NIS2 alkalmazása. Konkrét feladatok, előírt dokumentumok

Adatosztályozás
Biztonsági osztályba sorolás és a védelmi intézkedések bevezetésének támogatására szolgáló kockázatmenedzsment keretrendszer
Egyéb szabályzatok és dokumentumok
Biztonságtudatosító képzések

Adatosztályozás

Érintett szervezetek köre:

  • a) közigazgatási ágazathoz tartozó szervezetek (Forrás: Kibervédelmi Tv. 1. sz. melléklet)
  • b) a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértéket
  • c) a NKI vagy honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezet

Az adatosztályozás részletes szabályozását és konkrét feladatait a Kiberbiztonsági törvényen túl a 418/2024. (XII.23) Kormány rendelet szabályozza.

Biztonsági osztályba sorolás és a védelmi intézkedések bevezetésének támogatására szolgáló kockázatmenedzsment keretrendszer

A Kibervédelmi tv. mellett a 7/2024. (VI. 24.) MK rendelet 1. sz. melléklet szabályait kell alkalmazni.

Kockázatmenedzsment keretrendszer működtetése

A szervezet a biztonsági osztályba sorolás és a védelmi intézkedések bevezetésének támogatására kockázatmenedzsment keretrendszert működtet.

A keretrendszer alkalmazására való felkészülésként a szervezetre vonatkozóan meg kell határozni és dokumentumban rögzíteni

  • az elektronikus információs rendszerei védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat és az ehhez szükséges hatásköröket,
  • a kockázatmenedzsment stratégiáját, amely leírja, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat,
  • a védelmi intézkedések hatékonyságának folyamatos ellenőrzésére vonatkozó biztonságfelügyeleti stratégiát, amely magába foglalja a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit.

A rendszer biztonsági állapotára vonatkozó további dokumentumok

  1. rendszerbiztonsági terv
  2. rendszer kockázatelemzés
  3. intézkedési terv
  4. értékelési jelentés

Forrás: 7/2024. (VI. 24.) MK rendelet

 

Rendszerbiztonsági terv

Az elektronikus rendszerekre vonatkozóan meg kell határozni és dokumentumban rögzíteni

  • a rendszer által támogatandó üzleti célokat, funkciókat és folyamatokat,
  • a tervezésben, fejlesztésben, implementálásban, üzemeltetésben, karbantartásban, használatban és ellenőrzésben érintett személyeket vagy szervezeteket,
  • az érintett vagyonelemeket,
  • a rendszer szervezeti és technológiai határát,
  • a rendszer által feldolgozandó, tárolandó és továbbítandó adatköröket és azok életciklusát,
  • a rendszerrel kapcsolatos fenyegetettségből adódó biztonsági kockázatok értékelését és kezelését
  • a rendszer helyét a szervezeti architektúrában, amennyiben a szervezet rendelkezik vele.

A rendszerbiztonsági tervet a szervezet vezetője, vagy az elektronikus információs rendszer biztonságáért felelős személy hagyja jóvá. A szervezet köteles a védelmi intézkedések hatékonyságát folyamatosan ellenőrizni és erre vonatkozóan egy eljárásrendet kidolgozni. Ebben rangsorolja, majd végrehajtja a kiválasztott és a rendszerbiztonsági tervben dokumentált intézkedéseket. A rendszerbiztonsági tervet a védelmi intézkedések tényleges megvalósítása után mindig frissíteni szükséges.
Forrás: 7/2024. (VI. 24.) MK rendelet

Biztonsági osztályba sorolás

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet a szervezet vezetője hagy jóvá, hatáselemzés alapján kell elvégezni. Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság ajánlásként hatáselemzési módszertanokat ad ki. Ha a szervezet saját hatáselemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.

A jogszabályok 3 biztonsági osztályt határoznak meg az érintett elektronikus információs rendszer sértetlensége és rendelkezésre állása, valamint az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állásának kockázata alapján, szigorodó védelmi előírásokkal.

  • alap: legfeljebb csekély káresemény következhet be: jogszabály által nem védett adat vagy legfeljebb kis mennyiségű személyes adat sérülhet; a szervezet üzleti vagy ügymenete szempontjából csekély értékű vagy csak belső (szervezeti) szabályzóval védett adat vagy rendszer sérülhet; a lehetséges társadalmi-politikai hatás a szervezeten belül kezelhető, vagy a közvetlen és közvetett anyagi kár a szervezet éves költségvetésének vagy nettó árbevételének 1%-át nem haladja meg.
  • jelentős: közepes méretű káresemény történhet, pl.nagy mennyiségű személyes adat, illetve különleges személyes adat sérülhet; személyi sérülések esélye megnőhet (ideértve pl. a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket). A szervezet üzleti vagy ügymenete szempontjából érzékeny folyamatokat kezelő rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok stb.) védett adat sérülhet. A káresemény lehetséges társadalmi-politikai hatásai a szervezettel szemben bizalomvesztést eredményezhetnek, a jogszabályok betartása vagy végrehajtása elmaradhat, vagy a szervezet vezetésében személyi felelősségre vonást kell alkalmazni. A közvetlen és közvetett anyagi kár meghaladja a szervezet éves költségvetésének vagy nettó árbevételének 1%-át, de nem haladja meg annak 10%-át.
  • magas: különleges személyes adat nagy mennyiségben sérülhet; emberi életek kerülhetnek veszélybe, személyi sérülések nagy számban következhetnek be; nemzeti adatvagyon helyreállíthatatlanul megsérülhet; az ország, a társadalom működőképességének fenntartását biztosító kritikus infrastruktúra rendelkezésre állása nem biztosított. A szervezet üzleti vagy ügymenete szempontjából nagy értékű, üzleti titkot vagy különösen érzékeny folyamatokat kezelő rendszer vagy információt képező adat tömegesen vagy jelentősen sérülhet. Súlyos bizalomvesztés állhat elő a szervezettel szemben, alapvető emberi vagy a társadalom működése szempontjából kiemelt jogok is sérülhetnek, vagy a közvetlen és közvetett anyagi kár meghaladja a szervezet éves költségvetésének vagy nettó árbevételének 10%-át.

A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért.
Ha az „alap”-nál magasabb biztonsági osztály kerül meghatározásra, a védelem elvárt erősségének eléréséhez a szervezetnek a biztonsági osztályba sorolást követően legfeljebb két év áll rendelkezésére a biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére.
A biztonsági osztályba sorolást legalább kétévente, vagy az elektronikus rendszer biztonságát érintő, jogszabályban meghatározott változás esetén soron kívül, dokumentált módon felül kell vizsgálni.
Forrás: 7/2024. (VI. 24.) MK rendelet

Védelmi intézkedések azonosítása

7/2024. (VI. 24.) MK rendelet 2. sz. melléklete alapján kell beazonosítani a biztonsági osztályhoz tartozó védelmi intézkedéseket. A beazonosított intézkedéseket kockázatelemzés alapján testre kell szabni. Amennyiben a kockázatelemzés indokolja, a szervezet a rendelet 3. pontjában meghatározott módon eltérhet a rendszerre vonatkozó biztonsági követelményektől, illetve a 4. pontja szerint alkalmazhat helyettesítő védelmi intézkedéseket. Fentiek végrehajtásával megállapítja az elektronikus információs rendszerre értelmezendő és alkalmazandó biztonsági követelményeket.

A szervezet a biztonsági követelményeket a rendszerbiztonsági tervben dokumentálja, amelyet a szervezet vezetője vagy az elektronikus információs rendszer biztonságáért felelős szerepkört betöltő személy hagy jóvá. A szervezet a folyamatos felügyeleti stratégiával összhangban kidolgozza a rendszerre vonatkozó védelmi intézkedések hatékonyságának folyamatos ellenőrzésére vonatkozó eljárásrendet.

A rendeletben foglalt szabályozástól való eltérés lehetősége

A 7/2024. (VI.24) MK rendelet a szervezet eltérésekkel is teljesítheti a 2. mellékletben meghatározott minimális követelményeket a rendszerre meghatározott biztonsági kockázati szintnek megfelelő intézkedések kiválasztásával.

Elvárás, hogy a szervezet a vonatkozó szabályozásában dokumentálja és indokolja, hogy a jelen rendeletben foglalt védelmi intézkedésektől eltérő, általa meghatározott intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, kockázatokkal arányos biztonsági követelményszintjét, és azt, hogy miért nem használhatók a jelen rendeletben megjelölt védelmi intézkedések. Az eltéréseket bemutató dokumentumot a szervezet vezetője vagy a kockázatok felvállalására jogosult szerepkört betöltő személy hagyja jóvá.

Egyedi eltérések lehetnek:

  • működtetéssel, környezettel kapcsolatos eltérések,
  • a fizikai infrastruktúrával kapcsolatos eltérések,
  • a nyilvános hozzáféréssel kapcsolatos eltérések,
  • technológiai eltérések,
  • biztonsági szabályozással kapcsolatos eltérések,
  • a védelmi intézkedések bevezetésének fokozatosságával kapcsolatos eltérések.

Az elektronikus információs rendszer dokumentáltan elkülönített, informatikai biztonsági szempontból önállóan értékelhető elemei tekintetében a védelmi intézkedések a szervezet által elfogadott kockázatmenedzsment eljárásrendben rögzített vizsgálatot követően, külön-külön egyedi eltérésekkel is alkalmazhatóak, ha az elkülönített elemek közötti határvédelemről gondoskodtak. A határvédelem megfelelőségét, valamint az egyedi eltérések okát és mértékét dokumentálni és meghatározott gyakorisággal felülvizsgálni szükséges.
Forrás: 7/2024. (VI. 24.) MK rendelet

Helyettesítő védelmi intézkedések

A helyettesítő védelmi intézkedés alkalmazása olyan eljárás lehet, amely a rendeletben előírttal egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen és egyenértékű módon biztosít minden külső vagy belső követelménynek (pl. jogszabályoknak vagy szervezeti szintű szabályozóknak) való megfelelést.

Az alábbi feltételek szükségesek a helyettesítő intézkedés alkalmazhatóságához:

  • a védelmi intézkedések katalógusa nem tartalmaz az adott viszonyok között eredményesen és kockázatarányosan alkalmazható intézkedést;
  • felméri és a kockázatelemzési és kockázatkezelési eljárásrendnek megfelelően elfogadja a helyettesítő intézkedés alkalmazásával kapcsolatos kockázatot;
  • a vonatkozó dokumentumban bemutatja, hogy a helyettesítő intézkedések hogyan biztosítják az elektronikus információs rendszer egyenértékű biztonsági képességeit, biztonsági követelményszintjét, és azt, hogy miért nem használhatók a jelen rendeletben megjelölt védelmi intézkedések;

A vonatkozó dokumentumot a szervezet vezetője vagy a kockázatok felvállalására jogosult szerepkört betöltő személy hagyja jóvá.
Forrás: 7/2024. (VI. 24.) MK rendelet

Kockázatelemzés és a kockázatok kezelése, intézkedési terv

  1. Kockázatelemzés

A szervezet feltérképezi az elektronikus információs rendszerrel, az általa kezelt adatokkal kapcsolatosan felmerülő kockázatokat, amelynek keretében:

  • azonosítja és dokumentálja az általa feldolgozott adatok bizalmasságát, sértetlenségét és rendelkezésre állását érhető fenyegetéseket. (3. mellékletben: fenyegetés katalógus)
  • azonosítja az adatok sérülékenységét és a hajlamosító körülményeket;
  • meghatározza annak a valószínűségét, hogy a fenyegetések a szervezeti vagyonelemek, folyamatok, személyek vagy más szervezetek számára káros hatásokat eredményeznek-e; a lehetséges káros hatásokat és azok mértékét;
  • meghatározza a kockázatokat és azok mértékét egy négy fokozatú skálán kockázati kategóriába sorolja: „alacsony”, „közepes”, „magas”, „kritikus”;
  • dokumentálja és a szervezeti döntéshozók számára kommunikálja a kockázatelemzés eredményét.
  1. Kockázatok kezelése

Az egyes lépéseket intézkedési tervben kell rögzíteni az alábbiak szerint:

  • Eldönti és dokumentumban rögzíti, hogy az egyes kockázatok kezelése érdekében az alábbiak közül egyenként mely intézkedést alkalmazza:
  • kockázat elkerülése (pl. a rendszerelem, funkció használatból való teljes körű kivezetésével),
  • kockázat csökkentése védelmi intézkedések kialakításával és működtetésével,
  • kockázat áthárítása vagy megosztása harmadik felekkel,
  • kockázat felvállalása.
  • A legalacsonyabb kockázati kategóriába eső kockázatok esetén alkalmaz részletes indoklás nélkül kockázatfelvállalást. Az ennél magasabb kategóriába eső kockázatok esetén az egyes kockázatok felvállalását a szervezet vezetője vagy a kockázatok kezeléséért felelős szerepkört betöltő személy kockázatonként történő indoklás mellett hagyja jóvá.
  • A kockázatelemzés eredményét is felhasználja a védelmi intézkedések kiválasztásának és testre szabásának támogatására.
  • Végrehajtja, értékeli és felügyeli a kockázatcsökkentő védelmi intézkedéseket.
  • Nyomon követi az elektronikus információs rendszerrel kapcsolatos kockázatok változásaihoz hozzájáruló tényezőket, és ennek alapján frissíti és naprakészen tartja a kockázatelemzési dokumentumait.

Forrás: 7/2024. (VI. 24.) MK rendelet

Értékelési terv elkészítése

A szervezet köteles a megvalósított védelmi intézkedéseket értékelni

  • meghatározza a védelmi intézkedések értékeléséért felelős személyeket,
  • kialakítja, felülvizsgálja és jóváhagyja a megvalósított védelmi intézkedések értékelésének tervét,
  • az értékelési tervben meghatározott értékelési eljárásrend alapján értékeli a védelmi intézkedéseket
  • a védelmi intézkedések értékelésének dokumentálásaként elkészíti az észrevételeket és javaslatokat tartalmazó értékelési jelentését,
  • az értékelési jelentésben foglalt észrevételek és javaslatok alapján a szervezet további intézkedéseket vezet be a követelmények teljesítése érdekében, majd újraértékeli a védelmi intézkedéseket, valamint intézkedési tervet készít a fennmaradó kockázatok kezelésére.

Forrás: 7/2024. (VI. 24.) MK rendelet

Egyéb szabályzatok és dokumentumok

A szervezet a 7/2024. (VI.) MK rendelet 2. sz. melléklete (Védelmi intézkedések katalógusa) alapján köteles elkészíteni azokat a eljárásrendeket, szabályzatokat és kapcsolódó dokumentumokat, amelyek megfelelnek a szervezet biztonsági osztályba sorolásának és az elektronikus információs rendszerére vonatkozó védelmi intézkedéseinek.

Az alábbi felsorolás a főbb területeket tartalmazza.

  1. Programmenedzsment
  2. Hozzáférés felügyelet
  3. Tudatosság és képzés
  4. Naplózás és elszámoltathatóság
  5. Értékelés, engedélyezés és monitorozás
  6. Konfigurációkezelés
  7. Készenléti tervezés
  8. Azonosítás és hitelesítés
  9. Biztonsági események kezelése
  10. Karbantartás
  11. Adathordozók védelme
  12. Fizikai és környezeti védelem
  13. Tervezés
  14. Személyi biztonság
  15. Kockázatkezelés
  16. Rendszer- és szolgáltatásbeszerzés
  17. Rendszer- és kommunikációvédelem
  18. Rendszer- és információsértetlenség
  19. Ellátási lánc kockázatkezelése

Biztonságtudatosító képzések

A szervezet köteles a 7/2024. (VI.24.) MK rendelet „Védelmi intézkedések katalógusa” (2. számú melléklet) 3. pont Tudatosság és képzés előírásai alapján – a saját szabályzatában meghatározott rendszerességgel - általános biztonságtudatosító képzéseket szervezni a rendszer felhasználói számára, beleértve a vezetőket, felsővezetőket és a szerződéses partnereket. Ezen túlmenően az érintett szervezetnek szerepkör alapú biztonságtudatosító képzést is kell biztosítania a felhasználók részére, mindezt az elektronikus információs rendszerhez vagy az információhoz való hozzáférés engedélyezését vagy a kijelölt feladat végrehajtását megelőzően, továbbá azt követően a szervezet által külön meghatározott rendszerességgel.