V. A Kormány tagjainak rendeletei
2. A biztonsági szintek
2.1. Az érintett szervezet biztonsági szintje 1., ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az elektronikus információbiztonsági folyamatának csak egyes elemei, és csak részleteiben szabályozottak, azaz:
2.1.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, valamint informatikai biztonsági szabályzat) szabályozzák;
2.1.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.1.3. az elektronikus információs rendszerek biztonsága kizárólag a rendszerekkel kapcsolatban álló egyének tudatosságán múlik;
2.1.4. az elektronikus információs rendszerek biztonságával megkésve, a biztonsági eseményekre reagálva foglalkoznak;
2.1.5. az elektronikus információs rendszerek biztonsági szintjét nem mérik;
2.1.6. az észlelt, biztonsággal kapcsolatos kötelezettségszegések esetén a felelős kiléte azért nem állapítható meg, mert a felelősségi körök nincsenek egyértelműen tisztázva;
2.1.7. a működtetett rendszer és a kezelt adatok védelme fizikai védelmi intézkedéseket nem igényelnek.
2.2. Az érintett szervezet biztonsági szintje 2., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az érintett szervezet informatikai folyamatai részben szabályozottak, azaz:
2.2.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat, valamint a tervezésre, beszerzésre, fejlesztésre, képzésre vonatkozó szakterületi belső előírások) szabályozzák;
2.5.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
2.5.3. az üzlet-, vagy ügymenet szempontjából nagy értékű, üzleti titkot, vagy az érintett szervezet szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
2.5.4. a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, az érintett szervezet vezetésében személyi konzekvenciákat kell alkalmazni;
2.5.5. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentős.
2.6. Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel 2.6.1. kiemelten nagy tömegű különleges személyes adat sérül;
2.6.2. emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
2.6.3. a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
2.6.4. az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
2.6.5. a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
2.6.6. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetését, szellemi és anyagi erőforrásait meghaladó, különösen nagy értékű üzleti titok, az érintett szervezet szempontjából kiemelten érzékeny információt képező adat sérül.
Az elektronikus információs rendszereket működtető szervezetek biztonsági szintbe sorolása
1. Általános irányelvek
1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni.
1.2. Az egyes biztonsági szinteknek fokozatosan szigorodó biztonsági jellemzői vannak. Az egyes szintekbe történő besorolás egyben a további kockázatelemzés egyik alapja is.
2. A biztonsági szintek
2.1. Az érintett szervezet biztonsági szintje 1., ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az elektronikus információbiztonsági folyamatának csak egyes elemei, és csak részleteiben szabályozottak, azaz:
2.1.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, valamint informatikai biztonsági szabályzat) szabályozzák;
2.1.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.1.3. az elektronikus információs rendszerek biztonsága kizárólag a rendszerekkel kapcsolatban álló egyének tudatosságán múlik;
2.1.4. az elektronikus információs rendszerek biztonságával megkésve, a biztonsági eseményekre reagálva foglalkoznak;
2.1.5. az elektronikus információs rendszerek biztonsági szintjét nem mérik;
2.1.6. az észlelt, biztonsággal kapcsolatos kötelezettségszegések esetén a felelős kiléte azért nem állapítható meg, mert a felelősségi körök nincsenek egyértelműen tisztázva;
2.1.7. a működtetett rendszer és a kezelt adatok védelme fizikai védelmi intézkedéseket nem igényelnek.
2.2. Az érintett szervezet biztonsági szintje 2., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet elfogadja, hogy az érintett szervezet informatikai folyamatai részben szabályozottak, azaz:
2.2.1. az érintett szervezetnél a biztonsági folyamatoknak nincsenek részletszabályai, azokat az elfogadott magas szintű szabályzatok (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat, valamint a tervezésre, beszerzésre, fejlesztésre, képzésre vonatkozó szakterületi belső előírások) szabályozzák;
2. melléklet a 77/2013. (XII. 19.) NFM rendelethez
2.5.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
2.5.3. az üzlet-, vagy ügymenet szempontjából nagy értékű, üzleti titkot, vagy az érintett szervezet szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
2.5.4. a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, az érintett szervezet vezetésében személyi konzekvenciákat kell alkalmazni;
2.5.5. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentős.
2.6. Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel 2.6.1. kiemelten nagy tömegű különleges személyes adat sérül;
2.6.2. emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
2.6.3. a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
2.6.4. az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
2.6.5. a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
2.6.6. a közvetlen és közvetett anyagi kár az érintett szervezet költségvetését, szellemi és anyagi erőforrásait meghaladó, különösen nagy értékű üzleti titok, az érintett szervezet szempontjából kiemelten érzékeny információt képező adat sérül.
rendszer, valamint az érintett szervezet megköveteli, hogy az elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz:
2.4.1. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségi köröket egyértelműen meghatározták, a változásokat követik, és a felelősségi követelményeket betartatják;
2.4.2. a biztonsági kockázat- és hatáselemzés végrehajtása következetes;
2.4.3. a felhasználói azonosítás, hitelesítés és jogosultság engedélyezés szabványosított;
2.4.4. törekszenek arra, hogy a biztonsági auditálásért és irányításért felelős munkatársak elektronikus információs rendszerek biztonságához kapcsolódó szerepkör alapú szakmai képesítést szerezzenek meg;
2.4.5. a biztonság tesztelését szabványos és formális folyamatok felhasználásával végzik, amelyek eredményeképpen a biztonsági szintek javulnak;
2.4.6. az elektronikus információs rendszerek biztonsági folyamatait összehangolják a szervezet általános biztonsági funkcióival;
2.4.7. a biztonság tudatosítását elősegítő módszerek alkalmazása kötelező, az információbiztonsági képzést mind a szervezet általános szakmai, mind az informatikai részlegeinél megtartják;
2.4.8. a biztonságirányítás hatékonyságát mérik és nyilvántartják eredményeit;
2.4.9. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer egységeit védik a fizikai károk ellen;
2.4.10. tartalék munkahelyek kialakításával és az elektronikus információs rendszer elemeinek biztonságos elhelyezésével biztosítják a rendelkezésre állást;
2.4.11. a legalább 4. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek üzembeállítását megelőzi a teljes rendszer független, külső (úgynevezett fekete dobozos) sérülékenységvizsgálaton alapuló, pozitív eredményű (csak a szervezet által elfogadható maradványkockázatokat tartalmazó), legalább fokozott garanciaszintű rendszerértékelése vagy tanúsítása;
2.4.12. az elektronikus információs rendszer fejlesztésénél törekednek széleskörűen elterjedt, biztonsági szempontból értékelt termékek beszerzésére. A biztonsági funkciók beépítésének szükségét egyaránt figyelembe veszik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.
2.5. Az érintett szervezet biztonsági szintje 5., ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz:
2.5.1. az elektronikus információs rendszerek biztonsága a szakmai és az informatikai vezetés közös felelőssége, és a szervezeti biztonság az érintett szervezet szakmai célkitűzéseivel integrált;
2.5.2. az elektronikus információs rendszerek biztonsági követelményeit egyértelműen meghatározták, optimalizálták és beépítették a jóváhagyott rendszerbiztonsági tervbe;
2.5.3. a felelősség egyénre szabott a biztonsági követelmények meghatározásáért, betartásáért, és a biztonsági elvárásokat és funkciókat már az alkalmazási rendszerek tervezési szakaszában figyelembe veszik;
2.2.2. az elektronikus információs rendszerek biztonságához kapcsolódó eljárások kialakítására törekednek, de ehhez sem megfelelő szaktudás, sem megfelelő eszközrendszer nem áll rendelkezésre;
2.2.3. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.2.4. az elektronikus információs rendszerek előállítanak a biztonságra vonatkozó információkat, de azokat a szervezet nem elemzi;
2.2.5. az elektronikus információs rendszerek biztonságára vonatkozó jelentések nem teljes körűek;
2.2.6. az elektronikus információs rendszerek biztonságát nem az érintett szervezet teljes körű biztonságának részeként, hanem elsősorban az informatika belső felelősségeként, területeként kezelik;
2.2.7. a fizikai beléptetés ellenőrzésén túlmenően a működtetett rendszer és a kezelt adatok védelme további fizikai védelmi intézkedéseket nem igényel.
2.3. Az érintett szervezet biztonsági szintje 3., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz:
2.3.1. az elektronikus információs rendszerek biztonsági eljárásait meghatározták, és azokat összehangolták az informatikai biztonságpolitikával, informatikai biztonsági stratégiával, és az informatikai biztonsági szabályzattal;
2.3.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket meghatározták, és azokat az érintettek ismerik és elfogadják;
2.3.3. a kockázatelemzés eredményeit figyelembe vették a biztonsági megoldások kidolgozásánál;
2.3.4. a biztonságirányítási célokat és mérési módszereket meghatározták, de még nem teljes körűen alkalmazzák;
2.3.5. eseti biztonsági tesztelést és sérülékenységi teszteket végeznek;
2.3.6. a biztonságtudatosságot megteremtették, és azt az érintett szervezet megköveteli, az informatikai és az általános szakmai területeken folynak biztonsági képzések, de azok ütemezése és a megtartása nem formalizált;
2.3.7. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a lehetséges fizikai károk ellen;
2.3.8. tartalék munkahelyek vannak kialakítva, vagy az érintett szervezet által meghatározottak szerint rendelkezésre állnak;
2.3.9. az elektronikus információs rendszerek fejlesztésénél törekednek az integrált elektronikus információs rendszer biztonsági értékelésére vagy tanúsítására.
2.4. Az érintett szervezet biztonsági szintje 4., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású
rendszer, valamint az érintett szervezet megköveteli, hogy az elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz:
2.4.1. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségi köröket egyértelműen meghatározták, a változásokat követik, és a felelősségi követelményeket betartatják;
2.4.2. a biztonsági kockázat- és hatáselemzés végrehajtása következetes;
2.4.3. a felhasználói azonosítás, hitelesítés és jogosultság engedélyezés szabványosított;
2.4.4. törekszenek arra, hogy a biztonsági auditálásért és irányításért felelős munkatársak elektronikus információs rendszerek biztonságához kapcsolódó szerepkör alapú szakmai képesítést szerezzenek meg;
2.4.5. a biztonság tesztelését szabványos és formális folyamatok felhasználásával végzik, amelyek eredményeképpen a biztonsági szintek javulnak;
2.4.6. az elektronikus információs rendszerek biztonsági folyamatait összehangolják a szervezet általános biztonsági funkcióival;
2.4.7. a biztonság tudatosítását elősegítő módszerek alkalmazása kötelező, az információbiztonsági képzést mind a szervezet általános szakmai, mind az informatikai részlegeinél megtartják;
2.4.8. a biztonságirányítás hatékonyságát mérik és nyilvántartják eredményeit;
2.4.9. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer egységeit védik a fizikai károk ellen;
2.4.10. tartalék munkahelyek kialakításával és az elektronikus információs rendszer elemeinek biztonságos elhelyezésével biztosítják a rendelkezésre állást;
2.4.11. a legalább 4. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek üzembeállítását megelőzi a teljes rendszer független, külső (úgynevezett fekete dobozos) sérülékenységvizsgálaton alapuló, pozitív eredményű (csak a szervezet által elfogadható maradványkockázatokat tartalmazó), legalább fokozott garanciaszintű rendszerértékelése vagy tanúsítása;
2.4.12. az elektronikus információs rendszer fejlesztésénél törekednek széleskörűen elterjedt, biztonsági szempontból értékelt termékek beszerzésére. A biztonsági funkciók beépítésének szükségét egyaránt figyelembe veszik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.
2.5. Az érintett szervezet biztonsági szintje 5., ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz:
2.5.1. az elektronikus információs rendszerek biztonsága a szakmai és az informatikai vezetés közös felelőssége, és a szervezeti biztonság az érintett szervezet szakmai célkitűzéseivel integrált;
2.5.2. az elektronikus információs rendszerek biztonsági követelményeit egyértelműen meghatározták, optimalizálták és beépítették a jóváhagyott rendszerbiztonsági tervbe;
2.5.3. a felelősség egyénre szabott a biztonsági követelmények meghatározásáért, betartásáért, és a biztonsági elvárásokat és funkciókat már az alkalmazási rendszerek tervezési szakaszában figyelembe veszik;
2.2.2. az elektronikus információs rendszerek biztonságához kapcsolódó eljárások kialakítására törekednek, de ehhez sem megfelelő szaktudás, sem megfelelő eszközrendszer nem áll rendelkezésre;
2.2.3. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket és feladatokat egy, az elektronikus információs rendszer biztonságáért felelős, irányítási jogkörében korlátozott személyhez rendelték hozzá;
2.2.4. az elektronikus információs rendszerek előállítanak a biztonságra vonatkozó információkat, de azokat a szervezet nem elemzi;
2.2.5. az elektronikus információs rendszerek biztonságára vonatkozó jelentések nem teljes körűek;
2.2.6. az elektronikus információs rendszerek biztonságát nem az érintett szervezet teljes körű biztonságának részeként, hanem elsősorban az informatika belső felelősségeként, területeként kezelik;
2.2.7. a fizikai beléptetés ellenőrzésén túlmenően a működtetett rendszer és a kezelt adatok védelme további fizikai védelmi intézkedéseket nem igényel.
2.3. Az érintett szervezet biztonsági szintje 3., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és az érintett szervezet megköveteli, hogy az érintett szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz:
2.3.1. az elektronikus információs rendszerek biztonsági eljárásait meghatározták, és azokat összehangolták az informatikai biztonságpolitikával, informatikai biztonsági stratégiával, és az informatikai biztonsági szabályzattal;
2.3.2. az elektronikus információs rendszerek biztonságával kapcsolatos felelősségeket meghatározták, és azokat az érintettek ismerik és elfogadják;
2.3.3. a kockázatelemzés eredményeit figyelembe vették a biztonsági megoldások kidolgozásánál;
2.3.4. a biztonságirányítási célokat és mérési módszereket meghatározták, de még nem teljes körűen alkalmazzák;
2.3.5. eseti biztonsági tesztelést és sérülékenységi teszteket végeznek;
2.3.6. a biztonságtudatosságot megteremtették, és azt az érintett szervezet megköveteli, az informatikai és az általános szakmai területeken folynak biztonsági képzések, de azok ütemezése és a megtartása nem formalizált;
2.3.7. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a lehetséges fizikai károk ellen;
2.3.8. tartalék munkahelyek vannak kialakítva, vagy az érintett szervezet által meghatározottak szerint rendelkezésre állnak;
2.3.9. az elektronikus információs rendszerek fejlesztésénél törekednek az integrált elektronikus információs rendszer biztonsági értékelésére vagy tanúsítására.
2.4. Az érintett szervezet biztonsági szintje 4., ha az érintett szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású
2.5.4. a rendkívüli biztonsági eseményekkel haladéktalanul, automatizált eszközökkel támogatott, formalizált, a rendkívüli helyzet kezelésére definiált eljárások segítségével foglalkoznak;
2.5.5. rendszeres biztonsági felméréseket végeznek a rendszerbiztonsági terv megvalósítása, és eredményességének értékelése céljából;
2.5.6. a fenyegetésekre és sebezhetőségekre vonatkozó információkat gyűjtik és elemzik,
2.5.7. a kockázatok elhárítására, vagy enyhítésére irányuló kontroll folyamatokat alkalmaznak, hatékonyságukat rendszeresen elemzik;
2.5.8. a biztonsági folyamatok folyamatos javítása érdekében felhasználják a biztonsági tesztelést, a rendkívüli biztonsági események feltáró elemzését;
2.5.9. a kockázatok felismerését aktívan kezdeményezik;
2.5.10. a rendszerbiztonsági terv folyamatos értékelés és elemzés alatt áll, a megfelelő adatok és információk figyelembevételével;
2.5.11. a fizikai védelmi intézkedések kiterjednek az információs rendszerelemekhez történő fizikai hozzáférések felügyeletére és további védelmi eszközök alkalmazásával a rendszer fizikai egységeit védik a fizikai károk ellen, valamint tartalék munkahelyek kialakításával minimalizálják a lehetséges károkat;
2.5.12. a legalább 5. biztonsági osztálynak megfelelő besorolású elektronikus információs rendszerek fejlesztésénél széleskörűen elterjedt, biztonsági szempontból értékelt termékeket szereznek be, integrálnak a rendszerbe, valamint az integrált rendszer független, külső és belső (fekete és fehér dobozos) sérülékenységvizsgálaton alapuló pozitív eredményű, kiemelt garanciaszintű rendszerértékelése vagy tanúsítása történik meg;
2.5.13. a biztonsági funkciók beépítését egyaránt megkövetelik az alkalmazások tervezési, fejlesztési, beszerzési, felhasználási és üzemeltetési folyamatai során.
1. Besorolási útmutató