MELLÉKLET. a következőhöz: A Bizottság felhatalmazáson alapuló rendelete

Hasonló dokumentumok
MELLÉKLETEK. a következőhöz: A BIZOTTSÁG VÉGREHAJTÁSI RENDELETE

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

(HL L 384., , 75. o.)

MELLÉKLET. a következőhöz:

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

MELLÉKLETEK. a következőhöz: A BIZOTTSÁG (EU) FELHATALMAZÁSON ALAPULÓ RENDELETE

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Az általános adatvédelmi rendelet ((EU) 2016/679 rendelet) 43. cikke szerinti tanúsító szervezetek akkreditálásáról szóló 4/2018. számú iránymutatások

AZ EURÓPAI KÖZPONTI BANK (EU) 2016/1993 IRÁNYMUTATÁSA

(EGT-vonatkozású szöveg)

Javaslat A BIZOTTSÁG /.../EK RENDELETE

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

IRÁNYMUTATÁSOK A MÁSODIK PÉNZFORGALMI IRÁNYELV SZERINTI SZAKMAI FELELŐSSÉGBIZTOSÍTÁSRÓL EBA/GL/2017/08 12/09/2017. Iránymutatások

IRÁNYMUTATÁS A SZOLGÁLTATÁSOK ÉS LÉTESÍTMÉNYEK MINIMUMLISTÁJÁRÓL EBA/GL/2015/ Iránymutatások

IRÁNYMUTATÁSOK AZ ESETLEGESEN TÁMOGATÓ INTÉZKEDÉSEKET MAGUK UTÁN VONÓ TESZTEKRŐL, VIZSGÁLATOKRÓL, ILLETVE ELJÁRÁSOKRÓL

XXIII. MAGYAR MINŐSÉG HÉT

Az Európai Unió Tanácsa Brüsszel, november 25. (OR. en)

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI HATÁROZATA ( )

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

(EGT-vonatkozású szöveg)

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

(EGT-vonatkozású szöveg)

EBA/GL/2015/ Iránymutatások

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

Iránymutatások a piaci visszaélésekről szóló rendelethez

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

EURÓPAI BIZOTTSÁG ÉGHAJLATPOLITIKAI FŐIGAZGATÓSÁG AZ EGYESÜLT KIRÁLYSÁG EU-BÓL VALÓ KILÉPÉSE ÉS AZ EU KIBOCSÁTÁSKERESKEDELMI RENDSZERE (ETS)

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Nemzetközi jogszabályi háttér I.

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Jogalkotási tanácskozások (Nyilvános tanácskozás az Európai Unióról szóló szerződés 16. cikkének (8) bekezdése alapján)

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Iránymutatások a MiFID II. irányelv 1. melléklete C.6. és C.7. pontjának alkalmazásáról

Az AEO változásai. NAV KI Vám Főosztály. NavigátorVilág Konferencia november 09.

Adatvédelmi és adatfeldolgozási megállapodás

Frissítve: 208. december 29. 2:50 Hatály: 208.I.. - Magyar joganyagok - 45/205. (XII. 30.) NGM rendelet - a Nemzeti Akkreditáló Hatós 2. oldal (7) Töb

Az ISO es tanúsításunk tapasztalatai

IATF - International Automotive Task Force IATF 16949:2016 Hivatalos értelmezés

Iránymutatások. a helyreállítási tervek részeként alkalmazandó forgatókönyvekről EBA/GL/2014/ július 18.

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( ) (EGT-vonatkozású szöveg)

EURÓPAI BIZOTTSÁG MOBILITÁSPOLITIKAI ÉS KÖZLEKEDÉSI FŐIGAZGATÓSÁG

Információbiztonság irányítása

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

MELLÉKLET AZ EASA 07/2013. SZÁMÚ VÉLEMÉNYÉHEZ A BIZOTTSÁG.../../EU RENDELETE (XXX)

Iránymutatások Hatóságok közötti együttműködés a 909/2014/EU rendelet 17. és 23. cikke értelmében

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

XXVII. Magyar Minőség Hét Konferencia

EURÓPAI BIZOTTSÁG MOBILITÁSPOLITIKAI ÉS KÖZLEKEDÉSI FŐIGAZGATÓSÁG

Javaslat A TANÁCS HATÁROZATA

A GDPR elmúlt egy éve

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ HATÁROZATA ( )

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

(EGT-vonatkozású szöveg)

Az Európai Unió Tanácsa Brüsszel, szeptember 5. (OR. en)

L 92/28 Az Európai Unió Hivatalos Lapja

Bevezetés. Adatvédelmi célok

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

NAH feladatai, nemzetközi szerepe, együttműködése; miben és hogyan tud segíteni egy EIV-nek? Devecz Miklós főigazgató május 30.

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

Javaslat A BIZOTTSÁG /.../EK RENDELETE

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Intelligens közlekedési rendszerek és szolgáltatások

Jogalkotási előzmények

A kockázatelemzésre és -értékelésre vonatkozó közös biztonsági módszer (CSM)

AZ EASA 06/2012. VÉLEMÉNYÉNEK MELLÉKLETE A BIZOTTSÁG.../../EU RENDELETE XXX

11203/16 ok/anp/kf 1 DG D 1 A

A 9001:2015 a kockázatközpontú megközelítést követi

ADATKEZELÉSI TÁJÉKOZTATÓ

MELLÉKLET. a következőhöz: A Bizottság végrehajtási rendelete

Vasúti biztosítóberendezések megfelelőségének tanúsítása. Tarnai Géza CERTUNIV Vasúti Tanúsító és Műszaki Szakértő Kft. Bükfürdő,

10115/17 ADD 1 zssz/hk/kf 1 GIP 1B

Adatvédelmi és adatfeldolgozási megállapodás

AZ EGYESÜLT KIRÁLYSÁG EU-BÓL VALÓ KILÉPÉSE ÉS A BANKI ÉS PÉNZFORGALMI SZOLGÁLTATÁSOK TERÜLETÉRE VONATKOZÓ UNIÓS SZABÁLYOK

ECB-PUBLIC AZ EURÓPAI KÖZPONTI BANK (EU) [YYYY/[XX*]] IRÁNYMUTATÁSA. (2016. [hónap nap])

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI HATÁROZATA ( )

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 127. cikke (6) bekezdésére és 132. cikkére,

Iránymutatások. a második pénzforgalmi irányelv állítólagos megsértésével kapcsolatos panasztételi eljárásokról EBA/GL/2017/13 05/12/2017

2013. évi L. törvény ismertetése. Péter Szabolcs

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

ISO 9001:2015 Változások Fókuszban a kockázatelemzés

NAR IRT 2. kiadás

Átírás:

EURÓPAI BIZOTTSÁG Brüsszel, 2019.3.13. C(2019) 1789 final ANNEX 4 MELLÉKLET a következőhöz: A Bizottság felhatalmazáson alapuló rendelete a 2010/40/EU európai parlamenti és tanácsi irányelvnek a kooperatív intelligens közlekedési rendszer kiépítése és gyakorlati használata tekintetében történő kiegészítéséről {SEC(2019) 100 final} - {SWD(2019) 95 final} - {SWD(2019) 96 final} HU HU

TARTALOMJEGYZÉK 1. A C-ITS-re vonatkozó biztonsági politika... 2 1.1. Fogalommeghatározások és rövidítések... 2 1.2. Fogalommeghatározások... 2 1.3. Információbiztonsági stratégia... 3 1.3.1. Információbiztonsági irányítási rendszer (ISMS)... 3 1.4. Az információk minősítése... 4 1.5. Kockázatértékelés... 6 1.5.1. Általános... 6 1.5.2. Biztonsági kockázati kritériumok... 6 1.5.2.1. Kockázatazonosítás... 7 1.5.2.2. Kockázatelemzés... 7 1.5.2.3. Kockázatértékelés... 8 1.6. A kockázatok kezelése... 8 1.6.1. Általános... 8 1.6.2. A C-ITS-állomásokra vonatkozó ellenőrzések... 9 1.6.2.1. Általános ellenőrzések... 9 1.6.2.2. A C-ITS-állomások közötti kommunikációra vonatkozó ellenőrzések... 9 1.6.2.3. A C-ITS-állomásokra mint végfelhasználókra vonatkozó ellenőrzések... 11 1.6.3. Az EU CCMS résztvevőire vonatkozó ellenőrzések... 11 1.7. A biztonsági politikának való megfelelés... 11 2. Hivatkozások... 12 HU 1 HU

IV. MELLÉKLET 1. C-ITS-RE VONATKOZÓ BIZTONSÁGI POLITIKA 1.1. Fogalommeghatározások és rövidítések EU CCMS A C-ITS-ekkel kapcsolatos uniós biztonsági hitelesítőadat-kezelő rendszer CAM együttműködő helyzetfelismerő üzenet CP hitelesítési házirend DENM decentralizált környezeti bejelentő üzenet ISMS információbiztonsági irányítási rendszer IVIM infrastruktúra és jármű közötti információs üzenet SPATEM jelzési fázisra és időzítésre vonatkozó kiterjesztett üzenet SREM jelzés iránti kérelemre vonatkozó kiterjesztett üzenet SSEM jelzés iránti kérelem státuszára vonatkozó kiterjesztett üzenet 1.2. Fogalommeghatározások rendelkezésre állás elérhetőség és használhatóság a jogosult szervezet kérelme esetén (ISO 27000) [2] C-ITSinfrastruktúra a fix C-ITS-állomásokkal kapcsolatos C-ITS-szolgáltatásokat nyújtó szervezet működéséhez szükséges létesítmények, berendezések és alkalmazások rendszere C-ITS-ekben érdekelt felek a C-ITS-hálózatban szerepkörrel és felelősséggel rendelkező személy, csoport vagy szervezet bizalmas információ olyan információ, amelyet nem szabad elérhetővé tenni vagy megosztani jogosulatlan személyekkel, szervezetekkel vagy eljárásokkal (ISO 27000) [2] információbizto nság az információk bizalmas jellegének, integritásának és rendelkezésre állásának megőrzése (ISO 27000) [2] információbizto nsági incidens kéretlen vagy váratlan információbiztonsági esemény, amely nagy valószínűséggel károsítja az üzleti tevékenységeket és veszélyezteti az információbiztonságot integritás pontosság és teljesség (ISO 27000) [2] HU 2 HU

helyi dinamikus térkép (LDM) a járműfedélzeti C-ITS-állomás helyi vezetési feltételekkel kapcsolatos, dinamikusan frissített adattára; magában foglalja a fedélzeti érzékelőktől és a CAM- és DENM-üzenetektől kapott információkat (ETSI TR 102 893) [5] protokollellenőrzés A protokoll-ellenőrzési eszközök kiválasztják a megfelelő üzenettovábbítási protokollt a kimenő üzenetkérelem esetén, és elküldik az üzenetet a protokollverem alacsonyabb szintjeire az általuk kezelhető formában. A bejövő üzeneteket olyan formátumba konvertálják, amely kezelhető a C- ITS-állomáson belül, és továbbítható az érintett funkcionális eszköznek további feldolgozásra (ETSI TR 102 893) [5] 1.3. Információbiztonsági stratégia 1.3.1. Információbiztonsági irányítási rendszer (ISMS) (1) A C-ITS-állomások üzemeltetőinek ISMS-t kell üzemeltetniük az ISO/IEC 27001-es szabvánnyal, valamint az e szakaszban foglalt korlátozásokkal és további követelményekkel összhangban. (2) A C-ITS-állomások üzemeltetőinek meg kell határozniuk a C-ITS szempontjából releváns külső és belső problémákat, beleértve az alábbiakat: COM(2016) 766 final [10]; a GDPR [6]. (3) A C-ITS-állomások üzemeltetőinek meg kell határozniuk az ISMS szempontjából releváns feleket, valamint a rájuk vonatkozó követelményeket, beleértve valamennyi, C-ITS-ben érdekelt felet. (4) Az ISMS hatálya magában foglalja a működtetett C-ITS-állomásokat és valamennyi egyéb információkezelő rendszert, amely C-ITS-adatokat kezel az alábbi szabványoknak megfelelő C-ITS-üzenetek formájában: CAM [7] DENM [8] IVIM [9] SPATEM [9] MAPEM [9] SSEM [9] SREM [9] (5) Az egyes C-ITS-állomások üzemeltetőinek biztosítaniuk kell, hogy az információbiztonsági politikájuk összhangban legyen ezzel a politikával. (6) Az egyes C-ITS-állomások üzemeltetőinek biztosítaniuk kell, hogy az információbiztonsági célkitűzéseik magukban foglalják az e politikában foglalt biztonsági célkitűzéseket és magas szintű követelményeket, és azokkal összhangban legyenek. (7) A C-ITS-állomások üzemeltetőinek minősíteniük kell az 1.4. szakaszban hivatkozott adatokat. (8) A C-ITS-állomások üzemeltetőinek információbiztonsági kockázatértékelési eljárást kell alkalmazniuk az 1.5. szakaszban foglaltak szerint, tervezett HU 3 HU

időközönként, vagy amikor jelentős változások javaslatára kerül sor, vagy jelentős változások következnek be. (9) Az 1.6. szakasszal összhangban a C-ITS-állomások üzemeltetőinek és/vagy a C-ITS-állomások gyártóinak meg kell határozniuk az információbiztonsági kockázatértékelési eljárás során azonosított biztonsági kockázatok mérséklésére vonatkozó követelményeket. (10) A C-ITS-állomások gyártóinak úgy kell megtervezniük, kialakítaniuk és értékelniük a C-ITS-állomásokat és az egyéb információkezelő rendszereket, hogy azok megfeleljenek az alkalmazandó követelményeknek. (11) A C-ITS-állomások üzemeltetőinek a C-ITS-állomásokat és minden egyéb információkezelő rendszert, amely megfelelő információbiztonsági kockázatkezelési ellenőrzéseket hajt végre, az 1.6. szakasszal összhangban kell üzemeltetniük. 1.4. Az információk minősítése Ez a szakasz az információk minősítésére vonatkozó minimumkövetelményeket határozza meg. Ez nem zárja ki, hogy a C-ITS-ben érdekelt felek szigorúbb követelményeket alkalmazzanak. (12) A C-ITS-állomások üzemeltetői osztályozzák a kezelt információkat, melyek esetében a biztonsági kategóriák az alábbiak szerint reprezentálhatók: Biztonsági kategória: információ = {(bizalmas jelleg, hatás), (integritás, hatás), (rendelkezésre állás, hatás)}; (13) A C-ITS-ben érdekelt felek osztályozzák a kezelt információkat, melyek esetében a biztonságikategória-rendszerek az alábbiak szerint reprezentálhatók: Biztonsági kategória: információs rendszer = {(bizalmas jelleg, hatás), (integritás, hatás), (rendelkezésre állás, hatás)}; (14) A potenciális hatásra vonatkozó elfogadható értékek az 1. táblázatban összefoglaltak szerint lehetnek alacsonyak, mérsékeltek vagy magasak. 1. táblázat: A bizalmas jellegre, integritásra és rendelkezésre állásra vonatkozó egyes biztonsági célkitűzésekkel kapcsolatos potenciális hatások meghatározása Potenciális hatás Biztonsági célkitűzés ALACSONY MÉRSÉKELT MAGAS Bizalmas jelleg Az információkhoz való hozzáférésre és azok közzétételére vonatkozó engedélyezett korlátozások megőrzése, beleértve a személyes adatok és a védett információk védelmét Az információk jogosulatlan közzététele várhatóan korlátozott negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információk jogosulatlan közzététele várhatóan súlyos negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információk jogosulatlan közzététele várhatóan súlyos vagy katasztrofális negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. HU 4 HU

Potenciális hatás Integritás Az információk nem megfelelő módosítása vagy megsemmisítése elleni védelem; ez magában foglalja az információk letagadhatatlanságának és hitelességének biztosítását Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan korlátozott negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információk jogosulatlan módosítása vagy megsemmisítése várhatóan súlyos vagy katasztrofális negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Rendelkezésre állás Az információkhoz való időszerű és megbízható hozzáférés és azok használatának biztosítása Az információkhoz vagy az információs rendszerhez való hozzáférés vagy azok használatának megszakadása várhatóan korlátozott negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információkhoz vagy az információs rendszerhez való hozzáférés vagy azok használatának megszakadása várhatóan súlyos negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. Az információkhoz vagy az információs rendszerhez való hozzáférés vagy azok használatának megszakadása várhatóan súlyos vagy katasztrofális negatív hatással jár a szervezet működésére, vagyonára vagy a szervezethez tartozó személyekre nézve. (15) Az alábbi információminősítési hatástípusokat kell figyelembe venni az információbiztonsági incidens által okozott kár foka vagy a C-ITS-szolgáltatást és a C-ITS-ben érdekelt feleket érő költségek tekintetében: közúti biztonság ahol a hatás a közúti felhasználókat a sérülés közvetlen kockázatával fenyegeti; biztonság ahol a hatás a C-ITS-ekben érdekelt bármely felet a sérülés közvetlen kockázatával fenyegeti; operatív hatások ahol a hatás jelentősen negatív a közúti közlekedés hatékonysága szempontjából, vagy egyéb társadalmi hatás, mint az ökológiai lábnyom vagy a szervezett bűnözés; jogi ahol a hatás jelentős jogi és/vagy szabályozási megfelelőségi intézkedést eredményez egy vagy több C-ITS-ben érdekelt féllel szemben; pénzügyi ahol a hatás közvetlen vagy közvetett pénzügyi költségeket eredményez egy vagy több C-ITS-ben érdekelt fél számára; magánélet az általános adatvédelmi rendelet, amely jogi és pénzügyi hatással is jár; hírnév ahol a hatás egy vagy több C-ITS-ben érdekelt féllel és/vagy C-ITS-hálózattal kapcsolatos hírnévbeli kárt eredményez, pl. negatív sajtómegjelenés és/vagy jelentősebb nemzeti vagy nemzetközi szintű politikai nyomás. (16) A C-ITS-ben érdekelt feleknek a kezelt információ esetében be kell tartaniuk az alábbi minimális hatásértékeket: HU 5 HU

2. táblázat: Hatások Bizalmas jelleg Integritás Rendelkezésre állás Az alábbiak által létrehozott információ fix C-ITS-állomás CAM: alacsony DENM: alacsony IVIM: alacsony MAPEM: alacsony SPATEM: alacsony SSEM: alacsony CAM: közepes DENM: közepes IVIM: közepes MAPEM: közepes SPATEM: közepes SSEM: közepes CAM: alacsony DENM: alacsony IVIM: alacsony MAPEM: alacsony SPATEM: alacsony SSEM: közepes Az alábbiak által létrehozott információ mobil C-ITS-állomás CAM: alacsony DENM: alacsony SREM: alacsony az alábbi három üzenet bármelyikében szereplő személyes adatok: közepes CAM: közepes DENM: közepes SREM: közepes CAM: alacsony DENM: alacsony SREM: közepes 1.5. Kockázatértékelés 1.5.1. Általános (17) A kockázatértékelést rendszeresen el kell végezni az ISO/IEC 27005 szabvánnyal összhangban. A kockázatértékelésnek magában kell foglalnia az alábbiakra vonatkozó megfelelő dokumentációt: a kockázatértékelés hatálya, pl. az értékelt rendszert és annak határai, valamint a rendszer célja és a kezelt információ; a biztonsági kockázati kritériumok; a kockázatértékelés, beleértve az azonosítást, az elemzést és az értékelést. 1.5.2. Biztonsági kockázati kritériumok (18) A kockázatértékelési kritériumokat az alábbi szempontok figyelembevételével kell meghatározni: a C-ITS-szolgáltatásnak és a C-ITS-hálózatnak a C-ITS-ben érdekelt valamennyi félre vonatkozó stratégiai értéke; a C-ITS-szolgáltatásnak és a C-ITS-hálózatnak a C-ITS-állomás üzemeltetőjére vonatkozó stratégiai értéke; a C-ITS-hálózat hírnevével kapcsolatos következmények; HU 6 HU

jogi és szabályozási követelmények és szerződéses kötelezettségek. (19) A kockázati hatásra vonatkozó kritériumokat az 1.4. szakaszban hivatkozott információminősítési hatástípusok függvényében kell meghatározni. (20) A kockázatelfogadási kritériumoknak magukban kell foglalniuk azon kockázati szintek hatástípusonkénti azonosítását, amelyek elfogadhatatlanok a C-ITSszolgáltatás és a C-ITS-ben érdekelt felek számára. 1.5.2.1. Kockázatazonosítás (21) A kockázatokat az ISO/IEC 27005-ös szabvánnyal összhangban kell meghatározni. Az alábbi minimumkövetelmények alkalmazandók: 1.5.2.2. Kockázatelemzés a legfőbb megvédendő eszközök a C-ITS-üzenetek az 1.3.1. szakaszban foglaltak szerint; azonosítani kell a támogató eszközöket, beleértve az alábbiakat: a C-ITS-üzenetekhez használt információk (pl. helyi dinamikus térkép, idő, protokoll-ellenőrzés stb.); a C-ITS-állomások és szoftvereik, a konfigurációs adatok és a kapcsolódó kommunikációs csatornák; a központi C-ITS-ellenőrzési eszközök; az EU CCMS-en belüli valamennyi jogi személy; az eszközöket érő fenyegetéseket és forrásaikat azonosítani kell; a meglévő és tervezett ellenőrzéseket azonosítani kell; azonosítani kell azon sebezhetőségeket, amelyeket a fenyegetések kihasználhatnak, hogy kárt okozzanak az eszközökben vagy a C-ITS-ben érdekelt felekben, és incidens-forgatókönyvként le kell írni; azonosítani kell a biztonsági incidensek eszközökre gyakorolt lehetséges következményeit az információk minősítése alapján. (22) Az alábbi minimumkövetelmények alkalmazandók a kockázatelemzésre: az azonosított információbiztonsági incidenseknek a C-ITS-szolgáltatásra és a C-ITS-ben érdekelt felekre gyakorolt hatásait értékelni kell az információ és az információs rendszer biztonsági kategóriája alapján, legalább az 1.4. szakaszban meghatározott három szint használatával; a hatás szintjeit azonosítani kell az alábbiak tekintetében: a teljes meglévő C-ITS-hálózat/-szolgáltatás; valamint az egyes C-ITS-ben érdekelt felek/szervezeti egységek; a legmagasabb szintet kell figyelembe venni teljes hatásként; az azonosított incidens-forgatókönyvek valószínűségét értékelni kell legalább az alábbi három szint alkalmazásával: nem valószínű (1. érték) nem valószínű, hogy az incidensforgatókönyv bekövetkezik / nem könnyű kivitelezni az incidens- HU 7 HU

forgatókönyvet, vagy a támadó motivációja rendkívül alacsony szintű; lehetséges (2. érték) előfordulhat, hogy az incidens-forgatókönyv bekövetkezik / lehetséges kivitelezni az incidens-forgatókönyvet, vagy a támadó motivációja mérsékelt szintű; valószínű (3. érték) valószínű, hogy az incidens-forgatókönyv bekövetkezik / könnyű kivitelezni az incidens-forgatókönyvet, vagy a támadó motivációja magas szintű; a kockázat szintjeit minden incidens-forgatókönyv esetében meg kell határozni a hatás és valószínűség alapján, amely legalább az alábbi kockázati szinteket eredményezi: alacsony (1-es, 2-es értékek), mérsékelt (3-as, 4-es értékek) és magas (6-os, 9-es értékek) az alábbiak szerint: 3. táblázat: Kockázati szintek A hatás és a valószínűség alapján meghatározott kockázati szintek Valószínűség nem valószínű (1) lehetséges (2) valószínű (3) alacsony (1) alacsony (1) alacsony (2) mérsékelt (3) Hatás mérsékelt (2) alacsony (2) mérsékelt (4) magas (6) 1.5.2.3. Kockázatértékelés magas (3) mérsékelt (3) magas (6) magas (9) (23) A kockázat szintjeit össze kell hasonlítani a kockázatértékelési kritériumokkal és a kockázatelfogadási kritériumokkal annak érdekében, hogy meg lehessen állapítani, mely kockázatokat kell kezelni. A C-ITS-szolgáltatásra és a C-ITShálózatra vonatkozó legalább mérsékelt vagy magas szintű kockázatokat az 1.6. szakasszal összhangban kezelni kell. 1.6. A kockázatok kezelése 1.6.1. Általános (24) A kockázatokat az alábbi két megközelítés egyike szerint kell kezelni: a kockázat módosítása az 1.6.2. vagy az 1.6.3. szakaszban azonosított ellenőrzések alkalmazásával annak érdekében, hogy a fennmaradó kockázat szintje az újbóli értékelés után elfogadható legyen; kockázatmegtartás (ha a kockázat szintje megfelel a kockázatelfogadási kritériumoknak); kockázatelkerülés. (25) A kockázat megosztása vagy áthárítása nem engedélyezett a C-ITS-hálózatot érő kockázatok esetében. (26) A kockázatok kezelését dokumentálni kell, ami az alábbiakat foglalja magában: alkalmazhatósági nyilatkozat az ISO 27001-es szabvánnyal összhangban, amely meghatározza a szükséges ellenőrzéseket, és megállapítja az alábbiakat: HU 8 HU

a bekövetkezés fennmaradó valószínűsége; a hatás fennmaradó súlyossága; a fennmaradó kockázat szintje; a kockázatmegtartás vagy elkerülés okai. 1.6.2. A C-ITS-állomásokra vonatkozó ellenőrzések 1.6.2.1. Általános ellenőrzések (27) A C-ITS-állomásoknak az 1.6.1. szakasszal összhangban megfelelő ellenintézkedéseket kell bevezetniük a kockázat módosítása érdekében. Az ellenintézkedéseknek az ISO/IEC 27001 és az ISO/IEC 27002 szabványban meghatározott általános ellenőrzéseket kell bevezetniük. 1.6.2.2. A C-ITS-állomások közötti kommunikációra vonatkozó ellenőrzések (28) Az alábbi kötelező minimális ellenőrzéseket kell végrehajtani a küldő oldalán: 4. táblázat: Ellenőrzések a küldői oldalon Az alábbiak által létrehozott információ fix C-ITS-állomás Az alábbiak által létrehozott információ mobil C-ITS-állomás Bizalmas jelleg - Az üzenetekben szereplő személyes adatokat a megfelelő AT-módosítási eljárás használatával titkosítani kell, és ezáltal olyan biztonsági szintet kell biztosítani, amely megfelel a vezetők sugárzott adatok alapján történő újbóli azonosítása által jelentett kockázatának. Ennek következtében a C-ITS-állomásoknak az AT-ket megfelelően módosítaniuk kell az üzenetek elküldésekor, és azokat a nem átlagos 1 vezetői viselkedés kivételével nem használhatják újból a módosítás után. Integritás Valamennyi üzenetet a TS 103 097 szabvánnyal [14] összhangban kell aláírni. Valamennyi üzenetet a TS 103 097 szabvánnyal [14] összhangban kell aláírni. Rendelkezésre állás - - (29) Az alábbi kötelező minimális ellenőrzéseket kell végrehajtani a fogadó oldalán: 5. táblázat: Ellenőrzések a fogadói oldalon Az alábbiak által létrehozott információ fix C-ITS-állomás Az alábbiak által létrehozott információ mobil C-ITS-állomás 1 Az átlagos vezetői viselkedés definíciója az Európai Unión belüli vezetők viselkedésének releváns statisztikai elemzésén alapul, pl. a Német Űrközpont (DLR) adatai alapján. HU 9 HU

Bizalmas jelleg Integritás Az ITS-alkalmazások által használt valamennyi üzenet integritását validálni kell a TS 103 097 szabvánnyal [14] összhangban. A kapott személyes adatokat az üzleti célból szükséges lehető legrövidebb ideig kell tárolni, a nyers- és azonosítható adatelemek esetében a maximális megőrzési idő öt perc lehet. A kapott CAM- vagy SRM-üzeneteket nem szabad továbbítani/sugározni. A kapott DENM-üzenet csak korlátozott földrajzi területen belül továbbítható/sugározható. Az ITS-alkalmazások által használt valamennyi üzenet integritását validálni kell a TS 103 097 szabvánnyal [14] összhangban. Rendelkezésre állás - A kapott SRM-üzeneteket kezelni kell, és az SRM küldője számára SSM-szórást kell létrehozni. (30) A bizalmas jellegre, az integritásra és a rendelkezésre állásra vonatkozó, a fenti táblázatokban meghatározott biztonsági követelmények támogatása érdekében valamennyi C-ITS-állomást (mobil C-ITS-állomások, beleértve a járművön belüli C-ITS-állomásokat, valamint a fix C-ITS-állomások) értékelni és tanúsítani kell a biztonsági értékelésre vonatkozó, a közös kritériumokban / ISO 15408 2 szabványban meghatározott kritériumok használatával. A C-ITSállomás különböző típusainak különböző jellemzői és az eltérő helymeghatározási adatvédelmi rendelkezések miatt különböző védelmi profilokat lehet meghatározni. (31) Valamennyi védelmi profilt és a C-ITS-állomások biztonsági tanúsítására vonatkozó kapcsolódó dokumentumot az ISO 15408 szabványnak megfelelően kell értékelni, validálni és tanúsítani a vezető tisztviselők információs rendszerek biztonságával foglalkozó csoportjának (Senior Officials Group on Information Systems Security, SOG-IS) 3 az informatikai biztonságértékelési tanúsítványok kölcsönös elismeréséről szóló megállapodása (Mutual Recognition Agreement of Information Technology Security Evaluation Certificates) vagy egy, a vonatkozó európai kiberbiztonsági keretrendszerhez tartozó, egyenértékű európai kiberbiztonsági tanúsítási rendszer használatával. Az említett biztonsági profilok fejlesztése során a C-ITS-állomás biztonsági tanúsításának hatályát a gyártó definiálhatja, amennyiban azt a következő pontban meghatározott módon a CPA és egy SOG-IS megfelelőségértékelő szervezet vagy azzal legalább egyenértékű szervezet értékeli és jóváhagyja. (32) Tekintettel arra, hogy mennyire fontos a lehető legmagasabb biztonsági szint fenntartása, a C-ITS-állomásokra vonatkozó biztonsági tanúsítványokat vagy a SOG-IS-megállapodás keretében az irányítóbizottság által elismert megfelelőségértékelő szervezetnek kell kiállítania a közös kritériumokon alapuló tanúsítási rendszer (ISO 15408) szerint, vagy egy tagállam nemzeti 2 3 A közös kritériumokra vonatkozó portál: http://www.commoncriteriaportal.org/cc/ A közúti szállítási ágazatban a SOG-IS-t például már beépítették az intelligens menetíró készülékek biztonsági tanúsításába. A SOG-IS-megállapodás jelenleg az egyetlen olyan rendszer Európában, amely támogatni tudja az elektronikus termékek biztonsági tanúsításának harmonizációját. Ezen a ponton a SOG-IS csak a közös kritériumokra vonatkozó eljárást támogatja, így a C-ITS-állomásokat a közös kritériumokkal összhangban kell értékelni és tanúsítani; lásd a https://www.sogis.org/ oldalt. HU 10 HU

kiberbiztonsági tanúsító hatósága által akkreditált megfelelőségértékelő szervezetnek. Az említett megfelelőségértékelő szervezeteknek a SOG-IS kölcsönös elismerési egyezményében meghatározottakkal legalább egyenértékű követelményeknek megfelelően kell végezniük a biztonsági értékelést. 1.6.2.3. A C-ITS-állomásokra, mint végfelhasználókra vonatkozó ellenőrzések (33) A C-ITS-állomásoknak az EU CCMS szerinti végfelhasználói szerepük szerint meg kell felelniük a hitelesítési házirendnek [1]. 1.6.3. Az EU CCMS résztvevőire vonatkozó ellenőrzések (34) Az EU CCMS résztvevőinek az EU CCMS-ben betöltött szerepük szerint meg kell felelniük a hitelesítési házirendnek [1]. 1.7. A biztonsági politikának való megfelelés (35) A C-ITS-állomások üzemeltetőinek rendszeresen kérelmezniük kell és be kell szerezniük az e házirendnek való megfelelésről szóló tanúsítványt a [12]-ben szereplő, ISO 27001 szabvány szerinti ellenőrzésre vonatkozó iránymutatásoknak megfelelően. (36) Az ellenőrző testületet egy európai akkreditációs tagnak kell akkreditálnia és tanúsítania. A testületnek meg kell felelnie a [11]-ben meghatározott követelményeknek. (37) A tanúsítvány megszerzése érdekében a C-ITS-állomások üzemeltetőinek a [3] 7.5. pontjában szereplő, dokumentált információkra vonatkozó követelményekkel foglalkozó dokumentumokat kell létrehozniuk és fenntartaniuk. A C-ITS-állomások üzemeltetőinek továbbá az alábbi, ISMSrendszerrel kapcsolatos dokumentumokat kell létrehozniuk és megőrizniük: az ISMS hatálya (az 1.3.1. szakasz és a [3] 4.3. pontja); információbiztonsági politika és célkitűzések (az 1.3.1. szakasz és a [3] 5.2. és 6.2. pontja); a kockázatértékelés és kockázatkezelési módszer részletei (az 1.5. szakasz és a [3] 6.1.2. pontja); kockázatértékelési jelentés (az 1.5. szakasz és a [3] 8.2. pontja); alkalmazhatósági nyilatkozat (az 1.6. szakasz és a [3] 6.1.3d. pontja); kockázatkezelési terv (az 1.6. szakasz és a [3] 6.1.3e. és 8.3. pontja); a kiválasztott ellenőrzések végrehajtásához szükséges dokumentumok (az 1.6. szakasz és a [3] A. melléklete). (38) A C-ITS-állomások üzemeltetőinek továbbá az alábbi, a kapott eredmények bizonyítékául szolgáló nyilvántartásokat kell létrehozniuk és megőrizniük: a képzésre, készségekre, gyakorlatra és képesítésre vonatkozó nyilvántartás (a [3] 7.2. pontja); nyomon követés és mérési eredmények (a [3] 9.1. pontja); belső ellenőrzési program (a [3] 9.2. pontja); a belső ellenőrzések eredményei (a [3] 9.2. pontja); HU 11 HU

az irányítói felülvizsgálat eredményei (a [3] 9.3. pontja); a korrekciós intézkedés eredményei (a [3] 10.1. pontja). 2. HIVATKOZÁSOK E mellékletben az alábbi hivatkozások szerepelnek: [1] E rendelet III. melléklete [2] ISO/IEC 27000 (2016): Információs technológia biztonsági technikák információbiztonsági irányítási rendszerek áttekintés és fogalmak [3] ISO/IEC 27001 (2015): Információs technológia biztonsági technikák információbiztonsági irányítási rendszerek követelmények [4] ISO/IEC 27005 (2011): Információs technológia biztonsági technikák információbiztonsági irányítás [5] ETSI TR 102 893 V1.2.1, Intelligens közlekedési rendszerek (ITS) biztonság; fenyegetés, sebezhetőség és kockázatelemzés (TVRA) [6] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) [7] ETSI EN 302 637-2 V1.4.0, Intelligens közlekedési rendszerek (ITS) Jármű-kommunikáció; Alkalmazások alapkészlete; 2. rész: A kooperatív tudatossági alapszolgáltatás specifikációja [8] ETSI EN 302 637-3 V1.3.0, Intelligens közlekedési rendszerek (ITS) Jármű-kommunikáció; Alkalmazások alapkészlete; 3. rész: A decentralizált környezetvédelmi értesítésekre vonatkozó alapszolgáltatás specifikációi [9] ETSI TS 103 301 V1.2.1: Intelligens közlekedési rendszerek (ITS) Járműkommunikáció; Alkalmazások alapkészlete; Infrastruktúra-szolgáltatások szolgáltatásiréteg-protokolljai és kommunikációs követelményei [10] Az együttműködő, intelligens közlekedési rendszerek európai stratégiája mérföldkő az együttműködő, összekapcsolt és automatizált mobilitás megvalósítása felé (COM(2016) 766, 2016. november 30.) [11] ISO/IEC 27006:2015 Információs technológia Biztonsági technikák Az információbiztonsági irányítási rendszerek ellenőrzését és tanúsítását végző szervezetekre vonatkozó követelmények [12] ISO/IEC 27007:2011 Információs technológia Biztonsági technikák Az információbiztonsági irányítási rendszerek ellenőrzésére vonatkozó iránymutatások [13] ETSI EN 302 665 V1.1.1 Intelligens közlekedési rendszerek (ITS); HU 12 HU

Kommunikációs architektúra [14] ETSI TS 103 097 V1.3.1. Intelligens közlekedési rendszerek (ITS) biztonsága; biztonsági fejléc és tanúsítási formátumok HU 13 HU

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés