ELEKTRONIKUS BESZÁMOLÓ RENDSZER v_2013.04.16 TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS-07-2013



Hasonló dokumentumok
TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

TANÚSÍTVÁNY. Audi Hungaria Motor Kft.

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

A Bankok Bázel II megfelelésének informatikai validációja

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Közigazgatási informatika tantárgyból

RENDSZER TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS

2013 L. - tapasztalatok Antidotum 2015

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Az ISO es tanúsításunk tapasztalatai

IT biztonsági törvény hatása

Műszaki dokumentáció Másolatkészítés műszaki feltételei

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Az Országos Bírósági Hivatal elnökének 2/2015. (III. 18.) OBH utasítása a felszámoló kijelölő program üzemeltetési szabályzatáról

Felhasználói kézikönyv

Jogalkotási előzmények

MELLÉKLETEK. a következőhöz: A BIZOTTSÁG (EU) FELHATALMAZÁSON ALAPULÓ RENDELETE

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás

MINŐSÍTÉS. igazolja, hogy. a Neumann János Digitális Könyvtár és Multimédia Központ Kht. által integrált

30 MB INFORMATIKAI PROJEKTELLENŐR

Informatikai Biztonsági szabályzata

Informatikai biztonsági elvárások

VIZSGÁLATI BIZONYÍTVÁNY

UL Tanúsítási Kézikönyv - ULKK / MRSZ - Motoros Könnyűrepülő Sport Szövetség

Felhasználói kézikönyv. ÜFT szolgáltatás. Magyar Nemzeti Bank

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Informatikai prevalidációs módszertan

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

Nemzetközi jogszabályi háttér I.

ÁNYK űrlap benyújtás támogatási szolgáltatás

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI16F1_ TANF) TANF.ME {.{W... Szoftver utolsó változtatás időpont ja: december 12.

Elektronikus számlázás. Czöndör Szabolcs

ÁNYK űrlap benyújtás támogatási szolgáltatás

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

ELŐTERJESZTÉS. a Kormány részére

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI15F1_ TANF) TANF.ME-01 I-UNI15F1 I ... ~~~?... MATRI tanúsítási igazgató

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG XVIII. KERÜLETI RENDŐRKAPITÁNYSÁG

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

MINŐSÍTÉS. az 1. számú mellékletben részletezett feltételrendszer teljesülése esetén

Szabványok, ajánlások

24/2006. (V. 18.) IM rendelet az elektronikus cégbejegyzési eljárás és cégnyilvántartás egyes kérdéseiről

Internetbank-EFER csatlakozás bemutatása. Bali János, Lomniczi Rudolf

Összefoglaló jelentés

A számviteli törvényben:

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről

Oktatási keretrendszer. Aba 0 perces ügyintézés pilot projekt

Közérdekű adatok közzétételi kötelezettségének teljesítéséről szóló szabályzat

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

A Könyvvizsgálói Közfelügyeleti hatóság évi munkaterve

TÁJÉKOZTATÓ SZEPTEMBER 15. ELŐADÓ: DR. SZEPESI GÁBOR OPERATÍV PROJEKTVEZETŐ

Fókuszban az információbiztonság

TAKARNET24 szolgáltatásai

ÁSZF 1. melléklet. GST-Max Kereskedelmi és Szolgáltató Kft Budapest, Völgy utca 32/b. részéről

Magyar joganyagok - 30/2018. (II. 28.) Korm. rendelet - az egyéni védőeszközök meg 2. oldal 5. (1) A kijelölt szervezet a tárgyévben végzett megfelelő

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján

Szoftverminőségbiztosítás

Adatvédelmi tájékoztató Készült:

A Kormány. 78/2007. (IV. 24.) Korm. r e n d e l e t e. a környezeti alapnyilvántartásról

A számviteli törvényben:

h a t á r o z a t o t A Hatóság megállapítja, hogy a Szolgáltató megsértette az Eat. 7. (5) bekezdése szerinti kötelezettségét azzal, hogy

ÁTLÁTHATÓSÁGI JELENTÉS. Nagy Györgyi bejegyzett könyvvizsgáló tekintetében

A SIÓFOKI RENDŐRKAPITÁNYSÁG MÁSOLATKÉSZÍTÉSI SZABÁLYZATA

Jogszabály változás alkalmazása: 8/2018 (VIII.17.) ITM rendelet

Tanúsítási jelentés. Az IHK_PB3 és az MP_IHK_proto rendszerekről, mint papíralapú dokumentumról történő elektronikus másolatkészítő rendszer

Hiteles elektronikus másolat készítésére feljogosított ügykezelők

A jogszabály mai napon hatályos állapota: /2005. (III. 11.) Korm. rendelet

Belső Ellenőrzési Alapszabály

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

NÉVJEGYZÉK 1. Ocsenásné Bethlen Margit r. alezredes 2. Gyarmati Erika r. őrnagy 3. Reiter Lászlóné r. őrnagy 4. Szemes Erika r.százados 5.

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

ÁSZF 1. melléklet. GST-Max Kereskedelmi és Szolgáltató Kft Budapest, Völgy utca 32/b. részéről

Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján.

Dr. Muha Lajos. Az L. törvény és következményei

Készítette: Horváth Lajos pedagógiai előadó

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Átírás:

Hunguard Kft. Tanúsítási Divízió 1123 Budapest, Kékgolyó u. 6. 5. em. 4. Honlap: http://www.hunguard.hu Telefon: (+36) 1 225-87-96 Telefax: (+36) 1 225-87-97 E-mail: iroda@hunguard.hu ELEKTRONIKUS BESZÁMOLÓ RENDSZER v_2013.04.16 TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS-07-2013 Fájlnév: HUNG-TJ-MIBETS-07-20130430 Verzió: v_2013.04.16 Minősítés: Nyilvános Oldalak: 14 A Tanúsítási jelentés a Hunguard Kft. Tanúsítási Divíziójának, mint a NAT által NAT-6-0048/2011 számon akkreditált terméktanúsító szervezetnek a vizsgálatai alapján készült.

Tartalomjegyzék 1 Bevezetés... 4 1.1 Azonosító adatok... 4 1.2 A tanúsítás jellemzése... 4 1.3 A tanúsítás tárgya, a rendszer biztonsági környezete és elvárásai... 5 1.3.1. Az ebesz rendszer szolgáltatásai... 5 1.3.2. Az informatikai rendszer főbb jellemzői... 7 1.3.3. Az ebesz rendszer legfontosabb biztonsági tulajdonságai... 7 2 A rendszer értékelt főbb biztonsági funkciói... 8 Hozzáférés ellenőrzés;... 8 Naplózás és elszámoltathatóság;... 8 Rendszer és információ sértetlenség;... 8 A folyamatos működés (üzletmenet folytonosság);... 8 Konfiguráció kezelés.... 8 a bizalmasság szempontjából nem értelmezhető (nem kezelendő bizalmasan),... 8 a sértetlenség és a rendelkezésre állás szempontjából viszont kiemelt.... 8 3 Az Értékelési jelentés főbb megállapításai... 9 3.1 A rendszeren végrehajtott módosítások értékelése... 9 3.1.1 Módosítások a korábban feltárt maradvány kockázatok megszüntetésére... 9 3.1.2 Módosítások a funkcionalitás bővítésére... 9 3.2 A műszaki biztonsági intézkedések hatékonyságának értékelése... 10 3.2.1 A kezdeti rendszer értékelés óta jelentett biztonsági problémák vizsgálata... 10 3.2.2 A biztonsági frissítések telepítéseinek visszamenőleges ellenőrzése... 10 3.2.3 Bekövetkezett biztonsági események nyomainak keresése... 10 3.3 Az üzemeltetési környezetre vonatkozó feltételezések teljesülésének vizsgálata... 10 4 A biztonság érvényre juttatásához szükséges rendszeren kívüli feltételek... 11 5. Megfelelőségi összegzés... 13 6. Hivatkozások... 14 6.1 Módszertani hivatkozások... 14 6.2 A tanúsításhoz felhasznált dokumentumok hivatkozásai... 14 Nyilvános 2/14 Hunguard Kft.

Változáskezelés Verzió Dátum A változás leírása v0.01 2013.04.11. A szerkezet felállítása v0.02 2013.04.26. A tanúsítás eredményeit tartalmazó első teljes változat v0.05 2013.04.29. Egyeztetett változat v1.0 2013.04.30. Végleges változat A tanúsítási jelentést készítette: dr. Szabó István Hunguard Kft Tanúsítási Divízió A tanúsítási jelentést ellenőrizte: Staub Klára Hunguard Kft. Minőségbiztosítási vezető Nyilvános 3/14 Hunguard Kft.

1 Bevezetés 1.1 Azonosító adatok A tanúsítás tárgyának neve A tanúsítás tárgyának verziója A tanúsítás tárgyának integrátora A rendszer üzemeltetője A tanúsítás megrendelője A tanúsítás típusa A tanúsítás alapjául szolgáló Értékelési jelentés azonosítója A tanúsítás alapjául szolgáló Értékelési jelentés készítője A tanúsítás alapjául szolgáló Rendszer biztonsági előirányzat azonosítója A tanúsítás végrehajtója Elektronikus beszámoló rendszer (ebesz rendszer) v_2013.04.16: 2013.04.16-i állapot WSH Számítástechnikai Oktató és Szolgáltató Kft. Közigazgatási és Igazságügyi Minisztérium Közigazgatási és Igazságügyi Minisztérium Informatikai biztonsági funkciókat megvalósító informatikai rendszer tanúsítása MIBÉTS módszertan alapján, a NAT kijelölési okirat szerint ebesz_fv_rendszer_ertekelesi_jelentes_v1.1.doc Hunguard Kft. Értékelési Divízió 1123. Budapest, Kékgolyó u. 6. 5. em. 6. ebesz_v1.1_rendszer_biztonsagi_eloiranyzat.doc Hunguard Kft. Tanúsítási Divízió 1123. Budapest, Kékgolyó u. 6. 5. em. 4. 1. Táblázat: Azonosító adatok 1.2 A tanúsítás jellemzése Az ebesz rendszer tanúsítása egy működő, tanúsított rendszer újratanúsítása. Az ebesz rendszer kezdeti tanúsítványa 2011.12.20-i keltezéssel, HUNG-T-223-01-2011 nyilvántartási számon az elektronikus közszolgáltatás biztonságáról szóló 223/2009 (X.14.) kormányrendelet előírásainak megfeleléséről került kiállításra, érvényességi idejének megjelölése a Tanúsítvány kiállításakor: 2014.12.20. (a működtetett rendszerekben történő folyamatos változtatások miatt) évenkénti felülvizsgálat mellett. Időközben a 223/2009. kormányrendelet visszavonásra került, lényeges továbbfejlesztések is történtek (pl. a fizetési portálhoz illesztés), ezért jelen Tanúsítvány felhasználva a korábbi értékeléseken alapuló HUNG-T-223-01-2011 Tanúsítvány és kapcsolódó Tanúsítási jelentés állításait már nem a 223/2009 (X.14.) kormányrendelet előírásainak megfelelését, hanem a részben megújított Rendszer biztonsági előirányzatban meghatározott követelményeknek való megfelelést állítja. A tanúsítás alapjául szolgáló felülvizsgálati rendszer értékelése a korábbi értékelés eredményeinek fenntarthatóságára koncentrálva az alábbi területeket értékelte: a) a korábbi értékelések óta elvégzett módosítások dokumentáltsága, értékelése, beleértve a Rendszer biztonsági előirányzat aktualizálását; b) a legutolsó rendszer értékelés óta a rendszeren végrehajtott módosítások, valamint a technológia fejlődése következtében hogyan változtak a maradvány kockázatok (sikerült-e megszüntetni/csökkenteni ezek közül néhányat, merültek-e fel újabbak), az értékelési bizonyítékok aktualizálásával továbbra is biztosított-e a rendszer üzemeltethetősége, egyúttal átláthatósága és elemezhetősége is; Nyilvános 4/14 Hunguard Kft.

c) a műszaki és üzemeltetési biztonsági intézkedések összességében jól működtek-e a gyakorlatban, nem vetődtek-e fel ezzel kapcsolatban új, kiegészítő intézkedéseket igénylő maradvány kockázatok; d) a legutolsó rendszer értékelés óta bejelentett vagy feltárt biztonsági hibák, illetve a felülvizsgálati értékelés során a biztonsági napló vizsgálata nem tárt-e fel új, kiegészítő intézkedéseket igénylő maradvány kockázatokat. 1.3 A tanúsítás tárgya, a rendszer biztonsági környezete és elvárásai A tanúsítás tárgya az ebesz rendszer, amely egy elektronikus közszolgáltatást megvalósító informatikai rendszer. A vizsgálandó rendszer környezetét, funkcióit és határait az Elektronikus beszámoló rendszer - rendszerbiztonsági előirányzat (SST: System Security Target) [D4] dokumentum részletesen azonosítja. 1.3.1. Az ebesz rendszer szolgáltatásai Az ebesz rendszer az alábbi közszolgáltatásokat biztosítja: 1. Beküldés: Kettős könyvvitelt vezető vállalkozók (az adózás rendjéről szóló 2003. évi XCII. törvény 7. -ának (2) bekezdése szerinti) képviselői számára biztosítja, hogy eleget tehessenek a számvitelről szóló 2000. évi C. törvényben meghatározott, éves beszámoló letétbe helyezésére és közzétételére vonatkozó kötelezettségüknek. Ezen ügyfeleknek (a továbbiakban beküldők) az ebesz rendszer lehetővé teszi, hogy a kormányzati portál útján a céginformációs szolgálatnak elektronikusan beküldhessék a cégükre vonatkozó mérleget, eredmény-kimutatást és a jogszabály által előírt egyéb kötelezően benyújtandó céges dokumentumokat (pl. kiegészítő melléklet, könyvvizsgálói jelentés), a jogszabály szerinti elektronikus űrlappal együtt. 2. Letöltés: Bárki (a továbbiakban letöltők) számára biztosítja a további szolgáltatások igénybe vételéhez szükséges tájékoztató és egyéb nyilvános információk (Nyomtatvány kitöltő program, Elektronikus űrlap, Beszámolóséma, MÁK igazolás, IFP igazolás, stb.) letölthetőségét az ebesz rendszer honlapjáról. 3. Nyilvános lekérdezés: Bárki számára biztosítja, hogy a közzététel céljából megküldött beszámolókat haladéktalanul és ingyenesen megismerhesse. Ezen ügyfelek (a továbbiakban lekérdezők) az ebesz rendszer honlapján cégnév, cégjegyzékszám vagy adószám alapján megkereshetik és megtekinthetik a beszámolókat. 4. Ellenőrzés: Bárki (a továbbiakban ellenőrzők) számára biztosítja az ebesz rendszer által küldött elektronikus számlák aláírásának webes felületen történő ellenőrzési lehetőségét. 5. Költségtérítés megfizetése: A beküldők számára lehető teszi az erre vonatkozó költségtérítés (3000 Ft-os közzétételi díj) elektronikus úton történő megfizetését, az alábbi módokon: a Magyar Államkincstártól (MÁK) lekért utalványminta lekérésével, az Igazságügyi Fizetési Portál (IFP) útján. Nyilvános 5/14 Hunguard Kft.

Az Elektronikus beszámoló rendszer - rendszerbiztonsági előirányzat (SST: System Security Target) [D4] dokumentumban részletesen ismertetésre kerül, hogy az alábbi szerepköri felhasználók hogyan használhatják a rendszert: beküldők (akiknek rendelkezniük kell Ügyfélkapuval); letöltők; lekérdezők; (az elektronikus számla aláírásának érvényességét a webes felületen) ellenőrzők; a költségtérítést megfizetése közszolgáltatást igénybevevők. Az ebesz rendszer közszolgáltatásain kívül az alábbi kiegészítő szolgáltatásokat is biztosítja: 1. Belső lekérdezés: Az ebesz rendszert működtető KIM egyes munkatársai (a továbbiakban belső felhasználók) számára egy külön alkalmazáson keresztül speciális lekérdezési lehetőséget biztosít az adatbázisba szervezett cégadatokról. 2. Zártkörű külső lekérdezés: A törvény által meghatározott közfeladatot ellátó szervek/szervezetek egyes munkatársai (a továbbiakban külső felhasználók) számára egy külön alkalmazáson keresztül speciális lekérdezési lehetőséget biztosít az adatbázisba szervezett cégadatokról. Az ebesz rendszer a köz- és kiegészítő szolgáltatásának biztosítása érdekében az alábbi háttér szolgáltatásokat veszi igénybe más informatikai rendszertől, illetve biztosítja ezen rendszer számára: 3. NAV felhasználás: Az ebesz a fogadott űrlapok és csatolmányok egy részét továbbítja a NAV informatikai rendszere számára, illetve fogadja és feldolgozza a válaszokat. A szolgáltatást a NAV rendszer veszi igénybe. 4. CKT felhasználás: Az ebesz rendszer egy külön az erre a célra kifejlesztett web szolgáltatáson keresztül számlázási adatokat továbbít a Cégközzétételi rendszer számára, illetve fogadja az elkészült elektronikusan aláírt számlákat és az ezekhez tartozó kiegészítő adatokat. A CKT (Forrás) informatikai rendszer az ebesz rendszer tartományában helyezkedik el, illetve elérhető a minisztérium felhasználókat kezelő tartományból is. A szolgáltatást a CKT rendszer veszi igénybe. 5. Microsec felhasználás: A 2001-2008 közötti beszámolókra vonatkozó kérésekre az ebesz rendszer saját adatbázisából megadja a választ az OCCR részére, egy erre a célra kifejlesztett web szolgáltatáson keresztül. A szolgáltatást az OCCR rendszer veszi igénybe. 6. Rendszerfelügyelet: A rendszer valamennyi alrendszerét felügyelni (konfigurálni, üzemeltetni, karbantartani, frissíteni) kizárólag tartományi, illetve helyi adminisztrátori jogosultsággal lehet. A rendszerfelügyelet a Rendszeradminisztrátor részére biztosított. Nyilvános 6/14 Hunguard Kft.

1.3.2. Az informatikai rendszer főbb jellemzői Az informatikai rendszer jól dokumentált, a hatalmas számú dokumentációja a Rendszer biztonsági előirányzatban és az Értékelési jelentésben került részletesen összegzésre. A legfontosabb elemek tanúsítási szempontból: az ebesz rendszer két központi telephellyel rendelkezik, melyek védett és nagysebességű kapcsolattal folyamatos összeköttetésben állnak egymással; mindkét telephelyen nagy számban kereskedelmi termékek a rendszerhez fejlesztett alkalmazások, szolgáltatások integrált rendszere működik (nagy teljesítményű hardver elemek: szerverek, mentési rendszerek stb., szoftverek: operációs rendszerek, adatbázis-kezelők, vírusvédelmi és tűzfal rendszerek, felügyeleti rendszer stb.). 1.3.3. Az ebesz rendszer legfontosabb biztonsági tulajdonságai Kiemelt szintű rendelkezésre állás Az ebesz rendszer szolgáltatásaihoz folyamatosan biztosítja a hozzáférést. Integritás védelem Az ebesz rendszer megőrzi és megvédi az általa kezelt felhasználói adatok sértetlenségét. Az ebesz rendszer garantálja a szolgáltatások nyújtásához szükséges rendszer adatok és szoftver elemek sértetlenségét. Hozzáférés védelem Az ebesz rendszer a Beküldés szolgáltatáshoz elfogadja a beküldők Ügyfélkapu által végrehajtott azonosítását és hitelesítését. Az ebesz rendszer a Lekérdezés szolgáltatást a lekérdezők azonosítása és hitelesítése nélkül biztosítja. Az ebesz rendszer a Belső lekérdezés szolgáltatást csak azonosított és hitelesített belső felhasználók számára biztosítja. Az ebesz rendszer a Zártkörű külső lekérdezés szolgáltatást csak a meghatározott IP címmel rendelkező végpontokról bejelentkezett, azonosított és hitelesített külső felhasználók számára biztosítja. Bizalmasság Az ebesz rendszerben a kezelt ügyféladatok nyilvánosak, erre vonatkozóan bizalmassági követelmény nincs. Nyilvános 7/14 Hunguard Kft.

2 A rendszer értékelt főbb biztonsági funkciói A Rendszer biztonsági előirányzat az alábbi főbb biztonsági funkciókat határozta meg, melyek elvárásoknak megfelelő funkcionalitását az értékelő szervezet az értékelés során igazolta: Azonosítás és hitelesítés; Hozzáférés ellenőrzés; Naplózás és elszámoltathatóság; Rendszer és kommunikáció védelem; Rendszer és információ sértetlenség; A folyamatos működés (üzletmenet folytonosság); Konfiguráció kezelés. Az értékelés során az értékelési garanciaszint: fokozott (SAP-F) garanciacsomagnak felelt meg. A választás kompromisszumos, költségkímélő megoldásként született, figyelembe véve azt a tényt (részletes indokolása megtalálható a Rendszer biztonsági előirányzatban), hogy az ebesz által kezelt információ rendszer szintű kihatása: a bizalmasság szempontjából nem értelmezhető (nem kezelendő bizalmasan), a sértetlenség és a rendelkezésre állás szempontjából viszont kiemelt. Nyilvános 8/14 Hunguard Kft.

3 Az Értékelési jelentés főbb megállapításai Mivel az értékelés egy felülvizsgálati rendszer értékelés volt, ezért ennek sajátosságai alapján az Értékelési jelentés a következő főbb megállapításokat tette (melyek a tanúsítás alapjául szolgálnak): 3.1 A rendszeren végrehajtott módosítások értékelése A helyszíni szemlén áttekintetésre kerültek a kezdeti rendszer értékelés óta az üzemeltetett rendszerben történt változtatásokat. A változáskövetésről megállapításra került, hogy az üzemeltetés során betartják a Rendszerszintű Informatikai Biztonsági Szabályzat változáskezelési rendjében meghatározottakat (RIBSZ 6.12 alfejezet és M-7 melléklet), ezen belül az alábbiakat: a változtatás igénylése, jóváhagyása és előkészítése; a változások éles üzemi környezetbe történő átvezetése; a változáskezeléssel kapcsolatos felelősségek. A megvizsgált elektronikus nyilvántartásban (ebesz_változás kezelési nyilvántartás.xls) összesen 15 változás szerepelt, valamennyihez megtalálható volt a változásra vonatkozó kitöltött és jóváhagyott Változáskezelési űrlap. Az elmúlt másfél évben az informatikai rendszerben a biztonságot érintő alapvető változtatások nem történtek. 3.1.1 Módosítások a korábban feltárt maradvány kockázatok megszüntetésére A változtatások egy része a kezdeti értékelési jelentésben meghatározott maradvány kockázatok megszüntetésére irányult, a változtatásokkal sikerült a maradványkockázatot kiküszöbölni, vagy kockázati szintjét érdemben csökkenteni.. 3.1.2 Módosítások a funkcionalitás bővítésére A rendszer funkcionalitását érintő jelentősebb változtatás az alábbi volt: A rendszer adatbázisát és üzleti logikáját felkészítették az IFP (Igazságügyi Fizetési Portál) által kibocsájtott fizetési igazolás kezelésére is, így a beküldők számára lehető vált az erre vonatkozó költségtérítés (3000 Ft-os közzétételi díj) elektronikus úton történő megfizetése (az EFER rendszerhez kapcsolódva, VPOS fizetési móddal). A bővített funkcionalitás az IFP (biztonságot is érintő) szoftver minőségi vizsgálatával került ellenőrzésre. Ennek eredményei külön dokumentumban (Igazságügyi Fizetési Portál (IFP) a mérlegbeszámoló költségtérítéséhez - Értékelési jelentés) találhatók. Jelen Tanúsítvány hatóköre nem terjed ki az IFP biztonsági tulajdonságaira, de a szoftver minőségi vizsgálat az ebesz rendszerre nem tárt fel biztonsági problémát. Nyilvános 9/14 Hunguard Kft.

3.2 A műszaki biztonsági intézkedések hatékonyságának értékelése Az elmúlt másfél év üzemeltetésének biztonsága az alábbi területen került ellenőrzésre: a kezdeti rendszer értékelés óta jelentett szoftverműködési zavarok és biztonsági problémák áttekintése. Visszamenőleg megvizsgálásra kerültek a telepített szoftverek biztonsági frissítéseinek listája, felmérve ezzel a szerverek aktuális (és múltbeli) biztonsági állapotát a nyilvánosságra hozott és kijavított biztonsági hibák elméleti kihasználhatósága szempontjából. Bekövetkezett biztonsági események nyomainak keresése a naplókban, az esetlegesen gyakorlatilag is kihasznált biztonsági hibák megállapítása érdekében. 3.2.1 A kezdeti rendszer értékelés óta jelentett biztonsági problémák vizsgálata A kezdeti rendszer értékelés óta a szoftverműködési zavarok és a biztonsági problémák bejelentését megfelelően, a RIBSz 3.8 alfejezetében, illetve az M-13 és M-14 mellékleteiben meghatározottaknak megfelelően végezték. Az elmúlt másfél évben két komolyabb működési hiba lépett fel, melyeket az értékelők elemeztek. Az elmúlt másfél évben biztonsági eseményt, sérülékenység kihasználását nem észleltek. 3.2.2 A biztonsági frissítések telepítéseinek visszamenőleges ellenőrzése A biztonsági frissítéseket alapvetően a RIBSz 6.8 alfejezetében meghatározottaknak megfelelően végezték. 3.2.3 Bekövetkezett biztonsági események nyomainak keresése Helyszíni szemle során az értékelők a kezdeti rendszer értékelés óta az üzemeltetett rendszerben történt biztonsági események nyomait vizsgálták a naplóállományok, pásztázó eszközök nyomai, vírus-incidens lista elemzésével. Az értékelés biztonságot veszélyeztető eseményt nem tárt fel. 3.3 Az üzemeltetési környezetre vonatkozó feltételezések teljesülésének vizsgálata A felülvizsgálati rendszer értékelés során a műszaki (döntően szoftver-hardver által megvalósított) ellenintézkedések mellett, sor került a menedzsment és üzemeltetési (döntően ember által megvalósított) ellenintézkedések hatékonyságának a felmérésére is. A rendszer biztonsági előirányzatban megfogalmazott, az üzemeltetési környezetre vonatkozó feltételek (melyek tehát nem műszaki, hanem menedzsment és üzemeltetési ellenintézkedéseket igényelnek) teljesülését a Rendszer értékelési jelentés részletesen elemezte és elfogadta. Nyilvános 10/14 Hunguard Kft.

4 A biztonság érvényre juttatásához szükséges rendszeren kívüli feltételek Az értékelések következtetései a Rendszer biztonsági előirányzatban megfogalmazott, az üzemeltetési környezetre vonatkozó feltételezések teljesülésén is múlnak. Ezen feltételeket (melyek teljesítése nem műszaki, hanem menedzsment és üzemeltetési ellenintézkedéseket igényel, és a szabályozási értékelés a megfelelőséget megállapította) a folyamatos működtetés során biztosítani szükséges. F1_Kockázatfelmérés A rendszer működtetője rendszeres időnként, illetve jelentős változások alkalmával felméri a szervezeti működés során jelen lévő, a rendszer működéséből és kapcsolódó információ feldolgozó, tároló vagy átviteli műveletekből származó biztonsági kockázatokat és a rendszer értékeit. F2_Biztonsági_értékelés_és_auditálás A rendszer működtetője: a) rendszeres időközönként értékeli az IT rendszer biztonsági intézkedéseit, annak megállapításához, hogy az intézkedéseket hatékonyan alkalmazzák-e; b) intézkedési tervet készít és hajt végre a hiányosságok korrigálására, a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére; c) engedélyezteti (akkreditáltatja) az informatikai rendszer működését és bármilyen rendszerkapcsolatot, kapcsolódást; d) folyamatosan felügyeli, ellenőrizi a biztonsági intézkedések betartását a hatékonyság folytonosságának biztosítása érdekében. F3_Fizikai_biztonság Az ebesz rendszer működtetője és üzemeltetője: a) a jogosult felhasználókra korlátozza az ebesz rendszerhez, berendezéseihez és kapcsolódó üzemeltetési környezetéhez való fizikai hozzáférést; b) védi a fizikai létesítményt, biztosítja az ebesz rendszerhez szükséges infrastruktúrát; c) biztosítja az ebesz rendszerhez szükséges háttér és kiegészítő szolgáltatásokat; d) védi az ebesz informatikai rendszert a környezeti veszélyektől; e) megfelelő környezeti intézkedésekről gondoskodik az ebesz rendszernek helyt adó létesítményekben. Nyilvános 11/14 Hunguard Kft.

F4_Adathordozók_védelme Az ebesz rendszer működtetője és üzemeltetője: a) védi a rendszer papír alapú vagy digitális adathordozóin lévő információit; b) jogosult felhasználókra korlátozza a hozzáférést a nyomtatott vagy digitális információkhoz; c) a digitális adathordozóról biztonságosan törli a rajtuk lévő információt azok eltávolítása vagy újra használata előtt. F5_Üzletmenet_folytonosság_tervezése Az ebesz rendszer működtetője és üzemeltetője terveket készít, ezeket karbantartja és hatékonyan megvalósítja a rendkívüli helyzetekre való reagálásra, a mentési műveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erőforrások rendelkezésre álljanak és rendkívüli helyzetekben is megvalósuljon a folyamatos működés követelménye. F6_Reagálás_biztonsági_eseményekre Az ebesz rendszer működtetője és üzemeltetője a) biztonsági események kezelésére alkalmas képességet alakít ki az ebesz rendszerre, b) nyomon követi, dokumentálja és jelenti az eseményeket a szervezetben erre kijelölt illetékes személynek és/vagy szervezetnek, hatóságnak. Nyilvános 12/14 Hunguard Kft.

5. Megfelelőségi összegzés Minden informatikai rendszerben természetesen keletkeznek és maradnak is nem kivédett kockázatok a kialakítás, használat, továbbfejlesztés és üzemeltetés során. Az informatikai biztonság az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos /ld. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 1. 15. pont /. Ennek megfelelően a fenti definícióba nem beleértendő azon kockázatokat tekintjük maradvány kockázatoknak, amely az adott rendszerben sem technológiai eszközökkel, sem szervezési, szabályozási eszközökkel nincsenek kivédve, de a veszélyek kockázatai, károkozásai, az esetleges támadók motivációi oldaláról bár kis valószínűségű események mégis kivédendő kockázatoknak minősíthetőek. A technológiai értékelés is feltárhat ilyen, ki nem védett maradvány kockázatokat. Általában a szervezet biztonságért felelős vezetőségének felelőssége, hogy milyen szintű kockázatot vállalnak fel. A döntések leggyakrabban (leírt, vagy csak átgondolt) költség-haszon elemzésen, valamint kockázatbecslésen alapulnak. /Lehet a maradványkockázatokat áthárítani is (pl. biztosításokkal), vagy tudatosan, megfelelő elemzések alapján felvállalni./ A Rendszer biztonsági előirányzat már egy kockázatelemzés utáni szükséges intézkedéssorozatot ír elő. A Rendszer értékelési jelentés felsorol olyan maradványkockázatokat kis valószínűségű, vagy kis kárértékű eseteket -, amelyek ha nem nagy kockázati szintűnek is minősíthetőek, akkor is javító intézkedések egy soron következő változtatásig (pl. az informatikai rendszer továbbfejlesztése), de mindenképpen a következő audit időpontjáig célszerű megtenni. A fentek figyelembe vételével a tanúsítás megállapítása a következő: Az ebesz rendszer és dokumentációja megfelel a Rendszer biztonsági előirányzatban meghatározott biztonsági és garanciális követelményeknek, az abban kitűzött biztonsági célok, elvárások konzisztensek, megfelelnek az elektronikus információbiztonsági elvárásoknak és teljesülnek, a rendszer biztonságosan üzemeltethető. Az ebesz rendszer biztonsági elvárásoknak megfelelőségére a Tanúsítvány kiállítható. Nyilvános 13/14 Hunguard Kft.

6. Hivatkozások 6.1 Módszertani hivatkozások [M1]: Rendszerekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum, v4 2008.09.19) http://kovetelmenytar.complex.hu (a KIB 28-as számú Ajánlás része) [M2]: [M3]: Útmutató rendszer értékelőknek (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum, v3 2008.09.19) http://kovetelmenytar.complex.hu (a KIB 28-as számú Ajánlás része) Útmutató tanúsítók számára (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum, v3 2008.09.19) http://kovetelmenytar.complex.hu (a KIB 28-as számú Ajánlás része) [M4]: National Institute of Standards and Technology Special Publication 800-53, Recommended Security Controls for Federal Information Systems, December 2007 6.2 A tanúsításhoz felhasznált dokumentumok hivatkozásai [D1]: [D2]: [D3]: ebesz Tanúsítási jelentés HUNG-TJ-223-01/2011 ebesz Tanúsítvány HUNG-T-223-01/2011 ELEKTRONIKUS BESZÁMOLÓ RENDSZER Rendszer értékelési jelentés [D4]: Elektronikus beszámoló rendszer - Rendszer biztonsági előirányzat, v1.1 Nyilvános 14/14 Hunguard Kft.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés