IT biztonsági szintek és biztonsági kategorizálási minta
Verzió száma: Kiadás dátuma: Azonosító:
V1 2008. május 29. EKK_ekozig_ITbiztonsagibesorolasiminta_080529_V01
A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az „Elektronikus közigazgatási keretrendszer” tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett:
Megnevezés Cím (Title) Kulcsszó (Subject) Leírás (Description)
Típus (Type) Forrás (Source) Kapcsolat (Relation) Terület (Coverage) Létrehozó (Creator) Kiadó (Publisher) Résztvevı (Contributor) Jogok (Rights) Dátum (Date) Formátum (Format) Azonosító (Identifier) Nyelv (Language) Verzió Státusz Fájlnév Méret Ár Felhasználási jogok
Leírás
IT biztonsági szintek és biztonsági kategorizálási minta it biztonság, kockázatelemzés, kategorizálás
Az e-közigazgatási fejlesztési projektek során kiemelt fontosságú, hogy az IT biztonság megfelelı hangsúlyt kapjon a projekt teljes mőködése során. Az IT biztonság jellegébıl adódik, hogy a tervezés, megvalósítás és üzemeltetés során mindig az adott igényszintnek és környezetnek megfelelı megoldást kell választani. Jelen dokumentum három IT biztonsági besorolási kategóriát (alacsony, fokozott és kiemelt hatású) állít fel, és meghatározza a besorolás alapját képezı kritériumrendszert, elsısorban jogi, adatvédelmi, gazdasági és üzemeltetési igények alapján.
0.1 draft
Megnevezés 1. Elıszó 2. Bevezetés 3. Alkalmazási terület 4. Rendelkezı hivatkozások 5. Fogalom-meghatározások 6. A szabvány egyedi tartalma 7. Mellékletek
Leírás
IT biztonsági szintek és biztonsági kategorizálási minta Összefoglaló Az e-közigazgatási fejlesztési projektek során kiemelt fontosságú, hogy az IT biztonság megfelelı hangsúlyt kapjon a projekt teljes mőködése során. Az IT biztonság jellegébıl adódik, hogy a tervezés, megvalósítás és üzemeltetés során mindig az adott igényszintnek és környezetnek megfelelı megoldást kell választani. Alapelv, hogy 100 százalékos védelem nem lehetséges, illetve, hogy a rendszer erıssége a leggyengébb komponensen múlik. Gyakori probléma, hogy IT biztonság szempontjából nem kiegyensúlyozott megoldás születik, akár azért, mert a tervezés során kimaradt, vagy nem kapott kellı figyelmet a biztonság, akár azért, mert nem az adott igényszintnek megfelelı – akár túl gyenge, akár túl erıs, de nem kiegyensúlyozott – megoldások születnek. A helyes megoldás elérése megfelelı elemzı munka (kockázatelemzés) során lehetséges. Az itt kialakult eredmény alapján kell dönteni a megfelelı intézkedések meghozataláról. Bár ez az elemzı munka elengedhetetlen, a projektek tervezése és kivitelezése során jelentıs könnyítést ad, amennyiben az e-közigazgatási környezetben elıforduló tipikus IT biztonsági igényekre megfelelı kritériumrendszer alapján kategorizálás áll rendelkezésre. Ennek elınyei: • A fejlesztés megrendelıje a kritériumok alapján be tudja sorolni a fejlesztést, és elı tudja írni a kívánatos IT biztonsági követelményeket. • A fejlesztés megrendelése során a kategorizálás hivatkozható, amely jelentıs könnyítést jelent például egy közbeszerzési felhívás megfogalmazásában. • A kategorizálás alapján elkészült IT biztonsági követelményrendszer egyszerően testreszabható a projekt számára. • A kategorizálás alapját jelenti az IT biztonsági bevizsgálásnak. Jelen dokumentum három IT biztonsági besorolási kategóriát (alacsony, fokozott és kiemelt hatású) állít fel, és meghatározza a besorolás alapját képezı kritériumrendszert, elsısorban jogi, adatvédelmi, gazdasági és üzemeltetési igények alapján. A kategorizálás lehetıséget teremt az egyes kategóriákhoz tartozó IT biztonsági követelmények kialakításához.
Bevezetés A kategorizálás során követett módszertan Kritériumrendszer a besoroláshoz A kategorizálás 3 szintet állít fel alacsony, fokozott és kiemelt fontossággal. A három szint elegendı finomságú felbontást ad ahhoz, hogy egyértelmően eldönthetı legyen a fejlesztés besorolása, de még meg legyen a lehetıség a precíz testreszabásra.
Alacsony Az alacsony besoroláshoz tartozó kritériumok. Szabályozási környezetbıl adódó kritériumok Elsısorban a jogi környezetbıl adódó feltételek megállapításait tartalmazza. Ide tartoznak pl. az ügyintézési határidıket, a jogbiztonságot érintı feltételek. Adatvédelemi kritériumok Fontossága miatt külön kritériumot alkot a személyes adatok védelme. A kezelt személyes adatok fajtája és milyensége alapján külön besorolási feltételek állapíthatóak meg. Gazdasági kritériumok Ez e-közigazgatási folyamatoknak közvetlen gazdasági hatásuk is van, akár a közigazgatás, akár a vele kapcsolatban lévı vállalkozások és állampolgárok szemszögébıl. Ezért megállapíthatóak azok a gazdasági feltételek, amelyek alapján a besorolás elvégezhetı. Üzemeltetési kritériumok A fejlesztések során elkészült rendszerek várhatóan hosszabb távon fognak üzemelni. Az IT biztonság hatással van bizonyos üzemeltetési feladatoknak. Ilyenek pl. a rendelkezésre állás, az üzleti folytonosság megteremtése, stb. Ezek alapján további kritériumok állíthatóak fel.
Fokozott Az fokozott besoroláshoz tartozó kritériumok.
Szabályozási környezetbıl adódó kritériumok Adatvédelemi kritériumok Gazdasági kritériumok Üzemeltetési kritériumok
Kiemelt A kiemelt besoroláshoz tartozó kritériumok. Szabályozási környezetbıl adódó kritériumok Adatvédelemi kritériumok Gazdasági kritériumok Üzemeltetési kritériumok
Tipikus példák A három IT biztonsági kategóriát példákkal illusztráljuk, megkönnyítendı a besorolások elvégzését a jövıbeli projektekben.
