Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos
2013. évi L. törvény • Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell – a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint – b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körő, folytonos és kockázatokkal arányos védelmét.
Adatok és elemek védelme • Logikai (rendszerekben alkalmazott védelmi megoldások pl. jogosultságok) • Fizikai (pl. elkülönített szerverterem) • Adminisztratív – Politika – Stratégia – Szabályzatok – Utasítások – Eljárásrendek
Mire jó az IBSZ? • Szervezett, átlátható, ellenırizhetı mőködés és környezet • Információbiztonsággal kapcsolatos feladatok, felelısségek meghatározása • Számonkérhetıség alapja • Külsı auditokra történı felkészülés elısegítése • A mit szabad és mit nem egyértelmő meghatározása az információbiztonság területén A szabályzat akkor fejti ki pozitív hatását ha a szervezet minden munkatársa, megismeri és elfogadja (és betartja)
Javasolt tartalom • ISO 27001-27002 információbiztonsági szabvány alapján – Nemzetközileg elfogadott – Minden területre kiterjed – Csak a releváns területekre vonatkozóan
ISO 27001 fı területei • • • • • • • •
Biztonsági irányelvek Az információ-biztonság szervezete Vagyontárgyak kezelése Az emberi erıforrások biztonsága Fizikai védelem és a környezet védelme A kommunikáció és az üzemeltetés irányítása Hozzáférés-ellenırzés Információs rendszerek beszerzése, fejlesztése és fenntartása • Információbiztonsági incidensek kezelése • Mőködés folytonosságának irányítása • Követelményeknek való megfelelés
Jogosultságkezelés • Az egyes rendszerekre vonatkozóan mely felhasználó mihez férhet hozzá, milyen jogosultsággal (csak olvasás, írás, stb.) • Folyamat leírása – Ki igényelhet – Ki hagyja jóvá – Ki állítja be
• Ellenırzés
Változáskezelés • Az informatikai rendszer elemeiben (szoftver, hardver) bekövetkezı változtatások ellenırzött folyamata (a szervezet mindig legyen tisztában informatikai környezetének összetevıivel) – Ki kezdeményezhet – Ki hajtja végre
• TESZTELÉS
Vírusvédelem • Az informatikai rendszerek alapvetı védelmi zónája – Felhasználók mit tehetnek és mit nem • Nem kapcsolhatják ki • Ha jelez a rendszer értesítsék az IT-t
– Rendszeradminisztrátoroknak mi a teendıjük • Rendszeres frissítés • Rendszeres ellenırzés futtatása • Riasztás esetén teendık
Mentések • A rendszerben tárolt adatokról, valamint a környezetrıl rendszeres mentéseket kell készíteni, esetleges sérülés, adatvesztés esetére, a folyamatos mőködıképesség biztosítására, az adatok helyreállíthatósága érdekében – Folyamat leírása – feladatok, felelısök – Mentési rend (általában külön dokumentum) – részletesen mit, milyen médiára, hogyan – VISSZATÖLTÉSI TESZTEK
Internet és e-mail használata • Az Internet (és az e-mail) nagy lehetıségeket nyújt, de hasonló veszélyeket is – Mi az amit lehet és mi az amit tiltunk (technológiai, illetve szabályzati „akadály”) – E-mail használat • Magán levelek kezelése • Téves levelek kezelése • Tömeges levélküldés (pl. csak a közönségkapcsolatokkal foglalkozó területen dolgozóknak engedélyezett)
Mobil eszközök használata • • • •
Egyre nagyobb igény (BYOD) Nehezen menedzselhetı központilag Általában igen heterogén eszközpark Nagy kockázatokat hordoz – Lopás – Elvesztés – Ártó kódok ellen általában védtelen – Illetéktelenek számára sokkal hozzáférhetıbb, mint az irodákban elhelyezett informatikai eszközök
Továbbiak • Nem csak informatika, hiszen információbiztonságról beszélünk – Az információ nem csak informatikai eszközökön jelenik meg • Papír - Iratkezelés • Munkatársak ismeretei – HR intézkedések
Felhasználókkal szembeni elvárások • Javasolt az IBSZ-bıl, illetve egyéb szabályzatokból az általános „minden munkatársra” vonatkozó részeket kivonatolni • OKTATÁS – Nagyobb elfogadottság – Nagyobb tudatosság – Magasabb szintő biztonság
Kérdések
