Útmutató a 77/2013. nfm rendelet szerinti biztonsági...
TRANSCRIPT
Nemzeti Elektronikus Információbiztonsági
Hatóság
1/19
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést
Támogató Segédlethez
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 2/19
Dokumentum információk
Dokumentum címe Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Készítette Juhász György
Beosztás kockázat elemző és auditor
Verziószám v3.10
Verziódátum 2014. június 24.
Verziótörténet
Verziószám Verziódátum Leírás Fájl neve
v1.0 2014. február 18. Első kiadható változat Útmutató_segédlethez_v1.0.pdf
v1.01 2014. február 20. Stilisztikai, betűhiba javí-tások, frissítés
Útmutató_segédlethez_v1.01.pdf
v1.02 2014. február 28. Publikálás Útmutató_segédlethez_v1.02.pdf
v2.00 2014. március 25.
Az osztályba sorolás fel-bontása bizalmasság, sér-tetlenség és rendelkezés-re állás szempontjára
Képlethibák javítása
Útmutató_segédlethez_v2.00.pdf
v3.00 2014. június 20. LibreOffice változat Útmutató_segédlethez_v3.00.pdf
v3.10 2014. június 24. Képlethibák javítása Útmutató_segédlethez_v3.10.pdf
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 3/19
Tartalomjegyzék
1 Ismerkedés .......................................................................................................... 4
1.1 A segédlet célja ......................................................................................................... 4
1.2 A segédlet elérhetősége ............................................................................................ 5
1.2.1 A Microsoft Office Excel változat címe: ........................................................................ 5
1.2.2 A LibreOffice változat címe: .......................................................................................... 5
1.3 A futtatási környezet .................................................................................................. 5
1.3.1 Microsoft Office Excel változat ..................................................................................... 5
1.3.2 LibreOffice változat ....................................................................................................... 6
2 A segédlet felépítése és használata .................................................................. 7
2.1 A látható fülek ............................................................................................................ 7
2.2 Navigáció a segédletben ............................................................................................ 8
2.3 Csoportosított sorok becsukása és kinyitása ............................................................10
2.4 Színkódok .................................................................................................................12
2.5 Kitöltés ......................................................................................................................14
3 Az eredmények megőrzése .............................................................................. 16
3.1 Mentés, nyomtatás....................................................................................................16
3.2 XML létrehozása .......................................................................................................16
3.2.1 MS Excel változat ....................................................................................................... 16
3.2.2 LibreOffice változat ..................................................................................................... 17
3.2.3 Az XML állomány ........................................................................................................ 19
4 Ha segítségre van szüksége… ......................................................................... 19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 4/19
1 Ismerkedés
Tisztelt Olvasó!
Ha Ön az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013.
évi L. törvény (Ibtv.) hatálya alá tartozó szervezetnél dolgozik, és az Ön feladatai közé tarto-
zik elektronikus információs rendszereik biztonsági osztályba sorolása, illetve ezen rendsze-
rek informatikai biztonsági állapotának felmérése, akkor ez a dokumentum Önnek szól, és a
dokumentum tárgyát képező segédletet az Ön számára hoztuk létre.
1.1 A segédlet célja
Az Ibtv. technológiai végrehajtási rendeleteként a 77/2013. NFM rendelet (a továbbiakban:
Rendelet) határozza meg a szervezetek biztonsági szintbe, elektronikus információs rend-
szerei biztonsági osztályba sorolását. A rendszerek osztályba sorolása, illetve ehhez kapcso-
lódóan a biztonsági osztályhoz tartozó követelmények teljesülésének ellenőrzése nélkülöz-
hetetlen lépés az informatikai biztonság emeléséhez, mert ez az állapotfelmérés lehet alapja
a biztonság növelését célzó cselekvési tervnek.
A technológiai követelmények számossága és komplexitása, a megfelelőségek, illetve meg
nem felelőségek kiértékelése komoly feladatot jelent az érintett szervezetek és azok érintett
munkatársai számára. A feladat elvégzésének támogatására, továbbá az egységes értelme-
zés és kommunikáció érdekében a Nemzeti Elektronikus Információbiztonsági Hatóság
(NEIH) segédletet bocsát közre.
A segédlet egy számolótábla munkafüzet, amely eszközül szolgál kitöltője számára ahhoz,
hogy valamely elektronikus információs rendszert biztonsági osztályba soroljon a bizalmas-
ság, sértetlenség és rendelkezésre állás szempontjaiból, rögzítse az osztályra releváns kö-
vetelmények teljesülésének, illetve nem teljesülésének tényét, és ezek alapján meggyőződ-
jön arról, hogy a rendszer mely biztonsági osztálynak felel meg a három szempont szerint. A
munkafüzet automatikusan jelzi, hogy mely követelmények érvényesek az adott biztonsági
osztály esetén, illetve összegzéseken keresztül kimutatja, hogy teljesülnek-e a vonatkozó
követelmények. A segédlet két platformra készült el. Microsoft Office Excel programmal ke-
zelhető, illetve LibreOffice Calc programmal kezelhető változatban.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 5/19
1.2 A segédlet elérhetősége
A segédlet a NEIH honlapjáról ingyenesen letölthető.
1.2.1 A Microsoft Office Excel változat címe:
A Microsoft Office Excel változat címe:
http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140325.xlsm
1.2.2 A LibreOffice változat címe:
http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.ods
illetve a LibreOffice változathoz tartozó segédállomány:
http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.jar
1.3 A futtatási környezet
A segédlet két futtatási környezetben használható:
1.3.1 Microsoft Office Excel változat
A segédlet MS Excel 2010 és MS Excel 2013 programokkal tesztelt, tehát működőképes
minden olyan környezetben, ahol ezen verziók valamelyike megtalálható.
Kivételként említendő az Excel Web App szolgáltatás, amely a felhő-
ben tenné lehetővé a munkafüzet használatát. Technikai okokból ez
nem lehetséges. Tekintve azonban, hogy a munkafüzet kitöltése so-
rán informatikai biztonsági szempontból érzékeny adatok kerülnek a
munkafüzetbe, ez a hátrány ténylegesen biztonságot óvó előny.
A továbbiakban a hivatkozásoknál az MS Excel 2010-es magyar verziót vettük alapul, ezek
az egyéb nyelvek, illetve a 2013-as verzió esetére értelemszerűen alkalmazhatók.
A segédlet úgynevezett makróbarát Excel-munkafüzet. A benne található kód kizárólag arra
szolgál, hogy a később leírt ergonómiai funkció, a „Csoportosított sorok becsukása és kinyi-
tása” elérhető legyen. Ha az Ön Excel környezetében a makró futtatás nem engedélyezett,
akkor kísérelje meg a „Fájl” menü „Beállítások” elemének kiválasztása után az „Adatvédelmi
központ” lapon a „Makróbeállítások” között engedélyezni a makrókat. Ha ez nem lehetséges,
akkor feltehetőleg a rendszergazda tiltotta le a funkciót. Ha nem kívánja, vagy például biz-
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 6/19
tonsági megfontolások miatt nem lehetséges a makrók engedélyezése, Ön akkor is mara-
déktalanul használhatja a segédletet (az említett ergonómiai funkció kivételével).
A letöltött segédlet megnyitásakor figyelmeztető üzenet jelenhet meg:
A használat megkezdéséhez engedélyezze a szerkesztést!
1.3.2 LibreOffice változat
A segédlet a 4.2.4.2 változatával tesztelt. Makrókat nem tartalmaz.
A használatára, kezelésére vonatkozó tudnivalók a LibreOffice sajátosságait figyelembe vé-
ve azonosak, vagy rendkívül hasonlatosak az MS Excel változatéhoz. Ezért a továbbiakban
az MS Excel változat bemutatásával leírt tudnivalók érvényesek. Ahol eltérés mutatkozik, azt
külön megjegyzés tartalmazza.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 7/19
2 A segédlet felépítése és használata
A segédlet a Rendelet szövegét dolgozza fel, minden követelmény (karakterhelyesen) a
Rendeletből származik.
2.1 A látható fülek
Összegzés
A szervezet, a rendszer, a kitöltő személy nevének és a kitöltés dátumának megadá-
sára szolgáló táblázat, amely a kitöltött adatok alapján a biztonsági osztályt és az an-
nak való megfelelést összegzi.
Osztályba sorolás
A biztonsági osztály bizalmasság, sértetlenség és rendelkezésre állás szempontjából
való meghatározására szolgáló táblázat.
Értékelés – Adminisztratív
Az adminisztratív követelményeknek való megfelelés összegzése.
Értékelés – Fizikai
A fizikai követelményeknek való megfelelés összegzése.
Értékelés – Logikai
A logikai követelményeknek való megfelelés összegzése.
3.1.1. – 3.1.7.
Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem
felelőségek megadására szolgáló hét táblázat.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 8/19
3.2.1
A fizikai követelmények részletezésére, a megfelelőségek, vagy meg nem felelősé-
gek megadására szolgáló táblázat.
3.3.1. – 3.3.10.
Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem
felelőségek megadására szolgáló tíz táblázat.
2.2 Navigáció a segédletben
A munkafüzet sok táblázatból áll, az egyes táblázatok hosszúak lehetnek, ezért az eligazo-
dást és navigációt érzékeny mezők, linkek támogatják. A linkek felismerhetők arról, hogy a
bennük található szöveg aláhúzott.
A táblázat felső sorában található link mindig az összegzés irányába mutat, a táblázat belse-
jében levő link a részletezéshez juttat el. Példaképpen az alábbi képernyőkép-sorozat mutat-
ja a használatot:
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 9/19
Az „Összegzés” fülön a „Kockázatelemzés” linkre kattintva:
A LibreOffice változatban a link követése a CTRL billentyű nyomva
tartása melletti kattintással történik.
Az „Értékelés – Adminisztratív” fül megfelelő során találjuk magunkat.
És fordítva:
A legfelső sorban található „Adminisztratív védelmi intézkedések” link visszavisz az „Ösz-
szesítés” fül megfelelő mezőjéhez.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 10/19
2.3 Csoportosított sorok becsukása és kinyitása
Az ebben a fejezetben leírt funkció az MS Excel változatban csak ak-
kor működik, ha a makrók futtatása engedélyezett. Ha a makrók futta-
tása nem engedélyezett, akkor a csoportosítások ugyan láthatók, de
a csoportok nem csukhatók be.
A segédletben – a Rendelet felépítését követve – a követelmények hierarchiába szervezve
jelennek meg. Az áttekinthetőség érdekében számos fülön találhatók csoportosított sorok.
Sorok egy csoportját mindig egy fölérendelt sorhoz tartozó, közvetlenül alárendelt sorok
együttese alkotja. A csoportok az ablak bal szélén, a csoporthoz tartozó, látható sorok alatti
sorban megjelenő négyzet alakú jelről ismerhetők meg. Ha a csoport zárt, akkor a négyzet-
ben „+” jel látható, ha a csoport nyitott, akkor a négyzetben „-” jel található, és a négyzet fö-
lött függőleges vonal jelzi a közös csoportba foglalt sorokat.
Zárt csoport:
Ugyanez a csoport nyitva:
Az állapotváltozást – értelemszerűen – a négyzetre kattintva lehet kiváltani.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 11/19
A csoportosított sorokat tartalmazó fülek felső részén szintén négyzet alakú kezelőszerv
szolgál az összes csoport egyszerre való becsukására („1”-es jelű négyzet),
vagy kinyitására („2”-es jelű négyzet).
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 12/19
2.4 Színkódok
A segédletben a használatot színkódok támogatják.
Áttekintő jelleggel:
A kék háttér információs jelentőséggel bír, tagolja a megjelenített követelményeket.
A fehér háttér, benne szöveggel azt jelzi, hogy az adott sorban beviteli mező találha-
tó.
A piros háttér általában nemleges érték (meg nem felelés) jelzésére szolgál.
Zöld háttér jelzi a pozitív értéket (megfelelőséget).
A sárga figyelemfelhívó, beviteli lehetőséget jelez.
Minél sötétebb egy háttérszín, annál inkább összefoglaló jellegű a mező tartalma.
Részletesen:
Sötétkék háttér, fehér betűszínnel: Összefoglaló, címinformáció vagy fejléc.
Középkék háttér: Összefoglaló, követelmények egy csoportjára utaló mező, vagy a
„Nem kötelező” értéket hordozó, összefoglaló mező.
Világoskék háttér: Összefoglaló, alárendelt követelményre utaló mező, vagy a táblá-
zat tagolására szolgáló mező, vagy a beviteli mezőre vonatkozó „Nem kötelező” érté-
ket hordozó mező.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 13/19
Fehér háttér szöveges tartalommal: A mezőtől jobbra beviteli mező található.
Sötét, vagy közepesen sötétpiros háttér: Meg nem felelőség jelzése követelmény,
vagy követelmény csoport egészére.
Halványpiros háttér: „Nem” értékkel kitöltött kétértékű beviteli mező.
Sötét, vagy közepesen sötétzöld háttér: Megfelelőség jelzése követelmény, vagy kö-
vetelmény csoport egészére.
Halványzöld háttér: „Igen” értékkel kitöltött kétértékű beviteli mező.
Sárga, vagy okker háttér: Adathiány jelzése követelmény, vagy követelmény csoport
egészére, illetve a mezőtől balra egy, vagy egymás alatt több kitöltendő beviteli mező
található.
Világossárga háttér: Üres kitöltendő beviteli mező található.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 14/19
2.5 Kitöltés
A segédlet védett. Az MS Excel változatban a munkafüzet, mindkét változatban az egyes
táblázatok zároltak, azaz korlátozottan módosíthatók. A nem módosítható mező módosítási
kísérletére hibaüzenet a válasz:
A beviteli mező bármikor törölhető, illetve átírható. A beviteli mezők vastag sárga szegélye
kitöltött állapotban is jelzi, hogy a mező módosítható.
Az „Összegzés” fülön, valamint az „Osztályba sorolás” fül 55. sorában található beviteli me-
zők kivételével valamennyi beviteli mezőnek összesen három állapota lehet:
Igen
Nem
Kitöltetlen
A háromállapotú beviteli mezők legördülő listával támogatják a kitöltést. A legördülő menü a
mezőre klikkeléskor, a mező jobb oldalán megjelenő nyílra kattintva aktiválható.
Ha egy háromállapotú beviteli mezőbe a lehetséges „Igen”, vagy „Nem” értékeken kívül va-
lami mást kísérelnek meg beírni, a következő hibaüzenet jelenik meg:
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 15/19
Ilyenkor a „Mégse” gombra klikkelve alaphelyzetbe hozható a mező.
Az „Osztályba sorolás” fül 55. sorában található beviteli mezők lehetőséget adnak arra, hogy
a kitöltő saját szempontot is figyelembe vegyen a biztonsági osztályba sorolásnál akár a bi-
zalmasság, akár a sértetlenség, akár a rendelkezésre állás esetén. Ha saját szempontot kí-
ván alkalmazni, akkor ennek tömör leírását, esetlegesen egy ezzel foglalkozó külső doku-
mentumra (pl. kockázatelemzésre) való hivatkozást a B55 mezőben szabad szöveges for-
mában adja meg! A C55, D55, E55 mezők rendre a bizalmasság, sértetlenség, rendelkezés-
re állás szerinti osztály 1-től 5-ig tartó számának megadását teszik lehetővé. A kitöltést le-
gördülő menü segíti.
A segédlet azt is megengedi, hogy valamely egy, vagy több előre megadott szempont és a
saját szempont együttese határozza meg a besorolást. Az elv az, hogy az adott oszlopban
megadott válaszok közül mindig a legmagasabb határozza meg a biztonsági osztályt.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 16/19
3 Az eredmények megőrzése
3.1 Mentés, nyomtatás
A kitöltött segédlet érték, ezért ne felejtse el kitöltés közben is folyamatosan menteni!
A mentés során tetszőleges nevet adhat a munkafüzetnek, ám célszerű, ha a név utal arra a
rendszerre, amelyről szól. Ha az MS Excel változat esetén makróbarát munkafüzetként,
LibreOffice változat esetén ODF-munkafüzetként már elmentette munkáját, akkor szükség
szerint ki is nyomtathatja azokat a füleket, amelyeket ilyen formában is szeretne megjelení-
teni. A nyomtatási beállítások előre definiáltak (nyomtatási terület, lap tájolás, méret, fejléc,
stb.), ám tetszés szerint szabadon átállíthatóak.
3.2 XML létrehozása
A segédlet további tulajdonsága, hogy XML állomány létrehozását is támogatja. Az XML
formátum egy strukturált szöveg formátum, amely különösen alkalmas arra, hogy programok
közötti kommunikációban (pl. feltöltéskor) használják.
Az XML állomány létrehozása az MS Excel és a LibreOffice programok esetén lényegesen
eltérő.
3.2.1 MS Excel változat
A segédletben ezt a funkció a „Mentés másként” szokásos műveletnél az „XML-adatok
(*.xml)” fájl típus kiválasztásával érhető el.
A mentés során figyelmeztető üzenet jelenik meg:
Ilyenkor a „Tovább” választásával megtörténik az XML állomány létrehozása.
Ha XML-ként mentette munkáját, akkor a munkafüzet típusa XML lesz, tehát a következő
mentés parancs hatására is XML-adat formátumban mentene a program. Ha tehát az XML-
ként való mentés után még módosít, és eredményeit makróbarát munkafüzetként szeretné
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 17/19
megőrizni, használja ismét a „Mentés másként” parancsot, és adja meg újra a kívánt fájl for-
mátumot.
Tapasztalt Excel felhasználók a „Menüszalag testreszabása…”, vagy
a „Gyorselérési eszköztár testreszabása” segítségével megtalálhatják
és megjeleníthetik a „Fejlesztőeszközök lap”-on található „XML-
adatok exportálása” parancsot, amely segítségével úgy állítható elő
az XML állomány, hogy közben a munkafüzet neve nem változik
meg.
3.2.2 LibreOffice változat
A LibreOffice változatban az XML állomány elkészítése némi előkészületet igényel. Ezt az
előkészületet egyetlen alkalommal kell megtenni.
Le kell tölteni a „77_2013_NFM_VHR_140618.jar” segédállományt a NEIH honlapjáról, és el
kell menteni egy tetszőleges mappába.
A LibreOffice „Eszközök” menüjéből az „XML szűrőbállításai…” menüelem kiválasztásával
lehet a segédállomány tartalmát telepíteni.
A folytatáshoz az előugró ablakból a „Csomag megnyitása…” gombot kell megnyomni.
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 18/19
A szokásos tallózási ablakból a korábban elmentett segédállományt kiválasztva a telepítés
megtörténik.
Az XML szűrők listájában megjelenik a „77/2013.NFM - XML_output”
Az „XML-szűrő beállításai” ablakot bezárva az XML előállítás elérhetővé válik.
Az XML állomány előállításához a „Fájl” menü „Exportálás…” menüelemét kell kiválasztani.
Fontos, hogy a felugró ablakban a fájl típusaként a „77_2013_NFM_XML (.xml) (*.xml)” elem
legyen kiválasztva!
A „77_2013_NFM_XML (.xml) (*.xml)” fájl típus egyéb táblázatok esetén nem használható,
üres állomány létrehozását eredményezi. Ha az XML-szűrő jelenléte zavaró, az „XML-szűrő
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Útmutató_segédlethez_v3.10.pdf 19/19
beállításai” ablakban törölhető. Ebben az esetben a következő alkalommal a segédletből
XML állomány előállítása előtt az előkészületet meg kell ismételni.
3.2.3 Az XML állomány
Az MS Excel és a LibraOffice változat esetén az előálló XML állomány szerkezete azonos.
Az XML formátum nem olvasmányos, de – többek között – böngészőben is megnyitható, és
tartalmi megjelenítése az alábbiakhoz hasonló:
4 Ha segítségre van szüksége…
Ha a segédlet használata során problémába ütközött, kérjük, akár telefonon, akár elektroni-
kus levélben keresse a Nemzeti Elektronikus Információbiztonsági Hatóságot. Az elérhető-
ségeket megtalálja weboldalunkon, a http://neih.gov.hu címen.