: +36 (1) 336 4840
: serulekenysegvizsgalat[@]nki.gov.hu
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (továbbiakban: NKI) a 271/2018. (XII. 20.) Korm. rendelet 22. § (1) bekezdése alapján 2015. szeptemberétől végez sérülékenységvizsgálati szolgáltatást az Ibtv. 2. § (1) bekezdése szerinti, továbbá a nemzetbiztonsági védelem alá eső állami és önkormányzati szervek elektronikus információs rendszereinek vonatkozásában.
A sérülékenységvizsgálat, vagy más néven etikus hekkelés az informatikai rendszerek gyenge pontjainak (pl. potenciális szoftverhibák, gyenge jelszavak, hibás beállítások) feltárására irányul, ezzel is átfogóbb képet adva a vizsgált rendszerek és / vagy rendszerelemek aktuális biztonsági állapotáról, ami kiinduló információként szolgálhat a kockázatok kezeléséhez, illetve az informatikai támadások elleni védekezéshez.
A rosszindulatú támadók a biztonsági rések adta lehetőségeket kihasználva akár jelentős károkat is okozhatnak, ezért a vizsgálati eredményekről készülő jelentésben az NKI minden esetben javaslatot tesz az azonosított sérülékenységek kijavítására.
A szükséges intézkedések elvégzése által nagy eséllyel megelőzhető a bizalmas és nélkülözhetetlen szervezeti adatok elvesztése, ellopása, továbbá megakadályozható az ezekhez való illegális hozzáférés.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete által végzett sérülékenységvizsgálati szolgáltatás TÉRÍTÉSMENTES.
A 271/2018. kormányrendelet alapján állami-, önkormányzati, vagy nemzetbiztonsági védelem alá eső szervezetek részére (2009/2015. (XII. 29.) Korm. határozat) sérülékenységvizsgálatot kizárólag a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet végezhet.
Vizsgálati irányultságok
– Külső vizsgálat (30 nap)
– Belső vizsgálat (90 nap)
– Webes vizsgálat (75 nap)
– Vezeték nélküli hálózat vizsgálat (30 nap)
– Pszichológiai manipuláció (90 nap)
A szolgáltatásokról részletes tájékoztatást a +36 1 336 4840-es telefonszámon, vagy a serulekenysegvizsgalat@nki.gov.hu e-mail címen kaphat.
Szükséges időintervallumok
A sérülékenységvizsgálat teljes körű elvégzéséhez legalább az alábbi naptári napon történő vizsgálat szükséges:
| Külső sérülékenységvizsgálat |
Belső sérülékenységvizsgálat |
Webes sérülékenységvizsgálat |
Vezeték nélküli hálózat sérülékenységvizsgálat |
|
|---|---|---|---|---|
| regisztrált felhasználói jogosultság nélküli vizsgálat (black-box) | 30 nap | 30 nap | 30 nap | 30 nap |
| regisztrált felhasználói jogosultsággal rendelkező vizsgálat (gray-box) | 60 nap | 60 nap | ||
| adminisztrátori jogosultsággal rendelkező vizsgálat (white-box) | 90 nap | 75 nap |
Eljárásrend
A szervezet a https://nki.gov.hu/serulekenysegvizsgalat/adategyezteto oldalon megtalálható adategyeztető dokumentum kitöltésével és megküldésével kezdeményezheti a sérülékenységvizsgálatot.
Az adategyeztetőt a vizsgálatot megelőzően legalább 60 nappal korábban kell megküldeni.
Az NBSZ NKI munkatársa felveszi a kapcsolatot a szervezet kijelölt kapcsolattartójával.
Az NBSZ NKI munkatársa elkészíti a sérülékenységvizsgálat elvégzéséhez szükséges Sérülékenységvizsgálati Alapdokumentumot.
A vizsgálat során az NBSZ NKI munkatársainak célja, hogy a lehető legtöbb sérülékenységet azonosítsák.
A vizsgálatok keretében a OWASP metodika kockázati-pontjait ellenőrzik.
A vizsgálat során feltárt sérülékenységeket állásfoglalásban összesítik, amely tartalmazza a hibák leírását, kihasználásuknak módját a javításukra is javaslatot tesznek.
A vizsgálat során feltárt sérülékenységeket a szakértők – a szervezet jelzését követően – utóellenőrzés keretében maximum 1 alkalommal visszaellenőrzik és azok állapotáról állásfoglalást készítenek. Az utóellenőrzés 1-8 napot vehet igénybe, amelynek időpontját az NBSZ NKI a szervezettel egyezteti.
A szolgáltatás iránti igényeket – a vizsgálatot megelőzően legalább 60 nappal – a online megkeresés formában fogadjuk. A megkereséshez kérjük kitöltve csatolja az adategyeztető nyomtatványt. A dokumentum kitöltéséhez az Adobe Acrobat Reader alkalmazást javasoljuk.
A beérkezett igények kapcsán munkatársaink felveszik Önökkel a kapcsolatot, majd adategyeztetést követően elkészítésre kerül a sérülékenységvizsgálati eljárást megalapozó dokumentáció, amelynek véleményezésére 8 nap áll a rendelkezésükre. A vizsgálatra csak ennek aláírását követően és a technikai feltételek biztosítása esetén kerülhet sor.
A vizsgálat célja, hogy a rendelkezésünkre álló idő alatt a lehető legtöbb sérülékenységet feltárjuk. A lezárást követően 8 napon belül elkészítjük állásfoglalásunkat, amelyek a feltárt hiányosságok kijavítására vonatkozó javaslatainkat is tartalmazzák majd. Igény esetén akár prezentáció keretében is ismertetjük a megállapításainkat.
Megjegyzés: A szolgáltatás során alkalmazott vizsgálati módszerekről, határidőkről a 271/2018. (XII. 20.) Korm. rendelet 22-29. §-ában olvashatnak bővebben.
Az állásfoglalás megküldését követően a 2013. évi L. törvény 18. § (7) alapján az érintett szervezet teendője, hogy feltárt hiányosságokról, a sérülékenységek megszüntetésére vonatkozó intézkedési tervről az illetékes hatóságot – az intézkedési terv hivatalos úton történő megküldésével – tájékoztassa.
Gyakran Ismételt Kérdések
Ki rendelheti meg a sérülékenységvizsgálati szolgáltatást?
A szolgáltatás megrendelésére a 2013. évi L. törvény és a 271/2018. kormányrendelet alá eső szervek munkatársai jogosultak.
A sérülékenységvizsgálati dokumentáció aláírására kizárólag a szervezet adatgazdai jogkörrel felruházott vezető beosztású (egyes esetekben projektgazda) munkatársa jogosult.
Mennyi ideig tart egy sérülékenységvizsgálat elvégzése?
A szolgáltatás iránti igényeket – a vizsgálatot megelőzően legalább 60 nappal – a serulekenysegvizsgalat@nki.gov.hu e-mail címen fogadjuk.
A vizsgálatoknál célszerű a maximális vizsgálati időkerettel kalkulálni, mert a rendszer komplexitásától függ a vizsgálat hossza.
Maximális vizsgálati időkeretek:
- külső vizsgálat: 30 nap
- belső vizsgálat: 90 nap
- webes vizsgálat: 75 nap
- vezeték nélküli vizsgálat: 30 nap
- pszichológiai manipulációs vizsgálat: 90 nap
A feltárt sérülékenységek közül melyikeket kell kijavítani az induláshoz?
A kritikus, illetve magas besorolású sérülékenységek javításához mindenképpen soron kívüli intézkedés szükséges mielőtt a rendszer éles indítása megkezdődik.
A közepes, valamint alacsony besorolású sérülékenységek javítása nélkül történő éles rendszerindítás kockázatot jelenthet, így ez az érintett szervezet döntése és felelőssége.
Mi a teendő egy sérülékenységvizsgálatot követően?
Meg kell tenni minden olyan intézkedést, amely a feltárt sérülékenységek javítására irányul!
Az érintett szervezet a 2013. évi L. törvény 18. § (7) alapján tudomásul veszi, hogy a feltárt hiányosságokról, a sérülékenységek megszüntetésére vonatkozó intézkedési tervről a vizsgálatok lezárását követően tájékoztatja az érintett Hatóságot.