bekerülnek a felügyeleti listába és így az igénybevett szolgáltatás teljesítése megkezdődik.

FONTOS! Kérjük, hogy az adategyeztetés során csak a letöltött dokumentumot használják, és az adatrögzítés befejeztével a formátum és fájlkiterjesztés változtatása nélkül küldjék vissza azt!

Az adategyeztető dokumentum felépítése

Az adategyeztető dokumentum egy általános elektronikus munkafüzet, amely 5 munkalapból áll. Az egyes munkalapok különböző funkciókat látnak el.

Szervezet adatok

Itt kell megadni az érintett szervezettel kapcsolatos alapadatokat, valamint a szervezet által használt fő weboldal elérhetőségét.

A szervezeti adatok között Teljes név alatt általában a szervezet hivatalos megnevezését kell feltüntetni. Az érintett szervezet és az NBSZ NKI közötti kapcsolattartás jellemzően Hivatali Kapun keresztül történik, ugyanakkor nem minden szervezet rendelkezik ilyen elérhetőséggel. Ebben az esetben célszerű az egységes hivatkozás megteremtése érdekében a Magyar Államkincstár törzskönyvi nyilvántartásának megfelelő megnevezést használni. A Rövid megnevezés alatt általában a Teljes név hivatalos levelezésben alkalmazott rövidített formáját szükséges alkalmazni.

A Szervezet weboldala rovatban a szervezet által központiként használt weboldalának elérhetőségét kell feltüntetni, és ezt szerepeltetni kell az egyes Értesítési csoportok munkalapján is. A megjelölt URL alá szervezett egyéb, rendszerelemnek tekinthető szolgáltatást csak az Értesítési csoportokban kell felsorolni.

A Székhely adatok és a Levelezési cím adatok kitöltésekor tükrözni kell a törzskönyvi alapadatok között vagy az alapító okiratban szereplőket. Fennálló ideiglenes címadat esetén szintén ezt az elvet kell követni azzal a módosítással, hogy az NBSZ NKI részére külön emailben kell az ideiglenes jellegű adatokat megküldeni.

Adategyeztető alatt általában azt a személyt értjük, aki az adott szervezetnél az elektronikus információs rendszer biztonságért (a legtöbbször: IBF) vagy ennek hiányában az üzemeltetésért felelős.

Kapcsolattartói adatok

Itt kell megadni a megjelölt rendszerelemek életciklusa alatt a kapcsolattartásra kijelölt személyek kapcsolati adatait, valamint az egyes értesítési csoportokba tartozásukat.

A Kapcsolattartói adatok munkalapon fel kell sorolni mindazon természetes személyeket, akik számára a rendszer értesítési üzenetet küldjön.

A Beosztás kitöltése nem kötelező, de a hivatalos kapcsolattartáshoz érdemes megadni. A jövőben várható a titkosított üzenetküldés bevezetése, a PGP kulcs azonosítója rovat kitöltése ezért jelenleg opcionálisan választható.

Fontos még kiemelni, hogy ezen a munkalapon kell megadni az értesítésben érintett személyek egyes Értesítési csoporthoz való tartozását is.

Értesítési csoportok (1-3)

Itt kell megadni a felügyelet alá vont rendszerelemeket, a sérülékenységvizsgálat elvégzésének lehetséges intervallumát, valamint az értesítésben részt vevő elérhetőségeket.

Az ASR felügyeletével kapcsolatos értesítések vonatkozásában maximum 3 értesítési csoport alakítható ki, csoportonként maximum 3 megjelölt értesítési (értelemszerűen SMS vagy egyéb üzenet fogadására alkalmas) telefonszámmal. Az értesítési csoportok felhasználhatók különféle értesítési szintek definiálására, esetleg több rendszerelem esetén az egyes funkciótól függő szeparálásra. Minden értesítési csoport tekintetében kötelező megadni a felügyelet alá vonni szándékozott informatikai azonosítót hosztnév vagy IP cím vagy IP tartomány formájában.

A szervezet jogosult megjelölni a sérülékenységvizsgálat lefolytatásához irányt mutató időintervallumot, amely az alábbi lehet:

  • 1-28: a hónap során bármikor,
  • 1-14 vagy 15-28: a hónap 1. vagy 2. felében,
  • 1-7 vagy 8-14 vagy 15-21 vagy 22-28: a hónap 1. vagy 2. vagy 3. vagy 4. hetében,
  • illetve ezeken felül négynapos időintervallum is kiválasztható.

A Rendszer megnevezésébe célszerű rövid, beszédes megnevezéssel utalni a rendszerelem jellegére, továbbá a Szolgáltatás rovatban egyértelműen (pl.: „X”) megjelölni az ASR tevékenységével érintett szolgáltatás típusát.

Mindegyik munkalap esetében nagyon fontos, hogy a piros csillaggal (*) jelölt adatok megadása kötelező, a hiányosan kitöltött adategyeztető a szolgáltatás teljesítését akadályozhatja!