Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlása (TERVEZET)
Az informatikai biztonság irányításának követelményrendszere
(IBIK)
0.91 verzió 2004.
Az informatikai biztonság irányításának követelményrendszere (tervezet)
Készítette: Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna PhD.
Szerkesztő: Muha Lajos
Copyright © 2004 Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna
2004. 07. 19.
0.91 verzió
2
Az informatikai biztonság irányításának követelményrendszere (tervezet) Ezt az ajánlást az Információs Társadalom Koordinációs Tárcaközi Bizottság 2004. szeptember …-i ülésén ajánlásként fogadta el az informatikai biztonság szervezeti szintű kezeléséhez. Célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása az informatikai biztonságának megteremtéséhez. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről.
Változáskezelés Verziószám 0.9 0.91 (jelen verzió) 0.95 (tervezet) 1.0 (tervezet)
2004. 07. 19.
Dátum 2004. 05. 20. 2004. 07. 19. 2004. 09. 10. 2004. 10. 15.
A változás leírása Kiinduló munkaanyag. A BME IK és más szakvélemények alapján javított változat. A beérkező vélemények alapján átdolgozott változat. Nyilvánosságra hozandó első kiadvány. (Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.)
0.91 verzió
3
Az informatikai biztonság irányításának követelményrendszere (tervezet)
TARTALOM Előszó ....................................................................................................................................... 13 Előzmények....................................................................................................................... 13 Az IBIK alapjai ................................................................................................................. 18 Bevezetés.................................................................................................................................. 21 1.
Alkalmazási terület............................................................................................................ 25
2.
Fogalmak és meghatározások ........................................................................................... 26
3.
2.1.
Az informatikai biztonság ..................................................................................... 26
2.2.
Kockázatelemzés ................................................................................................... 27
2.3.
Kockázatkezelés .................................................................................................... 33
Biztonságpolitika............................................................................................................... 34 3.1.
3.2. 4.
Az informatikai biztonság dokumentumai ............................................................ 34 3.1.1.
Az informatikai biztonságpolitika........................................................... 34
3.1.2.
Az informatikai biztonsági stratégia ....................................................... 36
3.1.3.
Az Informatikai Biztonsági Szabályzat................................................... 36
Felülvizsgálat és fejlesztés .................................................................................... 37
Szervezeti Biztonság ......................................................................................................... 38 4.1.
4.2.
Az informatikai biztonság szervezeti struktúrája .................................................. 38 4.1.1.
Informatikai Biztonsági Fórum ............................................................... 41
4.1.2.
Az informatikai biztonsági feladatok megosztása................................... 42 4.1.2.1.
Biztonsági Vezető .............................................................. 42
4.1.2.2.
Informatikai Biztonsági Vezető ......................................... 43
4.1.3.
Az adatfeldolgozás engedélyezési eljárásai ............................................ 45
4.1.4.
Informatikai biztonsági tanácsadás ......................................................... 45
4.1.5.
Együttműködés külső szervezetekkel ..................................................... 46
4.1.6.
Az informatikai biztonság független felülvizsgálata............................... 46
Előírások a külső személyek által történő hozzáférésekkel kapcsolatban ............ 47
2004. 07. 19.
0.91 verzió
4
Az informatikai biztonság irányításának követelményrendszere (tervezet) 4.2.1.
4.2.2.
A külső személyek által történő hozzáférések kockázatai ...................... 48 4.2.1.1.
A hozzáférések típusai ....................................................... 48
4.2.1.2.
A hozzáférések engedélyezési feltételei ............................ 48
4.2.1.3.
Helyszíni tevékenységet végző külső személyek .............. 49
Informatikai biztonsági követelmények a harmadik személlyel kötött szerződésekben........................................................................................ 50
4.3.
Vállalkozásba adás ................................................................................................ 51 4.3.1.
5.
Az eszközök biztonsági besorolása és ellenőrzése............................................................ 54 5.1.
Számadási kötelezettségek az eszközökkel kapcsolatban ..................................... 54 5.1.1.
5.2.
6.
Előírások a vállalkozásba adási szerződésekben..................................... 51
Készlet leltár............................................................................................ 55
Az adatok biztonsági osztályozása ........................................................................ 56 5.2.1.
Az osztályozás irányelvei........................................................................ 56
5.2.2.
Az adatok minősítése, címkézése és kezelése......................................... 61
Személyi biztonság............................................................................................................ 62 6.1.
Informatikai biztonság a felvételnél és a munkaköri leírásokban ......................... 62 6.1.1.
Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban .............................................................................................. 62
6.2.
6.1.2.
A személyzet biztonsági átvilágítása és a személyzeti politika .............. 63
6.1.3.
Titoktartási nyilatkozatok........................................................................ 63
6.1.4.
A foglalkoztatás feltételei ....................................................................... 64
Felhasználói képzés............................................................................................... 65 6.2.1.
6.3.
Az informatikai biztonsági oktatás és képzés ......................................... 65
Biztonsági és üzemzavarok kezelése..................................................................... 68 6.3.1.
Biztonsági események jelentése.............................................................. 71
6.3.2.
Biztonsági rendszerek hiányosságainak jelentése................................... 72
6.3.3.
Programhibák jelentése ........................................................................... 73
6.3.4.
Okulás véletlen eseményekből ................................................................ 73
6.3.5.
Fegyelmi eljárás ...................................................................................... 73
2004. 07. 19.
0.91 verzió
5
Az informatikai biztonság irányításának követelményrendszere (tervezet) 7.
Fizikai és környezeti biztonság ......................................................................................... 74 7.1.
7.2.
7.3.
8.
Biztonsági szegmensek.......................................................................................... 74 7.1.1.
Biztonsági határok................................................................................... 75
7.1.2.
A beléptetés fizikai eszközei................................................................... 75
7.1.3.
Létesítmények és helyiségek biztonsága................................................. 75
7.1.4.
Munkavégzés a biztonsági szegmensekben ............................................ 76
7.1.5.
A kiszolgáló területek és raktárak biztonsági elkülönítése ..................... 77
A berendezések fizikai védelme............................................................................ 79 7.2.1.
A műszaki berendezések elhelyezése és védelme................................... 84
7.2.2.
Energiaellátás .......................................................................................... 85
7.2.3.
A kábelezés biztonsága ........................................................................... 86
7.2.4.
A berendezések karbantartása ................................................................. 87
7.2.5.
A telephelyen kívüli berendezések védelme ........................................... 87
7.2.6.
A berendezések biztonságos tárolása és újra felhasználása .................... 88
Általános védelmi intézkedések ............................................................................ 89 7.3.1.
Adattárolási és képernyő-kezelési irányelvek......................................... 89
7.3.2.
Eszközök kivitele .................................................................................... 90
7.3.3.
Informatikai eszközök újrahasznosítása.................................................. 90
7.3.4.
Adathordozók megsemmisítése .............................................................. 91
7.3.5.
Hang-, kép- és adatrögzítő eszközök használata..................................... 91
Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje......................... 93 8.1.
8.2.
Üzemeltetési eljárások és feladatok ...................................................................... 93 8.1.1.
Az üzemeltetési eljárások dokumentációja ............................................. 93
8.1.2.
Változásmenedzsment és ellenőrzés az üzemeltetés során ..................... 94
8.1.3.
Váratlan események kezelési eljárásai .................................................... 94
8.1.4.
A feladatkörök biztonsági szétválasztása................................................ 96
8.1.5.
A fejlesztési és az üzemeltetési feladatok szétválasztása........................ 96
8.1.6.
Külső létesítmények üzemeltetése .......................................................... 98
IT rendszerek tervezése és átvétele ....................................................................... 99
2004. 07. 19.
0.91 verzió
6
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.3.
8.2.1.
Kapacitástervezés.................................................................................... 99
8.2.2.
A rendszer átvétele.................................................................................. 99
Védelem rosszindulatú programok ellen............................................................. 101 8.3.1.
A rosszindulatú programokat ellenőrző eszközök ................................ 102 8.3.1.1.
8.4.
8.5.
Operátori tevékenységek ..................................................................................... 107 8.4.1.
Az adatmentések tartalék példányai...................................................... 107
8.4.2.
Operátori naplók.................................................................................... 108
8.4.3.
Az üzemzavarok naplózása ................................................................... 109
Hálózatmenedzsment........................................................................................... 110 8.5.1.
8.6.
8.7.
9.
A vírusvédelmi rendszer kialakítása és működtetése....... 104
Hálózati ellenőrző eszközök ................................................................. 110
Az adathordozók biztonságos kezelése ............................................................... 111 8.6.1.
Hordozható adathordozók kezelése....................................................... 111
8.6.2.
Az adathordozók tárolása ...................................................................... 112
8.6.3.
Adatkezelési eljárások........................................................................... 112
8.6.4.
Az IT rendszer dokumentációjának biztonsága .................................... 113
Adatok és programok cseréje .............................................................................. 116 8.7.1.
Megállapodások az adatok és programok cseréjéről............................. 117
8.7.2.
Adathordozók szállítása ........................................................................ 117
8.7.3.
Az elektronikus kereskedelem biztonsága ............................................ 118
8.7.4.
Az elektronikus levelezés biztonsága.................................................... 119 8.7.4.1.
Biztonsági kockázatok ..................................................... 119
8.7.4.2.
Az elektronikus levelezés irányelvei ............................... 119
8.7.5.
Irodaautomatizálási rendszerek biztonsága........................................... 121
8.7.6.
Nyilvános rendszerek ............................................................................ 122
8.7.7.
Az adatcsere egyéb formái .................................................................... 122
Hozzáférés menedzsment................................................................................................ 124 9.1.
A hozzáférés ellenőrzés üzleti követelményei .................................................... 124 9.1.1.
2004. 07. 19.
Irányelvek és üzleti követelmények ...................................................... 125 0.91 verzió
7
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.2.
9.3.
9.4.
9.5.
9.1.1.1.
A szabályzat és az üzleti követelmények......................... 125
9.1.1.2.
A hozzáférés ellenőrzés szabályai ................................... 126
9.1.1.3.
Külső fél hozzáférése....................................................... 127
A felhasználói hozzáférés menedzsmentje.......................................................... 128 9.2.1.
A felhasználó bejelentkezése ................................................................ 128
9.2.2.
A jogosultságok kezelése ...................................................................... 130
9.2.3.
A felhasználói jelszavak kezelése ......................................................... 132
9.2.4.
A felhasználó hozzáférési jogosultságainak ellenőrzése....................... 134
A felhasználó feladatai ........................................................................................ 135 9.3.1.
Jelszó használat ..................................................................................... 135
9.3.2.
Felügyelet nélküli berendezések ........................................................... 136
A hálózati szintű hozzáférések menedzsmentje .................................................. 138 9.4.1.
A hálózati szolgáltatások használatának irányelvei .............................. 138
9.4.2.
Kötelező hozzáférési útvonal ................................................................ 139
9.4.3.
Felhasználó azonosítás-hitelesítés távoli kapcsolatnál.......................... 140
9.4.4.
Távoli munkaállomás azonosítása és hitelesítése ................................. 141
9.4.5.
A távdiagnosztikai portok védelme....................................................... 141
9.4.6.
A hálózatok biztonsági szegmentálása.................................................. 142
9.4.7.
A hálózatra történő csatlakozások ellenőrzése...................................... 143
9.4.8.
A hálózati útvonal kiválasztások ellenőrzése........................................ 143
9.4.9.
A hálózati szolgáltatások biztonsága .................................................... 143
Az operációs rendszerszintű hozzáférések ellenőrzése ....................................... 144 9.5.1.
Terminálok automatikus azonosítása, hitelesítése ................................ 144
9.5.2.
Terminál bejelentkezési eljárások ......................................................... 144
9.5.3.
A felhasználó azonosítása, hitelesítése ................................................. 145
9.5.4.
Jelszómenedzsment rendszer ................................................................ 145
9.5.5.
Rendszer segédprogramok használata................................................... 147
9.5.6.
Támadás-riasztás ................................................................................... 147
9.5.7.
Terminál időkorlát................................................................................. 147
2004. 07. 19.
0.91 verzió
8
Az informatikai biztonság irányításának követelményrendszere (tervezet) 9.5.8. 9.6.
9.7.
Alkalmazás szintű hozzáférések vezérlése.......................................................... 148 9.6.1.
Az adatelérés szabályozása ................................................................... 148
9.6.2.
Érzékeny adatokat kezelő rendszer elkülönítése................................... 148
Hozzáférés a biztonsági monitoring rendszerhez és használata .......................... 149 9.7.1.
Eseménynaplózás .................................................................................. 149
9.7.2.
A rendszerhasználat követése ............................................................... 153
9.7.3. 9.8.
Kapcsolati időkorlátozás ....................................................................... 147
9.7.2.1.
Kockázati tényezők.......................................................... 154
9.7.2.2.
Az eseménynaplózás és értékelése................................... 154
Dátum- és időállítás............................................................................... 155
Mobil IT tevékenység, távmunka........................................................................ 156 9.8.1.
Mobil IT tevékenység ........................................................................... 156
9.8.2.
A távmunka végző kapcsolat a munkahellyel....................................... 164
10. Az IT rendszerek fejlesztése és karbantartása................................................................. 165 10.1. Az IT rendszerek informatikai biztonsági követelményei .................................. 165 10.1.1. A biztonsági követelmények elemzése és meghatározása .................... 165 10.2. Biztonság a felhasználói rendszerekben.............................................................. 167 10.2.1. A bemenő adatok hitelesítése................................................................ 167 10.2.2. Az adatfeldolgozás ellenőrzése ............................................................. 168 10.2.2.1.
Veszélyeztetett területek .................................................. 168
10.2.2.2.
Vezérlő és ellenőrző eljárások ......................................... 169
10.2.3. Az üzenetek hitelesítése ........................................................................ 169 10.2.4. A kimenő adatok hitelesítése................................................................. 170 10.3. Kriptográfiai eszközök ........................................................................................ 171 10.3.1. A kriptográfiai eszközök alkalmazásának irányelvei............................ 171 10.3.2. Rejtjelzés
171
10.3.3. Digitális aláírás...................................................................................... 172 10.3.4. Szolgáltatások a le nem tagadhatóságra ................................................ 173 10.3.5. Kulcsmenedzsment................................................................................ 173
2004. 07. 19.
0.91 verzió
9
Az informatikai biztonság irányításának követelményrendszere (tervezet) 10.3.5.1.
A kriptográfiai kulcsok védelme...................................... 173
10.3.5.2.
Szabványok, eljárások, módszerek .................................. 173
10.4. Rendszerszintű adatállományok védelme ........................................................... 175 10.4.1. Az operációs rendszer ellenőrzése ........................................................ 175 10.4.2. A teszt adatok védelme ......................................................................... 176 10.4.3. A program forráskönyvtárhoz való hozzáférés ellenőrzése .................. 177 10.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban ............... 178 10.5.1. Változásmenedzsment eljárások ........................................................... 178 10.5.2. Az operációs rendszer változtatásainak ellenőrzése.............................. 179 10.5.3. Vásárolt programok változtatására vonatkozó korlátok........................ 179 10.5.4. Rejtett csatorna, trójai faló .................................................................... 179 10.5.5. A programfejlesztés kihelyezése........................................................... 180 11. Üzletmenet-folytonosság menedzsment.......................................................................... 181 11.1. Üzletmenet-folytonosság menedzsment területei................................................ 181 11.1.1. Üzletmenet-folytonosság menedzsment folyamata............................... 181 11.1.2. Az üzletmenet-folytonosság és a hatásvizsgálat ................................... 182 11.1.3. Az üzletmenet-folytonossági terv kidolgozása ..................................... 182 11.1.3.1.
Katasztrófa-elhárítási terv................................................ 186
11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere .......................... 189 11.1.5. Az
üzletmenet-folytonossági
tervek
vizsgálata,
karbantartása
és
újraértékelése......................................................................................... 190 11.1.5.1.
A tervek tesztelése ........................................................... 190
11.1.5.2.
A tervek karbantartása és újraértékelése.......................... 191
12. Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak ........................... 193 12.1. A jogszabályi előírások betartása ........................................................................ 193 12.1.1. A vonatkozó jogszabályok behatárolása ............................................... 193 12.1.2. Szellemi tulajdonjogok.......................................................................... 196
2004. 07. 19.
12.1.2.1.
Szerzői jogok ................................................................... 196
12.1.2.2.
Szoftver szerzői jogok...................................................... 196
0.91 verzió
10
Az informatikai biztonság irányításának követelményrendszere (tervezet) 12.1.3. A szervezet adatainak biztonsága.......................................................... 197 12.1.4. Személyes adatok védelme.................................................................... 198 12.1.5. A védelmi eszközökkel elkövethető visszaélések megelőzése ............. 198 12.1.6. A kriptográfiai eszközök kezelésének szabályozása ............................. 199 12.1.7. A bizonyítékok gyűjtése........................................................................ 200 12.1.7.1.
A bizonyítékokra vonatkozó szabályok ........................... 200
12.1.7.2.
A bizonyítékok elfogadhatósága...................................... 200
12.1.7.3.
A bizonyítékok minősége és hiánytalan volta ................. 200
12.2. Az informatikai biztonságpolitikának és a műszaki követelményeknek való megfelelés............................................................................................................ 202 12.2.1. Az informatikai biztonsági előírásoknak való megfelelés .................... 202 12.2.2. A műszaki követelményeknek való megfelelés .................................... 205 12.3. Megfontolások a rendszerek biztonsági ellenőrzésére ........................................ 206 12.3.1. Rendszerauditálási óvintézkedések ....................................................... 208 12.3.2. Rendszerauditáló eszközök védelme..................................................... 208
2004. 07. 19.
0.91 verzió
11
Az informatikai biztonság irányításának követelményrendszere (tervezet)
2004. 07. 19.
0.91 verzió
12
Az informatikai biztonság irányításának követelményrendszere (tervezet)
Előszó 1. Előzmények Az információ az innováció legfontosabb forrásává vált, jelentős részét képezve a különböző szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlődésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. A szakemberek ráébredtek arra, hogy nem elegendő az információkat hagyományos módszerekkel védeni, hanem magukat a számítástechnikai eszközöket kell úgy kialakítani, hogy megfelelő védelmet biztosítsanak. Nemzetközi téren már az 1970-es évek végén megindult (elsősorban az Egyesült Államokban) az informatikai biztonsági értékelés követelményrendszere kidolgozására vonatkozó tevékenység. Első kézzelfogható eredménye a TCSEC1 dokumentum, vagy más néven a „Narancs Könyv” megjelenése volt, amelyben az USA Védelmi Minisztériumának informatikai biztonsági követelményeit hozták nyilvánosságra – elsősorban – a beszállítók részére. Ezt követően több országban, például Angliában, Németországban, Franciaországban is elindult hasonló dokumentum kidolgozása. A ’80-as évek vége felé a személyi számítógépek, a helyi és a nagy területeket átfogó hálózatok elterjedésével mind jobban erősödött az a felismerés, hogy az informatikai biztonságra vonatkozó előírások nemzeti szintjéről tovább kell lépni egy nemzetközi téren egyeztetett dokumentum irányába. Az első ilyen erőfeszítés eredménye volt az ITSEC2 dokumentum 1.0 változata, amelyet Anglia, Franciaország, Hollandia és Németország közösen dolgozott ki. Az ITSEC 1.2 változatát az Európai Közösség számára kísérleti célból 1991-ben adták ki. Ezzel közel egy időben a Nemzetközi Szabványosítási Szervezetben (ISO3) és a Nemzetközi Elektrotechnikai Bizott-
1
TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai) 2
3
ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) ISO = International Organization for Standardization
2004. 07. 19.
0.91 verzió
13
Az informatikai biztonság irányításának követelményrendszere (tervezet) ságban (IEC4) is elkezdődött ebben a tárgyban a munka, azonban a nemzeti szinteken addig kidolgozott követelmények egyeztetése miatt ez viszonylag lassan haladt előre. E probléma feloldására az Egyesült Államokban és Kanadában elkészültek az FC5, illetve a CTCPEC6 dokumentumok. Az FC dokumentumnak az 1993-ban az Európai Közösség illetékes bizottságának történt bemutatása után az a határozat született, hogy az ITSEC, a CTCPEC és az FC szerzői dolgozzanak ki egy olyan követelményrendszert, amely nemzetközileg elfogadható lesz, és az ISO/IEC számára ajánlani lehet a szabványosítási munka alapjául. Az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával kidolgozásra került a CC7 dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre egyedi követelményeket szabni. Ez képezte az alapját az Európai Közösség ebben a tárgyban végzendő további munkáinak, valamint az ISO/IEC-nél elvégzendő szabványosítási tevékenységnek. A több éves munka eredményeként 1998-ban jelent meg a Common Criteria 2.0 változata. A CC követelményrendszerének első három fejezetét ISO/IEC 15408 számon, „Common Criteria for Information Technology Security Evaluation, version 2.0” címmel nemzetközi szabványként is kiadták. A TCSEC, majd az ITSEC ajánlások, csak az informatikai rendszerek logikai védelmével, a biztonság funkcionális és minősítési követelményeivel foglakoznak, és nem térnek ki az adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire. A CC esetében ez a szemlét alapvetően nem változik, de a biztonsági követelmények és funkciók leírása sokkal árnyaltabb. Így lehetőség adódik pontosabb védelmi profilok (funkciók) meghatározására, a kifejezetten biztonsági termékek, például tűzfalak mélyebb és
4
IEC = International Electrotechnical Commission)
5
FC = Federal Criteria for Information Technology Security (Az Információtechnológia Biztonságára vonatkozó
Szövetségi Kritériumok) 6
CTCPEC = Canadian Trusted Computer Product Evaluation Criteria (A Biztonságos Számítástechnikai Termé-
kek Értékelési Kritériumai Kanadában) 7
CC = Common Criteria (Közös Követelmények)
2004. 07. 19.
0.91 verzió
14
Az informatikai biztonság irányításának követelményrendszere (tervezet) korrektebb biztonsági minősítésére, sőt elvi lehetőség van összetett informatikai rendszer biztonsági értékelésére is. Az egyes országokban megindult olyan ajánlások, követelmények fejlesztése is, amelyek kifejezetten a felhasználók számára nyújtanak segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére. Ilyen például az Amerikai Egyesült Államokban a NIST8 Special Publication 800 sorozatának „NIST SP 800-12, An Introduction to Computer Security: The NIST Handbook”, a német BSI9 „IT Baseline Protection Manual”, vagy a Brit Szabványügyi Hivatal10 „BS 7799 Part 1, Code of practice for information security management” kiadványa. Ez utóbbit 2000. augusztusában ISO/IEC 17799:2000 számon „Information Technology – Code of practice for information security management” néven nemzetközi szabványként fogadták el. (A 2. rész11 elsősorban a szervezet vezetésének szól, és a megfelelési és az ellenőrzési követelményeket tartalmazza.) Az eddig többségében termékorientált szemlélet egy szervezeti szintű informatikai biztonságmenedzsment központú szemlélet váltotta fel. Az ISO/IEC 17799 szabvány alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy nem követelményeket ír elő, hanem – a minőségbiztosításról szóló ISO 9000 szabványhoz hasonlóan – a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg. A szabvány felhasználóinak a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából kell levezetniük. Ez a szabvány már alkalmas arra, hogy a megfelelő akkreditálás és tanúsítási eljárások alkalmazásával lehetővé váljon a teljes informatikai rendszer értékelése és tanúsítása. Hazánkban a rendszerváltozás után egy érdekes időszak következett be. Mint annyi más területen az információvédelemnél is érvényesült a múlt gyors, differenciálatlan, éles és túlzottan leegyszerűsített tagadása, amely szerint a demokrácia szerves részét képezi az informá-
8
National Institute of Standards and Technology
9
Bundesamt für Sicherheit in der Informationstechnik
10
British Standard Institute
11
A BS 7799 második részét 2002-ben módosították az ISO 9001:2000 és az ISO 14001:1996 szabványokkal
való harmonizáció miatt. Az aktuális változat a BS 7799 Part 2:2002, Information security management systems – Specification with guidance for use.
2004. 07. 19.
0.91 verzió
15
Az informatikai biztonság irányításának követelményrendszere (tervezet) ciókhoz, bármely információhoz való szabad hozzájutás joga. A piaci körülmények, a privatizáció fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban és az egyes személyekben is, hogy olyan, hozzájuk kapcsoló információkkal, adatokkal rendelkeznek, amelynek kizárólagos birtoklása, és folyamatos rendelkezésre állása nagyon fontos társasági, illetve személyes érdek. A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) „Informatikai biztonsági módszertani kézikönyv” címet viselő, 1994-ben kiadott MeH ITB 8. számú ajánlása a brit kormány Központi Számítógép és Távközlési Ügynökség (Central Computer and Telecommunications Agency) „CCTA Risk Analysis and Management Method” és az északrajna-vesztfáliai kormány „Informationtechnik Sicherheitshandbuch” felhasználásával, valamint az EU informatikai ajánlásai és a hazai jogszabályok alapján készült. A kézikönyv célja a szervezetet az informatikai biztonsági koncepciójának kialakítására történő felkészítés volt. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság és a szervezet összbiztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csatolt mellékletekben találhatók meg. A MeH ITB 8. számú ajánlását, mint az informatikai biztonság – CRAMM alapú – kockázatelemzési módszertanát a közigazgatás területén kívül is elterjedten használják. A MeH ITB kezdeményezésére 1995-ben kezdődött meg a következő hazai ajánlás kidolgozása, amelyet 1996. decemberére véglegesítettek, és az Informatikai Rendszerek Biztonsági Követelményei címmel, mint a MeH ITB 12. sz. ajánlás vált de facto szabvánnyá. Az Informatikai Rendszerek Biztonsági Követelményei kidolgozásánál elsődleges szempont volt, hogy ne csak a logikai védelem előírásait tartalmazza, hanem jelenjenek meg benne az adminisztratív és a fizikai védelem követelményei is. A logikai védelem (hardver, szoftver, hálózatok) esetében az ITSEC lett adaptálva, ugyanakkor részletes követelményeket és védelmi intézkedéseket tartalmaz az informatikai biztonság adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire is. A gazdasági élet számos szereplője a saját biztonsági politikája kialakításakor figyelembe vette a 12. sz. ajánlást, több esetben a mai napig is belső szabályzóként, követelményrendszerként használják a biztonsági követelmények meghatározására. Az CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban a MeH ITB 16. sz. ajánlásaként „Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana” címen, mint a Common Criteria 1.0 változatának hazai feldolgozása kiadásra került.
2004. 07. 19.
0.91 verzió
16
Az informatikai biztonság irányításának követelményrendszere (tervezet) A Magyar Szabványügyi Testület 2002. évben magyar szabványként kiadta „Az informatikai biztonságértékelés közös szempontjai” címen az ISO/IEC 15408, „Az informatikai biztonság menedzsmentjének eljárásrendje” címen az ISO/IEC 17799 szabványokat, és jelenleg előkészítés alatt áll az ISO/IEC TR 13335 első és második részének magyar kiadása. Természetesen az informatikai biztonság területén számos egyéb szabvány és ajánlás is létezik, például az: -
ISO/IEC 9796 a digitális aláírás,
-
ISO/IEC 9797 az üzenethitelesítés,
-
ISO/IEC 13888 a letagadhatatlanság,
-
ISO/IEC 15816 a hozzáférés-ellenőrzés,
-
ISO/IEC 18014 az időbélyegzés,
-
ISO/IEC 18028 a hálózatbiztonság,
-
ISO/IEC 18033 a rejtjelzés (titkosítás),
-
ISO/IEC 19790 a kriptográfiai modulok biztonsági követelményei
témájában került kiadásra.
2004. 07. 19.
0.91 verzió
17
Az informatikai biztonság irányításának követelményrendszere (tervezet)
2. Az IBIK alapjai Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL12-re és a COBIT13-ra. Az ITIL, „Az informatikaszolgáltatás módszertana” egy az informatika, mint szolgáltatás egészére kiterjedő, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létező ITIL folyamatokat bővíti a biztonságirányítással. A COBIT az információrendszer ellenőrök
12
ITIL = IT Infrastructure Library
Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezőek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az IT Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára „de facto” nemzetközi szabvánnyá vált, amelynek több országban működik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával 2002. novemberében honosították. 13
COBIT = Control Objectives for Information and Related Technology
Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenőrzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsősorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenőrzési irányelvek, a Vezetői útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezésű kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenőrzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fő hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet.
2004. 07. 19.
0.91 verzió
18
Az informatikai biztonság irányításának követelményrendszere (tervezet) egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenőrzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. A már említett ISO/IEC 15408 szabvány elsősorban technikai jellegű, főleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minősítésére. Nem tartalmaz ugyanakkor megfelelően, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltető, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR 13335 – Guidelines for the Management of IT Security14 (GMITS) műszaki beszámoló. Az ISO/IEC TR 13335 nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de „Technical Report”-ként, ami ebben az esetben a megoldási lehetőségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR 13335 öt részből áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for IT Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning IT Security), 3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of IT Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections).
14
Segédlet az informatikai biztonság irányításához
2004. 07. 19.
0.91 verzió
19
Az informatikai biztonság irányításának követelményrendszere (tervezet)
Az ISO/IEC 17799 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelő informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különböző nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a „de facto” nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC 17799 szabványt – bár kritikák is érik – a világ, és különösen az Európai Unió mind több országában fogadják el a különböző szervezetek informatikai rendszerük biztonságának alapjaként. Ezért is döntött úgy az Informatikai és Hírközlési Minisztérium, hogy a jelen követelményrendszernek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR 13335 szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) – C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével.
2004. 07. 19.
0.91 verzió
20
Az informatikai biztonság irányításának követelményrendszere (tervezet)
Bevezetés 1. Az informatikai biztonság Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körűség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhető szintre kerülnek. Ezt az arányt, mint a védelem erősségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy „az elmaradt haszon az veszteség” gazdasági alaptétel mintájára „az elmaradt kár az haszon” tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkező károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetők pénzkidobásnak.
2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentős üzleti értéket, vagyont képeznek, olyan kiemelt jelentőségű erőforrások, amelyek semmi mással nem helyettesíthető. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tűzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes „változata” – a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számí-
2004. 07. 19.
0.91 verzió
21
Az informatikai biztonság irányításának követelményrendszere (tervezet) tógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezető támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerőbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti működtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhető hozzá, elvész vagy illetéktelen kezekbe jut, az jelentős anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentős változások történtek az információ megjelenési formáját illetően. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselő információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektől és informatikai szolgáltatásoktól való függőség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetőbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erőforrások megosztása nagyon megnehezíti a hozzáférések ellenőrzését. Az osztott feldolgozás tendenciája, iránya jelentősen meggyengítette a szakértői központi ellenőrzés hatékonyságát. Igen sok informatikai rendszert egyszerűen nem biztonságosra terveztek. Csak műszaki eszközökkel kizárólag korlátozott biztonság érhető el, éppen ezért kell azt megfelelő vezetési és irányítási módszerekkel támogatni. Az információbiztonság megteremtésének kiindulópontját az információ minősítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetőség szerint mindenre kiterjedő, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az információbiztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthető. A biztonság megteremtéséhez nem elegendő a megfelelő szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van, hiszen az információbiztonság különböző, de szorosan összetartozó szakterületeit művelő szakembereinek, akik közös irányítás alatt, közös célok érdekében ugyanazon feladatok összetartozó részeit közösen kell, hogy megoldják, azonos szervezeti egységhez kell tartozniuk. A megfelelő biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthető a számítógépen készített és tárolt minősített irat illetéktelen megismerésének valószínűsége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép
2004. 07. 19.
0.91 verzió
22
Az informatikai biztonság irányításának követelményrendszere (tervezet) által automatikusan és folyamatosan tárolt „feljegyzések” alapján a biztonságot sértő eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerű megvalósítása esetén lehetséges, amely speciális, az informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erőforrásokat. Ennek hiányában a számítógépeken „digitális állapotú információk” megismerése nyomtalanul végrehajtható, és a további erőfeszítések a kinyomtatott, papíralapon megjelenő iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelő védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintű elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintő változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelméről nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellő figyelmet. A Ttv. 1995ben jelent meg, amikor a kérdés jelentősége még sokkal kisebb volt, és a jogszabályalkotó azóta is „adós” az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minősített adat kezelésének rendjéről) nem követték a tényleges technikai fejlődést és az egyre növekvő mértékben megjelenő biztonsági kockázatokra nem adtak releváns választ, ezért – a valós veszélyekre való tekintettel – az egyes szervezetek öntevékenyen kezdték el szabályozni ezt a területet, így jelenleg sokféle, különböző szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létező szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végző szerv szabályozza és ellenőrzi. Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonságpolitikáját, belső szabályzóit. Ennek három fő forrása ismert:
2004. 07. 19.
0.91 verzió
23
Az informatikai biztonság irányításának követelményrendszere (tervezet) A követelmények első forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez utóbbiak bekövetkezésének valószinűségét, és megbecsüli a lehetséges, várható károkat. A második forrást azok a törvényi, szabályozási és szerződési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. A harmadik forrást azok az információfeldolgozási alapelvek, célkitűzések és követelmények alkotják, amelyeket a szervezet saját működésének támogatására fejlesztett ki.
2004. 07. 19.
0.91 verzió
24
Az informatikai biztonság irányításának követelményrendszere (tervezet)
1. ALKALMAZÁSI TERÜLET Ez az ajánlás azoknak ad segítséget az informatikai biztonság szervezeti szintű kezeléséhez, akik saját szervezetükben a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Felhívjuk a figyelmet, hogy a változó viszonyok között a mindenkori hatályos jogszabályok keretei között kell alaklmazni ezt az ajánlást. Az ajánlás célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó olyan hazai előírások biztosítása az informatikai biztonságának megteremtéséhez, amelyek bizalmat teremthetnek a különböző szervezetek között az informatikai rendszerek biztonságát illetően.
2004. 07. 19.
0.91 verzió
25
Az informatikai biztonság irányításának követelményrendszere (tervezet)
2. FOGALMAK ÉS MEGHATÁROZÁSOK 2.1. Az informatikai biztonság Informatikai biztonság: Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Egyszerűsítve: az informatikai rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelme.
Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.
Sértetlenség: Az adat tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes, és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.
Rendelkezésre állás: Az informatikai rendszerelem – ide értve az adatot is – tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a szükséges időben és időtartamra használható.
Zárt védelem: Zárt a védelem, ha az az összes releváns fenyegetést figyelembe veszi.
2004. 07. 19.
0.91 verzió
26
Az informatikai biztonság irányításának követelményrendszere (tervezet) Teljes körű védelem: Teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed.
Folytonos védelem: Folytonos a védelem, ha az az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul.
Kockázattal arányos védelem: A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel.
2.2. Kockázatelemzés Az információ és az információfeldolgozó eszközök gyenge pontjainak, fenyegetéseinek (veszélyeztetettségének, sérülékenységének, befolyásolhatóságának), valamint a fenyegetésekből által okozható károk, és ezek bekövetkezése valószínűségének a becslése (kockázatbecslés) vagy felmérése (kockázatelemzés).
A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát.
A kockázatot, mint elvont fogalmat szokták alkalmazni, ám az formálisan is definiálható:
2004. 07. 19.
0.91 verzió
27
Az informatikai biztonság irányításának követelményrendszere (tervezet)
r = ∑ (p × d ) t∈T
t
t
ahol: r: a kockázat [Ft/év], T: a releváns fenyegetések halmaza, pt: egy adott kockázat bekövetkezésének gyakorisága (valószínűsége) [1/év], dt: egy adott kockázat bekövetkezéséből származó kár [Ft]. A kockázat mértékegységekkel is kifejezhető, de nem mindig mint pontos időarányos összeg kerül meghatározásra, hanem gyakran valamilyen osztályzatként, amely a kockázat nagyságrendjét, elviselhető vagy nem elviselhető nagyságát mutatja.
Bármilyen kockázatelemzési tevékenység megkezdése előtt a szervezetnek stratégiával kell rendelkeznie az ilyen elemzésekhez és ennek összetevőit (eljárások, technikák stb.) dokumentálni kell az informatikai biztonságpolitikában. A kockázatelemzési eljárás eszközeit és kritériumait az adott szervezet számára kell megválasztani. A kockázatelemzési stratégiának biztosítania kell, hogy a választott megközelítés alkalmazható az adott környezetre és ott fókuszál a biztonsági erőfeszítésekre, ahol az valóban szükséges. Az alábbiakban négy különböző kockázatmenedzsment megközelítést mutatunk be. Az alapvető különbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel általában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfajta egyensúlyt kell tartani a megközelítések között. Eltekintve a semmittevés lehetőségétől és elfogadva azt, hogy jelentős számú ismeretlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvető megközelítés van a szervezeti kockázatelemzési stratégiák területén: a) Ugyanannak az alapszintű megközelítésnek a használata minden informatikai rendszerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfogadjuk, hogy az adott szintű biztonság nem mindig megfelelő. b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve,
2004. 07. 19.
0.91 verzió
28
Az informatikai biztonság irányításának követelményrendszere (tervezet) c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai rendszerre, d) Egy kezdeti, magas szintű kockázatelemzés kivitelezése, annak meghatározására, hogy mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a szervezet működésére nézve, majd ezt követően egy részletes kockázatelemzés ezekre a rendszerekre, a többiekre pedig az alapszintű megközelítés használata. Ezeket a különböző lehetőségeket ismertetjük az alábbiakban és javaslatokat fogalmazunk meg az ajánlott megközelítéssel kapcsolatban. Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható következményeivel. Míg ez nem igényel időt, pénzt, személyzetet vagy egyéb erőforrásokat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy rendszerei nem kritikus jellegűek súlyos következményeknek teheti ki magát. A szervezet lehet, hogy nincs összhangban a jogi és egyéb szabályozásokkal, valamint a megbecsülése szervezhet csorbát, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen biztonsági intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot érintő célja van vagy nincs kritikus informatikai rendszere, ez egy megvalósítható stratégia lehet. Bár a szervezet abban a pozícióban maradt, hogy nem tudja milyen jó vagy rossz valójában a helyzet és a legtöbb esetben ez valószínűleg nem jó megoldás. Alapszintű megközelítés Első választási lehetőségként egy szervezet alkalmazhat alapszintű biztonságot minden informatikai rendszerére a biztosítékok megfelelő megválasztásával. E megközelítésnek jelentős számú előnye van: a) csak minimális mennyiségű erőforrás szükséges a kockázatelemzéshez és kezeléshez az egyes biztosítékok alkalmazásakor és ezért kevesebb idő és erőfeszítés kell a biztosítékok kiválasztásához. b) Az alapszintű biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy hasonló alapszintű biztosítékokat lehet számos rendszerben alkalmazni különösebb erőfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és amennyiben a biztonsági igények összemérhetők. E megközelítés hátrányai a következők:
2004. 07. 19.
0.91 verzió
29
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) ha az alapszint túl magasra lett beállítva, túlzott szintű biztonság alakul ki egyes rendszerekben, b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes rendszerekben és ez megnöveli a kockázatoknak való kitettséget, c) problémák jelentkezhetnek a biztonságot érintő változások kezelésében. Például, ha a rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintű biztosítékok még mindig elegendőek. Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági követelményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális védelmet érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetettsége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása minden rendszerre. Informális megközelítés Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális megközelítés nem strukturált módszereken alapul, de kihasználja a szakértők tudását és tapasztalatát. E megközelítés előnyei: a) általában nem igényel sok időt és erőforrást. Nincs szükség további képességek megtanulására az informális elemzéshez és gyorsabban kivitelezhető, mint a részletes elemzés. A megközelítés a következő hátrányokkal bír: a) formális megközelítés és alapos ellenőrző listák nélkül megnő a fontos részletek kihagyásának valószínűsége, b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes lehet, c) kevés megelőző gyakorlattal rendelkező személyek a kockázatelemzés során kevés segítséget tudnak nyújtani,
2004. 07. 19.
0.91 verzió
30
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosítékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették volna, hogy van-e egyáltalán valószínűsíthető fenyegetés, amely kihasználhatja ezeket a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra, e) a szubjektivitás megjelenésének lehetősége, különösen az interjú készítőjének előítéletei befolyásolhatják az eredményeket, f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végző személy elhagyja a szervezet. A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthető hatékonynak. Részletes kockázatelemzés A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes kockázatelemzés képezi. A részletes kockázatelemzés az értéket képező eszközök mélységben történő azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzéséhez majd a megfelelő biztosítékok kiválasztásához használjuk. Ezen megközelítés előnyei a következők: a) valószínűleg minden informatikai rendszer számára megfelelő biztosítékok kerülnek azonosításra, b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások kezelésében. Ezen megközelítés hátrányai a következők: a) jelentős időt és erőfeszítést, valamint szakértelmet igényel, b) fennáll a lehetősége annak, hogy a kritikus rendszerek biztonsági igényei túl későn kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességű és mennyiségű időt igénylő vizsgálata szükséges a teljes elemzéshez. Ezért nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rendszerre, ha ezt a megközelítést választjuk a következő lehetséges kivitelezési módok léteznek: a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket,
2004. 07. 19.
0.91 verzió
31
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) egy standard megközelítés alkalmazása a szervezetnek megfelelő különböző módokon kockázatmodellező technikák alkalmazása előnyös lehet sok szervezet számára. Kombinált megközelítés A negyedik lehetőség először magas szintű kockázatelemzést kell végezni minden informatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb informatikai rendszerre az alapszintű megközelítést kell alkalmazni. Ez a megközelítés az előzőek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azonosításához szükséges idő és erőforrások tekintetében, miközben biztosítja a magas kockázatnak kitett rendszerek megfelelő védelmét. E megközelítés további előnyei a következők: a) a kezdeti gyors és egyszerű megközelítés nagy valószínűséggel megkönnyíti a kockázatelemzési program elfogadását, b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról, azaz ez egy jó tervezési segítséget ad, c) a követő tevékenységek sokkal eredményesebbek lesznek. Az egyetlen lehetséges hátrány a következő: a) mivel a kezdeti kockázatelemzés magas szintű és esetleg kevésbé pontos néhány rendszer nem biztos, hogy a megfelelő szintű kockázatokkal lesz azonosítva. Ezek a rendszerek az alapszintű módszer szerint lesznek elemezve, bár a későbbiekben vissza lehet térni és újra elemezni, hogy az alapszintű megközelítésnél több is szükséges-e. A magas szintű kockázatelemzési megközelítés egyesítve az alapszintű megközelítéssel és ahol az alkalmazható, a részletes kockázatelemzéssel a szervezetek többsége számára a leghatékonyabb előremutató megoldást jelenti.
2004. 07. 19.
0.91 verzió
32
Az informatikai biztonság irányításának követelményrendszere (tervezet)
2.3. Kockázatkezelés Azoknak a biztonsági kockázatoknak az elfogadható/méltányos költségen történő azonosítása/meghatározása, ellenőrzése/kézbentartása, minimalizálása vagy megszüntetése, amelyek hatással lehetnek információrendszerekre. Védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a maradványkockázat elviselhető szintűre változnak.
2004. 07. 19.
0.91 verzió
33
Az informatikai biztonság irányításának követelményrendszere (tervezet)
3. BIZTONSÁGPOLITIKA 3.1. Az informatikai biztonság dokumentumai Az informatikai biztonságpolitika célja a vezetés elkötelezettségének bemutatása az informatikai biztonság irányítására és támogatására. A vezetőség egyértelműen tűzze ki biztonságpolitikájának irányvonalát, egyértelműen mutassa be, hogy támogatja az informatikai biztonság céljait és elveit, elkötelezett az informatikai biztonság mellett.
3.1.1. Az informatikai biztonságpolitika A biztonsági célú tevékenységekhez szükséges megfelelő mértékű támogatás biztosítása érdekében az informatikai biztonságpolitikát a felső vezetésnek kell kiadmányozni (jóváhagyni), és a szükséges mértékben közzétenni. Az informatikai biztonságpolitikát úgy kell kialakítani és gondozni, hogy az a szervezet egyéb céljaival, továbbá működési, biztonsági és informatikai politikájával, valamint a biztonsági szabályozásokkal összhangban legyen. Az informatikai biztonságpolitikát jelentősen befolyásolja az, hogy a szervezet miként alapozza működését az általa használt informatikára. Minél fontosabb az informatika és minél inkább támaszkodunk rá, annál magasabb szintű biztonságra van szükség ahhoz, hogy garantáljuk a szervezet céljainak elérését. A szervezeti szintű informatikai biztonságpolitika kialakításakor figyelembe kell venni a környezeti, szervezeti és kulturális jellemzőket, mivel ezek befolyásolhatják a biztonság megközelítését. Az informatikai biztonságpolitikában meghatározott, biztonsághoz kapcsolódó tevékenységek a következőkre alapozhatók: szervezeti célok és stratégia, korábbi kockázatfelmérések és vezetői ellenőrzések, valamint olyan kísérő tevékenységek eredményei, mint az alkalmazott biztosítékok biztonsági megfelelőségének ellenőrzése, az informatikai biztonsággal kapcsolatos napi gyakorlat folyamatos ellenőrzése és felülvizsgálata, továbbá a biztonsági eseményekről szóló jelentések. Bármilyen komoly fenyegetés vagy gyenge pont derül ki eközben, azt figyelembe kell venni az informatikai biztonságpolitikában. A részletezett tevékenységeket a szervezet informatikai biztonsági szabályzatában, a különféle informatikai
2004. 07. 19.
0.91 verzió
34
Az informatikai biztonság irányításának követelményrendszere (tervezet) rendszerszintű biztonsági politikákban, biztonsági szabályzatokban, vagy más kiegészítő-támogató dokumentumokban (például üzemeltetés biztonsági leírás) írjuk le. Az informatikai biztonságpolitika kialakításakor a következő területek részvételére van szükség: a) felső vezetés, b) biztonság, c) informatika (informatikusok és felhasználók), d) belső ellenőrzés, e) pénzügy, f) épület- és egyéb infrastruktúrák üzemeltetői, g) humán erőforrás menedzsment. A biztonsági célok szabják meg az informatikai biztonságpolitika kívánt részletezettségi szintjét. Legalább a következő iránymutatásokat foglalja magában: a) az informatikai biztonságpolitika kiterjedését és célját, b) az informatikai biztonság meghatározását, általános célkitűzéseit és tárgykörét, valamint a biztonság fontosságát, c) a vezetőség szándéknyilatkozatát, hogy támogatja az informatikai biztonság céljait és elveit, d) a kapcsolódó jogszabályok, szabványok és ajánlások (követelmények) meghatározását, e) a jogi és egyéb szabályozásokból eredő kötelezettségeket, f) az informatikai biztonság szervezési elveit, ide értve a szervezeti struktúrát, a személyi felelősségeket és hatásköröket, g) a szervezet tulajdonában levő adatvagyon elemeinek érzékenységét, az ennek megfelelő védelmi szinteket, és a biztonsági osztályozási rendszert, továbbá – ha van ilyen – az osztályba sorolástól eltérő védelmi igényű adatkörök védelmére vonatkozó politikát, h) a kockázatok felmérésére és kezelésére vonatkozó elveket, i) a belső személyzettel és a külső partnerekkel kapcsolatos biztonságpolitikát, j) az informatikai biztonsági ellenőrzés rendszerét,
2004. 07. 19.
0.91 verzió
35
Az informatikai biztonság irányításának követelményrendszere (tervezet) k) az informatikai biztonsági feladatok megosztására vonatkozó elveket, l) a biztonságpolitika változásának ellenőrzési eljárását és felülvizsgálatának körülményeit. Az informatikai biztonságpolitikára alapozva egy kézikönyvet kell készíteni, mely hozzáférhető, érthető és kötelező az összes vezető és más munkavállaló számára. Ennek megismerését az aláírásukkal igazolják az érintettek, mellyel az aláíró elismeri a szervezeten belüli biztonságért való felelősségét. Ki kell fejleszteni és alkalmazni szükséges egy programot biztonságtudatosság fejlesztésére és az oktatásra e szempontok hatékony kommunikációjának érdekében.
3.1.2. Az informatikai biztonsági stratégia Az informatikai biztonságpolitika alapján el kell készíteni a szervezet informatikai biztonsági stratégiáját, amely a biztonsági és az informatikai stratégiák szerves részét képezi. A stratégiát alapul véve kell az éves szintű terveket elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeállításának kiindulási alapja.
3.1.3. Az Informatikai Biztonsági Szabályzat A szervezet Informatikai Biztonsági Szabályzatát a jogszabályokkal és a szervezet más szabályozóival összhangban kell elkészíteni. Az Informatikai Biztonsági Szabályzat a biztonsággal kapcsolatos alapvető dokumentum, amelynek legalább az alábbiakra kell kitérnie: a szervezet vezetésének egyértelmű nyilatkozata az informatikai biztonság szabályozott kialakítására, illetve fenntartására, a) az informatikai biztonság alapvető fogalmaira, b) az informatikai biztonsággal kapcsolatos feladat- és hatáskörökre, felelősségekre, c) a biztonsági események jelentésének rendjére, d) elvek, követelmények, kötelező eljárások, szabványok. Az egyes informatikai rendszerek esetében a szervezet Informatikai Biztonsági Szabályzata alapján az adott alkalmazási területen megvalósítandó, a fejlesztéssel és az üzemeltetéssel kapcsolatos tevékenységeket kell részleteiben szabályozni.
2004. 07. 19.
0.91 verzió
36
Az informatikai biztonság irányításának követelményrendszere (tervezet)
3.2. Felülvizsgálat és fejlesztés Minden dokumentumnak legyen egy felelőse, aki gondoskodik a rendszeres felülvizsgálatáról, karbantartásáról és szükséges fejlesztéséről Az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat a Biztonsági Vezető felelőssége. Az informatikai biztonságpolitika, az Informatikai Biztonsági Szabályzat és az egyéb dokumentumok (szabályozók) feleljenek meg a szervezet mindenkori helyzetének! A Biztonsági Vezető gondoskodjon arról, hogy rendszeresen, továbbá az eredeti kockázatfelmérés alapjaira ható minden olyan változásra (például jelentős vagy eddig ismeretlen biztonsági esemény, új veszélyhelyzetek, a szervezeti vagy műszaki infrastruktúra változásai) bekövetkezzék egy felülvizsgálat. Rendszeres és eseti felülvizsgálatokat kell tervezni a következőkre: a) az irányelvek biztonsági hatékonyságát, b) az ellenőrző és a biztonsági eszközök, eljárások költséghatékonyságát, c) a szervezeti vagy műszaki változások hatását.
2004. 07. 19.
0.91 verzió
37
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4. SZERVEZETI BIZTONSÁG 4.1. Az informatikai biztonság szervezeti struktúrája Az informatikai biztonság különböző szakterületeket fog át, a szervezet minden informatikai projektjét, rendszerét és felhasználóját érinti. A felelősségek megfelelő hozzárendelése és elválasztása biztosítja azt, hogy minden fontos feladat hatékonyan végrehajtható legyen. Az egyik követelmény, hogy a szervezeten belül a feladat-, felelősség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a szervezet céljainak hatékony elérését, a felesleges „keresztbeszervezések” csökkentését, és nem utolsó sorban a felelősségre vonhatóságot. A feladatokhoz és felelősségekhez mindig megfelelő hatáskört kell társítani. Ezeket az elveket az informatikai biztonság területén is érvényesíteni kell! Ez a cél elérhető különféle szervezeti felépítések mellett is, de a szervezet mérete és struktúrája alapján a következő szerepeket kell mindenkor lefedni: a) Informatikai Biztonsági Fórum, mely döntésképes a különböző szakterületeket átfogó kérdésekben, és jóváhagyja az informatikai biztonsággal kapcsolatos irányelveket és szabályozásokat; b) Biztonsági Vezető, aki a szervezet általános és teljes körű biztonságáért felelős, és közvetlenül a felső vezetésnek van alárendelve; c) Informatikai Biztonsági Vezető, aki a szervezetben előforduló minden informatikai biztonsághoz kapcsolódó kérdésért felelős, és a Biztonsági Vezető közvetlen alárendeltje. Mind az Informatikai Biztonsági Fórumnak, mind az Informatikai Biztonsági Vezetőnek egyértelmű feladatokkal kell rendelkeznie, és eléggé magasan kell elhelyezkednie a hierarchiában ahhoz, hogy biztosítsa az elkötelezettséget az informatikai biztonságpolitika mellett. A szervezetnek biztosítania kell a tiszta kommunikációs, felelősségi és meghatalmazási hátteret az Informatikai Biztonsági Vezető számára, a feladatokat pedig az Informatikai Biztonsági Fórumnak kell jóváhagynia. E feladatok lebonyolításába be lehet vonni külső tanácsadókat is. Ajánlatos szerződést kötni külső informatikai biztonsági szakértőkkel, hogy a környezeti változásokat nyomonkövessék, a jogszabályokat, szabványokat, és a módszereket 2004. 07. 19.
0.91 verzió
38
Az informatikai biztonság irányításának követelményrendszere (tervezet) figyelemmel kísérjék, továbbá biztonsági események esetére megfelelő külső kapcsolatrendszert képezzenek. Az informatikai biztonság multidiszciplináris megközelítését kell előnyben részesíteni. A következő ábra egy javasolt példát mutat be a Biztonsági Vezető, az Informatikai Biztonsági Vezető, az Informatikai Biztonsági Fórum valamint az egyéb szakterületek képviselőinek kapcsolatára. Ez utóbbiak további biztonsági funkciójúak is lehetnek, vagy a felhasználókat, illetve az informatikai személyzetet képviselik. Ezek a kapcsolatok részben a függőségi, részben a funkcionális elven irányíthatók. Az ábrán egy háromszintű informatikai biztonsági szervezetet mutatunk be. Ez bármely szervezet számára könnyen alkalmazható az igényeknek megfelelő módon hozzáadva vagy eltávolítva az egyes szinteket, összevonva funkciókat. A funkciók egyesítésekor ügyelni kell arra, hogy biztosítsuk a megfelelő ellenőrzés és egyensúly fenntartását annak elkerülésére, hogy az ellenőrzés vagy befolyásolás lehetősége nélkül túl nagy hatalom összpontosuljon egy személy kezében. A következő átfedések lehetnek: a) kis szervezeteknél, vagy ahol a biztonság különösen kiemelt, az első számú vezető betöltheti a Biztonsági Vezető funkcióját, b) kis- és közepes szervezetek kijelölhetnek egyetlen Biztonsági Vezetőt, akinek a felelőssége lefedi az összes biztonsági funkciót, c) a titokvédelmi felelős funkcióját elláthatja Biztonsági Vezető vagy az Informatikai Biztonsági Vezető, d) ha a szervezetnél a személyes adatok kezelése kapcsán jogszabály előírja az adatvédelmi felelős kinevezését, ezt a funkciót a Biztonsági Vezető, az Informatikai Biztonsági Vezető, vagy a titokvédelmi felelős is betöltheti. Ezeknél az átfedéseknél sokkal fontosabb, hogy az összeférhetetlen funkciókat elválaszszuk. Különösen összeférhetetlen a Biztonsági Vezető, az Informatikai Biztonsági Vezető, a titokvédelmi felelős vagy az adatvédelmi felelős funkciója az informatika alkalmazásáért, az informatikai rendszerért felelős vezető funkciójával, vagy az informatika alkalmazásáért, az informatikai rendszerért felelős vezetővel függőségi viszonyban lévő bármely funkcióval.
2004. 07. 19.
0.91 verzió
39
Az informatikai biztonság irányításának követelményrendszere (tervezet) Szervezeti vezetés
Informatikai vezető testület
A szervezet biztonsági vezetője
A szervezet informatikai biztonsági vezetője Informatikai biztonsági fórum
Szervezeti informatikai biztonságpolitika és irányelvek
Szervezeti szint Az informatikai terület képviselői
Szakterület informatikai biztonsági vezetője
A felhasználók képviselői
Szakterületi szint*
Szakterületi Informatikai biztonságpolitikák és irányelvek*
Rendszer vagy projekt szintű informatikai biztonsági vezető
Rendszer vagy projekt szint
Rendszer vagy projekt biztonságpolitikák és irányelvek
Szervezeti függőség szerepkörök *
2004. 07. 19.
csak ha a szakterület jelentős méretű
0.91 verzió
40
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az informatikai rendszert kezelő, fejlesztő, üzemeltető szerepeket a felhasználói funkcióktól a szervezeten belül el kell határolni. A Biztonsági Vezetőnek, a szervezet informatikai vezetőjének, valamint az alkalmazói szakterületek vezetőinek egymással egyeztetve ki kell jelölniük a fontosabb projektek és alkalmazások vezetőit és rendszergazdáit, feladataikat és felelősségüket meghatározni. A fejlesztői környezetet el kell választani az alkalmazói környezettől, szét kell választani a fejlesztői, üzemeltetői és alkalmazói hozzáférési jogosultságokat.
4.1.1. Informatikai Biztonsági Fórum Az informatikai biztonság olyan felelősség, amelyen a vezetés valamennyi tagja osztozik. Ezért ajánlatos létrehozni azt a vezetői fórumot, amely szavatolja, hogy a biztonsági kezdeményezéseket a vezetés jól érzékelhető támogatása kíséri. (Ez a fórum lehet valamely meglévő vezetői testület része is.) Ez a fórum kellő elkötelezettséggel és a szükséges erőforrások rendelkezésre bocsátásával támogassa az informatikai biztonságot. Ennek a testületnek olyan embereket kell magába foglalnia, akiknek megvan a követelmények azonosításához, politikák kialakításához, biztonsági programok írásba foglalásához, a munka értékeléséhez és az Informatikai Biztonsági Vezető irányításához szükséges képessége. A hatékony működéshez szükséges, hogy a fórumnak legyenek olyan tagjai is, akik komolyabb háttérrel rendelkeznek a biztonság és az informatikai rendszerek műszaki területén, de olyan tagjai is, akik az informatikai rendszerek, mint szolgáltatások nyújtásában, valamint felhasználásában vesznek részt. Mindezen területek tudására és tapasztalatára szükség van. Az Informatikai Biztonsági Fórum hatáskörébe tartozik: a) javaslattétel az informatikai vezető testület számára a stratégiai tervezéshez, b) az informatikai biztonsági irányelvek és feladatok vizsgálata és jóváhagyása, a megvalósításhoz szükséges humán és anyagi erőforrások biztosítása, c) az információs erőforrások súlyos veszélyhelyzeteknek való kitettségében bekövetkező jelentős változások nyomon követése, d) az informatikai biztonsági események nyomon követése, e) az informatikai biztonság fokozását szolgáló jelentős kezdeményezések jóváhagyása, f) az Informatikai Biztonsági Vezető személyének kijelölése, feladat- és hatáskörének meghatározása.
2004. 07. 19.
0.91 verzió
41
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.1.2. Az informatikai biztonsági feladatok megosztása Tisztán és pontosan, azaz egyértelműen kell meghatározni a szervezet értékei védelmének és a biztonsági folyamatok felelőseit. Az informatikai biztonságpolitika általános, az Informatikai Biztonsági Szabályzat (lásd a 3. fejezetet) részletes iránymutatással szolgáljon az egész szervezetben a biztonsági feladatokra, felelősségekre és hatáskörökre. Az Informatikai Biztonsági Vezető felelőssége az informatikai biztonság megtervezése és fenntartása, de emellett az erőforrások megszerzése és a védelmi intézkedések megvalósítása gyakran más vezetőkre hárul. Pontosan meg kell meghatározni minden olyan területet, amelyért az egyes vezetők felelnek, és különösen a következőket ajánlatos megtenni: a) pontosan kell azonosítani, és egyértelműen meghatározni minden egyes önálló rendszerhez hozzárendelt eszközt és folyamatot, b) az egyes eszközökért és az egyes folyamatokért felelős vezető személyében ajánlatos megegyezni, s a vonatkozó felelősséget ajánlatos írásban foglalni (dokumentálni), c) tisztán és pontosan kell meghatározni a hatásköröket (jogosultsági szinteket), és ezt írásba kell foglalni (dokumentálni).
4.1.2.1. Biztonsági Vezető Gondoskodik az informatikai biztonságra vonatkozó jogszabályok, illetve az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat végrehajtásáról, e körben szabályozási koncepciókat, szabályzat tervezeteket készít, a szakterületek megkeresésére vagy saját hatáskörben szakmai állásfoglalást ad ki. Az informatikai biztonság szempontjából véleményezi a szervezet szabályzatait és szerződéseit. Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján javaslatokat készít az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályozások kibocsátását.
2004. 07. 19.
0.91 verzió
42
Az informatikai biztonság irányításának követelményrendszere (tervezet) Gondoskodik az informatikai biztonságra vonatkozó rendelkezések betartásának rendszeres (legalább évente egyszeri) ellenőrzéséről, a lefolytatott ellenőrzések, vizsgálatok eredményéről tájékoztatja a szervezet vezetését. Irányítja és ellenőrzi az Informatikai Biztonsági Vezető munkáját.
4.1.2.2. Informatikai Biztonsági Vezető Általános feladata a szervezet (szakterület, projekt, rendszer) által üzemeltetetett, illetve a szervezet (szakterület, projekt, rendszer) adatait feldolgozó informatikai és távközlési rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. Feladatai: a) Felméri és elemzi a szervezet (szakterület, projekt, rendszer) működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat, meghatározza a kockázatkezelés módszerét. b) Kidolgozza, és döntésre előterjeszti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat, utasításokat, terveket és irányelveket. c) Részt vesz: 1) a rendkívüli események kezelésére szolgáló tervek elkészítésében, azok naprakészen tartásában; 2) a fizikai biztonsági feltételek kialakításában, követelményeinek meghatározásában; 3) az informatikai biztonság szempontjából fontosnak minősített munkakörök betöltési szabályainak, feltételeinek meghatározásában; 4) a biztonsági követelmények és az előírások betartásának ellenőrzésében. d) Szakmai szempontból közvetlenül irányítja a szervezet (szakterület, projekt, rendszer) informatikai biztonsági tevékenységét. e) Szakmai szempontból irányítja az informatikai biztonságra vonatkozó oktatást. f) Szakmai szempontból egyezteti és jóváhagyja a szakterületi (a projekt- és rendszerszintű) Informatikai Biztonsági Szabályzatokat.
2004. 07. 19.
0.91 verzió
43
Az informatikai biztonság irányításának követelményrendszere (tervezet) g) Elemzéseket végez, szükség esetén javaslatokat tesz a szükséges informatikai biztonsági intézkedésekre, valamint a biztonságos működéssel összefüggő szabályok megváltoztatására. h) Ellenőrzi az informatikai biztonsági előírások végrehajtását. i) Ellátja az informatikai biztonsággal összefüggő vállalkozók szakmai irányítását, ellenőrzi tevékenységüket. j) Ellátja a szakterületi (projekt, rendszer) Informatikai Biztonsági Vezetők szakmai irányítását. Külön felhatalmazás nélkül jogosult: a) Az ellenőrzési, vizsgálati tevékenysége során, a szervezet (szakterület, projekt, rendszer) tulajdonában, használatában vagy a területén lévő, illetve a szervezetre (szakterületre, projektre, rendszerre) vonatkozó bármilyen (a Titokvédelmi törvény hatálya alá nem tartozó) iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre. b) A szervezet (szakterület, projekt, rendszer) tulajdonában lévő, vagy általa bérelt épületben és azon belül minden – a szervezet (szakterület, projekt, rendszer) tulajdonában, kezelésében vagy használatában lévő – helyiségben a berendezések, különösen az informatikai és távközlési eszközök vizsgálatára. Az informatikai biztonsági feladatok folyamatos végrehajtásának megkönnyítése érdekében, a szervezet (szakterület) vezetője nevezzen ki, vagy bízzon meg Informatikai Biztonsági Vezetőt (megbízottat, felelőst) minden informatikai rendszerhez és projekthez (rendszerszintű fejlesztésekhez). Feladatai a működési területén: a) A biztonsági eszközök állapotának figyelemmel kísérése azok teljes életciklusában, javaslattétel azok cseréjére, bővítésére. b) Részvétel az üzletmenet-folytonossági terv (katasztrófa-elhárítási terv) összeállításában. c) A rendszerek biztonsági hiányosságainak, az informatikai biztonsággal összefüggő számítástechnikai, informatikai problémák jelentése a munkahely vezetőjének és az Informatikai Biztonsági Vezetőnek.
2004. 07. 19.
0.91 verzió
44
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.1.3. Az adatfeldolgozás engedélyezési eljárásai a) Az adatfeldolgozás csak akkor engedélyezhető, ha az – legalább – az adatkörök biztonsági osztályba sorolásának megfelelő adatfeldolgozó eszközökön történik. b) Az új adatfeldolgozási eszközökre és lehetőségekre vonatkozó engedélyezési eljárásban a következőket kell figyelembe venni: 1) az informatikai vezető új adatfeldolgozó eszközökre és eljárásokra vonatkozó jóváhagyását csak abban az esetben adhatja meg, ha azok megfelelnek a biztonsági követelményeknek, 2) ellenőrzéssel kell meggyőződni a hardver, szoftver eszközök és más rendszerösszetevők kompatibilitásáról, 3) a minősített, vagy magas kockázatot jelentő adatokat feldolgozó rendszer használata a Biztonsági Vezető engedélyéhez kötött, 4) a minősített, vagy magas kockázatot jelentő adatokat feldolgozó rendszerek használatát a rendszer felelős vezetőjének a Biztonsági Vezetővel egyeztetve szabályoznia kell, 5) az adatfeldolgozás megkezdését megelőzően annak minden felhasználónak meg kell ismernie a rendszer alkalmazásához kapcsolódó biztonsági szabályokat, és megértésüket aláírásával igazolni.
4.1.4. Informatikai biztonsági tanácsadás A legtöbb szervezetnek szüksége van informatikai biztonsági tanácsadó javaslataira. Ideális esetben házon belül is van tapasztalt informatikai biztonsági szakember. Sok szervezet azonban nem tud informatikai biztonsági szakértőt alkalmazni, de sokszor szükség van arra is, hogy a saját ismereteiken, tapasztalataikon túli szakterületekre alkalmas külső tanácsadókat elérhessenek. Ezekben az esetben ki kell választani egy olyan személyt, aki összehangolja a házon belüli ismereteket, tapasztalatokat a szakértő(k) tevékenységével, és segítséget nyújt az informatikai biztonsági döntésekhez. A szervezet informatikai biztonságának hatékonyságát az határozza meg, hogy milyen a minősége az informatikai biztonsági szakértők tevékenységének és javaslatainak. A nagyobb hatékonyság elérése érdekében a szakértők (képviselői) lehetőséget kell, hogy kapjanak a szervezet egészére kiterjedően a vezetéshez való közvetlen kapcsolatra.
2004. 07. 19.
0.91 verzió
45
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az informatikai biztonsági szakértőket (tanácsadókat) a lehető legkorábbi lépcsőben ajánlatos megkeresni és meghallgatni a biztonsági esemény vagy a biztonság megsértése (feltételezett) bekövetkezésekor, hogy szakértői iránymutatást, vagy a vizsgálathoz erőforrást szolgáltasson.
4.1.5. Együttműködés külső szervezetekkel A hatóságokkal, szabályozó testületekkel, informatikai szolgáltatókkal, távközlőhálózatüzemeltetőkkel megfelelő kapcsolatot kell tartani azért, hogy a szükséges feladatokat hatékonyan lehessen elvégezni, és a biztonsági események esetére tanácsot lehessen kapni. Hasonlóképpen szükséges lehet a belépés a különböző szakmai, informatikai és biztonsági munkacsoportokba és fórumokba. Az együttműködés során korlátozni kell a biztonsággal kapcsolatos információk kicserélését, megelőzendő, hogy a szervezet bizalmas információi illetéktelen kezekbe kerülhessenek.
4.1.6. Az informatikai biztonság független felülvizsgálata Az informatikai biztonságpolitika (lásd a 3.1.1. szakaszt) megvalósulását ajánlatos időközönként független módon is felülvizsgálni annak érdekében, hogy megismerjük, hogy a szervezet gyakorlata hogyan képzi le az informatikai biztonságpolitikát, illetve annak hatékonyságát. Az informatikai biztonság megvalósulását független szakértőnek kell értékelnie. Ez lehet a Biztonsági Vezetőtől és az Informatikai Vezetőtől független belső ellenőrzés, vagy egy ilyen vizsgálatokra szakosodott független külső szervezet. Az informatikai biztonságpolitikában, informatikai biztonsági stratégiában, valamint az Informatikai Biztonsági Szabályzatban rögzítettek megvalósulását az Informatikai Biztonsági Vezető ellenőrzi. Ez az általános ellenőrzési jogkör nem mentesíti a szakterületek (projektek vagy rendszerek) vezetőit az alól, hogy az informatikai biztonság megvalósulását a beosztottaik munkavégzésének folyamatos vizsgálata során ellenőrizzék.
2004. 07. 19.
0.91 verzió
46
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.2. Előírások a külső személyek által történő hozzáférésekkel kapcsolatban A szervezet informatikai eszközeit csak a szervezet feladatából eredő indokolt esetben, és ellenőrizhető módon szabad külső személyek számára hozzáférhetővé tenni. A külső személlyel kötött szerződésben az alkalmazott védelmi intézkedésekben előre meg kell egyezni, és a védelmi intézkedéseket meg kell határozni. A külső személynek adott hozzáférés további résztvevőket is magában foglalhat, ezért a szerződésnek az ilyen hozzáférésekre ki kell térnie, tartalmaznia kell a hozzájárulást más résztvevőkre, továbbá meghatározni a számukra engedélyezett hozzáférés feltételeit. A szervezet külső személyek számára is hozzáférhető informatikai rendszerei és eszközei biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenőrizni kell. Az ellenőrzésért a szervezet részéről felelősként, kapcsolattartóként meghatározott szervezeti egység vezetője – amennyiben a szerződésben nem került feltüntetésre, úgy – a szerződést kötő szervezet vezetője, illetve az általa kijelölt személy a felelős. A biztonsági kockázatokat és az ellenőrzés, valamint a felügyelet követelményeit fel kell mérni. A felmérésért a szerződést – szakterületi oldalról – előkészítő személy a felelős. A külső személlyel megkötött szerződésben egyértelműen meg kell határozni az előzőekhez kapcsolódó elvárásokat, és az ezzel kapcsolatos adminisztrációs kötelezettségeket. Külső személyek hozzáférésénél további résztvevők közreműködésére is szükség lehet. A hozzáféréséről rendelkező szerződésekben rendelkezni kell arról, hogy más, arra jogosult közreműködők is hozzáférhetnek a különböző eszközökhöz, és rögzíteni kell a hozzáférés feltételeit. Különös figyelmet kell fordítani az informatikai és távközlési fejlesztésben, karbantartásban, a biztonsági feladatok ellátásában közreműködőkre; illetve az egyedi jelleggel hozzáférést igénylőkre (tanulók, konzultánsok, stb.), valamint a takarító, karbantartó személyzetre. A fenti szabályok betartása az ilyen szerződések létrejöttének, valamint az adatfeldolgozás vállalkozásba adásának elengedhetetlen feltétele!
2004. 07. 19.
0.91 verzió
47
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.2.1. A külső személyek által történő hozzáférések kockázatai 4.2.1.1. A hozzáférések típusai A külső személyek általi hozzáférések különleges jelentőséggel bírnak. A következő hozzáférési típusokat kell elkülöníteni: a) fizikai hozzáférések (például irodákhoz, számítógép-termekhez, irattároló szekrényekhez, stb.), b) logikai hozzáférések (például adatbázisok, informatikai rendszerek, stb.).
4.2.1.2. A hozzáférések engedélyezési feltételei a) A szervezet azon külső személyeknek, akik számára szolgáltatásokat nyújtanak, tevékenységük végzéséhez meghatározott és engedélyezett fizikai és/vagy logikai hozzáféréseket biztosít: 1) hardver- és szoftvertámogató személyzet, akiknek rendszerszintű vagy alacsony szintű működési felhasználással kell rendelkezniük, 2) kereskedelmi partnerek vagy közös vállalkozások, akik az információcserében részt vesznek, informatikai rendszerekhez vagy adatbázis részekhez hozzáférhetnek. b) Ahol az üzleti érdek megkívánja a külső személyekkel való kapcsolattartást, a munka megkezdése előtt egyértelműen meg kell határozni a munkavégzés célját, helyét, idejét, módját, fel kell mérni az alkalmazás kockázatait, a szükséges hozzáférések típusait, a veszélyeztetett adatok, információk értékét, a külső személy által használt ellenőrzéseket. Követelmény az azonosítás különleges figyelemmel kísért ellenőrzése is. c) Amennyiben külső személyeknek hozzáférési lehetőséget kell biztosítani, azt csak és kizárólag engedélyeztetési eljárás után lehet megtenni. A hozzáférési engedélyt minden esetben csak az adott szervezeti egység vezetője kérheti. Az Informatikai Biztonsági Vezető elsősorban a titokvédelmi előírások figyelembevételével dönt az engedély megadásáról, a kiadott engedély másolatát átadja a kérelmezőnek és az informatikai vezetőnek. A hozzáférést mindaddig ki kell zárni, amíg a szükséges ellenőrzést nem foganatosították, és a szerződésben nem határozták meg a hozzáférés feltételeit. A szerződés elválaszthatatlan részét kell, hogy képezze a titoktartási nyilatkozat.
2004. 07. 19.
0.91 verzió
48
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) A lejárat időpontjának minden esetben szerepelni kell a hozzáférési engedélyben. e) A külső partnerek hordozható számítógépein tárolt – a munkavégzés során megszerzett és a szervezettel kapcsolatos – adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amelyet a felelősnek kötelessége ellenőrizni.
4.2.1.3. Helyszíni tevékenységet végző külső személyek Szerződéses vagy egyéb jogviszony alapján helyszíni tevékenységet végző külső személyek biztonsági kockázatot jelentenek. A helyszínre települt külső személyekre példa lehet: a) a hardvert és szoftvert karbantartó és támogató személyzet, b) a takarító, karbantartó, ellátó személyzet és biztonsági őrség, valamint hasonló szolgáltatások, c) tanulók foglalkoztatása és más, eseti, alkalmi munkatársak, konzultánsok. A biztonsági kockázatok csökkentése érdekében: a) A külső személlyel kötött szerződésekben ki kell kötni a szervezet ellenőrzési jogosultságát. b) Az Informatikai Biztonsági Szabályzat egyértelműen határozza meg a külső személyek hozzáférési lehetőségeit. c) Az informatikai rendszerekhez, az abban kezelt adatokhoz külső személyek hozzáférését mindaddig ki kell zárni, amíg a megfelelő (és szerződésben is rögzített) ellenőrzést nem foganatosították. d) A külső személyek helyszíni tevékenységének informatikai biztonsági ellenőrzése során a munkahelyi vezetőnek együtt kell működnie (ld. 2.1.4). e) Még a munka megkezdése előtt kötelező megvizsgálni a külső személyek várható helyszíni tevékenységét. f) Meg kell határozni az együttműködés jogszabályi feltételeit, valamint a megállapodás benem-tartásának következményeit.
2004. 07. 19.
0.91 verzió
49
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.2.2. Informatikai biztonsági követelmények a harmadik személlyel kötött szerződésekben Harmadik (külső) személyeknek a szervezet informatikai rendszereihez való hozzáférése kizárólag olyan írásbeli szerződésen alapulhat, melynek az összes – biztonsággal kapcsolatos – előírása igazodik a szervezet biztonsági előírásaihoz és elfogadott szabványaihoz. Harmadik személyek számára – a velük kötött szerződésben részletezettek szerint – az adathozzáférés, elektronikus-, papíralapú-, mágneses-, vagy bármely más típusú adathordozón történő átadás-átvétel csak az adat minősítéséhez, biztonsági osztályba sorolásához és kezeléséhez rendelt engedélyezési eljáráshoz kötött szabályozott és dokumentált formában történhet, az adott szerződés elválaszthatatlan mellékletét képező adatvédelmi és titoktartási nyilatkozatok tartalmának megfelelően. Az átadás-átvétele csak az ügyvitelre, az adat- és titokvédelemre vonatkozó szabályokban meghatározott előírások szerint történhet. A kötelező eseti és rendszeres adatszolgáltatások, továbbá bíróságok, vagy más hatóságok hatósági eljárásai során, illetve a hivatalból eljáró ügyvéd, közjegyző eljárása esetén a szerződéstől és a titokvédelmi nyilatkozattól el kell tekinteni, de az adatátadás jogszerűségét vizsgálni kell, az átadás tényét pedig dokumentálni. Ezekről minden esetben értesíteni kell az Informatikai Biztonsági Vezetőt. A szerződésben a szervezeteknek gondoskodni kell a beszállítói kárfelelősségről.
2004. 07. 19.
0.91 verzió
50
Az informatikai biztonság irányításának követelményrendszere (tervezet)
4.3. Vállalkozásba adás Az informatikai biztonságot akkor is fent kell tartani, ha a szervezet az információfeldolgozást más szervezettől szolgáltatásként veszi igénybe. Vállalkozásba adás esetén az érintett informatikai rendszereket, hálózatokat, környezeteket, az azokat érintő kockázatokat, valamint az alkalmazott biztonsági eszközöket és eljárásokat, felelősségeket a két fél között létrejött szerződésben rögzíteni kell.
4.3.1. Előírások a vállalkozásba adási szerződésekben A vállalkozásba adás minden esetben csak írásbeli szerződéssel lehetséges, amelyben az informatikai biztonságpolitikát figyelembe kell venni (érvényesíteni kell). A szerződésben a 4.2.2. pontban meghatározottakon túl ki kell térni arra, hogy: a) a részt vevő felek tudatában vannak az informatikai biztonsággal kapcsolatos felelősségükkel, b) hogyan fogják a jogi előírásokat kielégíteni, például a személyes adatok védelme, c) hogyan lesz fenntartva és vizsgálva az adatok bizalmassága és sértetlensége, d) milyen fizikai és logikai védelmi intézkedéseket fognak alkalmazni arra, hogy megfelelően szabályozzák a jogosult felhasználóknak a hozzáférését a szervezet érzékeny üzleti információihoz (adataihoz), e) hogyan lesz fenntartva a szolgáltatások rendelkezésre állása rendkívüli helyzetekben (például természeti csapások) esetében, f) milyen fizikai védelmet biztosítanak a vállalkozásba adásban érintett berendezések esetében, g) ki, mikor, milyen feltételek mellett végez, illetve kell, hogy végezzen biztonsági vizsgálatot, ellenőrzést. A vállalkozásba adása esetén legalább a következő védelmi intézkedéseket kell előírni: a) Amennyiben a vállalkozó a saját telephelyén végzi az informatikai fejlesztési tevékenységet, a szervezet részéről csak rejtjelezve továbbíthatók a fejlesztés tárgyát képező programok és adatok a fejlesztő számára. Az éles üzemű rendszerekhez a vállalkozó nem férhet hozzá.
2004. 07. 19.
0.91 verzió
51
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) Programokat, adatokat a felhasználás céljának, időbeli és egyéb korlátainak megjelölésével, a felelősöknek mindkét részről történő kijelölésével, a személyi és fizikai biztonsági követelmények egyértelmű írásban történő megjelölésével, kizárólag átadás-átvételi jegyzőkönyv alapján szabad átadni. A jegyzőkönyvnek tartalmazni kell: 1) programátadás esetén: − program megnevezése, készítője, − funkciója, − könyvtárstruktúrája, − fájlok, − verzió információ. 2) fájlátadás esetén: − teljes fájlnév (név, kiterjesztés), − méret, − módosítás dátuma, − típusa. 3) adatátadás esetén: − ha az adat nem tartozik a fájl fogalmába, akkor a papíralapú iratkezelésre vonatkozó szabályok az iránymutatók. c) Az a) pont szerinti anyagokat tartalmazó adathordozókat a következő lényeges szabályok szerint kell kezelni: 1) az adathordozók azonosíthatók, ellenőrizhetők legyenek, a minősítési és az azonosítási jeleket vagy jelöléseket olvashatóan, letörölhetetlenül, eltávolíthatatlanul kell feltüntetni, 2) a harmadik személy az 1) bekezdésben felsorolt minősítésekkel, jelölésekkel kapcsolatos kezelési szabályokat a teljes munkafolyamat során köteles betartani, ellenkező esetben a teljesítése nem fogadható el. Az adathordozók csak biztonsági (például vírus) ellenőrzések elvégzése után vehetők használatba a szervezet rendszerein.
2004. 07. 19.
0.91 verzió
52
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) Külső fejlesztő részére tesztelésre éles üzemi adatok csak kivételesen, indokolt esetben és az Informatikai Biztonsági Vezető előzetes engedélyével adhatók át, éles üzemi tesztek viszont csak a szervezet saját fejlesztő rendszerein végezhetők. Tesztrendszerben csak az eredeti adatra vissza nem következtethető adat lehet. e) Ezen szabályok betartásának, a szabályok szerinti tevékenység dokumentálásának ellenőrzésére a szervezet részéről felelősként, kapcsolattartóként meghatározott szervezeti egysége és az Informatikai biztonsági szervezeti egység kijelölt munkatársai jogosultak, illetve kötelezettek. f) Amennyiben a vállalkozásba vevő a saját telephelyén működő fejlesztő rendszeren dolgozik, akkor a következő főbb biztonsági szabályok az irányadók: 1) a tevékenységet a fogadó szervezet folyamatosan felügyelje, dokumentálja és ellenőrizze az Informatikai Biztonsági Szabályzat betartását, 2) belépési és hozzáférési jogosultságot az általános jogosultsági szinten túlmenően csak külön engedély alapján, a tevékenysége elvégzéséhez szükséges időre kapjon, 3) távoli hozzáférésekkel történő fejlesztés csak indokolt esetben folyhat (például amikor az előző pontokban meghatározott fejlesztési mód alapos indok miatt nem valósítható meg), 4) távoli hozzáféréssel történő fejlesztés, az érintett szakmai vezető kezdeményezésére, az Informatikai és a Biztonsági Vezető előzetes írásbeli engedélyével történhet. Az erre irányuló javaslatot a fejlesztő és megrendelője köteles megindokolni, 5) fejlesztési céllal távoli hozzáférés csak az engedélyben definiált végpontról, és csak a szervezet ellenőrzése alatt álló védelmi rendszerrel megtámogatva történhet.
2004. 07. 19.
0.91 verzió
53
Az informatikai biztonság irányításának követelményrendszere (tervezet)
5. AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENŐRZÉSE
A szervezet biztonságának kialakítása során az egyik legfontosabb alapadatbázis a szervezet vagyonleltára, amely informatikai biztonsági szempontból a következőket tartalmazza: Információ-vagyon: az adatok, adatbázisok, szoftver-kezelési kézikönyvek, oktatási, üzemviteli, üzemeltetési, biztonsági segédletek és nyilvántartások. Szoftver-vagyon: rendszerszoftverek, alkalmazói szoftverek, fejlesztő-eszközök és szolgáltatások. Fizikai-vagyon: hardver (számítógépek, perifériák, mobil számítástechnikai eszközök), kommunikációs eszközök (telefonok, faxok, modemek, hálózati csatoló eszközök, telefonalközpontok), adathordozók és egyéb műszaki berendezések (szünetmentes tápegység, légkondicionáló berendezés, villámhárító, stb.).
5.1. Számadási kötelezettségek az eszközökkel kapcsolatban A szervezet vagyontárgyait leltárba kell venni, annak megjelölésével, hogy hol találhatóak, kinek a felelősségi körébe tartoznak, és osztályozni kell azokat a biztonsági célkitűzések (bizalmasság, sértetlenség és rendelkezésre állás) fenntartásában játszott szerepüknek megfelelően. Valamennyinek legyen megnevezett felelőse, és az alkalmazott védelmi intézkedések karbantartásának felelőssége is legyen kiosztva. A védelmi intézkedések megvalósításának felelősségét át lehet ruházni, de a felelősségrevonhatóság akkor is a megnevezett felelősnél maradjon. a) Meg kell határozni a leltárilag nyilvántartott eszközök felelősét. b) Megfelelő személyekhez – leltárfelelősök – kell rendelni a szükséges ellenőrző eszközök fenntartásának feladatát és felelősségét. A leltárfelelősöket a szakterületek (szervezeti egységek) vezetői nevezik ki. c) A szervezeti egységeknél kijelölt leltárfelelősök munkaköri leírásában rögzíteni kell a 2004. 07. 19.
0.91 verzió
54
Az informatikai biztonság irányításának követelményrendszere (tervezet) készletleltárral kapcsolatos tevékenységüket, illetve a felelősségüket. d) A munkavállaló munkába lépésekor átadás-átvételi jegyzőkönyvet kell készíteni a részére átadásra kerülő munkaeszközökről, és aláírásával elfogadottá kell tenni az eszközökre vonatkozó számadási kötelezettségét, valamint ennek megsértésekor a felelősségrevonás módját, mértékét. e) Számadási kötelezettségek ellenőrzését a Leltározási és Értékelési Szabályzat előírásai alapján kell végrehajtani. f) Ellenőrzést kell tartani: 1) munkaviszony megszűntekor – a munkavállaló által leadott eszközöket össze kell vetni az átadás-átvételi jegyzőkönyvvel, megfelelés esetén – igazolást kell kiadni a számadási kötelezettségek teljesítéséről, eltérés esetén jegyzőkönyvet kell felvenni, valamint haladéktalanul értesíteni kell a munkavállaló munkáltatói jogkört gyakorló vezetőjét a felelősségre vonási eljárás megindítása érdekében, 2) más szervezeti egységbe, más munkavégzési helyiségbe való átlépéskor – az előző pontban részletezettek megtartásával, 3) okafogyottá válik az eszköz(ök) használata – leadás esetén is ellenőrizni kell az átadás-átvételi jegyzőkönyvvel való egyezést, 4) vezetői elrendelésre (cél- vagy átfogó leltár).
5.1.1. Készlet leltár A szervezetnek szüksége van arra, hogy képes legyen azonosítani vagyonát, és megállapítani a vagyontárgyai értékét és fontosságát. Erre az információra alapozva a szervezet a vagyon értékével és jelentőségével arányosan tudja megállapítani a védelmi szinteket. A kockázatkezelésnek fontos része a vagyonleltár. Leltárt kell felállítani és karbantartani minden olyan jelentős vagyontárgyról, amely valamelyik informatikai rendszerrel kapcsolatos. Egyértelműen azonosítani kell valamennyi vagyontárgyat, megállapítani, és írásba foglalni annak felelősét és biztonsági osztályát is (lásd az 5.2. szakaszt), valamint pillanatnyi elhelyezését (ez azért fontos, hogy elveszés vagy megrongálódás esetén vissza lehessen állítani). Minden, a készletleltár határain belül talált eszközt azonosítani kell. Bármilyen, a készletleltárból akármely okból kizárt eszközt hozzá kell rendelni egy másik vizsgálathoz, hogy biztosíthassuk: nem kerülik el a figyelmünket, és nem feledkezünk meg róluk.
2004. 07. 19.
0.91 verzió
55
Az informatikai biztonság irányításának követelményrendszere (tervezet)
5.2. Az adatok biztonsági osztályozása Gondoskodni az informatikai vagyontárgyak alkalmas védelmi szintjéről. Az informatikai eszközök megfelelő védelméről való gondoskodás magában foglalja, hogy az adatok minősítésének tükröznie kell a védelem szükségességét, prioritásait és mértékét. Az adatok érzékenysége és fontosságának mértéke változó, egyes adatok fokozott védelmet, vagy különleges kezelést igényelnek. A számítástechnikai rendszerek, illetve adatok biztonsági osztályba sorolására vonatkozó előírások segítségével kell meghatározni a védettségi szinteket, valamint közvetíteni kell a különleges kezelés szükségességét.
5.2.1. Az osztályozás irányelvei Az informatikai biztonsági osztályok megállapításához értéket kell rendelni az eszközökhöz. Ezek az értékek az adott eszköz szervezet számára jelentett fontosságát adják meg. A kár jellege lehet: a) dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van például: 1) károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), 2) károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), 3) a dologi károk bekövetkezése utáni helyreállítás költségei. b) károk a politika és a társadalom területén, például: 1) állam- vagy szolgálati titok megsértése, 2) személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének károsodása, 3) bizalmas adatok nyilvánosságra hozatala, 4) hamis adatok nyilvánosságra hozatala, 5) közérdekű adatok titokban tartása, 6) bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben. c) gazdasági károk 1) pénzügyi károk, 2) lopás károk,
2004. 07. 19.
0.91 verzió
56
Az informatikai biztonság irányításának követelményrendszere (tervezet) 3) az intézmény vagy cég arculatának (image) romlása, 4) rossz üzleti döntések hiányos vagy hamis információk alapján. d) károk az informatikai személyzet, illetve a felhasználók személyi biztonsága területén, például személyek megsérülése, megrokkanása (például áramütés következtében); e) károk a hatályos jogszabályok és utasítások megsértéséből adódóan; f) károk a tudomány területén 1) kutatások elhalasztódása, 2) eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése, 3) tudományos eredmények meghamisítása. Az informatikai rendszerek biztonsági osztályai meghatározásához a fenti kártípusokat bizonyos mértékben összevontan a következők szerint vesszük figyelembe: a) közvetlen anyagi (például a mindenkori amortizált értékkel vagy az elmaradt haszonnal arányos), b) közvetett anyagi (például a helyreállítási költségekkel, perköltségekkel arányos), c) társadalmi-politikai, humán, d) személyi sérülés, haláleset, e) jogszabály által védett adatokkal történő visszaélés vagy azok sérülése (jogsértés). Az eszközök értékeléséhez szükséges információknak ezen eszközök tulajdonosaitól és használóitól kell származniuk, de az üzleti tervezés, a pénzügy, az informatika és más kapcsolódó szakterületek munkatársait is be kell vonni az eszközökhöz tartozó értékek megállapításához. Az értékeknek összefüggésben kell lenniük az adott eszköz megszerzéséhez és fenntartásához kapcsolódó költségekkel és a bizalmasság, sértetlenség és rendelkezésre állás elvesztéséből eredő károkkal. Az eszközök mindegyikének értéket kell jelentenie a szervezet számára, ennek ellenére nincs egy könnyen követhető vagy egyszerű módszer a pénzbeni érték meghatározására. Az értéket vagy a szervezet számára való fontosságot nemcsak pénzügyi, hanem kvalitatív módon (minőségi meghatározások útján) is ki kell fejezni. Ez segít meghatározni a védelem szintjét, és azt az erőforrásmennyiséget, melyet a szervezetnek az eszköz védelmére áldozni kell. Az értékelési skála legalább háromfokozatú legyen: alacsony, közepes és magas érték, de ez tovább részletezhető – jelentéktelen – csekély – közepes – nagy – kiemelkedően nagy értékre. A fontosabb kártípusokhoz kvantitatív jellemzők tartományait rendelve kialakítható egy kárérték osztályozás, amelyek segítségével a fenyegetett objektumok – esetünkben az infor2004. 07. 19.
0.91 verzió
57
Az informatikai biztonság irányításának követelményrendszere (tervezet) matikai rendszerek – biztonsági osztályokba sorolhatók. A biztonság értékeléséhez a következő kárérték szinteket javasoljuk felhasználni: ♦ "0. szint": jelentéktelen kár •
közvetlen anyagi kár: -10.000,- Ft,
•
közvetett anyagi kár 1 embernappal állítható helyre,
•
nincs bizalomvesztés, a probléma a szervezeti egységen belül marad,
•
testi épség jelentéktelen sérülése egy-két személynél,
•
nem védett adat (nem minősített) bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.
♦ "1. szint": csekély kár •
közvetlen anyagi kár: -100.000,- Ft-ig,
•
közvetett anyagi kár 1 emberhónappal állítható helyre,
•
társadalmi-politikai hatás: kínos helyzet a szervezeten belül,
•
könnyű személyi sérülés egy-két személynél,
•
"Korlátozott terjesztésű!" szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
személyes adatok bizalmassága vagy hitelessége sérül,
•
csekély értékű üzleti titok, vagy belső (intézményi) szabályzóval védett adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.
♦ "2. szint ": közepes kár •
közvetlen anyagi kár: -1.000.000,- Ft-ig,
•
közvetett anyagi kár 1 emberévvel állítható helyre,
•
társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel,
•
több könnyű vagy egy-két súlyos személyi sérülés,
•
„Bizalmas!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
közepes értékű üzleti titok vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.
2004. 07. 19.
0.91 verzió
58
Az informatikai biztonság irányításának követelményrendszere (tervezet) ♦ "3. szint ": nagy kár •
közvetlen anyagi kár: -10.000.000,- Ft-ig,
•
közvetett anyagi kár 1-10 emberévvel állítható helyre,
•
társadalmi-politikai hatás: bizalomvesztés a szervezet felső vezetésében, a középvezetésen belül személyi konzekvenciák,
•
több súlyos személyi sérülés vagy tömeges könnyű sérülés,
•
„Titkos!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül.
♦ "4. szint ": kiemelkedően nagy kár •
közvetlen anyagi kár: -100.000.000,- Ft-ig,
•
közvetett anyagi kár 10-100 emberévvel állítható helyre,
•
társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felső vezetésén belül személyi konzekvenciák,
•
egy-két személy halála vagy tömeges sérülések,
•
államtitok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
nagy tömegű szenzitív személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
•
nagy értékű üzleti titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül. Függetlenül attól, hogy milyen skálát használunk, a következő okokból bekövetkező ká-
rokat kell figyelembe vennünk: a) jogszabályok és egyéb szabályozások megsértése, b) az alaptevékenységek akadályozása, c) szavahihetőség, jó hírnév elvesztése, d) személyes információkkal kapcsolatos titoksértés, e) személyi biztonság veszélyeztetése, f) a kényszerítő eszközök hatékonyságának csökkentése, g) titoksértés (államtitok, szolgálati titok, üzleti titok, banktitok, orvosi titok, stb.), h) a közrend megsértése, i) pénzügyi veszteség okozása, j) a környezet biztonságának veszélyeztetése.
2004. 07. 19.
0.91 verzió
59
Az informatikai biztonság irányításának követelményrendszere (tervezet) A szervezet természetesen más szempontokat is figyelembe vehet, melyeket kiválasztott kockázatelemzési módszertanban kell érvényesíteni. A szervezetnek meg kell húznia a károkkal kapcsolatos saját határokat is. Például az a pénzügyi kár, amely egy kis cég számára végzetes lehet, egy nagyon nagy vállalkozás számára „alacsony”, vagy egyenesen „elhanyagolható” értéket képviselhet. E fázisban hangsúlyozni kell, hogy az értékelési módszertannak lehetőséget kell adnia arra, hogy ne csak számszerűsített (kvantitatív), hanem minőségi (kvalitatív) értékelést is lehessen végezni ott, ahol a számszerűsített értékelés lehetetlen vagy nem logikus (például életveszély vagy a jó hírnév elvesztésének esetében). A használt értékelési skálát magyarázattal kell kiegészíteni. Az eszközök más eszközöktől való függőségét szintén azonosítani szükséges, mivel ez az eszközök értékére befolyással lehet. Például az adatok bizalmasságát a feldolgozás teljes folyamatában fenn kell tartani, tehát az adatfeldolgozást végző programmal szembeni biztonsági igényeknek közvetlenül kell kapcsolódniuk ahhoz az értékhez, melyet az adatok titkossága jelent. Ha egy folyamat egy program által készített adatok sértetlenségére alapoz, akkor e program bemenő adatainak is megbízhatóaknak kell lenniük. Ráadásul az információk sértetlensége a tárolásukhoz és feldolgozásukhoz alkalmazott hardvertől és szoftvertől is függ. A hardver pedig a tápellátástól és valószínűleg a légkondicionálástól. Ily módon a függőségekről szóló információk segíteni fogják az odatartozó fenyegetések, és különösen a sérülékenységek azonosítását. Továbbá abban is segítenek, hogy az eszközökhöz (összefüggéseik figyelembe vételével) valódi értéküket rendeljük hozzá, így tehát éppen a megfelelő védelmet fogják kapni. Azon eszközök értékét, melyektől más eszközök függnek, a következőképpen módosíthatjuk: a) ha a függő eszközök (például adatok) kisebb vagy egyenlő értékkel bírnak, mint a vizsgált eszköz (például szoftver), akkor annak értéke változatlan marad, b) ha a függő eszköz (például adat) nagyobb értékkel bír, mint a vizsgált eszköz (például szoftver), akkor annak értékét növelni kell a következők szerint: 1) a függőség mértéke, 2) az egyéb tényezők értéke.
2004. 07. 19.
0.91 verzió
60
Az informatikai biztonság irányításának követelményrendszere (tervezet) A szervezetnek lehet több olyan eszköze, mely több példányban áll rendelkezésre, mint például a szoftverek másolatai vagy az ugyanolyan típusú asztali számítógép az irodákban. Ennek figyelembe vétele fontos az eszközök értékelése során. Egyrészt könnyű átsiklani ezen példányok felett, ezért mindegyikükre figyelni kell, másrészt a hozzáférhetőségi problémákat is csökkenthetjük a segítségükkel. E lépés végeredménye egy lista az eszközökről és értékükről a következőkkel kapcsolatban: felfedésük (titkosságuk megőrzése), módosításuk (sértetlenségük megőrzése), használhatatlanságuk és tönkretételük (használhatóságuk fenntartása) és a csere költsége.
5.2.2. Az adatok minősítése, címkézése és kezelése A minősítő rendszer eljárásainak ki kell terjedniük a tárgyi és elektronikus információs eszközökre. Meg kell határozni az adatfeldolgozás egyes tevékenységeinél alkalmazható – az adat minősítésétől függő – adatkezelési eljárásokat: a) adatelőállítás, b) adatbevitel, c) másolás, d) tárolás, e) archiválás (biztonsági, illetve üzemszerű), f) átvitel, g) megsemmisítés. A magasabb biztonsági osztályba sorolt adatokat tartalmazó rendszerek kimeneti adatait a kimeneten megfelelő címkével kell jelölni. A címkézésnek az előző pontban hivatkozott biztonsági osztályoknak megfelelően tükröznie kell az adat minősítését és annak időbeli hatályát. Az adatok bizonyos formáinál (elektronikus eszközökön tárolt adatok) ez a megoldás nem alkalmazható, ezért ezekben az esetekben a címkézés elektronikus eszközeit kell alkalmazni.
2004. 07. 19.
0.91 verzió
61
Az informatikai biztonság irányításának követelményrendszere (tervezet)
6. SZEMÉLYI BIZTONSÁG 6.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban Az emberi hibák, lopás, csalárd magatartás vagy a létesítmények és az eszközök nem megfelelő használata során fellépő, az előírások szándékos vagy véletlen megsértéséből eredő biztonsági kockázatokat mérsékelni kell, a következők szem előtt tartásával: a) A biztonsági követelményeket a munkaerő-felvételnél, a szerződésekben, valamint az egyén foglalkoztatása során egyaránt érvényesíteni kell. b) A munkaerő-felvételi eljárás során – törvényes keretek között – olyan vizsgálatokat kell lefolytatni, melyek egyértelmű képet adnak a jelentkező informatikai biztonság oldaláról tekintett alkalmasságáról (ld. 6.1.2.), ez különösen fontos az informatikai biztonság szempontjából kiemelt fontosságú munkakörök esetén. Minden munkavállalónak, a rendszerek külső használóinak (a velük kötött szerződés alapján), alá kell írniuk egy titoktartási nyilatkozatot. c) A munkavállalótól csak olyan nyilatkozat megtétele vagy olyan adatlap kitöltése kérhető, illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely a személyiségi jogait nem sérti, a munkaviszony szempontjából lényeges tájékoztatást nyújthat, és ahhoz az érintett írásban hozzájárult.
6.1.1. Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban Valamennyi munkaterületre részletes munkaköri leírást kell készíteni. A munkaköri leírásnak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcsolatos követelményeket is a felelősség egyértelmű megjelölésével. A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre.
2004. 07. 19.
0.91 verzió
62
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az
informatikai
biztonság
szempontjából
elengedhetetlen
a
humánerőfor-
rás-gazdálkodási és biztonsági szakterületek folyamatos együttműködése a be- és kiléptetési folyamatokkal kapcsolatban. A be- és kilépéskor a hozzáférési jogosultságokat is meg kell határozni, és azokat a kellő időben érvényesíteni kell.
6.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika A munkatársak esetében ellenőrzést kell végezni a felvételi eljárás során. Ez foglalja magába: a) üzleti és személyi referenciák meglétét, b) a felvételre jelentkező életrajzának ellenőrzését teljességre és pontosságra, c) a legmagasabb iskolai végzettség (szakképzettség) megerősítését, d) hatóság által kibocsátott azonosító iratot (személyi igazolvány vagy útlevél). Államtitok vagy szolgálati titok kezelésének szükségessége esetén a nemzetbiztonsági ellenőrzés pozitív eredményéhez (NATO vagy EU biztonsági tanúsítvány) kell kötni az alkalmazhatóságot (véglegesítést). A személyzeti politikát a humánerőforrás-gazdálkodás készíti el a biztonsági szegmensek figyelembe vételével. A személyzet biztonsági átvilágításáról külön szabályzatban kell részletesen intézkedni. Ennek mindenképpen ki kell térnie a munkavállaló referenciáinak értékelésére, az életrajz pontosságának és teljességének vizsgálatára, a szakképzettség és az azt igazoló iratok meglétének ellenőrzésére, illetve az összeférhetetlenség fennállásának vizsgálatára.
6.1.3. Titoktartási nyilatkozatok A titoktartási nyilatkozat (megállapodás) célja, hogy felhívja a figyelmet az adott információk bizalmasságára. A munkatársak az ilyen megállapodást alkalmazásuk feltételei tudomásul vétele keretében írják alá. Alkalmi munkaerőnek és a külső személynek, akikről a meglévő, a titoktartási megállapodást is tartalmazó szerződés nem intézkedik, külön titoktartási megállapodást kell aláírniuk, még mielőtt az adatokhoz, vagy az informatikai eszközökhöz hozzáférést nyernének.
2004. 07. 19.
0.91 verzió
63
Az informatikai biztonság irányításának követelményrendszere (tervezet) A titoktartási megállapodást felül kell vizsgálni, amikor az alkalmazási feltételek megváltoznak, különösen pedig akkor, amikor egy-egy munkavállaló arra készül, hogy elhagyja a szervezetet, vagy ha a szerződés lejártának időpontja várható. A titoktartási nyilatkozatról a szervezet sajátosságának megfelelő Titokvédelmi Szabályzatban kell részletesen intézkedni.
6.1.4. A foglalkoztatás feltételei A foglalkoztatás alapvető biztonsági feltételei az általános és a munkakörre vonatkozó speciális biztonsági előírások megismerése, elfogadása, a titoktartási nyilatkozat aláírással történő elfogadása. Az alkalmazás feltételei között ajánlatos megállapítani a munkatárs informatikai biztonsági felelősségeit. Ahol lehetséges (vezető beosztású, vagy más kiemelt munkakörök), ezek a felelősségek meghatározott időtartamra terjedjenek ki az alkalmazás megszűnése után is. Ebbe bele kell foglalni azokat az intézkedéseket, kötelezettségeket, amelyek akkor lépnek életbe, ha a munkatárs nem tartja be az előírt biztonsági követelményeket. A munkatársak jogai és kötelességei, például a szerzői jogokra vagy a személyes adatok védelmére vonatkozóan, legyenek az alkalmazás feltételei közé sorolva. Ugyancsak ajánlatos belefoglalni a munkatársra vonatkozó adatok biztonsági osztálybasorolásának és kezelésének felelősségét. Az alkalmazási feltételekben szerepeljen, hogy ezek a felelősségek fennállnak a szervezet telephelyein kívül is, a munkatárs rendes napi munkaidején túl is, például az otthoni munkavégzés alatt is (lásd a 7.2.5. és a 9.8.1. szakaszban).
2004. 07. 19.
0.91 verzió
64
Az informatikai biztonság irányításának követelményrendszere (tervezet)
6.2. Felhasználói képzés Gondoskodni arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek és gondjainak, és fel legyenek szerelve mindazzal, amire azért van szükség, hogy az informatikai biztonságpolitikában és más szabályzókban előírtakat szokásos napi munkájuk során betartsák. A felhasználók legyenek kioktatva a biztonsági eljárásokról és az információfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázat minimalizálása érdekében. A felhasználóknak ismerniük kell a biztonsági felelősségüket, a biztonsági eljárások alkalmazását és az adatfeldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a lehetséges biztonsági kockázatokat, és alá kell írniuk az erről szóló nyilatkozatot. A felhasználói oktatás a biztonsági elképzeléseket is figyelembe vevő Képzési Terven alapul. Az informatikai vezetőnek – az informatikai biztonságpolitika elveinek, valamint a saját hatáskörben meghatározott képzési elveknek megfelelően – a humánerőforrás-gazdálkodással, illetve a Biztonsági Vezetővel egyeztetve ki kell dolgoznia a Képzési Tervet.
6.2.1. Az informatikai biztonsági oktatás és képzés A szervezet valamennyi munkatársát, és ahol szükséges, a harmadik fél felhasználóit is, megfelelő képzésben kell részesíteni a szervezet biztonsági szabályairól és eljárásairól. Ezeket az ismereteket rendszeresen naprakész ismeretek közlésével fel kell újítani. A képzés foglalja magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, valamint az informatikai eszközök helyes használatát, például a bejelentkezési eljárást, a szoftverek használatát. A képzést azelőtt kell lefolytatni, még mielőtt a felhasználók megkapnák a hozzáférési jogot (jogosultság) az informatikai rendszerekhez, vagy az adatokhoz. Az oktatási és képzési dokumentáció és a módszertani kézikönyv megfelelő fejezetei részletesen kell, hogy tartalmazzák a biztonsági oktatásra vonatkozó információkat. Az általános biztonságtudatosítási képzés mellett, melynek mindenkire vonatkoznia kell a szervezetben, különleges biztonsági képzés is szükséges az informatikai biztonsággal foglalkozó személyzet számára. A biztonsági képzés mélységének az informatikának a szerveze-
2004. 07. 19.
0.91 verzió
65
Az informatikai biztonság irányításának követelményrendszere (tervezet) ten belüli általános fontosságához kell igazodnia, és az adott szerep biztonsági követelményeinek megfelelően kell változnia. Amennyiben szükséges, sokkal kiterjedtebb oktatást, például egyetemi kurzusokon való részvételt is biztosítani kell. Egy informatikai biztonsági képzési programot kell kialakítani az összes biztonsághoz kapcsolódó igény lefedésére. A különleges biztonsági képzésre küldendő személyzet kiválasztásakor a következőket kell figyelembe venni: a) az informatikai rendszerek tervezésében és fejlesztésében kulcsszerepet játszó személyzet, b) az informatikai rendszerek üzemeltetésében kulcsszerepet játszó személyzet, c) szervezeti, projekt és rendszerszintű Informatikai Biztonsági Vezetők, d) a biztonság adminisztrációjáért felelős személyzet, például a hozzáférés ellenőrzés vagy a címtár kezelés területén. Minden esetben ellenőrizni kell, hogy a tevékenységekhez (projektekhez) szükséges-e különleges biztonsági képzés. Valahányszor olyan tevékenységek vagy projektek kezdődnek, melyek speciális biztonsági követelményeket támasztanak, biztosítani kell a megfelelő biztonsági képzési program kialakítását és lebonyolítását még a projekt indulása előtt. A biztonsági képzés tematikáját a résztvevők szerepe és funkciója szerint kell kialakítani. Általánosan alkalmazhatók az alábbiak: a) mi a biztonság 1) a bizalmasság, sértetlenség, rendelkezésre állás megsértésének megakadályozása, 2) biztonsági esemény esetén a szervezet vagy a személy számára várható negatív hatások, 3) az információk érzékenységi kategorizálásának sémája, b) az általános biztonsági folyamat 1) a teljes folyamat leírása, 2) a kockázatfelmérés összetevői. c) biztosítékok és a biztosítékoknak eleget tevő oktatás, d) szerepek és felelősségek, e) informatikai rendszer biztonsági politika.
2004. 07. 19.
0.91 verzió
66
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az informatikai biztonsági képzési program egyik legfontosabb célja a biztosítékok helyes kialakítása és használata. Minden szervezetnek az igényeknek és a létező, valamint a tervezett biztosítékoknak megfelelő módon ki kell alakítania a saját informatikai biztonsági képzési programját. A következőkben példákat mutatunk be a biztosítékokhoz kapcsolódva érintendő témakörökből, hangsúlyozva, hogy egyensúlyra van szükség a nem technikai és a technikai jellegű biztosítékok között: a) biztonsági infrastruktúra: 1) szerepek és felelősségek, 2) biztonsági politika, 3) rendszeres biztonsági megfelelőség ellenőrzés, 4) biztonsági események kezelése; b) fizikai biztonság: 1) épületek, 2) irodai területek, technikai helyiségek, 3) felszerelések; c) személyzeti biztonság; d) adathordozók biztonsága; e) hardver/szoftver biztonság: 1) azonosítás és hitelesítés, 2) logikai hozzáférés ellenőrzés, 3) elszámolás és biztonsági ellenőrzés, 4) tárolóterületek megtisztítása; f) kommunikáció biztonság: 1) hálózati infrastruktúra, 2) hidak, útválasztók, átjárók, tűzfalak, hubok, switchek, 3) Internet és egyéb külső csatlakozások; g) üzletmenet folytonosság, ide értve a katasztrófa esetén történő tevékenységeket és visszaállítási stratégiát, terve(ke)t. 2004. 07. 19.
0.91 verzió
67
Az informatikai biztonság irányításának követelményrendszere (tervezet)
6.3. Biztonsági és üzemzavarok kezelése Gondoskodni arról, hogy a biztonsági események és zavarok okozta kár minimális legyen, hogy a biztonsági eseményeket folyamatosan nyomon legyenek követve, és a megfelelő következtetéseket az illetékesek levonják. Mérsékelni kell a biztonságot befolyásoló események és működési zavarok következményeit; nyomon kell követni az eseményeket; biztosítani kell a mielőbbi normális üzemre való visszaállást és a tapasztalatokat írásban kell megfogalmazni. Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a napi feldolgozást hátráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek. Minden munkavállalónak és vállalkozónak ismernie kell a szervezet működésének és az általa használt eszközök használatának biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok) jelentésének eljárási szabályait. A munkavállalóknak a továbbiakban meghatározottak szerint jelenteniük kell az észlelt eseményeket. Az események biztonságos kezeléséhez szükség van arra, hogy a történést követően nyomban összegyűjtsék a meglévő bizonyítékokat. A kockázatok azonosításához és súlyosságuk méréséhez kockázatfelmérésre van szükség. A kockázatfelmérés támogatásához és eredményességének fejlesztéséhez információkra van szükség a biztonsági eseményekről. Az információkat biztonságos módon kell gyűjteni és elemezni, ezért fontos, hogy minden szervezetnek legyen használatban helyesen összeállított és szervezett informatikai esemény elemzési sémája (EES), a gyűjtött információkat pedig hozzáférhetővé kell tenni a kockázatelemzés és -kezelés, valamint más biztonsághoz kapcsolódó tevékenységek számára. Az eredményesség és a felhasználói igények kielégítésének érdekében az EES-t a felhasználói követelmények alapján kell összeállítani. Továbbá, minden valós tevékenységet megelőzően szükség van az események kezelésének ismertetésére a biztonsági tudatossági programban, hogy mindenki, aki várhatóan bevonásra kerül megértse, mit jelent az EES, milyen előnyt nyújt és milyen eredményeket lehet elérni vele: a) fejleszti a kockázatfelmérés és vezetői szemlék, b) segít az események bekövetkezésének megakadályozásában, c) növeli a biztonságtudat szintjét, 2004. 07. 19.
0.91 verzió
68
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) figyelemfelhívó (riasztási) információkat nyújt az IBECS számára, e) A fentiekhez kapcsolódó kulcsfontosságú szempontok lehetnek bármely EES esetében: 1) előregyártott tervek készítése a nem kívánt események bekövetkezésének esetére, akár külső akár belső, logikai vagy fizikai támadásról vagy gépi, esetleg emberi hibából bekövetkező balesetről is legyen szó, 2) az események kivizsgálására kinevezett vagy megbízott személyzet képzése, például informatikai biztonsági eseménykezelő csoport (IBECS) kialakítása útján. Az IBECS lehet többé-kevésbé formalizált, mint meghatározott személyek csoportja, akik kivizsgálják az informatikai események okait, tanulmányozzák a jövőbeni bekövetkezés lehetőségeit vagy rendszeresen tanulmányokat, elemzéseket készítenek a történeti adatsorok alapján. Ennek eredményeit javító jellegű intézkedésekhez lehet felhasználni. Az IBECS állhat belső munkatársakból, de külső (például szerződéses) résztvevőkből is. Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elerülhetők az elhamarkodott döntések, bizonyítékot lehet használni és megőrizni az esemény forrásának lenyomozásához és azonosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható és nem csak az esemény, de a válasz költségei is csökkenthetők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók. Minden szervezetnek egy hatékony EES segítségével fel kell készülnie a biztonsági események bekövetkezésére, ezért a következő lépéseket kell meg tenni: a) felkészülés – előre dokumentált megelőző intézkedések, eseménykezelési útmutatások és eljárások (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges dokumentumok, valamint üzletmenet-folytonossági tervek, b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek jelentsék az eseményeket, c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meghatározásában, d) irányítás – eljárások és felelősségek az eseményekkel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájékoztatásakor, e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor,
2004. 07. 19.
0.91 verzió
69
Az informatikai biztonság irányításának követelményrendszere (tervezet) f) áttekintő vizsgálat – eljárások és felelősségek az eseményt követő tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését. A fenyegetések előfordulásáról szóló információk nagy segítséget jelentenek a fenyegetések felmérésének minőségi javításában és így a kockázatelemzésben is. Továbbá az események kivizsgálásakor valószínű, hogy új és további információk gyűjthetők a sérülékenységekről és azok kihasználásának módjáról. Fontos, hogy míg az önálló szervezeteknek is előnyük származik az EES használatából, többen megfontolandónak tarthatják, hogy sokkal több előnnyel jár bizonyos biztonsági eseményekkel kapcsolatos információkat megosztani másokkal, hogy egy szélesebb alapot teremtsenek a veszélyek azonosításához és a trendek feltárásához a védekezés megkönnyítése érdekében. Ennek kihasználásához olyan EES adatbázisstruktúrát kell használni, mely kellően rugalmas ahhoz, hogy lefedje a követelményeket teljes (minden szektorra kiterjedően, fenyegetés típusok és hatások) valamint részleges fenyegetés/hatás elemzési igények esetén is. Akár a szervezeteken belül, akár a szervezetek között, minden kapcsolódó EES-nek a mért jellemzők és a rögzített információk struktúráját tekintve haasonlónak kell lennie. Ez teszi lehetővé az összehasonlítást és az elemzést. A közös struktúra használata jelenti a kulcsot a sokkal átfogóbb eredményekhez és különösen a sokkal szilárdabb alapot a riasztó jelek azonosításához, ami egyes esetkben különálló EES útján nem is volna lehetséges. Természetesen az információk bizalmasságára vonatkozó szabályokat ebben az esetben is értelemszerűen használni kell. Mint arra már utaltunk a fentiekben, az EES és a kockázatelemzés, valamint a vezetési eljárások közötti kapcsolatban való előrehaladás jelentősen javíthatja az eredményeket, ezáltal növelve az EES-ből származó előnyöket. Az EES használata lehetővé teszi a felhasználó számára a sérülékenységek feltárását és vizsgálatát, valamint értékes információkat biztosít a kockázatfelmérési megközelítések számára. Ezeket részben a fenyegetéskről, részben az események vizsgálatából, például az IBECS-től származó információkra lehet alapozni. Például a logikai behatolás veszélye (a támadó jelenléte és a feldolgozott információ vonzó volta) egyesítve a logikai behatolás sérülékenységgel (elégtelen vagy hiányos a megfelelő logikai hozzáférés-ellenőrző mechanizmus) növeli a kockázatot. Ezért az EES azonosításra történő használata és a sérülékenységek vizsgálata a fenyegetésekről szóló információk használatán keresztül valósulhat meg, mely az eseményekről szóló adatbázis bemenő információját is képezi melyet már jelentettek, egyesítve az egyéb forrásból származó információkkal, különösen az IBECS vizsgálataiból és tanulmányaiból, melyek felfedhetnek előzőleg nem azonosított sérülékenységeket.
2004. 07. 19.
0.91 verzió
70
Az informatikai biztonság irányításának követelményrendszere (tervezet) Figyelembe kel venni, hogy az EES funkciók a megtörtént biztonsági eseményekhez kapcsolódó adatoknak megfelelőek. Ezért, bármilyen EES nem tud közvetelenül információt adni azokról a sérülékenységekről, melyek megtörténhetnek, de még nem jelentek meg informatikai eseményekben. Továbbá, az EES adatokat elővigyázatosággal kell alkalmazni statisztikai és tenderelemzési célokra, mivel a bemenő adatok lehetnek hiányosak, vagy hibásan kerülhettek azonosításra. Mindazon által, az IBECS vizsgálatainak eredményei és a vezetői vizsgálatok segítséget adhat a kockázatelemzés és sérülékenység felmérés minőségének javításához.
6.3.1. Biztonsági események jelentése A biztonságot érintő eseményeket – amilyen gyorsan csak lehet – a megfelelő (az EESben rögzített) vezetői csatornákon jelenteni kell. A szervezetben mindenkinek tudatában kell lennie a biztonsági események minél gyorsabb jelentése szükségességének ideértve a szoftverek hibás működését és azonosított gyenge pontjait. Az események kezelése magában foglalja: 1.
Biztonsági események jelentése Minden munkavállalónak tudatában kell lennie annak a kötelezettségének, hogy jelentenie kell a biztonsági eseményeket. Az eseményeket lehet azonosítani és jelenteni eszközök segítségével is, annak érdekében, a hatékony eseménykezelés érdekében a jelentési sémát kell kidolgozni.
2.
Biztonsági sérülékenységek jelentése Ha a felhasználók bármilyen biztonsági eseményt észlelnek, minél előbb jelenteniük kell a szervezeti egysége vezetőjének és az Informatikai Biztonsági Vezetőnek, valamint kötelesek mindent megtenni a szükséges bizonyítékok összegyűjtésére.
3.
Hibásan működő szoftver bejelentése Ha a felhasználók bármilyen hibás szoftverműködést érzékelnek, minél előbb jelenteniük kell a felelős személynek (rendszergazda, help desk).
4.
Eseménykezelés Megfelelő vezetési folyamatot kell kidolgozni és alkalmazni, amely támogatja a biztonsági sérülékenységekkel szembeni védelmet, észlelésüket és jelentésüket, valamint a megfelelő választ az eseményre. Az eseményre vonatkozó információkat össze kell
2004. 07. 19.
0.91 verzió
71
Az informatikai biztonság irányításának követelményrendszere (tervezet) gyűjteni, és értékelni kell annak érdekében, hogy a jövőben elkerülhető legyen, és ezáltal – ha megtörténik – csökkenthetőek legyenek a károk. Az Informatikai Biztonsági Vezető az eseményt a lehető legrövidebb idő alatt vizsgálja ki, és amennyiben a felelősségre vonás szükségessége fennáll, értesítse a munkáltatói jogkör gyakorlóját és a Biztonsági Vezetőt arról, hogy a munkavállalóval szemben a kötelességszegés gyanúja esetén alkalmazott meg kell indítni.
6.3.2. Biztonsági rendszerek hiányosságainak jelentése (A rendszerek és a programok működési zavarainak kezelése.) A szervezet minden informatikai eszközén, folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhasználók nem veszik figyelembe, ezért ennek fontosságát a felhasználókkal is tudatosítani kell. Teendők rendszer-, illetve alkalmazáshiba esetén: a) Figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket. Rendszer-, vagy alkalmazáshiba esetén az adott számítógépen fel kell függeszteni a munkát. A hibaüzenetet a felhasználó nem törölheti a képernyőről, amíg az illetékes informatikai munkatárs azt nem látta. A felhasználó semmiféle kísérletet nem tehet a számítógép rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem ha kellő felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az illetékes informatikai munkatárs jogosult! b) Amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás, vagy vírustámadás okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, szükség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is (floppy lemez, CD-rom, ZIP-drive, FLASH memória, mentési médiák), melyeket az illetékes informatikai munkatársnak vizsgálat céljára át kell adni. c) A szervezet hozzáférési, és egyéb adatvédelmi rendszereinek működés zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetőjének és az Informatikai Biztonsági Vezetőnek. d) A meghibásodott számítógépben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más számítógépekben.
2004. 07. 19.
0.91 verzió
72
Az informatikai biztonság irányításának követelményrendszere (tervezet)
6.3.3. Programhibák jelentése A programhibák észlelése esetén követendő eljárás legyen szabályozott, és tartalmazza az alábbi előírásokat: a) A hiba (zavar) tüneteit, a képernyőn megjelenő minden üzenetet fel kell jegyezni. b) A számítógépet – ha ez lehetséges – el kell szigetelni a hálózattól és használatát ajánlatos beszüntetni. Azonnal értesíteni kell az illetékes informatikai munkatársat. c) Az eseményt azonnal jelenteni kell az Informatikai Biztonsági Vezetőnek is.
6.3.4. Okulás véletlen eseményekből Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monitorozási rendszer működési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerűsítését.
6.3.5. Fegyelmi eljárás Formális fegyelmi szabályokat kell létrehozni, hogy azokkal a munkatársakkal foglalkozzék, akik a szervezet biztonsági szabályzatait és eljárásait megsértették (lásd a 6.1.4. szakaszt, és a bizonyítékok megőrzéséről a 12.1.7. szakaszt). Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyébként hajlamosak lennének arra, hogy a biztonsági szabályokat megszegjék. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssége, és egyben kötelessége. A felelősségi, kártérítési eljárást a Munka Törvénykönyve (és ha van ilyen a Kollektív Szerződés) szerint kell lebonyolítani. Az eljárás minden esetben legyen korrekt és méltányos.
2004. 07. 19.
0.91 verzió
73
Az informatikai biztonság irányításának követelményrendszere (tervezet)
7. FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG A fizikai és környezeti biztonság megteremtése, illetve fenntartása érdekében a vonatkozó jogszabályok, biztonsági és tűzvédelmi szabványok, valamint a helyi szabályzatok, rendelkezések előírásainak maradéktalanul meg kell felelni.
7.1. Biztonsági szegmensek Az infrastruktúrát és az információt meg kell védeni a jogosulatlan hozzáféréstől, a sérüléstől, valamint az illetéktelen beavatkozástól. Az illetéktelen hozzáférés, a károkozás és az üzleti helyiségekbe való behatolás, valamint az adatok jogtalan elérésének megakadályozása érdekében a lehetséges kockázatokat fel kell mérni és ennek megfelelően biztonsági területeket kell kijelölni. A kritikus vagy érzékeny üzleti adatokat feldolgozó és tároló eszközöket, szervezeteket, létesítményeket meghatározott biztonsági sávval védett, biztonsági korlátokkal és áthaladást ellenőrző pontokkal ellátott területeken (a továbbiakban: biztonsági területek) kell elhelyezni. Gondoskodni kell az illetéktelen behatolást, hozzáférést, károkozást és beavatkozást megakadályozó fizikai-mechanikai, elektronikai és személyi védelem szükséges méretű – együttes – alkalmazásáról. A védelemnek arányban kell állnia a megállapított kockázatokkal. Az illetéktelen hozzáférés megakadályozása, a dokumentumok, az adathordozók védelme és az adatfeldolgozó létesítmények kockázatának mérséklése érdekében szükség van megfelelő beléptetési és megfigyelési szabályok érvényesítésére. A kialakított biztonsági intézkedések legyenek kockázatarányosak. Ajánlatos, hogy az „Üres asztal - tiszta képernyő” szabály alkalmazásával csökkentsük a papírok, az adathordozók és az információfeldolgozó eszközök jogosulatlan hozzáférésének és károkozásának a kockázatát.
2004. 07. 19.
0.91 verzió
74
Az informatikai biztonság irányításának követelményrendszere (tervezet)
7.1.1. Biztonsági határok A fizikai biztonsági zónákat informatikai rendszerenként, valamint biztonsági osztályonként egyaránt rögzíteni kell. A biztonsági területeken belül biztonsági zónákat kell meghatározni és kijelölni, valamint azokat informatikai rendszerenként, illetve biztonsági osztályonként rögzíteni kell. A védelemigényes helyiségekbe (biztonsági területekre vagy zónákba) való belépési jogosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az informatikai rendszerben vagy környezetében betöltött szerepük alapján kell hozzá rendelni a helyiségekhez vagy helyiségcsoportokhoz.
7.1.2. A beléptetés fizikai eszközei A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni kell. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. Külső személyek csak kísérettel tartózkodhatnak a szervezet objektumain belül. A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkező személyek be- és kilépését is naplózni kell. A fokozott vagy kiemelt biztonsági osztályba sorolt zónák esetén a belépés ellenőrzését a beléptető rendszer kártyáján túl egyéb hitelesítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erősíteni.
7.1.3. Létesítmények és helyiségek biztonsága Az informatikai rendszerek környezetét legalább a biztonsági osztálynak megfelelő fizikai-, mechanikai-, elektronikai- és személyi védelemmel kell biztosítani (például rácsos ablakok, az áttörést megnehezítő üvegezés, acélajtók). Az alkalmazott védelmi formák körét, azok kialakítását a Biztonsági Vezető határozza meg az informatikai biztonságpolitika elveinek megtartása mellett, az adott létesítmény védelmi igényének és speciális feltételeinek figyelembe vételével.
2004. 07. 19.
0.91 verzió
75
Az informatikai biztonság irányításának követelményrendszere (tervezet) A következő védelmi intézkedéseket ajánlatos megfontolni: a) A kulcsfontosságú eszközöket úgy ajánlatos elhelyezni, hogy az illetéktelen személyek hozzáférését elkerüljük. b) Az objektumok ne legyenek kirívóak, és ne mutassák céljukat, ne adják se belül se kívül nyilvánvaló jelét, annak, hogy abban információfeldolgozó tevékenység folyik. c) Segédberendezések és eszközök, mint a fénymásolók, szkennerek, a biztonsági körleteken belül legyenek elhelyezve, hogy ezzel is elkerüljük az illetéktelen hozzáférés lehetőségét, amely az információ veszélyeztetésével járna. d) Ajtók és ablakok akkor, amikor nincs a közelben felügyelő személyzet, legyenek elreteszelve, és az ablakok külső védelméről is ajánlatos gondoskodni, különösen a földszinten. e) A helyiségeket olyan alkalmas behatolásjelző rendszerrel kell védeni, amely az összes külső ajtót és hozzáférhető ablakot (nyílászárót) lefedi és védi. f) Az adott szervezet által kezelt és menedzselt információfeldolgozó eszközöket fizikailag is ajánlatos elválasztani azoktól, amelyekkel harmadik felek foglalkoznak. g) A névtárakat és a belső telefonkönyveket, címjegyzékeket, amelyek érzékeny információfeldolgozó eszközök helyét azonosítják, nem szabad a nyilvánosság számára elérhetővé tenni. h) Veszélyes vagy gyúlékony anyagokat biztonságosan ajánlatos tárolni a biztonsági körlettől biztos távolságban. A tömegesen leszállított árút, mint az irodaszereket a biztonsági körletben ajánlatos tárolni felhasználás előtt. i) A tartalékberendezést és a tartalékolt adathordozókat olyan biztonságos távolságban ajánlatos elhelyezni, amellyel elkerülhető, hogy a központi telephely katasztrófája esetén kárt szenvedjenek.
7.1.4. Munkavégzés a biztonsági szegmensekben A biztonsági körlet biztonságának növeléséhez kiegészítő védelmi intézkedésekre és útmutatókra van szükség. A következő intézkedéseket kell bevezetni: a) A személyzet legyen tudatában a biztonsági körlet létezésének, és hogy abban tevékenységet csak meghatározott célból szabad végeznie.
2004. 07. 19.
0.91 verzió
76
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) A biztonságos körletben el kell kerülni a felügyeletlen munkát, egyrészt a biztonság érdekében, másrészt hogy így a rosszindulatú tevékenység lehetőségét is megelőzzük. c) A személyzet nélkül hagyott biztonságos körleteket fizikailag le kell zárni és időről időre ellenőrizni. d) A harmadik félként (külső személy) támogató munkát végző személyzetnek csak korlátozott hozzáférést (belépést) szabad adni, és azt is csak a szükséges esetben és időre a biztonsági körletekbe, az érzékeny információt feldolgozó eszközök közelébe. Ezt a hozzáférést felhatalmazásként kell megadni, és ellenőrzés alatt kell tartani. A biztonsági sávokon belül az olyan területek között, amelyeknek eltérők a biztonsági követelményeik, a fizikai hozzáférés/megközelítés ellenőrzésére további akadályokra és biztonsági sávokra lehet szükség. e) A fényképezést, videofelvételt, audiófelvételt nem szabad megengedni csak külön felhatalmazás formájában. f) A beléptetés rendjére külön utasítást kell alkalmazni, de különösen betartandó: 1) A biztonsági területeken belül − az állandó belépési jogosultsággal rendelkező személyek arcképes − az eseti belépési jogosultságot kapott személyek fénykép nélküli kitűzőt kötelesek viselni. 2) Látogatók, vendégek csak kísérettel tartózkodhatnak az objektumban. 3) A kitűzőt nem viselő személyt minden munkatárs köteles figyelmeztetni a kitűző használatára, és ha ez nem vezet eredményre, az objektum biztonságáért felelős személyt értesíteni kell.
7.1.5. A kiszolgáló területek és raktárak biztonsági elkülönítése A kiszolgáló területeket és raktárakat, ahol csak lehetséges el kell különíteni az információfeldolgozó eszközöktől. Az ilyen körletek biztonsági követelményeit kockázatelemzéssel (becsléssel) ajánlatos meghatározni. A következő óvintézkedéseket ajánlatos megfontolni:
2004. 07. 19.
0.91 verzió
77
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) Az épületen kívüli raktárakhoz való hozzáférést az azonosított és felhatalmazott személyzetre kell korlátozni. b) A raktárakat úgy kell tervezni, hogy a szállítmányokat úgy lehessen lerakodni, hogy a kiszállító személyzetnek ne kelljen hozzáférnie, belépnie, az épület más részeibe. c) A raktár külső ajtóinál biztonsági ajtókat kell alkalmazni, arra az esetre, amikor a belső ajtók nyitva vannak. d) A bejövő anyagokat a lehetséges veszélyekre tekintettel ajánlatos megvizsgálni/megtekinteni [lásd a 7.2.1.d) szakaszt], mielőtt azok a raktárból végleges használati helyükre kerülnek. e) A bejövő anyagokat, ha ez alkalmas, ajánlatos már a telephelyre belépésükkor nyilvántartásba venni (lásd az 5.1. szakaszt).
2004. 07. 19.
0.91 verzió
78
Az informatikai biztonság irányításának követelményrendszere (tervezet)
7.2. A berendezések fizikai védelme Az informatikai berendezéseket, eszközöket fizikai valójukban is védeni kell a biztonságot fenyegető veszélyektől és a káros környezeti hatásoktól. A műszaki eszközök fizikai védelmére azért van szükség, hogy ily módon is mérsékeljük az adatokhoz való illetéktelen hozzáférés kockázatát, valamint gondoskodjunk az adatok és eszközök megfelelő védelméről. Erre már a berendezések elhelyezése során is tekintettel kell lenni. A veszélyek és az illetéktelen hozzáférés elhárításához, illetve a kiszolgáló létesítmények védelméhez különleges eszközökre, többek között áramszolgáltató és kábelrendező infrastruktúrára is szükség van. a) Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás), 2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem), 3) külső tényezők (tűz, víz, vihar, stb.) elleni védelemre, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással), 5) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették). b) A rendszerszintű IBSZ-ekben részletesen kell szabályozni: 1) a műszaki berendezések elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) a berendezések karbantartását, 5) a telephelyen kívüli berendezések védelmét,
2004. 07. 19.
0.91 verzió
79
Az informatikai biztonság irányításának követelményrendszere (tervezet) 6) a berendezések biztonságos tárolását és újrafelhasználását. Mindehhez a következő követelményeket kell érvényesíteni: a) 0. és 1. szinteken: 1) A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és megbízható működésének biztosításában nagy szerepet játszik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. Tekintettel ezek fajlagosan magas árára, a védelem teljes körű és mindenre kiterjedő kell, hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek, stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott biztonság mértékétől. Ilyen helyiségek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok. 2) A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál a vonatkozó szabványok. 3) Az objektumok őrzés-védelmét, nyitását és zárását, a be- és kilépést mind munkaidőben, mind azon kívül a hatályban lévő szabályzatok és az érvényes előírások alapján biztosítani és érvényesíteni kell. 4) Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget távollét esetén zárva kell tartani. 5) Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását. 6) A tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő személyzet biztosítja a helyiségen belül készenlétben tartott – a tűzvédelmi előírásoknak
2004. 07. 19.
0.91 verzió
80
Az informatikai biztonság irányításának követelményrendszere (tervezet) megfelelő – kézi tűzoltó-készülékekkel. A készenléti helyeken elsődlegesen gáz halmazállapotú oltóanyaggal feltöltött tűzoltó-készülékek legyenek. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tűzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthető pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok előírásainak megfelelő tűzjelző rendszert kell kiépíteni és üzemeltetni. 7) Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok előírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok előírásainak. 8) A rendelkezésre állás szempontjából lényeges követelmény, hogy az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani és külön leágazás megépítésével kell a betáplálásról gondoskodni. 9) A villámvédelem feleljen meg a kommunális és lakóépületekre vonatkozó előírásoknak. 10) Az átlagostól eltérő klimatikus viszonyú (például a hőmérséklet, illetve a páratartalom értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) helyiségekben lokális klimatizálásról kell gondoskodni. b) 2. és 3. szinten, az előzőeken túl: 1) A területen 12 órás áthidalást biztosító szünetmentességgel ellátott olyan elektronikai jelzőrendszert kell kiépíteni, amellyel biztosítható a teljes felület- és a részleges térvédelem. 2) A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott formában kell megvalósítani. 3) Az őr- és a biztonsági személyzet létszámát úgy kell megállapítani, és olyan eszközökkel kell ellátni, hogy esemény esetén az érintett személy jelezni tudjon. 4) A helyiségbe csak annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat, tehát a helyiségen belül nem mehet át víz, gáz, csatorna és egyéb közművezeték. 5) A technikai védelmi rendszert a helyiségben ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál meg kell jelenniük. A védelem szabotázsvédett legyen és a következő követelményeket elégítse ki: 2004. 07. 19.
0.91 verzió
81
Az informatikai biztonság irányításának követelményrendszere (tervezet) − a nyílászárók nyitás- és zártság ellenőrző eszközzel legyenek ellátva, a belső terek védelme mozgásérzékelővel biztosított legyen, a védelem ki- és bekapcsolása a bejáraton kívül elhelyezett (minimum 6 számjegyes) kóddal működtetett tasztatúráról történjék, − a személyzet a helyiségbe belépni szándékozókat belépés előtt a biztonság veszélyeztetése nélkül azonosítsa, − a jelzőközpont és az általa működtetett eszközök 12 órás áthidalást biztosító szünetmentes tápegységgel rendelkezzenek oly módon, hogy a 12. óra letelte után még rendelkezzenek egy riasztási esemény jelzésére és a hozzá kapcsolódó vezérlés végrehajtására elegendő energiával (például hang- vagy fényjelző eszköz 3 perces időtartamban való működtetése). 6) A helyiség ajtaja rendelkezzen legalább 30 perces (műbizonylatolt) tűzgátlással, továbbá a helyiségen belül automatikus és kézi jelzésadók kerüljenek telepítésre. A jelzésadók jelzéseit mind a helyiségen belül, mind az épület biztonsági szolgálatánál meg kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek forgalombahozatali engedélyével. Az automatikus tűzoltó rendszerek tervezése és szabályozása a Biztonsági Vezető által meghatározottak szerint történik. 7) A helyiséget úgy kell elhelyezni, hogy felette és a határoló falfelületeken vizes blokkot tartalmazó helyiségrész ne legyen, nyomó- és ejtőcsövek ne haladjanak át, gázvezetéket telepíteni tilos. 8) Az elektromos hálózat legalább a szerver és a szükségvilágítás vonatkozásában 30 perces áthidalási idejű megszakításmentes átkapcsolással rendelkező szünetmentes tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt követő töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza. 9) A padlóburkolatok, berendezési tárgyak antisztatikus kivitelűek legyenek. 10) A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat és az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség elleni védelembe kell bevonni az árnyékolást megtestesítő, az épületbe belépő minden fémszerkezetet (az elektromos hálózatot, víz, gáz, távfűtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélő hálózatokat, stb.). 2004. 07. 19.
0.91 verzió
82
Az informatikai biztonság irányításának követelményrendszere (tervezet) 11) A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellátás legfeljebb a klimatizáló berendezések által átlagos szinten biztosított porkoncentrációt érheti el. c) 4. szinten, az előzőeken túl: 1) A mechanikai védelem védjen a közforgalmú területről történő betekintés ellen is. 2) Az elektronikai védelem terjedjen ki a számítástechnikai eszközökre, valamint a felügyelet nélküli helyiségekre is. 3) A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott formában, intelligens beléptető-rendszerrel kell megvalósítani, amely a mindkét irányú áthaladásokat naplózza és biztosítja az azonosító eszköz azonos irányban történő többszöri felhasználásának tilalmát. 4) A helyiségbe (épületbe) belépni szándékozókat azonosítani kell, és a belépőkről nyilvántartást kell vezetni. 5) A területre történő belépést azonosításra és hitelesítésre alkalmas rendszerrel kell ellenőrizni. 6) A fűtést a klímarendszeren keresztül meleg levegő befúvással kell megoldani, a helyiségben vizes fűtés nem létesíthető. A klímarendszer kültéri és beltéri egységből épüljön fel, vízhűtéses klíma nem telepíthető. Központi klímagép telepítése esetén a befúvó és az elszívó légcsatornába légmentesen záró, tűzgátló tűzcsappantyúkat kell telepíteni. 7) A szerverszobába csak az annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat. 8) A technikai védelembe legyenek bekötve a hardver-védelemmel ellátott gépek burkolatai az illetéktelen kinyitás jelzésére, a hardver-védelem eltávolításának megakadályozására. A számítóközpontok, a szerverszobák, és az egyéb „központi” jellegű informatikai helyiségek védelmét intelligens beléptetőrendszerrel kell kiegészíteni, amely a mozgásokat mindkét irányban regisztrálja, legalább az utolsó 4.000 eseményt naplózza és az utolsó személy távozásakor a védelmi rendszert automatikusan élesítse. A hardver-védelemmel ellátott munkaállomások elhelyezésére szolgáló helyiségeket munkaidőn kívül elektronikus védelemmel kell ellátni.
2004. 07. 19.
0.91 verzió
83
Az informatikai biztonság irányításának követelményrendszere (tervezet) 9) A helyiség automatikus működtetésű oltórendszerrel egészítendő ki, az oltórendszer működését tekintve helyi vagy teljes elárasztásos legyen, működése előtt biztosítson elegendő időt a személyzet evakuálására, vezérlő kimeneteinek egyikén adjon jelzést a szervernek az automatikus mentésre, majd azt követően a lekapcsolásra. 10) Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett olyan szükség-áramellátó diesel-elektromos gépcsoportot is kell telepíteni, amely automatikus indítású és szabályozású, akkora teljesítményű, hogy képes legyen kiszolgálni a számítástechnikai eszközökön túl az azok működéséhez szükséges segédüzemi (például klíma) berendezéseket is.
7.2.1. A műszaki berendezések elhelyezése és védelme A berendezéseket úgy kell elhelyezni és védeni, hogy csökkentsük a környezeti fenyegetések és veszélyek kockázatát, valamint a jogtalan hozzáférés lehetőségét. A következő intézkedéseket kell meghozni: a) A berendezéseket úgy ajánlatos elhelyezni, hogy a munkaterületek szükségtelen megközelítéseit minimalizáljuk. b) Az érzékeny adatokat tároló és feldolgozó eszközöket úgy ajánlatos elhelyezni, hogy a használat alatti rálátás kockázatát lecsökkentsük. c) A különleges védelmet igénylő tételeket ajánlatos elkülöníteni (szigetelni), hogy az általánosan igényelt védelmi szintet lecsökkentsük. d) Azokat az óvintézkedéseket ajánlatos jóváhagy(at)ni, amelyek az olyan fenyegetések kockázatát minimalizálják, mint 1) a lopás, 2) a tűz, 3) a robbanóanyagok, 4) a füst, 5) a víz (vagy a vízellátás meghibásodása), 6) a köd, 7) a ráz(kódtat)ás, 8) vegyi behatások, 2004. 07. 19.
0.91 verzió
84
Az informatikai biztonság irányításának követelményrendszere (tervezet) 9) a villamos energiaellátás zavarai, 10) elektromágneses sugárzás. e) Ajánlatos,
ha
a
szervezet
megfontolja
az
olyan
szabályzatait,
amelyek
az
információfeldolgozó eszközök közvetlen közelében folytatott étkezésre, folyadékfogyasztásra vagy dohányzásra vonatkoznak. f) A környezeti feltételeket állandóan figyelni ajánlatos az olyan helyzetek felismerése érdekében, amelyek az információfeldolgozó eszközök működésére negatív hatással lehetnek. g) Az olyan különleges védelmi módszereket, mint amelyet például a billentyűzeti membránok jelentenek, ajánlatos az ipari környezetben működtetett berendezésekhez figyelembe venni. h) Ajánlatos felmérni (megbecsülni) a közelben bekövetkező olyan katasztrófák hatásait, mint a szomszédos épületekben pusztító tűz, a tetőn keresztül vagy a földszint alól betörő víz, vagy valamely utcai robbanás.
7.2.2. Energiaellátás A berendezéseket meg kell védeni a tápáramellátás meghibásodásától és más hasonló villamos rendellenességektől, anomáliáktól. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifikációjának. Azok a lehetőségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS, uninterruptable power supply), c) tartalék áramforrás alkalmazását. A folyamatos működést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalmazása ajánlott olyan berendezésekhez, amelyek az üzlet működésére nézve kritikusak. A tartalékolási terv gondoskodjék minden olyan tevékenységről, amelyet az UPS meghibásodásakor végeznek. Az UPS berendezést időről időre ellenőrizzék, hogy elegendő-e a kapacitása, és a gyártó ajánlása szerinti módon vizsgálják le (teszteljék).
2004. 07. 19.
0.91 verzió
85
Az informatikai biztonság irányításának követelményrendszere (tervezet) Ajánlatos megfontolni egy tartalékgenerátor beállítását, ha elvárt, hogy a feldolgozás folyamatosan működő legyen a tápáramellátás meghibásodás alatt is. A generátorokat telepítés után időről időre a gyártó ajánlása szerinti módon ajánlatos megvizsgálni (tesztelni). Megfelelő mennyiségben álljon a fűtőanyag rendelkezésre annak érdekében, hogy a generátor eléggé hosszú ideig legyen képes a feladatát betölteni. Ezen túlmenően a tartalék áramforrások kapcsolóit a vészkijárat közelébe ajánlatos elhelyezni azokban a géptermekben, ahol fontos, hogy vészhelyzetben az áramellátást gyorsan lehessen kikapcsolni. Ajánlatos gondoskodni vészvilágításról is a fő energiaellátás meghibásodása/kimaradása esetére. Villámhárítót ajánlatos felszerelni valamennyi épületre, és villámvédő szűrőket alkalmazni az épületbe belépő valamennyi külső távközlő vonalra.
7.2.3. A kábelezés biztonsága Az áramellátás kábelezését, valamint az adattovábbító és az informatikai szolgálatok ellátásában használt távközlőkábeleket meg kell védeni a zavarásoktól és a sérülésektől. A következő intézkedéseket kell meghozni: a) Az energetikai és távközlőkábeleket információfeldolgozó rendszerekhez, ahol csak lehetséges a föld alatt ajánlatos elvezetni, vagypedig megfelelő alternatív védelemmel ellátni. b) A hálózati kábelezést ajánlatos megvédeni a jogosulatlan lehallgatástól és károsodástól, például külön védőcsövek alkalmazásával vagy azzal, hogy elkerüljük a közterületen való vonalvezetést. c) Zavarásuk elkerülése érdekében az adatátviteli (távközlési) kábelek elkülönítése az energiaellátás (erősáramú) kábelektől. d) Az érzékeny és a kritikus rendszerekhez ajánlatos további óvintézkedéseket megfontolni, melyek magukban foglalják: 1) védett (páncélozott) kábelek használata: − a károkozás, szándékos vagy gondatlan beavatkozás elhárítására, − a környezeti veszélyek (tűz, robbanás, füst, víz, por, elektromágneses sugárzás, stb.) káros hatásai következményeinek elhárítására, csökkentésére. 2) lezárt helyiségek és szekrények használatát végpontokban és a vizsgálati pontokon, 3) alternatív forgalomirányítás használatát vagy alternatív átviteli közegek alkalmazását,
2004. 07. 19.
0.91 verzió
86
Az informatikai biztonság irányításának követelményrendszere (tervezet) 4) optikai kábelek (üvegszál) alkalmazását, 5) a kábelekhez csatlakoztatni szándékozott jogosulatlan eszközök kitiltását, 6) kábelnyilvántartás vezetése, 7) kábel-címkézés a védett vonalak megjelölésére, a követhetőség biztosítására.
7.2.4. A berendezések karbantartása A megbízható működés érdekében a berendezések folyamatos használata és rendelkezésre állásának biztosítása érdekében: a) A specifikációban javasolt időközönként el kell végezni a berendezések karbantartását. b) A berendezések kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik. c) Az informatikai berendezések külső helyszínen történő javítása, karbantartása esetén gondoskodni kell a berendezésen tárolt adatok végleges (visszaállíthatatlan) törléséről. d) Személyi, fizikai biztonsági követelményeknek való megfelelés a javítás, karbantartás során.
7.2.5. A telephelyen kívüli berendezések védelme A tulajdonlástól függetlenül a szervezet vezetése adjon felhatalmazást, minden olyan berendezésnek a használatára, amelyen a szervezet számára házon-kívül végeznek információfeldolgozást. Az a biztonság, amelyet így látnak el, legyen egyenértékű azzal, amelyet az ugyanazon célra házon belül használt berendezéssel lehet elérni, figyelembe véve azt a kockázatot, amit a szervezet számára házon-kívül végzett munka jelent. Információfeldolgozó berendezés magában foglalhat bármilyen formában személyi számítógépet, szervezőgépet (organizátort), mobil telefont, papírt vagy bármely olyan eszközt, amelyet az otthoni munkára használnak vagy a szokásos munkahelyről elszállítanak. A következő intézkedéseket kell meghozni: a) A házon kívülre helyezett berendezések és közegek nem hagyhatók felügyelet nélkül, amíg közterületen vannak. A hordozható számítógépeket kézipoggyászban, és ahol lehet utazás közben rejtett módon ajánlatos szállítani.
2004. 07. 19.
0.91 verzió
87
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) A gyártók berendezés-védelmi utasításait ajánlatos mindenkor figyelemmel kísérni, például megvalósítani az erős mágneses mezőnek való kitétel elleni védekezést. c) Az otthoni munkavégzés óvintézkedéseit ajánlatos kockázatfelméréssel megállapítani, és a helyénvaló óvintézkedéseket arra alkalmas módon alkalmazni, például lakatolható tárolószekrényekben elhelyezni, a számítógépeken „üres asztal” szabályt és beléptetésellenőrzést használni. d) A házon kívüli berendezés megóvása érdekében alkalmas védőbúrát ajánlatos használni. A biztonsági kockázatok, mint például a sérülés, az ellopás vagy a lehallgatás, helytől függően széles sávban különbözhetnek, és ezt a legmegfelelőbb óvintézkedések meghatározásakor ajánlatos figyelembe venni. A mobil berendezések védelmének más szempontjairól szóló további információ található a 9.8.1. szakaszban.
7.2.6. A berendezések biztonságos tárolása és újra felhasználása Berendezések gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez (például kompromittálódásához) vezethet (lásd még a 8.6.4. szakaszt). Az érzékeny információt tartalmazó tárolóeszközöket vagy meg kell semmisíteni, vagy biztonságosan (többször, váltakozó bitmintával) felül kell írni az egyszerű, szokásos törlési (delete) művelet alkalmazása helyett (lásd még a 7.3.3. szakaszt). A berendezéseknek a tárolóközeget tartalmazó valamennyi részegységét, a lemezegységeket ellenőrizni kell annak érdekében, hogy meggyőződjünk arról, hogy az érzékeny információt és a vásárolt (licensz szerinti) szoftvereket arról eltávolították és felülírták, mielőtt mások rendelkezésére bocsátották volna. Az érzékeny információt tartalmazó, de sérült tárolóeszközök kockázatelemzést igényelnek annak meghatározására, hogy mi jobb, az adott eszközt megsemmisíteni, vagy megjavítani, vagy egyszerűen kidobni.
2004. 07. 19.
0.91 verzió
88
Az informatikai biztonság irányításának követelményrendszere (tervezet)
7.3. Általános védelmi intézkedések Meg kell védeni az információt és az információfeldolgozó eszközöket a veszélyeztetéstől és a lopástól.
7.3.1. Adattárolási és képernyő-kezelési irányelvek A szervezeteknek ajánlatos megfontolniuk az „üres asztal” szabály elfogadását mind a papíralapú anyagokra, mind pedig a hordozható adattároló közegekre, valamint a „tiszta képernyő” szabályzatot az információfeldolgozó eszközökre, hogy ezáltal lecsökkenjen a jogtalan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül. Ez a szabály vegye figyelembe az 5.2. szakaszban felállított informatikai biztonsági osztályozást (minősítést), az ennek megfelelő kockázatot, valamint a szervezet kulturális szempontjait. Az íróasztalon kint felejtett adathordozó könnyen megsérülhet vagy megsemmisülhet az olyan katasztrófahelyzetekben, mint a tűz, az árvíz, vagy a robbanás. A következő intézkedéseket kell meghozni: a) A papíranyagokat és a számítógépek adathordozóit ajánlatos alkalmasan zárható szekrényben őrizni/tárolni, vagy más hasonló biztonsági bútorzatban, amikor ép nincsen használatban, különösen a munkaidőn kívüli időszakokban. b) Az érzékeny és kritikus üzleti információt, ha nem használják, ajánlatos elzárni (ideális esetben tűznek ellenálló biztonsági széfben vagy pedig szekrényben, különösen akkor, amikor az iroda (személyzete) szabadságon van. c) Személyi számítógépeket, munkaállomásokat és nyomtatókat nem szabad „bejelentkeztetni”, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel (lakatokkal), jelszavakkal vagy más óvintézkedésekkel legyenek védve. d) Ajánlatos a bejövő és kimenő levelező eszközöket, a felügyeletlen távmásoló faxgépeket és telexgépeket védeni. e) Fénymásológépeket ajánlatos lelakatolni (vagy más módon védeni a jogosulatlan használat ellen) különösen a rendes munkaidőn kívül.
2004. 07. 19.
0.91 verzió
89
Az informatikai biztonság irányításának követelményrendszere (tervezet) f) Az érzékeny vagy minősített/osztályba sorolt információt kinyomtatás után ajánlatos azonnal eltávolítani a nyomtatóról.
7.3.2. Eszközök kivitele Számítástechnikai eszközöket, adathordozókat, programokat kizárólag a szervezeti egységek vezetőinek engedélyével szabad kivinni a munkahelyről. A szervezet területéről kivitt eszközöket a leltárfelelősöknek nyilván kell tartaniuk. A kivitelre kerülő eszközökön tárolt adatok illetéktelenek általi elérhetetlenségére fokozottan kell ügyelni. Meghibásodott eszköz cseréje esetén – még garanciális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került. A szállítás során be kell tartani a biztonsági eljárásokat.
7.3.3. Informatikai eszközök újrahasznosítása 2., 3. és 4. szinteken: Védett informatikai rendszerben használt adathordozót olyan módszerek alkalmazásával kell törölni, hogy az adatok a későbbiekben ne legyenek helyreállíthatóak. Ilyen módszer az adathordozó többszöri felülírása. Az adathordozó felülírására engedélyezett módszer a következő. Miután az adathordozó működőképességéről meggyőződtek, valamennyi tároló területet kilencszer kell felülírni: a) először az „1” bináris számjeggyel; b) másodszor a „0” bináris számjeggyel; c) majd egy tetszőleges bitmintával (például „0011 0101”); d) végül a fenti lépéseket még kétszer meg kell ismételni. Minden egyes esetben a tároló helyek tartalmát ellenőrizni kell, hogy a felülírás sikeres volt-e. Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi intézkedések hatóköréből, meg kell semmisíteni.
2004. 07. 19.
0.91 verzió
90
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az adathordozó védelme csak az adatok törlését és az adathordozó felülírását követően szüntethető meg. A felülírás tényét, módszerét, végrehajtóját, annak időpontját dokumentálni kell. Az adathordozó védelmére vonatkozó intézkedések megszüntetésének további feltétele, hogy az újraírható adathordozóról el kell távolítani a bizalmas adattartalomra utaló valamenynyi jelzést és utalást. Ha ez nem lehetséges, a védelem nem szüntethető meg. Amennyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további használata lehetetlen vagy célszerűtlen, azt az ügyviteli szabályok szerint jegyzőkönyvben kell selejtezni. Ebben az esetben – ha lehetséges – a tartalmát törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabályszerű megsemmisítésről.
7.3.4. Adathordozók megsemmisítése 2., 3. és 4. szinteken: Az adathordozók megsemmisítése a következő módszerekkel engedélyezett: a) mágnesszalagok: el kell távolítani a tokból, majd mechanikusan be kell zúzni, kémiai úton megsemmisíteni vagy elégetni; (Az utóbbi esetben a szalagokat be kell tenni az égetőbe rövid darabokban vagy lazán betöltve jól összekeverve sokkal nagyobb mennyiségű papírhulladékkal együttesen. Nem szabad azokat az égetőbe feltekercselve vagy összepréselt blokkokban betenni, mert nem semmisülnek meg teljes mértékben.); b) floppy vagy más (például CD) lemezek: a floppy lemezeket el kell távolítani a házukból, a lemezt szabálytalan alakú darabokra kell vágni (legalább 8 darabra), a darabokat deformálni kell és elégetni; c) merevlemezek: fel kell nyitni, és el kell égetni; vagy a mágneses felületet el kell távolítani dörzspapírral vagy más durva módszerrel; d) más szilárd anyagú tárolók: össze kell törni, és el kell égetni.
7.3.5. Hang-, kép- és adatrögzítő eszközök használata 3. és 4. szinteken: Csak különleges, előzetes, írásbeli engedély alapján szabad a biztonsági körletekbe bevinni: a) magántulajdonban lévő kommunikációs eszközt (rádiót, rádiótelefont, stb.);
2004. 07. 19.
0.91 verzió
91
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) magántulajdonban lévő adatrögzítésre alkalmas eszközt (magnetofont, fényképezőgépet, videokamerát, stb.); c) magántulajdonban lévő számítógépet, hardvert, szoftvert, adathordozót. Bármely típusú, magántulajdonban lévő informatikai rendszeren a szervezet védendő adatát kezelni tilos. Ez vonatkozik a (például fejlesztési, karbantartási feladatokra igénybe vett) külső közreműködőkre és más külső szervezetekre is. A szerződés alapján tevékenykedő külső közreműködő személyi állományának magántulajdonában lévő számítógépes eszközöket úgy kell kezelni, mint magántulajdonban lévő eszközöket.
2004. 07. 19.
0.91 verzió
92
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8. SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE
A rendszerszintű biztonságpolitika támogatására biztonsági üzemeltetési eljárásokat bemutató dokumentumokat kell készíteni és gondozni. Ezeknek tartalmazniuk kell a biztonsággal összefüggő napi rendszerességű üzemeltetési teendőket és azt, hogy ki a felelős ezek végrehajtásáért és felügyeletéért.
8.1. Üzemeltetési eljárások és feladatok 8.1.1. Az üzemeltetési eljárások dokumentációja Az üzemeltetési eljárásokat és felelősségeket részletesen és szabályszerűen dokumentálni kell. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint: a) az adatkezelés, (-feldolgozás és -tárolás), b) tervezett követelmények, más rendszerek bizalmasságának megsérülhetősége, c) munkaidőn kívüli munkahelyen való tartózkodás, d) hibaesetekre és rendellenes működésre vonatkozó eljárások, e) hardver és szoftver karbantartási eljárások, f) munkavégzés közben fellépő kivételes állapotok kezelése, g) rendszer újraindítása és visszaállítása. Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni.
2004. 07. 19.
0.91 verzió
93
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.1.2. Változásmenedzsment és ellenőrzés az üzemeltetés során Az információfeldolgozó eszközök és rendszerek változásait ajánlatos ellenőrzés alá vonni. Az információfeldolgozó eszközök és rendszerek változásainak elégtelen ellenőrzése általános oka sok biztonsági és rendszerhibának. Ajánlatos a formális menedzseri felelősségeket és eljárásokat érvényre juttatni annak érdekében, hogy ezzel szavatolhassuk a kielégítő ellenőrzést minden berendezés, szoftver vagy eljárási változás felett. Az üzemviteli programokat ajánlatos szigorú változásellenőrzés alá vonni. Ahányszor ezek a programok változnak, ajánlatos megőrizni azt az átvilágítási naplót (audit log), amely minden vonatkozó információt tartalmaz. Az üzemviteli környezet megváltozása hatással lehet az alkalmazásokra is. Az üzemviteli és az alkalmazási változásellenőrző eljárásokat, ha az lehetséges és célszerű, ajánlatos integrálni, egyesíteni (lásd a 10.5.1. szakaszt is). Különösen a következő óvintézkedéseket ajánlatos megfontolni: a) a jelentős változások azonosítását és rögzítését, b) az ilyen változások lehetséges hatásainak felmérését, c) a tervezett változások formális jóváhagyási eljárását, d) a változások minden lényeges adatának (részleteinek) a közlését minden arra illetékes személlyel, e) a sikertelen változtatások félbeszakítása és az azokból való visszatérés felelőseit azonosító (meghatározó) eljárásokat.
8.1.3. Váratlan események kezelési eljárásai A váratlan események kezelésének felelősségeit és eljárásait rögzíteni kell annak érdekében, hogy szavatolhassuk, a váratlan biztonsági eseményekre adandó gyors, hatékony válaszadást (lásd a 6.3.1. szakaszt). A következő intézkedéseket meghozni: a) Ajánlatos véletlen biztonsági események (incidensek) minden lehetséges fajtáját lefedő eljárásokat létesíteni, beleértve: 1) az informatikai rendszerek hibáit és a szolgáltatásvesztést, 2) a szolgáltatás-megtagadást, 3) a nem teljes és nem pontos üzleti adatok következtében előálló hibákat,
2004. 07. 19.
0.91 verzió
94
Az informatikai biztonság irányításának követelményrendszere (tervezet) 4) a bizalmasság megsértését. b) Az olyan szokványos tartalékolási terven túlmenően, amelyet arra terveztek, hogy a lehető leggyorsabban visszaállítsuk a rendszereket és a szolgáltatásokat, az eljárásoknak még a következőket ajánlatos lefedniük, átfogniuk (lásd még a 6.3.4. szakaszt): 1) a véletlen esemény okának elemzését és azonosítását, 2) olyan ellenintézkedések megtervezését és megvalósítását, amelyek, ha lehet, megelőzik ezek visszajöttét, megismétlődését, 3) az átvilágítási naplók (audit trails) és hasonló bizonyítékok összegyűjtését, 4) a beszélgetést (kommunikációt) azokkal a személyekkel, akiket befolyásolt a véletlen esemény, vagy érintettek az abból való visszatérésben, 5) a tevékenységről szóló jelentést, amelyet az illetékes szervnek (hatóságnak jelentenek. c) Az átvilágítási naplókat (audit trails) és hasonló bizonyítékokat ajánlatos összegyűjteni (lásd a 12.1.7. szakaszt), és a lehetőségekhez képest biztonságosan ajánlatos őrizni abból a célból, hogy 1) elemezzék a belső nehézségeket (problémákat), 2) a lehetséges szerződésszegés, a szabályozási követelmények megsértése, a polgári vagy büntetőjogi eljárások esetében bizonyítékként használják, mint például a számítógépes visszaélés vagy az adatvédelmi jogszabályok alá tartozó esetekben, 3) kompenzációról egyezkedjenek a szoftver-szállítókkal és a szolgáltatást nyújtókkal. d) A biztonság megszegéséből való visszatérésnek, valamint a rendszerhibák kijavításának tevékenységeit ajánlatos gondosan és formálisan (szabályszerűen) kezelni, ellenőrizni. Az ilyen eljárások szavatolják, hogy: 1) csak a tisztán (és pontosan, azaz egyértelműen) azonosított és feljogosított személyzet kaphasson engedélyt arra, hogy a rendszereket és adatokat életben tartsa (lásd még a 4.2.2. szakaszt is a harmadik felek hozzáférésével kapcsolatban), 2) ajánlatos valamennyi vészhelyzeti tevékenységet részletesen írásban foglalni (dokumentálni), 3) ajánlatos a vészhelyzeti tevékenységet jelenteni a vezetőségnek, és rendszeresen felülvizsgáltatni,
2004. 07. 19.
0.91 verzió
95
Az informatikai biztonság irányításának követelményrendszere (tervezet) 4) ajánlatos az üzleti rendszerek és az óvintézkedések sértetlenségét a lehető legkisebb késedelem mellett megerősíttetni (visszaigazoltatni).
8.1.4. A feladatkörök biztonsági szétválasztása A feladatkörök szétválasztása az a módszer, amely minimalizálja a véletlen és a szándékos visszaélésekből eredő kockázatot. Az egyes feladatok vagy felelősségi körök végrehajtását és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módosítására vagy visszaélésre vezető alkalmak esélyét csökkentsük. A kisebb szervezetek ezt a fajta ellenőrzési módot nehéznek találhatják a maguk számára, de ajánlatos ezt az elvet, ahol csak lehet, és amennyire csak lehet alkalmazni. Amennyiben nehézséget okoz a feladatmegosztás, egyéb óvintézkedéseket ajánlatos megfontolni, mint például a tevékenységek megfigyelését (monitorozását), az átvilágítási naplózást, vagy a vezetői felügyeletet. Fontos e tekintetben, hogy a biztonsági átvilágító auditálás független maradjon. Gondosan ajánlatos ügyelni arra, nehogy akár egyetlen személy is úgy követhessen el csalást egyedi felelőssége körében, hogy az felfedezetlen maradhasson. Bármely esemény kezdeményezése, beindítása legyen független az arra vonatkozó felhatalmazástól. A következő pontokat ajánlatos megfontolni: a) Fontos az olyan tevékenységek szétválasztása, amelyek összejátszással járhatnak, hogy megakadályozzuk a csalást, például megrendelés (purchase order) kiadását és annak igazolását, hogy az árút átvették. b) Ha fennáll az összejátszás veszélye, akkor ajánlatos olyan óvintézkedéseket tenni, hogy két vagy három személy vegyen abban részt, hogy ezzel csökkenjen az összeesküvés (konspiráció) lehetősége.
8.1.5. A fejlesztési és az üzemeltetési feladatok szétválasztása A fejlesztő, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is fontos, mert ezzel lehet elérni a vonatkozó szerepek elkülönítését. Azokat a szabályokat, amelyek mentén valamely szoftvert a fejlesztési szoftverek közül az üzemi szoftverek közé soroljuk, ajánlatos meghatározni és írásban foglalni (dokumentálni).
2004. 07. 19.
0.91 verzió
96
Az informatikai biztonság irányításának követelményrendszere (tervezet) A fejlesztési és a vizsgáló (tesztelő) tevékenységek komoly nehézségeket okozhatnak, például nem kívánatos módon módosulhatnak az állományok (fájlok), változhat a rendszerkörnyezet, vagy rendszerhibák léphetnek fel. A fejlesztő, a vizsgáló és az üzemeltetési környezet szétválasztásának az üzemeltetési nehézségek elkerüléséhez szükséges szintje ajánlatos, ha megfontolás tárgyát képezi. Hasonló szétválasztást ajánlatos megvalósítani a fejlesztő és a vizsgáló/tesztelő funkciók között. Ebben az esetben arra van igény, hogy fenntartsuk az ismert és stabil környezet, amelyben az értelmes vizsgálatokat végezzük, és ugyanakkor elkerüljük a fejlesztők alkalmatlan hozzáférését. Ahol a fejlesztő és a vizsgáló személyzet hozzáférhet az üzemelő rendszerhez és az üzemi információhoz, ott ezek képessé válnak jogosulatlan és bevizsgálatlan kódok beiktatására vagy az üzemeltetési adatok megváltoztatására. Egyes rendszereken ezzel a képességgel vissza lehet élni akár csalás (fraud) elkövetésével, akár pedig bevizsgálatlan vagy rosszindulatú kód (szoftver) beiktatásával. A bevizsgálatlan vagy rosszindulatú kód komoly üzemi nehézségeket okozhat. A fejlesztők és a vizsgálók az üzemi információ titkosságára is fenyegetést, veszélyt jelenthetnek. A fejlesztői és vizsgálati tevékenységek szándékolatlanul is okozhatnak változást a szoftverben vagy az információban, ha ugyanazon a számítástechnikai környezeten osztozkodnak. A fejlesztő, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is kívánatos, hogy az üzemi szoftver és az üzleti adatok véletlen változtatásainak vagy a jogtalan hozzáférésüknek a kockázatát lecsökkentsük. A következő óvintézkedéseket ajánlatos megfontolni: a) A fejlesztési és az üzemi szoftvert, ahol lehetséges, különböző számítógép-processzoron, vagy különböző tartományokban vagy különböző könyvtárakban (directories) ajánlatos futtatni. b) A fejlesztői és vizsgálati tevékenységeket, amennyire csak lehetséges, ajánlatos szétválasztani. c) Fordító kompájlereket, szerkesztő editorokat és egyéb rendszertámogató eszközöket nem szabad szükségtelenül elérhetővé tenni az üzemi rendszerből. d) A hibák kockázatának csökkentésére a fejlesztő és a vizsgáló rendszereket eltérő bejelentkezési (log-on) eljárással ajánlatos működtetni. A felhasználókat arra ajánlatos bíztatni, hogy ezekhez a rendszerekhez különböző jelszavakat alkalmazzanak, és a „menük” a képernyőn erre alkalmas azonosító üzeneteket jelenítsenek meg.
2004. 07. 19.
0.91 verzió
97
Az informatikai biztonság irányításának követelményrendszere (tervezet) e) A fejlesztő személyzetnek csak ott szabad hozzáférést kapnia az üzemi jelszavakhoz, ahol az üzemi rendszer kezelésére való jelszavak kiadásánál óvintézkedések vannak érvényben. Az óvintézkedések gondoskodjanak arról, hogy az ilyen jelszavakat használat után lecseréljék.
8.1.6. Külső létesítmények üzemeltetése Az információfeldolgozó eszközök menedzselésére alkalmazott külső szerződő fél fokozott biztonsági veszélyt jelenthet, mert veszélyeztetése (kompromittálódást), kár, adatvesztés lehetőségét hordozhatja a szerződő fél telephelyén. Még idejében ajánlatos feltárni (azonosítani) az ebből eredő kockázatokat, és a kellő óvintézkedéseket egyeztetni a szerződő féllel, majd belefoglalni a szerződésbe is (lásd a 4.2.2. és a 4.3. szakaszt is a harmadik féllel kötendő szerződésre vonatkozó útmutatásról olyan esetekre, amikor a szerződés a szervezet eszközeihez való hozzáférést is magában foglalja, illetve a forráskihelyezési szerződésekre vonatkozóan). Azok a különleges tételek, amelyeket ajánlatos megvizsgálni magukban foglalják: a) feltárni (azonosítani) azokat az érzékeny vagy kritikus alkalmazásokat, amelyeket helyesebbnek vélünk házon belül tartani, b) jóváhagyást nyerni az üzleti alkalmazások tulajdonosaitól, c) belevonni az üzlet folyamatossága terveibe, d) összeállítani az előírandó biztonsági szabványokat, valamint azt a folyamatot, amellyel a megfelelőséget mérjük, e) kiosztani valamennyi biztonsági tevékenység hatékony figyelésének sajátos felelősségeit és eljárásait, f) kiosztani valamennyi véletlen biztonsági esemény lekezelésének és a róluk szóló jelentés elkészítésének felelősségeit és eljárásait (lásd a 8.1.3. szakaszt).
2004. 07. 19.
0.91 verzió
98
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.2. IT rendszerek tervezése és átvétele Minimalizálni a rendszermeghibásodások kockázatát. Modern tervezési és előkészítési módszerekre van szükség ahhoz, hogy szavatolni tudjuk, hogy rendelkezésre álljon a kellő rendszerkapacitás és erőforráskapacitás. Előre ajánlatos jelezni a jövőben várható kapacitáskövetelményt annak érdekében, hogy lecsökkentsük a rendszer túlterhelésének kockázatát. Már átvétel és használatba vétel előtt ajánlatos megállapítani, írásban foglalni (dokumentálni), és bevizsgálni az új rendszerek üzemeltetési követelményeit.
8.2.1. Kapacitástervezés Ajánlatos a kapacitásigényt figyelni és elkészíteni a jövő kapacitáskövetelmények terveit annak érdekében, hogy gondoskodjunk arról, kellő mértékben áll rendelkezésre feldolgozási teljesítmény és tárolóhely. Ezek a tervezetek az újabb üzleti és rendszerkövetelményeket is vegyék figyelembe, valamint a szervezet információfeldolgozásának folyó és megjósolt trendjeit. Különös figyelmet érdemelnek a nagygépek (mainframe computers), mivel lényegesen költségesebbek és sokkal több időt igényel az új kapacitások beszerzése. A nagygépes szolgáltatások vezető menedzserei kísérjék figyelemmel a kulcsfontosságú erőforrások kihasználtságát, beleértve a központi számítógépek processzorait, központi tárolóit, háttértárolóit, nyomtatóit és egyéb kimeneti eszközeit, valamint távközlési, kommunikációs rendszereit. Nekik ajánlatos feltárni (azonosítani) a használati változások irányait, trendjeit, különösen azok üzleti alkalmazásokkal valamint a vezetői informatikai rendszerekkel kapcsolatos eszközeit, kisegítő programeszközeit. A vezető menedzsereknek ajánlatos ezen információt használniuk azért, hogy feltárják (azonosítsák) és elkerüljék azokat a lehetséges szűk keresztmetszeteket, amelyek veszélyt, fenyegetést jelenthetnek a rendszerbiztonságra és a felhasználói szolgáltatásokra, és ajánlatos ezt alkalmasan orvosló tevékenységet tervezniük.
8.2.2. A rendszer átvétele Új informatikai rendszerek, a korszerűsítések (upgrades) és az új változatok átvételi követelményeit ajánlatos felállítani, és az alkalmas rendszervizsgálatokat az átvétel előtt elvégezni. A vezető menedzserek gondoskodjanak arról, hogy az új rendszerek átvételi követel-
2004. 07. 19.
0.91 verzió
99
Az informatikai biztonság irányításának követelményrendszere (tervezet) ményei és kritériumai tisztán (és pontosan, azaz egyértelműen) legyenek meghatározva, egyeztetve és írásban foglalva (dokumentálva), és ezeket alkalmazzák az új rendszerek elfogadás és használat előtti bevizsgálására. A következő óvintézkedéseket ajánlatos megfontolni: a) a teljesítőképességi és a számítógépkapacitás-követelményeket, b) a hibából való visszatérés és az újraindítási eljárásait, a tartalékolási tervet, c) szabványok meghatározása érdekében a rutin üzem(eltetés)i eljárások előkészítését és bevizsgálását, d) a megállapodások szerinti biztonsági óvintézkedések megtételét, e) a hatékony kézi (manuális) eljárásokat, f) az üzletmenet folyamatosságának érdekében a 11.1. szakasz által megkívánt elrendezéseket, g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkező, káros hatással a meglévő rendszerekre, különösen nem az olyan feldolgozási csúcsidőkben, mint például a hó végi hajrák alkalmával, h) annak bizonyítékait, hogy igenis figyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a szervezet általános biztonságára, i) az új rendszerek üzemeltetésének, illetőleg használatának a betanítását. Lényegesebb új fejlesztéseknél konzultálni ajánlatos mind az üzemeltetőkkel (operátorokkal), mind a felhasználókkal a fejlesztési folyamat minden lépéséhez annak érdekében, hogy gondoskodjunk a javasolt rendszerterv üzemi hatékonyságáról.
2004. 07. 19.
0.91 verzió
100
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.3. Védelem rosszindulatú programok ellen Megvédeni a szoftver és az információ sértetlenségét. Elővigyázatossági intézkedésekre van szükség ahhoz, hogy a rosszindulatú szoftver behatolását (introduction) megelőzzük és észleljük. A szoftver és az információfeldolgozó eszközök igencsak sérülékenyek az olyan rosszindulatú szoftverek behatolásával (introduction) szemben, mint a számítógépvírusok, a hálózati kukacok, a trójai falovak (lásd a 10.5.4. szakaszt) és a logikai bombák. A felhasználóknak ajánlatos tudatában lenniük, hogy a jogosulatlan és a rosszindulatú szoftverek milyen veszélyesek, a vezető menedzsereknek, ahol csak szükséges, ajánlatos bevezetniük a különleges óvintézkedéseket, hogy azok behatolását megakadályozzák. Különösen az lényeges, hogy a személyi számítógépeken tegyünk óvintézkedéseket a számítógépvírusok behatolásának megelőzésére és észlelésére. A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak bevinni környezetekbe a hálózati csatlakozásokon keresztül. Megfelelő biztosítékok nélkül rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. A kártékony kód hatástalanná teheti a biztosítékokat (például kitudódnak a jelszavak), nem szándékolt változásokat okozhat az információkban vagy el is pusztíthatja azokat és/vagy illetéktelenül használhatja a rendszer erőforrásait. A rosszindulatú kódok néhány formáját meg lehet találni, és el lehet távolítani speciális keresőprogramokkal. Keresők rendelkezésre állnak tűzfalakhoz, állomány- és levelezési kiszolgálókhoz, munkaállomásokhoz. Az újabb rosszindulatú kódok elleni védekezésül nagyon fontos biztosítani a kereső szoftver naprakészen való tartását, legalább heti frissítés útján. A felhasználóknak és a rendszergazdáknak tudniuk kell, hogy a keresők nem találnak meg minden rosszindulatú kódot (még az egyetlen fajtához tartozó összes változatot sem), mivel folyamatosan jelennek meg azok új formái. Ezért további biztosítékokra van szükség a keresők által adott biztonság növelésére. A hálózati csatlakozással rendelkező rendszerek felhasználóinak és rendszergazdáinak azzal is tisztában kell lenniük, hogy a rosszindulatú kódok szempontjából a normálisnál nagyobb kockázattal jár, ha külső kapcsolaton keresztül működnek együtt külső felekkel. A felhasználók és rendszergazdák részére eljárási gyakorlati útmutatásokat kell kidolgozni rosszindulatú kód behurcolási lehetőségének minimalizálására. 2004. 07. 19.
0.91 verzió
101
Az informatikai biztonság irányításának követelményrendszere (tervezet) A felhasználóknak és rendszergazdáknak különös figyelmet kell fordítaniuk arra, hogy a hálózati kapcsolatban érintett rendszereket és alkalmazásokat úgy állítsák be, hogy minden, az adott körülmények között szükségtelen funkciót letiltsanak. Példa: a PC-s alkalmazások esetében a makrók használatát alaphelyzetben ki kell kapcsolni, vagy végrehajtásukat a felhasználó jóváhagyásához kell kötni. A rosszindulatú kód a bizalmasság elvesztéséhez vezethet, például a jelszavak megszerzése és feltárása útján. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény időben történő jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történő belépési kísérletek felderítésére. c) Megfelelő titkosítás. A rosszindulatú kód a sértetlenség elvesztéséhez vezethet, például úgy, hogy egy személy a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy állományokat módosít. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény időben történő jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történő belépési kísérletek felderítésére. A rosszindulatú kód felhasználható az azonosítási és hitelesítési rendszerek és ezzel az összes ezekhez kapcsolódó biztonsági tevékenység megtévesztésére, például úgy, hogy egy személy a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy állományokat semmisít meg. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény időben történő jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történő belépési kísérletek felderítésére.
8.3.1. A rosszindulatú programokat ellenőrző eszközök A rosszindulatú szoftver elleni védelem érdekében ajánlatos észlelő (detektáló) és megelőző óvintézkedéseket, valamint alkalmas, a felhasználókat tudatosító eljárásokat megvalósí2004. 07. 19.
0.91 verzió
102
Az informatikai biztonság irányításának követelményrendszere (tervezet) tani. A rosszindulatú szoftver ellen védelmet a tudatos biztonság, az alkalmas hozzáférés és változáskezelés (változásmenedzselés) óvintézkedéseire ajánlatos alapozni. A következő óvintézkedéseket ajánlatos megfontolni: a) egy olyan formális szabályzatot, amely megköveteli a megfelelést a szoftver-licenszeknek, és megtiltja a jogtalan szoftverhasználatot, b) formális szabályzatot, amely véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külső hálózatokból, vagy azokon át való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, és amely szabályzat azt is megadja, hogy milyen védelmi intézkedéseket ajánlatos hozni (lásd még a 10.5. szakaszt, különösen annak 10.5.4. és 10.5.5. részét), c) a vírusokat detektáló és hatásait kijavító szoftver telepítését és szabályos időközönkénti frissítését (update) a számítógépek és az adathordozók átvizsgálására akár elővigyázatossági óvintézkedésképpen, akár rutinfeladatként, d) a kritikus üzleti folyamatokat segítő rendszerek szoftverének és adattartalmának szabályos időközönkénti felülvizsgálatát. Formálisan ajánlatos levizsgálni a vizsgálatlan állományokat/fájlokat és a jogosulatlan módosításokat, ha vannak, e) bizonytalan vagy jogosulatlan származású/eredetű elektronikus adathordozón kapott, vagy a bizalmat nem élvező (untrusted) hálózaton át kapott állományok/fájlok használat előtti vírusfertőzöttségi ellenőrzését, f) minden elektronikusan kapott levélmelléklet és letöltések használat előtti rosszindulatú szoftverrel való fertőzöttségének az ellenőrzését. Ez az ellenőrzés különböző helyeken történhet, például az elektronikus levelezőrendszer szerverén, asztali számítógépeken, vagy ott, ahol a szervezet hálózatába belépnek, g) a rendszerek vírusvédelmével foglalkozó, ezek használatát betanító, a vírustámadásról jelentést készítő és azokból helyreállítást végző vezetői-menedzseri eljárásokat és felelősségeket (lásd a 6.3. és a 8.1.3. szakaszt), h) az alkalmas üzleti folyamatossági terveket, amelyek a vírustámadás utáni helyreállításra vonatkoznak, beleértve valamennyi szükséges adatmentési, szoftvertartalékolási és visszatérési eljárásokat, i) azokat az eljárásokat, amelyek a rosszindulatú szoftverrel kapcsolatos információt hivatottak igazolni és gondoskodnak arról, hogy a vírusfigyelmeztető kiadványok (bulletínok)
2004. 07. 19.
0.91 verzió
103
Az informatikai biztonság irányításának követelményrendszere (tervezet) pontosak és tájékoztatóak. Menedzsereknek ajánlatos gondoskodniuk arról, hogy a megtévesztés (hoax) és a valódi vírus közötti megkülönböztetésre minősített forrásokból származó anyagokat alkalmaznak, tekintélyes szaklapokból, megbízható Internet helyszínekről, vagy vírusvédő szoftverek szállítóitól. A személyzetben ajánlatos tudatosítani a megtévesztések problémáját és azt is, hogy mit ajánlatos tenniük, ha ilyent észlelnek, kapnak. Ezek különösen fontosak az olyan hálózati fájlkezelő kiszolgálógépek esetében, amelyek sok munkaállomást szolgálnak ki.
8.3.1.1. A vírusvédelmi rendszer kialakítása és működtetése A rosszindulatú kódokat a rendszerekbe külső csatlakozásokon és hordozható lemezeken behozott állományokon és szoftvereken keresztül lehet behurcolni. Megfelelő biztosítékok alkalmazása nélkül a rosszindulatú kód mindaddig rejtve maradhat, amíg kárt nem okoz. A rosszindulatú kód a biztosítékok működését is lehetetlenné teheti (például a jelszavak elfogása és felfedése útján), felfedheti az érzékeny információkat vagy megváltoztathatja azokat, a rendszer sértetlenségének elvesztéséhez vezethet, de meg is semmisítheti az információkat vagy illetéktelenül használhatja az erőforrásokat. A rosszindulatú kódok következő fajtáit ismerjük: a) vírusok, b) férgek, c) trójai falovak. A rosszindulatú kódok hordozói a következők: a) végrehajtható (futtatható) szoftverek, b) adatállományok, melyek végrehajtható makrókat tartalmaznak, például szövegszerkesztővel készült dokumentumok vagy táblázatok, c) aktív tartalmat hordozó weboldalak. A rosszindulatú kódokat a következő módokon lehet továbbadni: a) floppylemezek, b) egyéb kivehető adathordozó, c) elektronikus levél,
2004. 07. 19.
0.91 verzió
104
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) hálózatok, e) távoli hozzáférés, f) letöltések. A rosszindulatú kódok megjelenése lehet szándékos tevékenység következménye vagy olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók számára. A rosszindulatú kódok elleni védelmet a következő biztosítékokkal lehet elérni: 1.
Keresők A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális
kereső szoftverekkel és sértetlenség ellenőrző eszközökkel. A keresők off-line és on-line módon üzemelhetnek. Az on-line működés aktív védelmet biztosít, azaz felfedi (és valószínűleg el is távolítja) a rosszindulatú kódot még mielőtt bármilyen fertőzés történhetne, és károk keletkeznének az informatikai rendszerben. A keresők rendelkezésre állnak különálló számítógépekhez, munkaállomásokhoz, állomány- és elektronikus levelezési kiszolgálókhoz, proxikhoz és tűzfalakhoz. Mindazonáltal a felhasználóknak és a rendszergazdáknak tisztában kell lenniük azzal, hogy nem lehet abban bízni, hogy a keresők minden rosszindulatú kódot megtalálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg ezek új formái. 2.
Sértetlenség ellenőrző eszközök: Jellemzően egyéb biztosítékok szükségesek a keresők által nyújtott biztonság növelésé-
hez. Például ellenőrző összegeket használnak annak eldöntésére, hogy egy program módosulte vagy sem. A sértetlenséget ellenőrző szoftverek lényeges részét képezik a rosszindulatú kódok ellen védő technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és programok esetében lehet használni, amelyek nem őriznek meg későbbi használatra szánt állapotinformációkat. 3.
Kivehető adattárolók forgalmának ellenőrzése Az adattárolók felügyelet nélküli mozgása (különösen a floppylemezek, CD és DVD
lemezek és Flash memóriák esetében) jelentős veszélyt jelent a szervezet informatikai rendszereire. Az adathordozóforgalom ellenőrzését a következők használatával lehet megvalósítani: a) speciális szoftverek,
2004. 07. 19.
0.91 verzió
105
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) eljárási biztosítékok (lásd alább). 4.
Eljárási biztosítékok A felhasználóknak és rendszergazdáknak szóló útmutatókat kell kifejleszteni azoknak
az eljárásoknak és gyakorlatoknak a bemutatására, melyekkel a rosszindulatú kódok behurcolásának lehetőségét minimalizálni lehet. Ezeknek az útmutatásoknak ki kell térniük a játékok és egyéb szoftverek betöltésére, a különböző internetes szolgáltatások használatára és különböző adatállományok importjára. A biztonsági tudatosság fejlesztésére irányuló képzés, fegyelmet fokozó tevékenység és más kapcsolódó eljárások szükségesek a rosszindulatú kódok megelőzését szolgáló dokumentált eljárások és gyakorlatok be nem tartása esetén.
2004. 07. 19.
0.91 verzió
106
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.4. Operátori tevékenységek 8.4.1. Az adatmentések tartalék példányai A lényeges üzleti információ és szoftver biztonsági tartalékmásolatait ajánlatos időről időre elkészíteni. Kellő mértékben ajánlatos rendelkezésre bocsátani tartalék eszközöket is, hogy minden lényeges üzleti információ és szoftver helyreállítható legyen akármilyen katasztrófa vagy adathordozó közeg meghibásodása után. Az egyes rendszerek tartalékelrendezéseit időről időre ajánlatos levizsgálni (tesztelni) annak érdekében, hogy az üzlet folyamatossági terveiben (lásd a 11. szakaszban) meghatározott követelményeket kielégítsék. A következő óvintézkedéseket ajánlatos megfontolni: a) A biztonsági minimális mennyiségű tartalékinformációt, a tartalékmásolatok pontos és teljes rekordjaival együtt, valamint a visszaállítás írásban foglalt (dokumentált) eljárásait távoli helyen ajánlatos biztonságba helyezni, tehát elég távol tárolni ahhoz, hogy bármely rongálódástól meg legyenek kímélve, ha a rendeltetési helyén (main site) katasztrófa következnék be. A lényeges üzleti információ körében a biztonsági tartalék információnak legalább három generációját, azaz ciklusát ajánlatos megőrizni. b) A biztonsági tartalékinformációt megfelelő szintű fizikai és környezeti védelemmel ajánlatos ellátni (lásd a 7. szakaszban), ugyanazzal a szabvánnyal összhangban, mint amelyet a rendeltetési helyén alkalmaztunk. Az adathordozó közegek körére a rendeltetési helyén érvényesített óvintézkedések hatályát ajánlatos kiterjeszteni a tartalékok elhelyezési körletére is. c) A biztonsági tartalék adathordozóit, ahol az kivihető, időről időre ajánlatos levizsgálni annak érdekében, hogy megbizonyosodjunk, azokra akkor is számíthatunk, ha vészhelyzetben szükségünk lesz felhasználásukra. d) A visszatérési/helyreállítási eljárásokat ajánlatos időről időre ellenőrizni, és levizsgálni annak érdekében, hogy megbizonyosodjunk, azok hatékonyak és elvégezhetőek azon idő alatt, amelyet az üzemi eljárások a visszatérésre megszabtak. A lényeges üzleti információ megtartási időszakát mindazokkal a követelményekkel együtt ajánlatos meghatározni, amelyeket az archivált másolatokra érvényesítünk annak érdekében, hogy állandóan megtartsuk azokat (lásd a 12.1.3. szakaszt).
2004. 07. 19.
0.91 verzió
107
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.4.2. Operátori naplók Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét. A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A minimálisan regisztrálandó események a következők: a) rendszerindítások, -leállások, leállítások, b) rendszerhibák és korrekciós intézkedések, c) programindítások és -leállások, leállítások, d) az azonosítási és hitelesítési mechanizmus használata, e) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz, f) az adatállományok és kimeneti adatok kezelésének visszaigazolása, g) azonosítóval ellátott erőforrás létrehozása vagy törlése, h) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik. Az informatikai rendszer üzemeltetése során operátori naplót kell vezetni, amelyet az informatikai szervezeti egység felelős vezetőjének és az Informatikai Biztonsági Megbízottnak rendszeresen ellenőriznie kell. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét. Az informatikai rendszer üzemeltetéséről nyilvántartást kell vezetni, amelyet az informatikai vezető által kijelölt személynek rendszeresen ellenőriznie kell.
2004. 07. 19.
0.91 verzió
108
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.4.3. Az üzemzavarok naplózása Az üzemzavarok bejelentését követően korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt hibákat naplózni kell. Az üzemzavar kezelésének szabályai: a) A hibanapló vizsgálata és a hiba kezelésének, elhárításának ellenőrzése. b) Korrekciós intézkedések vizsgálata, illetve ezek végrehajtásának és a kezdeményezett intézkedések engedélyezésének szabályosságának ellenőrzése.
2004. 07. 19.
0.91 verzió
109
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.5. Hálózatmenedzsment Meg kell óvni a hálózaton áthaladó információt, és megvédeni az ezt lebonyolító infrastruktúrát. Bármilyen hálózat felügyeletét biztonságos módon kell végezni, és valóban támogatást kell nyújtani a hálózati biztonság felügyeletéhez. Ezt a különböző hálózati protokollok felhasználásával és kapcsolódó biztonsági szolgáltatásokkal kell megvalósítani. A hálózatmenedzsment segítségével kell meghatározni a hálózatok adattartalma biztonságát és az infrastruktúra védelmét, különös tekintettel a több szervezetet átfogó hálózatokra.
8.5.1. Hálózati ellenőrző eszközök Olyan ellenőrző eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat megóvják az illetéktelen hozzáférésektől. a) A hálózatok és a számítógépek működtetésének feladatait szét kell választani. b) A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközökre van szükség. c) Pontosan definiálni kell a hálózat határait. A hálózat biztonságos szegmentálásának kialakításáért az informatikai vezető által kijelölt személy (vezető) a felelős.
2004. 07. 19.
0.91 verzió
110
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.6. Az adathordozók biztonságos kezelése Az eszközök károsodásának megelőzése, és az üzleti tevékenységekben okozott fennakadás megakadályozása érdekében: a) Gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről. b) Meg kell előzni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését. c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését. d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni. e) A szervezetnél csak nyilvántartott és egyedi azonosítóval ellátott adathordozót szabad használni. f) A szervezeten kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helyeken, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások elvégzése után szabad (például vírus ellenőrzés). g) Minden adathordozót újraalkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell. h) Az adattípus (minősítés) felismerhető jelölését a számítástechnikai berendezéssel előállított adattároló és megjelenítő eszközökön biztosítani kell. i) Az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell.
8.6.1. Hordozható adathordozók kezelése Az adathordozókat biztonságos módon kell kezelni. Annak érdekében, hogy ezek az adathordozók ne kerülhessenek illetéktelen felhasználásra, a következők szerint kell eljárni: a) Nem minősített adathordozókat az ügyviteli (iratkezelési) szabályzat előírásai szerint kell kezelni.
2004. 07. 19.
0.91 verzió
111
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és a titokvédelmi szabályzat szerint kell tárolni és kezelni.
8.6.2. Az adathordozók tárolása Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen kell tárolni, vagy amennyiben ezek munkaközi példányok, meg kell semmisíteni. Ezek a következők: kinyomtatott dokumentumok, hang- és egyéb adatrögzítés, nyomtatópapír, kimeneti jelentések, egyszer használatos nyomtatószalagok, mágnesszalagok, mobil diszkek és kazetták, optikai tárolóeszközök (összes lehetséges formája, ide értve a telepítőkészleteket gyártó terjesztéséhez alkalmazott adathordozókat), programlisták, tesztadatok, rendszerdokumentáció. Az érzékeny tételek elhelyezéséről az üzemeltetésért felelős vezetőnek naplót kell vezetnie. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a rendszerszintű IBSZ-ekben meg kell határozni: a) a tárolók környezeti paramétereire vonatkozó előírásokat és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket, b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres átírás), c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat, d) az adathordozók kölcsönzésével kapcsolatos előírásokat, e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó előírásokat. A fokozott biztonsági osztályba sorolt minősítésű adathordozók tárolása csak megbízhatóan zárt helyiségben, minimum 30 perces tűzállóságú tároló szekrényben történhet.
8.6.3. Adatkezelési eljárások Az adatok illetéktelen közzétételének, illetve felhasználásának megakadályozása érdekében szükségesek az adatkezelést (-tárolást, -feldolgozást) szabályozó eljárások. Ezeknek az eljárásoknak – az adatok minősítésének megfelelően – igazodniuk kell az előírásokhoz, szabályzatokhoz, számítástechnikai rendszerekhez, hálózatokhoz, a használt számítástechnikai
2004. 07. 19.
0.91 verzió
112
Az informatikai biztonság irányításának követelményrendszere (tervezet) eszközökhöz, távközlési, hangátviteli és multimédiás, levelező- stb. rendszerekhez. Az adatkezelési eljárások előírása, meghatározása során a következőket kell figyelembe venni: a) Az összes adathordozó kezelése és címkézése. b) Az illetéktelen személyek kiszűrése, hozzáférésük megakadályozása. c) A bemenő adatok teljeskörűségének, az adatfeldolgozás teljességének és a kimeneti adatok hitelesítésének ellenőrzése. d) A be- és kimenő adatok védelme, a védettség mértékének az adatok érzékenységéhez való igazítása. e) Az adatok elosztásának szabályozása, ellenőrzése és korlátozása. f) Az adatok minősítését, kezelési jelzését kötelezően alkalmazni kell és a változásokat automatikusan naplózni kell. g) Rendszeresen ellenőrizni kell az adatok minősítésének alkalmazását. h) A biztonsági naplófájlokat az arra feljogosított személynek a rendszer minősítésének megfelelő, meghatározott módon kell kezelnie, illetve kiértékelnie. i) Az észlelt eltéréseket (hibás kezelés, jogosultság megsértésének a kísérlete) haladéktalanul ki kell vizsgálni és az eredményt jegyzőkönyvben kell rögzíteni. Ezért az adott szervezeti egység vezetője a felelős.
8.6.4. Az IT rendszer dokumentációjának biztonsága Az informatikai rendszerek dokumentációja biztonságilag érzékeny adatokat is tartalmazhat, ilyen érzékeny adat lehet a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek, vagy az engedélyezési folyamatok ismertetése. Az illetéktelen hozzáférés megelőzése érdekében: a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról. b) Minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentációkhoz. c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről.
2004. 07. 19.
0.91 verzió
113
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelő módon kell kezelni. e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani. f) Gondoskodni kell a változások menedzseléséről és a biztonságot érintő változások, változtatások naplózásáról. g) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni. h) Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához és üzemeltetéséhez, a rendszer funkcionalitásának és megbízható üzemeltetésének biztosításához a következő dokumentációk szükségesek:
Késztermék
Fejlesztett termék
Szállítási dokumentáció, minőségi bizonyít- Architektúra és konfiguráció szintű dokumenvány
táció
Rendszerelemek, egységek dokumentációi
Modul szintű dokumentáció
Teljes rendszerdokumentáció
Teljes rendszerdokumentáció
Rendszerteszt dokumentáció
Tesztkövetelmények és eljárások dokumentációja modul szinten
Üzemeltetési dokumentáció (normál üzemel- Tesztkövetelmények és eljárások dokumentátetés, hibaelhárítás, újraindítás) Felhasználói dokumentáció
ciója rendszer szinten Felhasználói dokumentáció Átadás-átvételi dokumentáció Üzemeltetési dokumentáció (normál üzemel-
Biztonsági rendszer dokumentációja
tetés, hibaelhárítás, újraindítás) Biztonsági rendszer dokumentációja
i) A biztonsági rendszerek, alrendszerek dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, va-
2004. 07. 19.
0.91 verzió
114
Az informatikai biztonság irányításának követelményrendszere (tervezet) lamint az üzemeltetés során. Biztonsági rendszer, alrendszer dokumentációját csak az Informatikai biztonsági szervezeti egység munkatársai, illetve a Biztonsági Vezető által engedélyezett személyek kezelhetik.
2004. 07. 19.
0.91 verzió
115
Az informatikai biztonság irányításának követelményrendszere (tervezet)
8.7. Adatok és programok cseréje A szervezetek között cserélt adatok és programok elvesztésének, módosításának vagy illetéktelen felhasználásának lehetőségét is meg kell akadályozni. Az adatok és a programok szervezetek közötti átadását, cseréjét ellenőrizni kell. A cserének meg kell felelnie a hatályos törvényeknek és egyéb szabályozóknak. Mérlegelni kell az elektronikus adatcsere, az elektronikus kereskedelem és az e-mail üzleti és biztonsági kockázatát, annak következményeit és az ellenőrző eszközök alkalmazására vonatkozó követelményeket. Olyan körülmények között, amikor fontos a bizalmasság fenntartása, meg kell fontolni a titkosítással kapcsolatos biztosítékok alkalmazását a hálózaton áthaladó adatforgalom titkosítása érdekében. A titkosítási biztosítékok használatával kapcsolatban a következőket kell figyelembe venni: a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok számos országot és ezzel igazságszolgáltatást érintenek), b) a kulcsmenedzsment követelményeit és a legyőzendő nehézségeket, annak biztosítására, hogy valóban a biztonság növekedését érjük el anélkül, hogy jelentős új sérülékenységeket okoznánk, c) a titkosító mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a kívánt védelemi szintre. Olyan körülmények között, amikor fontos a sértetlenség fenntartása, meg kell fontolni az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatát a hálózaton áthaladó információk védelmében. Az üzenet sértetlenségét garantáló biztosítékok (például üzenethitelesítő kódok használata) megfelelő lehet olyan esetekben, amikor a véletlen vagy szándékos megváltoztatás, hozzáadás vagy törlés elleni védelem a fő követelmény. Az elektronikus aláírás biztosítékok hasonló védelmet nyújtanak, mint az üzenet hitelesítő biztosítékok, de vannak olyan tulajdonságaik is, amelyek a letagadhatatlanságot támogató eljárásokat tesznek lehetővé. Az elektronikus aláírás és az üzenet hitelesítő biztosítékok alkalmazása közötti döntéskor figyelembe kell venni a következőket:
2004. 07. 19.
0.91 verzió
116
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok számos országot és ezzel igazságszolgáltatást érintenek), b) az alkalmazható nyilvános kulcsú infrastruktúrákat, c) a kulcsmenedzsment követelményeit és a legyőzendő nehézségeket, annak biztosításáraa, hogy valóban a biztonság növekedését érjük el anélkül, hogy jelentős új sérülékenységeket okoznánk, d) az alapot képező mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a kívánt védelemi szintre, e) a felhasználók és egyedek kulcsokkal kapcsolatos megbízható (ahol megoldható hiteles) regisztrációját az elektronikus aláírási rendszerekben.
8.7.1. Megállapodások az adatok és programok cseréjéről A szervezet más szervezettel adat- és programcserét kizárólag írásbeli szerződés alapján bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is. A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni: a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait. b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait. c) Adatvesztéssel kapcsolatos kötelezettséget és felelősséget. d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet előírásait minden érintett félnél. e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfiai kulcsok).
8.7.2. Adathordozók szállítása Az információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen hozzáférés és visszaélés veszélyének. A számítástechnikai adathordozók biztonsági szállítása érdekében az alábbi ellenőrző eszközök alkalmazását kell mérlegelni. a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el. b) Szállítás során átadás-átvételi bizonylat szükséges. 2004. 07. 19.
0.91 verzió
117
Az informatikai biztonság irányításának követelményrendszere (tervezet) c) A szállítást – lehetőség szerint – több embernek kell végeznie. d) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani. e) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása. f) Épületen kívüli szállítás esetén – például a MABISZ ajánlását figyelembe vevő – megfelelő tárolóeszköz szükséges. g) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerülendő a nyilvánvalóan erős mágneses tér (például nagyfeszültségű távvezetékek). h) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni. i) Az adathordozót tilos őrizetlenül hagyni. j) Az adathordozókat óvni kell a fizikai sérülésektől. k) Az adathordozókon a minősítést megváltoztathatatlanul kell feltüntetni. l) Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy időben tájékoztatnia kell a Biztonsági Vezetőt az eseményről és a megtett intézkedésekről.
8.7.3. Az elektronikus kereskedelem biztonsága Az elektronikus kereskedelem (e-business, e-commerce) biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt sor kerül(het). A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani, melynek legfontosabb feladatai: a) A hozzáférés egységes szabályozása és ellenőrzése. b) Egyszeri azonosítás és hitelesítés (SSO). c) Az elektronikus aláírások kezelése, rejtjelzés, kulcsmenedzsment (CA, PKI). d) Biztonságos adattovábbítás. e) A behatolási kísérletek figyelése (IDS). f) Biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez. g) Az auditálhatóság. 2004. 07. 19.
0.91 verzió
118
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az elektronikus kereskedelmi rendszerek hatékony védelmének kialakításához pontosan meg kell határozni a fenyegetéseket, a potenciális veszélyeket és a várható támadási módszereket.
8.7.4. Az elektronikus levelezés biztonsága 8.7.4.1. Biztonsági kockázatok Elektronikus levelezést az üzleti hírközlésben széles körben alkalmazzák az olyan hagyományos távközlési formák kiváltására, mint a telex és a közönséges levél. Az üzleti kommunikáció hagyományos formáitól az elektronikus levél különbözik, például sebességben, üzenet-szerkezetben, az informálisság mértékében (közvetlenségben), valamint a jogtalan tevékenységekkel szembeni sérülékenységében. Megfontolást ajánlatos tenni az óvintézkedésre vonatkozó igényeket illetően, hogy az elektronikus levelek által keltett biztonsági kockázatokat csökkentsük. Ezek a biztonsági kockázatok magukban foglalják: a) az üzenetek sérülékenységét a jogtalan hozzáféréssel, a módosítással vagy a szolgálat megtagadásával szemben, b) az olyan hibákkal szembeni sérülékenységet, mint például a helytelen címzés, a téves elirányítás, a szolgálat általános megbízhatósága és rendelkezésre állása, c) a hírközlőközeg cseréjének a hatásait, amelyet az üzleti folyamatokra fejt ki, például a közvetítés megnövekedett sebességének a hatása, vagy annak a hatása, hogy formális (üzleti) levelet küldenek, de nem vállalat a vállalatnak, hanem személy a személynek, d) jogi megfontolásokat, mint például az igény, hogy bizonyíthassuk a származást, a feladást, a kézbesítést, az átvételt, e) annak kihatásait/következményeit, hogy a külsőleg hozzáférhető személyzet listáját közzé tesszük, f) a távoli felhasználók hozzáféréseinek ellenőrzését, amikor elektronikus leveleikért bejelentkeznek a levelező rendszerünkbe.
8.7.4.2. Az elektronikus levelezés irányelvei Az elektronikus levelezés biztonságának szabályozásakor a következő fenyegetettségeket kell figyelembe venni:
2004. 07. 19.
0.91 verzió
119
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) Az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának veszélye. b) Emberi hibákból eredő veszélyeztető tényezők, például rossz címzés vagy irányítás. c) Bizalmas adatok továbbításának lehetősége és ennek veszélyei. d) A feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása. e) A kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek. f) Távolról bejelentkező felhasználó biztonsági problémái. g) Az elektronikus levelezés biztonsági irányelvei: h) A levelező rendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új mail-vírusok megjelenését. i) Az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (például nyomon kell követni új szoftverfrissítések, service pack-ok és security-patch file-ok megjelenését). j) Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – például olyan vírus fenyegetettség esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet, – az intraneten kívül eső elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére az Informatikai Vezető és az Informatikai Biztonsági Vezető jogosult. k) Definiálni kell a felhasználók felelősségét, a szervezet érdekeinek védelmében. l) Az elektronikus üzenetek bizalmasságának, illetve hitelességének védelme érdekében használt rejtjelző eszközt (PKI, kulcsok hosszát, tárolásuk módját) az Informatikai biztonsági szervezeti egység engedélyezi. m) Kilépéskor archiválni kell és a kilépés napjától számított 1 évig meg kell őrizni minden olyan felhasználó elektronikus levezését, akiknek munkaviszonya, illetve a jogosultság alapját képező megbízása, szerződése megszűnt. Megőrizendők továbbá azok az elektronikus levelek, amelyek peres eljárások alapját képezhetik. n) A nem hitelesíthető, kétes forrásból származó üzeneteket, ki kell vizsgálni. o) Az elektronikus levelezés forgalmát tartalmilag szűrni kell, a bizalmas adatok kiszivárgásának elkerülése érdekében.
2004. 07. 19.
0.91 verzió
120
Az informatikai biztonság irányításának követelményrendszere (tervezet) p) Minden felhasználót fel kell világosítani arról, hogy a szervezet levelező rendszerén tárolt és továbbított levelek, a szervezet tulajdonát képezik, ezért a szervezet szabályzatokban és utasításokban feljogosított ellenőrző szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van. q) A szervezet levelező rendszere a cég üzletmenetétől idegen reklám, valamint egyéb üzleti célokra nem használható. r) A szervezet elektronikus levelezési címjegyzéke nem szolgáltatható ki harmadik félnek, semmilyen célból.
8.7.5. Irodaautomatizálási rendszerek biztonsága Az automatizált irodai rendszerek olyan komplex tevékenység elősegítésére jöttek létre, amelyek egyaránt tartalmazzák a dokumentumok, hangok és képek elektronikus eszközökkel való előállítását, kezelését, tárolását, valamint továbbítását. Az automatizált irodai rendszerekben használt eszközök (asztali és mobil számítástechnika, hangátvitel, multimédia, stb.) összekapcsolása során több, egymással összefüggő biztonsági követelményt kell mérlegelni: a) A továbbított és felhasznált adatok sebezhetőségének figyelembevétele (a postai küldemények, dokumentumok, faxok, fénymásolók kezelésére az ügyviteli (iratkezelési) szabályzat előírásait kell alkalmazni). b) Az adatok minősítésük szerinti kezelése, a biztonsági osztályba sorolásnak megfelelő védelmi követelmények teljesítése, illetve betartásuk ellenőrzése az adatgazda feladata. c) A felhasználók hozzáférési jogosultságainak meghatározásánál, kiosztásánál és használatuk ellenőrzése során figyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírásait. d) A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése, stb.) haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzőkönyvezni kell. Ezekért az adott szervezeti egység vezetője a felelős. e) Az érzékeny adatok védelmének a biztosítása (jogosultságok, hozzáférés, adatkezelés, stb.).
2004. 07. 19.
0.91 verzió
121
Az informatikai biztonság irányításának követelményrendszere (tervezet) f) A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell kezelni és tárolni, ezt részletesen a rendszerszintű IBSZ-ben kell szabályozni. g) Az irodaautomatizálási rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelően az illetéktelen fizikai hozzáférés ellen is védeni kell.
8.7.6. Nyilvános rendszerek Nyilvános rendszerben – többek között egy Internet hálózaton keresztül elérhető Web-szerveren – közzétett információ esetén szükség van a rendszer joghatóságának területén hatályos törvények, jogszabályok és rendeletek betartására. Egy nyilvános rendszerben a fokozott integritást igénylő számítástechnikai programok, adatok és egyéb információk védelméhez megfelelő eszközökre, – többek között digitális aláírás alkalmazására – van szükség. Az elektronikus hirdető rendszereknél, – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az információ közvetlen beléptetését, – megfelelő eszközökkel kell gondoskodni a következőkről: a) Az információ megszerzésének módja feleljen meg a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvény rendelkezéseinek. b) Időben kerüljön sor a kiadó rendszerbe beléptetett információ pontos és hiánytalan feldolgozására. c) Az adatok kezelése (gyűjtés, tárolás, feldolgozás) során gondoskodni kell a minősített adatok, valamint – a biztonsági osztálynak megfelelően – az informatikai rendszerek védelméről. d) A kiadó rendszerhez való hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik.
8.7.7. Az adatcsere egyéb formái Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési és adatátviteli eszközökön keresztül kicserélt információk védelméről. Az információ nem biztonsá-
2004. 07. 19.
0.91 verzió
122
Az informatikai biztonság irányításának követelményrendszere (tervezet) gos felhasználásának lehetséges okai: a szükséges ismeretek hiánya, az ilyen eszközök használatára vonatkozó irányelvek és eljárások nem kellő ismerete. Figyelembe kell venni azt az eshetőséget is, hogy a távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különböző üzleti információkhoz. A munkavállalók a távközlési és adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani: a) Tekintettel arra, hogy nem hozhatnak nyilvánosságra minősített adatokat, a telefonbeszélgetések során ügyelniük kell: 1) a közvetlen környezetükben tartózkodó emberekre, különösen mobiltelefon használata során, 2) a telefonbeszélgetések – illetve a készülékek – lehallgatására és letapogató eszközök, vevőkészülékek alkalmazására, 3) a hívott félnél tartózkodó személyekre. 4) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken vagy nyitott irodákban. 5) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni. b) A faxgépek használata során a következő eshetőségekre kell tekintettel lenni: 1) a dokumentumok és üzenetek – esetleges – téves számra való elküldése, 2) a gépek szándékos vagy véletlen programozása egy meghatározott címre szánt üzenetek továbbítására, illetéktelen hozzáférés a beépített üzenettárolókhoz, az üzenetek visszakeresése és lehallgatása.
2004. 07. 19.
0.91 verzió
123
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9. HOZZÁFÉRÉS MENEDZSMENT 9.1. A hozzáférés ellenőrzés üzleti követelményei Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerültek a rendszer-erőforrások, alkalmazások, külső összeköttetések, adat(bázis)ok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek. Biztosítékokat használhatunk e területen arra, hogy a) korlátozzuk az információkhoz, számítógépekhez, hálózatokhoz, alkalmazásokhoz, rendszer erőforrásokhoz, állományokhoz és programokhoz való hozzáférést, b) a hibákat és felhasználói tevékenységeket eseménynaplókban rögzítsük és a rögzített részleteket elemezzük a biztonsági események megfelelő módon való felfedésének és kezelésének érdekében. Az általános eljárás a hozzáférés ellenőrzés kikényszerítésére az azonosítás és hitelesítés (A&H) fájlok valamint egyéb erőforrások hozzáférés ellenőrzési listáihoz kapcsolódó részleteinek használata. A logikai hozzáférésellenőrzés és naplózás biztosítékai a következők: 1.
Hozzáférés ellenőrzési politika Minden felhasználó vagy felhasználó csoport számára világosan meghatározott hozzáfé-
rés ellenőrzési politikának kell lennie. Ennek a politikának a szervezeti követelmények alapján kell hozzáférési jogokat adnia a hozzáférhetőség, termelékenység valamint a szükséges és elégséges tudás elvei alapján. Általánosan elfogadott elvnek kell lennie, hogy csak a szükséges jogokat szabad kiadni. A hozzáférési jogok kiosztása során figyelembe kell venni a szervezet megközelítési módját a biztonsággal kapcsolatban (mely lehet nyitott vagy korlátozó), kultúráját az igények kielégítése és a felhasználói támogatás elnyerése érdekében. 2.
Felhasználói hozzáférés a számítógépekhez A számítógépekhez történő felhasználói hozzáférés ellenőrzést bármilyen illetéktelen
hozzáférés megakadályozására használjuk. Képesnek kell lenni azonosítani a felhasználókat és minden azonosított felhasználó személyazonosságát ellenőrizni. Mind a sikeres, mind a
2004. 07. 19.
0.91 verzió
124
Az informatikai biztonság irányításának követelményrendszere (tervezet) sikertelen kísérleteket naplózni kell. A számítógépekhez való hozzáférés ellenőrzése támogatható jelszavakkal vagy bármilyen A&H eljárással. 3.
Felhasználói hozzáférés adatokhoz, szolgáltatásokhoz és alkalmazásokhoz Hozzáférés ellenőrzést kell alkalmazni az adatok és szolgáltatások jogosulatlan hozzáfé-
rés védelmére a számítógépen vagy a hálózaton. Ezt a megfelelő A&H mechanizmusok, a hálózati szolgáltatások közötti csatolók és a hálózat konfigurációja segítségével lehet megtenni, ami biztosítja, hogy csak a rendszerhez engedélyezett hozzáférések valósulhassanak meg (ez a jogok korlátozó elvű kiosztását jelenti). Az alkalmazásokhoz való illetéktelen hozzáférés megakadályozására szerep alapú hozzáférés ellenőrzést kell megvalósítani a felhasználók szervezeti funkcióinak megfelelően. 4.
A hozzáférési jogok felülvizsgálata és módosítása Minden, felhasználóknak kiosztott hozzáférési jogot rendszeresen felül kell vizsgálni és
módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A kiemelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni a visszaélések elkerülése érdekében. A hozzáférési jogokat azonnal vissza kell vonni, ha többé már nincs rájuk szükség. 5.
Ellenőrzési napló Minden informatikai támogatással végzett tevékenységet naplózni kell, és ezeket a nap-
lókat rendszeresen ellenőrizni szükséges, ez tartalmazza a rendszerbe történő sikeres és sikertelen belépési kísérleteket az adatokhoz való hozzáférés naplózását, a rendszer által használt funkciókat stb. A hibákat szintén naplózni kell és ezeket a naplókat rendszeresen ellenőrizni szükséges. A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelően kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági célokra lehet felhasználni ezeket.
9.1.1. Irányelvek és üzleti követelmények 9.1.1.1. A szabályzat és az üzleti követelmények Minden informatikai rendszer hozzáférési rendszerét a megvalósítási projekt során a biztonsági osztálynak megfelelő követelményszinten kell megtervezni. Ebben pontos tartalmat kapnak a munkakörök, az objektumok és a hozzáférési módok, melyek meghatározásához a következőket kell figyelembe venni: a) Az egyes üzleti alkalmazások biztonsági követelményeit. 2004. 07. 19.
0.91 verzió
125
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) Az üzleti alkalmazásokra vonatkozó összes információ azonosítását. c) Az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz a „need to know” elvet, a biztonsági szinteket és az adatminősítés alkalmazását. d) A különböző rendszerek és hálózatok hozzáférést-ellenőrző eszközeit és az információ minősítésére vonatkozó irányelvek közötti összhang megteremtését. e) Az adatok és szolgáltatások elérésének védelmére vonatkozó törvényi rendelkezéseket, társasági szabályzatokat és a szerződésekben rögzített szabályokat. f) Azonos munkavállalói csoportokra vonatkozó egységes irányelveket. g) Hozzáférési jogok kezelését a kapcsolatok összes típusát felismerő osztott és hálózatba szervezett környezetben.
9.1.1.2. A hozzáférés ellenőrzés szabályai A hozzáférés-vezérlésnél a felhasználóknak az adatállományokhoz fűződő jogosultságai egyedi elbírálás alapján személyenként vagy csoportonként kerülnek meghatározásra. a) Az előre meghatározott munkakörök (szerepkörök) szerinti hozzáférés jogosultságvezérlés esetében az előre meghatározott felhasználói szerepkörökhöz, valamint az informatikai rendszer adatállományaihoz és erőforrásaihoz biztonsági címkéket kell hozzárendelni, amelyek tartalmát (adatcsoportok, adatvédelmi szintek, hozzáférési jogok) előre meghatározott módon kell kialakítani. Az egyes felhasználók eltérő szerepkörbe sorolhatók és megkapják a szerepkörhöz rendelt jogokat. A hozzáférés jogosságának elbírálása az adott szerepkör, illetve a hozzáférésre megcélzott adatállomány, erőforrás biztonsági címkéinek összehasonlításával történik. A szerepkör szerint meghatározott hozzáférésjogosultság kiosztás (MAC) használata a 3. és 4. szinten kötelező. b) Mindegyik informatikai rendszernél a minimálisan használandó szerepköröket, valamint az azokhoz tartozó legjellemzőbb funkciókat külön-külön kell meghatározni. A szerepkörök tartalmát az SZMSZ-ben és más utasításokban meghatározott munkakörök, valamint a szervezeti hierarchiában elfoglalt hely határozza meg. c) A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók.
2004. 07. 19.
0.91 verzió
126
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) Az informatikai rendszerrel munkakapcsolatba kerülő valamennyi munkatárs a védelmi rendszertervben konkrétan meghatározott szerepkörbe sorolandó és örökli a szerepkörre meghatározott hozzáférési jogokat. e) A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során az Informatikai Biztonsági Vezetőnek kell meghatározni és jóváhagyatni az adatgazdával.
9.1.1.3. Külső fél hozzáférése Külső fél hozzáférésének menedzsmentje azonos követelményeknek megfelelően, szerződésben rögzített módon kell történjen. A külső fél – igény esetén – a hozzáférés nyilvántartásait a szervezet számára át kell adja.
2004. 07. 19.
0.91 verzió
127
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.2. A felhasználói hozzáférés menedzsmentje Az információs rendszerek illetéktelen elérésének megakadályozása érdekében megfelelő hozzáférési rendszert kell kialakítani. Hozzáférés iránti, illetve jogosultság módosítására, hozzáférés törlésére vonatkozó igény csak írásban kérhető. A beérkezett igényeket nyilvántartásba kell venni. A kiadott engedélyek listáját naprakészen kell tartani. Minden szerepkör feljogosít meghatározott fizikai, illetve logikai biztonsági tartományba (például számítóközpont, szerverszoba, archiváló helyiség, illetve adott alkalmazás, hálózati szegmens, munkahelyi állomás, stb.) történő belépésre és abban az engedélyezett fizikai, illetve logikai objektumokhoz való hozzáférésre az engedélyezett hozzáférési jogokkal. Hivatalos eljárásokkal kell szabályozni az információs rendszerekre és szolgáltatásokra vonatkozó hozzáférési jogok kiosztásának ellenőrzését. Az eljárásoknak ki kell terjedniük a felhasználói hozzáférés életciklusának minden egyes szakaszára, az új felhasználók kezdeti bejelentkezésétől – a felhasználói jogosultságok módosításán át – az olyan felhasználók kijelentkezéséig, akik többé már nem igénylik az információs rendszerek és szolgáltatások elérését. Külön figyelmet érdemel az elsőbbségi hozzáférési jogok kiosztása, melyek lehetővé teszik, hogy egyes felhasználók megkerüljék a rendszer ellenőrző eszközeit.
9.2.1. A felhasználó bejelentkezése Szükség van egy hivatalos be- és kijelentkezési eljárásra, amely alapján mindegyik többfelhasználós rendszerben és szolgáltatásnál szabályozni lehet a felhasználók hozzáférését. A felhasználó-azonosító az informatikai rendszert használó identitásának egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas megjelenítése kell, hogy legyen az informatikai rendszerben. A felhasználók közé sorolandók a természetes személyek, folyamatok, vagy egyéb eszközök egyaránt. Az egyedi felhasználói azonosítót a hozzáférés szabályozására, az adatok és az információk védelmére, valamint a hitelesítés támogatására kell felhasználni. Biztosítani kell, hogy a felhasználó azonosítója az egyes erőforrásokhoz, folyamatokhoz és az adatokhoz való hozzáférést megfelelően szabályozza (korlátozza) és követhető, ugyanakkor a biztonsági funkciók működése során ellenőrizhető legyen a biztonsági rendszer számára.
2004. 07. 19.
0.91 verzió
128
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) A felhasználó-azonosítónak minden esetben egyedinek kell lennie, (azaz semmilyen körülmények között sem adható ki különböző felhasználók részére megegyező azonosító). b) A felhasználói azonosítók képzésére központi névkonvenciós szabályozást kell készíteni. A felhasználói azonosítók képzését a szervezeten belül egy helyen kell végrehajtani. c) A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) naplózni kell. d) Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják. e) A felhasználói azonosítók nem örökérvényűek. Ennek megfelelően a következő szabályokat kell alkalmazni: 1) a szervezet munkatársai, illetve külső munkavállalói – amennyiben munkakörük, illetve beosztásuk alapján az informatikai rendszer szolgáltatásait igénybe vehetik –, munkába állásuk után haladéktalanul kapják meg felhasználói azonosítójukat. Az utasítási jogkört gyakorló vezető – legalább 3 munkanappal – a munkába lépés előtt igényelje meg a felhasználói azonosítót a hozzáférési jogosultságok megjelölésével. Tilos akár csak átmeneti jelleggel is, hogy más munkatárs azonosítóját használják, saját azonosítójuk hiánya miatt. A kapott felhasználói azonosítót haladéktalanul érvényesíteni kell, 2) a szervezet munkatársainak felhasználói azonosítóját munkaviszonyuk megszűnésével, a külső munkavállalók felhasználói azonosítóját megbízatásuk lejártával, haladéktalanul le kell tiltani. A megszűnt munkaviszonyú felhasználó a rendszer szolgáltatásait nem veheti igénybe és erőforrásait nem használhatja, 3) a munkaviszonyukat huzamosabb ideig szüneteltető (például sorkatonai szolgálat, gyermek szülése), illetve a tartósan más okból távollévő (külföldi kiküldetés, elhúzódó gyógykezelés) munkatársak felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell, 4) a munkatársak áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltása, vagy a jogosultságok törlése, illetve új azonosítók vagy jogosultságok létrehozása) az áthelyezéssel egy időben, haladéktalanul át kell vezetni, 5) harmadik személyek, akik valamilyen okból igénybe vehetik a szervezet bármelyik rendszerének szolgáltatásait, csak meghatározott időre, és korlátozott lehetőségeket
2004. 07. 19.
0.91 verzió
129
Az informatikai biztonság irányításának követelményrendszere (tervezet) biztosító (például egy adott projekt keretein belül érvényes) felhasználói azonosítót kaphatnak. A részükre kiadott azonosító szerkezetileg feleljen meg a szervezeten belüli munkatársak azonosítójával, de legyen egyértelműen és könnyen megállapítható, hogy az adott felhasználói azonosító harmadik (külső) személyé, 6) azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének időpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), azonosítóját le kell tiltani és erről a munkatárs munkahelyi vezetőjét értesíteni szükséges, megjelölve az érvénytelenítés okát.
9.2.2. A jogosultságok kezelése Az egyes biztonsági szinteken a következő standard jogosultságokat kell értelmezni: 0., 1. és 2. szinten: a) Ebben az osztályban minimálisan a következő jogokat kell megkülönböztetni: 1) olvasási jog (betekintés), 2) létrehozási jog, 3) módosítási jog, 4) törlési jog. b) A hozzáférés jogosultság vezérlésére a szabad belátás szerint kialakított hozzáférés (DAC) elvét kell alkalmazni. c) Az adminisztrációs és naplózási jogoknak el kell különülni a felhasználói jogoktól. d) A rendszernek alkalmasnak kell lennie a hozzáférési jogok egyedi vagy csoport szinten való megkülönböztetésére és szabályozására. A hasonló szerepű személyek csoportjai munkájának támogatására hozzáférési jogosultsági csoportokat kell kialakítani. 3., és 4. szinten: a) Ebben az osztályban az informatikai rendszer objektumaihoz legalább a következő hozzáférési módokat kell hozzárendelni: 1) olvasási jog (betekintés), 2) létrehozási jog,
2004. 07. 19.
0.91 verzió
130
Az informatikai biztonság irányításának követelményrendszere (tervezet) 3) módosítási jog, 4) selejtezési jog, 5) törlési jog, 6) másolási jog. b) A rendszerrel kapcsolatba kerülő személyekhez a következő hozzáférési módokat kell hozzárendelni: 1) engedélyezési jog, 2) visszavonási jog, 3) olvasási jog (betekintés), 4) létrehozási jog, 5) módosítási jog, 6) selejtezési jog, 7) törlési jog, 8) másolási jog. c) A hozzáférés-jogosultság vezérlésre szerepkör szerint meghatározott hozzáférési jogosultság kiosztás (MAC) elvét kell alkalmazni. d) A konkrét jogosultságokat és a hozzáférésjogosultság vezérlésének konkrét megvalósítási módját az 1-3 pontban rögzítettek alapján az alkalmazásra kerülő hardver/szoftver termékek lehetőségeinek figyelembe vételével kell kialakítani. e) A munkakörökre a fokozott biztonsági osztálynál elmondottak érvényesek azzal a szigorítással, hogy a rendszeradminisztrátor, az operátor és a biztonsági adminisztrátor szerepköröket személyileg is szét kell választani. f) A biztonsági naplóállományokat kettőzötten, az Informatikai Vezető és az Informatikai Biztonsági Vezető által közösen meghatározott módon kell archiválni. g) A felhasználók azonosítására és hitelesítésére (A&H) az egyedileg meghatározott jelszó használatán kívül – az adott rendszerhez és a belépő személyhez elválaszthatatlanul kötött és minősített – kiegészítő azonosító-hitelesítő eszközt kell használni.
2004. 07. 19.
0.91 verzió
131
Az informatikai biztonság irányításának követelményrendszere (tervezet) h) A szervezet informatikai rendszeréhez való hozzáférési jog megadása csak a 3. számú mellékletben szereplő hálózati jogosultság igénylő lap szabályos kitöltése után lehetséges. A hálózati jogosultság igénylő lapok megőrzése és karbantartása az informatikai üzemeltetés feladata.
9.2.3. A felhasználói jelszavak kezelése Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó megadása. A felhasználói jelszavak kezelésére a következő szabályok a mérvadók: a) A felhasználónak kötelezően alá kell írnia egy nyilatkozatot, melyben felelősséget vállal személyes, (esetleg csoportos jelszavainak) bizalmas kezelésére. b) Belépéskor megkapott, illetve – például elfelejtés esetén – ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes – például személyes – azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező. c) Telefonon, illetve elektronikusan aláíratlan e-mailen-en történő kérésre jelszóváltoztatás nem kezdeményezhető. d) A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (például e-mail), vagy személyesen. e) A jelszónak minden felhasználó számára szabadon megváltoztathatónak kell lennie. f) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését: 1) minimális jelszóhossz megadása, 2) a jelszó egyediségét (történeti tárolás), 3) a központi jelszó megadás utáni első bejelentkezéskor a kötelező jelszó cseréjét, 4) a jelszó maximális élettartamát, 5) a jelszó minimális élettartamát, 6) a jelszó zárolását, 7) a jelszó képzési szabályainak – bonyolultsági kritériumnak – meghatározását.
2004. 07. 19.
0.91 verzió
132
Az informatikai biztonság irányításának követelményrendszere (tervezet) g) A számítógépes rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelő rejtjelezési védelemmel kell ellátni. h) A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. i) A felhasználói jelszó hosszával ill. szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket minden esetben az határozza meg, hogy milyen a kiszolgálón tárolt adatok érzékenységi besorolása és ebből következően a kiszolgáló informatikai biztonsági osztályba sorolása. A felhasználó azonosítók és jelszavak rejtjelzetlen formában való tárolása a szervezet rendszereiben szigorúan tilos! Felhasználói azonosítók, jelszavak, rejtjelzőkulcsok és az ehhez tartozó jelszavak biztonsági másolatai lezárt, lepecsételt borítékban, minimum zárható lemezvagy páncélszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. Privilegizált (rendszerszintű hozzáférést lehetővé tévő) felhasználók jelszavait a többi felhasználó számára előírtnál gyakrabban kell cserélni, mert ezek kompromittálódása vagy elvesztése súlyosan sértheti a rendszerek biztonságát. 0. és 1. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idő: 1 év. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést. c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rendszert használunk. d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesztett sémának megfelelően kell végrehajtani. 2., 3. és 4. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 8 karakter, érvényességi idő: 180 nap. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést. 2004. 07. 19.
0.91 verzió
133
Az informatikai biztonság irányításának követelményrendszere (tervezet) c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rendszert használunk. d) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell őrizni erre alkalmas biztonsági konténerben, hogy vészhelyzet esetén is biztosított legyen a rendszerhozzáférés. e) Ahol nem egyszer használatos jelszavak vannak használatban ott a jelszavakat rejtjelzett formában kell tárolni. f) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben. ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesztett sémának megfelelően kell végrehajtani.
9.2.4. A felhasználó hozzáférési jogosultságainak ellenőrzése Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelő legyen. Ennek érdekében: a) A jogosultságokat rendszeres időközönként ellenőrizni kell. Az általános felhasználók esetében ezt évente, míg a kiemelt jogosultsággal rendelkező felhasználók esetében legalább 3 havonta kell megtenni. b) Rendszeresen ellenőrizni kell, hogy privilegizált jogokkal csak egyedileg azonosítható felhasználók, csoportok és eszközök rendelkezhessenek. c) A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelően módosítani kell. d) Az ellenőrzést a szervezeti egység vezetője által kijelölt személy végzi el, és az ellenőrzések eredményéről a negyedéves jelentésében számol be a Biztonsági Vezetőnek.
2004. 07. 19.
0.91 verzió
134
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.3. A felhasználó feladatai Meg kell akadályozni az illetéktelen felhasználói hozzáférést az informatikai rendszer erőforrásaihoz. A biztonság hatékonyságához nélkülözhetetlen az engedéllyel rendelkező felhasználók együttműködése. A felhasználóknak tudomással kell bírniuk a hozzáférés hatékony ellenőrzésére alkalmas eszközök használatáról, különös tekintettel a jelszavak használatára és a felhasználó kezelésében lévő berendezések biztonságára.
9.3.1. Jelszó használat A szervezet informatikai rendszereit használó valamennyi felhasználónak a következő jelszóhasználati szabályokat kell betartania: a) A jelszavakat bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók. b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, azokat két különböző helyen, lemez- vagy páncélszekrényben tárolni. c) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. d) A jelszó hossza haladja meg a 6 karaktert. e) A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználó személyére utaló információkat (például neveket, telefonszámokat, születési dátumokat), összefüggő szövegként ne legyen olvasható. f) Legalább 3 havonta rendszeresen cserélni kell a rendszerben használt felhasználói jelszavakat, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát. g) Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani.
2004. 07. 19.
0.91 verzió
135
Az informatikai biztonság irányításának követelményrendszere (tervezet) h) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. i) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmeztetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót. j) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell. k) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „terhére” könyveli el, és azokért személyesen felel. Amennyiben a felhasználó multiplatformos környezetet, vagy több hitelesítést igénylő alkalmazást használ, lehetőség van a felhasználó számára egyetlen kellő hosszúságú és bonyolultságú jelszó alkalmazására az összes rendszeren. (A multiplatformos rendszerekben használatos jelszó hossza min. 12 karakter, ezen kívül vegyesen tartalmaznia kell alfabetikus és numerikus karaktereket is. Az ilyen jelszavaknál fokozottan ügyelni kell arra, hogy ne tartalmazzanak egymást követő azonos karaktereket.
9.3.2. Felügyelet nélküli berendezések A felhasználóknak gondoskodniuk kell a felügyelet nélkül hagyott eszközök megbízható védelméről. A felhasználó helyiségeiben felállított és a hosszabb időre felügyelet nélkül hagyott berendezéseknél – többek között munkaállomásoknál vagy szervereknél –, külön védelemre lehet szükség az illetéktelen hozzáférés megakadályozására. Mindegyik felhasználónak és harmadik személynek meg kell ismernie a felügyelet nélkül hagyott berendezésékre vonatkozó biztonsági követelményeket és eljárásokat, valamint a védekezés megvalósítására vonatkozó saját felelősségüket. A felhasználókat tájékoztatni kell a következőkről: a) Az informatikai rendszerekhez csak olyan kihelyezett terminál funkció használata engedélyezhető, melynek működése az informatikai rendszerből menedzselhető (beleértve a jogosultságok vezérlését is), továbbá abból szükség esetén kizárható. A központi védelmi funkciók és a távoli csatlakozó berendezés védelmi funkcióinak együttes megléte alapvető feltétele a távoli hozzáférési jog engedélyezésének.
2004. 07. 19.
0.91 verzió
136
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) Azokban a rendszerekben, ahol lehetőség van rá, biztosítani kell a hosszabb ideig inaktív munkaállomások rendszer által kényszerített kijelentkezését, vagy a berendezés blokkolását (lock), például a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált képernyővédő funkciót. (A munkaállomáshoz történő visszatéréskor a képernyővédő funkció feloldása csak sikeres jelszó megadás után legyen lehetséges.) c) A PC-s terminál használata esetén, a PC használatát a nem azonosított és hitelesített felhasználók számára tiltani kell.
2004. 07. 19.
0.91 verzió
137
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.4. A hálózati szintű hozzáférések menedzsmentje A hálózatba szervezett szolgáltatások védelme érdekében a rendszerszintű IBSZ-ekben szabályozni és ellenőrizni kell a belső és külső hálózatba szervezett szolgáltatások elérését annak érdekében, hogy hozzáférési jogosultsággal rendelkező felhasználók ne veszélyeztethessék a hálózatba szervezett szolgáltatások biztonságát. Ellenőrizni kell a belső és külső hálózatokban működő szolgáltatások elérését. Az ellenőrzés és a menedzselés eszközei a következők: a) Megfelelően biztonságos kapcsolatok létesítése a szervezet hálózata és más szervezetek tulajdonában levő hálózatok vagy nyilvános hálózatok között. b) A felhasználók és az eszközök hitelesítésének mechanizmusa. c) Az informatikai szolgáltatások felhasználóinak menedzselése, hozzáférésük vezérlése.
9.4.1. A hálózati szolgáltatások használatának irányelvei A hálózatba szervezett szolgáltatásokhoz való nem eléggé biztonságos csatlakozások hatással lehetnek a szervezet egészére. A felhasználók közvetlenül csak azokhoz a szolgáltatásokhoz férhessenek hozzá, amelyekre engedélyük kifejezetten vonatkozik. Ez az ellenőrzés különösen fontos az érzékeny vagy kritikus alkalmazásokhoz való hálózati csatlakozások vagy a különösen nagy kockázattartalmú helyen tevékenykedő felhasználók – többek között olyan nyilvános vagy külső területek – esetében, amelyek kívül esnek a szervezet biztonsági irányításán és ellenőrzésén. a) A hálózatok és a hálózati szolgáltatások használata során a következő tényezőkre kell figyelni: 1) meg kell határozni az engedélyezett hálózatok, valamint az engedélyezett hálózati szolgáltatások elérési kritériumait, 2) az engedélyezési eljárás során meg kell határozni az engedélyezett hálózatokat és hálózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat, melyek valamiképpen kapcsolatba kerülnek a hálózatokkal és a hálózati szolgáltatásokkal, 3) menedzselési és ellenőrzési eljárásokat kell kialakítani.
2004. 07. 19.
0.91 verzió
138
Az informatikai biztonság irányításának követelményrendszere (tervezet) 4) Az 1-3. alpontok a rendszerszintű IBSZ-ben kerüljenek részletesen kidolgozásra. b) Ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra és hitelesítésre (A&H), hozzáférés-szabályozásra, bizalmasság-megőrzésre és az ellenőrzésre vonatkozó szabályokkal. Mindegyik igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni. c) Az elektronikus úton továbbított üzenetek, állományok tekintetében is az ügyviteli (iratkezelési) szabályzatnak megfelelően kell eljárni. d) A felhasználók számára a hálózati erőforrások használatát, a munkájukat nem veszélyeztető mértékig, korlátozni kell. e) Az adatvesztés és sérülés elkerülése érdekében hibadetektáló és javító eljárásokat kell alkalmazni. f) A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást ne használják illetéktelenül.
9.4.2. Kötelező hozzáférési útvonal Ellenőrizni kell a felhasználói végpont és a számítóközpont közötti útvonalat. A hálózatok alapvető rendeltetése, hogy biztosítsák az erőforrások megosztását és a rugalmas útvonalkiválasztást. Ez esetenként lehetővé teheti az üzleti alkalmazások engedély nélküli elérését, vagy az informatikai eszközök engedély nélküli használatát. Egy felhasználói végpont és a felhasználó által használható számítástechnikai szolgáltatások közötti útvonalat korlátozó ellenőrző eszközök alkalmazása – azaz egy kötelező útvonal kialakítása – csökkentheti a lehetséges kockázatokat. A kötelezően előírt útvonal célja, hogy a felhasználók ne választhassanak a felhasználói végpont és a felhasználó számára hozzáférhető szolgáltatások közötti – az engedélyben rögzített – útvonalon kívül eső útvonalat. Ehhez általában arra van szükség, hogy az útvonal különböző pontjain megvalósuljanak a megfelelő ellenőrző eszközök. Az elv lényege, hogy előre meghatározott választási lehetőségekkel korlátozzák a hálózat minden egyes pontján a választható útvonalak számát. Ennek lehetséges megoldásai:
2004. 07. 19.
0.91 verzió
139
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) A hálózat aktív eszközeivel, az operációs rendszer beállításaival és az alkalmazói programokkal kell biztosítani a lehető legnagyobb fokú hálózati erőforrás-, szegmens- szétválasztást, valamint a felhasználók munkájához szükséges (és csak az ahhoz szükséges) útvonalakat. b) Kiválasztott vonalak vagy telefonszámok kijelölése. c) Az egyes felhasználó által választható menü- és almenü-opciók korlátozása. d) A korlátlan hálózati „böngészés” megakadályozása. e) Meghatározott felhasználói rendszerek és/vagy biztonsági kapuk kötelező használatának elrendelése a külső hálózati felhasználóknál. f) Az engedélyezett forrás és a rendeltetési hely közötti kommunikációk megelőző ellenőrzése biztonsági kapukkal, például tűzfalakkal. g) A hálózati hozzáférés korlátozása különálló logikai struktúrák (például zárt virtuális hálózatok), létrehozásával a szervezeten belül bizonyos felhasználói csoportok számára.
9.4.3. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál A külső kapcsolatok magukban rejtik az üzleti információk illetéktelen elérésének veszélyét, többek között a tárcsázás módszerével. Ezért a távoli felhasználók hozzáférését hitelesítéshez kell kötni. A kriptográfiai technikákra alapozott módszerek lehetővé teszik a felhasználók megbízható hitelesítését. Kockázatelemzés alapján fel kell mérni a védelem szükséges mértékét, annak érdekében, hogy kiválasztható legyen a hitelesítés megfelelő módszere. A távoli felhasználók hitelesítése megoldható többek között egy kriptográfiai technikával, gépi jelzéssel vagy kérdés/felelet protokollal. A csatlakozások forrásának ellenőrzése kiválasztott magánvonalakkal vagy hálózati felhasználói címek ellenőrzésére alkalmas eszközökkel is lehetséges. A visszahívási eljárások és ellenőrző eszközök használata védelmet nyújthat a szervezet adatfeldolgozó eszközeihez való illetéktelen és nem kívánatos hozzáféréssel szemben. Az ilyen jellegű ellenőrzés hitelesíti azokat a felhasználókat, akik egy távoli helyről kívánnak kapcsolatot teremteni a szervezet hálózatával. Mindegyik felhasználói igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irány2004. 07. 19.
0.91 verzió
140
Az informatikai biztonság irányításának követelményrendszere (tervezet) elveket kidolgozni. A felhasználókkal a szolgáltatások indítása, vagy az azokkal történő kommunikáció megkezdése előtt végre kell hajtani a hitelesítési eljárást. a) Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét. b) A hálózati erőforrások használatát a felhasználók számára korlátozni kell. c) Megosztott erőforrások csak azonosítás és hitelesítés után legyenek elérhetők. Munkaállomások megosztását (azok védelmének nehézsége miatt) kerülni kell. d) Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call back) lehetőségét. Ennek meghatározását a rendszerszintű IBSZ-nek kell megadnia. e) Csak a kellően biztonságos környezettel, technikákkal biztosított helyeken lehet a távoli elérést biztosítani. f) Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani.
9.4.4. Távoli munkaállomás azonosítása és hitelesítése A távoli rendszerekhez történő automatikus csatlakozás lehetősége egy üzleti alkalmazáshoz való illetéktelen hozzáférést tehet lehetővé, ezért az informatikai rendszerekhez távolról való összes csatlakozást azonosítani és hitelesíteni kell. Ez különösen fontos akkor, ha a csatlakozás egy olyan hálózatot használ, amely kívül esik a szervezet biztonsági rendszerének hatókörén. A hitelesítés néhány példáját, és azt, hogy hogyan lehet ezt elérni, az előző 9.4.3. pont mutatja. Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról lehessen a rendszerekbe belépni. Egységes munkaállomás-névhasználatot kell kialakítani, a hálózatban lévő munkaállomások pontos azonosítása érdekében.
9.4.5. A távdiagnosztikai portok védelme Meg kell oldani a diagnosztikai portok hozzáférésének biztonságos ellenőrzését. Számos számítógép és kommunikációs rendszer rendelkezik egy tárcsázással működtethető távoli diagnosztikai eszközzel, amelyet a karbantartásért felelős műszaki szakemberek használhatnak. Kellő védelem hiányában ezek a diagnosztikai illesztőegységek az illetéktelen hozzáférés eszközeiként használhatók. Ezért megfelelő biztonsági mechanizmussal, többek között zárral
2004. 07. 19.
0.91 verzió
141
Az informatikai biztonság irányításának követelményrendszere (tervezet) vagy eljárással gondoskodni kell arról, hogy ezekhez csak az Informatikai Vezető és a hozzáférésre jogosult hardver/szoftver kiszolgáló szervezet közötti megállapodás alapján lehessen hozzáférni. a) A távdiagnosztikai szolgáltatással rendelkező eszközök esetén a menedzselést csak azonosító és jelszó együttes használatával szabad elérni. b) Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott ezt a lehetőséget kifejezetten le kell tiltani.
9.4.6. A hálózatok biztonsági szegmentálása A hálózatok egyre inkább átlépik a hagyományos intézményi, társasági határokat. Létrejönnek olyan új üzleti partneri kapcsolatok és társas vállalkozások, amelyek működése szükségessé teszi az adatfeldolgozó és a hálózati kapacitások összekapcsolását vagy megosztását. Az ilyen kiterjesztések fokozhatják a hálózaton keresztül elérhető információs rendszerekhez való illetéktelen hozzáférés kockázatát. Ennek megelőzése érdekében a rendszerek egy részét – az adatok érzékeny és kritikus volta miatt – védeni kell a hálózat többi felhasználójával szemben. Ilyen körülmények között mérlegelni kell olyan ellenőrző eszközök alkalmazását is, amelyek lehetővé teszik az információs szolgáltatások, a felhasználók és az információs rendszerek különböző csoportjainak elkülönítését. A nagy hálózatok biztonságának ellenőrzésére alkalmas módszerek egyike a hálózatok felosztása önálló (belső és külső) logikai hálózati struktúrákra; ezek mindegyikét egy meghatározott biztonsági gyűrű (háló) védi. Ez kialakítható többek között oly módon is, hogy a két összekapcsolható hálózat között egy biztonsági kapu ellenőrzi a hozzáférést és a két struktúra közötti információáramlást. Ennek a konfigurációnak alkalmasnak kell lennie a két struktúra közötti forgalom szűrésére, valamint – a szervezet hozzáférést ellenőrző hatályos irányelveinek megfelelően – az illetéktelen hozzáférés megakadályozására. Az ilyen kapu egyik jellemző példája az ún. tűzfal. A hálózatok elkülönítésének kritériumait a hozzáférés ellenőrzésére vonatkozó irányelvek és a hozzáférési igények alapján kell kialakítani; aminek során figyelembe kell venni a megfelelő hálózati útvonal-kiválasztási vagy kapuzási technológia tényleges és fajlagos költségeit és a teljesítményre gyakorolt hatását.
2004. 07. 19.
0.91 verzió
142
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.4.7. A hálózatra történő csatlakozások ellenőrzése Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága szükségessé teszi bizonyos ellenőrző eszközök alkalmazását a felhasználók csatlakozási lehetőségeinek korlátozására. (Ezeket a forgalomszűrő, ellenőrző lehetőségeket amennyiben szükséges, a gateway és operációs rendszeri beállításánál alkalmazni kell.) Korlátozó rendelkezéseket többek között az alábbi esetekben célszerű alkalmazni: a) Elektronikus levelezés. b) Egyirányú adatállomány mozgatás (például mentési rendszerek esetében). c) Adatállomány mozgatása mindkét irányban. d) Meghatározott időponthoz kötött hálózati hozzáférés.
9.4.8. A hálózati útvonal kiválasztások ellenőrzése A szervezeten túl terjedő hálózatoknál kötelező az útvonal-kiválasztást ellenőrző és vezérlő eszközök, módszerek alkalmazása, ahol: a) A rendszerdokumentációban pontosan meg kell adni az elérni kívánt eszközök címét, portszámát és egyéb, a biztonsági szűréshez szükséges adatait; b) Az útvonalak kialakításáért felelős személyt ki kell jelölni; c) A beállításokat minden esetben tesztelni és jegyzőkönyvezni kell.
9.4.9. A hálózati szolgáltatások biztonsága Mivel a különböző hálózatok szolgáltatásainak kínálata rendkívül széles, jelentős részük még számos többletszolgáltatással rendelkezik, ezért fontos, hogy a rendszer telepítése során csak azokat a hálózati szolgáltatásokat implementáljuk a rendszerbe, melyekre az üzemeltetéshez feltétlen szükség van. A feleslegesen felinstallált hálózati szolgáltatások, protokollok esetleges biztonsági rések előfordulását megnövelhetik. A rendszerüzemeltetőnek minden esetben fel kell mérnie, és minden részletre kiterjedően dokumentálnia kell az általa alkalmazott hálózati szolgáltatás egyedülálló, illetve összetett biztonsági jellemzőit. Amennyiben több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatot üzemeltető szerv feladata.
2004. 07. 19.
0.91 verzió
143
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.5. Az operációs rendszerszintű hozzáférések ellenőrzése Az informatikai eszközök illetéktelen elérésének megakadályozása érdekében az operációs rendszer szintjén rendelkezésre álló biztonsági lehetőségeket is fel kell használni a számítástechnikai erőforrásokhoz való hozzáférés korlátozásához. Ezeknek a következőket kell lehetővé tenniük: a) Az engedéllyel rendelkező felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása. b) A sikeres és az eredménytelen hozzáférési kísérletek rögzítése. c) Megfelelő hitelesítési eszközök és – jelszókezelő rendszer használata esetén – minőségi jelszavak biztosítása. d) Adott esetben a felhasználók csatlakozási idejének korlátozása. e) Amennyiben az üzleti kockázatok alapján ez indokolt, más hozzáférést vezérlő módszerek (például ujjlenyomat, chipkártya, kérdés-felelet) is alkalmazhatók.
9.5.1. Terminálok automatikus azonosítása, hitelesítése a) A terminál automatikus azonosítása kötelező, ha fontos és indokolt, hogy egy munkát, vagy tranzakciót csak egy adott terminálról lehessen kezdeményezni. b) Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról, címekről lehessen a rendszerekbe belépni. c) Egységes munkaállomás névhasználatot kell kialakítani.
9.5.2. Terminál bejelentkezési eljárások A számítógéprendszerbe való bejelentkezési folyamatnak minimumra kell csökkentenie az illetéktelen hozzáférés lehetőségét. a) Ennek során csak a bejelentkezés eredményes befejezése után jelenhet meg a használni kívánt rendszerre vonatkozó adat, azonosító, stb.
2004. 07. 19.
0.91 verzió
144
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása után kerülhet sor; sikertelenség esetén nem jelölheti meg a hibás, elrontott azonosítót, jelszót. c) Korlátozni kell az eredménytelen bejelentkezési kísérletek számát, rögzíteni kell az eredménytelen kísérleteket, időtúllépés esetén meg kell szüntetni az adatátviteli kapcsolatot.
9.5.3. A felhasználó azonosítása, hitelesítése Biztonságos bejelentkezési folyamatot kell kialakítani, melynek során: a) Az azonosítás és hitelesítés keretében a hozzáférési jogosultságot legalább jelszavakkal kell ellenőrizni. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen megkerülhető, illetve könnyen megfejthető. b) A felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas kell, hogy legyen. c) Olyan eszközök, mint a felhasználók által birtokolt adattokok (memory tokens) vagy az elektronikus kártyák (smart cards) ugyancsak használhatóak azonosításra és hitelesítésre (A&H). d) Biometriai hitelesítéstechnikák, amelyek a személy egyedi jellemzőit vagy attribútumait használják fel, ugyancsak használhatóak valamely személy azonosságának azonosítására. (Erősebb hitelesítést nyerhetünk azzal, ha a technológiák és mechanizmusok kombinációját biztonságosan kapcsoljuk egymáshoz.) e) A munkakör megváltozásakor a felhasználók hozzáférési jogosultságait felül kell vizsgálni, és ennek alapján módosítani kell. f) Biztosítani kell a felhasználói azonosítók időszakos vagy végleges letiltásának lehetőségét. g) A rendszer hozzáférés szempontjából meghatározó erőforrásaihoz (például fájlok, tároló területek, berendezések, stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáférési jogosultság meghatározásának alapjául szolgálnak.
9.5.4. Jelszómenedzsment rendszer A jelszavak rendszerszintű kezelését az adott operációs rendszer vagy alkalmazási rendszer beépített jelszó-kezelési rendszere végzi.
2004. 07. 19.
0.91 verzió
145
Az informatikai biztonság irányításának követelményrendszere (tervezet) A jelszókezelő rendszerrel szemben támasztott alapvető követelmények: a) A számon kérhetőség fenntartása érdekében ki kell, hogy kényszerítse az egyéni kulcsszavak használatát, és megadott időközönként azok cseréjét. b) Minden felhasználó számára biztosítania kell, a szabad jelszóváltoztatás lehetőségét. c) Kényszerítse ki a kellő biztonsági szintnek megfelelő jelszavak használatát. d) Központi jelszó megadás utáni első bejelentkezéskor kötelező a jelszócsere. e) Jelszó egyediségét valamint történeti tárolását biztosítani kell. (például a jelszó-kezelő rendszer, nyilvántartást vezet az eddig alkalmazott jelszavakról, és megakadályozza a korábbiak felhasználását.) f) Bejelentkezési folyamat során, a képernyőn rejtse el a jelszót. g) A számítógépes rendszerben tárolt jelszavakat, jelszófájlokat az alkalmazások adataitól elválasztva, megfelelő rejtjelezési védelemmel ellátva kell tárolni. h) Biztosítson lehetőséget a következők beállítására: 1) minimális jelszóhossz megadása, 2) a jelszavak képzési szabályainak meghatározása, 3) jelszó élettartam, 4) a jelszófelfüggesztés, letiltás. 5) A felhasználói jelszó szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket a rendszerszintű IBSZ határozza meg. 0. és 1. szinten: a) Minimális jelszóhossz: 6 karakter. b) Maximális jelszó érvényesség: 1 év. c) Az előzőleg használt jelszavak újrahasználhatóságának tiltása minimum az előző 5 jelszó erejéig. 2., 3. és 4. szinten: a) Minimális jelszóhossz: 8 karakter. b) Maximális jelszó érvényesség: 180 nap.
2004. 07. 19.
0.91 verzió
146
Az informatikai biztonság irányításának követelményrendszere (tervezet) c) Az előzőleg használt jelszavak újrahasználhatóságának tiltása minimum az előző 5 jelszó erejéig.
9.5.5. Rendszer segédprogramok használata Mindazon operációs rendszerelemeket, segédprogramokat, amelyek a munkavégzéshez nem szükségesek, nem kell telepíteni, vagy amennyiben ez elkerülhetetlen úgy, el kell távolítani azokat a rendszerből. Amennyiben ilyen rendszerelemek, segédprogramok használatára szükség van, azt jogosultságokhoz, felhasználókhoz kell kötni.
9.5.6. Támadás-riasztás Azon munkahelyeknél, felhasználóknál, ahol fizikai támadás, vagy kényszer kockázata áll fenn, ott ki kell építeni a „támadásjelző” rendszert.
9.5.7. Terminál időkorlát A szervezet különösen fontos munkaállomásait, illetve a nagy kockázatú rendszereit kiszolgáló inaktív terminálokat, legfeljebb 30 perc elteltével ki kell kapcsolni, az illetéktelen személyek hozzáférésének megakadályozása érdekében. Az időtúllépési késleltetés (time-out delay) értéke tükrözze a terminál elhelyezésével és használóival kapcsolatos kockázatot. Ennek a funkciónak a rendszerszintű IBSZ-ben előírt inaktív időkorlát elteltével automatikus mentést kell végrehajtania, le kell törölnie a képernyőt, be kell zárnia a futó alkalmazásokat, és meg kell szüntetnie a hálózati kapcsolatokat. Az alkalmazott időkorlátnak valamint, a zárolás szintjének meg kell felelnie a rendszer biztonsági osztályának.
9.5.8. Kapcsolati időkorlátozás Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére időkorlátokat kell bevezetni (például Internetes szolgáltatások), ami az illetéktelen hozzáférés lehetőségeit és kockázatát csökkenti.
2004. 07. 19.
0.91 verzió
147
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.6. Alkalmazás szintű hozzáférések vezérlése Az illetéktelen hozzáférés megakadályozására a felhasználói rendszereken belül biztonsági eszközöket is kell alkalmazni. A programok és az adatok logikai hozzáférését minden esetben az engedéllyel rendelkező felhasználókra kell korlátozni. A felhasználói rendszerekben: a) A mindenkori hatályos üzleti hozzáférési irányelveknek megfelelően ellenőrizni kell az adatokhoz és a felhasználói rendszer funkcióihoz való felhasználói hozzáférést. b) Védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram és operációs rendszerprogram számára ott, ahol meg lehet kerülni a rendszer vagy az alkalmazás ellenőrző eszközeit. c) Nem szabad befolyásolnia olyan más rendszerek biztonságát, amelyekkel az adott rendszer megosztva használ különböző informatikai erőforrásokat.
9.6.1. Az adatelérés szabályozása Abban az esetben, amennyiben azt a kialakított rendszer sajátossága szükségessé teszi, az alkalmazás szintjén is szabályozni kell az adatelérést (például megfelelő menük alkalmazásával, a dokumentációhoz és a rendszer funkciókhoz való hozzáférés szelektívvé tételével, stb.). További elvárások az operációs rendszerek felhasználóinak azonosításával, hitelesítésével kapcsolatos pontban részletezettek. 2., 3. és 4. szinten: A rendszernek biztosítania kell az információáramlás felügyeleti megvalósulását.
9.6.2. Érzékeny adatokat kezelő rendszer elkülönítése Érzékeny adatokat csak azon személyek kezelhetnek, akiket erre az SZMSZ által kijelölt vezetők feljogosítanak, továbbá rendelkeznek a megfelelő jogosultságot biztosító felhasználói azonosítóval, a hitelesítést lehetővé tevő jelszóval és – szükség esetén – további azonosításra alkalmas eszközzel. A különlegesen érzékeny adatok kezelésére – indokolt esetben – elkülönített informatikai eszközök is igénybe vehetők.
2004. 07. 19.
0.91 verzió
148
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.7. Hozzáférés a biztonsági monitoring rendszerhez és használata Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében: a) Figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és rögzíteni kell a megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához, és segítséget nyújtsanak a szabályzat aktualizálásához. b) A rendszer nyomon követése tegye lehetővé az ellenőrző eszközök hatékonyságának ellenőrzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését. c) A biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell.
9.7.1. Eseménynaplózás A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni és azt a hozzáférés nyomonkövethetősége érdekében meg kell őrizni. a) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenőrizni lehet a hozzáférések jogosultságát, meg lehet állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét. b) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A következő eseményeket (sikeres/sikertelen) feltétlenül naplózni kell: 1) rendszerindítások, -leállítások, 2) rendszeróra-állítások, 3) be- és kijelentkezések, 4) programleállások, 5) az azonosítási és a hitelesítési mechanizmus használata,
2004. 07. 19.
0.91 verzió
149
Az informatikai biztonság irányításának követelményrendszere (tervezet) 6) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz, 7) azonosítóval ellátott erőforrás létrehozása vagy törlése, 8) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik. c) A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következő adatokat is rögzíteni kell: 1) a felhasználó azonosítása és hitelesítése esetén: − dátum, − időpont, − a felhasználó azonosítója, − az eszköz (például terminál) azonosítója, amelyről az azonosítási és hitelesítési művelet kezdeményezése történt, − a hozzáférési művelet eredményessége vagy sikertelensége. 2) az olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáférési jogok ellenőrzése kötelező: − dátum, − időpont, − a felhasználó azonosítója, − az erőforrás azonosítója, − a hozzáférési kezdeményezés típusa, − a hozzáférés eredményessége vagy sikertelensége. 3) az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező: − dátum, − időpont, − a felhasználó azonosítója, − az erőforrás azonosítója, − a kezdeményezés típusa, 2004. 07. 19.
0.91 verzió
150
Az informatikai biztonság irányításának követelményrendszere (tervezet) − a művelet eredményessége vagy sikertelensége. 4) a felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan műveletei esetén, amelyek a rendszer biztonságát érintik: − dátum, − időpont, − a műveletet végző azonosítója, − az erőforrás azonosítója, amelyre a művelet vonatkozik, − a művelet eredményessége vagy sikertelensége. d) Alapvető naplózási követelmények: 1) kerüljön naplózásra a biztonságot érintő összes tevékenység, 2) a naplófájlok tartalmát megadott időintervallum alapján képernyőn és nyomtatón is meg lehessen jeleníteni, 3) a naplóállományokat tilos megsemmisíteni, felülírni, módosítani, azokat archiválni kell, 4) a naplóállományok kódoltak, ellenőrző összeggel ellátottak legyenek, 5) a fokozott és kiemelt biztonsági osztályba sorolt rendszerek biztonsági naplóit egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen), ennek megvalósításáért az Informatikai Vezető felelős, 6) rögzíteni kell a hibás bejelentkezési kísérletek számát, 7) szükség van egy olyan nyilvántartásra, melyből lekérdezhető, hogy adott képernyőhöz melyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilvántartásra, melyből az kérdezhető le, hogy egy adott felhasználói csoport mely képernyőkhöz és milyen joggal férhet hozzá, 8) rögzíteni kell a jelszócsere dátumát. e) A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenőrizni és archiválni kell.
2004. 07. 19.
0.91 verzió
151
Az informatikai biztonság irányításának követelményrendszere (tervezet) f) A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzőkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és mik ezek a szankciók. g) A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni. h) A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetéktelen hozzáféréstől. i) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotának regisztrálhatónak és dokumentálhatónak kell lennie. j) A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát. k) Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét. 0. és 1. szinten: a) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell határozni a biztonsági naplóbejegyzések élettartamát is. b) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználónevet, dátumot, időt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következő eseményeket kell rögzíteni: 1) A rendszerindítást; 2) felhasználók be- és kijelentkezését; 3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) Naplózási szolgáltatás elindítását és leállítását. c) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstől, ezért ember számára olvasható formában is el kell tárolni.
2004. 07. 19.
0.91 verzió
152
Az informatikai biztonság irányításának követelményrendszere (tervezet) 2., 3. és 4. szinten: a) A rendszer IBSZ-nek minden eseményhez (napló rekordhoz) valósidejű időpecsétet kell rendelnie. b) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell határozni a biztonsági naplóbejegyzések élettartamát is. c) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználónevet, dátumot, időt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következő eseményeket kell rögzíteni: 1) A rendszerindítást; 2) felhasználók be- és kijelentkezését; 3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) Naplózási szolgáltatás elindítását és leállítását. d) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstől, ezért ember számára olvasható formában is el kell tárolni.
9.7.2. A rendszerhasználat követése A felhasználók által elvégzett tevékenységeket – az ellenőrizhetőség érdekében – rögzíteni, naplózni kell. a) Az informatikai rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az informatikai szervezeti egység felelős vezetőjének és az Informatikai Biztonsági Vezetőnek rendszeresen ellenőriznie kell. b) Az informatikai rendszer üzemeltetéséről nyilvántartást (adatkérések, -szolgáltatások, feldolgozások, stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenőriznie kell. c) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani.
2004. 07. 19.
0.91 verzió
153
Az informatikai biztonság irányításának követelményrendszere (tervezet) d) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. 2., 3. és 4. szinten: a) Az ellenőrzési rendszernek riasztania kell támadás esetén, meg kell szakítania és le kell tiltania a támadó folyamatot (process-t) és a felhasználói fiókot (felhasználót), vagy szolgáltatást és meg kell szakítsa a kapcsolatot. b) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására.
9.7.2.1. Kockázati tényezők A naplózási és ellenőrzési tevékenységek eredményeit rendszeresen felül kell vizsgálni. A felülvizsgálat gyakorisága az érintett kockázattól függjön. Ajánlatos, hogy a figyelembe veendő kockázati tényezők magukban foglalják: a) az alkalmazási folyamatok kritikusságát, b) az érintett információ értékét, érzékenységét és kritikusságát, c) a rendszerbe való beszivárgásról és a rendszerrel való visszaélésről szóló korábbi tapasztalatokat, d) a rendszerkapcsolatok kiterjedtségét (különös tekintettel a nyilvános hálózatokra).
9.7.2.2. Az eseménynaplózás és értékelése A naplóellenőrzés magában foglalja azoknak a fenyegetéseknek, veszélyeknek a felismerését, megértését, amelyekkel a rendszerek szembenéznek, és annak a módnak, ahogyan e veszélyek fellépnek. Olyan eseményekre, amelyek a véletlen biztonsági eseményekkel kapcsolatban további vizsgálatot igényelnek, találhatók példák a 9.7.1. szakaszban. A rendszernaplók gyakran tartalmaznak nagy mennyiségben információt, amelynek nagyrésze a biztonsági megfigyelés számára témaidegen. Megfontolás tárgyává ajánlatos tenni, az arra alkalmas üzenetfajtáknak automatikus átmásolását egy második naplóba, és/vagy alkalmas rendszersegédprogramok vagy átvilágítási (auditáló) eszközök alkalmazását az állományok (fájlok) átvizsgálásához annak érdekében, hogy segítsük a biztonsági megfigyelés számára lényeges események azonosítását. 2004. 07. 19.
0.91 verzió
154
Az informatikai biztonság irányításának követelményrendszere (tervezet) Amikor a naplóvizsgálati felelősségeket kiosztjuk, ajánlatos megfontolni a szerepek szétválasztását, elválasztva azon személy(ek) felelősségét, akik a vizsgálatokat végzik, azon személyekétől, akiknek a tevékenységére vonatkozott a megfigyelés. Ajánlatos különös figyelmet fordítani a naplózó eszközök biztonságára, mert ha meghamisíthatták (tampered with), hamis biztonságérzetet kelthetnek. Óvintézkedéseket ajánlatos alkalmazni azért, hogy megvédjük az olyan illetéktelen változtatásoktól és üzemeltetési problémáktól, mint: a) naplózási rendszer, amelyet kiiktattak, b) üzenetfajták, amelyeket rögzítés után módosítottak, c) naplófájlok, amelyeket átszerkesztettek vagy töröltek, d) naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet már velük az eseményekről feljegyzést készíteni, vagy önmagukat írják felül.
9.7.3. Dátum- és időállítás Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és -idő beállítására, mert minden tevékenység viszszakereshetőségének alapja a hiteles, pontos dátum és idő. A rendszerdátum és a -idő beállítására kizárólag az Informatikai Vezető által kijelölt munkatársak jogosultak, az időpont beállítását jegyzőkönyvezni kell. Ahol számítógépi vagy távközlési eszköz képes valós időben szolgáltatni órajelet, akkor azt ajánlatos egyezményes szabvány szerinti időzítésre ráállítani, például az Egyetemes Koordinált Időre (UCT, Universal Co-ordinated Time), vagy valamely helyi szabványos időzítésre.
2004. 07. 19.
0.91 verzió
155
Az informatikai biztonság irányításának követelményrendszere (tervezet)
9.8. Mobil IT tevékenység, távmunka A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek összhangban kell lennie ennek a speciális munkavégzésnek a kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges módját és eszközeit. A mobil számítástechnikai eszközökön az Informatikai Vezetőnek gondoskodni kell a rejtjelzett adattárolásról és adatátvitelről. Távmunka (távoli hozzáférés) esetén a szervezet érintett szervezeti egységeinek gondoskodniuk kell a biztonságos adatkapcsolat létrehozásáról, a kapcsolatot tartó hely védelméről. A mobil informatikai tevékenység és a távmunka szabályozását a Biztonsági Vezetőnek jóvá kell hagynia.
9.8.1. Mobil IT tevékenység A laptopok, notebook-ok, otthoni munkaállomások használóinak mind a fizikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rendszerszintű IBSZ-ekben foglaltakat kell figyelembe venniük. Ezek közül a legfontosabbak: a) A távmunka során is be kell tartani a szervezet szabályzataiban foglaltakat. b) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. c) Ki kell alakítani a mobil informatikai eszközök megfelelő fizikai védelmét. d) A kommunikációhoz rejtjelzett csatornáról kell gondoskodni. e) Vírus- és behatolás védelmi eszközöket kell biztosítani a mobil eszközökre. f) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell fordítani. g) A távoli elérésre vonatkozó szabályokat kell alkalmazni.
2004. 07. 19.
0.91 verzió
156
Az informatikai biztonság irányításának követelményrendszere (tervezet) 0. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idő: 180 nap. b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell őrizni erre alkalmas biztonsági konténerben, hogy vészhelyzet esetén is biztosított legyen a rendszerhozzáférés. d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismereteket szerezzen a hitelesítési folyamatról. f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát. g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesztett sémának megfelelően kell végrehajtani. h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell. i) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelző eszközöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia kell a munkameneteket. j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt az eszközt úgy kell kezelni, mint egy minősített dokumentumot (iratot). k) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszközön magas minősítésű adat tárolása, vagy feldolgozása történik.
2004. 07. 19.
0.91 verzió
157
Az informatikai biztonság irányításának követelményrendszere (tervezet) l) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenőrizze a cserélhető médiákat (például floppy disk). m) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. n) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek. o) A hardver és szoftver karbantartási eljárásokat szabályozni kell. p) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információbiztonsági előírásoknak és követelményeknek megfelelően, a biztonsági szervezet jóváhagyásával. q) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és annak ellenőrzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelős az eszköz biztonságáért. 1. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idő: 180 nap. b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell őrizni erre alkalmas biztonsági konténerben, hogy vészhelyzet esetén is biztosított legyen a rendszerhozzáférés. d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen a hitelesítési folyamatról. f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát.
2004. 07. 19.
0.91 verzió
158
Az informatikai biztonság irányításának követelményrendszere (tervezet) g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesztett sémának megfelelően kell végrehajtani. h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell. i) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelző eszközöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia kell a munkameneteket. j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt az eszközt úgy kell kezelni, mint egy minősített dokumentumot (iratot). k) A hordozható informatikai eszközökön diszkrét címkével kell jelezni azt, hogy az eszközön magas minősítésű adat tárolása, vagy feldolgozása történik. l) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági területet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott szabályok szerint. m) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenőrizze a cserélhető médiákat (például floppy disk). n) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. o) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek. p) A hardver és szoftver karbantartási eljárásokat szabályozni kell. q) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információbiztonsági előírásoknak és követelményeknek megfelelően, a biztonsági szervezet jóváhagyásával. r) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és annak ellenőrzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelős az eszköz biztonságáért.
2004. 07. 19.
0.91 verzió
159
Az informatikai biztonság irányításának követelményrendszere (tervezet) 2. és 3. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 8 karakter, érvényességi idő: 90 nap. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést. c) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. d) Szükséges a kiváltságos account-ok használata (például rendszer, biztonsági adminisztrátor). e) Az összes, jogosultsággal rendelkező felhasználó biztonsági beállításait, egyedileg kell karbantartani. f) A biztonsági vezetésnek a felhasználói azonosító alapján meg kell tudnia határozni az adott felhasználó jogosultságait és szerepkörét. g) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell őrizni erre alkalmas biztonsági konténerben, hogy vészhelyzet esetén is biztosított legyen a rendszerhozzáférés. h) Token alapú (például smartcard) hitelesítési eljárást kell alkalmazni. i) Használaton kívül, a hitelesítési tokent az eszköztől elszeparáltan kell tárolni. j) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. k) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát. l) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen a hitelesítési folyamatról. m) A hitelesítési mechanizmus sikertelen használatát (például access denied, logon failure stb.), és a felhasználó személyazonosságát ellenőrizhetővé, vizsgálhatóvá kell tenni. n) Ahol nem az egyszer használatos jelszavak vannak használatban ott a jelszavakat rejtjelzett formában kell tárolni.
2004. 07. 19.
0.91 verzió
160
Az informatikai biztonság irányításának követelményrendszere (tervezet) o) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesztett sémának megfelelően kell végrehajtani. p) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell. q) A biztonsági és a rendszerinformációkhoz való hozzáférést korlátozni kell az illetékes biztonsági felelősökre és a rendszergazdákra. r) A hozzáférési jogosultságokkal kell kikényszeríteni azt a hozzáférési módot, amivel a felhasználó rendelkezhet.(például olvasási, írási, módosítási, törlési jog.) s) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelző eszközöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia kell a munkameneteket. t) A rendszerszintű IBSZ-ben meg kell engedni, hogy a felhasználó zárolhassa saját interaktív kapcsolatait (alkalmazásait, munkameneteit), felül kell írnia, vagy törölnie kell a kijelző eszközöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tennie, és le kell tiltatnia minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia kell a munkameneteket. u) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt az eszközt úgy kell kezelni, mint egy minősített dokumentumot (iratot). v) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszközön magas minősítésű adat tárolása, vagy feldolgozása történik. w) Minősített feldolgozást hordozható számítógépen csak minősített adatok feldolgozására alkalmas, kijelölt területen lehet végezni. Ha az eszköz nincs használatban, magas minősítésű dokumentumok számára engedélyezett biztonsági konténerben kell tárolni. x) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági területet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott szabályok szerint. Hordozható informatikai eszközre csak ellenőrzött környezetben csatlakoztatható nyomtató.
2004. 07. 19.
0.91 verzió
161
Az informatikai biztonság irányításának követelményrendszere (tervezet) y) A rendszerszintű IBSZ-nek elő kell írnia, hogy a felhasználó zárolhassa saját interaktív munkameneteit, törölve a képernyőt, és letiltva minden hozzáférést a felhasználói adatokhoz a zárolás feloldásáig. z) A törölt adatok (maradék információ) védelmi mechanizmusának gondoskodnia kell arról, hogy a törölt információ többé már ne legyen vagy (ne túl hosszú ideig) legyen hozzáférhető, és ezekre vonatkozó információkat az újonnan létrehozott objektumok (fájlok) ne tartalmazzanak. Ez a védelem szükséges a logikailag már törölt de fizikailag még elérhető adatok esetében. aa) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználónevet, dátumot, időt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következő eseményeket kell rögzíteni: 1) a rendszerindítást; 2) felhasználók be és kijelentkezését; 3) a jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) naplózási szolgáltatás elindítását és leállítását; 6) rendszeridő megváltoztatása; 7) sikertelen rendszerhozzáférési kísérlet. bb) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstől, ezért ember számára olvasható formában is el kell tárolni. cc) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani. dd) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. ee) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenőrizze a cserélhető médiákat (például floppy disk). ff) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. 2004. 07. 19.
0.91 verzió
162
Az informatikai biztonság irányításának követelményrendszere (tervezet) gg) A biztonsági mentési eljárásainak főbb tervezési szempontjai: mentések gyakorisága, tárolási követelmények a helyszínen (tűzálló konténer). A biztonsági mentések másolati példányaihoz való (hitelesített) hozzáférések ellenőrzése. hh) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek. ii) A hardver és szoftver karbantartási eljárásokat szabályozni kell. jj) Illetéktelen hardver, vagy szoftver bekerülésének a megelőzése érdekében a rendszergazdáknak folyamatosan ellenőrizniük kell a hardver és szoftver konfigurációt. kk) Az operációsrendszer konfigurációját időszakosan ellenőrizni kell. ll) Az operációs rendszer összetevőinek megváltoztatására csak korlátozott felhasználónak szabad jogot adni (például rendszergazda, biztonsági felelős). mm)
A biztonsági felelősök jóváhagyása szükséges az üzleti információk tárolásához, fel-
dolgozáshoz és továbbításához. nn) A biztonsági adatok és funkciók menedzselési mechanizmusokat kell beépíteni a rendszerbe, csak előre definiált felhasználó (vagy szerepkör) hajthat végre biztonsági funkciót. oo) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információbiztonsági előírásoknak és követelményeknek megfelelően, a biztonsági szervezet jóváhagyásával. pp) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és annak ellenőrzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelős az eszköz biztonságáért. qq) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanúsító szervezetnél. rr) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408 (Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyező biztonsági szintnek. ss) A rendszert biztonsági tesztelésnek kell alávetni biztonsági tesztelési tervnek megfelelően. tt) A rendszert fix időközönként újra kell tesztelni a biztonsági tesztelési tervnek megfelelően.
2004. 07. 19.
0.91 verzió
163
Az informatikai biztonság irányításának követelményrendszere (tervezet) uu) A konfigurációra vonatkozó követelményszintnek megfelelően kell üzembehelyezni a kiszolgálógépeket, a munkaállomásokat beleértve az elérhető szolgáltatásokat is. vv) A rendszer vagy a hálózat összetevőinek megváltoztatása előtt fel kell mérni ezek biztonsági hatásait. ww) A rendszerszintű IBSZ-eknek meg kell szorítaniuk a biztonsági beállítások lehetőségét a rendszergazdák és a biztonsági felelősök számára. 4. szinten: Nem használható mobil számítástechnikai eszköz.
9.8.2. A távmunka végző kapcsolat a munkahellyel Távmunka esetén is gondoskodni kell a biztonsági követelmények és előírások betartásáról, a megfelelő és rendszeres ellenőrzésről. a) A távmunkát végző csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a szervezet hálózatába. Az Informatikai Vezető és az Informatikai Biztonsági Vezető közösen határozzák meg ezeket a belépési pontokat. b) A munkaállomásokon egyidejűleg modem és hálózati kártya (engedély nélkül) nem lehet. c) A távmunkát végző gépekkel internetes csatlakozás alapértelmezésben tiltott. d) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek telepítve kell lenniük, és ezeket kötelező használni.
2004. 07. 19.
0.91 verzió
164
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10. AZ IT RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA
10.1.
Az IT rendszerek informatikai biztonsági követelményei
Az informatikai rendszerek integrált biztonságának kialakítása a biztonságpolitika által meghatározott szempontok szerint kell, hogy történjen. Ebbe beletartoznak az infrastruktúra, az üzleti alkalmazások és a felhasználó által kifejlesztett alkalmazások. A biztonság esetenként alapvető feltételeinek egyike az alkalmazást vagy szolgáltatást támogató üzleti folyamat megtervezése és megvalósítása. Az informatikai rendszerek kifejlesztése előtt szükség van a biztonsági követelmények meghatározására és egyeztetésére. Egy projekt követelményeinek megfogalmazása során meg kell határozni az összes biztonsági követelményt. Ezeket a követelményeket és szükséges megoldásokat egy informatikai rendszer fejlesztésének részeként kell megindokolni, egyeztetni és dokumentálni.
10.1.1. A biztonsági követelmények elemzése és meghatározása A szervezet informatikai beruházásai elkészítésének fázisában a fejlesztési tervek előkészítésére vonatkozó utasítások figyelembevételével az informatikai biztonsággal kapcsolatban a következőknek kell szerepelnie az elkészítendő dokumentum(ok)ban: a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a megbízható működés szempontjából történő elemzése és a védelmi célkitűzések meghatározása, b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása az információvédelem és a megbízható működés területén, 1) a jogszabályokból és a belső szabályozásból eredő kötelezettségek bemutatása, 2) a fizikai és a logikai védelem rendszerszintű bemutatása, 2004. 07. 19.
0.91 verzió
165
Az informatikai biztonság irányításának követelményrendszere (tervezet) 3) a megvalósításhoz szükséges feltételrendszer meghatározása, 4) a biztonsági rendszer teljes költségének becslése, ennek összehasonlítása a lehetséges kockázatokkal, károkkal. 5) Az informatikai biztonsági fejezetnek a tervezési dokumentumokba történő beállításáért a projektvezető, annak kijelöléséig, vagy hiánya esetén az előterjesztő a felelős. 6) A szervezet minden informatikai projekt előterjesztésnek tartalmaznia kell a létrehozandó (fejlesztendő, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének – a projekt keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit. c) Az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. d) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanúsító szervezetnél. e) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408 (Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyező biztonsági szintnek. Az előző pontokban megfogalmazott feltételek hiánya esetén a szervezetnél informatikai projekt nem indítható el. Ezért a projektvezető a felelős.
2004. 07. 19.
0.91 verzió
166
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.2.
Biztonság a felhasználói rendszerekben
A felhasználói rendszerek integrált biztonsága kiterjed a rendszerekben tárolt felhasználói adatok illetéktelen hozzáférésének, módosításának, törlésének, nem megfelelő felhasználásának, stb. megelőzésére. A rendszertervek összeállítása során mérlegelni kell a rendszerbe beépítendő automatikus ellenőrző eszközök, valamint a biztonságot támogató manuális ellenőrző eszközök szükségességét. A felhasználói rendszerek biztonságát a következő intézkedések szavatolják: a) A felhasználói rendszerekben – többek között a felhasználó által kifejlesztett alkalmazásokban – meg kell tervezni a megfelelő ellenőrző eszközöket és eseménynaplókat, valamint a tevékenységek naplózását. Ezeknek tartalmazniuk kell a bemenő adatok, a belső adatfeldolgozás és a kimenő adatok hitelesítését. b) Az érzékeny, értékes vagy kritikus adatok feldolgozását végző vagy ilyen adatokat befolyásoló rendszereknél további ellenőrző eszközökre lehet szükség. Ezeket az ellenőrző eszközöket a biztonsági követelmények és a kockázatelemzés alapján kell kiválasztani. Az a) és b) pontban meghatározott biztonsági intézkedéseket pontosan, minden részletre kiterjedően dokumentálni kell.
10.2.1. A bemenő adatok hitelesítése Az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenőrizni kell. A bemenő adatok ellenőrzésének eszközei: a) Az ismételt adatbevitel és az ebből származó adatkarbantartási anomáliák elkerülésére írt eljárások. b) Időszakos adatmező és -állomány vizsgálat, valamint a felvitt adatok hitelességének és integritásának ellenőrzése és igazolása. c) Az adatbevitel alapját képező nyomtatott input dokumentumok ellenőrzése, illetve ezek engedély nélküli módosításának megakadályozása, valamint az engedélyezés kikényszerítésére írt eljárások. d) Adathitelesítési hibák kiküszöbölését elősegítő eljárások.
2004. 07. 19.
0.91 verzió
167
Az informatikai biztonság irányításának követelményrendszere (tervezet) e) Adatbevitel során, a mezőtípus kompatibilitást biztosító, illetve adattartalom helyességét ellenőrző és kikényszerítő eljárások és függvények. f) Az alkalmazáshoz történő hozzáférés naplózása. g) A feldolgozásban résztvevő munkatársak feladatkörének és felelősségének rögzítése a munkaköri leírásokban.
10.2.2. Az adatfeldolgozás ellenőrzése A pontosan és hiánytalanul beléptetett adatok biztonságát, integritását a feldolgozás ideje alatt a következő intézkedésekkel kell szavatolni: a) Az adatfeldolgozás rendszerébe ellenőrzési, hitelesítési pontokat kell beépíteni, különös tekintettel az adatmódosító, -törlő funkciók helyére. b) Adatfeldolgozási hibák esetén: hibadetektáló, és a további rendszerfutást leállító eljárások beépítése a rendszerbe. c) Korrekciós programok alkalmazása a feldolgozás során felmerülő hibák korrigálására. d) A folyamatba épített ellenőrzés ellátásáért az Informatikai Vezető a felelős.
10.2.2.1. Veszélyeztetett területek A helyesen beléptetett adatok is elromolhatnak akár a feldolgozás hibáitól, akár szándékos tevékenységektől. A rendszerekbe az ilyen meghibásodások felismerése érdekében ajánlatos érvényesítő ellenőrzéseket (validation check) beépíteni. Az alkalmazások tervezésével ajánlatos gondoskodni arról, hogy a korlátozások megvalósítása valóban minimalizálja a sértetlenség elvesztésére vezető feldolgozási hibák kockázatát. Ajánlatos, hogy a megfontolandó sajátos területek magukban foglalják: a) az adatváltoztatást megvalósító hozzáadó és leválasztó funkciók helyét és használatát a végrehajtó programokban, b) azokat az eljárásokat, amelyek megakadályozzák, hogy a programok rossz sorrendben, vagy korábbi feldolgozásban előállt meghibásodás után lefussanak (lásd a 8.1.1. szakaszban), c) a helyes programok használatát a meghibásodás utáni visszatérésre annak érdekében, hogy az adatokat helyesen/pontosan dolgozzuk fel.
2004. 07. 19.
0.91 verzió
168
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.2.2.2. Vezérlő és ellenőrző eljárások A szükséges intézkedések attól függenek, hogy milyen az alkalmazás természete, és hogy az üzletre a hibás adat milyen hatással lehet. Azok az ellenőrzések (checks), amelyeket fel lehet venni, magukban foglalják a következőket: a) a munkaülésenkénti vagy csoportos ellenőrzéseket, amelyek révén a tranzakciós frissítések után az adatállomány-egyenlegeket kiegyenlítik, b) folyószámla-ellenőrzéseket annak érdekében, hogy a nyitóegyenleget összevessük a korábbi záróegyenleggel, nevezetesen: 1) eseményenkénti ellenőrzéseket, 2) az állományfrissítések ellenőrzőösszegeit, 3) program(futás)onkénti ellenőrzéseket, c) a rendszer által keltett adatok érvényesítését (lásd a 10.2.1. szakaszban), d) a központi és a távoli számítógépek között a feltöltött vagy letöltött adatok vagy szoftverek ellenőrzéseit (lásd a 10.3.3. szakaszban), e) a rekordok és az állományok (fájlok) összlenyomatait (hash), f) az ellenőrzéseket, amelyek szavatolják, hogy az alkalmazási programokat időben lefuttatták, g) az ellenőrzéseket, amelyek szavatolják, hogy az alkalmazási programokat a helyes sorrendben futtatták le, és hogy a programokat meghibásodáskor félbeszakították, amíg a felmerült nehézséget meg nem oldották.
10.2.3. Az üzenetek hitelesítése Üzenethitelesítés az a technika, amelyet arra használunk, hogy észleljük a továbbított elektronikus üzenet tartalmában beállt bármely illetéktelen beavatkozást, változtatást vagy rongálást. Megvalósítható akár hardverben, akár szoftverben, ha támogatja azt egy üzenethitelesítő eszköz vagy egy szoftveralgoritmus. Az üzenethitelesítést nem arra tervezik, hogy megvédje az üzenet tartalmát az illetéktelen felfedéstől, nyilvánosságra hozataltól. Alkalmas módként kriptográfiai módszereket lehet alkalmazni (lásd a 10.3.2. és a 10.3.3. szakaszban) üzenethitelesítés megvalósítására. Elvárások az üzenethitelesítés, valamint az elektronikus aláírás kialakítása kapcsán: 2004. 07. 19.
0.91 verzió
169
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) Az azonosítás és hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni. b) A hitelesítés legáltalánosabb módja, a jelszó megadása. Kezelésére a jelszókezelésre vonatkozó fejezetben részletezett általános szabályokat kell alkalmazni. c) A hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott, védett csatornán keresztül kell biztosítani. PKI alkalmazásakor az alkalmazásért felelős vezető alakítson ki tanúsítványpolitikát (Certificate Policy, CP) melyet az Informatikai Biztonsági Vezetővel egyeztessen. A tanúsítványpolitika alkalmazása kötelező.
10.2.4. A kimenő adatok hitelesítése Az adatfeldolgozás rendszerében ellenőrizni, hitelesíteni kell a kimenő adatokat. A kimenő adatok biztonsága érdekében a következő védelmi eljárásokat kell alkalmazni: a) Integritásellenőrzés. b) Adattartalom meglétének, értékének ellenőrzése. c) A megfelelő minősítés meglétének ellenőrzése. d) A kimenő adatok értékelésében és hitelesítésében résztvevő munkatársak feladatainak és felelősségének meghatározása.
2004. 07. 19.
0.91 verzió
170
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.3.
Kriptográfiai eszközök
A szervezet minősített adatainak, illetve olyan adatok esetében, ahol más védelmi eszközök nem nyújtanak kellő biztonságot, rejtjelző eszközökkel és technikákkal kell gondoskodni az adatvédelemről.
10.3.1. A kriptográfiai eszközök alkalmazásának irányelvei A Titokvédelmi törvény hatálya alá tartozó minősített adat védelme kizárólag a Magyar Köztársaság Információs Hivatala Országos Rejtjelfelügyelet által engedélyezett rejtjelző eszközzel vagy eljárással valósítható meg. Üzleti titok esetében az alkalmazható rejtjelző eszközt vagy algoritmust, valamint a kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezető hagyja jóvá. A szervezet informatikai rendszereiben alkalmazandó rejtjelző rendszer üzembe helyezése csak az Informatikai Biztonsági Vezető engedélyével lehetséges, a védelmi rendszert, a rejtjelző algoritmust, valamint a rejtjelző kulcs hosszúságát, kockázatelemzés alapján az Informatikai biztonsági szervezeti vezető határozza meg. Kriptográfiai eszközök alkalmazása esetén minden rendszerben ki kell alakítani a rejtjelzésre vonatkozó politikát, amelyet a rendszerszintű IBSZ-ben rögzíteni kell. A rejtjelzési politika kialakításánál a következő szempontok a mérvadóak: a) A rejtjelzési eljárás illetve algoritmus kiválasztása előtt kockázatelemzésre van szükség. b) A rejtjelzés kialakításakor a feldolgozás első láncszemétől az utolsóig át kell tekinteni a rendszert, egy-egy elem rejtjelzése önmagában nem elegendő. c) A rejtjelkulcsok menedzseléséről (kiadás, megszemélyesítés, visszavonás, stb.) gondoskodni kell. Előzetesen, írásban kell meghatározni a felelősségi köröket (részletesen), illetve a felelős személyeket.
10.3.2. Rejtjelzés Kriptográfiai rendszerekkel és technikákkal kell gondoskodni az adatok rejtjelzéséről, amikor az adatokat illetéktelen személyek által is hozzáférhető helyen kell továbbítani vagy
2004. 07. 19.
0.91 verzió
171
Az informatikai biztonság irányításának követelményrendszere (tervezet) tárolni, valamint minden olyan esetben, ahol fennáll az adatok kompromittálódásának veszélye. Államtitkot, szolgálati titkot, és üzleti titkot képző adatállományok csak rejtjelezve tárolhatók és továbbíthatók. Üzleti titok esetében az alkalmazható rejtjelző eszközt vagy algoritmust, valamint a kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezető hagyja jóvá. Államtitok és szolgálati titok esetében kizárólag a Magyar Köztársaság Információs Hivatala Országos Rejtjelfelügyelet által engedélyezett rejtjelző eszköz vagy eljárás használható. A rejtjelzést végző (a rejtjelző eszközöket, alkalmazásokat illetve a rejtjelkulcsokat kezelő) személyek fontos és bizalmas munkakört betöltőnek minősülnek.
10.3.3. Digitális aláírás A digitális aláírások ahhoz szolgáltatnak eszközt, hogy megvédhessük az elektronikus okmányok (dokumentumok) hitelességét (authenticity) és sértetlenségét (integrity). Az elektronikus kereskedelemben például arra is használhatóak, hogy szükség esetén igazoljuk (verifikáljuk) azt, aki az elektronikus okmányt aláírta, és ellenőrizzük, vajon az aláírt okmány tartalmán változtattak-e. A digitális aláírások akármilyen okmányformára alkalmazhatók, hiszen ezek mind elektronikusan lesznek feldolgozva, így például alkalmazhatjuk elektronikus kifizetésre, pénz átutalására, szerződésekre és megállapodásokra. A digitális aláírások olyan kriptográfiai módszerekkel (technikákra) valósíthatók meg, amelyeket egyértelműen összetartozó kulcspárokra alapoznak, ahol az egyik kulccsal készül az aláírás (a magánkulccsal), míg egy másik kulccsal ellenőrzik az aláírást (a nyilvános kulccsal). Különösen ajánlatos gondot fordítani a magánkulcs titokban tartására. Azért ajánlatos ezt a kulcsot titokban tartani, mert bárki, aki hozzáfér ehhez a kulcshoz, okmányt (dokumentumot) tud vele úgy aláírni, például kifizetést, szerződést, hogy a kulcs tulajdonosának az aláírását hamisítja rá. Továbbá ajánlatos a nyilvános kulcs sértetlenségét is megóvni. Ezt a védelmet a 10.3.5. szakaszban leírt nyilvánoskulcs-tanúsítványok alkalmazásával lehet ellátni. Azt is megfontolás tárgyává ajánlatos tenni, hogy milyen aláíró algoritmust alkalmazunk, és milyen hosszú kulcsot. A digitális aláíráshoz alkalmazott kriptográfiai kulcsok különbözzenek a titkosításra (rejtjelezésre) alkalmazott kulcsoktól (lásd a 10.3.2. szakaszban).
2004. 07. 19.
0.91 verzió
172
Az informatikai biztonság irányításának követelményrendszere (tervezet) A digitális aláírások alkalmazásakor ajánlatos figyelembe venni minden hatályos jogszabályt, amely azokat a feltételeket írja elő, amelyek mellett a digitális aláírás jogilag érvényes, hatályos (legally binding). Például elektronikus kereskedelem esetében fontos annak ismerete, hogyan is állnak jogilag, mi a digitális aláírások státusa. Szükség lehet arra is, hogy a jogi hatályát megkötő szerződést vagy egyéb megállapodást kössünk ahhoz, hogy a digitális aláírások használatát támogassuk, mert a jogi keretek e téren bizonytalanok, nem elegendőek. Jogi tanácsot ajánlatos keresni azokra a törvényekre és jogszabályokra, amelyek érvényesek lehetnek abban a körben, ahol a szervezet digitális aláírást szándékozik alkalmazni. Ügyelni kell a magánkulcs bizalmas kezelésére. A magánkulcs kezelését végző (a kulcsgeneráló eszközöket, alkalmazásokat kezelő) személyek fontos és bizalmas munkakör betöltőnek minősülnek. Az elektronikus aláírás kulcsa és a rejtjelkulcs nem lehet azonos. Az elektronikus aláírás algoritmusát, valamint az alkalmazható kulcsok hosszát az Informatikai Biztonsági Vezető hagyja jóvá.
10.3.4. Szolgáltatások a le nem tagadhatóságra A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható rendszereket kell kialakítani a digitális aláírási technikára alapozva.
10.3.5. Kulcsmenedzsment A kulcsmenedzsmentet kötelező jelleggel ki kell alakítani minden elektronikus aláírással, rejtjelzéssel rendelkező rendszerben. A kulcsmenedzsment kialakítása során a hatályos jogi szabályozást, és a PKI-ra vonatkozó nemzetközi szabályozást kell figyelembe venni.
10.3.5.1. A kriptográfiai kulcsok védelme A rendszerben használt kriptográfiai kulcsok védelme: a) A kriptográfiai kulcsok fizikai, valamint speciális, illetve fokozott biztonságot igénylő esetben rejtjelzéssel megvalósított logikai védelméről is gondoskodni kell. b) Szükség esetén a kulcs-felek megosztásával kell biztosítani a rejtjelkulcsok védelmét.
10.3.5.2. Szabványok, eljárások, módszerek A kulcskezelési rendszer kialakításánál a következő szabványok, szempontok és módszerek egyeztetett rendszerét kell figyelembe venni:
2004. 07. 19.
0.91 verzió
173
Az informatikai biztonság irányításának követelményrendszere (tervezet) a) Kulcsgenerálási rendszer. b) Nyilvános kulcs hitelesítési eljárások. c) A felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó módszerek. d) Kulcstárolási illetve hozzáférési szabályok. e) Kulcsmódosítási, aktualizálási szabályok. f) Hamisított kulcsok kezelése. g) Kulcsvisszavonási szabályok. (A kulcsok visszavonásának és használaton kívül helyezésének módja, többek között abban az esetekben, amikor a kulcsokat hamisítják vagy a kulcs tulajdonosa elhagyja a szervezetet.) h) Kulcsok archiválási rendje. i) Elveszett kulcsok helyreállítási szabályai (Az elveszett kulccsal rejtjelzett állományok visszaállítása az üzletmenet folytonosság terv része kell, hogy legyen.). j) Kulcsok megsemmisítésének szabályai. k) Kulcskezelő rendszer eseménynaplózása. A kulcshamisítás kockázatának csökkentése érdekében, előzetesen meg kell határozni a kulcsok aktiválásának és visszavonásának dátumait. A kulcs élettartama függ a vélelmezett kockázat mértékétől. A nyilvános kulcsokkal való esetleges visszaélések kockázatának csökkentése érdekében, csak hitelesített nyilvános kulcsok használhatók a rendszerben. A kriptográfiai szolgáltatók külső szállítóival, például egy hitelesítő hatósággal kötött, a szolgáltatás mértékét meghatározó megállapodásoknak vagy szerződéseknek szabályozniuk kell a felelősség kérdését.
2004. 07. 19.
0.91 verzió
174
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.4.
Rendszerszintű adatállományok védelme
Gondoskodni kell arról, hogy az informatikai projekteket és az azokat segítő tevékenységeket biztonságosan vezessék. A rendszerszintű adatállományok védelmére szolgáló intézkedések: a) Ellenőrizni és dokumentálni kell a védendő rendszer-adatállományok elérését. b) A rendszer integritásának fenntartása annak a felhasználói funkciónak vagy fejlesztési csoportnak a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.
10.4.1. Az operációs rendszer ellenőrzése Az üzemelő rendszeren a szoftver megvalósítását ellenőrzés alatt kell tartani. Az üzemeltető rendszeren a megrongálódás kockázatát minimalizálandó a következő intézkedéseket kell meghozni: a) Az üzemeltetési programkönyvtárak frissítését (updating) csak kinevezett könyvtáros végezze alkalmas vezető menedzseri felhatalmazással (lásd a 10.4.3. szakaszt). b) Ha lehetséges, az üzemeltető rendszer csak végrehajtható kódot tartalmazzon. c) A végrehajtható kódot az üzemeltető rendszeren addig nem szabad megvalósítani, amíg nem áll rendelkezésre a sikeres bevizsgálásnak (tesztelés) és a használói átvételnek a bizonyítéka, és a megfelelő programkönyvtárakat nem hozták időszerű állapotba (updated). d) Átvilágítási naplót (audit log) kell vezetni az üzemeltetési programkönyvtárak valamennyi frissítéséről (updates). e) A szoftver korábbi változatait ajánlatos a tartalékolás mértékében megtartani. f) Az informatikai rendszerek által biztosított naplózási lehetőségeket be kell kapcsolni. g) A rendszergazdáknak ezeket a naplókat rendszeresen ellenőrizniük kell, az ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük. h) A központi erőforrások (szerverek, tűzfalak, stb.) naplóállományaihoz csak az Informatikai Biztonsági Vezető (az általa megbízott) férhet hozzá törlési, módosítási joggal. Az üzemeltetési rendszerben használatos, szállító által adott szoftvert ajánlatos azon a szinten karbantartani, ahogyan azt a szállító támogatja. Minden olyan döntés, hogy azt új vál-
2004. 07. 19.
0.91 verzió
175
Az informatikai biztonság irányításának követelményrendszere (tervezet) tozatra cseréljük (upgrade), vegye figyelembe az új változat biztonságát, azaz az új biztonsági funkciók bevezetését, valamint az ezzel a változattal kapcsolatos biztonsági problémák számát és súlyosságát. Azokat a szoftvertapaszokat (patches) ajánlatos alkalmazni, amelyek segíthetnek abban, hogy a biztonsági gyengeségeket (gyenge pontokat) eltávolítsuk vagy lecsökkentsük. A fizikai vagy a logikai hozzáférést csak akkor adjuk meg a szállítónak támogatási tevékenységéhez, ha az feltétlenül szükséges, és akkor is csak a vezetőség hozzájárulásával. A szállítói tevékenységeket ajánlatos ellenőrzés alatt tartani.
10.4.2. A teszt adatok védelme A teszt adatokat védelem és ellenőrzés alatt kell tartani. A fejlesztői, a teszt- és az éles rendszereket egymástól el kell választani. Mind a rendszervizsgálatok, mind az átvételi vizsgálatok többnyire jelentős mennyiségű olyan adatot igényelnek, amelyek eléggé közel állnak az üzemi adatokhoz. A személyes adatokat is tartalmazó üzemeltetési adatbázis használata tilos. Ha mégis ilyen adatokat kell használunk, akkor azt meg kell fosztani személyes jellegétől, és az adatok visszafordíthatatlan konvertálásáról gondoskodni kell. Az üzemeltetési adatok védelmére, ha azokat tesztelési célra használjuk, ajánlatos a következő óvintézkedéseket alkalmazni: a) Olyan a hozzáférésellenőrző eljárásokat ajánlatos használni alkalmazási rendszerek tesztelésére, amelyeket az üzemelő alkalmazási rendszerekhez alkalmazunk. b) Elkülönített feljogosítást ajánlatos bevezetni mindannyiszor, ahányszor üzemeltetési információt vizsgálat alatt álló alkalmazási rendszerbe másolnak át. c) Az üzemeltetési információt ajánlatos a vizsgálat befejezése után azonnal kitörölni a vizsgálat alatt álló alkalmazási rendszerből. d) Az üzemeltetési információ másolását és használatát ajánlatos az átvilágítási napló készítéséhez jegyzőkönyvezni.
2004. 07. 19.
0.91 verzió
176
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.4.3. A program forráskönyvtárhoz való hozzáférés ellenőrzése A programok tönkretételének megelőzése érdekében szigorú ellenőrzést kell gyakorolni a forrásprogramok könyvtáraihoz való hozzáférés felett a következők szerint (lásd még a 8.3. szakaszt): a) Ahol lehetséges, a forrásprogramok könyvtárait nem szabad üzemelő rendszerekben tartani. b) Minden egyes alkalmazáshoz programkönyvtárost kell kinevezni. c) Az informatikai támogató személyzetnek nem szabad korlátlan hozzáférést adni a forrásprogramok könyvtáraihoz. d) Fejlesztés vagy fenntartás alatt álló programokat nem szabad forrásprogramok könyvtáraiban tartani. e) A programkönyvtárosnak a forrásprogramok könyvtárainak felfrissítését (updating) és a forrásprogramok átadását programozóknak csak akkor szabad elvégeznie, ha az illetékes informatikai vezető erre őt felhatalmazta. f) A forráskönyvtár minden változásáról eseménynaplót kell vezetni. g) A programlistákat biztonságos környezetben kell tartani (lásd a 8.6.4. szakaszt). h) Az átvilágítási naplót kell vezetni valamennyi forrásprogram-könyvtárat érintő hozzáférés esetében. i) Forrásprogramok korábbi változatait archiválni kell, pontosan megjelölve annak pontos keltét és időpontját, amikor azok üzemben voltak, együtt az azokat „támogató” szoftverrel, munkairányítással (job control), adatmeghatározásokkal (data definition) és eljárásokkal. j) A forrásprogramok könyvtárainak karbantartását és másolását ajánlatos szigorú változásellenőrző eljárásnak alávetni (lásd a 10.4.1. szakaszt). k) A forrásprogramok korábbi verzióit archiválni kell. l) A program forráskönyvtárak karbantartását és másolását a változtatásokra vonatkozó szigorú ellenőrzési eljárások alá kell vonni.
2004. 07. 19.
0.91 verzió
177
Az informatikai biztonság irányításának követelményrendszere (tervezet)
10.5.
Informatikai biztonság a fejlesztési és a
karbantartási folyamatokban Fenn kell tartani az alkalmazási rendszerhez tartozó szoftver és információ biztonságát. Szükség van a projekt és a támogatási környezetek szigorú ellenőrzésére. a) Az alkalmazói rendszerekért felelős vezetőknek vállalniuk kell a felelősséget a projekt és a támogatás környezetének biztonságáért. Gondoskodniuk kell arról, hogy megvizsgálják a rendszerben javasolt összes változtatást és megállapítsák, mennyiben befolyásolják ezek a rendszer vagy működési környezete biztonságát. b) Fejlesztési szabályokat kell kialakítani.
10.5.1. Változásmenedzsment eljárások Az informatikai rendszer sérülékenységének minimalizálása érdekében a változtatásokat csak szigorú ellenőrzéseken keresztül lehet megvalósítani. A változtatás ellenőrzésének eljárását a folyamatos kockázat-kezelési módszereket is beleértve, a Változásmenedzsment Szabályzatban kell szabályozni. Az eljárással kapcsolatban: a) Szabályozni kell a változtatást végrehajtó személyek körét. b) A szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver azonosítását el kell végezni. c) A munka elkezdése előtt részletes, kockázatkezelésen alapuló, formalizált elfogadási eljárásra van szükség. d) Biztosítani kell, hogy a megvalósítás során az üzleti folyamatok ne sérüljenek. e) A rendszerdokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat archiválni kell. f) Karban kell tartani a változásmenedzsment segítségével az összes szoftver-frissítést. g) Biztosítani kell minden változtatás ellenőrzését. h) Biztosítani kell, hogy az üzemi dokumentumokon is átvezetésre kerüljenek amennyiben szükségesek a változások. 2004. 07. 19.
0.91 verzió
178
Az informatikai biztonság irányításának követelményrendszere (tervezet) i) Biztosítani kell, hogy a változtatások kellő időben és az üzleti eljárás zavarása nélkül kerüljenek megvalósításra.
10.5.2. Az operációs rendszer változtatásainak ellenőrzése Amennyiben a külső vagy belső tényezők szükségessé teszik az operációs rendszer változtatását, az operációs rendszer alapértelmezett átvizsgálása után az applikációs rendszert ellenőrizni és tesztelni kell annak biztosítása érdekében, hogy a változtatás a működőképességgel és a biztonsággal ne ütközzön. Éles rendszerbe történő beillesztés előtt a változásokat az alkalmazásokkal kell tesztelni.
10.5.3. Vásárolt programok változtatására vonatkozó korlátok A szervezet munkavállalói munkavégzésük során csak jogtiszta szoftvereket használhatnak. Ha a vásárlási (licensz, fejlesztési) szerződés másként nem rendelkezik, a szerzői jogról szóló törvény alapján kell eljárni. Ennek megfelelően a szerző kizárólagos joga nem terjed ki a) a többszörözésre, b) az átdolgozásra, c) a feldolgozásra, d) a fordításra, e) a szoftver bármely más módosítására – ide értve a hiba kijavítását is –, valamint ezek eredményének többszörözésére annyiban, amennyiben e felhasználási cselekményeket, a szoftvert jogszerűen megszerző szervezet a szoftver rendeltetésével összhangban végzi.
10.5.4. Rejtett csatorna, trójai faló A rejtett csatorna olyan támadás, amely bizonyos közvetett és zavaros módon teheti közszemlére az információt. Ezt kiválthatja egy olyan paraméter megváltoztatása, amelyhez hozzáférhetnek a számítástechnikai rendszernek mind biztonságos, mind kevéssé biztonságos elemei, vagy valamely adatfolyamba beültetett információ. A Trójai falovat arra tervezik, hogy olyan módon hasson a rendszerre, amelyre az nincs felhatalmazva, és amelyet az üzenet2004. 07. 19.
0.91 verzió
179
Az informatikai biztonság irányításának követelményrendszere (tervezet) fogadó vagy a programhasználó nem tud könnyen felismerni, mert nem is igényli. A bujtatott csatorna és a Trójai faló ritkán lép fel baleset következtében. Ahol a bujtatott csatorna, vagy a Trójai faló veszélye fennáll, ott a következőket ajánlatos megfontolni: a) csak megbízható forrásból szerezzünk be programot, b) csak olyan forráskódban vásároljunk programot, amelynek kódját igazoló ellenőrzésnek (verifikálásnak) tudjuk alávetni, c) csak kiértékelt (levizsgált) terméket használjunk, d) minden forráskódot vizsgáljunk át üzemi használatba vétel előtt, e) tartsuk ellenőrzésünk alatt a telepített kódnak minden hozzáférését és módosítását, f) csak a bizalmunkat megszolgált személyzetünknek engedjük meg, hogy kulcsfontosságú rendszereinken dolgozzon.
10.5.5. A programfejlesztés kihelyezése Ahol a szoftverfejlesztést vállalkozásba adják, a következőket ajánlatos megfontolni: a) licensz-szerződéseket, a szoftver tulajdonjogát és a szellemi tulajdonjogokat (lásd a 12.1.2. szakaszt), b) a végzett munka minőségének és pontosságának tanúsítását, c) a harmadik fél hibája esetére szükséges letéti rendszert, d) az elvégzett munka minőségének és pontosságának átvilágító auditálásához szükséges hozzáférési jogokat, e) a szoftverminőség szerződéses követelményeit, f) a trójai faló típusú szoftver észlelése érdekében a telepítés előtt elvégzendő vizsgálatot.
2004. 07. 19.
0.91 verzió
180
Az informatikai biztonság irányításának követelményrendszere (tervezet)
11. ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT 11.1.
Üzletmenet-folytonosság menedzsment területei
Az üzletmenet-folytonossági tervek azokat az információkat tartalmazzák, melyek alapján a támogató folyamatok (ilyenek az informatikai rendszerek is) csökkenése vagy kiesése esetén miként lehet a szervezet működését fenntartani. Ezeknek a terveknek a lehetséges szituációk minél teljesebb összetételét kell lefedniük: a) különböző hosszúságú megszakítások, b) különböző eszközök és létesítmények elvesztése, c) a helyszínekhez való fizikai hozzáférés teljes elvesztése, d) a káros hatás bekövetkezése nélküli állapotnak megfelelő helyzethez való visszatérés igénye. A helyreállítási tervek leírják, hogy miként kell visszaállítani a váratlan eseménnyel érintett informatikai rendszereket. A helyreállítási tervek tartalmazzák: a) a katasztrófát jelentő körülményeket, b) a helyreállítási tervek működésbe hozataláért való felelősséget, c) a különböző visszaállítási tevékenységekért való felelősségeket, d) a helyreállítási tevékenységek leírását.
11.1.1. Üzletmenet-folytonosság menedzsment folyamata A kritikus üzleti és informatikai folyamatok védelme érdekében a meghibásodások és a rendellenességek elhárítása során: a) Az üzletmenet-folytonosságának fenntartását szolgáló eljárás a megelőző és helyreállítást vezérlő eljárások (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv) együttes alkalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer meghibásodása által okozott fennakadásokat. (Ezek lehetnek többek között természeti kataszt2004. 07. 19.
0.91 verzió
181
Az informatikai biztonság irányításának követelményrendszere (tervezet) rófák, balesetek, berendezésekben keletkezett hibák, vagy szándékos cselekmények következményei.) b) Elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit. c) Az üzletmenet-folytonosságának irányítása ki kell, hogy terjedjen – többek között – a kockázatok azonosítására és csökkentésére alkalmas ellenőrző eszközökre, a kárt okozó események következményeinek korlátozására, valamint a lényeges tevékenységek időben történő újraindítására.
11.1.2. Az üzletmenet-folytonosság és a hatásvizsgálat A megfelelő üzletmenet-folytonosság az informatikai rendszer folyamatos üzemi működésének az a szintje, amely során a kiesés kockázatának szintje a szervezet számára még elviselhető. Az elviselhetőség határát az üzletmenet – támogatás szempontjából kritikus rendszereinek – egy meghatározott (maximált) kiesési ideje határozza meg. Az üzletmenet-folytonosság megfelelő szintjét a szükséges megelőző, illetve (a kiesés bekövetkezése után) visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket előre meg kell tervezni (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv). Az üzletmenet-folytonosság tervezés eredménye az üzletmenet-folytonossági terv, amely részletesen meghatározza a kívánt üzletmenet-folytonosság fenntartásához szükséges feltételeket, szervezeti és szervezési lépéseket, valamint szabályozza a megvalósítás módját.
11.1.3. Az üzletmenet-folytonossági terv kidolgozása Az üzletmenet-folytonossági terv kidolgozásának alapvető célja az, hogy a szervezet üzleti folyamatait támogató informatikai erőforrásai a rendelkezésre álló üzemidőben a lehető legjobb időkihasználással és a legmagasabb funkcionalitási szinten működjenek annak érdekében, hogy az üzleti folyamatok zavarai által okozott közvetlen és közvetett károk minimálisak legyenek. Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletmenet-folytonosság fenntartásához szükséges megelőző, helyettesítő, illetve visszaállító intézkedések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megvalósítás módját.
2004. 07. 19.
0.91 verzió
182
Az informatikai biztonság irányításának követelményrendszere (tervezet) A tervezés egyik lényeges eleme a kiesési kockázatok elemzése, amelynek során mérlegelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövetkezésének gyakoriságát. Az üzletmenet-folytonosság terv fő részei: a) Helyzetfelmérés és értékelés 1) Projekt előkészítő megbeszélés (feladat behatárolás, humán és eszköz erőforrás, illetve az adminisztrációs feltételek tisztázása, projektterv megbeszélése, felhasználandó dokumentumok előzetes meghatározása). 2) Részletes projektterv elkészítése. 3) Projektindító megbeszélés (célok, feladatok, várható eredmények prezentációja; pontos feladatmeghatározás; projekt-szervezet összetétele; felhasználandó dokumentumok listája; projekt megkezdése). 4) Előzetes helyzetfelmérő interjúterv elkészítése és véglegesítése (területek, személyek). 5) Az interjúk megszervezése (személyek és időpontok egyeztetése), tematikák elkészítése. 6) Interjúk elkészítése és feldolgozása dokumentumokban (kritikus üzleti folyamatok és az ezeket támogatóalkalmazások; a kiesések következményei, kockázatai és rangsorolása az eredményes működés szempontjából, rendelkezésre állás követelményei, potenciális üzemzavari és katasztrófa események palettája, tartalékolási és visszaállítási stratégiák és megoldások). 7) Projekt-team teszteli a meghatározott tartalékolási és visszaállítási megoldások megvalósíthatósági feltételeit, majd ennek alapján helyzetfelmérő és értékelő jelentést készít. 8) A projekt-team a helyzetfelmérő és értékelő jelentését a szervezet vezetésének átadja, ahol megtörténik a jelentés ellenőrzése és elfogadása. b) Az üzletmenet-folytonossági terv elkészítése Itt történik meg az üzletmenet-folytonossági terv kidolgozása, melynek fő részei: c) Megelőzési terv és intézkedések
2004. 07. 19.
0.91 verzió
183
Az informatikai biztonság irányításának követelményrendszere (tervezet) 1) Tartalmazza mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek az informatikai rendszer folytonos üzemét valamilyen módon veszélyeztető tényezőkkel kapcsolatosak. Alapvető szerepe van a megelőzésnek, mind a nagyobb üzemzavarok vagy katasztrófa események, mind a nagy számú, de kisebb üzemeltetési és felhasználási problémák miatt sérülő alkalmazások rendelkezésre állásával kapcsolatban. 2) A megelőzési terv a következőkre terjed ki: − Az informatikai rendszer megbízható üzemeltetésére és az üzemeltetésre vonatkozó intézkedésekre. − Az informatikai rendszer kritikus elemeinek üzemi és katasztrófa tartalékmegoldásaira és ezek üzemkészségét biztosító intézkedésekre. − Az informatikai rendszer üzemét biztosító környezeti rendszerek karbantartási, illetve az ezekkel kapcsolatos biztonsági intézkedésekre. − Az üzemeltetési dokumentáció és dokumentumok rendszerezett és biztonságos tárolására. − Adathordozók rendszerezett és biztonságos tárolására. − Az üzemeltető, a karbantartó és a kárelhárító személyzet rendelkezésre állását és bevethetőségét biztosító intézkedésekre. − A külső szervizre, a tartalékképzési megoldásokra vonatkozó, és a biztosítási szerződésekkel kapcsolatos intézkedésekre. − Mentési tervre, amely meghatározza a mentési rendszer generációit és hierarchiáját. − Az üzemelő rendszer konfigurációjában, az üzemelő szoftverben megvalósítandó változások szabályozott kivitelezésére, valamint a szoftver fejlesztések elkülönített kivitelezésére és a fejlesztett szoftverek rendszerbe történő integrálására vonatkozó legfontosabb intézkedésekre. − Vírusvédelmi és vírusmenedzsment intézkedésekre, figyelembe véve a szervezetnél hatályos vírusvédelmi szabályzatot. − Megelőzésben fontos szerepet játszik az alkalmazói rendszerek használatára történő rendszeres oktatás, illetve az informatikai biztonság olyan szintű oktatása, amely kiterjed az informatikai rendszerekben kezelt adatok bizalmasságának, hite2004. 07. 19.
0.91 verzió
184
Az informatikai biztonság irányításának követelményrendszere (tervezet) lességének, sértetlenségének, rendelkezésre állásának megőrzése érdekében betartandó szabályokra és az érvényesítendő védelmi intézkedésekre. − Tesztelési és tréning tervre, amely meghatározza a tesztelés formáit. Két formája javasolt: auditálás jellegű check-listás teszt, amelyet egy előre elkészített ellenőrzési lista alapján független belső vagy külső auditorok végeznek el, illetve valós üzemzavari vagy katasztrófa események szimulációjával. d) Visszaállítási terv 1) A visszaállítási terv alapvető célja az, hogy az üzemzavari vagy katasztrófa események bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszköz erőforrások haladéktalan mozgósítása, és a visszaállítás a lehető leggyorsabban és szervezetten történjen meg a tervben meghatározott utasítások szerint. 2) A visszaállítási terv a következőket tartalmazza: − A visszaállítási terv célját és használatát. − Az üzemzavari és katasztrófa események meghatározását. − Az események bekövetkezési és kezelési időszakait. − Az eseménykezelő team összetételét, feladatait és hatáskörét. − Visszaállítási intézkedéseket a következő lépésekre: azonnali válasz (riadó terv), futtató környezet helyreállítás, funkcionális helyreállítás, üzemeltetési szintű helyreállítás, áttelepülés (katasztrófa esetén), normalizáció az áttelepülés után. Az intézkedések átfogják a központi erőforrások, azok fizikai és személyi környezetét, a végponti munkaállomások és a kommunikációs rendszer területeit. Véglegesítésre kerül az előzetes intézkedési terv, amely tartalmazza mindazon feltételek biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági terv nem működő képes és a következő projekt fázisban elvégzendő üzletmenet-folytonossági terv teszt és tréning nem valósítható meg. e) Oktatás, tréning és tesztelés Az oktatás célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenetfolytonosság tervezés alapismereteinek átadása, a megelőzési és visszaállítási tervben foglaltak megismerése és elsajátítása.
2004. 07. 19.
0.91 verzió
185
Az informatikai biztonság irányításának követelményrendszere (tervezet) Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a szervezet által az üzletmenet-folytonossági terv készítési fázisa végén elfogadott intézkedési tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje és tréningje meghatározott üzemzavari/katasztrófa eseményre kivitelezhető. Az üzletmenet-folytonossági terv tesztje szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kerül megvalósításra, amelynek keretében az eseménykezelő team, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a visszaállítási terv utasításainak végrehajtását. 2., 3. és 4. szinten: Katasztrófa és folytonossági tervet kell készíteni.
11.1.3.1. Katasztrófa-elhárítási terv A katasztrófa-elhárítási terv globális helyettesítő megoldásokat ad megelőző és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható. A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A vészhelyzetekből eredő károk megelőzésének, mérséklésének alapvető követelménye a részletes terv (Megelőzési és Visszaállítási terv) elkészítése, tesztelése és a végrehajtás rendszeres gyakorlása. A katasztrófa-elhárítási terv eljárások és/vagy tevékenység-lépések sorozata annak biztosítására, hogy a szervezet kritikus információ-feldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen állítani. a) A katasztrófa-elhárítási tervben a következők kerülnek meghatározásra: 1) a rendelkezésre állási követelmények megadása; 2) a katasztrófa vagy vészhelyzet események definíciója; 3) a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó funkcionalitási szintek; 4) javaslat a felelősségek szabályozására veszély vagy katasztrófa esetén; 2004. 07. 19.
0.91 verzió
186
Az informatikai biztonság irányításának követelményrendszere (tervezet) 5) a riadóterv vázlata; 6) kiválasztott esetekre konkrét intézkedési terv, különösen a következő területen: − a szükségüzem esetére a minimális hardver- és szoftver konfiguráció rögzítése (beleértve az adatokat is), − a szükségüzem esetére – amennyiben lehetséges – manuális póteljárás rögzítése, − szükség esetén backup-rendszer (például saját vagy külső tartalék központ, igénybevétele), − adatrekonstrukciós eljárások bevezetése, − az újraalkalmazhatóságot lehetővé tevő intézkedések; 7) az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetőeknek kell lenniük (például redundancia intézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel), 8) az adatmentési intézkedések megvalósítási szabályainak összeállítása (például háromgenerációs elv), 9) az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése meghatározott időszakonként, 10) a biztonsági másolatoknak más biztos helyen (a munkaterületen, illetve a számítóközponton kívüli) raktározása, 11) az installált rendszerszoftverek és a fontosabb alkalmazói szoftverek referenciamásolatainak biztonságos raktározása, 12) a fontosabb dokumentációk megkettőzése és raktározása, 13) a megvalósított adatmentések ellenőrizhető dokumentációja; 14) visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásainak kijelölését és a célkitűzések megállapítása (például az X alkalmazás újraindítása Y napon belül); 15) a beszállítói (szolgáltatói) szerződésekre vonatkozó – katasztrófa események bekövetkezése esetében érvényes – követelmények meghatározása (annak érdekében, hogy katasztrófa helyzetben is biztosítani lehessen a rendelkezésre állást); 16) javasolt biztosítások katasztrófák, káresemények esetére, 2004. 07. 19.
0.91 verzió
187
Az informatikai biztonság irányításának követelményrendszere (tervezet) 17) a terv készítésének, felülvizsgálatának, tesztelésének időpontja. b) A katasztrófa-elhárítási terv részei: 1) a katasztrófa-elhárítási terv definíciója, 2) a mentési (megelőzési) terv: Azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy lehetővé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a számítógép, a háttértárak tükrözése és az optikai tárolók használata sokkal könnyebbé teheti adatbázisok, illetve nagy tömegű papíralapú dokumentumok helyreállítását. 3) a helyreállítási és újraindítási terv: A helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák − az informatikai rendszert a tartalékközpontban vagy − az adatfeldolgozó központot. A helyreállítási terv szakaszai: − azonnali reakció: Válasz a katasztrófa-helyzetre, a veszteségek számbavétele, a megfelelő emberek értesítése és a katasztrófa-állapot megállapítása. − környezeti helyreállítás: Az adatfeldolgozó rendszer operációs rendszer, program termékek és a távközlési hálózat) helyreállítása. − funkcionális helyreállítás: Az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakció naplóval. Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok, az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet.
2004. 07. 19.
0.91 verzió
188
Az informatikai biztonság irányításának követelményrendszere (tervezet) − áttelepülés: Az informatikai rendszer kiépítése és telepítése a hidegtartalék létesítményben (ha a melegtartalék létesítmények használata időben korlátozott). − normalizáció: Az új állandó informatikai rendszer kiépítése és arra az üzemelő rendszer áttelepítése. 4) tesztelési terv: A tesztelési terv azokat a tevékenységeket tartalmazza, amelyek ellenőrzik és biztosítják a katasztrófa-elhárítási terv működőképességét. 5) a karbantartási (üzembentartási) terv: A szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófaelhárítási terv aktuális állapotban tartására. 6) az érintett személyek elérési adatai. c) Intézkedni kell: 1) A kár megelőzésére és a károk minimalizálására az IBSZ alapján (például belső vagy külső háttér-, illetve tartalék számítógép-kapacitás előkészítése szükségüzem esetére az elégséges hardver és szoftver konfiguráció rögzítésével); 2) a katasztrófák, veszélyhelyzetek bekövetkezésekor; 3) a rendszer (folytonosságának) visszaállítására a katasztrófákat és a káreseményeket követően; 4) a veszélyhelyzetek és a katasztrófák esetszimulálására, begyakorlásra, intézkedések modellezésére, illetőleg kipróbálására.
11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere Az üzletmenet-folytonosság egységes tervezésének érdekében keretrendszert kell kidolgozni, melynek részei: a) A helyzetfelmérés és értékelés közös módszertana. 2004. 07. 19.
0.91 verzió
189
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) Szabványos, szabályos és biztonságos mentési eljárások. c) Tartalék eljárások (áttelepítés, újraindítás, manuális módszerek, stb.). d) Helyreállítási eljárások. e) Karbantartási menetrend, tesztelési terv. f) Oktatás, tréning és tesztelés.
11.1.5. Az
üzletmenet-folytonossági
tervek
vizsgálata,
karbantartása és újraértékelése 11.1.5.1. A tervek tesztelése Az üzletmenet-folytonossági tervekben olyan hibákat lehet teszteléssel megtalálni, mint a gyakran előforduló helytelen feltételezések, figyelmetlenségek, berendezésbeli vagy személyzeti változások. Ezeket a dolgokat ajánlatos időről időre megvizsgálni annak érdekében, hogy a tervek aktuálisan naprakészek és hatékonyak legyenek. Ilyen vizsgálatokkal ajánlatos azt is elérni, hogy a helyreállításban résztvevő valamennyi csapattag és más érintett, érdekelt személyzet is mind ismerjék, tudatában legyenek a terveknek. Az üzletmenet-folytonossági tervekhez rendelt vizsgálat időrendje (ütemterve) ajánlatos, hogy azt is mutassa meg, mikor és hogyan vizsgálják a terv adott elemét. Ajánlatos a tervek egyedi összetevőit gyakran vizsgálni. A módszeres technikák egész választékát ajánlatos használni annak érdekében, hogy elég biztosítékot szerezzünk terveinknek a valós életben várható működőképességéről: a) a különböző forgatókönyvek (szcenáriumok) kerekasztal (megbeszéléses) vizsgálatát, ahol megvitatjuk az üzletmenet helyreállítási elrendezéseit példaként megszakadásokat használva, b) szimulációkat, különösen a személyek begyakoroltatásában, hogyan viselkedjenek váratlan események bekövetkezése után, kríziskezelő (menedzselő) szerepben, c) műszaki helyreállítási vizsgálatot, ezzel szavatolva, hogy az informatikai rendszerek hatékonyan visszaállíthatók, d) a helyreállítás vizsgálatait valamely másik, alternatív helyszínen, amikor az üzleti folyamatokkal párhuzamosan a főhelyszíntől távol futnak a visszaállítási műveletek,
2004. 07. 19.
0.91 verzió
190
Az informatikai biztonság irányításának követelményrendszere (tervezet) e) a szállítók szolgáltatásainak és eszközeinek vizsgálatát annak érdekében, hogy a külső felek nyújtotta szolgáltatások és termékek kielégítsék a szerződéses kötelezettségként vállaltakat, f) teljes beszámoltatást, annak vizsgálatára, hogy a szervezet, a személyzet, a berendezés, az eszközök és a szolgáltatások képesek megbirkózni a megszakításokkal. Ezeket a technikákat (módszereket) bármely szervezet használhatja, viszont alkalmazásuk során ajánlatos, ha magukon viselik az adott helyreállítási/visszaállítási terv sajátosságait. A tervek tesztelését legjobban egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással lehet megvalósítani. Ennek keretében az eseménykezelő szervezet, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják – legalább évente egy alkalommal – a visszaállítási terv utasításainak végrehajtását. A teszt értékelése során az üzletmenet-folytonossági terveket módosítani, aktualizálni kell, és gondoskodni kell azok egymáshoz való illesztéséről.
11.1.5.2. A tervek karbantartása és újraértékelése Az üzletmenet-folytonosságot ajánlatos időről időre tartott felülvizsgálattal és modernizálással (pontosítással) karban tartani annak érdekében, hogy folyamatos maradjon hatékonysága (lásd a 11.1.5.1 szakaszt is). Olyan eljárásokat is ajánlatos belefoglalni a szervezet változáskezelő (-menedzselő) programjába, amelyek szavatolják, hogy az üzletmenet-folytonosság témáit kellően kézben tartják. Valamennyi, üzletmenet-folytonossági terv szabályos időközönkénti felülvizsgálatának a felelősségét ki kell osztani, és az üzleti elrendezésekben bekövetkezett, és az üzletmenetfolytonossági tervekben még nem szerepeltetett változások azonosítását a tervek alkalmas pontosítása/kiegészítése kövesse. Ajánlatos, hogy a változások ellenőrzésének, kézben tartásának ez a formális módja szavatolja, hogy a modernizált/pontosított terveket kiosztják, és a teljes terv(rendszer) szabályos időközönkénti felülvizsgálata révén hatályba léptetik, kikényszerítik alkalmazását. Az olyan helyzetek példái, amelyek a tervek pontosító felülvizsgálatát teszik szükségessé, magukban foglalják az új berendezések felvételét/beiktatását, az üzemeltetőrendszer modernizálását/időszerűsítését (upgrade), valamint a következő változásokat: a) a személyzet,
2004. 07. 19.
0.91 verzió
191
Az informatikai biztonság irányításának követelményrendszere (tervezet) b) a címek és telefonszámok, c) az üzleti stratégia, d) az elhelyezés, az eszközök, az erőforrások, e) a jogrendszer/jogszabályok/jogkörnyezet/jogalkalmazás, f) a szerződő felek, a rendszerszállítók és a kulcsfontosságú ügyfelek/előfizetők, g) akár az új, akár a visszavont folyamatok, valamint h) az üzemetetés és a pénzügyek kockázata körében.
2004. 07. 19.
0.91 verzió
192
Az informatikai biztonság irányításának követelményrendszere (tervezet)
12. MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A BELSŐ BIZTONSÁGI SZABÁLYZATOKNAK
12.1.
A jogszabályi előírások betartása
El kell kerülni bármely jogszabályi, szabályozói vagy szerződéses kötelezettségnek, valamint bármely biztonsági követelménynek a megszegését. Az informatikai rendszerek tervezésére, fejlesztésére, üzembehelyezésére, működtetésére, használatára és kezelésére különböző törvények, jogszabályok, szabványok, ajánlások, valamint az egyes szerződésekben rögzített biztonsági követelmények vonatkoznak. Ezek szervezeti szintű érvényesülése érdekében a szervezet informatikai tevékenységének végzésére vonatkozó biztonsági szabályok rögzítése, a szabályozás hazai gyakorlatának és a nemzetközi szabványok előírásainak való megfeleltetése, továbbá az ehhez szükséges személyi és tárgyi feltételek meghatározása elengedhetetlen. A fentieknek megfelelően a szervezet szabályzóit a hatályos jogszabályok, szabványok és ajánlások figyelembevételével kell elkészíteni (ld. 10.1.1.). Kétség esetén konkrét követelményekről ki kell kérni a szervezet Informatikai Biztonsági Vezető véleményét.
12.1.1. A vonatkozó jogszabályok behatárolása Minden az informatikai rendszerekre vonatkozó jogszabályi, szabályozói vagy szerződéses követelményt, és ezeknek a követelményeknek a kielégítésére hozott intézkedéseket és egyéni felelősségeket egyedileg és részletesen kell meghatározni, és írásban foglalni (dokumentálni). A vonatkozó jogszabályok, szabványok és ajánlások: a) Jogszabályok: 1) 2001. évi XXXV. törvény az elektronikus aláírásról, 2) 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról,
2004. 07. 19.
0.91 verzió
193
Az informatikai biztonság irányításának követelményrendszere (tervezet) 3) 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről, 4) 1995. évi LXVI. törvény a közokiratok, közlevéltárak és a magánlevéltári anyag védelméről, 5) 1995. évi LXV. törvény az államtitokról és a szolgálati titokról, 6) 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról, 7) 1992. évi XXII. törvény a Munka Törvénykönyvéről, 8) 1978. évi IV. törvény a Büntető Törvénykönyvről, 9) 1959. évi IV. törvény a Polgári Törvénykönyvről, 10) 151/2001. (IX. 1.) Korm. rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat és hatásköréről, valamint eljárásának részletes szabályairól, 11) 218/1999. (VI. 30.) Korm. rendelet az egyes szabálysértésekről, 12) 79/1995. (VI. 30.) Korm. rendelet a minősített adat kezelésének rendjéről, 13) 43/1994 (III. 29.) Korm. Rendelet a rejtjel tevékenységről, 14) 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról, 15) 16/2001. (IX. 1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és szolgáltatóira vonatkozó részletes követelményekről, b) Szabványok és ajánlások: 1) ISO/IEC 17799:2000 Information Technology – Code of practice for information security management (Az informatikai biztonság irányítási kézikönyve), 2) BS 7799-2:2002 Information security management systems – specification with guidance for use, 3) ISO/IEC 15408:1999 Information Technology – Security techniques (Informatikai biztonsági technikák) /Common Criteria/, 4) ISO/IEC TR 13335 Information technology – Guidelines for the management of IT Security,
2004. 07. 19.
0.91 verzió
194
Az informatikai biztonság irányításának követelményrendszere (tervezet) − Part1: Concepts and models for IT Security, − Part2: Managing and planning IT Security, − Part3: Techniques for the management of IT Security, − Part4: Selection of safeguards, − Part5: Management guidance on network security, 5) Az Európai Unió Tanácsának Biztonsági Szabályzata (kiadva az Európai Unió Tanácsának 2001/264/EK számú határozatával). 6) SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGANISATION (NATO) – C-M(2002)49, − AC/35-D/2000 Directive on Personnel Security, − AC/35-D/2001 Directive on Physical Security, − AC/35-D/2002 Directive on Security of Information, − AC/35-D/2003 Directive on Industrial Security, − AC/35-D/2004 Primary Directive on INFOSEC, − AC/35-D/2005 INFOSEC Management Directive for Communications and information Systems, 7) NIST (National Institute of Standards and Technology, Technology Administration U.S Department of Commerce) – An Introduction to Computer Security: The NIST Handbook (Special Publication 800-12), 8) Áttekintés: Az információs rendszerek és hálózatok biztonságára vonatkozó OECD irányelvek: Útban a biztonságkultúra felé (Overview OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security), 9) Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) 8. számú ajánlás – Informatikai Biztonsági Módszertani Kézikönyv (kockázatelemzés), 10) ITIL (IT infrastructure Library), 11) Control Objectives for Information and Related Technology (COBIT – ISACA ajánlás),
2004. 07. 19.
0.91 verzió
195
Az informatikai biztonság irányításának követelményrendszere (tervezet) 12) A PSZÁF elnökének 10/2001. számú ajánlása a pénzügyi szervezetek biztonsági feltételeiről, 13) Az Adatvédelmi biztos ajánlása (2001. 02. 01.) az Internettel összefüggő adatkezelések egyes kérdéseiről. c) Helyi szabályzatok
12.1.2. Szellemi tulajdonjogok 12.1.2.1. Szerzői jogok Alkalmas eljárást kell megvalósítani azért, hogy gondoskodjunk a jogi korlátoknak való megfelelésről minden olyan anyagok használata esetében, amelyeknek szellemi tulajdonjogi vonatkozásai vannak, mint a szerzői jogok, a tervezői jogok, vagy a védjegyek/márkajelek. A szerzői jogok megsértése jogkövetkezményeket vonhat maga után, amely büntetőeljárást is magában foglalhat. A törvényes, szabályozói vagy szerződéses követelmények korlátozhatják a szervezet tulajdonát képező írott anyagok másolását. Különösen azt követelhetik meg, hogy kizárólag olyan anyagokat lehessen használni, amit maga a szervezet állított elő, vagypedig olyanokat, amelyekre jogot szerzett (licenszet vett) vagy a fejlesztő maga adta át a szervezetnek.
12.1.2.2. Szoftver szerzői jogok A saját tulajdonú szoftvertermékeket többnyire olyan licensz-szerződések hatálya alatt szállít le a szállító, amely meghatározott gépre korlátozza e termékek használatát, és azok másolását is csak a tartalék másolat készítésére korlátozza. A következő óvintézkedéseket ajánlatos megfontolni: a) a szoftver-szerzői jognak való megfelelés olyan szabályzatának kiadását, amely meghatározza, mit tekint a szoftver- és az informatikai termékek jogszerű használatának, b) a szoftvertermékek megszerzési eljárását előíró szabványok kiadását, c) tudatosítani a szoftver-szerzői jogot és a megszerzési szabályzatokat, és megfelelő figyelmeztetést adni arról a szándékról, hogy fegyelmi eljárást kíván foganatosíttatni a szabályszegő személyzettel szemben, d) megfelelően alkalmas vagyonleltár karbantartását,
2004. 07. 19.
0.91 verzió
196
Az informatikai biztonság irányításának követelményrendszere (tervezet) e) a licenszek, mesterlemezek, kézikönyvek stb. tulajdonlásáról szóló okmányok és bizonyítékok karbantartását, f) olyan óvintézkedések megvalósítását, amelyekkel szavatolható, hogy a felhasználók számának megengedett legnagyobb értékét nem fogják meghaladni, g) azoknak az óvintézkedéseknek a végrehajtását, amelyek azt célozzák, hogy kizárólag jogosult szoftvereket és licenszek szerinti termékeket telepítsenek, h) olyan szabályzat kiadását, amely a megfelelő licensz-szerződéses állapotok fenntartására vonatkozik, i) olyan szabályzat kiadását, amely szoftvernek más számára szóló átruházására vagy átadására vonatkozik, j) az átvilágító auditáláshoz az alkalmas szerszámok, segédeszközök használatát, k) megfelelést a nyilvános hálózatokon keresztül szerzett szoftver és információ alkalmazási feltételeinek (lásd még a 8.7.6. szakaszt).
12.1.3. A szervezet adatainak biztonsága A szervezet fontos dokumentumai ajánlatos gondosan védeni az elvesztés, a sérülés és meghamisítás ellen. Egyes dokumentumok igényelhetik biztonságos megőrzésüket ahhoz, hogy a törvényi és jogszabályi követelményeket kielégítsék, ugyanígy, hogy a lényeges üzleti tevékenységeket támogassák. Ennek példái az olyan dokumentumok, amelyekre bizonyítékként lehet szükség ahhoz, hogy a szervezet a törvények és jogszabályok szerinti működését bizonyítani lehessen, vagy ahhoz, hogy szavatolja a lehetséges polgári és büntetőjogi eljárás elleni kellő védelmet, vagy hogy a szervezet pénzügyi helyzetét megerősítse, igazolja a tulajdonosok, az üzletfelek (partnerek) és az átvilágító auditorok számára. Az információ megőrzésének időtartamát és adattartalmát a különböző jogszabályok határozzák meg. A dokumentumokat fajtánként kell osztályozni, például számlák, adatbázisok, tranzakciók naplóbejegyzései (log), az átvilágító auditálás feljegyzései, vagy az üzemeltetési eljárások dokumentumai, amelyek mindegyikéhez rögzíteni kell a kötelező megőrzés időtartamát és az adathordozók fajtáját, például papír, mikrofilm, mágneses, vagy optikai adathordozó. A rejtjelzett archívumokkal és a digitális aláírásokkal kapcsolatos bármely kriptográfiai kulcsot (lásd a 10.3.2. és 10.3.3. szakaszt) csak kellően biztonságos helyen szabad tartani, és az arra felhatalmazott személyeknek – amikor szükségük van rá – hozzáférhetővé kell tenni.
2004. 07. 19.
0.91 verzió
197
Az informatikai biztonság irányításának követelményrendszere (tervezet) A dokumentumok rögzítésére használt adathordozóknál ajánlatos figyelembe venni az adathordozó lehetséges állapotromlását. A tárolás és a kezelés eljárásait a gyártó ajánlásainak betartásával kell megoldani. A tárolás során a fizikai környezetre (hőmérséklet, páratartalom, stb.) kiemelt figyelmet kell fordítani. Amennyiben elektronikus tárolóközeget választunk, akkor a megőrzési időszakra gondoskodni annak az eljárásnak az alkalmazásáról is, amelynek révén az adathordozóknak mind az állagát, mind a rögzítési formátumát tekintve az adatok hozzáférhetők és olvashatók maradnak, és amelynek révén megóvhatók attól, hogy későbbi technológiai változások miatt elvesszenek. Az adattároló rendszereket úgy kell megválasztani, hogy a kívánt adatokat a hatóságok számára jogilag is elfogadható módon lehessen visszakeresni, például valamennyi kívánt adatot elfogadható időn belül és elfogadható formátumban lehessen előhívni. A tároló- és kezelőrendszernek garantálnia kell, az adatok a kötelező megőrzési időtartamban egyértelműen azonosíthatók legyenek. A tároló- és kezelőrendszer tegye lehetővé, hogy az adatokat ezen időszak lejártával, ha a szervezet számára már nem szükségesek, alkalmas módon megsemmisíthessék. Az adatok megőrzése, tárolása, kezelése és a velük való rendelkezés tekintetében intézkedő útmutató kézikönyvet (használati utasítást) kell kiadni. Megőrzési ütemtervet kell készíteni, amelyben azonosítunk minden adatfajtát és azt a hozzájuk rendelt időszakaszt, amelyben azokat meg kell őrizni.
12.1.4. Személyes adatok védelme A személyes adatok védelmére vonatkozó jogszabályi előírások intézkedési kötelezettségeket rónak azokra az adatkezelőkre, akik a személyes adatot kezelnek. Az adatvédelmi jogszabályoknak való megfelelés kellő irányítási struktúrát és ellenőrzést igényel. Ezt leginkább azzal lehet elérni, ha adatvédelmi felelőst jelölünk ki, aki erre vonatkozó útmutatót ad ki vezetők, felhasználók és szolgáltatók számára egyéni felelősségükről, valamint azokról a különleges eljárásokról, amelyeket követniük kell.
12.1.5. A védelmi eszközökkel elkövethető visszaélések megelőzése A szervezet információfeldolgozó eszközeit üzleti célra hozták létre. Ajánlatos, hogy a vezetés adja ki az engedélyt azok felhasználóinak. Ezen eszközök bármely olyan használata, 2004. 07. 19.
0.91 verzió
198
Az informatikai biztonság irányításának követelményrendszere (tervezet) amelyik nem felel meg az üzleti céloknak, vagy amelyre nincs a vezetéstől kapott felhatalmazás, úgy tekintendő, mint az eszközök helytelen használata. Ha megfigyeléssel (monitorozással) vagy más módon azonosítjuk, hogy az ilyen tevékenység előfordult, akkor erre fel kell hívni a vonatkozó fegyelmi eljárásban illetékes vezető figyelmét. A használat figyelésének (monitorozásának) a jogszerűsége megkívánja, hogy a munkatársakat a megfigyelésre figyelmeztessük. A megfigyelési eljárás alkalmazása előtt ajánlatos jogi tanácsot kérni. A jogosulatlan számítógép-használat bűncselekmény. Ezért lényeges, hogy minden felhasználó legyen tudatában a saját, engedélye szerinti jogosultságának, az engedélyezett hozzáférési körének. Ezt azzal lehet elérni, hogy a felhasználók írott formában kapják meg a felhatalmazásukat, amelynek egy példányát a felhasználóval alá kell íratni, és biztonságosan megőrizni. A szervezet munkatársai ugyanúgy, mint a harmadik félhez tartozó felhasználók, kapjanak megfelelő tájékoztatást arról, hogy semmilyen más hozzáférés nincs megengedve, csak az, amelyre felhatalmazást kaptak. Minden egyes bejelentkezéskor ajánlatos figyelmeztető üzenetet megjeleníteni a számítógép képernyőjén, amely mutatja, hogy a rendszer, amelybe belépni készülnek, magántulajdonú és abba a jogosulatlan belépés nincs megengedve. Ajánlatos ezt a használóval nyugtáztatni, és elvárni tőle, hogy a képernyőn megjelenített üzenetre kellő módon válaszoljon ahhoz, hogy a bejelentkezési folyamatot folytathassa.
12.1.6. A kriptográfiai eszközök kezelésének szabályozása Egyes országok egyezményeket kötöttek, törvényeket hoztak, szabályozást léptettek életbe, és más eszközöket is bevetettek annak érdekében, hogy a kriptográfiai óvintézkedésekhez való hozzáférést és azok használatát ellenőrzésük alatt tarthassák. Az ilyen óvintézkedés magában foglalhat: a) a kriptográfiai funkciókat végrehajtani képes számítógép-hardver és -szoftver behozatalt (importot) és kivitelt (exportot), b) a kriptográfiai funkciót végrehajtó kiegészítések befogadására tervezett számítógéphardver és -szoftver behozatalt (importot) és kivitelt (exportot), c) az országok kötelező vagy önkéntes hozzáférés módjait, a tartalom bizalmasságát ellátó hardver vagy szoftver eszközzel titkosított információhoz.
2004. 07. 19.
0.91 verzió
199
Az informatikai biztonság irányításának követelményrendszere (tervezet) Ajánlatos jogi tanácsot ajánlatos kérni, mielőtt rejtjelzett információt, vagy kriptográfiai eszközöket más országba továbbítunk. Az államtitok és szolgálati titok védelméről szóló törvény hatálya alá eső adatok esetében csak a jogszabályok szerint szabad eljárni a rejtjelzés, a kriptográfiai eszközök használata során!
12.1.7. A bizonyítékok gyűjtése 12.1.7.1. A bizonyítékokra vonatkozó szabályok Szükség van arra, hogy kellő bizonyítékkal rendelkezzünk ahhoz, hogy fegyelmi, vagy jogi eljárást folytassunk egy személy vagy szervezet ellen. Amikor a tevékenység a polgári vagy a büntető törvénykönyvet érinti, akkor a benyújtott bizonyítékok feleljenek meg azoknak a bizonyítási szabályoknak, amelyek a hatályos jogszabályokban vagy annak a bíróságnak az eljárási szabályaiban vannak lefektetve, amelyik előtt az ügyet tárgyalják. Általában ezek a szabályok magukban foglalják: a) a bizonyíték elfogadhatóságát (a bizonyíték a bíróság előtt használható-e vagy sem?), b) a bizonyíték súlyát (bizonyító erő): a bizonyíték minősége és teljessége, c) a bizonyíték alkalmasságát (kellő voltát) a tekintetben, hogy a védelmi intézkedéseket abban az időszakban pontosan és ellentmondásmentesen tartották be, valamint hogy a rendszer rögzítette és tárolta a bizonyítékokat.
12.1.7.2. A bizonyítékok elfogadhatósága A bizonyítékok elfogadhatóságához szükséges, hogy a szervezet gondoskodjon arról, hogy informatikai megfeleljenek az elfogadható bizonyítékok előállítására vonatkozó szabványoknak vagy eljárásrendnek.
12.1.7.3. A bizonyítékok minősége és hiánytalan volta A bizonyíték minősége (bizonyító ereje) és teljessége eléréséhez erős, tartós bizonyítéknaplóra van szükség. Általában az ilyen erős naplót a következő feltételekkel lehet készíteni: a) Papíron rögzített okmányok (dokumentumok) esetében: az eredetit biztonságosan tárolják és rögzítik azt is, hogy ki találta meg, hol találta meg, mikor találta meg, és hogy a feltalá-
2004. 07. 19.
0.91 verzió
200
Az informatikai biztonság irányításának követelményrendszere (tervezet) lását kik tanúsítják. Csak alaposan megejtett vizsgálat szavatolhatja, hogy az eredetit nem hamisították meg. b) Számítógép-adathordozón rögzített információ esetében: a hordozható adathordozók, valamint a háttértárolón (wincseszteren) és a központi tárolón talált információ másolatait ajánlatos megőrizni, és rendelkezésre állásáról gondoskodni. A másolási folyamat során ajánlatos valamennyi tevékenységről szóló naplófeljegyzést is elkészíteni és ajánlatos a folyamathoz tanút is hívni. A naplónak és az adathordozónak egy-egy példányát ajánlatos biztonságosan megőrizni. Amikor a véletlen eseményt először észlelik, mindjárt nyilvánvaló lehet az is, hogy esetleg bírósági ügy lehet belőle. Éppen ezért fennáll annak a veszélye, hogy a szükséges bizonyítékok véletlenül megsemmisülnek még mielőtt a véletlen esemény komolyra fordulna. Tanácsos jogtanácsost vagy a rendőrséget idejekorán bevonni az ügybe bármely tervezett jogi lépés előtt, és kikérni tanácsukat, a szükséges bizonyítékokat illetően.
2004. 07. 19.
0.91 verzió
201
Az informatikai biztonság irányításának követelményrendszere (tervezet)
12.2. Az informatikai biztonságpolitikának és a műszaki követelményeknek való megfelelés Gondoskodni arról, hogy a rendszerek megfeleljenek a szervezet biztonságpolitikájának, szabályzatainak és a szabványoknak. Az informatikai rendszerek biztonságát ajánlatos időről időre felül kell vizsgálni. Ezeket a felülvizsgálatokat ajánlatos a vonatkozó biztonsági szabályzatoknak megfelelően végezni, és ugyanígy a műszaki és informatikai rendszereket a biztonságos megvalósítás és üzemeltetés szabványainak való megfelelést átvilágító auditálásnak kell alávetni.
12.2.1. Az
informatikai
biztonsági
előírásoknak
való
megfelelés Ajánlatos, hogy a menedzser-vezetők garantálják, a felelősségi körükbe tartozó valamennyi biztonsági eljárást helyesen hajtották végre. Továbbá a szervezeten belül ajánlatos valamennyi területet időről időre felülvizsgálni annak érdekében, hogy megfeleljenek a biztonsági szabályzatoknak és a szabványoknak. Ajánlatos, hogy ez a következőket foglalja magában: a) információrendszereket/informatikai rendszereket, b) rendszer- beszállítókat, c) az információ és az informatikai vagyontárgyak tulajdonosait, d) a felhasználókat, e) a menedzsereket, illetve a vezetőséget (a teljes menedzsmentet). Ajánlatos, hogy az információrendszerek tulajdonosai (lásd az 5.1. szakaszt) tűrjék és segítsék rendszereiknek a biztonsági szabályzatok, szabványok és más biztonsági követelmények szerinti megfelelőségre vonatkozó átvilágító auditálását. A rendszerhasználat üzemviteli megfigyelését a 9.7. szakasz tárgyalja. A biztonsági megfelelőség ellenőrzés az alkalmazott biztosítékok felülvizsgálatát és elemzését jelenti. Annak ellenőrzésére használatos, hogy az informatikai rendszerek és szolgáltatások vajon megfelelnek-e az informatikai biztonságpolitikában és a Informatikai
2004. 07. 19.
0.91 verzió
202
Az informatikai biztonság irányításának követelményrendszere (tervezet) Biztonsági Szabályzatban lefektetett követelményeknek. A biztonsági megfelelőség ellenőrzést a következő esetekben alkalmazzuk: a) új informatikai rendszerek és szolgáltatások implementációját követően, b) létező informatikai rendszerek vagy szolgáltatások esetében adott időszakonként (például évente), c) létező informatikai rendszerek vagy szolgáltatások esetében, amennyiben változás történt a rendszerszintű informatikai biztonságpolitikában, annak érdekében, hogy lássuk: milyen változtatások szükségesek a kívánt biztonsági szint fenntartásához. Biztonsági megfelelőség ellenőrzést egyaránt lehet végezni külső vagy belső személyzettel,
alapvetően
a
rendszerszintű
informatikai
biztonságpolitikára
épülő
ellenőrzőlisták segítségével. Az informatikai rendszert védő biztosítékokat a következő módon lehet ellenőrizni: a) rendszeres vizsgálatok és tesztek, b) a működési teljesítmény ellenőrzése valós biztonsági események bekövetkezésekor, c) szúrópróba jellegű vizsgálatok a biztonsági szintek és célok ellenőrzésére egyes meghatározott érzékenységű vagy profilú területeken. Bármilyen biztonsági megfelelőség ellenőrzés támogatására értékes információk nyerhetők az informatikai rendszerek használatáról a következő forrásokból: a) az eseményeket rögzítő szoftvercsomagok használata, b) biztonsági naplók alkalmazása az események teljes történetének követésére. A biztonsági megfelelőség ellenőrzést a rendszeres felülvizsgálatok és jóváhagyások támogatására az elfogadott biztosítékok listáira kell építeni, melyeket a legutóbbi kockázatfelmérés eredményei, a rendszerszintű informatikai biztonságpolitika és az informatikai vezetés által előírt biztonsági műveleti és eseményjelentési eljárások határoznak meg. Azt kell megállapítani, hogy a biztosítékokat megvalósították-e egyáltalán, jól tették-e, jól használják-e és ahol ez értelmezhető, tesztelték-e. A biztonsági megfelelőséget ellenőrző személynek végig kell járnia az épületet egy normál munkanapon és meg kell néznie, a biztonságot szolgáló biztosítékok használatának módját. Természetesen az interjúk is fontosak, de ezeket amennyire csak lehet ellenőrizni kell.
2004. 07. 19.
0.91 verzió
203
Az informatikai biztonság irányításának követelményrendszere (tervezet) Amit mond valaki azt őszintén hiheti is, de ettől még nem biztos, hogy igaza van: ellenőrizni kell a munkatársak útján is. Nem lebecsülendő segítséget tud adni egy átfogó ellenőrző lista és a jelentések meghatározott formátumban való elkészítése. Az ellenőrző listáknak tartalmazniuk kell általános azonosítási információkat, például konfigurációs részletek, biztonsági felelősségek, politika jellegű dokumentumok, környezeti beállítások. A fizikai biztonságnak olyan külső szempontokat kell megjelenítenie, mint a szabadtéri épületek, ide értve csatornanyíláson keresztül történő megközelíthetőséget és olyan belső szempontokat, mint az építés, zárak, tűzvédelem és megelőző (riasztó) rendszer, víz/folyadék érzékelés, és tápellátás kiesése elleni védelem alapos kiépítettsége, stb. Sok mindenre kell figyelni, úgy mint a) a fizikai behatolásnak, vagy az eszközök kijátszhatóságának kitett területekre, például a kódzárral vagy kártyával nyitható ajtók kiékelése miatt; b) hibás vagy hibásan felszerelt eszközök, hiányos vagy rossz elosztás esetleg nem megfelelő típusú érzékelő alkalmazása. Van elegendő füst ill. hőérzékelő egy adott területen és a megfelelő magasságban vannak? Van megfelelő reakció a riasztásra? Megfelelően vannak bekötve a riasztók egy ellenőrző pontra? Van bármilyen új veszélyforrás – valaki egy nem megfelelő helységet kezd használni gyúlékony anyagok tárolására? Létezik megfelelő védelem az áramingadozás vagy kimaradás ellen? A megfelelő kábeltípusokat használják és azok nincsenek kitéve mechanikai sérülés veszélyének? A biztonság területein előforduló rések megtalálásához a következő kérdések nyújthatnak segítséget: a) Munkavállalók biztonsági ellenőrzése: figyeljük meg a felvételi folyamatot. Valósak-e a referenciák? Az esetleges lyukakat ellenőrizték? A humán erőforrás terület jól tájékozott a biztonsági szempontokkal kapcsolatban? Megbízhatónak tekinthető a kulcspozícióba kijelölt személy? b) Adminisztratív biztonság: valójában hogy kezelik a dokumentumokat? A használatban levő dokumentációk napra készek? A kockázatfelmérés, státusz ellenőrzés és az események jelentése kapcsán úgy használják, ahogy kell? Az üzletmenet-folytonossági terv pontosan fedi az egész üzletmenetet és naprakész?
2004. 07. 19.
0.91 verzió
204
Az informatikai biztonság irányításának követelményrendszere (tervezet) c) Hardver-szoftver biztonság: van kellő tartalék? Mennyire jó a felhasználói azonosító – jelszó választás és használat rendje? Van olyan minősített eszköz, mely megfelel a megállapított követelményeknek? d) Kommunikáció-biztonság: van kellő tartalék? Ha van betárcsázási lehetőség, a szükséges berendezéseket használják és jól teszik-e ezt? Ha titkosítás és/vagy üzenet hitelesítés is szükséges, milyen hatékony a kulcskezelési rendszer és a kapcsolódó művelet? Összefoglalva: a biztonsági megfelelőség ellenőrzés nem ki feladat, sikeres végrehajtása nagy gyakorlatot és tudást igényel. Ez a belső ellenőrzési tevékenységtől elválasztott művelet.
12.2.2. A műszaki követelményeknek való megfelelés Az információrendszereket időről időre ajánlatos ellenőrizni a biztonság megvalósítását előíró szabványokkal szembeni megfelelőségre. A műszaki megfelelőség-ellenőrzés foglalja magában az üzemeltetési rendszer vizsgálatát, hogy ezzel lehessen szavatolni a hardver és szoftver óvintézkedések megvalósítása helyességét, pontosságát. Ez a fajta megfelelőségellenőrzés műszaki szakértői támogatást igényel. Ezt ajánlatos egy gyakorlott rendszermérnöknek manuálisan végrehajtani (amit szükség esetén alkalmas szoftvereszközök, szerszámok támogatnak), vagypedig egy olyan, automatizált szoftvercsomagnak, amely műszaki jelentést készít azért, hogy azt a műszaki szakértő ezt követően értelmezze, kiértékelje. A megfelelőség-ellenőrzés például az alkalmazás-mélység (elterjedtség, behatolási mélység, penetráció) vizsgálatát is tartalmazza, amelyet erre a célra külön szerződtetett független szakértők hajtanak végre. Ez hasznos lehet a rendszer sérülékenységeinek felderítésében és annak ellenőrzésében, mennyire hatékonyak az óvintézkedések ezen sérülékenységeket kihasználó jogtalan hozzáférések megelőzésére. Elővigyázatra van szükség erre az esetre, mert az alkalmazás-mélység vizsgálatának sikeres elvégzése a rendszer biztonságának veszélyeztetésére vezethet és egyéb sérülékenységek gondatlan kiteregetését okozhatja. Bármely műszaki megfelelőség-ellenőrzést is elvégezhető, ha csak az illetékes, erre felhatalmazott személyek végezik, vagy legalábbis felügyelik azt.
2004. 07. 19.
0.91 verzió
205
Az informatikai biztonság irányításának követelményrendszere (tervezet)
12.3.
Megfontolások a rendszerek biztonsági ellenőrzésére
Maximalizálni a rendszert átvilágító auditálás hatékonyságát, és minimalizálni az általa vagy benne okozott zavarokat. Intézkedéseket kell alkalmazni az üzemelő rendszer védelmére, és hogy megóvjuk az auditálás alatt az auditáló eszközöket. Ugyancsak védelmet szükséges alkalmazni ahhoz, hogy megóvjuk az auditáló eszközök sértetlenségét és megelőzzük a velük való visszaélést. Az ellenőrzés egy folyamatos tevékenység, amely azt vizsgálja, hogy a rendszer és felhasználói valamint a környezet fenntartja-e az informatikai biztonsági tervben meghatározott biztonsági szintet. Napi rendszerességű ellenőrzési tervet kell készíteni kiegészítő iránymutatásokkal és eljárásokkal a folyamatos biztonságos működés támogatására. A felhasználóknak, az üzemletetési személyzetnek és a biztonsági tervezőknek rendszeresen konzultálniuk kell annak érdekében, hogy az összes biztonsági célkitűzést kielégítsék és az informatikai biztonsági terv naprakész maradjon. Azon okok egyike, amelyek miatt az ellenőrzés olyan fontos az informatikai biztonság fenntartásában az, hogy ez egy út a biztonságot érintő változások érzékelésére. Néhány szempont, amit ellenőrizni kell: az eszközök és értékük, az eszközökre irányuló fenyegetések és azok sérülékenységei és az eszközöket védő biztosítékok. Az eszközöket az értékükben és az informatikai rendszerek biztonsági céljai változásának észlelése érdekében kell ellenőrizni. Ezeknek a változásoknak a lehetséges okai a következők: a szervezet céljai, az informatikai rendszerben működő alkalmazások, az informatikai rendszerben feldogozott információk és maguk az informatikai eszközök. A fenyegetéseket és sérülékenységeket azért ellenőrizzük, hogy érzékeljük a változásokat súlyosságukban (például az infrastruktúrában, környezetben bekövetkezett változások okozhatják ezeket vagy technikai lehetőségek) és hogy korai szakaszban tudjunk érzékelni új fenyegetéseket vagy sérülékenységeket. Az eszközök változásai befolyásolhatják a fenyegetések és sérülékenységek változásait. A biztosítékokat teljesítményük és hatékonyságuk vizsgálata érdekében ellenőrizzük időnként. Biztosítani kell, hogy megfelelőek legyenek és az informatikai rendszert a szüksé-
2004. 07. 19.
0.91 verzió
206
Az informatikai biztonság irányításának követelményrendszere (tervezet) ges védelmi szinten védjék. Lehetséges, hogy az eszközök, fenyegetések és sérülékenységek változásai befolyásolják a biztosítékok hatékonyságát és megfelelősségét. Továbbá, ha új informatikai rendszereket vezetnek be, vagy megváltoztatják a meglevőket, akkor igény keletkezik, hogy a hasonló változások ne befolyásolják a meglévő biztosítékokat és az új rendszerek számára megfelelő biztosítékok álljanak rendelkezésre. Ha biztonsági rendellenességet találunk, akkor azt ki kell vizsgálni, és a megállapításokat jelenteni kell a felső vezetésnek a biztosítékok lehetséges felülvizsgálatához vagy komolyabb körülmények között az informatikai rendszerszintű biztonsági politika felülvizsgálatához és kockázat-felmérési tevékenységhez. A biztonsági politikához való kapcsolódás érdekében megfelelő erőforrásokat kell rendelni a következők megfelelő napi szintű ellenőrzésének biztosítására: a) Létező biztosítékok, b) Új rendszerek és szolgáltatások bevezetése, és c) Tervezett változtatások a létező rendszerekben és szolgáltatásokban. Sok biztosíték készít napló formájú kimenetet az eseményekről. Ezeket a naplókat statisztikai technikák használatával kell ellenőrizni a trendváltozások és az ismétlődő események előfordulásainak korai érzékelése érdekében. Ki kell jelölni, hogy ki a felelős a naplók elemzéséért. Elosztott rendszerekben a naplók csak egy adott környezetre vonatkozó információkat rögzítenek. Egy összetett esemény valós megértéséhez egyetlen eseményrekorddá kell egyesíteni a különböző naplókat. Ezután ezt az eseményrekordot kell elemezni. Az eseményrekord egyesítés egy összetett feladat és a legfontosabb szempontja azon paraméterek azonosítása, melyek segítségével a különböző naplóbejegyzéseket biztonságosan össze lehet fűzni. A napi rendszerességű ellenőrzés szervezéséhez szükséges vezetési technika a biztonsági műveleti eljárások dokumentálása. Ez a dokumentum leírja az összes műveletet, ami ahhoz szükséges, hogy biztosítjuk minden rendszer és szolgáltatás biztonsági szintjének hosszabb távon való fenntartását. A biztonsági konfiguráció frissítéséhez szükséges tevékenységeket dokumentálni kell. Tartalmazniuk kell a változtatott biztonsági paramétereket, és frissíteniük kell minden biztonsági szervezési információt. Ezeket a változásokat rögzíteni kell, és jóvá kell hagyni a konfiguráció kezelési folyamat során. A rendszeres karbantartás folyamán biztosítani kell, hogy a 2004. 07. 19.
0.91 verzió
207
Az informatikai biztonság irányításának követelményrendszere (tervezet) biztonság ne sérüljön. Megbízható elosztási eljárásokat kell leírni minden biztonsági összetevőre, ahol ez alkalmazható. A biztosítékok ellenőrzési folyamatát írásba kell foglalni. Rögzíteni kell a biztonsági naplók vizsgálatának gyakoriságát és annak megközelítését. Meg kell jeleníteni a statisztikai eszközök és módszerek használatát. Útmutatást kell adni arról, hogy különböző működési körülmények között milyen vizsgálati küszöbértékeket alkalmazunk.
12.3.1. Rendszerauditálási óvintézkedések Az üzemelő rendszer átvilágító auditálásának a követelményeit, valamint az ellenőrzést is magában foglaló tevékenységeket ajánlatos gondosan megtervezni és egyeztetni, hogy ezzel minimalizálni lehessen az üzleti folyamatok megszakadásának a kockázatát. Az alábbiakat ajánlatos megfigyelni: a) Az átvilágító auditálás követelményeit ajánlatos egyeztetni az illetékes vezetőséggel. b) Az ellenőrzés tárgyát ajánlatos egyeztetni és ellenőrizni. c) A szoftverek és az adatok ellenőrzése a „csak olvasás” jellegű hozzáférésre legyen korlátozva. d) A „csak olvasás”-on kívüli hozzáférést csak akkor szabad engedélyezni, ha az a rendszerállományok (rendszerfájlok) elkülönített másolatán történik, és akkor is az átvilágító auditálás befejezésével ezeket az állományokat ajánlatos megsemmisíteni. e) Az ellenőrzéseket végző informatikai eszközöket pontosan azonosítani, és rendelkezésre bocsátani kell. f) A különleges vagy kiegészítő feldolgozás követelményeit ajánlatos azonosítani és egyeztetni. g) A hivatkozási napló (reference trail) készítéséhez ajánlatos minden egyes hozzáférést megfigyelni és naplózni (log). h) Valamennyi eljárást, követelményt és felelősséget ajánlatos írásban foglalni (dokumentálni).
12.3.2. Rendszerauditáló eszközök védelme A hozzáférést a rendszerauditáló átvilágító eszközökhöz, azaz szoftverekhez és adatállományokhoz (fájlokhoz) védeni kell annak érdekében, hogy kizárjuk a lehetséges visszaélé2004. 07. 19.
0.91 verzió
208
Az informatikai biztonság irányításának követelményrendszere (tervezet) seket és a veszélyeztetést. Ezeket az eszközöket el kell különíteni az üzemeltető és a fejlesztő eszközöktől, és nem szabad azokat a szalagtárakban vagy a használói körzetekben tárolni, hacsak nincsenek ellátva alkalmas szintű kiegészítő védelemmel.
2004. 07. 19.
0.91 verzió
209