Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék

VÁLLALATI BIZTONSÁGPOLITIKA

Témavezető:

Készítette:

Dr. Juhász István

Lőrincz Tímea

egyetemi adjunktus

gazdaságinformatikus (BSc) szak

Debrecen 2010

KÖSZÖNETNYILVÁNÍTÁS Ezúton szeretnék köszönetet mondani témavezetőmnek, Dr. Juhász Istvánnak, hogy a vállalati biztonságpolitikára irányította figyelmemet, valamint tanácsaiért, útmutatásáért. Köszönöm hozzátartozóim türelmét, akik munkám során mellettem álltak.

TARTALOMJEGYZÉK BEVEZETÉS ............................................................................................................................5 I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG .....................................................................8 II. RÉSZ: ALAPFOGALMAK .............................................................................................12 III. RÉSZ: SZABÁLYOZÁS.................................................................................................15 III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK ........................................................ 15 III. 1. 1. TCSEC (Trusted Computer System Evaluation Criteria) ................................................... 15 III. 1. 2. ITSEC (Information Technology Security Evaluation Criteria)......................................... 15 III. 1. 3. Common Criteria (ISO/IEC 15408 szabvány) .................................................................... 16 III. 1. 4. COBIT (Control Objectives for Information and Related Technology)............................. 16 III. 1. 5. MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv) ........................ 18 III. 1. 6. MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei).................. 18 III. 1. 7. MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana)...................................................................................................................... 18 III. 1. 8. ITIL (Information Technology Infrastructure Library) ...................................................... 18 III. 1. 9. MSZ ISO/IEC 17799 (ISO 27002) ..................................................................................... 19 III. 1. 10. ISO 27000 szabványcsalád ............................................................................................... 19 III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR .......................................................................... 20 III. 2. 1. Adatvédelmi törvény........................................................................................................... 20 III. 2. 2. Módosult a Büntető Törvénykönyv .................................................................................... 21 III. 2. 3. Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet ..... 21 III. 2. 4. Incidenskezelő szervezetek Magyarországon ..................................................................... 22

IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS .............................................24 IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK ................................................................................... 24 IV. 1. 1. Szervezeti és működési veszélyforrások............................................................................. 24 IV. 1. 2. Humán veszélyforrások ...................................................................................................... 25 IV. 1. 3. Természeti veszélyforrások ................................................................................................ 25 IV. 1. 4. Fizikai veszélyforrások....................................................................................................... 25 IV. 1. 5. Logikai veszélyforrások...................................................................................................... 26 IV. 1. 6. Életciklushoz kapcsolódó veszélyforrások ......................................................................... 26 IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK .............................................................. 26 IV. 2. 1. Szervezeti és működési veszélyforrások elleni védelem lehetőségei ................................. 26 IV. 2. 2. Humán veszélyforrások elleni védelem.............................................................................. 27 IV. 2. 3. Természeti veszélyforrások elleni védelem........................................................................ 28 IV. 2. 4. Fizikai veszélyforrások elleni védelem............................................................................... 28 IV. 2. 5. Logikai veszélyforrások elleni védelem ............................................................................. 30 IV. 2. 6. Életciklushoz kapcsolódó veszélyforrások elleni védelem................................................. 31

V. RÉSZ: SZERVEZETI SZABÁLYOZÁS KIALAKÍTÁSA...........................................32 V. I. INFORMATIKAI BIZTONSÁGI KONCEPCIÓ .............................................................................. 32 V. II. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT ........................................................................... 34

3

VI. RÉSZ: ELLENŐRZÉS, AUDIT .....................................................................................35 ÖSSZEFOGLALÁS ...............................................................................................................38 IRODALOMJEGYZÉK ........................................................................................................40 MELLÉKLETEK...................................................................................................................43

4

BEVEZETÉS Valamennyi vállalat alapvető gazdasági érdeke az, hogy üzleti folyamatai lehetőleg zavarmentesen folyjanak. Ezeknek a folyamatoknak szinte nélkülözhetetlen támogatói az informatikai rendszerek. Ebből fakadóan nő az ilyen rendszerektől való függőség. Egy-egy informatikai incidens nemcsak közvetlenül okozhat komoly anyagi károkat, hanem pl. az ügyfelek bizalmának megrendülésével ügyfélvesztéshez, megrendelésvesztéshez vezethet. A minél eredményesebb vállalati működés érdekében tehát nagy hangsúlyt kell fektetni ezen rendszerek működőképességének megtartására, ami az informatikai biztonság, és a vállalat ezzel kapcsolatos politikájának kérdéskörére irányítja a figyelmet. Az informatikai rendszerekre egyre kevésbé jellemző az egymástól elszigetelten történő működés. Teret hódít az internet üzleti célú felhasználása, és az elektronikus üzletvitel, pl. a hatóságoknak elektronikusan történő adatszolgáltatás. Ez nagy biztonsági kihívást hordoz magában. A vállalat politikai, gazdasági környezete mindig fontos tényező a vállalat számára. Az utóbbi időszakban zajló gazdasági válság következtében a vállalatok arra kényszerülhetnek, hogy csökkentsék az informatikai biztonságra szánt kiadásaikat, amelytől azonban a biztonsági szakértők óva intenek. Egy ilyen döntés nem mindig bizonyulhat helyes döntésnek, figyelembe véve a következő két szempontot. Általánosan elterjedt nézet, hogy az informatikai incidensek nagy része a humán tényezővel hozható összefüggésbe. Belátható, hogy nehéz gazdasági helyzetben a nem vállalati alkalmazotti körből kikerülő számítógépes bűnözők is hajlamosabbak lehetnek illegális tettekre, és nem hagyható figyelmen kívül az alkalmazottak anyagi haszonszerzési vágyának, az elbocsájtás előtt álló vagy elbocsájtott alkalmazottak bosszújának lehetősége sem. A Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ és a VírusBuster Kft. együttműködésében a 2009. I. negyedévében tapasztalható IT biztonsági trendekről készített jelentésében szereplő, Magyar László, a Megatrend Informatikai Zrt. technikai tanácsadója által a 2009. évi IDC IT Security Roadshow-n ismertetett adatok szerint: „az informatikával kapcsolatos anyagi károk 70 százaléka az adatbiztonság hiányából ered. Ez utóbbi kategórián belül az esetek 70 százalékában házon belülről okozták a kárt. Eme belső károkozóknak pedig a 70 százaléka jogosult felhasználónak bizonyult. Összesítve a számokat,

5

a jogosult hozzáféréssel rendelkező felhasználók károkozásának kockázati valószínűsége több mint 34 százalék”. [VírusBuster, 2009.] Igencsak elgondolkodtató ugyancsak a fenti jelentésben szereplő azon kijelentés, hogy az IDC becslése szerint mintegy 50 ezer magyar kisvállalkozás még csak vírusellenőrzőt sem alkalmaz. A VírusBuster Kft. 2009. harmadik negyedévéről szóló jelentésében említést tesz az internetes csalások után nyomozó globális szervezet, az Anti-Phishing Working Group (APWG) 2009. első félévéről közzétett tapasztalatairól. Eszerint az év első felében a hamis vírusirtók száma 585%-kal, a pénzintézeti site-ok hozzáférési adatainak megszerzésére tervezett kártevők száma 186%-kal nőtt, és több mint 49000 adathalász website-ot vettek nyilvántartásba az APWG-nél, a fertőzött számítógépek száma pedig a tavalyi utolsó negyedévtől idén júniusig 66%-kal nőtt. Egyre inkább kiemelt biztonsági célpontokká válnak az okostelefonok operációs rendszerei is. [Kristóf, 2009. 11. 03.] Fontos tényezők a vállalati irányítás informatikai biztonsággal kapcsolatos vélekedése, a biztonságtudatosság kérdése, a biztonsági kockázatok becslése, a felelősség kérdése is. A Ponemon Intézet által 213 ügyvezető/vezérigazgató (CEO), informatikai vezető (CIO-t) és más felsővezetők körében az informatikai biztonsággal kapcsolatban végzett felmérésből az derült ki, hogy az ügyvezetők/vezérigazgatók másként ítélik meg a kockázatokat, mint vezetőtársaik. A megkérdezett CEO-k 48 százaléka úgy vélte, hogy hackerek csak ritkán próbálnak meg hozzáférni cégük adataihoz, a többi felsővezető mintegy 53 százaléka ezzel ellentétben úgy nyilatkozott, hogy minden nap, sőt minden órában támadják őket. A felmérés szerint az ügyvezetők/vezérigazgatók másként látják, ki a felelős a vállalat adatainak védelméért. A CEO-k több mint fele szerint az informatikai vezető (CIO) felelős az adatvédelemért, a többi főnök közül viszont csak 24 százalék vélte így. [Kristóf, 2009. 07. 17.] A biztonságpolitika fogalma azoknak az előírásoknak, rendeleteknek és törvényeknek az összességét foglalja magában, amelyek betartása lehetővé teszi a vállalat számára a céljai eléréséhez szükséges tevékenységek elvégzését azzal, hogy védelmi rendszerével biztosítja a folyamatos munkavégzés feltételeit. [Raffai, 1999.] Az informatikai biztonságpolitika „a szervezet általános, globális védelmi stratégiájának szerves része, amelynek a középpontjában az információkat hordozó adatok és azok környezete: a tárolási és feldolgozási infrastruktúra

6

(hardver, szoftver), az adathordozók, a működtetés szabályai, dokumentumai, valamint az üzemeltetést, a rendszer kezelését végző munkatársak állnak.” [Raffai 2006, 246. o.] Ennek értelmében dolgozatom célja, hogy áttekintse mindazokat az elveket, szempontokat, ajánlásokat, szabályozókat – hiszen az informatikai biztonság kialakításának egyik fő hajtóereje a gazdasági érdek mellett a törvényi megfelelés kényszerítő ereje –, szükséges lépéseket, amelyekre tekintettel kell lenni ahhoz, hogy a vállalat az üzletmenet-folytonosság biztosításának érdekében megfogalmazhassa az informatikai biztonsággal kapcsolatos politikáját. Szabályzatminta alkotása nem célom, ugyanis az üzleti folyamatok különbözőek, a rendszerek heterogének. Az adott vállalatnál szükséges szabályzat erősen függhet a szervezeti kultúrától, a stratégiától, a vállalati céloktól, a vállalati mérettől, külső környezettől és attól, a vállalat mely

szektorban

folytatja

tevékenységét.

A

pénz-

és

hitelintézeti

szférában,

energiaszektorban, távközlés területén működő vállalatok számára érthető módon szigorúbbak az informatikai biztonsággal kapcsolatos törvényi előírások is. Az I. fejezetben ismertetem az üzletmenet-folytonosság kérdéskörét. A vállalatok jelentős része esetében nem fő tevékenységi kör az informatikai szolgáltatás, az informatikai rendszerek az üzleti folyamatok támogatóiként jelennek meg. Ahhoz, hogy ez a támogatás a lehető legnagyobb mértékben zavarmentes legyen, üzletmenet-folytonossági tervre van szükség, melynek részét képezik a megelőzési terv és intézkedések is, ezen belül a szabályzatok is. Ezt követően, az alapfogalmak áttekintése után, bemutatom azokat az előírásokat,

ajánlásokat,

amelyek

figyelembe

vétele

szükséges

ezen

szabályzat

megalkotásához. Ezt a különböző fenyegetettségek kategorizálása követi, hiszen az egyes kategóriákba tartozó fenyegetettségek elleni védekezés eltérő védelmi módszereket követel meg.

Az

informatikai

biztonság

kialakítására,

fenntartására

tett

erőfeszítések

–

szabályzatalkotás és megvalósítás – nem lennének teljesek a folyamatos ellenőrzés megvalósítása nélkül, így az informatikai biztonsági koncepcióval és szabályzattal kapcsolatos fejezetet az audittal kapcsolatos fejezet követi.

7

I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG Azok a lépések, amelyek az üzletmenet folytonosságát szolgálják, arra irányulnak, hogy az üzleti folyamatokat támogató, kiszolgáló informatikai eszközök huzamosabb időszakon keresztül a legnagyobb funkcionalitással, a szervezet számára elfogadható legkisebb kiesési kockázati szinten működjenek. Ezt a folyamatot természetesen tervezni kell, mellyel növelhető a szervezet stabilitása, veszteségek minimalizálhatók, nőhet a váratlan üzemzavar, vagy katasztrófa esetén tett intézkedések, pl. visszaállítás hatékonysága. Az üzletmenet-folytonossági tervezés részét kell, hogy képezze a katasztrófa-elhárítási tervezés is. „A fő cél az, hogy a tartalék informatikai és humán erőforrások megfelelő szintű rendelkezésre állását, mobilizálását tervezett műszaki és szervezési megoldásokkal és intézkedésekkel úgy biztosítsuk a kiesés idejére, hogy az informatikai szolgáltatások visszaállítása a szervezet által meghatározott sebezhetőségi résen belül megvalósuljon.” [Muha-Bodlaki, 2001.] A tervezést célszerű projektszerűen végezni, melynek lépései a következők: 1. Helyzetfelmérés Ennek során meghatározandók az üzletmenet-folytonosság szempontjából kritikus folyamatok, és ezek zavarának lehetséges következményei, melyeket rangsorolni kell, továbbá a tartalékolási és visszaállítási megoldások. 2. Az üzletmenet-folytonossági terv elkészítése A kidolgozás folyamata három szakaszra osztható. a, megelőzési terv és intézkedések A megelőzési tervnek kell tartalmaznia azokat a szabályzatokat, amelyek betartatásával a problémák nagy része megelőzhető, lehetővé válik a visszaállítás. Ide tartoznak a rendszerszoftverek, a programrendszerek, az adatok előzetes mentése, biztonságos helyen tárolt adathordozókra másolása. Ide tartoznak a hardvereszközöket helyettesítő megoldások

lehetőségének

biztosítása,

pl.

duplikált

berendezések,

tartalék-

berendezések, hotsite-szerződések révén. Fontos részét képezi a tesztelési és tréningterv. [Raffai, 1999.] b, visszaállítási terv

8

Ennek célja az, hogy az informatikai incidensek bekövetkezése esetén a visszaállítás a lehető leggyorsabban történjen meg. A tervnek öt alapkérdésre kell választ adnia: ki, mit, mikor, hol, hogyan. [Muha-Bodlaki, 2001.] A katasztrófatervnek tartalmaznia kell a következőket: -

a konkrét beosztások/pozíciók és személyek megfeleltetése

-

a katasztrófa szervezet felépítését, tagjai

-

elérhetőségek (telefonkönyv több elérhetőségi lehetőséggel)

-

a visszaállításban résztvevő operatív munkatársak (pl. szerverek rendszergazdái, speciális ismeretekkel rendelkező szakértők)

-

a visszaállításban résztvevő üzleti partnerek/hatóságok (mentők, tűzoltóság, rendőrség, polgári védelem, karbantartók, gyorsfutár szolgálat stb.)

-

értesítési utasítások

-

értesítési sorrend/lánc

-

időzítés (Kit mikor?)

-

az értesítés tartalma

-

teendők

-

követendő hierarchia

-

helyszín

-

helyszín/alternatív helyszín

-

erőforrások

-

akciótervek, szükséghelyzeti tervek

-

tesztelés, karbantartás, tárolás

-

oktatás

Az informatikai katasztrófahelyzetek kezeléséhez kidolgozott egyes akciótervekhez felelősöket kell rendelni, akiknek az informatikai katasztrófa helyzet esetére előírt felelősségei szoros kapcsolatban kell, hogy legyenek a mindennapi tevékenységükkel. A katasztrófa menedzser a legfőbb operatív irányítója a visszaállítási és helyreállítási folyamatoknak. Feladatai a következők: -

Döntés az informatikai katasztrófa helyet bekövetkezéséről, ennek kihirdetése. (Az informatikai katasztrófa helyzetek esetén végrehajtandó akciótervek végrehajtása

9

akkor kezdődik meg, amikor a katasztrófa menedzser deklarálta az informatikai katasztrófa helyzetet.) -

Utasítást ad a kárfelmérési tevékenységek elvégzésére utasítja a megfelelő személyeknek. Tájékoztatást ad a válságtanácsnak.

-

Rendelkezik az egyes erőforrások felett.

-

Koordinálja a szükséges adminisztráció elvégzését.

-

Koordinálja az informatikai katasztrófa terv felülvizsgálatát.

-

Szervezi és irányítja az informatikai katasztrófa terv tesztelését.

-

Kapcsolatot tart a felső vezetéssel.

-

Minden olyan, az informatikai katasztrófa tervvel kapcsolatos feladat, amely nevesítetten nincs máshoz rendelve.

-

Jogosult a válságtanács összehívására, ha az egyes akcióterv felelősöktől, vagy a szakmai vezetőktől érkező jelentések alapján álláspontja szerint az akciótervekben rögzített munkafolyamatok működtetése az elvárt szinten nem lehetséges.

-

Informatikai katasztrófa helyzet esetén, a normál működésen használt erőforrásokon túlmenően a katasztrófa menedzser rendelkezésére állnak a következő többlet erőforrások.

-

meghatározott számítógép (rajta kell lennie az Informatikai katasztrófa terv aktuális változatának, jelszóval védve);

-

meghatározott gépjármű

-

a katasztrófa helyzet kezeléséhez kijelölt helyszínen, ill. alternatív gyülekezési helyszínen rendelkezésre álló vezetékes vagy vezeték nélküli hálózati/internet kapcsolat.

[Beinschróth, 2009. 4. rész] A Symantec által 2007-ben nyilvánosságra hozta egy nemzetközi, 14 ország 900 IT menedzserének bevonásával elkészített felmérésének eredményét. Ennek során azt vizsgálták, hogyan készülnek fel a cégek egy előre nem látható, váratlan eseményre. A jelentés szerint az informatikai szervezetek közel felének már végeznie kellett informatikai katasztrófa utáni helyreállítást, azonban a legtöbb szervezet ezt az eljárását előtte nem próbálta ki, nem tesztelte átfogóan. A teljes körű katasztrófa utáni helyreállítást kipróbáló szervezetek felénél pedig ez a próba sikertelen volt. A katasztrófa utáni helyreállítási tervvel nem rendelkező szervezetek 44 százaléka már legalább egy problémát vagy katasztrófát, 26 százalékuk legalább kettőt, 11

10

százalékuk pedig legalább hármat élt át. A megkérdezett informatikai szakemberek 48 százaléka azt jelezte, hogy a próba technikai, emberi, vagy eljárásbeli probléma miatt nem sikerült. A próba sikertelenségének okaként a leggyakrabban a telepített technológiának a várakozásoktól elmaradó működését említették. A katasztrófa utáni helyreállítási terv készítésére a következők késztették a szervezeteket. 69 százalékuk a természeti katasztrófákat, 57 százalékuk a vírusok támadását, 31 százalékuk pedig a háborút és a terrorizmust nevezte meg okként. A válaszadók 67 százaléka a számítógéphibákat, 57 százaléka a számítógépeket kívülről fenyegető veszélyeket említette. A Symantec jelentése szerint a katasztrófa utáni tervvel rendelkező szervezeteknél a tervek rendszeresen végzett tesztjeinek 48%-a kudarcba fullad és nem sikerül a helyreállítás. A sikertelenségnek 3 fő oka lehet: •

technikai tényező (22%)

•

emberi tényező (19%)

•

a helyreállítás terv alkalmatlannak bizonyul (18%)

A hibák igen magas előfordulási arányának arra kellene ösztönöznie a szervezeteket, hogy rendszeresen ellenőrizzék és korszerűsítsék terveiket. Pulai András, a Symantec magyarországi képviseletének adattárolási szakértője szerint a magyarországi vállalatok IT menedzserei az emberi tényezőt kezelik kiemelt kockázatként, ugyanis többnyire egy személy tudja, mit kell tenni egy esetleges katasztrófa bekövetkeztekor. Kiemelte, hogy a rendszer összeomlását célzó támadásoktól kevésbé kell tartani, hiszen egyre inkább az anyagi haszonszerzés motiválja őket, nekik is a rendszer működőképessége az érdekük. Tapasztalatai szerint azok a vállalatok fordítanak nagyobb figyelmet a katasztrófa utáni visszaállítás kérdésére, amelyeknél kiemelten fontos az IT rendszer szünet nélküli működése, pl. a pénzintézetek, telekommunikációs cégek, áramszolgáltatók és erőművek. [EuroAstra, 2007.] 3. Oktatás, tesztelés Az oktatás során lehetőség nyílik az üzleti folyamatok zavartalansága jelentőségnek tudatosítására is. [Muha-Bodlaki, 2001.]

11

II. RÉSZ: ALAPFOGALMAK A vállalatok informatikai rendszerei az információkat adat formájában kezelik. „Az adat tények, elképzelések, utasítások emberi vagy technikai eszközökkel történő formalizált ábrázolása ismertetés, feldolgozás, illetve távközlés céljára.” [Vasvári 2006, 3. o.] Egy másik megközelítésben: „olyan szimbólum vagy jelsorozat, amely esetleges későbbi felhasználás céljából továbbításra és megőrzésre alkalmas formában rögzíti a működő környezet változásait, a meglévő állapotokat. Az adat az információ megjelenése, tények, állítások értelmezhető közlési formája.” [Raffai 1999, 155. o.] A két definícióban közös, hogy az adatok rögzítése, tárolása valamilyen további cél érdekében történik. Ilyen művelet lehet az adatfeldolgozás, amely „az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.” [Dr. Freidler 2009, 47. o.] De mit nevezünk adatkezelésnek? Jogi értelemben az adatkezelés „az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása.” [Dr. Freidler 2009, 39. o.] Az adatokkal kapcsolatban gyakran említett fogalmak az adatvédelem, adatbiztonság. Mi a két fogalom közötti legfőbb különbség? Az adatvédelem egyrészt a személyes és közérdekű adatok kezelésének a jogszabályokban, és az adott gazdasági szervezet szabályzataiban meghatározott korlátozása. [Vasvári, 2006.] Ettől igencsak eltér a jogi értelemben vett definíció, amely a személyes adatok védelméhez való jogot jelenti. [Freidler, 2009.] Személyes adat jogi értelemben bármely konkrét természetes személlyel kapcsolatba hozható adat, de az adatból levonható, az érintettre vonatkozó következtetés is. A személyes adat az adatkezelés során mindaddig megőrzi ezt a minőségét, amíg kapcsolata az érintettel rekonstruálható. [Freidler, 2009.] Amennyiben ez már nem áll fenn, statisztikai adatról beszélünk. „Az adatbiztonság az adatok védelme a jogosulatlan hozzáférés, a módosítás, és a törlés, illetve a megsemmisítés ellen. Azaz az adatok bizalmasságának, rendelkezésre állásának, és

12

sértetlenségének védelme/védettsége,...” [Vasvári 2006, 3. o.] Az adatalany védelme érdekében az adat védelmének műszaki, technikai eszköze. [Kohány – Kőnig, 2008.] Jogi szempontból az adatbiztonság az adatkezelés védelmét jelenti. [Freidler, 2009.] Az adatbiztonság tehát az adatokat állítja a középpontba, míg az adatvédelem az embert, a személyiség védelmét. Általában véve a biztonság fogalmának meghatározása nem könnyű. Bármilyen szituációval hozzuk is összefüggésbe, a biztonsági intézkedések általában a káros események elkerülését, ezek bekövetkezési valószínűségének csökkentését, vagy a bekövetkezésükből fakadó károk minimalizálását szolgálják. A biztonság olyan kedvező állapot, amelyben minimális az erőforrások bizalmasságának, sértetlenségének és rendelkezésre állásának fenyegetettsége. [Vasvári, 2006.] A kedvező biztonsági állapot azt is jelenti, hogy a kockázatok vállalható mértékűek, azaz a fenyegetések bekövetkezési valószínűsége elfogadhatóan kicsi. Ugyanakkor nem zárható ki a veszélyforrások bekövetkezése sem. Ezért fontos látni, hogy 100%-os biztonság nem érhető el. [Vasvári – Lengyel – Valádi, 2006.] „Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.” [Muha – Bodlaki 2001, 18. o.] A zártkörű védelem azt jelenti, hogy az összes releváns fenyegetést figyelembe vesszük. Teljes körű védelem akkor valósul meg, ha a védelmi intézkedések a rendszer összes elemére kiterjednek. A folytonos védelem kritériuma a megszakítás nélküli megvalósulás. A kockázattal arányos védelem esetén egy kellően hosszú időtartam alatt a védelmi költségek arányosak a becsült kárértékkel, azaz a védelemre akkora összeget fordítanak, hogy ezzel a kockázat a védendő számára még elviselhető, vagy annál kisebb. [Muha – Bodlaki, 2001.] Valamennyi fenyegetettséggel szembeni teljes körű védelem megvalósítása ugyanis a védendő értéket elérő, akár meghaladó költségekkel járna. Azt az állapotot, amikor a biztonság a vállalatot, az üzleti tevékenységet teljesen átfogja, és minden ponton azonos erősségű, egyenszilárdságnak nevezzük. [Vasvári, 2006.] Az alapfenyegetettségnek is nevezett sértetlenség, a hitelesség, a bizalmasság, rendelkezésre állás és a funkcionalitás követelményét két nagy kategóriába szokás sorolni:

13

-

az adatok által hordozott információk sértetlensége, hitelessége és bizalmassága elvesztésének megakadályozására szolgáló információvédelem;

-

az adatok és erőforrások rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását biztosító megbízható működés.

A bizalmasság akkor valósul meg, ha gondoskodunk arról, hogy az információhoz csak az erre feljogosítottak férhessenek hozzá. Ha valaminek a forrása valóban a forrásként megjelölt hely, és a tartalma az eredeti, teljesül a hitelesség követelménye. Az információ akkor sértetlen, ha az eredeti állapotának megfelelő. [Vasvári, 2006.] A rendelkezésre állás az a valószínűség-érték, amely jelzi, hogy egy alkalmazás egy előre definiált időszakon belül az elvárásnak megfelelően rendelkezésre áll, amely állapotban a felhasználó a számítógépet használni tudja. [Raffai, 1999.] Az

eddig

ismertetett

fogalmak

fennállását

különböző

veszélyforrások

különböző

valószínűséggel, kockázattal fenyegetik. Veszélyforrásnak mindaz tekinthető, aminek bekövetkezésekor, támadás eredményeként a rendszer működésében nem kívánt állapot jön létre. Ezzel rokon a fenyegetés fogalma, amely a támadás lehetősége a támadás tárgyát képező erőforrásra. A kockázat mértékével fejezzük ki annak a valószínűségét, hogy egy fenyegetés támadás útján kárt okoz. Gyakorlatilag ugyanezt fejezi ki a bekövetkezési valószínűség is, amely az esélye annak, hogy egy esemény, például a veszélyforrás képezte fenyegetettség, támadás formájában bekövetkezzen. A kockázat azonosítása, és a lehetséges kár felbecsülése a kockázatelemzés során valósul meg. [Vasvári, 2006.] Informatikai katasztrófának nevezik az üzleti folyamatokat kiszolgáló információ-rendszer kiesését, az informatikai szolgáltatások megszakadását. [Vasvári, 2006.] „Olyan véletlen esemény, amely megszünteti, vagy bizonyos időszakra megakadályozza a cég teljes egészének vagy egy részének folyamatos működését, és károkat, veszteségeket okoz.” [Raffai 1999, 163. o.] Azon eljárássorozatot, amely alapján egy katasztrófa esetén a kritikus információkat feldolgozó

folyamatok

az

elvárt

időtartamon

belül

helyreállíthatók,

informatikai

katasztrófatervben rögzítik. [Raffai, 1999.] Ezen intézkedések a védettség elvárt szintjének elérése érdekében történnek. A védettség azt mutatja meg, hogy mennyire képes a rendszer megvédeni magát véletlen vagy szándékos külső támadásoktól. [Sommerville, 2007.]

14

III. RÉSZ: SZABÁLYOZÁS III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK Az informatikai biztonság területén felmerült az igény a rendszerek biztonsági szintjének egységes elvek alapján, objektív módon történő összehasonlíthatóságára. Ezen igények első megnyilvánulásai a következő dokumentumok. III. 1. 1. TCSEC (Trusted Computer System Evaluation Criteria) Az USA-ban 1983-ban kibocsátott és nemzetközileg az egyik legfontosabb forrásnak tekintett, magyarul Biztonságos Számítógépes Rendszerek Értékelési Kritériumai elnevezést viselő, de „Narancs Könyv”-nek is nevezett dokumentum. 1983. évi verziója az USA-ban máig érvényben van. A rendszereket a TCSEC 4 biztonsági osztályba sorolja be: - D csoport: minimális védelem - C csoport: szelektív és ellenőrzött védelem - B csoport: kötelező és ellenőrzött védelem - A csoport: bizonyított védelem A kategóriákon belül növekvő számozás jelöli az egyre erősebb követelményeket. Az osztályokba sorolás a következő négy terület szerinti minősítés alapján történik: biztonsági stratégia

(security

policy),

követhetőség

(accountability),

biztosítékok

(assurance),

dokumentálás (documentation). A D osztályba azon rendszerek kerülnek, amelyek a minősítés során nem tudtak a magasabb osztályok kritériumainak eleget tenni. A C osztályba olyan rendszerek sorolhatók, amelyekben a felhasználók szelektív védelmet tudnak előírni adatállományaikra. Emellett az egyes alosztályok további követelményeket írnak elő. A B osztályba sorolt rendszerekre jellemzőnek kell lennie a kötelező védelem bevezetésének, valamennyi adatot minősíteni kell biztonsági szempontból. Ez az osztály főleg a magasabb biztonsági

követelményű

rendszerekben,

pl.

bankok,

biztosító

társaságok

esetén

alkalmazandó. Az A osztály esetén a rendszerről tett biztonsági állításokat matematikailag is tudni kell bizonyítani. [Muha – Bodlaki, 2001.] III. 1. 2. ITSEC (Information Technology Security Evaluation Criteria) A ’80-as években erősödött az igény, hogy az Európai Közösség is rendelkezzen az informatikai

biztonságra

vonatkozó

egységes

15

szabályozással.

A

magyarul

Információtechnológia Biztonsági Értékelési Kritériumok elnevezésű dokumentumot 1991ben adták ki, amely a TCSEC-t alapul véve készült. A TCSEC-vel azonos módon értelmezi a biztonsági osztályokat, de azon túlmenően is definiál biztonsági osztályokat. [Muha – Bodlaki, 2001.] III. 1. 3. Common Criteria (ISO/IEC 15408 szabvány) Az informatikai termékek és rendszerek biztonsági értékelésének követelményrendszere, amely az EU, az amerikai és a kanadai kormány támogatásával került kidolgozásra. Létrehozásának az volt a célja, hogy feloldja a forrásul használt szabványok – pl. a TCSEC és az ITSEC – technikai különbségeit. 1.0 verzióját 1996-ban publikálták, melyet az MeH ITB 16. sz. ajánlásként adott ki. Segítséget nyújt a felhasználók számára abban, hogy eldönthessék: az ilyen minősítéssel ellátott termék biztonsági szintje megfelel-e számukra, és a megvalósítástól független struktúra, a védelmi profil (PP) alapján láthatják a termékkel szemben támasztott általános biztonsági követelményeket. Megmondja, hogy az értékelőknek milyen vizsgálatokat és melyik biztonsági elemeken kell végrehajtaniuk, de azt nem tartalmazza, hogy ezt milyen módon kell megtenni. Az IT biztonsági termékek kiértékelését a CC keretei között minősítési séma alapján, akkreditált laboratóriumok végzik. A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik. A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a hitelesítést. Az USA-ban a sémát „NIAP”-nak –National Information Assurance Partnershipnevezik. Magyarországon MIBÉTS a neve (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma). [Jankovits – Krasznay, 2005.] III. 1. 4. COBIT (Control Objectives for Information and Related Technology) Nyílt, az információ, az információtechnológia és az ezzel kapcsolatos kockázatok ellenőrzésére vonatkozó szabvány, melyet az ISACA (Information Systems Audit and Control Association) által létrehozott IT Governance Institute dolgozott ki. 4 területen tartalmaz általános, továbbá részletes kontroll irányelveket. A COBIT küldetése: „Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek, és a bizonyosság nyújtást

végző

szakemberek

munkájuk

során

rendszeresen

használják.”

[http://www.isaca.hu/ISACA-HuC/y_Downloads/ISACA_HU_COBIT_41_HUN_v13.pdf]

16

2009. 10. 27., 17. o.] A COBIT alapelveit a következő ábra mutatja:

[http://www.isaca.hu/ISACA-HuC/y_Downloads/ISACA_HU_COBIT_41_HUN_v13.pdf 2009. 10. 27. 19. o.] A COBIT 4 egymással összefüggő szakterületét a következő ábra szemlélteti:

[http://www.isaca.hu/ISACA-HuC/y_Downloads/ISACA_HU_COBIT_41_HUN_v13.pdf 2009.10.27. 22. o.] A szabványok egymáshoz való viszonyát a következő ábra mutatja:

Összetett IT rendszerek

COBIT

ISO/IEC 17799

Egyszerű termékek

ITSEC/CC

Technikai megközelítés

Szervezeti megközelítés

17

[Jankovits – Krasznay, 2005.]

III. 1. 5. MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv) A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága által 1994-ben kiadott ajánlás az informatikai biztonság kockázatelemzési módszertanát tartalmazza, mely segédletet nyújt az informatikai biztonsági koncepció, az informatikai biztonsági szabályzat elkészítéséhez. III. 1. 6. MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei) Az 1996-ban kiadott ajánlás az adminisztratív, a fizikai és a logikai védelem területeit öleli fel. Ismerteti a követelményrendszer helyét az informatikai biztonságpolitika, stratégia, a biztonsági vizsgálatok és a védelmi intézkedések viszonylatában, a követelményrendszer kiindulási alapját képező károsztályokat és biztonsági osztályokat definiál, valamint tartalmazza a biztonsági követelmények alapján kifejtett intézkedések gyűjteményét. Foglalkozik az informatikai rendszert vagy annak környezetét érintő katasztrófákkal, a zavarokkal, illetve a legjellemzőbb informatikai típusrendszerekre vonatkozó intézkedésekkel. III. 1. 7. MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana) Ismerteti a Common Criteria 1.0-ás verzióját és védelmi profil gyűjteményt tartalmaz. III. 1. 8. ITIL (Information Technology Infrastructure Library) Tapasztalatokon alapuló bevált megoldások gyűjteménye a következő információbiztonsági vonatkozású témakörökben: -

konfiguráció-kezelés,

-

incidens-kezelés,

-

problémamenedzsment,

-

változáskezelés,

-

kiadás-menedzsment,

-

szolgáltatási szint menedzsment,

-

IT-szolgáltatások pénzügyi irányítása,

-

kapacitás menedzsment,

-

rendelkezésre állás menedzsment,

-

IT-szolgáltatás folytonosság menedzsment. [Freidler, 2009.]

18

III. 1. 9. MSZ ISO/IEC 17799 (ISO 27002) A 2000-ben elfogadott szabvány a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le. Leírja a biztonsági követelményeket, a megvalósítandó védelmi intézkedéseket, de nem foglalkozik a megfelelőségi és ellenőrzési követelményekkel. Tíz ellenőrzött területe: -

biztonsági szabályzat

-

biztonsági szervezet

-

javak ellenőrzése és osztályozása

-

személyi biztonság

-

fizikai és környezeti biztonság

-

kommunikáció és műveleti menedzsment

-

hozzáférési jogosultság ellenőrzése

-

rendszerfejlesztés és karbantartás

-

az üzleti folytonosság menedzsmentje

-

megfelelőség [Muha – Bodlaki, 2001.]

III. 1. 10. ISO 27000 szabványcsalád ISO 27001 szabvány Az ISO 27000-es információbiztonsági menedzsment szabványcsalád követelményszabványa, amely a különböző információvédelmi területekhez célkitűzéseket, óvintézkedéseket fogalmaz meg. [Freidler , 2009.] ISO 27002 szabvány Ötletekkel szolgál az információvédelmi kontroll kialakítására, vagy fejlesztésére. ISO 27005 szabvány A kockázatmenedzsment kialakításához nyújt segítséget. Tervezett szabványok ISO 27003 szabvány Az információvédelmi irányítási rendszerek megvalósításához nyújt segítséget. ISO 27004 szabvány Az információvédelmi mérési módszerek kialakításához kíván segítséget nyújtani. ISO 27007 szabvány Az információvédelmi irányítási rendszerek auditálásához nyújt támpontot. ISO 27008 szabvány

19

Az információvédelmi irányítási rendszerek kontrolljainak auditálására vonatkozik. [Freidler, 2009.] Magyar informatikai biztonsági szabványok (a teljesség igénye nélkül)

[Hun-CERT, 2009.] A további magyar informatikai biztonsági szabványokat az 1. sz. melléklet tartalmazza.

III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR III. 2. 1. Adatvédelmi törvény Az 1992. évi LXIII. (adatvédelmi) törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz. A törvény hatálya nem terjed ki arra, ha a természetes személy saját személyes céljait szolgáló adatkezelést végez. A törvény definiálja többek között a személyes adat, különleges adat, bűnügyi személyes adat, adatkezelés, adattovábbítás fogalmát. Az adatkezelő, az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, megtenni azokat a technikai és szervezési intézkedéseket, kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok

20

technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. III. 2. 2. Módosult a Büntető Törvénykönyv A jogi szabályozás sajnos nehezen tud lépést tartani a számítógépes bűnözés újabb és újabb formáival. A törvény 300/C. §[1] (1) bekezdése a számítógépes csalásról úgy rendelkezik, hogy aki jogtalan haszonszerzés végett, vagy kárt okozva valamely számítógépes adatfeldolgozás eredményét a program megváltoztatásával, törléssel, téves vagy hiányos adatok betáplálásával, illetve egyéb, meg nem engedett műveletek végzésével befolyásolja, 3 év szabadságvesztéssel büntetendő. 2009. augusztus 10-ével hatályba lépett a Büntető Törvénykönyv módosítása, melynek értelmében már bűncselekménynek minősül a jogtalan haszonszerzési célból való adatkezelés. Ezzel megtörténhet a felelősségre vonás azon esetekben, amikor spamben jogtalanul összeállított e-mail címeket, elérhetőségeket, személyes adatokat tartalmazó adatbázisokat kínálnak megvételre. [Adatvédelmi Biztos Hivatala, 2009.] III. 2. 3. Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet Előkészületben van az informatikai biztonságról szóló törvény, melynek fő részei a tervek szerint a következők: -

egyetemes informatikai biztonsági minimumkövetelmények,

-

kritikus infrastruktúrák,

-

elektronikus szolgáltatások informatikai biztonsága,

-

az adattartalmak megismeréséhez kapcsolódó rendelkezések

-

alkalmazásszolgáltató központok,

-

a lakosság informatikai biztonsági kultúrájának emelését célzó, és a szolgáltatók tájékoztatási kötelezettségeit érintő rendelkezések,

-

az informatikai biztonsági felügyeleti és irányítási rendszere

A törvény hatálya a tervek szerint ki fog terjedni minden, a Magyar Köztársaság területén elérhető informatikai rendszerre és elektronikus szolgáltatásra, a fentiek működtetőire és üzemeltetőire, használóira, igénybe vevőire (kivéve olyan területeket, pl. minősített

21

információkat, védett információkat kezelő rendszerek, külügyi, nemzetbiztonsági, katonai, bűnüldöző szervek rendszerei, amelyekre szigorúbb jogszabályokat írhatnak elő). A következő fogalmak kerülnének jogszabályi szinten bevezetésre: - egyetemes informatikai biztonsági minimumkövetelmények, - egyetemes informatikai biztonsági szintek, - informatikai támadást megvalósító hálózat. Egyes biztonsági szintek esetén kötelezővé válna a szolgáltatás auditja, és az NHH regisztrálná az auditált szolgáltatásokat. 2011-től csak regisztrált 1. és 2. szintű szolgáltatások működhetnének. Egyes szinteknél az üzemeltetőnek nem válna kötelezővé a szolgáltatás auditja, viszont biztosítania kellene az adatok biztonságát. A törvény bevezetné a személyiséglopás és a támadó informatikai hálózat fogalmát, rendelkezne az informatikai biztonság felügyeleti és irányítási rendszeréről. Az auditálásra jogosultak egy átmeneti időszakban (2009-2010.) egy kormányrendelet szerint kiválasztott auditáló cégek lennének, később pedig minden olyan informatikai biztonsági auditálással foglalkozó cég, amely ilyen irányú akkreditációval rendelkezik. [Dedinszky, 2009.] Az információbiztonsággal kapcsolatos egyéb jogszabályokat a 2. sz. melléklet tartalmazza.

III. 2. 4. Incidenskezelő szervezetek Magyarországon Hazánkban az alábbi incidenskezelő szervezetek a következőképp támogatják a közigazgatási, a vállalkozói, és az akadémiai szféra informatikai biztonságát.

A

•

PTA CERT-Hungary

•

SZTAKI Hun-CERT

•

NIIF CSIRT PTA

CERT-Hungary

a

Elektronikuskormányzat-központ

magyar

kormány

-

a

alatt

álló

-

felügyelete

Miniszterelnöki informatikai

Hivatal biztonsági

incidenskezelő központja. Feladata a teljes magyar magán-, üzleti és állami szféra informatikai rendszereinek biztonsági támogatása. Kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében, egyben tudásközpont szerepét is betölti a magyar polgárok és informatikai szakemberek számára. A CERT-Hungary a következő szolgáltatásokat nyújtja:

22

•

jelzéseket,

figyelmeztetéseket

és

értesítéseket

továbbít

biztonsági

résekről,

vírustámadásokról, behatolásokról, újonnan észlelt sérülékenységekről és behatoló eszközökről stb., és javaslatot tesz a problémák megoldására; •

a biztonság növelését célzó információkat szolgáltat, mint pl.: a központ elérhetősége, általános biztonsági útmutatók, segédletek, incidensekkel kapcsolatos statisztikák, trendek stb.;

•

értékeli, elemzi a kapott incidensjelentéseket és reagál azokra (pl. a behatolók aktivitásának figyelésével, a hálózati forgalom szűrésével stb.);

•

analizálja a hardver és szoftver sérülékenységeket, és megoldásokat dolgoz ki azok felfedésére és javítására;

•

átvizsgálja a különböző támadásra használt rosszindulatú programokat, elemzi a működési mechanizmusukat és alkalmazásuk módjait, majd megoldásokat dolgoz ki detektálásukra, eltávolításukra és az ellenük való védekezésre;

•

oktatási, képzési és továbbképzési tevékenységet folytat, hogy megismertesse a védett szervezetekkel a biztonsági problémákat, illetve a védekezési lehetőségeket és módszereket.

A Hun-CERT az MTA SZTAKI-ban működő csoport, amely az Internet Szolgáltatók Tanácsának (ISZT) támogatásával jött létre és működik. Feladata, hogy az ISZT tagszervezeteinél előforduló információbiztonsági incidensek felderítésénél, elemzésénél és kezelésénél segítséget nyújtson. A Hun-CERT fontosnak tartja a biztonsági tudatosság növelését, amely elsősorban az ISZT tagok felhasználói számára biztosítja mindazon információkat, melyek alapján képessé válnak az Internet biztonságos használatára. Felhatalmazással bír az előforduló vagy előfordulással fenyegető mindennemű számítógépes biztonsági események közlésére a hazai Internet szolgáltatók felé. Az NIIF-CSIRT a Nemzeti Információs Infrastruktúra Fejlesztési Intézet (NIIF) számítógép biztonsági és incidenskezelő csoportja, amely a magyar felsőoktatás, kutató intézetek és közgyűjtemények szolgáltatója. Az NIIF-CSIRT segíti a számítógép és hálózati incidensek kezelését és koordinációját minden olyan esetben, amikor valamelyik NIIF tagintézmény érintett. Fontos, információbiztonsággal kapcsolatos információkat továbbít az NIIF tagintézményeinek,

amelyek

alapján

az

egyes

intézmények

növelhetik

saját

infokommunikációs rendszereik biztonságát. Az NIIF-CSIRT együttműködik a Hun-CERT-el -el és a kormányzati CERT -Hungary-val is. [Haig, 2007.]

23

IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK Ahhoz, hogy egy rendszert megfelelő hatékonysággal védhessünk, elengedhetetlen a lehetséges fenyegetések körültekintő számbavétele, hiszen lehetőleg azonosítani kell, mi ellen kell védekeznünk. A támadások különböző formában valósulhatnak meg, pl.: −

illetéktelen hozzáférés az információkhoz, vagy megtévesztő adatok bevitele, úgy, hogy az ne feleljen meg a valóságnak,

−

az adatbázis felhasználhatatlanná tétele,

−

rosszindulatú szoftverek bevitele a rendszerbe,

−

elektronikai zavarások, stb.

A fenyegetéseket, veszélyeket a MeH ITB 12. ajánlása a következő ábrával szemlélteti: Megvesztegetés Fizikai behatolás Üzemzavar Szakszerűtlen tervezés Szakszerűtlen üzemeltetés, karbantartás Beszerzési politika hiánya Dokumentációhiány, illetéktelen használat

Szakképzetlenség

Bosszúállás

Személyek (külső+belső) Épület, számítóközpont, szerverszoba Hardver+hálózat Rendszerszoftver Alkalm. sw.

T á p á r a m Adat e l Doku Adath. l Dokum. Adath. á t Dokum. Adathord. á LégkondiTűz- és s vagyonvédelem cionálás

Tűz, illetéktelen behatolás

Szabályzatlanság

Katasztrófa Vírus, illetéktelen szoftver installáció

V i l l á m v é d e l e m

Villámcsapás Illetéktelen rácsatlakozás Illetéktelen hozzáférés Illetéktelen használat, másolás

Túlmelegedés

A különböző forrásból leselkedő veszélyek a következők szerint kategorizálhatók. (Forrás: pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt) IV. 1. 1. Szervezeti és működési veszélyforrások − a biztonsági szervezet hiánya, vagy elégtelen kialakítása

24

− a titokvédelmi és iratkezelési hiányosságok − iratok tárolása, illetve megsemmisítése rendjének hiánya − a harmadik felekkel kötött szerződésekből eredő veszélyforrások IV. 1. 2. Humán veszélyforrások − a biztonsági környezeten belülről − az adatbiztonsági és adatvédelmi rendszabályok be nem tartása, a veszély lekicsinylése – hamis biztonságtudat, veszélyérzet hiánya − maga a felhasználó fordul az informatikai biztonsági környezet valamely eleme ellen – szándékos károkozás, bosszú − a biztonsági környezeten kívülről − hacker − cracker, pl.: − megtévesztés, zsarolás − adathalászat IV. 1. 3. Természeti veszélyforrások Ebbe a kategóriába a természeti csapásokat, mint pl. árvíz, villámcsapás, földrengés soroljuk. IV. 1. 4. Fizikai veszélyforrások − az eszközök fizikai eltulajdonítása, − túlmelegedés, − hálózati áramellátás kimaradása, − annak biztosításának hiánya, hogy csak a hozzáférési jogosultsággal rendelkezők léphessenek be azokba a helyiségekbe, ahol az alkalmazások találhatók, − elektromos, mágneses jelek sugárzása, − kábelezés, elosztók, csatlakozók lehallgatása, − a számítógép képernyőjének távolról történő megfigyelése, − adathordozók avulása, elöregedés vagy kopás − a levegő nedvességtartalmának jelentős változása, − piszkolódás

25

IV. 1. 5. Logikai veszélyforrások − hálózati betörés, − gyenge jelszórendszer, − a

jelszavakhoz

rendelt

jogosultságok

nem

feladatfüggően

vannak

megkülönböztetve, − nem biztosított a naplózás (ki, mikor, milyen műveletet végzett), − rejtjelfejtés, − nincs megfelelő mentési rendszer, − rosszindulatú szoftverek

IV. 1. 6. Életciklushoz kapcsolódó veszélyforrások - nincs elkülönített fejlesztő rendszer, -

fejlesztéskor a biztonsági követelmények megfogalmazásának hiánya,

-

a rendszerek átvételekor a biztonsági követelmények ellenőrzésének hiánya,

-

nem megfelelő, nem szabályozott selejtezések

IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK Forrás: [pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt], [Beinschróth, 2008/2009.] IV. 2. 1. Szervezeti és működési veszélyforrások elleni védelem lehetőségei − a biztonsági szervezet feladataiból fakadóan: − a védelmi intézkedések meghatározása, betartatása, − a biztonsági események kezelése − követés, naprakészség biztosítása − titokvédelem − Az adatokat, alkalmazásokat, eszközöket és helyiségeket osztályozni, minősíteni kell. Az adatvédelmi osztályok: titkos (pl. államtitok, üzleti titok), bizalmas (pl. szolgálati titok, személyes adatok) belső használatra, nyilvános (alkalmazások és eszközök is). − Az alkalmazások védelmi osztályozása: milyen osztályba tartozó adatokat kezel. − Az eszközök védelmi osztályozása biztonságkritikusságuk alapján. − A helyiségek védelmi osztályozása funkcióik alapján: zárt, kiemelten ellenőrzött, ellenőrzött, nyilvános.

26

− Iratkezelési utasítás − Tartalmaznia

kell

az

iratok

előállítására,

feldolgozására,

továbbítására,

megsemmisítésére vonatkozó utasításokat is. − Biztonsági alrendszer tervezés − átvilágítási jelentés − biztonsági politika − katasztrófa terv − biztonsági szabályzat − Harmadik féllel kötött szerződések − garanciák szükségesek − a megbízó ellenőrzési jogosultságát el kell ismertetni − outsourcing karbantartási, rendszerkövetési megbízás − a szolgáltató alárendelése a megbízó biztonsági politikájának − a szolgáltató jogosultságainak korlátozása, rögzítése − ellenőrzési lehetőség biztosítása − számonkérési, szankcionálási lehetőség biztosítása − a biztonsági követelményeket szerződésben kell rögzíteni − a fejlesztés alatt meg kell tervezni az átadás/átvétel menetét és a konkrét implementációt

IV. 2. 2. Humán veszélyforrások elleni védelem − Munkaviszony létesítésekor − háttér ellenőrzés kell végezni, referenciákat, erkölcsi bizonyítványt kell bekérni, − folyamatban levő bűnügyi eljárás ellenőrizni kell, − titoktartási nyilatkozat (a munkaviszony megszüntetése utáni időszakra is), − nyilatkozat a biztonsági követelmények ismeretéről, − érdekütközési nyilatkozat (nincs olyan érdekeltsége, amely nem teszi lehetővé a tervezett munkakör betöltését), − szakmai és emberi kompetencia vizsgálat − Munkaviszony alatt − karrier menedzsment – lojalitás, kötődés kialakítása

27

− munkaköri leírások naprakészsége − szakmai továbbképzés − egymást kizáró biztonságkritikus munkakörök figyelembe vétele − Munkaviszony megszüntetésekor − jogosultságok, accountok visszavonása, a felmondási időre legalább korlátozni kell − megszüntetési interjú: nyilatkozat a vállalati dokumentumok és adathordozók visszaszolgáltatásáról, kilépés utáni titoktartásról − vállalati tulajdon visszavonása (beléptető kártya, kulcsok is) − a munkatársak értesítése a kilépés tényéről IV. 2. 3. Természeti veszélyforrások elleni védelem Leginkább országos szervezetek, szakhatóságok hatásköre. IV. 2. 4. Fizikai veszélyforrások elleni védelem Biztonsági intézkedések a hardver védelmében − rendszeres megelőző karbantartás − a különösen érzékeny összetevők megelőző cseréje − a számítógépekbe és a hálózatba való bejutás módozatainak szabályozása − a hardver eszközök, illetve szolgáltatásaik igénybevétele csak a felhasználó azonosítását és hitelesítését követően legyen lehetséges − hosszabb inaktivitás esetén kényszerített kijelentkezés vagy a berendezés "blokkolása" (például képernyőzárolás) − a fejlesztő és a végrehajtó számítógépek szigorú elhatárolása (felhasználói gépen nem folyhat szoftverfejlesztés). − az alkalmazott rendszer valamennyi készülékéről, azok műszaki állapotváltozásairól és konfigurálásáról folyamatos nyilvántartás (műszaki törzslap) vezetése − zárt elosztók [Jankovits, 2004.] − tartalék eszközök − jó minőségű eszközök − klimatizálás − szünetmentes áramellátás, aggretágor − épületek mechanikai védelme /kerítések, rácsok, nyílászárók, zárak, stb./

28

− elektronikai jelzőrendszerek alkalmazása − informatikai helységek tűzvédelme − informatikai helységek villámvédelme − kisugárzás és zavarvédelem − mozgás-, hő- és füstérzékelő eszközök az illegális behatolás és tűz jelzésére − csak a megfelelő jogosultsággal rendelkezők bejutásának biztosítása azon helyiségekbe, ahol az alkalmazások találhatók. Az ennek érdekében történő azonosítás a következő módokon valósítható meg. 1. Tulajdonságok, jellemzők alapján történő azonosítás − alak − hang − írisz − aláírás − ujjlenyomat − egyéb 2. Kódolt adatok alapján A, optikai módszer − vonalkód − mátrix − optikai jelfelismerés − optikai karakterfelismerés B, mágneses módszer − mágnescsík C, félvezetős technika − rádiófrekvenciás jeladó − memóriakártya − aktív memóriakártya [Ködmön, 1999.]

29

IV. 2. 5. Logikai veszélyforrások elleni védelem − Autentikáció − a belépni szándékozónak meg kell győznie a rendszert, hogy azonos azzal, akinek mondja magát − többször használatos jelszó – mit tudsz? − egyszer használatos jelszó – mi van a birtokodban? − biometriai jelszó – ki vagy? − többszintű hozzáférés védelem: pl. az alkalmazás eléréséhez újabb azonosítás szükséges − probléma: egy felhasználónak túl sok jelszót kell ismernie, ezért rögzíti őket − jelszó és felhasználói azonosító soha nem kerülhet postai küldeménybe, még elektronikus levélbe sem − Kriptográfia − az adatokat titkosítva tároljuk vagy továbbítjuk − primitív titkosítás: egyszerű karakterhelyettesítés vagy keverés − one time pad: a kulcs azonos hosszúságú véletlen sorozat – nem megfejthető, de használhatatlan − kategóriái: szimmetrikus rejtjelezés, aszimmetrikus rejtjelezés − digitális aláírás − Határfelületi védelem − a csatlakozási pontokon ellenőrizzük, naplózzuk a forgalmat: tűzfal (firewall) − Mentések, visszaállítások − jól definiált mentési eljárás: mit, milyen gyakran, inkrementális/teljes mentés, mikor, mire, hány példányban, mennyi ideig. A biztonsági másolatokat két példányban kell készíteni. Egyes ajánlások szerint különböző típusú adathordozóra, vagy azonos típusú adathordozók esetén különböző gyártótól származó adathordozókra. Körültekintően kell meghatározni ezen másolatok tárolási helyét (például nem alkalmas erre egy irodai nyitott polc, ahol minden munkatárs hozzáférhet). Lehetőleg egymástól elkülönítetten, tűzbiztos páncélszekrényben kell őket tárolni. Figyelembe kell venni ezen adathordozók fizikai elavulási idejét. Ellenőrizni szükséges az adatok ezen adathordozókról való visszatölthetőségét.

30

− Védekezés a rosszindulatú szoftverek ellen −

detektálása és elhárítása, antivírus szoftverek

−

fertőzés megelőzés: rezidens program a memóriában

− Hálózatok logikai védelme −

alkalmazások, protokollok: nem titkosított jelszótovábbítást használó alkalmazások kizárása (telnet, ftp) – megoldás: pl. ssh

− illegális szoftvertelepítések megakadályozása − nem használt csatlakozók inaktiválása – menedzselt hálózatok − levelezési szabályok (filtering rules), tartalomszűrés − penetration teszt − naplózások megfelelő konfigurálása és kiértékelése

IV. 2. 6. Életciklushoz kapcsolódó veszélyforrások elleni védelem − A fejlesztéshez és beszerzéshez kapcsolódó védelmi módszerek − védelmi intézkedések szükségesek mind a fejlesztés tárgyát képező rendszerben, mind a fejlesztési környezetben − az intézkedések egyaránt szükségesek kész eszköz vásárlása és fejlesztési megbízás esetén − a fejlesztési környezetet az éles rendszertől minden szempontból le kell választani − a fejlesztésnek minőségbiztosítás mellett kell folynia − a fejlesztést korszerű fejlesztési módszertan alapján kell véghezvinni − Az átadás-átvételhez kapcsolódó védelmi módszere − bizonyítani szükséges, hogy a fejlesztési folyamatra és környezetre teljesültek a biztonsági követelmények − fenyegetés mentességi nyilatkozat (az eszköz nem tartalmaz olyan elemet, amely fenyegeti a megbízó biztonságát) − jogtisztasági nyilatkozat − a forráskód tárolásáról történő megegyezés (pl. közjegyző) − a beépített védelmi intézkedések ellenőrzése − az előírt formai és tartalmi követelményeknek megfelelő dokumentációk átvétele

31

− a fejlesztők speciális jogosultságainak visszavonása − Az üzemeltetéshez kapcsolódó védelmi módszerek − szabályozott change management (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, a felhasználók értesítése, oktatása, naplózás) − a hardver karbantartások, konfiguráció módosítások, szoftver követések szabályozottak és nem sérthetik a biztonsági követelményeket − a hardver karbantartások, konfiguráció módosítások, szoftver követések végrehajtói korlátozott hozzáférési jogosultságokkal rendelkezhetnek − távoli üzemeltetési célú hozzáférések csak szigorú hozzáférés ellenőrzés és naplózás mellett engedhetők meg − a biztonsági eseményeket naplózni, a naplót értékelni kell − A selejtezéshez kapcsolódó védelmi módszerek − szabályozott selejtezési eljárások (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, naplózás) − adathordozók megsemmisítése: égetés, zúzás − a megsemmisítés tételes ellenőrzése szükséges

V. RÉSZ: SZERVEZETI SZABÁLYOZÁS KIALAKÍTÁSA V. I. INFORMATIKAI BIZTONSÁGI KONCEPCIÓ A vállalati biztonságpolitikában foglalt célok és elvek érvényre juttatásához az ügymenetbe épített, egyértelmű, elvárt tevékenységi formák, rend megfogalmazására van szükség. Ennek első lépése az informatikai biztonsági koncepció kialakítása, melyből megalkotható az informatikai biztonsági szabályzat. A MeH ITB 8. ajánlása részletesen leírja az informatikai biztonsági koncepció CRAMM módszerrel történő elkészítését. Ennek fontosabb lépései a következők. 1. Védelmi igény leírása, melynek során fel kell mérni a jelenlegi állapotot, a fenyegetettségeket, fennálló kockázatokat. 2. A kockázatok menedzseléséhez szükséges intézkedések megfogalmazása.

32

3. Az intézkedések során végzendő feladatok megfogalmazása, felelősségi körök meghatározása. 4. A megvalósítás, és az informatikai biztonsági koncepció felülvizsgálata ütemezésének meghatározása, hiszen a szervezet és/vagy gazdasági, jogi, technológiai környezete folyamatosan változik, alakul, és elengedhetetlen a megváltozott helyzethez való folyamatos alkalmazkodás. Az egyes szakaszokbeli teendők a következők. I. Védelmi igény feltárása 1. Ennek során ki kell választani, fel kell mérni azokat az informatika-alkalmazásokat és feldolgozandó adatokat, amelyeket védelemre érdemesnek tartunk, hiszen a tökéletes biztonság elérésének, valamennyi elem védelmének végtelen, vagy a védendő értéket meghaladó költsége lenne. Ezek azok az alkalmazások, amelyek károsodása, működésből történő kiesése a szervezet működését veszélyeztetné. 2. Ezt követően értékeljük a kiválasztott informatika-alkalmazásokat és a feldolgozandó adatokat. II. Fenyegetettség-elemzés 1. A fenyegetett rendszerelemek felmérése Ennek során azonosítjuk az első lépésben felmért alkalmazások fenyegetett elemeit, a gyenge pontokat. 2. Az alapfenyegetettség meghatározása Az előző lépésben fenyegetett elemnek minősített alkalmazásoknál meg kell határozni, mely alapfenyegetettség (rendelkezésre állás, sértetlenség, bizalmasság, hitelesség és működőképesség sérülése) fordulhat elő. 3. A fenyegető tényezők meghatározása Ebben a szakaszban konkrétan meg kell határozni a releváns fenyegető tényezőket. III. Kockázatelemzés 1. A fenyegetett rendszerelemek értékelése: meghatározzuk az adott rendszerelemmel kapcsolatos lehetséges kárértéket.

33

2. A károk gyakoriságának meghatározása: ezt a felhasználónak kell becsléssel megállapítania. 3. A kockázat meghatározása: egy adott fenyegető tényezővel kapcsolatos kockázatot a hozzá kapcsolható kárérték és gyakorisági érték pár fejezi ki. A szervezetnek azt is meg kell határoznia, hol van számára az elviselhető és elviselhetetlen kockázatok határa. IV. Kockázat-menedzselés 1. Intézkedések kiválasztása: meg kell határozni azokat az intézkedéseket, amelyekkel a szervezet számára elviselhetetlen kockázat minimálisra csökkenthető. 2. Az intézkedések értékelése: az intézkedések hatásvizsgálatát szükséges elvégezni, tekintettel arra is, hogy ezek az intézkedések nem fednek-e át korábbi intézkedésekkel, vagy nem gátolják-e egymást, nem akadályozzák-e az alkalmazások funkcionalitását. Értékelni kell azt is, hogy az intézkedés mennyire csökkenti a fenyegető tényező kockázatát. 3. A költség/haszon arány elemzése: meg kell határozni az intézkedések költségvonzatát és össze kell vetni az előző lépésben meghatározott hatékonysági értékkel. 4. A maradványkockázat elemzése A maradványkockázatot úgy kapjuk meg, ha a fenyegető tényező kárérték és gyakoriság értékpárjából levonjuk a fenyegető tényezővel kapcsolatos intézkedés hatékonysági értékpárját. Ez utóbbi az intézkedés kárértéket és gyakoriságot csökkentő hatása. Ezt követően meg kell határozni, hogy a maradványkockázat elviselhető vagy sem.

V. II. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Ezután következhet az Informatikai Biztonsági Szabályzat kialakítása. A szabályzat konkrét tartalma erősen függ az adott szervezeti struktúrától, a szervezet tevékenységi körétől, és egyéb, a bevezetőben is említett tényezőktől. Ezért annak felépítésére általános séma nem adható, viszont a MeH ITB 8. ajánlása alapján a következőket ajánlott tartalmaznia. 1. Az IBSZ minősítése: az informatikai rendszer biztonsági osztályba sorolása alapján történik. 2. Az IBSZ hatálya: konkrét eszközökre és helyekre kell vonatkoznia. 3. Az IBSZ biztonsági fokozata: - alapbiztonság: általános informatikai feldolgozás

34

- fokozott biztonság: szolgálati titok informatikai feldolgozása - kiemelt biztonság: államtitok informatikai feldolgozása 4. Figyelembe veendő jogszabályok, szabályozók 5. Feladatkörök, felelősségi körök és hatáskörök az informatikai biztonság területén 6. Műszaki-technikai, szakmai védelmi intézkedések A védelmi intézkedések a következő kategóriákba sorolhatók -

infrastruktúrához kapcsolódó védelmi intézkedések

-

hardverekhez kapcsolódó védelmi intézkedések

-

adathordozókhoz kapcsolódó védelmi intézkedések

-

dokumentumokhoz kapcsolódó védelmi intézkedések

-

szoftverekhez kapcsolódó védelmi intézkedések

-

adatokhoz kapcsolódó védelmi intézkedések

-

kommunikációhoz kapcsolódó védelmi intézkedések

-

személyekhez kapcsolódó védelmi intézkedések

7. Eljárási szabályok 8. Fogalomértelmezés 9. Mellékletek [MeH ITB 8. ajánlás]

VI. RÉSZ: ELLENŐRZÉS, AUDIT Természetesen a szabályzatokban foglaltak megvalósulását ellenőrizni szükséges. Az informatikai biztonsági ellenőrzés célja, hogy feltárja: az informatikai rendszer biztonsága megfelel-e a vállalat által elvárt szintnek, a szabályzatokban foglalt intézkedések megfelelően teljesülnek-e, szükséges-e szankcionálni, újabb intézkedéseket bevezetni. Az ellenőrzés típusa lehet a fenyegetettségre, kockázatelemzésre kiterjedő vizsgálat, auditálás, vagy bizonyos szabványoknak való megfelelőségről történő tanúsítás. Az ellenőrzés történhet különböző gépek által rögzített adatok elemzésével, és személyesen, belső ellenőrök vagy külső szakértők által. Az ellenőrzés egy formájaként értelmezhető az V. I. alfejezetben tárgyalt, I-IV. lépésekből álló folyamat is. Az audit során független, szakmailag kompetens auditorok azt vizsgálják, a szervezet megfelel-e bizonyos normáknak (törvényi előírások, jogszabályok). Ez történhet bizonyos időközönként rendszeresen, vagy egy biztonsági eseményt követően. A folyamat nem állhat

35

meg a hiányosságok feltárásánál, mindenképp ki kell terjednie a megszüntetésükre vonatkozó javaslat kidolgozására. A belső és külső audit előnyeit és hátrányait a következőképp lehet összefoglalni. előny belső

•

ellenőrzés

• • külső ellenőrzés

• • • •

hátrány

helyismeret a cég működéséről, a meglevő szabályozásokról, ill. a megtett védelmi intézkedésekről alacsonyabb költségek folyamatosság

• • •

függetlenség harmadik fél elfogadja speciális szakértelem, tapasztalat hatékony, gyors lefolyású projekt

• •

• •

helyismeret a függetlenség hiánya harmadik fél általában nem fogadja el nincs megfelelő szakmai kontroll speciális szakértelem hiánya magasabb költségek folyamatosság hiánya

[Beinschróth, 2009. 4. rész] Az audit végrehajtása a következő lépésekből áll. 1. Felkészülés Ennek során meg kell határozni az ellenőrzés tárgyát, és azt, hogy külső vagy belső audit kerül-e végrehajtásra, majd ki kell jelölni az ellenőrzést végrehajtó személyeket, az interjúalanyokat. Össze kell állítani, mely dokumentumok tanulmányozására kell, hogy sor kerüljön, és listát kell készíteni a szemlékről és a tesztekről. 2. Helyzetfeltárás Ebben a lépésben kell végrehajtani az interjúkat, dokumentumtanulmányozásokat, szemléket, teszteket. Ennek során fel kell mérni és elemezni a kockázatokat, és meg kell vizsgálni a meglévő intézkedésekkel való lefedettséget, majd meg kell határozni és elemezni a maradvány kockázatokat. 3. A vállalatnál alkalmazott gyakorlatot össze kell vetni a követelményekkel. 4. Jelentés összeállítása, javaslat a szükséges teendőkre

36

A jelentésnek tartalmaznia kell, mire irányult az ellenőrzés, és az milyen módszerrel, kik által valósult meg, a feltárt gyengeségeket, a vizsgálat esetleges gyengeségeit, majd pedig a javasolt intézkedéseket. [Beinschróth, 2009. 4. rész] Az informatikai biztonság tanúsítása és minősítése során egy engedélyezett, és független tanúsító által lefolytatott vizsgálat után tanúsításra kerül, hogy a vizsgált rendszer vagy termék adott, a minősítő által előírt követelményrendszerben meghatározott biztonsági szintnek megfelel (vagy nem felel meg). A tanúsítási eljárás hitelességét független nemzeti minősítő vizsgálja, és ez alapján bocsátja ki a minősítést. [Muha - Bodlaki, 2001.]

37

ÖSSZEFOGLALÁS A bevezető részben felvetett problémák felhívják a figyelmet az informatikai biztonság jelentőségére. Annál is inkább, mivel a fenyegetések folyamatosan változnak, a támadók találékonysága révén újabb és újabb formát öltenek. Kérdés, hogy fel lehet-e készülni és hogyan, az ismeretlen veszélyekre? A biztonság kialakítása, fenntartása ezért egy olyan folyamat, melynek sikeréhez elengedhetetlen az informatikai biztonsági trendek folyamatos figyelemmel követése. Bár a törvényi háttér igyekszik a számítógépes bűnözésnek gátat szabni, naprakészen nem tudja ezt a változékonyságot követni. A vezetésnek elkötelezettnek kell lennie az informatikai biztonság követelményei iránt. A védendő értékeket fel kell mérni, ezzel a vállalat informatikai biztonsági vagyonleltára jön létre. Ezeket a vagyonelemeket biztonsági szempontból osztályozni kell, és a megfelelő szintű védelemben kell részesíteni. A biztonsági intézkedések rendjét tartalmazó szabályzatoknak minden érintett számára világossá kell tenniük a teendőket, melyek elsajátítására oktatás keretében kell lehetőséget adni, amely alkalmat nyújt a biztonsági tudat formálására is. Mivel rögzítik az elvárt viselkedési formákat, így lehetővé válik a számon kérés. A szabályzatokban foglaltak megvalósulását folyamatosan ellenőrizni kell, hiszen ez ösztönöz leginkább az abban foglaltak betartására. Különösen azért, mert a bevezetőben említett adatok szerint az esetek közel háromnegyed részében a vállalaton belülről, ezen belül szintén háromnegyed részben a jogosult felhasználók köréből kerültek ki a károkozók. Nem ritka az sem, hogy a támadók egyenesen a rendszergazdát nyerik meg céljaiknak. Ez ráirányítja a figyelmet a munkatársak kiválasztásának, a jogosultságok kiosztásának, naprakész nyilvántartásának és időben történő visszavonásának nagy jelentőségére is. Ehhez kapcsolódik az is, hogy a felelősségi köröket egyértelműen meg kell határozni. A hivatkozott Symantec tanulmány tanulságaként leszűrhető, hogy a különböző tervek sikerességének tesztelése elengedhetetlen. Nem szabad elfeledkezni a rendszeres biztonsági frissítésekről és mentésekről sem. Nemcsak a fenyegetések, hanem maga a szervezet, és környezete is változik. A vállalat termékdiverzifikációt hajthat végre, növelheti termékei piacát, bekebelezhet egy másik vállalatot, technológiai fejlesztést hajthat végre. Ezek mennyiségi és minőségi változásokat is jelentenek, előfordulhat, hogy az addig használt rendszerek már nem lesznek kielégítőek, akár szemléletváltozásra is szükség lehet. Ezért a biztonsági intézkedések, és az azokat rögzítő szabályzatok rendszeres felülvizsgálata, a megváltozott helyzethez igazítása szükséges.

38

Dolgozatom készítése során feltérképeztem, áttekintettem azokat a szempontokat, forrásokat, iránymutatásokat, melyek hozzájárulnak, támogatást nyújthatnak a vállalati biztonságpolitika kialakításához.

39

IRODALOMJEGYZÉK Adatvédelmi Biztos Hivatala: Augusztustól büntethető a személyes adatokkal való jogtalan kereskedelem. 2009. 07. 29. [számítógép-fájl] http://abiweb.obh.hu/abi/index.php?menu=0/ Sajtokozlemenyek&dok=20090729_ABI_1 (2009. 10. 30.) Dr. Beinschróth József: Informatikai rendszerek biztonsága 3. rész [számítógép-fájl]. 2009. 01. 30. http://bmf.hu/users/beinschrothj/Inf_rendszerek_uzemelt_es_bizt/inf_rendszerek_biztonsaga_ c.pdf (2009.08.19.) Dr. Beinschróth József: Informatikai rendszerek biztonsága 4. rész [számítógép-fájl]. 2009. 01. 30. http://bmf.hu/users/beinschrothj/Inf_rendszerek_uzemelt_es_bizt/inf_rendszerek_biztonsaga_ d.pdf (2009.08.19.) Dr. Dedinszky Ferenc: Az informatikai biztonságról szóló törvény jelenlegi állása, a bevezetéssel kapcsolatos szállítói és közbeszerzési feladatok. [számítógép-fájl.] 2009. 03.20. http://www.ivsz.hu/resource.aspx?ResourceID=GetDocStoreFile&EntryID=3338 (2009. 08. 19.) EuroAstra Internet Magazin: A vállalatok hibája: Nincs katasztrófa utáni helyreállításra működő informatikai terv [számítógép-fájl.] 2007. 10. 23. http://www.euroastra.hu/node/6424 Freinling, Felix C.: Ein Blick auf IT-Sicherheit aus Angreiferperspektive: Vom Wert offensiver Methoden. In: Datenschutz und Datensicherheit, Number 4./2009. S. 214-217. Dr. Freidler Gábor [et al.]: Az informatikai jog nagy kézikönyve. Budapest, CompLex Kiadó Jogi és Üzleti Tartalomszolgáltató Kft. 2009. ISBN 978 963 224 963 6 Haig Zsolt: Az információbiztonság szabályozói és szervezeti keretei. [számítógép-fájl] 2007. 11. 27. http://hadmernok.hu/kulonszamok/robothadviseles7/haig_rw7.html (2009.10.5.) Hun-CERT: Magyar informatikai biztonsági szabványok [számítógép-fájl]. http://www.cert.hu/index.php?option=com_content&task=view&id=557&Itemid=171 (2009. 10. 30.) Jankovits István: Információs rendszerek fejlesztése 6: IT biztonság [számítógép-fájl]. 2004. http://bagira.iit.bme.hu/~irf/6_tema.pdf (2009.11.08.) Jankovits István – Krasznay Csaba: Információs rendszerek fejlesztése 7. (2) [számítógépfájl]. 2005. www.fsz.bme.hu/~irf/6_tema_2.pdf (2009.11.08.) Dr. Kohány András – Kőnig Balázs: Informatikai védelem [számítógép-fájl]. 2008. http://www.unicorvinus.hu/fileadmin/user_upload/hu/tanszekek/kozigazgatastudomanyi/kit/files/eloadasok/ Nappali/04_Inf_vedelem.pdf (2009. 08. 21.)

40

Dr. Ködmön István: Hétpecsétes történetek: Információbiztonság az ISO27001 tükrében. Budapest, Hétpecsét Információbiztonsági Egyesület, 2008. ISBN 978-963-06-4446-4 Ködmön József: Kriptográfia: az informatikai biztonság alapjai, a PGP kriptorendszer használata. Budapest, Computerbooks, 1999. 57-89. o. ISBN:963-618-224-8 Kristóf Csaba: Alábecsülik a veszélyeket a CEO-k [számítógép-fájl]. 2009. 07. 17. http://biztonsagportal.hu/alabecsulik-a-veszelyeket-a-ceo-k.html (2009. 11. 03.) Kristóf Csaba: IT-biztonság: sok még a teendő [számítógép-fájl]. 2009. 11.03. http://biztonsagportal.hu/it-biztonsag-sok-meg-a-teendo.html (2009.11.03.) Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottság 8. számú ajánlása, Informatikai biztonsági módszertani kézikönyv. Budapest, 1994. http://www.itb.hu/ajanlasok/a8/ (2008. 11. 09.) Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottság 12. számú ajánlása, Informatikai Rendszerek Biztonsági követelményei. Budapest, 1996. http://www.itb.hu/ajanlasok/a12/ (2008. 11. 09.) Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottság 16. számú ajánlása, Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana. Budapest, 1998. http://www.itb.hu/ajanlasok/a16/ (2008. 11. 09.) Muha Lajos – Bodlaki Ákos: Az informatikai biztonság. Budapest, PRO-SEC Kft. 2001. ISBN 963 86022 6 0 Raffai Mária: BCP Üzletmenet-folytonosság biztosítása: megelőzési, felkészülési és helyreállítási terv. Novadat Kiadó 1999. ISBN 963 9056 22 7 Raffai Mária: Az információ: szerep, hatás, menedzsment. Palatia Nyomda és Kiadó 2006. ISBN-10: 963 7692 10-X, ISBN 13: 978 963 7962 10-9 Dierstein, Rüdiger: Sicherheit in der Informationstechnik – der Begriff IT-Sicherheit. In: Informatik Spektrum, Vol. 24., Number 4/August 2004. S. 343-353. Sommerville, Ian: Szoftverrendszerek fejlesztése. Második, bővített, átdolgozott kiadás. Budapest, Panem Könyvkiadó Kft. 2007. 1-64. o., 725-752. o. ISBN 978-9-635454-78-5 Vasvári György, Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék Biztonság Menedzsment Kutató Csoport: Az informatikai biztonság fogalmainak gyűjteménye, Ajánlás, 4.0 változat [számítógép-fájl]. 2006. http://infota.org/biztmen/docs/IT_Biztonsagi_Szakkifejezesek_gyujtemenye_4.0.pdf (2008. 11. 09)

41

Vasvári György - Lengyel Csaba - Valádi Zoltán, Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék Biztonság Menedzsment Kutató Csoport: Vállalati biztonság keretrendszere: Vagyonbiztonság, Üzembiztonság, Informatikai Biztonság, Ajánlás, 6.0 változat [számítógépfájl]. 2006. http://infota.org/biztmen/docs/vallalati_biztonsag_keretrendszere_6.0.pdf (2008. 11. 09) http://www.fsz.bme.hu/~szebi/rinteg/ncsc.html (2009. 10. 27.) VírusBuster céghírek: IT biztonsági trendek az első negyedévben [számítógép-fájl]. 2009. 05. 11. http://www.virusbuster.hu/ceginfo/ceghirek/it-biztonsagi-trendek-elso-negyedevben

42

MELLÉKLETEK

43

1. sz. melléklet A hivatalos (de-jure) magyar szabványok a Magyar Szabványügyi Testület adatbázisából

Jelzet MSZ ISO/IEC 180283:2009 MSZ ISO/IEC 117704:2008 MSZ ISO/IEC 200001:2007 MSZ ISO/IEC 200002:2007 MSZ ISO/IEC 27001:2006 MSZ ETSI TS 101 456:2006

MSZ CWA 141671:2006 MSZ ETSI TS 102 023:2006

Cím Informatika. Biztonságtechnika. IThálózatbiztonság. 3. rész: Hálózatok közötti biztonságos kommunikáció biztonsági átjárók alkalmazásával Informatika. Biztonságtechnika. Kulcsgondozás. 4. rész: Gyenge titkosságon alapuló mechanizmusok

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere) 35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

03.080.99 Egyéb szolgáltatások Informatika. Szolgáltatásirányítás. 1. 35.020 rész: Előírás Információtechnológia (IT) általában 03.080.99 Egyéb szolgáltatások Informatika. Szolgáltatásirányítás. 2. 35.020 rész: Alkalmazási útmutató Információtechnológia (IT) általában Informatika. Biztonságtechnika. Az 35.040 Karakterkészletek információbiztonság irányítási és információkódolás rendszerei. Követelmények Elektronikus aláírások és 35.040 Karakterkészletek infrastruktúrák (ESI). Minősített és információkódolás tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó szabályzatok követelményei Elektronikus aláírások tanúsítványait kezel? megbízható rendszerek 35.040 Karakterkészletek biztonsági követelményei. 1. rész: és információkódolás Rendszerbiztonsági követelmények Elektronikus aláírások és infrastruktúrák (ESI). Id?bélyegzés- 35.040 Karakterkészletek szolgáltatókra vonatkozó és információkódolás szabályzatok követelményei

44

Jelzet

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere)

Cím

Elektronikus aláírások és infrastruktúrák (ESI). Nyilvános kulcs tanúsítványát kibocsátó hitelesítésszolgáltatókra vonatkozó szabályzatok követelményei MSZ Informatika. Biztonságtechnika. Az ISO/IEC TR információbiztonsági incidensek 18044:2006 kezelése MSZ Informatika. Biztonságtechnika. Az ISO/IEC információbiztonság irányítási 17799:2006 gyakorlatának kézikönyve MSZ EN Információtechnika. Az automatikus ISO/IEC azonosítás és adatfogadás technikája. 15426A vonalkód-ellenőrző 2:2006 megfelelőségének előírása. 2. rész: Kétdimenziós jelképek (ISO/IEC 15426-2:2005) MSZ EN Információtechnika. Az automatikus ISO/IEC azonosítás és adatfogadás technikája. 15415:2006 A vonalkódnyomtatás minőségvizsgálatának előírása. Kétdimenziós jelképek (ISO/IEC 15415:2004) MSZ Informatika. Biztonságtechnika. ITISO/IEC hálózatbiztonság. 4. rész: Biztonságos 18028távoli hozzáférés 4:2005 MSZ Informatika. Biztonságtechnika. ISO/IEC Időbélyegzési szolgáltatások. 1. rész: 18014Keretszabály 1:2004 MSZ Informatika. Biztonságtechnika. ISO/IEC Időbélyegzési szolgáltatások. 2. rész: 18014Független adattokokat előállító 2:2004 mechanizmusok MSZ Informatika. Biztonságtechnika. ISO/IEC Időbélyegzési szolgáltatások. 3. rész: 18014Összerendelt adattokokat előállító 3:2005 mechanizmusok MSZ Informatika. Biztonságtechnika. ITISO/IEC hálózatbiztonság. 4. rész: Biztonságos 18014távoli hozzáférés MSZ ETSI TS 102 042:2006

45

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás angol nyelvű

35.040 Karakterkészletek és információkódolás angol nyelvű

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás

Jelzet 4:2005 MSZ ISO/IEC 17799:2006 MSZ ISO/IEC TR 15947:2004 MSZ ISO/IEC 15945:2002 MSZ ISO/IEC 15816:2005

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere)

Cím

Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve Informatika. Biztonságtechnika. Az informatikai behatolás érzékelésének keretszabálya Informatika. Biztonságtechnika. Ajánlás/nemzetközi szabvány bizalmi harmadik fél (TTP) digitális aláírások alkalmazását támogató szolgáltatásaira Informatika. Biztonságtechnika. A hozzáférés-ellenőrzés biztonsági információobjektumai

MSZ ISO 15668:2001

Bankügyek. Biztonságos fájlátvitel (kiskereskedelem)

MSZ ISO/IEC TR 154431:2006 MSZ ISO/IEC 154081:2002 MSZ ISO/IEC 154082:2003 MSZ ISO/IEC 154083:2003 MSZ ISO/IEC 15292:2005 MSZ

Informatika. Biztonságtechnika. Az informatikai biztonság szavatolási rendszere. 1. rész: Áttekintés és keretrendszer Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 1. rész: Bevezetés és általános modell Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 2. rész: A biztonság funkcionális követelményei Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 3. rész: A biztonság garanciális követelményei

35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás 35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek 35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

Informatika. Biztonságtechnika. A védelmi profil regisztrációs eljárásai

35.040 Karakterkészletek és információkódolás

Információtechnika.

35.040 Karakterkészletek

46

Jelzet ISO/IEC 148881:2001 MSZ ISO/IEC 148882:2001 MSZ ISO/IEC 148883:2001 MSZ ISO/IEC 138881:2005

ICS (Szabványok nemzetközi osztályozási Megjegyzés Cím rendszere) Biztonságtechnika. Digitális aláírások és információkódolás függelékkel. 1. rész: Általános ismertetés Információtechnika. Biztonságtechnika. Digitális aláírások 35.040 Karakterkészletek függelékkel. 2. rész: Azonosítás alapú és információkódolás módszerek Információtechnika. Biztonságtechnika. Digitális aláírások 35.040 Karakterkészletek függelékkel. 3. rész: Tanúsítvány és információkódolás alapú módszerek Informatika. Biztonságtechnika. 35.040 Karakterkészletek Letagadhatatlanság. 1. rész: Általános és információkódolás ismertetés

Bankügyek. Kriptográfiai eszközök biztonsága (kiskereskedelem). 1. rész: Elvek, követelmények és értékelési módszerek Informatika. Biztonságtechnika. Az MSZ informatikai és távközlési biztonság ISO/IEC menedzselése. 1. rész: Az 13335informatikai és távközlési biztonság menedzselésének fogalmai és 1:2005 modelljei MSZ Informatika. Az informatikai ISO/IEC TR biztonság menedzselésének 13335irányelvei. 3. rész: Az informatikai 3:2004 biztonság menedzselésének technikái MSZ Informatika. Az informatikai ISO/IEC TR biztonság menedzselésének 13335irányelvei. 4. rész: A biztonsági 4:2004 ellenintézkedések megválasztása MSZ Informatika. Az informatikai ISO/IEC TR biztonság menedzselésének 13335irányelvei. 5. rész: A hálózatbiztonság 5:2004 menedzselési útmutatója MSZ Informatika. Biztonságtechnika. ISO/IEC Kulcsgondozás. 1. rész: Keretrendszer 117701:2005 MSZ Informatika. Biztonságtechnika. MSZ ISO 134911:2001

47

35.040 Karakterkészletek és információkódolás angol 35.240.40 IT alkalmazása nyelvű a bankügyben

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás 35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek és információkódolás

35.040 Karakterkészletek

Jelzet ISO/IEC 117702:2005 MSZ ISO/IEC 117703:2005 MSZ ISO/IEC 117704:2008 MSZ ISO 102021:2001

MSZ ISO 102022:2001

MSZ ISO 102023:2001

MSZ ISO 102024:2001

MSZ ISO 102025:2001 MSZ ISO 102026:2001

ICS (Szabványok nemzetközi osztályozási Megjegyzés Cím rendszere) Kulcsgondozás. 2. rész: Szimmetrikus és információkódolás technikákat alkalmazó mechanizmusok Informatika. Biztonságtechnika. 35.040 Karakterkészletek Kulcsgondozás. 3. rész: és információkódolás Aszimmetrikus technikákat alkalmazó mechanizmusok Informatika. Biztonságtechnika. 35.040 Karakterkészletek Kulcsgondozás. 4. rész: Gyenge és információkódolás titkosságon alapuló mechanizmusok Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 1. rész: A kártya életciklusa Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 2. rész: Tranzakciós eljárás Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 3. rész: A titkosító kulcsok közötti kapcsolatok Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 4. rész: Biztonságos alkalmazási modulok Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 5. rész: Algoritmusok használata Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája.

48

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek 35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

angol nyelvű

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

angol nyelvű

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

angol nyelvű

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

Jelzet

MSZ ISO 102027:2001

MSZ ISO 102028:2001 MSZ ISO/IEC 9594-8:2004

MSZ ISO 9735-5:2000

MSZ ISO 9735-6:2000

MSZ ISO 9735-7:2000

MSZ ISO 9735-9:2000

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere)

Cím 6. rész: A kártyabirtokos visszaigazolása Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 7. rész: Kulcsgondozás Pénzügyi tranzakciós kártyák. Integrált áramkörös kártyákat használó pénzügyi tranzakciós rendszerek biztonsági architektúrája. 8. rész: Alapelvek és áttekintés Informatika. Nyílt rendszerek összekapcsolása. Névtár: A nyilvánoskulcs- és az attribútumtanúsítvány keretszabályai Az igazgatási, kereskedelmi és közlekedési adatok elektronikus cseréje (EDIFACT). Alkalmazási szintű szintaktikai szabályok. (A szintaktika változatszáma: 4.) 5. rész: A kötegelt EDI biztonsági szabályai (hitelesség, sértetlenség és a származás letagadhatatlansága) Az igazgatási, kereskedelmi és közlekedési adatok elektronikus cseréje (EDIFACT). Alkalmazási szintű szintaktikai szabályok. (A szintaktika változatszáma: 4.) 6. rész: A biztonságos hitelesítés és nyugtázás (AUTACK) üzenete Az igazgatási, kereskedelmi és közlekedési adatok elektronikus cseréje (EDIFACT). Alkalmazási szintű szintaktikai szabályok. (A szintaktika változatszáma: 4.) 7. rész: A kötegelt EDI biztonsági szabályai (bizalmasság) Az igazgatási, kereskedelmi és közlekedési adatok elektronikus cseréje (EDIFACT). Alkalmazási szintű szintaktikai szabályok. (A szintaktika változatszáma: 4.) 9. rész:

49

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

angol nyelvű

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek

angol nyelvű

35.100.70 Alkalmazási réteg

35.040 Karakterkészletek és információkódolás 35.240.60 IT alkalmazása a szállításban, kereskedelemben

35.040 Karakterkészletek és információkódolás 35.240.60 IT alkalmazása a szállításban, kereskedelemben

35.240.60 IT alkalmazása a szállításban, kereskedelemben

35.040 Karakterkészletek és információkódolás 35.240.60 IT alkalmazása a szállításban, kereskedelemben

Jelzet

MSZ ENV 13729:2001

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere)

Cím A biztonsági kulcs- és tanúsítványmenedzselés (KEYMAN) üzenete Egészségügyi informatika. Biztonsági felhasználóazonosítás. Szigorú hitelesítést használó mikroprocesszoros kártyák

35.240.15 Azonosítókártyák és a velük kapcsolatos készülékek 35.240.80 IT alkalmazása az egészségügyi technikában MSZ ENV Egészségügyi informatika. Biztonsági 01.040.35 13608felhasználóazonosítás. Szigorú Információtechnológia. 1:2000 hitelesítést használó Irodagépek mikroprocesszoros kártyák (Szakkifejezések gyűjteményei) 35.040 Karakterkészletek és információkódolás 35.240.80 IT alkalmazása az egészségügyi technikában MSZ ENV Egészségügyi informatika. Az 35.040 Karakterkészletek 13608egészségügyi kommunikáció és információkódolás 2:2000 biztonsága. 2. rész: Biztonságos 35.240.80 IT alkalmazása adatobjektumok az egészségügyi technikában MSZ ENV Egészségügyi informatika. Az 35.040 Karakterkészletek 13608egészségügyi kommunikáció és információkódolás 3:2000 biztonsága. 3. rész: Biztonságos 35.240.80 IT alkalmazása adatátviteli csatornák az egészségügyi technikában MSZ ENV Orvosi informatika. Egészségügyi 35.240.80 IT alkalmazása 12924:2000 információs rendszerek biztonsági az egészségügyi kategorizálása és védelme technikában Orvosi informatika. Algoritmus az 35.240.80 IT alkalmazása MSZ ENV egészségügyi digitális aláírási az egészségügyi 12388:2000 szolgáltatásokhoz technikában Azonosítókártya-rendszerek. A 35.240.15 személyi azonosító szám kezelésének MSZ ENV Azonosítókártyák és a szabályai szektorok közötti 1257-1:2001 velük kapcsolatos környezetben. 1. rész: A PIN készülékek bemutatása MSZ ENV Azonosítókártya-rendszerek. A 35.240.15

50

angol nyelvű

angol nyelvű

angol nyelvű

angol nyelvű

ICS (Szabványok nemzetközi osztályozási Megjegyzés Jelzet Cím rendszere) 1257-2:2000 személyi azonosító szám kezelésének Azonosítókártyák és a szabályai szektorok közötti velük kapcsolatos környezetben. 2. rész: A PIN védelme készülékek Azonosítókártya-rendszerek. A 35.240.15 személyi azonosító szám kezelésének MSZ ENV Azonosítókártyák és a szabályai szektorok közötti 1257-3:2000 velük kapcsolatos környezetben. 3. rész: A PIN igazoló készüléke ellenőrzése 35.020 MSZ EN Informatikai berendezések. Biztonság. Információtechnológia angol 609501. rész: Általános követelmények (IT) általában nyelvű 1:2007 (IEC 60950-1:2005, módosítva) 35.260 Irodagépek 35.020 MSZ EN Informatikai berendezések. Biztonság. Információtechnológia angol 6095022. rész: Szabadtéri berendezések (IT) általában nyelvű 22:2007 (IEC 60950-22:2005, módosítva) 35.260 Irodagépek 35.020 MSZ EN Informatikai berendezések. Biztonság. Információtechnológia angol 6095023. rész: Nagy adatmennyiséget tároló (IT) általában nyelvű 23:2007 berendezések (IEC 60950-23:2005) 35.260 Irodagépek 35.020 MSZ EN Informatikai berendezések. Termékek Információtechnológia angol 50116:2007 villamos biztonsági darabvizsgálatai (IT) általában nyelvű 35.260 Irodagépek Terméktanúsítási rendszereket 03.120.20 MSZ EN működtető szervezetekre vonatkozó Terméktanúsítás és 45011:1999 általános követelmények (ISO/IEC vállalattanúsítás. Guide 65:1996) Megfelelőségértékelés 03.120.20 Útmutató minőségirányítási és/vagy Terméktanúsítás és MSZ EN ISO környezetközpontú irányítási vállalattanúsítás. angol 19011:2003 rendszerek auditjához (ISO Megfelelőségértékelés nyelvű 19011:2002) 13.020.10 Környezetgazdálkodás 03.120.20 MSZ EN Megfelelőségértékelés. Személyek Terméktanúsítás és ISO/IEC tanúsítását végző testületek általános vállalattanúsítás. 17024:2003 követelményei (ISO/IEC 17024:2003) Megfelelőségértékelé Megfelelőségértékelés. Irányítási 03.120.20 MSZ EN rendszerek auditját és tanúsítását Terméktanúsítás és ISO/IEC végző testületekre vonatkozó vállalattanúsítás. 17021:2007 követelmények (ISO/IEC Megfelelőségértékelé

51

Jelzet

ICS (Szabványok nemzetközi osztályozási Megjegyzés rendszere)

Cím

17021:2006) Egészségügyi informatika. Az EU adatvédelmi irányelv hatálya alá MSZ EN tartozó személyes egészségügyi 14484:2004 adatok nemzetközi adatátvitele. Magas szintű biztonságpolitika MSZ EN Egészségügyi informatika. 13606Elektronikus egészségügyi adatlap4:2007 kommunikáció. 4. rész: Biztonság MSZ EN Gyógyászati informatika. Biztonságos 12251:2005 felhasználóazonosítás az egészségügyben. A jelszavas feljogosítás kezelése és biztonsága MSZ CR Gyógyászati informatika. Biztonság 13694:2001 és adatbiztonság vonatkozású szoftverminőségi standardok az egészségügy számára (SSQS) [Hun-CERT, 2009.]

52

35.240.80 IT alkalmazása angol az egészségügyi nyelvű technikában 35.240.80 IT alkalmazása angol az egészségügyi nyelvű technikában 35.240.80 IT alkalmazása angol nyelvű az egészségügyi technikában 35.240.80 IT alkalmazása angol nyelvű az egészségügyi technikában

2. sz. melléklet Az információbiztonsággal kapcsolatos jogszabályok

− 1995. évi LXV. tv. az államtitokról és a szolgálati titokról − 1995. évi CXXV. tv. a Nemzetbiztonsági szolgálatokról − 1996. évi XII. törvény: A pénzintézetekről és a pénzintézeti tevékenységről szóló, többször módosított 1991. évi LXIX. törvény módosításáról − 1996. évi LVII. tv. a tisztességtelen piaci magatartás és versenykorlátozás tilalmáról (üzleti titok védelme) − 1996. évi CXII. tv. a hitelintézetekről és pénzügyi vállalkozásokról (banktitok, az értékpapírtitok stb. védelme) − 1998. LXXXV. tv. A Nemzeti Biztonsági Felügyeletekről − 2000. évi IV. törvény: Az információ biztonságáról szóló, Brüsszelben, 1997. március 6-án kelt NATO megállapodás megerősítéséről és kihirdetéséről − 2001. évi XXXV. tv. az elektronikus aláírásról − 2001. évi CVIII. tv. az elektronikus szolgáltatások (e-kereskedelem) szabályozására

53