Informatikai Biztonság
2003.
Informatikai biztonság
RTF
1. AZ EGYES TERÜLETEKRE VONATKOZÓ ELVÁRÁSOK ÉS MEGVALÓSÍTÁSUK ..................................................................................... 3 1.1
INFRASTRUKTÚRA ...............................................................................................3
Szerverszobák tekintetében: .............................................................................3 Nem védett helyiségekben található hálózati eszközök tekintetében: .................3 1.2 HARDVER ..............................................................................................................4 1.2.1 Számítástechnikai eszközök kezelésének biztonsága .........................................4 1.2.2 Munkaállomások használata ............................................................................4 1.3 RENDSZERTERVEZÉS ÉS JÓVÁHAGYÁS .............................................................5 1.4 SZOFTVER .............................................................................................................5 1.4.1 Szoftverkezelés biztonsága ...............................................................................5 1.4.2 Mentés és archiválás .......................................................................................5 1.4.3 Rosszindulatú szoftverek elleni védekezés ........................................................5 1.4.4 Kriptográfiai eszközök .....................................................................................6 1.5 ADATOK ................................................................................................................6 1.5.1 Adatok, információk biztonsági osztályba sorolási modellje.............................7 1.6 ADATHORDOZÓK .................................................................................................7 1.6.1 Adathordozók kezelése .....................................................................................7 1.7 DOKUMENTUMOK ................................................................................................8 1.7.1 Informatikai biztonsági dokumentációs rendszer..............................................8 1.7.2 Informatikai biztonsági dokumentációs rendszer..............................................8 1.7.3 A dokumentációs rendszer felülvizsgálata és értékelése ...................................8 1.8 KOMMUNIKÁCIÓ ..................................................................................................9 1.8.1 Elektronikus levelezés és Internet használat .....................................................9 1.8.2 Felhasználói Internet használat .......................................................................9 1.8.3 Az Internet tartalomszolgáltatóként történő igénybevétele ...............................9 1.8.4 Technikai védelem: ..........................................................................................9 1.8.5 Adminisztratív védelem ....................................................................................9 1.8.6 Elektronikus levelezés .................................................................................... 10 1.8.7 Interneten, vagy más nyilvános kommunikációs hálózaton keresztüli távmunka 10 1.9 HÁLÓZATI BIZTONSÁG ......................................................................................10 1.10 EGYÉB FONTOS TERÜLETEK (FELSOROLÁS) ...............................................11 1.10.1 Oktatás, képzés és a biztonság-tudatosság fokozása ....................................... 11 1.10.2 A folyamatos működés biztosítása ..................................................................11 1.10.3 Informatikai biztonsági események észlelése és kezelése ................................ 11 1.10.4 Rendszerfejlesztések biztonsági követelményei ............................................... 11 1.10.5 Szoftverfejlesztések biztonsága ...................................................................... 11 1.10.6 Törvényi és jogi követelményeknek való megfelelés........................................ 11 1.1.1 1.1.2
2. FONTOSABB FOGALMAK .................................................................. 11 3. HIVATKOZÁSOK .................................................................................. 13
2
Informatikai biztonság
RTF
Az informatikai biztonságot érintő területek meghatározása (felhasználható az informatikai biztonság legfontosabb kérdéseinek áttekintéséhez, egy szervezet átvilágításához, az aktuális biztonsági politika kialakításához,)
Az informatikai biztonság rendszerét az ISO/IEC 17799:2000 ajánlás, a Common Criteria, valamint az ITB (Informatikai Tárcaközi Bizottság) 8. és 12. számú ajánlásai alapján kell kidolgozni. Az informatikai biztonság elsősorban az alábbi területekre terjed ki: -
Infrastruktúra Hardver Szoftver Adatok
-
Adathordozók Dokumentumok Kommunikáció Egyéb területek
1. Az egyes területekre vonatkozó elvárások és megvalósításuk 1.1 Infrastruktúra A szervezeteknél található informatikai infrastruktúrák biztonsági szintjének növeléséhez és megfelelő szinten tartásához meg kell valósítani azokat a követelményeket, amelyeket a szervezet a biztonsági szabályzatában megfogalmaz. A követelmények megvalósításának érekében a következő feladatokat kell végrehajtani: 1.1.1 Szerverszobák tekintetében: - Többszintű védelem kialakítása a beléptetés során (Kulcsos zár, megszemélyesítésen alapuló beléptető rendszer, amely naplózza a szerverszoba forgalmát). - A helyiség kialakítása az MI-02-102-79 Számítóközpontok tűzvédelme műszaki irányelveknek megfelelően. - Redundáns klímaberendezés. - Tűz és füstérzékelő berendezés. - Automata, gázzal oltó tűzoltó berendezés. - Elektronikus kisugárzás elleni védelem. - Túlfeszültség védelem és szünetmentes tápegységek, és/vagy tartalék generátorok a szerverek és hálózati eszközök számára. - A szerverszobák belépési rendjének. - Az adattárolók elhelyezésére szolgáló helyiségek kialakítása oly módon, hogy fizikailag elkülönüljenek a szerverszobáktól és az adattárolók adatosztályozási szabványaiban meghatározott követelményeknek megfelelő védelmet, biztosítsanak. 1.1.2 Nem védett helyiségekben található hálózati eszközök tekintetében: A nem védett helyiségekben található hálózati eszközöket zárt rack szekrényben kell elhelyezni és biztosítani kell számukra a szünetmentes energiaellátást. A szekrényeket zárt állapotban kell tartani és gondoskodni kell a hozzáférés szabályozásáról is.
3
Informatikai biztonság
RTF
1.2 Hardver 1.2.1 Számítástechnikai eszközök kezelésének biztonsága A szervezetek informatikai eszközeit védeni kell az esetleges biztonsági fenyegetésektől és környezeti veszélyektől annak érdekében, hogy a szervezet vagyona és az ügymenet folytonossága ne legyen veszélyeztetve. -
-
Ki kell alakítani az informatikai eszközök beszerzésének a dokumentált rendjét. Fel kell mérni a szervezet számára kritikus informatikai eszközöket, és ezek számára a folyamatos áramellátás biztosításához szünetmentes tápegységeket és másodlagos, vagy tartalék áramfejlesztőket kell beszerezni. Ki kell alakítani azokat az elszigetelt rendszereket, amelyekhez szabályozott keretek között hozzáférhetnek azok a szervek, amelyek kívül esnek a szervezet és kapcsolódó szervei körén.
1.2.2 Munkaállomások használata Mivel a felhasználók a munkaállomásaikon keresztül érik el a szervezet informatikai erőforrásait, adatait, ezért cél a munkaállomások használatának biztonságossá tétele. Biztosítani kell a felhasználók azonosítását, hitelesítését, tevékenységük naplózását, szükség esetén a felhasználó korlátozását már a munkaállomásokon is. Szükséges lehet a munkaállomások operációs rendszerének cseréje olyan operációs rendszerre, amely megfelel a következő követelményeknek: -
Személyazonosság azonosítás és hitelesítés. Sikeres és sikertelen rendszerhozzáférés naplózása. Az azonosítás megfelelő módjának biztosítása, jelszó minőségének beállítása (jelszó menedzsment rendszer). Lehetőség a könyvtárak, fájlok hozzáférési jogosultságainak beállítására. A rendszerhez történő felhasználói hozzáférés időbeli korlátozásának lehetősége. Távoli menedzselhetőség.
A munkaállomások egyszerűbb és biztonságosabb menedzselésének érdekében ki kell alakítani egy olyan távmenedzsment rendszert, amely segítségével a következő feladatokat kell ellátni: -
Munkaállomások távoli adminisztrálása (telepítés, törlés, frissítés, felhasználó adminisztrálás), Felhasználói tevékenység nyomon követése (Telepítés, törlés, jogosultság változás, stb.), Szükség esetén a számítógép irányításának átvétele, Hardver és szoftverleltár készítése.
Ki kell alakítani a központi erőforrásokon történő adatfeldolgozást és a feldolgozott adatok központi tárolását, szemben a lokális feldolgozással és adattárolással.
4
Informatikai biztonság
RTF
1.3 Rendszertervezés és jóváhagyás Minden esetben cél, hogy a fejlesztendő rendszerek kapacitása megfeleljen a leendő rendszer teljesítményével szemben támasztott követelményeknek. Ezért a szervezet informatikai rendszereinek a szükséges teljesítményét és az erőforrások megfelelő rendelkezésre állását megfelelően előkészített és jóváhagyott tervek alapján kell biztosítani. Erre vonatkozóan el kell végezni a jövőre vonatkozó teljesítmény és erőforrás-szükségletek megbecsülését, így el lehet elkerülni a rendszerhibák előfordulását és a rendszerek túlterhelésének kockázatát.
1.4 Szoftver 1.4.1 Szoftverkezelés biztonsága El kell érni, hogy a szervezet (és szervei) informatikai rendszereiben kizárólag az üzemeltetéshez, adatfeldolgozáshoz szükséges, engedélyezett alapprogramok, irodai szoftvercsomagok és feldolgozó programok fussanak. Rendszeres belső projektek keretében kell ellenőrizni a felhasználói munkaállomások szoftverkomponenseit annak érdekében, hogy csak jogtiszta, a szervezet előírásainak megfelelő programok legyenek a munkaállomásokra telepítve. Különös figyelmet kell fordítani a felhasználók által telepített és használt titkosító eszközökre (pl. PGP). Rendszeres időközönként össze kell állítani a szervezet (és szervei) hardver- és szoftverleltárát. 1.4.2 Mentés és archiválás Elérendő cél, hogy a szervezet adatai megfeleljenek a biztonsági osztályba sorolásuknak megfelelő információvédelmi és rendelkezésre állási követelményeknek. Ennek érdekében ki kell alakítani a mentések és archiválások végrehajtásának dokumentált rendjét. Ahol eddig nem történt meg a megfelelő mentési rendszer kialakítása, ott ezt mielőbb el kell végezni. A Katasztrófa Elhárítási Tervvel összhangban ellenőrizni kell a mentések és archiválások megfelelőségét próba visszaállításokkal. Gondoskodni kell a mentések és archív anyagok biztonságos helyen történő tárolásáról, valamint ki kell alakítani a mentések és archív anyagokhoz történő hozzáférések dokumentált rendjét. A szoftver(rendszer)ek üzemeltetése során biztosítani kell a kezelt adatok, információk rendszeres biztonsági mentését.
1.4.3 Rosszindulatú szoftverek elleni védekezés Fontos cél, hogy a szervezet (és szerveinek) informatikai rendszerei védettek legyenek az olyan, rendszerbe bejutó rosszindulatú szoftverek ellen, mint a vírusok, férgek, trójai falovak és logikai bombák.
5
Informatikai biztonság
RTF
Mivel a legtöbb esetben a felhasználók által vásárolt, vagy Internetről letöltött jogosulatlan és/vagy rosszindulatú szoftverek azok, amelyek kárt okoznak az informatikai rendszerekben, ezért a szervezetben (és szerveinél) különös figyelmet kell fordítani a felhasználói munkaállomások szoftverkomponenseire. Szervezet és szervei informatikai rendszerében meg kell valósítani a háromszintű (kliens, szerver, gateway) vírusvédelmi és tartalomszűrő rendszer kialakítását. 1.4.4 Kriptográfiai eszközök A kriptográfiai eszközök bevezetésének célja az információ bizalmasságának, sértetlenségének, hitelességének fenntartása. Szükséges lehet egy olyan PKI rendszer kialakítása, amely segítségével a szervezet és a kapcsolódó szerveinek dolgozói, esetenként eszközei digitális aláírással tudják hitelesíteni magukat. A rendszert úgy kell kialakítani, hogy alkalmas legyen a felhasználók beléptetésére és adat-, illetve kommunikációtitkosításra egyaránt. Gondoskodni kell a kulcsok biztonságos eszközön történő tárolásáról is (Pl. chipkártya).
1.5 Adatok Fontos cél, hogy a szervezetben (és szerveinél) a felhasználók ellenőrzött körülmények között, csak a szükséges felhasználói jogosultságokkal férjenek hozzá az informatikai rendszerekhez és szolgáltatásokhoz. Eljárást kell kidolgozni a felhasználói hozzáférések kezelésére és felülvizsgálatára, kezdve az új felhasználók felvételétől a felhasználó kilépéskor történő accountjának felfüggesztéséig, hogy az többé ne férjen hozzá az információs rendszerekhez és szolgáltatásokhoz, viszont korábbi tevékenysége visszakereshető legyen. Olyan rendszereket kell kialakítani, amelyek fel tudják deríteni a hozzáférési szabályoktól történő eltéréseket és próbálkozásokat, valamint rögzíteni és naplózni tudják ezeket annak érdekében, hogy egy esetleges biztonsági esemény bekövetkeztekor bizonyítékul szolgálhassanak. Ezen célok érdekében szabályzat betartató szoftvereket kell alkalmazni a kritikus rendszerek esetében. Ezek a szoftverek képesek arra, hogy rendszeres időközönként ellenőrizve a rendszert, észleljék a fájlok méret- és jogosultság változásait, jelszókövetelmények betartatását, és egyéb szabályoknak történő megfelelést. A szabályzat betartató szoftverek a szabályoktól történő eltérés esetén riasztást generálnak, vagy más, előre megadott tevékenységet hajtanak végre. Azon rendszerek esetében, ahol ellenőrizhetetlenül sok naplófájl képződik, olyan szoftvereket kell alkalmazni, amelyek segítségével kiszűrhetők a naplóállományokból a rendellenességek, vagy más, biztonsági eseményre utaló jelek.
6
Informatikai biztonság
RTF
1.5.1 Adatok, információk biztonsági osztályba sorolási modellje A szervezet (és kapcsolódó szervek) által kezelt adatok biztonságos kezelésének rendje és gyakorlata. A szervezetben (és szerveinél) minden adatnak kell, hogy legyen gazdája (adatgazda), aki besorolja az adatot az adatosztályozási modell segítségével, és gondoskodik az adat kezelésének, tárolásának megfelelő módjáról, és felel is ezért. Az adatgazda feladata továbbá annak ellenőrzése, hogy az adatokra és információkra vonatkozóan a biztonsági osztályba sorolási modellben meghatározott követelményeket betartják-e. Azon ismereteket, amelyek szükségesek a fenti tevékenységek végrehajtásához a rendszeres oktatások, illetve egyéb ismeret- és információ terjesztő tevékenységek keretében kell a felhasználókkal megismertetni.
1.6 Adathordozók 1.6.1 Adathordozók kezelése Mivel a technika fejlődésével egyre kisebb méretű és egyre nagyobb kapacitású adattároló és adathordozó eszközök jelennek meg, az elkövetkező négy év során cél, hogy ezen adattárolók és adathordozók szabályozott és ellenőrzött keretek között kerüljenek be a szervezet (és szervei) informatikai infrastruktúráiba. Ennek érdekében a szervezetben (és szerveinél) megfelelő eljárásokat kell kidolgozni a dokumentumok, számítógépekhez kapcsolódó médiák (kazetták, diszkek, floppy- és CD lemezek, Zip drive-ok, flash memóriakártyák és egyéb adathordozók), bejövő és kimenő adatok, rendszer dokumentációk kezelésére, valamint ezek megsemmisüléstől és illetéktelen hozzáféréstől történő védelmére. Az eljárások kidolgozásának célja, az ügymenet folytonosságának fenntartása és a szervezet vagyonának megóvása. Az adathordozók elhelyezése során biztosítani kell, hogy az adatok, információk megfeleljenek a biztonsági osztályba sorolási modellben meghatározott követelményeknek. Szabályozni kell a cserélhető adathordozók és rendszerdokumentációk kezelését, és az adathordozók megsemmisítését. A rendszeres oktatások keretében meg kell ismertetni a felhasználókat az üres íróasztal és üres képernyő szabályainak alkalmazásával, és a különböző adathordozók kezelésével, veszélyeivel, szabályaival.
7
Informatikai biztonság
RTF
1.7 Dokumentumok 1.7.1 Informatikai biztonsági dokumentációs rendszer Teljes körűen ki kell alakítani az Informatikai Biztonsági Dokumentációs rendszert. Minden szervezetnek ki kell alakítania a dokumentációs rendszerben az Informatikai Biztonsági Szabályzat alatt elhelyezkedő dokumentumokat a saját informatikai rendszerére vonatkozóan. A dokumentációk tartalmi elemeit minden érintettel ismertetni kell oktatások keretein belül, a „szükséges tudás” elvének figyelembevételével. A szervezet (és szervei) informatikai biztonságával kapcsolatos szabályokat és elvárásokat az informatikai biztonsági dokumentációs rendszer (lásd 1. ábra) tartalmazza. Részei: az Informatikai Biztonsági Politika, az Informatikai Biztonsági Szabályzat, az Alsóbbrendű informatikai biztonsági szabályzatok1, Felhasználói kézikönyvek és a Katasztrófatervek. 1.7.2 Informatikai biztonsági dokumentációs rendszer
Informatikai Biztonsági Politika
Informatikai Biztonsági Szabályzat Felhasználói kézikönyvek
Alsóbbrendű informatikai biztonsági szabályzatok
Katasztrófatervek
1.ábra 1.7.3 A dokumentációs rendszer felülvizsgálata és értékelése Az informatikai biztonsági dokumentációs rendszer aktualitásának fenntartása érdekében a rendszerben található dokumentumok rendszeres karbantartást igényelnek. A dokumentációs rendszer karbantartása az Informatikai Biztonsági Felügyelő feladata.
1
Alsóbbrendű informatikai biztonsági szabályzatok, mint például: Üzemeltetési szabályzatok, Vírusvédelmi szabályzat, Mentési szabályzat.
8
Informatikai biztonság
RTF
Évenként ellenőrizni kell a szervezet (és szervei) informatikai biztonsági dokumentációs rendszerét a legutolsó belső audit óta bekövetkezett jogszabályi, funkcionális, biztonsági, technológiai vagy egyéb változások tükrében. Amennyiben a változások valamely dokumentum módosítását teszik szükségessé, akkor azt el kell végezni és a szervezet vezetőjének jóvá kell hagynia. A dokumentációs rendszer dokumentumait felül kell vizsgálni az Informatikai Biztonsági Politikában meghatározott esetekben.
1.8 Kommunikáció 1.8.1 Elektronikus levelezés és Internet használat 1.8.2 Felhasználói Internet használat Biztosítani kell, hogy a „Szakmailag indokolatlannak tűnő használat” észlelése megvalósuljon. Ennek érdekében olyan rendszereket kell alkalmazni, amelyek képesek a nemkívánatos weboldalak címeinek menedzselésére, ezekből tiltólisták (black list) összeállítására (automatikusan, vagy manuálisan) és alkalmazására. A látogatott weboldalak forgalmának naplózását kiemelten figyelemmel kell kísérni és eljárást kell kidolgozni annak érdekében, hogy a naplózás eredménye rendszeres jelentések formájában jusson el az üzemeltető szervezeti egység vezetőjéhez, valamint a felhasználó munkáltatójához is. 1.8.3 Az Internet tartalomszolgáltatóként történő igénybevétele Mivel az adott webszerver fontos szerepet játszhat a szervezet megítélésében, különös figyelmet kell fordítani rá mind az üzemeltetés, mind a publikálás, de különösen az Internet felől érkező támadások (DoS támadások, defaceing) szempontjából. Ezért gondoskodni kell a webszerver kiemelt védelméről az alábbiak szerint: 1.8.4 Technikai védelem: - A szerver(ek) DMZ-ben történő elhelyezése, - Host és hálózat alapú IDS rendszer kialakítása - Szabályzat betartató szoftver telepítése, - Magas rendelkezésre állású hardver eszközök alkalmazása, - Lehetőség kialakítása nem publikus web oldalak eléréséhez (https), - Erős azonosítás az üzemeltetők számára (token, smart card, biometrikus azonosítás). 1.8.5 Adminisztratív védelem - Publikálás szabályainak kidolgozása, - Megfelelő támogatási szerződések kötése, - Üzemeltetési kézikönyvek kidolgozása, - Katasztrófaterv kidolgozása.
9
Informatikai biztonság
RTF
1.8.6 Elektronikus levelezés Ki kell alakítani az elektronikus levelezés tartalomszűrését. Erre azért van szükség, mert jelenleg a legegyszerűbb módja az adatok, információk szervezetből történő illetéktelen és ellenőrizhetetlen kijuttatásának az elektronikus levélben történő küldés. A tartalomszűrés lehetővé teszi a nemkívánatos fájlok (.exe, .vbs, .bat, .com, stb.) kiszűrését. A lexikális tartalomszűrés pedig lehetőséget biztosít a levelezés tartalmi szűrésére (Pl. kiszűri azokat a leveleket, amiben a „titkos”, „szigorúan titkos” esetleg obszcén, vagy illetéktelen szavak, stb. szerepelnek). Titkosított fájlok elektronikus levélben történő küldéséhez, ki kell alakítani az erre vonatkozó adminisztratív és technikai elemeket, hogy szigorúan engedélyhez kötötten és ellenőrzött módon lehessen alkalmazni az elektronikus levelek és fájlok titkosítását. 1.8.7 Interneten, vagy más nyilvános kommunikációs hálózaton keresztüli távmunka Fel kell mérni, hogy van-e igény a szervezetben az otthonról történő munkavégzésre, illetve az Interneten keresztül a szervezet belső erőforrásainak használatára. Ha van erre igény, akkor ki kell alakítani a biztonságos távmunkavégzés szabályait és a megvalósításhoz szükséges technikai megoldásokat. A biztonságos távmunkavégzést virtuális magánhálózatok (VPN) segítségével kell kialakítani.
1.9 Hálózati biztonság Mivel a szervezetek (és szervei) folyamatosan fenn kívánják tartani a belső hálózatuk, illetve a hálózati infrastruktúrájuk zártságát és védelmét, ezért a szervezetnek (és szerveinek) technikai és adminisztratív eszközökkel kell védeniük az informatikai rendszereiket a külső kapcsolatoktól, egyéb szervezetektől és az Internettől. Ennek érdekében behatolás detektáló un. IDS (Intrusion Detection System) szoftvereket kell alkalmazni, amelyek elemzik a hálózati forgalmat és gyanús esemény (Pl. DoS támadás) észlelésekor riasztást generálnak, vagy más előre megadott tevékenységet hajtanak végre. Ki kell építeni a behatolás detektáló, szabályzat-betartató és tartalomszűrő rendszereiket olyan esetekben, amikor tűzfalon keresztül kapcsolódnak nyilvános, az adott szervezet részéről nem ellenőrizhető hálózatokhoz.
10
Informatikai biztonság
RTF
1.10 Egyéb fontos területek (felsorolás) 1.10.1 Oktatás, képzés és a biztonság-tudatosság fokozása 1.10.2 A folyamatos működés biztosítása 1.10.3 Informatikai biztonsági események észlelése és kezelése 1.10.4 Rendszerfejlesztések biztonsági követelményei 1.10.5 Szoftverfejlesztések biztonsága 1.10.6 Törvényi és jogi követelményeknek való megfelelés
2. Fontosabb fogalmak Adat: Az információ megjelenési formája, azaz tények, elképzelések nem értelmezett, de értelmezhető közlési formája. Adatbiztonság: Az adatokba történő jogosulatlan betekintés, az adatok jogosulatlan megszerzése, módosítása és tönkretétele ellen műszaki és szervezési intézkedések és eljárások együttes rendszere. Adatátvitel: Adatok szállítása összeköttetéseken, összekötő utakon (például számítógépek között). Adatfeldolgozás: Az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is; Adatvédelem: Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik. Biztonsági követelmények: A kockázatelemzés eredményeként megállapított fenyegető tényezők ellen irányuló biztonsági szükségletek együttese. Felhasználó: Az a személy vagy szervezet, aki, (amely) egy vagy több informatikai rendszert használ feladatai megoldásához. Folyamatos ügyvitel biztosítása: Az informatikai rendszerek folyamatos rendelkezésre állása. Hozzáférés: Olyan eljárás, amely valamely informatikai rendszer használója számára elérhetővé tesz a rendszerben adatként tárolt információkat vagy szolgáltatásokat. Informatikai biztonság: Olyan előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és bizalmasságát eredményezik, és ame-
11
Informatikai biztonság
RTF
lyeket az informatikai rendszerekben vagy komponenseikben, valamint az informatikai rendszerek vagy komponenseik alkalmazása során biztonsági megelőző intézkedésekkel lehet elérni.
Informatikai biztonság alatt valamely informatikai rendszer azon állapota értendő, amelyben a kockázatokat, amelyek ezen informatikai rendszer bevezetésekor a fenyegető tényezők alapján adottak, azonban elfogadható intézkedésekkel elviselhető mértékűre csökkentettünk. Informatikai Biztonsági Felügyelő: A szervezetben az Informatikai Főosztálytól független, a legfelső vezető beosztottjaként tevékenykedő személy, akinek feladata az informatikai biztonsági feladatok koordinálása, irányítása és ellenőrzése. Informatikai Biztonsági Politika: Olyan felső szintű utasítás, amely az egész szervezetre kiterjedően informatikai biztonsági irányelveket tartalmaz. Informatikai Biztonsági Rendszer: Többszintű, egymásra épülő rendszer, amely magába foglalja a biztonságpolitikai elvektől a szabályzatokon keresztül az munkautasítások szintjéig az informatikai biztonsági irányelveket, teendőket, szereplőket, azok feladatait, jogait, kötelességeit és felelősségeit. Informatikai biztonsági utasítások, eljárások: A kritikus alrendszer területek egyes üzemeltetési eljárásainak részletes leírása. Információs vagyon: Adatok, információk, szellemi, erkölcsi javak összessége. Információvédelem területei: Azonosítás, hitelesítés Jogosultság kiosztás, ellenőrzés Hitelesség garantálása Sértetlenség garantálása Bizonyítékok rendszerének és folyamatának kialakítása Bizonyítékok rendszerének és folyamatának kialakítása Katasztrófakezelés, tervezés: Lehetővé teszi, hogy egy esetleges katasztrófa bekövetkezte után az informatikai szolgáltatások ellenőrzött módon, egy előre megállapított szinten helyreállíthatók legyenek, oly módon, hogy előre meghatározzák a helyreállítás során érvényes személyi felelősségeket, illetve a követendő tevékenységeket. Kontrollok-óvintézkedések: Mindazok a fizikai, adminisztratív, technikai/ technológiai módok, eljárások, amelyeket védelmi célból terveztek, és a kockázatot csökkentik. Kriptográfia: A kriptográfia matematikai algoritmusokat és összefüggéseket használ az érthető nyílt szövegek érthetetlen rejtjelezett szöveggé való át- és visszaalakítására. Megbízható működés területei: Hibaáthidalás folyamatának kialakítása Újraindítási képesség megvalósítása A rendszer funkcionalitásának biztosítása Rejtjelezés: Minden olyan tevékenység, eljárás, amelynek során valamely adatot abból a célból alakítanak át, hogy annak eredeti állapota a megismerésére illetéktelenek számára rejtve maradjon. A rejtjelzés részét képezi a rejtjelzett adat eredetivé való visszaállítása is.
12
Informatikai biztonság
RTF
Nem minősül rejtjelzésnek a személyi vagy objektumazonosítás céljaira szolgáló kódolás, továbbá az automatikus rendszerek mérési vagy vezérlési adatainak kódolása akkor sem, ha az védelmi célokat szolgál. Titkosírás: A titkosírás olyan tudomány, amely az adat-átalakítás elveit, eszközeit és módszereit foglalja magába, az adat információ-tartalmának elrejtése, fel nem ismert módosításának és/vagy jogosulatlan használatának megakadályozása céljából. Informatikai biztonságpolitikai alapelvek Az informatikai biztonság területén az alábbi alapelveket kell következetesen érvényesíteni: Hitelesség: Olyan eljárás, amely segítségével egy informatikai rendszeren belüli kapcsolat folyamatában a partnerek kölcsönösen és kétségtelenül felismerhetik, azonosíthatják egymást, illetve egymás dokumentumait, és ez az állapot a kapcsolat egész idejére változatlan marad. Bizalmasság: Annak biztosítása, hogy az adott adat, információ és számítástechnikai erőforrás csak az arra jogosultak számára legyen hozzáférhető, vagyis ezeket védeni kell a jogosulatlan hozzáféréstől, közzétételtől. Sértetlenség: Az adatok, információk pontosságának és teljességének megőrzése a feldolgozó eljárások során. Vagyis az adatot, információt csak a megfelelő jogosultságokkal rendelkező személyek módosíthassák. Rendelkezésre állás: Annak biztosítása, hogy a szükséges adat, információ és számítástechnikai erőforrás a jogosultak számára hozzáférhető legyen most és a jövőben egyaránt. Működőképesség: A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való fennmaradása. A működőképesség fogalom sok esetben azonos az üzembiztonság fogalmával.
3. Hivatkozások Az informatikai rendszereket és az informatikai környezetet befolyásoló (szabályozó) jogszabályok jegyzéke 1957. évi IV. törvény az államigazgatási eljárás általános szabályairól (közigazgatási szervek vonatkozásában) 1959. évi törvény a Magyar Köztársaság Polgári Törvénykönyvéről 1969. évi törvény a szerzői jogról 1978. évi IV. törvény a Büntető Törvénykönyvről 1990. évi X. Törvény a különleges titkosszolgálati eszközök és módszerek engedélyezésének átmeneti szabályozásáról 26/1990. (II. 14.) MT rendelet a nemzetbiztonsági feladatok ellátásának átmeneti szabályozásáról 1992. évi XXIII. Törvény a köztisztviselők jogállásáról
13
Informatikai biztonság
RTF
1992. évi LXIII. törvény a személyes adatok védelméről, a közérdekű adatok nyilvánosságáról 1992. évi LXVI. törvény a polgárok személyes adatainak és lakcímének nyilvántartásáról 1993. CX. törvény a honvédelemről 16/1993. (XII. 14.) BM rendelet a közszolgálati nyilvántartás egyes kérdéseiről 68/1993.(V.5.) Korm. Rendelet a közszolgálati nyilvántartásról 1039/1993.(V.21.) Korm. Határozat a központi államigazgatási szervek informatikai fejlesztéseinek koordinálásról. 43/1994. (III. 29.) Korm. Rendelet a rejtjeltevékenységről 79/1995. (VI. 30.) Korm. Rendelet a minősített adat kezelésének rendjéről 1106/1995. (XI. 9.) Korm. Határozat a központi államigazgatás informatikai koordinációjának továbbfejlesztéséről. 1995. évi LXV. törvény az államtitokról és a szolgálati titokról, a végrehajtásáról szóló kormányrendeletekkel (különösen: 79/1995. (VI. 30.) Korm. Rendelet, 43/1994. (III. 29.) Korm. Rendelet) és az ágazati titokköri szabályozással 1995. évi XL. Törvény a közbeszerzésekről, és a 125/1996. (VII. 24.) és 126/1996 (VII. 24.) Korm. Rendelet a központosított közbeszerzésekről 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során, Strassburgban, 1981. január 28. napján keltezett Egyezmény kihirdetéséről A kapcsolódó belső szabályzat Szervezeti és Működési Szabályzat (SZMSZ) Hazai és nemzetközi informatikai biztonsági ajánlások Az Informatikai Tárcaközi Bizottság 8. számú ajánlása Az Informatikai Tárcaközi Bizottság 12. számú ajánlása ISO/IEC 17799:2000 Common Criteria Műszaki normatívák, szabványok, irányelvek MSZISO 7498 – Információfeldolgozó rendszerek. Nyílt rendszerek összekapcsolása ISO/IEC 10164 – Informatian Technology. Open Systems Interconnection MI-02-102-79 Szerverszobák tűzvédelme (műszaki irányelvek)
14
