a jogosultságuk szintjének megfelelően  bizonyítékokat gyűjt és tisztázza a felmerült
                ismerhetik meg, használhatják fel, illetve  kérdéseket annak érdekében, hogy megis-
                rendelkezhetnek azok felhasználásáról.        merje a folyamatok, eljárások és kontrollok
            •  Sértetlenség: A rendszerek azon jellem- gyakorlati megvalósítását. Az auditor nem-
                zőit értékelik, amelyek garantálják, hogy  csak a meglévő védelmi intézkedéseket vizs-
                azokban tárolt adatok tartalma és tulaj- gálja, azok folyamatos fenntartását és fejlesz-
                donságai megfelelnek az elvártnak, azaz  tését is értékeli.
                hitelesek és letagadhatatlanok.
            •  Rendelkezésre állás: Vizsgálják, hogy  A fentiek alapján is jól látható, hogy az audit
                a rendszer és az abban tárolt adatok el- gerincét az adatbekérés, illetve az adatszol-
                érhetősége az arra jogosult személyek  gáltatás folyamata biztosítja. Ez esetünkben
                számára folyamatosan biztosított-e.           több lépésben zajlott, elektronikus tárhelyre
                                                              kerültek feltöltésre a kért adatok, összesen
            Az audit kiterjed továbbá az információbiz- mintegy 1400 fájlban, amelynek teljesítése
            tonsági kockázatmenedzsment keretrend- megfelelő előkészítés és felkészülés nélkül
            szerre, a rendszerekhez kapcsolódó, illetve  határidőre nem lett volna lehetséges. Az evi-
            azok védelmével összefüggő dokumentu- denciák feldolgozását követően került sor
            mokra, az EIR-ekben alkalmazott hardver-,  az audit interjúkra és a további felmerült kér-
            szoftver- vagy firmware elemek funkcióira,  dések megválaszolására. Fontos kiemelni,
            valamint az infokommunikációs szolgáltatást  hogy a teljesítési határidő rövidsége miatt
            nyújtó szolgáltatókkal szembeni szervezeti el- az audit – ide értve az interjúkat is – online
            várásokra. Vizsgálják a rendszerek védelemé- formában történt, amely nagyban megköny-
            hez kapcsolódó személyi és tárgyi feltétele- nyítette a munkát mind az auditor, mind pe-
            ket, valamint a szervezet által meghatározott  dig az auditált szervezet számára.
            eljárások gyakorlati megvalósulását, amely
            kiterjedhet az EIR-ek védelmét támogató fo- Az észlelt biztonsági hiányosságok kiküszö-
            lyamatokban részt vevő személyek tevékeny- bölésére, az incidenskezelési képességek
            ségére is.                                        fejlesztésére, valamint a rendszerellenőrzé-
                                                              sek hatékonyságának növelésére vonatkozó
            A követelmények teljesülését az auditor kü- javaslatok a szervezet kiberbiztonsági állapo-
            lönböző vizsgálati módszerekkel ellenőrzi.  tának értékelésével együtt az auditjelentés-
            A dokumentumvizsgálat során – a bizton- ben kerülnek rögzítésre. A védelmi intézke-
            sági osztálytól, a szervezet sajátosságaitól  dések vizsgálatakor az egyes EIR-eken belül
            és az adott követelménycsoporttól függő- az auditor a jogszabályban meghatározott
            en – a szervezet által rendelkezésére bocsá- értékeléseket adja minden követelménypont
            tott dokumentumok alapján elemzi a bizo- vonatkozásában. Ezen értékelések az alábbi-
            nyítékokat a védelmi intézkedéseknek való  ak lehetnek:
            megfelelés szempontjából. Emellett írásban
            feltett kérdésekre adott válaszok útján, vala- •  Megfelel: Ha az elemi követelmények
            mint személyes interjúk segítségével további         mindegyike „megfelelt” vagy „nem





           32