Informatika | Informatikai biztonság » Dr. Sebestyén Attila - Tippek és trükkök az elektronikus információbiztonsági felelősöknek

Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar Gépészeti és Biztonságtudományi Intézet DIPLOMAMUNKA Tippek és trükkök az elektronikus információbiztonsági felelősöknek – egy lehetséges módszertani segítség – OE-BGK Hallgató neve: Dr. Sebestyén Attila DHTYJ9 2021. Hallgató törzskönyvi száma: T009643/FI12904/B 1081 Budapest, +36 (1) 666-5414 email@uni-obuda.hu Népszínház u. 8 +36 (1) 666-5300 www.uni-obudahu Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 3. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Tartalom BEVEZETŐ . 6 1 JOGSZABÁLYI KERETEK . 11 2 KIZÁRÁSOK . 14 3 MÓDSZERTANI MEGFONTOLÁSOK, ALAPVETÉSEK . 16 4 3.1 Kockázatelemzés és kockázat értékelés . 16

3.2 Adatosztályozás . 21 3.3 Üzleti hatáselemzés . 27 3.4 Vagyonelemek és az Informatikai infrastruktúra kockázatelemzése . 35 3.41 Vagyonelemek kockázatelemzése . 36 3.42 Informatikai infrastruktúra kockázatelemzése . 38 3.43 Informatikai kontrollok maradványkockázata . 41 KOCKÁZATOK ÉRTÉKELÉSÉNEK ÖSSZEGZÉSE. 43 4.1 5 Dokumentációs követelmények . 43 4.11 Szervezeti és üzleti folyamatok listázása (3.3 pont) 43 4.12 Üzleti folyamatok osztályozása (6. számú ábra) 43 4.13 Alkalmazás-Szervezet mátrix (9. számú ábra) 43 4.14 Folyamat-Alkalmazás mátrix (11. számú ábra) 44 4.15 Adatvagyon és alkalmazástérkép (3. számú ábra) 44 4.16 A kockázatelemzés részterületeinek összefuttatása, kiértékelés. 45 MÓDSZERTANI TIPPEK ÉS TRÜKKÖK . 50 5.1 Nyilvántartási egységek: . 50 5.11 Információbiztonsági Szabályzat szerinti nyilvántartások: . 50 5.12 Informatikai Kockázatok Kezelésének

Keretrendszere szabályzata szerint: . 50 5.13 Egyéb releváns nyilvántartási egységek: . 51 5.2 Folyamati egységek: . 51 5.21 Folyamatkatalógus . 51 5.22 A kritikus folyamatok kiesése (BCP) . 52 5.23 Folyamatok informatikai támogatása. 53 5.24 Fenyegetettség katalógus és vagyonelemek kockázatértékelése . 54 5.25 Adatvagyon leltár felülvizsgálata . 55 5.26 Informatikai kockázatok értékelése (kritikus üzleti alkalmazás reláció) . 57 5.27 Felsővezetői adatszolgáltatás (elemzés-értékelés automatikus támogatása) . 59 6 ÖSSZEGZÉS . 61 7 FELHASZNÁLT IRODALOM . 63 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 4. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 8 ÁBRÁK JEGYZÉKE . 65 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 5. oldal

Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 BEVEZETŐ Napjainkban megkérdőjelezhetetlen, hogy a számítástechnika fejlődése alapvető változásokat okozott a gazdasági, társadalmi viszonyokban1, sőt napjaink eseményei igazolják a politikai viszonyokra gyakorolt hatását is.2 Ahogyan a számítástechnika teret nyert a mindennapi életünkben, az egyedi gépek, majd a helyi hálózatok világa, az Internet, mint elektronikus Világsztráda felé fejlődött. Lényegében az elmúlt közel 30 évben az Internet szolgáltatások megalapozták a világkereskedelmet, hírközlést és kapcsolattartást, művelődést, oktatást és szórakozást, a technológia a munkavégzés meghatározó eszközévé vált. A technológiai fejlődésnek azonban azonosítható árnyoldalai is vannak, amelyek az extraprofit megszerzésének igényére és a fejlesztések dinamikájának szükségszerűségére vezethető

vissza. Joseph Alois Schumpeter, osztrák közgazdász3 az innováció természetének alapjairól szóló munkájában többek között kifejti, hogy a technológiai kutatás-fejlesztéssel termelt új javak rövidtávon monopolhelyzetet teremtenek, amely extraprofitot termel. Napjainkra értelmezve az innováció jelentőségét, a kutatás-fejlesztés és az elsőként való piacra jutás fontossága tényszerűen megállapítható. Ez tette meghatározó informatikai eszközgyártóvá az Apple-t, vagy a Samsung-ot, ahogyan a piaci megjelenés sebessége emel ki, vagy tüntet el cégeket (lásd például Xiaomi és az LG4). A piacra jutás sebessége azonban óhatatlanul minőségromláshoz (is) vezet, amely napjainkra részévé vált az informatikai eszköz, alkalmazás és szolgáltatások piacának. (Szintén csak példálódzó jelleggel utalnék a „kigyulladó”, majd „felrobbanó” iPhone 1 Alvin Toffler: A harmadik hullám című művében kifejti a modern

információs társadalom, mint harmadik hullám eljövetelét, amelynek következménye a globalizáció (első hullám a földművelés, második hullám az ipari társadalom) 2 Besenyő János „Arab tavasz” (http://real.mtakhu/83776/1/besenyopdf) Egyiptomban egy Facebook profilt használnak a tömegek megszervezéséhez és „A Capitolium ostroma” (https://index.hu/kulfold/2021/01/07/a capitolium ostroma/) a Twitteren szerveződik a tüntetés (letöltés ideje: 2021.0418 07:23) 3 Kapás Judit: Schumpeter hatalmas szellemi hagyatéka (http://web.unidebhu/jkapas/pdf/Kap%C3%A1s schumpeter%20hatalmas%20szellemi%20hagyat%C3%A9ka.pdf) (letöltés ideje: 20210418 08:08) 4 Az LG abbahagyja az okostelefon gyártást (https://hirado.hu/tudomany-high-tech/hightech/cikk/2021/04/07/ nem-gyart-tobb-mobiltelefont-az-lg) (letöltés ideje: 20210418 08:12) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 6. oldal Óbudai Egyetem Bánki

Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 akkumulátorokra5, a Microsoft Windows XP operációs rendszer „Service Pack 3” generációjára (kb. 2200 azonosított hiba kijavítsa6), vagy egy szolgáltatást ellehetetlenítő túlterheléses támadás lehetőségére.) Végeredményben a fejlődés dinamikája és a fejlesztésként előállított termék komplexitása, ebből következő bonyolultsága eleve gyártói hibákat hordozó termékeket eredményezett, míg a Világháló ezeknek a hibáknak, vagy hiányosságoknak a földrajzi területtől független kihasználásának lehetőségét teremtette meg (és akkor még nem is érintettük az állami hírszerzés, bűnelkövetés és bűnüldözés, terrorizmus témaköreit, amelyek szintén érdekes dimenziói napjaink informatikájának). Dolgozatom szempontjából az Internet, mint kibertér és az abban használt eszközök, alkalmazások és szolgáltatások biztonsága a

fókusz azzal, hogy tényként kezelem a gyártói elégtelenséget (hibás termelést és ennek ismeretében végzett gyors piacra juttatását a terméknek), illetve a kibertér, mint rendszer komplexitásából és bonyolultságából következő elégtelenségeket (ide értve az inkompatibilitás, elavultsági szintek közötti eltérések, vagy más felkészültséghez, problémaérzékenységhez, vagy éppen biztonságtudatossághoz kapcsolódó tudati-viselkedési eltéréseket is). A fejlett Világban egyértelmű az a tendencia, és bekövetkezett az a mérték, amelyben a gazdasági és társadalmi működés hatékonysága már függ az informatikai rendszerektől, másrészt ebből következően akár gazdasági, akár társadalmi (közigazgatási) területek működése kiszolgáltatottá is vált az informatikai rendszerben kezelt információ védelmének (bizalmasság, sértetlenség és hitelesség) és az informatikai rendszer megbízható működésének

(rendelkezésre állás és funkcionális működés)7. Eklatáns igazolása ennek az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló 2008. december 8-i 2008/114/EK tanácsi irányelv és az ennek való megfelelés érdekében megalkotott, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és 5 iPhone akkumulátor hibák https://icuccok.hu/2018/01/12/kigyulladt-egy-iphone-egy-ujabbnak-pedigrobbant-az-akkumulatora/ (letöltés ideje: 20210418 10:36) 6 7. Windows XP harmadik szervizcsomagja (https://www.hwswhu/hirek/32299/windows xp sp1 sp2 sp3 service pack.html) (letöltés ideje 20210418 10:42) 7 ITB 12. számú ajánlás 1 pont „Az informatikai biztonság fogalma, tartalma és határai (https://docplayer.hu/ 4015343-Informatikai-rendszerek-biztonsagi-kovetelmenyeihtml) (letöltés ideje: 2021.0418 10:58) Dr. Sebestyén Attila: Tippek

és trükkök az elektronikus információbiztonsági felelősöknek 7. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 védelméről szóló 2012. évi CLXVI törvény A törvény 1 számú mellékletében felsorolja azokat az ágazatokat és alágazataikat, amelyek szolgáltatása (eszközei, létesítménye, vagy működési rendszerének egy rendszereleme) elengedhetetlen „a létfontosságú társadalmi feladatok ellátásához - így különösen az egészségügyhöz, a lakosság személyés vagyonbiztonságához, a gazdasági és szociális közszolgáltatások biztosításához, az ország honvédelméhez, - és amelynek kiesése e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna,”8 Diplomamunkámban egy fiktív pénzintézet szemszögéből szeretném bemutatni az információbiztonsági felelős tevékenységének egy szeletét, rámutatva olyan elemeire a

munkájának, amely közvetlenül kapcsolódhat más (fizikai)biztonsági, vagy elektronikus nyilvántartási feladatokhoz. Ebből következően a törvény végrehajtására vonatkozó ágazati jogszabályok közül a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI törvény végrehajtásáról szóló 65/2013. (III 8) Korm rendelet, valamint a pénzügyi ágazathoz tartozó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 330/2015. (XI. 10) Korm rendelet tématerületéről kiindulva feltételezem, hogy a fiktív pénzintézet (továbbiakban: Molovist Bank) nemzeti létfontosságú rendszerelemmé kijelölésre került az ágazati horizontális kritériumok közül a politikai hatás kritériuma okán (Vhr. 1 számú melléklet, horizontális kritériumok, 4. pont „a politikai hatás kritériuma: az állam és intézményei iránti

közbizalom megszűnése, valamely állami szerv működésképtelenné válása miatt a lakosság biztonságérzete kritikus szint alá csökken.”) A témaválasztás szempontjából a nemzeti létfontosságú rendszerelemmé történő kijelölés közvetlen következménye az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L törvény hatálya alá kerülés, figyelemmel a törvény 2.§ (2) c) pontjára, amely alapján a törvény rendelkezéseit kell alkalmazni a „nemzeti létfontosságú rendszerelemmé a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény alapján kijelölt rendszerelemek, elektronikus információs rendszereinek védelmére.” 8 2012. évi CLXVI törvény 1§ j) pont alapján Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 8. oldal Óbudai Egyetem Bánki Donát Gépész

és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 A Molovist Bank helye-szerepe meghatározásához érdemes lehet még vizsgálni a nemzetbiztonsági védelem alá eső szervek és létesítmények köréről szóló a 2009/2015. (XII. 29) Korm határozat 1 számú melléklete intézményi és létesítményi felsorolását, valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról szóló 38/2011. (III 22) Korm rendelet melléklete szerinti, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói és nyilvántartásokra vonatkozó felsorolását. Célkitűzéseim: - igazolni szeretném, hogy egy vizsgált témakörben (a diplomamunka tárgyaként egy fiktív elektronikus információs rendszerben) átfogó módon fel tudom kutatni és be tudom mutatni a szakmaterület jogszabályi környezetét, releváns ismereteit (szabványokat, ajánlásokat, legjobb

gyakorlatokat), - feltételezem, hogy felépíthető olyan logikai rendszer, módszertan, amellyel biztosítható több szempontú, teljeskörű felülvizsgálat, nem csak egy állapotfelmérés, de az abból kiinduló stratégiai tervezés távlatával is, - meghatározom az üzleti hatáselemzés és az informatikai kockázatok felmérésének és kiértékelésének folyamati lépéseit, egymásra épülésüket, összefüggéseiket és javaslatot teszek a nyilvántartási egységekre, azok adattartalmára, mint a(z információ)biztonság irányítási rendszer alappillérei, Diplomamunkám fenti célok elérésével egy módszertani segédletet biztosít, amely gyakorlati szempontokra is figyelemmel mutatja be az elektronikus információs rendszer teljeskörű kockázatelemzését és értékelését. A módszertan kimunkálása az információvédelem területét érintően egy komplex tervezési és szervezési feladat, amellyel igazolni szeretném, hogy a műszaki

(rendszertechnológiai) szakterülethez kapcsolódóan és a szakmagyakorlás szempontjából egyéb kiemelt területek terminológiáját és előírásait (jog, biztonságtechnikai területek, menedzsment stb.) alkotó módon tudom alkalmazni. Az adatgyűjtést a fiktív Molovist Bank, mint nemzeti létfontosságú rendszerelemként kijelölt szervezet működésével kapcsolatos jogszabályi környezet megismerésével kezdem. A jogszabályból következő feladatok analizálásával meghatározom azokat a tématerületeket, folyamatokat és eljárásokat, amelyekkel a jogszabályok által elvárt Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 9. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 működés (tevékenység vagy állapot) megfelelő módon biztosítható, majd ezekből a részeredményekből összegzem, szintetizálom az általam

javasolt módszertant. A diplomamunkám elkészítése során a forráskutatást és az adatok, tények rögzítését 2021. május 15-i határnappal zártam le, eredményeim és a felhasznált ismeretek eddig az időpontig értelmezettek. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 10. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 1 JOGSZABÁLYI KERETEK Az elektronikus információs rendszer biztonságával kapcsolatos jogszabályi kereteket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L törvény (továbbiakban: Ibtv.) teremtette meg A törvény a preambulumában rögzíti, hogy „A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt - a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs

rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben sértetlenségének és kezelt rendelkezésre adatok és állásának, információk valamint bizalmasságának, ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”, az Országgyűlés erre figyelemmel alkotta meg a törvényt. A törvény a 11.§ alapján, a szervezet vezetője felelősségévé teszi az elektronikus információs rendszer (továbbiakban: EIR) védelmét, amelynek érdekében – többek között –, köteles gondoskodni például az alábbiakról: - biztosítja az EIR-re irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését, (Ibtv. 11§ (1) a) pont);

- az EIR biztonságáért felelős személyt nevez ki vagy bíz meg, (Ibtv. 11§ (1) c) pont); - meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot, (Ibtv. 11§ (1) f) pont); - rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a szervezet EIR biztonsága megfelel-e a jogszabályoknak és a kockázatoknak, (Ibtv. 11§ (1) h) pont); A jogszabály erejénél fogva szükséges tehát ez elektronikus információs rendszer biztonságáért felelős személy kijelölése (továbbiakban: IBF), akinek feladatát és felelősségét az Ibtv. 13§ (2) bekezdése határozza meg Feladatai keretében az IBF többek között „előkészíti a szervezet elektronikus információs rendszereinek biztonsági Dr. Sebestyén

Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 11. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,” (Ibtv. 13§ (1) d) pont), amelynek részletszabályait az állami és önkormányzati szervek elektronikus információ biztonságáról szóló 2013. évi L törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII 15) BM rendelet rögzíti (továbbiakban: BM rendelet) Az EIR biztonságával, így a védelmi tevékenységgel kapcsolatos tényleges feladatokat az Ibtv. már idézett preambuluma alapján a kockázatokkal arányos módon kell felépíteni, amelynek eszköze a biztonsági osztályba sorolás

(Ibtv. 1§ (1) 12 pont „biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása;”. Az Ibtv ez mellett a kockázatokkal arányos védelmet is definiálja (Ibtv. 1§ (1) 31 pont), amely alapján a védelem költségei arányosak a fenyegetések által okozható károk értékével. Az Ibtv. 7§ (1) bekezdése rögzíti is, hogy az EIR-t és a benne kezelt adatok védelmét úgy kell kialakítani, hogy védelmük a kockázatokkal arányosan biztosítható legyen, amelynek érdekében az EIR-t a bizalmasság (Confidentiality), sértetlenség (Integrity) és a rendelkezésre állás (Availability) szempontjából biztonsági osztályba kell sorolni (sokszor együtt: CIA). A BM rendelet 1. számú melléklete „Általános irányelvek” 12 pontja többek között definiálja, hogy „ az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben

kezelt adatok és annak funkciói határozzák meg.” Ezen túlmenően a jogszabály rögzíti azt is, hogy „A besorolást, amelyet az érintett szervezet vezetője hagy jóvá, kockázatelemzés alapján kell elvégezni. A Nemzeti Elektronikus Információbiztonsági Hatóság9 ajánlásként kockázatelemzési módszertanokat adhat ki. Ha a szervezet saját kockázatelemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.” 9 Az Ibtv. 2015 október 01-i módosítása után megalakult a Nemzeti Kibervédelmi Intézet (NKI), amely szervezetébe integrálta a Nemzeti Elektronikus Információbiztonsági Hatóságot (NEIH) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 12. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 A hatóság honlapján a kockázatelemzés témakörben egy hivatkozási oldal található, ahol a

módszertani ajánlással kapcsolatosan az alábbi tájékoztatás szerepel: „A folyamatok elősegítése és egységes, a Hatóság számára áttekinthető végrehajtása érdekében, a Hatóság elektronikus segédletet készít és tesz közzé az ügyfelei számára. A segédlet egy algoritmusokkal ellátott szofisztikált kérdéssor, amely kitöltése esetén a rendszer kiadja a jelenlegi biztonsági osztályt, illetve meghatározza, milyen osztályúnak kell lennie és milyen feltétetek hiányoznak ehhez. Ezeket alapul véve a szervezet egyszerűen el fogja tudni készíteni a cselekvési tervét.”10 A honlapon szereplő leírás szerint a Hatóság a kockázatelemzés módszertani ajánlásaként a 2. pontban leírt „ovi” és „szvi” makróval bővített excel munkafüzeteket publikálja, amely egyrészt valóban biztosítja a szervezet számára a gyors, a Hatóság számára könnyen feldolgozható besorolásokat, másrészt azonban csak részben tesz eleget az

adatokra és funkciókra alapuló, és a bizalmasság, sértetlenség és rendelkezésre állás szerinti besorolás követelményének. Dolgozatom végső soron egy gondolatkísérlet, egy „saját” módszertani segédlet felállítása a bemutatott jogszabályi és operatív végrehajtási környezetben. Álláspontom szerint az EIR-ben az adatok kezelését az elektronikus információs rendszer funkcióin keresztül lehet (kell) megvalósítani. Az egyértelműség érdekében a definícióm szerint a funkció az EIR azon szolgáltatása, amely segítségével a felhasználó adatmanipulációt (adat létrehozása, módosítása, törlése), illetve egyéb adatkezelést (pl.: lekérdezés, összegzés, riportkészítés, tárolás, továbbítás stb.) tud végrehajtani Az EIRben így az adatokhoz való hozzáférési jogosultság az adott funkcióhoz való hozzáférési jogosultságot, vagy annak hiányát jelenti. Ennek a logikai összefüggésnek talaján építettem fel a

dolgozatban később részletezett módszertant. 10 https://nki.govhu/hatosag/hirek/segedlet-biztonsagi-osztalyba-sorolashoz/ (letöltés ideje: 2021.0418 11:11) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 13. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 2 KIZÁRÁSOK Dolgozatomban a továbbiakban az Ibtv. és végrehajtási rendeletei értékelését kizárólag a javasolt módszertan szempontjából veszem górcső alá, kifejezetten nem tervezem a jogszabályi környezetben meglévő vélt, vagy valós terminológiai, vagy más logikai, folyamati hibákat, hiányosságokat értékelni. Gondolok itt például: - az elektronikus információs rendszer értelmezési tartománya a BM rendelet követelménylistájából következően számítástechnikai hálózati rendszerként történik; - az informatikán a tudományági megközelítést

értem, azaz az adatok gyűjtésével, feldolgozásával, tárolásával, továbbításával, többszörözésével kapcsolatos megvalósított információkezelést, és nem az informatika = számítástechnikai megfeleltetést; - az informatikai rendszert, mint a számítástechnikai eszközök hálózatát értelmezem azzal, hogy a számítástechnikai hálózat feltételezi a távközlési hálózat, mint adatátviteli összeköttetést biztosító informatikai alrendszer (környezet) jelenlétét, de ugyanakkor szűkíti az informatikai rendszer értelmezését a tudományági keretre figyelemmel, mert abba beletartozik az automatizálás, robotika, mesterséges intelligencia, biztonságtechnika, az info-kommunikáció, az IKT, a hírdástechnika stb. területek is; - a kibertér értelmezésem szerint a szervezet által működtetett számítástechnikai hálózati rendszertől hálózati határvédelmi eszközökkel elválasztott Internet; - az adatgazda, a

jogszabály (általában szervezet szintű) vagy közjogi szervezetszabályozó eszköz (általában belső utasítás) által az adat kezelésére felhatalmazott szervezet vezetője, ahol az adat keletkezik (jogszabály, így a szervezet egyszemélyű vezetője), vagy a szervezet belső működési rendje szerint delegálással felhatalmazott szervezeti egység vezetője (belső utasítás alapján). Dolgozatomban nem vizsgálom az adatgazda személye és az EIR viszonya közötti különbségeket, az Ibtv. szerinti megfelelést az Ibtv 1§ (1) 14b) pontja és az Ibtv 1§ (1) 48 pont (3) bekezdése értelmezésére; - nem vizsgálom annak lehetőségét és megfelelőségét, hogy mi az Ibtv. szerint elvárt EIR értelmezési kerete (minden egyes alkalmazás és szolgáltatás egy-egy EIR, vagy Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 14. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai

Mérnöki Kar biztonságtechnikai mérnök MSc 2021 lehetséges a kibertértől hálózati határvédelmi eszközökkel elkülönített „belső” hálózatot egy EIR-ként értelmezni)? - nem vizsgálom az Ibtv. és végrehajtási rendeleteinek az EIR képességeire, vagy az aktivált kontrolljaira vonatkoznak-e; - nem vizsgálom továbbá az EIR határai kijelöléséből (meghatározásából) következő méret, rétegződés és bonyolultságra vonatkozó rész-egész megfeleltetéseket sem, illetve az EIR funkciók és azok minőségének különbözőségéből következő értelmezési tartományait sem a BM rendelet követelményei megfeleltetésében; - az Ibtv. hatálybalépése 2013 július 01-én történt meg (Ibtv 25§) és a biztonsági osztályba sorolás feladatait első alkalommal 2014. július 01-ig kellett elvégeznie a hatálya alá tartozó szervezeteknek (Ibtv. 26§) Az Ibtv 8§ (3) bekezdése alapján, ha „az elektronikus információs rendszerre

vonatkozó védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt alapul véve, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére.” Ha a megállapított biztonsági osztály nem érte el, vagy csak az 1. biztonsági osztály követelményeinek felelt meg, akkor a cselekvési tervnek megfelelő fejlesztést az újabb biztonsági osztályhoz tartozó követelmények teljesítésével az idézett jogszabályi rendelkezés alapján kettő-kettő év alatt kellett elérnie. Ebből az is következik, hogy az 5-ös biztonsági osztály követelményei teljesítését (ha a szervezet elektronikus információs rendszere szempontjából ez az elvárt biztonsági osztály) legkésőbb 2022. június 30ig kell teljesítenie a szervezetnek (A nemzeti

létfontosságú rendszerelem esetében a kezdő időpont ettől eltérő lehet az Ibtv. 26§ (6) c) pontja alapján) Bár a jogszabály a besorolásra, a cselekvési terv elkészítésére, a felülvizsgálatra határidőket rendel, a Hatóságnak való megküldés határidői az első alkalommal való megküldést követően (lásd Ibtv. 26§) hiányoznak (lásd Ibtv 22/A§), így a biztonsági osztályba sorolás eredményének bejelentése és a magasabb biztonsági osztály követelményei teljesítésére vonatkozó cselekvési terv véghatáridői – a Hatósággal való kommunikáció és határozathozatal következményeként (is) – eltérhet az Ibtv. 26§ (7) bekezdése szerinti határidő számítástól Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 15. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3 MÓDSZERTANI MEGFONTOLÁSOK,

ALAPVETÉSEK A jogszabályi keretek fejezetben a kockázatértékelés és -elemzés módszertani alapjait az EIR-ben tárolt adatokhoz való hozzáférési jogosultság és a funkciókkal biztosított szolgáltatások használati jogosultságára, mint logikai összefüggésre javasoltam alapozni. Ez a fejezet ezt a logikai rendet, mint módszertani ajánlást mutatja be. 3.1 Kockázatelemzés és kockázat értékelés A kockázatelemzésnek és a kockázatok értékelésének jelentős szakirodalma van, jelen dolgozatban csak, mint a besorolás eszközét, illetve a jelentkező kockázatok csökkentésére lehetséges kontrollintézkedések rendszerét érintően térek ki. Figyelemmel arra is, hogy a kockázatkezelést, mint az Ibtv. szerinti információbiztonsági irányítási rendszer (IBIR) kialakításának alapkövét tekintjük, az értelmezési keretét is az EIR tárgyára szűkítjük: 11 Kockázat (risk): az információbiztonság megközelítése szerint a

fenyegetettség jellemzője, amely egy fenyegetés bekövetkezési gyakoriságának (bekövetkezési valószínűségének) és a fenyegetés által okozott kár nagyságának, súlyosságának a függvénye (szorzata). Kockázati küszöbérték: A kockázatértékelés során a bekövetkezési valószínűség 1-5 terjedő besorolások és a kumulatív üzleti hatás szerinti, és a becsült kárérték alapján megtörtént 1-5 terjedő besorolások szorzatával képzett érték, ahol az (esetünkben a Molovist Bankot érintően) a 16-os számított kockázati értéket meghaladja (ISO 27005:2011 alapján). Ebben az értelemben a kockázati küszöb a kockázati kitettségnek azt a szintjét jelöli meg, ami felett a szervezetnek mindenképpen válaszintézkedést kell tennie a felmerülő kockázatok kezelésére. Fenyegetés, fenyegetettség (threat): olyan lehetséges természeti jelenség, emberi tevékenységre visszavezethető művelet, vagy esemény, amely sértheti az EIR

vagy az EIR elemeinek védettségét, biztonságát, továbbá olyan mulasztásos cselekmény, amely sértheti az EIR védettségét, biztonságát. 11 Dr. László Gábor: Kockázatértékelés, kockázatmenedzsment – NKE ÁROP – 2221 Tudásalapú közszolgálati előmenetel, Magyary Program 2014. alapján Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 16. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Kockázatelemzés (risk analysis): az EIR értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése. Kockázatkezelés (risk treatment): a kockázatok csökkentésére vonatkozó intézkedések kiválasztására és végrehajtására vonatkozó folyamat. Kockázatkezelési intézkedések közé tartozik a kockázat

elkerülése, optimalizálása, átadása vagy a kockázat tudatos felvállalása, elviselése. Az EIR-re ható kockázatok csökkentésére irányuló intézkedésrendszer kidolgozása. Kockázatokkal arányos védelem (balancing risk and controls): az EIR olyan védelme, amikor a védelem költségei arányosak a fenyegetések által okozható károk értékével. Kockázatmenedzsment (risk management): a vezetési elvek, tapasztalatok és eljárások rendszeres alkalmazása a kockázatok azonosítására, megfigyelésére, elemzésére, felmérésére és csökkentésére. Teljes életciklus (life cycle): az EIR tervezését, fejlesztését, üzemeltetését és megszüntetését magába foglaló időtartam. Zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem. Folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem. Teljes körű védelem: az EIR valamennyi elemére kiterjedő

védelem. A kockázatot a bekövetkező kár (mértéke) és a bekövetkezés valószínűsége szorzataként értelmezzük, ahol a kárhatást a besorolás szempontjaira értelmezett kárkategóriák alapján 1-5 skálán határozzuk meg: 1 – elhanyagolható 2 – alacsony 3 – mérsékelt 4 – súlyos 5 – katasztrofális Ugyanígy a bekövetkezési valószínűséget is egy (0)1-5 skála szerint kell becsülni, amelynek elemei: soha, azaz 0.* 1 – nagyon ritka (pl.: ritkábban, mint évente következik be) 2 – ritka (pl.: évente) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 17. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3 – esetenként (pl.: ritkábban, mint negyedévente következik be) 4 – valószínű (pl.: negyedévente következik be) 5 – biztos (pl.: gyakrabban, mint évente 5 alkalommal következik be) 1.

ábra -bekövetkezési valószínűségek értékkészlete (* a „0”, nulla érték nem része az értékkészletnek, ugyanakkor a kárhatás és valószínűség szorzatából következően biztosítja a fenyegetés értékelésének kizárását. A Molovist Bank székhelye Zircen van, ahol a cunami (szökőár, vagy vihardagály) hatása a földrajzi elhelyezkedésből következően lényegében kizárható. Az özönvíz (vagy vízözön), ami reálisan elérhetné Zircet is, a Biblia kronológiája alapján Kr.e 2370-ben kezdődhetett12), ami azt jelenti, hogy kb 4300 éve nem volt vízözön a földön, így lényegében egy emberöltőre vetített gyakorisága az özönvíznek a „soha” kategória a „nagyon ritka” helyett azzal, hogy feltételezhetően már bekövetkezett, így teljesen kizárni (soha) nem lehet.) A számított (vagy ebben az értelemben eredő kockázat) jellemzően kontroll intézkedésekkel csökkenthető, ezt korrigált kockázatnak tekintjük. Az

így meghatározott maradvány kockázatot a kockázati küszöbértékre figyelemmel kell kiértékelni és a kockázatkezelési alternatíváknak megfelelően kezelni, vagy a kockázatkezelési alternatívának megfelelően felsővezetői döntésre felterjeszteni. A kockázatkezelési alternatívák típusai: ▪ Kockázatelkerülés: A kockázatelkerülés során eltekintünk azoktól az egyébként lehet előnyös folyamatoktól vagy tevékenységektől, amelyek következtében az adott kockázat fennáll. Erre akkor van szükség, amikor nincs olyan kockázatcsökkentő intézkedés, amely nyomán a kockázati szint elviselhetőre konszolidálódik. ▪ Kockázatcsökkentés: A fenyegetések kárhatásainak és/vagy valószínűségének csökkentése megfelelő preventív, detektív és korrekciós kontrollintézkedésekkel. 12 Noé bárkája szócikk wikipedia (https://hu.wikipediaorg/wiki/No%C3%A9 b%C3%A1rk%C3%A1ja) (letöltés ideje: 20210419 07:54) Dr. Sebestyén

Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 18. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 1. Lehetséges védelmi intézkedések a kockázatok bekövetkezési valószínűségének, gyakoriságának csökkentésére: - auditálási és megfelelőségi (compliance) tevékenységek; - megfelelő szerződéses feltételek meghatározása és rögzítése; - követelmények, specifikációk, rendszertervek, rendszerbevezetések és üzemeltetési tevékenységek formális ellenőrzése; 2. - folyamatellenőrzések; - projektirányítás; - megelőző karbantartások; - szabványok és minőségbiztosítási tevékenységek alkalmazása; - strukturált oktatási és képzési programok; - tesztelések; - szervezeti struktúrák; - technikai kontrollok. Lehetséges védelmi intézkedések a kockázatok káros hatásainak

csökkentésére: - működésfolytonossági tervek készítése; - katasztrófa-elhárítási tervek készítése; - megfelelő szerződéses feltételek meghatározása és rögzítése; - szerződéses elrendezések (arrangement) meghatározása és rögzítése; - szabályszerűségi ellenőrzések tervezése; - minimalizálni a szervezet kockázatoknak való kitettségét; - portfoliótervezés; - árképzési/beszerzési tevékenységek szabályozása; - erőforrások és végrehajtási tevékenységek szétválasztása. A kockázatcsökkentő intézkedéseket úgy kell megválasztani, hogy a már meglévő kontrollokkal összhangban legyenek. ▪ Kockázatáthárítás: A kockázatáthárítás úgy csökkenti a kockázati szintet, hogy a teljes kockázatot, vagy annak egy részét szerződéses, biztosítási keretek között egy másik kockázatviselő félre hárítja. Részleges áthárítás esetén az elfogadhatatlan maradvány kockázatok tovább

kezelendők más alternatíva valamelyikével. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 19. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 ▪ Kockázatviselés/vállalás: A kockázati küszöbérték feletti maradvány kockázatokat a kockázatot csökkentő végrehajtási (cselekvési) tervnek megfelelően kezelnie, vagy felvállalnia kell, és a felvállalt kockázatok esetében gondoskodni kell megfelelő akciótervekről, amelyek a kockázatok bekövetkezésekor alkalmazhatók. A kockázatcsökkentő és kockázatáthárító intézkedések eredményeként a kockázati szintnek az elviselhető szintre kell csökkennie. A kockázatviselés azt jelenti, hogy az adott tevékenység kockázata a kockázattűrő képességén belül van. ▪ Kockázati tűréshatár: Egyedileg meghatározott érték, amelyet nem haladhat meg a korrigált

kockázati tényező. A Kockázati tűréshatárok egyedi meghatározásához iránymutatásként használható az ISO 27005:2011 alapján összeállított értékelő táblázat (piros és sárga kockázati értékek kezelendők kockázatot csökkentő intézkedéssel): 2. ábra – lehetséges kockázati kitettség tábla Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 20. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3.2 Adatosztályozás Az adatosztályozás tárgyát adatkörök képezik. Az adatköröket úgy célszerű kialakítani, hogy egyértelműen azonosíthatók legyenek és ennek megfelelően mind a hozzáférési jogosultságok kezeléséhez, mind a védelmi kontrollintézkedések kialakításához egységes és konkrét tárgyat (entitást) biztosítsanak. Nem megfelelő tehát az olyan adatkör, amelyhez nem meghatározott, hogy hol

melyik rendszerben kezelt adat az osztályozás tárgya. Amennyiben valamely adat interfészeken át több rendszerben is kezelve van, megjelenési helyenként külön-külön adatkörként kell kezelni és az osztályozása során az adatkezelés kontextusát is figyelembe kell venni. Ezért lehetőség szerint az alkalmazások által kezelt adatköröket egy osztályozandó egységként kell értelmezni, kivéve a komplex moduláris alkalmazásokat, ahol ezt modulonként javasolt kialakítani. Az adatkörök kialakítása a védelmi kontrollok célra irányultságát is meghatározza, így erre figyelemmel kell kijelölésüket, elhatárolásukat elvégezni. Az adatkörök besorolását az adatköröket kezelő alkalmazásoknak örökölniük kell olyan módon, hogy az adatkörök egyes tulajdonságai esetében (bizalmasság, sértetlenség és rendelkezésre állás), a legmagasabb besorolású tulajdonságot örökölje meg az alkalmazás. Az adatköröket un. adatvagyon leltárban

kell lajstromozni, amelyben célszerű ezeket azonosítókkal jelölni, ahol a jelölésnek érdemes utalnia az adatkört kezelő alkalmazás azonosítójára is. Az adatkörök rendezettsége érdekében elvi korlátot jelent, hogy egy-egy adatkör csak egy-egy alkalmazáshoz tartozhat. (Figyelembe kell venni azonban, hogy egyegy alkalmazásban – a funkciók szerinti differenciálás mellett –, akár több adatkör is megjelenhet. Ilyen például egy integrált HR rendszerben a személyügyi adatkezelés adatai, a bérszámfejtési funkciók által kezelt adatok, vagy a HR rendszerrel összekapcsolt biztonságtechnikai rendszer adatai, mint például a munkaidő elszámoláshoz szükséges kártyamozgás adatok.) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 21. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3. ábra – lehetséges adatvagyon

leltár Az adatkörnek – főszabályként –, az adat, a funkció és a feladatkör szerinti közvetlen munkahelyi vezető az adatgazdája, aki jogosult az adatkörben szereplő adatokra vonatkozóan (funkciókon keresztüli) hozzáférési jogosultságról dönteni. (Az adathoz való hozzáférés engedélyezése, módosítása, tiltása, mindig egy döntés, amely az adatkör adatgazdájának kizárólagos kompetenciája. Ebből következően az informatikai üzemeltető nem hozhat (nem hoz) hozzáférési jogosultságra vonatkozó döntést, az ő feladata a döntésnek megfelelő rendszertechnológiai beállítások elvégzése.) Az adatkörökre vonatkozóan már (az adattartalmukból következően) elvégezhető az Ibtv. 7.§ (2) bekezdése szerint a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának kockázati besorolása. A besorolást (osztályozást) ötfokozatú skála alkalmazásával kell elvégezni (Ibtv. 7§ (2) bekezdés). Az

osztályozás segítésére károsztály táblázatot javasolt összeállítani, ami a besorolás kárértékeit szöveges kategóriák alapján segíti. 4. ábra – lehetséges kárkategóriák - CIA Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 22. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 A jogszabály értelmében az adatköröket a bizalmasság, sértetlenség és a rendelkezésre állás sérülésének kritériumai szerint kell osztályozni, ahol a kárhatás szempontjából figyelembe kell venni a pénzügy, reputációs és jogi kockázatokat is (folyamat alapú besorolás szempontrendszere alapján, lásd később). A reputációs és jogi kockázatok hatásait is célszerű becsült kárértékben (pénzösszegben) kifejezni, még akkor is, ha azt első pillantásra nem lehet pontosan meghatározni vagy az lehetetlennek tűnik. Ilyenkor

például pénzben nagyságrendileg kifejezhető károkra kell "transzformálni" a kárhatásokat: a forgalom visszaesésére, a kártérítések nagyságára, a perköltségekre kell gondolni. A Molovist Bank, mint pénzügyi intézmény adatkezelése esetében további szempont, hogy az adatok osztályozásától függetlenül az adatok védelmére szolgáló kontrollokat úgy kell biztosítani, hogy az ügyféladatot és a pénzügyi ágazati titkot a legszigorúbb biztonsági osztályba kell sorolni.13 Ugyan így figyelemmel kell lenni a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27) rendeletére is (GDPR) Az adatkörhöz tartozóan az osztályba sorolás mellett további tulajdonságokat, határétékeket is meg kell határozni, amelyek az

adatkörhöz kapcsolódóan szintén rögzítésre kerülnek az adatvagyon leltárban. Tipikusan ilyenek: - az elvárt helyreállítási idő órában megadva (RTO – Recovery Time Objective). - megengedhető adatvesztés szintén órában kifejezve (RPO – Recovery Point Objective). - maximálisan elfogadható kiesési idő (MTD – Maximum Tolerable Downtime). - adatkezeléshez kapcsolódó megőrzési idő és az adatkezelés jogalapja. - az adatkör kezelését biztosító alkalmazás. - az adatgazda. - az alkalmazást támogató alkalmazásgazda, vagy rendszergazda. 13 A Magyar Nemzeti Bank 8/2020. (VI22) számú ajánlása az informatikai rendszer védelméről 225 pont „Az intézmény az ügyféladatot és pénzügyi ágazati titkot (ideértve az érzékeny fizetési adatot is), az ezekből – visszafejthető módon – származtatott adatokat, valamint az ezeket feldolgozó rendszereket és infrastruktúra elemeket a legszigorúbb biztonsági osztályba

sorolja.” Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 23. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Az adatok osztályozását az adatgazdának kell elvégeznie, természetesen az IBF szakmai iránymutatása és segítsége mellett. Az IBF szerepe továbbá az is, hogy az adatgazda szubjektív értékelését segítse a túl- vagy alábecsült értékek meghatározásának korrigálásával. Az adatgazda az Ibtv 1§ 3a pontja alapján ”annak a szervezeti egységnek a vezetője, ahová a jogszabály, vagy közjogi szervezetszabályozó eszköz14 az adat kezelését rendeli, illetve ahol az adat keletkezik;”. A Molovist Bank, mint pénzintézet esetében, az informatikai rendszer (ebben az értelemben elektronikus információs rendszer) működtetése során figyelembe kell venni az informatikai rendszer védelméről szóló a Magyar Nemzeti

Bank 8/2020. (VI22) számú Ajánlását (továbbiakban: Ajánlás), amelynek a 2.3 pontja rendelkezik az adatgazda (és a rendszergazda) kijelölését tartalmazó dokumentumokról. Az adatgazdai kijelölő dokumentum szükségessége a pénzintézetet érintően több jogszabályból is következik, mindemellett, mint közjogi szervezet szabályozó eszköz, az IBSZ normatív követelményei részévé is tehető. Az adatgazda kijelölő okiratra vonatkozó jogszabályi helyek: - a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (továbbiakban: Bszt.) 12§ (9) e) pontja alapján; - a magánnyugdíjról és a magánnyugdíjpénztárakról szóló 1997. évi LXXXII törvény (továbbiakban. Mpt) 77/A§ (7) e) pontja alapján, - az Önkéntes Kölcsönös Biztosító Pénztárakról szóló 1993. évi XCVI törvény (továbbiakban: Öpt.) 40/C§

(7) e) pont alapján; - a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III12) Korm rendelet (továbbiakban: Kormányrendelet) 4§ (1) e) pontja alapján. 14 A jogalkotásról szóló 2010. évi CXXX törvény 1§ (1) b) pontja alapján a normatív határozat és a normatív utasítás azzal, hogy ezek olyan belső rendelkezések, szervezeti, működési szabályok, amelyek csak a kibocsátóra, illetve az alárendelt szervekre, személyekre vonatkoznak. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 24. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Tehát az adatgazda kijelölő okirat teremti meg azt a felhatalmazást, illetve rendeli el azt a feladatot, hogy az adatgazda kompetensen döntsön az

adatkörök osztályba sorolásáról (illetve az informatikai működtetés keretében a hozzáférési jogosultságokról). Bár az Ajánlás a 2.22 pontjában további feladatokat rendel az adagazdához „meghatározza legalább az adatokkal kapcsolatos biztonsági: hozzáférési, továbbítási, tárolási, archiválási, törlési, megsemmisítési, fizikai hozzáférés-védelmi, címkézési, kódolási és szállítási feltételeket, szabályokat és eljárásokat.”, ugyanakkor ezek részben, az elektronikus információs rendszer infrastrukturális környezetére, illetve annak fejlesztésére vonatkozó kompetenciák (is), így vélelmezhetően a szervezet vezetője feladataként aposztrofáltak, ami eleget tenne az Ibtv. 11§ (1) bekezdése szerinti elvárásnak: „A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint:”. Az Ajánlás fentieken túlmenően mind az adatkezelést, mind az adatgazdát

érintően további egyértelműsítést vár el a pénzügyi intézménytől, ami egyben kijelöli az adatok kezelésével kapcsolatos minimum követelmények (szempontok) körét is, amelyeket például az adatkörök osztályba sorolása esetén célszerűen figyelembe kell venni, illetve javasolt kiértékelni. Ezek az adatkezeléshez, bizonyos szempontból az adatkezelés életciklusához rendelt elvárások. Az Ajánlás szerint: „2.32 Az adatgazda és a rendszergazda fontos szereplői az információbiztonság kikényszerítésének. Az adatgazda az ágazati jogszabályokban foglaltak figyelembevételével meghatározza a rá bízott adatok bizalmasságának, sértetlenségének és rendelkezésre állásának kritériumait, így az adatok biztonsági osztályát, az adatokra vonatkozó hozzáférési, módosítási, törlési, tárolási és egyéb jogosultságokat, egyéb biztonsági követelményeket, és az adatok tárolásának, mentésének, archiválásának,

továbbításának és törlésének szabályait. A rendszergazda technológiailag kikényszeríti az adatgazda által meghatározott védelmi intézkedéseket. 2.33 Az intézmény rendelkezik az adatgazdák és a rendszergazdák feladatairól, felelősségeiről, kijelölésük és feladataik ellátásának eljárásrendjéről, ezek dokumentálásáról. 2.34 Az intézmény az adatgazda feladataként meghatározza legalább a rá bízott adatvagyon adatosztályozásával, valamint az adatokhoz rendelt hozzáférési, módosítási, Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 25. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 törlési, tárolási és egyéb jogosultságok, biztonsági követelmények, illetve az adatokIII tárolásának, mentésének, archiválásának, továbbításának és törlésének szabályai meghatározásával

kapcsolatos feladatokat. 2.35 Az intézmény kijelöli azokat a természetes személyeket, akik az adatgazdai és a rendszergazdai feladatokat ellátják, egyértelműen és számon kérhetően összerendeli őket a gondjaikra bízott konkrét információs vagyonelemekkel. 2.36 Az intézmény az adatgazdákat és rendszergazdákat jóváhagyott eljárásrend szerint, dokumentáltan értesíti kijelölésükről, feladataikról és felelősségeikről.’15 Fontos kritériuma továbbá az osztályba sorolásnak, hogy új EIR bevezetése vagy már működő EIR fejlesztése során a megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell (Ibtv. 8§ (7) bekezdés) Az adat(kör) osztályozása történhet személyes interjú keretében, de az adatgazdának az osztályozás eredményét ebben az esetben is az IBF-nek – mint az adatvagyon leltár kezelőjének írt e-mailben –, meg kell erősítenie. Az adatosztályozást nem

szükséges megismételni az adatgazda cserélődés esetén, de az új adatgazdát az adatazdai kijelölésével tájékoztatni kell a hatáskörébe rendelt adatkörök aktuális osztályozásáról. Az adatosztályozás és annak eredményeként megalkotott adatvagyon leltár nem helyettesíti a személyes adatok nyilvántartását, de tartalmazhat a személyes adatok kezelésre utaló megjegyzést: - az adatkezelés jogalapja. - megőrzési idő. - kezelt személyes és különleges adatok stb. Az adatvagyon leltárt az alkalmazás katalógussal integráltan, verzió számmal ellátva kell vezetni és érvényes utolsó példányát az Intranet oldalon publikálni kell a jogosultak számára. 15 Résztelt az MNB 8/2020. (VI11) Ajánlásából az adatgazdát érintően Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 26. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar

biztonságtechnikai mérnök MSc 2021 3.3 Üzleti hatáselemzés Az üzleti hatáselemzés (Business Impact Analysis, továbbiakban: BIA) úgy része az információbiztonsági kockázatelemzésnek (ebben az értelemben nem része az informatikai kockázatelemzésnek), hogy lényegében nem számol bekövetkezési valószínűséggel, tárgya az üzleti folyamat (kiesésének) hatása a szervezeti működésre. A BIA így, az üzleti folyamat kiesését, mint tényt kezeli és a kiesés (kár)hatását vizsgálja, annak következményei felmérésével és a kár értékének becslésével (jogi, pénzügyi és reputációs hatása révén). Ennek a hatáselemzésnek az elvárt eredménye a releváns üzleti folyamatok kiesése hatásainak csökkentése, illetve az üzleti folyamatok fenntartását és további működését (ebben az értelemben rendelkezésre állását) biztosító helyettesítő és tartalék megoldások létrejozása. Az EIR kialakítása és működtetése

szempontjából az egyik legfontosabb lépés a szervezet működésével kapcsolatos üzleti folyamatok felmérése és elemzése, hiszen ez lesz az igénytámasztó az EIR funkcionalitására, kezelt adatai bizalmasságára és sértetlenségére, illetve az informatikai megoldásokkal támogatott üzleti folyamatok rendelkezésre állására tekintettel is. A hatáselemzés során át kell tekinteni a szervezet valamennyi folyamatát, azok függőségét más folyamatoktól, és ki kell választani a szervezet számára kritikus tevékenységeket. A szervezetek jellemzően nem rendelkeznek saját folyamataik katalógusával, így az üzleti hatáselemzés első lépéseként a folyamatkatalógus összeállítása a feladat. Ehhez a feladathoz célszerű: - a szervezet működését meghatározó, vagy leíró jogszabályok összegyűjtése, - az Alapító Okirat, - a Szervezeti és Működési Szabályzat, - az ügyrendek, - a munkaköri leírások, és - a szervek,

szervezeti egységek tevékenységét szabályozó belső normatív környezet áttanulmányozása, valamint ezekből a szervezet tevékenységének, feladatrendszerének a leírása. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 27. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Alapvetően két irányban indulhat el a folyamatkatalógus összeállítása, vagy a szervezeti hierarchiát követően, vagy a tevékenységek csoportosítása révén. A Molovist Bank a szervezeti tevékenységek csoportosítása szempontja szerint állította össze a folyamatkatalógusát, amely fő- és alfolyamatokból áll, ezek: 1. 2. 3. Irányító folyamatok 1.1 stratégiai tervezés 1.2 operatív tervezés 1.3 irányító testületek működése 1.4 stratégiai kapcsolatok Értékteremtő folyamatok 2.1 Akvizíció/ ügyletigénylés 2.2 Ügylet

előkészítés 2.3 Kockázati döntéselőkészítés/döntés 2.4 Szerződéskezelés/ kötvényesítés 2.5 Pénzforgalmi lebonyolítás 2.6 Ügyletgondozás, hitelgondozás 2.7 Kárkezelés és workout folyamatok Pénzintézeti, illetve biztosítási kontroll és támogató folyamatok 3.1 Kockázati modellek kialakítása / fejlesztése 3.2 Működési kockázatkezelés 3.3 Termékszintű kockázatkezelés 3.4 Kötelező jelentésszolgálat 3.5 Terv kontrol és belső jelentés 3.6 Számvitel, kontrolling 3.7 Treasury és Treasury Back Office (likviditáskezelés és forrásbevonás) 3.8 Termék menedzsment 3.9 Számla-, levélküldés, nyilatkoztatás 3.10 Marketing 4. Általános támogató folyamatok Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 28. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 4.1 Beszerzés 4.2

Üzemeltetés 4.3 Projektiroda 4.4 IT folyamatok 4.5 Humánpolitika és szervezetfejlesztés 4.6 Számvitel, kontrolling 4.7 Belső ellenőrzés 4.8 Jogi szolgáltatások 4.9 Compliance 4.10 Bank- és Információbiztonság 4.11 Dokumentum menedzsment 4.12 Személyes és különleges adatok kezelése 4.13 Minősített adatok kezelése Az egyes folyamatokért az SZMSZ-ből következően az adott szervezeti egység vezetője, mint folyamatgazda felel, akik javarészt azonosak az adatgazdákkal. Ugyanakkor a folyamatgazda és az adatgazda egy-egy megfeleltetése nem egyértelmű, így a folyamatgazdai szerepkörnek külön (is) meg kell jelennie a BIA során. A folyamatok felülvizsgálatát a folyamatgazdának, mint a folyamat ellátásáért felelős vezetőknek kell elvégeznie, amely a folyamatok megfelelőségén túl kiterjed a folyamat egyéb körülményeire is: - a folyamat besorolása pénzügyi, jogi és reputációs kárhatás értékelésével. - a folyamat

kiesésének még tolerálható ideje (MTD) órában megadva, figyelemmel arra, hogy a kiesés a szervezet számára már elfogadhatatlan kárt okozna. - sebezhetőségi ablak meghatározása munkaórában kifejezve, ami meghatározza azt az időintervallumot órában megadva, amelyen belül a kiesést elszenvedett kritikus folyamatot a helyettesítő, vagy tartalék eljárások végrehajtása mellett, ismételten működővé kell tenni biztosítva, hogy a kiesés elfogadhatatlan változást, vagy kárt ne okozzon a szervezeti működésében. A BIA eredménye a szervezet besorolásának megfelelő, kritikus folyamatainak listája, azok még tolerálható kiesési ideje szerinti sorrendben, azaz a kritikus üzleti folyamatok meghatározása. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 29. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 5. ábra –

lehetséges kárkategóriák - folyamat A szervezetnek a (releváns) kritikus üzleti folyamatainak meghatározását követően meg kell állapítania a kritikus folyamataiban résztvevő saját szervezeti egységeinek és a szolgáltatással érintett külső partnerek üzletmenet-folytonossági képességeit és kapacitás mutatóit. Célszerű külön üzletmenet-folytonossági szabályzatban meghatározni az üzletmenet-folytonosság tervezésével (Business Continuity Planning – BCP) kapcsolatos tevékenységek irányításáért, az ilyen irányú képesség fenntartásáért szükséges felelősségi rendet, a BCP folyamatok irányításáért felelős személy(eke)t, vagy testület összetételét, összehívásának és működésének, illetve döntési mechanizmusának rendjét (ez a Business Continuity Management, vagy BCM). 6. ábra – lehetséges folyamat besorolás Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek

30. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 A BIA eredményei alapján a szervezet kritikus üzleti folyamatainak sérülését vagy leállását akciótervekkel kell kezelni, amelyekhez egyértelműen meghatározott személyi állományt, erőforrást, védelmi intézkedéseket kell hozzárendelni. Az akcióterv része a tesztelés rendje, amelyhez meg kell határozni a tesztelés felelősét, gyakoriságát, a végrehajtás módját és a sikeres teszt kritériumait. 7. ábra - lehetséges BCP Akciótervek A kritikus üzleti folyamatok helyettesítő és tartalék megoldásaira kidolgozott akciótervek nem csak a kiesés során szükséges lépéseket, hanem az újraindítás eljárásrendjét is tartalmazzák, amely teljes folyamatra szükséges a rendszeres tesztelések végrehajtása is. 8. ábra - lehetséges BCP Akciótervek tartalmi felépítése Dr. Sebestyén Attila: Tippek és trükkök

az elektronikus információbiztonsági felelősöknek 31. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Összhangban az Ajánlás 11.26 c) pontjával a szolgáltatások folytonossága érdekében a szervezetnek tartalék feldolgozási helyszínnel is rendelkeznie kell, amelynek célja, hogy az irodai környezet (épület) akadályoztatása, kiesése idejére ideiglenes jelleggel biztosítsa a szolgáltatás elláthatóságát. A tartalékfeldolgozási helyszín kiválasztásával szemben az Ajánlás több szempontot is megfogalmaz:16 a.) a tartalék helyszín az élesüzemi rendszereit tartalmazó helyszínhez képest olyan földrajzi távolságra található, hogy katasztrófaesemények (például tűzeset, földrengés, árvíz, tűzszerészeti események) vagy közlekedési események, valamint egyéb – az adott helyszín használatát vagy az oda történő bejutást akadályozó – események a

fő- és tartalék helyszínt egyidejűleg ne érintsék; b.) az a) pontban foglaltak érdekében a két helyszín egymástól légvonalban mért távolsága a korábban kialakított székhely, illetve telephelyek esetén nem lehet kevesebb, mint 400 méter; új kialakítás esetén haladja meg az 1000 métert; c.) a helyszínek egymástól független áramellátási, távközlési és adatkommunikációs szolgáltatási betáplálással rendelkezzenek; d.) a tartalék helyszín megközelítése és az átállás teljes időtartama egybeszámítva nem haladja meg az RTO-t (lásd 10.2 pont) Természetesen előfordulhat, hogy a szervezet nem rendelkezik tartalék feldolgozási helyszínnel ugyanakkor ezt, mint a rendelkezése állást alapvetően befolyásoló kockázatot kell értékelnie. Visszatérve a szervezet folyamatkatalógusának besorolásával kapott kritikus üzleti folyamatokra, az üzletmenet-folytonosságot biztosító tartalék és helyettesítő megoldások kimunkálása

mellett, meg kell határozni az egyes folyamatokat támogató alkalmazásokat is (amelyek a folyamat által érintett tevékenységek, elvégzendő feladatok informatikai támogatását biztosítják). Tekintettel arra, hogy a Molovist Bank folyamatkatalógusa nem a szervezeti hierarchiára alapult, így a folyamatok több szervezeti egységhez is tartoz(hat)nak és azokat több alkalmazás is támogat(hat). Célszerű ezeket az összefüggéseket egy mátrixban összegezni 16 Résztelt az MNB 8/2020. (VI11) Ajánlásából a tartalék helyszínre vonatkozóan Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 32. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 9. ábra – lehetséges alkalmazás és szervezet összerendelés Ugyanígy javasolt az egyes folyamatok szervezeti egységhez rendelését is elvégezni, ahogyan a szervezet és alkalmazás

függőségeket is meghatároztuk (de ez már túlmutat a BIA keretein). 10. ábra – lehetséges folyamat és szervezet összerendelés A 2 éves felülvizsgálat következményeként előfordulhat, hogy egy folyamatot már egyik szervezet sem használja, ilyenkor meg kell vizsgálni a főfolyamat létjogosultságát is, és annak eredményeként el kell végezni a szervezeti egységhez rendelését, vagy ki kell vezetni Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 33. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 a folyamatkatalógusból. Ez utóbbi esetben azonban a folyamat felülvizsgálatának ki kell terjednie arra is, hogy a feladat milyen forrásból ered (visszautalva a fejezet elején felsorolt adatforrásokra, úgymint jogszabály, Alapító Okirat, SZMSZ, ügyrend, munkaköri leírás, belső szabályzó), így a szervezet saját

hatáskörében dönthet-e a folyamat törléséről, vagy szükséges-e valamilyen belső normájának módosítását is végrehajtania a folyamat katalógusból való törlése mellett. 11. ábra – lehetséges alkalmazás és folyamat összerendelés A folyamatkatalógusban szereplő folyamatok besorolását követően meghatározott, un. kritikus üzleti folyamatok küszöbértéke a Molovist Bank esetében a 8 óra maximálisan tolerálható folyamat leállás, vagy ha a pénzügyi, vagy reputációs vagy jogi kár mértéke bármelyik esetében meghaladja a 4-es besorolási értéket. 12. ábra – üzleti folyamatok lehetséges osztályozása Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 34. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3.4 Vagyonelemek és az Informatikai infrastruktúra kockázatelemzése Az adatok és a folyamatok

osztályozását követően meghatároztuk a kritikus üzleti folyamatokat, majd az ezeket támogató alkalmazásokat. Az alkalmazások esetében a korábbi fejezetben bemutatott osztályozás alapján (IV. B fejezet) besoroltuk az adatköröket és az adatköreik alapján az alkalmazásokat is. Meghatároztuk az alkalmazások MTD, RTO és RPO értékeit, amelyeket elemezni kell a kritikus üzleti folyamatokat támogató alkalmazásokat érintően és meg kell határozni a kritikus üzleti alkalmazásokat. A kritikus üzleti folyamatokat támogató kritikus üzleti alkalmazásokra katasztrófa elhárítási tervet (Disaster Recovery Plan – DRP) kell készíteni, amelynek feladata az informatikai rendszer megbízható működésének biztosítása, azaz a rendelkezésre állás, és a funkcionalitás elvesztése elleni védelem.17 A rendelkezésre állás több lábon álló feltételrendszer megfelelősége, amelynek szintén könyvtárnyi irodalma van, jelen dolgozat szempontjából

néhány kulcsszóval érintjük a témát:18 - egyedi meghibásodási pont felmérése (Single Point of Failure – SPOF), azaz a rendszer olyan összetevőinek megtalálása, amelynek a meghibásodása a teljes rendszer működésére kihat. - hibatűrő rendszerek, azaz olyan rendszerek, vagy ezek olyan komponensei, amelyek rendelkeznek a működés során bekövetkező hibák észlelésének és kijavításának, illetve kiküszöbölésének képességével. A hibatűrésnek több fokozata létezik, amelyek a műveleti eredmények ellenőrzésével, az adatok több példányú tárolásával, redundáns hardver elemek alkalmazásával, illetve ezek kombinációival valósítható meg. - „hideg” és „meleg” tartalék, redundáns átterhelés, terheléselosztás stb. Az informatikai rendszer működésében tipikus SPOF helyzetet teremt az erősáramú hálózati szolgáltatás, az adatösszeköttetés, a klimatizálás, adattárolás, szerver szolgáltatások

működése stb., amelyek kockázatainak azonosítása, felmérése egyrészt a vagyonelemeknek 17 Informatikai Tárcaközi Bizottság 12. számú ajánlása az informatikai rendszerek biztonsági követelményeiről SL9.3 Magas szintű rendelkezésre állás – https://huopensuseorg/Dokumentáció/SL93/Szolgáltatások/Magas szintű rendelkezésre állás (letöltés ideje: 2021.0419 15:33) 18 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 35. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 a fenyegetettségi katalógus szerinti kockázatelemzésével, másrészt az informatikai rendszerkörnyezet felmérésével végezhető el. 3.41 Vagyonelemek kockázatelemzése A vagyonelemek kockázatelemzése a fenyegetettségi katalógus összeállításával, illetve a releváns vagyonelemek csoportosításával kezdődik. A Molovist Bank a

fenyegetettségeit egy 81 elemű fenyegetettségi katalógusban összegezte, amelyek a természeti, épített környezeti és civilizációs, valamint a humán fenyegetésekre terjednek ki. A fenyegetettségi katalógus ezen túlmenően leírja az adott fenyegetésnek az értékelés során figyelembe vett káros hatásait, illetve hatásmechanizmusát, lényegében meghatározza az értelmezési keretet. 13. ábra –lehetséges fenyegetettségi katalógus Az adott fenyegetettség teljeskörű felmérésére és kiértékelésére a vagyonelemek csoportosítása három fő területre különül el, amelyek további megbontását az alábbi felsorolás tartalmazza: 1. épület 1.1 székhely (SZH) 1.2 telephely 1.3 DR-site 1.4 kirendeltég 1.5 egyszerre SZH, DR-site 2. IT infrastruktúra 2.1 gépterem 2.2 hálózat Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 36. oldal Óbudai Egyetem Bánki Donát Gépész és

Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 2.3 hardware 2.4 software 2.5 adathordozók 3. orgware19 3.1 humán erőforrás 3.2 folyamat 3.3 szabályozás Lényegében az egyes fenyegetések értelmezését és értelmezhetőségét határozzuk meg annak érdekében, hogy a kiértékelést ezzel a szűréssel egyszerűsítve lehessen végrehajtani. A 13. számú ábra példájában a „T08” fenyegetés a „Természti csapások: árvíz”, hatását nem vizsgáljuk az összes vagyonelemre, kizárólag a „telephely” és a „kirendeltség”, illetve a „humán erőforrás”, „folyamat” szempontjából. A kizárások értelmében nem számolunk az árvíz közvetlen hatásával a székhelyen és a DRsite-on elhelyezkedésük okán (székhely: Zirc, Péch Antal utca; DR-site: Budapest, Asztalos Sándor utca, T-Systems Cloud&Data Center), de célszerű ennek hatását figyelembe venni a „telephelyen” és a „kirendeltségen” abból

következően is, hogy a Molovist Bank, mint nemzetközi bank, külföldön és hazánk megyeszékhelyein is jelen van. Ezeken a helyszíneken egyedi felülvizsgálatuk mellett reálisan számolni lehet az árvíz káros hatásával (lásd Isztambul, Szeged). Fenti logikai megközelítés mentén a fenyegetettségi katalógus valamennyi fenyegetése esetében meghatározzuk az értelmezési tartományt, majd ahol a fenyegetés káros hatásával reálisan számolni kell, ott megbecsüljük a bekövetkezési valószínűséget is. A valószínűség becslése során, mint a természettudományos, megfigyelésre alapuló induktív logikai megközelítés módszere a Bayes-elmélet20 kereteit használjuk fel, lényegében ez elmúlt évek és évtizedek megfigyeléseiből és statisztikai adataiból próbálunk prognózist 19 H. Benesch, D Busse – Kulcs a számítógéphez – Műszaki Könyvkiadó, Budapest 1988 – ISBN963 10 5694 5 (az orgver eredetileg orgware – a szervezet

szervezési eljárásait, módszereit, a szabványosítást magában foglaló informatikai környezet megjelölésére szolgáló szóösszetétel, a hardware és a software példájára képzett mozaik szó az organization-ware. 20 Fegyverneki Sándor: valószínűség-számítás és matematikai statisztika, becslés elmélet TÁMOP 4.12-08/1/A2009-0033 (https://wwwuni-miskolchu/~matfs/MF 05pdf) (letöltés ideje: 20210428 22:41) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 37. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 felállítani a jövőre nézve és ebből következtetéseket levonni a fenyegetés bekövetkezésének gyakoriságára. A gyakoriságot végső soron visszavezetjük a bekövetkezés valószínűségének 1/365 naptári napra viszonyított vetítésével, azaz ha negyedévente fordul elő az esemény a gyakoriság 4/365, ha

négyévente, akkor 0,25/365. A bekövetkezési valószínűség így becsült értéke szerint súlyozzuk a kapott értéket és ez besorolásra kerül a kárkategóriákra figyelemmel, majd a súlyozott eredmény alapján arányosítás történik a rendelkezésre állást biztosító rendszertechnológiai kategóriák kockázat csökkentő hatásával (alkatrész, hideg tartalék, meleg tartalék, redundáns sw/hw, DR-site). A kapott érték szerinti súlyozott eredmény (kockázati érték) priorizálásra kerül és az öt elemű kategóriát érintően a „súlyos” és „katasztrofális” besorolásúak a „kockázatos”-ak, amelyekre kockázat csökkentő intézkedéseket kell tenni. 14. ábra – lehetséges kockázat csökkentő kontrollok 3.42 Informatikai infrastruktúra kockázatelemzése Az adatvagyon elemeire bemutatott, a fenyegetettségi katalógus szerinti kockázatelemzés – annak értelmezési tartománya szerinti szűkítéssel –, az informatikai

infrastruktúrára is elkészül, ez mellett azonban önálló informatikai kockázatelemzést is szükséges készíteni, kifejezetten az informatikai rendszer és infrastruktúra elemei értékelésével (részleteiben lásd később). Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 38. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 15. ábra – fenyegetettségi katalógus IT infrastruktúrára történő kiértékelése Az informatikai infrastruktúra elemenkénti (hálózati határvédelem, hálózat, telephelyek és géptermeik {ide értve a fizikai biztonsági kritériumok megfelelőségét vagy az erősáramú hálózatot is}, rendszerszolgáltatások kiszolgálói, mentés stb.) értékelésének feladata, a rendelkezésre állás kritériumai szerinti megfeleltetés éppúgy, mint az adatok bizalmasságának, sértetlenségének, ezeken

keresztül a rendszer zártsága állapotának felmérése is. Túlmutatva az Ibtv. és végrehajtási rendelete szerinti követelmények teljesítésén, további zártsági kritériumok is meghatározhatók az informatikai működtetés teljes életciklusára értelmezetten, például: 1. jogosultságok: felhasználók programok és szolgáltatások, mint entitások jogosultságai, 2. privilegizált, vagy más speciális jogosultsággal rendelkező felhasználók (pl.: service user) különleges szabályai, korlátosság és korlátozások, 3. összeférhetetlenségi, kiszolgáltatottság helyzetek, személyek és szerepkörök, 4. pótolhatatlanság, helyettesíthetőség, legszükségesebb minimum jogosultság, „négy szem” elv stb. 5. védendő információk és az azokat kezelő rendszerelemek nyomon követését biztosító műszaki, rendszertechnológiai, adminisztratív megoldások, 6. nyomon követés és bizonyítékbiztosítás eljárásainak, technikai

megoldásainak védelme akár a privilegizált jogosultsággal szemben, 7. összeköttetések, adatutak (export-import funkció, interface megoldások stb.) védelme, kriptográfiai megoldások, hitelesség, 8. frissítések, biztonsági frissítések, penetráció, hardening, egyéb kártékony programok elleni védekezés, karbantartás és változáskezelés szabályai. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 39. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 16. ábra – IT infrastruktúra elemek kockázatértékelése Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 40. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 3.43 Informatikai kontrollok maradványkockázata A kockázatkezelés preventív módja az

informatikai üzemeltetési folyamatok során felmerülő kockázatok megfelelő kontrollokkal történő csökkentése. Ehhez felhasználható a NIST SP 800-53 szabvány, vagy a 41/2015 (VII.15) BM rendelet Osztályba sorolás és védelmi intézkedés űrlapon felsorolt kontrollok. 17. ábra - IT kontrollok maradványkockázat felülvizsgálata A kontrollok értékelése során fel kell tüntetni (a végrehajtási tervre utalás mellett): - a kontroll nélküli becsült eredeti kárhatást, bekövetkezési valószínűséget és számolt kockázatot; - a kockázatkezelő intézkedésekkel korrigált becsült kárhatást, bekövetkezési valószínűséget és a maradvány-kockázatokat; 18. ábra – IT kontrollok maradványkockázat kiértékelése Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 41. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc

2021 A kockázatértékelést célszerű az informatikai szakterület, az épületüzemeltetés, a bankbiztonság és az adatvédelmi tisztviselő közreműködésével elvégezni, ez segíti az objektív megítélést. Szintén az informatikai kontrollok szerinti kockázatértékelést (a követelményeknek való megfelelés értékelésével) segíti az ISO 27001 2013 A melleklet szerinti kontroll elvárás lista, illetve ezeknek a kérdéseknek a megfeleltetése az EIR képességeivel. 19. ábra – ISO 27001:2013 A melléklet szerinti értékelés Az EIR-re, mint az informatikai környezetre (az infrastruktúrára és a működtetés kontroll környezetére) elvégzett kockázatelemzés és kockázatértékelés eredményeként megállapíthatók azok a gyengeségek, ahol további kockázatcsökkentést szükséges végezni, illetve meghatározhatók azok a kontroll területek (intézkedések), amelyek képességei további fejlesztéssel (beruházással),

rendszerhangolással, vagy szabályozással javíthatók. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 42. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 4 KOCKÁZATOK ÉRTÉKELÉSÉNEK ÖSSZEGZÉSE 4.1 Dokumentációs követelmények A 3. fejezetben bemutattam a kockázatértékelés teljességéhez vezető egyes elemzési területeket, amelyek részeredményeit összegezve jutunk el az EIR minden aspektusát érintő kockázati kitettség megállapításáig. Ahhoz, hogy a részeredmények kiértékelése során, valamint az ok-okozati láncok elemzésével valamennyi releváns kockázat megállapításra és lajstromozásra kerüljön, szükséges a részeredmények részterületenként való dokumentálása és kiértékelése is (lényegében a beillesztett ábrák és táblázatok ezeket a részeredményeket példázzák). 4.11 Szervezeti és

üzleti folyamatok listázása (33 pont) - Folyamatok azonosítása és szervezeti elemekhez történő hozzárendelése. - A mátrix oszlopai tartalmazzák a szervezeti egységeket. - A mátrix sorai tartalmazzák a folyamatkatalógus 2. szintű elemeit (főfolyamatok) - A mátrix metszőpontjaiban „X”-szel kell jelölni a főfolyamat és a szervezeti egységek egymáshoz rendelését. 4.12 Üzleti folyamatok osztályozása (6 számú ábra) - A táblázat sorai tartalmazzák az üzleti folyamatokat. - A táblázat oszlopai tartalmazzák a pénzügyi, a reputációs, a jogi károk, illetve a főfolyamat MTD oszlopait. - Minden főfolyamathoz rögzíteni kell a pénzügyi, a reputációs, a jogi károkra 1-5-ig terjedő skálán adott osztályzatokat. - Minden főfolyamathoz rögzíteni kell a maximális tolerálható leállást órákban kifejezve. 4.13 Alkalmazás-Szervezet mátrix (9 számú ábra) - A mátrix oszlopai tartalmazzák az szervezeti egységeket. -

A mátrix sorai tartalmazzák az Adatvagyon és Alkalmazástérképben nyilvántartott alkalmazások azonosítóit és megnevezését. - A mátrix metszőpontjaiban „X”-szel kell jelölni az alkalmazások és a szervezeti egységek egymáshoz rendelését. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 43. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 4.14 Folyamat-Alkalmazás mátrix (11 számú ábra) - A mátrix oszlopai tartalmazzák az Adatvagyon és Alkalmazástérképben nyilvántartott alkalmazások azonosítóit és megnevezését. - A mátrix sorai tartalmazzák a folyamatkatalógus 2. szintű elemeit (főfolyamatok) - A mátrix metszőpontjaiban „X”-szel kell jelölni a főfolyamatok és az alkalmazások egymáshoz rendelését. 4.15 Adatvagyon és alkalmazástérkép (3 számú ábra) Az adatvagyon és az adatokat kezelő

alkalmazások felmérésének eredménye az Adatvagyon alkalmazás térkép, mely tartalmazza a következő információkat: Adatvagyon viszonylatában: - A kezelt adatvagyonban azonosított és csoportosított adatköröket. - Az adatkörök egyértelmű és kizárólagos alkalmazáshoz rendelését (amivel az adatkezelés megvalósul). - Az adott adatkörért felelős adatgazda nevét és szervezeti egységét. - Az adatkör meghatározott besorolását a bizalmasság, sértetlenség és rendelkezésre állás szempontjából (CIA). - Az adatkör eredő kritikusságát, amely a rendelkezésre állás értékéből és az RTO-ból kerül kiszámításra. - Az adatkör MTD-jét, amit az adatgazda határoz meg. - Az adatkör RPO-ját, amit az adatgazda határoz meg. - A személyes és különleges adatok kezelésére, ügyfél- és partner adat kezelésére, illetve pénzügyi ágazati titok kezelésére vonatkozó adattartalmi megjelölést. - Az adatkör biztonsági

osztály szerinti besorolását. - Az adatkörhöz rendelt megőrzési időt és annak jogszabályi háttérre való hivatkozását. Alkalmazások viszonylatában: - Az üzleti folyamatokat támogató azonosított alkalmazásokat. - A saját fejlesztésű alkalmazások verziószámát. - Az alkalmazásokban kezelt adatkörök felelőseit. - Az alkalmazás osztályozását a bizalmasság, sértetlenség és rendelkezésre állás (CIA) alapján az adatkörökből származtatott módon. - Az alkalmazás eredő kritikusságát, besorolását, amely egyenlő az alkalmazáson belüli adatkörök legszigorúbb kockázati értékével. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 44. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - Az alkalmazást biztosító BCP, vagy DRP meglétét. - Az alkalmazás rendszergazdáját. - A nyitvatartási

(alkalmazás felhasználói használhatósági) időt. A támogató IT infrastruktúra viszonylatában: - A rendszerelem azonosítóját. - Az infrastruktúra típus ID-jét, ami a csoportra jellemző (pl. hálózati eszközök, határvédelmi rendszerek). - A rendszerelem nevét és típusát. - A felelős rendszergazda nevét. - A rendszerelem CIA osztályozását, kockázatait (worst case). - A rendszerelem redundancia kategóriáját (azaz a redundancia biztosításának módját). - A rendszerelem korrigált kockázati értékét és az az alapján meghatározott redundancia igényét, ennek hatását a meghibásodási valószínűségre. 4.16 A kockázatelemzés részterületeinek összefuttatása, kiértékelés Az átfogó és teljességre törekvő információbiztonsági kockázatelemzés segíti a Molovist Bank EIR-re ható kockázatainak pontos megismerését azok kezelésében, és a védekezésre való felkészülésben. A kockázatelemzés során az

informatikai rendszer minden elemcsoportjára és erőforrására kiterjedő felmérést, illetve a meglévő nyilvántartások pontosítását is végre kell hajtani. Az eszköz- és információvagyon felmérése után fel kell térképezni a jellemző fenyegetéseket. A historikus adatok, korábbi tapasztalatok valamint az adat-, alkalmazásgazdákkal lefolytatott interjúk alapján megbecsülhető a fenyegetések jövőbeli bekövetkezési valószínűsége, az esetlegesen bekövetkező kár nagysága, a kockázatok mértéke. A kockázatelemzés eredménye alapján meg kell határozni a kritikus üzleti folyamatokat, a kritikus alkalmazásokat és az ezekre vonatkozó kockázatkezelési intézkedéseket, amelyek lehetnek a kockázatokat: - csökkentő - áthárító - megszüntető - és felvállaló intézkedések. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 45. oldal Óbudai Egyetem Bánki Donát Gépész és

Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Az informatikai biztonság a kockázatkezelés által épül be minden, informatikai eszközzel támogatott üzleti folyamatba. A 3 fejezetben bemutatott kockázatelemzés folyamata az alábbi ábrában került összefoglalásra: 20. ábra – kockázatelemzési folyamat lépéseinek áttekintése 1. Az adatkörök besorolása. 2. Az alkalmazások besorolása (az adatköröktől örökölt módon). 3. A kontrollrendszer és az infrastrukturális rendszertechnológiai környezet értékelése. 4. Folyamatok értékelése és besorolása (függőségek meghatározása). 5. Üzletmenet-folytonossági, katasztrófa elhárítási és vészhelyzeti tervezés alapadatai. A kockázatelemzési tevékenység így végső soron, a fenyegetések azonosításával, a becsült károk felmérésével, és a bekövetkezés reális valószínűségének meghatározásával kezdődik. Ezt követően az informatikai

infrastruktúrát érintő becsült kockázatok megállapítása és javasolt kezelése után vizsgálni szükséges az üzleti folyamatokra történő hatásokat. Tekintettel arra, hogy az üzleti folyamatok szorosan kötődnek az informatikai infrastruktúrához elsődleges cél megállapítani azokat a beavatkozási pontokat, ahol erősíteni kell az informatikai infrastruktúra rendelkezésre állását, megbízhatóságát, integritását. Ennek az összevetésnek eszköze a kritikus üzleti folyamatok meghatározása, amelyek üzletmenet-folytonosságára tartalék és helyettesítő megoldásokat (Akcióterveket) kell kidolgozni, ide értve például a tartalék feldolgozási helyszínen való működés körülményeinek tisztázását is. Ezt követően szükséges meghatározni a folyamatokat támogató informatikai alkalmazások és szolgáltatások körét, szervezeti függőségeket, amelyek kijelölik, hogy egyes informatikai Dr. Sebestyén Attila: Tippek és trükkök az

elektronikus információbiztonsági felelősöknek 46. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 infrastrukturális, illetve szolgáltatási elégtelenség, a szervezet milyen területein, milyen tevékenységeiben, és milyen mértékben képes hatást gyakorolni. Ezzel kijelölhető az is, mely informatikai szolgáltatások és funkciók folyamatos rendelkezésre állása szükséges, azaz milyen hibatűrés, terhelés elosztás, átterhelhetőség, párhuzamosság szükséges az EIRben, illetve váratlan kiesés estén milyen hibaelhárító, helyreállító folyamatokkal lehet biztosítani a (funkcionális) működést. 21. ábra – kritikus üzleti folyamatok és kritikus alkalmazásaik Az üzletmenet-folytonossági menedzsment (Business Continuity Management – BCM21) itt bemutatott eszközei is (jogi és szabályozási környezet; BIA; kockázat felmérés, elemzés és értékelés; BCP/DRP

stb.) alapvető elemei, építő kövei a szervezet Információbiztonsági Irányítási Rendszerének (továbbiakban: IBIR), amely az ISO/IEC 27001 szabványcsalád szerinti intézkedések, védelmi tevékenységek rendszere. Az informatikai kockázatfelmérés és a BCM által létrehozandó akciótervek kapcsolatát az alábbi ábra szemlélteti. 21 Lásd ISO 22301:2013 szabvány, vagy ehhez kapcsolódóan PDCA (Deming-ciklus) Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 47. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Fenyegetések azonosítása Management reporting Kockázatelemzés Kockázatkezelés Kockázértékelés 22. ábra – kockázatmenedzsment ciklus A maradó kockázatok esetében (ami azt jelenti, hogy a kontroll intézkedésekkel, szabályozással a kockázat tovább nem csökkenthető), vizsgálni kell, hogy a

küszöbérték alá szorítás, milyen beruházással, fejlesztéssel biztosítható és ennek költségei arányban állnake az esetleges kárhatással. A kockázati küszöbérték feletti maradvány kockázatokat a kockázatot csökkentő végrehajtási (cselekvési) tervnek megfelelően kezelnie, vagy felvállalnia kell, és a felvállalt kockázatok esetében gondoskodni kell megfelelő akciótervekről, amelyek a kockázatok bekövetkezésekor alkalmazhatók. A kockázatcsökkentő és kockázatáthárító intézkedések eredményeként a kockázati szintnek az elviselhető szintre kell csökkennie. A kockázatviselés azt jelenti, hogy az adott tevékenység kockázata a szervezet kockázattűrő képességén belül van. A végrehajtási terv tartalmazza azokat a védelmi intézkedéseket, amelyeket az adott kockázat kapcsán bevezetni és alkalmazni célszerű, valamint a következőket: - a tervek bevezetéséért felelős szervezeti egységet és érintett személyeket,

- a bevezetéshez és alkalmazáshoz szükséges erőforrásokat, - a szükséges költségallokáció forrását, - a bevezetés ütemezését, - a bevezetés időtávját, - a kockázatcsökkentő intézkedés, vagy fejlesztés becsült mértékét, Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 48. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - a kockázatcsökkentő intézkedés várt hatásfokát, - a kockázatkezelési tervnek való megfelelés biztosításának és ellenőrzésének, módját, - ha van érintettség a külső együttműködőket, vagy társzerveket, - az audit tevékenységek adatkiszolgálásához szükséges szöveges kiegészítéseket, - a rendszeres visszamérések és felsővezetői tájékoztatások tervezett mérföldköveit. 23. ábra - Végrehajtási terv részlet Dr. Sebestyén Attila: Tippek és

trükkök az elektronikus információbiztonsági felelősöknek 49. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 5 MÓDSZERTANI TIPPEK ÉS TRÜKKÖK 5.1 Nyilvántartási egységek: 5.11 Információbiztonsági Szabályzat szerinti nyilvántartások: - funkció és szerepkör mátrix, - összeférhetetlen szerepkörök táblázatai, - adatkör, munkakör összerendelés, - adathordozók nyilvántartása, - fenyegetések nyilvántartása, - adatvagyonleltár, - informatikai eszközök (hardverek) nyilvántartása, - adatgazdák nyilvántartása, - rendszergazdák nyilvántartása, - adathordozók nyilvántartása, - technikai felhasználók nyilvántartása, - biztonsági hitelesítő eszközök nyilvántartása, - harmadik személyekről nyilvántartás, - privilegizált felhasználók nyilvántartása, - forráskódok nyilvántartására, verziókezelésre nyilvántartás,

- információbiztonsági incidensek nyilvántartása. 5.12 Informatikai Kockázatok Kezelésének Keretrendszere szabályzata szerint: - a működését veszélyeztető külső és belső fenyegető tényezők, - lehetséges kockázatcsökkentő intézkedések - kontroll táblázat – kontroll katalógus, - kárkategóriák, - alkalmazás-Szervezet mátrix, - üzleti folyamatok osztályozása, - folyamat-Szervezet-Alkalmazás mátrixok, - kritikus alkalmazás - kritikus folyamat mátrix, - kockázati környezet. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 50. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 5.13 Egyéb releváns nyilvántartási egységek: - informatikai működés szabályzata (hardver, szoftver leltár, licence gazdálkodás) - fizikai biztonsági (bankbiztonsági) - szervezetek - adatgazdák -

infrastruktúra rendszergazdák - alkalmazástámogatók - alkalmazások - infrastruktúra elemek - eszközök - licencek - kapcsolatok és adatutak - hálózatok és hálózati határvédelem 5.2 Folyamati egységek: 5.21 Folyamatkatalógus Felülvizsgálata és aktualizálása mellett, a folyamatgazdák bevonásával (interjú) besorolni és meghatározni a folyamatok kritikusságát. Szereplői: - folyamatgazda (jellemzően szervezeti egység vezetője, nem azonos az adatgazdával, átfedés lehet) - információbiztonsági felelős (moderátor, nyilvántartó) Eszközei: - folyamatkatalógus (szervezeti jogszabály, Alapító okirat, SZMSZ, ügyrend (ha van), munkaköri leírások, szervezeti működést leíró belső normatív környezet) - BIA kérdőív - kárérték táblázat besoroláshoz Folyamat fő lépései: - szervezeti (folyamatgazdát érintő személyi) változások áttekintése, fő- és alfolyamatok azonosítása. Dr. Sebestyén Attila:

Tippek és trükkök az elektronikus információbiztonsági felelősöknek 51. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - az Üzletmenet-folytonossági Keretszabályzat (továbbiakban: ÜFK) szerinti „Folyamatkatalógus” alapján, az Informatikai Kockázatok Kezelésének Keretrendszeréről szóló (továbbiakban: IKKK) szabályzat szerinti „Üzleti folyamatok osztályozása” a folyamatgazdák (igazgatók, közvetlen munkahelyi vezetők) bevonásával a pénzügyi, reputációs és jogi kárérték becslése feladatának elvégzése (felülvizsgálata) az IKKK „Kárkategóriák” kármeghatározásai alapján. - a besorolást a legmagasabb pénzügyi, reputációs, vagy jogi kárhatás alapján kell meghatározni. - a folyamatgazdának meg kell határoznia azt a maximális időtartamot (MTD) órában kifejezve, amely alatt az adott üzleti folyamat működésképtelensége még

nem okozza a főfolyamat, vagy akár a szervezet működésképtelenségét. - a folyamatgazdáknak a folyamatokhoz rendelt módon meg kell határoznia az adott folyamatot támogató alkalmazást, amely így összességében kijelöli a folyamat – szervezeti egység és az alkalmazás – szervezeti egység nézetet is. - a besorolt főfolyamatok besorolási értéke szerinti sorba rendezése megadja a kritikus folyamatokat, amelyek belső sorrendiségét az MTD értéke súlyozza, míg a kritikus üzleti folyamatokat támogató alkalmazások fókuszálják majd az informatikai kockázatelemzést. 5.22 A kritikus folyamatok kiesése (BCP) A folyamatgazdák és a szakterületi szakértők bevonásával felmérni és megtervezni a kritikus üzleti folyamatok helyettesítő és tartalék megoldásait (pl.: e-mail helyett papír alapú üzenet külön futár útján). Szereplői: - folyamatgazda (jellemzően szervezeti egység vezetője, nem azonos az adatgazdával, átfedés

lehet) - BCP felelős (moderátor, nyilvántartó) - akcióterv felelős (adott alfolyamatért felelős, vagy megbízott vezető) - akcióterv tagok (végrehajtásban résztvevők) Eszközei: - folyamatkatalógus (szervezeti és működési szabályzat, ügyrend (ha van) és munkaköri leírások) - kárérték táblázat besorolásból következő védendő érték meghatározáshoz - üzletmenet-folytonossági keretszabályzat Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 52. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - akciótervek Folyamat lépései: - kritikus üzleti folyamatok működési zavara, vagy körülményei változása esetén időszakos, vagy ideiglenes kiesése esetére helyettesítő és tartalékmegoldások, üzletmenetfolytonossági akciótervek összeállítása a rendelkezésre állás megőrzése, vagy

helyreállítása érdekében. - operatív bizottság (továbbiakban: OPB) felülvizsgálata, személyi, szervezeti változások karbantartása. - válságkommunikációs stáb felülvizsgálata, személyi, szervezeti változások karbantartása. - akciótervek, felelőseik és tagjaik felülvizsgálata, személyi, szervezeti változások karbantartása. - az üzletmenet-folytonosságban érintett külső partnerek jegyzékének felülvizsgálata, érintett termékek és szolgáltatások, szerződött partner és szerződéses adatok, elérhetőségi és kapcsolattartási információk. - BCP Akciótervek és akciócsoportok felülvizsgálata, alapinformációk, akcióterv lépései, újraindítási és visszaállítási eljárásrend, tesztelés, személyi és szervezeti változások. - folyamatkatalógus felülvizsgálata a folyamat, szervezet mátrix alapján. 5.23 Folyamatok informatikai támogatása A kritikus üzleti folyamatokat támogató, így kritikus üzleti

alkalmazások meghatározása, az adatvagyon leltár és az alkalmazástérkép aktualizálása. Szereplői: - adatgazda (jellemzően szervezeti egység vezetője, nem azonos a folyamatgazdával, átfedés lehet). - alkalmazástámogató (IT közreműködő). - IT infrastruktúra üzemeltető (IT közreműködő). - információbiztonsági felelős (moderátor, nyilvántartó). Eszközei: - folyamat-szervezet-alkalmazás mátrix o folyamatkatalógus, o alkalmazások, o szervezetek. - adatkör-alkalmazás-szerepkör-munkakör mátrix. - kritikus szerepkörök-munkakörök. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 53. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Folyamat lépései: - az „Adatvagyonleltár” és a „Informatikai kockázatok értékelése” pontok eredményei alapján munkakör (szerepkörök-alkalmazások)

és adatkör összerendelésekkel meghatározni a kritikus munkaköröket, ezzel a kritikus munkavállalókat. - a „négyszem elv”, más jóváhagyók, összeférhetetlen szerepkörök, pótolhatatlansági helyzetek és helyettesítések átfogó helyzeti felmérést követően kritikus személyek (felhasználók) áttekintése, kockázatcsökkentő intézkedések és kontrollok kialakítása (kontroll katalógus). - napló (audit napló) jogosulatlan megváltoztatásának, vagy törlésének megakadályozására irányuló IT infrastruktúra felmérése, kockázatcsökkentő intézkedések és kontrollok kialakítása. - felhasználói hozzáférések differenciálásával (IT infrastruktúra rendszergazda, alkalmazás rendszergazda, kulcsfelhasználó, vezető vagy jóváhagyó, ügyintéző, adatrögzítő) a hozzáférési és jogosultsági rendszer kockázatainak felmérése, kockázatcsökkentő intézkedések és kontrollok kialakítása. - zártsági kockázat az

űrlapkezelés, export-import, interface, adatút védelmének kockázatai áttekintésével, kockázatcsökkentő intézkedések és kontrollok kialakítása. - az alkalmazott rendszertechnológiai sajátosságokból következő különleges kockázatok (Access, felhő szolgáltatás, Internetes publikálás stb.) felmérése, kockázatcsökkentő intézkedések és kontrollok kialakítása. 5.24 Fenyegetettség katalógus és vagyonelemek kockázatértékelése A kockázat elemzés során valamennyi releváns fenyegetést katalogizálni kell (beleértve az aktualizálásukat is), majd ezeket kell kiértékelni a vagyonelemekre vonatkozóan. Szereplői: - üzemeltetési vezető. - bank- és/vagy információbiztonsági vezető. - BCP felelős. - informatikai vezető. - alkalmazástámogató (IT közreműködő). - HR vezető. - folyamatgazda. Eszközei: - fenyegetettség katalógus. - bankbiztonsági elemzés az objektumok védelmi képességéről. -

fenyegetettség hatáselemzése. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 54. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - fenyegetettség alapú kockázatbecslés értékelés. Folyamat lépései: - A társaság működését veszélyeztető külső és belső tényezők felülvizsgálata, az esemény és incidens kezelés révén felszínre került, vagy a tanulságok levonása következményeként megállapított fenyegetés azonosítása és a katalógusba való felvétele a fenyegetettség rövid leírása mellett. - A „Kockázati környezet: Fenyegetések hatása” felülvizsgálata egyrészt a vagyonelemek (épület, IT infrastruktúra, orgware) vonatkozásában, másrészt az egyes vagyonelemek és a fenyegetések viszonyában. - A bankbiztonság által az egyes objektumokra elvégzett kockázatértékelés alapján

meghatározzuk a vagyonelemre vonatkozó releváns kockázatokat, illetve vizsgáljuk, hogy a kockázatcsökkentő intézkedésekkel a maradványkockázat meghaladja-e a számított (valószínűség * kárérték) 12-es értéket (magasabb a 12-es értéknél, 12 még nem), amelyhez további kockázat csökkentő intézkedések szükségesek, vagy „megfelelő” a felvállaláshoz. - Felülvizsgáljuk és lajstromozzuk valamennyi jelenleg ismert és alkalmazott kontrollt és meghatározzuk viszonyukat a fenyegetésekkel. - Valamennyi fenyegetés esetében a vagyonelemek relevanciája alapján elvégezzük a valószínűség és kárbecslést, és elemenként meghatározzuk a fenyegetés kockázati értékét. - Ezeket a kockázati értékeket összesítjük egyrészt vagyonelemek összegzésével (épület, IT infrastruktúra, orgware), másrészt összesítjük a fenyegetések kiértékelésével is az összegzett vagyonelemek legmagasabb számított értékének

meghatározásával. - Vagyonelemek kieséséhez kapcsolódó helyettesítő és tartalékmegoldások, üzletmenetfolytonossági akciótervek összeállítása a rendelkezésre állás megőrzése, vagy helyreállítása érdekében. 5.25 Adatvagyon leltár felülvizsgálata Az adatkörök és alkalmazások lajstromozása, bizalmasság, sértetlenség és rendelkezésre állás szerinti besorolásuk, releváns működési és működtetési tulajdonságaik meghatározása (MTD, RTO, RPO stb.) Szereplői: - adatgazdák - információbiztonsági felelős (koordinátor, nyilvántartó) - adatvédelmi tisztviselő - informatikai vezető - IT infrastruktúra üzemeltető és alkalmazástámogató Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 55. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Eszközei: - adatvagyon leltár és

alkalmazástérkép. - kártérték táblázat. - IT adatvagyon. Folyamat lépései: - Szervezeti (adatgazdát érintő személyi) változások áttekintése, adatgazda – adatkörei azonosítása, az adatkör adattartalmából következő szervezeti hozzárendelés. - Az adatgazda osztályozza az adatkört bizalmasság, sértetlenség és rendelkezésre állás szerint a „Kárkategóriák” alapján. - Az információbiztonsági felelős korrekciós értékei és indokolások (szubjektum kiszűrése, rendszertechnológiai és infrastrukturális háttér ismeret, rész-egész összevetés). - A bizalmasság, sértetlenség és rendelkezésre állás osztályozását követő besorolása az alkalmazásnak az adatköre(i) legmagasabb értékei alapján. - Az adatgazda meghatározza az üzleti terület által az adatkör kiesésére vonatkozó helyreállítási időszükséglet maximumát, azaz azt a még tolerálható rendelkezésre állási hiányt, ami a munkavégzés

szempontjából még elfogadható (ez nem lehet magasabb a főfolyamat MTD értékénél), viszont alkalmazáson belül változó értékű lehet. - Az alkalmazás esetében minden adatkörre vonatkozóan minden adatgazdai értékmeghatározás után az adott adatkör helyreállítási időszükséglet maximuma, a mindösszesen legalacsonyabb megadott értékkel lesz azonos. - Az adatgazda meghatározza az alapértelmezéstől (24 óra) eltérő adatvesztési maximum időértéket (RPO). - az alkalmazás bizalmasság, sértetlenség, rendelkezésre állás szerinti besorolása az adatkörei egyes értékei maximumával azonos, és a besorolása szintén a legmagasabb értéknek megfelelő. - Az alkalmazás RTO értéke az adatkörei legalacsonyabb RTO értékével azonos. - Az adatgazdának az adatkör adatai ismeretében meg kell határoznia, hogy az adott adatkörben pénzügyi ágazati titokkörbe tartozó, partner- vagy ügyféladat, vagy személyes adattartalom

előfordul-e (MNB 8/2020. számú Ajánlás 225 pont) és ha bármelyikre igen a válasz, akkor az alkalmazás a „legszigorúbb biztonsági osztályba” kerül (ellenkező esetben „nem kritikus” a besorolás). - Az adatgazda meghatározza az adatkörre vonatkozó megőrzési időt és az azt meghatározó konkrét törvényi hivatkozást. - Az értékelés során „magas kockázatú” az alkalmazás, ha a bizalmasság, sértetlenség és a rendelkezésre állás alapján számított értéke (számítási mód összeadás) magasabb mint 12 (már a 12 is), vagy amelyek RTO értéke 4-el egyenlő. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 56. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - Az értékelés során „áltagos” besorolású a 9-11 számított értékű és 8 óra RTO értékű alkalmazás. - Az értékelés során

„elfogadható” kategóriába a 6-8 számított értékű és 24 óra RTO értékű alkalmazás tartozik. - Az értékelés során „alacsony” besorolású az 5-nél kisebb (már az 5 is) számított értékű és 72 óránál magasabb RTO értékű alkalmazás. - A folyamatkatalógus szerinti eredmény (MTD) és az adatvagyonleltár szerinti eredmény (alkalmazások RTO) összevetése alapján, ha az MTD-nél kisebb RTO érték kerül meghatározásra, akkor az RTO növelése érdekében informatikai fejlesztést kell tervezni, cselekvési tervben meghatározott feladatok, felelősségek és időtáv megjelölésével (eredmény kritikus alkalmazások és kritikus folyamatok). - Ha az MTD minden esetben >=, mint az alkalmazás RTO-ja, akkor a főfolyamat, alkalmazás viszonya „megfelelő”. - Ebben a témakörben kell aktualizálni, elemezni és értékelni az un. külső üzemeltetésű rendszerek nyilvántartását is. 5.26 Informatikai kockázatok értékelése

(kritikus üzleti alkalmazás reláció) Önállóan elemként fel kell mérni az informatikai infrastruktúrát és szolgáltatásait (hálózati határvédelem; hálózat; szerverek és szolgáltatások; kártékony programok ellen védekezés; adatszivárgás elleni védekezés; szerepkör alapú, címtárközpontú, differenciált hozzáférési jogosultságkezelés, függőségi láncolatok, összeférhetetlenségek és pótolhatatlansági helyzetet, orgware), meg kell állapítani a függőségi helyzetet az alkalmazás és adatkör irányába, hatásukat a kritikus üzleti folyamatokra, illetve a kritikus üzleti alkalmazásokra vonatkozóan. Ezt a vizsgálatot az üzemeltetés és fenntartásban résztvevő partnerekre is ki kell terjeszteni. Szereplői: - informatikai vezető - IT infrastruktúra üzemeltető és alkalmazástámogató - információbiztonsági felelős (koordinátor, nyilvántartó) Eszközei: - adatvagyon leltár és alkalmazástérkép. -

kártérték táblázat. - IT adatvagyon. - IT rendszerek, kontrollok és kockázatelemzésük. - függőségi mátrix. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 57. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Folyamat lépései: - Felül kell vizsgálni az informatikai infrastruktúra elemeit, elemcsoportjait (CMDB alapján, határvédelmi rendszerek, hálózati eszközök, tároló rendszerek stb.) és be kell sorolni ezeket az elemeket az informatikai infrastruktúra üzemeltetés vezetője által meghatározott káréték szerint a „Kárkategóriák” alapján. - A bizalmasság, sértetlenség és rendelkezésre állás értékelésével, szorzással számított kockázati értéket határozunk meg 1-125 között. - Ebből egy háttér arányszám képződik, amely alapján végzett alábbi arányosítás szerint

valószínűségi értéket határozunk meg: ▪ HA(a vizsgált érték >=100; akkor a vizsgált érték *17,4; ▪ HA(a vizsgált érték >=48; akkor a vizsgált érték *11,1; ▪ HA(a vizsgált érték >=30; akkor a vizsgált érték *6,3; ▪ HA(a vizsgált érték >=9; akkor a vizsgált érték *3,7; ▪ egyébként a vizsgált érték *1,1, majd erre építve meghatározzuk a számított valószínűségi értéket (ez a képzett valószínűségi érték (arányszám) a maximumhoz mért százalékos értéke az aktuális képzett valószínűségi értéknek). - Ezt követően a számított valószínűségi érték alapján meghatározzuk a számított valószínűséget: ▪ HA(a vizsgált érték =1; akkor "kritikus"; ▪ HA(a vizsgált érték >=0,792; akkor "magas"; ▪ HA(a vizsgált érték >=0,376; akkor "közepes"; ▪ HA(a vizsgált érték >=0,232; akkor "alacsony"; ▪ egyébként

"elhanyagolható", amely szerint elvégezzük ennek osztályozását is 1-5ös skálán. - Becslést végzünk az adott informatikai infrastruktúra elem éves szintű meghibásodási gyakoriságára. - - A meghibásodási gyakoriság alapján osztályozzuk a becsült előfordulást: ▪ HA(a vizsgált érték <7; akkor 5; ▪ HA(a vizsgált érték <13; akkor 4; ▪ HA(a vizsgált érték <25; akkor 3; ▪ HA(a vizsgált érték <49; akkor 2; ▪ különben 1 az 1-5-ös skálán. A számított valószínűség osztályozása és a becsült meghibásodás előfordulása értékek szorzatával képezzük a számított valószínűség és előfordulás adatot. - Az adott infrastruktúra elem esetében besorolást végzünk a redundancia osztályba sorolásával: ▪ HA(a vizsgált érték =1; akkor "DR-site"; Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 58. oldal Óbudai Egyetem

Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - ▪ HA(a vizsgált érték =2; akkor "redundáns SW/HW"; ▪ HA(a vizsgált érték =3; akkor "meleg tartalék"; ▪ HA(a vizsgált érték =4; akkor "hideg tartalék"; ▪ egyébként "alkatrész vagy nincs". A számított érték (valószínűség és előfordulás) és a redundancia osztály szorzatából képezzük a redundanciával csökkentett számított értéket, amelyet a metódus alapján besorolunk: - ▪ HA(a vizsgált érték <61; akkor "elhanyagolható"; ▪ HA(a vizsgált érték <121; akkor "korlátozott"; ▪ HA(a vizsgált érték <181; akkor "komoly"; ▪ HA(a vizsgált érték <241; akkor "súlyos"; ▪ egyébként "katasztrofális". Amennyiben a besorolás eredmény „súlyos”, vagy „katasztrofális” további

kockázatcsökkentő intézkedésekre, kontrollokra cselekvési tervet kell készíteni, ellenkező esetben a kockázatok felvállalhatók, és az IT infrastruktúra megfelelő. (A fenti metodika a Molovist Bank meglévő infrastruktúrájára és rendszertechnológiai megfelelésére készített megoldás, nem általánosan használható módszertan.) 5.27 Felsővezetői adatszolgáltatás (elemzés-értékelés automatikus támogatása) Az üzleti hatáselemzés és fenti kockázatértékelések döntéselőkészítési tevékenységként értelmezhetők. Mind a (további) kockázatcsökkentő intézkedések, mind az ennek érdekében szükséges fejlesztések, beruházások, mind a kockázat áthárítására, vagy felvállalására vonatkozó döntés felsővezetői kompetencia. A BIA és a kockázatértékelés lényegében a megalapozott vezetői döntés előkészítése, amely feladat tervezése és szervezésének, majd a lebonyolításának és eredményeinek felsővezetés

részére történő tájékoztatása formalizált jelentésekben, felterjesztésekben testesül meg. Szereplői: - információbiztonsági felelős - folyamatgazda - adatgazda - BCP felelős - akcióterv felelős - akcióterv tagok - informatikai vezető - alkalmazástámogató - IT infrastruktúra üzemeltető - üzemeltetési vezető Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 59. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 - bankbiztonsági és/vagy információbiztonsági vezető - HR vezető - adatvédelmi tisztviselő - folyamatgazda által megjelölt szakértő Eszközei: Az előbbi 1-6. pontban leírt eszközök által létrehozott adatok előre definiált riportjai a „szereplők” adatkarbantartási képessége biztosításával, előre definiált funkció és szerepkör mátrix alapján. Érintett riport

igények (lehetnek): - - döntéselőkészítési információk: ▪ kockázatkezelés (felvállalás) ▪ ellenőrzés statisztikája ▪ BCP/DRP ▪ adatgazdák, adatköreik, adatvagyon cselekvési tervek és azok nyomonkövetése: ▪ 4-es biztonsági osztály ▪ kockázatcsökkentő intézkedések ▪ külső audit megállapítások (MNB, KPMG, zártság) ▪ belső ellenőrzési javaslatok ▪ penetráció ▪ saját ellenőrzési megállapítások ▪ hardening (és legszűkebb szolgáltatások) ▪ tanulságlevonás - audit evidenciákhoz export, nyilvántartások alapján - alkalmazások és adatkapcsolataik (adatút és határvédelem) - megosztott mappák, mint adatkör (FileShare, SharePoint) - tesztelési (BCP/DPR) jegyzőkönyvek dokumentálása, csatolt evidenciákkal - képzések részvételi és teljesítési adatai differenciált szerepkörökre - hatályos jogszabályok, ajánlások jegyzéke Dr. Sebestyén Attila: Tippek és

trükkök az elektronikus információbiztonsági felelősöknek 60. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 6 ÖSSZEGZÉS A diplomamunkámban egy módszertani segédletet készítettem az elektronikus információs rendszer biztonságáért felelős személy részére azzal a céllal, hogy mint leendő biztonságtechnikai-rendszer tervező bizonyítsam alkalmasságomat egy probléma gyakorlati szempontú megközelítésével arra, hogy képes vagyok egy módszertan kimunkálására. A módszertan megalkotása során, jelen esetben az információvédelem területét érintően, egy komplex tervezési és szervezési feladatot végeztem el, amellyel igazolni szerettem volna, hogy mind a szakterületi terminológia megfelelő alkalmazására, mind a szakmaterület előírásaira figyelemmel (jog, biztonságtechnikai területek, menedzsment stb.) alkotó módon tudom alkalmazni megszerzett

ismereteimet. A diplomamunkám téma szerinti fő fejezeteivel (3. Módszertani megfontolások, alapvetések; 4. Kockázatok értékelésének összegzése; 5 Módszertani tippek és trükkök) igazoltam, hogy egy fiktív pénzintézet (Molovist Bank) jogszabályból következő, az információbiztonság területére értelmezhető feladatai a szervezet tevékenységét szabályozó jogi környezetből kiindulva, a szervezet szabályzói környezet felmérésével megismerhető, meghatározhatók a kritikus üzleti folyamatai, azokból kiindulva az üzletmenet-folytonossági igényei, feladatai. A kritikus üzleti folyamatain keresztül felderíthetők az azokat támogató, így kritikus üzleti alkalmazásai, az informatikai infrastruktúra magas kockázatú szolgáltatásai és azok függőségei, hatásuk a rendelkezésre állásra. A kockázatelemzést és értékelést, mint komplex döntéselőkészítő tevékenységet értelmezve, a kockázatok felmérését több

tématerületen javasolt elvégezni (folyamatok, fenyegetettségek, vagyonelemek, adatkörök és funkciók, informatikai környezet), ezzel biztosítva a teljeskörűséget, illetve a megállapított kockázatokra lehetséges válaszok (kontroll intézkedések) egymásra épített, több rétegű, zárt, folytonos és a kockázatokkal arányos védelmének biztosítását. A módszertani ajánlásom keretein belül meghatároztam az üzleti hatáselemzés és az informatikai kockázatok felmérésének és kiértékelésének folyamati lépéseit, bemutattam összefüggéseiket, ok-okozati egymásra épültségüket, javaslatot tettem az adatvagyonleltár, fenyegetettségek, üzleti hatáselemzés és az informatikai kockázatértékelés alapvető nyilvántartási egységeire, azok adattartalmára. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 61. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki

Kar biztonságtechnikai mérnök MSc 2021 Dolgozatommal a gyakorlati tapasztalataimat összegyűjtve és módszertanban rögzítve, az Nemzeti Információvédelmi Hatóság „ovi” és „szvi” táblázatain túl, mint hiányzó segédletet készítettem el első sorban azoknak, akik kinevezéssel, vagy megbízással elektronikus információbiztonsági felelősi munkakört látnak el. Bár a választott témaköröm, nem kifejezetten biztonságtechnikai mérnöki rendszertervezésről szól, ugyanakkor probléma érzékenységében, a problémaelemző és feldolgozó munka tagoltságában és a feldolgozott témakör spektrumában, valamint az érintett tématerület átfogó feldolgozásában alkalmaztam a megismert általános és specifikus elveket, szabályokat, összefüggéseket, eljárásokat. Törekedtem az interdiszciplináris megközelítésre, innovatív módon adtam megoldási javaslatot egy gyakorlati problémára, amely során korszerű ismeretszerzési és

adatgyűjtési módszereket alkalmaztam, a terminológiának megfelelően. Bemutattam, hogy képes vagyok a gyűjtött információk feldolgozására és rendszerezésére, elemzéssel és értékeléssel, analizálással és az ezt követő szintézis következményeként új „tudással” tudom bővíteni a szakmaterületet. A megalkotott módszertan és az alapnyilvántartások érdekében létrehozott excel munkafüzetek lehetővé teszik, hogy mind a kockázatelemzés és a kockázat értékelés folyamata, mind az ehhez szükséges nyilvántartások és eredménytermékek program vezérelt módon támogathatók legyenek. Azaz jelen dolgozatom tovább fejleszthető egy megvalósíthatósági tanulmány, vagy egy konkrét rendszerterv irányába, amelynek célja az IBF EIR felmérésével, besorolásával és kockázatértékelésével kapcsolatos munkájának informatikai támogatása. Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági

felelősöknek 62. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 7 FELHASZNÁLT IRODALOM 1. Alvin Toffler: A harmadik hullám. Typotex Kft – 2001 ISBN: 978-963-9326-21-7 2. Besenyő János: Arab tavasz. Kül-Világ folyóirat, VIII. évfolyam 2011/4. szám (http://real.mtakhu/83776/1/besenyopdf) - (letöltés ideje: 20210418 07:23) 3. A Capitolium ostroma (https://index.hu/kulfold/2021/01/07/a capitolium ostroma/) (letöltés ideje: 20210418 07:23) 4. Kapás Judit: Schumpeter hatalmas szellemi hagyatéka (http://web.unidebhu/jkapas/pdf /Kap%C3%A1s schumpeter%20hatalmas%20szellemi%20hagyat%C3%A9ka.pdf) (letöltés ideje: 2021.0418 08:08) 5. Az LG abbahagyja az okostelefon gyártást (https://hirado.hu/tudomany-high-tech/hightech/cikk/2021/04/07/ nem-gyart-tobb-mobiltelefont-az-lg) – (letöltés ideje: 20210418 08:12) 6. iPhone akkumulátor hibák

https://icuccok.hu/2018/01/12/kigyulladt-egy-iphone-egyujabbnak-pedig-robbant-az-akkumulatora/ (letöltés ideje: 20210418 10:36) 7. Windows XP harmadik szervizcsomagja (https://www.hwswhu/hirek/32299/windows xp sp1 sp2 sp3 service pack.html) (letöltés ideje 20210418 10:42) 8. ITB 12. számú ajánlás 1 pont „Az informatikai biztonság fogalma, tartalma és határai (https://docplayer.hu/ 4015343-Informatikai-rendszerek-biztonsagi-kovetelmenyeihtml) (letöltés ideje: 2021.0418 10:58) 9. 2012. évi CLXVI törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről. 10. 2013 évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 11. Hatósági módszertan (https://nki.govhu/hatosag/hirek/segedlet-biztonsagi-osztalyba- sorolashoz/) – (letöltés ideje: 2021.0418 11:11) 12. Dr László Gábor: Kockázatértékelés, kockázatmenedzsment – NKE ÁROP – 2221

Tudásalapú közszolgálati előmenetel, Magyary Program 2014. 13. Noé bárkája szócikk wikipedia (https://huwikipediaorg/wiki/No%C3%A9 b%C3% A1rk%C3%A1ja) - (letöltés ideje: 2021.0419 07:54)) 14. A Magyar Nemzeti Bank 8/2020 (VI22) számú ajánlása az informatikai rendszer védelméről 15. 2010 évi CXXX törvény a jogalkotásról Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 63. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 16. SL93 Magas szintű rendelkezésre állás (https://huopensuseorg/Dokumentáció/SL93/ Szolgáltatások/Magas szintű rendelkezésre állás) – (letöltés ideje: 2021.0419 15:33) 17. H Benesch, D Busse – Kulcs a számítógéphez – Műszaki Könyvkiadó, Budapest 1988 – ISBN963 10 5694 5 18. Fegyverneki Sándor: valószínűség-számítás és matematikai statisztika, becslés elmélet TÁMOP

4.12-08/1/A-2009-0033 (https://www.uni-miskolchu/~matfs/MF 05pdf) (letöltés ideje: 2021.0428 22:41) 19. ISO 22301:2013 szabvány 20. Bakos Ferenc, Fábián Pál – Idegen szavak és kifejezések szótára – Akadémiai Kiadó, Budapest 1989 – ISBN963 05 5307 4 21. Dr Pétery Kristóf – Microsoft Windows XP Professional alapok és újdonságok – Mercator Stúdió, Budapest 2002 – ISBN963 9430 617 22. Visnyei Aladár, Dr Vörös Gábor – A számítógépes információbiztonság alapja – LSI Oktatóközpont – ISBN963 577 128 2 23. Pólya György – A gondolkodás iskolája – Akkord Kiadó 2000 – ISBN963 7803 75 0 24. O Nagy Gábor, Ruzsiczky Éva – Magyar szinonima szótár – Akadémiai Kiadó, Budapest 1989 – ISBN963 05 5531 25. Ila László – Angol-magyar informatikai értelmező szótár – Panem, Budapest 2004 – ISBN978 963 545 396 2 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 64. oldal

Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 8 ÁBRÁK JEGYZÉKE 1. ábra -bekövetkezési valószínűségek értékkészlete 18 2. ábra – lehetséges kockázati kitettség tábla 20 3. ábra – lehetséges adatvagyon leltár 22 4. ábra – lehetséges kárkategóriák - CIA 22 5. ábra – lehetséges kárkategóriák - folyamat 30 6. ábra – lehetséges folyamat besorolás 30 7. ábra - lehetséges BCP Akciótervek 31 8. ábra - lehetséges BCP Akciótervek tartalmi felépítése 31 9. ábra – lehetséges alkalmazás és szervezet összerendelés 33 10. ábra – lehetséges folyamat és szervezet összerendelés 33 11. ábra – lehetséges alkalmazás és folyamat összerendelés 34 12. ábra – üzleti folyamatok lehetséges osztályozása 34 13. ábra –lehetséges fenyegetettségi katalógus 36 14. ábra – lehetséges kockázat csökkentő kontrollok 38 15. ábra –

fenyegetettségi katalógus IT infrastruktúrára történő kiértékelése 39 16. ábra – IT infrastruktúra elemek kockázatértékelése 40 17. ábra - IT kontrollok maradványkockázat felülvizsgálata 41 18. ábra – IT kontrollok maradványkockázat kiértékelése 41 19. ábra – ISO 27001:2013 A melléklet szerinti értékelés 42 20. ábra – kockázatelemzési folyamat lépéseinek áttekintése 46 21. ábra – kritikus üzleti folyamatok és kritikus alkalmazásaik 47 22. ábra – kockázatmenedzsment ciklus 48 23. ábra - Végrehajtási terv részlet 49 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 65. oldal Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar biztonságtechnikai mérnök MSc 2021 Dr. Sebestyén Attila: Tippek és trükkök az elektronikus információbiztonsági felelősöknek 66. oldal