IT BIZTONSÁGI KÖVETELMÉNYRENDSZER ÉRVÉNYESÍTÉSÉNEK MÓDJA A KÖZIGAZGATÁSI INFORMATIKAI RENDSZEREK FEJLESZTÉSEK SORÁN
1
A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az „Elektronikus közigazgatási keretrendszer” tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett:
2
1. Metaadat-táblázat Megnevezés Cím (dc:Title) Kulcsszó (dc:Subject) Leírás (dc:Description)
Típus (dc:Type) Forrás (dc:Source) Kapcsolat (dc:Relation) Terület (dc:Coverage) Létrehozó (dc:Creator) Kiadó (dc:Publisher) Résztvevı (dc:Contributor) Jogok (dc:Rights) Dátum (dc:Date) Formátum (dc:Format) Azonosító (dc:Identifier) Nyelv (dc:Language) Verzió (dc:Version) Státusz (State) Fájlnév (FileName) Méret (Size) Ár (Price) Felhasználási jogok (UserRights)
Leírás IT Biztonsági követelményrendszer érvényesítésének módja a közigazgatási informatikai rendszerek fejlesztések során IT biztonság; IT biztonsági követelmény; ajánlás A dokumentum hivatott az IT biztonsági követelményrendszer alkalmazásának módját, az érvényesítés kikényszerítésének lépéseit és szereplıt meghatározni a pályázat (projekt) életciklusának egyes szakaszaiban. Szöveg, táblázat, ábra E közigazgatási keretrendszer egyéb dokumentumai KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek E közigazgatási keretrendszer projekt MEH EKK Stratis Kft. E közigazgatási keretrendszer 2008-07-10 .doc Magyar V1 végleges EKK_ekozig_IT_Bizt_Kov_rendszer_Erv_080710_V1
Korlátlan
3
2. Verziókövetési táblázat A dokumentum neve
IT biztonsági követelményrendszer érvényesítésének módja a közigazgatási informatikai rendszerek fejlesztések során
A dokumentum készítıjének neve A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám Összes oldalszám A projekt azonosítója
Stratis Kft.
2.1. Verzió V1 V2 V3
2008-07-10 V1 E közigazgatási keretrendszer projekt
Változáskezelés Dátum 2008-07-10
A változás leírása MeH-nek átadott verzió
4
3. Szövegsablon Megnevezés 1. Elıszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyőjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14. Mellékletek (Appendix)
Leírás
5
4. Tartalomjegyzék 1. 2. 2.1. 3. 4. 5. 6. 7. 8. 9. 10.
Metaadat-táblázat 3 Verzióvetési táblázat (a szabvány második oldala) 4 Változáskezelés 4 Szövegsablon 5 Tartalomjegyzék 6 Elıszó 7 Bevezetés 8 Alkalmazási terület 10 Rendelkezı hivatkozások 11 Fogalom meghatározások 12 IT Biztonsági követelmények érvényesítése a közigazgatási informatikai rendszerek fejlesztése során 13 10.1. Alkalmazás elıfeltételei 13 10.2. A közigazgatási informatikai rendszerek életciklusa 13 10.3. Pályázati szakasz 15 10.3.1. Pályázatok kiírása 15 10.3.2. Pályázat készítés és beadása 16 10.3.3. Pályázatok értékelése 17 10.4. Megvalósítási szakasz 19 10.4.1. Tervezési szakasz 19 10.4.2. Implementációs szakasz 20 10.5. Fenntartási szakasz 23 10.6. Szerepkörök, feladatok 23 11. Mellékletek 25 11.1. Ellenırzési lista a követelmények érvényesítéséhez 25 12. Bibliográfia 26 13. Rövidítésgyőjtemény 26 14. Fogalomtár 26 15. Ábrák 26 16. Képek 26 17. Táblázatok 26 18. Verziószám 26 19. Mellékletek 28 20. Szakirodalmi hivatkozás 29 21. Rövidítésgyőjtemény 30 22. Fogalomtár 31 23. Belsı hivatkozások 32
6
5. Elıszó Jelen dokumentum az e közigazgatási keretrendszer részeként, az informatikai biztonságra vonatkozó követelmények, elıírások betartásának mikéntjét írja le a projektek életciklusán keresztül. Közvetlen környezetében szereplı követelmény dokumentumok: • Közigazgatási Operatív Programok IT biztonsági környezete és követelményrendszere • IT Biztonsági Stratégia követelményei • IT Biztonsági Politika követelményei • IT Biztonsági szabályzatok követelményei • Szabályzatmenedzsment rendszer követelményei
7
•
6. Bevezetés A Magyar Köztársaság Kormánya a 2002. december 28-án kelt, 1214/2002. határozatában rendelkezik a Magyar Információs Társadalom Stratégia (MITS) készítésével kapcsolatos egyes ágazati feladatokról. A MITS hat beavatkozási területet jelöl meg (Tartalom és szolgáltatások, Infrastruktúra, Tudás és ismeret, Jogi és társadalmi környezet valamint két horizontálisan jelentkezı terület: Kutatás-fejlesztés és Esélyegyenlıség), melyek alapján fıirányokat alakít ki. Célkitőzései a fıirányokba besorolható, különbözı szintő programokon keresztül valósulnak meg. A feladatok jelentısége, végrehajtási felelıssége és koordinációs igénye alapján az egyes programok kiemelt központi programként (KKP), ágazati kiemelt programként (ÁKP), vagy ágazati programként valósulnak meg. A Közigazgatási Operatív Programok (KOP) – pályázatok formájában fejlesztési forrásokat, támogatásokat biztosítanak a kiemelt közigazgatási informatikai fejlesztési projektek számára. Mivel az új informatikai fejlesztések napjainkban már elképzelhetetlenek a biztonsági szempontok érvényesítése nélkül, viszont a pályázatokon induló szervezetek, intézmények különféle szinten állnak az informatikai erıforrások üzemeltetése, használata területén, a pályázatok kiírójának törekvése, hogy a kapott erıforrásokkal a szükséges informatikai biztonsági szint is jöjjön létre. A KOP keretében megvalósuló fejlesztések támogatására létrehozásra kerül egy e közigazgatási keretrendszer, amelynek elsıdleges célja azoknak az elıírásoknak, szabványoknak és követelményeknek a meghatározása, melyek biztosítják az elektronikus közigazgatás teljes fejlesztéséhez és üzemeltetéséhez az egységes technikai, szemantikai, IT biztonsági, alkalmazásfejlesztés módszertani, valamint projektmenedzselési és monitoring platformot. Az e-közigazgatási keretrendszer hivatott a kormányzati és központi fejlesztések (pályázatok, kiemelt programok, egyéb fejlesztések) számára, a résztvevı szervezetek és szereplık felé egységes és koherens követelmény rendszert biztosítani. Az e-közigazgatási operatív programok informatika intenzív területen jönnek létre, szinte mindegyik tartalmaz majd informatikai fejlesztést. Érthetı, ha központi elvárás (és a józan ész is ezt diktálja) az, hogy a programok megfogalmazásakor helyet kapjon az informatikai biztonság, és meghatározásra kerüljenek azok a követelmények és szempontok, amelyek mentén az informatikai biztonsági követelmények érvényesülnek. Az e-közigazgatási keretrendszer részeként specifikálásra kerül egy informatika biztonsági követelményrendszer, amely informatikai biztonsági követelményeket határoz meg a fejlesztendı alkalmazással és az üzemeltetési és felhasználói környezettel szemben. A biztonsági követelményrendszer alkalmazásával érhetı el, hogy a kormányzat területén az informatikai biztonsági tudatosság és érettség a megfelelı szintre kerüljön, és megfeleljen a terület sajátosságainak, az érzékeny és személyes adatkezelés törvényben is elıírt biztonsági elvárásainak.
8
Az e-közigazgatási keretrendszer informatikai biztonsági követelményrendszere a KOP keretében, pályázati alapokon és projektszerő megvalósításokra terjed ki. Annak tudatában történik a követelményrendszer megfogalmazása, hogy alapvetıen nem IT biztonsági projektekrıl van szó, de a támogatott megvalósításnak, a projekt eredményeinek meg kell felelnie az alapvetı információ biztonsági követelményeknek. A biztonsági követelményrendszer a meglévı törvényi és szabályozási környezet figyelembevételével készült. A releváns szabványok, elıírások és ajánlások a követelményrendszert alkotó különbözı szabályozási szintek tartalmát határozzák meg. A követelményrendszer hierarchikus, felülrıl, a stratégiai szintrıl kibontakozó szabályozási rendszert definiál. Az alsóbb szintő szabályozások és utasítások a hierarchiában felettük álló utasításokat és szabályozásokat veszik figyelembe, azokkal összhangban készülnek; azaz az alacsonyabb szintő szabályozások a magasabb szintőekben foglaltakat bontják ki, részletezik, értelmezik és alkalmazzák.
9
7. Alkalmazási terület A biztonsági követelmények alkalmazása ajánlott minden a [F] közigazgatási informatikai rendszer esetében, és kötelezı azoknak az IT rendszereknek az esetében, amelyek • csatlakoznak a [F] Központi Rendszerhez vagy • a fejlesztéshez, mőködtetéshez állami támogatásokat használnak fel, • jogszabály kötelez alkalmazására. A biztonsági követelmények alkalmazása szervezeti szempontból kiterjed az informatikai rendszert üzemeltetı és informatikai rendszert fejlesztı szervezetre. Idıben a követelmények alkalmazása kiterjed az informatikai rendszerek teljes életciklusára (tervezés, fejlesztés/beszerzés, mőködtetés). A biztonsági keretrendszer követelményeit figyelembe kell venni: • A közigazgatási informatikai rendszerek fejlesztésék támogatására vonatkozó a pályázat kiírójának, a finanszírozónak, o a megvalósításra vonatkozó követelmények kialakításakor a pályázati felhívásban kell elıírni a követelmények alkalmazását, o A szerzıdéskötéskor szerepeltetni a megvalósítási feltételek között a biztonsági követelményeket, o az eredmények ellenırzésekor, elfogadásakor ellenırizni a követelmények teljesítésének a módját, megfelelıségét, • A rendszer fejlesztésére felállított projekt, a fejlesztéssel és/vagy üzemeltetéssel megbízott szervezet o A pályázat elkészítésekor, illetve a megvalósíthatósági tervek készítésekor a biztonsági követelmények figyelembevételével kell terveznie a pénzügyi és egyéb erıforrásokat és a projekt szakaszait, o az informatikai rendszer megvalósításakor, a követelmények szerint kell megvalósítania az informatikai rendszert, kell üzemeltetési és felhasználói környezetet kialakítania, o az üzemeltetéskor fenn kell tartania, mőködtetnie kell a biztonsági eljárásokat.
10
8. Rendelkezı hivatkozások
Szándékosan üres
11
9. Fogalom meghatározások Közigazgatási informatikai rendszer: A közigazgatási területen alkalmazott, központi szolgáltatásokat megvalósító, vagy támogató, vagy ilyen célt szolgáló informatikai rendszer. Felhasználó szervezet: Az a közigazgatási szervezet, amely az igényeiknek megfelelı közigazgatási informatikai rendszert megtervezi, finanszírozza megvalósítását és üzemeltetését (függetlenül, hogy saját forrásból vagy pályázati úton szerzett támogatásból), illetve használja. Üzemeltetı szervezet: Az a szervezet, amely a közigazgatási informatikai rendszer üzemeltetését végzi. Ez a szervezet lehet maga Felhasználó szervezet, vagy egy külsı szolgáltató. Pályáztató szervezet: A pályázat projekt kiírásáért és a jogszabályoknak megfelelı végigviteléért felelıs szervezet. Támogató szervezet: A projekt szakmai tartalmát alapvetıen meghatározó, a pályázati támogatást odaítélı szervezet. Pályázó szervezet: A támogatási összegre pályázó,a projekt mőszaki tartalmának megvalósítását végzı szervezet. Átvevı: A teljesítést igazoló, a projekt eredményeket igazoló, átvevı személy vagy szervezet. Projekt gazda: A projekt alapvetı megvalósítója (lehet a pályázó szervezet). E-közigazgatási keretrendszer: A KOP-ok során alkalmazandó, egységes követelményrendszer, amely az egyenszilárdságot és interoperabilitást hivatott biztosítani. Sponzor: A projekt elsıdleges finanszírozója. Támogatási szerzıdés: A projekt megvalósítást, elszámolást, eredmény fenntartást és körülményeit meghatározó szerzıdés a támogató és a projekt gazda (támogatott szervezet) között.
12
10. IT Biztonsági követelmények érvényesítése a közigazgatási informatikai rendszerek fejlesztése során 10.1. Alkalmazás elıfeltételei Az IT biztonsági keretrendszer alapszemlélete, hogy benne meghatározott biztonsági követelményeknek való megfelelés ne legyen elıfeltétele a központi pályázatokon való részvételnek, illetve támogatások elnyerésének. A keretrendszerben foglalt követelmények nem az induláskori állapotra vonatkoznak, azoknak az informatikai rendszer megvalósítása során kell eleget tenni, a projekt végén kell a megfelelést biztosítani és igazolni. Ez azt is jelenti, hogy a megfelelı biztonsági szint elérése érdekében szükséges fejlesztések, beruházások a projekt részeként valósulnak meg és az ehhez szükséges erıforrásokat a támogatási összegben (és a saját forrásokban) szerepeltethetıek. A biztonsági követelményeket alkalmazása nem támaszt elıfeltételeket az alkalmazni kívánó szervezetekkel szemben, ugyanis a keretrendszer célja az érintett szervezetek felzárkóztatása az IT biztonság területén a kezelt adatok biztonság kritikusságával arányos szintre.
10.2. A közigazgatási informatikai rendszerek életciklusa Az IT biztonsági keretrendszer a közigazgatásban megvalósuló informatikai fejlesztések (projektek) esetében kerül alkalmazásra. Ezek a fejlesztések változó feltételek és körülmények között valósulhatnak meg, emiatt többféle módon indulhatnak, illetve az életciklusuk többféleképp mehet végbe, az érintett szereplık is mások lehetnek. A keretrendszer követelményeit értelemszerően kell alkalmazni az egyes szakaszokban attól függıen, hogy a fejlesztés finanszírozása hogyan történik: • Központi támogatásokból finanszírozott (társfinanszírozott) fejlesztések, • Saját forrásból finanszírozott, a közigazgatás területén megvalósuló fejlesztések. Az e-közigazgatási keretrendszer IT biztonsági követelményrendszer az informatikai rendszerek életciklusához igazodva szakaszonként határozza meg a biztonsági követelményeket. Az IT rendszerek életciklusához kapcsolódó egyéb feladatokat nem tárgyalja a jelen dokumentum. A központi támogatásokból finanszírozott informatikai fejlesztések életciklusát alkotó szakaszoknak megfeleltethetık a saját forrásból finanszírozott informatikai fejlesztési projektek szakaszaival. Egy tipikus informatika pályázat életciklusa a következı szakaszokból áll: a) Pályázati szakasz, amely áll: aa) Pályázati felhívás összeállítása, amikor a támogató a pályázati kiírásban elıírja az IT biztonsági követelmények alkalmazását,
13
Pályázati szakasz
Fenntartás, kötelezı jelentések
Tervezés
Pályázatok értékelése, elbírálás, értesítés
Pályázat készítés és beadás
Pályázati felhívás összeállítása
ab) Pályázat készítése és beadása, amikor a pályázó a kiírásnak megfelelıen elkészíti és benyújtja a pályázati anyagát, amelyben vállalja az elıírt biztonsági követelmények teljesítését, ac) Pályázat értékelési szakasz, amikor a támogató értékeli, hogy a pályázók miként kívánnak eleget tenni a biztonsági követelményeknek és dönt a támogatás odaítélésérıl, a támogatási szerzıdés megkötésérıl. b) A pályázat (projekt) megvalósítás, amikor tervezett mőszaki és pénzügyi tartalomnak megfelelı informatikai rendszer megvalósul a biztonsági követelményeknek megfelelıen, ezen belül ba) Tervezési szakasz, amikor a szükséges biztonsági intézkedések azonosítása és specifikációja történik, bb) Implementációs szakasz, amikor a biztonsági intézkedések (szervezési és technikai intézkedések) megvalósítása, üzembe állítása és mőködtetése elindul. Ebben a szakaszban a teljesítéseket (részteljesítéseket egy monitoring rendszeren keresztül ellenırzi a pénzügyi támogatást biztosító szervezet (saját finanszírozás esetén a felügyelı bizottság vagy szponzor). c) Fenntartási szakasz, amikor mőködtetni kell a megvalósított biztonsági intézkedéseket, illetve ekkor történik azok alkalmazásának, mőködtetésének ellenırzése, illetve javító intézkedések alkalmazása történik. A fenntartási szakasz egy konkrét idıszakában (pályázatok esetén általában 5 év) a támogató hatóság ellenırizheti a fejlesztés eredményének tényleges fenntartását, valamint idıszakosan be kell számolni a fejlesztés hasznosulásáról.
Megvalósítás (szerzıdés szerint) és Idıszakos elszámolások és jelentések készítése
Fenntartási szakasz
Megvalósítási szakasz Fejlesztés (projekt) életciklusa
Pályázat kiírása
Pályázat beadása
Szerzıdés kötés
Mőködtetés
Projekt zárás
14
Projekt szakaszok és tevékenységek áttekintı ábrája
10.3. Pályázati szakasz A fejlesztés a fejlesztendı terület megjelölésével, a szükséges mőszaki tartalom meghatározásával (a fejlesztési igény felmerülésével) kezdıdik. Ebben a szakaszban az alábbi tevékenységeket kell ellátni: • pályázat felhívás összeállítása, amikor a fejlesztendı terület specifikálása történik, • pályázat készítése, beadása, amikor a projekt feladatainak tervezése és erıforrásbecslés történik, • pályázatok értékelése, amikor az elbírálás, a megvalósításra javasolt projektek kiválasztása és szerzıdéskötés történik. 10.3.1. Pályázatok kiírása A pályázati felhívás összeállításakor a pénzügyi támogatást biztosító szervezetnek lehetısége van, hogy a pályázati feltételeken keresztül befolyásolja a fejlesztendı rendszerek biztonsági képességeit. Ebben a szakaszban, a pályázat kiírásakor, vagy a saját forrásból megvalósított projekt esetén a projekt céljai között kell a pályázóval szemben, a teljes pályázati tevékenységre vonatkozóan meghatározni, a biztonsági követelményeket, illetve kell megjelölni a keretrendszer releváns elvárásait. A kiíró a pályázati felhívásban rendelkezhet, hogy milyen elvárásokat támaszt az IT biztonság területén a támogatást igénylı szervezetekkel, illetve a megvalósítandó informatikai rendszerrel szemben. A pályázó által teljesítendı elvárásokat a pályázati dokumentációkban kell elhelyezni minden szakaszra vonatkozóan (tervezés, megvalósítás, fenntartás). A finanszírozást biztosító szervezet felelısségi köre és döntése, hogy a pályáztatási szakaszban, a rendelkezésre álló lehetıségekkel, hogyan él, a lehetséges biztonság követelmények közül melyek teljesítését írja elı az informatikai rendszer megvalósítóival szemben. Az informatikai rendszerek fejlesztését megelızı pályázati szakasz (projekt elıkészítés) a legalkalmasabb a rendszerrel szembeni biztonsági követelmények és a projekttel szembeni követelmények meghatározásához. Az életciklus késıbbi szakaszaiban a követelmények teljesítését adminisztratív eszközökkel kevésbé lehet kikényszeríteni, a biztonsági követelmények utólagos teljesítése mőszaki szempontból gyakran lehetetlen, de mindképp drágább. A pályázati felhívás összeállítását megelızıen a kiíró feladatai azonosítani, hogy: ― vannak-e olyan jogszabályok, amelyekre hivatkozva elı lehet írni az e-közigazgatási keretrendszer IT biztonsági követelményrendszerének alkalmazását, ― a támogatási cél(ok) ismeretében várhatóan milyen szolgáltatásokat fognak nyújtani, milyen adatokat fognak kezelni és ezek alapján az informatikai rendszerek milyen biztonsági szintre sorolhatók be.
15
A pályázat kiírójának kell eldöntenie, hogy milyen kötelezı vagy opcionális jellegő feltételeket szab, amelyeknek a pályázati anyag elkészítése során kell eleget tenniük a pályázóknak. Az alábbi formai és tartalmi elvárások kerülhetnek megfogalmazására a pályázati dokumentációkban: ― A pályázó szervezet értékelje a jelenlegi informatikai biztonsági helyzetét, (van-e valamilyen biztonság menedzsment tanúsítása, rendszere), ― Az értékelés elvégzéséhez használja és hogyan a megadott önértékelı lapot, ― Írja le, hogy milyen biztonsági célok elérését tőzi ki, melyek azok a biztonsági intézkedések, amelyek a jelenlegi biztonsági helyzetbıl kiindulva biztosítják az elvárt (vagy tervezett) biztonsági szint elérését, ― A biztonsági céloknak a bemutatásához használja és hogyan a megadott sablont, ― Szerepeltesse a biztonsági intézkedések megvalósításhoz szükséges erıforrásokat a költségvetésben. Szintén a pályázati dokumentációkban kell meghatározni a tervezési, megvalósítási és fenntartási szakaszokra vonatkozó keretrendszer követelményeket a pályázókkal szemben. A tervezési szakaszra vonatkozó lehetséges követelmények: ― Végezzen a biztonsági helyzetének részletes értékelését a megadott önértékelı lap segítségével, ― Dokumentálja azokat a biztonsági intézkedéseket, amelyek a vállalt biztonsági célok eléréséhez szükségesek, ― Írja le részletesen, hogy milyen biztonsági célok elérését tőzi ki, melyek azok a biztonsági intézkedések, amelyek a jelenlegi biztonsági helyzetbıl kiindulva biztosítják az elvárt (vagy tervezett) biztonsági szint elérését, ― A biztonsági céloknak a bemutatásához használja és hogyan a megadott sablont ― Határozza meg és specifikálja a biztonsági céloknak eléréséhez szükséges biztonsági intézkedéseket, ― A biztonsági intézkedések specifikációjához használja a megadott sablont, ― A biztonsági intézkedéseknek a megvalósításához készítsen egy ütemtervet. A megvalósítási szakaszra vonatkozó követelmények: ― A pályázó szervezet számoljon be a pályázati anyagban vállalt biztonsági intézkedések megvalósításról (szakmai beszámoló részeként), ― A biztonsági követelmények teljesítésének értékeléséhez használja a megadott értékelı lapokat, ― A pályázó számoljon el az informatikai biztonság területén felhasznált erıforrásokkal és pénzeszközökkel. A fenntartási szakaszra vonatkozó követelmények: ― A pályázó szervezet számoljon be a pályázati anyagban vállalt biztonsági intézkedések mőködésérıl, az elért és fenntartott biztonsági helyzetrıl. 10.3.2. Pályázat készítés és beadása A pályázati felhívás ismeretében a szervezet dönt arról, hogy elkészíti-e a pályázati anyagot, élni kíván-e az adott pályázati lehetıséggel. A döntést a pályázati anyag összeállítása követi,
16
amelyben a kiírás tartalmi és formai követelménye szerint kell a szakmai, pénzügyi, erıforrás és projekttervezést elkészíteni a biztonsági követelmények teljesítése tekintetében. Az IT biztonsági keretrendszer tartalmazza azokat az alapvetı elvárásokat a pályázó szervezettel és a pályázatával szemben, amelyek az IT biztonság szempontjából biztosítani kívánják az: ― Egyenszilárdságú pályáztatási környezetet, ― Az azonos elbírálási szempontrendszert, ― A megvalósítandó szakmai minimum követelményeket, ― Az egységes monitoring és mérési szempontokat a projekt elırehaladása során, ― A megvalósított rendszer interoperabilitását, az egyes projektek közti szinergiák kihasználását, ― A támogatás és finanszírozás hatékonyságát. Az IT biztonságot szolgáló követelmények a pályázat készítési szakaszra vonatkozóan speciális követelményeket is megszabnak. Nevezetesen már ebben a szakaszban el kell végezni olyan, a biztonsági helyzet megismerésével kapcsolatos tevékenységeket, amelyek a korrekt pályázatírás feltételei, viszont plusz erıforrások bevonását igénylik a szervezettıl. Ez alatt azt kell érteni, hogy a pályázatban meg kell jelölni (tervezni kell) az elérendı biztonsági cél érdekében szükséges lépéseket, teendıket, ezekhez erıforrásokat kell rendelni és a pályázat szakaszai szerinti mérföldkövekhez kell kötni. Ennek a tervezési munkának feltétele egy biztonsági önértékelés (az Önértékelı Lapot az IT Biztonsági Stratégia Követelményei dokumentum tartalmazza), amely megmutatja, hogy hol tart a szervezet az informatikai biztonság területén. Az önértékelı minden pályázó számára egységes szempontokat és struktúrát határoz meg, az MSZ ISO/IEC 27001 szabvány követelményeivel összhangban. Ezért azok a szervezetek, amelyek a szabvány szerint építették, vagy tervezik kiépíteni információbiztonsági rendszerüket, egy szabványos megoldást alkalmazhatnak, illetve ha már mőködik ilyen rendszer, akkor a megfeleltetés leegyszerősödik. Az önértékelı lap használatát az IT Biztonsági Stratégia Követelményei címő dokumentum tartalmazza. Az önértékelı lap eredményeibıl kiindulva a pályázóknak meg jeleníteni a pályázati anyagokban olyan feladatokat, költségtételeket, amelyek biztosítják a kiírásnak megfelelı biztonsági cél (szint) elérését. A pályázat beadásakor már eldıl, hogy mire lehet számítani a pályázó részérıl az IT biztonság tekintetében, a megvalósítandó informatikai rendszer milyen biztonsági szintet fog teljesíteni. 10.3.3. Pályázatok értékelése A pályázat értékelését a támogató szervezet végzi és a támogatás odaítélése attól függ, hogy a pályázati anyag alapján mennyire látja biztosítottnak a támogató szervezet a korábban általa meghatározott IT biztonsági célok elérését és késıbbi fenntartását. Az anyag mennyire
17
konzekvens, a mőszaki és pénzügyi tartalom mennyire reális és megalapozott. A fentiek között kell értékelni az informatikai biztonsági követelmények által meghatározott célok elérésének garanciáit, szakmai és pénzügyi realitását. A pályázat értékelése a pályázati kiírásban meghatározott követelmények összevetésével történik. A pályázat kiértékelési szakaszban kell a kiírónak élni a biztonsági követelmények érvényesítésére rendelkezésre álló lehetıségekkel. Biztonsági helyzet értékelése: A pályázat kiértékelésekor minısíteni kell, hogy a pályázat hogyan (milyen kidolgozottsággal és szakértelemmel) mutatja be a jelenlegi biztonsági helyzetét. A minısítés célja nem annak a megállapítása, hogy rendelkezik-e a pályázó megfelelı biztonsági intézkedésekkel, hanem a kiindulási idıpontban megfelelıen átlátja a biztonsági helyzetét, hiányosságait. Biztonsági célok értékelése: A pályázatban a meg kell jelennie azoknak a biztonsági céloknak a leírása, amelyek teljesítését a pályázó vállalja, ebbe beletartozik az IT biztonsági keretrendszer követelményeinek vállalása is. Az értékeléséhez hozzátartozik annak az ellenırzése is, hogy a biztonsági célok eléréséhez szükséges szakmai tevékenységek megjelennek-e a vállalt feladatok között. A biztonsági célokhoz rendelt feladatok képezhetik majd az alapját a megvalósítási és fenntartási szakaszban a mőszaki teljesítés ellenırzésének. A pályázatban megjelenített feladatterv jelenti a garanciát arra nézve, hogy a megvalósuló informatikai rendszer megfelelı biztonsági szintet eléri. , Pénzügyi tervek értékelése A biztonsági követelmények teljesítésére a pályázóknak megfelelı költségkerettel kell számolniuk. Az értékelésnek arra kell irányulni, hogy mekkora összegő és mennyire reális a biztonsági feladatokhoz rendelt erıforrás és pénzügyi tervezés. A biztonsági intézkedésre megvalósítására allokált pénzügyi eszközök, az összegek realitása jelenti a garanciát arra nézve, hogy megfelelı minıségő és megbízhatóságú biztonsági intézkedéseket fognak megvalósítani. A pozitív elbírálást követıen a Támogatási szerzıdés és abban megjelölt szükséges dokumentumok tartalmazzák a pályázatra vonatkozó valamennyi követelményt, amely a késıbbi elszámolás és támogatás nyújtás alapját képezi. A (támogatási) szerzıdéskötés után indul a tényleges megvalósítási szakasz, amely tipikusan projektszerően kerül lebonyolításra.
18
10.4. Megvalósítási szakasz 10.4.1. Tervezési szakasz A tervezési szakaszban történik a keretrendszerben megfogalmazott követelményeknek megfelelı biztonsági intézkedések részletesen tervezése, amelyeket a pályázat készítése, illetve a megvalósíthatósági tanulmány készítése során beterveztek, amelyek szükségesek a projekt fejlesztési célkitőzéseinek megvalósításához. A finanszírozást biztosító szervezetnek ebben a projekt szakaszban kell megbizonyosodni arról, hogy milyen védelmi intézkedéseknek a megvalósítására kerül sor. A leszállított dokumentációknak kell alátámasztani, hogy a megvalósuló informatikai rendszer az elvárt biztonsági szint követelményeit teljesíteni fogja. Az ellenırzés az erre a szakaszra elıírt (javasolt) biztonsági dokumentációkra terjed ki. A dokumentációknak tartalmazni kell a biztonsági intézkedések megvalósításához szükséges mélységő mőszaki és pénzügyi terveket. A biztonság felsı szintő tervezésére alkalmas dokumentum, a keretrendszerben elıírt IT Biztonsági Stratégia, amely a projekt tárgyát jelentı fejlesztésekre, a fejlesztésben érintett szervezeti egységekre és szereplıkre vonatkozik. Az érintett szervezetnek el kell készíteni a részletes biztonsági célokat tartalmazó informatikai biztonsági stratégiát a projektre vonatkozóan. A keretrendszer része lesz a „Az IT Biztonsági Stratégia követelményei” címő dokumentum, amely meghatározza a stratégia elkészítésének lépéseit, a szükséges tartalmat, ehhez minta sablonokat kínál, amelynek felhasználásával egyedileg el lehet készíteni a stratégiát. Az így elkészített IT Biztonsági Stratégia lesz a projektre vonatkozó, biztonsági célokat és feladatokat leíró, átfogó terv. Az ellenırzésnek ennek a dokumentumnak a tartalmára kell kiterjednie, amihez „Az IT Biztonsági Stratégia követelményei” ellenırzési listát tartalmaz. Az ellenırzési lista alapján tud a finanszírozó szervezet megbizonyosodni, hogy megvalósuló informatikai rendszer és annak környezete megfelelı biztonsági intézkedések mellett fog mőködni. A tervezés idıszakában dıl el, hogy a megvalósuló informatikai rendszer biztonsága milyen lesz. Az informatikai rendszer biztonsági funkcionalitását az IT Biztonsági Elıirányzat, vagy azzal azonos tartalmú dokumentumnak kell tartalmaznia Az IT biztonság területén a tervezési szakaszban az alábbi feladatok elvégzését kell ellenırizni: ― a projekt indítása: támogatási szerzıdés után, a megvalósítási szakasz kezdetekor egy részletes projektterv készítése, amelyben megjelennek az IT biztonsági feladatok, az IT biztonsági tárgyú dokumentumok elkészítésének feladatai), ― a biztonsági tervek készítése: IT Biztonsági Elıirányzat, IT Biztonsági Stratégia),
19
― IT Biztonság Politika készítése: azoknak a védelmi intézkedéseknek a specifikálása, amelyek az IT Biztonsági Stratégiában meghatározott célokat teljesítik, ― Biztonsági felelıs kijelölése, aki a projekt során végigkíséri a biztonsági követelmények megvalósulását, és azokat megjeleníti az idıszakos jelentésekben, monitoringben. Amennyiben a finanszírozó szervezet az IT Biztonsági Stratégiában és az IT Biztonsági Elıirányzatban nem kap kellı garanciákat arra nézve, hogy az IT biztonságot a követelményeknek megfelelı szinten kezelik, akkor ezen a ponton a rendelkezésre álló eszközökkel (véleményezés, támogatás megvonás, stb.) be lehet még avatkozni. A biztonsági funkciók és dokumentumok kialakítása után következik ezen eredmények beépítése a projekt termékébe. 10.4.2. Implementációs szakasz Az implementációs szakaszban történik a szükséges biztonsági intézkedések kidolgozása és implementálása a keretrendszer követelményeinek megfelelıen az alkalmazási segédletek és a sablonok igénybevételével. Ebben a szakaszban kell kidolgozni a keretrendszer által elıírt biztonsági dokumentumokat, a biztonsági intézkedések mőködését leíró dokumentumokat és alkalmazni azokat a projekt tárgyának megvalósításakor, a fejlesztési tevékenységek végzése közben. Az implementációs szakaszban kell elvégezni a projekt tárgyára vonatkozó fejlesztéseket, amelyek az elvárt biztonsági jellemzıkkel ellátják az informatikai rendszert (például a biztonsági funkciókat bele kell fejleszteni az informatikai rendszerbe, azokat tesztelni és dokumentálni kell) a Biztonsági Tervezési Útmutatónak megfelelıen. Az implementációs szakaszra a keretrendszer több dokumentum elkészítését is elıírja, javasolja, amelyek elkészítéséhez megfelelı sablonokat, segédleteket és ellenırzési listákat biztosít, amelyek végigvezetik a készítıt az egyes lépéseken, illetve a teljesség ellenırzéséhez adnak támpontokat.
20
Implementációs szakasz lépései
A keretrendszer követelményeinek megértése, a szükséges IT biztonság szervezési feladatok ellátása nem nélkülözheti az informatikai tapasztalatot, illetve IT biztonsági szemléletet. Ezek nélkül a követelményeknek való megfelelés, a feladatok elvégzése nem biztosított. Az IT biztonság területén a megvalósítási szakaszban az alábbi feladatok elvégzését kell ellenırizni: ― a fejlesztés megvalósításakor valóban beépültek-e a tervezett biztonsági elemek és ezek ellátják-e a meghatározott biztonsági funkciókat, ― idıszakos beszámolók és elszámolások alkalmával, amelyek az IT biztonsággal kapcsolatos feladatok idıarányos, tervszerő megvalósítását valamint, az erre felhasznált erıforrásokkal elszámolásokat kell hogy tartalmazzák, ― a fejlesztés átvétele üzemeltetésre (pályázat vége, elfogadás megfelelıje) alkalmával vizsgálni kell, hogy megvalósul-e a fenntartás garanciáinak (IT biztonság menedzselésével együtt) érvényesítése, ― kötelezı jelentések a fenntartási idıszakban (tartalmazza az IT biztonsággal kapcsolatos jelentéseket is) tartalma megfelel-e az elvárásoknak és a valóságot tükrözik,
21
― A szükséges IT Biztonsági dokumentumok elkészítése megtörtént-e és tartalmilag megfelel-e a követelményeknek, ― A megtervezett (projektre vonatkozó) biztonsági funkciók, termék jellemzık tényleges megvalósítása a fejlesztés során elérte-e az elvárt eredményeket, ― Kialakításra került-e a biztonság menedzsment rendszer, a biztonság folyamatos fenntartása, a változások követése és felügyelete érdekében, ― Az implementált biztonsági elemeket tesztelése és a teszteredmények összevetése a specifikációval igazolja-e az elvárt eredményeket, ― A biztonsági elemek mőködtetésének a szabályozása az Informatikai Biztonsági Szabályzatban milyen módon történt és a szabályzat betartása milyen eszközökkel van kikényszerítve, ― A biztonsági rendszer fenntartására biztonsági felelıs, illetve biztonsági szervezet kialakítása és szervezetbe illesztése megfelelı-e, ― Vannak-e intézkedések a kialakított biztonsági rendszer erıforrásainak biztosítására és a mőködtetés fenntartására, a folyamatos javításra . A finanszírozást biztosító szervezet a megvalósítási szakaszba iktatott ellenırzési, beszámolási pontokon tudja ellenırizni, hogy milyen dokumentációk készültek el, azok mennyiben támasztják alá a tervezési szakaszban specifikált biztonsági intézkedéseket. Az ellenırzésnek ki kell terjednie a biztonsági intézkedések megvalósításának ellenırzésére is. A dokumentációk tekintetében ellenırizni kell, hogy a keretrendszer által elıírt tartalmú dokumentumok elkészültek, hogy azok teljesek és tartalmuk önmagában és a korábbi dokumentumokkal konzisztens. Az ellenırzéseket végzı szervezetnek jellemzıen nincs lehetısége és nem is feladata magának a megvalósított informatikai rendszer biztonságosságának az ellenırzése, de hogy benyújtott bizonyítékok (dokumentációk) alapján megfelelı garanciákat kaphat arra nézve, hogy a megvalósítást végzı szervezet mindent megtett annak érdekében, hogy a fejlesztett informatikai rendszer a keretrendszer követelményeinek, az elvárt biztonsági szintnek megfelelı legyen. Fontos megérteni, hogy a biztonsági követelmények célja, hogy a fejlesztési projekt által létrehozott új termék elégítse ki a jelenlegi releváns biztonsági követelményeket. Ez csak akkor lehetséges, ha a fejlesztés során a biztonságot garantáló elemek beépülnek a projekt termékbe és a majdani mőködés során biztosítják az elvárt biztonsági szintnek való megfelelést. Tekintettel arra, hogy az egyszer létrehozott biztonságot fenn kell tartani, üzemeltetni és fejleszteni kell (hiszen fejlıdik a támadási potenciál is), ki kell alakítani a szükséges szerepkört (szervezetet), és szabályozni kell mőködését, gondoskodni kell a szabályok betartásáról. A projekt során tehát ki kell alakítani azokat a képességeket, amelyek garantálják a rendszer fenntartását.
22
10.5. Fenntartási szakasz Annak érdekében, hogy a projekt tárgyaként megvalósított rendszer a fenntartási szakaszban, majd az életciklusában végig hordozza a keretrendszerben megfogalmazott követelményeket kielégítı megoldásokat, garanciákat kell beépíteni a keretrendszerbe. Ezek a következık: ― Fejlesztés idıszakában beépítendı funkcionális és garanciális követelmények (CC alapú), ― A szervezetre vonatkozó biztonsági követelmények (Biztonság tervezése, szabályozása, a biztonsági szint növelésére vonatkozó követelmények), ― Biztonság menedzsmentet célzó (PDCA szemléletet támogató) követelmények, ― A pályázatba épített szakmai és pénzügyi követelmények, ― Egyéb, más projektekbıl származó (pld. Interoperabilitás) követelmények. A KOP programok, pályázatok kiírásában (egyéb esetben a projekt tervezésekor) kell beépíteni azokat a garanciákat, mérhetı indikátorokat, amelyek a projekt megvalósulásakor és a fenntartási szakaszban is figyelemmel kísérhetık és mérhetıvé, ellenırizhetıvé teszik a biztonsági követelmények megvalósulását (ez gyakorlatilag a figyelembe veendı követelmény dokumentumok nevesítését és az elérendı biztonsági szint kijelölését jelenti).
10.6. Szerepkörök, feladatok A keretrendszer megfelelı alkalmazása érdekében az egyes feladatokat felelısökhöz, szerepkörökhöz kell kötni és biztosítani kell a szükséges erıforrásokat a feladat elvégzéséhez. Ezt szerepeltetni kell az adott projekt terveiben. A biztonsági keretrendszer esetében az alábbi szerepköröket nevesítjük: Feladat Pályázati felhívás (projekt megfogalmazásakor) összeállításakor be kell építeni azokat a megvalósítandó feladatokat, amelyek garantálják a biztonsági követelmények kielégítését. A pályázat kötelezı elemévé kell tenni a biztonság megvalósításához szükséges erıforrások tervezését a pénzügyi keret tervezésékor. A projekt monitoring követelményeiben szerepeltetni kell a biztonsági indikátorokat és azok rendszeres jelentését kötelezıvé kell tenni. A pályázatok elbírálásakor az IT biztonsági követelményekre vonatkozó elvárásokat meg kell jelentetni és megfelelı súllyal kell az elbíráláskor, a támogatás odaítélésekor figyelembe venni. A finanszírozási, támogatási szerzıdésben meg kell jelentetni a biztonságra vonatkozó követelményeket és a be nem tartáskor alkalmazandó szankciókat. A pályázati anyag összeállításakor figyelembe kell venni a kiírásban megjelent követelményrendszert. A megvalósítás tervezésekor be kell tervezni a biztonságra
Szerepkör/felelıs Pályáztató
Pályáztató
Pályáztató
Elbíráló
Támogató
Pályázó, projektgazda Pályázó, projektgazda
23
Feladat vonatkozó követelmények megvalósítását is. Implementációs munkák során meg kell valósítani a biztonságra irányuló követelményeket, funkciókat. Az eredmények átvételekor, rendszer élesítéskor csak a biztonsági követelményeket igazoltan kielégítı rendszert szabad élesbe állítani. A támogatási összeg folyósítása elıtt meg kell gyızıdni a biztonságra vonatkozó követelmények érvényesülésérıl. A megvalósított biztonsági szint fenntartása érdekében biztonsági rendszert kell üzemeltetni.
Szerepkör/felelıs Pályázó, projektgazda, implementációt végzı Pályázó, projektgazda, átvevı támogató, Felügyelı, projektgazda Pályázó, projektgazda.
24
11. Mellékletek 11.1. Ellenırzési lista a követelmények érvényesítéséhez Az.
P-01 P-02 P-03 P-04 P-05 P-06 P-07 P-08
T-01 T-02 T-03 T-04
M01 M02 F-01
Kontroll pont
Értékelés
Pályázati szakasz Jogszabályok azonosítása, amelyek hivatkozási alap a biztonsági követelmények érvényesítésére Informatikai rendszer biztonsági szintre történı besorolása A támogatási pályázat tartalmi elemeire vonatkozó követelmények meghatározása a pályázati kiírásban A tervezési szakaszra vonatkozó követelmények meghatározása a pályázati kiírásban A megvalósítási szakaszra vonatkozó követelmények meghatározása a pályázati kiírásban A fenntartási szakaszra vonatkozó követelmények meghatározása a pályázati kiírásban Biztonsági követelmények tervezett teljesítési módjának ellenırzése a pályázat kiértékeléskor Biztonsági követelmények tervezett teljesítési módjának érvényesítése a támogatási szerzıdésben Tervezési szakasz Projektindító dokumentumok ellenırzése (projektterv ellenırzése, projekt indító dokumentum ellenırzése) Az informatikai rendszer biztonsági funkcióinak ellenırzése (IT Biztonsági Elıirányzat ellenırzése) Biztonsági célok és feladatok ellenırzése (IT Biztonsági Stratégia ellenırzése) Biztonsági intézkedések specifikációjának ellenırzése (IT Biztonsági Politika ellenırzése) Megvalósítási szakasz Biztonsági intézkedések implementálását alátámasztó dokumentumok ellenırzése (pl. teszt dokumentáció) Biztonsági intézkedések mőködését szabályozó dokumentum ellenırzése (IT Biztonsági szabályzat ellenırzése) Fenntartási szakasz Idıszakos auditok
25
12. Bibliográfia
13. Rövidítésgyőjtemény CC:
Common Criteria
KOP. Közigazgatási Operatív Program IT:
Információs Technológia
PDCA: Plan, Do, Check, Act PDF: Projekt Definíciós Dokumentum PIB:
Projekt Irányító Bizottság
14. Fogalomtár F1 Központi Rendszer a Központi Elektronikus Szolgáltató Rendszer (a továbbiakban: Központi Rendszer) olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenı, ezeken keresztül elérhetı elektronikus szolgáltatásokat. A Központi Rendszer mőködtetıje a Miniszterelnöki Hivatal.
15. Ábrák 16. Képek 17. Táblázatok 18. Verziószám
26
CompLex Kiadó Kft.1 CompLex Kiadó Kft. CompLex Kiadó Kft. 1. ábra – CompLex Kiadó Kft. 1. kép – CompLex Kiadó Kft. 1. táblázat – CompLex Kiadó Kft. CompLex Kiadó Kft. 1. CompLex Kiadó Kft. CompLex Kiadó Kft.
d) CompLex Kiadó Kft. dc) CompLex Kiadó Kft. cad) CompLex Kiadó Kft. dd) CompLex Kiadó Kft. de) CompLex Kiadó Kft. e) CompLex Kiadó Kft. ea) CompLex Kiadó Kft. eb) CompLex Kiadó Kft. f) CompLex Kiadó Kft.
― CompLex Kiadó Kft.
1
CompLex Kiadó Kft.
27
19. Mellékletek CompLex Kiadó Kft.
28
20. Szakirodalmi hivatkozás CompLex Kiadó Kft.
29
21. Rövidítésgyőjtemény CompLex Kiadó Kft.
30
22. Fogalomtár CompLex Kiadó Kft.
31
23. Belsı hivatkozások vagyontárgy Alkotmány [R1] Ptk. magyarázat [B1]
Fogalomtárban: [F1] vagyontárgy: olyan tárgy, amely… Rövidítésgyőjteményben: [R1] Alkotmány: a Magyar Köztársaság Alkotmányáról szóló 1949. évi XX. törvény Szakirodalmi hivatkozásban: [B1] Polgári Törvénykönyv Magyarázata, 2006…
32
