Sérülékenység

serulekenysegvizsgalat

Sérülékenység

A KÜRT Zrt. szerepel a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek jegyzékén

A sérülékenységvizsgálat törvényi szabályozása

Mi a sérülékenységvizsgálat?

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény ( a továbbiakban: Ibtv.) megfogalmazása alapján a sérülékenységvizsgálataz elektronikus információs rendszerek gyenge pontjainak (biztonsági rések) és az ezeken keresztül fenyegető biztonsági eseményeknek a feltárása. Lényege az informatikai rendszerekbe épített biztonsági kontrollok kijátszásának megkísérlése, a rendszer technikai hibáinak, sérülékenységeinek kihasználása az informatikai infrastruktúra károsítása, a meglévő biztonsági és rendelkezésre állási szint csökkenése nélkül, a lehetséges behatolási, adatszivárgási, illetve adatlopási pontok feltárása és érdekében.

 

A sérülékenységvizsgálat célja

A sérülékenységvizsgálat célja az esetleges biztonsági események bekövetkeztét megelőzően az érintett szervezet elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása az elektronikus információs rendszerek, rendszerelemek védelmének és biztonságának megerősítése érdekében.

 

A sérülékenységvizsgálat tárgya, módszerei és eszközei

A 271/2018. (XII. 20.) Korm. rendelet 23. § (2) bekezdése értelmében a sérülékenységvizsgálat tárgya az adatok, információk kezelésére használt elektronikus információs rendszerek, rendszerelemek, eszközök, eljárások és kapcsolódó folyamatok vizsgálata, valamint az ezeket kezelő személyek általános informatikai felkészültségének és az érintett szervezetnél használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata.

A sérülékenységvizsgálat az érintett rendszerek, illetve a felhasznált eszközök és módszerek alapján, többféleképp csoportosítható. Attól függően, hogy a rendszerről milyen információk állnak a vizsgálatot végzők rendelkezésére, megkülönböztethetünk

  • „black-” (regisztrált felhasználói jogosultság nélküli vizsgálat);
  • „grey-” (regisztrált felhasználói jogosultsággal rendelkező vizsgálat); és
  • „white box” (adminisztrátori jogosultsággal rendelkező vizsgálat)

vizsgálatokat.

A sérülékenységvizsgálat során a sérülékenységvizsgálati eljárását megalapozó dokumentációban meghatározottak szerint az alábbi vizsgálatok elvégzésére kerül sor:

  • külső informatikai biztonsági vizsgálat,
  • webes vizsgálat,
  • automatizált vizsgálat,
  • pszichológiai manipuláció,
  • belső informatikai biztonsági vizsgálat, illetve
  • vezeték nélküli hálózat informatikai biztonsági vizsgálata.

 

A 271/2018. (XII. 20.) Korm. rendelet az egyes vizsgálati irányokhoz kapcsolódó időkereteket is meghatározza.

A sérülékenységvizsgálat előkészítése során a sérülékenységvizsgálatot végző szerv sérülékenységvizsgálati dokumentációt készít. A sérülékenységvizsgálati dokumentációban rögzíti a vizsgálati feladatokat, célokat, a technikai és személyi feltételeket, a módszertant, az egyeztetések, a sérülékenységvizsgálat várható befejezésének dátumát.

 

Mely jogszabályok szabályozzák a sérülékenységvizsgálatot?

A sérülékenységvizsgálattal összefüggő szabályokat az Ibtv., a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet, továbbá az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet rögzíti.

 

Kötelezhető-e egy szervezet sérülékenységvizsgálat végrehajtására?

Az Ibtv. 18. §-a értelmében: „(1) A hatóság az érintett szervezetet kötelezheti arra, hogy sérülékenységvizsgálatot végeztessen, valamint a biztonsági eseményt kivizsgáltassa. Ha a hatóság kötelezésének az érintett szervezet nem tesz eleget, a hatóság eljárási bírságot szab ki.(2) A törvény hatálya alá tartozó szervezet sérülékenységvizsgálatot, biztonsági esemény vizsgálatát a hatóság felhívása nélkül is kezdeményezhet.” A szervezet a sérülékenységvizsgálat eredményeként feltárt hiányosságokról, a sérülékenységek megszüntetésére vonatkozó intézkedési tervről a vizsgálatok lezárását követően tájékoztatja az Elektronikus Információbiztonság Hatóságot.

A 271/2018. (XII. 20.) Korm. rendelet értelmében a Hatósági határozat alapján elrendelt sérülékenységvizsgálat esetén az érintett szervezet köteles a sérülékenységvizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a sérülékenységvizsgálatot végző szerv rendelkezésére bocsátani, valamint tűrni a sérülékenységvizsgálatból fakadó, a vizsgált elektronikus információs rendszeren bekövetkezett szolgáltatáscsökkenést.

A 41/2015. (VII. 15.) BM rendelet értelmében 3. biztonsági osztálytól az érintett szervezet a felügyelete, illetve irányítása alatt álló elektronikus információs rendszerek és alkalmazások tekintetében sérülékenységvizsgálati eszközök és technikák alkalmazásával, vagy külső szervezet bevonásával sérülékenységtesztet köteles végrehajtani. 4. biztonsági osztálytól az érintett szervezet a védelmi intézkedések értékelése keretében bejelentés mellett, vagy bejelentés nélkül sérülékenységvizsgálatot, rosszhiszemű felhasználó tesztet, belső fenyegetettség értékelést, a biztonságkritikus egyedi fejlesztésű szoftverelemek forráskód elemzését, az érintett szervezet által meghatározott egyéb biztonsági értékeléseket köteles végeztetni.

 

Kik végezhetnek az Ibtv. hatálya alá tartozó szervezeteknél sérülékenységvizsgálatot?

Az Ibtv. 18. § (3) bekezdése alapján sérülékenységvizsgálatot, illetve a biztonsági esemény vizsgálatát – az (5) bekezdésben foglalt szervek és elektronikus információs rendszerek kivételével –

  1. a) a Kormány rendeletében meghatározott állami szerv, vagy
  2. b) telephely biztonsági tanúsítvánnyal, továbbá a feladat ellátásához szükséges – jogszabályban meghatározott – szakértelemmel és infrastrukturális feltételekkel rendelkező gazdálkodó szervezet

végezhet.

(4) A (3) bekezdés b) pontja szerinti gazdálkodó szervezet nevében és alkalmazásában kizárólag olyan személy végezheti a vizsgálatot, akinek a nemzetbiztonsági ellenőrzését elvégezték és a nemzetbiztonsági ellenőrzés során nemzetbiztonsági kockázatot nem állapítottak meg.

Az állami és önkormányzati szervek európai vagy nemzeti létfontosságú rendszerelemmé a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény alapján kijelölt rendszerelemei elektronikus információs rendszerei, valamint a nemzetbiztonsági védelem alá eső szervek és létesítmények köréről szóló 2009/2015. (XII. 29.) Korm. határozatban szereplő állami és önkormányzati szervekvonatkozásában a Kormány rendeletében meghatározott állami szerv (a Kormányzati Eseménykezelő Központ) végzi el.

 

Bővebb információ: https://net.jogtar.hu/jogszabaly?docid=A1800271.KOR

 

 

 

KÜRT Csoport

Üdvözöljük oldalainkon, azonnali kapcsolatfvétel esetén a következő elérhetőségeket ajánljuk:

KÜRT Zrt.

1118 Budapest, Rétköz u. 5.

+36 1 424 6666
+36 1 228 5414
kurt@kurt.hu

Ügyélfogadási idők
Hétfő - Péntek 08:30 - 17:00

KUERT Datenrettung Deutschland GmbH

44787 Bochum Südring 23

0234 - 962 90 390
info @ kuert-datenrettung.de

Store Hours
Mon - Sun 09:00 - 18:00