Mérés
Külső nézetből méri, hogy a szolgáltatás valóban elérhető-e a felhasználók számára.
Compliance és jogszabályi megfelelőség támogatása
Az SLA Monitor mérhető, visszakereshető és riportálható bizonyítékot ad a digitális szolgáltatások rendelkezésre állásáról, válaszidejéről, SLA-teljesüléséről és incidenskommunikációjáról. Ez nem helyettesíti a szervezet teljes jogszabályi megfelelési programját, de erős bizonyítéki és működéstámogató kontrollként használható.
Megfogalmazási alapelv: az oldal nem azt állítja, hogy egy szolgáltatás megvásárlása önmagában teljesíti a jogszabályt, hanem azt, hogy mérési, riportolási és kommunikációs bizonyítékokkal támogatja a teljesítést.
Kezdő összefoglaló
Fő megfelelőségi kapcsolódások
Az alábbi négy összefoglaló blokk mutatja be, hogy az SLA Monitor milyen jogszabályi, pénzügyi és szabványi megfelelőségi területeken adhat mérési, riportálási és auditálható bizonyítékot. A részletesebb magyarázatok és táblázatok az aloldal további fejezeteiben szerepelnek.
Magyar kiberbiztonsági megfelelőség
A Kbtv. és a 7/2024. MK rendelet szempontjából az SLA Monitor a rendelkezésre állási, üzletmenet-folytonossági, riasztási, incidenskezelési és riportálási bizonyítékok előállítását támogatja.
| Témakör | Kapcsolódó elvárás | SLA Monitor szerep |
|---|---|---|
| Rendelkezésre állás | Az elektronikus információs rendszerek rendelkezésre állásának védelme és kockázatarányos biztosítása. | Külső nézetű mérés, uptime, válaszidő, SLA-teljesülés és idősoros bizonyíték. |
| Üzletmenet-folytonosság | Folytonossági terv, alapfunkciók visszaállítása, RTO/RPO és tervtesztelés támogatása. | BCP/DR teszt közben és után mérhető, mikor vált újra elérhetővé a szolgáltatás. |
| Riasztás és jelentés | Felügyeleti eszközök, automatizált figyelmeztetések és jelentéskészítési képességek. | Riasztások, havi vezetői riportok, CSV/PDF export és státuszoldal. |
Kritikus szervezetek és létfontosságú működés
A kritikus szervezeteknél a rendelkezésre állás nem pusztán informatikai mutató, hanem az alapvető szolgáltatás folyamatosságának és az ellenálló képességi terv működőképességének bizonyítéka is lehet.
| Témakör | Kapcsolódó elvárás | SLA Monitor szerep |
|---|---|---|
| Alapvető szolgáltatás | A kritikus infrastruktúra és az alapvető szolgáltatás folyamatos működésének védelme. | A szolgáltatás külső elérhetőségének, degradált működésének és kiesésének objektív mérése. |
| Ellenálló képességi terv és mátrix | Kockázatok, hatások, következmények és helyreállási intézkedések dokumentálása. | Mérési adatokkal alátámasztható a rendelkezésre állási kockázat és a helyreállás tényleges ideje. |
| Gyakorlat és belső audit | Az ellenálló képességi terv megfelelőségének, naprakészségének és működésének ellenőrzése. | Gyakorlatok és incidensek utólagos értékelése riportokkal, logokkal és idősoros bizonyítékokkal. |
Pénzügyi szektor: DORA és MNB 1/2025
A pénzügyi intézményi környezetben az IKT-kockázatkezelés, az incidensészlelés, a szolgáltatásfolytonosság, a tesztelés és a harmadik fél szolgáltatói SLA-k különösen erősen kapcsolódnak az SLA Monitorhoz.
| Témakör | Kapcsolódó elvárás | SLA Monitor szerep |
|---|---|---|
| IKT-kockázat és monitoring | IKT-rendszerek megbízhatósága, kapacitása, ellenőrizhetősége és automatikus észlelés. | Külső monitoring, válaszidőtrend, SLA-kimutatás és korai hibajelzés. |
| Incidens és folytonosság | IKT-események nyilvántartása, reagálás, helyreállítás, folytonossági és helyreállítási tesztek. | Kiesés kezdete-vége, szolgáltatáshelyreállás és SLA-hatás objektív dokumentálása. |
| Kiszervezés és SLA | IKT-szolgáltatók ellenőrizhetősége, szolgáltatási szintek, riportolás és számonkérhetőség. | Partneri SLA bizonyítás, havi riport, státuszkommunikáció és auditálható mérési napló. |
Szabványi kontrollok: ISO 27001 és NIST SP 800-53
Az SLA Monitor a szabványi megfelelésben kontrollbizonyítékként használható: monitoring, logging, incidenskezelés, kapacitás, redundancia, folytonosság és helyreállítás területén.
| Témakör | Kapcsolódó kontrolllogika | SLA Monitor szerep |
|---|---|---|
| Monitoring és naplózás | Folyamatos felügyelet, auditnaplók, mérési bizonyítékok és kontrollműködés értékelése. | Visszakereshető mérési adatok, riasztások, riportok és trendek. |
| Folytonosság és helyreállítás | ICT readiness for business continuity, contingency planning, recovery és tesztelési bizonyítékok. | Helyreállás tényleges külső észlelése, RTO-ellenőrzés és gyakorlat utáni riport. |
| Külső szolgáltatások | Beszállítói és szolgáltatói kockázat, szolgáltatási szint, rendelkezésre állás és teljesítmény ellenőrzése. | Objektív SLA mérés harmadik fél szolgáltatások és ügyféloldali digitális folyamatok esetén. |
Megközelítés
Témakörönkénti megfelelőség
A jogszabályi és szabványi megfelelést érdemes külön témakörökben bemutatni: rendelkezésre állás, üzletmenet-folytonosság, incidenskezelés, felügyelet, riportálás és auditálható bizonyítékok. Így az oldal később EU-s jogszabályokkal és szabványokkal is bővíthető.
Riport
Az uptime, válaszidő és SLA-adatokból vezetői és audit célra használható riport készül.
Riasztás
A romló elérhetőség és válaszidő még az üzleti SLA sérülése előtt jelezhető.
Compliance
A kontrollok működéséhez mérési bizonyítékot és visszakereshető dokumentációt ad.
1. szektor / jogszabályi blokk
Magyar kiberbiztonsági megfelelőség
A 2024. évi LXIX. törvény és a 7/2024. (VI. 24.) MK rendelet alapján a rendelkezésre állás, az üzletmenet-folytonosság, a felügyelet, az incidenskezelés és a riportolható bizonyítékok közvetlenül kapcsolhatók az SLA Monitor szolgáltatáshoz.
Kbtv. – cél, hatály és rendelkezésre állás
A törvény célrendszere a kulcsfontosságú ágazatokban nyújtott szolgáltatások folyamatosságára és az elektronikus információs rendszerek rendelkezésre állására is épül. Az SLA Monitor ebben a kontextusban nem jogi megfelelőséget „ad el”, hanem mérhető bizonyítékot biztosít arról, hogy a digitális szolgáltatás mikor, milyen minőségben és milyen idősávban volt elérhető.
| Jogszabályi kapcsolódási pont | Értelmezés SLA / uptime szempontból | SLA Monitor támogatás |
|---|---|---|
| Kbtv. célrendszer szolgáltatásfolytonosság és CIA | A kulcsfontosságú ágazatokban a szolgáltatásfolytonosság, valamint a bizalmasság, sértetlenség és rendelkezésre állás védelme kiemelt cél. | Külső nézetű uptime mérés, válaszidőtrend, SLA-riport és elérhetőségi bizonyíték. |
| Kbtv. hatály alapvető / fontos szervezetek | Közigazgatási, kritikus, digitális infrastruktúra, IKT, hírközlési és digitális szolgáltató szervezeteknél kiemelt szerepe van a szolgáltatáselérhetőség igazolásának. | Publikus és üzletileg kritikus webes/API szolgáltatások monitorozása, ügyfél- és vezetői riportálása. |
| Rendelkezésre állás definíció | A rendelkezésre állás lényege, hogy az EIR az arra jogosult személy számára elérhető legyen, és az abban kezelt adatok használhatók legyenek. | Idősoros bizonyíték arról, hogy a vizsgált szolgáltatás külső felhasználói nézetből elérhető volt-e. |
| Elektronikus információs rendszer biztonsága | A rendszernek ellen kell állnia a szolgáltatások rendelkezésre állását veszélyeztető eseményekkel szemben. | A szolgáltatásromlás, válaszidő-emelkedés és kiesés korai észlelése kontrollműködési jelzésként használható. |
Kockázatmenedzsment, nyilvántartás és szerződéses követelmények
A kiberbiztonsági megfelelésben nem elég a kontrollt leírni; működtetni és bizonyítani is kell. Az SLA Monitor a felügyeleti és vezetői bizonyítékcsomag része lehet: milyen szolgáltatást mértünk, milyen elérhetőséget mutatott, mikor történt kiesés, és milyen riport készült róla.
| Téma | Jogszabályi logika | Weboldali / értékesítési üzenet |
|---|---|---|
| Kockázatmenedzsment keretrendszer | A szervezet vezetőjének kockázatmenedzsment keretrendszert kell létrehoznia és működtetnie. | Az SLA Monitor mért adatai felhasználhatók a rendelkezésre állási kockázatok értékeléséhez. |
| Rendszer- és szolgáltatásnyilvántartás | A szervezetnek fel kell mérnie és nyilvántartásba kell vennie az általa használt EIR-eket, központi szolgáltatásokat és támogató rendszereket. | A monitorozott szolgáltatások listája és mérési státusza működési kontrollként beilleszthető a szolgáltatásnyilvántartásba. |
| Fejlesztési / szerződéses követelmények | A fejlesztési szerződésben rögzíthetők az információbiztonsági követelmények. | Az SLA, uptime, válaszidő és külső mérési elvárás konkrét, mérhető követelménnyé alakítható. |
Incidens, incidensközeli helyzet és működéshelyreállítás
A jogszabályi definíciók alapján a szolgáltatások rendelkezésre állását veszélyeztető, csökkentő vagy megszüntető események incidens- vagy incidensközeli helyzetként is értelmezhetők. Az SLA Monitor ehhez objektív idősoros adatot, riasztást, státuszkommunikációt és utólagos riportot biztosít.
| Téma | Kapcsolódó értelmezés | SLA Monitor szerepe |
|---|---|---|
| Kiberbiztonsági incidens | Olyan esemény, amely veszélyezteti az EIR-ben kezelt adatok vagy az azon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. | Elérhetőségi romlás és kiesés észlelése, idősoros bizonyítása és incidenskommunikáció támogatása. |
| Üzemeltetési incidens | Olyan incidens, amely nem szándékoltan csökkenti vagy megszünteti a szolgáltatások rendelkezésre állását. | Kiesési ablak, helyreállási idő és külső nézetű újra-elérhetőség dokumentálása. |
| Súlyos működési zavar | A szolgáltatás csökkenése vagy súlyos működési zavara pénzügyi vagy reputációs veszteséget okozhat. | Riportálható adatok az üzleti hatás, SLA sérülés és partneri kommunikáció alátámasztásához. |
| Incidenskezelés | Incidens esetén a szervezetnek intézkednie kell az érintett incidens kezelése érdekében. | Riasztás, státuszoldal, utólagos riport és mérési log a kezelés dokumentálásához. |
Végrehajtási rendelet
7/2024. (VI. 24.) MK rendelet – védelmi intézkedések
A rendelet kontrollszintű kapcsolódásokat ad: üzletmenet-folytonossági tervezés, kapacitás, tesztelés, szolgáltatásmegtagadás elleni észlelés, erőforrás-rendelkezésre állás, folyamatos felügyelet, riasztások és jelentések.
Üzletmenet-folytonosság és működésfenntartás
Az SLA Monitor különösen erős bizonyítékot ad a folyamatossági kontrollokhoz: megmutatja, hogy a szolgáltatás mikor volt elérhető, mikor esett ki, mennyi ideig tartott a helyreállás, és a helyreállítást követően valóban elérhető volt-e a felhasználói oldalról.
| Kontroll / követelmény | Mit jelent működés szempontból? | SLA Monitor bizonyíték |
|---|---|---|
| 7.4 Kapacitás tervezése | A folyamatos működéshez szükséges információfeldolgozó és infokommunikációs kapacitások tervezése. | Válaszidőtrend, terhelési romlás és időszaki SLA-adatok a kapacitási kockázatok felismeréséhez. |
| 7.5 Funkciók visszaállítása | Meg kell határozni az alapfunkciók újraindításának időpontját. | Külső mérési pontból igazolható, hogy a szolgáltatás mikor vált ismét ténylegesen elérhetővé. |
| 7.6 Folyamatosság | Az alapfeladatok és alapfunkciók működési veszteségének minimalizálása. | Kiesési idő, elérhetőségi százalék és SLA sérülési kimutatás. |
| 7.13 Tesztelés | A folytonossági tervet meghatározott gyakorisággal tesztelni és értékelni kell. | BCP/DR tesztek kiegészítő bizonyítékaként használható mérési riport és helyreállási idősor. |
Folyamatos felügyelet, riasztás és riportálás
A felügyelet csak akkor auditálható, ha van mögötte mérési adat, értékelési logika és rendszeres jelentés. A rendelet folyamatos felügyeleti és riasztási kontrolljaihoz az SLA Monitor üzletileg értelmezhető mérőszámokat és rendszeres riportot ad.
| Kontroll / követelmény | Kapcsolódás | SLA Monitor támogatás |
|---|---|---|
| 5.15 Folyamatos felügyelet | Rendszerszintű metrikák, rendszeres felügyelet, állapotjelentés és mutatók folyamatos nyomon követése. | Uptime, válaszidő, SLA teljesülés, trend és havi vezetői riport. |
| 5.17 Trendelemzés | Tapasztalati adatok alapján vizsgálható, kell-e módosítani a védelmi intézkedések végrehajtását. | Válaszidő- és elérhetőségi trendek az ismétlődő vagy romló szolgáltatási mintázatok felismeréséhez. |
| 18.37–18.38 Riasztások | Belső riasztások, tanácsok és automatizált figyelmeztetések kiadása. | Automatikus SLA / elérhetőségi riasztás, státuszoldal és értesítési folyamat. |
| 18.41 Jelentés | Jelentés készítése az ellenőrzési eredményekről kijelölt szerepköröknek. | Havi és eseményalapú SLA riport vezetőknek, ügyfeleknek és audit célra. |
DoS, erőforrás-rendelkezésre állás és külső nézetű észlelés
Az SLA Monitor nem DDoS-védelmi eszköz, ezt nem is érdemes így állítani. Viszont külső nézetből képes észlelni a szolgáltatás elérhetőségének vagy válaszidejének romlását, ami támadás, túlterhelés vagy kapacitásprobléma korai jele lehet.
| Kontroll / követelmény | Mit kér a kontroll? | SLA Monitor érték |
|---|---|---|
| 17.12 DoS elleni védelem | A szervezet védekezik a szolgáltatásmegtagadással járó támadások ellen vagy korlátozza azok hatásait. | Kiegészítő jelző kontroll: külső elérhetőségi és válaszidő-romlás észlelése. |
| 17.15 Észlelés és felügyelet | Felügyeleti eszközök alkalmazása a DoS jeleinek észlelésére, valamint erőforrások figyelése. | Nem hálózati forgalomelemzés, hanem felhasználói oldalról látható szolgáltatásromlás mérése. |
| 17.16 Erőforrások rendelkezésre állása | Az erőforrások rendelkezésre állásának védelme prioritás, kvóta vagy egyéb követelmények szerint. | Válaszidő és elérhetőségi adatok alapján kimutatható, ha a szolgáltatás teljesítménye üzletileg romlik. |
Kritikus szervezetek és létfontosságú működés
2024. évi LXXXIV. törvény és 2021. évi XCIII. törvény – ellenálló képesség, üzemfolytonosság, eseménykezelés
Ez a blokk kizárólag azokat a kapcsolódási pontokat emeli ki, amelyek az SLA Monitor témájához érdemben illeszkednek: alapvető szolgáltatások folyamatossága, üzemfolytonos működés, kockázatértékelés, ellenálló képességi terv, rendkívüli események, kontrollált rendkívüli események, helyreállítás és jelentéskészítés.
Alapvető szolgáltatások folyamatossága és ellenálló képesség
A kritikus szervezetekre vonatkozó szabályozás központi eleme az alapvető szolgáltatások folyamatosságának biztosítása és a rendkívüli eseményekre való felkészülés. Az SLA Monitor ebben a körben nem helyettesíti az ellenálló képességi programot, hanem külső nézetű, időbélyegzett és riportálható adatokat ad arról, hogy az ügyfelek számára ténylegesen elérhető volt-e az üzletileg kritikus digitális szolgáltatás.
| Jogszabályi kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| Kritikus szervezetek törvénye – alapvető szolgáltatás folyamatossága | Az alapvető szolgáltatások folyamatossága és a kritikus szervezetek ellenálló képessége nemzeti érdek; a szervezetnek a kockázatok és rendkívüli események hatásai alapján kell gondolkodnia. | Folyamatos külső mérés, rendelkezésre állási idősor, válaszidőtrend és SLA-riport a digitális szolgáltatás tényleges működésének igazolására. |
| Alapvető szolgáltatás | Olyan szolgáltatás, amely társadalmi, gazdasági vagy biztonsági stabilitás szempontjából elengedhetetlen lehet. | Az üzletileg és társadalmilag fontos webes/API szolgáltatások elérhetőségének külön monitorozása és vezetői bemutatása. |
| Ellenálló képesség | A szervezet képessége a rendkívüli esemény megelőzésére, kezelésére, hatásainak enyhítésére és a működés helyreállítására. | Helyreállási ablak, szolgáltatás újra-elérhetősége, kiesési idő és trendadatok objektív rögzítése. |
| Ellátási lánc és függőségek | A szolgáltatás fenntartása függhet más szervezetektől, infrastruktúrától vagy kapcsolódó szolgáltatásoktól. | Külső nézetből látható, ha a felhasználói oldalról a szolgáltatás sérül, akkor is, ha a belső rendszerkomponensek részben működőképesek. |
Kockázatértékelés, ellenálló képességi terv és mátrix
A kritikus szervezeteknél a kockázatértékelésnek, az ellenálló képességi mátrixnak és az ellenálló képességi tervnek a biztonságos, üzemfolytonos működésre, az alapvető szolgáltatás folyamatosságára és a működés helyreállítására kell fókuszálnia. Az SLA Monitor ehhez auditálható működési adatot és rendszeres bizonyítékot biztosít.
| Témakör | Mit kell tudni igazolni? | SLA Monitor bizonyíték |
|---|---|---|
| Kockázatértékelés | A biztonságos és üzemfolytonos működést fenyegető kockázatok következményeit értékelni kell. | Rendelkezésre állási és válaszidő trendek, ismétlődő kiesések, degradációk és SLA-sérülések kimutatása. |
| Ellenálló képességi terv | A tervnek tartalmaznia kell a szolgáltatás folyamatos nyújtását és az üzemfolytonosságot biztosító szabály-, szervezeti- és eszközrendszert. | Folyamatos mérés és riport mint olyan kontrollbizonyíték, amely mutatja, hogy a szolgáltatás ténylegesen elérhető volt-e. |
| Működés helyreállítása | A tervnek a működés helyreállítását és az alapvető szolgáltatás folyamatosságát biztosító intézkedésekre is ki kell térnie. | Időbélyegzett helyreállási mérés: mikor lett újra elérhető a szolgáltatás külső felhasználói nézetből. |
| Éves és soron kívüli felülvizsgálat | Az ellenálló képességi tervet rendes felülvizsgálattal, illetve változás vagy rendkívüli esemény után soron kívül is felül kell vizsgálni. | Havi, eseményalapú és historikus SLA-riportok felhasználhatók a felülvizsgálati döntésekhez. |
Rendkívüli esemény, kontrollált rendkívüli esemény és jelentéskészítés
A kritikus szervezeti szabályozás releváns része nemcsak a teljes kiesést kezeli, hanem azokat az eseményeket is, amelyek a kritikus infrastruktúra vagy alapvető szolgáltatás minőségének romlását, mennyiségi fennakadását vagy szolgáltatáskorlátozást okozhatják. Ez közvetlenül kapcsolódik a válaszidő, uptime és SLA-szint méréséhez.
| Eseménytípus / kötelezettség | Relevancia SLA szempontból | SLA Monitor támogatás |
|---|---|---|
| Kontrollált rendkívüli esemény | Olyan károsodás, sérülés, minőségromlás vagy fennakadás, amely még nem jár teljes megszűnéssel vagy kieséssel. | Korai jelzés válaszidő-romlás, részleges elérhetetlenség vagy SLA-közeli romlás esetén. |
| Rendkívüli esemény | Olyan esemény, amely a kritikus infrastruktúra vagy alapvető szolgáltatás megszűnését, kiesését, illetve annak veszélyét eredményezi. | Kiesési időablak, érintett szolgáltatás, helyreállási idő és utólagos riport rögzítése. |
| Eseményzáró jelentés | A rendkívüli esemény lezárását követően jelentést kell készíteni a kialakulásról, intézkedésekről és megelőző lépésekről. | Eseményalapú SLA-riport, mérési log, idővonal és státuszkommunikációs adatok. |
| Korlátozás időtartama | A karbantartások, javítások és eseménykezelés során elsődleges, hogy az alapvető szolgáltatás működése a lehető legrövidebb ideig legyen korlátozott. | Objektív mérés arról, hogy a felhasználói oldalról mennyi ideig volt korlátozott vagy elérhetetlen a szolgáltatás. |
Védelmi és biztonsági tevékenységek összehangolása
A 2021. évi XCIII. törvényből csak a honlap témájához kapcsolódó részeket érdemes kommunikálni: jelentős szervezetek, védelmi-biztonsági célú felkészítés, államműködés és gazdaság működőképessége, riasztási rendszer, eseménykezelés és gyakorlatok. A hangsúly itt is a bizonyítható működésen és a jelentésekhez használható mérési adatokon van.
| Kapcsolódási pont | Miért releváns? | SLA Monitor szerepe |
|---|---|---|
| Jelentős szervezetek | A törvény külön kezeli az ország védelme és biztonsága szempontjából jelentős szervezeteket és infrastruktúrákat. | A digitális szolgáltatások elérhetőségének bizonyítása támogathatja a felkészülési és ellenőrzési dokumentációt. |
| Felkészítés és működőképesség | A nemzetgazdaság és az államműködés folytonossága, valamint a gazdaság működőképességének fenntarthatósága kiemelt cél. | Rendelkezésre állási adatokkal alátámasztható, hogy a digitális szolgáltatás mikor és milyen minőségben működött. |
| Riasztási és eseménykezelési rendszer | A védelmi és biztonsági eseményekre való összehangolt reagálást riasztási és eseménykezelési logika támogatja. | Automatikus riasztás, státuszoldal és incidensidővonal az operatív reagálás támogatására. |
| Gyakorlatok és ellenőrzések | A felkészülést, gyakorlatokat és feladat-végrehajtást ellenőrzési, értékelési logika kíséri. | Gyakorlat vagy helyreállítási teszt során külső mérési bizonyíték készíthető a tényleges elérhetőségről. |
Óvatos kommunikációs megfogalmazás: az SLA Monitor a kritikus szervezeti és védelmi-biztonsági megfeleléshez kapcsolódó rendelkezésre állási, folytonossági, riasztási és jelentési bizonyítékokat támogatja. Nem minősít kritikus szervezetté, nem váltja ki az ellenálló képességi tervet, és nem helyettesíti a hatósági, jogi vagy ágazatspecifikus megfelelési feladatokat.
ISO/IEC 27001:2022 – információbiztonsági irányítási rendszer
Szabványi megfelelőség: rendelkezésre állás, monitoring, bizonyíték és folytonosság
Az ISO/IEC 27001:2022 nem konkrét SLA-monitoring eszközt ír elő, hanem információbiztonsági irányítási rendszert, kockázatkezelést, célokat, kontrollokat és bizonyítékokat vár el. Az SLA Monitor ehhez kontrollbizonyítékot ad: külső nézetű rendelkezésre állási mérés, válaszidőtrend, SLA-riport, riasztás, státuszkommunikáció és incidens utólagos igazolása formájában.
ISMS követelménylogika: célok, kockázatok, mérés és bizonyíték
Az ISO/IEC 27001:2022 a szervezet információbiztonsági irányítási rendszerének kialakítására, működtetésére, fenntartására és folyamatos fejlesztésére ad követelményrendszert. Az SLA Monitor szempontjából azok a részek relevánsak, ahol a szervezetnek információbiztonsági kockázatot, kontrollműködést, teljesítményértékelést, jogi vagy szerződéses követelményt, valamint auditálható bizonyítékot kell kezelnie.
| ISO 27001 kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| 4. fejezet – Szervezeti környezet és érdekelt felek | A szervezetnek értenie kell a belső/külső elvárásokat, beleértve az ügyfél-, szerződéses és jogszabályi követelményeket. | SLA-elvárások, rendelkezésre állási célok és ügyféloldali szolgáltatási szintek mérhetővé és visszakereshetővé tétele. |
| 6. fejezet – Kockázatok és célok | Az információbiztonsági kockázatok kezelését és a célok teljesülését tervezni kell. | Rendelkezésre állási kockázatok, válaszidőromlás, ismétlődő kiesések és SLA-sérülések objektív adatokkal történő alátámasztása. |
| 8. fejezet – Működés | A szervezetnek működtetnie kell a tervezett kockázatkezelési és kontrollfolyamatokat. | Folyamatos mérés és riasztás mint üzemeltetési kontrolltámogatás, amely napi működésben is ad visszajelzést. |
| 9. fejezet – Teljesítményértékelés | Az ISMS teljesítményét és a kontrollok hatékonyságát figyelni, mérni, elemezni és értékelni kell. | Havi SLA-riport, trendkimutatás, mérési log és vezetői összefoglaló a kontrollműködés bizonyításához. |
| 10. fejezet – Fejlesztés | Eltérések, események és tapasztalatok alapján a rendszeres javítás és fejlesztés elvárt. | Incidens utáni idősor, válaszidőtrend és rendelkezésre állási adatok támogatják a javító intézkedések priorizálását. |
Annex A – szervezeti kontrollok: jogi megfelelés, incidens, bizonyíték és folytonosság
Az ISO/IEC 27001:2022 Annex A kontrollkészlete a 2022-es kiadásban 93 kontrollt tartalmaz, négy fő témacsoportba rendezve. A honlap szempontjából nem az összes kontroll releváns, hanem azok, amelyek a jogi/szerződéses követelményekhez, incidenskezeléshez, bizonyítékgyűjtéshez és üzletmenet-folytonossághoz kapcsolódnak.
| Annex A kontrollterület | Miért releváns? | SLA Monitor támogatás |
|---|---|---|
| A.5.24–A.5.28 Incidenskezelés és bizonyítékgyűjtés | Az események előkészített kezelése, értékelése, válaszlépései, tanulságai és bizonyítékai auditálható működést igényelnek. | Riasztási időpont, kiesési ablak, státuszoldal, eseményalapú riport és mérési log az incidens utólagos bemutatásához. |
| A.5.29 Információbiztonság zavarhelyzetben | A biztonsági működés fenntartása zavar vagy kiesés alatt is releváns kontrollcél. | Külső nézetű állapotmérés mutatja, hogy a szolgáltatás zavarhelyzetben elérhető, részlegesen elérhető vagy nem elérhető volt. |
| A.5.30 ICT readiness for business continuity | Az IKT-felkészültséget üzletmenet-folytonossági célok és IKT-folytonossági követelmények alapján kell tervezni, működtetni, fenntartani és tesztelni. | BCP/DR tesztek, helyreállási gyakorlatok és éles események külső mérési bizonyítéka: mikor állt helyre ténylegesen a szolgáltatás. |
| A.5.31 Jogi, szabályozói és szerződéses követelmények | A szervezetnek ismernie és kezelnie kell a rá vonatkozó jogi, szabványi és szerződéses információbiztonsági követelményeket. | SLA-vállalások, uptime-kötelezettségek és ügyfélmegállapodások teljesülésének rendszeres, visszakereshető igazolása. |
Technológiai kontrollok: logging, monitoring, kapacitás és redundancia
Az SLA Monitor nem helyettesíti a belső SIEM-et, logmenedzsmentet, infrastruktúrafelügyeletet vagy DDoS-védelmet. Kiegészítő kontrollként értelmezhető: külső felhasználói nézetből mutatja meg, hogy a szolgáltatás valóban elérhető-e, romlik-e a válaszidő, illetve teljesül-e a vállalt SLA.
| Annex A kontrollterület | Kapcsolódás a rendelkezésre álláshoz | SLA Monitor bizonyíték |
|---|---|---|
| A.8.6 Kapacitásmenedzsment | A kapacitás tervezése és figyelése a teljesítményromlás és a szolgáltatásromlás megelőzéséhez kapcsolódik. | Válaszidőtrend, degradációs minta, lassulási idősor és küszöbérték-alapú jelzés. |
| A.8.14 Redundancia | A kritikus információfeldolgozó létesítmények rendelkezésre állását redundancia segítheti. | Nem a redundancia technikai meglétét igazolja, hanem azt, hogy a felhasználói oldalról a szolgáltatás elérhető maradt-e hiba vagy átterhelés után. |
| A.8.15 Logging | A releváns események naplózása bizonyítékként és ellenőrzési alapként szolgál. | Időbélyegzett mérési napló, SLA-számítási háttéradat és exportálható eseményidősor. |
| A.8.16 Monitoring activities | A rendszereket és tevékenységeket figyelni kell az anomáliák és események észlelése érdekében. | Külső monitoring, automatikus riasztás, SLA-sértés közeli állapot jelzése és státuszkommunikáció. |
| A.8.21 Hálózati szolgáltatások biztonsága | A hálózati szolgáltatások követelményeit és szolgáltatási szintjeit kezelni kell. | Publikus web/API végpontok elérhetőségi és válaszidőmérése a szolgáltatási szintek ellenőrzéséhez. |
Auditálló megfogalmazás: az SLA Monitor az ISO/IEC 27001:2022 szerinti információbiztonsági irányítási rendszerhez kapcsolódó rendelkezésre állási, monitoring-, incidens- és folytonossági kontrollok bizonyítását támogatja. Nem helyettesíti az ISMS-t, nem garantál ISO 27001 tanúsítást, és nem váltja ki a kockázatkezelési, belső audit, vezetőségi átvizsgálási vagy tanúsítási folyamatokat.
DORA – pénzügyi szektor digitális működési rezilienciája
EU 2022/2554: IKT-kockázat, szolgáltatásfolytonosság, incidens és SLA-szerződéses bizonyíték
A DORA a pénzügyi szervezetek digitális működési rezilienciáját egységes EU-s követelményrendszerben kezeli. Az SLA Monitor ebből azokhoz az elvárásokhoz kapcsolható közvetlenül, ahol mérhető rendelkezésre állásra, teljesítményromlás észlelésére, incidensfolyamatra, helyreállítási bizonyítékra, tesztelési visszacsatolásra vagy harmadik fél IKT-szolgáltatóval kötött szolgáltatási szint igazolására van szükség.
IKT-kockázatkezelési keretrendszer és digitális működési reziliencia
A DORA nem egyszerű monitoring-kötelezettséget ír elő, hanem dokumentált IKT-kockázatkezelési keretrendszert, digitális működési reziliencia stratégiát, kockázati toleranciát, teljesítménymutatókat és bizonyítékokkal alátámasztott rezilienciahelyzetet vár el. Az SLA Monitor ezekhez rendelkezésre állási, válaszidő- és SLA-teljesülési bizonyítékot adhat.
| DORA kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| 5. cikk – Irányítás és szervezés | A vezető testület felel az IKT-kockázatok kezeléséért és a rendelkezésre állásra, hitelességre, integritásra és bizalmasságra vonatkozó normák fenntartásáért. | Vezetői SLA-riport, objektív rendelkezésre állási adatok és incidensidősor a menedzsment felügyeleti döntéseihez. |
| 6. cikk – IKT-kockázatkezelési keretrendszer | Megbízható, átfogó és jól dokumentált keretrendszer szükséges az IKT-kockázatok gyors és hatékony kezeléséhez. | Külső nézetű mérési bizonyíték, SLA-teljesülési trend, havi riport és exportálható mérési log a kontrollműködés alátámasztásához. |
| 6. cikk (8) – Rezuliencia stratégia, KPI/KRI | A digitális működési reziliencia stratégiában kockázati toleranciaszintet, információbiztonsági célokat, fő teljesítménymutatókat és kockázati mérőszámokat kell meghatározni. | Rendelkezésre állási százalék, válaszidő, SLA-sértés közeli állapot, kiesési időablak és havi trend mint működési mérőszám. |
| 7–8. cikk – IKT-eszközök, azonosítás és függőségek | Az IKT-rendszereknek megfelelő kapacitással és rezilienciával kell rendelkezniük; az IKT-ra támaszkodó üzleti funkciókat és harmadik fél függőségeket dokumentálni kell. | Szolgáltatásonkénti külső mérés, kritikus üzleti funkcióhoz rendelt monitorozás, válaszidőromlás és szolgáltatói függőség bizonyítása. |
Monitoring, riasztás, incidenskezelés és kommunikáció
A DORA kifejezetten kezeli a rendellenességek, teljesítményproblémák, IKT-események és potenciális meghibásodási pontok észlelését. Az SLA Monitor itt nem belső SIEM vagy SOC eszköz, hanem külső üzleti nézetű ellenőrző és bizonyítékképző réteg.
| DORA kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| 10. cikk – Észlelés | Mechanizmusok szükségesek a rendellenes tevékenységek, IKT-hálózati teljesítményproblémák, IKT-események és potenciális egyedi meghibásodási pontok gyors észlelésére. | Külső monitoring, válaszidőromlás, elérhetetlenség, küszöbérték-alapú riasztás és szolgáltatási degradáció korai jelzése. |
| 10. cikk – Riasztási értékhatárok | Az észlelési mechanizmusoknak riasztási értékhatárokat és kritériumokat, valamint automatikus riasztási mechanizmusokat kell támogatniuk. | Uptime, válaszidő, SLA-küszöb és incidensállapot alapján automatizált jelzés üzemeltetés, vezetők vagy ügyfélkommunikáció felé. |
| 17. cikk – IKT-események kezelése | Folyamat szükséges az IKT-események észlelésére, kezelésére és bejelentésére; események, kiberfenyegetések, monitorozás, utókövetés és korai előrejelző mutatók kezelendők. | Eseményidősor, kiesési időszak, érintett szolgáltatás, SLA-hatás, kiváltó időpont és utólagos riport az incidensfolyamat támogatására. |
| 14. cikk – Kommunikáció | Válsághelyzeti kommunikációs terv és külső/belső kommunikációs szabályzat szükséges jelentős IKT-események és sérülékenységek esetére. | Publikus státuszoldal, ügyféloldali állapotkommunikáció, vezetői összefoglaló és egységes incidenskommunikációs alapadat. |
Üzletmenet-folytonosság, helyreállítás és tesztelés
A DORA egyik legerősebb kapcsolódási pontja az IKT-üzletmenet-folytonosság, reagálási és helyreállítási terv, biztonsági mentés, tartalékkapacitás, helyreállítási célok és digitális működési reziliencia tesztelése. Az SLA Monitor a helyreállás tényleges, felhasználói nézetű visszaigazolását tudja adni.
| DORA kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| 11. cikk – IKT-üzletmenetfolytonosság | Átfogó IKT-üzletmenetfolytonossági politika és dokumentált intézkedések szükségesek a kritikus vagy fontos funkciók folytonosságának biztosítására. | Kritikus szolgáltatások külső elérhetőségi monitorozása, kiesési ablak dokumentálása és helyreállási idő igazolása. |
| 11. cikk – Reagálás és helyreállítás | Gyors, megfelelő és eredményes reagálás, kármérséklés, tevékenység-újraindítás, helyreállítási intézkedések és külső/belső kommunikáció szükséges. | Riasztás, állapotváltozás, helyreállási időpont, státuszoldal és esemény utáni SLA-riport a reagálási folyamat bizonyításához. |
| 12. cikk – Biztonsági mentés, visszaállítás, helyreállítás | A cél a minimális leállási idő, korlátozott zavar és veszteség utáni helyreállítás; a helyreállítási céloknak támogatniuk kell a megállapodás szerinti szolgáltatási szinteket. | Nem backup-eszköz, hanem külső ellenőrzési bizonyíték: a visszaállítás után mikor lett a szolgáltatás ténylegesen elérhető és teljesült-e az SLA. |
| 24. cikk – Digitális működési reziliencia tesztelése | Megbízható és átfogó tesztelési program szükséges a felkészültség, gyengeségek, hiányosságok és korrekciók értékelésére. | BCP/DR vagy incidensgyakorlat során mérési idősor, helyreállási mérési pont, válaszidőtrend és tesztzáró bizonyíték előállítása. |
Harmadik fél IKT-szolgáltatók és SLA-szerződéses megfelelés
A DORA kifejezetten előírja, hogy a pénzügyi szervezet és a harmadik fél IKT-szolgáltató közötti szerződésben a jogokat és kötelezettségeket írásban kell rögzíteni, és a szerződésnek szolgáltatási szintekre vonatkozó megállapodást is tartalmaznia kell. Ez közvetlenül kapcsolódik az SLA Monitor értékajánlatához.
| DORA kapcsolódás | Releváns követelményi logika | SLA Monitor szerepe |
|---|---|---|
| 30. cikk – Főbb szerződéses rendelkezések | A pénzügyi szervezet és az IKT-szolgáltató jogait és kötelezettségeit írásban kell rögzíteni; a szerződésnek tartalmaznia kell a szolgáltatási szintekre vonatkozó megállapodást. | Független, külső mérésen alapuló SLA-teljesülési riport, amely a szolgáltatóval és ügyféllel közös értelmezési alapot ad. |
| 30. cikk – Szolgáltatási szintek leírása | A szerződésnek tartalmaznia kell a szolgáltatási szintek leírását, ideértve azok frissítéseit és módosításait is. | Riportálható uptime, válaszidő, SLA-sértési ablak, mérési módszertan és historikus trend a szolgáltatási szint ellenőrzéséhez. |
| 30. cikk – Rendelkezésre állás, helyreállítás, támogatás | A DORA a szerződéses rendelkezések között kezeli a rendelkezésre állás, adathozzáférés, helyreállítás és IKT-biztonsági esemény esetén nyújtott támogatás kérdését. | Külső mérési bizonyíték incidens vagy szolgáltatóoldali zavar esetén: mikor kezdődött, mennyi ideig tartott, mikor állt helyre. |
| Harmadik fél függőségek | A pénzügyi szervezeteknek dokumentálniuk kell a kritikus vagy fontos funkciókat támogató harmadik fél IKT-szolgáltatói kapcsolódásokat. | Szolgáltatásonkénti, partnerenkénti vagy üzleti folyamatonkénti mérési nézet, amely támogatja a harmadik fél IKT-kitettség áttekintését. |
Auditálló megfogalmazás: az SLA Monitor a DORA szerinti digitális működési reziliencia, IKT-kockázatkezelés, üzletmenet-folytonosság, incidenskezelés, tesztelés és harmadik fél IKT-szolgáltatói SLA-k bizonyítását támogatja. Nem helyettesíti a DORA-megfelelőségi programot, nem minősül pénzügyi felügyeleti megfelelőségi garanciának, és nem váltja ki a pénzügyi szervezet saját kockázatkezelési, felügyeleti, incidensbejelentési vagy szerződésmenedzsment kötelezettségeit.
MNB 1/2025. (I.13.) ajánlás – informatikai rendszer védelme
MNB informatikai ajánlás – pénzügyi intézményi kontrollbizonyítékok
Az MNB 1/2025. ajánlása a pénzügyi közvetítőrendszer tagjai számára gyakorlati útmutatást ad az informatikai rendszer kockázatokkal arányos védelméhez. Az SLA Monitor szempontjából azok a részek relevánsak, amelyek az üzleti folyamatok kockázatalapú védelméhez, a monitorozáshoz, szolgáltatásfolytonossághoz, automatikus rendszerfelügyelethez, riasztáshoz, naplózáshoz és kiszervezett szolgáltatások ellenőrizhetőségéhez kapcsolódnak.
Kockázatelemzés, üzleti folyamatok és monitorozás
Az ajánlás a kockázatelemzést a kockázatokkal arányos védelem alapjaként kezeli. Kiemeli, hogy a biztonsági kockázatok felmérésének és kezelésének az üzemeltetésre, monitorozásra és független ellenőrzésre is ki kell terjednie. Az SLA Monitor ebben a körben objektív rendelkezésre állási, válaszidő- és SLA-teljesülési adatokat adhat a pénzügyi intézmény kockázatértékeléséhez.
| MNB kapcsolódás | Releváns elvárási logika | SLA Monitor szerepe |
|---|---|---|
| 3.1.3–3.1.4 Kockázatelemzés | A kockázatelemzési és kezelési szabályoknak több informatikai területre, így üzemeltetésre és monitorozásra is ki kell terjedniük; a dokumentált, aktuális kockázatelemzés a megfelelőség alátámasztásának fontos eleme. | Független mérési adatokkal támogatja, hogy a szolgáltatáselérhetőségi és válaszidő-kockázatok ne becslésként, hanem idősoros bizonyítékként jelenjenek meg. |
| 3.2.2–3.2.5 Kockázatfelmérés | Az intézménynek az informatikai rendszer biztonsági kockázatait teljeskörűen, az üzleti folyamatok és a rendelkezésre állási követelmények figyelembevételével kell értékelnie. | Üzleti folyamatonként vagy szolgáltatásonként mért uptime, válaszidő és SLA-hatás segíti a rendelkezésre állási kockázat besorolását. |
| Üzleti célú IT-kontroll | Az informatikai beruházások és védelmi intézkedések az üzleti folyamatok kockázatainak csökkentését szolgálják. | Megmutatja, hogy egy külső monitoring- és SLA-riportolási kontroll milyen üzleti folyamatot, szolgáltatást vagy partneri vállalást támogat. |
Szolgáltatásfolytonosság, RTO/RPO és helyreállási bizonyíték
Az ajánlás külön fejezetben kezeli a szolgáltatásfolytonosságot. Releváns elvárás, hogy az intézmény azonosítsa kritikus üzleti szolgáltatásait, kiesési eseteit, RPO/RTO céljait, a külső szolgáltatások hibás teljesítését vagy elérhetetlenségét, valamint dokumentáltan tesztelje és jóváhagyja szolgáltatásfolytonossági eljárásait.
| MNB kapcsolódás | Releváns elvárási logika | SLA Monitor szerepe |
|---|---|---|
| 11.2.1–11.2.4 Szolgáltatásfolytonossági terv | A tervnek tartalmaznia kell a szolgáltatás folytonosságát biztosító szabályokat, eljárásokat, ellenőrzéseket, kritikus üzleti szolgáltatásokat, kiesési eseteket és külső kommunikációs rendet. | Szolgáltatásonként dokumentálja a kiesés kezdetét, időtartamát, válaszidőromlást, helyreállást és kommunikálható státuszt. |
| 11.2.3 Külső szolgáltatás kiesése | A szolgáltatásfolytonossági tervnek ki kell térnie a külső szolgáltatások hibás teljesítésére, teljes kiesésére vagy elérhetetlenné válására is. | Külső nézetű mérés alapján elkülöníthető, hogy az ügyféloldalról mikor és milyen mértékben volt érzékelhető szolgáltatásromlás. |
| 11.2.5 Dokumentált tesztelés | A szolgáltatásfolytonossági eljárások alkalmazhatóságát dokumentált teszteléssel kell ellenőrizni, a tervezett és mért végrehajtási időt is rögzítve. | BCP/DR tesztekhez mérési idősor, tényleges helyreállási időpont, SLA-hatás és tesztzáró riport adható. |
| 11.2.6–11.2.8 Tartalék működés | A tartalék megoldásoknak RTO/RPO célok szerint kell támogatniuk a kritikus folyamatok működését; a terv operatív végrehajthatósága is szempont. | Nem váltja ki a tartalék rendszert, de igazolja, hogy az átállás után a szolgáltatás külső felhasználói nézetből ténylegesen elérhetővé vált. |
Automatikus rendszerfelügyelet, riasztás és naplózási bizonyíték
Az MNB ajánlás releváns pontjai szerint az automatikus ellenőrző rendszernek támogatnia kell a hibák észlelését és a rendelkezésre állási időknek megfelelő reakciót. A naplózásnál elvárás a nyomon követhetőség, a szokásostól eltérő változások riasztása, a folyamatos kiértékelés és az azonnali reagálás feltételeinek biztosítása.
| MNB kapcsolódás | Releváns elvárási logika | SLA Monitor szerepe |
|---|---|---|
| 13.2.2 Informatikai ellenőrző rendszer | Automatikus ellenőrző rendszer szükséges ahhoz, hogy az informatikai hibák észlelése és megszüntetése a szolgáltatásfolytonossági tervben meghatározott rendelkezésre állási időknek megfelelően történhessen. | Külső szolgáltatáselérési, válaszidő- és SLA-küszöb alapú riasztást ad, amely kiegészíti a belső rendszerfelügyeletet. |
| 13.2.2 Rendszerfelügyelet és riasztás | Az intézmény automatikus rendszerfelügyeleti és riasztó rendszert működtet, és a riasztásokat úgy állítja be, hogy munkaidőn túl is kezelhetők legyenek az incidensek. | Webhook, e-mail, Teams/Slack vagy státuszoldal alapú jelzéssel támogatható az üzemeltetési reakció és a vezetői tájékoztatás. |
| 14.2–14.4 Naplózás és azonnali reagálás | A naplózásnak támogatnia kell az azonnali értelmezhetőséget, a riasztást, a folyamatos kiértékelést és az azonnali reagálást igénylő események kezelését. | Az SLA Monitor eseményidősora, mérési naplója és riportja kiegészítő, üzleti nézetű kontrollbizonyítékként használható. |
| 14.5 Előremutató gyakorlat | A központi gyűjtés és automatikus kiértékelés kockázatarányosan megfontolandó. | A mérési eredmények exportálhatók vagy integrálhatók belső riportolási, SIEM/SOC vagy vezetői dashboard környezetbe. |
Kiszervezett szolgáltatások, SLA és ellenőrizhetőség
Az ajánlás a kiszervezés és kihelyezés körében kiemeli, hogy az intézmény végső felelőssége fennmarad, a rendelkezésre állási normák számonkérhetőségét szerződéses és kontrolloldalon is biztosítani kell, továbbá a kiszervezett tevékenység teljesítését rendszeresen ellenőrizni szükséges.
| MNB kapcsolódás | Releváns elvárási logika | SLA Monitor szerepe |
|---|---|---|
| 4.5.1 Kiszervezés és felelősség | A kiszervezett vagy kihelyezett tevékenységért az intézmény ugyanúgy felel, mintha maga végezné; a szolgáltatás ellenőrizhetőségét és átlátható működését biztosítani kell. | Független mérési nézetet ad a kiszervezett vagy külső szolgáltatás tényleges elérhetőségéről és teljesítményéről. |
| 4.5.2 Rendelkezésre állási normák | A kontrolloknak a bizalmasság, sértetlenség és rendelkezésre állási normák számonkérhetőségét is támogatniuk kell. | SLA-küszöbök, uptime, válaszidő és státuszváltozás alapján számonkérhető mérési bizonyíték áll elő. |
| 15.1.1–15.1.4 Kiszervezés ellenőrzése | A kiszervezett tevékenység szerződéses teljesítését, a szolgáltató szabályzatait, kockázatelemzését és szolgáltatásfolytonossági eljárásait ellenőrizni kell. | Az SLA Monitor havi riportjai és eseményriportjai támogathatják a szolgáltató teljesítésének rendszeres ellenőrzését. |
| 16.2.2 Funkcionális alkalmasság | Az informatikai rendszert időben fel kell készíteni az üzleti igények teljesítésére, figyelembe véve az informatikai biztonság és szolgáltatásfolytonosság követelményeit. | A válaszidő- és elérhetőségi trendek előre jelezhetik, ha egy szolgáltatás üzleti szempontból romló minőségben működik. |
Auditálló megfogalmazás: az SLA Monitor az MNB 1/2025. informatikai ajánlás pénzügyi intézményekre vonatkozó kockázatelemzési, monitorozási, szolgáltatásfolytonossági, automatikus rendszerfelügyeleti, naplózási, riasztási és kiszervezés-ellenőrzési elvárásainak bizonyítását támogatja. Nem helyettesíti az intézmény informatikai biztonsági szabályozási rendszerét, kockázatkezelését, szolgáltatásfolytonossági tervét, belső kontrollrendszerét vagy az MNB felé fennálló jogszabályi kötelezettségeit.
NIST SP 800-53 Rev. 5 – Security and Privacy Controls
Kontrollbizonyíték: monitoring, incidenskezelés, folytonosság és rendelkezésre állás
A NIST SP 800-53 Rev. 5 nem jogszabályi megfelelőségi garancia és nem kifejezetten SLA-monitoring szabvány, hanem széles körben használt biztonsági és adatvédelmi kontrollkatalógus. Az SLA Monitor szempontjából azok a kontrollcsaládok relevánsak, amelyek a folyamatos felügyelethez, naplózáshoz, incidenskezeléshez, üzletmenet-folytonossághoz, helyreállításhoz, DoS elleni védelemhez, erőforrás-rendelkezésre álláshoz és külső szolgáltatások ellenőrzéséhez kapcsolódnak.
Folyamatos monitoring, auditnapló és kontrollműködés bizonyítása
A NIST kontrollkatalógusban több kontrollcsalád is a kontrollok folyamatos felügyeletére, az események naplózására, az auditálható értékelésre és a biztonsági állapot mérhető követésére épül. Az SLA Monitor ebben a körben külső, üzleti nézetű bizonyítékot ad: mikor volt elérhető a szolgáltatás, mikor romlott a válaszidő, milyen SLA-hatás keletkezett és milyen riport készült az eseményről.
| NIST kontrollkapcsolódás | Releváns kontroll-logika | SLA Monitor szerepe |
|---|---|---|
| CA-7 – Continuous Monitoring | A biztonsági kontrollok és a rendszerállapot folyamatos figyelése, értékelése és visszacsatolása. | Külső nézetű rendelkezésre állási és válaszidő-mérés, SLA-küszöbök, havi riport és vezetői összefoglaló. |
| AU-2, AU-6, AU-12 – Event Logging és Audit Review | Releváns események naplózása, értékelése, jelentése és bizonyítékként történő kezelése. | Időbélyegzett mérési napló, kiesési idősor, riasztási előzmény, riportált SLA-hatás és exportálható bizonyíték. |
| SI-4 – System Monitoring | A rendszerek és szolgáltatások figyelése anomáliák, támadási jelek, működési problémák vagy rendellenes viselkedés észlelésére. | Nem SIEM/SOC helyettesítő eszköz, hanem külső elérhetőségi és teljesítmény-monitoring réteg, amely üzleti hatást is jelez. |
| RA-3, RA-7 – Risk Assessment és Risk Response | A szervezetnek értékelnie kell a kockázatokat, majd kockázatarányos válaszlépéseket kell meghatároznia. | Rendelkezésre állási kockázatok, válaszidőromlások, ismétlődő kiesések és szolgáltatási gyenge pontok számszerű bizonyítása. |
Incidenskezelés, incidensmonitoring és jelentés
Az SLA Monitor akkor ad különösen jól használható bizonyítékot, amikor egy szolgáltatás kiesése, lassulása vagy részleges hibája ügyféloldalról is érzékelhető. A NIST incidenskezelési kontrolljaihoz kapcsolódva az SLA Monitor támogatja az esemény időpontjának, időtartamának, üzleti hatásának és helyreállási állapotának visszakereshető bemutatását.
| NIST kontrollkapcsolódás | Releváns kontroll-logika | SLA Monitor szerepe |
|---|---|---|
| IR-4 – Incident Handling | Az incidensek kezelése, elemzése, válaszlépései és lezárása előre meghatározott folyamatot igényel. | Incidensidősor, kezdő és záró időpont, szolgáltatásromlás mértéke, státuszoldal és eseményriport. |
| IR-5 – Incident Monitoring | Az incidenseket folyamatosan követni és dokumentálni kell. | Az aktuális elérhetőségi állapot, válaszidő, SLA-hatás és érintett végpontok folyamatos nyomon követése. |
| IR-6 – Incident Reporting | Az incidensek jelentése szervezeti, szerződéses vagy szabályozói elvárás szerint történhet. | Vezetői, partneri vagy ügyfélkommunikációhoz használható exportált riport, státuszkommunikáció és bizonyítékcsomag. |
| IR-8 – Incident Response Plan | Az incidenskezelési tervnek összhangban kell lennie a szervezet működési és biztonsági céljaival. | Az SLA Monitor mérési és riasztási eredményei beépíthetők az incidenskezelési terv gyakorlati bizonyítékai közé. |
Üzletmenet-folytonosság, helyreállítás és szolgáltatásreziliencia
A NIST Contingency Planning kontrollcsaládja közvetlenül kapcsolható az SLA Monitor értékajánlatához: a tervezett helyreállási képességet nem elég papíron rögzíteni, hanem tesztelni, mérni és dokumentálni is szükséges. Az SLA Monitor külső nézetből igazolja, hogy a szolgáltatás ténylegesen mikor vált újra elérhetővé.
| NIST kontrollkapcsolódás | Releváns kontroll-logika | SLA Monitor szerepe |
|---|---|---|
| CP-2 – Contingency Plan | A szervezetnek folytonossági tervet kell kialakítania a kritikus rendszerek és szolgáltatások működési zavaraira. | Rendelkezésre állási célok, SLA-küszöbök és helyreállási bizonyítékok beépíthetők a folytonossági terv kontrollbizonyítékaiba. |
| CP-4 – Contingency Plan Testing | A folytonossági tervet tesztelni kell, és a teszt eredményeiből tanulságokat kell levonni. | BCP/DR tesztekhez külső mérési idősor, tényleges kiesési ablak, helyreállási időpont és SLA-hatás adható. |
| CP-10 – System Recovery and Reconstitution | A rendszer helyreállítása után bizonyítani kell, hogy a szolgáltatás működőképes állapotba került. | Külső felhasználói nézetből igazolja, hogy a szolgáltatás valóban újra elérhető és mérhetően stabil. |
| CP-8 – Telecommunications Services | A kommunikációs szolgáltatások folytonosságának biztosítása kritikus lehet a működés szempontjából. | Publikus web/API végpontok elérhetőségi mérése és kapcsolódó riasztás a szolgáltatásfüggőségek hatásának kimutatásához. |
DoS, erőforrás-rendelkezésre állás és külső szolgáltatások
Az SLA Monitor nem DDoS-védelmi, kapacitásmenedzsment vagy beszállítómenedzsment rendszer. Kiegészítő ellenőrző és bizonyítékképző szolgáltatásként azonban megmutatja, hogy a felhasználói oldalról mikor volt érzékelhető szolgáltatásromlás, mikor sérülhetett az SLA, és milyen külső szolgáltatói teljesítés volt ténylegesen mérhető.
| NIST kontrollkapcsolódás | Releváns kontroll-logika | SLA Monitor szerepe |
|---|---|---|
| SC-5 – Denial-of-Service Protection | A szolgáltatásmegtagadással járó helyzetek kezelése és észlelése a rendelkezésre állás védelméhez kapcsolódik. | Külső nézetű jelzés a szolgáltatás elérhetetlenségéről, lassulásáról vagy tartós válaszidőromlásáról. |
| SC-6 – Resource Availability | Az erőforrások rendelkezésre állását védeni kell a kritikus funkciók fenntartása érdekében. | Válaszidőtrend, rendelkezésre állási idősor és küszöbérték alapú riasztás a kapacitás- vagy erőforrásproblémák üzleti hatásának kimutatására. |
| SA-9 – External System Services | Külső szolgáltatásoknál elvárt a szerződéses, biztonsági és szolgáltatási követelmények kezelése és ellenőrzése. | Harmadik fél által nyújtott webes, API vagy digitális szolgáltatás SLA-teljesítésének független mérése és havi riportja. |
| SR kontrollcsalád – Supply Chain Risk Management | A beszállítói és szolgáltatói kockázatok kezelése a modern kontrollkatalógus külön kontrollcsaládja. | Beszállítói szolgáltatásminőség, elérhetőség és kiesési bizonyíték dokumentálása partneri egyeztetéshez vagy auditkörnyezethez. |
Auditálló megfogalmazás: az SLA Monitor a NIST SP 800-53 Rev. 5 kontrollkatalógus CA, AU, SI, RA, IR, CP, SC, SA és SR kontrollcsaládjaihoz kapcsolódó monitoring-, naplózási, incidenskezelési, folytonossági, helyreállítási és külső szolgáltatás-ellenőrzési bizonyítékokat támogatja. Nem jelent NIST-megfelelőségi tanúsítást, nem helyettesíti a szervezet kockázatkezelési, kontrollkiválasztási, kontrollértékelési vagy auditfolyamatait, és nem váltja ki a belső SIEM/SOC, BCP/DR vagy beszállítómenedzsment rendszereket.
Bővíthető jogszabályi és szabványi modulok
Készen áll további EU-s és szabványi leírások feldolgozására
A jelenlegi aloldal a magyar kiberbiztonsági jogszabályi környezet mellett a kritikus szervezetek ellenálló képességéhez, a védelmi-biztonsági felkészítéshez, az ISO/IEC 27001:2022 releváns kontrollterületeihez, a DORA pénzügyi szektorbeli előírásaihoz, az MNB 1/2025. informatikai ajánlásához és a NIST SP 800-53 Rev. 5 releváns kontrollcsaládjaihoz kapcsolódó részeket is feldolgozza. A struktúra úgy készült, hogy minden új jogszabály vagy szabvány önálló témablokkot, rövid magyarázatot és kapcsolódó táblázatot kapjon.
DORAElkészült modul: pénzügyi szektor, IKT-kockázat, szolgáltatómenedzsment, incidens, tesztelés és SLA-szerződéses bizonyíték.
NIS2 / EUÁgazati kiberbiztonsági irányelvi logika és tagállami követelmények.
MNB ajánlásokElkészült modul: MNB 1/2025 informatikai ajánlás, kockázatelemzés, monitorozás, szolgáltatásfolytonosság, riasztás, naplózás és kiszervezés-ellenőrzés.
ISO 27001Elkészült modul: ISMS-kockázatkezelés, Annex A monitoring, incidens, bizonyíték és folytonosság.
NIST SP 800-53Elkészült modul: CA, AU, SI, RA, IR, CP, SC, SA és SR kontrollcsaládokhoz kapcsolódó monitoring-, incidens-, folytonossági és külső szolgáltatás-bizonyítékok.
Javasolt oldalstruktúra a bővítéshez: minden új jogszabály vagy szabvány külön szekciót kapjon: rövid vezetői összefoglaló, 3–6 releváns kapcsolódási pont, majd egy rövid táblázat: követelmény → SLA Monitor szerepe → bizonyíték típusa.
Compliance értékajánlat beépítése az SLA Monitor kommunikációba
Az oldal célja, hogy az ügyfél számára világosan megmutassa: az SLA Monitor nem csak monitoring eszköz, hanem rendelkezésre állási, folytonossági és incidenskommunikációs bizonyítékokat ad a megfelelési munkához.
Források: 2024. évi LXIX. törvény Magyarország kiberbiztonságáról; 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az egyes biztonsági osztályok esetében alkalmazandó védelmi intézkedésekről; 2024. évi LXXXIV. törvény a kritikus szervezetek ellenálló képességéről; 2021. évi XCIII. törvény a védelmi és biztonsági tevékenységek összehangolásáról; ISO/IEC 27001:2022 és ISO/IEC 27002:2022 nyilvánosan hivatkozható struktúrája és kontrollmegnevezései; az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (DORA) a pénzügyi ágazat digitális működési rezilienciájáról; Magyar Nemzeti Bank 1/2025. (I.13.) számú ajánlása az informatikai rendszer védelméről; NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, Release 5.2.0 kontrollkatalógus és kapcsolódó kontrollcsaládok. A szöveg üzleti és megfelelőségi kommunikációs célú összefoglaló, nem minősül jogi tanácsadásnak.