Osztályba sorolás és védelmi intézkedés űrlap Rendszer: Őri Közös Önkormányzati Hivatal

Átírás

1 Összegzés Osztályba sorolás és védelmi intézkedés űrlap Rendszer: Őri Közös Önkormányzati Hivatal rövid neve: Az elektronikus információs rendszer Adatgazda: Őr Község Önkormányzata, Nyírparaszna Község Önkormányzata törzsszáma: létfontosságú létesítmény része: Adatkezelő: törzsszáma: Adatfeldolgozó: törzsszáma: nemzeti adatvagyont dolgoz fel: Üzemeltető: törzsszáma: Fejl. projekt: felhívás száma: Bizalmasság: 2 Verzió: 4.60 Sértetlenség: 2 Kiadva: Kitöltő neve: Rendelkezésre állás: 2 Forrás: 41/2015. (VII. 15.) BM rendelet 1., 3. és 4. melléklete Kitöltés dátuma: Biztonsági osztály: 2 Szerzők: Szilárd Zoltán, Benyó Pál, Juhász György, Simonyi Gyula Teljesített osztály: 1 Sorszám Védelmi intézkedés Megvalósult-e Teljesített osztály Tervezett dátum Tényleges dátum 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK 2 Nincs adat Nincs adat Szervezeti szintű alapfeladatok Nincs adat Nincs adat Kockázatelemzés Nincs adat Nincs adat Rendszer és szolgáltatás beszerzés Nincs adat Nincs adat Üzletmenet- (ügymenet-) folytonosság tervezése Nincs adat Nincs adat A biztonsági események kezelése Nincs adat Nincs adat Emberi tényezőket figyelembe vevő - személy - biztonság Nincs adat Nincs adat Tudatosság és képzés Nincs adat Nincs adat 3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK 2 Nincs adat Nincs adat 3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK 1 Nincs adat Nincs adat Általános védelmi intézkedések Nincs adat Nincs adat Tervezés Nincs adat Nincs adat Rendszer és szolgáltatás beszerzés Nincs adat Nincs adat Biztonsági elemzés Nincs adat Nincs adat Tesztelés, képzés és felügyelet Nincs adat Nincs adat Konfigurációkezelés Nincs adat Nincs adat Karbantartás Nincs adat Nincs adat Adathordozók védelme Nincs adat Nincs adat Azonosítás és hitelesítés Nincs adat Nincs adat Hozzáférés ellenőrzése Nincs adat Nincs adat Rendszer- és információsértetlenség Nincs adat Nincs adat Naplózás és elszámoltathatóság Nincs adat Nincs adat Rendszer- és kommunikációvédelem Nincs adat Nincs adat

2 Osztályba sorolás Őri Közös Önkormányzati Hivatal Pont Kérdés Bizalmasság Sértetlenség Rendelkezésre állás Osztály az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot; nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható; a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen; személyes adat sérülhet; az érintett szervezet üzlet-, vagy ügymenete szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat, vagy elektronikus információs rendszer sérülhet; a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető; a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át különleges személyes adat sérülhet, személyes adatok nagy mennyiségben sérülhetnek; az érintett szervezet üzlet-, vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet; a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek; a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át különleges személyes adat nagy mennyiségben sérülhet; személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket); az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet; a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni; a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át különleges személyes adat kiemelten nagy mennyiségben sérülhet; emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be; a nemzeti adatvagyon helyreállíthatatlanul megsérülhet; az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított; a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek; az érintett szervezet üzlet- vagy ügymenete szempontjából nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet; a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át. A fentiektől eltérő szempont szerint történt az osztályba sorolás, éspedig: Szempont: Bizalmasság Sértetlenség Rendelkezésre állás 4 5

3 3.1. értékelése 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK Megvalósult-e Tervezett dátum Tényleges dátum Szervezeti szintű alapfeladatok Nincs adat Nincs adat Informatikai biztonsági szabályzat Nincs adat Nincs adat Az elektronikus információs rendszerek biztonságáért felelős személy Nincs adat Nincs adat Az intézkedési terv és mérföldkövei Nincs adat Nincs adat Az elektronikus információs rendszerek nyilvántartása Nincs adat Nincs adat Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás Nincs adat Nincs adat Kockázatelemzés Nincs adat Nincs adat Kockázatelemzési és kockázatkezelési eljárásrend Nincs adat Nincs adat Biztonsági osztályba sorolás Nincs adat Nincs adat Kockázatelemzés Nincs adat Nincs adat Rendszer és szolgáltatás beszerzés Nincs adat Nincs adat Beszerzési eljárásrend Nincs adat Nincs adat Erőforrás igény felmérés Nincs adat Nincs adat Beszerzések Nincs adat Nincs adat A védelem szempontjainak érvényesítése a beszerzés során Nincs adat Nincs adat A védelmi intézkedések terv-, és megvalósítási dokumentációi Nincs adat Nincs adat Funkciók - protokollok - szolgáltatások Nincs adat Nincs adat Az elektronikus információs rendszerre vonatkozó dokumentáció Nincs adat Nincs adat Biztonságtervezési elvek Nincs adat Nincs adat Külső elektronikus információs rendszerek szolgáltatásai Nincs adat Nincs adat Független értékelők Nincs adat Nincs adat Folyamatos ellenőrzés Nincs adat Nincs adat Független értékelés Nincs adat Nincs adat Üzletmenet- (ügymenet-) folytonosság tervezése Nincs adat Nincs adat Üzletmenet-folytonosságra vonatkozó eljárásrend Nincs adat Nincs adat Üzletmenet-folytonossági terv informatikai erőforrás kiesésekre Nincs adat Nincs adat Egyeztetés Nincs adat Nincs adat Alapfunkciók újraindítása Nincs adat Nincs adat Kritikus rendszerelemek meghatározása Nincs adat Nincs adat Kapacitástervezés Nincs adat Nincs adat Összes funkció újraindítása Nincs adat Nincs adat Alapfeladatok és alapfunkciók folyamatossága Nincs adat Nincs adat A folyamatos működésre felkészítő képzés Nincs adat Nincs adat Szimuláció Nincs adat Nincs adat Az üzletmenet-folytonossági terv tesztelése Nincs adat Nincs adat Koordináció Nincs adat Nincs adat Tartalék feldolgozási helyszín Nincs adat Nincs adat Biztonsági tárolási helyszín Nincs adat Nincs adat Elkülönítés Nincs adat Nincs adat Üzletmenet-folytonosság elérhetőség Nincs adat Nincs adat Üzletmenetfolytonosság helyreállítás Nincs adat Nincs adat Tartalék feldolgozási helyszín Nincs adat Nincs adat Elkülönítés Nincs adat Nincs adat Elérhetőség Nincs adat Nincs adat Szolgáltatások priorálása Nincs adat Nincs adat Előkészület a működés megindítására Nincs adat Nincs adat Infokommunikációs szolgáltatások Nincs adat Nincs adat Szolgáltatások prioritása Nincs adat Nincs adat Közös hibalehetőségek kizárása Nincs adat Nincs adat Az elektronikus információs rendszer mentései Nincs adat Nincs adat Megbízhatósági és sértetlenségi teszt Nincs adat Nincs adat Helyreállítási teszt Nincs adat Nincs adat Kritikus információk elkülönítése Nincs adat Nincs adat Alternatív tárolási helyszín Nincs adat Nincs adat Az elektronikus információs rendszer helyreállítása és újraindítása Nincs adat Nincs adat Tranzakciók helyreállítása Nincs adat Nincs adat Helyreállítási idő Nincs adat Nincs adat A biztonsági események kezelése Nincs adat Nincs adat Biztonsági eseménykezelési eljárásrend Nincs adat Nincs adat Automatikus eseménykezelés Nincs adat Nincs adat Információ korreláció Nincs adat Nincs adat A biztonsági események figyelése Nincs adat Nincs adat Automatikus nyomon követés, adatgyűjtés és vizsgálat Nincs adat Nincs adat A biztonsági események jelentése Nincs adat Nincs adat Automatizált jelentés Nincs adat Nincs adat Segítségnyújtás a biztonsági események kezeléséhez Nincs adat Nincs adat Automatizált támogatás Nincs adat Nincs adat Biztonsági eseménykezelési terv Nincs adat Nincs adat Képzés a biztonsági események kezelésére Nincs adat Nincs adat Szimuláció Nincs adat Nincs adat Automatizált képzési környezet Nincs adat Nincs adat A biztonsági események kezelésének tesztelése Nincs adat Nincs adat Egyeztetés Nincs adat Nincs adat Emberi tényezőket figyelembe vevő - személy - biztonság Nincs adat Nincs adat Személybiztonsági eljárásrend Nincs adat Nincs adat Munkakörök, feladatok biztonsági szempontú besorolása Nincs adat Nincs adat A személyek ellenőrzése Nincs adat Nincs adat Eljárás a jogviszony megszűnésekor Nincs adat Nincs adat Az áthelyezések, átirányítások és kirendelések kezelése Nincs adat Nincs adat Az érintett szervezettel szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények Nincs adat Nincs adat Fegyelmi intézkedések Nincs adat Nincs adat Belső egyeztetés Nincs adat Nincs adat Viselkedési szabályok az interneten Nincs adat Nincs adat Tudatosság és képzés Nincs adat Nincs adat Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével és az e célt szolgáló ágazati szervezetekkel Nincs adat Nincs adat Képzési eljárásrend Nincs adat Nincs adat Biztonság tudatosság képzés Nincs adat Nincs adat Belső fenyegetés Nincs adat Nincs adat Szerepkör, vagy feladat alapú biztonsági képzés Nincs adat Nincs adat A biztonsági képzésre vonatkozó dokumentációk Nincs adat Nincs adat

4 3.2. értékelése 3.2. FIZIKAI VÉDELMI INTÉZKEDÉSEK Megvalósult-e Tervezett dátum Tényleges dátum Fizikai védelmi eljárásrend Nincs adat Nincs adat Fizikai belépési engedélyek Nincs adat Nincs adat A fizikai belépés ellenőrzése Nincs adat Nincs adat Hozzáférés az információs rendszerhez Nincs adat Nincs adat Hozzáférés az adatátviteli eszközökhöz és csatornákhoz Nincs adat Nincs adat A kimeneti eszközök hozzáférés ellenőrzése Nincs adat Nincs adat A fizikai hozzáférések felügyelete Nincs adat Nincs adat Behatolás riasztás, felügyeleti berendezések Nincs adat Nincs adat Az elektronikus információs rendszerekhez való hozzáférés felügyelete Nincs adat Nincs adat A látogatók ellenőrzése Nincs adat Nincs adat Automatizált látogatói információkezelés Nincs adat Nincs adat Áramellátó berendezések és kábelezés Nincs adat Nincs adat Tartalék áramellátás Nincs adat Nincs adat Hosszútávú tartalék áramellátás a minimálisan elvárt működési képességhez Nincs adat Nincs adat Vészkikapcsolás Nincs adat Nincs adat Vészvilágítás Nincs adat Nincs adat Tűzvédelem Nincs adat Nincs adat Automatikus tűzelfojtás Nincs adat Nincs adat Észlelő berendezések, rendszerek Nincs adat Nincs adat Tűzelfojtó berendezések, rendszerek Nincs adat Nincs adat Hőmérséklet és páratartalom ellenőrzés Nincs adat Nincs adat Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem Nincs adat Nincs adat Automatizált védelem Nincs adat Nincs adat Be- és kiszállítás Nincs adat Nincs adat Az elektronikus információs rendszer elemeinek elhelyezése Nincs adat Nincs adat Ellenőrzés Nincs adat Nincs adat Szállítási felügyelet Nincs adat Nincs adat Karbantartók Nincs adat Nincs adat Karbantartás fokozott biztonsági intézkedésekkel Nincs adat Nincs adat Időben történő javítás Nincs adat Nincs adat

5 3.3. értékelése 3.3. LOGIKAI VÉDELMI INTÉZKEDÉSEK Megvalósult-e Tervezett dátum Tényleges dátum Általános védelmi intézkedések Nincs adat Nincs adat Engedélyezés Nincs adat Nincs adat Az elektronikus információs rendszer kapcsolódásai Nincs adat Nincs adat Belső rendszerkapcsolatok Nincs adat Nincs adat Külső kapcsolódásokra vonatkozó korlátozások Nincs adat Nincs adat Személybiztonság Nincs adat Nincs adat Tervezés Nincs adat Nincs adat Biztonságtervezési szabályzat Nincs adat Nincs adat Rendszerbiztonsági terv Nincs adat Nincs adat Cselekvési terv Nincs adat Nincs adat Személyi biztonság Nincs adat Nincs adat Információbiztonsági architektúra leírás Nincs adat Nincs adat Rendszer és szolgáltatás beszerzés Nincs adat Nincs adat A rendszer fejlesztési életciklusa Nincs adat Nincs adat Funkciók, portok, protokollok, szolgáltatások Nincs adat Nincs adat Fejlesztői változáskövetés Nincs adat Nincs adat Fejlesztői biztonsági tesztelés Nincs adat Nincs adat Fejlesztési folyamat, szabványok és eszközök Nincs adat Nincs adat Fejlesztői oktatás Nincs adat Nincs adat Fejlesztői biztonsági architektúra és tervezés Nincs adat Nincs adat Biztonsági elemzés Nincs adat Nincs adat Biztonságelemzési eljárásrend Nincs adat Nincs adat Biztonsági értékelések Nincs adat Nincs adat Speciális értékelés Nincs adat Nincs adat A biztonsági teljesítmény mérése Nincs adat Nincs adat Tesztelés, képzés és felügyelet Nincs adat Nincs adat Tesztelési, képzési és felügyeleti eljárások Nincs adat Nincs adat A biztonsági teljesítmény mérése Nincs adat Nincs adat Sérülékenység-teszt Nincs adat Nincs adat Frissítési képesség Nincs adat Nincs adat Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően Nincs adat Nincs adat Privilegizált hozzáférés Nincs adat Nincs adat Felfedhető információk Nincs adat Nincs adat Konfigurációkezelés Nincs adat Nincs adat Konfigurációkezelési eljárásrend Nincs adat Nincs adat Alapkonfiguráció Nincs adat Nincs adat Áttekintések és frissítések Nincs adat Nincs adat Korábbi konfigurációk megőrzése Nincs adat Nincs adat Magas kockázatú területek konfigurálása Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat A konfigurációváltozások felügyelete (változáskezelés) Nincs adat Nincs adat Előzetes tesztelés és megerősítés Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat Biztonsági hatásvizsgálat Nincs adat Nincs adat Elkülönített tesztkörnyezet Nincs adat Nincs adat A változtatásokra vonatkozó hozzáférés korlátozások Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat Felülvizsgálat Nincs adat Nincs adat Aláírt elemek Nincs adat Nincs adat Konfigurációs beállítások Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat Reagálás jogosulatlan változásokra Nincs adat Nincs adat Legszűkebb funkcionalitás Nincs adat Nincs adat Rendszeres felülvizsgálat Nincs adat Nincs adat futtatható szoftverek Nincs adat Nincs adat Futtatható szoftverek Nincs adat Nincs adat Elektronikus információs rendszerelem leltár Nincs adat Nincs adat Frissítés Nincs adat Nincs adat Jogosulatlan elemek automatikus észlelése Nincs adat Nincs adat Duplikálás elleni védelem Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat Naplózás Nincs adat Nincs adat Konfigurációkezelési terv Nincs adat Nincs adat A szoftverhasználat korlátozásai Nincs adat Nincs adat A felhasználó által telepített szoftverek Nincs adat Nincs adat Karbantartás Nincs adat Nincs adat Rendszer karbantartási eljárásrend Nincs adat Nincs adat Rendszeres karbantartás Nincs adat Nincs adat Automatikus támogatás Nincs adat Nincs adat Karbantartási eszközök Nincs adat Nincs adat Adathordozó ellenőrzés Nincs adat Nincs adat Távoli karbantartás Nincs adat Nincs adat Dokumentálás Nincs adat Nincs adat Összehasonlítható biztonság Nincs adat Nincs adat Adathordozók védelme Nincs adat Nincs adat Adathordozók védelmére vonatkozó eljárásrend Nincs adat Nincs adat Hozzáférés az adathordozókhoz Nincs adat Adathordozók címkézése Nincs adat Nincs adat Adathordozók tárolása Nincs adat Nincs adat Adathordozók szállítása Nincs adat Nincs adat Kriptográfiai védelem Nincs adat Nincs adat Adathordozók törlése Nincs adat Nincs adat Ellenőrzés Nincs adat Nincs adat Tesztelés Nincs adat Nincs adat Törlés megsemmisítés nélkül Nincs adat Nincs adat Adathordozók használata Nincs adat Nincs adat Ismeretlen tulajdonos Nincs adat Nincs adat Azonosítás és hitelesítés Nincs adat Nincs adat Azonosítási és hitelesítési eljárásrend Nincs adat Nincs adat Azonosítás és hitelesítés Nincs adat Nincs adat Hálózati hozzáférés privilegizált fiókokhoz Nincs adat Nincs adat Hálózati hozzáférés nem privilegizált fiókokhoz Nincs adat Nincs adat Helyi hozzáférés privilegizált fiókokhoz Nincs adat Nincs adat Visszajátszás-védelem Nincs adat Nincs adat Távoli hozzáférés - külön eszköz Nincs adat Nincs adat Helyi hozzáférés nem privilegizált fiókokhoz Nincs adat Nincs adat Visszajátszás ellen védett hálózati hozzáférés nem privilegizált fiókokhoz Nincs adat Nincs adat Eszközök azonosítása és hitelesítése Nincs adat Nincs adat Azonosító kezelés Nincs adat Nincs adat A hitelesítésre szolgáló eszközök kezelése Nincs adat Nincs adat Jelszó (tudás) alapú hitelesítés Nincs adat Nincs adat Birtoklás alapú hitelesítés Nincs adat Nincs adat Tulajdonság alapú hitelesítés Nincs adat Nincs adat Személyes vagy megbízható harmadik fél általi regisztráció Nincs adat Nincs adat A hitelesítésre szolgáló eszköz visszacsatolása Nincs adat Nincs adat Hitelesítés kriptográfiai modul esetén Nincs adat Nincs adat Azonosítás és hitelesítés (szervezeten kívüli felhasználók) Nincs adat Nincs adat Hitelesítésszolgáltatók tanúsítványának elfogadása Nincs adat Nincs adat Hozzáférés ellenőrzése Nincs adat Nincs adat Hozzáférés ellenőrzési eljárásrend Nincs adat Nincs adat Felhasználói fiókok kezelése Nincs adat Nincs adat Automatikus kezelés Nincs adat Nincs adat Ideiglenes fiókok eltávolítása Nincs adat Nincs adat Inaktív fiókok letiltása Nincs adat Nincs adat Automatikus naplózás Nincs adat Nincs adat Kiléptetés Nincs adat Nincs adat Szokatlan használat Nincs adat Nincs adat Letiltás Nincs adat Nincs adat Hozzáférés ellenőrzés érvényesítése Nincs adat Nincs adat Információáramlás ellenőrzés érvényesítése Nincs adat Nincs adat A felelősségek szétválasztása Nincs adat Nincs adat Legkisebb jogosultság elve Nincs adat Nincs adat Jogosult hozzáférés a biztonsági funkciókhoz Nincs adat Nincs adat privilegizált hozzáférés a biztonsági funkciókhoz Nincs adat Nincs adat Privilegizált fiókok Nincs adat Nincs adat Privilegizált funkciók használatának naplózása Nincs adat Nincs adat Privilegizált funkciók tiltása nem privilegizált felhasználóknak Nincs adat Nincs adat Hálózati hozzáférés a privilegizált parancsokhoz Nincs adat Nincs adat Sikertelen bejelentkezési kísérletek Nincs adat Nincs adat A rendszerhasználat jelzése Nincs adat Nincs adat Egyidejű munkaszakasz kezelés Nincs adat Nincs adat A munkaszakasz zárolása Nincs adat Nincs adat Képernyőtakarás Nincs adat Nincs adat A munkaszakasz lezárása Nincs adat Nincs adat Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek Nincs adat Nincs adat Távoli hozzáférés Nincs adat Nincs adat Ellenőrzés Nincs adat Nincs adat Titkosítás Nincs adat Nincs adat Hozzáférés ellenőrzési pontok Nincs adat Nincs adat Privilegizált parancsok elérése Nincs adat Nincs adat Vezeték nélküli hozzáférés Nincs adat Nincs adat Hitelesítés és titkosítás Nincs adat Nincs adat Felhasználó konfigurálás tiltása Nincs adat Nincs adat Antennák Nincs adat Nincs adat Mobil eszközök hozzáférés ellenőrzése Nincs adat Nincs adat Titkosítás Nincs adat Nincs adat Külső elektronikus információs rendszerek használata Nincs adat Nincs adat Korlátozott használat Nincs adat Nincs adat Hordozható adattároló eszközök Nincs adat Nincs adat Információmegosztás Nincs adat Nincs adat Nyilvánosan elérhető tartalom Nincs adat Nincs adat Rendszer- és információsértetlenség Nincs adat Nincs adat Rendszer- és információsértetlenségre vonatkozó eljárásrend Nincs adat Nincs adat Hibajavítás Nincs adat Nincs adat Automatizált hibajavítási állapot Nincs adat Nincs adat Központi kezelés Nincs adat Nincs adat Kártékony kódok elleni védelem Nincs adat Nincs adat Központi kezelés Nincs adat Nincs adat Automatikus frissítés Nincs adat Nincs adat Az elektronikus információs rendszer felügyelete Nincs adat Nincs adat Automatizálás Nincs adat Nincs adat Felügyelet Nincs adat Nincs adat Riasztás Nincs adat Nincs adat Biztonsági riasztások és tájékoztatások Nincs adat Nincs adat Automatikus riasztások Nincs adat Nincs adat A biztonsági funkcionalitás ellenőrzése Nincs adat Nincs adat Szoftver- és információsértetlenség Nincs adat Nincs adat Sértetlenség ellenőrzés Nincs adat Nincs adat Észlelés és reagálás Nincs adat Nincs adat Automatikus értesítés Nincs adat Nincs adat Automatikus reagálás Nincs adat Nincs adat Végrehajtható kód Nincs adat Nincs adat Kéretlen üzenetek elleni védelem Nincs adat Nincs adat Központi kezelés Nincs adat Nincs adat Frissítés Nincs adat Nincs adat Bemeneti információ ellenőrzés Nincs adat Nincs adat Hibakezelés Nincs adat Nincs adat A kimeneti információ kezelése és megőrzése Nincs adat Nincs adat Memóriavédelem Nincs adat Nincs adat Naplózás és elszámoltathatóság Nincs adat Nincs adat Naplózási eljárásrend Nincs adat Nincs adat Naplózható események Nincs adat Nincs adat Felülvizsgálat Nincs adat Nincs adat Naplóbejegyzések tartalma Nincs adat Nincs adat Kiegészítő információk Nincs adat Nincs adat Központi kezelés Nincs adat Nincs adat Napló tárkapacitás Nincs adat Nincs adat Naplózási hiba kezelése Nincs adat Nincs adat Naplózási tárhely ellenőrzés Nincs adat Nincs adat Valósidejű riasztás Nincs adat Nincs adat Naplóvizsgálat és jelentéskészítés Nincs adat Nincs adat Folyamatba illesztés Nincs adat Nincs adat Összegzés Nincs adat Nincs adat Felügyeleti képességek integrálása Nincs adat Nincs adat Összekapcsolás a fizikai hozzáférési információkkal Nincs adat Nincs adat Naplócsökkentés és jelentéskészítés Nincs adat Nincs adat Automatikus feldolgozás Nincs adat Nincs adat Időbélyegek Nincs adat Nincs adat Szinkronizálás Nincs adat Nincs adat A naplóinformációk védelme Nincs adat Nincs adat Hozzáférés korlátozása Nincs adat Nincs adat Fizikailag elkülönített mentés Nincs adat Nincs adat Kriptográfiai védelem Nincs adat Nincs adat Letagadhatatlanság Nincs adat Nincs adat A naplóbejegyzések megőrzése Nincs adat Nincs adat Naplógenerálás Nincs adat Nincs adat Rendszerszintű időalap napló Nincs adat Nincs adat Változtatások Nincs adat Nincs adat Rendszer- és kommunikációvédelem Nincs adat Nincs adat Rendszer- és kommunikációvédelmi eljárásrend Nincs adat Nincs adat Alkalmazás szétválasztás Nincs adat Nincs adat Biztonsági funkciók elkülönítése Nincs adat Nincs adat Információmaradványok Nincs adat Nincs adat Túlterhelés - szolgáltatás megtagadás alapú támadás - elleni védelem Nincs adat Nincs adat A határok védelme Nincs adat Nincs adat Hozzáférési pontok Nincs adat Nincs adat Külső kommunikációs szolgáltatások Nincs adat Nincs adat Alapeseti visszautasítás Nincs adat Nincs adat Távoli készülékek megosztott csatornahasználatának tiltása Nincs adat Nincs adat Hitelesített proxy kiszolgálók Nincs adat Nincs adat Biztonsági hibaállapot Nincs adat Nincs adat Rendszerelemek elkülönítése Nincs adat Nincs adat Az adatátvitel bizalmassága Nincs adat Nincs adat Kriptográfiai vagy egyéb védelem Nincs adat Nincs adat Az adatátvitel sértetlensége Nincs adat Nincs adat Kriptográfiai vagy egyéb védelem Nincs adat Nincs adat A hálózati kapcsolat megszakítása Nincs adat Nincs adat Kriptográfiai kulcs előállítása és kezelése Nincs adat Nincs adat Rendelkezésre állás Nincs adat Nincs adat Kriptográfiai védelem Nincs adat Nincs adat Együttműködésen alapuló számítástechnikai eszközök Nincs adat Nincs adat Nyilvános kulcsú infrastruktúra tanúsítványok Nincs adat Nincs adat Mobilkód korlátozása Nincs adat Nincs adat Elektronikus információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) Nincs adat Nincs adat Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) Nincs adat Nincs adat Biztonságos név/cím feloldó szolgáltatás (úgynevezett rekurzív vagy gyorsító tárat használó Nincs adat Nincs adat feloldás) Architektúra és tartalékok név/cím feloldási szolgáltatás esetén Nincs adat Nincs adat Munkaszakasz hitelessége Nincs adat Nincs adat Hibát követő ismert állapot Nincs adat Nincs adat A maradvány információ védelme Nincs adat Nincs adat A folyamatok elkülönítése Nincs adat Nincs adat

6 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK Kötelező-e Megvalósult-e Tervezés Megvalósítás SZERVEZETI SZINTŰ ALAPFELADATOK Dátum Dokumentum Oldalszám Dátum Dokumentum Oldalszám Informatikai biztonsági szabályzat X X X X X Nincs adat Nincs adat Az érintett szervezet: szervezeten belül kihirdeti az informatikai biztonsági szabályzatot; más belső szabályozásában, vagy magában az informatikai biztonsági szabályzatban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát; gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, módosítható Az informatikai biztonsági szabályzatban meg kell határozni: a célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően területi) hatályát; az elektronikus információbiztonsággal kapcsolatos szerepköröket; a szerepkörhöz rendelt tevékenységet; a tevékenységhez kapcsolódó felelősséget; az információbiztonság szervezetrendszerének belső együttműködését Az informatikai biztonsági szabályzat elsősorban a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza: kockázatelemzés (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz); biztonsági helyzet-, és eseményértékelés eljárási rendje; az elektronikus információs rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzés (amennyiben az érintett szervezet ilyet végez, vagy végezhet); biztonsággal kapcsolatos tervezés (például: beszerzés, fejlesztés, eljárásrendek kialakítását); fizikai és környezeti védelem szabályai, jellemzői; az emberi erőforrásokban rejlő veszélyek megakadályozása (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.); az informatikai biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak, munkavállalóinak, megbízottjainak tekintetében; az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatok, elvárások, jogok (amennyiben az érintett szervezetnél ez értelmezhető); üzlet-, ügy- vagy üzemmenet folytonosság tervezése (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.); az elektronikus információs rendszerek karbantartásának rendje; az adathordozók fizikai és logikai védelmének szabályozása; az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárás, és a hozzáférési szabályok betartásának ellenőrzése; amennyiben az érintett szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelése, az értékelés eredményétől függő eljárások meghatározása; az adatok mentésének, archiválásának rendje, a biztonsági események - ideértve az adatok sérülését is - bekövetkeztekor követendő eljárás, ideértve a helyreállítást; az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét szabályozó (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az elektronikus információbiztonságot érintő, szerződéskötés során érvényesítendő követelmények Az informatikai biztonsági szabályzat tartalmazza az érintett szervezet elvárt biztonsági szintjét, valamint az érintett szervezet egyes elektronikus információs rendszereinek elvárt biztonsági osztályát Az elektronikus információs rendszerek biztonságáért felelős személy X X X X X Nincs adat Nincs adat Az érintett szervezet vezetője az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki ellátja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény (a továbbiakban: Ibtv.) 13. -ában meghatározott feladatokat Az intézkedési terv és mérföldkövei 0 X X X X Nincs adat Nincs adat Az érintett szervezet: intézkedési tervet készít, ebben mérföldköveket határoz meg; meghatározott időnként felülvizsgálja és karbantartja az intézkedési tervet: a kockázatkezelési stratégia és a kockázatokra adott válasz tevékenységek prioritása alapján; ha az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetése érdekében; ha a meghatározott biztonsági szint alacsonyabb, mint az érintett szervezetre érvényes szint, a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, az előírt biztonsági szint elérése érdekében Az elektronikus információs rendszerek nyilvántartása X X X X X Nincs adat Nincs adat Az érintett szervezet: elektronikus információs rendszereiről nyilvántartást vezet; folyamatosan aktualizálja a nyilvántartást A nyilvántartás minden rendszerre nézve tartalmazza: annak alapfeladatait; a rendszerek által biztosítandó szolgáltatásokat; az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szervezet kezelésében vannak); a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait; a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás X X X X X Nincs adat Nincs adat Az elektronikus információbiztonsággal kapcsolatos engedélyezés kiterjed minden, az érintett szervezet hatókörébe tartozó: emberi, fizikai és logikai erőforrásra; eljárási és védelmi követelményszintre és folyamatra.

7 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK Követelmény Megvalósult-e Tervezés Megvalósítás KOCKÁZATELEMZÉS Dátum Dokumentum Oldalszám Dátum Dokumentum Oldalszám Kockázatelemzési és kockázatkezelési eljárásrend X X X X X Nincs adat Nincs adat Az érintett szervezet: szervezeten belül kihirdeti a kockázatelemzési és kockázatkezelési eljárásrendet, mely a kockázatelemzési és kockázatkezelési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő; belső szabályozásában, vagy magában a kockázatelemzési és kockázatkezelési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési és kockázatkezelési eljárásrend felülvizsgálatának és frissítésének gyakoriságát Az eljárásrend kiterjed: a lehetséges kockázatok felmérésére; a kockázatok kezelésének felelősségére; a kockázatok kezelésének elvárt minőségére Biztonsági osztályba sorolás X X X X X Nincs adat Nincs adat Az érintett szervezet: jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit, és a pont szerinti nyilvántartás alapján meghatározza, hogy azok melyik biztonsági osztályba sorolandók; vezetője jóváhagyja a biztonsági osztályba sorolást; rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában Elvárás: a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell K végezni; K K K K kapcsolódást kell biztosítani a pontban foglalt intézkedési tervhez és mérföldköveihez Kockázatelemzés X X X X X Nincs adat Nincs adat Az érintett szervezet: végrehajtja a biztonsági kockázatelemzéseket; rögzíti a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, K vagy a kockázatelemzési eljárásrendben előírt dokumentumban; K K K K a kockázatelemzési eljárásrendnek megfelelően felülvizsgálja a kockázatelemzések eredményét; a kockázatelemzési eljárásrendnek megfelelően, vagy a pont szerinti informatikai biztonsági szabályzata K keretében megismerteti a kockázatelemzés eredményét az érintettekkel; K K K K amikor változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre; gondoskodik arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne legyenek megismerhetők.

8 Követelmény Tervezés Megvalósítás 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK Megvalósult-e RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS Dátum Dokumentum Oldalszám Dátum Dokumentum Oldalszám Jelen címben meghatározott eljárásokat abban az esetben nem kell bevezetni az érintett szervezetnél, ha saját hatókörében informatikai szolgáltatást, vagy eszközöket nem szerez be, és nem végez, vagy végeztet rendszerfejlesztési tevékenységet (ide nem értve a jellemzően kis értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, vagy azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, vagy az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket). Jelen fejezet alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható szoftverek beszerzése és frissítése Beszerzési eljárásrend 0 0 X X X Nincs adat Nincs adat Az érintett szervezet: szervezeten belül kihirdeti a beszerzési eljárásrendet, mely az érintett szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére N N K K K vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő; a beszerzési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti N N K K K a beszerzési eljárásrendet Erőforrás igény felmérés 0 0 X X X Nincs adat Nincs adat Az érintett szervezet: az elektronikus információs rendszerre és annak szolgáltatásaira vonatkozó biztonsági követelmények teljesítése érdekében meghatározza, és dokumentálja, valamint biztosítja az elektronikus információs rendszer és annak N N K K K szolgáltatásai védelméhez szükséges erőforrásokat, a beruházás, vagy költségvetési tervezés részeként; elkülönítetten kezeli az elektronikus információs rendszerek biztonságát beruházás, vagy költségvetési tervezési N N K K K dokumentumaiban Beszerzések 0 0 X X X Nincs adat Nincs adat Az érintett szervezet az elektronikus információs rendszerre, rendszerelemre vagy szolgáltatásra irányuló beszerzési (ideértve a fejlesztést, az adaptálást, a beszerzéshez kapcsolódó rendszerkövetést, vagy karbantartást is) szerződéseiben szerződéses követelményként meghatározza: a funkcionális biztonsági követelményeket; N N K K K a garanciális biztonsági követelményeket (pl. a biztonságkritikus termékekre elvárt garanciaszint); N N K K K a biztonsággal kapcsolatos dokumentációs követelményeket; N N K K K a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó követelményeket; N N K K K az elektronikus információs rendszer fejlesztési környezetére és tervezett üzemeltetési környezetére vonatkozó N N K K K előírásokat A védelem szempontjainak érvényesítése a beszerzés során X X Nincs adat Nincs adat Az érintett szervezet védi az elektronikus információs rendszert, rendszerelemet vagy rendszerszolgáltatást a beszerzés, vagy a beszerzett eszköz beillesztéséből adódó kockázatok ellen. N N N K K Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és N N N K K bocsássa rendelkezésére az alkalmazandó védelmi intézkedések funkcionális tulajdonságainak a leírását A védelmi intézkedések terv-, és megvalósítási dokumentációi X X Nincs adat Nincs adat Az érintett szervezet szerződéses követelményként meghatározza a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi intézkedések terv- és megvalósítási dokumentációit, köztük a N N N K K biztonsággal kapcsolatos külső rendszer interfészek leírását, a magas és alacsony szintű biztonsági tervet, - ha azzal a szállító rendelkezik - a forráskódot és futtatókörnyezetet Funkciók - protokollok - szolgáltatások X X Nincs adat Nincs adat Az érintett szervezet szerződéses rendelkezésként megköveteli a fejlesztőtől, szállítótól, hogy már a fejlesztési N N N K K életciklus korai szakaszában meghatározza a használatra tervezett funkciókat, protokollokat és szolgáltatásokat Az elektronikus információs rendszerre vonatkozó dokumentáció 0 0 X X X Nincs adat Nincs adat Az érintett szervezet: ha hatókörébe tartozik, megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre, vagy rendszerszolgáltatásra vonatkozó adminisztrátori dokumentációt, amely tartalmazza: a rendszer, rendszerelem vagy rendszer szolgáltatás biztonságos konfigurálását, telepítését és üzemeltetését, N N K K K a biztonsági funkciók hatékony alkalmazását és fenntartását, N N K K K a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció átadásakor ismert N N K K K sérülékenységeket; megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre vagy rendszerszolgáltatásra vonatkozó felhasználói dokumentációt, amely tartalmazza: a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját, N N K K K a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit, N N K K K a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának N N K K K a fenntartásához; gondoskodik arról, hogy az információs rendszerre vonatkozó különösen az adminisztrátori és fejlesztői N N K K K dokumentáció jogosulatlanok számára ne legyen megismerhető, módosítható; gondoskodik a dokumentációknak az érintett szervezet által meghatározott szerepköröket betöltő személyek által, N N K K K vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről Biztonságtervezési elvek X X Nincs adat Nincs adat Az érintett szervezet biztonságtervezési elveket dolgoz ki és alkalmaz az elektronikus információs rendszer N N N K K specifikációjának meghatározása, tervezése, fejlesztése, kivitelezése és módosítása során Külső elektronikus információs rendszerek szolgáltatásai 0 X X X X Nincs adat Nincs adat Az érintett szervezet: szerződéses kötelezettségként követeli meg, hogy a szolgáltatási szerződés alapján általa igénybe vett elektronikus információs rendszerek szolgáltatásai megfeleljenek az érintett szervezet elektronikus információbiztonsági követelményeinek; meghatározza és dokumentálja az érintett szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban; külső és belső ellenőrzési eszközökkel ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket Független értékelők X X Nincs adat Nincs adat Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmaz a védelmi intézkedések N N N K K Folyamatos ellenőrzés 0 0 X X X Nincs adat Nincs adat Az érintett szervezet folyamatba épített ellenőrzést vagy ellenőrzési tervet hajt végre, amely tartalmazza: az ellenőrizendő területeket; N N K K K az ellenőrzések, valamint az ellenőrzéseket támogató értékelések gyakoriságát; N N K K K az érintett szervezet ellenőrzési stratégiájához illeszkedő folyamatos biztonsági értékeléseket; N N K K K a mérőszámok megfelelőségét; N N K K K N N K K K az értékelések és az ellenőrzések által generált biztonsággal kapcsolatos adatok összehasonlító elemzését; az érintett szervezet reagálását a biztonsággal kapcsolatos adatok elemzésének eredményére; N N K K K az érintett szervezet döntését arról, hogy milyen gyakorisággal kell az elemzési adatokat általa meghatározott N N K K K személyi- és szerepkörökkel megismertetni (ideértve azok változásait is) Független értékelés X X Nincs adat Nincs adat Az érintett szervezet független értékelőket vagy értékelő csoportokat alkalmazhat az elektronikus információs N N N K K rendszer védelmi intézkedéseinek folyamatos ellenőrzésére.

9 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK Követelmény Megvalósult-e Tervezés Megvalósítás ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE Dátum Dokumentum Oldalszám Dátum Dokumentum Oldalszám Üzletmenet-folytonosságra vonatkozó eljárásrend 0 X X X X Nincs adat Nincs adat Az érintett szervezet: szervezeten belül az érintett személyi kör részére kihirdeti az elektronikus információs rendszerre vonatkozó eljárásrendet, mely az üzletmenet-folytonosságra vonatkozó szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő; az üzletmenet-folytonossági tervben, vagy más szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti az üzletmenet-folytonosságra vonatkozó eljárásrendet Üzletmenet-folytonossági terv informatikai erőforrás kiesésekre 0 X X X X Nincs adat Nincs adat Az érintett szervezet: szervezeten belül kizárólag a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyek és szervezeti egységek számára kihirdeti az elektronikus információs rendszerekre vonatkozó üzletmenet-folytonossági tervet; összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági események kezelésével; meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszerhez kapcsolódó üzletmenetfolytonossági tervet; az elektronikus információs rendszer vagy a működtetési környezet változásainak, az üzletmenet-folytonossági terv megvalósítása, végrehajtása vagy tesztelése során felmerülő problémáknak megfelelően aktualizálja az üzletmenetfolytonossági tervet; tájékoztatja az üzletmenet-folytonossági terv változásairól a folyamatos működés szempontjából kulcsfontosságú, névvel vagy szerepkörrel azonosított személyeket és szervezeti egységeket; gondoskodik arról, hogy az üzletmenet-folytonossági terv jogosulatlanok számára ne legyen megismerhető, módosítható; meghatározza az alapfeladatokat (biztosítandó szolgáltatásokat) és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket; rendelkezik a helyreállítási feladatokról, a helyreállítási prioritásokról és mértékekről; jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket; fenntartja a szervezet által előzetesen definiált alapszolgáltatásokat, még az elektronikus információs rendszer összeomlása, kompromittálódása vagy hibája ellenére is; kidolgozza a végleges, teljes elektronikus információs rendszer helyreállításának tervét úgy, hogy az nem ronthatja le az eredetileg tervezett és megvalósított biztonsági védelmeket Egyeztetés X X Nincs adat Nincs adat Az üzletmenet-folytonossági tervet egyeztetni kell a kapcsolódó, hasonló tervekért felelős szervezeti egységekkel. N N N K K Alapfunkciók újraindítása X X Nincs adat Nincs adat Meg kell határozni az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását N N N K K követőn Kritikus rendszerelemek meghatározása X X Nincs adat Nincs adat Meg kell határozni az elektronikus információs rendszer alapfunkcióit támogató kritikus rendszerelemeket. N N N K K Kapacitástervezés X Nincs adat Nincs adat Meg kell tervezni a folyamatos működéshez szükséges információ-feldolgozó, infokommunikációs és környezeti N N N N K képességek biztosításához szükséges kapacitást Összes funkció újraindítása X Nincs adat Nincs adat Meg kell határozni az összes funkció újrakezdésének időpontját az üzletmenet-folytonossági terv aktiválását N N N N K követően Alapfeladatok és alapfunkciók folyamatossága X Nincs adat Nincs adat Az alapfeladatok és alapfunkciók folyamatosságát úgy kell megtervezni, hogy azok üzemelési folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő, fenntartható legyen a folyamatosság az elektronikus információs N N N N K rendszer elsődleges feldolgozó vagy tárolási helyszínén történő teljes helyreállításáig A folyamatos működésre felkészítő képzés 0 0 X X X Nincs adat Nincs adat Az érintett szervezet az elektronikus információs rendszer folyamatos működésére felkészítő képzést tart a felhasználóknak, szerepkörüknek és felelősségüknek megfelelően: szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül; N N K K K meghatározott gyakorisággal, vagy amikor az elektronikus információs rendszer változásai ezt szükségessé teszik. N N K K K Szimuláció X Nincs adat Nincs adat A folyamatos működésre felkészítő képzésben szimulált eseményeket kell alkalmazni, hogy elősegítse a személyzet N N N N K hatékony reagálását a kritikus helyzetekben Az üzletmenet-folytonossági terv tesztelése X X Nincs adat Nincs adat Az érintett szervezet: meghatározott gyakorisággal és meghatározott teszteken keresztül vizsgálja az elektronikus információs rendszerre vonatkozó üzletmenet-folytonossági tervet a terv hatékonyságának és az érintett szervezet felkészültségének a N N N K K felmérése céljából; értékeli az üzletmenet-folytonossági terv tesztelési eredményeit; N N N K K az értékelés alapján szükség esetén javítja a tervet, a javításokkal kapcsolatban az üzletmenet-folytonossági tervre N N N K K vonatkozó általános eljárási szabályok szerint jár el Koordináció X X Nincs adat Nincs adat Az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel egyeztetni kell. N N N K K Tartalék feldolgozási helyszín X X Nincs adat Nincs adat Az üzletmenet folytonossági tervet a tartalék feldolgozási helyszínen is tesztelni kell, hogy az érintett szervezet megismerje az adottságokat, és az elérhető erőforrásokat, valamint értékelje a tartalék feldolgozási helyszín N N N K K képességeit a folyamatos működés támogatására Biztonsági tárolási helyszín X X Nincs adat Nincs adat Az érintett szervezet kijelöl egy biztonsági tárolási helyszínt, ahol az elektronikus információs rendszer mentéseinek N N N K K másodlatát az elsődleges helyszínnel azonos módon, és biztonsági feltételek mellett tárolja Elkülönítés X X Nincs adat Nincs adat A biztonsági tárolási helyszínnek el kell különülni az elsődleges tárolás helyszínétől, az azonos veszélyektől való N N N K K érzékenység csökkentése érdekében Üzletmenet-folytonosság elérhetőség X X Nincs adat Nincs adat A biztonsági tárolási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás vagy N N N K K katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni Üzletmenetfolytonosság helyreállítás X Nincs adat Nincs adat A biztonsági tárolási helyszínt úgy kell kialakítani, hogy az elősegítse a helyreállítási tevékenységeket, összhangban a N N N N K helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal Tartalék feldolgozási helyszín X X Nincs adat Nincs adat Az érintett szervezet: kijelöl egy tartalék feldolgozási helyszínt azért, hogy ha az elsődleges feldolgozási képesség nem áll rendelkezésére, elektronikus információs rendszere előre meghatározott műveleteit, előre meghatározott időn belül - összhangban N N N K K a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal - a tartalék helyszínen újra kezdhesse, vagy folytathassa; biztosítja, hogy a működés újrakezdéséhez, vagy folytatásához szükséges eszközök és feltételek a tartalék N N N K K feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak; biztosítja, hogy a tartalék feldolgozási helyszín informatikai biztonsági intézkedései egyenértékűek legyenek az N N N K K elsődleges helyszínen alkalmazottakkal Elkülönítés X Nincs adat Nincs adat Olyan tartalék feldolgozási helyszínt kell kijelölni, amely elkülönül az elsődleges feldolgozás helyszínétől, az azonos N N N N K veszélyektől való érzékenység csökkentése érdekében Elérhetőség X Nincs adat Nincs adat Az alternatív feldolgozási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő rombolás N N N N K vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni Szolgáltatások priorálása X Nincs adat Nincs adat A tartalék feldolgozási helyszínre vonatkozóan olyan megállapodásokat kell kötni, intézkedéseket kell bevezetni, amelyek a szervezet rendelkezésre állási követelményeivel (köztük a helyreállítási idő célokkal) összhangban álló N N N N K szolgáltatás-prioritási rendelkezéseket tartalmaznak Előkészület a működés megindítására X Nincs adat Nincs adat Az érintett szervezet úgy készíti fel a tartalék feldolgozási helyszínt, hogy az meghatározott időn belül készen álljon N N N N K az alapfunkciók működésének támogatására Infokommunikációs szolgáltatások X X Nincs adat Nincs adat Az érintett szervezet - a zeti Távközlési Gerinchálózatra csatlakozó elektronikus információs rendszerek kivételével - tartalék infokommunikációs szolgáltatásokat létesít, erre vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az elektronikus információs rendszer alapfunkciói, vagy meghatározott műveletek számára N N N K K azok meghatározott időtartamon belüli újrakezdését, amennyiben az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék feldolgozási vagy tárolási helyszínen Szolgáltatások prioritása X X Nincs adat Nincs adat Amennyiben az elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül sor, az tartalmazza a szolgáltatás-prioritási rendelkezéseket, a szervezet rendelkezésre állási követelményeivel N N N K K (köztük a helyreállítási idő célokkal) összhangban Közös hibalehetőségek kizárása X X Nincs adat Nincs adat Olyan tartalék infokommunikációs szolgáltatásokat kell igénybe venni, melyek csökkentik az elsődleges N N N K K infokommunikációs szolgáltatásokkal közös hibalehetőségek valószínűségét (pl. alternatív technológiára épülnek) Az elektronikus információs rendszer mentései 0 X X X X Nincs adat Nincs adat Az érintett szervezet: meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal; meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal; meghatározott gyakorisággal elmenti az elektronikus információs rendszer dokumentációját, köztük a biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal; megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását mind az elsődleges, mind a másodlagos tárolási helyszínen Megbízhatósági és sértetlenségi teszt X X Nincs adat Nincs adat Meghatározott gyakorisággal tesztelni kell a mentett információkat, az adathordozók megbízhatóságának és az N N N K K információ sértetlenségének a garantálása érdekében Helyreállítási teszt X Nincs adat Nincs adat Az üzletmenet-folytonossági terv tesztelésének részeként egy kiválasztott mintát kell használni a biztonsági másolat N N N N K információkból az elektronikus információs rendszer kiválasztott funkcióinak helyreállításánál Kritikus információk elkülönítése X Nincs adat Nincs adat Az érintett szervezet által meghatározott, az elektronikus információs rendszer kritikus szoftvereinek és egyéb biztonsággal kapcsolatos információinak biztonsági másolatait egy elkülönített berendezésen vagy egy minősítéssel N N N N K rendelkező tűzbiztos tárolóban kell tárolni Alternatív tárolási helyszín X Nincs adat Nincs adat Az elektronikus információs rendszer biztonsági másolat információit a pontban meghatározottak szerinti N N N N K biztonsági tárolási helyszínen kell tárolni Az elektronikus információs rendszer helyreállítása és újraindítása 0 X X X X Nincs adat Nincs adat Az érintett szervezet gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően Tranzakciók helyreállítása X X Nincs adat Nincs adat Az érintett szervezet tranzakció alapú elektronikus információs rendszerek esetén tranzakció helyreállítást hajt N N N K K végre Helyreállítási idő X Nincs adat Nincs adat Az érintett szervezet biztosítja azt a lehetőséget, hogy az elektronikus információs rendszerelemeket előre definiált helyreállítási idő alatt helyre lehessen állítani egy olyan konfigurációellenőrzött és sértetlenség védett N N N N K információból, ami az elem ismert működési állapotát reprezentálja.