Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez 1/16
Dokumentum információk Dokumentum címe Készítette Beosztás Verziószám v2.00 Felmérést Támogató Segédlethez Juhász György kockázat elemző és auditor Verziódátum 2014. március 25. Verziótörténet Verziószám Verziódátum Leírás Fájl neve v1.0 2014. február 18. Első kiadható változat v1.01 2014. február 20. v1.02 2014. február 28. Publikálás v2.00 2014. március 25. Stilisztikai, betűhiba javítások, frissítés Az osztályba sorolás felbontása bizalmassá, sértetlenség és rendelkezésre állás szempontjára Képlethibák javítása Útmutató_segédlethez _v1.0.pdf Útmutató_segédlethez _v1.01.pdf Útmutató_segédlethez _v1.02.pdf Útmutató_segédlethez _v2.00.pdf Útmutató_segédlethez_v2.00.pdf 2/16
Tartalomjegyzék 1 Ismerkedés... 4 1.1 A segédlet célja... 4 1.2 A segédlet elérhetősége... 4 1.3 A futtatási környezet... 5 2 A segédlet felépítése és használata... 6 2.1 A látható fülek... 6 2.2 Navigáció a segédletben... 7 2.3 Csoportosított sorok becsukása és kinyitása... 9 2.4 Színkódok...11 2.5 Kitöltés...13 3 Az eredmények megőrzése... 15 3.1 Mentés, nyomtatás...15 3.2 XML létrehozása...15 4 Ha segítségre van szüksége... 16 Útmutató_segédlethez_v2.00.pdf 3/16
1 Ismerkedés Tisztelt Olvasó! Ha Ön az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) hatálya alá tartozó szervezetnél dolgozik, és az Ön feladatai közé tartozik elektronikus információs rendszereik biztonsági osztályba sorolása, illetve ezen rendszerek informatikai biztonsági állapotának felmérése, akkor ez a dokumentum Önnek szól, és a dokumentum tárgyát képező segédletet az Ön számára hoztuk létre. 1.1 A segédlet célja Az Ibtv. technológiai végrehajtási rendeleteként a 77/2013. NFM rendelet (a továbbiakban: Rendelet) határozza meg a szervezetek biztonsági szintbe, elektronikus információs rendszerei biztonsági osztályba sorolását. A rendszerek osztályba sorolása, illetve ehhez kapcsolódóan a biztonsági osztályhoz tartozó követelmények teljesülésének ellenőrzése nélkülözhetetlen lépés az informatikai biztonság emeléséhez, mert ez az állapotfelmérés lehet alapja a biztonság növelését célzó cselekvési tervnek. A technológiai követelmények számossága és komplexitása, a megfelelőségek, illetve meg nem felelőségek kiértékelése komoly feladatot jelent az érintett szervezetek és azok érintett munkatársai számára. A feladat elvégzésének támogatására, továbbá az egységes értelmezés és kommunikáció érdekében a Nemzeti Elektronikus (NEIH) segédletet bocsát közre. A segédlet egy számolótábla munkafüzet, amely eszközül szolgál kitöltője számára ahhoz, hogy valamely elektronikus információs rendszert biztonsági osztályba soroljon a bizalmasság, sértetlenség és rendelkezésre állás szempontjaiból, rögzítse az osztályra releváns követelmények teljesülésének, illetve nem teljesülésének tényét, és ezek alapján meggyőződjön arról, hogy a rendszer mely biztonsági osztálynak felel meg a három szempont szerint. A munkafüzet automatikusan jelzi, hogy mely követelmények érvényesek az adott biztonsági osztály esetén, illetve összegzéseken keresztül kimutatja, hogy teljesülnek-e a vonatkozó követelmények. 1.2 A segédlet elérhetősége A segédlet a NEIH honlapjáról ingyenesen letölthető. A címe: http://www.neih.gov.hu/sites/default/files/u/77_2013_nfm_vhr_140325.xlsm Útmutató_segédlethez_v2.00.pdf 4/16
1.3 A futtatási környezet A segédlet MS Excel 2010 és MS Excel 2013 programokkal tesztelt, tehát működőképes minden olyan környezetben, ahol ezen verziók valamelyike megtalálható. Kivételként említendő az Excel Web App szolgáltatás, amely a felhőben tenné lehetővé a munkafüzet használatát. Technikai okokból ez nem lehetséges. Tekintve azonban, hogy a munkafüzet kitöltése során informatikai biztonsági szempontból érzékeny adatok kerülnek a munkafüzetbe, ez a hátrány ténylegesen biztonságot óvó előny. A továbbiakban a hivatkozásoknál az MS Excel 2010-es magyar verziót vettük alapul, ezek az egyéb nyelvek, illetve a 2013-as verzió esetére értelemszerűen alkalmazhatók. A segédlet úgynevezett makróbarát Excel-munkafüzet. A benne található kód kizárólag arra szolgál, hogy a később leírt ergonómiai funkció, a Csoportosított sorok becsukása és kinyitása elérhető legyen. Ha az Ön Excel környezetében a makró futtatás nem engedélyezett, akkor kísérelje meg a Fájl menü Beállítások elemének kiválasztása után az Adatvédelmi központ lapon a Makróbeállítások között engedélyezni a makrókat. Ha ez nem lehetséges, akkor feltehetőleg a rendszergazda tiltotta le a funkciót. Ha nem kívánja, vagy például biztonsági megfontolások miatt nem lehetséges a makrók engedélyezése, Ön akkor is maradéktalanul használhatja a segédletet (az említett ergonómiai funkció kivételével). A letöltött segédlet megnyitásakor figyelmeztető üzenet jelenhet meg: A használat megkezdéséhez engedélyezze a szerkesztést! Útmutató_segédlethez_v2.00.pdf 5/16
2 A segédlet felépítése és használata A segédlet a Rendelet szövegét dolgozza fel, minden követelmény (karakterhelyesen) a Rendeletből származik. 2.1 A látható fülek Összegzés A szervezet, a rendszer, a kitöltő személy nevének és a kitöltés dátumának megadására szolgáló táblázat, amely a kitöltött adatok alapján a biztonsági osztályt és az annak való megfelelést összegzi. Osztályba sorolás A biztonsági osztály bizalmasság, sértetlenség és rendelkezésre állás szempontjából való meghatározására szolgáló táblázat. Értékelés Adminisztratív Az adminisztratív követelményeknek való megfelelés összegzése. Értékelés Fizikai A fizikai követelményeknek való megfelelés összegzése. Értékelés Logikai A logikai követelményeknek való megfelelés összegzése. 3.1.1. 3.1.7. Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló hét táblázat. Útmutató_segédlethez_v2.00.pdf 6/16
3.2.1 A fizikai követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló táblázat. 3.3.1. 3.3.10. Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló tíz táblázat. 2.2 Navigáció a segédletben A munkafüzet sok táblázatból áll, az egyes táblázatok hosszúak lehetnek, ezért az eligazodást és navigációt érzékeny mezők, linkek támogatják. A linkek felismerhetők arról, hogy a bennük található szöveg aláhúzott. A táblázat felső sorában található link mindig az összegzés irányába mutat, a táblázat belsejében levő link a részletezéshez juttat el. Példaképpen az alábbi képernyőkép-sorozat mutatja a használatot: Útmutató_segédlethez_v2.00.pdf 7/16
Az Összegzés fülön a Kockázatelemzés linkre kattintva: Az Értékelés Adminisztratív fül megfelelő során találjuk magunkat. És fordítva: A legfelső sorban található Adminisztratív védelmi intézkedések link visszavisz az Öszszesítés fül megfelelő mezőjéhez. Útmutató_segédlethez_v2.00.pdf 8/16
2.3 Csoportosított sorok becsukása és kinyitása Az ebben a fejezetben leírt funkció csak akkor működik, ha a makrók futtatása engedélyezett. Ha a makrók futtatása nem engedélyezett, akkor a csoportosítások ugyan láthatók, de a csoportok nem csukhatók be. A segédletben a Rendelet felépítését követve a követelmények hierarchiába szervezve jelennek meg. Az áttekinthetőség érdekében számos fülön találhatók csoportosított sorok. Sorok egy csoportját mindig egy fölérendelt sorhoz tartozó, közvetlenül alárendelt sorok együttese alkotja. A csoportok az ablak bal szélén, a csoporthoz tartozó, látható sorok alatti sorban megjelenő négyzet alakú jelről ismerhetők meg. Ha a csoport zárt, akkor a négyzetben + jel látható, ha a csoport nyitott, akkor a négyzetben - jel található, és a négyzet fölött függőleges vonal jelzi a közös csoportba foglalt sorokat. Zárt csoport: Ugyanez a csoport nyitva: Az állapotváltozást értelemszerűen a négyzetre kattintva lehet kiváltani. Útmutató_segédlethez_v2.00.pdf 9/16
A csoportosított sorokat tartalmazó fülek felső részén szintén négyzet alakú kezelőszerv szolgál az összes csoport egyszerre való becsukására ( 1 -es jelű négyzet), vagy kinyitására ( 2 -es jelű négyzet). Útmutató_segédlethez_v2.00.pdf 10/16
2.4 Színkódok A segédletben a használatot színkódok támogatják. Áttekintő jelleggel: A kék háttér információs jelentőséggel bír, tagolja a megjelenített követelményeket. A fehér háttér, benne szöveggel azt jelzi, hogy az adott sorban beviteli mező található. A piros háttér általában nemleges érték (meg nem felelés) jelzésére szolgál. Zöld háttér jelzi a pozitív értéket (megfelelőséget). A sárga figyelemfelhívó, beviteli lehetőséget jelez. Minél sötétebb egy háttérszín, annál inkább összefoglaló jellegű a mező tartalma. Részletesen: Sötétkék háttér, fehér betűszínnel: Összefoglaló, címinformáció vagy fejléc. Középkék háttér: Összefoglaló, követelmények egy csoportjára utaló mező, vagy a Nem kötelező értéket hordozó, összefoglaló mező. Világoskék háttér: Összefoglaló, alárendelt követelményre utaló mező, vagy a táblázat tagolására szolgáló mező, vagy a beviteli mezőre vonatkozó Nem kötelező értéket hordozó mező. Útmutató_segédlethez_v2.00.pdf 11/16
Fehér háttér szöveges tartalommal: A mezőtől jobbra beviteli mező található. Sötét, vagy közepesen sötétpiros háttér: Meg nem felelőség jelzése követelmény, vagy követelmény csoport egészére. Halványpiros háttér: Nem értékkel kitöltött kétértékű beviteli mező. Sötét, vagy közepesen sötétzöld háttér: Megfelelőség jelzése követelmény, vagy követelmény csoport egészére. Halványzöld háttér: Igen értékkel kitöltött kétértékű beviteli mező. Sárga, vagy okker háttér: Adathiány jelzése követelmény, vagy követelmény csoport egészére, illetve a mezőtől balra egy, vagy egymás alatt több kitöltendő beviteli mező található. Világossárga háttér: Üres kitöltendő beviteli mező található. Útmutató_segédlethez_v2.00.pdf 12/16
2.5 Kitöltés A segédlet védett. Mind a munkafüzet, mind az egyes táblázatok zároltak, azaz korlátozottan módosíthatók. A nem módosítható beviteli mező módosítási kísérletére hibaüzenet a válasz: A beviteli mező bármikor törölhető, illetve átírható. A beviteli mezők vastag sárga szegélye kitöltött állapotban is jelzi, hogy a mező módosítható. Az Összegzés fülön, valamint az Osztályba sorolás fül 55. sorában található beviteli mezők kivételével valamennyi beviteli mezőnek összesen három állapota lehet: Igen Nem Kitöltetlen A háromállapotú beviteli mezők legördülő listával támogatják a kitöltést. A legördülő menü a mezőre klikkeléskor, a mező jobb oldalán megjelenő nyílra kattintva aktiválható. Ha egy háromállapotú beviteli mezőbe a lehetséges Igen, vagy Nem értékeken kívül valami mást kísérelnek meg beírni, a következő hibaüzenet jelenik meg: Ilyenkor a Mégse gombra klikkelve alaphelyzetbe hozható a mező. Útmutató_segédlethez_v2.00.pdf 13/16
Az Osztályba sorolás fül 55. sorában található beviteli mezők lehetőséget adnak arra, hogy a kitöltő saját szempontot is figyelembe vegyen a biztonsági osztályba sorolásnál akár a bizalmasság, akár a sértetlenség, akár a rendelkezésre állás esetén. Ha saját szempontot kíván alkalmazni, akkor ennek tömör leírását, esetlegesen egy ezzel foglalkozó külső dokumentumra (pl. kockázatelemzésre) való hivatkozást a B55 mezőben szabad szöveges formában adja meg! A C55, D55, E55 mezők rendre a bizalmasság, sértetlenség, rendelkezésre állás szerinti osztály 1-től 5-ig tartó számának megadását teszik lehetővé. A kitöltést legördülő menü segíti. A segédlet azt is megengedi, hogy valamely egy, vagy több előre megadott szempont és a saját szempont együttese határozza meg a besorolást. Az elv az, hogy az adott oszlopban megadott válaszok közül mindig a legmagasabb határozza meg a biztonsági osztályt. Útmutató_segédlethez_v2.00.pdf 14/16
3 Az eredmények megőrzése 3.1 Mentés, nyomtatás A kitöltött segédlet érték, ezért ne felejtse el kitöltés közben is folyamatosan menteni! A mentés során tetszőleges nevet adhat a munkafüzetnek, ám célszerű, ha a név utal arra a rendszerre, amelyről szól. Ha makróbarát munkafüzetként már elmentette munkáját, akkor szükség szerint ki is nyomtathatja azokat a füleket, amelyeket ilyen formában is szeretne megjeleníteni. A nyomtatási beállítások előre definiáltak (nyomtatási terület, lap tájolás, méret, fejléc, stb.), ám tetszés szerint szabadon átállíthatóak. 3.2 XML létrehozása A segédlet további tulajdonsága, hogy XML állomány létrehozását is támogatja. Az XML formátum egy strukturált szöveg formátum, amely különösen alkalmas arra, hogy programok közötti kommunikációban (pl. feltöltéskor) használják. A segédletben ezt a funkció a Mentés másként szokásos műveletnél az XML-adatok (*.xml) fájl típus kiválasztásával érhető el. A mentés során figyelmeztető üzenet jelenik meg: Ilyenkor a Tovább választásával megtörténik az XML állomány létrehozása. Ha XML-ként mentette munkáját, akkor a munkafüzet típusa XML lesz, tehát a következő mentés parancs hatására is XML-adat formátumban mentene a program. Ha tehát az XMLként való mentés után még módosít, és eredményeit makróbarát munkafüzetként szeretné megőrizni, használja ismét a Mentés másként parancsot, és adja meg újra a kívánt fájl formátumot. Tapasztalt Excel felhasználók a Menüszalag testreszabása, vagy a Gyorselérési eszköztár testreszabása segítségével megtalálhatják és megjeleníthetik a Fejlesztőeszközök lap -on található XML- Útmutató_segédlethez_v2.00.pdf 15/16
adatok exportálása parancsot, amely segítségével úgy állítható elő az XML állomány, hogy közben a munkafüzet neve nem változik meg. Az XML formátum nem olvasmányos, de többek között böngészőben is megnyitható, és tartalmi megjelenítése az alábbiakhoz hasonló: 4 Ha segítségre van szüksége Ha a segédlet használata során problémába ütközött, kérjük, akár telefonon, akár elektronikus levélben keresse a Nemzeti Elektronikus ot. Az elérhetőségeket megtalálja weboldalunkon, a http://neih.gov.hu címen. Útmutató_segédlethez_v2.00.pdf 16/16