Útmutató a 77/2013. nfm rendelet szerinti biztonsági...

Nemzeti Elektronikus Információbiztonsági

Hatóság

1/19

Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést

Támogató Segédlethez

Nemzeti Elektronikus Információbiztonsági Hatóság

Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez

Útmutató_segédlethez_v3.10.pdf 2/19

Dokumentum információk

Dokumentum címe Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez

Készítette Juhász György

Beosztás kockázat elemző és auditor

Verziószám v3.10

Verziódátum 2014. június 24.

Verziótörténet

Verziószám Verziódátum Leírás Fájl neve

v1.0 2014. február 18. Első kiadható változat Útmutató_segédlethez_v1.0.pdf

v1.01 2014. február 20. Stilisztikai, betűhiba javí-tások, frissítés

Útmutató_segédlethez_v1.01.pdf

v1.02 2014. február 28. Publikálás Útmutató_segédlethez_v1.02.pdf

v2.00 2014. március 25.

Az osztályba sorolás fel-bontása bizalmasság, sér-tetlenség és rendelkezés-re állás szempontjára

Képlethibák javítása

Útmutató_segédlethez_v2.00.pdf

v3.00 2014. június 20. LibreOffice változat Útmutató_segédlethez_v3.00.pdf

v3.10 2014. június 24. Képlethibák javítása Útmutató_segédlethez_v3.10.pdf




Tartalomjegyzék

1 Ismerkedés .......................................................................................................... 4

1.1 A segédlet célja ......................................................................................................... 4

1.2 A segédlet elérhetősége ............................................................................................ 5

1.2.1 A Microsoft Office Excel változat címe: ........................................................................ 5

1.2.2 A LibreOffice változat címe: .......................................................................................... 5

1.3 A futtatási környezet .................................................................................................. 5

1.3.1 Microsoft Office Excel változat ..................................................................................... 5

1.3.2 LibreOffice változat ....................................................................................................... 6

2 A segédlet felépítése és használata .................................................................. 7

2.1 A látható fülek ............................................................................................................ 7

2.2 Navigáció a segédletben ............................................................................................ 8

2.3 Csoportosított sorok becsukása és kinyitása ............................................................10

2.4 Színkódok .................................................................................................................12

2.5 Kitöltés ......................................................................................................................14

3 Az eredmények megőrzése .............................................................................. 16

3.1 Mentés, nyomtatás....................................................................................................16

3.2 XML létrehozása .......................................................................................................16

3.2.1 MS Excel változat ....................................................................................................... 16

3.2.2 LibreOffice változat ..................................................................................................... 17

3.2.3 Az XML állomány ........................................................................................................ 19

4 Ha segítségre van szüksége… ......................................................................... 19




1 Ismerkedés

Tisztelt Olvasó!

Ha Ön az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013.

évi L. törvény (Ibtv.) hatálya alá tartozó szervezetnél dolgozik, és az Ön feladatai közé tarto-

zik elektronikus információs rendszereik biztonsági osztályba sorolása, illetve ezen rendsze-

rek informatikai biztonsági állapotának felmérése, akkor ez a dokumentum Önnek szól, és a

dokumentum tárgyát képező segédletet az Ön számára hoztuk létre.

1.1 A segédlet célja

Az Ibtv. technológiai végrehajtási rendeleteként a 77/2013. NFM rendelet (a továbbiakban:

Rendelet) határozza meg a szervezetek biztonsági szintbe, elektronikus információs rend-

szerei biztonsági osztályba sorolását. A rendszerek osztályba sorolása, illetve ehhez kapcso-

lódóan a biztonsági osztályhoz tartozó követelmények teljesülésének ellenőrzése nélkülöz-

hetetlen lépés az informatikai biztonság emeléséhez, mert ez az állapotfelmérés lehet alapja

a biztonság növelését célzó cselekvési tervnek.

A technológiai követelmények számossága és komplexitása, a megfelelőségek, illetve meg

nem felelőségek kiértékelése komoly feladatot jelent az érintett szervezetek és azok érintett

munkatársai számára. A feladat elvégzésének támogatására, továbbá az egységes értelme-

zés és kommunikáció érdekében a Nemzeti Elektronikus Információbiztonsági Hatóság

(NEIH) segédletet bocsát közre.

A segédlet egy számolótábla munkafüzet, amely eszközül szolgál kitöltője számára ahhoz,

hogy valamely elektronikus információs rendszert biztonsági osztályba soroljon a bizalmas-

ság, sértetlenség és rendelkezésre állás szempontjaiból, rögzítse az osztályra releváns kö-

vetelmények teljesülésének, illetve nem teljesülésének tényét, és ezek alapján meggyőződ-

jön arról, hogy a rendszer mely biztonsági osztálynak felel meg a három szempont szerint. A

munkafüzet automatikusan jelzi, hogy mely követelmények érvényesek az adott biztonsági

osztály esetén, illetve összegzéseken keresztül kimutatja, hogy teljesülnek-e a vonatkozó

követelmények. A segédlet két platformra készült el. Microsoft Office Excel programmal ke-

zelhető, illetve LibreOffice Calc programmal kezelhető változatban.




1.2 A segédlet elérhetősége

A segédlet a NEIH honlapjáról ingyenesen letölthető.

1.2.1 A Microsoft Office Excel változat címe:

A Microsoft Office Excel változat címe:

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140325.xlsm

1.2.2 A LibreOffice változat címe:

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.ods

illetve a LibreOffice változathoz tartozó segédállomány:

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.jar

1.3 A futtatási környezet

A segédlet két futtatási környezetben használható:

1.3.1 Microsoft Office Excel változat

A segédlet MS Excel 2010 és MS Excel 2013 programokkal tesztelt, tehát működőképes

minden olyan környezetben, ahol ezen verziók valamelyike megtalálható.

Kivételként említendő az Excel Web App szolgáltatás, amely a felhő-

ben tenné lehetővé a munkafüzet használatát. Technikai okokból ez

nem lehetséges. Tekintve azonban, hogy a munkafüzet kitöltése so-

rán informatikai biztonsági szempontból érzékeny adatok kerülnek a

munkafüzetbe, ez a hátrány ténylegesen biztonságot óvó előny.

A továbbiakban a hivatkozásoknál az MS Excel 2010-es magyar verziót vettük alapul, ezek

az egyéb nyelvek, illetve a 2013-as verzió esetére értelemszerűen alkalmazhatók.

A segédlet úgynevezett makróbarát Excel-munkafüzet. A benne található kód kizárólag arra

szolgál, hogy a később leírt ergonómiai funkció, a „Csoportosított sorok becsukása és kinyi-

tása” elérhető legyen. Ha az Ön Excel környezetében a makró futtatás nem engedélyezett,

akkor kísérelje meg a „Fájl” menü „Beállítások” elemének kiválasztása után az „Adatvédelmi

központ” lapon a „Makróbeállítások” között engedélyezni a makrókat. Ha ez nem lehetséges,

akkor feltehetőleg a rendszergazda tiltotta le a funkciót. Ha nem kívánja, vagy például biz-

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140325.xlsm

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.ods

http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.jar




tonsági megfontolások miatt nem lehetséges a makrók engedélyezése, Ön akkor is mara-

déktalanul használhatja a segédletet (az említett ergonómiai funkció kivételével).

A letöltött segédlet megnyitásakor figyelmeztető üzenet jelenhet meg:

A használat megkezdéséhez engedélyezze a szerkesztést!

1.3.2 LibreOffice változat

A segédlet a 4.2.4.2 változatával tesztelt. Makrókat nem tartalmaz.

A használatára, kezelésére vonatkozó tudnivalók a LibreOffice sajátosságait figyelembe vé-

ve azonosak, vagy rendkívül hasonlatosak az MS Excel változatéhoz. Ezért a továbbiakban

az MS Excel változat bemutatásával leírt tudnivalók érvényesek. Ahol eltérés mutatkozik, azt

külön megjegyzés tartalmazza.




2 A segédlet felépítése és használata

A segédlet a Rendelet szövegét dolgozza fel, minden követelmény (karakterhelyesen) a

Rendeletből származik.

2.1 A látható fülek

Összegzés

A szervezet, a rendszer, a kitöltő személy nevének és a kitöltés dátumának megadá-

sára szolgáló táblázat, amely a kitöltött adatok alapján a biztonsági osztályt és az an-

nak való megfelelést összegzi.

Osztályba sorolás

A biztonsági osztály bizalmasság, sértetlenség és rendelkezésre állás szempontjából

való meghatározására szolgáló táblázat.

Értékelés – Adminisztratív

Az adminisztratív követelményeknek való megfelelés összegzése.

Értékelés – Fizikai

A fizikai követelményeknek való megfelelés összegzése.

Értékelés – Logikai

A logikai követelményeknek való megfelelés összegzése.

3.1.1. – 3.1.7.

Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem

felelőségek megadására szolgáló hét táblázat.




3.2.1

A fizikai követelmények részletezésére, a megfelelőségek, vagy meg nem felelősé-

gek megadására szolgáló táblázat.

3.3.1. – 3.3.10.

Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem

felelőségek megadására szolgáló tíz táblázat.

2.2 Navigáció a segédletben

A munkafüzet sok táblázatból áll, az egyes táblázatok hosszúak lehetnek, ezért az eligazo-

dást és navigációt érzékeny mezők, linkek támogatják. A linkek felismerhetők arról, hogy a

bennük található szöveg aláhúzott.

A táblázat felső sorában található link mindig az összegzés irányába mutat, a táblázat belse-

jében levő link a részletezéshez juttat el. Példaképpen az alábbi képernyőkép-sorozat mutat-

ja a használatot:




Az „Összegzés” fülön a „Kockázatelemzés” linkre kattintva:

A LibreOffice változatban a link követése a CTRL billentyű nyomva

tartása melletti kattintással történik.

Az „Értékelés – Adminisztratív” fül megfelelő során találjuk magunkat.

És fordítva:

A legfelső sorban található „Adminisztratív védelmi intézkedések” link visszavisz az „Ösz-

szesítés” fül megfelelő mezőjéhez.




2.3 Csoportosított sorok becsukása és kinyitása

Az ebben a fejezetben leírt funkció az MS Excel változatban csak ak-

kor működik, ha a makrók futtatása engedélyezett. Ha a makrók futta-

tása nem engedélyezett, akkor a csoportosítások ugyan láthatók, de

a csoportok nem csukhatók be.

A segédletben – a Rendelet felépítését követve – a követelmények hierarchiába szervezve

jelennek meg. Az áttekinthetőség érdekében számos fülön találhatók csoportosított sorok.

Sorok egy csoportját mindig egy fölérendelt sorhoz tartozó, közvetlenül alárendelt sorok

együttese alkotja. A csoportok az ablak bal szélén, a csoporthoz tartozó, látható sorok alatti

sorban megjelenő négyzet alakú jelről ismerhetők meg. Ha a csoport zárt, akkor a négyzet-

ben „+” jel látható, ha a csoport nyitott, akkor a négyzetben „-” jel található, és a négyzet fö-

lött függőleges vonal jelzi a közös csoportba foglalt sorokat.

Zárt csoport:

Ugyanez a csoport nyitva:

Az állapotváltozást – értelemszerűen – a négyzetre kattintva lehet kiváltani.




A csoportosított sorokat tartalmazó fülek felső részén szintén négyzet alakú kezelőszerv

szolgál az összes csoport egyszerre való becsukására („1”-es jelű négyzet),

vagy kinyitására („2”-es jelű négyzet).




2.4 Színkódok

A segédletben a használatot színkódok támogatják.

Áttekintő jelleggel:

A kék háttér információs jelentőséggel bír, tagolja a megjelenített követelményeket.

A fehér háttér, benne szöveggel azt jelzi, hogy az adott sorban beviteli mező találha-

tó.

A piros háttér általában nemleges érték (meg nem felelés) jelzésére szolgál.

Zöld háttér jelzi a pozitív értéket (megfelelőséget).

A sárga figyelemfelhívó, beviteli lehetőséget jelez.

Minél sötétebb egy háttérszín, annál inkább összefoglaló jellegű a mező tartalma.

Részletesen:

Sötétkék háttér, fehér betűszínnel: Összefoglaló, címinformáció vagy fejléc.

Középkék háttér: Összefoglaló, követelmények egy csoportjára utaló mező, vagy a

„Nem kötelező” értéket hordozó, összefoglaló mező.

Világoskék háttér: Összefoglaló, alárendelt követelményre utaló mező, vagy a táblá-

zat tagolására szolgáló mező, vagy a beviteli mezőre vonatkozó „Nem kötelező” érté-

ket hordozó mező.




Fehér háttér szöveges tartalommal: A mezőtől jobbra beviteli mező található.

Sötét, vagy közepesen sötétpiros háttér: Meg nem felelőség jelzése követelmény,

vagy követelmény csoport egészére.

Halványpiros háttér: „Nem” értékkel kitöltött kétértékű beviteli mező.

Sötét, vagy közepesen sötétzöld háttér: Megfelelőség jelzése követelmény, vagy kö-

vetelmény csoport egészére.

Halványzöld háttér: „Igen” értékkel kitöltött kétértékű beviteli mező.

Sárga, vagy okker háttér: Adathiány jelzése követelmény, vagy követelmény csoport

egészére, illetve a mezőtől balra egy, vagy egymás alatt több kitöltendő beviteli mező

található.

Világossárga háttér: Üres kitöltendő beviteli mező található.




2.5 Kitöltés

A segédlet védett. Az MS Excel változatban a munkafüzet, mindkét változatban az egyes

táblázatok zároltak, azaz korlátozottan módosíthatók. A nem módosítható mező módosítási

kísérletére hibaüzenet a válasz:

A beviteli mező bármikor törölhető, illetve átírható. A beviteli mezők vastag sárga szegélye

kitöltött állapotban is jelzi, hogy a mező módosítható.

Az „Összegzés” fülön, valamint az „Osztályba sorolás” fül 55. sorában található beviteli me-

zők kivételével valamennyi beviteli mezőnek összesen három állapota lehet:

Igen

Nem

Kitöltetlen

A háromállapotú beviteli mezők legördülő listával támogatják a kitöltést. A legördülő menü a

mezőre klikkeléskor, a mező jobb oldalán megjelenő nyílra kattintva aktiválható.

Ha egy háromállapotú beviteli mezőbe a lehetséges „Igen”, vagy „Nem” értékeken kívül va-

lami mást kísérelnek meg beírni, a következő hibaüzenet jelenik meg:




Ilyenkor a „Mégse” gombra klikkelve alaphelyzetbe hozható a mező.

Az „Osztályba sorolás” fül 55. sorában található beviteli mezők lehetőséget adnak arra, hogy

a kitöltő saját szempontot is figyelembe vegyen a biztonsági osztályba sorolásnál akár a bi-

zalmasság, akár a sértetlenség, akár a rendelkezésre állás esetén. Ha saját szempontot kí-

ván alkalmazni, akkor ennek tömör leírását, esetlegesen egy ezzel foglalkozó külső doku-

mentumra (pl. kockázatelemzésre) való hivatkozást a B55 mezőben szabad szöveges for-

mában adja meg! A C55, D55, E55 mezők rendre a bizalmasság, sértetlenség, rendelkezés-

re állás szerinti osztály 1-től 5-ig tartó számának megadását teszik lehetővé. A kitöltést le-

gördülő menü segíti.

A segédlet azt is megengedi, hogy valamely egy, vagy több előre megadott szempont és a

saját szempont együttese határozza meg a besorolást. Az elv az, hogy az adott oszlopban

megadott válaszok közül mindig a legmagasabb határozza meg a biztonsági osztályt.




3 Az eredmények megőrzése

3.1 Mentés, nyomtatás

A kitöltött segédlet érték, ezért ne felejtse el kitöltés közben is folyamatosan menteni!

A mentés során tetszőleges nevet adhat a munkafüzetnek, ám célszerű, ha a név utal arra a

rendszerre, amelyről szól. Ha az MS Excel változat esetén makróbarát munkafüzetként,

LibreOffice változat esetén ODF-munkafüzetként már elmentette munkáját, akkor szükség

szerint ki is nyomtathatja azokat a füleket, amelyeket ilyen formában is szeretne megjelení-

teni. A nyomtatási beállítások előre definiáltak (nyomtatási terület, lap tájolás, méret, fejléc,

stb.), ám tetszés szerint szabadon átállíthatóak.

3.2 XML létrehozása

A segédlet további tulajdonsága, hogy XML állomány létrehozását is támogatja. Az XML

formátum egy strukturált szöveg formátum, amely különösen alkalmas arra, hogy programok

közötti kommunikációban (pl. feltöltéskor) használják.

Az XML állomány létrehozása az MS Excel és a LibreOffice programok esetén lényegesen

eltérő.

3.2.1 MS Excel változat

A segédletben ezt a funkció a „Mentés másként” szokásos műveletnél az „XML-adatok

(*.xml)” fájl típus kiválasztásával érhető el.

A mentés során figyelmeztető üzenet jelenik meg:

Ilyenkor a „Tovább” választásával megtörténik az XML állomány létrehozása.

Ha XML-ként mentette munkáját, akkor a munkafüzet típusa XML lesz, tehát a következő

mentés parancs hatására is XML-adat formátumban mentene a program. Ha tehát az XML-

ként való mentés után még módosít, és eredményeit makróbarát munkafüzetként szeretné




megőrizni, használja ismét a „Mentés másként” parancsot, és adja meg újra a kívánt fájl for-

mátumot.

Tapasztalt Excel felhasználók a „Menüszalag testreszabása…”, vagy

a „Gyorselérési eszköztár testreszabása” segítségével megtalálhatják

és megjeleníthetik a „Fejlesztőeszközök lap”-on található „XML-

adatok exportálása” parancsot, amely segítségével úgy állítható elő

az XML állomány, hogy közben a munkafüzet neve nem változik

meg.

3.2.2 LibreOffice változat

A LibreOffice változatban az XML állomány elkészítése némi előkészületet igényel. Ezt az

előkészületet egyetlen alkalommal kell megtenni.

Le kell tölteni a „77_2013_NFM_VHR_140618.jar” segédállományt a NEIH honlapjáról, és el

kell menteni egy tetszőleges mappába.

A LibreOffice „Eszközök” menüjéből az „XML szűrőbállításai…” menüelem kiválasztásával

lehet a segédállomány tartalmát telepíteni.

A folytatáshoz az előugró ablakból a „Csomag megnyitása…” gombot kell megnyomni.




A szokásos tallózási ablakból a korábban elmentett segédállományt kiválasztva a telepítés

megtörténik.

Az XML szűrők listájában megjelenik a „77/2013.NFM - XML_output”

Az „XML-szűrő beállításai” ablakot bezárva az XML előállítás elérhetővé válik.

Az XML állomány előállításához a „Fájl” menü „Exportálás…” menüelemét kell kiválasztani.

Fontos, hogy a felugró ablakban a fájl típusaként a „77_2013_NFM_XML (.xml) (*.xml)” elem

legyen kiválasztva!

A „77_2013_NFM_XML (.xml) (*.xml)” fájl típus egyéb táblázatok esetén nem használható,

üres állomány létrehozását eredményezi. Ha az XML-szűrő jelenléte zavaró, az „XML-szűrő




beállításai” ablakban törölhető. Ebben az esetben a következő alkalommal a segédletből

XML állomány előállítása előtt az előkészületet meg kell ismételni.

3.2.3 Az XML állomány

Az MS Excel és a LibraOffice változat esetén az előálló XML állomány szerkezete azonos.

Az XML formátum nem olvasmányos, de – többek között – böngészőben is megnyitható, és

tartalmi megjelenítése az alábbiakhoz hasonló:

4 Ha segítségre van szüksége…

Ha a segédlet használata során problémába ütközött, kérjük, akár telefonon, akár elektroni-

kus levélben keresse a Nemzeti Elektronikus Információbiztonsági Hatóságot. Az elérhető-

ségeket megtalálja weboldalunkon, a http://neih.gov.hu címen.

http://neih.gov.hu/

Útmutató a 77/2013. nfm rendelet szerinti biztonsági...

Documents