Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
1/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Dokumentum információk Dokumentum címe
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Készítette
Juhász György
Beosztás
kockázat elemző és auditor
Verziószám
v3.10
Verziódátum
2014. június 24.
Verziótörténet Verziószám
Verziódátum
Leírás
Fájl neve
v1.0
2014. február 18.
Első kiadható változat
Útmutató_segédlethez _v1.0.pdf
v1.01
2014. február 20.
Stilisztikai, betűhiba javítások, frissítés
Útmutató_segédlethez _v1.01.pdf
v1.02
2014. február 28.
Publikálás
Útmutató_segédlethez _v1.02.pdf
2014. március 25.
Az osztályba sorolás felbontása bizalmasság, sértetlenség és rendelkezésre állás szempontjára
v2.00
Útmutató_segédlethez _v2.00.pdf
Képlethibák javítása v3.00
2014. június 20.
LibreOffice változat
Útmutató_segédlethez _v3.00.pdf
v3.10
2014. június 24.
Képlethibák javítása
Útmutató_segédlethez _v3.10.pdf
Útmutató_segédlethez_v3.10.pdf
2/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Tartalomjegyzék 1 Ismerkedés .......................................................................................................... 4 1.1 A segédlet célja ......................................................................................................... 4 1.2 A segédlet elérhetősége ............................................................................................ 5 1.2.1 1.2.2
A Microsoft Office Excel változat címe: ........................................................................ 5 A LibreOffice változat címe:.......................................................................................... 5
1.3 A futtatási környezet .................................................................................................. 5 1.3.1 1.3.2
Microsoft Office Excel változat ..................................................................................... 5 LibreOffice változat ....................................................................................................... 6
2 A segédlet felépítése és használata .................................................................. 7 2.1 A látható fülek ............................................................................................................ 7 2.2 Navigáció a segédletben ............................................................................................ 8 2.3 Csoportosított sorok becsukása és kinyitása ............................................................10 2.4 Színkódok .................................................................................................................12 2.5 Kitöltés ......................................................................................................................14
3 Az eredmények megőrzése .............................................................................. 16 3.1 Mentés, nyomtatás....................................................................................................16 3.2 XML létrehozása .......................................................................................................16 3.2.1 3.2.2 3.2.3
MS Excel változat ....................................................................................................... 16 LibreOffice változat ..................................................................................................... 17 Az XML állomány ........................................................................................................ 19
4 Ha segítségre van szüksége… ......................................................................... 19
Útmutató_segédlethez_v3.10.pdf
3/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
1 Ismerkedés Tisztelt Olvasó! Ha Ön az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) hatálya alá tartozó szervezetnél dolgozik, és az Ön feladatai közé tartozik elektronikus információs rendszereik biztonsági osztályba sorolása, illetve ezen rendszerek informatikai biztonsági állapotának felmérése, akkor ez a dokumentum Önnek szól, és a dokumentum tárgyát képező segédletet az Ön számára hoztuk létre. 1.1 A segédlet célja Az Ibtv. technológiai végrehajtási rendeleteként a 77/2013. NFM rendelet (a továbbiakban: Rendelet) határozza meg a szervezetek biztonsági szintbe, elektronikus információs rendszerei biztonsági osztályba sorolását. A rendszerek osztályba sorolása, illetve ehhez kapcsolódóan a biztonsági osztályhoz tartozó követelmények teljesülésének ellenőrzése nélkülözhetetlen lépés az informatikai biztonság emeléséhez, mert ez az állapotfelmérés lehet alapja a biztonság növelését célzó cselekvési tervnek. A technológiai követelmények számossága és komplexitása, a megfelelőségek, illetve meg nem felelőségek kiértékelése komoly feladatot jelent az érintett szervezetek és azok érintett munkatársai számára. A feladat elvégzésének támogatására, továbbá az egységes értelmezés és kommunikáció érdekében a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) segédletet bocsát közre. A segédlet egy számolótábla munkafüzet, amely eszközül szolgál kitöltője számára ahhoz, hogy valamely elektronikus információs rendszert biztonsági osztályba soroljon a bizalmasság, sértetlenség és rendelkezésre állás szempontjaiból, rögzítse az osztályra releváns követelmények teljesülésének, illetve nem teljesülésének tényét, és ezek alapján meggyőződjön arról, hogy a rendszer mely biztonsági osztálynak felel meg a három szempont szerint. A munkafüzet automatikusan jelzi, hogy mely követelmények érvényesek az adott biztonsági osztály esetén, illetve összegzéseken keresztül kimutatja, hogy teljesülnek-e a vonatkozó követelmények. A segédlet két platformra készült el. Microsoft Office Excel programmal kezelhető, illetve LibreOffice Calc programmal kezelhető változatban.
Útmutató_segédlethez_v3.10.pdf
4/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
1.2 A segédlet elérhetősége A segédlet a NEIH honlapjáról ingyenesen letölthető. 1.2.1
A Microsoft Office Excel változat címe:
A Microsoft Office Excel változat címe: http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140325.xlsm 1.2.2
A LibreOffice változat címe:
http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.ods illetve a LibreOffice változathoz tartozó segédállomány: http://www.neih.gov.hu/sites/default/files/u/77_2013_NFM_VHR_140618.jar 1.3 A futtatási környezet A segédlet két futtatási környezetben használható: 1.3.1
Microsoft Office Excel változat
A segédlet MS Excel 2010 és MS Excel 2013 programokkal tesztelt, tehát működőképes minden olyan környezetben, ahol ezen verziók valamelyike megtalálható. Kivételként említendő az Excel Web App szolgáltatás, amely a felhőben tenné lehetővé a munkafüzet használatát. Technikai okokból ez nem lehetséges. Tekintve azonban, hogy a munkafüzet kitöltése során informatikai biztonsági szempontból érzékeny adatok kerülnek a munkafüzetbe, ez a hátrány ténylegesen biztonságot óvó előny. A továbbiakban a hivatkozásoknál az MS Excel 2010-es magyar verziót vettük alapul, ezek az egyéb nyelvek, illetve a 2013-as verzió esetére értelemszerűen alkalmazhatók. A segédlet úgynevezett makróbarát Excel-munkafüzet. A benne található kód kizárólag arra szolgál, hogy a később leírt ergonómiai funkció, a „Csoportosított sorok becsukása és kinyitása” elérhető legyen. Ha az Ön Excel környezetében a makró futtatás nem engedélyezett, akkor kísérelje meg a „Fájl” menü „Beállítások” elemének kiválasztása után az „Adatvédelmi központ” lapon a „Makróbeállítások” között engedélyezni a makrókat. Ha ez nem lehetséges, akkor feltehetőleg a rendszergazda tiltotta le a funkciót. Ha nem kívánja, vagy például biz-
Útmutató_segédlethez_v3.10.pdf
5/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
tonsági megfontolások miatt nem lehetséges a makrók engedélyezése, Ön akkor is maradéktalanul használhatja a segédletet (az említett ergonómiai funkció kivételével). A letöltött segédlet megnyitásakor figyelmeztető üzenet jelenhet meg:
A használat megkezdéséhez engedélyezze a szerkesztést! 1.3.2
LibreOffice változat
A segédlet a 4.2.4.2 változatával tesztelt. Makrókat nem tartalmaz. A használatára, kezelésére vonatkozó tudnivalók a LibreOffice sajátosságait figyelembe véve azonosak, vagy rendkívül hasonlatosak az MS Excel változatéhoz. Ezért a továbbiakban az MS Excel változat bemutatásával leírt tudnivalók érvényesek. Ahol eltérés mutatkozik, azt külön megjegyzés tartalmazza.
Útmutató_segédlethez_v3.10.pdf
6/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
2 A segédlet felépítése és használata A segédlet a Rendelet szövegét dolgozza fel, minden követelmény (karakterhelyesen) a Rendeletből származik. 2.1 A látható fülek
Összegzés A szervezet, a rendszer, a kitöltő személy nevének és a kitöltés dátumának megadására szolgáló táblázat, amely a kitöltött adatok alapján a biztonsági osztályt és az annak való megfelelést összegzi.
Osztályba sorolás A biztonsági osztály bizalmasság, sértetlenség és rendelkezésre állás szempontjából való meghatározására szolgáló táblázat.
Értékelés – Adminisztratív Az adminisztratív követelményeknek való megfelelés összegzése.
Értékelés – Fizikai A fizikai követelményeknek való megfelelés összegzése.
Értékelés – Logikai A logikai követelményeknek való megfelelés összegzése.
3.1.1. – 3.1.7. Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló hét táblázat.
Útmutató_segédlethez_v3.10.pdf
7/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
3.2.1 A fizikai követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló táblázat.
3.3.1. – 3.3.10. Az adminisztratív követelmények részletezésére, a megfelelőségek, vagy meg nem felelőségek megadására szolgáló tíz táblázat.
2.2 Navigáció a segédletben A munkafüzet sok táblázatból áll, az egyes táblázatok hosszúak lehetnek, ezért az eligazodást és navigációt érzékeny mezők, linkek támogatják. A linkek felismerhetők arról, hogy a bennük található szöveg aláhúzott. A táblázat felső sorában található link mindig az összegzés irányába mutat, a táblázat belsejében levő link a részletezéshez juttat el. Példaképpen az alábbi képernyőkép-sorozat mutatja a használatot:
Útmutató_segédlethez_v3.10.pdf
8/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Az „Összegzés” fülön a „Kockázatelemzés” linkre kattintva: A LibreOffice változatban a link követése a CTRL billentyű nyomva tartása melletti kattintással történik.
Az „Értékelés – Adminisztratív” fül megfelelő során találjuk magunkat. És fordítva:
A legfelső sorban található „Adminisztratív védelmi intézkedések” link visszavisz az „Öszszesítés” fül megfelelő mezőjéhez.
Útmutató_segédlethez_v3.10.pdf
9/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
2.3 Csoportosított sorok becsukása és kinyitása Az ebben a fejezetben leírt funkció az MS Excel változatban csak akkor működik, ha a makrók futtatása engedélyezett. Ha a makrók futtatása nem engedélyezett, akkor a csoportosítások ugyan láthatók, de a csoportok nem csukhatók be. A segédletben – a Rendelet felépítését követve – a követelmények hierarchiába szervezve jelennek meg. Az áttekinthetőség érdekében számos fülön találhatók csoportosított sorok. Sorok egy csoportját mindig egy fölérendelt sorhoz tartozó, közvetlenül alárendelt sorok együttese alkotja. A csoportok az ablak bal szélén, a csoporthoz tartozó, látható sorok alatti sorban megjelenő négyzet alakú jelről ismerhetők meg. Ha a csoport zárt, akkor a négyzetben „+” jel látható, ha a csoport nyitott, akkor a négyzetben „-” jel található, és a négyzet fölött függőleges vonal jelzi a közös csoportba foglalt sorokat. Zárt csoport:
Ugyanez a csoport nyitva:
Az állapotváltozást – értelemszerűen – a négyzetre kattintva lehet kiváltani.
Útmutató_segédlethez_v3.10.pdf
10/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
A csoportosított sorokat tartalmazó fülek felső részén szintén négyzet alakú kezelőszerv szolgál az összes csoport egyszerre való becsukására („1”-es jelű négyzet),
vagy kinyitására („2”-es jelű négyzet).
Útmutató_segédlethez_v3.10.pdf
11/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
2.4 Színkódok A segédletben a használatot színkódok támogatják. Áttekintő jelleggel:
A kék háttér információs jelentőséggel bír, tagolja a megjelenített követelményeket.
A fehér háttér, benne szöveggel azt jelzi, hogy az adott sorban beviteli mező található.
A piros háttér általában nemleges érték (meg nem felelés) jelzésére szolgál.
Zöld háttér jelzi a pozitív értéket (megfelelőséget).
A sárga figyelemfelhívó, beviteli lehetőséget jelez.
Minél sötétebb egy háttérszín, annál inkább összefoglaló jellegű a mező tartalma.
Részletesen:
Sötétkék háttér, fehér betűszínnel: Összefoglaló, címinformáció vagy fejléc.
Középkék háttér: Összefoglaló, követelmények egy csoportjára utaló mező, vagy a „Nem kötelező” értéket hordozó, összefoglaló mező.
Világoskék háttér: Összefoglaló, alárendelt követelményre utaló mező, vagy a táblázat tagolására szolgáló mező, vagy a beviteli mezőre vonatkozó „Nem kötelező” értéket hordozó mező.
Útmutató_segédlethez_v3.10.pdf
12/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Fehér háttér szöveges tartalommal: A mezőtől jobbra beviteli mező található.
Sötét, vagy közepesen sötétpiros háttér: Meg nem felelőség jelzése követelmény, vagy követelmény csoport egészére.
Halványpiros háttér: „Nem” értékkel kitöltött kétértékű beviteli mező.
Sötét, vagy közepesen sötétzöld háttér: Megfelelőség jelzése követelmény, vagy követelmény csoport egészére.
Halványzöld háttér: „Igen” értékkel kitöltött kétértékű beviteli mező.
Sárga, vagy okker háttér: Adathiány jelzése követelmény, vagy követelmény csoport egészére, illetve a mezőtől balra egy, vagy egymás alatt több kitöltendő beviteli mező található.
Világossárga háttér: Üres kitöltendő beviteli mező található.
Útmutató_segédlethez_v3.10.pdf
13/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
2.5 Kitöltés A segédlet védett. Az MS Excel változatban a munkafüzet, mindkét változatban az egyes táblázatok zároltak, azaz korlátozottan módosíthatók. A nem módosítható mező módosítási kísérletére hibaüzenet a válasz:
A beviteli mező bármikor törölhető, illetve átírható. A beviteli mezők vastag sárga szegélye kitöltött állapotban is jelzi, hogy a mező módosítható. Az „Összegzés” fülön, valamint az „Osztályba sorolás” fül 55. sorában található beviteli mezők kivételével valamennyi beviteli mezőnek összesen három állapota lehet:
Igen
Nem
Kitöltetlen
A háromállapotú beviteli mezők legördülő listával támogatják a kitöltést. A legördülő menü a mezőre klikkeléskor, a mező jobb oldalán megjelenő nyílra kattintva aktiválható.
Ha egy háromállapotú beviteli mezőbe a lehetséges „Igen”, vagy „Nem” értékeken kívül valami mást kísérelnek meg beírni, a következő hibaüzenet jelenik meg:
Útmutató_segédlethez_v3.10.pdf
14/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
Ilyenkor a „Mégse” gombra klikkelve alaphelyzetbe hozható a mező. Az „Osztályba sorolás” fül 55. sorában található beviteli mezők lehetőséget adnak arra, hogy a kitöltő saját szempontot is figyelembe vegyen a biztonsági osztályba sorolásnál akár a bizalmasság, akár a sértetlenség, akár a rendelkezésre állás esetén. Ha saját szempontot kíván alkalmazni, akkor ennek tömör leírását, esetlegesen egy ezzel foglalkozó külső dokumentumra (pl. kockázatelemzésre) való hivatkozást a B55 mezőben szabad szöveges formában adja meg! A C55, D55, E55 mezők rendre a bizalmasság, sértetlenség, rendelkezésre állás szerinti osztály 1-től 5-ig tartó számának megadását teszik lehetővé. A kitöltést legördülő menü segíti.
A segédlet azt is megengedi, hogy valamely egy, vagy több előre megadott szempont és a saját szempont együttese határozza meg a besorolást. Az elv az, hogy az adott oszlopban megadott válaszok közül mindig a legmagasabb határozza meg a biztonsági osztályt.
Útmutató_segédlethez_v3.10.pdf
15/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
3 Az eredmények megőrzése 3.1 Mentés, nyomtatás A kitöltött segédlet érték, ezért ne felejtse el kitöltés közben is folyamatosan menteni! A mentés során tetszőleges nevet adhat a munkafüzetnek, ám célszerű, ha a név utal arra a rendszerre, amelyről szól. Ha az MS Excel változat esetén makróbarát munkafüzetként, LibreOffice változat esetén ODF-munkafüzetként már elmentette munkáját, akkor szükség szerint ki is nyomtathatja azokat a füleket, amelyeket ilyen formában is szeretne megjeleníteni. A nyomtatási beállítások előre definiáltak (nyomtatási terület, lap tájolás, méret, fejléc, stb.), ám tetszés szerint szabadon átállíthatóak. 3.2 XML létrehozása A segédlet további tulajdonsága, hogy XML állomány létrehozását is támogatja. Az XML formátum egy strukturált szöveg formátum, amely különösen alkalmas arra, hogy programok közötti kommunikációban (pl. feltöltéskor) használják. Az XML állomány létrehozása az MS Excel és a LibreOffice programok esetén lényegesen eltérő. 3.2.1
MS Excel változat
A segédletben ezt a funkció a „Mentés másként” szokásos műveletnél az „XML-adatok (*.xml)” fájl típus kiválasztásával érhető el.
A mentés során figyelmeztető üzenet jelenik meg:
Ilyenkor a „Tovább” választásával megtörténik az XML állomány létrehozása. Ha XML-ként mentette munkáját, akkor a munkafüzet típusa XML lesz, tehát a következő mentés parancs hatására is XML-adat formátumban mentene a program. Ha tehát az XMLként való mentés után még módosít, és eredményeit makróbarát munkafüzetként szeretné
Útmutató_segédlethez_v3.10.pdf
16/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
megőrizni, használja ismét a „Mentés másként” parancsot, és adja meg újra a kívánt fájl formátumot. Tapasztalt Excel felhasználók a „Menüszalag testreszabása…”, vagy a „Gyorselérési eszköztár testreszabása” segítségével megtalálhatják és megjeleníthetik a „Fejlesztőeszközök lap”-on található „XMLadatok exportálása” parancsot, amely segítségével úgy állítható elő az XML állomány, hogy közben a munkafüzet neve nem változik meg. 3.2.2
LibreOffice változat
A LibreOffice változatban az XML állomány elkészítése némi előkészületet igényel. Ezt az előkészületet egyetlen alkalommal kell megtenni. Le kell tölteni a „77_2013_NFM_VHR_140618.jar” segédállományt a NEIH honlapjáról, és el kell menteni egy tetszőleges mappába. A LibreOffice „Eszközök” menüjéből az „XML szűrőbállításai…” menüelem kiválasztásával lehet a segédállomány tartalmát telepíteni.
A folytatáshoz az előugró ablakból a „Csomag megnyitása…” gombot kell megnyomni.
Útmutató_segédlethez_v3.10.pdf
17/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
A szokásos tallózási ablakból a korábban elmentett segédállományt kiválasztva a telepítés megtörténik.
Az XML szűrők listájában megjelenik a „77/2013.NFM - XML_output”
Az „XML-szűrő beállításai” ablakot bezárva az XML előállítás elérhetővé válik. Az XML állomány előállításához a „Fájl” menü „Exportálás…” menüelemét kell kiválasztani.
Fontos, hogy a felugró ablakban a fájl típusaként a „77_2013_NFM_XML (.xml) (*.xml)” elem legyen kiválasztva!
A „77_2013_NFM_XML (.xml) (*.xml)” fájl típus egyéb táblázatok esetén nem használható, üres állomány létrehozását eredményezi. Ha az XML-szűrő jelenléte zavaró, az „XML-szűrő
Útmutató_segédlethez_v3.10.pdf
18/19
Nemzeti Elektronikus Információbiztonsági Hatóság
Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez
beállításai” ablakban törölhető. Ebben az esetben a következő alkalommal a segédletből XML állomány előállítása előtt az előkészületet meg kell ismételni. 3.2.3
Az XML állomány
Az MS Excel és a LibraOffice változat esetén az előálló XML állomány szerkezete azonos. Az XML formátum nem olvasmányos, de – többek között – böngészőben is megnyitható, és tartalmi megjelenítése az alábbiakhoz hasonló:
4 Ha segítségre van szüksége… Ha a segédlet használata során problémába ütközött, kérjük, akár telefonon, akár elektronikus levélben keresse a Nemzeti Elektronikus Információbiztonsági Hatóságot. Az elérhetőségeket megtalálja weboldalunkon, a http://neih.gov.hu címen.
Útmutató_segédlethez_v3.10.pdf
19/19