3.1.2. Jelentés a biztonsági eseményekről a felhasználók felől
3.1.2.1. Az informatikai biztonságot érintő eseményekről, azok észlelését követően az észlelőnek haladéktalanul, lehetőség szerint a 3.2.3. pontban foglalt értékelési szempontrendszer alkalmazásával elektronikus úton írásban tájékoztatnia kell az érintett szervezeti egység vezetőjét és az IBV-t.
3.1.2.2. Az informatikai biztonságot érintő események bejelentésének rögzítésére a BAF kijelölt munkatársai meghatározott belső eljárásrend alapján a 4. függelékben foglalt formanyomtatványt használják.
3.1.2.3. Az IBV a beérkezett és rögzített bejelentés alapján vizsgálatot kezdeményez, és a BAF szervezetén belül kialakított eljárási rend szerint intézkedik a biztonsági eseményekről szóló jelentések elkészítésére és a visszajelzések kezelésére az érintett munkatársak bevonásával. A vizsgálat eredményét a bejelentővel és az érintett szervezeti egység vezetőjével a 4. függelékben foglalt formanyomtatvány felhasználásával közli.
3.1.2.4. A vizsgálati jelentést általános szervezeti érintettség esetén a közigazgatási államtitkár részére is meg kell küldeni.
3.2.2. Jelentés a biztonsági eseményekről a szervezeti üzemeltetők felől
3.2.2.1. A minisztériumi informatikai üzemeltetést végző szervezeti egységek az 5. függelékben foglalt bejelentési formanyomtatvány felhasználásával elektronikus úton kötelesek a 3.2.3. pontban foglalt értékelési szempontrendszer alkalmazásával azonnal jelenteni az IBV-nek, amennyiben munkájuk során jelentésköteles informatikai biztonsági eseményeket, veszélyeket fedeztek fel.
3.2.2.2. Az IBV a beérkezett jelentés alapján vizsgálatot kezdeményez. A vizsgálat eredményét az érintett elektronikus információs rendszer üzemeltetéséért felelős szervezeti egység vezetőjével és illetékes munkatársaival az 5. függelékben foglalt intézkedési formanyomtatvány felhasználásával közli.
3.2.2.3. A vizsgálati jelentést általános szervezeti érintettség esetén a minisztériumban működő közigazgatási államtitkárság részére is meg kell küldeni.
3.2.3. Az értékelési szempontrendszer
3.2.3.1. Az értékelési szempontrendszer alkalmazása Jelentésköteles incidens
(jelzése az értékelési szempontrendszer mátrixban piros színnel) Példák:
– DoS támadás egy rendszert illetően: a minisztérium egy információs rendszerét és/vagy több munkatársát érinti + veszélyeztetve van a rendelkezésre állás → C7 → jelentésköteles incidens (egyértelműen);
– Ransomware támadás;
– A minisztérium saját üzemeltetésű informatikai rendszerei határvédelme által egy héten belül egynél többször érzékelt határértéken felüli kapcsolódási kísérlet ugyanazon IP címről.
További vizsgálatot igénylő esemény, szükség esetén jelentésköteles (jelzése az értékelési szempontrendszer mátrixban narancs színnel) Példák:
– Spam kampány néhány felhasználót illetően: A minisztérium néhány munkatársát érinti + befolyásolja a munkavégzést → E8 → további vizsgálatot igényel;
– Külső partnertől kapott adathordozó ellenőrzése;
– Hatósági megkeresések/kormányzati informatikai szolgáltatói megkeresések spam levelekkel és lehetséges e-mail-fiók kompromittálódásokkal kapcsolatban.
A további vizsgálatokat igénylő esetekre vonatkozó iránymutatás – Felhasználói bejelentések esetében az Informatikai Biztonsági Vezető,
– az üzemeltetői oldalon felmerült esemény esetében az üzemeltetés saját hatáskörben
dönt az adott esemény jelentéskötelességéről, az alábbi iránymutatásként szolgáló kérdések megválaszolásának segítségével:
– Saját hatáskörben elfogadható időn belül, illetve elfogadható szintre csökkenthető a veszély?
– Először fordult elő az esemény?
– Van esély más rendszerek, munkatársak érintettségére, ha nem bejelentett incidensként kezelt az esemény?
– A rendszer(ek) üzemeltetője és/vagy az érintett munkatárs(ak) együtt tud(nak) működni az esemény kapcsán a szükséges lépésekben?
– Áll rendelkezésre biztonsági mentés, és ha igen, milyen állapotra lehet vele visszaállni?
A fentiekben foglalt iránymutatáson felül egyéb – pl. szervezeti, biztonsági érintettségű – tényezők is figyelembe vehetőek a bejelentési kötelezettség relevanciájával összefüggésben.
Nem jelentésköteles esemény
(jelzése az értékelési szempontrendszer mátrixban sárga színnel) Példák:
– Egy felhasználó egy db kéretlen reklámmal találkozik: A minisztérium egy munkatársát érinti + nincs hatással → F11 → nem jelentésköteles esemény (egyértelműen);
– Közvetlen veszélyt nem rejtő egyedi előfordulású spam levelek beérkezése;
– A minisztérium saját üzemeltetésű informatikai rendszerei határvédelme által egyedi előfordulással érzékelt határértéken felüli kapcsolódási kísérlet.
ATALOS ÉRTESÍTŐ • 2019. évi 38. szám 3453
Értékelési szempontrendszer mátrix
Érintettség mértéke A minisztérium valamennyi
információs rendszere és valamennyi munkatársa
érintett
A minisztérium több információs rendszerét
és/vagy több munkatársát érinti
A minisztérium egy információs rendszerét és/vagy
több munkatársát érinti
A minisztérium egy információs rendszerét érinti
A minisztérium néhány munkatársát érinti
A minisztérium egy munkatársát
érinti
Érintettség típusa
visszaállíthatatlan a technikai
következménye A1 B1 C1 D1 E1 F1
sérül az integritás A2 B2 C2 D2 E2 F2
sérül a bizalmasság A3 B3 C3 D3 E3 F3
sérül a rendelkezésre állás A4 B4 C4 D4 E4 F4
veszélyeztetve van az integritás A5 B5 C5 D5 E5 F5
veszélyeztetve van
a bizalmasság A6 B6 C6 D6 E6 F6
veszélyeztetve van
a rendelkezésre állás A7 B7 C7 D7 E7 F7
befolyásolja a munkavégzést A8 B8 C8 D8 E8 F8
veszélyezteti a munkavégzést A9 B9 C9 D9 E9 F9
lassítja a munkavégzést A10 B10 C10 D10 E10 F10
nincs hatással egyik fentire sem A11 B11 C11 D11 E11 F11
3.2.4. Jelentés egyéb informatikai rendellenességekről
3.2.4.1. Az elektronikus információs rendszerekben tapasztalt, biztonsági eseménynek nem minősülő rendellenességeket jelenteni kell a kormányzati informatikai szolgáltató által biztosított Ügyfélszolgálatnak az alábbi elérhetőségeken:
telefon: +36 1 79 55066
e-mail: ugyf elszo lgalat @ ugyf elszolga lat.go v.h u
3.2.4.2. Ilyen esetben legalább a következő feladatokat végre kell hajtani:
3.2.4.2.1. fel kell jegyezni a zavaró jelenséget és a képernyőn esetlegesen megjelenő minden hibaüzenetet is,
3.2.4.2.2. be kell szüntetni az adott számítógépen folytatott tevékenységet, és az Ügyfélszolgálat irányadó utasításainak megfelelően kell eljárni,
3.2.4.2.3. ha ilyen esetben feltételezhető informatikai biztonsági esemény bekövetkezése is, akkor az esemény kezelésére egyidejűleg irányadóak a 3.1.2. és 3.2.2. pontban foglaltak is.
3.2.4.3. A minisztérium saját tulajdonú elektronikus információs szakrendszereinek vonatkozásában fennálló, biztonsági eseménynek nem minősülő, valamint a kormányzati informatikai szolgáltató által biztosított szolgáltatások körét sem érintő rendellenességekről az adott szakrendszer minisztériumi adatgazdáját kell értesíteni a megteendő intézkedések végett az üzemeltetésért felelős szervezeti egység vezetője, valamint az IBV egyidejű tájékoztatása mellett.
3.2.5. A biztonsági eseményekről való tájékoztatás a hivatalvezetés felé: az IBV az egyes eseményeket, illetve esemény típusokat az aktuális helyzet függvényében, a minisztérium szervezetére és feladatellátására gyakorolt lehetséges vagy meglévő hatásukat figyelembe véve megítélése szerint jelenti a közigazgatási államtitkár részére.
3.1.6. Az informatikai biztonságra vonatkozó szabályok megszegéséről való jelentési kötelezettség: az informatikai biztonságra vonatkozó szabályok megszegéséről az észlelő haladéktalanul köteles tájékoztatni az IBV-t.
Az informatikai biztonsági vezető a tudomására jutott eseményeknek a minisztérium szervezetére és feladatellátására gyakorolt lehetséges vagy meglévő hatását mérlegeli, és szükség esetén jelenti a közigazgatási államtitkár felé.”
Az innovációért és technológiáért felelős miniszter 20/2019. (VI. 28.) ITM utasítása
a minisztérium által közzéteendő közérdekű és közérdekből nyilvános adatok kormányzati honlapon történő megjelentetésének rendjéről
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott feladatkörömben eljárva, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 35. § (3) bekezdésében meghatározott felhatalmazás alapján, továbbá a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról szóló 305/2005.
(XII. 25.) Korm. rendelet 3. § (1) bekezdése alapján a következő utasítást adom ki: