Egy elektronikus információs rendszer zárt, ha
1. Az informatikai rendszer zárt, teljes körű, folytonos és kockázatokkal arányos védelmet biztosít a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából /lásd 2013. L. törvény – a továbbiakban IBTV – 1. § 15/, az alábbi értelmezések mellett:
- zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem / IBTV (1. § 48) /,
- teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem / IBTV (1. § 44) /,
- folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem / IBTV (1. § 21) /,
- kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével / IBTV (1.§ 31) /.
Az elvárásoknak megfelelő részletes követelményrendszer megtalálható az IBTV-hez kapcsolódó 41/2015. (VII. 15.) BM rendelet 3.-4. mellékletében.
2. A védelem fenti általános elvárásai mellett az informatikai rendszer működtetésének teljes életciklusában folyamatosan teljesülnek az alábbiak:
- a jogosult általános (emberek és program entitások) és privilegizált (speciális jogokkal felruházott) felhasználók (pl. rendszergazdák) kizárólag a szigorúan szabályozott szerepkörüknek megfelelően férhetnek a védendő információkhoz és az azokat kezelő rendszer elemeihez, kezdeményezhetnek aktivitásokat, valamint kizárólag meghatározott privilegizált felhasználók adhatnak szabályozott szerepkörüknek megfelelően és ellenőrzött módon hozzáférési jogosultságokat;
- a rendszer megfelelő műszaki és eljárásrendi megoldásokkal nyomon követi a védendő információk minden változtatását, melyek biztosítják, hogy még a jogosult általános és privilegizált felhasználók sem tudják törölni vagy módosítani a napló vagy egyéb nyomon követést biztosító információkat;
- az informatikai rendszer összes külső interfésze szabályozott és kontrollált;
- a szabályozások és eljárások garantálják a rendszer biztonsági szintjének folyamatos fenntartását (szoftverfrissítések, üzemeltetés,…).