// KIBERBIZTONSÁGI KISOKOS · 02. MODUL

Eszközleltár és adatosztályozás — nem véded, amiről nem tudsz

Q: Mi a különbség az eszközleltár és az adatleltár között?

Az eszközleltár azt tartja nyilván, MIN fut a működésed: hardver (laptopok, szerverek, telefonok), szoftver és felhős szolgáltatások. Az adatleltár (adatvagyon-nyilvántartás) azt, MILYEN adatokat kezelsz és hol vannak: ügyféladatok, szerződések, pénzügyi és HR-adatok. A kettő összefügg — az adat valamilyen eszközön vagy szolgáltatásban lakik —, ezért a gyakorlatban érdemes együtt, egy nyilvántartásban kezelni őket. Együtt adják a teljes képet arról, mit kell egyáltalán védened.

Q: Ki az adatgazda, és miért kell megnevezni?

Az adatgazda az a felelős személy vagy szerep, aki egy adatcsoportért felel: ő dönt a besorolásáról, arról ki férhet hozzá, és ő veszi észre, ha valami nincs rendben. Megnevezése azért fontos, mert ami közös felelősség, az senkié: ha nincs gazdája egy adatnak, akkor a besorolás, a hozzáférés és a felülvizsgálat is elsikkad. Kis cégnél ez nem új munkakör — jellemzően a meglévő vezetők vagy felelősök kapják meg az adott területhez tartozó adatokat.

Q: Miért ezzel kell kezdeni a NIS2-felkészülést?

Mert nem véded, amiről nem tudsz. A kockázatkezelés, a hozzáférés-kezelés, a mentés és az incidenskezelés mind feltételezi, hogy tudod, milyen eszközeid és adataid vannak, és melyik mennyire fontos. Az eszköz- és adatleltár ezért a teljes megfelelés bemenete: ez adja azt a térképet, amire a kockázatértékelés és minden további intézkedés épül. Enélkül vakon költesz — vagy épp a legfontosabbra nem jut.

C · I · A kb. 7 perc olvasás

A megfelelés első lépése nem a tűzfal, hanem a leltár: feltérképezed, mid van — eszközök (hardver, szoftver, felhős szolgáltatás) és adatok —, majd az adatokat érzékenység szerint besorolod. Megnevezed, kié az adat, hol tárolódik és hova folyik. Ez a térkép adja a kockázatkezelés bemenetét: amíg nem tudod, mid van, vakon költesz. Ez a modul megmutatja, hogyan készíts egyszerű eszköz- és adatleltárt egy kis cégnél is, drága eszközök nélkül.

Hogyan készítsd el? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi az eszközleltár és adatosztályozás?

Egyszerűen: nem véded, amiről nem tudsz. Az eszközleltár azt írja le, mid van — milyen gépeid, programjaid és felhős szolgáltatásaid hordozzák a működést. Az adatosztályozás pedig azt mondja meg, hogy a különböző adatok mennyire érzékenyek: a nyilvános árlistát nem ugyanúgy kezeled, mint az ügyfelek személyes adatait vagy a béreket. Ez a két nyilvántartás együtt adja a térképet arról, mit kell egyáltalán védened — és milyen erősen.

Képzeld el egy bolt raktárával Egy jól vezetett boltban van leltár: tudják, mi van a polcon, a raktárban és a hűtőben, melyik mennyit ér, és melyik romlandó. A drága, romlandó árut a hűtő hátuljába, zár mögé teszik; a vödör seprűt kint hagyják a folyosón. Ha nem lenne leltár, fogalmuk sem lenne, mit loptak el, mi fogyott el, vagy mit kell jobban őrizni. Ugyanígy a cégedben: ha nem tudod, milyen eszközeid és adataid vannak, és melyik mennyire értékes, akkor vagy a seprűt őrzöd zár mögött, vagy — sokkal rosszabb — a drága, romlandó árut hagyod kint a folyosón. A leltár és az osztályozás pontosan ez: tudd, mid van, és tudd, melyik mennyit ér.

A digitális világban az „áru" az adataid: az ügyféllista, a szerződések, a számlák, a bérek, a receptjeid vagy üzleti titkaid. A „polcok és raktárak" az eszközeid: a laptopok, a telefonok, a könyvelőprogram, az e-mail, a felhős tárhely. Az adatosztályozás az árcédula: megmondja, melyik adat publikus (bárki láthatja), belső (a céghez tartozik, de nem titok), bizalmas (csak az illetékesek) vagy szigorúan bizalmas (a kiszivárgása komoly kárt okozna). Ha ez megvan, már tudod, hol érdemes erős zárat tenni — és hol felesleges. Ezt a térképet használja fel aztán a kockázatkezelés: az ő bemenete pontosan ez a leltár.

2 · A gyakorlatban

Miért NIS2-szempont?

Az eszköz- és adatleltár nem „papírmunka a fióknak" — ez a megfelelés kiindulópontja. A NIS2 kockázatarányos védelmet vár el, a kockázatot pedig csak akkor tudod felmérni, ha tudod, mid van és mi mennyire fontos. Ezért a leltár és az osztályozás a teljes felkészülés bemenete: e nélkül minden további intézkedés (mentés, hozzáférés-kezelés, incidenskezelés) a levegőben lóg.

Mi ez?

Két élő nyilvántartás: az eszközleltár (hardver, szoftver, felhős szolgáltatások) és az adatleltár az adatok osztályozásával (publikus / belső / bizalmas / szigorúan bizalmas), kiegészítve az adatgazdával, a tárolás helyével és az adatáramlással. A kimenete egy karbantartott eszköz- és adatleltár-tábla.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás kockázatarányos intézkedéseket vár el — ezek megalapozásához ismerni kell a védendő eszközöket és adatokat. A leltár ezért minden további kontroll előfeltétele. A pontos elvárás a szervezet érintettségétől függ — itt szándékosan nem idézünk konkrét paragrafust; az értelmezés mindig egyedi.

Hogyan segít?

Ha tudod, mid van és mi mennyire érzékeny, a védelmet oda irányítod, ahol számít: a szigorúan bizalmas adatra erős zár, a publikusra semmi felesleges. Egyúttal bizonyíthatóvá teszi a döntéseidet — egy auditnál pont ezt a leltárt és osztályozást kérik majd számon.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan készíts eszköz- és adatleltárt? — öt lépés

Nem kell hozzá drága rendszer; egy táblázattal el lehet kezdeni. A cél nem a tökéletes, hézagmentes lista elsőre, hanem egy átlátható kép, amit utána karbantartasz.

Eszközök számbavétele

Listázd ki a hardvert (laptopok, szerverek, telefonok, hálózati eszközök), a szoftvereket (operációs rendszerek, könyvelő, CRM, szerkesztők) és a felhős szolgáltatásokat (e-mail, tárhely, webshop-platform, számlázó). Ezek hordozzák a működésedet — és ezeken laknak az adataid.

Adatvagyon feltérképezése

Vedd számba, milyen adatokat kezelsz: ügyfél- és kapcsolattartói adatok, szerződések, pénzügyi és HR-adatok, üzleti titkok, jelszavak. Csoportosítsd őket — nem kell minden egyes fájl, elég az értelmes adatcsoport (pl. „ügyfél-személyes adatok", „bérszámfejtés").

Adatosztályozás

Sorold minden adatcsoportot egy egyszerű skálára a kiszivárgás hatása szerint: publikus (bárki láthatja), belső (céges, de nem titok), bizalmas (csak illetékesek) és szigorúan bizalmas (komoly kárt okozna). A cél a megkülönböztetés — a tényleg érzékenyet válaszd el a hétköznapitól.

Adatgazda, tárolás, adatáramlás

Minden adatcsoporthoz nevezd meg az adatgazdátAdatgazda (data owner): az a felelős személy vagy szerep, aki egy adatcsoport besorolásáért, a hozzáférés engedélyezéséért és a felülvizsgálatáért felel. Ami közös felelősség, az senkié. (ki felel érte), írd le, hol tárolódik (melyik eszközön, szolgáltatásban), és rajzold fel, hova folyik — kihez, melyik beszállítóhoz, melyik országba jut el. Itt derül ki, ha érzékeny adat ellenőrizetlen helyre kerül.

Nyilvántartás és felülvizsgálat

Rögzítsd egy táblázatba — ez az eszköz- és adatleltár. Utána nem alszik el: vizsgáld felül legalább évente, illetve minden nagyobb változáskor (új rendszer, új beszállító, új folyamat). A Szabályzat-csomag eszköz- és adatleltár nyilvántartása (NYV-11) erre kész vázat ad.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a leltárért és az adatkezelésért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

A leltár mint a kockázatkezelés bemenete — és a CIA-kötés

Az adatosztályozás nem öncél: minden besorolt adatnál érdemes megnézni, melyik CIA-tulajdonság sérülése fáj a legjobban — a bizalmasság (kiszivárgás), a sértetlenség (meghamisítás) vagy a rendelkezésre állás (elérhetetlenné válás). Egy ügyfél-adatbázisnál jellemzően a bizalmasság, egy számlázó rendszernél a sértetlenség és a rendelkezésre állás a kritikus. Ez a leltár adja át a stafétát a kockázatkezelésnek (03. modul): a besorolt eszközök és adatok lesznek a kockázatértékelés tárgyai. Leltár nélkül a kockázatértékelés vakon tapogatózik.

Shadow IT, árnyékadat és a felhős szolgáltatások

A leltár leggyakoribb réseit az ún. shadow IT okozza: a kollégák által hivatalos jóváhagyás nélkül használt eszközök és szolgáltatások (saját felhős tárhely, ingyenes fájlmegosztó, magán-e-mail, AI-asszisztens). Ezeken gyakran lapulnak érzékeny adatok anélkül, hogy bárki nyilvántartaná őket — ez az árnyékadat. A felhős (SaaS) szolgáltatásoknál külön figyelendő, hogy az adat fizikailag a szolgáltatónál, esetleg másik országban van: a leltárban érdemes jelölni a szolgáltatót és a tárolás helyét, mert ez adatvédelmi (GDPR) és beszállítói kockázati kérdés is. A leltár első körének egyik fő haszna épp ezeknek a rejtett pontoknak a felszínre hozása.

Címkézés, szabványok és a kontroll-leképezés

A formálisabb adatkezelés a besorolást címkézéssel (labeling) köti az adatokhoz — pl. a dokumentumok fejlécében vagy a fájlrendszer/levelező rendszer metaadatában jelölve a „bizalmas" szintet. Az osztályozáshoz léteznek szabványos vázak is, pl. az ISO/IEC 27001 A.5.12–A.5.13 kontrolljai (információ-osztályozás és -címkézés). Ezeket nem kötelező betűre követni, de jó vázat adnak. A gyakorlati kulcs a kontroll-leképezés: a besorolás közvetlenül meghatározza, milyen védelem jár az adatnak — a szigorúan bizalmashoz pl. titkosítás, legkisebb jogosultság és külön mentés. Így a leltár összeköthető a Szabályzat-csomag eszköz- és adatleltár nyilvántartásával (NYV-11) és a hozzáférés-kezeléssel.

Jogszabályi háttér

A leltár és az osztályozás az uniós NIS2 irányelv 21. cikk (2) bekezdésében felsorolt kockázatkezelési intézkedések alapja: a kockázatelemzés és a vagyonelemek védelme feltételezi, hogy a szervezet ismeri a saját eszközeit és adatait. Magyarországon ezt a 2024. évi LXIX. törvény (a kiberbiztonsági tárgyú jogszabály) ülteti át, a végrehajtási rendeletekkel együtt. A konkrét eszköz- és adatleltárra vonatkozó pontos szakaszhelyet szándékosan nem idézzük — a kötelezettség részleteit mindig a hatályos jogszabály és a szervezet besorolása alapján kell értelmezni, ez nem jogi tanácsadás.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Eszközlista

Van-e leírt listátok arról, milyen eszközöket és szolgáltatásokat használtok (gépek, programok, felhős fiókok)? Ha fejből, szóban tudjátok csak, akkor valószínűleg vannak rejtett, nyilvántartatlan rések.

2 · Adatosztályozás

Tudjátok-e, melyik adatotok mennyire érzékeny, és hol tárolódik? Ha az ügyfél-személyes adatokat ugyanúgy kezelitek, mint a nyilvános árlistát, akkor még nincs osztályozás.

3 · Adatgazda

Van-e a fontos adatcsoportokhoz megnevezett felelős (adatgazda)? Ha egy adatért „mindenki és senki" felel, akkor a besorolás és a hozzáférés is gazdátlan — ez a leggyakoribb buktató.

1 · Laikusan

Gyakori tévhit

Tévhit

„Egy kis cégnél felesleges leltárt vezetni — úgyis fejben tartjuk, mink van."

A fejben tartott leltár pont akkor mond csődöt, amikor a legnagyobb szükség lenne rá: egy incidensnél, egy kilépő munkatársnál vagy egy auditnál. Ráadásul a kis cégeknél a leggyakoribb a shadow IT — a nyilvántartatlan felhős fiókok és magáneszközök, amikről épp azért nem tudtok, mert „fejben" vezetitek a leltárt. Egy egyszerű táblázat, amiben le van írva, mid van és melyik adat mennyire érzékeny, nem bürokrácia: ez az a térkép, ami nélkül minden további védelem vakon működik. Nem véded, amiről nem tudsz.

Gyakori kérdések

GYIK az eszköz- és adatleltárról

Mi a különbség az eszközleltár és az adatleltár között?

Az eszközleltár azt tartja nyilván, MIN fut a működésed: hardver (laptopok, szerverek, telefonok), szoftver és felhős szolgáltatások. Az adatleltár (adatvagyon-nyilvántartás) azt, MILYEN adatokat kezelsz és hol vannak: ügyféladatok, szerződések, pénzügyi és HR-adatok. A kettő összefügg — az adat valamilyen eszközön vagy szolgáltatásban lakik —, ezért a gyakorlatban érdemes együtt, egy nyilvántartásban kezelni őket. Együtt adják a teljes képet arról, mit kell egyáltalán védened.

Hány adatosztály kell? Bonyolult ez egy kis cégnek?

Nem kell bonyolítani. A legtöbb kis cégnek bőven elég egy négyfokú skála: publikus, belső, bizalmas és szigorúan bizalmas. A lényeg nem a sok kategória, hanem hogy a tényleg érzékeny adatot (pl. ügyfél-személyes adatok, bérek, üzleti titok) egyértelműen megkülönböztesd a hétköznapitól, és ehhez igazítsd, ki férhet hozzá és hogyan kezeled. Két vagy három szint is működhet — a cél, hogy átlátható és betartható maradjon.

Ki az adatgazda, és miért kell megnevezni?

Az adatgazda az a felelős személy vagy szerep, aki egy adatcsoportért felel: ő dönt a besorolásáról, arról ki férhet hozzá, és ő veszi észre, ha valami nincs rendben. Megnevezése azért fontos, mert ami közös felelősség, az senkié: ha nincs gazdája egy adatnak, akkor a besorolás, a hozzáférés és a felülvizsgálat is elsikkad. Kis cégnél ez nem új munkakör — jellemzően a meglévő vezetők vagy felelősök kapják meg az adott területhez tartozó adatokat.

Miért ezzel kell kezdeni a NIS2-felkészülést?

Mert nem véded, amiről nem tudsz. A kockázatkezelés, a hozzáférés-kezelés, a mentés és az incidenskezelés mind feltételezi, hogy tudod, milyen eszközeid és adataid vannak, és melyik mennyire fontos. Az eszköz- és adatleltár ezért a teljes megfelelés bemenete: ez adja azt a térképet, amire a kockázatértékelés és minden további intézkedés épül. Enélkül vakon költesz — vagy épp a legfontosabbra nem jut.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul A CIA triász Következő modul → Kockázatkezelés

Következő lépés

Megvan a térkép - mi van kint a folyosón?

Az eszköz- és adatleltár felépítése szervezeti munka, amit magadnak kell elvégezned — de a kifelé látszó eszközeid egy részét (kitett bejelentkező felületek, ismeretlen aldomainek, hiányzó biztonsági fejlécek) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont a leltárhoz: megmutatja, mi az, amiről talán nem is tudtál.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz