Kontroll-könyvtár
Demó mód — helyi adatokPiszkozat — a könyvtár tartalma és a jogszabályi hivatkozások auditor-validálásra várnak. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.
Ez a teljes kötelezettség-gyűjtemény, amit a 2024. évi LXIX. törvény és a 7/2024. (VI. 24.) MK rendelet az érintett szervezetektől megkövetel. Nem minden tétel vonatkozik minden cégre — hogy rád pontosan melyik, azt a biztonsági osztályod dönti el.
Kiberbiztonsági felelős kijelölése
Alap osztálytólA szervezet vezetése írásban kijelöli az elektronikus információs rendszerek biztonságáért felelős személyt.
Vezetői kiberbiztonsági képzés
Alap osztálytólA vezető tisztségviselők rendszeres kiberbiztonsági képzésen vesznek részt, a részvétel dokumentált.
Információbiztonsági szabályzat (IBSZ)
Alap osztálytólA szervezet rendelkezik jóváhagyott, hatályos információbiztonsági szabályzattal, amely kiterjed minden elektronikus információs rendszerre.
Kockázatértékelés elvégzése
Alap osztálytólDokumentált kockázatértékelés az elektronikus információs rendszerekre: fenyegetések, valószínűség, hatás, intézkedések.
Biztonsági osztályba sorolás dokumentálása
Alap osztálytólMinden elektronikus információs rendszer biztonsági osztályba sorolt (alap/jelentős/magas), a besorolás indoklással dokumentált.
Kockázatkezelési terv karbantartása
Jelentős osztálytólAz azonosított kockázatokhoz intézkedési terv tartozik felelőssel és határidővel; a terv rendszeresen felülvizsgált.
Jogosultsági mátrix vezetése
Alap osztálytólNyilvántartás arról, hogy mely munkakör mely rendszerekhez milyen szintű hozzáféréssel rendelkezik (need-to-know elv).
Többfaktoros hitelesítés (MFA)
Alap osztálytólRendszergazdai és távoli hozzáférésű fiókoknál a többfaktoros hitelesítés kötelező és technikailag kikényszerített.
Hozzáférés visszavonása kilépéskor
Alap osztálytólMunkaviszony megszűnésekor a hozzáférések 24 órán belül visszavonásra kerülnek, a visszavonás dokumentált.
Privilegizált fiókok külön kezelése
Jelentős osztálytólA rendszergazdai fiókok elkülönítettek a napi munkavégzésre használt fiókoktól, használatuk naplózott.
Mentési rend és helyreállítási terv
Alap osztálytólRendszeres, dokumentált mentések; a helyreállítás tesztelt, a tesztek jegyzőkönyvezettek.
Biztonsági frissítések kezelése
Alap osztálytólA szoftverek biztonsági frissítései ellenőrzött folyamat szerint, dokumentáltan települnek.
Kártevő elleni védelem
Alap osztálytólMinden végponton és szerveren aktív, központilag felügyelt kártevő elleni védelem működik.
Központi naplózás és napló-felülvizsgálat
Jelentős osztálytólA kritikus rendszerek eseménynaplói központilag gyűjtöttek, rendszeres felülvizsgálatuk dokumentált.
Titkosítás érzékeny adatokon
Jelentős osztálytólAz érzékeny adatok tárolás közben és átvitel során titkosítottak; a kulcskezelés szabályozott.
Incidenskezelési eljárásrend
Alap osztálytólÍrásos eljárás a biztonsági események azonosítására, osztályozására, kezelésére és eszkalációjára.
Hatósági bejelentési képesség (24 óra / 72 óra / 1 hónap)
Alap osztálytólA szervezet képes a jelentős incidensről korai riasztást adni 24 órán belül, eseménybejelentést tenni 72 órán belül, és zárójelentést készíteni egy hónapon belül; a felelős és a csatorna kijelölt.
Incidensnyilvántartás vezetése
Alap osztálytólMinden biztonsági esemény nyilvántartott: időpont, leírás, intézkedések, lezárás.
Kritikus beszállítók kockázatfelmérése
Jelentős osztálytólA kritikus beszállítók azonosítottak, kiberbiztonsági szempontú felmérésük dokumentált.
Biztonsági kikötések a beszállítói szerződésekben
Jelentős osztálytólA kritikus beszállítói szerződések tartalmaznak kiberbiztonsági és incidens-együttműködési kikötéseket.
Rendszeres sérülékenységvizsgálat és behatolásteszt
Magas osztálytólA kritikus rendszerek biztonsága rendszeres, dokumentált sérülékenységvizsgálattal és időszakos behatolásteszttel (etikus hackerteszttel) ellenőrzött.
Folyamatos biztonsági felügyelet (monitoring)
Magas osztálytólA kritikus rendszerek eseményeit folyamatos, valós idejű biztonsági felügyelet figyeli (pl. SIEM-megoldás), riasztási és reagálási képességgel.
Magas rendelkezésre állás és tartalék-infrastruktúra
Magas osztálytólA kritikus szolgáltatások redundáns kialakításúak; katasztrófa-helyreállítási terv és tartalék-kapacitás biztosítja a folytonosságot súlyos kiesés esetén is.