Dabas és Környéke Vízügyi Kft

Dabas és Környéke Vízügyi Kft H-2370 Dabas, Széchenyi u. 3. Tel: 29/360-321; 29/360-323 Tel./fax: 29/360-323 E-mail: [email protected]

INFORMÁCIÓBIZTONSÁGI KOCKÁZATKEZELÉSI SZABÁLYZAT kiadás /változat 1.0

jóváhagyta, hatályba léptette:

Hatályba lépés dátuma: 2015. 04.01

Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!

Kiadás/változat: 1.0 DAKÖV KFT.

INFORMÁCIÓBIZTONSÁGI KOCKÁZATKEZELÉSI SZABÁLYZAT

Kiadás dátuma:2015.04.01 Oldalak száma: 2/11

Verzió

Készítette /módosította

Módosítás

Hatályba lépés File neve dátuma

1.0

DAKOV KFT.

2015.04.01

infokocka.pdf

.

Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.

Dokumentum száma: Oldalszám: 2 / 11




Tartalomjegyzék 1

Cél ........................................................................................................................... 4

2

A szabályzat hatálya ............................................................................................... 4 2.1 Időbeli hatálya ...................................................................................................... 4 2.2 Személyi hatálya .................................................................................................. 4 2.3 Tárgyi hatálya ....................................................................................................... 4 2.4 Területi hatály ...................................................................................................... 5

3

A szabályzat minősítése.......................................................................................... 5

4

A szabályzat felülvizsgálata ................................................................................... 5

5

Meghatározások ...................................................................................................... 5

6

Illetékesség ............................................................................................................. 6

7

A kockázatelemzés folyamata ................................................................................ 7 7.1 Fenyegetett rendszerelemek meghatározása ........................................................ 8 7.2 Fennálló kockázatok meghatározása .................................................................... 8 7.3 Kockázatok elemzése, gyakoriság, kárérték meghatározása ................................ 9 7.4 Kockázat enyhítési intézkedések meghatározása ............................................... 10 7.5 Maradványkockázatok elemzése, elfogadása ..................................................... 10 7.6 Intézkedések, kontrollok definiálása, kiválasztása ............................................. 10 7.7 Értékelés ............................................................................................................. 11 7.8 Időszakos felülvizsgálat ..................................................................................... 11

8

Hatályon kívül helyezés........................................................................................ 11

9

Mellékletek és formanyomtatványok ................................................................... 11






Cél

1

A Dabas és Környéke Vízügyi Kft. (továbbiakban Társaság) működésének elengedhetetlen része az információbiztonság hatékony kezelése, mind az informatikai, mint a nem kifejezetten informatikai tekintetben releváns rendszerek esetében. A megfelelő biztonsági szint eléréséhez szükséges proaktív hozzáállás a kockázatok felmérésében, a feltárt kockázatok értékelésében, és a kockázatok enyhítésére szolgáló intézkedések végrehajtásában ölt testet. A szabályzat célja a Társaság jogi- és szabályozási követelményeihez illeszkedő kockázat felmérési módszer kialakítása, a kockázatok azonosítása, azok hatásainak felmérése, számba vétele, a kockázatok javítási lehetőségeinek azonosítása a kapcsolódó védelmi célok meghatározása mellett. Egy nem kívánt esemény bekövetkezése, vagy egy elvárt esemény meg nem történése a Társaság üzleti folyamatait kedvezőtlen mértékben befolyásolja, a folyamatos működésre, és az információbiztonságra nézve kockázati tényezőként jelentkezik. Ilyen események hatására     

az üzleti célok elérése nem sikerül; az adott eszközök nem biztosítják a megfelelő, elvárt védelmet; a Társaság működése nem felel meg a szervezeti irányelveknek, törvényi, és jogszabályi környezetnek; az egyes erőforrások felhasználása nem hatékony és eredményes; az információbiztonság hármas egysége (bizalmasság, sértetlenség, rendelkezésre állás) sérül.

A szabályzat hatálya

2

2.1 Időbeli hatálya Jelen dokumentumot a Társaság vezetése hagyta jóvá, a jóváhagyás napjától hatályos. A dokumentum mindaddig hatályban marad, amíg azt a Társaság vezetése hatályon kívül nem helyezi, illetve amíg a Társaság, mint elismert vállalat meg nem szűnik.

2.2 Személyi hatálya A szabályzat személyi hatálya kiterjed a Társaság valamennyi vezető testületére, vezető tisztségviselőjére, munkavállalójára, valamint a Társaság számára szolgáltatási szerződés keretében végző személyre a Társaság számára végzett tevékenységre vonatkozóan.

2.3 Tárgyi hatálya A szabályzat tárgyi hatálya kiterjed a Társaság biztonságos működését felügyelő információs tevékenységre, ezen belül a Társaság: 

szabályzataira,






  

folyamatutasításaira, munkautasításaira rendszerdokumentációira, és minden egyéb dokumentumára.

2.4 Területi hatály A Stratégia területi hatálya kiterjed:  

a Társaság székhelyére és telephelyeire a külső szolgáltatók által, a Társaságnak nyújtott szolgáltatásban érintett helyszínekre.

3 A szabályzat minősítése A jelen szabályozás belső nyilvános dokumentum, amelyet a szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag az Ügyvezetők előzetes írásos engedélye alapján ismerhet meg. Jelen szabályzat személyi hatálya alá tartozóknak a szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a szabályzatból információt nem adhat ki.

4 A szabályzat felülvizsgálata Az utasítást évi rendszerességgel felül kell vizsgálni. A szabályzat felülvizsgálata az IBF feladata.

5

Meghatározások

A dokumentumban használt rövidítések és megnevezések Információbiztonsági Szabályzata dokumentumban található.


kifejtése

a

Társaság





Illetékesség

6

Ügyvezető igazgatók   

Felelnek a kockázat felmérési projekt(ek) végrehajtási feltételeinek, erőforrás szükségletének biztosításáért Felelnek a maradványkockázatok felvállalásáért Vezetik a kockázat felmérési és elemzési projektet

Információbiztonsági felelős      

Megalakítja az Elemző Munkacsoportot, ahová szükség szerint munkatársakat von be. Meghatározza a felmérés terjedelmét, hatókörét. Ütemezi a felmérés tevékenységeinek végrehajtását. Összegyűjti, elemzi és aktualizálja a felmérés adatait. Koordinálja a logisztikai feladatok végrehajtását (helyiség, írásvetítő stb.) Elvégzi a kockázatelemzés értékelését


további





7

A kockázatelemzés folyamata

Az egyes tevékenységek a következő fejezetekben kerülnek részletesen kifejtésre






7.1 Fenyegetett rendszerelemek meghatározása Valamennyi adott informatikai alkalmazás és feldolgozandó adat közül ki kell választani azokat, amelyek a Társaság számára jelentőséggel bírnak, így védelmet igényelnek. Ehhez meghatározásra kerülnek a védelmi célok az öt alapfenyegetettség vonatkozásában. A védelmi igény megállapítása két lépésben történik:  

Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése; Az informatika-alkalmazások és a feldolgozandó adatok értékelése.

Elsőként be kell határolni és fel kell tárni valamennyi informatikai alkalmazást és valamennyi feldolgozásra kerülő információt. A teljességre különös súlyt kell fektetni, mert az a további lépések során már nem biztosítható. A második lépés megvalósítása során a felosztás elvileg még finomítható, nevezetesen a különböző értékű területek egymástól elválaszthatók és elkülönítve szerepeltethetők. A kockázatelemzés befejezése, lezárása után egy további, még finomabb megkülönböztetés válhat szükségessé. Az első szakasz lezárása során a szakasz eredményeit a résztvevők és felelősök körében be kell mutatni, ellenőrizni és véglegesíteni, elfogadni kell. A II. szakasz csak akkor kezdhető el, amennyiben a fenti eredményeket már elfogadták projektvezetési szinten. A második lépének a feladata meghatározni, hogy az 1. lépés során feltérképezett rendszerelemek mely alapfenyegetettségekkel szemben és milyen mértékben képviselnek értéket. A kizárólag az adatbizalmasság terén érvényes adatminősítés szintén itt történhet, valamint ide tartozik a bizalmasság, és a speciális hitelesség, azaz a le nem tagadhatóság által képviselt értékek megőrzése. A lépés arra a kérdésre ad választ, hogy hogyan értékelhető a kár, ha belépnek a fenyegető tényezők.

7.2 Fennálló kockázatok meghatározása A fenyegetettség-elemzés során fel kell tárni valamennyi elképzelhető fenyegető tényezőt, amelyek kárt okozhatnak az informatikai rendszerben, s ezzel az informatikai alkalmazás (ok) ban, vagy az adatokban. Különösen ügyelni kell arra, hogy egyetlen fontosabb fenyegető tényezőt se hagyjunk ki, miután a kockázatelemzés ennek eredményeire épül, és a teljes körűség hiánya a biztonsági koncepció súlyos hiányához vezethet! A lépés során feldolgozási folyamatok személyi, dologi és környezeti elemei, valamint ezek egymástól való függősége kerül felmérésre és rögzítésre, majd megtörténik az alapfenyegetettség felmérése valamennyi rendszerelemre kiterjedően. Meg kell határozni minden egyes konkrét fenyegető tényezőt, amely az informatikai rendszer környezetében felléphet, és nemkívánatos módon hathat a feltérképezett rendszerelemekre, azután hozzá kell rendelni ezeket a rendszerelemekhez és az alapfenyegetettségekhez, amelyeket érintenek, illetve amelyeket maguk okoznak. Egy-egy fenyegető tényező több rendszerelemre is vonatkozhat, ennek ellenére az átfedések elkerülése érdekében csak egyszer célszerű felvezetni. Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.





7.3 Kockázatok elemzése, gyakoriság, kárérték meghatározása A kockázatelemzés során a feltárt fenyegető tényezők lehetséges kihatásaik szempontjából kerülnek értékelésre, ebből kerülnek meghatározásra a fennálló kockázatok. Ez jelenti az adott informatikai rendszer "hol vagyunk" állapotát, amelyből kiindulva kell meghatározni a "hova igyekszünk" állapotot. A fenyegetett rendszerelemek kárértéke és a fenyegetések gyakorisága ötrészes skálán kerül rögzítésre. A szakasz lezárása során a szakasz eredményeit, kiemelten a kárnagyság, a kárgyakoriság értékeit és a kockázatok leírását az Információbiztonsági Fórum előtt be kell mutatni, el kell fogadtatni. Csak amennyiben már elfogatottnak tekinthetők az eredmények, lehet rátérni a biztonsági koncepció elkészítésére. Az eljárás következő lépése az értékskála és a gyakoriság skála alapján az el nem fogadható kockázatot jelentő érték-gyakoriság párok meghatározása, valamint a döntési mátrix alapján megengedhetőnek ítélt kockázatok meghatározásának döntési háttere, annak elemzése és dokumentálása (a kockázatbecslési mátrix meghatározása). Az ötrészes skálán a valószínűség és az (üzleti) hatás kerül ábrázolásra. Az értékelés 1-5 értékek mentén történik, a kockázat nagyságát a két érték szorzata adja 5 nagyon gyakori

MAGAS

4 gyakori

Valószínűség

3 közepes

KÖZEPES

2 ritka

ALACSONY

1 Valószínűtlen

1 elhanyagolható

2 csekély

3 közepes

4 nagy

5 kiemelke dő

Kárérték Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.





A kockázatok mértékének (és elviselhetőségének) meghatározása az alábbiak alapján történik: MAGAS:

12 és a felett

KÖZEPES:

5-11 között

ALACSONY: 1-4 között

7.4 Kockázat enyhítési intézkedések meghatározása Általános védelmi elemek, valamint megfelelő mechanizmusok keresése az informatikai rendszer védelmére annak érdekében, hogy az előzőekben feltárt, nem elfogadható szintű kockázatok csökkenjenek. Ennek érdekében intézkedéseket kell hozni azon fenyegető tényezők ellen, amelyek az elviselhetetlen kockázatot okozzák. A biztonsági követelmények arra irányulnak, hogy az elviselhetetlen kockázatokat okozó fenyegető tényezők elleni intézkedések révén a kockázatok elviselhető mértékűre csökkenjenek. Meg kell határozni azokat az intézkedéseket, amelyek a fenyegető tényezők ellen hatnak.

7.5 Maradványkockázatok elemzése, elfogadása A lépés tartalma az elfogadható költségű intézkedésekkel nem csökkenthető mértékű kockázatok kezeléséről hozott döntéseknek, azok hátterének elemzése, dokumentálása. A maradványkockázat elemzésének a célja nem az, hogy valamennyi kockázatot amennyire csak lehetséges csökkentsük és kapcsoljuk ki, hanem az, hogy a kockázatokat elviselhető mértékűre korlátozzuk és egyetlen elviselhetetlenül magas értékű kockázatot se fogadjunk el. Amennyiben még egy vagy több kockázat a 3.3-as pontban felállított tábla szerint elviselhetetlen, szükség van visszacsatolásra, hogy hatékonyabb intézkedéseket vagy több egybehangolt intézkedést válasszunk ki. Olyan maradványkockázat, amely elviselhetetlen, e lépés lezárását követően nem maradhat. Az is elképzelhető viszont, hogy az előirányzott védelem túlzott, azaz a kockázatot jóval az elviselhetőségi határ alatt tartja. Ilyenkor meg kell fontolnunk, hogy egyszerűbb vagy kevesebb intézkedéssel elérhető-e egy elfogadható maradványkockázat. Ennek során figyelembe kell vennünk az intézkedések közötti függőségeket. A Társaság informatikai rendszerét megfelelő és elfogadható intézkedések révén úgy kell kialakítani, hogy a maradványkockázat elfogadható legyen.

7.6 Intézkedések, kontrollok definiálása, kiválasztása A maradványkockázatok elfogadásával együttesen a Társaság vezetőségének ütemtervet kell felállítani a kockázat enyhítési intézkedések bevezetésére, valamint az egyes intézkedések felügyeletére.






7.7 Értékelés A meghozott és bevezetett intézkedések hatékonyságának értékelését az időszakos felülvizsgálat során el kell végezni.

7.8 Időszakos felülvizsgálat A hatályos kockázatelemzést időszakonként, de legalább két évente szükséges felülvizsgálni.

8

Hatályon kívül helyezés

Nincs hatályon kívül helyezendő dokumentum.

9

Mellékletek és formanyomtatványok

Nincsenek mellékletek és formanyomtatványok



Dabas és Környéke Vízügyi Kft

Recommend Documents