KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-2. kötet Informatikai Biztonság Irányítási Követelmények (IBIK) 1.0 verzió

2008. június

Informatikai Biztonság Irányítási Követelmények Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Összeállította: Muha Lajos PhD, CISM Közremőködött: Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Sneé Péter, Váncsa Julianna PhD.

Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra

2

Magyar Informatikai Biztonság Irányítási Keretrendszer

Informatikai Biztonság Irányítási Követelmények

TARTALOMJEGYZÉK ELİSZÓ....................................................................................................................................9 BEVEZETÉS ..........................................................................................................................13 1. AZ INFORMATIKAI BIZTONSÁG.........................................................................13 2. MIÉRT VAN SZÜKSÉG AZ INFORMATIKAI BIZTONSÁGRA? .......................14 3. HOGYAN ÁLLÍTSUNK FEL BIZTONSÁGI KÖVETELMÉNYEKET?...............16 4. A BIZTONSÁGI KOCKÁZATOK MEGHATÁROZÁSA ......................................16 5. AZ INTÉZKEDÉSEK KIVÁLASZTÁSA ................................................................17 6. AZ INFORMATIKAI BIZTONSÁG KIINDULÓPONTJA .....................................17 7. KRITIKUS SIKERTÉNYEZİK ...............................................................................18 8. ÚTMUTATÓ SAJÁT INFORMATIKAI BIZTONSÁGI SZABÁLYZAT ELKÉSZÍTÉSÉHEZ..........................................................................................................19 1. FEJEZET ALKALMAZÁSI TERÜLET .........................................................................21 2. FEJEZET FOGALMAK ÉS MEGHATÁROZÁSOK ...................................................23 2.1. AZ INFORMATIKAI BIZTONSÁG.........................................................................23 3. FEJEZET AZ AJÁNLÁS FELÉPÍTÉSE.........................................................................25 4. FEJEZET KOCKÁZATOK MEGHATÁROZÁSA, ELEMZÉSE ÉS KEZELÉSE...27 4.1. KOCKÁZATELEMZÉS ............................................................................................27 4.2. KOCKÁZATKEZELÉS.............................................................................................32 5. FEJEZET BIZTONSÁGPOLITIKA................................................................................35 5.1. AZ INFORMATIKAI BIZTONSÁG DOKUMENTUMAI ......................................35 5.1.1 Az informatikai biztonságpolitika .....................................................................35 5.1.2. Az informatikai biztonsági stratégia.................................................................37 5.1.3. Az Informatikai Biztonsági Szabályzat............................................................37 5.2. FELÜLVIZSGÁLAT ÉS FEJLESZTÉS....................................................................38 6. FEJEZET SZERVEZETI BIZTONSÁG .........................................................................40 6.1. AZ INFORMATIKAI BIZTONSÁG BELSİ SZERVEZETI STRUKTÚRÁJA.....40 6.1.1. Vezetıi elkötelezettség.....................................................................................40 6.1.2. Az informatikai biztonság és a szervezeti struktúra összehangolása ...............41 6.1.3. Az informatikai biztonsági feladatok megosztása............................................45 6.1.3.1. Biztonsági Vezetı .............................................................................................. 45 6.1.3.2. Informatikai Biztonsági Vezetı ......................................................................... 46

61.4. Az adatfeldolgozás engedélyezési eljárásai ......................................................48 6.1.5. Titoktartási nyilatkozatok.................................................................................49 6.1.6. Együttmőködés külsı szervezetekkel, hatóságokkal........................................50 6.1.7. Együttmőködés különféle szakmai és információvédelmi szervezetekkel ......51 6.1.8. Az informatikai biztonság független felülvizsgálata........................................52 6.1.8.1. Informatikai biztonsági tanácsadás .................................................................. 52

6.2. ELİÍRÁSOK A KÜLSİ SZEMÉLYEK ÁLTAL TÖRTÉNİ HOZZÁFÉRÉSEKKEL KAPCSOLATBAN ...................................................................53 6.2.1. A külsı személyek által történı hozzáférések kockázatai ...............................54 6.2.1.1. A hozzáférések típusai ....................................................................................... 54 6.2.1.2. A hozzáférések engedélyezési feltételei ............................................................. 54


3

Informatikai Biztonság Irányítási Követelmények 6.2.1.3. Helyszíni tevékenységet végzı külsı személyek................................................. 56 6.2.1.4. A külsı személyek által történı hozzáférések kockázatainak felmérése............ 56

6.2.2. Ügyfélkapcsolatok informatikai biztonsága .................................................... 58 6.2.3. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben .......................................................................................................... 59 6.3. VÁLLALKOZÁSBA ADÁS..................................................................................... 61 6.3.1. Elıírások a vállalkozásba adási szerzıdésekben ............................................. 62 7. FEJEZET AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE .. 66 7.1. SZÁMADÁSI KÖTELEZETTSÉGEK AZ ESZKÖZÖKKEL KAPCSOLATBAN 66 7.1.1. Eszköz és vagyonleltár..................................................................................... 67 7.1.2. A vagyontárgyak gazdája................................................................................. 68 7.1.3. Az eszközök (vagyontárgyak) megfelelı használata....................................... 68 7.2. AZ ADATOK BIZTONSÁGI OSZTÁLYOZÁSA................................................... 69 7.2.1. Az osztályozás irányelvei ................................................................................ 69 7.2.2. Az adatok minısítése, címkézése és kezelése ................................................. 74 8. FEJEZET SZEMÉLYI BIZTONSÁG ............................................................................. 76 8.1. AZ ALKALMAZÁS ELİTT .................................................................................... 76 8.1.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban.................... 76 8.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika....................... 77 8.1.3. A foglalkoztatás feltételei ................................................................................ 78 8.2. AZ ALKALMAZÁS ALATT.................................................................................... 79 8.2.1. A vezetıség felelısségei .................................................................................. 80 8.2.2. Az informatikai biztonsági oktatás és képzés .................................................. 81 8.2.3. Fegyelmi eljárás ............................................................................................... 83 8.3. AZ ALKALMAZÁS MEGSZŐNÉSEKOR VAGY VÁLTOZÁSAKOR................ 84 8.3.1. A munkaviszony megszüntetésének biztonsági kérdései ................................ 84 8.3.2. Az eszközök visszaadása ................................................................................. 84 8.3.3. A hozzáférési jogok visszavonása. .................................................................. 85 8.3.4. Az átszervezés biztonsági kérdései.................................................................. 86 9. FEJEZET FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG ................................................ 88 9.1. BIZTONSÁGI SZEGMENSEK ................................................................................ 88 9.1.1. Biztonsági határok ........................................................................................... 89 9.1.2. beléptetési intézkedések................................................................................... 90 9.1.3. Létesítmények és helyiségek biztonsága ......................................................... 90 9.1.4. Védelem a külsı és környezeti fenyegetettségek ellen.................................... 91 9.1.5. Munkavégzés a biztonsági szegmensekben ..................................................... 92 9.1.6. A kiszolgáló területek és raktárak biztonsági elkülönítése.............................. 93 9.2. A BERENDEZÉSEK FIZIKAI VÉDELME ............................................................. 94 9.2.1 A mőszaki berendezések elhelyezése és védelme ............................................ 99 9.2.2. Energiaellátás................................................................................................. 100 9.2.3. A kábelezés biztonsága.................................................................................. 101 9.2.4. A berendezések karbantartása........................................................................ 102 9.2.5. A telephelyen kívüli berendezések védelme.................................................. 102 9.2.6. A berendezések biztonságos tárolása és újrafelhasználása............................ 103 9.2.7. Az eszközök selejtezése, elvitele ................................................................... 104 9.2.7.1. Az informatikai eszközök selejtezése ............................................................... 104 9.2.7.2. Az informatikai eszközök kivitele, szervízbe küldése ....................................... 104

4


Informatikai Biztonság Irányítási Követelmények 10. FEJEZET SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE ............................................................................106 10.1. ÜZEMELTETÉSI ELJÁRÁSOK ÉS FELELİSSÉGEK ......................................106 10.1.1. Az üzemeltetési eljárások dokumentációja ..................................................106 10.1.2. Változásmenedzsment ..................................................................................107 10.1.3. A feladatkörök elhatárolása..........................................................................108 10.1.4. A fejlesztési és az üzemeltetési feladatok szétválasztása.............................108 10.1.5. Külsı létesítmények üzemeltetése................................................................110 10.2. HARMADIK FÉL SZOLGÁLTATÁSÁNAK IRÁNYÍTÁSA.............................110 10.2.1. A szolgáltatás színvonala .............................................................................111 10.2.2. A szolgáltatás auditja....................................................................................111 10.2.3. Változáskezelés ............................................................................................111 10.3. INFORMATIKAI RENDSZEREK TERVEZÉSE ÉS ÁTVÉTELE .....................112 10.3.1. Kapacitástervezés .........................................................................................112 10.3.2. A rendszer átvétele .......................................................................................113 10.4. VÉDELEM ROSSZINDULATÚ PROGRAMOK ELLEN...................................114 10.4.1. A rosszindulatú programokat ellenırzı eszközök........................................116 10.4.1.1. A vírusvédelmi rendszer kialakítása és mőködtetése..................................... 117

10.4.2. Mobil kód elleni intézkedések......................................................................119 10.5. MENTÉS ................................................................................................................120 10.5.1. Adatmentések ...............................................................................................120 10.6. HÁLÓZATMENEDZSMENT ...............................................................................121 10.6.1. Hálózatbiztonsági intézkedések ...................................................................122 10.6.2. Hálózati szolgáltatások biztonsága...............................................................122 10.7. AZ ADATHORDOZÓK BIZTONSÁGOS KEZELÉSE.......................................123 10.7.1. Hordozható adathordozók kezelése..............................................................124 10.7.1.1. Az adathordozók tárolása ............................................................................. 124 10.7.1.2. Adathordozók kivitele.................................................................................... 125

10.7.2. Az adathordozók, újrahasznosítása selejtezése ............................................126 10.7.2.1. Adathordozók újrahasznosítása .................................................................... 127 10.7.2.2. Adathordozók megsemmisítése...................................................................... 127

10.7.3. Adatkezelési eljárások..................................................................................128 10.7.4. A rendszerdokumentációk biztonsága..........................................................129 10.8. ADATOK ÉS PROGRAMOK CSERÉJE..............................................................130 10.8.1. Adatcserére vonatkozó szabályzatok és eljárások........................................131 10.8.1.1. Az adatcsere egyéb formái ............................................................................ 132

10.8.2. Megállapodások az adatok és programok cseréjérıl ....................................133 10.8.3. Adathordozók szállítása ...............................................................................134 10.8.4. Az elektronikus levelezés biztonsága...........................................................135 10.8.4.1. Biztonsági kockázatok ................................................................................... 135 10.8.4.2. Az elektronikus levelezés irányelvei .............................................................. 136

10.8.5. Üzleti információs rendszerek......................................................................137 10.9. AZ ELEKTRONIKUS KERESKEDELEM BIZTONSÁGA ................................139 10.9.1. Biztonsági intézkedések ...............................................................................139 10.9.2. On-line tranzakciók ......................................................................................140 10.9.3. Nyilvános rendszerek biztonsága .................................................................141 10.10. A BIZTONSÁGI MEGFIGYELİ RENDSZER HASZNÁLATA......................142 10.10.1. Biztonsági események naplózása ...............................................................142 10.10.2. A rendszer használat megfigyelése ............................................................146 Magyar Informatikai Biztonság Irányítási Keretrendszer

5

Informatikai Biztonság Irányítási Követelmények 10.10.2.1. Kockázati tényezık ...................................................................................... 147 10.10.2.2. Az eseménynaplózás és értékelése ............................................................... 147

10.10.3. Naplózási információk védelme ................................................................ 148 10.10.4. Adminisztrátori és operátori tevékenységek naplózása ............................. 148 10.10.5. Rendszerhibák naplózása........................................................................... 149 10.10.6. Rendszerórák szinkronizálása.................................................................... 150 11. FEJEZET HOZZÁFÉRÉS MENEDZSMENT........................................................... 151 11.1. A HOZZÁFÉRÉS ELLENİRZÉS ÜZLETI KÖVETELMÉNYEI...................... 151 11.1.1. A hozzáférés ellenırzésének szabályai........................................................ 153 11.1.1.1. Hozzáférés ellenırzési szabályzat ................................................................. 153 11.1.1.2. Külsı fél hozzáférése ..................................................................................... 155

11.2. A FELHASZNÁLÓI HOZZÁFÉRÉS MENEDZSMENTJE................................ 155 11.2.1. A felhasználók regisztrációja....................................................................... 156 11.2.2. A jogosultságok kezelése............................................................................. 158 11.2.3. A felhasználói jelszavak kezelése................................................................ 161 11.2.4. A felhasználó hozzáférési jogosultságainak ellenırzése ............................. 163 11.3. A FELHASZNÁLÓ FELADATAI, FELELİSSÉGEI ......................................... 164 11.3.1. Jelszó használat............................................................................................ 164 11.3.2. Felügyelet nélküli berendezések .................................................................. 166 11.3.3. Adattárolási és képernyı-kezelési irányelvek.............................................. 166 11.4. A HÁLÓZATI SZINTŐ HOZZÁFÉRÉSEK MENEDZSMENTJE ..................... 167 11.4.1. A hálózati szolgáltatások használatának irányelvei..................................... 168 11.4.1.1. Kötelezı hozzáférési útvonal ......................................................................... 169

11.4.2. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál ................................ 170 11.4.3. Hálózati eszközök, munkaállomások azonosítása és hitelesítése ................ 172 11.4.4. A távdiagnosztikai portok védelme ............................................................. 173 11.4.5. A hálózatok biztonsági szegmentálása ........................................................ 173 11.4.6. A hálózatra történı csatlakozások ellenırzése ............................................ 175 11.4.7. A hálózati útvonal kiválasztások ellenırzése .............................................. 175 11.5 AZ OPERÁCIÓS RENDSZERSZINTŐ HOZZÁFÉRÉSEK ELLENİRZÉSE ... 176 11.5.1. Biztonságos hitelesítési, bejelentkezési eljárások........................................ 176 11.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése ............................... 176 11.5.1.2. Biztonságos bejelentkezési eljárások............................................................. 177

11.5.2. A felhasználó azonosítása, hitelesítése ........................................................ 177 11.5.3. Jelszómenedzsment rendszer ....................................................................... 178 11.5.4. Rendszer segédprogramok használata ......................................................... 179 11.5.5. Kapcsolati idıtúllépés.................................................................................. 180 11.5.6. Kapcsolati idıkorlátozás.............................................................................. 181 11.5.7. Támadás-riasztás.......................................................................................... 181 11.6. ALKALMAZÁS SZINTŐ HOZZÁFÉRÉSEK VEZÉRLÉSE ............................. 182 11.6.1. Az adatelérés szabályozása .......................................................................... 182 11.6.2. Érzékeny adatokat kezelı rendszer elkülönítése ......................................... 182 11.7. MOBIL INFORMATIKAI TEVÉKENYSÉG, TÁVMUNKA ............................. 183 11.7.1. Mobil informatikai tevékenység .................................................................. 183 11.7.2. A távmunka.................................................................................................. 193

6


Informatikai Biztonság Irányítási Követelmények 12. FEJEZET AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA............................................................................................................196 12.1. AZ INFORMATIKAI RENDSZEREK INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEI .......................................................................................................196 12.1.1. A biztonsági követelmények elemzése és meghatározása ...........................196 12.2. BIZTONSÁG AZ ALKALMAZÁSI RENDSZEREKBEN ..................................198 12.2.1. A bemenı adatok hitelesítése .......................................................................198 12.2.2. Az adatfeldolgozás ellenırzése ....................................................................199 12.2.2.1. Veszélyeztetett területek ................................................................................ 199 12.2.2.2. Vezérlı és ellenırzı eljárások ...................................................................... 200

12.2.3. Az üzenetek hitelesítése ...............................................................................200 12.2.4. A kimenı adatok hitelesítése........................................................................201 12.3. KRIPTOGRÁFIAI ESZKÖZÖK ...........................................................................201 12.3.1. A kriptográfiai eszközök alkalmazásának irányelvei ...................................202 12.3.1.1. Rejtjelzés ....................................................................................................... 203 12.3.1.2.Digitális aláírás ............................................................................................. 203 12.3.1.3.Szolgáltatások a le nem tagadhatóságra........................................................ 204

12.3.2. Kulcsmenedzsment.......................................................................................204 12.3.2.1. A kriptográfiai kulcsok védelme.................................................................... 205 12.3.2.2. Szabványok, eljárások, módszerek ................................................................ 205

12.4. RENDSZERÁLLOMÁNYOK VÉDELME...........................................................206 12.4.1. Az operációs rendszer ellenırzése ...............................................................206 12.4.2. A rendszervizsgálati (teszt) adatok védelme ................................................207 12.4.3. A program forráskönyvtárhoz való hozzáférés ellenırzése .........................208 12.5. INFORMATIKAI BIZTONSÁG A FEJLESZTÉSI ÉS A KARBANTARTÁSI FOLYAMATOKBAN.....................................................................................................209 12.5.1. Változásmenedzsment ..................................................................................209 12.5.2. Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések ..........210 12.5.3. A szoftvercsomagok megváltoztatásának korlátozása .................................210 12.5.4. A rendszeriformációk kiszivárgásának megakadályozása ...........................211 12.5.5. A programfejlesztés kihelyezése ..................................................................212 12.6. A MŐSZAKI SEBEZHETİSÉGEK KEZELÉSE ................................................212 12.6.1. A mőszaki sebezhetıségek ellenırzése........................................................213 13. FEJEZET AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE ......215 13.1. BIZTONSÁGI ESEMÉNYEK ÉS BIZTONSÁGI RÉSEK JELENTÉSE ............218 13.1.1. A biztonsági esmények jelentése..................................................................218 13.1.2. A biztonsági rések, gyenge pontok jelentése................................................219 13.1.2.1. Programhibák jelentése ................................................................................ 220

13.2. INFORMATIKAI BIZTONSÁGI INCIDENS MENEDZSMENT.......................220 13.2.1. Eljárások és felelısségek..............................................................................220 13.2.2. Okulás az informatikai biztonsági incidensekbıl.........................................222 13.2.3. Bizonyítékok győjtése, védelme...................................................................222 13.2.3.1. A bizonyítékokra vonatkozó szabályok.......................................................... 222 13.2.3.2.A bizonyítékok elfogadhatósága..................................................................... 222 13.2.3.2.A bizonyítékok minısége és hiánytalan volta................................................. 222

14. FEJEZET ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT........................224 14.1. AZ ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT INFORMATIKAI BIZTONSÁGI SZEMPONTJAI .....................................................................................224 Magyar Informatikai Biztonság Irányítási Keretrendszer

7

Informatikai Biztonság Irányítási Követelmények 14.1.1. Az informatikai biztonsági szempotok érvényesítése az üzletmenetfolytonosság irányításában....................................................................................... 225 14.1.2. Az üzletmenet-folytonossági hatásvizsgálatok és a kockázatok elemzése.. 226 14.1.3. Az üzletmenet-folytonossági terv kidolgozása ............................................ 227 14.1.3.1. Katasztrófa-elhárítási terv............................................................................. 231

14.1.4. Az üzletmenet-folytonosság tervezési keretrendszere ................................. 235 14.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése ................................................................................................................................. 235 14.1.5.1. A tervek tesztelése.......................................................................................... 235 14.1.5.2. A tervek karbantartása és újraértékelése ...................................................... 237

15. FEJEZET MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A SZABÁLYOZÓKNAK ................................................................................................................................................ 239 15.1. A JOGSZABÁLYI ELİÍRÁSOK BETARTÁSA ................................................ 239 15.1.1. A vonatkozó jogszabályok behatárolása...................................................... 239 15.1.2. Szellemi tulajdonjogok ................................................................................ 243 15.1.2.1. Szerzıi jogok.................................................................................................. 243 15.1.2.2. Szoftver szerzıi jogok .................................................................................... 244

15.1.3. A szervezet adatainak biztonsága ................................................................ 245 15.1.4. Személyes adatok védelme .......................................................................... 246 15.1.5. A védelmi eszközökkel elkövethetı visszaélések megelızése.................... 246 15.1.6. A kriptográfiai eszközök kezelésének szabályozása ................................... 247 15.2. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZATNAK, SZABVÁNYOKNAK ÉS MŐSZAKI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS ............................. 248 15.2.1. Az informatikai biztonsági elıírásoknak való megfelelés ........................... 248 15.2.2. A mőszaki követelményeknek való megfelelés........................................... 251 15.3. AZ INFORMATIKAI RENDSZEREK BIZTONSÁGI ELLENİRZÉSÉNEK SZEMPONTJAI.............................................................................................................. 251 15.3.1. Rendszerauditálási óvintézkedések.............................................................. 254 15.3.2. Rendszerauditáló eszközök védelme ........................................................... 254 MELLÉKLETEK ................................................................................................................ 257 1. MELLÉKLET: FELHASZNÁLÓ REGISZTRÁCIÓS LAP...................................... 257 2. MELLÉKLET: FELHASZNÁLÓ KILÉPTETİ LAP ............................................... 262 3. MELLÉKLET: HÁLÓZATI JOGOSULTSÁG IGÉNYLİ LAP .............................. 265 4. MELLÉKLET: HÁLÓZATI HOZZÁFÉRÉSI ENGEDÉLY (HARMADIK SZEMÉLY RÉSZÉRE)...................................................................................................................... 268 5. MELLÉKLET: TITOKTARTÁSI NYILATKOZAT................................................. 275

8



ELİSZÓ Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL1-re és a COBIT2-ra. Az ITIL, „Az informatikaszolgáltatás módszertana” egy az informatika, mint szolgáltatás egészére kiterjedı, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létezı ITIL folyamatokat bıvíti a biztonságirányítással. A COBIT az információrendszer ellenırök egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenırzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. Az ISO/IEC 15408 szabvány (Common Criteria) elsısorban technikai jellegő, fıleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minısítésére. Nem

1

ITIL = Information Infrastructure Library Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezıek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az Information Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára „de facto” nemzetközi szabvánnyá vált, amelynek több országban mőködik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával 2002. novemberében honosították. 2 COBIT = Control Objectives for Information and Related Technology Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenırzésével és Vizsgálatával foglalkozó Alapítvány), az Information Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsısorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenırzési irányelvek, a Vezetıi útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezéső kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenırzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fı hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet.


9

Informatikai Biztonság Irányítási Követelmények tartalmaz ugyanakkor megfelelıen, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltetı, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR 13335 – Guidelines for the Management of Information Security3 (GMITS) mőszaki beszámoló. Az ISO/IEC TR 13335 nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de „Technical Report”-ként, ami ebben az esetben a megoldási lehetıségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR 13335 öt részbıl áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for Information Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning Information Security), 3. Az

informatikai

biztonság

irányításának

megoldásai

(Techniques

for

the

Management of Information Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections).

3

Segédlet az informatikai biztonság irányításához

10


Informatikai Biztonság Irányítási Követelmények Az ISO/IEC 27002:2005 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelı informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különbözı nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a „de facto” nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC 27002 szabványt – bár kritikák is érik – a világ, és különösen az Európai Unió mind több országában fogadják el a különbözı szervezetek informatikai rendszerük biztonságának alapjaként. Ezért a jelen követelményeknek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR 13335 szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) – C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével.


11


12



BEVEZETÉS

1. Az informatikai biztonság Az informatikai biztonság az informatikai rendszer olyan – az érintett4 számára kielégítı mértékő – állapota, amelynek védelme az informatikai rendszerben kezelt5 adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körőség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az idıben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olyan módon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, mint a védelem erısségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy „az elmaradt haszon az veszteség” gazdasági alaptétel mintájára „az elmaradt kár az haszon” tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkezı károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetık pénzkidobásnak.

4

Az érintett alatt a védelem nem kielégítı megvalósítását elszenvedı, a védelmet elıíró, továbbá a védelemért felelıs személyek és szervezetek együttese értendı.

5

Az adatok kezelése az alkalmazott eljárástól függetlenül a adatok győjtése, felvétele, tárolása, feldolgozása (megváltoztatás, átalakítás, összegzés, elemzés, stb.), továbbítása, törlése, hasznosítása (ideértve például a nyilvánosságra hozatalt is), és felhasználásuk megakadályozása.


13


2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentıs üzleti értéket, vagyont képeznek, olyan kiemelt jelentıségő erıforrások, amelyek semmi mással nem helyettesíthetı. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tőzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes „változata” – a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számítógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezetı támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerıbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti mőködtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhetı hozzá, elvész vagy illetéktelen kezekbe jut, az jelentıs anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentıs változások történtek az információ megjelenési formáját illetıen. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselı információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektıl és informatikai szolgáltatásoktól való függıség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetıbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erıforrások megosztása nagyon megnehezíti a hozzáférések ellenırzését. Az osztott feldolgozás tendenciája, iránya jelentısen meggyengítette a szakértıi központi ellenırzés hatékonyságát. Igen sok informatikai rendszert egyszerően nem biztonságosra terveztek. Csak mőszaki eszközökkel kizárólag korlátozott biztonság érhetı el, éppen ezért kell azt megfelelı vezetési és irányítási módszerekkel támogatni. Az informatikai biztonság megteremtésének kiindulópontját az információ minısítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetıség szerint mindenre kiterjedı, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az informatikai biztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthetı.

14


Informatikai Biztonság Irányítási Követelmények A biztonság megteremtéséhez nem elegendı a megfelelı szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van. Szervezeti szempontból fontos, hogy az informatikai biztonság különbözı, de szorosan összetartozó szakterületeit mővelı szakemberek, azonos szervezeti egységhez tartozzanak, közös irányítás alatt. A megfelelı biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthetı a számítógépen készített és tárolt minısített irat illetéktelen megismerésének valószínősége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép által automatikusan és folyamatosan tárolt „feljegyzések” alapján a biztonságot sértı eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerő megvalósítása esetén lehetséges, amely speciális, az informatikai

tudástól

részben

elkülönült

szakértelmet

igényel,

valamint

technikai

erıforrásokat. Ennek hiányában a számítógépeken „digitális állapotú információk” megismerése nyomtalanul végrehajtható, és a további erıfeszítések a kinyomtatott, papíralapon megjelenı iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelı védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintő elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintı változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelmérıl nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellı figyelmet. A Ttv. 1995-ben jelent meg, amikor a kérdés jelentısége még sokkal kisebb volt, és a jogszabályalkotó

azóta is „adós” az

elektronikus

információvédelemre vonatkozó

szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minısített adat kezelésének rendjérıl) nem követték a tényleges technikai fejlıdést és az egyre növekvı mértékben megjelenı biztonsági kockázatokra nem adtak releváns választ, ezért – a valós veszélyekre való tekintettel – az egyes szervezetek öntevékenyen kezdték el Magyar Informatikai Biztonság Irányítási Keretrendszer

15

Informatikai Biztonság Irányítási Követelmények szabályozni ezt a területet, így jelenleg sokféle, különbözı szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létezı szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végzı szerv szabályozza és ellenırzi.

3. Hogyan állítsunk fel biztonsági követelményeket? Lényeges,

hogy

egy

adott

szervezet

hogyan

határozza

meg,

azonosítja

saját

biztonságpolitikáját, belsı szabályzóit. Ennek három fı forrása ismert: 1. A követelmények elsı forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez utóbbiak bekövetkezésének valószínőségét, és megbecsüli a lehetséges, várható károkat. 2. A második forrást azok a törvényi, szabályozási és szerzıdési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. 3. A harmadik forrást azok az adatfeldolgozási alapelvek, célkitőzések és követelmények alkotják, amelyeket a szervezet saját mőködésének támogatására fejlesztett ki.

4. A biztonsági kockázatok meghatározása A biztonsági követelmények és intézkedések a biztonsági kockázatok módszeres felmérésével határozhatók meg. A védelmi szint meghatározásának kulcsfogalma a kockázat arányosság. A kockázattal

arányos

védelem

alkalmazása

azt

jelenti,

hogy

egy

kellıen

nagy

idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, a védelem erısségének is szokták nevezni. Röviden a védelmi intézkedések kiadásai legyenek egyensúlyban a biztonsági eseményekbıl származó megbecsült üzleti veszteségekkel. Ahogyan a szervezet környezete, piaci szerepe valamint szervezeti felépítése változik, úgy folyamatosan változik a szervezet mőködését veszélyeztetı veszélyforrások száma. Az új veszélyforrások és kockázati tényezık felismeréséhez, valamint az új védelmi intézkedések 16


Informatikai Biztonság Irányítási Követelmények foganatosítása érdekében a kockázatok felmérését idıszakosan meg kell ismételni. (A biztonsági kockázatok felmérésével a 4.1 fejezet foglalkozik.)

5. Az intézkedések kiválasztása A biztonsági kockázatok meghatározása után kerülhet sor a megfelelı szintő, kockázatarányos védelmi intézkedések kiválasztására, foganatosítására, amely szervezet számára elviselhetı szintre hozza ezeket a kockázatokat. A kiválasztott biztonsági intézkedések, eljárások nagyban függnek: -

a szervezet kockázat vállalási szintjétıl,

-

a szervezetnél alkalmazott általános kockázatkezelési megközelítéstıl,

-

valamint az összes ide vonatkozó nemzeti és nemzetközi törvényi szabályozástól.

(A biztonsági intézkedések kiválasztásával a 4.2 fejezet foglalkozik.)

6. Az informatikai biztonság kiindulópontja A jelen követelmények alapján számos intézkedés tekinthetı jó kiindulási pontnak az informatikai biztonság kialakításához. A szabványban rögzített védelmi intézkedések megfelelnek napjaink informatikai biztonsági gyakorlatának. A legfontosabb jogi kérdésekkel kapcsolatos intézkedések: a) az adatvédelem és a személyes információ bizalmassága (lásd 15.1.4.fejezet); b) a szervezeti feljegyzések védelme (lásd 15.1.3.fejezet); c) a szellemi tulajdonjog (lásd 15.1.2. fejezet). Napjaink informatikai biztonsági gyakorlatának tekinthetı alapintézkedések: a) az informatikai biztonságpolitika dokumentuma (lásd 5.1.1. fejezet); b) az informatikai biztonság felelısségeinek kiosztása (lásd 6.1.3. fejezet); c) informatikai biztonságtudatosság, -képzés és -oktatás (lásd 8.2.2. fejezet);


17

Informatikai Biztonság Irányítási Követelmények d) helyes feldolgozás az alkalmazások során (lásd 12.2. fejezet); e) mőszaki sebezhetıség kezelése (lásd 12.6. fejezet); f) mőködésfolytonosság irányítása (lásd 14. fejezet); g) az informatikai biztonsági incidensek és fejlesztések irányítása (lásd 13.2. fejezet). Ezek az intézkedések szervezetek többségére, általános környezetben érvényesek. Fontos, hogy ezek az alapintézkedések irányadóak ugyan, de az általunk védett szervezet védelmi intézkedéseit azokra az eseti kockázatokra kell meghatározni, amelyek azt fenyegetik.

7. Kritikus sikertényezık A sokéves informatikai biztonsági gyakorlat azt mutatja, hogy az alább felsorolt tényezık sikeressége nagyban befolyásolja egy adott szervezet védelmi szintjét: a) informatikai biztonsági politika céljainak és üzleti tevékenységek céljainak összhangja; b) informatikai

biztonsági

intézkedések

bevezetésének,

vizsgálatának,

és

karbantartásának összhangja a szervezeti kultúrával; c) látható támogatás és elkötelezettség a vezetıség minden szintjén; d) az informatikai biztonsági követelmények, kockázatfelmérés és kockázatkezelés fontosságának megértése; e) az informatikai biztonság eredményes közvetítése minden vezetı, és munkatárs felé; f) az

informatikai

biztonság

irányításának,

és

a

védelmi

intézkedések

implementálásának anyagi támogatása; g) az információvédelmi tudatosság elérésére, folyamatos oktatás és képzés nyújtása, eredményes informatikai biztonsági incidenskezelési folyamatok kialakítása;

18


Informatikai Biztonság Irányítási Követelmények h) az

informatikai

biztonsági

rendszer

folyamatos

fejlesztése,

ellenırzése,

karbantartása (TVEB6 modell).

8. Útmutató saját informatikai biztonsági szabályzat elkészítéséhez Jelen dokumentum keret lehet, egy a szervezetekre általánosan jellemzı szervezeti szintő Informatikai Biztonsági Szabályzat fejlesztéséhez. Gyakorlati tapasztalat, hogy az Informatikai Biztonsági Szabályzatokban az informatikai biztonsági szabványoknak való megfelelés és hivatkozás lényegesen megkönnyíti az auditorok dolgát. Jelen dokumentumban, valamint az információvédelemmel, informatikai biztonsággal kapcsolatos más dokumentumokban elıírt védelmi intézkedések nem alkalmazhatóak minden szervezetre. Minden szervezetnek saját magának kell meghatároznia biztonsági kockázatait melyekkel nap, mint nap szembenéz, és ezekkel a kockázatokkal arányosan kell létrehoznia védelmi intézkedéseit.

6

Plan Do Check Act


19


20



1. FEJEZET ALKALMAZÁSI TERÜLET Ez az ajánlás azoknak ad segítséget az informatikai biztonság szervezeti szintő kezeléséhez, akik saját szervezetükben a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekrıl. Felhívjuk a figyelmet, hogy a változó viszonyok között a mindenkori hatályos jogszabályok keretei között kell alkalmazni ezt az ajánlást. Az ajánlás célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó olyan hazai elıírások biztosítása az informatikai biztonságának megteremtéséhez, amelyek bizalmat teremthetnek a különbözı szervezetek között az informatikai rendszerek biztonságát illetıen.


21


22



2. FEJEZET FOGALMAK ÉS MEGHATÁROZÁSOK

2.1. AZ INFORMATIKAI BIZTONSÁG

Informatikai biztonság: Az informatikai biztonság az informatikai rendszer olyan – az érintett számára kielégítı mértékő – állapota, amelynek védelme az infokommunikációs rendszerben kezelt7 adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. Egyszerősítve: az informatikai rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelme.

Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.

Sértetlenség: Az adat tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes, és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.

7

Az adatok kezelése az alkalmazott eljárástól függetlenül a adatok győjtése, felvétele, tárolása, feldolgozása (megváltoztatás, átalakítás, összegzés, elemzés, stb.), továbbítása, törlése, hasznosítása (ideértve például a nyilvánosságra hozatalt is), és felhasználásuk megakadályozása.


23

Informatikai Biztonság Irányítási Követelmények Rendelkezésre állás: Az informatikai rendszerelem – ide értve az adatot is – tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a szükséges idıben és idıtartamra használható.

Zárt védelem: Zárt a védelem, ha az az összes releváns fenyegetést figyelembe veszi.

Teljes körő védelem: Teljes körő a védelem, ha az az informatikai rendszer összes elemére kiterjed.

Folytonos védelem: Folytonos a védelem, ha az az idıben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul.

Kockázattal arányos védelem: A kockázatokkal arányos a védelem, ha egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel.

24



3. FEJEZET AZ AJÁNLÁS FELÉPÍTÉSE Jelen dokumentum következı 11 fejezete különbözı biztonsági kategóriákat tartalmaz: A fejezetek sorrendje nem a fontosságuknak felel meg! A tanulmány ISO/IEC 27002:2005 szabvány felépítését követi. Minden fı biztonsági kategória tartalmaz: a)

egy biztonsági célt, amit el kell érni,

b)

valamint a biztonsági cél eléréséhez szükséges védelmi intézkedéseket.


25


26



4. FEJEZET KOCKÁZATOK MEGHATÁROZÁSA, ELEMZÉSE ÉS KEZELÉSE

4.1. KOCKÁZATELEMZÉS Az információ és az adatfeldolgozó eszközök gyenge pontjainak, fenyegetéseinek (veszélyeztetettségének,

sérülékenységének,

befolyásolhatóságának),

valamint

a

fenyegetésekbıl által okozható károk, és ezek bekövetkezése valószínőségének a becslése (kockázatbecslés) vagy felmérése (kockázatelemzés). A kockázatelemzés olyan elemzı és értékelı jellegő szakértıi vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. A kockázatot, mint elvont fogalmat szokták alkalmazni, ám az formálisan is definiálható:

r = ∑ (p × d ) t∈T

t

t

ahol: r: a kockázat [Ft/év], T: a releváns fenyegetések halmaza, pt: egy adott kockázat bekövetkezésének gyakorisága (valószínősége) [1/év], dt: egy adott kockázat bekövetkezésébıl származó kár [Ft]. A kockázat mértékegységekkel is kifejezhetı, de nem mindig mint pontos idıarányos összeg kerül meghatározásra, hanem gyakran valamilyen osztályzatként, amely a kockázat nagyságrendjét, elviselhetı vagy nem elviselhetı nagyságát mutatja. Bármilyen

kockázatelemzési

tevékenység

megkezdése

elıtt

a

szervezetnek

stratégiával kell rendelkeznie az ilyen elemzésekhez és ennek összetevıit (eljárások, technikák

stb.)

dokumentálni

kell

az

informatikai


biztonságpolitikában.

A 27

Informatikai Biztonság Irányítási Követelmények kockázatelemzési eljárás eszközeit és kritériumait az adott szervezet számára kell megválasztani. A kockázatelemzési stratégiának biztosítania kell, hogy a választott megközelítés

alkalmazható

az

adott

környezetre

és

ott

fókuszál

a biztonsági

erıfeszítésekre, ahol az valóban szükséges. Az alábbiakban négy különbözı kockázatmenedzsment megközelítést mutatunk be. Az alapvetı különbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel általában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfajta egyensúlyt kell tartani a megközelítések között. Eltekintve a semmittevés lehetıségétıl és elfogadva azt, hogy jelentıs számú ismeretlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvetı megközelítés van a szervezeti kockázatelemzési stratégiák területén: a) Ugyanannak az alapszintő megközelítésnek a használata minden informatikai rendszerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfogadjuk, hogy az adott szintő biztonság nem mindig megfelelı. b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve, c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai rendszerre, d) Egy

kezdeti,

magas

szintő

kockázatelemzés

kivitelezése,

annak

meghatározására, hogy mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a szervezet mőködésére nézve, majd ezt követıen egy részletes kockázatelemzés ezekre a rendszerekre, a többiekre pedig az alapszintő megközelítés használata. Ezeket a különbözı lehetıségeket ismertetjük az alábbiakban és javaslatokat fogalmazunk meg az ajánlott megközelítéssel kapcsolatban. Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható következményeivel. Míg ez nem igényel idıt, pénzt, személyzetet vagy egyéb erıforrásokat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy

28


Informatikai Biztonság Irányítási Követelmények rendszerei nem kritikus jellegőek súlyos következményeknek teheti ki magát. Amennyiben a szervezet nincs összhangban a jogi és egyéb szabályozásokkal, a megbecsülése, hitelessége is sérülhet, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen védelmi intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot érintı célja van, vagy nincs kritikus informatikai rendszere, ez egy megvalósítható stratégia lehet. Az ilyen megközelítés esetében a szervezet nem rendelkezik megfelelı információval a tényleges biztonsági helyzetrıl, így ez a legtöbb esetben nem a jó megoldás. Alapszintő megközelítés Elsı választási lehetıségként egy szervezet alkalmazhat alapszintő biztonságot minden informatikai rendszerére a biztosítékok megfelelı megválasztásával. Elınye: a) csak minimális mennyiségő erıforrás szükséges a kockázatelemzéshez és kezeléshez az egyes biztosítékok alkalmazásakor és ezért kevesebb idı és erıfeszítés kell a biztosítékok kiválasztásához. b) Az alapszintő biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy hasonló alapszintő biztosítékokat lehet számos rendszerben alkalmazni különösebb erıfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és amennyiben a biztonsági igények összemérhetık. Hátránya: a) ha az alapszint túl magasra lett beállítva, túlzott szintő biztonság alakul ki egyes rendszerekben, b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes rendszerekben és ez megnöveli a kockázatoknak való kitettséget, c) problémák jelentkezhetnek a biztonságot érintı változások kezelésében. Például, ha a rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintő biztosítékok még mindig elegendıek. Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági követelményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális Magyar Informatikai Biztonság Irányítási Keretrendszer

29

Informatikai Biztonság Irányítási Követelmények védelmet érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetettsége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása minden rendszerre. Informális megközelítés Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális megközelítés nem strukturált módszereken alapul, de kihasználja a szakértık tudását és tapasztalatát. Elınye: a) Az informális megközelítés elınye, hogy általában nem igényel sok idıt és erıforrást, b) gyorsabban kivitelezhetı, mint a részletes elemzés. Hátránya: a) formális megközelítés és alapos ellenırzı listák nélkül megnı a fontos részletek kihagyásának valószínősége, b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes lehet, c) kevés megelızı gyakorlattal rendelkezı személyek a kockázatelemzés során kevés segítséget tudnak nyújtani, d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosítékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették volna, hogy van-e egyáltalán valószínősíthetı fenyegetés, amely kihasználhatja ezeket a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra, e) a szubjektivitás megjelenésének lehetısége, különösen az interjú készítıjének elıítéletei befolyásolhatják az eredményeket, f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végzı személy elhagyja a szervezet. A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthetı hatékonynak. 30


Informatikai Biztonság Irányítási Követelmények Részletes kockázatelemzés A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes kockázatelemzés képezi. A részletes kockázatelemzés az értéket képezı eszközök mélységben történı azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzéséhez majd a megfelelı biztosítékok kiválasztásához használjuk. Elınye: a) valószínőleg minden informatikai rendszer számára megfelelı biztosítékok kerülnek azonosításra, b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások kezelésében. Hátránya: a) jelentıs idıt és erıfeszítést, valamint szakértelmet igényel, b) fennáll a lehetısége annak, hogy a kritikus rendszerek biztonsági igényei túl késın kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességő és hosszú idejő vizsgálata szükséges a teljes elemzéshez. A fenti hátrányok miatt nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rendszerre, ha ezt a megközelítést választjuk a következı lehetséges kivitelezési módok léteznek: a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket, b) egy standard megközelítés alkalmazása a szervezetnek megfelelı különbözı módokon kockázatmodellezı technikák alkalmazása elınyös lehet sok szervezet számára. Kombinált megközelítés A negyedik lehetıség elıször magas szintő kockázatelemzést kell végezni minden informatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb informatikai rendszerre az alapszintő megközelítést kell alkalmazni. Ez a megközelítés az


31

Informatikai Biztonság Irányítási Követelmények elızıek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azonosításához szükséges idı és erıforrások tekintetében, miközben biztosítja a magas kockázatnak kitett rendszerek megfelelı védelmét. További elınyök: a) a kezdeti gyors és egyszerő megközelítés nagy valószínőséggel megkönnyíti a kockázatelemzési program elfogadását, b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról, azaz egy jó tervezési segítséget ad, c) a követı tevékenységek sokkal eredményesebbek lesznek. Az egyetlen lehetséges hátrány a következı: mivel a kezdeti kockázatelemzés magas szintő és esetleg kevésbé pontos néhány rendszer nem biztos, hogy a megfelelı szintő kockázatokkal lesz azonosítva. Ezek a rendszerek az alapszintő módszer szerint lesznek elemezve, bár a késıbbiekben újra lehet vizsgálni, az alapszintő megközelítés megfelelıségét. A magas szintő, részletes kockázatelemzési megközelítés egyesítve az alapszintő megközelítéssel, – amennyiben alkalmazható, akkor – a szervezetek többségének ajánlott, leghatékonyabb megoldást jelenti. 4.2. KOCKÁZATKEZELÉS A

kockázatkezelési

intézkedések

célja:

azoknak

a

biztonsági

kockázatoknak

az

elfogadható/méltányos költségen történı azonosítása, kézbentartása, minimalizálása vagy megszüntetése, amelyek hatással lehetnek információrendszerekre. A kockázatkezelés olyan védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követıen a maradványkockázat elviselhetı szintőre változnak. Még a kockázat azonosításakor, mielıtt létrehoznak a kockázat kezelésére szánt biztonsági intézkedést, a szervezet határozza meg a kritériumait annak, hogy az adott kockázat elfogadható-e vagy sem. A kockázatok elfogadhatók, ha pl. úgy értékelik, hogy a kockázat mértéke csekély vagy a kezelés nem lenne költséghatékony a szervezet számára. Az ilyen kockázatkezelési döntéseket dokumentálni kell, minden azonosított kockázatra vonatkozólag.

32


Informatikai Biztonság Irányítási Követelmények A kockázatok kezelésének lehetséges módjai: a)

megfelelı biztonsági intézkedések alkalmazása a kockázat csökkentésére;

b)

a kockázatok tudatos és objektív felvállalása feltéve, hogy azok egyértelmően eleget tesznek a szervezeti politikának és kockázatelfogadási kritériumoknak;

c)

a kockázatok elkerülése úgy, hogy a szervezet nem használja azokat a szolgáltatásokat, vagy eljárásokat, ahol az adott kockázatok elıfordulnak.

d)

Kockázatok

áthárítása

úgy,

hogy

a

szervezet

számára

kockázatos

szolgáltatásokkal, eljárásokkal kapcsolatos veszélyeket áthárítják más felekre, pl. a biztosítókra vagy beszállítókra. A kockázatkezelési intézkedések minden esetben biztosítsák, hogy a kockázatok egy elfogadható szintre csökkenjenek, figyelembe véve a következıket: a)

a nemzeti és nemzetközi jogszabályok és szabályzatok követelményei;

b)

szervezeti célok;

c)

mőködési követelmények és elıírások;

d)

maradványkockázatok mértéke megfelel-e a szervezet követelményeinek és

lehetıségeinek. e)

a bevezetés elıtt álló kockázatkezelı biztonsági intézkedés minden esetben

legyen arányos azzal a potenciális kárértékkel amennyibe a biztonsági intézkedés bevezetése kerül. Röviden a védelmi intézkedések akkor a megfelelıek, ha kockázatarányosak. A védelmi intézkedéseket jelen dokumentumból vagy egyéb informatikai biztonsági szabványból és ajánlásból, vagy más intézkedési csoportból, is ki lehet választani vagy akár új speciális intézkedéseket is lehet tervezni, hogy a szervezet meghatározott igényeit kielégítsék. Lehetséges, hogy egyes intézkedések nem alkalmazhatók minden információs rendszerben vagy környezetben és lehet, hogy nem valósíthatók meg minden szervezetben. Pl. a 10.1.3. fejezet leírja, hogy a kötelezettségeket hogyan lehet elhatárolni a csalás és tévedés megelızésére. Lehet, hogy kisebb szervezetek számára nem lehetséges minden kötelezettség elhatárolása és ugyanannak az intézkedési célnak az elérésére más módszerek lehetnek szükségesek. Egy másik példa, a 10.10. fejezet leírja, hogy a rendszer alkalmazását hogyan lehet figyelemmel kísérni és bizonyítékot győjteni. A leírt intézkedések, pl. eseménynaplózás,


33

Informatikai Biztonság Irányítási Követelmények lehet, hogy ellentmondásba kerülnek az alkalmazható jogszabállyal, mint pl. a személyiségi jogok védelme az ügyfelek vagy munkatársak esetében. Az adott rendszerre vonatkozó tervezett informatikai biztonsági intézkedéseket még a projektek követelményeinek az elıírásánál, tervezési állapotban érdemes implementálni. Ha ezt elmulasztják, járulékos költségek léphetnek fel és kevésbé hatásos megoldások jönnek létre, ráadásul legrosszabb esetben már lehetetlen a megfelelı informatikai biztonsági intézkedések implementációja. Mint minden más biztonsági tevékenység, így a kockázat kezelési tevékenység is megfelelı vezetıi elkötelezettség és ellenırzés nélkül nem mőködik hatékonyan. Kulcskérdés, hogy a kockázatkezelési, informatikai biztonsági intézkedések legyenek összhangban a szervezet mőködésével és támogassák a szervezeti célokat.

34



5. FEJEZET BIZTONSÁGPOLITIKA

5.1. AZ INFORMATIKAI BIZTONSÁG DOKUMENTUMAI Az informatikai biztonságpolitika célja a vezetés elkötelezettségének bemutatása az informatikai biztonság irányítására és támogatására. A vezetıség egyértelmően tőzze ki biztonságpolitikájának irányvonalát, egyértelmően mutassa be, hogy támogatja az informatikai biztonság céljait és elveit, elkötelezett az informatikai biztonság mellett. Valamennyi informatikai biztonsági dokumentum rendszeres felülvizsgálatot igényel, melynek módszerei megegyeznek a 5.2 fejezetben meghatározott módszerekkel. 5.1.1 AZ INFORMATIKAI BIZTONSÁGPOLITIKA A biztonsági célú tevékenységekhez szükséges megfelelı mértékő támogatás biztosítása érdekében az informatikai biztonságpolitikát a felsı vezetés jóváhagyásával kell a szükséges mértékben közzétenni. Az informatikai biztonságpolitikát úgy kell kialakítani és gondozni, hogy az a szervezet egyéb céljaival, továbbá mőködési, biztonsági és informatikai politikájával, valamint a biztonsági szabályozásokkal összhangban legyen. Az informatikai biztonságpolitikát jelentısen befolyásolja az, hogy a szervezet miként alapozza mőködését az általa használt informatikára. Minél fontosabb az informatika és minél inkább támaszkodunk rá, annál magasabb szintő biztonságra van szükség ahhoz, hogy garantáljuk a szervezet céljainak elérését. A szervezeti szintő informatikai biztonságpolitika kialakításakor figyelembe kell venni a környezeti, szervezeti

és

kulturális

jellemzıket,

mivel

ezek

befolyásolhatják

a biztonság

megközelítését. Az informatikai biztonságpolitikában meghatározott, biztonsághoz kapcsolódó tevékenységek a következıkre alapozhatók: szervezeti célok és stratégia, korábbi kockázatfelmérések és vezetıi ellenırzések, valamint olyan kísérı tevékenységek


35

Informatikai Biztonság Irányítási Követelmények eredményei, mint az alkalmazott védelmi intézkedések biztonsági megfelelıségének ellenırzése, az informatikai biztonsággal kapcsolatos napi gyakorlat folyamatos ellenırzése és felülvizsgálata, továbbá a biztonsági eseményekrıl szóló jelentések. Bármilyen komoly fenyegetés vagy gyenge pont derül ki eközben, azt figyelembe kell venni az informatikai biztonságpolitikában. A részletezett tevékenységeket a szervezet informatikai biztonsági szabályzatában, a különféle informatikai rendszerszintő biztonsági politikákban, biztonsági szabályzatokban, vagy más kiegészítı-támogató dokumentumokban (például üzemeltetési leírás) írjuk le. Az informatikai biztonságpolitika kialakításakor a következı területek részvételére van szükség: a) felsı vezetés, b) biztonság, c) informatika (informatikusok és felhasználók), d) belsı ellenırzés, e) pénzügy, f) épület- és egyéb infrastruktúrák üzemeltetıi, g) humán erıforrás menedzsment. A

biztonsági

célok

szabják

meg

az

informatikai

biztonságpolitika

kívánt

részletezettségi szintjét, amely a következı iránymutatásokat foglalja magában: a) az informatikai biztonságpolitika kiterjedését és célját, b) az informatikai biztonság meghatározását, általános célkitőzéseit és tárgykörét, valamint a biztonság fontosságát, c) a vezetıség szándéknyilatkozatát, hogy támogatja az informatikai biztonság céljait és elveit, d) a kapcsolódó jogszabályok, szabványok és ajánlások (követelmények) meghatározását, e) a jogi és egyéb szabályozásokból eredı kötelezettségeket, f) az informatikai biztonság szervezési elveit, ide értve a szervezeti struktúrát, a személyi felelısségeket és hatásköröket,

36


Informatikai Biztonság Irányítási Követelmények g) a szervezet tulajdonában levı adatvagyon elemeinek érzékenységét, az ennek megfelelı védelmi szinteket, és a biztonsági osztályozási rendszert, továbbá – ha van ilyen – az osztályba sorolástól eltérı védelmi igényő adatkörök védelmére vonatkozó politikát, h) a kockázatok felmérésére és kezelésére vonatkozó elveket, i) a belsı személyzettel és a külsı partnerekkel kapcsolatos biztonságpolitikát, j) az informatikai biztonsági ellenırzés rendszerét, k) az informatikai biztonsági feladatok megosztására vonatkozó elveket, l) a biztonságpolitika változásának ellenırzési eljárását és felülvizsgálatának körülményeit. Az informatikai biztonságpolitikára alapozva egy kézikönyvet kell készíteni, mely hozzáférhetı, érthetı és kötelezı az összes vezetı és más munkavállaló számára. Ennek megismerését az aláírásukkal igazolják az érintettek, mellyel az aláíró elismeri a szervezeten belüli biztonságért való felelısségét. A biztonsági tudatosság fejlesztése érdekében ki kell fejleszteni egy oktatási programot is. 5.1.2. AZ INFORMATIKAI BIZTONSÁGI STRATÉGIA Az informatikai biztonságpolitika alapján kell elkészíteni a szervezet informatikai biztonsági stratégiáját, amely a biztonsági és az informatikai stratégiák szerves részét képezi. A stratégiát alapul véve kell az éves szintő terveket elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-elıkészítési tevékenységeket érintı intézkedési tervek összeállításának kiindulási alapja. 5.1.3. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Jelen dokumentum keret lehet, egy szervezeti szintő Informatikai Biztonsági Szabályzat

elkészítéséhez.

A

szervezet

Informatikai

Biztonsági

Szabályzatát

a

jogszabályokkal és a szervezet más szabályozóival összhangban kell elkészíteni. Az Informatikai Biztonsági Szabályzat a biztonsággal kapcsolatos alapvetı dokumentum, amelynek legalább az alábbiakra kell kitérnie: a) a szervezet vezetésének egyértelmő nyilatkozata az informatikai biztonság szabályozott kialakítására, illetve fenntartására, b) az informatikai biztonság alapvetı fogalmaira,


37

Informatikai Biztonság Irányítási Követelmények c) az informatikai biztonsággal kapcsolatos feladat- és hatáskörökre, felelısségekre, d) a biztonsági események jelentésének rendjére, e) elvek, követelmények, kötelezı eljárások, szabványok. Az egyes informatikai rendszerek esetében a szervezet Informatikai Biztonsági Szabályzata alapján az adott alkalmazási területen megvalósítandó, a fejlesztéssel és az üzemeltetéssel kapcsolatos tevékenységeket kell részleteiben szabályozni.

Az Informatikai Biztonsági Szabályzat nagyobb szervezeteknél kétszintő legyen. Szervezeti szint: Az általánosan és mindenre érvényes részletesebb szabályokat a szervezet szintő IBSZ, tartalmazza. Rendszer szint: A rendszer-specifikus szabályokat a rendszerszintő IBSZ tartalmazza értelemszerően követve a társasági szintő IBSZ szerkezetét. Ennek megfelelıen történik ezeknek a dokumentumoknak a minısítése is. A minısítéssel kapcsolatban „ökölszabályok” nincsenek, ezt mindig a szervezet biztonsági helyzete és fenyegetettsége határozza meg. A szervezeti szintő IBSZ-t mivel keretszabályozás és általános szabályokat tartalmaz. A rendszerszintő IBSZ-ek – a szervezeti szintő szabályozással ellentétben – már tartalmazhatnak, az informatikai rendszer mőködtetéséhez szükséges, olyan információkat, melyek ismeretében a rendszer támadható! Szolgálati vagy üzleti titokká való minısítésük indokoltságát meg kell vizsgálni. 5.2. FELÜLVIZSGÁLAT ÉS FEJLESZTÉS Az informatikai biztonsági politikát tervezett idıközönként célszerő átvizsgálni, vagy akkor, ha a rendszer szempontjából lényeges változtatások lépnek fel. Minden biztonsági dokumentumnak legyen egy felelıse, aki gondoskodik a rendszeres felülvizsgálatáról, karbantartásáról és szükséges fejlesztésérıl Az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat a Biztonsági Vezetı felelıssége. Az informatikai biztonságpolitika, az Informatikai Biztonsági Szabályzat és az egyéb dokumentumok (szabályozók) feleljenek meg a szervezet mindenkori helyzetének! A Biztonsági Vezetı gondoskodjon arról, hogy rendszeresen, továbbá az eredeti kockázatfelmérés alapjaira ható minden olyan változásra (például jelentıs vagy eddig

38


Informatikai Biztonság Irányítási Követelmények ismeretlen biztonsági esemény, új veszélyhelyzetek, a szervezeti vagy mőszaki infrastruktúra változásai) bekövetkezzék egy felülvizsgálat. Rendszeres és eseti felülvizsgálatokat kell tervezni a következıkre: a) az irányelvek biztonsági hatékonysága, b) az ellenırzı és a biztonsági eszközök, eljárások költséghatékonyságát, c) a szervezeti, a mőködési környezetet érintı mőszaki változások hatását, d) a jogszabályi hátteret érintı változásokat, Legyenek elıírt eljárások a vezetıségi vizsgálatok rendjére, beleértve az átvizsgálás idırendjét vagy idıtartamát is. A vezetıségi vizsgálatkor a következıket kell figyelembe venni: a)

az érdekelt felektıl való visszajelzéseket;

b)

a független vizsgálatok eredményeit (lásd 6.1.8. fejezet);

c)

a megelızı és javító tevékenységek állapotát (lásd 6.1.7. és a 15.2.1. fejezet);

d)

az elızı vezetıségi vizsgálatok eredményeit;

e)

a informatikai biztonsági politika megfelelıségét;

f)

a változtatásokat, amelyek befolyásolhatják a szervezet informatikai biztonsági

intézkedéseit.

(A

környezeti,

a

mőködési

körülmények,

az

erıforrások

elérhetıségének, a szerzıdéses, szabályozási és jogi feltételeknek a változásait.); g)

a fenyegetésekre és sebezhetıségekre vonatkozó tendenciákat;

h)

a jelentett informatikai biztonsági incidenseket (lásd 13.1. fejezet);

i)

az illetékes szervezetek által adott ajánlásokat (lásd 6.1.6. fejezet).

A vezetıségi vizsgálat minden esetben tartalmazzon vezetıi döntést és biztonsági intézkedést: a)

az informatikai biztonság irányításának és folyamatainak a fejlesztésére;

b)

a szabályozási célok és az intézkedések fejlesztésére;

c)

az erıforrások és a felelısségek kiosztásának vonatkozóan.

A vezetıségi átvizsgálás minden esetben legyen részletesen dokumentált, és az eredményeket a vezetıség hagyja jóvá.


39


6. FEJEZET SZERVEZETI BIZTONSÁG

6.1. AZ INFORMATIKAI BIZTONSÁG BELSİ SZERVEZETI STRUKTÚRÁJA

6.1.1. VEZETİI ELKÖTELEZETTSÉG Az informatikai biztonság olyan felelısség, amelyen a vezetés valamennyi tagja osztozik. Ezért ajánlatos létrehozni azt a vezetıi fórumot, amely szavatolja, hogy a biztonsági kezdeményezéseket a vezetés jól érzékelhetı támogatása kíséri. (Ez a fórum lehet valamely meglévı vezetıi testület része is.) A vezetıi fórum kellı elkötelezettséggel és a szükséges erıforrások rendelkezésre bocsátásával támogassa az informatikai biztonságot. Ennek a testületnek olyan embereket kell magába foglalnia, akiknek megvan a követelmények azonosításához, politikák kialakításához, biztonsági programok írásba foglalásához, a munka értékeléséhez és az Informatikai Biztonsági Vezetı irányításához szükséges képessége. A hatékony mőködéshez szükséges, hogy a fórumnak legyenek olyan tagjai is, akik komolyabb háttérrel rendelkeznek a biztonság és az informatikai rendszerek mőszaki területén, de olyan tagjai is, akik az informatikai rendszerek, mint szolgáltatások nyújtásában, valamint felhasználásában vesznek részt. Mindezen területek tudására és tapasztalatára szükség van. Az Informatikai Biztonsági Fórum hatáskörébe tartozik: a) javaslattétel az informatikai vezetı testület számára a stratégiai tervezéshez, az informatikai biztonsági célok megfogalmazásához és azok szervezeti integrációjához. b) az informatikai biztonsági irányelvek és feladatok vizsgálata és jóváhagyása, a megvalósításhoz szükséges humán és anyagi erıforrások biztosítása, c) az informatikai biztonsági intézkedések teljeskörő bevezetésének koordinációja és biztosítása szervezeti szinten, d) a bevezetett informatikai biztonsági intézkedések, irányelvek hatékonyságának folyamatos felülvizsgálata, 40


Informatikai Biztonság Irányítási Követelmények e) az információs erıforrások súlyos veszélyhelyzeteknek való kitettségében bekövetkezı jelentıs változások nyomon követése, f) az informatikai biztonsági események nyomon követése, g) az informatikai biztonság fokozását szolgáló jelentıs kezdeményezések jóváhagyása, h) az Informatikai Biztonsági Vezetı személyének kijelölése, feladat- és hatáskörének meghatározása. i) az informatikai biztonsági tudatosság fenntartása a szervezetnél, (pl. felhasználói tanfolyamok szervezésével, ill. könnyen értelmezhetı, csak az eszenciákat tartalmazó informatikai biztonsági „kisokos” kiadásával).

6.1.2. AZ INFORMATIKAI BIZTONSÁG ÉS A SZERVEZETI STRUKTÚRA ÖSSZEHANGOLÁSA Az informatikai biztonság különbözı szakterületeket fog át, a szervezet minden informatikai projektjét, rendszerét és felhasználóját érinti. Az informatikai biztonság szervezeti struktúrájának az összehangolása magában foglalja a vezetık, felhasználók, adminisztrátorok, programozók, auditorok és a biztonsági munkatársak együttmőködését, valamint szakértıi jártasságot olyan területeken, mint biztosítás, jogi kérdések, emberi erıforrás, vagy kockázatelemzés. A felelısségek megfelelı hozzárendelése és elválasztása biztosítja azt, hogy minden fontos feladat hatékonyan végrehajtható legyen. Az egyik követelmény, hogy a szervezeten belül a feladat-, felelısség- és hatáskörök az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a szervezet céljainak hatékony elérését, a felesleges „keresztbeszervezések” csökkentését, és nem utolsó sorban a felelısségre vonhatóságot. A feladatokhoz és felelısségekhez mindig megfelelı hatáskört kell társítani, és ezeket az elveket az informatikai biztonság területén is érvényesíteni kell! Ez a cél elérhetı különféle szervezeti felépítések mellett is, de a szervezet mérete és struktúrája alapján a következı szerepeket kell mindenkor lefedni: a) Informatikai Biztonsági Fórum, mely döntésképes a különbözı szakterületeket átfogó kérdésekben, és jóváhagyja az informatikai biztonsággal kapcsolatos irányelveket és szabályozásokat;


41

Informatikai Biztonság Irányítási Követelmények b) Biztonsági Vezetı, aki a szervezet általános és teljes körő biztonságáért felelıs, és közvetlenül a felsı vezetésnek van alárendelve; c) Informatikai Biztonsági Vezetı, aki a szervezetben elıforduló minden informatikai biztonsághoz kapcsolódó kérdésért felelıs, és a Biztonsági Vezetı közvetlen alárendeltje. Mind az Informatikai Biztonsági Fórumnak, mind az Informatikai Biztonsági Vezetınek egyértelmő feladatokkal kell rendelkeznie, és eléggé magasan kell elhelyezkednie a szervezeti hierarchiában ahhoz, hogy biztosítsa az elkötelezettséget az informatikai biztonságpolitika mellett. A szervezetnek biztosítania kell a tiszta kommunikációs, felelısségi és meghatalmazási hátteret az Informatikai Biztonsági Vezetı számára, a feladatokat pedig az Informatikai Biztonsági Fórumnak kell jóváhagynia. E feladatok lebonyolításába be lehet vonni külsı tanácsadókat is. Ajánlatos szerzıdést kötni külsı informatikai biztonsági szakértıkkel, hogy a környezeti változásokat nyomonkövessék,

a jogszabályokat,

szabványokat, és a módszereket figyelemmel kísérjék, továbbá biztonsági események esetére megfelelı külsı kapcsolatrendszert képezzenek. Az informatikai biztonság multidiszciplináris megközelítését kell elınyben részesíteni. A következı ábra egy javasolt példát mutat be a Biztonsági Vezetı, az Informatikai Biztonsági Vezetı, az Informatikai Biztonsági Fórum valamint az egyéb szakterületek képviselıinek kapcsolatára. Ez utóbbiak további biztonsági funkciójúak is lehetnek, vagy a felhasználókat, illetve az informatikai személyzetet képviselik. Ezek a kapcsolatok részben a függıségi, részben a funkcionális elven irányíthatók. Az ábrán egy háromszintő informatikai biztonsági szervezetet mutatunk be. Ez bármely szervezet számára könnyen alkalmazható az igényeknek megfelelı módon hozzáadva vagy eltávolítva az egyes szinteket, összevonva funkciókat. A funkciók egyesítésekor ügyelni kell arra, hogy biztosítsuk a megfelelı ellenırzés és egyensúly fenntartását annak elkerülésére, hogy az ellenırzés vagy befolyásolás lehetısége nélkül túl nagy hatalom összpontosuljon egy személy kezében. A következı átfedések lehetnek: a) kis szervezeteknél, vagy ahol a biztonság különösen kiemelt, az elsı számú vezetı betöltheti a Biztonsági Vezetı funkcióját, b) kis- és közepes szervezetek kijelölhetnek egyetlen Biztonsági Vezetıt, akinek a felelıssége lefedi az összes biztonsági funkciót, c) a titokvédelmi felelıs funkcióját elláthatja Biztonsági Vezetı vagy az Informatikai Biztonsági Vezetı,

42


Informatikai Biztonság Irányítási Követelmények d) ha a szervezetnél a személyes adatok kezelése kapcsán jogszabály elıírja az adatvédelmi felelıs kinevezését, ezt a funkciót a Biztonsági Vezetı, az Informatikai Biztonsági Vezetı, vagy a titokvédelmi felelıs is betöltheti. Ezeknél az átfedéseknél sokkal fontosabb, hogy az összeférhetetlen funkciókat elválasszuk. Különösen összeférhetetlen a Biztonsági Vezetı, az Informatikai Biztonsági Vezetı, a titokvédelmi felelıs vagy az adatvédelmi felelıs funkciója az informatika alkalmazásáért, az informatikai rendszerért felelıs vezetı funkciójával, vagy az informatika alkalmazásáért, az informatikai rendszerért felelıs vezetıvel függıségi viszonyban lévı bármely funkcióval.


43


Szervezeti vezetés

A szervezet biztonsági vezetıje

Informatikai vezetı testület

A szervezet informatikai biztonsági vezetıje Informatikai biztonsági fórum

Szervezeti informatikai biztonságpolitika és irányelvek

Szervezeti szint

Az informatikai terület képviselıi

Szakterület informatikai biztonsági vezetıje

A felhasználók képviselıi

Szakterületi szint*

Szakterületi Informatikai biztonságpolitikák és irányelvek*

Rendszer vagy projekt szint

Rendszer vagy projekt szintő informatikai biztonsági vezetı

Szervezeti függıség

Rendszer vagy projekt biztonságpolitikák és irányelvek

szerepkörök *

44

csak ha a szakterület jelentıs mérető


Informatikai Biztonság Irányítási Követelmények Az informatikai rendszert kezelı, fejlesztı, üzemeltetı szerepeket a felhasználói funkcióktól a szervezeten belül el kell határolni. A Biztonsági Vezetınek, a szervezet informatikai vezetıjének, valamint az alkalmazói szakterületek vezetıinek egymással egyeztetve ki kell jelölniük a fontosabb projektek és alkalmazások vezetıit és rendszergazdáit, feladataikat és felelısségüket meghatározni. A fejlesztıi környezetet el kell választani az alkalmazói környezettıl, szét kell választani a fejlesztıi, üzemeltetıi és alkalmazói hozzáférési jogosultságokat. 6.1.3. AZ INFORMATIKAI BIZTONSÁGI FELADATOK MEGOSZTÁSA Egyértelmően meg kell határozni, a biztonsági folyamatok felelıseit. Az informatikai biztonságpolitika általános, az Informatikai Biztonsági Szabályzat pedig (lásd a 5.1.3. fejezetet) részletes iránymutatással szolgáljon a biztonsági feladatokra, felelısségekre és hatáskörökre vonatkozólag, a szervezet egészére nézve. Az Informatikai Biztonsági Vezetı felelıssége az informatikai biztonság megtervezése és fenntartása, de emellett az erıforrások megszerzése és a védelmi intézkedések megvalósítása gyakran más vezetıkre hárul. Pontosan meg kell meghatározni minden olyan területet, amelyért az egyes vezetık felelnek, és különösen a következıket ajánlatos megtenni: a) pontosan kell azonosítani, és egyértelmően meghatározni minden egyes önálló rendszerhez hozzárendelt eszközt és folyamatot, b) az egyes eszközökért és az egyes folyamatokért felelıs vezetı személyében ajánlatos megegyezni, s a vonatkozó felelısséget ajánlatos dokumentálni, c) tisztán és pontosan kell meghatározni a hatásköröket (jogosultsági szinteket), és ezt írásba kell foglalni. 6.1.3.1. Biztonsági Vezetı Gondoskodik az informatikai biztonságra vonatkozó jogszabályok, illetve az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat végrehajtásáról, e körben szabályozási koncepciókat, szabályzat tervezeteket készít, a szakterületek megkeresésére vagy saját hatáskörben szakmai állásfoglalást ad ki.


45

Informatikai Biztonság Irányítási Követelmények Az informatikai biztonság szempontjából véleményezi a szervezet szabályzatait és szerzıdéseit. Az informatikai biztonságot érintı jogszabályi változások és a gyakorlati tapasztalatok alapján javaslatokat készít az informatikai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályozások kibocsátását. Gondoskodik az informatikai biztonságra vonatkozó rendelkezések betartásának rendszeres (legalább évente egyszeri) ellenırzésérıl, a lefolytatott ellenırzések, vizsgálatok eredményérıl tájékoztatja a szervezet vezetését. Irányítja és ellenırzi az Informatikai Biztonsági Vezetı munkáját. 6.1.3.2. Informatikai Biztonsági Vezetı Általános feladata a szervezet (szakterület, projekt, rendszer) által üzemeltetetett, illetve a szervezet (szakterület, projekt, rendszer) adatait feldolgozó informatikai és távközlési rendszerek biztonságával összefüggı tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenırzése. Feladatai: a) Felméri és elemzi a szervezet (szakterület, projekt, rendszer) mőködésébıl eredı, az informatikai biztonsággal összefüggı veszélyforrásokat, meghatározza a kockázatkezelés módszerét. b) Kidolgozza, és döntésre elıterjeszti az informatikai biztonság kialakítására, a megfelelı informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat, utasításokat, terveket és irányelveket. c) Részt vesz: 1) a rendkívüli események kezelésére szolgáló tervek elkészítésében, azok naprakészen tartásában; 2) a fizikai biztonsági feltételek kialakításában, követelményeinek meghatározásában; 3) az informatikai biztonság szempontjából fontosnak minısített munkakörök betöltési szabályainak, feltételeinek meghatározásában;

46


Informatikai Biztonság Irányítási Követelmények 4) a biztonsági követelmények és az elıírások betartásának ellenırzésében. d) Szakmai szempontból közvetlenül irányítja a szervezet (szakterület, projekt, rendszer) informatikai biztonsági tevékenységét. e) Szakmai szempontból irányítja az informatikai biztonságra vonatkozó oktatást. f) Szakmai szempontból egyezteti és jóváhagyja a szakterületi (a projekt- és rendszerszintő) Informatikai Biztonsági Szabályzatokat. g) Elemzéseket végez, szükség esetén javaslatokat tesz a szükséges informatikai biztonsági intézkedésekre,

valamint

a

biztonságos

mőködéssel

összefüggı

szabályok

megváltoztatására. h) Ellenırzi az informatikai biztonsági elıírások végrehajtását. i) Ellátja az informatikai biztonsággal összefüggı vállalkozók szakmai irányítását, ellenırzi tevékenységüket. j) Ellátja a szakterületi (projekt, rendszer) Informatikai Biztonsági Vezetık szakmai irányítását. Külön felhatalmazás nélkül jogosult: a) Az ellenırzési, vizsgálati tevékenysége során, a szervezet (szakterület, projekt, rendszer) tulajdonában, használatában vagy a területén lévı, illetve a szervezetre (szakterületre, projektre, rendszerre) vonatkozó bármilyen (a Titokvédelmi törvény hatálya alá nem tartozó) iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre. b) A szervezet (szakterület, projekt, rendszer) tulajdonában lévı, vagy általa bérelt épületben és azon belül minden – a szervezet (szakterület, projekt, rendszer) tulajdonában, kezelésében vagy használatában lévı – helyiségben a berendezések, különösen az informatikai és távközlési eszközök vizsgálatára. Az informatikai biztonsági feladatok folyamatos végrehajtásának megkönnyítése érdekében, a szervezet (szakterület) vezetıje nevezzen ki, vagy bízzon meg Informatikai Biztonsági Vezetıt (megbízottat, felelıst) minden informatikai rendszerhez és projekthez (rendszerszintő fejlesztésekhez).


47

Informatikai Biztonság Irányítási Követelmények Feladatai a mőködési területén: a) A biztonsági eszközök állapotának figyelemmel kísérése azok teljes életciklusában, javaslattétel azok cseréjére, bıvítésére. b) Részvétel az üzletmenet-folytonossági terv (katasztrófa-elhárítási terv) összeállításában. c) A rendszerek biztonsági hiányosságainak, az informatikai biztonsággal összefüggı számítástechnikai, informatikai problémák jelentése a munkahely vezetıjének és az Informatikai Biztonsági Vezetınek.

6.1.4. AZ ADATFELDOLGOZÁS ENGEDÉLYEZÉSI ELJÁRÁSAI a) Az adatfeldolgozás csak akkor engedélyezhetı, ha az – legalább – az adatkörök biztonsági osztályba sorolásának megfelelı adatfeldolgozó eszközökön történik. b) Az új adatfeldolgozási eszközökre és lehetıségekre vonatkozó engedélyezési eljárásban a következıket kell figyelembe venni: 1) az informatikai vezetı új adatfeldolgozó eszközökre és eljárásokra vonatkozó jóváhagyását csak abban az esetben adhatja meg, ha azok megfelelnek a biztonsági követelményeknek, 2) ellenırzéssel

kell

meggyızıdni

a

hardver,

szoftver

eszközök

és

más

rendszerösszetevık kompatibilitásáról, 3) a minısített, vagy magas kockázatot jelentı adatokat feldolgozó rendszer használata a Biztonsági Vezetı engedélyéhez kötött, 4) a minısített, vagy magas kockázatot jelentı adatokat feldolgozó rendszerek használatát a rendszer felelıs vezetıjének a Biztonsági Vezetıvel egyeztetve szabályoznia kell, 5) az adatfeldolgozás megkezdését megelızıen minden felhasználónak meg kell ismernie a rendszer alkalmazásához kapcsolódó biztonsági szabályokat, és ezek megértését aláírásukkal igazolniuk kell. Új informatikai biztonsági kockázatokat hordoznak a különféle felhasználói tulajdonban lévı adatfeldolgozásra alkalmas mobil eszközök, notebook-ok, nagy háttértárral rendelkezı mobiltelefonok, PDA-k, vagy digitális fényképezıgépek. Az ilyen eszközök használatának

48


Informatikai Biztonság Irányítási Követelmények biztonsági kockázatait fel kell mérni a szervezet összes mőködési területére vonatkozólag, és ahol szükséges ott korlátozni kell a használatukat, tiltani a területre történı bevitelüket. Külön informatikai biztonsági kategória az otthoni illetve a távmunkavégzés, mivel az adott szervezet munkatársának otthoni számítógépe kívül esik a szervezet biztonsági szabályozási hatókörén. Korántsem mindegy, hogy otthoni, esetleg Internethez is kapcsolódó gépen milyen szervezeti információt dolgoznak fel. Az adatok minısítése, és kezelési szabályok megfogalmazása, a felhasználók folyamatos

információvédelmi oktatása jelentısen

csökkentheti a kockázatot. Sok szervezet úgy válaszol erre a problémára, hogy a munkatárs otthonról csak a céges notebook-ján vagy eszközén dolgozhat, amelyre elıre telepítve vannak a szervezet által alkalmazott védelmi eljárások, eszközök, programok.

6.1.5. TITOKTARTÁSI NYILATKOZATOK A titoktartási nyilatkozat (megállapodás) célja, hogy felhívja a figyelmet az adott információk bizalmasságára valamint, hogy jogilag érvényesíthetı feltételeket használva, védje meg a bizalmas információt. Titoktartási nyilatkozatot minden olyan személlyel ajánlatos aláíratni, aki munkája folytán a szervezet minısített adataihoz hozzáférhet.

A titoktartási nyilatkozatok, megállapodások alapvetı követelményei: a) A megvédendı információ meghatározása. b) A megállapodás idıtartamának meghatározása, beleértve a határozatlan idıtartamokat is. c) Tartalmazza a kívánt intézkedéseket a megállapodás lejárta után. d) Tudatosítsa, és határozza meg az aláírók jogi felelısségét. e) Feleljen meg a hatályos törvényi elıírásoknak (lásd 15.1.1. fejezet). f) Rendelkezzen az aláíró jogairól és kötelezettségeirıl a bizalmas információk használatára vonatkozólag. (Pl. Információvédelmi szakértı a bizalmas információt tartalmazó tevékenységek auditálása közben minısített információkat, valamint általa frissen felfedett biztonsági résekre vonatkozó információkat nem oszthat meg az adott szervezeti egységek munkatársaival, vezetıivel.) g) Tartalmazza az aláíró jelentési kötelezettségét a véletlen bekövetkezı jogosulatlan felfedés vagy bizalmas információ kiszivárgására vonatkozólag. Magyar Informatikai Biztonság Irányítási Keretrendszer

49

Informatikai Biztonság Irányítási Követelmények h) Definiálja

a

megállapodás

esetleges

megszőnésekor

visszaküldendı

vagy

megsemmisítendı minısített adatokra vonatkozó feltételeket, valamint a megállapodás megsértése esetén teendı elvárt intézkedéseket.

A munkatársak az ilyen megállapodást alkalmazásuk alapfeltételeként írják alá. Alkalmi munkaerınek és a külsı személynek, akikrıl a meglévı, a titoktartási megállapodást is tartalmazó szerzıdés nem intézkedik, külön titoktartási megállapodást kell aláírniuk, még mielıtt az adatokhoz, vagy az informatikai eszközökhöz hozzáférést nyernének. A titoktartási megállapodást felül kell vizsgálni, amikor az alkalmazási feltételek megváltoznak, különösen pedig akkor, amikor egy-egy munkavállaló arra készül, hogy elhagyja a szervezetet, vagy ha a szerzıdés lejártának idıpontja várható. A titoktartási nyilatkozat tartalmi követelményeit a védendı információ minısítésének, valamint a szervezet sajátosságának megfelelıen a Titokvédelmi Szabályzatban kell elıírni. A szervezet a védendı információ minısítésének, használatának megfelelıen a titoktartási nyilatkozatok, megállapodások különbözı formáit használhatja. 6.1.6. EGYÜTTMŐKÖDÉS KÜLSİ SZERVEZETEKKEL, HATÓSÁGOKKAL A hatóságokkal, szabályozó testületekkel, informatikai szolgáltatókkal, távközlıhálózatüzemeltetıkkel, és közmővekkel megfelelı kapcsolatot kell tartani azért, hogy a szükséges feladatokat hatékonyan lehessen elvégezni, és a biztonsági események esetére tanácsot vagy segítséget lehessen kérni. Például egy olyan szervezetnek, amely fokozottan ki van téve az Interneten keresztüli támadásoknak, kapcsolatban kell lennie olyan szervezetekkel amelyek segíthetnek az esetleges támadások elhárításában (CERT –Computer Emergency Response Team) és az internetszolgáltatójával is. Az együttmőködés során korlátozni kell a biztonsággal kapcsolatos információk kicserélését, megelızendı, hogy a szervezet bizalmas információi illetéktelen kezekbe kerülhessenek. Együttmőködéskor fontos, hogy a szervezet elıre definiálja: -

a kapcsolattartó személyét,

-

a kapcsolattartás módját, legyenek kész eljárások a különféle incidensek kezelésére, támogassák az informatikai biztonsági incidenskezelést (lásd 13.2 fejezet),

50


Informatikai Biztonság Irányítási Követelmények -

az üzletmenet folytonosság illetve az üzemeltetési folytonosság támogatását (lásd 14. fejezet)

-

az adott incidens kezelését, illetve a hatóságok (rendırség) azonnali bevonását, ha bőncselekmény gyanúja áll fenn.

6.1.7. EGYÜTTMŐKÖDÉS KÜLÖNFÉLE SZAKMAI ÉS INFORMÁCIÓVÉDELMI SZERVEZETEKKEL A hatóságokkal való kapcsolattartáshoz hasonlóan szükséges lehet a belépés a különbözı szakmai, informatikai és biztonsági munkacsoportokba és fórumokba, melyek folyamatosan akár automatikusan is értesíthetnek bennünket az új fenyegetettségekkel kapcsolatban. Az ilyen szervezetek (pl. CERT-Hungary) szerepe és célja nem csak az incidenskezelés és megelızés, hanem a biztonsági tudatosság növelése. Tevékenységük nem csak az informatikusokat célozza meg, hanem a felhasználóknak is kíván olyan információt nyújtani, amely képessé teszi ıket az Internet használatával együtt járó kockázatok minél teljesebb megértésére és a sikeres védekezésre. Az ilyen irányú együttmőködés elınyei: -

A szervezet folyamatosan naprakész információkat, és korai riasztásokat kap az új informatikai biztonsági fenyegetettségekkel szemben.

-

Probléma esetén informatikai biztonsági szakértıi tanácsadást kaphat.

-

A szervezet megfelelı kapcsolódási pontokat hozhat létre, arra az esetre, amikor informatikai biztonsági incidensek kivizsgálásával foglalkozik (lásd 13.2.1. fejezet).

Az informatikai biztonsági szakmai szervezetekkel való együttmőködés sok esetben érinthet

a

szervezet

együttmőködést.

Az

számára ilyen

érzékeny

jellegő

információkat,

problémák

melyek

megoldására

megnehezítik

az

információmegosztási

megállapodásokat lehet kötni, melyek definiálják az érzékeny információk védelmi követelményeit.


51

Informatikai Biztonság Irányítási Követelmények 6.1.8. AZ INFORMATIKAI BIZTONSÁG FÜGGETLEN FELÜLVIZSGÁLATA Az informatikai biztonságpolitika (lásd a 3.1.1. szakaszt) megvalósulását ajánlatos idıközönként független módon is felülvizsgálni annak érdekében, hogy megismerjük, hogy a szervezet gyakorlata hogyan képzi le az informatikai biztonságpolitikát, illetve annak hatékonyságát. Az informatikai biztonság megvalósulását független szakértınek kell értékelnie. Ez lehet a Biztonsági Vezetıtıl és az Informatikai Vezetıtıl független belsı ellenırzés, vagy egy ilyen vizsgálatokra szakosodott független külsı szervezet. Az informatikai biztonságpolitikában, informatikai biztonsági stratégiában, valamint az Informatikai Biztonsági Szabályzatban rögzítettek megvalósulását az Informatikai Biztonsági Vezetı ellenırzi. Ez az általános ellenırzési jogkör nem mentesíti a szakterületek (projektek vagy rendszerek) vezetıit az alól, hogy az informatikai biztonság megvalósulását a beosztottaik munkavégzésének folyamatos vizsgálata során ellenırizzék. A legelterjedtebb vizsgálati technikák: a vezetıséggel készített interjúk, az informatikai biztonsági jelentések ellenırzése vagy a szervezet hatályos biztonsági dokumentumainak átvizsgálása. A MIBA kapcsolódó dokumentuma, Az informatikai biztonság irányításának vizsgálata (IBIV) útmutatást szolgáltat a vizsgálat módjára, beleértve a vizsgálati program kialakítását és bevezetését. A szervezetnél mőködı információs rendszer független átvizsgálására és a rendszeraudit eszközeinek használatára vonatkozó intézkedéseket a 15.3 fejezet írja elı. 6.1.8.1. Informatikai biztonsági tanácsadás A legtöbb szervezetnek szüksége van informatikai biztonsági tanácsadó javaslataira. Ideális esetben házon belül is van tapasztalt informatikai biztonsági szakember. Sok szervezet azonban nem tud informatikai biztonsági szakértıt alkalmazni, de sokszor szükség van arra is, hogy a saját ismereteiken, tapasztalataikon túli szakterületekre alkalmas külsı tanácsadókat elérhessenek. Ezekben az esetben ki kell választani egy olyan személyt, aki összehangolja a házon belüli ismereteket, tapasztalatokat a szakértı(k) tevékenységével, és segítséget nyújt az informatikai biztonsági döntésekhez. A szervezet informatikai biztonságának hatékonyságát az határozza meg, hogy milyen a minısége az informatikai biztonsági szakértık tevékenységének és javaslatainak. A nagyobb

52


Informatikai Biztonság Irányítási Követelmények hatékonyság elérése érdekében a szakértık lehetıséget kell, hogy kapjanak a szervezet egészére kiterjedıen a vezetıkkel való közvetlen kapcsolatra. Az informatikai biztonsági szakértıket (tanácsadókat) a biztonsági esemény vagy a feltételezett biztonsági esemény bekövetkezése után azonnal érdemes megkeresni és meghallgatni, hogy sikeresebb legyen az esemény kivizsgálása. A szervezet által megvalósítandó informatikai projekteknek már a kezdeti szakaszában érdemes a belsı vagy külsı szakértık bevonása, az informatikai biztonsági szabályok elıírások könnyő implementálása, a költséghatékonyság valamint a biztonságos rendszer létrehozása érdekében. Sok esetben kimutatható, hogy az informatikai projektek közepén vagy végén „tőzoltó módon” implementált információvédelmi intézkedések, az adott rendszer módosítása miatt igen sokba kerülnek, hatékonyságuk megkérdıjelezhetı. Az átadási határidık közeledtével, a plussz munkaként létrejövı késıi imlementáció miatt, csökkenhet a tesztelésre szánt idı, amely újabb biztonsági kockázatokat von maga után.

6.2. ELİÍRÁSOK A KÜLSİ SZEMÉLYEK ÁLTAL TÖRTÉNİ HOZZÁFÉRÉSEKKEL KAPCSOLATBAN A szervezet informatikai eszközeit csak a szervezet feladatából eredı indokolt esetben, és ellenırizhetı módon szabad külsı személyek számára hozzáférhetıvé tenni. A külsı személlyel kötött szerzıdésben az alkalmazott védelmi intézkedésekben elıre meg kell egyezni, és a védelmi intézkedéseket meg kell határozni. A külsı személynek adott hozzáférés további résztvevıket is magában foglalhat, ezért a szerzıdésnek az ilyen hozzáférésekre ki kell térnie, tartalmaznia kell a hozzájárulást más résztvevıkre, továbbá meghatározni a számukra engedélyezett hozzáférés feltételeit. A szervezet külsı személyek számára is hozzáférhetı informatikai rendszerei és eszközei biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenırizni kell. Az ellenırzésért a szervezet részérıl felelısként, kapcsolattartóként meghatározott szervezeti egység vezetıje – amennyiben a szerzıdésben nem került feltüntetésre, úgy – a szerzıdést kötı szervezet vezetıje, illetve az általa kijelölt személy a felelıs. A biztonsági kockázatokat és az ellenırzés, valamint a felügyelet követelményeit fel kell mérni. A felmérésért a szerzıdést – szakterületi oldalról – elıkészítı személy a felelıs. A külsı személlyel megkötött szerzıdésben egyértelmően meg kell határozni az elızıekhez kapcsolódó elvárásokat, és az ezzel kapcsolatos adminisztrációs kötelezettségeket. Magyar Informatikai Biztonság Irányítási Keretrendszer

53

Informatikai Biztonság Irányítási Követelmények Külsı személyek hozzáférésénél további résztvevık közremőködésére is szükség lehet. A hozzáférésérıl rendelkezı szerzıdésekben rendelkezni kell arról, hogy más, arra jogosult közremőködık is hozzáférhetnek a különbözı eszközökhöz, és rögzíteni kell a hozzáférés feltételeit. Különös figyelmet kell fordítani az informatikai és távközlési fejlesztésben, karbantartásban, a biztonsági feladatok ellátásában közremőködıkre; illetve az egyedi jelleggel hozzáférést igénylıkre (tanulók, konzultánsok, stb.), valamint a takarító, karbantartó személyzetre. A fenti szabályok betartása az ilyen szerzıdések létrejöttének, valamint az adatfeldolgozás vállalkozásba adásának elengedhetetlen feltétele! 6.2.1. A KÜLSİ SZEMÉLYEK ÁLTAL TÖRTÉNİ HOZZÁFÉRÉSEK KOCKÁZATAI

6.2.1.1. A hozzáférések típusai A külsı személyek általi hozzáférések különleges jelentıséggel bírnak. A következı hozzáférési típusokat kell elkülöníteni: a) fizikai hozzáférések (például irodákhoz, számítógép-termekhez, irattároló szekrényekhez, stb.), b) logikai hozzáférések (például adatbázisok, informatikai rendszerek, stb.). 6.2.1.2. A hozzáférések engedélyezési feltételei a) A szervezet azon külsı személyeknek, akik számára szolgáltatásokat nyújtanak, tevékenységük végzéséhez meghatározott és engedélyezett fizikai és/vagy logikai hozzáféréseket biztosít: 1) hardver- és szoftvertámogató személyzet, akiknek rendszerszintő vagy alacsony szintő mőködési felhasználással kell rendelkezniük, 2) kereskedelmi partnerek vagy közös vállalkozások, akik az információcserében részt vesznek, informatikai rendszerekhez vagy adatbázis részekhez hozzáférhetnek. b) Ahol az üzleti érdek megkívánja a külsı személyekkel való kapcsolattartást, a munka megkezdése elıtt egyértelmően meg kell határozni a munkavégzés célját, helyét, idejét, módját, fel kell mérni az alkalmazás kockázatait, a szükséges hozzáférések típusait, a

54


Informatikai Biztonság Irányítási Követelmények veszélyeztetett adatok, információk értékét, a külsı személy által használt ellenırzéseket. Követelmény az azonosítás különleges figyelemmel kísért ellenırzése is. c) Amennyiben külsı személyeknek hozzáférési lehetıséget kell biztosítani, azt csak és kizárólag engedélyeztetési eljárás után lehet megtenni. A hozzáférési engedélyt minden esetben csak az adott szervezeti egység vezetıje kérheti. Az Informatikai Biztonsági Vezetı elsısorban a titokvédelmi elıírások figyelembevételével dönt az engedély megadásáról, a kiadott engedély másolatát átadja a kérelmezınek és az informatikai vezetınek. A hozzáférést mindaddig ki kell zárni, amíg a szükséges ellenırzést nem foganatosították, és a szerzıdésben nem határozták meg a hozzáférés feltételeit. A szerzıdés elválaszthatatlan részét kell, hogy képezze a titoktartási nyilatkozat. d) A lejárat idıpontjának minden esetben szerepelni kell a hozzáférési engedélyben. e) A külsı partnerek hordozható számítógépein tárolt – a munkavégzés során megszerzett és a szervezettel kapcsolatos – adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amelyet a felelısnek kötelessége ellenırizni. Minısített esetekben a szervezet gondoskodjon a külsı parnerek munkavégzéséhez egy erre a célra kialakított, megfigyelırendszerrel vagy biztonsági naplózással ellátott munkaállomásról vagy hordozható számítógéprıl, melyet a munka végén a külsı fél visszaad, így megelızhetı a különbözı átmeneti állományokon ill. biztonsági rendszerfájlokon keresztüli információ kiszivárgás. f) A szervezetnek biztosítania kell, hogy a külsı fél legyen tudatában kötelezettségeinek és fogadja el azokat a felelısségeket, melyek a hozzéféréssel járnak. A felelısség tudatosítása érdekében fix idıközönként akár oktathatók is a külsı partnerek. Sajnos sok szervezetnél tapasztalható, hogy pl. egy karbantartást végzı külsıs személytıl csak egy nevet kérnek meg maximum egy cégnevet, és ezzel meg is van oldva a belépése az objektumba. Védelmi szempontból nagyon fontos, hogy a biztonsági szolgálat embere vagy pedig az a személy, aki a külsı felet várja, gyızıdjön meg annak személyi azonosságáról. Bevált gyakorlat, hogy a külsı munkavégzı adatait, a küldı cég megküldi a helyszínre a beléptetés elıtti nap, így megkönnyíti a külsı személy ellenırzését, vagy a felek szerzıdésben állapodnak meg a beengedhetı külsı munkavégzı személyek kérdésében.


55

Informatikai Biztonság Irányítási Követelmények 6.2.1.3. Helyszíni tevékenységet végzı külsı személyek Szerzıdéses vagy egyéb jogviszony alapján helyszíni tevékenységet végzı külsı személyek biztonsági kockázatot jelentenek. A helyszínre települt külsı személyekre példa lehet: a) a hardvert és szoftvert karbantartó és támogató személyzet, b) a takarító, karbantartó, ellátó személyzet és biztonsági ırség, valamint hasonló szolgáltatások, c) tanulók foglalkoztatása és más, eseti, alkalmi munkatársak, konzultánsok. A biztonsági kockázatok csökkentése érdekében: a) A külsı személlyel kötött szerzıdésekben ki kell kötni a szervezet ellenırzési jogosultságát. b) Az Informatikai Biztonsági Szabályzat egyértelmően határozza meg a külsı személyek hozzáférési lehetıségeit. c) Az informatikai rendszerekhez, az abban kezelt adatokhoz külsı személyek hozzáférését mindaddig ki kell zárni, amíg a megfelelı (és szerzıdésben is rögzített) ellenırzést nem foganatosították. d) A külsı személyek helyszíni tevékenységének informatikai biztonsági ellenırzése során a munkahelyi vezetınek együtt kell mőködnie (ld. 2.1.4). e) Még a munka megkezdése elıtt kötelezı megvizsgálni a külsı személyek várható helyszíni tevékenységét. f) Meg kell határozni az együttmőködés jogszabályi feltételeit, valamint a megállapodás benem-tartásának következményeit. 6.2.1.4. A külsı személyek által történı hozzáférések kockázatainak felmérése A külsı személyek által történı hozzáférések esetén, a munka megkezdése elıtt egyértelmően meg kell határozni a munkavégzés célját, helyét, idejét, módját, fel kell mérni az alkalmazás kockázatait.

56


Informatikai Biztonság Irányítási Követelmények A külsı fél hozzáférésére vonatkozó kockázatok felmérésekor a szervezet vegye figyelembe a következıket: -

a külsı fél által hozzáférhetı adatfeldolgozó eszközekkel kapcsolatos kockázatokat,

-

a hozzáférés típusát és annak kockázatait (lásd 6.2.1.1 fejezet.)

-

a szervezet és a külsı fél hálózatának összekapcsolásából eredı veszélyforrásokat, (pl. átmeneti, tartós engedélyhez kötött, vagy adott idıszakokra engedélyezett belsı hálózati (LAN) csatlakozás, vagy távoli hozzáférés.)

-

a hozzáférés a helyszínébıl eredı veszélyforrásokat, (Szervezeten belüli vagy szervezeten kívüli hozzáférés. Milyen fizikai biztonsági zónákba jut be a külsı személy, ott milyen információkhoz férhet hozzá, például asztalon lévı szerzıdések, üzleti titkok, riasztó rendszer kódok, adatfeldolgozó eszközök, adatmentési médiák, üzleti titkot képezı technológiai- és egyéb szemmel látható védelmi eljárások.)

-

a külsı hozzáféréskor elérhetı információ esetleges kikerülésének kockázatait, az adott információ érzékenysége, üzleti értéke, minısítése szerint,

-

a szervezeti információ kezelésébe bevont külsı fél személyi kockázatait,

-

a külsı személy pontatlan hitelesítésébıl eredı kockázatokat, (Hogyan lehet az adott személy azonosságát ellenırizni, milyen gyakran kell ezt megtenni.)

-

intézkedéseket olyan információ megvédésére, amelyet nem szándékoznak hozzáférhetıvé tenni külsı felek számára;

-

az adattárolás formáinak, feldolgozásának, közlésének, elosztásának és cseréjének a kockázatait,

-

a külsı fél általi hozzáférések rendelkezésre állásának kockázatait, (Milyen üzletivagy egyéb kárt okozhat, ha hozzáférés nem történhet meg, vagy a hálózati hozzáférés nem érhetı el, vagy hibás adatokat szolgáltat.)

-

az esetleges informatikai biztonsági incidensek és lehetséges károk kockázatait, (Hogyan korlátozható a külsı fél hozzáférése informatikai biztonsági esemény bekövetkezésekor, vannak-e ilyen esetre incidens-kezelı belsı eljárások.)

-

a különféle szerzıdések hibáiból, eredı kockázatok felmérése. (Megfelenek-e a titoktartási nyilatkozatok és egyéb megállapodások a hatályban lévı törvényi szabályozásoknak.)


57

Informatikai Biztonság Irányítási Követelmények 6.2.2. ÜGYFÉLKAPCSOLATOK INFORMATIKAI BIZTONSÁGA Az ügyfélkapcsolatok informatikai biztonságával kapcsolatos intézkedések foganatosításának célja, hogy megakadályozza az üzletmenet folytán felmerülı minısített információk kiszivárgását. A szervezet ügyfelei az esetek többségében bebocsájtást nyernek a szervezet objektumaiba, üzleti megbeszélések során kényes információk birtokába juthatnak, belátást nyerhetnek bizonyos minısített szakmai, technológiai vagy esetleg védelmi eljárásokba. A fenti veszélyforrások kellı okot szolgáltatnak arra, hogy ezt a kérdést komolyan kell venni. Adott esetben fontos az ügyfélkapcsolatokban érdekelt munkatársak biztonsági oktatása, olyan kérdéseket illetıen, hogy milyen információkat oszthatnak meg ügyfeleikkel, melyek a védendı információk. Egy adott szervezetrıl való információszerzés egyik legegyszerőbb eszköze a social engineering, például a „kíváncsiskodó személy” potenciális ügyfélnek kiadva magát, érdeklıdni kezd a céggel kapcsolatban. Már egy 10 perces beszélgetés is komoly veszélyforrást jelenthet, ha területén képzett az „elkövetı”. Éppen ezért a biztonsági gyakorlat az ügyfeleket hasznosságuk mellett, bizonyos mértékő veszélyforrásnak is tekinti. A fizikai biztonsággal foglalkozó ajánlások, szabályzatok éppen ezért írják elı a szervezet erıforrásaitól jól elkülöníthetı ügyfélterek és tárgyalók alkalmazását. A szervezeteknek a következı biztonsági kérdésekre kell figyelniük az üzletmenet során: a)

Vagyontárgyak védelme, beleértve az információ megjelenésének összes

formáját, az ügyfelek által hozzáférhetı területek, adatfeldolgozó eszközök folyamatos megfigyelését. b)

A szervezet vagyontárgyaira vonatkozó bármely tevékenység figyelemmel

kísérésének, és megvonásának joga. c)

A szervezeteknek rendelkezniük kell olyan ejárásokkal melyekkel: idıben

detektálhatóak a biztonsági események (elıdult-e adatvesztés vagy módosítás) és korlátozható az üzleti adatok másolása és közzététele. d)

A szolgáltatandó termék vagy szolgáltatás leírása.

e)

Az ügyfél hozzáférésének különbözı indokai, követelményei.

f)

A hozzáférésel kapcsolatos biztonsági intézkedések beleértve a megengedett

hozzáférési módokat, az egyedi azonosítók és a hitelesítési folyamatok ellenırzését, biztosítását annak, hogy minden egyéb nem engedélyezett hozzáférés tiltva van, 58


Informatikai Biztonság Irányítási Követelmények valamint a gyors lehetıséget a hozzáférési jogok visszavonására vagy a rendszerek közötti kapcsolat megszakítására. g)

Intézkedések a téves információ elıfordulásának jelentésére, valamint

informatikai biztonsági incidensek kivizsgálására vonatkozólag. h)

Minden rendelkezésre álló szolgáltatás részletes leírása.

i)

A szolgáltatás minıségének biztonsági kérdései.(A szolgáltatás elfogadható és

nem elfogadható szintje.) j)

A szervezet és az ügyfél saját kötelezettségei.

k)

Törvényi felelısségek definiálása (lásd 15. fejezet)

6.2.3. INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEK A HARMADIK SZEMÉLLYEL KÖTÖTT SZERZİDÉSEKBEN Harmadik (külsı) személyeknek a szervezet informatikai rendszereihez való hozzáférése kizárólag olyan írásbeli szerzıdésen alapulhat, melynek az összes – biztonsággal kapcsolatos – elıírása igazodik a szervezet biztonsági elıírásaihoz és elfogadott szabványaihoz. A szerzıdések jelentısen eltérhetnek szervezetenként és a harmadik féltıl függıen. Ezért ügyelni kell arra, hogy minden azonosított kockázatot és biztonsági követelményt bevegyenek a megállapodásokba (lásd 6.2.1. fejezet). Ahol szükséges, a kívánt intézkedéseket és eljárásokat egy biztonságkezelési terv mellékletben érdemes szerepeltetni.

Harmadik személy számára – a velük kötött szerzıdésben részletezettek szerint – az adathozzáférés, elektronikus-, papíralapú-, mágneses-, vagy bármely más típusú adathordozón történı átadás-átvétel csak az adat minısítéséhez, biztonsági osztályba sorolásához és kezeléséhez rendelt engedélyezési eljáráshoz kötött szabályozott és dokumentált formában történhet, az adott szerzıdés elválaszthatatlan mellékletét képezı adatvédelmi és titoktartási nyilatkozatok tartalmának megfelelıen. Az átadás-átvétele csak az ügyvitelre, az adat- és titokvédelemre vonatkozó szabályokban meghatározott elıírások szerint történhet. A kötelezı eseti és rendszeres adatszolgáltatások, továbbá a bíróságok, vagy más hatóságok hatósági eljárásai során, illetve a hivatalból eljáró ügyvéd, közjegyzı eljárása


59

Informatikai Biztonság Irányítási Követelmények esetén a szerzıdéstıl és a titokvédelmi nyilatkozattól el kell tekinteni, de az adatátadás jogszerőségét vizsgálni kell, az átadás tényét pedig dokumentálni. Ezekrıl minden esetben értesíteni kell az Informatikai Biztonsági Vezetıt. A szervezeteknek a következı biztonsági kérdésekre kell figyelniük a harmadik féllel kötött szerzıdések kapcsán: a) Informatikai biztonsági politika. b)

Vagyontárgyak védelme, beleértve az információ megjelenésének összes

formáját, az ügyfelek által hozzáférhetı területek, adatfeldolgozó eszközök folyamatos megfigyelését. Intézkedések, hogy biztosítsák az információ és vagyontárgyak visszaküldését vagy megsemmisítését a megállapodás végén vagy a megállapodás szerinti idıpontban. A szervezet üzleti adatainak védelme a rosszindulatú szoftverek ellen (lásd 10.4.1. fejezet). A rendszer bizalmasságának, sértetlenségének, rendelkezésre állásának biztosítása. c)

Korlátozások az információ másolására vagy felfedésére vonatkozóan,

valamint a titoktartási megállapodások használata (lásd 6.1.5. fejezet). d) A szervezeteknek rendelkezniük kell olyan eljárásokkal, melyekkel: idıben detektálhatóak a biztonsági események (elıfordult-e adatvesztés vagy módosítás) és korlátozható az üzleti adatok másolása és közzététele. e) A felhasználók informatikai biztonsági tudatosságának biztosítása, biztonsági oktatása. f) A hardver és szoftver telepítésének és karbantartásának felelısségi kérdései. g) Jelentések egyértelmő felépítése és egyeztetett jelentésformátumok. h) Egyértelmő és elıírt változásmenedzsment. i)

Az ügyfél hozzáférésének különbözı indokai, követelményei.

j)

A hozzáféréssel kapcsolatos biztonsági intézkedések beleértve a

megengedett hozzáférési módokat, az egyedi azonosítók és a hitelesítési folyamatok ellenırzését, nyilvántartási kötelezettséget azokról a személyekrıl, akik a rendszer használatára fel vannak jogosítva, biztosítását annak, hogy minden egyéb nem engedélyezett hozzáférés tiltva van, valamint a gyors lehetıséget a hozzáférési jogok visszavonására vagy a rendszerek közötti kapcsolat megszakítására.

60


Informatikai Biztonság Irányítási Követelmények k)

Intézkedések a téves információ elıfordulásának jelentésére, valamint

informatikai biztonsági incidensek kivizsgálására vonatkozólag. l)

A termék vagy szolgáltatás részletes leírása, valamint a hozzáférhetıvé teendı

információ leírása a biztonsági osztályozásával együtt (lásd 7.2.1 fejezet). m)

A szolgáltatás minıségének biztonsági kérdései.(A szolgáltatás elfogadható és

nem elfogadható szintje.) n)

A szervezet vagyontárgyaira vonatkozó bármely tevékenység figyelemmel

kísérésének, és megvonásának joga. o)

A megállapodásban meghatározott felelısségek ellenırzésének joga, az

auditorok törvényes jogainak felsorolásával. p)

Továbbviteli folyamat kialakítása a problémamegoldásra.

q)

A szolgáltatás folytonossági követelményei, beleértve az intézkedéseket a

rendelkezésre állásra és megbízhatóságra, összhangban a szervezet mőködési prioritásaival. r)

Megállapodás feleinek saját felelıssége.

s)

Törvényi felelısségek definiálása (lásd 15. fejezet), szellemi tulajdonjogok és

szerzıi jog kijelölés (lásd 15.1.2 fejezet) titoktartási nyilatkozatok (lásd 6.1.5.fejezet). t)

Alvállalkozókra vonatkozó biztonság intézkedések.

u)

Feltételek az együttmőködési megállapodások újratárgyalására vagy

befejezésére: legyen vészhelyzeti terv arra az esetre, ha bármelyik fél be kívánja fejezni az együttmőködést a megállapodásban jelzett idıpont elıtt, legyen lehetıség a megállapodás újratárgyalása, ha a szervezet biztonsági követelményei változnak, legyen mindig pontosan dokumentált a vagyontárgyak jegyzéke, illetve a rájuk vonatkozó jogok.

6.3 VÁLLALKOZÁSBA ADÁS Az informatikai biztonságot akkor is fent kell tartani, ha a szervezet az adatfeldolgozást más szervezettıl szolgáltatásként veszi igénybe. Vállalkozásba adás esetén az érintett informatikai rendszereket, hálózatokat, környezeteket, az azokat érintı kockázatokat,


61

Informatikai Biztonság Irányítási Követelmények valamint az alkalmazott biztonsági eszközöket és eljárásokat, felelısségeket a két fél között létrejött szerzıdésben rögzíteni kell. A szerzıdés tartalmazza felelısség kérdését, az átmeneti idıszak tervezését, erre az idıszakra vonatkozó katasztrófatervet, valamint a biztonsági incidensekre vonatkozó információk győjtésének és kezelésének folytonosságát. Röviden a szervezet tervezze és kezelje az átmeneti folyamatokat, legyenek megfelelı kész eljárásai, arra vonatkozóan, hogy hogyan kezeljék a megállapodások változtatásait, újratárgyalásukat vagy befejezésüket. A szervezetnek kész eljárásokkal kell rendelkeznie arra az esetre is, amikor a harmadik fél szolgáltatása szünetel, éppen ezért a megállapodás tartalmazzon lehetıséget más kiválasztható felek kijelölésére, feltételeket bevonásukra, így biztosítható szervezetet védelmének a folytonossága. A megállapodásokat általában a szervezetek alakítják ki. Bizonyos körülmények között elıfordulhat, hogy a megállapodást a harmadik fél alakítja ki és írja elı a szervezetnek. A szervezetnek biztosítania kell, hogy a saját biztonságára ne hassanak szükségtelenül a harmadik fél biztonsági követelményei.

6.3.1. ELİÍRÁSOK A VÁLLALKOZÁSBA ADÁSI SZERZİDÉSEKBEN A vállalkozásba adás minden esetben csak írásbeli szerzıdéssel lehetséges, amelyben az informatikai biztonságpolitikát figyelembe kell venni (érvényesíteni kell). A szerzıdésben a 4.2.2. pontban meghatározottakon túl ki kell térni arra, hogy: a) a részt vevı felek tudatában vannak az informatikai biztonsággal kapcsolatos felelısségükkel, b) hogyan fogják a jogi elıírásokat kielégíteni, például a személyes adatok védelme, c) hogyan lesz fenntartva és vizsgálva az adatok bizalmassága és sértetlensége, d) milyen fizikai és logikai védelmi intézkedéseket fognak alkalmazni arra, hogy megfelelıen szabályozzák a jogosult felhasználóknak a hozzáférését a szervezet érzékeny üzleti információihoz (adataihoz), e) hogyan lesz fenntartva a szolgáltatások rendelkezésre állása rendkívüli helyzetekben (például természeti csapások) esetében,

62


Informatikai Biztonság Irányítási Követelmények f) milyen fizikai védelmet biztosítanak a vállalkozásba adásban érintett berendezések esetében, g) ki, mikor, milyen feltételek mellett végez, illetve kell, hogy végezzen biztonsági vizsgálatot, ellenırzést. A vállalkozásba adása esetén legalább a következı védelmi intézkedéseket kell elıírni: a) Amennyiben a vállalkozó a saját telephelyén végzi az informatikai fejlesztési tevékenységet, a szervezet részérıl csak rejtjelezve továbbíthatók a fejlesztés tárgyát képezı programok és adatok a fejlesztı számára. Az éles üzemő rendszerekhez a vállalkozó nem férhet hozzá. b) Programokat,

adatokat

a

felhasználás

céljának,

idıbeli

és

egyéb

korlátainak

megjelölésével, a felelısöknek mindkét részrıl történı kijelölésével, a személyi és fizikai biztonsági követelmények egyértelmő írásban történı megjelölésével, kizárólag átadásátvételi jegyzıkönyv alapján szabad átadni. A jegyzıkönyvnek tartalmazni kell: 1) programátadás esetén: − program megnevezése, készítıje, − funkciója, − könyvtárstruktúrája, − fájlok, − verzió információ. 2) fájlátadás esetén: − teljes fájlnév (név, kiterjesztés), − méret, − módosítás dátuma, − típusa. 3) adatátadás esetén: − ha az adat nem tartozik a fájl fogalmába, akkor a papíralapú iratkezelésre vonatkozó szabályok az iránymutatók.


63

Informatikai Biztonság Irányítási Követelmények c) Az a) pont szerinti anyagokat tartalmazó adathordozókat a következı lényeges szabályok szerint kell kezelni: 1) az adathordozók azonosíthatók, ellenırizhetık legyenek, a minısítési és az azonosítási jeleket vagy jelöléseket olvashatóan, letörölhetetlenül, eltávolíthatatlanul kell feltüntetni, 2) a harmadik személy az 1) bekezdésben felsorolt minısítésekkel, jelölésekkel kapcsolatos kezelési szabályokat a teljes munkafolyamat során köteles betartani, ellenkezı esetben a teljesítése nem fogadható el. Az adathordozók csak biztonsági (például vírus) ellenırzések elvégzése után vehetık használatba a szervezet rendszerein. d) Külsı fejlesztı részére tesztelésre éles üzemi adatok csak kivételesen, indokolt esetben és az Informatikai Biztonsági Vezetı elızetes engedélyével adhatók át, éles üzemi tesztek viszont csak a szervezet saját fejlesztı rendszerein végezhetık. Tesztrendszerben csak az eredeti adatra vissza nem következtethetı adat lehet. e) Ezen szabályok betartásának, a szabályok szerinti tevékenység dokumentálásának ellenırzésére a szervezet részérıl felelısként, kapcsolattartóként meghatározott szervezeti egysége és az Informatikai biztonsági szervezeti egység kijelölt munkatársai jogosultak, illetve kötelezettek. f) Amennyiben a vállalkozásba vevı a saját telephelyén mőködı fejlesztı rendszeren dolgozik, akkor a következı fıbb biztonsági szabályok az irányadók: 1) a tevékenységet a fogadó szervezet folyamatosan felügyelje, dokumentálja és ellenırizze az Informatikai Biztonsági Szabályzat betartását, 2) belépési és hozzáférési jogosultságot az általános jogosultsági szinten túlmenıen csak külön engedély alapján, a tevékenysége elvégzéséhez szükséges idıre kapjon, 3) távoli hozzáférésekkel történı fejlesztés csak indokolt esetben folyhat (például amikor az elızı pontokban meghatározott fejlesztési mód alapos indok miatt nem valósítható meg), 4) távoli hozzáféréssel történı fejlesztés, az érintett szakmai vezetı kezdeményezésére, az Informatikai és a Biztonsági Vezetı elızetes írásbeli engedélyével történhet. Az erre irányuló javaslatot a fejlesztı és megrendelıje köteles megindokolni,

64


Informatikai Biztonság Irányítási Követelmények 5) fejlesztési céllal távoli hozzáférés csak az engedélyben definiált végpontról, és csak a szervezet ellenırzése alatt álló védelmi rendszerrel megtámogatva történhet.


65


7. FEJEZET AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE

A vagyontárgyak kezelésével kapcsolatos biztonsági intézkedések célja, a szervezet vagyontárgyainak megfelelı és folyamatos védelme. A védelem kulcstényezıje, hogy minden vagyontárgyat vegyenek leltárba és minden vagyontárgynak legyen egy megnevezett felelıs gazdája. A szervezet biztonságának kialakítása során az egyik legfontosabb alapadatbázis a szervezet vagyonleltára, amely informatikai biztonsági szempontból a következıket tartalmazza: Információ-vagyon: az adatok, adatbázisok, szoftver-kezelési kézikönyvek, oktatási, üzemviteli, üzemeltetési, biztonsági segédletek és nyilvántartások. Szoftver-vagyon: rendszerszoftverek, alkalmazói szoftverek, fejlesztı-eszközök és szolgáltatások. Fizikai-vagyon: hardver (számítógépek, perifériák, mobil számítástechnikai eszközök), kommunikációs eszközök (telefonok, faxok, modemek, hálózati csatoló eszközök, telefonalközpontok), adathordozók és egyéb mőszaki berendezések (szünetmentes tápegység, légkondicionáló berendezés, villámhárító, stb.).

7.1. SZÁMADÁSI KÖTELEZETTSÉGEK AZ ESZKÖZÖKKEL KAPCSOLATBAN A szervezet vagyontárgyait leltárba kell venni, annak megjelölésével, hogy hol találhatóak, kinek a felelısségi körébe tartoznak, és osztályozni kell azokat a biztonsági célkitőzések (bizalmasság, sértetlenség és rendelkezésre állás) fenntartásában játszott szerepüknek megfelelıen. Valamennyinek legyen megnevezett felelıse, és az alkalmazott védelmi intézkedések karbantartásának felelıssége is legyen kiosztva. A védelmi intézkedések megvalósításának felelısségét át lehet ruházni, de a felelısségrevonhatóság akkor is a megnevezett felelısnél maradjon.

66


Informatikai Biztonság Irányítási Követelmények a) Meg kell határozni a leltárilag nyilvántartott eszközök felelısét. b) Megfelelı személyekhez – leltárfelelısök – kell rendelni a szükséges ellenırzı eszközök fenntartásának feladatát és felelısségét. A leltárfelelısöket a szakterületek (szervezeti egységek) vezetıi nevezik ki. c) A szervezeti egységeknél kijelölt leltárfelelısök munkaköri leírásában rögzíteni kell a készletleltárral kapcsolatos tevékenységüket, illetve a felelısségüket. d) A munkavállaló munkába lépésekor átadás-átvételi jegyzıkönyvet kell készíteni a részére átadásra kerülı munkaeszközökrıl, és aláírásával elfogadottá kell tenni az eszközökre vonatkozó számadási kötelezettségét, valamint ennek megsértésekor a felelısségrevonás módját, mértékét. e) Számadási kötelezettségek ellenırzését a Leltározási és Értékelési Szabályzat elıírásai alapján kell végrehajtani. f) Ellenırzést kell tartani: 1) munkaviszony megszőntekor – a munkavállaló által leadott eszközöket össze kell vetni az átadás-átvételi jegyzıkönyvvel, megfelelés esetén – igazolást kell kiadni a számadási kötelezettségek teljesítésérıl, eltérés esetén jegyzıkönyvet kell felvenni, valamint haladéktalanul értesíteni kell a munkavállaló munkáltatói jogkört gyakorló vezetıjét a felelısségre vonási eljárás megindítása érdekében, 2) más szervezeti egységbe, más munkavégzési helyiségbe való átlépéskor – az elızı pontban részletezettek megtartásával, 3) okafogyottá válik az eszköz(ök) használata – leadás esetén is ellenırizni kell az átadás-átvételi jegyzıkönyvvel való egyezést, 4) vezetıi elrendelésre (cél- vagy átfogó leltár).

7.1.1. ESZKÖZ ÉS VAGYONLELTÁR A szervezetnek szüksége van arra, hogy képes legyen azonosítani vagyonát, és megállapítani a vagyontárgyai értékét és fontosságát. Erre az információra alapozva a szervezet a vagyon értékével és jelentıségével arányosan tudja megállapítani a védelmi szinteket. A kockázatkezelésnek fontos része a vagyonleltár. Leltárt kell felállítani és karbantartani minden olyan jelentıs vagyontárgyról, amely valamelyik informatikai


67

Informatikai Biztonság Irányítási Követelmények rendszerrel

kapcsolatos.

Egyértelmően

azonosítani

kell

valamennyi

vagyontárgyat,

megállapítani, és írásba foglalni annak felelısét és biztonsági osztályát is (lásd az 5.2. szakaszt), valamint pillanatnyi elhelyezését (ez azért fontos, hogy elveszés vagy megrongálódás esetén vissza lehessen állítani). Minden, a készletleltár határain belül talált eszközt azonosítani kell. Bármilyen, a készletleltárból akármely okból kizárt eszközt hozzá kell rendelni egy másik vizsgálathoz, hogy biztosíthassuk: nem kerülik el a figyelmünket, és nem feledkezünk meg róluk. A pontos eszközleltár a sebezhetıségek kezelésének is fontos dokumentuma (lásd 12.6 fejezet).

7.1.2. A VAGYONTÁRGYAK GAZDÁJA A vagyontárgyakkal kapcsolatos személyi felelısség a szervezeti biztonság alappillére. Alapvetı biztonsági követelmény, hogy az adatfeldolgozási eszközökhöz kapcsolódó minden információnak és vagyontárgynak felelıs gazdája. A vagyontárgy gazdája felelıs: a)

az adatfeldolgozó eszközhöz kapcsolódó információ és vagyontárgy megfelelı

minısítéséért; b)

a hozzáférési jogok kiosztásáért és azok idıszakos, hozzáférés-ellenırzési

szabályzat alapján történı átvizsgálásáért. Gazda szerepet lehet kijelölni: a)

a mőködési folyamatra;

b)

a tevékenységek meghatározott csoportjára;

c)

egy alkalmazásra, vagy

d)

egy meghatározott adatcsoportra.

7.1.3. AZ ESZKÖZÖK (VAGYONTÁRGYAK) MEGFELELİ HASZNÁLATA Cél: az adatfeldolgozó eszközök megfelelı, szabályozott és dokumentált használata. Minden alkalmazottnak, szerzıdı félnek és harmadik félnek be kell tartania az adatfeldolgozó eszközök elfogadható használatára vonatkozó szabályokat, beleértve: a)

68

az elektronikus levelezésre és az internet használatra vonatkozó szabályokat


Informatikai Biztonság Irányítási Követelmények (lásd 10.8. fejezet); b)

a mobil berendezések szervezet helységein belüli valamint kívüli használatára

vonatkozó szabályokat (lásd 11.7.1. fejezet). Az alkalmazottaknak, szerzıdı feleknek, akik a szervezet adatfeldolgozó eszközeit használják ismerniük kell az eszközök hasznára vonatkozó biztonsági korlátozásokat.

7.2. AZ ADATOK BIZTONSÁGI OSZTÁLYOZÁSA A biztonsági osztályozás célja az informatikai vagyontárgyak szükséges védelmi szintjének elıírása. Az informatikai eszközök megfelelı védelmérıl való gondoskodás magában foglalja, hogy az adatok minısítésének tükröznie kell a védelem szükségességét, prioritásait és mértékét. Az adatok érzékenysége és fontosságának mértéke változó, egyes adatok fokozott védelmet, vagy különleges kezelést igényelnek. A számítástechnikai rendszerek, illetve adatok biztonsági osztályba sorolására vonatkozó elıírások segítségével kell meghatározni a védettségi szinteket, valamint közvetíteni kell a különleges kezelés szükségességét. Alaposan át kell gondolni az osztályozási kategóriák számát és azok szükségességét, mivel a túlságosan bonyolult rendszerek feleslegesen lelassítják az üzleti folyamatokat, használatuk gazdaságtalanná vagy adott esetben lehetelenné válhat. Az információ érzékenysége egy bizonyos idı elteltével megszőnik.(pl. ha az információt közben nyilvánosságra hozták.) Osztályozáskor ezeket a szempontokat figyelembe kell venni, mivel a felülosztályozás szükségtelen, többlet költséggel járó intézkedésekhez vezethet. 7.2.1. AZ OSZTÁLYOZÁS IRÁNYELVEI Az informatikai biztonsági osztályok megállapításához értéket kell rendelni az eszközökhöz. Ezek az értékek az adott eszköz szervezet számára jelentett fontosságát adják meg. A kár jellege lehet: a) dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van például: 1) károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), 2) károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), 3) a dologi károk bekövetkezése utáni helyreállítás költségei. b) károk a politika és a társadalom területén, például: Magyar Informatikai Biztonság Irányítási Keretrendszer

69

Informatikai Biztonság Irányítási Követelmények 1) állam- vagy szolgálati titok megsértése, 2) személyiséghez főzıdı jogok megsértése, személyek vagy csoportok jó hírének károsodása, 3) bizalmas adatok nyilvánosságra hozatala, 4) hamis adatok nyilvánosságra hozatala, 5) közérdekő adatok titokban tartása, 6) bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben. c) gazdasági károk 1) pénzügyi károk, 2) lopás károk, 3) az intézmény vagy cég arculatának (image) romlása, 4) rossz üzleti döntések hiányos vagy hamis információk alapján. d) károk az informatikai személyzet, illetve a felhasználók személyi biztonsága területén, például személyek megsérülése, megrokkanása (például áramütés következtében); e) károk a hatályos jogszabályok és utasítások megsértésébıl adódóan; f) károk a tudomány területén 1) kutatások elhalasztódása, 2) eredmények idı elıtti, illetve hamis név alatti nyilvánosságra kerülése, 3) tudományos eredmények meghamisítása. Az informatikai rendszerek biztonsági osztályai meghatározásához a fenti kártípusokat bizonyos mértékben összevontan a következık szerint vesszük figyelembe: a) közvetlen anyagi (például a mindenkori amortizált értékkel vagy az elmaradt haszonnal arányos), b) közvetett anyagi (például a helyreállítási költségekkel, perköltségekkel arányos), c) társadalmi-politikai, humán, d) személyi sérülés, haláleset, e) jogszabály által védett adatokkal történı visszaélés vagy azok sérülése (jogsértés). Az eszközök értékeléséhez szükséges információknak ezen eszközök tulajdonosaitól és használóitól kell származniuk, de az üzleti tervezés, a pénzügy, az informatika és más kapcsolódó szakterületek munkatársait is be kell vonni az eszközökhöz tartozó értékek megállapításához.

Az

értékeknek

összefüggésben

kell

lenniük

az

adott

eszköz

megszerzéséhez és fenntartásához kapcsolódó költségekkel és a bizalmasság, sértetlenség és 70


Informatikai Biztonság Irányítási Követelmények rendelkezésre állás elvesztésébıl eredı károkkal. Az eszközök mindegyikének értéket kell jelentenie a szervezet számára, ennek ellenére nincs egy könnyen követhetı vagy egyszerő módszer a pénzbeli érték meghatározására. Az értéket vagy a szervezet számára való fontosságot nemcsak pénzügyi, hanem kvalitatív módon (minıségi meghatározások útján) is ki kell fejezni. Ez segít meghatározni a védelem szintjét, és azt az erıforrás-mennyiséget, melyet a szervezetnek az eszköz védelmére áldozni kell. Az értékelési skála legalább háromfokozatú legyen: alacsony, közepes és magas érték, de ez tovább részletezhetı – jelentéktelen – csekély – közepes – nagy – kiemelkedıen nagy értékre. A fontosabb kártípusokhoz kvantitatív jellemzık tartományait rendelve kialakítható egy kárérték osztályozás, amelyek segítségével a fenyegetett objektumok – esetünkben az informatikai rendszerek – biztonsági osztályokba sorolhatók. A biztonság értékeléséhez a következı kárérték szinteket javasoljuk felhasználni: ♦ "0. szint": jelentéktelen kár •

közvetlen anyagi kár: -10.000,- Ft,

•

közvetett anyagi kár 1 embernappal állítható helyre,

•

nincs bizalomvesztés, a probléma a szervezeti egységen belül marad,

•

testi épség jelentéktelen sérülése egy-két személynél,

•

nem védett adat (nem minısített) bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "1. szint": csekély kár •

közvetlen anyagi kár: -100.000,- Ft-ig,

•

közvetett anyagi kár 1 emberhónappal állítható helyre,

•

társadalmi-politikai hatás: kínos helyzet a szervezeten belül,

•

könnyő személyi sérülés egy-két személynél,

•

"Korlátozott

terjesztéső!"

szolgálati

titok

bizalmassága,

sértetlensége,

vagy

rendelkezésre állása sérül, •

személyes adatok bizalmassága vagy hitelessége sérül,

•

csekély értékő üzleti titok, vagy belsı (intézményi) szabályzóval védett adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "2. szint ": közepes kár •

közvetlen anyagi kár: -1.000.000,- Ft-ig,


71

Informatikai Biztonság Irányítási Követelmények •

közvetett anyagi kár 1 emberévvel állítható helyre,

•

társadalmi-politikai

hatás:

bizalomvesztés

a

szervezet

középvezetésében,

bocsánatkérést és/vagy fegyelmi intézkedést igényel, •

több könnyő vagy egy-két súlyos személyi sérülés,

•

„Bizalmas!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

közepes értékő üzleti titok vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "3. szint ": nagy kár •


•

közvetett anyagi kár 1-10 emberévvel állítható helyre,

•

társadalmi-politikai hatás: bizalomvesztés a szervezet felsı vezetésében, a középvezetésen belül személyi konzekvenciák,

•

több súlyos személyi sérülés vagy tömeges könnyő sérülés,

•

„Titkos!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

szenzitív személyes adatok, nagy tömegő személyes adat bizalmassága vagy hitelessége sérül.

♦ "4. szint ": kiemelkedıen nagy kár •


•

közvetett anyagi kár 10-100 emberévvel állítható helyre,

•

társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felsı vezetésén belül személyi konzekvenciák,

•

egy-két személy halála vagy tömeges sérülések,

•

államtitok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

nagy tömegő szenzitív személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

nagy értékő üzleti titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül. Függetlenül attól, hogy milyen skálát használunk, a következı okokból bekövetkezı

károkat kell figyelembe vennünk: a) jogszabályok és egyéb szabályozások megsértése,

72


Informatikai Biztonság Irányítási Követelmények b) az alaptevékenységek akadályozása, c) szavahihetıség, jó hírnév elvesztése, d) személyes információkkal kapcsolatos titoksértés, e) személyi biztonság veszélyeztetése, f) a kényszerítı eszközök hatékonyságának csökkentése, g) titoksértés (államtitok, szolgálati titok, üzleti titok, banktitok, orvosi titok, stb.), h) a közrend megsértése, i) pénzügyi veszteség okozása, j) a környezet biztonságának veszélyeztetése. A szervezet természetesen más szempontokat is figyelembe vehet, melyeket kiválasztott kockázatelemzési módszertanban kell érvényesíteni. A szervezetnek meg kell húznia a károkkal kapcsolatos saját határokat is. Például az a pénzügyi kár, amely egy kis cég számára végzetes lehet, egy nagyon nagy vállalkozás számára „alacsony”, vagy egyenesen „elhanyagolható” értéket képviselhet. E fázisban hangsúlyozni kell, hogy az értékelési módszertannak lehetıséget kell adnia arra, hogy ne csak számszerősített (kvantitatív), hanem minıségi (kvalitatív) értékelést is lehessen végezni ott, ahol a számszerősített értékelés lehetetlen vagy nem logikus (például életveszély vagy a jó hírnév elvesztésének esetében). A használt értékelési skálát magyarázattal kell kiegészíteni. Az eszközök más eszközöktıl való függıségét szintén azonosítani szükséges, mivel ez az eszközök értékére befolyással lehet. Például az adatok bizalmasságát a feldolgozás teljes folyamatában fenn kell tartani, tehát az adatfeldolgozást végzı programmal szembeni biztonsági igényeknek közvetlenül kell kapcsolódniuk ahhoz az értékhez, melyet az adatok titkossága jelent. Ha egy folyamat egy program által készített adatok sértetlenségére alapoz, akkor e program bemenı adatainak is megbízhatóaknak kell lenniük. Ráadásul az információk sértetlensége a tárolásukhoz és feldolgozásukhoz alkalmazott hardvertıl és szoftvertıl is függ. A hardver pedig a tápellátástól és valószínőleg a légkondicionálástól. Ily módon a függıségekrıl szóló információk segíteni fogják az odatartozó fenyegetések, és különösen a sérülékenységek azonosítását. Továbbá abban is segítenek, hogy az eszközökhöz (összefüggéseik figyelembe vételével) valódi értéküket rendeljük hozzá, így tehát éppen a megfelelı védelmet fogják kapni.


73

Informatikai Biztonság Irányítási Követelmények Azon eszközök értékét, melyektıl más eszközök függnek, a következıképpen módosíthatjuk: a) ha a függı eszközök (például adatok) kisebb vagy egyenlı értékkel bírnak, mint a vizsgált eszköz (például szoftver), akkor annak értéke változatlan marad, b) ha a függı eszköz (például adat) nagyobb értékkel bír, mint a vizsgált eszköz (például szoftver), akkor annak értékét növelni kell a következık szerint: 1) a függıség mértéke, 2) az egyéb tényezık értéke. A szervezetnek lehet több olyan eszköze, mely több példányban áll rendelkezésre, mint például a szoftverek másolatai vagy az ugyanolyan típusú asztali számítógép az irodákban. Ennek figyelembe vétele fontos az eszközök értékelése során. Egyrészt könnyő átsiklani ezen példányok felett, ezért mindegyikükre figyelni kell, másrészt a hozzáférhetıségi problémákat is csökkenthetjük a segítségükkel. E lépés végeredménye egy lista az eszközökrıl és értékükrıl a következıkkel kapcsolatban: felfedésük (titkosságuk megırzése), módosításuk (sértetlenségük megırzése), használhatatlanságuk és tönkretételük (használhatóságuk fenntartása) és a csere költsége. 7.2.2. AZ ADATOK MINİSÍTÉSE, CÍMKÉZÉSE ÉS KEZELÉSE A minısítı rendszer eljárásainak ki kell terjedniük a tárgyi és elektronikus információs eszközökre. Meg kell határozni az adatfeldolgozás egyes tevékenységeinél alkalmazható – az adat minısítésétıl függı – adatkezelési eljárásokat: a) adatelıállítás, b) adatbevitel, c) másolás, d) tárolás, e) archiválás (biztonsági, illetve üzemszerő), f) átvitel, g) megsemmisítés.

74


Informatikai Biztonság Irányítási Követelmények A magasabb biztonsági osztályba sorolt adatokat tartalmazó rendszerek kimeneti adatait a kimeneten megfelelı címkével kell jelölni. A címkézésnek az elızı pontban hivatkozott biztonsági osztályoknak megfelelıen tükröznie kell az adat minısítését és annak idıbeli hatályát. Az adatok bizonyos formáinál (elektronikus eszközökön tárolt adatok) ez a megoldás nem alkalmazható, ezért ezekben az esetekben a címkézés elektronikus eszközeit kell alkalmazni.


75


8. FEJEZET SZEMÉLYI BIZTONSÁG

8.1. AZ ALKALMAZÁS ELİTT Az emberi hibák, lopás, csalárd magatartás vagy a létesítmények és az eszközök nem megfelelı használata során fellépı, az elıírások szándékos vagy véletlen megsértésébıl eredı biztonsági kockázatokat mérsékelni kell, a következık szerint: a) A biztonsági követelményeket a munkaerı-felvételnél, a szerzıdésekben, valamint az egyén foglalkoztatása során egyaránt érvényesíteni kell. b) A munkaerı-felvételi eljárás során – törvényes keretek között – olyan vizsgálatokat kell lefolytatni, melyek egyértelmő képet adnak a jelentkezı informatikai biztonság oldaláról tekintett alkalmasságáról (lásd. 8.1.2.), ez különösen fontos az informatikai biztonság szempontjából kiemelt fontosságú munkakörök esetén. Minden munkavállalónak, a rendszerek külsı használóinak (a velük kötött szerzıdés alapján), alá kell írniuk egy titoktartási nyilatkozatot. c) A munkavállalótól csak olyan nyilatkozat megtétele vagy olyan adatlap kitöltése kérhetı, illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely a személyiségi jogait nem sérti, a munkaviszony szempontjából lényeges tájékoztatást nyújthat, és ahhoz az érintett írásban hozzájárult.

8.1.1. INFORMATIKAI BIZTONSÁG A FELVÉTELNÉL ÉS A MUNKAKÖRI LEÍRÁSOKBAN Valamennyi munkaterületre részletes munkaköri leírást kell készíteni. A munkaköri leírásnak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcsolatos követelményeket is a felelısség egyértelmő megjelölésével.

76


Informatikai Biztonság Irányítási Követelmények A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzárendelhetık legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre. Az

informatikai

biztonság

szempontjából

elengedhetetlen

a

humánerıforrás-gazdálkodási és biztonsági szakterületek folyamatos együttmőködése a be- és kiléptetési folyamatokkal kapcsolatban. A be- és kilépéskor a hozzáférési jogosultságokat is meg kell határozni, és azokat a kellı idıben érvényesíteni kell. 8.1.2. A SZEMÉLYZET BIZTONSÁGI ÁTVILÁGÍTÁSA ÉS A SZEMÉLYZETI POLITIKA A munkatársak esetében ellenırzést kell végezni a felvételi eljárás során. Az átvilágítás menetének kialakításakor tekintetbe kell venni az összes ide vonatkozó titoktartási, személyes adatvédelmi és alkalmazáson alapuló jogszabályt. A vizsgálat minden esetben foglalja magába: a) üzleti és személyi referenciák meglétét, b) a felvételre jelentkezı életrajzának ellenırzését teljességre és pontosságra, c) a legmagasabb iskolai végzettség (szakképzettség) megerısítését, d) hatóság által kibocsátott azonosító iratot (személyi igazolvány vagy útlevél) e) részletesebb ellenırzéseket, mint például a hitelképesség ellenırzése, vagy erkölcsi bizonyítvány kérése. Államtitok vagy szolgálati titok kezelésének szükségessége esetén a nemzetbiztonsági ellenırzés pozitív eredményéhez (NATO vagy EU biztonsági tanúsítvány) kell kötni az alkalmazhatóságot (véglegesítést). A személyzeti politikát a humánerıforrás-gazdálkodás készíti el a biztonsági szegmensek

figyelembe

vételével.

A

személyzet

biztonsági

átvilágításáról

külön

szabályzatban kell részletesen intézkedni. Ennek mindenképpen ki kell térnie a munkavállaló referenciáinak értékelésére, az életrajz pontosságának és teljességének vizsgálatára, a szakképzettség

és

az

azt

igazoló

iratok

meglétének

ellenırzésére,

illetve

az

összeférhetetlenség fennállásának vizsgálatára.


77

Informatikai Biztonság Irányítási Követelmények Ahol egy munkakör kezdeti kinevezéssel vagy elıléptetéssel, vagy azzal jár, hogy az új munkatársnak hozzáférése van az adatfeldolgozó eszközökhöz, különösen, ha ezek érzékeny információkat kezelnek, (pl. pénzügyi információt vagy más bizalmas információt) a szervezet fontoljon meg további részletesebb személyi ellenırzéseket is. Az eljárások határozzák meg az átvilágítások kritériumait, pl. hogy ki és hogyan végezheti az emberek átvilágítását, mikor és miért kell ezeket az ellenırzéseket elvégezni. Az átvilágítási folyamatot a szerzıdı felekre is ajánlatos elvégezni. Ahol a szerzıdı feleket egy munkaerı-közvetítı ügynökségen keresztül biztosítják, az ügynökséggel kötött szerzıdés egyértelmően írja elı az ügynökség felelısségét az átvilágításért és az eljárásokat, amelyeket követniük kell, ha az átvilágítást nem végezték el, vagy ha az eredmények kétségeket tárnak fel. Ugyanígy a harmadik féllel kötött megállapodás (lásd a 6.2.3. fejezet) egyértelmően írjon elı az átvilágításhoz minden felelısséget és dokumentálási eljárást. A szervezeten belül az állásokra tekintetbe vett minden, a jelöltre vonatkozó információt győjtsenek össze és kezeljék minden megfelelı jogi szabályozással összhangban, amely a vonatkozó jogi illetékességen belül van. Az alkalmazható jogszabálytól függıen a jelölteket elıre tájékoztatni kell az átvilágítási tevékenységrıl.

8.1.3. A FOGLALKOZTATÁS FELTÉTELEI A foglalkoztatás alapvetı biztonsági feltételei az általános és a munkakörre vonatkozó speciális biztonsági elıírások megismerése, elfogadása, a titoktartási nyilatkozat aláírással történı elfogadása. Az alkalmazás kikötései és feltételei tükrözzék a szervezet biztonsági politikáját, azonfelül tisztázzák és tartalmazzák a következıket: a) A szerzıdéses kötelezettség részeként az alkalmazottak, a szerzıdı felek egyezzenek meg és írják alá az alkalmazási szerzıdésük kikötéseit és feltételeit, amelyek meghatározzák az ı felelısségüket és a szervezet felelısségét az informatikai biztonságra vonatkozóan. b) Ahol lehetséges (vezetı beosztású, vagy más kiemelt munkakörök), ezek a felelısségek meghatározott idıtartamra terjedjenek ki az alkalmazás megszőnése után is. Ebbe bele kell foglalni azokat az intézkedéseket, kötelezettségeket, amelyek

78


Informatikai Biztonság Irányítási Követelmények akkor lépnek életbe, ha a munkatárs nem tartja be az elıírt biztonsági követelményeket. c) Legyenek még az alkalmazás feltételei közé sorolva a munkatársak jogai és kötelességei, például a szerzıi jogokra vagy a személyes adatok védelmére vonatkozóan (lásd 15.1.1. és a 15.1.2. fejezet). d) Ugyancsak ajánlatos belefoglalni a munkatársra vonatkozó adatok biztonsági osztályba sorolásának és kezelésének felelısségét. Az alkalmazási feltételekben szerepeljen, hogy ezek a felelısségek fennállnak a szervezet telephelyein kívül is, a munkatárs rendes napi munkaidején túl is, például az otthoni munkavégzés alatt is (lásd 9.2.5 és 11.7. fejezet). e) Az alkalmazott, a szerzıdı fél felelısségét a más vállalatoktól vagy külsı felektıl kapott információ kezeléséért; f) A szervezet felelısségét a személyes adatok kezeléséért, beleértve a szervezetnél való alkalmazás során vagy annak következtében keletkezett személyes adatokat (lásd 15.1.4. fejezet) g) Azokat az intézkedéseket, melyeket a szervezet akkor alkalmaz, ha az alkalmazott vagy a szerzıdı fél nem veszi tekintetbe a szervezet biztonsági követelményeit (lásd még a 8.2.3. szakaszt). Viselkedési szabálygyőjteményt is alkalmazható, így meghatározható az alkalmazottak, szerzıdı felek felelıssége, a bizalmasságot, az adatvédelmet, az etikát, a szervezet berendezéseinek megfelelı használatát illetıen. Gyakorlati tapasztalat, hogy egyes nagyvállalatok esetében a belépı egy szocializációs tréningen „esik át” az alkalmazás elıtt, az ilyen tanfolyamokba az informatikai biztonsági oktatást is érdemes beintegrálni. Az eljárás elınye, hogy az új munkatárs, már az elsı munkanapján teljes tudatában van az információvédelmi felelısségének.

8.2. AZ ALKALMAZÁS ALATT Az alkalmazás alatt folyamatosan gondoskodni kell arról, hogy a felhasználók tudatában legyenek az informatikai biztonság fenyegetéseinek, és motiválva legyenek a szervezet információvédelmi szabályzatainak és intézkedéseinek a betartására. A felhasználók legyenek


79

Informatikai Biztonság Irányítási Követelmények kioktatva a biztonsági eljárásokról és az adatfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázatok minimalizálása érdekében.

8.2.1. A VEZETİSÉG FELELİSSÉGEI A vezetıség felelıssége, hogy megkövetelje az alkalmazottaktól, szerzıdı felektıl és a használó harmadik féltıl, hogy a biztonsági intézkedéseket a meghatározott szervezeti szabályzatokkal és eljárásokkal összhangban alkalmazzák. A vezetıknek biztosítaniuk kell, hogy a munkatársak : a)

Ismerjék a biztonsági felelısségüket, a biztonsági eljárások alkalmazását és az

adatfeldolgozó lehetıségek korrekt használatát, mielıtt az érzékeny információkhoz vagy információs rendszerekhez hozzáférnek, hogy ezzel is a minimálisra csökkentsék a lehetséges biztonsági kockázatokat. b)

Vegyenek részt biztonsági oktatásokban. Ezt a folyamatot ajánlatos egy

felhasználói nyilatkozattal is dokumentálni. (lásd 8.2.2. pont) c)

Legyenek ösztönözve, hogy a szervezet biztonsági szabályzatait teljesítsék;

d)

Alkalmazkodjanak a foglalkoztatás feltételeihez, tartsák be a ide vonatkozó

biztonsági szabályzatokat, a biztonságot érintı kérdésekben megfelelı, naprakész jártasságuk legyen. A felhasználói biztonsági képzés valamint a biztonsági tudatosság hiánya komoly szervezési veszélyforrás! Ha az alkalmazottakban, szerzıdı felekben és a használó harmadik félben nem teszik tudatossá a biztonság iránti felelısségüket, a szervezetnek akaratlanul is jelentıs károkat okozhatnak. A helytelen személyzeti politika, a gyenge vezetés a munkatársakat alul motiválttá teszi, ha a felhasználó nem érzi a fontosságát az adott szervezetnél, akkor a szükséges biztonsági intézkedéseket is kevésbé veszi figyelembe. Tapasztalati tény, hogy az a munkatárs aki nincs kellıképpen motiválva sokkal több informatikai biztonsági eseményt okoz. A felhasználói oktatás a biztonsági elképzeléseket is figyelembe vevı Képzési Terven kell hogy alapuljon. Az informatikai vezetınek – az informatikai biztonságpolitika elveinek, valamint

a saját

hatáskörben

meghatározott

képzési

elveknek

megfelelıen

–

a

humánerıforrás-gazdálkodással, illetve a Biztonsági Vezetıvel egyeztetve ki kell dolgoznia a Képzési Tervet. 80


Informatikai Biztonság Irányítási Követelmények 8.2.2. AZ INFORMATIKAI BIZTONSÁGI OKTATÁS ÉS KÉPZÉS A szervezet valamennyi munkatársát, és ahol szükséges, a harmadik fél felhasználóit is, megfelelı képzésben kell részesíteni a szervezet biztonsági szabályairól és eljárásairól. Ezeket az ismereteket rendszeresen naprakész ismeretek közlésével fel kell újítani. A képzés foglalja magába a biztonsági követelményeket, a jogi felelısséget, az üzleti óvintézkedéseket, valamint az informatikai eszközök helyes használatát, például a bejelentkezési eljárást, a szoftverek használatát. A képzést azelıtt kell lefolytatni, még mielıtt a felhasználók megkapnák a hozzáférési jogot (jogosultság) az informatikai rendszerekhez, vagy az adatokhoz. Az oktatási és képzési dokumentáció és a módszertani kézikönyv megfelelı fejezetei részletesen kell, hogy tartalmazzák a biztonsági oktatásra vonatkozó információkat. Az általános biztonságtudatosítási képzés mellett, melynek mindenkire vonatkoznia kell a szervezetben, különleges biztonsági képzés is szükséges az informatikai biztonsággal foglalkozó személyzet számára. A biztonsági képzés mélységének az informatikának a szervezeten belüli általános fontosságához kell igazodnia, és az adott szerep biztonsági követelményeinek megfelelıen kell változnia. Amennyiben szükséges, sokkal kiterjedtebb oktatást, például egyetemi kurzusokon való részvételt is biztosítani kell. Egy informatikai biztonsági képzési programot kell kialakítani az összes biztonsághoz kapcsolódó igény lefedésére. A különleges biztonsági képzésre küldendı személyzet kiválasztásakor a következıket kell figyelembe venni: a) az informatikai rendszerek tervezésében és fejlesztésében kulcsszerepet játszó személyzet, b) az informatikai rendszerek üzemeltetésében kulcsszerepet játszó személyzet, c) szervezeti, projekt és rendszerszintő Informatikai Biztonsági Vezetık, d) a biztonság adminisztrációjáért felelıs személyzet, például a hozzáférés ellenırzés vagy a címtár kezelés területén. Minden esetben ellenırizni kell, hogy a tevékenységekhez (projektekhez) szükséges-e különleges biztonsági képzés. Valahányszor olyan tevékenységek vagy projektek kezdıdnek, melyek speciális biztonsági követelményeket támasztanak, biztosítani kell a megfelelı biztonsági képzési program kialakítását és lebonyolítását még a projekt indulása elıtt.


81

Informatikai Biztonság Irányítási Követelmények A biztonsági képzés tematikáját a résztvevık szerepe és funkciója szerint kell kialakítani. Általánosan alkalmazhatók az alábbiak: a) mi a biztonság 1) a bizalmasság, sértetlenség, rendelkezésre állás megsértésének megakadályozása, 2) biztonsági esemény esetén a szervezet vagy a személy számára várható negatív hatások, 3) az információk érzékenységi kategorizálásának sémája, b) az általános biztonsági folyamat 1) a teljes folyamat leírása, 2) a kockázatfelmérés összetevıi. c) biztosítékok és a biztosítékoknak eleget tevı oktatás, d) szerepek és felelısségek, e) informatikai rendszer biztonsági politika. Az informatikai biztonsági képzési program egyik legfontosabb célja a biztosítékok helyes kialakítása és használata. Minden szervezetnek az igényeknek és a létezı, valamint a tervezett biztosítékoknak megfelelı módon ki kell alakítania a saját informatikai biztonsági képzési programját. A következıkben példákat mutatunk be a biztosítékokhoz kapcsolódva érintendı témakörökbıl, hangsúlyozva, hogy egyensúlyra van szükség a nem technikai és a technikai jellegő biztosítékok között: a) biztonsági infrastruktúra: 1) szerepek és felelısségek, 2) biztonsági politika, 3) rendszeres biztonsági megfelelıség ellenırzés, 4) biztonsági események kezelése; b) fizikai biztonság: 1) épületek, 2) irodai területek, technikai helyiségek, 3) felszerelések; 82


Informatikai Biztonság Irányítási Követelmények c) személyzeti biztonság; d) adathordozók biztonsága; e) hardver/szoftver biztonság: 1) azonosítás és hitelesítés, 2) logikai hozzáférés ellenırzés, 3) elszámolás és biztonsági ellenırzés, 4) adathordozók logikailag törölt részeinek tényleges törlése; f) kommunikáció biztonság: 1) hálózati infrastruktúra, 2) hidak, útválasztók, kapcsolók, átjárók, tőzfalak, 3) Internet és egyéb külsı csatlakozások; g) üzletmenet folytonosság, ide értve a katasztrófa esetén történı tevékenységeket és visszaállítási stratégiát, terve(ke)t.

8.2.3. FEGYELMI ELJÁRÁS Azokkal az alkalmazottakkal szemben, akik a szervezet biztonsági szabályzatait és eljárásait megsértették (lásd a 6.1.4. szakaszt, és a bizonyítékok megırzésérıl a 12.1.7. szakaszt) legyen hivatalos fegyelmi eljárás. Ez az eljárás visszatartólag hathat olyan munkatársakra, akik egyébként hajlamosak lennének arra, hogy a biztonsági szabályokat megszegjék. A biztonsággal összefüggı munkavállalói kötelességek megszegésének gyanúja esetén a felelısségi vizsgálat megindítása a munkáltatói jogkört betöltı vezetı felelıssége, és egyben kötelessége. A felelısségi, kártérítési eljárást a Munka Törvénykönyve (és ha van ilyen a Kollektív Szerzıdés) szerint kell lebonyolítani. Az eljárás minden esetben legyen korrekt és méltányos. Az eljárás vegyen figyelembe olyan tényezıket, mint az biztonsági esemény fajtája, súlyossága, az elkövetés ismétlıdése, hogy az elkövetı megkapta-e a szükséges oktatásokat, illetve hogy mik a vonatkozó jogszabályok, üzleti szerzıdések és más tényezık. Az eljárás az elkövetés súlyos eseteiben tegye lehetıvé a hozzáférési jogok azonnali megszüntetését és az azonnali elvezetést a helyszínrıl, ha szükséges.


83

Informatikai Biztonság Irányítási Követelmények 8.3. AZ ALKALMAZÁS MEGSZŐNÉSEKOR VAGY VÁLTOZÁSAKOR A munkaviszony megszüntetése illetve munkaviszony szervezeten belüli megváltozása nagyjából azonos biztonsági kategória, mivel mindkettı az éppen használt adatfeldolgozó eszközök és jogosultságok leadásával jár. A munkatársak feladatainak elhatárolása alapvetı biztonsági követelmény, éppen ezért a felhasználói jogosultságok megvonása az adott szervezeti területen teljes mértékben indokolt. A cégen belül másik szervezeti egységhez áthelyezett munkatársat ilyen szempontok alapján gyakorlatilag azonosan kell kezelni a kilépı munkatárssal. 8.3.1. A MUNKAVISZONY MEGSZÜNTETÉSÉNEK BIZTONSÁGI KÉRDÉSEI A

munkaviszony

megszüntetésekor

a

szervezet

szempontjából

biztonsági

alapkövetelmény, hogy az alkalmazottak, a szerzıdı felek és a használó harmadik fél rendezett módon hagyják el a szervezetet vagy változtassanak alkalmazást. A felelısségeket úgy alakítsák ki, hogy biztosítsák, hogy az alkalmazottak, a szerzıdı felek vagy a használó harmadik fél távozását a szervezetbıl úgy intézzék, hogy az összes berendezés visszaküldése és minden hozzáférési jog visszavonása idıben befejezıdjék. A munkaviszony megszőnése utáni felelısségek közlése tartalmazza a folyamatos biztonsági követelményeket és jogi felelısségeket, és ahol szükséges a titoktartási nyilatkozatban, megállapodásban szereplı felelısségeket (lásd a 6.1.5. fejezet), amelyek még vonatkoznak a távozó munkatársra egy meghatározott idıszakon át a munkaviszony megszőnése után is. Az alkalmazás befejezése után még érvényes felelısségek és kötelezettségek szerepeljenek az alkalmazott, a szerzıdı fél vagy a harmadik fél szerzıdéseiben. A felelısségek vagy alkalmazások változtatását egy szervezeten belül kezeljék úgy, mint amikor az illetı felelısség vagy alkalmazás ezzel a fejezettel összhangban befejezıdik és az új felelısségeket vagy alkalmazást kezeljék a 8.1. szakasz szerint. 8.3.2. AZ ESZKÖZÖK VISSZAADÁSA Alapvetı biztonsági cél, hogy minden alkalmazott vagy szerzıdı fél alkalmazása, szerzıdése vagy megállapodása lejárta után a szervezet minden vagyontárgyát szolgáltassa vissza, beleértve a szoftvereket, társasági dokumentumokat, az informatikai eszközöket, hitelkártyákat, beléptetı kártyákat, illetve különféle elektronikus adathordozón tárolt információkat. 84


Informatikai Biztonság Irányítási Követelmények Azokban az esetekben, amikor egy alkalmazott, szerzıdı fél megveszi a szervezet egy adatfeldolgozásra alkalmas eszközét vagy a saját személyi számítógépét használja, a kiléptetési folyamat során az eszközrıl minden szervezetet érintı adatot biztonságosan törölni kell (lásd még a 10.7.1. szakaszt). Az átadási folyamat természetesen érinti azokat az ismereteket, adatokat is, melyek a folyamatos mőködéshez elengedhetetlenek, ezeket szintén dokumentáltan kell átadnia a szervezetnek. 8.3.3. A HOZZÁFÉRÉSI JOGOK VISSZAVONÁSA. A vezetıség által kezdeményezett munkaviszony megszőntetések esetében, elégedetlen alkalmazottak, szerzıdı felek tudatosan kárt tehetnek az adatfeldolgozó rendszerben. A felmondás alatt álló sértıdött személyek számára a biztonsági elıírások már nem sokat jelentenek, sıt az esetek többségében információkat győjtenek új munkahelyükön való késıbbi felhasználásra. Megindulhat a céges szerzıdésminták, szabályzatok, üzleti tervek, üzemeltetési leírások, marketing és rendszertervek kiszivárgása. Mindezekbıl kifolyólag a távozó munkatárs szinte minden esetben (a nyugdíjazás kivételével) biztonsági kockázatot jelent a szervezet számára. Távozó munkatársak esetén biztonsági alapkövetelmény, hogy minden az informatikai rendszert érintı hozzáférési jog visszavonása a távozáskor befejezıdjék. Fontos, hogy az informatikai jogosultságokon kívül visszavonásra kerülı vagy átalakítandó hozzáférési jogok közé tartoznak a fizikai vagy logikai hozzáférések, azonosító, beléptetı kártyák, elıfizetések. Amennyiben a kilépı munkatársnak vagy szerzıdı félnek ismert jelszavai vannak aktív számlákhoz, ezeket cserélni kell az alkalmazás, a szerzıdés vagy megállapodás befejezésekor vagy változtatásakor. Biztonsági szempontból szükséges, hogy a felelıs vezetık informálják az alkalmazottakat, az ügyfeleket, a szerzıdı feleket vagy a harmadik felet a személyzeti változásokról, és kezdeményezzék a távozó munkatárs esetleges ügyfeleket, szerzıdı feleket érintı jogosultságainak (pl. belépési engedélyek, távoli hozzáférések) teljeskörő visszavonását. Az adatfeldolgozó eszközök hozzáférési jogait minısített esetben akár még a felmondási idı alatt is ajánlatos csökkenteni vagy megszüntetni. Természetesen az ilyen intézkedést csak különféle kockázati tényezık elemzése után hoznak meg, mint a következık: a)

Ki kezdeményezte a munkaviszony megszüntetését, és a mi megszőnés indoka.


85

Informatikai Biztonság Irányítási Követelmények b)

Milyen mértékő az alkalmazott, vagy a szerzıdı fél jelenlegi felelıssége;

c)

Mennyi a pillanatnyilag számára hozzáférhetı vagyontárgyak értéke.

Nagy szervezetek esetében tipikus jelenség a belsı munkaerı áramlás, mely kialakulhat spontán vagy az átszervezés során. Az esetek többségében megfigyelhetı, hogy a felhasználónak a régi szervezeti egységnél megadott hozzáférési jogosultságai, az áthelyezés után is megmaradnak. Ilyenkor sérülhet, az osztott biztonság elve, mely szerint az ideális állapot az, hogy minden munkatárs annyi információhoz férjen hozzá, amely a munkájához feltétlen szükséges. Az áthelyezés során megmaradt jogosultságok által okozott fenyegetettségek mértéke, mindig az adott szervezet külsı és belsı körülményeitıl függ, azonban ilyenkor is ajánlatos hasonlóképpen eljárni, mint a távozó munkatárs esetében. Fontos, hogy a hozzáférési jogok átadása, és visszavonása mindig dokumentáltan történjen. 8.3.4. AZ ÁTSZERVEZÉS BIZTONSÁGI KÉRDÉSEI A szervezetek életében az átszervezés az egyik legtöbb emberi veszélyforrást tartalmazó folyamat. Még a legprecízebb módon mőködtetett védelmi rendszer esetében is a jogosultságok birtokosa, a munkavállaló a legfıbb kockázati tényezı. Az átszervezés során köztudott, hogy teljesen átalakul a szervezeti felépítés, vezetık, feladatkörök változnak, esetleges elbocsátásokkal is számolhatunk, a bizonytalanság miatt megromlik a morál. Figyelembe kell venni, hogy az átszervezési folyamat akár több hónapig elhúzódhat, de nagy szervezetek esetében akár éves szintő is lehet. Az átmeneti idıszak hordozza magával a legtöbb veszélyforrást, azonban a „vesztesek” ennek a folyamatnak továbbra is a kulcsszereplıi kell, hogy legyenek, mivel az üzletmenet az átszervezés ideje alatt sem állhat meg. Az átszervezés során beinduló, az informatikai rendszert érintı káros folyamatok: •

Megindul a „saját mentések” készítése a közös meghajtókról, melyek során bizalmas adatok kerülhetnek ki a szervezet határain kívülre.

•

Különféle felhasználói információszerzési „projektek” indulnak.

•

Megindul

a

cég

szellemi

tıkéjének

(tudásbázisának)

kiáramlása.

(céges

szerzıdésminták, szabályzatok, üzleti tervek, üzemeltetési leírások, rendszertervek stb.)

86


Informatikai Biztonság Irányítási Követelmények •

Az átszervezési problémákkal foglalkozó irodalom szerint, az átalakulás miatt megnövekvı stressz-hatások és hasonló deprimáló tényezık miatt a munkatársak teljesítménye jelentısen visszaesik.

A fent felsorolt veszélyforrások kellı indokot adnak arra, hogy az átszervezés esetében már a tervezési szinten elemezni kell a biztonsági kockázatokat és meg kell határozni azokat az

informatikai

biztonsági

követelményeket,

intézkedéseket,

melyeket

szervezetnek

érvényesítenie kell. A fájlszervereken lévı megosztott munkakönyvtárak, és az alkalmazási rendszer hozzáférés-védelmét ellenırizni, szükség esetén módosítani kell. Ezek a veszélyforrások csak részben küszöbölhetıek ki technikai biztonsági intézkedésekkel. Természetesen egy olyan szervezetnél, ahol a feladatkör elhatárolás rendezett, és a jogosultsági rendszer is ennek alapján került kialakításra jóval kisebb a szervezet számára érzékeny információk kiáramlásának kockázata, mivel a felhasználók csak a munkakörük betöltéséhez, szükséges információkhoz férhetnek hozzá. Nem szabad megfeledkezni azonban arról a tényrıl, hogy a hozzáférés-védelmi rendszer fıszereplıje nem csak a használt operációs rendszer, hanem a hozzáférési jogok birtokában lévı felhasználó. A humánpolitikának kulcsszerepe van a nem kívánt biztonsági események megelızésében. Fontosabb, megelızı humánpolitikai intézkedések: •

Korrekt tájékoztatás.

•

A jogszabályokban és egyéb dokumentumokban meghatározott összegő végkielégítés.

•

A szervezet által támogatott átképzések a távozó munkatársak részére.


87


9. FEJEZET FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG A fizikai és környezeti biztonság megteremtése, illetve fenntartása érdekében a vonatkozó jogszabályok, biztonsági és tőzvédelmi szabványok, valamint a helyi szabályzatok, rendelkezések elıírásainak maradéktalanul meg kell felelni.

9.1. BIZTONSÁGI SZEGMENSEK Az infrastruktúrát és az információt meg kell védeni a jogosulatlan hozzáféréstıl, a sérüléstıl, valamint az illetéktelen beavatkozástól. Az illetéktelen hozzáférés, a károkozás és az üzleti helyiségekbe való behatolás, valamint az adatok jogtalan elérésének megakadályozása érdekében a lehetséges kockázatokat fel kell mérni és ennek megfelelıen biztonsági területeket kell kijelölni. A kritikus vagy érzékeny üzleti adatokat feldolgozó és tároló eszközöket, szervezeteket, létesítményeket meghatározott biztonsági sávval védett, biztonsági korlátokkal és áthaladást ellenırzı pontokkal ellátott területeken (a továbbiakban: biztonsági területek) kell elhelyezni. Gondoskodni kell az illetéktelen behatolást, hozzáférést, károkozást és beavatkozást megakadályozó fizikai-mechanikai, elektronikai és személyi védelem szükséges mérető – együttes – alkalmazásáról. A védelemnek arányban kell állnia a megállapított kockázatokkal. Az illetéktelen hozzáférés megakadályozása, a dokumentumok, az adathordozók védelme és az adatfeldolgozó létesítmények kockázatának mérséklése érdekében szükség van megfelelı beléptetési és megfigyelési szabályok érvényesítésére. A kialakított biztonsági intézkedések legyenek kockázatarányosak. Ajánlatos, hogy az „Üres asztal - tiszta képernyı” szabály alkalmazásával csökkentsük a papírok, az adathordozók és az adatfeldolgozó eszközök jogosulatlan hozzáférésének és károkozásának a kockázatát.

88


Informatikai Biztonság Irányítási Követelmények 9.1.1. BIZTONSÁGI HATÁROK A fizikai biztonsági zónákat (szegmenseket) informatikai rendszerenként, valamint biztonsági osztályonként egyaránt rögzíteni kell. A biztonsági területeken belül biztonsági zónákat kell meghatározni és kijelölni, valamint azokat informatikai rendszerenként, illetve biztonsági osztályonként rögzíteni kell. A védelemigényes helyiségekbe (biztonsági területekre vagy zónákba) való belépési jogosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az informatikai rendszerben vagy környezetében betöltött szerepük alapján kell hozzá rendelni a helyiségekhez vagy helyiségcsoportokhoz. Alapvetı követelmények: -

A szervezet adatfeldolgozó helységeinek határoló falazata fizikailag legyen ellenálló, a külsı falak, nyílászárók megfelelı felépítésőek legyenek.

-

Fontos, hogy a felügyelet nélküli helységek nyílászárói zárva legyenek.

-

Ablakok esetében, ha a szükséges ajánlatos külsı mechanikai védelmi eszközöket (pl. rács) alkalmazni, különösen a földszinti helységek esetében.

-

Fogadó személyzettel, vagy ha szükséges biztonsági ırrel ellátott ügyfélteret, recepciót, tárgyalóhelyet a produktív munkaterületektıl és az adatfeldolgozó egységektıl kellı távolságban kell kialakítani.

-

A fizikai biztonság fontos eleme a tőzvédelem, a biztonsági határoknak falaknak, nyílászáróknak a nemzetközi elıírásoknak szabványoknak megfelelı tőzállóságal kell rendelkezniük.

-

A megfelelı behatolásjelzı-rendszer a biztonság alappillére, fontos hogy minden produktív terület megfelelıen particinált behatolásvédelmi rendszerrel legyen felszerelve. Napjaink riasztóközpontjai lehetıvé teszik a különbözı biztonsági zónák (ún. particiók) létrehozását az adott telephelyen belül. A területileg megosztott, jól particionált biztonsági rendszer, támogatja a szervezeten belüli feladatelhatárolást is.

-

Fontos, hogy a szervezet által kezelt adatfeldolgozó eszközöket fizikailag el kell választani azoktól, amelyeket harmadik fél kezel.


89

Informatikai Biztonság Irányítási Követelmények Minısített esetekben a fizikai biztonság növelhetı olyan módon is, hogy a védendı objektum körül több biztonsági zónát is kialakítanak, így ha a védelem külsı határvédelme használhatatlanná válik, vagy meghibásodik, a belsı védelmi "győrő" még mindig véd. Külön megfontolást igényelnek a fizikai biztonság szempontjából az olyan épületek, telephelyek ahol egyszerre több szervezet mőködik.

9.1.2. BELÉPTETÉSI INTÉZKEDÉSEK A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenırizni kell. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkezı munkatársak, illetve külsı személyek esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés elıtt ellenırizni kell a belépı által megjelölt belépési célt. Külsı személyek csak kísérettel tartózkodhatnak a szervezet objektumain belül. A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési jogosultsággal rendelkezı személyek be- és kilépését is naplózni kell. A fokozott vagy kiemelt biztonsági osztályba sorolt zónák esetén a belépés ellenırzését a beléptetı rendszer kártyáján túl egyéb hitelesítési eljárások alkalmazásával (például PIN kód, biometriai azonosító eljárások) is meg kell erısíteni. Minden munkatársat, szerzıdı felet, és minden vendéget kérjenek meg, hogy viseljenek látható egyértelmő azonosító kártyákat. A munkatársak minden esetben jelentsék a biztonsági személyzetnek, ha kísérı nélküli látogatóval találkoznak vagy bárkivel, aki nem visel látható azonosítót. A támogató szolgáltatást adó személyzet hozzáférését korlátozni kell adatfeldolgozó helységekben. Ha a hozzáférés indokolt és engedélyezett, akkor is kísérjék figyelemmel. A biztonsági területekhez való hozzáférési jogokat rendszeresen vizsgálják át, frissítsék és vonják vissza, ha szükséges (lásd 8.3.3. fejezet). 9.1.3. LÉTESÍTMÉNYEK ÉS HELYISÉGEK BIZTONSÁGA Az informatikai rendszerek környezetét legalább a biztonsági osztálynak megfelelı fizikai-, mechanikai-, elektronikai- és személyi védelemmel kell biztosítani (például rácsos ablakok, az áttörést megnehezítı üvegezés, acélajtók). Az alkalmazott védelmi formák körét, azok kialakítását a Biztonsági Vezetı határozza meg az informatikai biztonságpolitika

90


Informatikai Biztonság Irányítási Követelmények elveinek megtartása mellett, az adott létesítmény védelmi igényének és speciális feltételeinek figyelembe vételével. A következı védelmi intézkedéseket ajánlatos megfontolni: a) A kulcsfontosságú eszközöket úgy ajánlatos elhelyezni, hogy az illetéktelen személyek hozzáférését elkerüljük. b) Az objektumok ne legyenek kirívóak, és ne mutassák céljukat, ne adják se belül se kívül nyilvánvaló jelét, annak, hogy abban adatfeldolgozó tevékenység folyik. c) Segédberendezések és eszközök, mint a fénymásolók, szkennerek, a biztonsági körleteken belül legyenek elhelyezve, hogy ezzel is elkerüljük az illetéktelen hozzáférés lehetıségét, amely az információ veszélyeztetésével járna. d) Ajtók és ablakok akkor, amikor nincs a közelben felügyelı személyzet, legyenek elreteszelve, és az ablakok külsı védelmérıl is ajánlatos gondoskodni, különösen a földszinten. e) A helyiségeket olyan alkalmas behatolás-jelzı rendszerrel kell védeni, amely az összes külsı ajtót és hozzáférhetı ablakot (nyílászárót) lefedi és védi. f) Az adott szervezet által kezelt és menedzselt adatfeldolgozó eszközöket fizikailag is ajánlatos elválasztani azoktól, amelyekkel harmadik felek foglalkoznak. g) A névtárakat és a belsı telefonkönyveket, címjegyzékeket, amelyek érzékeny adatfeldolgozó eszközök helyét azonosítják, nem szabad a nyilvánosság számára elérhetıvé tenni. h) Veszélyes vagy gyúlékony anyagokat biztonságosan ajánlatos tárolni a biztonsági körlettıl biztos távolságban. A tömegesen leszállított árut, mint az irodaszereket a biztonsági körletben ajánlatos tárolni felhasználás elıtt. i) A tartalékberendezést és a tartalékolt adathordozókat olyan biztonságos távolságban ajánlatos elhelyezni, amellyel elkerülhetı, hogy a központi telephely katasztrófája esetén kárt szenvedjenek.

9.1.4. VÉDELEM A KÜLSİ ÉS KÖRNYEZETI FENYEGETETTSÉGEK ELLEN A szervezetnek minden esetben fel kell mérnie azokat a fenyegetettségeket. amelyeket a közvetlen környezet jelent. Magyar Informatikai Biztonság Irányítási Keretrendszer

91

Informatikai Biztonság Irányítási Követelmények Az adatfeldolgozó, vagy tároló telephelyek kiválasztásakor fontos figyelembe venni, az adott földrajzi elhelyezkedésébıl eredı veszélyforrásokat (pl árvíz, földrengés, erdı vagy bozóttőz), valamint az adott terület. klímáját (pl. vihartérképek beszerzése, ár- vagy belvíz veszély felmérése). Új telephely létesítésekor, az ilyen speciális veszélyforrások azonosítására és a kockázatok elemzésére érdemes szakértıkhöz fordulni. A

szervezetek

telephelyének

közelében

lévı

különféle

ipari

létesítmények

(olajfinomítók, erısáramú vezetékek) vagy tevékenységek is komoly veszélyt jelentenek. A szervezeteknek költözéskor vagy új telephelyek létrehozásakor érdemes ilyen irányú környezettanulmányt, illetve kockázatelemzést végezniük. Fontos biztonsági szempont, hogy a tartalékberendezések és tartalék adathordozók biztonságos távolságban legyenek elhelyezve, a produktív területtıl (általában a fı telephelytıl) hogy elkerüljék a kárt egy olyan károsodás miatt, amely a fıtelephelyet érinti. Bevált gyakorlat a több telephellyel rendelkezı szervezeteknél, hogy a tartalék eszközök, adathordozók tárolását egymással elcserélik, így biztosítva a mőködésfolytonosságot és az üzletmenetet, a valamelyik telephelyet ért katasztrófa esetére is. 9.1.5. MUNKAVÉGZÉS A BIZTONSÁGI SZEGMENSEKBEN A biztonsági területeken való munkavégzés esetén kiegészítı védelmi intézkedésekre és útmutatókra van szükség. A következı intézkedéseket kell bevezetni: a) A személyzet legyen tudatában a biztonsági körlet létezésének, és hogy abban tevékenységet csak meghatározott célból szabad végeznie. b) A biztonsági körletben nem engedhetı meg a felügyeletlen munkavégzés. c) A személyzet nélkül hagyott biztonsági körleteket fizikailag le kell zárni és idırıl idıre ellenırizni. d) A biztonsági területekre támogató munkát végzı külsı személyzetnek csak korlátozott hozzáférést (belépést) szabad adni, és azt is csak a szükséges esetben és idıre. e) A fényképezést, videofelvételt, hangfelvételt nem szabad megengedni csak külön felhatalmazás formájában. f) A beléptetés rendjére külön utasítást kell alkalmazni, de különösen betartandó: 1) A biztonsági területeken belül 92


Informatikai Biztonság Irányítási Követelmények − az állandó belépési jogosultsággal rendelkezı személyek arcképes − az eseti belépési jogosultságot kapott személyek fénykép nélküli kitőzıt kötelesek viselni. 2) Látogatók, vendégek csak kísérettel tartózkodhatnak az objektumban. 3) A kitőzıt nem viselı személyt minden munkatárs köteles figyelmeztetni a kitőzı használatára, és ha ez nem vezet eredményre, az objektum biztonságáért felelıs személyt értesíteni kell.

9.1.6. A KISZOLGÁLÓ TERÜLETEK ÉS RAKTÁRAK BIZTONSÁGI ELKÜLÖNÍTÉSE A kiszolgáló területeket és raktárakat, ahol csak lehetséges el kell különíteni az adatfeldolgozó eszközöktıl. Az ilyen körletek biztonsági követelményeit kockázatelemzéssel (becsléssel) ajánlatos meghatározni. A következı óvintézkedéseket ajánlatos megfontolni: a) Az épületen kívüli raktárakhoz való hozzáférést csak az azonosított és felhatalmazott személyzetre kell korlátozni. b) A raktárakat úgy kell tervezni, hogy a szállítmányokat úgy lehessen lerakodni, hogy a kiszállító személyzetnek ne kelljen belépnie, az épület más részeibe. c) A bejövı anyagokat a lehetséges veszélyekre tekintettel ajánlatos megvizsgálni [lásd a 7.2.1.d) szakaszt], mielıtt azok a raktárból végleges használati helyükre kerülnek. d) A bejövı anyagokat, ha ez alkalmas, ajánlatos már a telephelyre belépésükkor nyilvántartásba venni (lásd az 5.1. szakaszt). e) A szállítási és tárolási területek külsı ajtói legyenek biztosítva, amikor a belsı ajtókat kinyitják. f) A beérkezı anyagot vegyék jegyzékbe a vagyontárgy-kezelési eljárásokkal összhangban (lásd 7.1.1 fejezet) beérkezéskor. g) A beérkezı és a kimenı szállítmányok raktárait és rakodási útvonalát, ha lehet, fizikailag válasszák el.


93

Informatikai Biztonság Irányítási Követelmények 9.2. A BERENDEZÉSEK FIZIKAI VÉDELME Az informatikai berendezéseket, eszközöket fizikai valójukban is védeni kell a biztonságot fenyegetı veszélyektıl és a káros környezeti hatásoktól. A mőszaki eszközök fizikai védelmére azért van szükség, hogy ily módon is mérsékeljük az adatokhoz való illetéktelen hozzáférés kockázatát, valamint gondoskodjunk az adatok és eszközök megfelelı védelmérıl. Erre már a berendezések elhelyezése során is tekintettel kell lenni. A veszélyek és az illetéktelen hozzáférés elhárításához, illetve a kiszolgáló létesítmények védelméhez különleges eszközökre, többek között áramszolgáltató és kábelrendezı infrastruktúrára is szükség van. a) Az informatikai rendszerek védelmének ki kell terjednie: 1) az extrém hımérsékletek és a meg nem engedett mértékő levegı nedvességtartalom elleni védelemre (klimatizálás), 2) a

fémes

adatvezetékek

elektromágneses

impulzusok

elleni

védelmére

(elektromágneses besugárzás elleni védelem), 3) külsı tényezık (tőz, víz, vihar, stb.) elleni védelemre, így különösen a tőzjelzı berendezések meglétére és mőködıképességére, illetve a vízelvezetésre, 4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással), 5) az áramellátás területén a villámcsapások elsıdleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre, 6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelı kialakításával, amelyekbe az informatikai rendszereket telepítették). b) A rendszerszintő IBSZ-ekben részletesen kell szabályozni: 1) a mőszaki berendezések elhelyezését és védelmét, 2) az energiaellátást, 3) a kábelezés biztonságát, 4) a berendezések karbantartását, 5) a telephelyen kívüli berendezések védelmét,

94


Informatikai Biztonság Irányítási Követelmények 6) a berendezések biztonságos tárolását és újrafelhasználását. Mindehhez a következı követelményeket kell érvényesíteni: a) 0. és 1. szinteken: 1) A központi hardver erıforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és megbízható mőködésének biztosításában nagy szerepet játszik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az erıforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat mőködését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. Tekintettel ezek fajlagosan magas árára, a védelem teljes körő és mindenre kiterjedı kell, hogy legyen. Errıl a teljes körő védelemrıl már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élıerıs, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belsı közlekedı terek, közös, illetve kiegészítı helyiségek, stb.) kell meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági elıírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott biztonság mértékétıl. Ilyen helyiségek a távbeszélı hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok. 2) A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál a vonatkozó szabványok. 3) Az objektumok ırzés-védelmét, nyitását és zárását, a be- és kilépést mind munkaidıben, mind azon kívül a hatályban lévı szabályzatok és az érvényes elıírások alapján biztosítani és érvényesíteni kell. 4) Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget távollét esetén zárva kell tartani. 5) Biztosítani kell az adathordozók és dokumentációk tőz- és vagyonvédett tárolását.


95

Informatikai Biztonság Irányítási Követelmények 6) A tőz elleni védelmet elsıdlegesen a személyi felügyelet, valamint a jelenlévı személyzet biztosítja a helyiségen belül készenlétben tartott – a tőzvédelmi elıírásoknak megfelelı – kézi tőzoltó-készülékekkel. A készenléti helyeken elsıdlegesen gáz halmazállapotú oltóanyaggal feltöltött tőzoltó-készülékek legyenek. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tőzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthetı pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok elıírásainak megfelelı tőzjelzı rendszert kell kiépíteni és üzemeltetni. 7) Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok elıírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok elıírásainak. 8) A rendelkezésre állás szempontjából lényeges követelmény, hogy az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési idıre vonatkozó követelményeknek megfelelıen kell kialakítani és külön leágazás megépítésével kell a betáplálásról gondoskodni. 9) A villámvédelem feleljen meg a kommunális és lakóépületekre vonatkozó elıírásoknak. 10) Az átlagostól eltérı klimatikus viszonyú (például a hımérséklet, illetve a páratartalom értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) helyiségekben lokális klimatizálásról kell gondoskodni. b) 2. és 3. szinten, az elızıeken túl: 1) A területen 12 órás áthidalást biztosító szünetmentességgel ellátott olyan elektronikai jelzırendszert kell kiépíteni, amellyel biztosítható a teljes felület- és a részleges térvédelem. 2) A személyzet és a külsı személyek belépési és azonosítási rendjét szabályozott formában kell megvalósítani. 3) Az ır- és a biztonsági személyzet létszámát úgy kell megállapítani, és olyan eszközökkel kell ellátni, hogy esemény esetén az érintett személy jelezni tudjon. 4) A helyiségbe csak annak üzemeltetéséhez elengedhetetlenül szükséges közmőhálózat csatlakozhat, tehát a helyiségen belül nem mehet át víz, gáz, csatorna és egyéb közmővezeték. 96


Informatikai Biztonság Irányítási Követelmények 5) A technikai védelmi rendszert a helyiségben ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál meg kell jelenniük. A védelem szabotázsvédett legyen és a következı követelményeket elégítse ki: − a nyílászárók nyitás- és zártság ellenırzı eszközzel legyenek ellátva, a belsı terek védelme mozgásérzékelıvel biztosított legyen, a védelem ki- és bekapcsolása a bejáraton kívül elhelyezett (minimum 6 számjegyes) kóddal mőködtetett tasztatúráról történjék, − a személyzet a helyiségbe belépni szándékozókat belépés elıtt a biztonság veszélyeztetése nélkül azonosítsa, − a jelzıközpont és az általa mőködtetett eszközök 12 órás áthidalást biztosító szünetmentes tápegységgel rendelkezzenek oly módon, hogy a 12. óra letelte után még rendelkezzenek egy riasztási esemény jelzésére és a hozzá kapcsolódó vezérlés végrehajtására elegendı energiával (például hang- vagy fényjelzı eszköz 3 perces idıtartamban való mőködtetése). 6) A helyiség ajtaja rendelkezzen legalább 30 perces (mőbizonylatolt) tőzgátlással, továbbá a helyiségen belül automatikus és kézi jelzésadók kerüljenek telepítésre. A jelzésadók jelzéseit mind a helyiségen belül, mind az épület biztonsági szolgálatánál meg kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok elıírásainak, rendelkezzenek a hazai minısítı intézetek forgalombahozatali engedélyével. Az automatikus tőzoltó rendszerek tervezése és szabályozása a Biztonsági Vezetı által meghatározottak szerint történik. 7) A helyiséget úgy kell elhelyezni, hogy felette és a határoló falfelületeken vizes blokkot tartalmazó helyiségrész ne legyen, nyomó- és ejtıcsövek ne haladjanak át, gázvezetéket telepíteni tilos. 8) Az elektromos hálózat legalább a szerver és a szükségvilágítás vonatkozásában 30 perces áthidalási idejő megszakításmentes átkapcsolással rendelkezı szünetmentes tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt követı töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza. 9) A padlóburkolatok, berendezési tárgyak antisztatikus kivitelőek legyenek.


97

Informatikai Biztonság Irányítási Követelmények 10) A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó elıírásokat és az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség elleni védelembe kell bevonni az árnyékolást megtestesítı, az épületbe belépı minden fémszerkezetet (az elektromos hálózatot, víz, gáz, távfőtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélı hálózatokat, stb.). 11) A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellátás legfeljebb a klimatizáló berendezések által átlagos szinten biztosított porkoncentrációt érheti el. c) 4. szinten, az elızıeken túl: 1) A mechanikai védelem védjen a közforgalmú területrıl történı betekintés ellen is. 2) Az elektronikai védelem terjedjen ki a számítástechnikai eszközökre, valamint a felügyelet nélküli helyiségekre is. 3) A személyzet és a külsı személyek belépési és azonosítási rendjét szabályozott formában, intelligens beléptetı-rendszerrel kell megvalósítani, amely a mindkét irányú áthaladásokat naplózza és biztosítja az azonosító eszköz azonos irányban történı többszöri felhasználásának tilalmát. 4) A helyiségbe (épületbe) belépni szándékozókat azonosítani kell, és a belépıkrıl nyilvántartást kell vezetni. 5) A területre történı belépést azonosításra és hitelesítésre alkalmas rendszerrel kell ellenırizni. 6) A főtést a klímarendszeren keresztül meleg levegı befúvással kell megoldani, a helyiségben vizes főtés nem létesíthetı. A klímarendszer kültéri és beltéri egységbıl épüljön fel, vízhőtéses klíma nem telepíthetı. Központi klímagép telepítése esetén a befúvó és az elszívó légcsatornába légmentesen záró, tőzgátló tőzcsappantyúkat kell telepíteni. 7) A szerverszobába csak az annak üzemeltetéséhez elengedhetetlenül szükséges közmőhálózat csatlakozhat. 8) A technikai védelembe legyenek bekötve a hardver-védelemmel ellátott gépek burkolatai az illetéktelen kinyitás jelzésére, a hardver-védelem eltávolításának megakadályozására. A számítóközpontok, a szerverszobák, és az egyéb „központi” jellegő informatikai helyiségek védelmét intelligens beléptetırendszerrel kell 98


Informatikai Biztonság Irányítási Követelmények kiegészíteni, amely a mozgásokat mindkét irányban regisztrálja, legalább az utolsó 4.000 eseményt naplózza és az utolsó személy távozásakor a védelmi rendszert automatikusan élesítse. A hardver-védelemmel ellátott munkaállomások elhelyezésére szolgáló helyiségeket munkaidın kívül elektronikus védelemmel kell ellátni. 9) A helyiség automatikus mőködtetéső oltórendszerrel egészítendı ki, az oltórendszer mőködését tekintve helyi vagy teljes elárasztásos legyen, mőködése elıtt biztosítson elegendı idıt a személyzet evakuálására, vezérlı kimeneteinek egyikén adjon jelzést a szervernek az automatikus mentésre, majd azt követıen a lekapcsolásra. 10) Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett olyan szükség-áramellátó

diesel-elektromos

gépcsoportot

is

kell

telepíteni,

amely

automatikus indítású és szabályozású, akkora teljesítményő, hogy képes legyen kiszolgálni a számítástechnikai eszközökön túl az azok mőködéséhez szükséges segédüzemi (például klíma) berendezéseket is.

9.2.1 A MŐSZAKI BERENDEZÉSEK ELHELYEZÉSE ÉS VÉDELME A berendezéseket úgy kell elhelyezni és védeni, hogy csökkentsük a környezeti fenyegetések és veszélyek kockázatát, valamint a jogtalan hozzáférés lehetıségét. A következı intézkedéseket kell meghozni: a) A berendezéseket úgy ajánlatos elhelyezni, hogy a munkaterületek szükségtelen megközelítéseit minimalizáljuk. b) Az érzékeny adatokat tároló és feldolgozó eszközöket úgy ajánlatos elhelyezni, hogy a használat alatti rálátás kockázatát lecsökkentsük. c) A különleges védelmet igénylı tételeket ajánlatos elkülöníteni, hogy az általánosan igényelt védelmi szintet lecsökkentsük. d) Azokat az óvintézkedéseket ajánlatos jóváhagyatni, amelyek az olyan fenyegetések kockázatát minimalizálják, mint 1) a lopás, 2) a tőz, 3) a robbanóanyagok, 4) a füst, Magyar Informatikai Biztonság Irányítási Keretrendszer

99

Informatikai Biztonság Irányítási Követelmények 5) a víz (vagy a vízellátás meghibásodása), 6) a köd, 7) a ráz(kódtat)ás, 8) vegyi behatások, 9) a villamos energiaellátás zavarai, 10) elektromágneses sugárzás. e) Ajánlatos, ha a szervezet megfontolja az olyan szabályzatait, amelyek az adatfeldolgozó eszközök

közvetlen

közelében

folytatott

étkezésre,

folyadékfogyasztásra

vagy

dohányzásra vonatkoznak. f) A környezeti feltételeket állandóan figyelni ajánlatos az olyan helyzetek felismerése érdekében, amelyek az adatfeldolgozó eszközök mőködésére negatív hatással lehetnek. g) Az olyan különleges védelmi módszereket, mint amelyet például a billentyőzeti membránok jelentenek, ajánlatos az ipari környezetben mőködtetett berendezésekhez figyelembe venni. h) Ajánlatos felmérni (megbecsülni) a közelben bekövetkezı olyan katasztrófák hatásait, mint a szomszédos épületekben pusztító tőz, a tetın keresztül vagy a földszint alól betörı víz, vagy valamely utcai robbanás.

9.2.2. ENERGIAELLÁTÁS A berendezéseket meg kell védeni a tápáramellátás meghibásodásától és más hasonló villamos rendellenességektıl, anomáliáktól. Olyan villamos betáplálást alkalmazzunk, amelyik megfelel a berendezés gyártói specifikációjának. Azok a lehetıségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, magukban foglalják: a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük, b) szünetmentes tápegység alkalmazását (UPS: uninterruptable power supply), c) tartalék áramforrás alkalmazását.

100


Informatikai Biztonság Irányítási Követelmények A folyamatos mőködést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalmazása ajánlott olyan berendezésekhez, amelyek az üzlet mőködésére nézve kritikusak. A tartalékolási terv gondoskodjék minden olyan tevékenységrıl, amelyet az UPS meghibásodásakor végeznek. Az UPS berendezést idırıl idıre ellenırizzék, hogy elegendı-e a kapacitása, és a gyártó ajánlása szerinti módon vizsgálják le (teszteljék). Ajánlatos megfontolni egy tartalékgenerátor beállítását, ha elvárt, hogy a feldolgozás folyamatosan mőködı legyen a tápáramellátás meghibásodás alatt is. A generátorokat telepítés után idırıl idıre a gyártó ajánlása szerinti módon ajánlatos megvizsgálni (tesztelni). Megfelelı mennyiségben álljon a főtıanyag rendelkezésre annak érdekében, hogy a generátor eléggé hosszú ideig legyen képes a feladatát betölteni. Ezen túlmenıen a tartalék áramforrások kapcsolóit a vészkijárat közelébe ajánlatos elhelyezni azokban a géptermekben, ahol fontos, hogy vészhelyzetben az áramellátást gyorsan lehessen kikapcsolni. Ajánlatos gondoskodni vészvilágításról is a fı energiaellátás meghibásodása/kimaradása esetére. Villámhárítót ajánlatos felszerelni valamennyi épületre, és villámvédı szőrıket alkalmazni az épületbe belépı valamennyi külsı távközlı vonalra.

9.2.3. A KÁBELEZÉS BIZTONSÁGA Az áramellátás kábelezését, valamint az adattovábbító és az informatikai szolgálatok ellátásában használt távközlési kábeleket meg kell védeni a zavarásoktól és a sérülésektıl. A következı intézkedéseket kell meghozni: a) Az energetikai és távközlési kábeleket adatfeldolgozó rendszerekhez, ahol csak lehetséges a föld alatt ajánlatos elvezetni, vagy pedig megfelelı alternatív védelemmel ellátni. b) A hálózati kábelezést ajánlatos megvédeni a jogosulatlan lehallgatástól és károsodástól, például külön védıcsövek alkalmazásával vagy azzal, hogy elkerüljük a közterületen való vonalvezetést. c) Zavarásuk elkerülése érdekében az adatátviteli (távközlési) kábelek elkülönítése az energiaellátás (erısáramú) kábelektıl. d) Az érzékeny és a kritikus rendszerekhez ajánlatos további óvintézkedéseket megfontolni, melyek magukban foglalják: 1) védett (páncélozott) kábelek használata: − a károkozás, szándékos vagy gondatlan beavatkozás elhárítására, Magyar Informatikai Biztonság Irányítási Keretrendszer

101

Informatikai Biztonság Irányítási Követelmények − a környezeti veszélyek (tőz, robbanás, füst, víz, por, elektromágneses sugárzás, stb.) káros hatásai következményeinek elhárítására, csökkentésére. 2) lezárt helyiségek és szekrények használatát végpontokban és a vizsgálati pontokon, 3) alternatív forgalomirányítás használatát vagy alternatív átviteli közegek alkalmazását, 4) optikai kábelek (üvegszál) alkalmazását, 5) a kábelekhez csatlakoztatni szándékozott jogosulatlan eszközök kitiltását, 6) kábelnyilvántartás vezetése, 7) kábel-címkézés a védett vonalak megjelölésére, a követhetıség biztosítására.

9.2.4. A BERENDEZÉSEK KARBANTARTÁSA A megbízható mőködés érdekében a berendezések folyamatos használata és rendelkezésre állásának biztosítása érdekében: a) A specifikációban javasolt idıközönként el kell végezni a berendezések karbantartását. b) A berendezések kezelését, illetve javítását csak megfelelı szakképzettséggel rendelkezı személyek végezhetik. c) Az informatikai berendezések külsı helyszínen történı javítása, karbantartása esetén gondoskodni kell a berendezésen tárolt adatok végleges (visszaállíthatatlan) törlésérıl. d) Személyi, fizikai biztonsági követelményeknek való megfelelés a javítás, karbantartás során.

9.2.5. A TELEPHELYEN KÍVÜLI BERENDEZÉSEK VÉDELME A tulajdonlástól függetlenül a szervezet vezetése adjon felhatalmazást, minden olyan berendezésnek a használatára, amelyen a szervezet számára házon-kívül végeznek adatfeldolgozást. Az a biztonság, amelyet így látnak el, legyen egyenértékő azzal, amelyet az ugyanazon célra házon belül használt berendezéssel lehet elérni, figyelembe véve azt a kockázatot, amit a szervezet számára házon-kívül végzett munka jelent. Adatfeldolgozó berendezés magában foglalhat bármilyen formában személyi számítógépet, mobil telefont, papírt vagy bármely olyan eszközt, amelyet az otthoni munkára használnak vagy a szokásos munkahelyrıl elszállítanak.

102


Informatikai Biztonság Irányítási Követelmények A következı intézkedéseket kell meghozni: a) A házon kívülre helyezett berendezések és közegek nem hagyhatók felügyelet nélkül, amíg közterületen vannak. A hordozható számítógépeket kézipoggyászban, és ahol lehet utazás közben rejtett módon ajánlatos szállítani. b) A gyártók berendezés-védelmi utasításait ajánlatos mindenkor figyelemmel kísérni, például megvalósítani az erıs mágneses mezınek való kitétel elleni védekezést. c) Az otthoni munkavégzés óvintézkedéseit ajánlatos kockázatfelméréssel megállapítani, és a helyénvaló óvintézkedéseket arra alkalmas módon alkalmazni, például lakatolható tárolószekrényekben elhelyezni, a számítógépeken „üres asztal, üres képernyı” szabályt és beléptetés-ellenırzést használni. d) A házon kívüli berendezés megóvása érdekében alkalmas védıbúrát ajánlatos használni. A biztonsági kockázatok, mint például a sérülés, az ellopás vagy a lehallgatás, helytıl függıen széles sávban különbözhetnek, és ezt a legmegfelelıbb óvintézkedések meghatározásakor ajánlatos figyelembe venni. A mobil berendezések védelmének más szempontjairól szóló további információ található a 9.8.1. szakaszban.

9.2.6. A BERENDEZÉSEK BIZTONSÁGOS TÁROLÁSA ÉS ÚJRAFELHASZNÁLÁSA Berendezések gondatlan kezelése vagy ismételt használatba vétele az információ veszélyeztetéséhez (például kompromittálódásához) vezethet (lásd még a 8.6.4. szakaszt). Az érzékeny információt tartalmazó tárolóeszközöket vagy meg kell semmisíteni, vagy biztonságosan (többször, váltakozó bitmintával) felül kell írni az egyszerő, szokásos törlési (delete) mővelet alkalmazása helyett (lásd még a 10.7.2.fejezetet). A

berendezéseknek

a

tárolóközeget

tartalmazó

valamennyi

részegységét,

a

lemezegységeket ellenırizni kell annak érdekében, hogy meggyızıdjünk arról, hogy az érzékeny információt és a vásárolt (licensz szerinti) szoftvereket arról eltávolították és felülírták, mielıtt mások rendelkezésére bocsátották volna. Az érzékeny információt tartalmazó, de sérült tárolóeszközök kockázatelemzést igényelnek annak meghatározására, hogy mi jobb, az adott eszközt megsemmisíteni, vagy megjavítani, vagy egyszerően kidobni.


103

Informatikai Biztonság Irányítási Követelmények 9.2.7. AZ ESZKÖZÖK SELEJTEZÉSE, ELVITELE

9.2.7.1. Az informatikai eszközök selejtezése Selejtezéskor biztonsági intézkedésekkel kell megakadályozni, hogy a hibás informatikai eszközök adathordozói ellenırizetlenül kerüljenek ki a szervezeten kívülre. Szintén alapvetı követelmény, hogy a selejtezés vezetıi engedélyhez kötött és megfelelıen dokumentált legyen. A selejtezési jegyzıkönyvben a késıbbi félreértések elkerülése végett, érdemes feltüntetni a selejtezendı alkatrész gyáriszámát, típusát, valamint a benne lévı adathordozók törlésérıl szóló nyilatkozatot, a felelıs munkatárs aláírásával. A kényes információk kiszivárgásának megelızése érdekében a selejtezendı adathordozók esetében a sikeres törlés tényét ellenırizni kell. (Az adathordózók selejtezésével kapcsolatos biztonsági intézkedések a 10.7.2 fejezetben találhatók.) 9.2.7.2. Az informatikai eszközök kivitele, szervízbe küldése Hasonlóan, mint selejtezéskor, a szervezet rendeltetési helyérıl javítási, vagy egyéb célból elszállított

informatikai

eszközök

esetében

is,

biztonsági

intézkedésekkel

kell

megakadályozni, hogy a hibás informatikai eszközök adathordozói ellenırizetlenül kerüljenek ki a szervezeten kívülre. Szintén alapvetı követelmény, hogy az elszállítás is vezetıi engedélyhez kötött és megfelelıen dokumentált legyen. A jegyzıkönyvben, vagy szállító levélen a késıbbi félreértések elkerülése végett, érdemes feltüntetni a selejtezendı alkatrész gyáriszámát, típusát, valamint a benne lévı adathordozók törlésérıl, vagy a javítás idejére való eltávolításáról szóló nyilatkozatot, a felelıs munkatárs aláírásával. (Az adathordózók újrafelhasználásával, kivitelével kapcsolatos biztonsági intézkedések a 10.7 fejezetben találhatók.) Egyéb megfontolandó biztonsági intézkedések: -

A hibás eszköz elvitelére határidıt kell kitőzni, és visszaadásakor ellenırizni

kell a mőszak állapotát; -

Minısített esetben, az eszközt, mint eltávolítottat jegyezzék fel, vegyék újra

leltárba, amikor visszakerült. -

A helyszíni ellenırzések egyrészt alkalmasak a vagyontárgy jogosulatlan

elvitelének kimutatására, másrészt alkalmasak a szervezeti szabályzatokban esetlegesen tiltott felvevı készülékek, fegyverek stb. kimutatására, és a helyszínre 104


Informatikai Biztonság Irányítási Követelmények való bejutásnak megakadályozására. A munkatársakkal elıre közölt idıszakos, vagy váratlan ellenırzések bőnmegelızı hatása pozitív. Ilyen váratlan helyszíni ellenırzéseket a vonatkozó jogi szabályozással és a szervezeti szabályzatokkal összhangban lehet elvégezni.


105


10. FEJEZET SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE

Az intézkedések célja: az adatfeldolgozó eszközök helyes és folyamatos mőködésének biztosítása. Az összes adatfeldolgozó eszköz üzemeltetési eljárásait és az üzemeltetéssel járó felelısségi köröket elıre definiálni kell, és folyamatosan felül kell vizsgálni. Az üzemeltetési eljárásokat úgy kell létrehozni, hogy maximálisan támogassák a feladatok és felelısségek elhatárolását. A jól definiált feladatelhatárolás, minden munkavállaló részére, csak a munkájához szükséges információ ad hozzáférést, így jelentısen csökken a hanyag vagy szándékos visszaélés kockázata.

10.1. ÜZEMELTETÉSI ELJÁRÁSOK ÉS FELELİSSÉGEK

10.1.1. AZ ÜZEMELTETÉSI ELJÁRÁSOK DOKUMENTÁCIÓJA Az

üzemeltetési

eljárásokat

és

felelısségeket

részletesen

és

szabályszerően

dokumentálni kell. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következık szerint: a) az adatkezelés, (-feldolgozás és -tárolás), b) tervezett követelmények, más rendszerek bizalmasságának megsérülhetısége, c) munkaidın kívüli munkahelyen való tartózkodás, d) hibaesetekre és rendellenes mőködésre vonatkozó eljárások, e) hardver és szoftver karbantartási eljárások, f) munkavégzés közben fellépı kivételes állapotok kezelése, 106


Informatikai Biztonság Irányítási Követelmények g) rendszer újraindítása és visszaállítása. Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetıvé kell tenni. Fontos, hogy üzemeltetési eljárásokat és a dokumentált eljárásokat a rendszer tevékenységeire vonatkozóan hivatalos dokumentumként kezeljék, és a változtatásokat a vezetıség engedélyezze. Az üzemeltetési eljárások tartalmazhatnak kényes adatokat (pl. központi adatbázisok elérési útja, speciális hozzáférések, az adatmentés menete, mentési adathordozók tárolási helye) ezért ilyen esetekben megfelelı szintő minısítésük indokolt.

10.1.2. VÁLTOZÁSMENEDZSMENT Az adatfeldolgozó eszközöket és rendszereket érintı változásokat ajánlatos ellenırzés alá vonni. Gyakorlati tapasztalat, hogy a sok biztonsági esemény és rendszerhiba oka a nem megfelelı változáskezelés. Ajánlatos a formális menedzseri felelısségeket és eljárásokat érvényre juttatni annak érdekében, hogy ezzel szavatolhassuk a kielégítı ellenırzést minden berendezés, szoftver vagy eljárási változás felett. Az üzemviteli programokat ajánlatos szigorú változásellenırzés alá vonni. Ahányszor ezek a programok változnak, ajánlatos megırizni azt az naplót (audit log), amely minden vonatkozó információt tartalmaz. Az üzemviteli környezet megváltozása hatással lehet az alkalmazásokra is. Az üzemviteli és az alkalmazási változásellenırzı eljárásokat, ha az lehetséges és célszerő, ajánlatos integrálni, egyesíteni (lásd 10.5.1. fejezet). Különösen a következı óvintézkedéseket ajánlatos megfontolni: a) a jelentıs változások azonosítását és rögzítését, b) az ilyen változások lehetséges hatásainak felmérését, c) a tervezett változások formális jóváhagyási eljárását, d) a változások minden lényeges adatának (részleteinek) a közlését minden arra illetékes személlyel, e) a sikertelen változtatások félbeszakítása és az azokból való visszatérés felelıseit azonosító (meghatározó) eljárásokat.


107

Informatikai Biztonság Irányítási Követelmények 10.1.3. A FELADATKÖRÖK ELHATÁROLÁSA A feladatkörök szétválasztása az a módszer, amely minimalizálja a véletlen és a szándékos visszaélésekbıl eredı kockázatot. Az egyes feladatok vagy felelısségi körök végrehajtását és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módosítására vagy visszaélésre vezetı alkalmak esélyét csökkentsük. A kisebb szervezetek ezt a fajta ellenırzési módot nehéznek találhatják a maguk számára, de ajánlatos ezt az elvet, ahol csak lehet, és amennyire csak lehet alkalmazni. Amennyiben nehézséget okoz a feladatmegosztás, egyéb óvintézkedéseket ajánlatos megfontolni, mint például a tevékenységek megfigyelését (monitorozását), az átvilágítási naplózást, vagy a vezetıi felügyeletet. Fontos e tekintetben, hogy a biztonsági átvilágító auditálás független maradjon. Gondosan ajánlatos ügyelni arra, nehogy akár egyetlen személy is úgy követhessen el csalást egyedi felelıssége körében, hogy az felfedezetlen maradhasson. Bármely esemény kezdeményezése, beindítása legyen független az arra vonatkozó felhatalmazástól. A következı pontokat ajánlatos megfontolni: a) Fontos az olyan tevékenységek szétválasztása, amelyek összejátszással járhatnak, hogy megakadályozzuk a csalást, például megrendelés (purchase order) kiadását és annak igazolását, hogy az árut átvették. b) Ha fennáll az összejátszás veszélye, akkor ajánlatos olyan óvintézkedéseket tenni, hogy két vagy három személy vegyen abban részt, hogy ezzel csökkenjen az összeesküvés (konspiráció) lehetısége.

10.1.4. A FEJLESZTÉSI ÉS AZ ÜZEMELTETÉSI FELADATOK SZÉTVÁLASZTÁSA A fejlesztı, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is fontos, mert ezzel lehet elérni a vonatkozó szerepek elkülönítését. Azokat a szabályokat, amelyek mentén valamely szoftvert a fejlesztési szoftverek közül az üzemi szoftverek közé soroljuk, ajánlatos meghatározni és írásban foglalni (dokumentálni). A fejlesztési és a vizsgáló (tesztelı) tevékenységek komoly nehézségeket okozhatnak, például nem kívánatos módon módosulhatnak az állományok (fájlok), változhat a rendszerkörnyezet, vagy rendszerhibák léphetnek fel. A fejlesztı, a vizsgáló és az üzemeltetési környezet szétválasztásának az üzemeltetési nehézségek elkerüléséhez szükséges 108


Informatikai Biztonság Irányítási Követelmények szintje ajánlatos, ha megfontolás tárgyát képezi. Hasonló szétválasztást ajánlatos megvalósítani a fejlesztı és a vizsgáló/tesztelı funkciók között. Ebben az esetben arra van igény, hogy fenntartsuk az ismert és stabil környezet, amelyben az értelmes vizsgálatokat végezzük, és ugyanakkor elkerüljük a fejlesztık alkalmatlan hozzáférését. Ahol a fejlesztı és a vizsgáló személyzet hozzáférhet az üzemelı rendszerhez és az üzemi információhoz, ott ezek képessé válnak jogosulatlan és bevizsgálatlan kódok beiktatására vagy az üzemeltetési adatok megváltoztatására. Egyes rendszereken ezzel a képességgel vissza lehet élni akár csalás elkövetésével, akár pedig bevizsgálatlan vagy rosszindulatú kód (szoftver) beiktatásával. A bevizsgálatlan vagy rosszindulatú kód komoly üzemi nehézségeket okozhat. A fejlesztık és a vizsgálók az üzemi információ titkosságára is fenyegetést, veszélyt jelenthetnek. A fejlesztıi és vizsgálati tevékenységek szándékolatlanul is okozhatnak változást a szoftverben vagy az információban, ha ugyanazon a számítástechnikai környezeten osztozkodnak. A fejlesztı, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is kívánatos, hogy az üzemi szoftver és az üzleti adatok véletlen változtatásainak vagy a jogtalan hozzáférésüknek a kockázatát lecsökkentsük. A következı óvintézkedéseket kell bevezetni: a) A fejlesztési és az üzemi szoftvert, ahol csak lehetséges, különbözı számítógépen, vagy processzoron, vagy különbözı tartományokban vagy különbözı könyvtárakban ajánlatos futtatni. b) A fejlesztıi és vizsgálati tevékenységeket, amennyire csak lehetséges, ajánlatos szétválasztani. c) Fordító kompájlereket, szerkesztı editorokat és egyéb rendszertámogató eszközöket nem szabad szükségtelenül elérhetıvé tenni az üzemi rendszerbıl. d) A hibák kockázatának csökkentésére a fejlesztı és a vizsgáló rendszereket eltérı bejelentkezési (log-on) eljárással ajánlatos mőködtetni. A felhasználókat arra ajánlatos bíztatni, hogy ezekhez a rendszerekhez különbözı jelszavakat alkalmazzanak, és a „menük” a képernyın erre alkalmas azonosító üzeneteket jelenítsenek meg. e) A fejlesztı személyzetnek csak ott szabad hozzáférést kapnia az üzemi jelszavakhoz, ahol az üzemi rendszer kezelésére való jelszavak kiadásánál óvintézkedések vannak érvényben.


109

Informatikai Biztonság Irányítási Követelmények Az óvintézkedések gondoskodjanak arról, hogy az ilyen jelszavakat használat után lecseréljék.

10.1.5. KÜLSİ LÉTESÍTMÉNYEK ÜZEMELTETÉSE Az adatfeldolgozó eszközök menedzselésére alkalmazott külsı szerzıdı fél telephelyén biztonsági veszélyt jelenthet, mert kompromittálódás, kár, és adatvesztés lehetıségét hordozhatja magában. Még idejében ajánlatos feltárni az ilyen kockázatokat, és a kellı óvintézkedéseket kell meghatározni majd egyeztetni a szerzıdı féllel. Az üzemeltetési feltételeket a szerzıdésbe kell foglalni. (Lásd 10.2. fejezet a harmadik féllel kötendı szerzıdésre vonatkozó útmutatásokat olyan esetekre, amikor a szerzıdés a szervezet eszközeihez való hozzáférést is magában foglalja, illetve a forráskihelyezésrıl van szó). Külsı létesítmények üzemeltetésekor az alábbi biztonsági intézkedéseket kell megfontolni: a) feltárni azokat az érzékeny vagy kritikus alkalmazásokat, amelyeket helyesebbnek vélünk házon belül tartani, b) jóváhagyást kérni az üzleti alkalmazások tulajdonosaitól, c) a külsı létesítmények üzemeltetési szabályait, jellemzıit bele kell vonni az üzletmenet folytonossági tervbe, d) összeállítani az elıírandó biztonsági szabványokat, valamint azt a folyamatot, amellyel a megfelelıséget mérjük, e) kiosztani valamennyi biztonsági tevékenység hatékony megfigyelésének sajátos felelısségeit és eljárásait, f) kiosztani valamennyi véletlen biztonsági esemény lekezelésének és a róluk szóló jelentés elkészítésének felelısségeit és eljárásait (lásd 13 fejezet).

10.2. HARMADIK FÉL SZOLGÁLTATÁSÁNAK IRÁNYÍTÁSA Az intézkedés célja: az informatikai biztonság és szolgáltatásnyújtás megfelelı szintjének fenntartása, összhangban a harmadik fél szolgáltatási szerzıdésével. A szervezet kísérje figyelemmel a szolgáltatási szerzıdések betartását, kezelje a változtatásokat.

110


Informatikai Biztonság Irányítási Követelmények 10.2.1. A SZOLGÁLTATÁS SZÍNVONALA A szolgáltatás során alapvetı biztonsági szempont, hogy a szolgáltatói szerzıdésekben meghatározott biztonsági intézkedéseket, szolgáltatás színvonalát a harmadik folymatosan fenntartsa. A megbízónak mindig ügyelnie kell arra, hogy legyenek vésztervei a szolgáltatás, átmenti leállására vagy végleges megszőnésére vonatkozólag. Minden szolgáltatási szerzıdésben ki kell kötni a vészhelyzet esetén azonnal bevonható helyettesítı szolgáltatókat, a pénzügyi károk enyhítése érdekében. 10.2.2. A SZOLGÁLTATÁS AUDITJA A szolgáltatási szerzıdésekben definiált informatikai biztonsági intézkedések betartása a megbízó számára létkérdés, ezért a szerzıdésekben meg kell határozni a megbízó szervezet ellenırzési jogkörét. A folyamatos, idıszakos vagy váratlan informatikai biztonsági ellenırzés megerısiti

a

szolgáltató

biztonsági

tudatosságát,

ezáltal

elısegíti

a

biztonságos

szolgáltatásnyújtást, valamint az informatikai biztonsági incidensek és a problémák megfelelı kezelését.

A szolgáltatások ellenırzése során a következı szempontokra érdemes kitérni: -

szolgáltatás színvonalának, valamint szerzıdési feltételek betartása;

-

szolgáltatási jelentések és a gazdasági tervek;

-

biztonsági audit dokumentumok, biztonsági események feljegyzései;

-

üzemeltetési

problémák,

meghibásodások,

a

hibák

nyomon

követése,

problémamegoldó képesség; A harmadik féllel való kapcsolat kezelését egy kijelölt személyre vagy szolgáltatáskezelı csoportra érdemes bízni. Ezen kívül a szervezet biztosítsa, hogy a harmadik fél jelöljön ki felelısöket a szerzıdésben foglalt követelmények betartására. 10.2.3. VÁLTOZÁSKEZELÉS A változáskezelés a szinte minden területen fontos biztonsági intézkedés, mely elısegíti az esetleges üzemeltetési, szolgáltatási hibák gyors behatárolását.


111

Informatikai Biztonság Irányítási Követelmények A változáskezelésbe érdemes bevonni a következıket: -

a szervezet által végzett változtatások implementációja;

-

minden új alkalmazás és a rendszer fejlesztését;

-

a szervezet szabályzatainak és eljárásainak módosítását vagy frissítését;

-

az informatikai biztonsági incidensek megoldására és a biztonság fejlesztésére meghozott intézkedéseket;

-

új technológiák kezelése, új termékek kibocsájtása;

-

hálózatok bıvítése, módosítása;

10.3. INFORMATIKAI RENDSZEREK TERVEZÉSE ÉS ÁTVÉTELE Informatikai rendszerek tervezésekor és átvételekor alapvetı szempont, hogy a szervezet minimalizálja a meghibásodások kockázatát. A tervezés kulcseleme a kapacitástervezés, melynek segítségével megbecsülhetı, ill. mért adatok alapján kiszámítható a szervezet informatikai rendszerének, hardver, és tárigénye. Elıre ajánlatos jelezni a jövıben várható kapacitáskövetelményt annak érdekében, hogy lecsökkentsük a rendszer túlterhelésének kockázatát. Már átvétel és használatba vétel elıtt ajánlatos megállapítani, dokumentálni és bevizsgálni az új rendszerek üzemeltetési követelményeit.

10.3.1. KAPACITÁSTERVEZÉS A rendszerek a kapacitásigényét folyamatosan figyemmel kell kísérni, és a mért értékek alapján meg kell becsülni a jövıre nézve is. A kapacitástervezés célja, hogy idıben gondoskodjunk arról, hogy álljon rendelkezésre a kellı feldolgozási teljesítmény és tárolóhely,

az

üzleti

folyamatok

támogatásához.

A

tervek

az

újabb

üzleti

és

rendszerkövetelményeket is vegyék figyelembe, valamint a szervezet adatfeldolgozásának folyó és megjósolt trendjeit. Különös figyelmet érdemelnek a nagygépek (mainframe computers), mivel lényegesen költségesebbek és sokkal több idıt igényel az új alkatrészek beszerzése. A nagygépes szolgáltatások vezetı menedzserei kísérjék figyelemmel a kulcsfontosságú erıforrások

112


Informatikai Biztonság Irányítási Követelmények kihasználtságát, beleértve a központi számítógépek processzorait, központi tárolóit, háttértárolóit, nyomtatóit és egyéb kimeneti eszközeit, valamint távközlési, kommunikációs rendszereit. Nekik kell feltárni a kapacitás felhasználását érintı változások irányait, trendjeit. Ezeknek az információknak a birtokában, könnyen felmérhetık és elkerülhetık a lehetséges szők keresztmetszetek, amelyek veszélyt jelenthetnek a rendszerbiztonságra és a felhasználói szolgáltatásokra.

10.3.2. A RENDSZER ÁTVÉTELE Új informatikai rendszerek, a korszerősítések és az új változatok átvételi követelményeit, definiálni kell és a rendszervizsgálatokat még az átvétel elıtt el kell végezni. A vezetık gondoskodjanak arról, hogy az új rendszerek átvételi követelményei egyértelmően legyenek meghatározva, egyeztetve és dokumentálva. Az új rendszer átvétele csak a dokumentált rendszerkövetelmények meglétének ellenırzése után történjen meg. Ellenırizni kell a következıket : a) a teljesítıképességi és a számítógépkapacitás-követelményeket, b) a hibajavító és az újraindítási eljárások vészterveit, c) a rutin üzemeltetési eljárások elıkészítését és bevizsgálását, d) a megállapodások szerinti biztonsági óvintézkedések megtételét, e) a hatékony kézi (manuális) eljárásokat, f) az üzletmenet folyamatosságának érdekében a 11.1. szakasz által megkívánt elrendezéseket, g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkezı, káros hatással a meglévı rendszerekre, különösen nem a feldolgozási csúcsidıkben. h) annak bizonyítékait, hogy igenis figyelmet fordítottak arra a hatásra, amit az új rendszer üzembe helyezése okoz a szervezet általános biztonságára, i) az új rendszerek üzemeltetésének valamint használatának a betanítását. Napjaink informatikai rendszereinek sikertényezıje a felhasználóbarát program, a könnyő kezelhetıség mely nagyban hozzájárul a rendszer hatékonyságához. A fejlesztési


113

Informatikai Biztonság Irányítási Követelmények folyamat minden lépésében konzultálni kell mind az üzemeltetıkkel (operátorokkal), mind a felhasználókkal annak érdekében, hogy gondoskodjunk a javasolt rendszer hatékonyságáról.

10.4. VÉDELEM ROSSZINDULATÚ PROGRAMOK ELLEN A szoftver és az adatfeldolgozó eszközök sérülékenyek az olyan rosszindulatú szoftverekkel szemben, mint a számítógépvírusok, a hálózati programférgek, a trójai falovak (lásd a 10.5.4. szakaszt) és a logikai bombák. A felhasználóknak tudniuk kell, hogy a jogosulatlan és a rosszindulatú szoftverek milyen veszélyesek. A szervezetnek minden óvintézkedést meg kell tennie annak érdekében, hogy a rosszindulatú programok bejutását megakadályozzák. Lényeges, hogy a munkaállomásokon és kiszolgálógépeken is tegyünk óvintézkedéseket a számítógépvírusok bejutásának megelızésére és észlelésére. A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak bevinni környezetekbe a hálózati csatlakozásokon keresztül is. Megfelelı biztosítékok nélkül rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. A kártékony kód hatástalanná teheti a védelmi rendszereket (például kitudódnak a jelszavak), tönkretehetik az adatállományokat, lelassíthatják a rendszereket. A rosszindulatú kódok néhány formáját meg lehet találni, és el lehet távolítani speciális keresıprogramokkal. Keresık rendelkezésre állnak tőzfalakhoz, állomány- és levelezési kiszolgálókhoz, munkaállomásokhoz. A vírusok, rosszindulatú programok hatékony felfedezése, és eltávolítása érdekében, biztosítani kell a keresıszoftver önmőködı frissítését. A felhasználóknak és a rendszergazdáknak tudniuk kell, hogy a keresık nem találnak meg minden rosszindulatú kódot (még az egyetlen fajtához tartozó összes változatot sem), mivel folyamatosan jelennek meg azok új formái. Ezért további biztosítékokra van szükség a keresık által adott biztonság növelésére. A hálózati csatlakozással rendelkezı rendszerek felhasználóinak és rendszergazdáinak azzal is tisztában kell lenniük, hogy a rosszindulatú kódok szempontjából a normálisnál nagyobb kockázattal jár, ha külsı kapcsolaton keresztül mőködnek együtt külsı felekkel. A felhasználók és rendszergazdák részére eljárási gyakorlati útmutatásokat kell kidolgozni rosszindulatú kód behurcolási lehetıségének minimalizálására.

114


Informatikai Biztonság Irányítási Követelmények A felhasználóknak és rendszergazdáknak különös figyelmet kell fordítaniuk arra, hogy a hálózati kapcsolatban érintett rendszereket és alkalmazásokat úgy állítsák be, hogy minden, az adott körülmények között szükségtelen funkciót letiltsanak. Példa: a PC-s alkalmazások esetében a makrók használatát alaphelyzetben ki kell kapcsolni, vagy végrehajtásukat a felhasználó jóváhagyásához kell kötni. A rosszindulatú kód a bizalmasság elvesztéséhez vezethet, például a jelszavak megszerzése és feltárása útján. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény idıben történı jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történı belépési kísérletek felderítésére. c) Megfelelı titkosítás. A rosszindulatú kód a sértetlenség elvesztéséhez vezethet, például úgy, hogy egy személy a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy állományokat módosít. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény idıben történı jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történı belépési kísérletek felderítésére. A rosszindulatú kód felhasználható az azonosítási és hitelesítési rendszerek és ezzel az összes ezekhez kapcsolódó biztonsági tevékenység megtévesztésére, például úgy, hogy egy személy a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy állományokat semmisít meg. Ez ellen a biztosítékok az alábbiak: a) Védelem a rosszindulatú kód ellen, b) Események kezelése: bármilyen szokatlan esemény idıben történı jelentése korlátozhatja a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe vagy hálózatba történı belépési kísérletek felderítésére.


115

Informatikai Biztonság Irányítási Követelmények 10.4.1. A ROSSZINDULATÚ PROGRAMOKAT ELLENİRZİ ESZKÖZÖK A rosszindulatú szoftver elleni védelem érdekében ajánlatos észlelı és megelızı óvintézkedéseket meghozni, valamint a felhasználók biztonsági tudatosságát fenntartó oktatásokat tartani. A rosszindulatú szoftver ellen védelmet a biztonsági tudatosságra, az alkalmas hozzáférés és változáskezelési intézkedésekre ajánlatos alapozni. A következı óvintézkedéseket ajánlatos megfontolni: a) egy olyan formális szabályzatot, amely megköveteli a megfelelést a szoftver-licenszeknek, és megtiltja a jogtalan szoftverhasználatot, b) formális szabályzatot, amely véd az olyan kockázatok ellen, amelyek az állományoknak és szoftvernek külsı hálózatokból, vagy azokon át való átvételével, vagy bármely más adathordozó közeggel kapcsolatosak, és amely szabályzat azt is megadja, hogy milyen védelmi intézkedéseket ajánlatos hozni (lásd még a 10.5. szakaszt, különösen annak 10.5.4. és 10.5.5. részét), c) a vírusokat detektáló és hatásait kijavító szoftver telepítését és szabályos idıközönkénti frissítését

(update)

a

számítógépek

és

az

adathordozók

átvizsgálására

akár

elıvigyázatossági óvintézkedésképpen, akár rutinfeladatként, d) a kritikus üzleti folyamatokat segítı rendszerek szoftverének és adattartalmának szabályos idıközönkénti

felülvizsgálatát.

Formálisan

ajánlatos

levizsgálni

a

vizsgálatlan

állományokat/fájlokat és a jogosulatlan módosításokat, ha vannak, e) bizonytalan vagy jogosulatlan származású/eredető elektronikus adathordozón kapott, vagy a bizalmat nem élvezı (untrusted) hálózaton át kapott állományok/fájlok használat elıtti vírusfertızöttségi ellenırzését, f) minden elektronikusan kapott levélmelléklet és letöltések használat elıtti rosszindulatú szoftverrel való fertızöttségének az ellenırzését. Ez az ellenırzés különbözı helyeken történhet, például az elektronikus levelezırendszer szerverén, asztali számítógépeken, vagy ott, ahol a szervezet hálózatába belépnek, g) a rendszerek vírusvédelmével foglalkozó, ezek használatát betanító, a vírustámadásról jelentést készítı és azokból helyreállítást végzı vezetıi-menedzseri eljárásokat és felelısségeket (lásd a 6.3. és a 8.1.3. szakaszt),

116


Informatikai Biztonság Irányítási Követelmények h) az alkalmas üzleti folyamatossági terveket, amelyek a vírustámadás utáni helyreállításra vonatkoznak, beleértve valamennyi szükséges adatmentési, szoftvertartalékolási és visszatérési eljárásokat, i) azokat az eljárásokat, amelyek a rosszindulatú szoftverrel kapcsolatos információt hivatottak igazolni és gondoskodnak arról, hogy a vírusfigyelmeztetı kiadványok (bulletínok) pontosak és tájékoztatóak. Menedzsereknek ajánlatos gondoskodniuk arról, hogy a megtévesztés (hoax) és a valódi vírus közötti megkülönböztetésre minısített forrásokból származó anyagokat alkalmaznak, tekintélyes szaklapokból, megbízható Internet helyszínekrıl, vagy vírusvédı szoftverek szállítóitól. A személyzetben ajánlatos tudatosítani a megtévesztések problémáját és azt is, hogy mit ajánlatos tenniük, ha ilyent észlelnek, kapnak. Ezek különösen fontosak az olyan hálózati fájlkezelı kiszolgálógépek esetében, amelyek sok munkaállomást szolgálnak ki. 10.4.1.1. A vírusvédelmi rendszer kialakítása és mőködtetése A rosszindulatú kódokat a rendszerekbe külsı csatlakozásokon és hordozható lemezeken behozott állományokon és szoftvereken keresztül lehet behurcolni. Megfelelı biztosítékok alkalmazása nélkül a rosszindulatú kód mindaddig rejtve maradhat, amíg kárt nem okoz. A rosszindulatú kód a biztosítékok mőködését is lehetetlenné teheti (például a jelszavak elfogása és felfedése útján), felfedheti az érzékeny információkat vagy megváltoztathatja azokat, a rendszer sértetlenségének elvesztéséhez vezethet, de meg is semmisítheti az információkat vagy illetéktelenül használhatja az erıforrásokat. A rosszindulatú kódok következı fajtáit ismerjük: a) vírusok, b) férgek, c) trójai falovak. A rosszindulatú kódok hordozói a következık: a) végrehajtható (futtatható) szoftverek, b) adatállományok,

melyek

végrehajtható

makrókat

tartalmaznak,

például

szövegszerkesztıvel készült dokumentumok vagy táblázatok, c) aktív tartalmat hordozó weboldalak. Magyar Informatikai Biztonság Irányítási Keretrendszer

117

Informatikai Biztonság Irányítási Követelmények A rosszindulatú kódokat a következı módokon lehet továbbadni: a) floppylemezek, b) egyéb kivehetı adathordozó, c) elektronikus levél, d) hálózatok, e) távoli hozzáférés, f) letöltések. A rosszindulatú kódok megjelenése lehet szándékos tevékenység következménye vagy olyan rendszerszintő kölcsönhatás eredménye, mely akár észre sem vehetı a felhasználók számára. A rosszindulatú kódok elleni védelmet a következı biztosítékokkal lehet elérni: 1.

Keresık A rosszindulatú kódok különbözı formáit fel lehet fedni, és el lehet távolítani speciális

keresı szoftverekkel és sértetlenség ellenırzı eszközökkel. A keresık off-line és on-line módon üzemelhetnek. Az on-line mőködés aktív védelmet biztosít, azaz felfedi (és valószínőleg el is távolítja) a rosszindulatú kódot még mielıtt bármilyen fertızés történhetne, és károk keletkeznének az informatikai rendszerben. A keresık rendelkezésre állnak különálló számítógépekhez, munkaállomásokhoz, állomány- és elektronikus levelezési kiszolgálókhoz, proxikhoz és tőzfalakhoz. Mindazonáltal a felhasználóknak és a rendszergazdáknak tisztában kell lenniük azzal, hogy nem lehet abban bízni, hogy a keresık minden rosszindulatú kódot megtalálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg ezek új formái. 2.

Sértetlenség ellenırzı eszközök: Jellemzıen egyéb biztosítékok szükségesek a keresık által nyújtott biztonság

növeléséhez. Például ellenırzı összegeket használnak annak eldöntésére, hogy egy program módosult-e vagy sem. A sértetlenséget ellenırzı szoftverek lényeges részét képezik a rosszindulatú kódok ellen védı technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és programok esetében lehet használni, amelyek nem ıriznek meg késıbbi használatra szánt állapotinformációkat.

118


Informatikai Biztonság Irányítási Követelmények 3.

Kivehetı adattárolók forgalmának ellenırzése Az adattárolók felügyelet nélküli mozgása (különösen a floppylemezek, CD és DVD

lemezek és Flash memóriák esetében) jelentıs veszélyt jelent a szervezet informatikai rendszereire. Az adathordozóforgalom ellenırzését a következık használatával lehet megvalósítani: a) speciális szoftverek, b) eljárási biztosítékok (lásd alább). 4.

Eljárási biztosítékok A felhasználóknak és rendszergazdáknak szóló útmutatókat kell kifejleszteni azoknak

az eljárásoknak és gyakorlatoknak a bemutatására, melyekkel a rosszindulatú kódok behurcolásának lehetıségét minimalizálni lehet. Ezeknek az útmutatásoknak ki kell térniük a játékok és egyéb szoftverek betöltésére, a különbözı internetes szolgáltatások használatára és különbözı adatállományok importjára. A biztonsági tudatosság fejlesztésére irányuló képzés, fegyelmet fokozó tevékenység és más kapcsolódó eljárások szükségesek a rosszindulatú kódok megelızését szolgáló dokumentált eljárások és gyakorlatok be nem tartása esetén.

10.4.2. MOBIL KÓD ELLENI INTÉZKEDÉSEK A mobil kód egy szoftver, amely egyik számítógéprıl egy másikra visz át, ahol önmőködıen végrehajt egy meghatározott funkciót, minimális felhasználói beavatkozással vagy anélkül. A mobil kód számos szoftverszolgáltatással társul. Biztonsági szempontból kulcstényezı, hogy a mobil kód ne tartalmazzon rosszindulatú kódot, de használatának, mőködési területének szabályozásával elkerülhetı a jogosulatlan rendszerhozzáférés, az alkalmazási rendszerek lefagyása, és az egyéb informatikai biztonsági incidensek. Ha a rendszerben mobil kód futtatására van lehetıség, akkor a szoftver konfiguráció biztosítsa hogy: -

az engedélyezett mobil kód egyértelmően meghatározott biztonsági politika szerint adott keretek között mőködjék;

-

a rendszerben jogosítatlan mobil kódot végrehajtsanak.

A jogosulatlan tevékenységet végzı mobil kódok elleni intézkedések: Magyar Informatikai Biztonság Irányítási Keretrendszer

119

Informatikai Biztonság Irányítási Követelmények a)

mobil kód végrehajtás elszigetelt környezetben,

b)

a mobil kód használatának teljes letiltása,

c)

mobil kód letöltésének megakadályozása,

d)

a mobil kód szabályozását biztosító egyedi rendszer alkalmazása,

e)

mobil kód rendszerjogosultságainak szabályozása,

f)

kriptográfiai módszerek alkalmazása a mobil kód egyedi azonosíthatóságára.

10.5. MENTÉS Az mentések célja: az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. A mőködésfolytonosság biztosítása érdekében a szervezetek hozzanak létre mentési szabályzatokat, megbízható mentési eljárásokat. Mivel az adatmentések lényege a teljes, veszteségmentes visszaállíthatóság, ezért a mentési médiák visszaállíthatóságát ellenırizni kell. Minden új backup szoftver vagy hardver vásárlása esetén üzembehelyezés elıtt, ki próbálni az adat-visszaállítást egy másik gépen, vagy másik tesztkönyvtárban. 10.5.1. ADATMENTÉSEK Az üzletmenet adatainak és szoftverek biztonsági mentésenek folymatos idıszakos elkészítése, és ellenırzése alapvetı biztonsági követelmény. A szervezeteknek viszont kész biztonsági eljárásokkal kell rendelkezniük arra az esetre is, amikor a mentési rendszer valamelyik eleme hibásodik meg. Az ilyen kockázatok minimálisra csökkentése érdekében, a mentési médiákon kívül szervezeteknek tartalék, mentési eszközök rendelkezésreállásról is gondoskodniuk kell. Természetesen az egyes rendszerek tartalék berendezéseire is vonatkozik az idıszakos tesztelés elıírása és végrehajtása. A következı óvintézkedéseket ajánlatos megfontolni: a) A mentési médiákat valamint a visszaállítás dokumentált eljárásait, a rendeltetési helytıl távoli helyen érdemes biztonságba helyezni. Elég távol ahhoz, hogy bármely rongálódástól meg legyenek kímélve, ha a rendeltetési helyen katasztrófa következne be.

120


Informatikai Biztonság Irányítási Követelmények A lényeges üzleti információ körében a biztonsági mentési médiák legalább három generációját, azaz ciklusát ajánlatos megırizni. b) A mentések típusa (pl. teljes vagy differenciált mentés) és gyakorisága álljon arányban a mentett adatok minısítésével, fontosságával. c) A biztonsági mentéseket megfelelı szintő fizikai és környezeti védelemmel ajánlatos ellátni (lásd a 7. szakaszban), ugyanazokkal a biztonsági elıírásokkal összhangban, mint amelyet a rendeltetési helyén alkalmaztunk. Az adathordozó médiák körére a rendeltetési helyén érvényesített biztonsági intézkedések hatályát a tartalék mentési médiák és eszközök elhelyezési körletére is ki kell kiterjeszteni. d) A biztonsági mentések adathordozóit, ahol az kivihetı, idırıl idıre ajánlatos megvizsgálni annak érdekében, hogy megbizonyosodjunk, használhatóságukról. Fontos figyelemmel kísérni a mentési médiák garanciájának lejárati idejét, lehetséges tárolási és visszaállíthatósági idejét, és a lejárt médiákat ki kell vonni a mentési folyamatokból. e) A

visszaállítási

eljárások

hatékonyságát

idırıl

idıre

ellenırizni

kell,

hogy

megbizonyosodjunk, arról hogy azok elvégezhetıek azon idı alatt, amelyet az üzemi eljárások a visszaállításokra megszabtak. f) Minısített esetekben, amikor a bizalmasság nagyon fontos, mentett adatokat rejtjelzı eszközökkel is védeni kell. g) Határozzák meg a lényeges adatok megırzési idıszakát és az állandóan megtartandó, archív példányokra vonatkozó valamennyi követelményt (lásd 15.1.3. fejezet). h) Kiemelt fontosságú rendszerek esetében, a mentési eljárások fedjenek le minden rendszerinformációt, alkalmazást és a teljes rendszer helyreállításához a szükséges adatokat, beleértve a dokumentációkat is.

10.6. HÁLÓZATMENEDZSMENT A hálózatmenedzsment célja: a hálózaton áthaladó információ és a támogató infrastruktúra védelme. A hálózatbiztonság kérdése a nyilvános hálózatokon átmenı adatok esetében különösen fontos. Szintén alapvetı biztonsági cél, hogy hálózatokat megfelelıen, biztonságosan, dokumentáltan kezeljék és szabályozzák.


121

Informatikai Biztonság Irányítási Követelmények A hálózatmenedzsment segítségével kell meghatározni a hálózatok adattartalmának biztonságát és az infrastruktúra védelmét, különös tekintettel a több szervezetet átfogó hálózatokra.

10.6.1. HÁLÓZATBIZTONSÁGI INTÉZKEDÉSEK Olyan ellenırzı eszközökrıl kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat megóvják az illetéktelen hozzáférésektıl. a) A hálózatok és a számítógépek mőködtetésének feladatait, felelısségeit szét kell választani. b) A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenırzı eszközökre van szükség. c) Pontosan definiálni kell a hálózat határait. A hálózat biztonságos szegmentálásának kialakításáért az informatikai vezetı által kijelölt személy (vezetı) a felelıs. d) Definiálják a távfelügyeleti eszközök, távoli berendezések irányítási felelısségét és eljárásait, e) ) különleges szabályozást hozzanak létre, hogy megvédjék a nyilvános hálózatokon vagy vezetéknélküli hálózatokon átmenı adatok sértetlenségét, bizalmasságát és a hálózati szolgáltatások, és az online rendszerek rendelkezésre-állását (lásd a 11.4. és a 12.3. fejezet) f) a hálózati eseményeket megfelelı szinten naplózni kell, és lehetıvé kell tenni a naplófájlok rendszeres ellenırzését.

10.6.2. HÁLÓZATI SZOLGÁLTATÁSOK BIZTONSÁGA A hálózati szolgáltatások felölelik a csatlakozások létesítését, valamint az irányított hálózatbiztonsági megoldásokat, mint a tőzfalakat, valamint a behatolás detektáló rendszereket. Minden hálózati szolgáltatás esetén fel kell mérni a szolgáltatás biztonsági jellemzıit, irányítási követelményeit, és ezeket a biztonsági követelményeket bele kell venni a szolgáltatási szerzıdésekbe.

122


Informatikai Biztonság Irányítási Követelmények A hálózati szolgáltatási szerzıdésekben ki kell kötni a biztonsági intézkedések folyamatos betartását, és azok ellenırizhetıségét. Mivel a különbözı hálózatok szolgáltatásainak kínálata rendkívül széles, jelentıs részük még számos többletszolgáltatással rendelkezik, ezért fontos, hogy a rendszer telepítése során csak azokat a hálózati szolgáltatásokat implementáljuk a rendszerbe, melyekre az üzemeltetéshez feltétlen szükség van. A feleslegesen felinstallált hálózati szolgáltatások, protokollok esetleges biztonsági rések elıfordulását megnövelhetik. A rendszerüzemeltetınek minden esetben fel kell mérnie, és minden részletre kiterjedıen dokumentálnia kell az általa alkalmazott hálózati szolgáltatás egyedülálló, illetve összetett biztonsági jellemzıit. Amennyiben több hálózati szolgáltatás mőködik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenırzése, karbantartása a hálózatot üzemeltetı szerv feladata. A hálózati szolgáltatások biztonsági jellemzıi: a)

a hálózati szolgáltatások biztonságára alkalmazott technológia, mint a

hitelesítés, rejtjelzés és kapcsolódási intézkedések; b)

a hálózati kapcsolatok létrehozásának mőszaki paraméterei;

c)

Hálózati hozzáférés-védelmi eljárások.

10.7. AZ ADATHORDOZÓK BIZTONSÁGOS KEZELÉSE A védelmi intézkedések célja, hogy az adathordozók fizikai védelmét szabályozzák, megfelelı eljárásokkal védjék a dokumentumokat, a számítógépek adathordozóit (pl. szalagok, lemezek), a bemenet/kimenet adatait és a rendszer dokumentációját a jogosulatlan megszerzésétıl, módosítástól, eltávolítástól és rombolástól. Az adathordozók kezelésének legfontosabb biztonsági követelményei: a) Gondoskodni kell az adathordozók ellenırzésérıl és fizikai védelmérıl. b) Meg kell elızni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését. c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését. Magyar Informatikai Biztonság Irányítási Keretrendszer

123

Informatikai Biztonság Irányítási Követelmények d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartalmazott adatok szempontjából egyenértékő papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni. e) A szervezetnél csak nyilvántartott és egyedi azonosítóval ellátott adathordozót szabad használni. f) A szervezeten kívüli adatforgalomban használt adathordozók elıállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat elıírásai szerint a kijelölt helyeken, dokumentált és ellenırzött módon történhet. Az adathordozókat használatba venni csak az elıírt ellenırzı eljárások elvégzése után szabad (például vírus ellenırzés). g) Minden adathordozót újraalkalmazás elıtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményezı megfelelı eljárással törölni kell. h) Az adattípus (minısítés) felismerhetı jelölését a számítástechnikai berendezéssel elıállított adattároló és megjelenítı eszközökön biztosítani kell. i) Az adatok sértetlen és hiteles állapotának megırzését biztosítani kell.

10.7.1. HORDOZHATÓ ADATHORDOZÓK KEZELÉSE Az adathordozókat biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra. A hordozható adathordozók kezelesének legfontosabb biztonsági követelményei: a) Nem minısített adathordozókat az ügyviteli (iratkezelési) szabályzat elıírásai szerint kell kezelni. b) Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és a titokvédelmi szabályzat szerint kell tárolni és kezelni. c) Minden adathordozót biztonságos, biztos környezetben tároljanak a gyártó elıírásainak megfelelıen. 10.7.1.1. Az adathordozók tárolása Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen kell tárolni, vagy amennyiben ezek munkaközi példányok, meg kell semmisíteni. Ezek a

124


Informatikai Biztonság Irányítási Követelmények következık: kinyomtatott dokumentumok, hang- és egyéb adatrögzítés, nyomtatópapír, kimeneti jelentések, egyszer használatos nyomtatószalagok, mágnesszalagok, mobil diszkek és kazetták, optikai tárolóeszközök (összes lehetséges formája, ide értve a telepítıkészleteket gyártó

terjesztéséhez

alkalmazott

adathordozókat),

programlisták,

tesztadatok,

rendszerdokumentáció. Az érzékeny tételek elhelyezésérıl az üzemeltetésért felelıs vezetınek naplót kell vezetnie. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a rendszerszintő IBSZ-ekben meg kell határozni: a) a tárolók környezeti paramétereire vonatkozó elıírásokat és a paraméterek normál értékeinek biztosítására, ellenırzésére vonatkozó intézkedéseket, b) az elöregedésbıl fakadó adatvesztés elleni megelızı intézkedéseket (például rendszeres átírás), c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó elıírásokat, d) az adathordozók kölcsönzésével kapcsolatos elıírásokat, e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó elıírásokat. A fokozott biztonsági osztályba sorolt minısítéső adathordozók tárolása csak megbízhatóan zárt helyiségben, minimum 30 perces tőzállóságú tároló szekrényben történhet.

10.7.1.2. Adathordozók kivitele Számítástechnikai eszközöket, adathordozókat, programokat kizárólag a szervezeti egységek vezetıinek engedélyével szabad kivinni a munkahelyrıl. A szervezet területérıl kivitt eszközöket a leltárfelelısöknek nyilván kell tartaniuk. A kivitelre kerülı eszközökön tárolt adatok illetéktelenek általi elérhetetlenségére fokozottan kell ügyelni. Meghibásodott eszköz cseréje esetén – még garanciális esetben is – adathordozó csak úgy vihetı ki, ha arról minden adat visszaállíthatatlan módon törlésre került. A szállítás során be kell tartani a biztonsági eljárásokat.


125


10.7.2. AZ ADATHORDOZÓK, ÚJRAHASZNOSÍTÁSA SELEJTEZÉSE Alapvetı biztonsági cél, hogy az adathordozókat visszaállíthatatlanul, dokumentáltan selejtezzék. A különféle szabványokban definiált adattörlési és megsemmisítési eljárások a lehetı legkisebbre csökkentik az információ kiszivárgásának kockázatát. Az érzékeny információt tartalmazó adathordozó selejtezési eljárásai arányosak legyenek az információ érzékenységével, értékével. a)

az érzékeny információt tartalmazó adathordozót biztosan visszaállíthatatlan módon selejtezzék, pl. égetéssel, aprítással, az adatok kitörlésével, vagy különféle biztonsági felülírási eljárások használatával.

b)

Könnyebben kivitelezhetı a selejtezés, ha minden adathordozót a legerısebb biztonsági eljárással selejteznek, ebben az esetben nem kell az érzékeny tételek kiválogatásával foglakozni.

c)

Adathordozó selejtezéssel foglalkozó cégekkel való együttmőködésekor, kulcsfontosságú biztonsági tényezı a megfelelı kvalitású szerzıdı fél kiválasztása,

valamint

az

informatikai

biztonsági

feltételek

szerzıdésbefoglalása.. d)

Az érzékeny tételek eltávolítását naplózzák, ha lehet az informatikai biztonsági vizsgálatok kísérı dokumentumaként kezeljék.

e)

Amikor az adathordozókat selejtezésre összegyőjtik, fontolják meg a halmozódási hatást, ami azt okozhatja, hogy nem érzékeny információ nagy mennyisége érzékennyé válik.

f)

Az érzékeny információ kiszivároghat még az adathordozók gondatlan selejtezése által, pl számítógépek selejtezésénél, ahol nem törlik le megfelelıen vagy nem semmisítik meg az adathordozókat (lásd 9.2.6. fejezet).

Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például mőködésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi intézkedések hatókörébıl, meg kell semmisíteni. Az adathordozó védelme csak az adatok törlését és az adathordozó felülírását követıen szüntethetı meg. A felülírás tényét, módszerét, végrehajtóját, annak idıpontját dokumentálni 126


Informatikai Biztonság Irányítási Követelmények kell. Az adathordozó védelmére vonatkozó intézkedések megszüntetésének további feltétele, hogy az újraírható adathordozóról el kell távolítani a bizalmas adattartalomra utaló valamennyi jelzést és utalást. Ha ez nem lehetséges, a védelem nem szüntethetı meg. Amennyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további használata lehetetlen vagy célszerőtlen, azt az ügyviteli szabályok szerint jegyzıkönyvben kell selejtezni. Ebben az esetben – ha lehetséges – a tartalmát törölni kell, és magát az adathordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a szabályszerő megsemmisítésrıl. Az érzékeny információ kiszivároghat még az informatikai eszközökben található adathordozók gondatlan selejtezése által (lásd még a 9.2.6. fejezetet az informatikai eszközök eltávolításával kapcsolatban). 10.7.2.1. Adathordozók újrahasznosítása Védett informatikai rendszerben használt adathordozót olyan módszerek alkalmazásával kell törölni, hogy az adatok a késıbbiekben ne legyenek helyreállíthatóak. Ilyen módszer az adathordozó többszöri felülírása. Az adathordozó felülírására engedélyezett módszer a következı. Miután az adathordozó mőködıképességérıl meggyızıdtek, valamennyi tároló területet kilencszer kell felülírni: 1.

elıször az „1” bináris számjeggyel;

2.

másodszor a „0” bináris számjeggyel;

3.

majd egy tetszıleges bitmintával (például „0011 0101”);

4.

végül a fenti lépéseket még kétszer meg kell ismételni.

Minden egyes esetben a tároló helyek tartalmát ellenırizni kell, hogy a felülírás sikeres volt-e. 10.7.2.2. Adathordozók megsemmisítése Mágneses adathordozók megsemmisítésére, különféle speciális demagnetizáló berendezések vannak forgalomban. Ezek az eszközök garantáltan törlik a mágneses adattárolók tartalmát. A berendezés kiválasztásánál a demagnetizáló eszköz hitelesítését ellenırizni kell. Amennyiben ilyen eszközökkel az adott szervezet nem rendelkezik, úgy számára marad a selejt adathordozók egyéb úton történı megsemmisítése.


127


Az adathordozók megsemmisítése a következı módszerekkel engedélyezett: a) mágnesszalagok: el kell távolítani a tokból, majd mechanikusan be kell zúzni, kémiai úton megsemmisíteni vagy elégetni; (Az utóbbi esetben a szalagokat be kell tenni az égetıbe rövid darabokban vagy lazán betöltve jól összekeverve sokkal nagyobb mennyiségő papírhulladékkal együttesen. Nem szabad azokat az égetıbe feltekercselve vagy összepréselt blokkokban betenni, mert nem semmisülnek meg teljes mértékben.); b) floppy vagy más (például CD) lemezek: a floppy lemezeket el kell távolítani a házukból, a lemezt szabálytalan alakú darabokra kell vágni (legalább 8 darabra), a darabokat deformálni kell vagy elégetni; c) merevlemezek: fel kell nyitni, és el kell égetni; vagy a mágneses felületet el kell távolítani dörzspapírral vagy más durva módszerrel, vagy szét kell szedni és az adathordozót apró darabokra vágni, pl lemezvágó ollóval.; d) más szilárd anyagú tárolók: össze kell törni, vagy el kell égetni.

10.7.3. ADATKEZELÉSI ELJÁRÁSOK Az adatok illetéktelen közzétételének, illetve felhasználásának megakadályozása érdekében szükségesek az adatkezelést (-tárolást, -feldolgozást) szabályozó eljárások. Ezeknek az eljárásoknak – az adatok minısítésének megfelelıen – igazodniuk kell az elıírásokhoz, szabályzatokhoz, számítástechnikai rendszerekhez, hálózatokhoz, a használt számítástechnikai eszközökhöz, távközlési, hangátviteli és multimédiás, levelezı- stb. rendszerekhez. Az adatkezelési eljárások elıírása, meghatározása során a következıket kell figyelembe venni: a) Az összes adathordozó kezelése és címkézése. b) Az illetéktelen személyek kiszőrése, hozzáférésük megakadályozása. c) A bemenı adatok teljeskörőségének, az adatfeldolgozás teljességének és a kimeneti adatok hitelesítésének ellenırzése. d) A be- és kimenı adatok védelme, a védettség mértékének az adatok érzékenységéhez való igazítása. e) Az adatok elosztásának szabályozása, ellenırzése és korlátozása. 128


Informatikai Biztonság Irányítási Követelmények f) Az adatok minısítését, kezelési jelzését kötelezıen alkalmazni kell és a változásokat automatikusan naplózni kell. g) Rendszeresen ellenırizni kell az adatok minısítésének alkalmazását. h) A biztonsági naplófájlokat az arra feljogosított személynek a rendszer minısítésének megfelelı, meghatározott módon kell kezelnie, illetve kiértékelnie. i) Az

észlelt

eltéréseket

(hibás

kezelés,

jogosultság

megsértésének

a

kísérlete)

haladéktalanul ki kell vizsgálni és az eredményt jegyzıkönyvben kell rögzíteni. Ezért az adott szervezeti egység vezetıje a felelıs.

10.7.4. A RENDSZERDOKUMENTÁCIÓK BIZTONSÁGA Az informatikai rendszerek dokumentációja biztonságilag érzékeny adatokat is tartalmazhat, ilyen érzékeny adat lehet a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek, vagy az engedélyezési folyamatok ismertetése. Az illetéktelen hozzáférés megelızése érdekében: a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról. b) Minimálisra

kell

csökkenteni

azok

számát,

akik

hozzáférhetnek

a

rendszerdokumentációkhoz. c) Gondoskodni kell a nyilvános hálózaton keresztül elérhetı, vagy azon keresztül továbbított dokumentáció védelmérıl. d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelı módon kell kezelni. e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani. f) Gondoskodni kell a változások menedzselésérıl és a biztonságot érintı változások, változtatások naplózásáról. g) A rendszerben feldolgozásra kerülı, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni.


129

Informatikai Biztonság Irányítási Követelmények h) Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történı kialakításához és üzemeltetéséhez,

a rendszer funkcionalitásának

és

megbízható

üzemeltetésének

biztosításához a következı dokumentációk szükségesek:

Késztermék Szállítási

Fejlesztett termék

dokumentáció,

minıségi Architektúra

és

konfiguráció

bizonyítvány

dokumentáció

Rendszerelemek, egységek dokumentációi

Modul szintő dokumentáció

Teljes rendszerdokumentáció

Teljes rendszerdokumentáció Tesztkövetelmények

Rendszerteszt dokumentáció Üzemeltetési

és

szintő

eljárások

dokumentációja modul szinten

dokumentáció

(normál Tesztkövetelmények

üzemeltetés, hibaelhárítás, újraindítás)

és

eljárások

dokumentációja rendszer szinten Felhasználói dokumentáció

Felhasználói dokumentáció

Átadás-átvételi dokumentáció Üzemeltetési

Biztonsági rendszer dokumentációja

dokumentáció

(normál

üzemeltetés, hibaelhárítás, újraindítás) Biztonsági rendszer dokumentációja

i) A biztonsági rendszerek, alrendszerek dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Biztonsági rendszer, alrendszer dokumentációját csak az Informatikai biztonsági szervezeti egység munkatársai, illetve a Biztonsági Vezetı által engedélyezett személyek kezelhetik.

10.8. ADATOK ÉS PROGRAMOK CSERÉJE A szervezetek között cserélt adatok és programok elvesztésének, módosításának vagy illetéktelen felhasználásának lehetıségét is meg kell akadályozni. Az adatok és a programok

130


Informatikai Biztonság Irányítási Követelmények szervezetek közötti átadását, cseréjét ellenırizni kell. A cserének meg kell felelnie a hatályos törvényeknek és egyéb szabályozóknak.

10.8.1. ADATCSERÉRE VONATKOZÓ SZABÁLYZATOK ÉS ELJÁRÁSOK Mérlegelni kell az elektronikus adatcsere, az elektronikus kereskedelem és az e-mail üzleti és biztonsági kockázatát, annak következményeit és az ellenırzı eszközök alkalmazására vonatkozó követelményeket. Olyan körülmények között, amikor fontos a bizalmasság fenntartása, meg kell fontolni a titkosítással kapcsolatos biztosítékok alkalmazását a hálózaton áthaladó adatforgalom titkosítása érdekében. A titkosítási biztosítékok használatával kapcsolatban a következıket kell figyelembe venni: a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok számos országot és ezzel igazságszolgáltatást érintenek), b) a kulcsmenedzsment követelményeit és a legyızendı nehézségeket, annak biztosítására, hogy valóban

a

biztonság

növekedését

érjük

el

anélkül,

hogy

jelentıs

új

sérülékenységeket okoznánk, c) a titkosító mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a kívánt védelemi szintre. Olyan körülmények között, amikor fontos a sértetlenség fenntartása, meg kell fontolni az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatát a hálózaton áthaladó információk védelmében. Az üzenet sértetlenségét garantáló biztosítékok (például üzenethitelesítı kódok használata) megfelelı lehet olyan esetekben, amikor a véletlen vagy szándékos megváltoztatás, hozzáadás vagy törlés elleni védelem a fı követelmény. Az elektronikus aláírás biztosítékok hasonló védelmet nyújtanak, mint az üzenet hitelesítı biztosítékok, de vannak olyan tulajdonságaik is, amelyek a letagadhatatlanságot támogató eljárásokat tesznek lehetıvé. Az elektronikus aláírás és az üzenet hitelesítı biztosítékok alkalmazása közötti döntéskor figyelembe kell venni a következıket:


131

Informatikai Biztonság Irányítási Követelmények a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok számos országot és ezzel igazságszolgáltatást érintenek), b) az alkalmazható nyilvános kulcsú infrastruktúrákat, c) a kulcsmenedzsment követelményeit és a legyızendı nehézségeket, annak biztosításáraa, hogy valóban

a

biztonság

növekedését

érjük

el

anélkül,

hogy

jelentıs

új

sérülékenységeket okoznánk, d) az alapot képezı mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a kívánt védelemi szintre, e) a felhasználók és egyedek kulcsokkal kapcsolatos megbízható (ahol megoldható hiteles) regisztrációját az elektronikus aláírási rendszerekben. 10.8.1.1. Az adatcsere egyéb formái Megfelelı eljárásokkal és ellenırzı eszközökkel gondoskodni kell a távközlési és adatátviteli eszközökön keresztül kicserélt információk védelmérıl. Az információ nem biztonságos felhasználásának lehetséges okai: a szükséges ismeretek hiánya, az ilyen eszközök használatára vonatkozó irányelvek és eljárások nem kellı szintő ismerete. Figyelembe kell venni azt az eshetıséget is, hogy a távközlési eszközökben bekövetkezı üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különbözı üzleti információkhoz. A munkavállalók a távközlési és adatátviteli eszközök használata során kötelesek a következı irányelveket és eljárási szabályokat betartani: a) Tekintettel

arra,

hogy

nem

hozhatnak

nyilvánosságra

minısített

adatokat,

a

telefonbeszélgetések során ügyelniük kell: 1) a közvetlen környezetükben tartózkodó emberekre, különösen mobiltelefon használata során, 2) a telefonbeszélgetések – illetve a készülékek – lehallgatására és letapogató eszközök, vevıkészülékek alkalmazására, 3) a hívott félnél tartózkodó személyekre.

132


Informatikai Biztonság Irányítási Követelmények 4) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken vagy nyitott irodákban. 5) Ne tároljanak feleslegesen üzenetet az üzenetrögzítı készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni. b) A faxgépek használata során a következı eshetıségekre kell tekintettel lenni: 1)

a dokumentumok és üzenetek – esetleges – téves számra való elküldése,

2)

a gépek szándékos vagy véletlen programozása egy meghatározott címre szánt

üzenetek továbbítására, 3)

illetéktelen hozzáférés a beépített üzenettárolókhoz, az üzenetek visszakeresése

és lehallgatása. 4)

a személyzet emlékeztetése, hogy korszerő faxgépekben és fénymásológépekben

belsı oldalgyorsító memóriatárak, esetlegesen merevlemezek és laptárolók vannak, a papír, vagy a továbbítás hibája esetére. A problémát ilyen esetben az okozza, hogy a pl. bizalmas anyagok kinyomtatása, csak akkor folytatódik, ha a hibát kiküszöbölték. Minısített esetben az ilyen veszélyforrások ellen létrehozott biztonsági intézkedések megtételéig a felhasználó ne hagyja el a helyszínt, és a problémát mihamarabb jelentse az illetékes munkatársnak.

10.8.2. MEGÁLLAPODÁSOK AZ ADATOK ÉS PROGRAMOK CSERÉJÉRİL A szervezet más szervezettel adat- és programcserét kizárólag írásbeli szerzıdés alapján bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is. A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni: a) Az adatátvitel, feladás és átvétel ellenırzésének és bejelentésének eljárási szabályait. b) Az adatok biztonságos átvitele elıkészítésének és tényleges átvitelének mőszaki szabványait. c) Adatvesztéssel kapcsolatos kötelezettséget és felelısséget. d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet elıírásait minden érintett félnél.


133

Informatikai Biztonság Irányítási Követelmények e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például kriptográfiai kulcsok).

10.8.3. ADATHORDOZÓK SZÁLLÍTÁSA Az információ a fizikai szállítás során történı átvitel esetén ki van téve az illetéktelen hozzáférésnek és visszaélésnek. A számítástechnikai adathordozók biztonságos szállítása érdekében az alábbi ellenırzı eszközök alkalmazását kell mérlegelni. a) Szállítást – épületen kívül – csak a szervezeti egység vezetıje rendelhet el. b) Szállítás során átadás-átvételi bizonylat szükséges. c) A szállítást – lehetıség szerint – több embernek kell végeznie. d) A szállítást végzı embereket mindig azonosítani kell. e) Minısített esetben mérlegelni kell a szállítmány több részre bontását, és a különbözı útvonalakon történı szálítását. f) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani. g) Tömegközlekedési eszközön – lehetıség szerint – ne történjék adathordozó szállítása. h) Épületen kívüli szállítás esetén – például a MABISZ ajánlását figyelembe vevı – megfelelı zárható tárolóeszköz szükséges. i) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerülendı a nyilvánvalóan erıs mágneses tér (például nagyfeszültségő távvezetékek). j) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni. k) Az adathordozót tilos ırizetlenül hagyni. l) Az adathordozókat óvni kell a fizikai sérülésektıl. m) Speciális csomagolás és zárcímkék használata, láthatóvá tezsi a felbontást vagy az arra tett kísérleteket. n) Az adathordozókon a minısítést megváltoztathatatlanul kell feltüntetni. o) Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelı) vezetıjét – szükség esetén a rendırséget is – értesíteni kell. A vezetınek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy idıben tájékoztatnia kell a Biztonsági Vezetıt az eseményrıl és a megtett intézkedésekrıl. 134


Informatikai Biztonság Irányítási Követelmények p) Érzékeny információkat tartalmazó adathordozók postán vagy futárszolgálatnál történı feladását kerülni kell.

10.8.4. AZ ELEKTRONIKUS LEVELEZÉS BIZTONSÁGA

10.8.4.1. Biztonsági kockázatok Elektronikus levelezést az üzleti hírközlésben széles körben alkalmazzák az olyan hagyományos távközlési formák kiváltására, mint a telex és a közönséges levél. Az üzleti kommunikáció

hagyományos

formáitól

az

elektronikus

levél

különbözik,

például

sebességben, üzenet-szerkezetben, a közvetlenségben, valamint a jogtalan tevékenységekkel szembeni sérülékenységében. Az elektronikus üzenetküldés, az e-mail, azonnali üzenetküldés, vagy az on-line konferenciák egyre fontosabb szerepet játszanak az üzleti információcserében. Az elektronikus üzenetküldésnek a papír alapú adatközléstıl jelentısen eltérı kockázatai vannak. A szervezeteknek biztonsági intézkedéseket kell hozniuk az elektronikus levelezés biztonsági kockázatait csökkentése érdekében. Ezek a biztonsági kockázatok magukban foglalják: a) az üzenetek sérülékenységét a jogosulatlan hozzáféréssel, a módosítással vagy a szolgálat megtagadásával szemben, b) az olyan hibákkal szembeni sérülékenységet, mint például a helytelen címzés, a téves elirányítás, a szolgálat általános megbízhatósága és rendelkezésre állása, c) a hírközlıközeg cseréjének a hatásait, amelyet az üzleti folyamatokra fejt ki, például a közvetítés megnövekedett sebességének a hatása, vagy annak a hatása, hogy formális (üzleti) levelet küldenek, de nem vállalat a vállalatnak, hanem személy a személynek, d) jogi megfontolásokat, mint például az igény, hogy bizonyíthassuk a származást, a feladást, a kézbesítést, az átvételt (digitális aláírás alkalmazásának szükségessége), e) annak kihatásait/következményeit, hogy a külsıleg hozzáférhetı személyzet listáját közzé tesszük, f) a távoli felhasználók hozzáféréseinek ellenırzését, amikor elektronikus leveleikért bejelentkeznek a levelezı rendszerünkbe.


135

Informatikai Biztonság Irányítási Követelmények g) vezetıi jóváhagyás kérése a nyilvános hálózaton keresztül történı adat szolgáltatások alkalmazása elıtt, mint pl. azonnali üzenetküldés, vagy az állomány megosztása, h) szigorúbb

hitelesítési

szintek

definiálása,

amelyek

a

nyilvános

hálózatokról

kezdeményezett hozzáféréseket szabályozzák, 10.8.4.2. Az elektronikus levelezés irányelvei Az

elektronikus

levelezés

biztonságának

szabályozásakor

a

következı

fenyegetettségeket kell figyelembe venni: a) Az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának veszélye. b) Emberi hibákból eredı veszélyeztetı tényezık, például rossz címzés vagy irányítás. c) Bizalmas adatok továbbításának lehetısége és ennek veszélyei. d) A feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása. e) A kívülrıl hozzáférhetı címjegyzékek tartalmával való visszaélési lehetıségek. f) Távolról bejelentkezı felhasználó biztonsági problémái. g) Az elektronikus levelezés biztonsági irányelvei: h) A levelezı rendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új mail-vírusok megjelenését. i) Az elektronikus levelezı eszközök, elsısorban a szerverek fizikai és logikai védelmérıl folyamatosan gondoskodni kell (például nyomon kell követni új szoftverfrissítések, service pack-ok és security-patch file-ok megjelenését). j) Az elektronikus levelezı rendszeren keresztül történı támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – például olyan vírus fenyegetettség esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellı védelmet, – az intraneten kívül esı elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére az Informatikai Vezetı és az Informatikai Biztonsági Vezetı jogosult. k) Definiálni kell a felhasználók felelısségét, a szervezet érdekeinek védelmében. l) Az elektronikus üzenetek bizalmasságának, illetve hitelességének védelme érdekében használt rejtjelzı eszközt (PKI, kulcsok hosszát, tárolásuk módját) az Informatikai biztonsági szervezeti egység engedélyezi. 136


Informatikai Biztonság Irányítási Követelmények m) Kilépéskor archiválni kell és a kilépés napjától számított 1 évig meg kell ırizni minden olyan felhasználó elektronikus levezését, akiknek munkaviszonya, illetve a jogosultság alapját képezı megbízása, szerzıdése megszőnt. Megırizendık továbbá azok az elektronikus levelek, amelyek peres eljárások alapját képezhetik. n) A nem hitelesíthetı, kétes forrásból származó üzeneteket, ki kell vizsgálni. o) Az elektronikus levelezés forgalmát tartalmilag szőrni kell, a bizalmas adatok kiszivárgásának elkerülése érdekében. p) Minden felhasználót fel kell világosítani arról, hogy a szervezet levelezı rendszerén tárolt és továbbított levelek, a szervezet tulajdonát képezik, ezért a szervezet szabályzatokban és utasításokban feljogosított ellenırzı szerveinek, ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van. q) A szervezet levelezı rendszere a cég üzletmenetétıl idegen reklám, valamint egyéb üzleti célokra nem használható. r) A szervezet elektronikus levelezési címjegyzéke nem szolgáltatható ki harmadik félnek, semmilyen célból.

10.8.5. ÜZLETI INFORMÁCIÓS RENDSZEREK Az üzleti információs rendszerek kiváló lehetıséget adnak az üzleti információk szabad áramlására, elosztására, felhasználva szinte az információ megjelenésének összes fajtáját: papír alapú dokumentumok, számítógépek, mobil számítógépek, mobil adatközlés, hangposta, telefon, konferenciahívások, multimédia, postai szolgáltatások és fax. Az üzleti információs rendszerek védelme az információ megjelenési formájának sokszínősége miatt, meglehetısen bonyolult feladat. Mivel ezek a rendszerek hordozzák a legtöbb informatikai biztonsági kockázatot, ezért az összes lehetséges információs csatorna védelme indokolt. Különösen megnı a kockázat, az üzleti információs rendszerek összekapcsolásakor (pl. üzleti partnerek esetében). Alapvetı biztonsági követelmény, hogy a szervezetek biztosítsák az összekapcsolt üzleti információs rendszereken keresztül forgalmazott információk védelmét. Az üzleti információs rendszerek összekötésével kapcsolatos biztonsági intézkedések definiálásakor a szervezetek vizsgálják meg a következıket:


137


ismert

veszélyforrások

azonosítása

az

adminisztratív

és

elszámolási

rendszerekben, ahol az információ meg van osztva a szervezet, különbözı egységei között, b)

a továbbított és felhasznált adatok sebezhetısége a mőködési kommunikációs rendszerekben,

pl.

telefonhívások

rögzítése

vagy

konferenciahívások

(körtelefon), a hívások bizalmassága, a faxok tárolása, postabontás stb, c)

információ elosztási irányelvek definiálása,

d)

az érzékeny információk és minısített dokumentumok kizárása a rendszerbıl,

e)

Az adatok minısítésük szerinti kezelése, a biztonsági osztályba sorolásnak megfelelı védelmi követelmények teljesítése, illetve betartásuk ellenırzése az adatgazda feladata.

f)

korlátozott hozzáférés a naplóinformációhoz, amely kiválasztott egyénekre vonatkozik, pl. érzékeny projekteken dolgozó személyzet,

g)

személyzeti, szerzıdéses vagy üzleti ügyfelek kategóriái, akiknek megengedik a rendszer használatát és azok a helyek, ahonnan ez hozzáférhetı (lásd 6.2 és 6.3 fejezet),

h)

a kiválasztott berendezések korlátozása egyes felhasználói kategóriákra,

i)

a felhasználói státus (külsı vagy belsı) azonosítása,

j)

A felhasználók hozzáférési jogosultságainak meghatározásánál, kiosztásánál és használatuk ellenırzése során figyelembe kell venni a társasági és a rendszerszintő IBSZ-ek elıírásait.

k)

A rendszeren tárolt adatok mentése (lásd a 10.5.1 fejezet). A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára elıírt módon kell kezelni és tárolni, ezt részletesen a rendszerszintő IBSZ-ben kell szabályozni.

l)

visszalépési követelmények és intézkedések (lásd a 14. fejezetet).

m)

A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelı módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése, stb.) haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzıkönyvezni kell. Ezekért az adott szervezeti egység vezetıje a felelıs.

138


Informatikai Biztonság Irányítási Követelmények n)

Az rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelıen az illetéktelen fizikai hozzáférés ellen is védeni kell.

10.9. AZ ELEKTRONIKUS KERESKEDELEM BIZTONSÁGA Az elektronikus kereskedelem (e-business, e-commerce) biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt sor kerülhet. 10.9.1. BIZTONSÁGI INTÉZKEDÉSEK Az elektronikus kereskedelem megvizsgálandó biztonsági kérdései: a)

mindkét fél által megkívánt a hitelesítési szint,

b)

folyamatok, jogosultságok, felelısségek definiálása (pl. árak megállapítása,

fontos kereskedelmi dokumentumok aláírása stb.), c)

a kereskedelmi ügyfelek teljes körő felvilágosítása a jogosultságukat illetıen,

d)

követelmények meghatározása és teljesítése a bizalmasságra, sértetlenségre,

e)

a fı dokumentumok elküldésének és átvételének bizonyítása és a szerzıdések

letagadhatatlansága, f)

a publikált árjegyzékek sértetlenségének biztosítása,

g)

minden érzékeny adat vagy információ bizalmassága,

h)

az üzleti és személyes adatok kezelésének kérdései (fizetési információk,

pontos szállítási cím, az átvétel megerısítése), i)

a fizetés megvalósulásának ellenırzése,

j)

a legmegfelelıbb fizetési forma kiválasztása, a csalások kizárása érdekében,

k)

a

megrendelési

információk

bizalmasságának

és

sértetlenségének

és

rendelkezésre állásának fenntartása, l)

az átviteli információ elvesztésének vagy kettızésének elkerülése

m)

biztosítási követelmények.


139

Informatikai Biztonság Irányítási Követelmények A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani, melynek legfontosabb feladatai: a) A hozzáférés egységes szabályozása és ellenırzése. b) Egyszeri azonosítás és hitelesítés (SSO). c) Az elektronikus aláírások kezelése, rejtjelzés, kulcsmenedzsment (CA, PKI). d) Biztonságos adattovábbítás. e) A behatolási kísérletek figyelése (IDS). f) Biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenırzéséhez. g) Az auditálhatóság. Az elektronikus kereskedelmi rendszerek hatékony védelmének kialakításához pontosan meg kell határozni a fenyegetéseket, a potenciális veszélyeket és a várható támadási módszereket (lásd a 11.4.6. fejezet). A fenti biztonsági problémák megoldhatók megfelelı szintő kriptográfiai intézkedéssel (lásd a 12.3 fejezet), figyelembe véve az kriptográfiával kapcsolatos jogszabályoknak való megfelelést (lásd a 15.1 , 15.1.6 fejezet). Az elektronikus kereskedelmi tevékenység mindig megállapodások, szerzıdések alapján történjen amelyek mindkét felet kötelezik a szerzıdési feltételek maradéktalan betartására. Nyilvános kereskedelmi rendszerek mőködési feltételeit tegyék hozzáférhetıvé az ügyfelek részére. Az elektronikus kereskedelem biztonságos hitelesítési módszerek (lásd 12.3 fejezet) nélkül elképzelhetetlen. A rendszer üzemeltetéséhez szükség lehet digitális tanúsítvány-kezelı központ létrehozására a kockázatok csökkentése érdekében. Természetesen a tanúsítványok kezelésére megbízható harmadik feleket (tanúsítványszolgáltatót) is be lehet vonni. A tanúsítványszolgáltató kiválasztásakor fontos, hogy nemzetközileg elismert, megbízható szolgáltatót válasszon ki a szervezet. 10.9.2. ON-LINE TRANZAKCIÓK Az elektronikus kereskedelem egyik sikertényezıje, hogy on-line tranzakciókhoz tartozó információt védjék meg, hogy megelızzék a helytelen átvitelt, félreirányítást, jogosulatlan üzenetmódosítást, jogosulatlan felfedést, jogosulatlan üzenetkettızést vagy újralejátszást. A biztonsági megfontolások on-line lebonyolításhoz foglalják magukban a következıket: 140



a bevont felek mindegyike használjon elektronikus aláírást;

b)

a bonyolítás biztonsága érdekében biztosítani kell, hogy minden fél használói

megbízólevele érvényes és igazolt, a bonyolítás bizalmas marad; c)

a kommunikációs csatorna az összes fél között rejtjelezve van;

d)

az

összes

bevont

fél

között

használt

kommunikációs

protokollok

biztonságosak; e)

annak biztosítását, hogy a tranzakció részleteinek adatainak tárolása ne

történjen nyilvánosan hozzáférhetı rendszerben. Az elfogadott intézkedések erıssége álljon arányban az on-line tranzakciók minden formájának kockázati szintjével. A tranzakciók meg kell, hogy feleljenek a törvényi szabályozásoknak.

10.9.3. NYILVÁNOS RENDSZEREK BIZTONSÁGA Nyilvános rendszerben – többek között egy Internet hálózaton keresztül elérhetı Web-szerveren – közzétett információ esetén szükség van a rendszer joghatóságának területén hatályos törvények, jogszabályok és rendeletek betartására. Egy nyilvános rendszerben a fokozott integritást igénylı számítástechnikai programok, adatok és egyéb információk védelméhez megfelelı eszközökre, – többek között digitális aláírás alkalmazására – van szükség. Az elektronikus hirdetı rendszereknél, – különösen azoknál, amelyek lehetıvé teszik a visszajelzést és az információ közvetlen beléptetését, – megfelelı eszközökkel kell gondoskodni a következıkrıl: a) Az információ megszerzésének módja feleljen meg a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvény rendelkezéseinek. b) Idıben kerüljön sor a kiadó rendszerbe beléptetett információ pontos és hiánytalan feldolgozására.


141

Informatikai Biztonság Irányítási Követelmények c) Az adatok kezelése (győjtés, tárolás, feldolgozás) során gondoskodni kell a minısített adatok, valamint – a biztonsági osztálynak megfelelıen – az informatikai rendszerek védelmérıl. d) A kiadó rendszerhez való hozzáférés ne tegye lehetıvé az illetéktelen hozzáférést azokhoz a hálózatokhoz, amelyekhez a rendszer csatlakozik.

10.10. A BIZTONSÁGI MEGFIGYELİ RENDSZER HASZNÁLATA Az illetéktelen hozzáférések, a tiltott tevékenységek kiszőrése érdekében: a) Figyelemmel kell kísérni a hozzáférési irányelvektıl való eltéréseket, és rögzíteni kell a megfigyelhetı eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához, és segítséget nyújtsanak a szabályzat aktualizálásához. b) A rendszer nyomon követése tegye lehetıvé az ellenırzı eszközök hatékonyságának ellenırzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését. c) A

biztonsági

monitorrendszert

csak

az

arra

feljogosítottak

használhatják,

és

tevékenységüket naplózni kell.

10.10.1. BIZTONSÁGI ESEMÉNYEK NAPLÓZÁSA A kivételes és a biztonságot fenyegetı eseményeket eseménynaplóba kell bejegyezni és azt a hozzáférés nyomon követhetısége érdekében meg kell ırizni. a) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenırizni lehet a hozzáférések jogosultságát, meg lehet állapítani a felelısséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét. b) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett mővelet szelektív regisztrálására. A következı eseményeket (sikeres/sikertelen) feltétlenül naplózni kell: 1) rendszerindítások, -leállítások, 2) rendszeróra-állítások, 142


Informatikai Biztonság Irányítási Követelmények 3) be- és kijelentkezések, 4) programleállások, 5) az azonosítási és a hitelesítési mechanizmus használata, 6) hozzáférési jog érvényesítése azonosítóval ellátott erıforráshoz, 7) azonosítóval ellátott erıforrás létrehozása vagy törlése, 8) felhatalmazott személy mőveletei, amelyek a rendszer biztonságát érintik. c) A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következı adatokat is rögzíteni kell: 1) a felhasználó azonosítása és hitelesítése esetén: − dátum, − idıpont, − a felhasználó azonosítója, − az eszköz (például terminál) azonosítója, amelyrıl az azonosítási és hitelesítési mővelet kezdeményezése történt, − a hozzáférési mővelet eredményessége vagy sikertelensége. 2) az olyan erıforráson kezdeményezett hozzáférési mővelet esetén, amelynél a hozzáférési jogok ellenırzése kötelezı: − dátum, − idıpont, − a felhasználó azonosítója, − az erıforrás azonosítója, − a hozzáférési kezdeményezés típusa, − a hozzáférés eredményessége vagy sikertelensége. 3) az olyan erıforrás létrehozása vagy törlése esetén, amelynél az ehhez főzıdı jogok ellenırzése kötelezı: − dátum, − idıpont, Magyar Informatikai Biztonság Irányítási Keretrendszer

143

Informatikai Biztonság Irányítási Követelmények − a felhasználó azonosítója, − az erıforrás azonosítója, − a kezdeményezés típusa, − a mővelet eredményessége vagy sikertelensége. 4) a felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan mőveletei esetén, amelyek a rendszer biztonságát érintik: − dátum, − idıpont, − a mőveletet végzı azonosítója, − az erıforrás azonosítója, amelyre a mővelet vonatkozik, − a mővelet eredményessége vagy sikertelensége. d) Alapvetı naplózási követelmények: 1) kerüljön naplózásra a biztonságot érintı összes tevékenység, 2) a naplófájlok tartalmát megadott idıintervallum alapján képernyın és nyomtatón is meg lehessen jeleníteni, 3) a naplóállományokat tilos megsemmisíteni, felülírni, módosítani, azokat archiválni kell, 4) a naplóállományok kódoltak, ellenırzı összeggel ellátottak legyenek, 5) a fokozott és kiemelt biztonsági osztályba sorolt rendszerek biztonsági naplóit egy másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen), ennek megvalósításáért az Informatikai Vezetı felelıs, 6) rögzíteni kell a hibás bejelentkezési kísérletek számát, 7) szükség van egy olyan nyilvántartásra, melybıl lekérdezhetı, hogy adott képernyıhöz melyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilvántartásra, melybıl az kérdezhetı le, hogy egy adott felhasználói csoport mely képernyıkhöz és milyen joggal férhet hozzá, 8) rögzíteni kell a jelszócsere dátumát.

144


Informatikai Biztonság Irányítási Követelmények e) A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenırizni és archiválni kell. f) A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzıkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és mik ezek a szankciók. g) A biztonsági naplók alapján felvett jegyzıkönyveket archiválni kell, és ennek során a megırzési határidıket meg kell határozni. h) A biztonsági eseménynapló (naplófájl) és a jegyzıkönyvek adatait védeni kell az illetéktelen hozzáféréstıl. i) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelı eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotának regisztrálhatónak és dokumentálhatónak kell lennie. j) A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek lehetıvé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát. k) Ki kell alakítani a biztonság belsı ellenırzésének rendszerét, amely során meg kell határozni a felügyeleti és megelızési tevékenységek eljárásrendjét. 0. és 1. szinten: a) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell határozni a biztonsági naplóbejegyzések élettartamát is. b) Az eseményrekord (bejegyzés) a következı mezıket kell, hogy tartalmazza: felhasználónevet, dátumot, idıt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következı eseményeket kell rögzíteni: 1) A rendszerindítást; 2) felhasználók be- és kijelentkezését; 3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) Naplózási szolgáltatás elindítását és leállítását.


145

Informatikai Biztonság Irányítási Követelmények c) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstıl, ezért ember számára olvasható formában is el kell tárolni. 2., 3. és 4. szinten: a) A rendszer IBSZ-nek minden eseményhez (napló rekordhoz) valósidejő idıpecsétet kell rendelnie. b) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell határozni a biztonsági naplóbejegyzések élettartamát is. c) Az eseményrekord (bejegyzés) a következı mezıket kell, hogy tartalmazza: felhasználónevet, dátumot, idıt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következı eseményeket kell rögzíteni: 1) A rendszerindítást; 2) felhasználók be- és kijelentkezését; 3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) Naplózási szolgáltatás elindítását és leállítását. d) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstıl, ezért ember számára olvasható formában is el kell tárolni.

10.10.2. A RENDSZER HASZNÁLAT MEGFIGYELÉSE A felhasználók által elvégzett tevékenységeket – az ellenırizhetıség érdekében – rögzíteni, naplózni kell. a) Az informatikai rendszer üzemeltetésérıl (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az informatikai szervezeti egység felelıs vezetıjének és az Informatikai Biztonsági Vezetınek rendszeresen ellenıriznie kell.

146


Informatikai Biztonság Irányítási Követelmények b) Az informatikai rendszer üzemeltetésérıl nyilvántartást (adatkérések, -szolgáltatások, feldolgozások, stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenıriznie kell. c) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani. d) A

rendszereseményeket

automatikusan

kell

archiválni,

a

naplóbejegyzéseket

(eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. 2., 3. és 4. szinten: a) Az ellenırzési rendszernek riasztania kell támadás esetén, meg kell szakítania és le kell tiltania a támadó folyamatot (process-t) és a felhasználói fiókot (felhasználót), vagy szolgáltatást és meg kell szakítsa a kapcsolatot. b) A


automatikusan

kell

archiválni,

a


(eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. 10.10.2.1. Kockázati tényezık A naplózási és ellenırzési tevékenységek eredményeit rendszeresen felül kell vizsgálni. A felülvizsgálat gyakorisága az érintett kockázattól függjön. Ajánlatos, hogy a figyelembe veendı kockázati tényezık magukban foglalják: a) az alkalmazási folyamatok kritikusságát, b) az érintett információ értékét, érzékenységét és kritikusságát, c) a rendszerbe való beszivárgásról és a rendszerrel való visszaélésrıl szóló korábbi tapasztalatokat, d) a rendszerkapcsolatok kiterjedtségét (különös tekintettel a nyilvános hálózatokra). 10.10.2.2. Az eseménynaplózás és értékelése A naplóellenırzés magában foglalja azoknak a fenyegetéseknek, veszélyeknek a felismerését, megértését, amelyekkel a rendszerek szembenéznek, és annak a módnak, ahogyan e veszélyek fellépnek. Olyan eseményekre, amelyek a véletlen biztonsági eseményekkel kapcsolatban további vizsgálatot igényelnek, találhatók példák a 9.7.1. szakaszban. Magyar Informatikai Biztonság Irányítási Keretrendszer

147

Informatikai Biztonság Irányítási Követelmények A rendszernaplók gyakran tartalmaznak nagy mennyiségben információt, amelynek nagy része a biztonsági megfigyelés számára témaidegen. Megfontolás tárgyává ajánlatos tenni, az arra alkalmas üzenetfajtáknak automatikus átmásolását egy második naplóba, és/vagy

alkalmas

rendszer-segédprogramok

vagy

átvilágítási

(auditáló)

eszközök

alkalmazását az állományok (fájlok) átvizsgálásához annak érdekében, hogy segítsük a biztonsági megfigyelés számára lényeges események azonosítását. Amikor a naplóvizsgálati felelısségeket kiosztjuk, ajánlatos megfontolni a szerepek szétválasztását, elválasztva azon személyek felelısségét, akik a vizsgálatokat végzik, azon személyekétıl, akiknek a tevékenységére vonatkozott a megfigyelés.

10.10.3. NAPLÓZÁSI INFORMÁCIÓK VÉDELME Különös figyelmet kell fordítani a naplózó eszközök biztonságára, mert ha meghamisítják, akkor hamis biztonságérzetet kelthetnek. Óvintézkedéseket kell alkalmazni azért, hogy megvédjük az olyan illetéktelen változtatásoktól és üzemeltetési problémáktól, mint: a) naplózási rendszer, amelyet kiiktattak, b) üzenetfajták, amelyeket rögzítés után módosítottak, c) naplófájlok, amelyeket átszerkesztettek vagy töröltek, d) naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet már velük az eseményekrıl feljegyzést készíteni, vagy önmagukat írják felül. Szervezeti szinten elıírható, hogy biztonsági naplókat archiválják, mint a rendszerhasználat bizonyítékait, így ezek az információk (bizonyítékok) késıbbi vizsgálatokhoz is felhasználhatóak. (lásd 13.2.3 fejezet).

10.10.4. ADMINISZTRÁTORI ÉS OPERÁTORI TEVÉKENYSÉGEK NAPLÓZÁSA Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenırizni a hozzáférések jogosultságát, meg lehessen állapítani a felelısséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.

148


Informatikai Biztonság Irányítási Követelmények A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett mővelet szelektív regisztrálására. A minimálisan regisztrálandó események a következık: a) rendszerindítások, -leállások, leállítások, b) rendszerhibák és korrekciós intézkedések, c) programindítások és -leállások, leállítások, d) az azonosítási és hitelesítési mechanizmus használata, e) hozzáférési jog érvényesítése azonosítóval ellátott erıforráshoz, f) az adatállományok és kimeneti adatok kezelésének visszaigazolása, g) azonosítóval ellátott erıforrás létrehozása vagy törlése, h) felhatalmazott személy mőveletei, amelyek a rendszer biztonságát érintik. Az informatikai rendszer üzemeltetése során operátori naplót kell vezetni, amelyet az informatikai szervezeti egység felelıs vezetıjének és az Informatikai Biztonsági Megbízottnak rendszeresen ellenıriznie kell. Ki kell alakítani a biztonság belsı ellenırzésének rendszerét, amely során meg kell határozni a felügyeleti és megelızési tevékenységek eljárásrendjét. Az informatikai rendszer üzemeltetésérıl nyilvántartást kell vezetni, amelyet az informatikai vezetı által kijelölt személynek rendszeresen ellenıriznie kell.

10.10.5. RENDSZERHIBÁK NAPLÓZÁSA Az üzemzavarok bejelentését követıen korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek mőködésében észlelt hibákat naplózni kell. Az üzemzavarok kezelésének szabályai: a) A hibanapló vizsgálata és a hiba kezelésének, elhárításának ellenırzése. Korrekciós intézkedések vizsgálata, illetve ezek végrehajtásának és a kezdeményezett intézkedések engedélyezésének szabályosságának ellenırzése.


149

Informatikai Biztonság Irányítási Követelmények 10.10.6. RENDSZERÓRÁK SZINKRONIZÁLÁSA Kiemelt

figyelmet

kell

fordítani

az

operációs

rendszer

és

alkalmazás

dokumentációjának figyelembevételével a rendszerdátum és -idı beállítására, mert minden tevékenység visszakereshetıségének alapja a hiteles, pontos dátum és idı. A rendszerdátum és a -idı beállítására kizárólag az Informatikai Vezetı által kijelölt munkatársak jogosultak, az idıpont beállítását jegyzıkönyvezni kell. Ahol számítógépi vagy távközlési eszköz képes valós idıben szolgáltatni órajelet, akkor azt ajánlatos egyezményes szabvány szerinti idızítésre ráállítani, például az Egyetemes Koordinált Idıre (UCT, Universal Co-ordinated Time), vagy valamely helyi szabványos idızítésre. Természetesen helyi jellegzetességeket (pl. nyári idıszámítás) is figyelembe kell venni. Mivel ismert, hogy bizonyos órák idıben eltolódnak (drift), kell egy szervezeti szinten definiált eljárás, amely ellenıriz és kijavít minden jelentıs változást. A dátum/idı formátum megbízhatósága az alkalmazási rendszerekben, és adatbáziskezelı rendszerekben használatos idıbélyegzı pontosságát is befolyásolja. Az ilyen hibák, fıleg nagy adatbázisok esetén nehezen korrigálhatóak. A számítógépek óráinak helyes beállítása fontos annak biztosításra, hogy az auditnaplók pontosak legyenek. Ezt megkívánhatják különféle informatikai biztonsági események kivizsgálásánál, vagy bizonyítékként, jogi vagy fegyelmi esetekben. A pontatlan auditnaplók akadályozhatják a fenti nyomozati cselekményeket és árthatnak az ilyen bizonyítékok hitelességének. Ahol rendelkezésre áll, egy nemzeti atomóra alapján, rádión közvetített idıhöz kapcsolt „mesteróra” akkor ez az eszköz a naplózási rendszerek vezérlıórájaként is használható. Hálózati idıprotokoll használatával pedig a vezérlıórával szinkronba hozható az összes szerver.

150



11. FEJEZET HOZZÁFÉRÉS MENEDZSMENT

11.1. A HOZZÁFÉRÉS ELLENİRZÉS ÜZLETI KÖVETELMÉNYEI Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alapján kell ellenırizni. Ennek során meghatározásra kerültek a rendszer-erıforrások, alkalmazások, külsı összeköttetések, adatbázisok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek. Biztosítékokat használhatunk -e területen arra, hogy a) korlátozzuk az információkhoz, számítógépekhez, hálózatokhoz, alkalmazásokhoz, rendszer erıforrásokhoz, állományokhoz és programokhoz való hozzáférést, b) a hibákat és felhasználói tevékenységeket eseménynaplókban rögzítsük, és a tárolt részleteket elemezzük a biztonsági események megfelelı módon való felderítésének és kezelésének érdekében. Az általános eljárás a hozzáférés ellenırzés kikényszerítésére az azonosítás és hitelesítés (A&H) fájlok valamint egyéb erıforrások hozzáférés ellenırzési listáihoz(Access Control List) kapcsolódó részleteinek használata. A logikai hozzáférésellenırzés és naplózás biztosítékai a következık: 1.

Hozzáférés ellenırzési szabályzat Minden felhasználó vagy felhasználó csoport számára világosan meghatározott

hozzáférés ellenırzési szabályzatnak kell lennie. Ennek a politikának a szervezeti követelmények alapján kell hozzáférési jogokat adnia a hozzáférhetıség, termelékenység valamint a szükséges és elégséges tudás elvei alapján. Általánosan elfogadott elvnek kell lennie, hogy csak a szükséges jogokat szabad kiadni. A hozzáférési jogok kiosztása során figyelembe kell venni a szervezet megközelítési módját a biztonsággal kapcsolatban (mely lehet nyitott vagy korlátozó), kultúráját az igények kielégítése és a felhasználói támogatás elnyerése érdekében. Magyar Informatikai Biztonság Irányítási Keretrendszer

151


Felhasználói hozzáférés a számítógépekhez

A számítógépekhez történı felhasználói hozzáférés ellenırzés feladata az illetéktelen hozzáférés megakadályozása. A rendszerben azonosítani kell a felhasználókat. Mind a sikeres, mind a sikertelen kísérleteket naplózni kell. A számítógépekhez való hozzáférés ellenırzése támogatható jelszavakkal vagy bármilyen A&H eljárással. 3.

Felhasználói hozzáférés adatokhoz, szolgáltatásokhoz és alkalmazásokhoz Hozzáférés-védelmi eljárásokat kell alkalmazni az adatok és szolgáltatások jogosulatlan

elérésének kiküszöbölésére az adott munkaállomáson vagy a hálózaton. Ezt a megfelelı A&H mechanizmusok, a hálózati szolgáltatások közötti csatolók és a hálózat konfigurációja segítségével lehet megtenni, ami biztosítja, hogy csak a rendszerhez engedélyezett hozzáférések valósulhassanak meg (ez a jogok korlátozó elvő kiosztását jelenti). Az alkalmazásokhoz való illetéktelen hozzáférés megakadályozására szerep alapú hozzáférés ellenırzést kell megvalósítani a felhasználók szervezeti funkcióinak megfelelıen. 4.

A hozzáférési jogok felülvizsgálata és módosítása

A kiosztott hozzáférési jogosultságokat minden, felhasználó esetében rendszeresen felül kell vizsgálni és módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A kiemelt szintő jogosultságokat sokkal gyakrabban kell vizsgálni a visszaélések elkerülése érdekében. A hozzáférési jogokat azonnal vissza kell vonni, ha többé már nincs rájuk szükség. 5.

Ellenırzési napló

Mint minden informatikai támogatással végzett tevékenységet, a felhasználói hitelesítések folyamatát is naplózni kell, és ezeket a naplókat rendszeresen ellenırizni szükséges, ez tartalmazza a rendszerbe történı sikeres és sikertelen belépési kísérleteket az adatokhoz való hozzáférés naplózását, a rendszer által használt funkciókat stb. A hibákat szintén naplózni kell és ezeket a naplókat rendszeresen ellenırizni szükséges. A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelıen kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági célokra lehet felhasználni ezeket.

152


Informatikai Biztonság Irányítási Követelmények 11.1.1. A HOZZÁFÉRÉS ELLENİRZÉSÉNEK SZABÁLYAI Mottó: "Általában minden tiltott, hacsak nincs kifejezetten megengedve…." A hozzáférés-vezérlésnél a felhasználóknak az adatállományokhoz főzıdı jogosultságai egyedi elbírálás alapján személyenként vagy csoportonként kerülnek meghatározásra. a) Az elıre meghatározott munkakörök (szerepkörök) szerinti hozzáférés jogosultságvezérlés esetében az elıre meghatározott felhasználói szerepkörökhöz, valamint az informatikai rendszer adatállományaihoz és erıforrásaihoz biztonsági címkéket kell hozzárendelni, amelyek tartalmát (adatcsoportok, adatvédelmi szintek, hozzáférési jogok) elıre meghatározott módon kell kialakítani. Az egyes felhasználók eltérı szerepkörbe sorolhatók és megkapják a szerepkörhöz rendelt jogokat. A hozzáférés jogosságának elbírálása az adott szerepkör, illetve a hozzáférésre megcélzott adatállomány, erıforrás biztonsági címkéinek összehasonlításával történik. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás (MAC) használata a 3. és 4. szinten kötelezı. b) Mindegyik informatikai rendszernél a minimálisan használandó szerepköröket, valamint az azokhoz tartozó legjellemzıbb funkciókat külön-külön kell meghatározni. A szerepkörök tartalmát a szervezeti szabályzatokban és más utasításokban meghatározott munkakörök, valamint a szervezeti hierarchiában elfoglalt hely határozza meg. c) A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók. d) Az informatikai rendszerrel munkakapcsolatba kerülı valamennyi munkatárs a védelmi rendszertervben konkrétan meghatározott szerepkörbe sorolandó és örökli a szerepkörre meghatározott hozzáférési jogokat. e) A munkaköröktıl történı eltérést a tervezés során a projekt vezetıjének, az üzemeltetés során az Informatikai Biztonsági Vezetınek kell meghatározni és jóváhagyatni az adatgazdával. 11.1.1.1. Hozzáférés ellenırzési szabályzat A hozzáférés ellenırzési szabályzat célja, hogy a szervezet vezetése határozzon meg és vizsgáljon felül minden felhasználói hozzáférésre vonatkozó mőködési és biztonsági követelményt. Röviden hozzáférés-ellenırzési szabályokat és jogokat minden felhasználóra és


153

Informatikai Biztonság Irányítási Követelmények csoportra egyértelmően és dokumentáltan adják meg. A hozzáférés-ellenırzéseket mind a logikaiakat, mind a fizikaiakat (lásd még a 9. fejezetben) és ezek alapján hajtsák végre. Minden informatikai rendszer hozzáférés-védelmi rendszerét a megvalósítási projekt során a biztonsági osztálynak megfelelı követelményszinten kell megtervezni. Ebben pontos tartalmat kapnak a munkakörök, az objektumok és a hozzáférési módok, melyek meghatározásához a következıket kell figyelembe venni: a)

Az egyes üzleti alkalmazások biztonsági követelményeit;

b)

minden információ azonosítását, amely az adatok alkalmazásaira és

kockázataira vonatkozik; c)

Az üzleti alkalmazásokra vonatkozó összes információ azonosítását;

d)

Az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz

a „need to know” elvet, a biztonsági szinteket és az adatminısítés alkalmazását (lásd a 7.2. szakaszt); e)

A különbözı rendszerek és hálózatok hozzáférést-védelmi eszközei és az

információ minısítésére vonatkozó irányelvek közötti összhang megteremtését; f)

Az adatok és szolgáltatások elérésének védelmére vonatkozó törvényi

rendelkezéseket, a szerzıdésekben rögzített szabályokat (lásd a 15.1.szakaszt); g)

szabványos fehasználói hozzáférési profilok létrehozását a közös munkaköri

feladatokra (Azonos munkavállalói csoportokra vonatkozó egységes irányelveket.); h)

Hozzáférési jogok kezelését a kapcsolatok összes típusát felismerı osztott és

hálózatba szervezett környezetben; i)

a hozzáférés-ellenırzés feladatainak elhatárolását, (pl. hozzáféréskérés,

hozzáférés engedélyezés, hozzáférés-védelmi rendszergazdai feladatok); j)

követelmények a hozzáférési kérelmek hivatalos engedélyezésére (lásd a

11.2.1. szakaszt); k)

követelmények a hozzáférés-ellenırzések idıszakos vizsgálására (lásd a 11.2.4.

szakaszt); l)

154

a hozzáférési jogok elvétele (lásd a 8.3.3. szakaszt).


Informatikai Biztonság Irányítási Követelmények Hozzáférés-védelmi intézkedések elıírásának szabályai: a) vagylagos és elıírt szabályok megkülönböztetése; b) szabályok megfogalmazása arra az elıfeltételre alapozva, hogy általában minden tiltott, hacsak nincs kifejezetten megengedve; c) Az információ újraminısítése (lásd a 7.2. szakaszt). d) a használói engedélyek- módosításai, amelyeket önmőködıen az információs rendszer és azok, amelyeket egy adminisztrátor kezdeményez; e) szabályok, amelyek külön jóváhagyást igényelnek beiktatásuk elıtt és azok, amelyek nem A hozzáférés-védelmi intézkedések szabályait hivatalos eljárások és egyértelmően meghatározott felelısségek támasszák alá (lásd pl. a 6.1.3., a 11.3., a 10.4.1. és a 11.6. szakaszt). 11.1.1.2. Külsı fél hozzáférése Külsı fél hozzáférésének menedzsmentje azonos követelményeknek megfelelıen, szerzıdésben rögzített módon kell történjen. A külsı fél – igény esetén – a hozzáférés nyilvántartásait a szervezet számára át kell adja.

11.2. A FELHASZNÁLÓI HOZZÁFÉRÉS MENEDZSMENTJE Az információs rendszerek illetéktelen elérésének megakadályozása érdekében megfelelı hozzáférés-védelmi rendszert kell kialakítani. Hozzáférés iránti, illetve jogosultság módosítására, hozzáférés törlésére vonatkozó igény csak írásban kérhetı. A beérkezett igényeket nyilvántartásba kell venni. A kiadott engedélyek listáját naprakészen kell tartani. Minden szerepkör feljogosít meghatározott fizikai, illetve logikai biztonsági tartományba (például számítóközpont, szerverszoba, archiváló helyiség, illetve adott alkalmazás, hálózati szegmens, munkahelyi állomás, stb.) történı belépésre és abban az engedélyezett fizikai, illetve logikai objektumokhoz való hozzáférésre az engedélyezett hozzáférési jogokkal. Hivatalos eljárásokkal kell szabályozni az információs rendszerekre és szolgáltatásokra vonatkozó hozzáférési jogok kiosztásának ellenırzését.


155

Informatikai Biztonság Irányítási Követelmények Az eljárásoknak ki kell terjedniük a felhasználói hozzáférés életciklusának minden egyes szakaszára, az új felhasználók kezdeti bejelentkezésétıl – a felhasználói jogosultságok módosításán át – az olyan felhasználók kijelentkezéséig, akik többé már nem igénylik az informatikai rendszerek és szolgáltatások elérését. Külön figyelmet érdemel az elsıbbségi hozzáférési jogok kiosztása, melyek lehetıvé teszik, hogy egyes felhasználók megkerüljék a rendszer ellenırzı eszközeit.

11.2.1. A FELHASZNÁLÓK REGISZTRÁCIÓJA A felhasználó-azonosító az informatikai rendszert használó identitásának egyedi, jellemzı, ellenırizhetı és hitelesítésre alkalmas megjelenítése kell, hogy legyen az informatikai rendszerben. A felhasználók közé sorolandók a természetes személyek, folyamatok, vagy egyéb eszközök egyaránt. Az egyedi felhasználói azonosítót a hozzáférés szabályozására, az adatok és az információk védelmére, valamint a hitelesítés támogatására kell felhasználni. Biztosítani kell, hogy a felhasználó azonosítója az egyes erıforrásokhoz, folyamatokhoz és az adatokhoz való hozzáférést megfelelıen szabályozza (korlátozza) és követhetı, ugyanakkor a biztonsági funkciók mőködése során ellenırizhetı legyen a biztonsági rendszer számára. a) A felhasználó-azonosítónak minden esetben egyedinek kell lennie, (azaz semmilyen körülmények között sem adható ki különbözı felhasználók részére megegyezı azonosító). Azonosítási problémák elkerülése végett, kerülni kell a csoportazonosítók kiadását! A csoportos ID-k csak akkor legyenek engedélyezve, ha azokra mőködési vagy üzemeltetési okokból szükség van, ezek legyenek szakamilag megindokolva, vezetı által jóváhagyva és dokumentálva; b) Idıszakosan vizsgálják meg az ismétlıdı (redundáns) felhasználói azonosítók elıfordulását, és távolítsák el vagy zárolják azokat (lásd a 11.2.4. szakaszt), valamint biztosítsák, hogy ismétlıdı használói ID-ket ne adjanak ki más használóknak. c) A felhasználói azonosítók képzésére központi névkonvenciós szabályozást kell készíteni. A felhasználói azonosítók képzését a szervezeten belül egy helyen kell végrehajtani. d) Új felhasználók esetén biztosítani kell, hogy a szolgáltatók, rendszergazdák ne adják meg a hozzáférést, amíg nem fejezıdnek be a jogosultság-megadási eljárások; e) Készítsenek egy hivatalos feljegyzést (felhasználó regisztrációs lap) minden személyrıl, akit bejegyeztek a szolgáltatás használatára; 156


Informatikai Biztonság Irányítási Követelmények f) A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemő változást (az ellenırizhetıség érdekében) naplózni kell. g) Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják. h) A felhasználói azonosítók nem örökérvényőek. Ennek megfelelıen a következı szabályokat kell alkalmazni: 1) a szervezet munkatársai, illetve külsı munkavállalói – amennyiben munkakörük, illetve beosztásuk alapján az informatikai rendszer szolgáltatásait igénybe vehetik –, munkába állásuk után haladéktalanul kapják meg felhasználói azonosítójukat. Az utasítási jogkört gyakorló vezetı – legalább 3 munkanappal – a munkába lépés elıtt igényelje meg a felhasználói azonosítót a hozzáférési jogosultságok megjelölésével. Tilos akár csak átmeneti jelleggel is, hogy más munkatárs azonosítóját használják, saját azonosítójuk hiánya miatt. A kapott felhasználói azonosítót haladéktalanul érvényesíteni kell, 2) a szervezet munkatársainak felhasználói azonosítóját munkaviszonyuk megszőnésével, a

külsı

munkavállalók

felhasználói

azonosítóját

megbízatásuk

lejártával,

haladéktalanul le kell tiltani. A megszőnt munkaviszonyú felhasználó a rendszer szolgáltatásait nem veheti igénybe és erıforrásait nem használhatja, 3) a munkaviszonyukat huzamosabb ideig szüneteltetı (például sorkatonai szolgálat, GYES), illetve a tartósan más okból távollévı (külföldi kiküldetés, elhúzódó gyógykezelés) munkatársak felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy idıben ismét engedélyezni kell, 4) a munkatársak áthelyezése kapcsán felmerülı jogosultsági változásokat (megszőnı felhasználói azonosítók letiltása, vagy a jogosultságok törlése, illetve új azonosítók vagy jogosultságok létrehozása) az áthelyezéssel egy idıben, haladéktalanul át kell vezetni, 5) harmadik személyek, akik valamilyen okból igénybe vehetik a szervezet bármelyik rendszerének szolgáltatásait, csak meghatározott idıre, és korlátozott lehetıségeket biztosító (például egy adott projekt keretein belül érvényes) felhasználói azonosítót kaphatnak. A részükre kiadott azonosító szerkezetileg feleljen meg a szervezeten belüli

munkatársak

azonosítójával,

de

legyen

egyértelmően

és

könnyen

megállapítható, hogy az adott felhasználói azonosító egy harmadik (külsı) személyé, Magyar Informatikai Biztonság Irányítási Keretrendszer

157

Informatikai Biztonság Irányítási Követelmények 6) azokban

a

rendszerekben,

amelyek

regisztrálják

a

felhasználó

utolsó

bejelentkezésének idıpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idı alatt egyszer sem vette igénybe), azonosítóját le kell tiltani és errıl a munkatárs munkahelyi vezetıjét értesíteni szükséges, megjelölve az érvénytelenítés okát. i) A felhasználókkal, alá kell íratni egy nyilatkozatot, amely dokumentálja, hogy megértették a hozzáférés feltételeit, felelısségeit; j) A felhasználónak hozzáférési engedéllyek kell rendelkeznie a hozzáférési jogaira vonatkozóan; k) Idıszakosan ellenırizni kell, hogy a megadott hozzáférési szint megfelelı a mőködési célra (lásd a 11.1. szakaszt) és megegyezik a szervezet biztonsági szabályzatával, pl. nem veszélyezteti a kötelezettségek elhatárolását (lásd a 10.1.3. szakaszt); l) Azonnal szüntessék meg, vagy zárolják az olyan használók hozzáférési jogait, akik feladatát vagy munkakörét módosították, vagy elhagyták a szervezetet; A vezetıség fontolja meg szabványos fehasználói hozzáférési profilok létrehozását a közös munkaköri feladatokra. Ezek az azonos munkavállalói csoportokra vonatkozó egységes irányelvek, lényegesen megkönnyítik a hozzáférés-védelmi rendszerek üzemeltetését.)

11.2.2. A JOGOSULTSÁGOK KEZELÉSE Alapvetı biztonsági követelmény, hogy a jogosultságok kiosztása és használata legyen korlátozott és szabályozott. A több felhasználós rendszerek, csak szabályozott hozzáférésvédelemmel védhetıek meg a jogosulatlan hozzáférésektıl. A jogosultságok megadásának alapvetı biztonsági intézkedései: a)

azonosítani

kell

az

operációsrendszer-szintő,

adatbázis-kezelı

és

alkalmazásszintő hozzáférési jogokat, és a felhasználókat akiknek ki kell ezeket jogokat osztani; b)

A felhasználók hozzáférési jogosultságait, a munkához szükséges minimum

jogok alapján adják meg összhangban a hozzáférés ellenırzési szabályzattal (lásd a 11.1.1. szakaszt);

158


Informatikai Biztonság Irányítási Követelmények c)

Fontos alapkövetelmény, hogy a jogosultságok kiosztása dokumentált legyen,

és a jogosultságokat ne engedélyezzék, amíg az engedélyezési, jogosultság-kiosztási folyamat nem teljes; d)

A vezetés segítse elı olyan programok kialakítását és használatát, amelyek

kerülik az erısebb rendszergazda, vagy poweruser jogokkal való mőködés igényét; e)

A rendszergazdai és egyéb elıjogokat a rendes mőködési használattól eltérı

használói ID-hez kell kötni. A rendszeradminisztráció elıjogainak nem megfelelı alkalmazása (egy információs rendszer bármely jellemzıje vagy eszköze, amely lehetıvé teszi a felhasználónak, hogy felülbírálja a rendszert vagy az alkalmazási szabályozást) nagyobb mértékben hozzájárulhat a rendszer meghibásodásaihoz vagy megsértéséhez.

Az egyes biztonsági szinteken a következı standard jogosultságokat kell értelmezni: 0., 1. és 2. szinten: a) Ebben az osztályban minimálisan a következı jogokat kell megkülönböztetni: 1) olvasási jog (betekintés), 2) létrehozási jog, 3) módosítási jog, 4) törlési jog. b) A hozzáférés jogosultság vezérlésére a szabad belátás szerint kialakított hozzáférés (DAC) elvét kell alkalmazni. c) Az adminisztrációs és naplózási jogoknak el kell különülni a felhasználói jogoktól. d) A rendszernek alkalmasnak kell lennie a hozzáférési jogok egyedi vagy csoport szinten való megkülönböztetésére és szabályozására. A hasonló szerepő személyek csoportjai munkájának támogatására hozzáférési jogosultsági csoportokat kell kialakítani. 3., és 4. szinten: a) Ebben az osztályban az informatikai rendszer objektumaihoz legalább a következı hozzáférési módokat kell hozzárendelni: 1) olvasási jog (betekintés), Magyar Informatikai Biztonság Irányítási Keretrendszer

159

Informatikai Biztonság Irányítási Követelmények 2) létrehozási jog, 3) módosítási jog, 4) selejtezési jog, 5) törlési jog, 6) másolási jog. b) A rendszerrel kapcsolatba kerülı személyekhez a következı hozzáférési módokat kell hozzárendelni: 1) engedélyezési jog, 2) visszavonási jog, 3) olvasási jog (betekintés), 4) létrehozási jog, 5) módosítási jog, 6) selejtezési jog, 7) törlési jog, 8) másolási jog. c) A hozzáférés-jogosultság vezérlésre szerepkör szerint meghatározott hozzáférési jogosultság kiosztás (MAC) elvét kell alkalmazni. d) A konkrét jogosultságokat és a hozzáférés-jogosultság vezérlésének konkrét megvalósítási módját az 1-3 pontban rögzítettek alapján az alkalmazásra kerülı hardver/szoftver termékek lehetıségeinek figyelembe vételével kell kialakítani. e) A munkakörökre a fokozott biztonsági osztálynál elmondottak érvényesek azzal a szigorítással, hogy a rendszeradminisztrátor, az operátor és a biztonsági adminisztrátor szerepköröket személyileg is szét kell választani. f) A biztonsági naplóállományokat kettızötten, az Informatikai Vezetı és az Informatikai Biztonsági Vezetı által közösen meghatározott módon kell archiválni. g) A felhasználók azonosítására és hitelesítésére (A&H) az egyedileg meghatározott jelszó használatán kívül – az adott rendszerhez és a belépı személyhez elválaszthatatlanul kötött és minısített – kiegészítı azonosító-hitelesítı eszközt kell használni.

160


Informatikai Biztonság Irányítási Követelmények h) A szervezet informatikai rendszeréhez való hozzáférési jog megadása csak engedély alapján, dokumentáltan történhet.

11.2.3. A FELHASZNÁLÓI JELSZAVAK KEZELÉSE Az informatikai rendszerekben a felhasználók hitelesítésének alapvetı módja a jelszó megadása. A felhasználói jelszavak kezelésére a következı szabályok a mérvadók: a) A felhasználónak kötelezıen alá kell írnia egy nyilatkozatot, melyben felelısséget vállal személyes, (esetleg csoportos jelszavainak) bizalmas kezelésére. b) Belépéskor megkapott, illetve – például elfelejtés esetén – ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó elızetes – például személyes – azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelezı. c) Telefonon, illetve elektronikusan aláíratlan e-mailen-en történı kérésre jelszóváltoztatás nem kezdeményezhetı. d) A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenırizhetı úton (például e-mail), vagy személyesen. e) A jelszónak minden felhasználó számára szabadon megváltoztathatónak kell lennie. f) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetıség van) biztosítani kell a következı követelmények teljesülését: 1) minimális jelszóhossz megadása, 2) a jelszó egyediségét (történeti tárolás), 3) a központi jelszó megadás utáni elsı bejelentkezéskor a kötelezı jelszó cseréjét, 4) a jelszó maximális élettartamát, 5) a jelszó minimális élettartamát, 6) a jelszó zárolását, 7) a jelszó képzési szabályainak – bonyolultsági kritériumnak – meghatározását. g) A számítógépes rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelı rejtjelezési védelemmel kell ellátni. Magyar Informatikai Biztonság Irányítási Keretrendszer

161

Informatikai Biztonság Irányítási Követelmények h) A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. i) A felhasználói jelszó hosszával, ill. szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket minden esetben az határozza meg, hogy milyen a kiszolgálón tárolt adatok érzékenységi besorolása és ebbıl következıen a kiszolgáló informatikai biztonsági osztályba sorolása. A felhasználó azonosítók és jelszavak rejtjelzetlen formában való tárolása a szervezet rendszereiben szigorúan tilos! Felhasználói azonosítók, jelszavak, rejtjelzıkulcsok és az ehhez tartozó jelszavak biztonsági másolatai lezárt, lepecsételt borítékban, minimum zárható lemezvagy páncélszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának

feltüntetésével.

Privilegizált

(rendszerszintő

hozzáférést

lehetıvé

tévı)

felhasználók jelszavait a többi felhasználó számára elıírtnál gyakrabban kell cserélni, mert ezek kompromittálódása vagy elvesztése súlyosan sértheti a rendszerek biztonságát. 0. és 1. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idı: 1 év. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést. c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rendszert használunk. d) Ha jelszó alapú hitelesítı rendszert használunk, cseréljük a jelszavakat minden esetben ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erısségét (minıségét) biztosító a rendszerhez fejlesztett sémának megfelelıen kell végrehajtani. 2., 3. és 4. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 8 karakter, érvényességi idı: 180 nap. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést.

162


Informatikai Biztonság Irányítási Követelmények c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rendszert használunk. d) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell ırizni erre alkalmas biztonsági

konténerben,

hogy

vészhelyzet

esetén

is

biztosított

legyen

a

rendszerhozzáférés. e) Ahol nem egyszer használatos jelszavak vannak használatban ott a jelszavakat rejtjelzett formában kell tárolni. f) Ha jelszó alapú hitelesítı rendszert használunk, cseréljük a jelszavakat minden esetben. ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erısségét (minıségét) biztosító a rendszerhez fejlesztett sémának megfelelıen kell végrehajtani.

11.2.4. A FELHASZNÁLÓ HOZZÁFÉRÉSI JOGOSULTSÁGAINAK ELLENİRZÉSE Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelı legyen. Ennek érdekében: a) A jogosultságokat rendszeres idıközönként ellenırizni kell. Az általános felhasználók esetében ezt évente, míg a kiemelt jogosultsággal rendelkezı felhasználók esetében legalább 3 havonta kell megtenni. b) Rendszeresen ellenırizni kell, hogy privilegizált jogokkal csak egyedileg azonosítható felhasználók, csoportok és eszközök rendelkezhessenek. c) A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelıen módosítani kell. (lásd a 11.2.1. szakaszt) d) Az ellenırzést a szervezeti egység vezetıje által kijelölt személy végzi el, és az ellenırzések eredményérıl a negyedéves jelentésében számol be a Biztonsági Vezetınek.


163

Informatikai Biztonság Irányítási Követelmények 11.3. A FELHASZNÁLÓ FELADATAI, FELELİSSÉGEI Alapvetı biztonsági cél, megakadályozni az illetéktelen felhasználói hozzáférést az informatikai rendszer erıforrásaihoz, valamint az adatfeldolgozó eszközök veszélyeztetését vagy esetleges ellopását. A biztonsági intézkedések hatékonyságának nélkülözhetetlen feltétele a különféle jogosultságokkal rendelkezı felhasználók együttmőködése, biztonsági tudatossága. A felhasználókkal tudatosítani kell felelısségeiket, különösen a hozzáféréseket biztosító eszközök (belépıkártyák, smartkártyák), valamint a jelszavak, különféle pinkódok, riasztókódok biztonságos használatát illetıen. Különös figyelmet kell fordítani a munkaállomások zárolására, ill. a bizalmas iratok elzárására a felhasználó távozáskor. (Ez az ún. „tiszta asztal, tiszta képernyı” szabály (lásd. 11.3.3 fejezet).)

11.3.1. JELSZÓ HASZNÁLAT A szervezet informatikai rendszereit használó valamennyi felhasználónak a következı jelszóhasználati szabályokat kell betartania: a) A jelszavakat bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók. b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történı, biztonságos tárolásáról. Ezektıl eltérıen a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelezı zárt borítékban, két példányban, azokat két különbözı helyen, lemezvagy páncélszekrényben tárolni. c) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. d) A jelszó hossza haladja meg a 8 karaktert, ne tartalmazzon egymást követı azonos karaktereket, vagy számokat, mert ez meglehetısen megkönnyíti a feltörhetıséget, pl. az ún. kipróbálásos (brute force) támadások esetében. e) A jelszó kívülálló számára ne legyen egyszerően kitalálható vagy könnyen megjegyezhetı, ne tartalmazzon a felhasználó személyére utaló információkat (például 164


Informatikai Biztonság Irányítási Követelmények neveket, telefonszámokat, születési dátumokat), összefüggı szövegként ne legyen olvasható. f) A jelszó lehetıleg ne legyen szótárakban is szereplı értelmes szó, mivel ez igen megkönnyíti a feltörhetıséget, pl. az ún. szótártámadások (dictionary attack) esetében. g) A felhasználói jelszavakat rendszeresen (legalább 3 havonta), vagy a hozzáférések számától függıen cserélni kell a rendszerben, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát. h) Az átlag jogosultságoktól eltérı, elıjogokkal rendelkezı felhasználók jelszavait (pl. rendszergazdai jogosultságok, telepítési jogosultsággal rendelkezı felhasználók esetében) sokkal gyakrabban kell cserélni. i) Elsı bejelentkezés alkalmával a kötelezı jelszócserét végre kell hajtani. j) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyőhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. k) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelıen a jelszót), az alkalmazás üzemeltetıjének figyelmeztetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót. l) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell. m) A felhasználókkal tudatosítani kell, hogy mindazon mőveleteket, melyeket az ı azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ı „terhére” könyveli el, és azokért személyesen felel. Amennyiben a felhasználó multiplatformos környezetet, vagy több hitelesítést igénylı alkalmazást használ, lehetıség van a felhasználó számára egyetlen kellı hosszúságú és bonyolultságú jelszó alkalmazására az összes rendszeren. (A multiplatformos rendszerekben használatos jelszó hossza min. 12 karakter, ezen kívül vegyesen tartalmaznia kell alfabetikus és numerikus karaktereket is. Az ilyen jelszavaknál szintén fokozottan ügyelni kell arra, hogy ne tartalmazzanak egymást követı azonos karaktereket. Különleges biztonsági intézkedéseket igényelnek a jelszócserékkel kapcsolatos üzemeltetési eljárások, mivel az ilyen, nem megfelelıen szabályozott üzemeltetési tevékenység segítséget nyújthat egy hatékony támadáshoz. (Pl. jelszó kiadása telefonon stb.)


165

Informatikai Biztonság Irányítási Követelmények 11.3.2. FELÜGYELET NÉLKÜLI BERENDEZÉSEK A felhasználóknak gondoskodniuk kell a felügyelet nélkül hagyott eszközök megbízható védelmérıl. A felhasználó helyiségeiben felállított és a hosszabb idıre felügyelet nélkül hagyott berendezéseknél – többek között munkaállomásoknál vagy szervereknél –, külön védelemre lehet szükség az illetéktelen hozzáférés megakadályozására. Mindegyik felhasználónak és harmadik személynek meg kell ismernie a felügyelet nélkül hagyott berendezésékre vonatkozó biztonsági követelményeket és eljárásokat, valamint a védekezés megvalósítására vonatkozó saját felelısségüket.

A felhasználókat tájékoztatni kell a következıkrıl: a) Az informatikai rendszerekhez csak olyan kihelyezett terminál funkció használata engedélyezhetı, melynek mőködése az informatikai rendszerbıl menedzselhetı (beleértve a jogosultságok vezérlését is), továbbá abból szükség esetén kizárható. A központi védelmi funkciók és a távoli csatlakozó berendezés védelmi funkcióinak együttes megléte alapvetı feltétele a távoli hozzáférési jog engedélyezésének. b) Azokban a rendszerekben, ahol lehetıség van rá, biztosítani kell a hosszabb ideig inaktív munkaállomások rendszer által kényszerített kijelentkezését, vagy a berendezés blokkolását (lock), például a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált képernyıvédı funkciót. (A munkaállomáshoz történı visszatéréskor a képernyıvédı funkció feloldása csak sikeres jelszó megadás után legyen lehetséges.) c) A PC terminál használata esetén, a PC használatát a nem azonosított és hitelesített felhasználók számára tiltani kell.

11.3.3. ADATTÁROLÁSI ÉS KÉPERNYİ-KEZELÉSI IRÁNYELVEK A szervezeteknek be kell vezetniük az „tiszta íróasztal és tiszta képernyı” szabályt mind a papíralapú anyagokra, mind pedig a hordozható adattároló közegekre, valamint a „tiszta képernyı” szabályzatot az adatfeldolgozó eszközökre, hogy így lecsökkenjen a jogtalan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidıben, mind azon kívül. Ez a szabály vegye figyelembe az 5.2. szakaszban felállított informatikai biztonsági osztályozást (minısítést), az ennek megfelelı kockázatot, valamint a szervezet kulturális szempontjait. 166


Informatikai Biztonság Irányítási Követelmények Az íróasztalon kint felejtett adathordozó könnyen megsérülhet vagy megsemmisülhet az olyan katasztrófahelyzetekben, mint a tőz, az árvíz, vagy a robbanás. A következı intézkedéseket kell meghozni: a) A papíranyagokat és a számítógépek adathordozóit ajánlatos alkalmasan zárható szekrényben ırizni/tárolni, vagy más hasonló biztonsági bútorzatban, amikor ép nincsen használatban, különösen a munkaidın kívüli idıszakokban. b) Az érzékeny és kritikus üzleti információt, ha nem használják, ajánlatos elzárni (ideális esetben tőznek ellenálló biztonsági széfben vagy pedig szekrényben, különösen akkor, amikor az iroda (személyzete) szabadságon van. c) Személyi

számítógépeket,

„bejelentkeztetni”,

amikor

munkaállomásokat felügyelet

nélkül

és

nyomtatókat

maradnak,

és

nem

szabad

használaton

kívül

kulcsreteszekkel (lakatokkal), jelszavakkal vagy más óvintézkedésekkel legyenek védve. d) A bejövı és kimenı levelezı eszközöket, a felügyeletlen távmásoló faxgépeket és telexgépeket védeni kell. e) Fénymásológépeket ajánlatos elzárni (vagy más módon védeni a jogosulatlan használat ellen) különösen a rendes munkaidın kívül. f) Az érzékeny vagy minısített/osztályba sorolt információt kinyomtatás után ajánlatos azonnal eltávolítani a nyomtatóról.

11.4. A HÁLÓZATI SZINTŐ HOZZÁFÉRÉSEK MENEDZSMENTJE A biztonsági intézkedések célja: megakadályozni a hálózati szolgáltatásokhoz való jogosulatlan hozzáférést. A hálózatba szervezett szolgáltatások védelme érdekében a rendszerszintő IBSZ-ekben szabályozni és ellenırizni kell a belsı és külsı hálózatba szervezett szolgáltatások elérését annak

érdekében,

hogy

hozzáférési

jogosultsággal

rendelkezı

felhasználók

ne

veszélyeztethessék a hálózati szolgáltatások biztonságát. Az ellenırzés és kezelés eszközei a következık: a) Megfelelıen biztonságos kapcsolatok létesítése a szervezet hálózata és más szervezetek tulajdonában levı hálózatok vagy nyilvános hálózatok között.


167

Informatikai Biztonság Irányítási Követelmények b) A felhasználók és az eszközök hitelesítésének megfelelı mechanizmusa. c) Az informatikai szolgáltatások felhasználóinak menedzselése, hozzáférésük vezérlése. d) A felhasználói hozzáférések idıszakos ellenırzése.

11.4.1. A HÁLÓZATI SZOLGÁLTATÁSOK HASZNÁLATÁNAK IRÁNYELVEI A helytelenül kialakított hálózati szolgáltatások, (nem definiált csatlakozási szabályok, jogosultságok stb.) káros hatással lehetnek a szervezet egészére. A felhasználók közvetlenül csak azokhoz a szolgáltatásokhoz férhessenek hozzá, amelyekre engedélyük kifejezetten vonatkozik. Ez az ellenırzés különösen fontos az érzékeny vagy kritikus alkalmazásokhoz való hálózati csatlakozások vagy a különösen nagy kockázattartalmú helyen tevékenykedı felhasználók – többek között olyan nyilvános vagy külsı területek – esetében, amelyek kívül esnek a szervezet biztonsági irányításán és ellenırzésén. a) A hálózatok és a hálózati szolgáltatások használata során a következı tényezıkre kell figyelni: 1) meg kell határozni az engedélyezett hálózatok, valamint az engedélyezett hálózati szolgáltatások elérési kritériumait, 2) az engedélyezési eljárás során meg kell határozni az engedélyezett hálózatokat és hálózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat, melyek

valamiképpen

kapcsolatba

kerülnek

a hálózatokkal

és

a hálózati

szolgáltatásokkal, 3) menedzselési és ellenırzési eljárásokat kell kialakítani. 4) Az 1-3. alpontok a rendszerszintő IBSZ-ben kerüljenek részletesen kidolgozásra. (Lásd.11.1.1.1 fejezet.) b) Ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra és hitelesítésre (A&H), hozzáférés-szabályozásra, bizalmasság-megırzésre és az ellenırzésre vonatkozó szabályokkal. Mindegyik igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni. c) Az elektronikus úton továbbított üzenetek, állományok tekintetében is az ügyviteli (iratkezelési) szabályzatnak megfelelıen kell eljárni.

168


Informatikai Biztonság Irányítási Követelmények d) A felhasználók számára a hálózati erıforrások használatát, a munkájukat nem veszélyeztetı mértékig, korlátozni kell. e) Az adatvesztés és sérülés elkerülése érdekében hibadetektáló és javító eljárásokat kell alkalmazni. f) A hálózat elosztott és diszkrét elemeit rendszeresen ellenırizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erıforrást ne használják illetéktelenül. 11.4.1.1. Kötelezı hozzáférési útvonal Ellenırizni kell a felhasználói végpont és a számítóközpont közötti útvonalat. A hálózatok alapvetı rendeltetése, hogy biztosítsák az erıforrások megosztását és a rugalmas útvonal-kiválasztást. Ez esetenként lehetıvé teheti az üzleti alkalmazások engedély nélküli elérését, vagy az informatikai eszközök engedély nélküli használatát. Egy felhasználói végpont és a felhasználó által használható számítástechnikai szolgáltatások közötti útvonalat korlátozó ellenırzı eszközök alkalmazása – azaz egy kötelezı útvonal kialakítása – csökkentheti a lehetséges kockázatokat. A kötelezıen elıírt útvonal célja, hogy a felhasználók ne választhassanak a felhasználói végpont és a felhasználó számára hozzáférhetı szolgáltatások közötti – az engedélyben rögzített – útvonalon kívül esı útvonalat. Ehhez általában arra van szükség, hogy az útvonal különbözı pontjain megvalósuljanak a megfelelı ellenırzı eszközök. Az elv lényege, hogy elıre meghatározott választási lehetıségekkel korlátozzák a hálózat minden egyes pontján a választható útvonalak számát. Ennek lehetséges megoldásai: a) A hálózat aktív eszközeivel, az operációs rendszer beállításaival és az alkalmazói programokkal kell biztosítani a lehetı legnagyobb fokú hálózati erıforrás-, szegmensszétválasztást, valamint a felhasználók munkájához szükséges (és csak az ahhoz szükséges) útvonalakat. b) Kiválasztott vonalak vagy telefonszámok kijelölése. c) Az egyes felhasználó által választható menü- és almenü-opciók korlátozása. d) A korlátlan hálózati „böngészés” megakadályozása.


169

Informatikai Biztonság Irányítási Követelmények e) Meghatározott felhasználói rendszerek és/vagy biztonsági kapuk kötelezı használatának elrendelése a külsı hálózati felhasználóknál. f) Az engedélyezett forrás és a rendeltetési hely közötti kommunikációk megelızı ellenırzése biztonsági kapukkal, például tőzfalakkal. g) A hálózati hozzáférés korlátozása különálló logikai struktúrák (például zárt virtuális hálózatok), létrehozásával a szervezeten belül bizonyos felhasználói csoportok számára.

11.4.2. FELHASZNÁLÓ AZONOSÍTÁS-HITELESÍTÉS TÁVOLI KAPCSOLATNÁL A külsı kapcsolatok magukban rejtik az üzleti információk illetéktelen elérésének veszélyét, többek között a tárcsázás módszerével. Ezért a távoli felhasználók hozzáférését hitelesítéshez kell kötni. A kriptográfiai technikákra alapozott módszerek lehetıvé teszik a felhasználók megbízható hitelesítését. Ilyen technikák lehetséges bevezetéseit meg lehet találni különbözı virtuális magánhálózati megoldásokban (VPN). Külön magánvonalakat is lehet alkalmazni, hogy a csatlakozási forrásokat biztosítsák. Kockázatelemzés alapján fel kell mérni a védelem szükséges mértékét, annak érdekében, hogy kiválasztható legyen a hitelesítés megfelelı módszere. A távoli felhasználók hitelesítése megoldható többek között egy kriptográfiai technikával, gépi jelzéssel vagy kérdés-felelet protokollal. A csatlakozások forrásának ellenırzése kiválasztott magánvonalakkal vagy hálózati felhasználói címek ellenırzésére alkalmas eszközökkel is lehetséges. A visszahívási eljárások és ellenırzı eszközök használata védelmet nyújthat a szervezet adatfeldolgozó eszközeihez való illetéktelen és nem kívánatos hozzáféréssel szemben. Az ilyen jellegő ellenırzés hitelesíti azokat a felhasználókat, akik egy távoli helyrıl kívánnak kapcsolatot teremteni a szervezet hálózatával. Ennek az ellenırzésnek az alkalmazásakor a szervezet lehetıleg ne használjon hálózati szolgáltatásokat, amelyek közé tartozik a hívásátirányítás, vagy ha használ, akkor azok az ilyen jellemzık használatát tegyék lehetetlenné, hogy elkerüljék a hívásátirányítással kapcsolatos gyenge pontokat. A visszahívási folyamat biztosítsa, hogy a szervezet oldalán tényleges szétkapcsolás legyen. Másként a távoli használó megszakítva tarthatja a vonalat, úgy téve, mintha a visszahívás igazolása megtörtént volna. A visszahívási eljárásokat és ellenırzéseket ennek a lehetıségnek a szempontjából alaposan át kell vizsgálni.

170


Informatikai Biztonság Irányítási Követelmények Mindegyik felhasználói igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni: a) A felhasználókkal a szolgáltatások indítása, vagy az azokkal történı kommunikáció megkezdése elıtt végre kell hajtani a hitelesítési eljárást. b) Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét. c) A hálózati erıforrások használatát a felhasználók számára korlátozni kell. d) Megosztott erıforrások csak azonosítás és hitelesítés után legyenek elérhetık. Munkaállomások megosztását (azok védelmének nehézsége miatt) kerülni kell. e) Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call back) lehetıségét. Ennek meghatározását a rendszerszintő IBSZ-nek kell megadnia. f) Csak a kellıen biztonságos környezettel, technikákkal biztosított helyeken lehet a távoli elérést biztosítani. g) Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani. A csomóponti hitelesítés alternatívaként alkalmazható a távoli felhasználók csoportjainak hitelesítésére, ahol ezeket egy biztos, megosztott számítógépes berendezésre kapcsolják. Kriptográfiai technikák, pl. géptanúsítványokra alapozva, használhatók csomóponti hitelesítésre. Ez része számos VPN-alapú megoldásnak. A virtuális magánhálózati (VPN) kapcsolatok két számítógép között létesítenek biztonságos kommunikációs átjárót egy hálózaton keresztül. Esetenként belsıleg, a szervezeti hálózat egyes területeinek rejtjelzésére is szokták ugyan használni, leggyakrabban azonban akkor alkalmazzák, ha egy szervezet magánhálózatáról valamiféle nyilvános hálózaton keresztül kell eljutniuk céljukhoz az adatoknak. A VPN-kapcsolatnak két alapvetı összetevıje van: A virtuális hálózati protokoll: virtuális pont-pont hálózati kapcsolatot létesít a VPNösszekötettés két résztvevıje között. A virtuális kapcsolatban álló két számítógép úgy viselkedik, mintha közvetlen kapcsolatban volnának egy vállalati hálózat azonos Ethernet hálózati szegmensén belül, valójában azonban külön hálózati szegmensbe tartoznak. A rejtjelzési protokoll: a virtuális hálózat védettségét garantálja.


171


A szervezetek használjanak VPN-kiszolgálót, hogy megvédjék: -

a nyílvános hálózatokon áthaladó információkat (például az interneten vagy külsı

cégtıl vásárolt nagy kiterjedéső hálózati összeköttetésen át továbbított adatokat), -

a szervezet belsı hálózatán áthaladó titkos információkat, amelyek nem kerülhetnek

illetéktelenek tudomására. A virtuális hálózat használata esetén egy titkosított és biztonságos kommunikációs csatorna jön létre, amely biztosítja a kommunikáló felek azonosítását és a köztük zajló kommunikáció titkosítását. Mivel ez publikus hálózaton keresztül is biztonságos csatorna, az Internet felhasználásával alacsony költségő magánhálózat alakítható ki, elkerülve a távolsági telefonhívás, vagy bérelt vonal kiépítésének szükségességét. A VPN mőködése észrevétlen a felhasználó és a használt alkalmazások számára. Kiegészítı hitelesítési ellenırzéseket vezessenek be a vezetéknélküli hálózatokhoz való hozzáférés ellenırzésére. Külön gondot fordítsanak a vezetéknélküli hálózatokhoz való hozzáférés ellenırzésének kiválasztására, tekintve, hogy nagyobb lehetıség áll fenn a hálózati forgalom felfedetlen megszakítására a hálózati forgalomba való belépésre. A külsı csatlakozások lehetıséget adnak a mőködési információhoz való jogosulatlan hozzáférésre, pl. hozzáférés tárcsázásos módszerekkel. Különféle hitelesítési módszer van, egyesek ezek közül magasabb szintő védelmet adnak, mint mások, pl. a kriptográfiai technikákon alapuló módszerek megbízható hitelesítést nyújthatnak. A kockázatfelmérésbıl kiindulva fontos, hogy meghatározzák a kívánt védelmi szintet. Ez szükséges, hogy megfelelı hitelesítési módszert válasszanak. Egy távoli számítógéphez való önmőködı csatlakozás eszköze utat engedhet, hogy a mőködési alkalmazáshoz jogosulatlan hozzáférést nyerjenek. Ez különösen fontos, ha olyan hálózathoz csatlakoznak, amely a szervezet biztonsági irányításának ellenırzésén kívül esik.

11.4.3. HÁLÓZATI ESZKÖZÖK, MUNKAÁLLOMÁSOK AZONOSÍTÁSA ÉS HITELESÍTÉSE A távoli rendszerekhez történı automatikus csatlakozás lehetısége egy üzleti alkalmazáshoz való illetéktelen hozzáférést tehet lehetıvé, ezért az informatikai rendszerekhez távolról való összes csatlakozást azonosítani és hitelesíteni kell. Ez különösen 172


Informatikai Biztonság Irányítási Követelmények fontos akkor, ha a csatlakozás egy olyan hálózatot használ, amely kívül esik a szervezet biztonsági rendszerének hatókörén. A hitelesítés néhány példáját, és azt, hogy hogyan lehet ezt elérni, az elızı 11.4.2. pont mutatja. Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról lehessen a rendszerekbe belépni. Egységes

munkaállomás-névhasználatot

kell

kialakítani,

a

hálózatban

lévı

munkaállomások pontos azonosítása érdekében.

11.4.4. A TÁVDIAGNOSZTIKAI PORTOK VÉDELME Meg kell oldani a diagnosztikai portok hozzáférésének biztonságos ellenırzését. Számos számítógép és kommunikációs rendszer rendelkezik egy tárcsázással mőködtethetı távoli diagnosztikai eszközzel, amelyet a karbantartásért felelıs mőszaki szakemberek használhatnak. Kellı védelem hiányában ezek a diagnosztikai illesztıegységek az illetéktelen hozzáférés eszközeiként használhatók. Ezért megfelelı biztonsági mechanizmussal, többek között zárral vagy eljárással gondoskodni kell arról, hogy ezekhez csak az Informatikai Vezetı és a hozzáférésre jogosult hardver/szoftver kiszolgáló szervezet közötti megállapodás alapján lehessen hozzáférni. a) A távdiagnosztikai szolgáltatással rendelkezı eszközök esetén a menedzselést csak azonosító és jelszó együttes használatával szabad elérni. b) Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott ezt a lehetıséget kifejezetten le kell tiltani.

11.4.5. A HÁLÓZATOK BIZTONSÁGI SZEGMENTÁLÁSA A magánhálózatok bizalmasságának megırzése kiemelt szerephez jutott napjainkban. Az egyre komplexebb támadási formák megjelenésére válaszképpen egyre komplexebb, integráltabb hálózat-védelmi rendszerek születtek. Régebben a tőzfal- és behatolás detektáló-, valamint a vírusvédelmi rendszerekrıl más-más értelemben beszéltünk, annak ellenére, hogy mindegyik védelmi rendszer a belsı hálózatot és annak erıforrásait védi. Napjaink védelmi implementációi mindhárom funkciót egyszerre tartalmazzák, és együttesen hálózati „Határvédı” védelmi rendszernek (Perimeter Defens) nevezzük ıket. A magánhálózatok „peremvidékét” védı rendszerek igyekeznek minden veszélyforrást, még a Magyar Informatikai Biztonság Irányítási Keretrendszer

173

Informatikai Biztonság Irányítási Követelmények privát hálózatba való bekerülés elıtt semlegesíteni, ezért fizikailag a LAN bejáratánál „a határátkelın” (Router, Default gateway) kerülnek elhelyezésre, sok esetben a Router maga tartalmazza ezeket, a védelmi megoldásokat. A hálózatok egyre inkább átlépik a hagyományos intézményi, társasági határokat. Létrejönnek olyan új üzleti partneri kapcsolatok és társas vállalkozások, amelyek mőködése szükségessé teszi az adatfeldolgozó és a hálózati kapacitások összekapcsolását vagy megosztását. Az ilyen kiterjesztések fokozhatják a hálózaton keresztül elérhetı információs rendszerekhez való illetéktelen hozzáférés kockázatát. Ennek megelızése érdekében a rendszerek egy részét – az adatok érzékeny és kritikus volta miatt – védeni kell a hálózat többi felhasználójával szemben. Ilyen körülmények között mérlegelni kell olyan ellenırzı eszközök alkalmazását is, amelyek lehetıvé teszik az információs szolgáltatások, a felhasználók és az információs rendszerek különbözı csoportjainak elkülönítését. A nagy hálózatok biztonságának ellenırzésére alkalmas módszerek egyike a hálózatok felosztása önálló (belsı és külsı) logikai hálózati struktúrákra (tartományokra); ezek mindegyikét egy meghatározott biztonsági győrő (háló) védi. Ez kialakítható többek között oly módon is, hogy a két összekapcsolható hálózat között egy biztonsági kapu ellenırzi a hozzáférést és a két struktúra közötti információáramlást. Ennek a konfigurációnak alkalmasnak kell lennie a két struktúra közötti forgalom szőrésére, valamint – a szervezet hozzáférést ellenırzı hatályos irányelveinek megfelelıen – az illetéktelen hozzáférés megakadályozására. Az ilyen kapu egyik jellemzı példája az ún. tőzfal. A hálózatok elkülönítésének kritériumait a hozzáférés ellenırzésére vonatkozó irányelvek és a hozzáférési igények alapján kell kialakítani (lásd 11.1 fejezet), aminek során figyelembe kell venni a megfelelı hálózati útvonal-kiválasztási vagy kapuzási technológia tényleges és fajlagos költségeit és a teljesítményre gyakorolt hatását. Egy másik módszer a különálló logikai tartományok elkülönítésére, hogy korlátozzák a hálózati hozzáférést, és virtuális magánhálózatokat alkalmazzanak a szervezeten belüli felhasználói csoportokra. A hálózatokat a hálózati egység funkciójának használatával is el lehet határolni, pl. IPkapcsolást használva. A különbözı tartományokat akkor úgy lehet bevezetni, hogy a hálózat adatfolyamát ellenırzik, felhasználva az útvonalválasztás/kapcsolási képességeket, mint pl. a hozzáférés-ellenırzı listákat.

174


Informatikai Biztonság Irányítási Követelmények A hálózatok tartományokra való elhatárolási kritériumai alapuljanak a hozzáférés- ellenırzési szabályzatra és a hozzáférés követelményeire (lásd a 10.1. szakaszt) és vegyék figyelembe még a megfelelı hálózati útvonalválasztás vagy átjáró technikai beépítésének (lásd a 11.4.6. és a 11.4.7. szakaszt) viszonylagos költség- és teljesítményhatásait. Ezenkívül a hálózatok elhatárolása legyen a hálózatban tárolt vagy feldolgozott információ értékére és osztályozására, a bizalmi szintekre, az üzletágakra alapozva, hogy csökkentsék a szolgáltatás megszakadásának összhatását. Fontolják meg a vezetéknélküli hálózatok elhatárolását a belsı- és magánhálózatoktól, minthogy

a

vezetéknélküli

hálózatok

határzónái

nincsenek

jól

meghatározva,

kockázatfelmérés alapján lehet ezesetben is meghatározni a védelmi intézkedéseket (pl. hathatós hitelesítés, kriptográfiai módszerek és elválasztás) a hálózati elhatárolás fenntartására.

11.4.6. A HÁLÓZATRA TÖRTÉNİ CSATLAKOZÁSOK ELLENİRZÉSE Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága szükségessé teszi bizonyos ellenırzı eszközök alkalmazását a felhasználók csatlakozási lehetıségeinek korlátozására. (Ezeket a forgalomszőrı, ellenırzı lehetıségeket amennyiben szükséges, a gateway és operációs rendszeri beállításánál alkalmazni kell.) Korlátozó rendelkezéseket többek között az alábbi esetekben célszerő alkalmazni: a) Elektronikus levelezés. b) Egyirányú adatállomány mozgatás (például mentési rendszerek esetében). c) Adatállomány mozgatása mindkét irányban. d) Meghatározott idıponthoz kötött hálózati hozzáférés.

11.4.7. A HÁLÓZATI ÚTVONAL KIVÁLASZTÁSOK ELLENİRZÉSE A szervezeten túl terjedı hálózatoknál kötelezı az útvonal-kiválasztást ellenırzı és vezérlı eszközök, módszerek alkalmazása, ahol: a) A rendszerdokumentációban pontosan meg kell adni az elérni kívánt eszközök címét, portszámát és egyéb, a biztonsági szőréshez szükséges adatait; Magyar Informatikai Biztonság Irányítási Keretrendszer

175

Informatikai Biztonság Irányítási Követelmények b) Az útvonalak kialakításáért felelıs személyt ki kell jelölni; c) A beállításokat minden esetben tesztelni és jegyzıkönyvezni kell.

11.5 AZ OPERÁCIÓS RENDSZERSZINTŐ HOZZÁFÉRÉSEK ELLENİRZÉSE Az informatikai eszközök illetéktelen elérésének megakadályozása érdekében az operációs rendszer szintjén rendelkezésre álló biztonsági lehetıségeket is fel kell használni a számítástechnikai erıforrásokhoz való hozzáférés korlátozásához. Ezeknek a következıket kell lehetıvé tenniük: a) Az engedéllyel rendelkezı felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása. b) A sikeres és az eredménytelen hozzáférési kísérletek rögzítése. c) Megfelelı hitelesítési eszközök és – jelszókezelı rendszer használata esetén – minıségi jelszavak biztosítása. d) Különleges rendszerelıjogok használatának naplózása (pl. rendszergazda jogosultsággal rendelkezı felhasználók esetében). e) Adott esetben a felhasználók csatlakozási idejének korlátozása. f) Amennyiben az üzleti kockázatok alapján ez indokolt, más hozzáférést vezérlı módszerek (például ujjlenyomat, chipkártya, kérdés-felelet) is alkalmazhatók.

11.5.1. BIZTONSÁGOS HITELESÍTÉSI, BEJELENTKEZÉSI ELJÁRÁSOK

11.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése a) A terminál automatikus azonosítása kötelezı, ha fontos és indokolt, hogy egy munkát, vagy tranzakciót csak egy adott terminálról lehessen kezdeményezni. b) Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról, címekrıl lehessen a rendszerekbe belépni. c) Egységes munkaállomás névhasználatot kell kialakítani.

176


Informatikai Biztonság Irányítási Követelmények 11.5.1.2. Biztonságos bejelentkezési eljárások A számítógéprendszerbe való bejelentkezési folyamatnak minimumra kell csökkentenie az illetéktelen hozzáférés lehetıségét. a) Ennek során csak a bejelentkezés eredményes befejezése után jelenhet meg a használni kívánt rendszerre vonatkozó adat, azonosító, stb. b) A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása után kerülhet sor; sikertelenség esetén nem jelölheti meg a hibás, elrontott azonosítót, jelszót. c) Korlátozni kell az eredménytelen bejelentkezési kísérletek számát, rögzíteni kell az eredménytelen kísérleteket, próbálkozásonként egyre nagyobb késleltetést kell alkalmazni, mielıtt további bejelentkezési kísérletet engednek meg, idıtúllépés esetén meg kell szüntetni az adatátviteli kapcsolatot. d) Minısített esetben vészjelzést kell küldeni a rendszer-kezelıpulthoz, ha elérték a legnagyobb számú bejelentkezési kísérletet. A jelszóval való visszaélések és az ehhez kapcsoldó biztonsági események könnyebb felderíthetısége érdekében belépés után a rendszer jelezze ki a következıket: -

az elızı sikeres bejelentkezés dátumát és idıpontját;

-

az utolsó sikeres bejelentkezés óta végzett sikertelen bejelentkezési kísérletek részletes adatait.

A fentieknek segítségével, maga a felhasználó is nyomon tudja követni, hogy valaki más megpróbált-e visszaélni az ı jogosultságaival.

11.5.2. A FELHASZNÁLÓ AZONOSÍTÁSA, HITELESÍTÉSE Biztonságos bejelentkezési folyamatot kell kialakítani, melynek során: a) Az azonosítás és hitelesítés keretében a hozzáférési jogosultságot legalább jelszavakkal kell ellenırizni. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen megkerülhetı, illetve könnyen megfejthetı. b) A felhasználók azonosítása egyedi, jellemzı, ellenırizhetı és hitelesítésre alkalmas kell, hogy legyen.


177

Informatikai Biztonság Irányítási Követelmények c) Olyan eszközök, mint a felhasználók által birtokolt adattokok (memory tokens) vagy az elektronikus kártyák (smart cards) ugyancsak használhatóak azonosításra és hitelesítésre (A&H). d) Biometriai hitelesítéstechnikák, amelyek a személy egyedi jellemzıit vagy attribútumait használják fel, ugyancsak használhatóak valamely személy azonosságának azonosítására. (Erısebb hitelesítést nyerhetünk azzal, ha a technológiák és mechanizmusok kombinációját biztonságosan kapcsoljuk egymáshoz.) e) A munkakör megváltozásakor a felhasználók hozzáférési jogosultságait felül kell vizsgálni, és ennek alapján módosítani kell. f) Biztosítani kell a felhasználói azonosítók idıszakos vagy végleges letiltásának lehetıségét. g) A rendszer hozzáférés szempontjából meghatározó erıforrásaihoz (például fájlok, tároló területek, berendezések, stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáférési jogosultság meghatározásának alapjául szolgálnak.

11.5.3. JELSZÓMENEDZSMENT RENDSZER A jelszavak rendszerszintő kezelését az adott operációs rendszer vagy alkalmazási rendszer beépített jelszó-kezelési rendszere végzi. A jelszókezelı rendszerrel szemben támasztott alapvetı követelmények: a) A számon kérhetıség fenntartása érdekében ki kell, hogy kényszerítse az egyéni kulcsszavak használatát, és megadott idıközönként azok cseréjét. b) Minden felhasználó számára biztosítania kell, a szabad jelszóváltoztatás lehetıségét. c) Kényszerítse ki a kellı biztonsági szintnek megfelelı jelszavak használatát. d) Központi jelszó megadás utáni elsı bejelentkezéskor kötelezı a jelszócsere. e) Jelszó egyediségét valamint történeti tárolását biztosítani kell. (például a jelszó-kezelı rendszer, nyilvántartást vezet az eddig alkalmazott jelszavakról, és megakadályozza a korábbiak felhasználását.) f) Bejelentkezési folyamat során, a képernyın rejtse el a jelszót.

178


Informatikai Biztonság Irányítási Követelmények g) A számítógépes rendszerben tárolt jelszavakat, jelszófájlokat az alkalmazások adataitól elválasztva, megfelelı rejtjelezési védelemmel ellátva kell tárolni. h) Biztosítson lehetıséget a következık beállítására: 1) minimális jelszóhossz megadása, 2) a jelszavak képzési szabályainak meghatározása, 3) jelszó élettartam, 4) a jelszófelfüggesztés, letiltás. 5) A felhasználói jelszó szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket a rendszerszintő IBSZ határozza meg. 0. és 1. szinten: a) Minimális jelszóhossz: 6 karakter. b) Maximális jelszó érvényesség: 1 év. c) Az elızıleg használt jelszavak újrahasználhatóságának tiltása minimum az elızı 5 jelszó erejéig. 2., 3. és 4. szinten: a) Minimális jelszóhossz: 8 karakter. b) Maximális jelszó érvényesség: 180 nap. c) Az elızıleg használt jelszavak újrahasználhatóságának tiltása minimum az elızı 5 jelszó erejéig.

11.5.4. RENDSZER SEGÉDPROGRAMOK HASZNÁLATA Mindazon operációs rendszerelemeket, segédprogramokat, amelyek a munkavégzéshez nem szükségesek, nem kell telepíteni, vagy amennyiben ez elkerülhetetlen úgy, el kell távolítani azokat a rendszerbıl. Amennyiben ilyen rendszerelemek, segédprogramok használatára szükség van, azt jogosultságokhoz, felhasználókhoz kell kötni. A biztonsági cél, hogy a rendszer- és alkalmazásvezérlések hatástalanítására képes segédprogramok használata legyen korlátozva és szigorúan ellenırizve. A rendszer segédprogramok használatának irányelvei:


179


azonosítási, hitelesítési eljárások a rendszer segédprogramjaihoz;

b)

a rendszer segédprogramjainak az alkalmazási szoftvertıl való elhatárolása;

c)

a rendszer segédprogramok használatának korlátozása egy szők felhasználói

csoportra (lásd még a 11.2.2. szakaszt); d)

jogosultságok eseti megadása a rendszer segédprogramjainak alkalomszerő

használatára; e)

a rendszer segédprogramjainak korlátozott rendelkezésre állása, pl. egy

jogosított változtatás idejére; f)

a rendszer segédprogramjainak minden használatára kiterjedı naplózása;

g)

a

rendszer

segédprogramjai

jogosítási

szintjeinek

meghatározása

és

dokumentálása; h)

az összes szükségtelen szoftver alapú segédprogram és rendszerszoftver

eltávolítása vagy hatástalanítása; i)

a rendszer segédprogramjai rendelkezésre állásának megtagadása azoknak a

használóknak, akiknek hozzáférésük van az alkalmazásokhoz olyan rendszereken, ahol a kötelességek elhatárolását megkívánják. Legtöbb operációsrendszernek van egy vagy több rendszer-segédprogramja, amely képes lehet a rendszer teljes tönkretételére.

11.5.5. KAPCSOLATI IDİTÚLLÉPÉS A szervezet különösen fontos munkaállomásait, illetve a nagy kockázatú rendszereit kiszolgáló inaktív terminálokat, legfeljebb 30 perc elteltével ki kell kapcsolni, az illetéktelen személyek hozzáférésének megakadályozása érdekében. Az idıtúllépési késleltetés (time-out delay) értéke tükrözze a terminál elhelyezésével és használóival kapcsolatos kockázatot. Ennek a funkciónak a rendszerszintő IBSZ-ben elıírt inaktív idıkorlát elteltével automatikus mentést kell végrehajtania, le kell törölnie a képernyıt, be kell zárnia a futó alkalmazásokat, és meg kell szüntetnie a hálózati kapcsolatokat. Az alkalmazott idıkorlátnak valamint, a zárolás szintjének meg kell felelnie a rendszer biztonsági osztályának.

180


Informatikai Biztonság Irányítási Követelmények Az idıtúllépési eszköz korlátozott formáját lehet biztosítani egyes rendszerekre, amelyek törlik a képernyıt és megakadályozzák a jogosulatlan hozzáférést, de nem zárják ki az alkalmazási vagy hálózati kapcsolatot. Ez az ellenırzés különösen fontos nagy kockázatú helyeken, amelyekbe beletartoznak a szervezet biztonsági kezelésén kívüli nyilvános vagy külsı terek.

11.5.6. KAPCSOLATI IDİKORLÁTOZÁS Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére idıkorlátokat kell bevezetni (például Internetes szolgáltatások), ami az illetéktelen hozzáférés lehetıségeit és kockázatát csökkenti. Az összeköttetési idı korlátozását használják fel, hogy kiegészítı védelmet nyújtsanak a nagykockázatú alkalmazások használatához. Az összeköttetési idı ellenırzését fontolják meg érzékeny számítógépes alkalmazások esetén, különösen nagykockázatú helyekrıl, pl. nyilvános vagy külsı területekrıl, amelyek kívül esnek a szervezet biztonsági irányításán. Ilyen korlátozásokra példák: a)

elıre meghatározott idırések használata, pl. kötegelt adatállomány közvetítésre

vagy rendszeres rövididejő interaktív kapcsolatra; b)

az összeköttetések idejének a szokásos irodai órákra való korlátozása, ha nincs

szükség túlmunkára vagy kiterjedt idejő mőködésre; c)

újrahitelesítés megfontolása meghatározott idıközönként.

Ha korlátozzák azt az idıszakot, ami alatt a számítógép és a hálózati szolgáltatások összeköttetése megengedett, az csökkenti a jogosulatlan hozzáférés idıbeni lehetıségét.

11.5.7. TÁMADÁS-RIASZTÁS Azon munkahelyeknél, felhasználóknál, ahol fizikai támadás, vagy kényszer kockázata áll fenn, ott ki kell építeni a „támadásjelzı” rendszert.


181

Informatikai Biztonság Irányítási Követelmények 11.6. ALKALMAZÁS SZINTŐ HOZZÁFÉRÉSEK VEZÉRLÉSE Az illetéktelen hozzáférés megakadályozására a felhasználói rendszereken belül biztonsági eszközöket is kell alkalmazni. A programok és az adatok logikai hozzáférését minden esetben az engedéllyel rendelkezı felhasználókra kell korlátozni. A felhasználói rendszerekben: a) A hatályos hozzáférés-védelmi szabályzatnak megfelelıen ellenırizni kell az adatokhoz és az alkalmazási rendszer funkcióihoz való felhasználói hozzáférést. b) Védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram, rendszerprogram, vagy rosszindulatú program számára ott, ahol meg lehet kerülni a rendszer vagy az alkalmazás ellenırzı eszközeit. c) Nem szabad befolyásolni olyan más rendszerek biztonságát, amelyekkel az adott rendszer megosztva használ különbözı informatikai erıforrásokat.

11.6.1. AZ ADATELÉRÉS SZABÁLYOZÁSA Abban az esetben, amennyiben azt a kialakított rendszer sajátossága szükségessé teszi, az alkalmazás szintjén is szabályozni kell az adatelérést (például megfelelı menük alkalmazásával, a dokumentációhoz és a rendszer funkciókhoz való hozzáférés szelektívvé tételével, stb.). További elvárások az operációs rendszerek felhasználóinak azonosításával, hitelesítésével kapcsolatos pontban részletezettek. 2., 3. és 4. szinten: A rendszernek biztosítania kell az információáramlás felügyeleti megvalósulását. 11.6.2. ÉRZÉKENY ADATOKAT KEZELİ RENDSZER ELKÜLÖNÍTÉSE Érzékeny adatokat csak azon személyek kezelhetnek, akiket erre az szervezet szabályzatai által kijelölt vezetık feljogosítanak, továbbá rendelkeznek a megfelelı jogosultságot biztosító felhasználói azonosítóval, a hitelesítést lehetıvé tevı jelszóval és – szükség esetén – további azonosításra alkalmas eszközzel. A különlegesen érzékeny adatok kezelésére – indokolt esetben – elkülönített informatikai eszközök is igénybe vehetık. 182


Informatikai Biztonság Irányítási Követelmények Az érzékeny rendszereknek egy célirányosan leválasztott számítógépes környezetet kell létrehozni. Egyes alkalmazási rendszerek elég érzékenyek a lehetséges veszteségekre, úgyhogy különleges kezelést igényelnek. Az érzékenység mutathatja, hogy az alkalmazási rendszer a) egy célirányos számítógépen kell, hogy fusson, vagy b) csak megbízható alkalmazási rendszerekkel ossza meg a forrásait. A leválasztást el lehet érni fizikai vagy logikai módszerekkel (lásd még a 11.4.5. szakaszt).

11.7. MOBIL INFORMATIKAI TEVÉKENYSÉG, TÁVMUNKA A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek összhangban kell lennie ennek a speciális munkavégzésnek a kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges módját és eszközeit. A mobil számítástechnikai eszközökön az Informatikai Vezetınek gondoskodni kell a rejtjelzett adattárolásról és adatátvitelrıl. Távmunka (távoli hozzáférés) esetén a szervezet érintett szervezeti egységeinek gondoskodniuk kell a biztonságos adatkapcsolat létrehozásáról, a kapcsolatot tartó hely védelmérıl. A mobil informatikai tevékenység és a távmunka szabályozását a Biztonsági Vezetınek jóvá kell hagynia.

11.7.1. MOBIL INFORMATIKAI TEVÉKENYSÉG A laptopok, notebook-ok, otthoni munkaállomások használóinak mind a fizikai biztonság, mind a logikai védelem területén a jelen IBSZ-ben és a rendszerszintő IBSZ-ekben foglaltakat kell figyelembe venniük. Ezek közül a legfontosabbak: a) A távmunka során is be kell tartani a szervezet szabályzataiban foglaltakat. b) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok elıírt védelme.


183

Informatikai Biztonság Irányítási Követelmények c) Ki kell alakítani a mobil informatikai eszközök megfelelı fizikai védelmét. d) A kommunikációhoz rejtjelzett csatornáról kell gondoskodni. e) Vírus- és behatolás védelmi eszközöket kell biztosítani a mobil eszközökre. f) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell fordítani. g) A távoli elérésre vonatkozó szabályokat kell alkalmazni. Alapvetı biztonsági cél, hogy a szervezetek hozzanak létre hivatalos szabályzatot és alkalmazzanak megfelelı biztonsági intézkedéseket, a mobil számítástechnikai és kommunikációs berendezések védelmére. Amikor mobil számítástechnikai és kommunikációs berendezést használnak, mint pl. notebook, palmtop, laptop, memóriakártyát és mobiltelefont, különleges gondot kell fordítani arra, hogy biztosítsák, hogy a mőködési információ ne legyen veszélyeztetve. A mobil számítástechnikai szabályzat vegye figyelembe a mobil számítástechnikai berendezéssel való munka kockázatát védelem nélküli környezetben is. A mobil számítástechnikai szabályzathoz tartozzanak követelmények a fizikai védelemre, a hozzáférés-védelemre, kriptográfiai technikákra, mentésekre és vírusvédelemre. Ez a szabályzat tartalmazzon szabályokat és tanácsot is a mobil berendezések hálózatokhoz való csatlakoztatására és útmutatást e berendezések nyilvános helyeken való használatára. Ügyelni kell, amikor mobil számítástechnikai berendezést nyilvános helyeken, összejöveteli termekben és más védelem nélküli területeken használnak a szervezet helyiségein kívül. Alkalmazzanak kellı erısségő rejtjelzı algoritmusokat (lásd a 12.3. szakaszt), hogy elkerüljék a jogosulatlan hozzáférést a berendezésben tárolt adatokhoz. A mobil számítástechnikai berendezéseket nyilvános helyeken használók ügyeljenek arra, hogy elkerüljék a jogosulatlan személyek általi betekintés kockázatát. Álljanak rendelkezésre a rosszindulatú szoftver elleni eljárások és tartsák azokat frissítve (lásd a 10.4. szakaszt). A kritikus mőködési információ mentését rendszeresen végezzék el. Berendezés álljon rendelkezésre, hogy elısegítse a gyors és könnyő adatmentést. Ezek a mentések megfelelı védelmet adjanak, pl. lopás vagy adatvesztés ellen. Megfelelı védelmet nyújtsanak a hálózatra kapcsolt mobil berendezések használatához. A mőködési információhoz távoli hozzáférés, mobil számítástechnikai berendezéssel nyilvános

184


Informatikai Biztonság Irányítási Követelmények hálózaton keresztül, csak azután fordulhasson elı, miután sikeres volt az azonosítás és hitelesítés, és megfelelı hozzáférés-ellenırzési mechanizmus mellett (lásd a 11.4. szakaszt). A mobil számítástechnikai berendezéseket fizikailag is védjék lopás ellen, különösen akkor, ha pl. gépkocsiban és más szállítóeszközön, hotelszobákban, konferenciaközpontokban és összejöveteli helyeken hagyják. Egyedi eljárást kell létrehozni, figyelembe véve a szervezet jogi, biztosítási és más biztonsági követelményeit, a mobil számítástechnikai berendezések ellopása vagy elvesztése esetére. Kényes üzemeltetési információkat hordozó eszközt nem szabad felügyelet nélkül hagyni, és ha lehetséges, fizikailag el kell zárni vagy különleges zárat kell alkalmazni a berendezés biztosítására (lásd a 9.2.5. szakaszt). A felhasználók részére oktatást kell tartani, hogy növeljék a biztonsági tudatosságot az ilyen jellegő munkavégzésbıl származó többletkockázattal szemben és a bevezetendı intézkedések elfogadtatásával kapcsolatban.

A

mobil

hálózatok

vezetéknélküli

összeköttetései

hasonlók

más

típusú

hálózati

összeköttetésekhez, de vannak fontos különbségek, amelyeket fontoljanak meg az intézkedések azonosításakor. Jellemzı különbségek a következık: a)

egyes vezetéknélküli biztonsági protokollok kidolgozatlanok és ismert

gyengeségei vannak; b)

lehet, hogy a mobil számítógépeken tárolt információt nem mentik a

korlátozott hálózati sávszélesség miatt, vagy a mobil berendezés nem csatlakoztatható abban az idıben, amikorra a mentések be vannak állítva.

Védelmi intézkedések: 0. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idı: 180 nap. b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. Magyar Informatikai Biztonság Irányítási Keretrendszer

185

Informatikai Biztonság Irányítási Követelmények c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell ırizni erre alkalmas biztonsági

konténerben,

hogy

vészhelyzet

esetén

is

biztosított

legyen

a

rendszerhozzáférés. d) Ha jelszó alapú hitelesítı rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismereteket szerezzen a hitelesítési folyamatról. f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát. g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erısségét (minıségét) biztosító a rendszerhez fejlesztett sémának megfelelıen kell végrehajtani. h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell. i) A rendszerszintő IBSZ-nek elı kell írnia az interaktív kapcsolatok zárolását, egy elıre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelzı eszközöket (képernyıket), az aktuális képernyıtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzıket és zárolnia kell a munkameneteket. j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minısített információt, azt az eszközt úgy kell kezelni, mint egy minısített dokumentumot (iratot). k) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszközön magas minısítéső adat tárolása, vagy feldolgozása történik. l) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenırizze a cserélhetı médiákat (például floppy disk). m) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. n) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértıknek.

186


Informatikai Biztonság Irányítási Követelmények o) A hardver és szoftver karbantartási eljárásokat szabályozni kell. p) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az informatikai biztonsági elıírásoknak és követelményeknek megfelelıen, a biztonsági szervezet jóváhagyásával. q) A hordozható informatikai eszközök gazdája felelıs az eszköz teljes biztonságáért és annak ellenırzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelıs az eszköz biztonságáért. 1. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 6 karakter, érvényességi idı: 180 nap. b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell ırizni erre alkalmas biztonsági

konténerben,

hogy

vészhelyzet

esetén

is

biztosított

legyen

a

rendszerhozzáférés. d) Ha jelszó alapú hitelesítı rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen a hitelesítési folyamatról. f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát. g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erısségét (minıségét) biztosító a rendszerhez fejlesztett sémának megfelelıen kell végrehajtani. h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell.


187

Informatikai Biztonság Irányítási Követelmények i) A rendszerszintő IBSZ-nek elı kell írnia az interaktív kapcsolatok zárolását, egy elıre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelzı eszközöket (képernyıket), az aktuális képernyıtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzıket és zárolnia kell a munkameneteket. j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minısített információt, azt az eszközt úgy kell kezelni, mint egy minısített dokumentumot (iratot). k) A hordozható informatikai eszközökön diszkrét címkével kell jelezni azt, hogy az eszközön magas minısítéső adat tárolása, vagy feldolgozása történik. l) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági területet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott szabályok szerint. m) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenırizze a cserélhetı médiákat (például floppy disk). n) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. o) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértıknek. p) A hardver és szoftver karbantartási eljárásokat szabályozni kell. q) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az informatikai biztonsági elıírásoknak és követelményeknek megfelelıen, a biztonsági szervezet jóváhagyásával. r) A hordozható informatikai eszközök gazdája felelıs az eszköz teljes biztonságáért és annak ellenırzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelıs az eszköz biztonságáért. 2. és 3. szinten: a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi idejét). Minimális hossz: 8 karakter, érvényességi idı: 90 nap. b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg kell tagadni a hozzáférést.

188


Informatikai Biztonság Irányítási Követelmények c) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált, jogokkal felruházott felhasználókról. d) Szükséges

a

kiváltságos

account-ok

használata

(például

rendszer,

biztonsági

adminisztrátor). e) Az összes, jogosultsággal rendelkezı felhasználó biztonsági beállításait, egyedileg kell karbantartani. f) A biztonsági vezetésnek a felhasználói azonosító alapján meg kell tudnia határozni az adott felhasználó jogosultságait és szerepkörét. g) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok jelszavait – védetten (például lepecsételt borítékban) meg kell ırizni erre alkalmas biztonsági

konténerben,

hogy

vészhelyzet

esetén

is

biztosított

legyen

a

rendszerhozzáférés. h) Token alapú (például smartcard) hitelesítési eljárást kell alkalmazni. i) Használaton kívül, a hitelesítési tokent az eszköztıl elszeparáltan kell tárolni. j) Ha jelszó alapú hitelesítı rendszert használunk, cseréljük a jelszavakat minden esetben, ha kompromittálódnak, vagy illetéktelen személy birtokába jutnak. k) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rendszer eseményeket, ahol a felhasználóknak újra kell azonosítania magát. l) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hitelesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen a hitelesítési folyamatról. m) A hitelesítési mechanizmus sikertelen használatát (például access denied, logon failure stb.), és a felhasználó személyazonosságát ellenırizhetıvé, vizsgálhatóvá kell tenni. n) Ahol nem az egyszer használatos jelszavak vannak használatban ott a jelszavakat rejtjelzett formában kell tárolni. o) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek és jelszavak generálását egy jelszó erısségét (minıségét) biztosító a rendszerhez fejlesztett sémának megfelelıen kell végrehajtani. p) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az adatokhoz, melyeket a felhasználónak tudni kell. Magyar Informatikai Biztonság Irányítási Keretrendszer

189

Informatikai Biztonság Irányítási Követelmények q) A biztonsági és a rendszerinformációkhoz való hozzáférést korlátozni kell az illetékes biztonsági felelısökre és a rendszergazdákra. r) A hozzáférési jogosultságokkal kell kikényszeríteni azt a hozzáférési módot, amivel a felhasználó rendelkezhet.(például olvasási, írási, módosítási, törlési jog.) s) A rendszerszintő IBSZ-nek elı kell írnia az interaktív kapcsolatok zárolását, egy elıre meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelzı eszközöket (képernyıket), az aktuális képernyıtartalmat olvashatatlanná kell tenni, és le kell tiltatni minden felhasználói tevékenységet, a hozzáférést / kijelzıket és zárolnia kell a munkameneteket. t) A rendszerszintő IBSZ-ben meg kell engedni, hogy a felhasználó zárolhassa saját interaktív kapcsolatait (alkalmazásait, munkameneteit), felül kell írnia, vagy törölnie kell a kijelzı eszközöket (képernyıket), az aktuális képernyıtartalmat olvashatatlanná kell tennie, és le kell tiltatnia minden felhasználói tevékenységet, a hozzáférést / kijelzıket és zárolnia kell a munkameneteket. u) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minısített információt, azt az eszközt úgy kell kezelni, mint egy minısített dokumentumot (iratot). v) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszközön magas minısítéső adat tárolása, vagy feldolgozása történik. w) Minısített feldolgozást hordozható számítógépen csak minısített adatok feldolgozására alkalmas, kijelölt területen lehet végezni. Ha az eszköz nincs használatban, magas minısítéső dokumentumok számára engedélyezett biztonsági konténerben kell tárolni. x) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági területet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott szabályok szerint. Hordozható informatikai eszközre csak ellenırzött környezetben csatlakoztatható nyomtató. y) A rendszerszintő IBSZ-nek elı kell írnia, hogy a felhasználó zárolhassa saját interaktív munkameneteit, törölve a képernyıt, és letiltva minden hozzáférést a felhasználói adatokhoz a zárolás feloldásáig. z) A törölt adatok (maradék információ) védelmi mechanizmusának gondoskodnia kell arról, hogy a törölt információ többé már ne legyen vagy (ne túl hosszú ideig) legyen hozzáférhetı, és ezekre vonatkozó információkat az újonnan létrehozott objektumok 190


Informatikai Biztonság Irányítási Követelmények (fájlok) ne tartalmazzanak. Ez a védelem szükséges a logikailag már törölt de fizikailag még elérhetı adatok esetében. aa) Az eseményrekord (bejegyzés) a következı mezıket kell, hogy tartalmazza: felhasználónevet, dátumot, idıt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági naplóban a következı eseményeket kell rögzíteni: 1) a rendszerindítást; 2) felhasználók be és kijelentkezését; 3) a jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag; 4) biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási funkciókat is; 5) naplózási szolgáltatás elindítását és leállítását; 6) rendszeridı megváltoztatása; 7) sikertelen rendszerhozzáférési kísérlet. bb) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell az illetéktelen módosítástól és törléstıl, ezért ember számára olvasható formában is el kell tárolni. cc) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani. dd) A


automatikusan

kell

archiválni,

a


(eseményrekordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biztonsági események automatikus detektálására. ee) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan ellenırizze a cserélhetı médiákat (például floppy disk). ff) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell. gg) A biztonsági mentési eljárásainak fıbb tervezési szempontjai: mentések gyakorisága, tárolási követelmények a helyszínen (tőzálló konténer). A biztonsági mentések másolati példányaihoz való (hitelesített) hozzáférések ellenırzése. hh) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértıknek. ii) A hardver és szoftver karbantartási eljárásokat szabályozni kell. Magyar Informatikai Biztonság Irányítási Keretrendszer

191

Informatikai Biztonság Irányítási Követelmények jj) Illetéktelen hardver,

vagy szoftver bekerülésének

a megelızése érdekében

a

rendszergazdáknak folyamatosan ellenırizniük kell a hardver és szoftver konfigurációt. kk) Az operációsrendszer konfigurációját idıszakosan ellenırizni kell. ll) Az operációs rendszer összetevıinek megváltoztatására csak korlátozott felhasználónak szabad jogot adni (például rendszergazda, biztonsági felelıs). mm)

A biztonsági felelısök jóváhagyása szükséges az üzleti információk tárolásához,

feldolgozáshoz és továbbításához. nn) A biztonsági adatok és funkciók menedzselési mechanizmusokat kell beépíteni a rendszerbe, csak elıre definiált felhasználó (vagy szerepkör) hajthat végre biztonsági funkciót. oo) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az informatikai biztonsági elıírásoknak és követelményeknek megfelelıen, a biztonsági szervezet jóváhagyásával. pp) A hordozható informatikai eszközök gazdája felelıs az eszköz teljes biztonságáért és annak ellenırzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tagját kell kijelölni, aki felelıs az eszköz biztonságáért. qq) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanúsító szervezetnél. rr) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408 (Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyezı biztonsági szintnek. ss) A rendszert biztonsági tesztelésnek kell alávetni biztonsági tesztelési tervnek megfelelıen. tt) A rendszert fix idıközönként újra kell tesztelni a biztonsági tesztelési tervnek megfelelıen. uu) A konfigurációra vonatkozó követelményszintnek megfelelıen kell üzembehelyezni a kiszolgálógépeket, a munkaállomásokat beleértve az elérhetı szolgáltatásokat is. vv) A rendszer vagy a hálózat összetevıinek megváltoztatása elıtt fel kell mérni ezek biztonsági hatásait.

192


Informatikai Biztonság Irányítási Követelmények ww) A rendszerszintő IBSZ-eknek meg kell szorítaniuk a biztonsági beállítások lehetıségét a rendszergazdák és a biztonsági felelısök számára. 5. szinten: Nem használható mobil számítástechnikai eszköz.

11.7.2. A TÁVMUNKA Biztonsági cél, hogy szabályzatot, üzemeltetési terveket és eljárásokat fejlesszenek ki és vezessenek be a távmunkavégzés biztonságának a növelése érdekében. Távmunka esetén is gondoskodni kell a biztonsági követelmények és elıírások betartásáról, a megfelelı és rendszeres ellenırzésrıl. a) A távmunkát végzı csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a szervezet hálózatába. Az Informatikai Vezetı és az Informatikai Biztonsági Vezetı közösen határozzák meg ezeket a belépési pontokat. b) A munkaállomásokon egyidejőleg modem és hálózati kártya (engedély nélkül) nem lehet. c) A távmunkát végzı gépekkel internetes csatlakozás alapértelmezésben tiltott. d) A számítógépeken a társasági és rendszerszintő IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek telepítve kell lenniük, és ezeket kötelezı használni. A távmunka kommunikációs technológiát használ, hogy lehetıvé tegye a személyzet számára, hogy egy, a szervezeten kívüli rögzített helyrıl, távolról dolgozzon. A szervezetek csak akkor engedélyezzék a távmunka lehetıségét, ha a szervezeti szabályzatokban szereplı, megfelelı biztonsági intézkedések állnak rendelkezésre a támogatására. Gondoskodni kell távmunkahely megfelelı védelmérıl. A távmunka engedélyezését és ellenırzését a vezetıség végezze.

A következıket biztonsági tényezıket kell figyelembe venni: a)

a távmunkát végzı hely meglévı fizikai biztonságát, figyelembe véve az épület

fizikai biztonságát és a helyi környezetet; b)

a javasolt távmunka fizikai környezetét;


193

Informatikai Biztonság Irányítási Követelmények c)

a kommunikáció biztonsági követelményeit, figyelembe véve az igényt, hogy

távolról kívánnak hozzáférni a szervezet belsı rendszereihez, az információ érzékenységét, amelyhez hozzá fognak férni, és amely áthalad az kommunikációs kapcsolaton, és a belsı rendszer érzékenységét; d)

az

információhoz

vagy

erıforrásokhoz

való

jogosulatlan

hozzáférés

fenyegetését másszemélyek részérıl, akik az eszközt használják, pl. a család és a barátok; e)

a házi hálózatok használatát és követelményeket vagy korlátozásokat a

vezeték-nélküli hálózati szolgáltatások konfigurációjára; f)

szabályzatokat és eljárásokat, hogy megelızzék a vitákat a magántulajdonú

berendezésben kifejlesztett szellemi tulajdonhoz főzött jogokat illetıen; g)

hozzáférést a magántulajdonú berendezéshez a gép biztonságának ellenırzése

céljából, vagy egy kivizsgálás során; h)

szoftverengedélyezı megállapodásokat, amelyek olyanok, hogy a szervezetek

felelıssé válhatnak az ügyfél szoftverének engedélyezéséért a munkahelyeken, amelyeket magánúton birtokolnak az alkalmazottak, szerzıdı felek vagy a használó harmadik fél; i)

vírus-védelmet és tőzfal-követelményeket;

A megfontolandó egyéb irányelvek: a) Távmunkához a szervezet ellenırzése alatt nem álló, magántulajdonban lévı berendezés alkalmazása nem megengedett; b)

a megengedett munkának, a munkaórák számának meghatározása, a

megırizhetı információnak az osztályozása, és a belsı rendszerek és szolgáltatások, amelyekhez a munkatárs jogosult hozzáférni; c)

gondoskodás megfelelı kommunikációs berendezésrıl, beleértve a távoli

hozzáférés biztosításának módszereit;

194

d)

fizikai biztonság;

e)

hardver- és szoftvertámogatás és fenntartás biztosítása;

f)

biztosítás nyújtása; Magyar Informatikai Biztonság Irányítási Keretrendszer

Informatikai Biztonság Irányítási Követelmények g)

mentés és mőködési folyamatosság eljárásai;

h)

audit és biztonság figyelemmel kísérése;

i)

a jogosultságok érvénytelenítése és a berendezés visszaadása, amikor a

távmunka befejezıdik.


195


12. FEJEZET AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA

12.1. AZ INFORMATIKAI RENDSZEREK INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEI Az informatikai rendszerek integrált biztonságának kialakítása a biztonságpolitika által meghatározott szempontok szerint kell, hogy történjen. Ezek közé tartoznak az infrastruktúra, az üzleti alkalmazások és a felhasználó által kifejlesztett alkalmazások. A biztonság alapvetı feltételeinek egyike az alkalmazást vagy szolgáltatást támogató üzleti folyamat megtervezése és megvalósítása. Az informatikai rendszerek kifejlesztése elıtt szükség van a biztonsági követelmények meghatározására és egyeztetésére. Egy projekt követelményeinek megfogalmazása során meg kell határozni az összes biztonsági követelményt. Ezeket a követelményeket és szükséges megoldásokat egy informatikai rendszer fejlesztésének részeként kell megindokolni, egyeztetni és dokumentálni.

12.1.1. A BIZTONSÁGI KÖVETELMÉNYEK ELEMZÉSE ÉS MEGHATÁROZÁSA Az informatikai beruházások elıkészítési, tervezési fázisában figyelemmel kell kísérni a következı biztonsági szempontok érvényesítését: a) az informatikai rendszer által kezelendı adatoknak az információvédelem és a megbízható mőködés szempontjából történı elemzése és a védelmi célkitőzések meghatározása, b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása az információvédelem és a megbízható mőködés területén, 1) a jogszabályokból és a belsı szabályozásból eredı kötelezettségek bemutatása, 2) a fizikai és a logikai védelem rendszerszintő bemutatása, 196


Informatikai Biztonság Irányítási Követelmények 3) a megvalósításhoz szükséges feltételrendszer meghatározása, 4) a biztonsági rendszer teljes költségének becslése, ennek összehasonlítása a lehetséges kockázatokkal, károkkal. 5) Az informatikai biztonsági fejezetnek a tervezési dokumentumokba történı beállításáért a projektvezetı, annak kijelöléséig, vagy hiánya esetén az elıterjesztı a felelıs. 6) A szervezet minden informatikai projekt elıterjesztésnek tartalmaznia kell a létrehozandó (fejlesztendı, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének – a projekt keretében történı – tervezési és megvalósítási lépéseit, költségeit, felelıseit. c) Az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek. d) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanúsító szervezetnél. e) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408 (Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyezı biztonsági szintnek. Az elızı pontokban megfogalmazott feltételek hiánya az informatikai projektek esetében jelentısen megnöveli az információbiztonsági kockázatokat, valamint a késıbbi kiadásokat. Tapasztalati tény, hogy a tervezési szakaszban bevezetett intézkedések lényegesen olcsóbban foganatosíthatóak, mint azok, amelyeket a bevezetés alatt vagy után valósítanak meg. Amennyiben a szükséges, pl. a költségek vagy a projekt nagysága miatt, a vezetıség megkövetelheti, hogy független kiértékelt és tanúsított termékek használatát. ( További információ találhatók még: a) az ISO/IEC 15408-ban vagy más kiértékelési vagy tanúsítási szabványokban; b) az ISO/IEC TR 13335-3 útmutatást ad a kockázatkezelési folyamatok használatára.)


197

Informatikai Biztonság Irányítási Követelmények 12.2. BIZTONSÁG AZ ALKALMAZÁSI RENDSZEREKBEN A felhasználói rendszerek integrált biztonsága kiterjed a rendszerekben tárolt felhasználói adatok illetéktelen hozzáférésének, módosításának, törlésének, nem megfelelı felhasználásának, stb. megelızésére. A rendszertervek összeállítása során mérlegelni kell a rendszerbe beépítendı automatikus ellenırzı eszközök, valamint a biztonságot támogató manuális ellenırzı eszközök szükségességét.

A felhasználói rendszerek biztonságát a következı intézkedések szavatolják: a) A felhasználói rendszerekben – többek között a felhasználó által kifejlesztett alkalmazásokban

–

meg

kell

tervezni

a

megfelelı

ellenırzı

eszközöket

és

eseménynaplókat, valamint a tevékenységek naplózását. Ezeknek tartalmazniuk kell a bemenı adatok, a belsı adatfeldolgozás és a kimenı adatok hitelesítését. b) Az érzékeny, értékes vagy kritikus adatok feldolgozását végzı vagy ilyen adatokat befolyásoló rendszereknél további ellenırzı eszközökre lehet szükség. Ezeket az ellenırzı eszközöket a biztonsági követelmények és a kockázatelemzés alapján kell kiválasztani. Az a) és b) pontban meghatározott biztonsági intézkedéseket pontosan, minden részletre kiterjedıen dokumentálni kell.

12.2.1. A BEMENİ ADATOK HITELESÍTÉSE Az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenırizni kell. A bemenı adatok ellenırzésének eszközei: a) Az ismételt adatbevitel és az ebbıl származó adatkarbantartási anomáliák elkerülésére írt eljárások. b) Idıszakos adatmezı és -állomány vizsgálat, valamint a felvitt adatok hitelességének és integritásának ellenırzése és igazolása. c) Az adatbevitel alapját képezı nyomtatott input dokumentumok ellenırzése, illetve ezek engedély

nélküli

módosításának

megakadályozása,

valamint

az

engedélyezés

kikényszerítésére írt eljárások.

198


Informatikai Biztonság Irányítási Követelmények d) Adathitelesítési hibák kiküszöbölését elısegítı eljárások. e) Adatbevitel során, a mezıtípus kompatibilitást biztosító, illetve adattartalom helyességét ellenırzı és kikényszerítı eljárások és függvények. f) Az alkalmazáshoz történı hozzáférés naplózása. g) A feldolgozásban résztvevı munkatársak feladatkörének és felelısségének rögzítése a munkaköri leírásokban.

12.2.2. AZ ADATFELDOLGOZÁS ELLENİRZÉSE A felvitt adatok pontosságát, hiánytalanságát, és integritását a feldolgozás ideje alatt a következı intézkedésekkel kell szavatolni: a) Az adatfeldolgozás rendszerébe ellenırzési, hitelesítési pontokat kell beépíteni, különös tekintettel az adatmódosító, -törlı funkciók helyére. b) Adatfeldolgozási hibák esetén: hibadetektáló, és a további rendszerfutást leállító eljárások beépítése a rendszerbe. c) Korrekciós programok alkalmazása a feldolgozás során felmerülı hibák korrigálására. d) A folyamatba épített ellenırzés ellátásáért az Informatikai Vezetı a felelıs. 12.2.2.1. Veszélyeztetett területek A helyesen rögzített adatok is elromolhatnak akár a feldolgozás hibáitól, akár szándékos tevékenységektıl. A rendszerekbe az ilyen meghibásodások felismerése érdekében ajánlatos érvényesítı ellenırzéseket (validation check) beépíteni. Az alkalmazások tervezésével ajánlatos gondoskodni arról, hogy a korlátozások megvalósítása valóban minimalizálja a sértetlenség elvesztésére vezetı feldolgozási hibák kockázatát. Ajánlatos, hogy a megfontolandó sajátos területek magukban foglalják: a) az adatváltoztatást megvalósító hozzáadó és leválasztó funkciók helyét és használatát a végrehajtó programokban, b) azokat az eljárásokat, amelyek megakadályozzák, hogy a programok rossz sorrendben, vagy korábbi feldolgozásban elıállt meghibásodás után lefussanak (lásd a 8.1.1. szakaszban),


199

Informatikai Biztonság Irányítási Követelmények c) a helyes programok használatát a meghibásodás utáni visszatérésre annak érdekében, hogy az adatokat helyesen/pontosan dolgozzuk fel. 12.2.2.2. Vezérlı és ellenırzı eljárások A szükséges intézkedések attól függenek, hogy milyen az alkalmazás természete, és hogy az üzletre a hibás adat milyen hatással lehet. Azok az ellenırzések, amelyeket fel lehet venni, magukban foglalják a következıket: a) a munkaülésenkénti vagy csoportos ellenırzéseket, amelyek révén a tranzakciós frissítések után az adatállomány-egyenlegeket kiegyenlítik, b) folyószámla-ellenırzéseket annak érdekében, hogy a nyitóegyenleget összevessük a korábbi záróegyenleggel, nevezetesen: 1) eseményenkénti ellenırzéseket, 2) az állományfrissítések ellenırzıösszegeit, 3) program(futás)onkénti ellenırzéseket, c) a rendszer által keltett adatok érvényesítését (lásd a 10.2.1. szakaszban), d) a központi és a távoli számítógépek között a feltöltött vagy letöltött adatok vagy szoftverek ellenırzéseit (lásd a 10.3.3. szakaszban), e) a rekordok és az állományok (fájlok) összlenyomatait (hash), f) az ellenırzéseket, amelyek szavatolják, hogy az alkalmazási programokat idıben lefuttatták, g) az ellenırzéseket, amelyek szavatolják, hogy az alkalmazási programokat a helyes sorrendben futtatták le, és hogy a programokat meghibásodáskor félbeszakították, amíg a felmerült nehézséget meg nem oldották.

12.2.3. AZ ÜZENETEK HITELESÍTÉSE Üzenethitelesítés az a technika, amelyet arra használunk, hogy észleljük a továbbított elektronikus üzenet tartalmában beállt bármely illetéktelen beavatkozást, változtatást vagy rongálást. Megvalósítható akár hardverben, akár szoftverben, ha támogatja azt egy üzenethitelesítı eszköz vagy egy szoftveralgoritmus. Az üzenethitelesítést nem arra tervezik, hogy megvédje az üzenet tartalmát az illetéktelen felfedéstıl, nyilvánosságra hozataltól. 200


Informatikai Biztonság Irányítási Követelmények Alkalmas módként kriptográfiai módszereket lehet alkalmazni (lásd a 10.3.2. és a 10.3.3. szakaszban) üzenethitelesítés megvalósítására. Elvárások az üzenethitelesítés, valamint az elektronikus aláírás kialakítása kapcsán: a) Az azonosítás és hitelesítés keretében a hozzáférést jelszavakkal kell ellenırizni. b) A hitelesítés legáltalánosabb módja, a jelszó megadása. Kezelésére a jelszókezelésre vonatkozó fejezetben részletezett általános szabályokat kell alkalmazni. c) A hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott, védett csatornán keresztül kell biztosítani. PKI alkalmazásakor az alkalmazásért felelıs vezetı alakítson ki tanúsítványpolitikát (Certificate Policy, CP) melyet az Informatikai Biztonsági Vezetıvel egyeztessen. A tanúsítványpolitika alkalmazása kötelezı.

12.2.4. A KIMENİ ADATOK HITELESÍTÉSE Az adatfeldolgozás rendszerében ellenırizni, hitelesíteni kell a kimenı adatokat. A kimenı adatok biztonsága érdekében a következı védelmi eljárásokat kell alkalmazni: a) Integritásellenırzés. b) Adattartalom meglétének, értékének ellenırzése. c) A megfelelı minısítés meglétének ellenırzése. d) A kimenı adatok értékelésében és hitelesítésében résztvevı munkatársak feladatainak és felelısségének meghatározása.

12.3. KRIPTOGRÁFIAI ESZKÖZÖK A szervezet minısített adatainak, illetve olyan adatok esetében, ahol más védelmi eszközök nem nyújtanak kellı biztonságot, rejtjelzı eszközökkel és technikákkal kell gondoskodni az adatvédelemrıl.


201

Informatikai Biztonság Irányítási Követelmények 12.3.1. A KRIPTOGRÁFIAI ESZKÖZÖK ALKALMAZÁSÁNAK IRÁNYELVEI A Titokvédelmi törvény hatálya alá tartozó minısített adat védelme kizárólag a Magyar Köztársaság Információs Hivatala Országos Rejtjelfelügyelet által engedélyezett rejtjelzı eszközzel vagy eljárással valósítható meg. Üzleti titok esetében az alkalmazható rejtjelzı eszközt vagy algoritmust, valamint a kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezetı hagyja jóvá. A szervezet informatikai rendszereiben alkalmazandó rejtjelzı rendszer üzembe helyezése csak az Informatikai Biztonsági Vezetı engedélyével lehetséges, a védelmi rendszert, a rejtjelzı algoritmust, valamint a rejtjelzı kulcs hosszúságát, kockázatelemzés alapján az Informatikai biztonsági szervezeti vezetı határozza meg. Kriptográfiai eszközök alkalmazása esetén minden rendszerben ki kell alakítani a rejtjelzésre vonatkozó politikát, amelyet a rendszerszintő IBSZ-ben rögzíteni kell. A rejtjelzési politika kialakításánál a következı szempontok a mérvadóak: a) A rejtjelzési eljárás illetve algoritmus kiválasztása elıtt kockázatelemzésre van szükség. b) A rejtjelzés kialakításakor a feldolgozás elsı láncszemétıl az utolsóig át kell tekinteni a rendszert, egy-egy elem rejtjelzése önmagában nem elegendı. c) A

rejtjelkulcsok

menedzselésérıl

(kiadás,

megszemélyesítés,

visszavonás,

stb.)

gondoskodni kell. d) az elfogadandó szabványok az egész szervezetben való hatásos bevezetéshez (melyik megoldást használják, melyik mőködési folyamatban); e) Mérlegelni kell, hogy a rejtjelzési eljárások használata hogyan befolyásolja tartalom ellenırzéseket (pl. vírusok felismerése). Elızetesen, írásban kell meghatározni a felelısségi köröket (részletesen), illetve a felelıs személyeket. Az alkalmazandó rejtjelzı eljárásokat, minden esetben kockázatelemzés után kell kiválasztani. A kriptográfiai intézkedések szabályzása minimalizálja a gyenge vagy nem megfelelı kriptográfiai eszközök használatából eredı kockázatokat. A különféle kriptográfiai eljárások alkalmazása elıtt, figyelembe kell venni minden ide vonatkozó jogszabályt. A megfelelı védelmi szint meghatározásához valamint a rejtjelzı rendszerek bevezetéséhez adott esetben érdemes külsı szakértı bevonása (lásd 12.3.2. fejezet). 202


Informatikai Biztonság Irányítási Követelmények Az ISO/IEC JTC1 SC27 albizottság a kriptográfiai ellenırzésekre számos szabványt dolgozott ki. További információt lehet találni még az IEEE P1363 dokumentumban és az OECD kriptográfiai irányelvekben. 12.3.1.1. Rejtjelzés Kriptográfiai rendszerekkel és technikákkal kell gondoskodni az adatok rejtjelzésérıl, amikor az adatokat illetéktelen személyek által is hozzáférhetı helyen kell továbbítani vagy tárolni, valamint minden olyan esetben, ahol fennáll az adatok kompromittálódásának veszélye. Államtitkot, szolgálati titkot, és üzleti titkot képzı adatállományok csak rejtjelezve tárolhatók és továbbíthatók. Üzleti titok esetében az alkalmazható rejtjelzı eszközt vagy algoritmust, valamint a kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezetı hagyja jóvá. Államtitok és szolgálati titok esetében kizárólag a Magyar Köztársaság Információs Hivatala Országos Rejtjelfelügyelet által engedélyezett rejtjelzı eszköz vagy eljárás használható. A rejtjelzést végzı (a rejtjelzı eszközöket, alkalmazásokat illetve a rejtjelkulcsokat kezelı) személyek fontos és bizalmas munkakört betöltınek minısülnek. 12.3.1.2.Digitális aláírás A digitális aláírások ahhoz szolgáltatnak eszközt, hogy megvédhessük az elektronikus okmányok (dokumentumok) hitelességét (authenticity) és sértetlenségét (integrity). Az elektronikus kereskedelemben például arra is használhatóak, hogy szükség esetén igazoljuk (verifikáljuk) azt, aki az elektronikus okmányt aláírta, és ellenırizzük, vajon az aláírt okmány tartalmán változtattak-e. A digitális aláírások akármilyen okmányformára alkalmazhatók, hiszen ezek mind elektronikusan lesznek feldolgozva, így például alkalmazhatjuk elektronikus kifizetésre, pénz átutalására, szerzıdésekre és megállapodásokra. A digitális aláírások olyan kriptográfiai módszerekkel (technikákra) valósíthatók meg, amelyeket egyértelmően összetartozó kulcspárokra alapoznak, ahol az egyik kulccsal készül az aláírás (a magánkulccsal), míg egy másik kulccsal ellenırzik az aláírást (a nyilvános kulccsal). Különösen ajánlatos gondot fordítani a magánkulcs titokban tartására. Azért ajánlatos ezt a kulcsot titokban tartani, mert bárki, aki hozzáfér ehhez a kulcshoz, okmányt Magyar Informatikai Biztonság Irányítási Keretrendszer

203

Informatikai Biztonság Irányítási Követelmények (dokumentumot) tud vele úgy aláírni, például kifizetést, szerzıdést, hogy a kulcs tulajdonosának az aláírását hamisítja rá. Továbbá ajánlatos a nyilvános kulcs sértetlenségét is megóvni. Ezt a védelmet a 10.3.5. szakaszban leírt nyilvánoskulcs-tanúsítványok alkalmazásával lehet ellátni. Azt is megfontolás tárgyává ajánlatos tenni, hogy milyen aláíró algoritmust alkalmazunk, és milyen hosszú kulcsot. A digitális aláíráshoz alkalmazott kriptográfiai kulcsok különbözzenek a titkosításra (rejtjelezésre) alkalmazott kulcsoktól (lásd a 10.3.2. szakaszban). A digitális aláírások alkalmazásakor ajánlatos figyelembe venni minden hatályos jogszabályt, amely azokat a feltételeket írja elı, amelyek mellett a digitális aláírás jogilag érvényes, hatályos (legally binding). Például elektronikus kereskedelem esetében fontos annak ismerete, hogyan is állnak jogilag, mi a digitális aláírások státusa. Szükség lehet arra is, hogy a jogi hatályát megkötı szerzıdést vagy egyéb megállapodást kössünk ahhoz, hogy a digitális aláírások használatát támogassuk, mert a jogi keretek e téren bizonytalanok, nem elegendıek. Jogi tanácsot ajánlatos keresni azokra a törvényekre és jogszabályokra, amelyek érvényesek lehetnek abban a körben, ahol a szervezet digitális aláírást szándékozik alkalmazni. Ügyelni kell a magánkulcs bizalmas kezelésére. A magánkulcs kezelését végzı (a kulcsgeneráló eszközöket, alkalmazásokat kezelı) személyek fontos és bizalmas munkakör betöltınek minısülnek. Az elektronikus aláírás kulcsa és a rejtjelkulcs nem lehet azonos. Az elektronikus aláírás algoritmusát, valamint az alkalmazható kulcsok hosszát az Informatikai Biztonsági Vezetı hagyja jóvá. 12.3.1.3.Szolgáltatások a le nem tagadhatóságra A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható rendszereket kell kialakítani a digitális aláírási technikára alapozva.

12.3.2. KULCSMENEDZSMENT A kulcsmenedzsmentet kötelezı jelleggel ki kell alakítani minden elektronikus aláírással, rejtjelzéssel rendelkezı rendszerben. A kulcsmenedzsment kialakítása során a hatályos jogi szabályozást, és a PKI-ra vonatkozó nemzetközi szabályozást kell figyelembe venni. 204


Informatikai Biztonság Irányítási Követelmények 12.3.2.1. A kriptográfiai kulcsok védelme A rendszerben használt kriptográfiai kulcsok védelme: a) A kriptográfiai kulcsok fizikai, valamint speciális, illetve fokozott biztonságot igénylı esetben rejtjelzéssel megvalósított logikai védelmérıl is gondoskodni kell. b) Szükség esetén a kulcs-felek megosztásával kell biztosítani a rejtjelkulcsok védelmét. 12.3.2.2. Szabványok, eljárások, módszerek A kulcskezelési rendszer kialakításánál a következı szabványok, szempontok és módszerek egyeztetett rendszerét kell figyelembe venni: a) Kulcsgenerálási rendszer. b) Nyilvános kulcs hitelesítési eljárások. c) A felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó módszerek. d) Kulcstárolási illetve hozzáférési szabályok. e) Kulcsmódosítási, aktualizálási szabályok. f) Hamisított kulcsok kezelése. g) Kulcsvisszavonási szabályok. (A kulcsok visszavonásának és használaton kívül helyezésének módja, többek között abban az esetekben, amikor a kulcsokat hamisítják vagy a kulcs tulajdonosa elhagyja a szervezetet.) h) Kulcsok archiválási rendje. i) Elveszett kulcsok helyreállítási szabályai (Az elveszett kulccsal rejtjelzett állományok visszaállítása az üzletmenet folytonosság terv része kell, hogy legyen.). j) Kulcsok megsemmisítésének szabályai. k) Kulcskezelı rendszer eseménynaplózása. A kulcshamisítás kockázatának csökkentése érdekében, elızetesen meg kell határozni a kulcsok aktiválásának és visszavonásának dátumait. A kulcs élettartama függ a vélelmezett kockázat mértékétıl. A nyilvános kulcsokkal való esetleges visszaélések kockázatának csökkentése érdekében, csak hitelesített nyilvános kulcsok használhatók a rendszerben. Magyar Informatikai Biztonság Irányítási Keretrendszer

205

Informatikai Biztonság Irányítási Követelmények A kriptográfiai szolgáltatók külsı szállítóival, például egy hitelesítı hatósággal kötött, a szolgáltatás mértékét meghatározó megállapodásoknak vagy szerzıdéseknek szabályozniuk kell a felelısség kérdését.

12.4. RENDSZERÁLLOMÁNYOK VÉDELME Gondoskodni kell arról, hogy az informatikai projekteket és az azokat segítı tevékenységeket biztonságosan vezessék. A rendszerszintő adatállományok védelmére szolgáló intézkedések: a) Ellenırizni és dokumentálni kell a védendı rendszerállományok elérését. b) A rendszer integritásának fenntartása annak a felhasználói funkciónak vagy fejlesztési csoportnak a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.

12.4.1. AZ OPERÁCIÓS RENDSZER ELLENİRZÉSE Az operációsrendszer, az alkalmazási rendszer valamint a rendszerben futó programok forráskódjait és azok módosítását folyamatosan ellenırizni kell. Az operációs rendszer integritásának védelmében a következı intézkedéseket kell meghozni: a) Az üzemeltetési programkönyvtárak frissítését (updating) csak kinevezett könyvtáros végezze alkalmas vezetı menedzseri felhatalmazással (lásd a 12.4.3. szakaszt). b) Ha lehetséges, az üzemeltetı rendszer csak végrehajtható kódot tartalmazzon. c) A végrehajtható kódot az üzemeltetı rendszeren addig nem szabad futtatni, amíg nem áll rendelkezésre a sikeres bevizsgálásnak és a használói átvételnek a bizonyítéka, és a megfelelı programkönyvtárakat nem hozták naprakész állapotba. d) Átvilágítási naplót kell vezetni az üzemeltetési programkönyvtárak valamennyi frissítésérıl. e) A szoftver korábbi változatait ajánlatos a tartalékolás mértékében megtartani. f) Az informatikai rendszerek által biztosított naplózási lehetıségeket be kell kapcsolni. g) A rendszergazdáknak ezeket a naplókat rendszeresen ellenırizniük kell, az ellenırzés eredményérıl rendszeresen és szükség esetén idıszakosan jelentést kell tenniük.

206


Informatikai Biztonság Irányítási Követelmények h) A központi erıforrások (szerverek, tőzfalak, stb.) naplóállományaihoz csak az Informatikai Biztonsági Vezetı (az általa megbízott) férhet hozzá törlési, vagy módosítási joggal. Az üzemeltetési rendszerben használatos, vásárolt szoftvert ajánlatos úgy frissíteni, ahogyan azt a program szállítója javasolja. Minden olyan döntés, hogy azt új változatra cseréljük (upgrade), vegye figyelembe az új változat biztonságát, azaz az új biztonsági funkciók bevezetését, valamint az ezzel a változattal kapcsolatos biztonsági problémák számát és súlyosságát. Azokat a szoftverjavításokat (patches) ajánlatos alkalmazni, amelyek segíthetnek abban, hogy a biztonsági réseket (gyenge pontokat) eltávolítsuk vagy lecsökkentsük. A fizikai vagy a logikai hozzáférést csak akkor adjuk meg a szállítónak támogatási tevékenységéhez, ha az feltétlenül szükséges, és akkor is csak a vezetıség hozzájárulásával. A szállítói tevékenységeket ajánlatos ellenırzés alatt tartani.

12.4.2. A RENDSZERVIZSGÁLATI (TESZT) ADATOK VÉDELME A teszt adatokat védelem és ellenırzés alatt kell tartani. A fejlesztıi, a teszt- és az éles rendszereket egymástól el kell választani. Mind a rendszervizsgálatok, mind az átvételi vizsgálatok többnyire jelentıs mennyiségő olyan adatot igényelnek, amelyek eléggé közel állnak az üzemi adatokhoz. A személyes adatokat is tartalmazó üzemeltetési adatbázis használata tilos. Ha mégis ilyen adatokat kell használunk, akkor azt meg kell fosztani személyes jellegétıl, és az adatok visszafordíthatatlan konvertálásáról gondoskodni kell. Az üzemeltetési adatok védelmére, ha azokat tesztelési célra használjuk, ajánlatos a következı óvintézkedéseket alkalmazni: a) Olyan a hozzáférésellenırzı eljárásokat ajánlatos használni alkalmazási rendszerek tesztelésére, amelyeket az üzemelı alkalmazási rendszerekhez alkalmazunk. b) Elkülönített feljogosítást ajánlatos bevezetni mindannyiszor, ahányszor üzemeltetési információt vizsgálat alatt álló alkalmazási rendszerbe másolnak át. c) Az üzemeltetési információt ajánlatos a vizsgálat befejezése után azonnal kitörölni a vizsgálat alatt álló alkalmazási rendszerbıl. d) Az üzemeltetési információ másolását és használatát ajánlatos az átvilágítási napló készítéséhez jegyzıkönyvezni. Magyar Informatikai Biztonság Irányítási Keretrendszer

207

Informatikai Biztonság Irányítási Követelmények 12.4.3. A PROGRAM FORRÁSKÖNYVTÁRHOZ VALÓ HOZZÁFÉRÉS ELLENİRZÉSE A programok tönkretételének megelızése érdekében szigorú ellenırzést kell gyakorolni a forrásprogramok könyvtáraihoz való hozzáférés felett a következık szerint (lásd még a 8.3. szakaszt): a) Ahol lehetséges, a forrásprogramok könyvtárait nem szabad üzemelı rendszerekben tartani. b) Minden egyes alkalmazáshoz programkönyvtárost kell kinevezni. c) Az informatikai támogató személyzetnek nem szabad korlátlan hozzáférést adni a forrásprogramok könyvtáraihoz. d) Fejlesztés vagy fenntartás alatt álló programokat nem szabad forrásprogramok könyvtáraiban tartani. e) A programkönyvtárosnak a forrásprogramok könyvtárainak felfrissítését (updating) és a forrásprogramok átadását programozóknak csak akkor szabad elvégeznie, ha az illetékes informatikai vezetı erre ıt felhatalmazta. f) A forráskönyvtár minden változásáról eseménynaplót kell vezetni. g) A programlistákat biztonságos környezetben kell tartani (lásd a 8.6.4. szakaszt). h) Az átvilágítási naplót kell vezetni valamennyi forrásprogram-könyvtárat érintı hozzáférés esetében. i) Forrásprogramok korábbi változatait archiválni kell, pontosan megjelölve annak pontos keltét és idıpontját, amikor azok üzemben voltak, együtt az azokat „támogató” szoftverrel, munkairányítással (job control), adatmeghatározásokkal (data definition) és eljárásokkal. j) A forrásprogramok könyvtárainak karbantartását és másolását ajánlatos szigorú változásellenırzı eljárásnak alávetni (lásd a 10.4.1. szakaszt). k) A forrásprogramok korábbi verzióit archiválni kell. l) A program forráskönyvtárak karbantartását és másolását a változtatásokra vonatkozó szigorú ellenırzési eljárások alá kell vonni.

208


Informatikai Biztonság Irányítási Követelmények 12.5. INFORMATIKAI BIZTONSÁG A FEJLESZTÉSI ÉS A KARBANTARTÁSI FOLYAMATOKBAN Fenn kell tartani az alkalmazási rendszerhez tartozó szoftver és információ biztonságát. Szükség van a projekt és a támogatási környezetek szigorú ellenırzésére. a) Az alkalmazói rendszerekért felelıs vezetıknek vállalniuk kell a felelısséget a projekt és a támogatás környezetének biztonságáért. Gondoskodniuk kell arról, hogy megvizsgálják a rendszerben javasolt összes változtatást és megállapítsák, mennyiben befolyásolják ezek a rendszer vagy mőködési környezete biztonságát. b) Fejlesztési szabályokat kell kialakítani.

12.5.1. VÁLTOZÁSMENEDZSMENT Az informatikai rendszer sérülékenységének minimalizálása érdekében a változtatásokat csak szigorú ellenırzéseken keresztül lehet megvalósítani. A változtatás ellenırzésének eljárását a folyamatos kockázat-kezelési módszereket is beleértve, a Változásmenedzsment Szabályzatban kell szabályozni. Az eljárással kapcsolatban: a) Szabályozni kell a változtatást végrehajtó személyek körét. b) A szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver azonosítását el kell végezni. c) A munka elkezdése elıtt részletes, kockázatkezelésen alapuló, formalizált elfogadási eljárásra van szükség. d) Biztosítani kell, hogy a megvalósítás során az üzleti folyamatok ne sérüljenek. e) A rendszerdokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat archiválni kell. f) Karban kell tartani a változásmenedzsment segítségével az összes szoftver-frissítést. g) Biztosítani kell minden változtatás ellenırzését. h) Biztosítani kell, hogy az üzemi dokumentumokon is átvezetésre kerüljenek amennyiben szükségesek a változások.


209

Informatikai Biztonság Irányítási Követelmények i) Biztosítani kell, hogy a változtatások kellı idıben és az üzleti eljárás zavarása nélkül kerüljenek megvalósításra.

12.5.2. AZ OPERÁCIÓS RENDSZER MEGVÁLTOZTATÁSÁVAL KAPCSOLATOS ELLENİRZÉSEK Amennyiben a külsı vagy belsı tényezık szükségessé teszik az operációs rendszer változtatását, az operációs rendszer alapértelmezett átvizsgálása után az alkalmazási rendszert ellenırizni és tesztelni kell annak biztosítása érdekében, hogy a változtatás a mőködıképességgel és a biztonsággal ne ütközzön. Éles rendszerbe történı beillesztés elıtt a változásokat az alkalmazásokkal kell tesztelni.

12.5.3. A SZOFTVERCSOMAGOK MEGVÁLTOZTATÁSÁNAK KORLÁTOZÁSA A szervezet munkavállalói munkavégzésük során csak jogtiszta szoftvereket használhatnak. Ha a vásárlási (licensz, fejlesztési) szerzıdés másként nem rendelkezik, a szerzıi jogról szóló törvény alapján kell eljárni. Ennek megfelelıen a szerzı kizárólagos joga nem terjed ki a) a többszörözésre, b) az átdolgozásra, c) a feldolgozásra, d) a fordításra, e) a szoftver bármely más módosítására – ide értve a hiba kijavítását is –, valamint ezek eredményének többszörözésére annyiban, amennyiben e felhasználási cselekményeket, a szoftvert jogszerően megszerzı szervezet a szoftver rendeltetésével összhangban végzi. Amennyire lehetséges, az eladó által szolgáltatott szoftvercsomagokat módosítás nélkül alkalmazzák.

Szoftvercsomagok módosítása elıtt, fontolják meg a következı biztonsági kérdéseket: a)

annak kockázatát, hogy a beépített szabályozásokat és a sértetlenséget biztosító

folyamatokat veszélyeztetik;

210


Informatikai Biztonság Irányítási Követelmények b)

vajon kérjék-e a szállító beleegyezését;

c)

annak a lehetıségét, hogy a kívánt változtatásokat a szállítótól megkapják a

program szabályos frissítéseként; d)

annak a hatását, hogy ha a szervezet a szoftver további karbantartásáért, a

beszúrások következményeként felelıssé válik. Ha változtatások szükségesek, az eredeti szoftvert tartsák meg és a változtatásokat egy egyértelmően azonosított másolaton hajtsák végre. Szoftverfrissítési kezelési folyamatot vezessenek be, hogy biztosítsák, hogy a legkorszerőbb elfogadott alkalmazási frissítéseket telepítsenek az összes jogosított szoftverhez (lásd a 12.6. szakaszt). Minden egyes változtatást teljes egészében vizsgáljanak és dokumentáljanak úgy, hogy szükség esetén ismét alkalmazni lehessen a szoftver jövıbeli javított kiadásaihoz. Ha szükséges, a módosításokat egy független kiértékelı testület vizsgálja és érvényesítse.

12.5.4. A RENDSZERIFORMÁCIÓK KISZIVÁRGÁSÁNAK MEGAKADÁLYOZÁSA A rejtett csatorna olyan támadás, amely bizonyos közvetett és zavaros módon teheti közszemlére az információt. Ezt kiválthatja egy olyan paraméter megváltoztatása, amelyhez hozzáférhetnek a számítástechnikai rendszernek mind biztonságos, mind kevéssé biztonságos elemei, vagy valamely adatfolyamba beültetett információ. A Trójai falovat arra tervezik, hogy olyan módon hasson a rendszerre, amelyre az nincs felhatalmazva, és amelyet az üzenetfogadó vagy a programhasználó nem tud könnyen felismerni, mert nem is igényli. Ahol a bujtatott csatorna, vagy a Trójai faló veszélye fennáll, ott a következıket ajánlatos megfontolni: a) csak megbízható forrásból szerezzünk be programot, b) csak olyan forráskódban vásároljunk programot, amelynek kódját igazoló ellenırzésnek (verifikálásnak) tudjuk alávetni, c) csak kiértékelt (levizsgált) terméket használjunk, d) minden forráskódot vizsgáljunk át üzemi használatba vétel elıtt, e) tartsuk ellenırzésünk alatt a telepített kódnak minden hozzáférését és módosítását, f) csak a bizalmunkat megszolgált személyzetünknek engedjük meg, hogy kulcsfontosságú rendszereinken dolgozzon. Magyar Informatikai Biztonság Irányítási Keretrendszer

211

Informatikai Biztonság Irányítási Követelmények g) a külsı adathordozók és kommunikáció átvilágítása rejtett információ szempontjából; h) olyan rendszerek és szoftver alkalmazása, amelyeket magas fokú sértetlenségőnek tekintenek, pl. kiértékelt termékeket alkalmaznak (lásd az ISO/IEC 15408-at); i) a személyzet és a rendszertevékenységek rendszeres figyelemmel kísérése, amikor megengedik a meglévı jogszabály vagy szabályozás szerint; j) az erıforrások számítógéprendszerekben való alkalmazásának figyelemmel kísérése.

12.5.5. A PROGRAMFEJLESZTÉS KIHELYEZÉSE Ahol a szoftverfejlesztést vállalkozásba adják, a következıket kell figyelembe venni: a) licensz-szerzıdéseket, a szoftver tulajdonjogát és a szellemi tulajdonjogokat (lásd a 12.1.2. szakaszt), b) a végzett munka minıségének és pontosságának tanúsítását, c) a harmadik fél hibája esetére szükséges letéti rendszert, d) az elvégzett munka minıségének és pontosságának átvilágító auditálásához szükséges hozzáférési jogokat, e) a szoftverminıség szerzıdéses követelményeit, f) a trójai faló típusú szoftver észlelése érdekében a telepítés elıtt elvégzendı vizsgálatot.

12.6. A MŐSZAKI SEBEZHETİSÉGEK KEZELÉSE A rendszereket ért támadásoknak szinte minden esetben az elsı lépése, a használt informatikai eszközök és szoftverek feltérképezése. Az interneten, a gyártók által, vagy hacker közösségek által közzétett eszköz-specifikus biztonsági rések, fıleg az átmeneti idıszakban, amikor az adott veszélyforrás ellen még nincs elérhetı javító programcsomag (patch) komoly veszélyforrást jelentenek a támadó kezében, együtt a feltérképezett szervezeti eszköztárral. A biztonsági intézkedések célja a közzétett biztonsági rések hasznosításából származó veszélyforrások csökkentése. Fontos, hogy a szervezet informatikai eszközeit érintı új biztonsági rések megjelenése esetén, a kockázatok felmérése után a kockázatokkal arányosan és gyorsan tudjon reagálni az adott szervezet.

212


Informatikai Biztonság Irányítási Követelmények Minısített esetben, ha a közzétett biztonsági rés által okozott kockázat nem vállalható fel, vagy nincs a problémára elérhetı patch, ezesetben megfontolandó a veszélyeztetett informatikai

szolgáltatás

leállítása,

amíg

a

rendszert

felkészítik

a

veszélyforrás

kiküszöbölésére. A gyors felderítés, elemzés és reagálás szempontjából szükséges lehet a belépés a különbözı szakmai, informatikai és biztonsági munkacsoportokba és fórumokba, melyek folyamatosan

akár

automatikusan

is

értesíthetnek

bennünket

az

új

megjelent

fenyegetettségekkel, és a rendelkezésükre álló ellenintézkedésekkel kapcsolatban. (További információk lásd 6.1.7 fejezet Együttmőködés a különféle szakmai és információvédelmi szervezetekkel.) A mőszaki sebezhetıség mendzsment alappilére a folyamatos ellenırzésért felelıs személyek kijelölése. 12.6.1. A MŐSZAKI SEBEZHETİSÉGEK ELLENİRZÉSE A fenti biztonsági intézkedéseken túl, a mőszaki biztonsági rések vizsgálatának, felderítésének elengedhetetlen feltétele egy érvényes és teljes vagyonleltár (lásd 7.1 fejezet), amely magában foglalja a szoftverek gyártóját, a verziószámokat, az érvényes telepítési állapotot (pl. melyik szoftvert, melyik rendszerbe, milyen javítócsomagokkal telepítették) és mindezekért felelıs személy adatait. Hálózati aktív és védelmi eszközök tekintetében kiemelten fontos információ az eszközben mőködı förmver verziószáma. Egy érvényes és pontos vagyonleltár (lásd a 7.1. szakaszt) az elıfeltétele a mőszaki sebezhetıség eredményes kezelésének. A leltárban rögzített olyan adatok, mint a hardver förmver verziójának száma, a szoftver verziószámok, telepített javítócsomagok verziószámai, a rendszerek és felelıseik meghatározása az eredményes mőszaki sebezhetıség menedzsment alapját képezik. A mőszaki sebezhetıség kezelése a változtatáskezelés részfeladatkörének is tekinthetı, természetesen szüksége van a szervezeti szintő változtatáskezelési folyamatokra és azok adataira (lásd a 10.1.2. és a 12.5.1. fejezet). A következı biztonsági intézkedések segítséget nyújthatnak egy jól mőködı kezelési folyamatrendszer kialakításhoz: a)

a szervezet határozza meg és alakítsa ki a mőszaki sebezhetıség kezelésével

kapcsolatos feladatokat és felelısségeket, beleértve a sebezhetıség figyelemmel Magyar Informatikai Biztonság Irányítási Keretrendszer

213

Informatikai Biztonság Irányítási Követelmények kísérését, a sebezhetıségi kockázatfelmérést, a javítást, az informatiaki eszközök változáskezelését; b)

Határozzák

meg

a

védelmi

intézkedések

megalkotásához

szükséges

információforrásokat. Az információforrások jegyzékét, vagy adatbázisát frissíteni kell a leltárban bekövetkezett változtatások alapján, vagy ha más új, vagy hasznos forrásokat találtak; c)

Kiemelten fontos a reagálási határidık kikötése.

d)

Ha egy javítás elérhetı, a telepítésével társuló kockázatokat mérjék fel (a

sebezhetıség kockázatait vessék össze a javítás telepítésének kockázatával). A javításokat vizsgálják telepíthetıség szempontjából is, akár egy erre a célra létrehozott tesztkörnyezetben, hogy ne okozzanak olyan mellékhatásokat, amelyek kockázatát nem lehet felvállalni. e)

Fontos, hogy azonosított biztonsági rés esetén elıször szervezet számára

legfontosabb, nagy kockázatú rendszerekkel foglakozzanak. Minden foganatosított javítási intézkedés naplóállományát ırizzék meg, a védelmi eljárások hatékonyságát kísérjék folyamatosan figyelemmel és értékeljék ki eredményességüket.

214



13. FEJEZET AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE Alapvetı cél, hogy a biztonsági események és zavarok okozta kár minimális legyen, hogy a biztonsági

események

folyamatosan

nyomon

legyenek

követve,

és

a

megfelelı

következtetéseket az illetékesek levonják. Mérsékelni kell a biztonságot befolyásoló események és mőködési zavarok következményeit; nyomon kell követni az eseményeket; biztosítani kell a mielıbbi normális üzemre való visszaállást és a tapasztalatokat írásban kell megfogalmazni. Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a napi feldolgozást hátráltatják, azonnal jelenteni kell a feldolgozásért felelıs illetékeseknek. Minden munkavállalónak és vállalkozónak ismernie kell a szervezet mőködésének és az általa használt eszközök használatának biztonságát befolyásoló különbözı események (biztonsági elıírások megsértése, veszélyek, hiányosságok vagy mőködési zavarok) jelentésének eljárási szabályait. A munkavállalóknak a továbbiakban meghatározottak szerint jelenteniük kell az észlelt eseményeket. Az események biztonságos kezeléséhez szükség van arra, hogy a történést követıen nyomban összegyőjtsék a meglévı bizonyítékokat. A kockázatok azonosításához és súlyosságuk méréséhez kockázatfelmérésre van szükség.

A

kockázatfelmérés

támogatásához

és

eredményességének

fejlesztéséhez

információkra van szükség a biztonsági eseményekrıl. Az információkat biztonságos módon kell győjteni és elemezni, ezért fontos, hogy minden szervezetnek legyen használatban helyesen összeállított és szervezett informatikai esemény elemzési sémája (EES), a győjtött információkat pedig hozzáférhetıvé kell tenni a kockázatelemzés és -kezelés, valamint más biztonsághoz kapcsolódó tevékenységek számára. Az eredményesség és a felhasználói igények kielégítésének érdekében az EES-t a felhasználói követelmények alapján kell összeállítani. Továbbá, minden valós tevékenységet megelızıen szükség van az események kezelésének ismertetésére a biztonsági tudatossági programban, hogy mindenki, aki várhatóan bevonásra kerül megértse, mit jelent az EES, milyen elınyt nyújt és milyen eredményeket lehet elérni vele: a) fejleszti a kockázatfelmérés és vezetıi szemlék, Magyar Informatikai Biztonság Irányítási Keretrendszer

215

Informatikai Biztonság Irányítási Követelmények b) segít az események bekövetkezésének megakadályozásában, c) növeli a biztonságtudat szintjét, d) figyelemfelhívó (riasztási) információkat nyújt az IBECS számára, e) A fentiekhez kapcsolódó kulcsfontosságú szempontok lehetnek bármely EES esetében: 1) elıregyártott tervek készítése a nem kívánt események bekövetkezésének esetére, akár külsı akár belsı, logikai vagy fizikai támadásról vagy gépi, esetleg emberi hibából bekövetkezı balesetrıl is legyen szó, 2) az események kivizsgálására kinevezett vagy megbízott személyzet képzése, például informatikai biztonsági eseménykezelı csoport (IBECS) kialakítása útján. Az IBECS lehet többé-kevésbé formalizált, mint meghatározott személyek csoportja, akik kivizsgálják az informatikai események okait, tanulmányozzák a jövıbeni bekövetkezés lehetıségeit vagy rendszeresen tanulmányokat, elemzéseket készítenek a történeti naplófájlok alapján. Ennek eredményeit javító jellegő intézkedésekhez lehet felhasználni. Az IBECS állhat belsı munkatársakból, de külsı (például szerzıdéses) résztvevıkbıl is. Megfelelı terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetkezésekor elkerülhetık az elhamarkodott döntések, bizonyítékot lehet használni és megırizni az esemény forrásának lenyomozásához és azonosításához, az értékes eszközök védelme lényegesen gyorsabban biztosítható és nem csak az esemény, de a válasz költségei is csökkenthetık. Továbbá a nyilvánosságra kerülı negatív információk is minimalizálhatók. Minden szervezetnek egy hatékony EES segítségével fel kell készülnie a biztonsági események bekövetkezésére, ezért a következı lépéseket kell meg tenni: a) felkészülés – elıre dokumentált megelızı intézkedések, eseménykezelési útmutatások és eljárások (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájékoztatását is ide értve), a szükséges dokumentumok, valamint üzletmenetfolytonossági tervek, b) bejelentés – eljárások, módok és felelısségek azzal kapcsolatban, hogy miként és kinek jelentsék az eseményeket, c) értékelés – eljárások és felelısségek az események kivizsgálásában és súlyosságuk meghatározásában,

216


Informatikai Biztonság Irányítási Követelmények d) irányítás – eljárások és felelısségek az eseményekkel való tevékenység során: a károk csökkentésekor, az esemény felszámolás alkalmával és a felsı vezetés tájékoztatásakor, e) helyreállítás – eljárások és felelısségek a normál mőködés helyreállításakor, f) áttekintı vizsgálat – eljárások és felelısségek az eseményt követı tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését. A fenyegetések elıfordulásáról szóló információk nagy segítséget jelentenek a fenyegetések felmérésének minıségi javításában és így a kockázatelemzésben is. Továbbá az események kivizsgálásakor valószínő, hogy új és további információk győjthetık a sérülékenységekrıl és azok kihasználásának módjáról. Fontos, hogy míg az önálló szervezeteknek is elınyük származik az EES használatából, többen megfontolandónak tarthatják, hogy sokkal több elınnyel jár bizonyos biztonsági eseményekkel kapcsolatos információkat megosztani másokkal, hogy egy szélesebb alapot teremtsenek a veszélyek azonosításához és a trendek feltárásához a védekezés megkönnyítése érdekében. Ennek kihasználásához olyan EES adatbázis-struktúrát kell használni, mely kellıen rugalmas ahhoz, hogy lefedje a követelményeket teljes (minden szektorra kiterjedıen, fenyegetés típusok és hatások) valamint részleges fenyegetés/hatás elemzési igények esetén is. Akár a szervezeteken belül, akár a szervezetek között, minden kapcsolódó EES-nek a mért jellemzık és a rögzített információk struktúráját tekintve hasonlónak kell lennie. Ez teszi lehetıvé az összehasonlítást és az elemzést. A közös struktúra használata jelenti a kulcsot a sokkal átfogóbb eredményekhez és különösen a sokkal szilárdabb alapot a riasztó jelek azonosításához, ami egyes esetekben különálló EES útján nem is volna lehetséges. Természetesen az információk bizalmasságára vonatkozó szabályokat ebben az esetben is értelemszerően használni kell. Mint arra már utaltunk a fentiekben, az EES és a kockázatelemzés, valamint a vezetési eljárások közötti kapcsolatban való elırehaladás jelentısen javíthatja az eredményeket, ezáltal növelve az EES-bıl származó elınyöket. Az EES használata lehetıvé teszi a felhasználó számára a sérülékenységek feltárását és vizsgálatát, valamint értékes információkat biztosít a kockázat-felmérési megközelítések számára. Ezeket részben a fenyegetésekrıl, részben az események vizsgálatából, például az IBECS-tıl származó információkra lehet alapozni. Például a logikai behatolás veszélye (a támadó jelenléte és a feldolgozott információ vonzó volta) egyesítve a logikai behatolás sérülékenységgel (elégtelen vagy hiányos a megfelelı logikai hozzáférés-ellenırzı mechanizmus) növeli a kockázatot. Ezért az EES azonosításra történı használata és a sérülékenységek vizsgálata a fenyegetésekrıl szóló információk


217

Informatikai Biztonság Irányítási Követelmények használatán keresztül valósulhat meg, mely az eseményekrıl szóló adatbázis bemenı információját is képezi melyet már jelentettek, egyesítve az egyéb forrásból származó információkkal, különösen az IBECS vizsgálataiból és tanulmányaiból, melyek felfedhetnek elızıleg nem azonosított sérülékenységeket. Figyelembe kel venni, hogy az EES funkciók a megtörtént biztonsági eseményekhez kapcsolódó adatoknak megfelelıek. Ezért, bármilyen EES nem tud közvetlenül információt adni azokról a sérülékenységekrıl, melyek megtörténhetnek, de még nem jelentek meg informatikai eseményekben. Továbbá, az EES adatokat elıvigyázatosággal kell alkalmazni statisztikai és tenderelemzési célokra, mivel a bemenı adatok lehetnek hiányosak, vagy hibásan kerülhettek azonosításra. Mindazon által, az IBECS vizsgálatainak eredményei és a vezetıi vizsgálatok segítséget adhat a kockázatelemzés és sérülékenység felmérés minıségének javításához.

13.1. BIZTONSÁGI ESEMÉNYEK ÉS BIZTONSÁGI RÉSEK JELENTÉSE

13.1.1. A BIZTONSÁGI ESMÉNYEK JELENTÉSE A biztonságot érintı eseményeket – amilyen gyorsan csak lehet – a megfelelı (az EES-ben rögzített) vezetıi csatornákon jelenteni kell. A szervezetben mindenkinek tudatában kell lennie annak, hogy a biztonsági eseményeket a minél gyorsabban jelenteni kell, ideértve a szoftverek hibás mőködését és azonosított gyenge pontjait. Az események kezelése magában foglalja: 1.

Biztonsági események jelentése Minden munkavállalónak tudatában kell lennie annak a kötelezettségének, hogy jelentenie kell a biztonsági eseményeket. Az eseményeket lehet azonosítani és jelenteni eszközök segítségével is, a hatékony eseménykezelés érdekében. Szintén növeli a hatékonyságot a jelentési sémák kidolgozása.

2.

Biztonsági sérülékenységek jelentése Ha a felhasználók bármilyen biztonsági eseményt észlelnek, minél elıbb jelenteniük kell a szervezeti egysége vezetıjének és az Informatikai Biztonsági Vezetınek, valamint kötelesek mindent megtenni a szükséges bizonyítékok összegyőjtésére.

218



Hibásan mőködı szoftver bejelentése Ha a felhasználók bármilyen hibás szoftvermőködést érzékelnek, minél elıbb jelenteniük kell a felelıs személynek (rendszergazda, help desk).

4.

Eseménykezelés Megfelelı vezetési folyamatot kell kidolgozni és alkalmazni, amely támogatja a biztonsági sérülékenységekkel szembeni védelmet, észlelésüket és jelentésüket, valamint a megfelelı választ az eseményre. Az eseményre vonatkozó információkat össze kell győjteni, és értékelni kell annak érdekében, hogy a jövıben elkerülhetı legyen, és ezáltal – ha megtörténik – csökkenthetıek legyenek a károk.

Az Informatikai Biztonsági Vezetı az eseményt a lehetı legrövidebb idı alatt vizsgálja ki, és amennyiben a felelısségre vonás szükségessége fennáll, értesítse a munkáltatói jogkör gyakorlóját és a Biztonsági Vezetıt arról, hogy a munkavállalóval szemben a kötelességszegés gyanúja esetén alkalmazott meg kell indítani. 13.1.2. A BIZTONSÁGI RÉSEK, GYENGE PONTOK JELENTÉSE A szervezet minden informatikai eszközén, folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhasználók nem veszik figyelembe, ezért ennek fontosságát a felhasználókkal is tudatosítani kell. Teendık rendszer-, illetve alkalmazáshiba esetén: a) Figyelemmel kell kísérni a mőködési zavar tüneteit, a képernyın megjelenı üzeneteket. Rendszer-, vagy alkalmazáshiba esetén az adott számítógépen fel kell függeszteni a munkát. A hibaüzenetet a felhasználó nem törölheti a képernyırıl, amíg az illetékes informatikai munkatárs azt nem látta. A felhasználó semmiféle kísérletet nem tehet a számítógép rendszert, vagy a hálózat mőködését érintı hiba megszüntetésére, még akkor sem ha kellı felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az illetékes informatikai munkatárs jogosult! b) Amennyiben a rendszerhibát vélhetıen külsı, illetéktelen beavatkozás, vagy vírustámadás okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, szükség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is (floppy lemez, CD-ROM, CD-RAM, DVD-ROM, DVD-RAM.


219

Informatikai Biztonság Irányítási Követelmények ZIP-drive, FLASH memória (pendrive), mentési médiák), melyeket az illetékes informatikai munkatársnak vizsgálat céljára át kell adni. c) A szervezet hozzáférési, és egyéb adatvédelmi rendszereinek mőködés zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetıjének és az Informatikai Biztonsági Vezetınek. d) A meghibásodott számítógépben használt adathordozók kizárólag a biztonsági ellenırzést követıen használhatók más számítógépekben. 13.1.2.1. Programhibák jelentése A programhibák észlelése esetén követendı eljárás legyen szabályozott, és tartalmazza az alábbi elıírásokat: a) A hiba (zavar) tüneteit, a képernyın megjelenı minden üzenetet fel kell jegyezni. b) A számítógépet – ha ez lehetséges – el kell szigetelni a hálózattól és használatát ajánlatos beszüntetni. Azonnal értesíteni kell az illetékes informatikai munkatársat. Az eseményt azonnal jelenteni kell az Informatikai Biztonsági Vezetınek is.

13.2. INFORMATIKAI BIZTONSÁGI INCIDENS MENEDZSMENT

13.2.1. ELJÁRÁSOK ÉS FELELİSSÉGEK A váratlan események kezelésének felelısségeit és eljárásait rögzíteni kell annak érdekében, hogy szavatolhassuk, a váratlan biztonsági eseményekre adandó gyors, hatékony válaszadást (lásd a 6.3.1. szakaszt). A következı intézkedéseket ajánlatos meghozni: a) Ajánlatos véletlen biztonsági események (incidensek) minden lehetséges fajtáját lefedı eljárásokat létesíteni, beleértve: 1) az informatikai rendszerek hibáit és a szolgáltatásvesztést, 2) a szolgáltatás-megtagadást, 3) a nem teljes és nem pontos üzleti adatok következtében elıálló hibákat, 4) a bizalmasság megsértését. 220


Informatikai Biztonság Irányítási Követelmények b) Az olyan szokványos tartalékolási terven túlmenıen, amelyet arra terveztek, hogy a lehetı leggyorsabban visszaállítsuk a rendszereket és a szolgáltatásokat, az eljárásoknak még a következıket ajánlatos lefedniük, átfogniuk (lásd még a 6.3.4. szakaszt): 1) a véletlen esemény okának elemzését és azonosítását, 2) olyan ellenintézkedések megtervezését és megvalósítását, amelyek, ha lehet, megelızik ezek visszajöttét, megismétlıdését, 3) az átvilágítási naplók (audit trails) és hasonló bizonyítékok összegyőjtését, 4) a beszélgetést (kommunikációt) azokkal a személyekkel, akiket befolyásolt a véletlen esemény, vagy érintettek az abból való visszatérésben, 5) a tevékenységrıl szóló jelentést, amelyet az illetékes szervnek (hatóságnak jelentenek. c) Az átvilágítási naplókat (audit trails) és hasonló bizonyítékokat ajánlatos összegyőjteni (lásd a 12.1.7. szakaszt), és a lehetıségekhez képest biztonságosan ajánlatos ırizni abból a célból, hogy 1) elemezzék a belsı nehézségeket (problémákat), 2) a lehetséges szerzıdésszegés, a szabályozási követelmények megsértése, a polgári vagy büntetıjogi eljárások esetében bizonyítékként használják, mint például a számítógépes visszaélés vagy az adatvédelmi jogszabályok alá tartozó esetekben, 3) kompenzációról egyezkedjenek a szoftver-szállítókkal és a szolgáltatást nyújtókkal. d) A biztonság megszegésébıl való visszatérésnek, valamint a rendszerhibák kijavításának tevékenységeit ajánlatos gondosan és formálisan (szabályszerően) kezelni, ellenırizni. Az ilyen eljárások szavatolják, hogy: 1) csak a tisztán (és pontosan, azaz egyértelmően) azonosított és feljogosított személyzet kaphasson engedélyt arra, hogy a rendszereket és adatokat életben tartsa (lásd még a 4.2.2. szakaszt is a harmadik felek hozzáférésével kapcsolatban), 2) ajánlatos valamennyi vészhelyzeti tevékenységet részletesen írásban foglalni (dokumentálni), 3) ajánlatos a vészhelyzeti tevékenységet jelenteni a vezetıségnek, és rendszeresen felülvizsgáltatni, 4) ajánlatos az üzleti rendszerek és az óvintézkedések sértetlenségét a lehetı legkisebb késedelem mellett megerısíttetni (visszaigazoltatni). Magyar Informatikai Biztonság Irányítási Keretrendszer

221

Informatikai Biztonság Irányítási Követelmények 13.2.2. OKULÁS AZ INFORMATIKAI BIZTONSÁGI INCIDENSEKBİL Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a feljogosítási és monitorozási rendszer mőködési zavara alapján értékelni kell. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerősítését.

13.2.3. BIZONYÍTÉKOK GYŐJTÉSE, VÉDELME

13.2.3.1. A bizonyítékokra vonatkozó szabályok Szükség van arra, hogy kellı bizonyítékkal rendelkezzünk ahhoz, hogy fegyelmi, vagy jogi eljárást folytassunk egy személy vagy szervezet ellen. Amikor a tevékenység a polgári vagy a büntetı törvénykönyvet érinti, akkor a benyújtott bizonyítékok feleljenek meg azoknak a bizonyítási szabályoknak, amelyek a hatályos jogszabályokban vagy annak a bíróságnak az eljárási szabályaiban vannak lefektetve, amelyik elıtt az ügyet tárgyalják. Általában ezek a szabályok magukban foglalják: a) a bizonyíték elfogadhatóságát (a bizonyíték a bíróság elıtt használható-e vagy sem?), b) a bizonyíték súlyát (bizonyító erı): a bizonyíték minısége és teljessége, c) a bizonyíték alkalmasságát (kellı voltát) a tekintetben, hogy a védelmi intézkedéseket abban az idıszakban pontosan és ellentmondásmentesen tartották be, valamint hogy a rendszer rögzítette és tárolta a bizonyítékokat. 13.2.3.2.A bizonyítékok elfogadhatósága A bizonyítékok elfogadhatóságához szükséges, hogy a szervezet gondoskodjon arról, hogy informatikai megfeleljenek az elfogadható bizonyítékok elıállítására vonatkozó szabványoknak vagy eljárásrendnek. 13.2.3.2.A bizonyítékok minısége és hiánytalan volta A bizonyíték minısége (bizonyító ereje) és teljessége eléréséhez erıs, tartós bizonyítéknaplóra van szükség. Általában az ilyen erıs naplót a következı feltételekkel lehet készíteni:

222


Informatikai Biztonság Irányítási Követelmények a) Papíron rögzített okmányok (dokumentumok) esetében: az eredetit biztonságosan tárolják és rögzítik azt is, hogy ki találta meg, hol találta meg, mikor találta meg, és hogy a feltalálását kik tanúsítják. Csak alaposan megejtett vizsgálat szavatolhatja, hogy az eredetit nem hamisították meg. b) Számítógép-adathordozón rögzített információ esetében: a hordozható adathordozók, valamint a háttértárolón (merevlemezen) és a központi tárolón talált információ másolatait ajánlatos megırizni, és rendelkezésre állásáról gondoskodni. A másolási folyamat során ajánlatos valamennyi tevékenységrıl szóló naplófeljegyzést is elkészíteni és ajánlatos a folyamathoz tanút is hívni. A naplónak és az adathordozónak egy-egy példányát ajánlatos biztonságosan megırizni. Amikor a véletlen eseményt elıször észlelik, mindjárt nyilvánvaló lehet az is, hogy esetleg bírósági ügy lehet belıle. Éppen ezért fennáll annak a veszélye, hogy a szükséges bizonyítékok véletlenül megsemmisülnek még mielıtt a véletlen esemény komolyra fordulna. Tanácsos jogtanácsost vagy a rendırséget idejekorán bevonni az ügybe bármely tervezett jogi lépés elıtt, és kikérni tanácsukat, a szükséges bizonyítékokat illetıen.


223


14. FEJEZET ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT

14.1. AZ ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT INFORMATIKAI BIZTONSÁGI SZEMPONTJAI Alapvetı biztonsági cél, hogy a szervezet tartsa fenn üzletmenetét, akadályozza meg el a mőködési tevékenységek megszakítását és védje a kritikus mőködési folyamatait információs rendszerek hibáinak hatásától, valamint biztosítsa gyors újraindítás lehetıségét. Mőködésfolytonossági irányítást vezessenek be, hogy a legkisebbre csökkentsék a szervezetre gyakorolt hatást, és a szervezet túlélje az információs vagyontárgyak elvesztését (amely lehet, pl. természeti katasztrófa, baleset, berendezések hibái és szándékos beavatkozások következménye). Ez a folyamat azonosítsa a kritikus mőködési folyamatokat és építse be a mőködésfolytonosságot

az

informatikai

biztonság

irányítási

követelményeibe

más

folytonossági követelményekkel, amelyek olyan szempontokra vonatkoznak, mint mőveletek, személyzettel való ellátás, anyagok, szállítás és eszközök. Az üzemzavarok, biztonsági meghibásodások, szolgáltatás elvesztés és szolgáltatás rendelkezésre-állási követelményeit mőködési hatáselemzésnek vessék alá. Az informatikai biztonság szerves része legyen az átfogó mőködésfolytonossági folyamatnak és más irányítási folyamatoknak a szervezeten belül. A mőködésfolytonosság irányítása foglalja magában az intézkedéseket a kockázatok azonosítására és csökkentésére, kiegészítve az átfogó kockázat-felmérési folyamatot, korlátozza a károsító incidensek következményeit és biztosítsa, hogy a mőködésfolytonossághoz megkívánt információ könnyen rendelkezésre álljon.

224


Informatikai Biztonság Irányítási Követelmények 14.1.1. AZ INFORMATIKAI BIZTONSÁGI SZEMPOTOK ÉRVÉNYESÍTÉSE AZ ÜZLETMENET-FOLYTONOSSÁG IRÁNYÍTÁSÁBAN A kritikus üzleti és informatikai folyamatok védelme érdekében a meghibásodások és a rendellenességek elhárítása során: a) Az üzletmenet-folytonosságának fenntartását szolgáló eljárás a megelızı és helyreállítást vezérlı eljárások (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv) együttes alkalmazásával mérsékelni kell a különbözı rendellenességek és a biztonsági rendszer meghibásodása által okozott fennakadásokat. (Ezek lehetnek többek között természeti katasztrófák, balesetek, berendezésekben keletkezett hibák, vagy szándékos cselekmények következményei.) b) Elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit. c) Az üzletmenet-folytonosságának irányítása ki kell, hogy terjedjen – többek között – a kockázatok azonosítására és csökkentésére alkalmas ellenırzı eszközökre, a kárt okozó események következményeinek korlátozására, valamint a lényeges tevékenységek idıben történı újraindítására. d) a szervezet azon kockázatainak megértése, amelyekkel szembenéz, kifejezve annak valószínőségével és idıbeli hatásával, beleértve a kritikus mőködési folyamatok azonosítását és az elsıbbségi sorrend megállapítását (lásd a 14.1.2. szakaszt); e) a kritikus mőködési folyamatokat magában foglaló minden vagyontárgy azonosítása (lásd a 7.1.1. szakaszt); f) annak a hatásnak a megértése, hogy az informatikai biztonsági incidensek valószínőleg milyen megszakadásokat okozhatnak (fontos, hogy olyan megoldásokat találjanak, amelyek kisebb hatást okozó incidenseket éppen úgy kezelnek, mint az olyan, súlyos incidenseket is, amelyek a szervezet életképességét veszélyeztethetik), és az adatfeldolgozó eszközök mőködési céljainak kitőzése; g) kellı

biztosítás

kötésének

megfontolása,

amely

részét

képezheti

az

átfogó

mőködésfolytonosság folyamatának, valamint az üzemeltetési kockázatkezelésnek; h) kiegészítı

megelızı

és

mérséklı

intézkedések

bevezetésének

azonosítása

és

megfontolása;


225

Informatikai Biztonság Irányítási Követelmények i) elegendı pénzügyi, szervezeti, mőszaki és környezeti források azonosítása azért, hogy foglalkozzanak a meghatározott informatikai biztonsági követelményekkel; j) a személyzet biztonságának biztosítása és az információ feldolgozó berendezések és a szervezet tulajdonának védelme; k) a mőködésfolytonosságra vonatkozó tervek megfogalmazása és dokumentálása, amelyek az informatikai biztonsági követelményekkel foglalkoznak, összhangban az egyeztetett mőködésfolytonosság stratégiájával (lásd a 14.1.3. szakaszt); l) a tervek és folyamatok rendszeres vizsgálatának és frissítésének helyretétele (lásd a 14.1.5. szakaszt); m) annak biztosítása, hogy a mőködésfolytonosságának az irányítása be legyen építve a szervezet folyamataiba és felépítésébe. A mőködésfolytonosság irányítási folyamatának felelısségét ajánlatos a szervezeten belül, megfelelı szintre kiosztani (lásd a 6.1.1. szakaszt).

14.1.2. AZ ÜZLETMENET-FOLYTONOSSÁGI HATÁSVIZSGÁLATOK ÉS A KOCKÁZATOK ELEMZÉSE A megfelelı üzletmenet-folytonosság az informatikai rendszer folyamatos üzemi mőködésének az a szintje, amely során a kiesés kockázatának szintje a szervezet számára még elviselhetı. Az elviselhetıség határát az üzletmenet – támogatás szempontjából kritikus rendszereinek – egy meghatározott (maximált) kiesési ideje határozza meg. Az üzletmenet-folytonosság megfelelı szintjét a szükséges megelızı, illetve (a kiesés bekövetkezése után) visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket elıre meg kell tervezni (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv). Az üzletmenet-folytonosság tervezés eredménye az üzletmenet-folytonossági terv, amely részletesen meghatározza a kívánt üzletmenet-folytonosság fenntartásához szükséges feltételeket, szervezeti és szervezési lépéseket, valamint szabályozza a megvalósítás módját. A biztonsági cél, hogy azonosítsák azokat a biztonsági eseményeket, amelyek az üzletmenet megszakadását okozhatják, valamint, hogy elemezzék ezek kockázatait. A üzletmenet informatikai biztonsági szempontjai azoknak az eseményeknek az azonosításán alapulhatnak, amelyek a szervezet mőködési folyamatainak megszakadását okozhatják.

226


Informatikai Biztonság Irányítási Követelmények Mint pl. a berendezések meghibásodása, emberi hibák, lopás, tőz, természeti katasztrófák és terrorcselekmények. Ezeknek az eseményeknek a kockázatfelmérésekor meghatározzák az ilyen megszakadások valószínőségét és idıbeli hatását, a kár fokozatát és a helyreállítási idıszakot. A mőködésfolytonosság kockázatának felmérését a mőködési források és folyamatok tulajdonosainak teljes körő bevonásával végezzék. Ez a felmérés vegye tekintetbe az összes mőködési folyamatot, és ne korlátozódjék az adatfeldolgozó eszközökre, de tartalmazza az informatikai biztonságra jellemzı eredményeket. Fontos, hogy a különbözı kockázati szempontokat összekapcsolják, hogy a szervezet mőködésfolytonossági követelményeirıl teljes képet kapjanak. A felmérés azonosítsa, számszerősítse és sorolja be elsıbbség szempontjából a kockázatokat a szervezetre vonatkozó kritériumok és célok szerint, beleértve a kritikus erıforrásokat, a megszakadás hatásait, a megengedhetı kiesési idıket és a helyreállítási elsıbbségeket. A kockázatfelmérés eredményétıl függıen fejlesszenek ki egy mőködésfolytonossági stratégiát, hogy meghatározzák a mőködésfolytonossághoz való átfogó közelítést. Ha már ezt a stratégiát kialakították, a vezetıség hagyja jóvá és készítsen egy tervet, amelyet úgy alakítottak ki és hagynak jóvá, hogy megvalósítsa ezt a stratégiát. 14.1.3. AZ ÜZLETMENET-FOLYTONOSSÁGI TERV KIDOLGOZÁSA Az üzletmenet-folytonossági tervek azokat az információkat tartalmazzák, melyek alapján a támogató folyamatok (ilyenek az informatikai rendszerek is) csökkenése vagy kiesése esetén miként lehet a szervezet mőködését fenntartani. Az üzletmenet-folytonossági terv kidolgozásának alapvetı célja az, hogy a szervezet üzleti folyamatait támogató informatikai erıforrásai a rendelkezésre álló üzemidıben a lehetı legjobb idıkihasználással és a legmagasabb funkcionalitási szinten mőködjenek annak érdekében, hogy az üzleti folyamatok zavarai által okozott közvetlen és közvetett károk minimálisak legyenek. Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletmenet-folytonosság fenntartásához szükséges megelızı, helyettesítı, illetve visszaállító intézkedések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megvalósítás módját.


227

Informatikai Biztonság Irányítási Követelmények A tervezés egyik lényeges eleme a kiesési kockázatok elemzése, amelynek során mérlegelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövetkezésének gyakoriságát.

Ezeknek a terveknek a lehetséges szituációk minél teljesebb összetételét kell lefedniük: a) különbözı hosszúságú megszakítások, b) különbözı eszközök és létesítmények elvesztése, c) a helyszínekhez való fizikai hozzáférés teljes elvesztése, d) a káros hatás bekövetkezése nélküli állapotnak megfelelı helyzethez való visszatérés igénye. A helyreállítási tervek leírják, hogy miként kell visszaállítani a váratlan eseménnyel érintett informatikai rendszereket. A helyreállítási tervek tartalmazzák: a) a katasztrófát jelentı körülményeket, b) a helyreállítási tervek mőködésbe hozataláért való felelısséget, c) a különbözı visszaállítási tevékenységekért való felelısségeket, a helyreállítási tevékenységek leírását.

Az üzletmenet-folytonosság terv fı részei: a) Helyzetfelmérés és értékelés 1) Projekt elıkészítı megbeszélés (feladat behatárolás, humán és eszköz erıforrás, illetve az adminisztrációs feltételek tisztázása, projektterv megbeszélése, felhasználandó dokumentumok elızetes meghatározása). 2) Részletes projektterv elkészítése. 3) Projektindító megbeszélés (célok, feladatok, várható eredmények prezentációja; pontos

feladatmeghatározás;

projekt-szervezet

összetétele;

felhasználandó

dokumentumok listája; projekt megkezdése). 4) Elızetes helyzetfelmérı interjúterv elkészítése és véglegesítése (területek, személyek).

228


Informatikai Biztonság Irányítási Követelmények 5) Az interjúk megszervezése (személyek és idıpontok egyeztetése), tematikák elkészítése. 6) Interjúk elkészítése és feldolgozása dokumentumokban (kritikus üzleti folyamatok és az ezeket támogatóalkalmazások; a kiesések következményei, kockázatai és rangsorolása követelményei,

az

eredményes potenciális

mőködés

üzemzavari

szempontjából, és

katasztrófa

rendelkezésre események

állás

palettája,

tartalékolási és visszaállítási stratégiák és megoldások). 7) Projekt-team teszteli a meghatározott tartalékolási és visszaállítási megoldások megvalósíthatósági feltételeit, majd ennek alapján helyzetfelmérı és értékelı jelentést készít. 8) A projekt-team a helyzetfelmérı és értékelı jelentését a szervezet vezetésének átadja, ahol megtörténik a jelentés ellenırzése és elfogadása. b) Az üzletmenet-folytonossági terv elkészítése Itt történik meg az üzletmenet-folytonossági terv kidolgozása, melynek fı részei: c) Megelızési terv és intézkedések 1) Tartalmazza mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek az informatikai rendszer folytonos üzemét valamilyen módon veszélyeztetı tényezıkkel kapcsolatosak. Alapvetı szerepe van a megelızésnek, mind a nagyobb üzemzavarok vagy katasztrófa események, mind a nagy számú, de kisebb üzemeltetési és felhasználási problémák miatt sérülı alkalmazások rendelkezésre állásával kapcsolatban. 2) A megelızési terv a következıkre terjed ki: − Az informatikai rendszer megbízható üzemeltetésére és az üzemeltetésre vonatkozó intézkedésekre. − Az

informatikai

rendszer

kritikus

elemeinek

üzemi

és

katasztrófa

tartalékmegoldásaira és ezek üzemkészségét biztosító intézkedésekre. − Az informatikai rendszer üzemét biztosító környezeti rendszerek karbantartási, illetve az ezekkel kapcsolatos biztonsági intézkedésekre. − Az üzemeltetési dokumentáció és dokumentumok rendszerezett és biztonságos tárolására.


229

Informatikai Biztonság Irányítási Követelmények − Adathordozók rendszerezett és biztonságos tárolására. − Az üzemeltetı, a karbantartó és a kárelhárító személyzet rendelkezésre állását és bevethetıségét biztosító intézkedésekre. − A külsı szervizre, a tartalékképzési megoldásokra vonatkozó, és a biztosítási szerzıdésekkel kapcsolatos intézkedésekre. − Mentési tervre, amely meghatározza a mentési rendszer generációit és hierarchiáját. − Az üzemelı rendszer konfigurációjában, az üzemelı szoftverben megvalósítandó változások szabályozott kivitelezésére, valamint a szoftver fejlesztések elkülönített kivitelezésére és a fejlesztett szoftverek rendszerbe történı integrálására vonatkozó legfontosabb intézkedésekre. − Vírusvédelmi

és

vírusmenedzsment

intézkedésekre,

figyelembe

véve

a

szervezetnél hatályos vírusvédelmi szabályzatot. − Megelızésben fontos szerepet játszik az alkalmazói rendszerek használatára történı rendszeres oktatás, illetve az informatikai biztonság olyan szintő oktatása, amely kiterjed az informatikai rendszerekben kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának megırzése érdekében betartandó szabályokra és az érvényesítendı védelmi intézkedésekre. − Tesztelési és tréning tervre, amely meghatározza a tesztelés formáit. Két formája javasolt: auditálás jellegő check-listás teszt, amelyet egy elıre elkészített ellenırzési lista alapján független belsı vagy külsı auditorok végeznek el, illetve valós üzemzavari vagy katasztrófa események szimulációjával. d) Visszaállítási terv 1) A visszaállítási terv alapvetı célja az, hogy az üzemzavari vagy katasztrófa események bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszköz erıforrások haladéktalan mozgósítása, és a visszaállítás a lehetı leggyorsabban és szervezetten történjen meg a tervben meghatározott utasítások szerint. 2) A visszaállítási terv a következıket tartalmazza: − A visszaállítási terv célját és használatát. − Az üzemzavari és katasztrófa események meghatározását. 230


Informatikai Biztonság Irányítási Követelmények − Az események bekövetkezési és kezelési idıszakait. − Az eseménykezelı team összetételét, feladatait és hatáskörét. − Visszaállítási intézkedéseket a következı lépésekre: azonnali válasz (riadó terv), futtató környezet helyreállítás, funkcionális helyreállítás, üzemeltetési szintő helyreállítás, áttelepülés (katasztrófa esetén), normalizáció az áttelepülés után. Az intézkedések átfogják a központi erıforrások, azok fizikai és személyi környezetét, a végponti munkaállomások és a kommunikációs rendszer területeit. Véglegesítésre kerül az elızetes intézkedési terv, amely tartalmazza mindazon feltételek biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági terv nem mőködı képes és a következı projekt fázisban elvégzendı üzletmenet-folytonossági terv teszt és tréning nem valósítható meg. e) Oktatás, tréning és tesztelés Az oktatás célja az üzletmenet-folytonosság jelentıségének tudatosítása, az üzletmenetfolytonosság tervezés alapismereteinek átadása, a megelızési és visszaállítási tervben foglaltak megismerése és elsajátítása. Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a szervezet által az üzletmenet-folytonossági terv készítési fázisa végén elfogadott intézkedési tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje és tréningje meghatározott üzemzavari/katasztrófa eseményre kivitelezhetı. Az üzletmenet-folytonossági terv tesztje szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kerül megvalósításra, amelynek keretében az eseménykezelı team, az üzemeltetı személyzet és a felhasználók a valós körülményeknek megfelelıen gyakorolják a visszaállítási terv utasításainak végrehajtását. 2., 3. és 4. szinten: Katasztrófa és folytonossági tervet kell készíteni. 14.1.3.1. Katasztrófa-elhárítási terv A katasztrófa-elhárítási terv globális helyettesítı megoldásokat ad megelızı és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható.


231

Informatikai Biztonság Irányítási Követelmények A katasztrófa-elhárítás tervezés célja a kiesési idı, a rendszer normál állapotának lehetı legrövidebb idın belül történı visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A vészhelyzetekbıl eredı károk megelızésének, mérséklésének alapvetı követelménye a részletes terv (Megelızési és Visszaállítási terv) elkészítése, tesztelése és a végrehajtás rendszeres gyakorlása. A katasztrófa-elhárítási terv eljárások és/vagy tevékenység-lépések sorozata annak biztosítására, hogy a szervezet kritikus információ-feldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid idın belül helyre lehessen állítani. a) A katasztrófa-elhárítási tervben a következık kerülnek meghatározásra: 1) a rendelkezésre állási követelmények megadása; 2) a katasztrófa vagy vészhelyzet események definíciója; 3) a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó funkcionalitási szintek; 4) javaslat a felelısségek szabályozására veszély vagy katasztrófa esetén; 5) a riadóterv vázlata; 6) kiválasztott esetekre konkrét intézkedési terv, különösen a következı területen: − a szükségüzem esetére a minimális hardver- és szoftver konfiguráció rögzítése (beleértve az adatokat is), − a szükségüzem esetére – amennyiben lehetséges – manuális póteljárás rögzítése, − szükség esetén backup-rendszer (például saját vagy külsı tartalék központ, igénybevétele), − adatrekonstrukciós eljárások bevezetése, − az újraalkalmazhatóságot lehetıvé tevı intézkedések; 7) az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetıeknek kell lenniük (például redundancia intézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel),

232


Informatikai Biztonság Irányítási Követelmények 8) az adatmentési intézkedések megvalósítási szabályainak összeállítása (például háromgenerációs elv), 9) az

üzemi

szempontból

szükséges

adatok

biztonsági

kópiáinak

elkészítése

meghatározott idıszakonként, 10) a biztonsági másolatoknak más biztos helyen (a munkaterületen, illetve a számítóközponton kívüli) raktározása, 11) az

installált

rendszerszoftverek

és

a

fontosabb

alkalmazói

szoftverek

referenciamásolatainak biztonságos raktározása, 12) a fontosabb dokumentációk megkettızése és raktározása, 13) a megvalósított adatmentések ellenırizhetı dokumentációja; 14) visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásainak kijelölését és a célkitőzések megállapítása (például az X alkalmazás újraindítása Y napon belül); 15) a beszállítói (szolgáltatói) szerzıdésekre vonatkozó – katasztrófa események bekövetkezése esetében érvényes – követelmények meghatározása (annak érdekében, hogy katasztrófa helyzetben is biztosítani lehessen a rendelkezésre állást); 16) javasolt biztosítások katasztrófák, káresemények esetére, 17) a terv készítésének, felülvizsgálatának, tesztelésének idıpontja. b) A katasztrófa-elhárítási terv részei: 1) a katasztrófa-elhárítási terv definíciója, 2) a mentési (megelızési) terv: Azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy lehetıvé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a számítógép, a háttértárak tükrözése és az optikai tárolók használata sokkal

könnyebbé

teheti

adatbázisok,

illetve

nagy

tömegő

papíralapú

dokumentumok helyreállítását. 3) a helyreállítási és újraindítási terv: A helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák Magyar Informatikai Biztonság Irányítási Keretrendszer

233

Informatikai Biztonság Irányítási Követelmények − az informatikai rendszert a tartalékközpontban vagy − az adatfeldolgozó központot. A helyreállítási terv szakaszai: − azonnali reakció: Válasz a katasztrófa-helyzetre, a veszteségek számbavétele, a megfelelı emberek értesítése és a katasztrófa-állapot megállapítása. − környezeti helyreállítás: Az adatfeldolgozó rendszer operációs rendszer, program termékek és a távközlési hálózat) helyreállítása. − funkcionális helyreállítás: Az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakció naplóval. Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetık, a rendszeradminisztrátorok, az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet. − áttelepülés: Az

informatikai

rendszer

kiépítése

és

telepítése

a

hidegtartalék

létesítményben (ha a melegtartalék létesítmények használata idıben korlátozott). − normalizáció: Az új állandó informatikai rendszer kiépítése és arra az üzemelı rendszer áttelepítése. 4) tesztelési terv: A tesztelési terv azokat a tevékenységeket tartalmazza, amelyek ellenırzik és biztosítják a katasztrófa-elhárítási terv mőködıképességét. 5) a karbantartási (üzembentartási) terv: A szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófa-elhárítási terv aktuális állapotban tartására. 234


Informatikai Biztonság Irányítási Követelmények 6) az érintett személyek elérési adatai. c) Intézkedni kell: 1) A kár megelızésére és a károk minimalizálására az IBSZ alapján (például belsı vagy külsı háttér-, illetve tartalék számítógép-kapacitás elıkészítése szükségüzem esetére az elégséges hardver és szoftver konfiguráció rögzítésével); 2) a katasztrófák, veszélyhelyzetek bekövetkezésekor; 3) a rendszer (folytonosságának) visszaállítására a katasztrófákat és a káreseményeket követıen; 4) a veszélyhelyzetek és a katasztrófák esetszimulálására, begyakorlásra, intézkedések modellezésére, illetıleg kipróbálására.

14.1.4. AZ ÜZLETMENET-FOLYTONOSSÁG TERVEZÉSI KERETRENDSZERE Az üzletmenet-folytonosság egységes tervezésének érdekében keretrendszert kell kidolgozni, melynek részei: a) A helyzetfelmérés és értékelés közös módszertana. b) Szabványos, szabályos és biztonságos mentési eljárások. c) Tartalék eljárások (áttelepítés, újraindítás, manuális módszerek, stb.). d) Helyreállítási eljárások. e) Karbantartási menetrend, tesztelési terv. f) Oktatás, tréning és tesztelés.

14.1.5. AZ ÜZLETMENET-FOLYTONOSSÁGI TERVEK VIZSGÁLATA, KARBANTARTÁSA ÉS ÚJRAÉRTÉKELÉSE

14.1.5.1. A tervek tesztelése Az üzletmenet-folytonossági tervekben olyan hibákat lehet teszteléssel megtalálni, mint a gyakran elıforduló helytelen feltételezések, figyelmetlenségek, berendezésbeli vagy személyzeti változások. Ezeket a dolgokat ajánlatos idırıl idıre megvizsgálni annak érdekében, hogy a tervek aktuálisan naprakészek és hatékonyak legyenek. Ilyen


235

Informatikai Biztonság Irányítási Követelmények vizsgálatokkal ajánlatos azt is elérni, hogy a helyreállításban résztvevı valamennyi csapattag és más érintett, érdekelt személyzet is mind ismerjék, tudatában legyenek a terveknek. Az üzletmenet-folytonossági tervekhez rendelt vizsgálat idırendje (ütemterve) ajánlatos, hogy azt is mutassa meg, mikor és hogyan vizsgálják a terv adott elemét. Ajánlatos a tervek egyedi összetevıit gyakran vizsgálni. A módszeres technikák egész választékát ajánlatos használni annak érdekében, hogy elég biztosítékot szerezzünk terveinknek a valós életben várható mőködıképességérıl: a) a különbözı forgatókönyvek (szcenáriumok) kerekasztal (megbeszéléses) vizsgálatát, ahol megvitatjuk az üzletmenet helyreállítási elrendezéseit példaként megszakadásokat használva, b) szimulációkat, különösen a személyek begyakoroltatásában, hogyan viselkedjenek váratlan események bekövetkezése után, kríziskezelı (menedzselı) szerepben, c) mőszaki helyreállítási vizsgálatot, ezzel szavatolva, hogy az informatikai rendszerek hatékonyan visszaállíthatók, d) a helyreállítás vizsgálatait valamely másik, alternatív helyszínen, amikor az üzleti folyamatokkal párhuzamosan a fıhelyszíntıl távol futnak a visszaállítási mőveletek, e) a szállítók szolgáltatásainak és eszközeinek vizsgálatát annak érdekében, hogy a külsı felek nyújtotta szolgáltatások és termékek kielégítsék a szerzıdéses kötelezettségként vállaltakat, f) teljes beszámoltatást, annak vizsgálatára, hogy a szervezet, a személyzet, a berendezés, az eszközök és a szolgáltatások képesek megbirkózni a megszakításokkal. Ezeket a technikákat (módszereket) bármely szervezet használhatja, viszont alkalmazásuk során ajánlatos, ha magukon viselik az adott helyreállítási/visszaállítási terv sajátosságait. A tervek tesztelését legjobban egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással lehet megvalósítani. Ennek keretében az eseménykezelı szervezet, az üzemeltetı személyzet és a felhasználók a valós körülményeknek megfelelıen gyakorolják – legalább évente egy alkalommal – a visszaállítási terv utasításainak végrehajtását. A teszt értékelése során az üzletmenet-folytonossági terveket módosítani, aktualizálni kell, és gondoskodni kell azok egymáshoz való illesztésérıl.

236


Informatikai Biztonság Irányítási Követelmények 14.1.5.2. A tervek karbantartása és újraértékelése Az üzletmenet-folytonosságot ajánlatos idırıl idıre tartott felülvizsgálattal és modernizálással (pontosítással) karban tartani annak érdekében, hogy folyamatos maradjon hatékonysága (lásd a 11.1.5.1 szakaszt is). Olyan eljárásokat is ajánlatos belefoglalni a szervezet változáskezelı (-menedzselı) programjába, amelyek szavatolják, hogy az üzletmenet-folytonosság témáit kellıen kézben tartják. Valamennyi, üzletmenet-folytonossági terv szabályos idıközönkénti felülvizsgálatának a felelısségét ki kell osztani, és az üzleti elrendezésekben bekövetkezett, és az üzletmenetfolytonossági tervekben még nem szerepeltetett változások azonosítását a tervek alkalmas pontosítása/kiegészítése kövesse. Ajánlatos, hogy a változások ellenırzésének, kézben tartásának ez a formális módja szavatolja, hogy a modernizált/pontosított terveket kiosztják, és a teljes terv(rendszer) szabályos idıközönkénti felülvizsgálata révén hatályba léptetik, kikényszerítik alkalmazását. Az olyan helyzetek példái, amelyek a tervek pontosító felülvizsgálatát teszik szükségessé,

magukban

üzemeltetırendszer

foglalják

az

új

berendezések

modernizálását/idıszerősítését

(upgrade),

felvételét/beiktatását, valamint

a

az

következı

változásokat: a) a személyzet, b) a címek és telefonszámok, c) az üzleti stratégia, d) az elhelyezés, az eszközök, az erıforrások, e) a jogrendszer/jogszabályok/jogkörnyezet/jogalkalmazás, f) a szerzıdı felek, a rendszerszállítók és a kulcsfontosságú ügyfelek/elıfizetık, g) akár az új, akár a visszavont folyamatok, valamint h) az üzemetetés és a pénzügyek kockázata körében.


237


238



15. FEJEZET MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A SZABÁLYOZÓKNAK

15.1. A JOGSZABÁLYI ELİÍRÁSOK BETARTÁSA El kell kerülni bármely jogszabályi, szabályozói vagy szerzıdéses kötelezettségnek, valamint bármely biztonsági követelménynek a megszegését. Az

informatikai

rendszerek

tervezésére,

fejlesztésére,

üzembehelyezésére,

mőködtetésére, használatára és kezelésére különbözı törvények, jogszabályok, szabványok, ajánlások,

valamint

az

egyes

szerzıdésekben

rögzített

biztonsági

követelmények

vonatkoznak. Ezek szervezeti szintő érvényesülése érdekében a szervezet informatikai tevékenységének végzésére vonatkozó biztonsági szabályok rögzítése, a szabályozás hazai gyakorlatának és a nemzetközi szabványok elıírásainak való megfeleltetése, továbbá az ehhez szükséges személyi és tárgyi feltételek meghatározása elengedhetetlen. A fentieknek megfelelıen a szervezet szabályzóit a hatályos jogszabályok, szabványok és ajánlások figyelembevételével kell elkészíteni (ld. 10.1.1.). Kétség esetén konkrét követelményekrıl ki kell kérni a szervezet Informatikai Biztonsági Vezetı véleményét. 15.1.1. A VONATKOZÓ JOGSZABÁLYOK BEHATÁROLÁSA Minden az informatikai rendszerekre vonatkozó jogszabályi, szabályozói vagy szerzıdéses követelményt, és ezeknek a követelményeknek a kielégítésére hozott intézkedéseket és egyéni felelısségeket egyedileg és részletesen kell meghatározni, és írásban foglalni (dokumentálni).


239

Informatikai Biztonság Irányítási Követelmények A vonatkozó jogszabályok, szabványok és ajánlások: a) Jogszabályok: A titokvédelemmel kapcsolatos jogszabályok:

–

1995. évi LXV. törvény az államtitokról és a szolgálati titokról

–

43/1994.(III.29.) Korm. rendelet a rejtjeltevékenységrıl

–

79/1995. (VI. 30.) Korm. rendelet a minısített adat kezelésének rendjérıl

–

143/2004. (IV. 29.) Korm. rendelet az államtitkot vagy szolgálati titkot, illetıleg alapvetı biztonsági, nemzetbiztonsági érdeket érintı vagy különleges biztonsági intézkedést igénylı beszerzések sajátos szabályairól

–

180/2004. (V. 26.) Korm. rendelet az elektronikus hírközlési feladatokat ellátó szervezetek és a titkos információgyőjtésre, illetve titkos adatszerzésre felhatalmazott szervezetek együttmőködésének rendjérıl

–

21/1996. (VIII. 31.) BM rendelet a belügyminiszter irányítása alatt álló titkos információgyőjtésre feljogosított szervek adatkezelésének egyes szabályairól

–

15/2003. (XII. 4.) FMM rendelet a fontos és bizalmas munkakörökrıl, valamint a biztonsági ellenırzés szintjérıl

A személyes adatok kezelésével és védelmével kapcsolatos jogszabályok –

1992. évi LXIII. törvény a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról

–

1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról

–

1996. évi XX. törvény a személyazonosító jel helyébe lépı azonosítási módokról és az azonosító kódok használatáról

–

1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név és lakcímadatok kezelésérıl

–

1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérıl és védelmérıl

–

1995. évi LXVI. törvény a közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelmérıl, IV. fejezet

–

184/2004. (VI. 3.) Korm. rendelet az elektronikus közigazgatási ügyintézésrıl és a kapcsolódó szolgáltatásokról

Az elektronikus aláírásról, az elektronikus szolgáltatásokról szóló jogszabályok: – 240

2001. évi XXXV. törvény az elektronikus aláírásról Magyar Informatikai Biztonság Irányítási Keretrendszer

Informatikai Biztonság Irányítási Követelmények –

2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól

–

84/2007. (IV. 25.) Korm. Rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl

–

193/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól

–

194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekrıl

–

195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról, együttmőködési képességérıl és egységes használatáról

–

335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeirıl

–

12/2005. (X. 27.) IHM rendelet az elektronikus ügyintézési eljárásban alkalmazható dokumentumok részletes technikai szabályairól

–

13/2005. (X. 27.) IHM rendelet a papíralapú dokumentumokról elektronikus úton történı másolat készítésének szabályairól

–

45/2005. (III. 11.) Kormányrendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatáskörérıl, valamint eljárásának részletes szabályairól

–

3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekrıl

–

2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggı szolgáltatások egyes kérdéseirıl

–

47/2002. (III. 26.) Korm. rendelet a kormányzati elektronikus aláírási rendszer kiépítésével összefüggı egyes kormányrendeletek módosításáról

–

15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végzı szervezetekrıl, illetve a kijelölésükre vonatkozó szabályokról

–

20/2001. (XI. 15.) MeHVM rendelet a Hírközlési Fıfelügyeletnek az elektronikus aláírással összefüggı minısítéssel és nyilvántartással kapcsolatos tevékenységéért fizetendı díjakról


241


34/2004. (XI. 19.) IM rendelet az elektronikus dokumentumok közjegyzıi archiválásának szabályairól és az elektronikus levéltárról

–

3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekrıl

–

1122/2001.

(XI.

22.)

Korm.

határozat

az

Elektronikus

Kormányzati

Gerinchálózat kialakításáról –

1026/2002. (III. 26.) Korm. határozat a kormányzati elektronikus aláírási rendszer kiépítésével összefüggı egyes feladatokról és a kormányzati hitelesítésszolgáltató felállításáról

–

1188/2002.

(XI.

7.)

Korm.

határozat

az

Elektronikus

Kormányzati

Gerinchálózatról és az Informatikai Közhálóról –

1214/2002. (XII.28.) Korm. határozat a Magyar Információs Társadalom Stratégia készítésérıl, a további feladatok ütemezésérıl és tárcaközi bizottság létrehozásáról

b) Szabványok és ajánlások: –

A Magyar Informatikai Biztonsági Ajánlások: MIBIK és MIBÉTS

–

ISO/IEC 13335-1:2004 Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management

–

ISO/IEC 20000-1:2005 Information technology – Service management – Part 1: Specification

–

ISO/IEC 20000-2:2005 Information technology – Service management – Part 2: Code of practice

–

ISO/IEC 27001:2005

Information

technology

–

Security

techniques

–

Information security management systems – Requirements –

ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management

–

ISO/IEC 13335-1:2004 Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management

242



ISO/IEC TR 13335-2:1997 Information technology – Guidelines for the management of IT Security – Part 2: Managing and planning IT Security

–

ISO/IEC TR 13335-3:1998 Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security

–

ISO/IEC TR 13335-4:2000 Information technology – Guidelines for the management of IT Security – Part 4: Selection of safeguards

–

ISO/IEC TR 13335-5:2001 Information technology – Guidelines for the management of IT Security – Part 5: Management guidance on network security

–

Az Európai Unió Tanácsának Biztonsági Szabályzata (kiadva az Európai Unió Tanácsának 2001/264/EK számú határozatával).

–

SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGANISATION (NATO) – C-M(2002)49 /AC/35-D/2000 Directive on Personnel Security, AC/35-D/2001 Directive on Physical Security, AC/35-D/2002 Directive on Security of Information, AC/35-D/2003 Directive on Industrial Security, AC/35D/2004

Primary

Directive

on

INFOSEC,

AC/35-D/2005

INFOSEC

Management Directive for Communications and information Systems/ –

ISACA ajánlások: COBIT (Control Objectives for Information and Related Technology), COBIT MAPPING – Mapping of ISO/IEC 17799:2000 With COBIT, COBIT SECURITY BASELINE ,

–

A PSZÁF elnökének 10/2001. számú ajánlása a pénzügyi szervezetek biztonsági feltételeirıl,

–

Az Adatvédelmi biztos ajánlása (2001. 02. 01.) az Internettel összefüggı adatkezelések egyes kérdéseirıl.

c) Helyi szabályzatok

15.1.2. SZELLEMI TULAJDONJOGOK

15.1.2.1. Szerzıi jogok Alkalmas eljárást kell megvalósítani azért, hogy gondoskodjunk a jogi korlátoknak való megfelelésrıl minden olyan anyagok használata esetében, amelyeknek szellemi tulajdonjogi vonatkozásai vannak, mint a szerzıi jogok, a tervezıi jogok, vagy a védjegyek/márkajelek. A


243

Informatikai Biztonság Irányítási Követelmények szerzıi jogok megsértése jogkövetkezményeket vonhat maga után, amely büntetıeljárást is magában foglalhat. A törvényes, szabályozói vagy szerzıdéses követelmények korlátozhatják a szervezet tulajdonát képezı írott anyagok másolását. Különösen azt követelhetik meg, hogy kizárólag olyan anyagokat lehessen használni, amit maga a szervezet állított elı, vagy pedig olyanokat, amelyekre jogot szerzett (licenszet vett) vagy a fejlesztı maga adta át a szervezetnek. 15.1.2.2. Szoftver szerzıi jogok A saját tulajdonú szoftvertermékeket többnyire olyan licensz-szerzıdések hatálya alatt szállít le a szállító, amely meghatározott gépre korlátozza e termékek használatát, és azok másolását is csak a tartalék másolat készítésére korlátozza. A következı óvintézkedéseket ajánlatos megfontolni: a) a szoftver-szerzıi jognak való megfelelés olyan szabályzatának kiadását, amely meghatározza, mit tekint a szoftver- és az informatikai termékek jogszerő használatának, b) a szoftvertermékek megszerzési eljárását elıíró szabványok kiadását, c) tudatosítani a szoftver-szerzıi jogot és a megszerzési szabályzatokat, és megfelelı figyelmeztetést adni arról a szándékról, hogy fegyelmi eljárást kíván foganatosíttatni a szabályszegı személyzettel szemben, d) megfelelıen alkalmas vagyonleltár karbantartását, e) a licenszek, mesterlemezek, kézikönyvek stb. tulajdonlásáról szóló okmányok és bizonyítékok karbantartását, f) olyan óvintézkedések megvalósítását, amelyekkel szavatolható, hogy a felhasználók számának megengedett legnagyobb értékét nem fogják meghaladni, g) azoknak az óvintézkedéseknek a végrehajtását, amelyek azt célozzák, hogy kizárólag jogosult szoftvereket és licenszek szerinti termékeket telepítsenek, h) olyan szabályzat kiadását, amely a megfelelı licensz-szerzıdéses állapotok fenntartására vonatkozik, i) olyan szabályzat kiadását, amely szoftvernek más számára szóló átruházására vagy átadására vonatkozik, j) az átvilágító auditáláshoz az alkalmas szerszámok, segédeszközök használatát,

244


Informatikai Biztonság Irányítási Követelmények k) megfelelést a nyilvános hálózatokon keresztül szerzett szoftver és információ alkalmazási feltételeinek (lásd még a 8.7.6. szakaszt).

15.1.3. A SZERVEZET ADATAINAK BIZTONSÁGA A szervezet fontos dokumentumai ajánlatos gondosan védeni az elvesztés, a sérülés és meghamisítás ellen. Egyes dokumentumok igényelhetik biztonságos megırzésüket ahhoz, hogy a törvényi és jogszabályi követelményeket kielégítsék, ugyanígy, hogy a lényeges üzleti tevékenységeket

támogassák.

Ennek

példái

az

olyan

dokumentumok,

amelyekre

bizonyítékként lehet szükség ahhoz, hogy a szervezet a törvények és jogszabályok szerinti mőködését bizonyítani lehessen, vagy ahhoz, hogy szavatolja a lehetséges polgári és büntetıjogi eljárás elleni kellı védelmet, vagy hogy a szervezet pénzügyi helyzetét megerısítse, igazolja a tulajdonosok, az üzletfelek (partnerek) és az átvilágító auditorok számára. Az információ megırzésének idıtartamát és adattartalmát a különbözı jogszabályok határozzák meg. A dokumentumokat fajtánként kell osztályozni, például számlák, adatbázisok, tranzakciók naplóbejegyzései (log), az átvilágító auditálás feljegyzései, vagy az üzemeltetési eljárások dokumentumai, amelyek mindegyikéhez rögzíteni kell a kötelezı megırzés idıtartamát és az adathordozók fajtáját, például papír, mikrofilm, mágneses, vagy optikai adathordozó. A rejtjelzett archívumokkal és a digitális aláírásokkal kapcsolatos bármely kriptográfiai kulcsot (lásd a 10.3.2. és 10.3.3. szakaszt) csak kellıen biztonságos helyen szabad tartani, és az arra felhatalmazott személyeknek – amikor szükségük van rá – hozzáférhetıvé kell tenni. A dokumentumok rögzítésére használt adathordozóknál ajánlatos figyelembe venni az adathordozó lehetséges állapotromlását. A tárolás és a kezelés eljárásait a gyártó ajánlásainak betartásával kell megoldani. A tárolás során a fizikai környezetre (hımérséklet, páratartalom, stb.) kiemelt figyelmet kell fordítani. Amennyiben elektronikus tárolóközeget választunk, akkor a megırzési idıszakra gondoskodni annak az eljárásnak az alkalmazásáról is, amelynek révén az adathordozóknak mind az állagát, mind a rögzítési formátumát tekintve az adatok hozzáférhetık és olvashatók maradnak, és amelynek révén megóvhatók attól, hogy késıbbi technológiai változások miatt elvesszenek. Az adattároló rendszereket úgy kell megválasztani, hogy a kívánt adatokat a hatóságok számára jogilag is elfogadható módon lehessen visszakeresni, például valamennyi kívánt adatot elfogadható idın belül és elfogadható formátumban lehessen elıhívni. Magyar Informatikai Biztonság Irányítási Keretrendszer

245

Informatikai Biztonság Irányítási Követelmények A tároló- és kezelırendszernek garantálnia kell, az adatok a kötelezı megırzési idıtartamban egyértelmően azonosíthatók legyenek. A tároló- és kezelırendszer tegye lehetıvé, hogy az adatokat ezen idıszak lejártával, ha a szervezet számára már nem szükségesek, alkalmas módon megsemmisíthessék. Az adatok megırzése, tárolása, kezelése és a velük való rendelkezés tekintetében intézkedı útmutató kézikönyvet (használati utasítást) kell kiadni. Megırzési ütemtervet kell készíteni, amelyben azonosítunk minden adatfajtát és azt a hozzájuk rendelt idıszakaszt, amelyben azokat meg kell ırizni. 15.1.4. SZEMÉLYES ADATOK VÉDELME A személyes adatok védelmére vonatkozó jogszabályi elıírások intézkedési kötelezettségeket rónak azokra az adatkezelıkre, akik a személyes adatot kezelnek. Az adatvédelmi jogszabályoknak való megfelelés kellı irányítási struktúrát és ellenırzést igényel. Ezt leginkább azzal lehet elérni, ha adatvédelmi felelıst jelölünk ki, aki erre vonatkozó útmutatót ad ki vezetık, felhasználók és szolgáltatók számára egyéni felelısségükrıl, valamint azokról a különleges eljárásokról, amelyeket követniük kell.

15.1.5. A VÉDELMI ESZKÖZÖKKEL ELKÖVETHETİ VISSZAÉLÉSEK MEGELİZÉSE A szervezet adatfeldolgozó eszközeit üzleti célra hozták létre. Ajánlatos, hogy a vezetés adja ki az engedélyt azok felhasználóinak. Ezen eszközök bármely olyan használata, amelyik nem felel meg az üzleti céloknak, vagy amelyre nincs a vezetéstıl kapott felhatalmazás, úgy tekintendı, mint az eszközök helytelen használata. Ha megfigyeléssel (monitorozással) vagy más módon azonosítjuk, hogy az ilyen tevékenység elıfordult, akkor erre fel kell hívni a vonatkozó fegyelmi eljárásban illetékes vezetı figyelmét. A használat figyelésének (monitorozásának) a jogszerősége megkívánja, hogy a munkatársakat a megfigyelésre figyelmeztessük. A megfigyelési eljárás alkalmazása elıtt ajánlatos jogi tanácsot kérni. A jogosulatlan számítógép-használat bőncselekmény. Ezért lényeges, hogy minden felhasználó legyen tudatában a saját, engedélye szerinti jogosultságának, az engedélyezett hozzáférési körének. Ezt azzal lehet elérni, hogy a felhasználók írott formában kapják meg a felhatalmazásukat, amelynek egy példányát a felhasználóval alá kell íratni, és biztonságosan 246


Informatikai Biztonság Irányítási Követelmények megırizni. A szervezet munkatársai ugyanúgy, mint a harmadik félhez tartozó felhasználók, kapjanak megfelelı tájékoztatást arról, hogy semmilyen más hozzáférés nincs megengedve, csak az, amelyre felhatalmazást kaptak. Minden egyes bejelentkezéskor ajánlatos figyelmeztetı üzenetet megjeleníteni a számítógép képernyıjén, amely mutatja, hogy a rendszer, amelybe belépni készülnek, magántulajdonú és abba a jogosulatlan belépés nincs megengedve. Ajánlatos ezt a használóval nyugtáztatni, és elvárni tıle, hogy a képernyın megjelenített üzenetre kellı módon válaszoljon ahhoz, hogy a bejelentkezési folyamatot folytathassa.

15.1.6. A KRIPTOGRÁFIAI ESZKÖZÖK KEZELÉSÉNEK SZABÁLYOZÁSA Egyes országok egyezményeket kötöttek, törvényeket hoztak, szabályozást léptettek életbe, és más eszközöket is bevetettek annak érdekében, hogy a kriptográfiai óvintézkedésekhez való hozzáférést és azok használatát ellenırzésük alatt tarthassák. Az ilyen óvintézkedés magában foglalhat: a) a kriptográfiai funkciókat végrehajtani képes számítógép hardver és szoftver behozatalt (importot) és kivitelt (exportot), b) a kriptográfiai funkciót végrehajtó kiegészítések befogadására tervezett számítógéphardver és szoftver behozatalt (importot) és kivitelt (exportot), c) az országok kötelezı vagy önkéntes hozzáférés módjait, a tartalom bizalmasságát ellátó hardver vagy szoftver eszközzel titkosított információhoz. Ajánlatos jogi tanácsot ajánlatos kérni, mielıtt rejtjelzett információt, vagy kriptográfiai eszközöket más országba továbbítunk. Az államtitok és szolgálati titok védelmérıl szóló törvény hatálya alá esı adatok esetében csak a jogszabályok szerint szabad eljárni a rejtjelzés, a kriptográfiai eszközök használata során!


247

Informatikai Biztonság Irányítási Követelmények 15.2. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZATNAK, SZABVÁNYOKNAK ÉS MŐSZAKI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS Gondoskodni arról, hogy a rendszerek megfeleljenek a szervezet biztonságpolitikájának, szabályzatainak és a szabványoknak. Az informatikai rendszerek biztonságát ajánlatos idırıl idıre felül kell vizsgálni. Ezeket a felülvizsgálatokat ajánlatos a vonatkozó biztonsági szabályzatoknak megfelelıen végezni, és ugyanígy a mőszaki és informatikai rendszereket a biztonságos megvalósítás és üzemeltetés szabványainak való megfelelést átvilágító auditálásnak kell alávetni.

15.2.1. AZ INFORMATIKAI BIZTONSÁGI ELİÍRÁSOKNAK VALÓ MEGFELELÉS Ajánlatos, hogy a menedzser-vezetık garantálják, a felelısségi körükbe tartozó valamennyi biztonsági eljárást helyesen hajtották végre. Továbbá a szervezeten belül ajánlatos valamennyi területet idırıl idıre felülvizsgálni annak érdekében, hogy megfeleljenek a biztonsági szabályzatoknak és a szabványoknak. Ajánlatos, hogy ez a következıket foglalja magában: a) információrendszereket/informatikai rendszereket, b) rendszer- beszállítókat, c) az információ és az informatikai vagyontárgyak tulajdonosait, d) a felhasználókat, e) a menedzsereket, illetve a vezetıséget (a teljes menedzsmentet). Ajánlatos, hogy az információrendszerek tulajdonosai (lásd az 5.1. szakaszt) tőrjék és segítsék rendszereiknek a biztonsági szabályzatok, szabványok és más biztonsági követelmények szerinti megfelelıségre vonatkozó átvilágító auditálását. A rendszerhasználat üzemviteli megfigyelését a 9.7. szakasz tárgyalja. A biztonsági megfelelıség ellenırzés az alkalmazott biztosítékok felülvizsgálatát és elemzését jelenti. Annak ellenırzésére használatos, hogy az informatikai rendszerek és szolgáltatások vajon megfelelnek-e az informatikai biztonságpolitikában és a Informatikai Biztonsági Szabályzatban lefektetett követelményeknek. A biztonsági megfelelıség ellenırzést a következı esetekben alkalmazzuk: 248


Informatikai Biztonság Irányítási Követelmények a) új informatikai rendszerek és szolgáltatások implementációját követıen, b) létezı informatikai rendszerek vagy szolgáltatások esetében adott idıszakonként (például évente), c) létezı informatikai rendszerek vagy szolgáltatások esetében, amennyiben változás történt a rendszerszintő informatikai biztonságpolitikában, annak érdekében, hogy lássuk: milyen változtatások szükségesek a kívánt biztonsági szint fenntartásához. Biztonsági megfelelıség ellenırzést egyaránt lehet végezni külsı vagy belsı személyzettel,

alapvetıen

a

rendszerszintő

informatikai

biztonságpolitikára

épülı

ellenırzılisták segítségével. Az informatikai rendszert védı biztosítékokat a következı módon lehet ellenırizni: a) rendszeres vizsgálatok és tesztek, b) a mőködési teljesítmény ellenırzése valós biztonsági események bekövetkezésekor, c) szúrópróba jellegő vizsgálatok a biztonsági szintek és célok ellenırzésére egyes meghatározott érzékenységő vagy profilú területeken. Bármilyen biztonsági megfelelıség ellenırzés támogatására értékes információk nyerhetık az informatikai rendszerek használatáról a következı forrásokból: a) az eseményeket rögzítı szoftvercsomagok használata, b) biztonsági naplók alkalmazása az események teljes történetének követésére. A biztonsági megfelelıség ellenırzést a rendszeres felülvizsgálatok és jóváhagyások támogatására az elfogadott biztosítékok listáira kell építeni, melyeket a legutóbbi kockázatfelmérés eredményei, a rendszerszintő informatikai biztonságpolitika és az informatikai vezetés által elıírt biztonsági mőveleti és eseményjelentési eljárások határoznak meg. Azt kell megállapítani, hogy a biztosítékokat megvalósították-e egyáltalán, jól tették-e, jól használják-e és ahol ez értelmezhetı, tesztelték-e. A biztonsági megfelelıséget ellenırzı személynek végig kell járnia az épületet egy normál munkanapon és meg kell néznie, a biztonságot szolgáló biztosítékok használatának módját. Természetesen az interjúk is fontosak, de ezeket amennyire csak lehet ellenırizni kell. Amit mond valaki azt ıszintén hiheti is, de ettıl még nem biztos, hogy igaza van: ellenırizni kell a munkatársak útján is.


249

Informatikai Biztonság Irányítási Követelmények Nem lebecsülendı segítséget tud adni egy átfogó ellenırzı lista és a jelentések meghatározott formátumban való elkészítése. Az ellenırzı listáknak tartalmazniuk kell általános azonosítási információkat, például konfigurációs részletek, biztonsági felelısségek, politika jellegő dokumentumok, környezeti beállítások. A fizikai biztonságnak olyan külsı szempontokat kell megjelenítenie, mint a szabadtéri épületek, ide értve csatornanyíláson keresztül történı megközelíthetıséget és olyan belsı szempontokat, mint az építés, zárak, tőzvédelem és megelızı (riasztó) rendszer, víz/folyadék érzékelés, és tápellátás kiesése elleni védelem alapos kiépítettsége, stb. Sok mindenre kell figyelni, úgy mint: a) a fizikai behatolásnak, vagy az eszközök kijátszhatóságának kitett területekre, például a kódzárral vagy kártyával nyitható ajtók kiékelése miatt; b) hibás vagy hibásan felszerelt eszközök, hiányos vagy rossz elosztás esetleg nem megfelelı típusú érzékelı alkalmazása. Van elegendı füst ill. hıérzékelı egy adott területen és a megfelelı magasságban vannak? Van megfelelı reakció a riasztásra? Megfelelıen vannak bekötve a riasztók egy ellenırzı pontra? Van bármilyen új veszélyforrás – valaki egy nem megfelelı helységet kezd használni gyúlékony anyagok tárolására? Létezik megfelelı védelem az áramingadozás vagy kimaradás ellen? A megfelelı kábeltípusokat használják és azok nincsenek kitéve mechanikai sérülés veszélyének? A biztonság területein elıforduló rések megtalálásához a következı kérdések nyújthatnak segítséget: a) Munkavállalók biztonsági ellenırzése: figyeljük meg a felvételi folyamatot. Valósak-e a referenciák? Az esetleges lyukakat ellenırizték? A humán erıforrás terület jól tájékozott a biztonsági szempontokkal kapcsolatban? Megbízhatónak tekinthetı a kulcspozícióba kijelölt személy? b) Adminisztratív biztonság: valójában hogy kezelik a dokumentumokat? A használatban levı dokumentációk napra készek? A kockázatfelmérés, státusz ellenırzés és az események jelentése kapcsán úgy használják, ahogy kell? Az üzletmenet-folytonossági terv pontosan fedi az egész üzletmenetet és naprakész? c) Hardver-szoftver biztonság: van kellı tartalék? Mennyire jó a felhasználói azonosító – jelszó választás és használat rendje? Van olyan minısített eszköz, mely megfelel a megállapított követelményeknek?

250


Informatikai Biztonság Irányítási Követelmények d) Kommunikáció-biztonság: van kellı tartalék? Ha van betárcsázási lehetıség, a szükséges berendezéseket használják és jól teszik-e ezt? Ha titkosítás és/vagy üzenet hitelesítés is szükséges, milyen hatékony a kulcskezelési rendszer és a kapcsolódó mővelet? Összefoglalva: a biztonsági megfelelıség ellenırzés nem ki feladat, sikeres végrehajtása nagy gyakorlatot és tudást igényel. Ez a belsı ellenırzési tevékenységtıl elválasztott mővelet.

15.2.2. A MŐSZAKI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS Az információrendszereket idırıl idıre ajánlatos ellenırizni a biztonság megvalósítását elıíró szabványokkal szembeni megfelelıségre. A mőszaki megfelelıség-ellenırzés foglalja magában az üzemeltetési rendszer vizsgálatát, hogy ezzel lehessen szavatolni a hardver és szoftver óvintézkedések megvalósítása helyességét, pontosságát. Ez a fajta megfelelıségellenırzés

mőszaki

szakértıi

támogatást

igényel.

Ezt

ajánlatos

egy

gyakorlott

rendszermérnöknek manuálisan végrehajtani (amit szükség esetén alkalmas szoftvereszközök, -szerszámok támogatnak), vagypedig egy olyan, automatizált szoftvercsomagnak, amely mőszaki jelentést készít azért, hogy azt a mőszaki szakértı ezt követıen értelmezze, kiértékelje. A megfelelıség-ellenırzés például az alkalmazás-mélység (elterjedtség, behatolási mélység, penetráció) vizsgálatát is tartalmazza, amelyet erre a célra külön szerzıdtetett független szakértık hajtanak végre. Ez hasznos lehet a rendszer sérülékenységeinek felderítésében és annak ellenırzésében, mennyire hatékonyak az óvintézkedések ezen sérülékenységeket kihasználó jogtalan hozzáférések megelızésére. Elıvigyázatra van szükség erre az esetre, mert az alkalmazás-mélység vizsgálatának sikeres elvégzése a rendszer biztonságának veszélyeztetésére vezethet és egyéb sérülékenységek gondatlan kiteregetését okozhatja. Bármely mőszaki megfelelıség-ellenırzést is elvégezhetı, ha csak az illetékes, erre felhatalmazott személyek végezik, vagy legalábbis felügyelik azt.

15.3. AZ INFORMATIKAI RENDSZEREK BIZTONSÁGI ELLENİRZÉSÉNEK SZEMPONTJAI Maximalizálni a rendszert átvilágító auditálás hatékonyságát, és minimalizálni az általa vagy benne okozott zavarokat. Intézkedéseket kell alkalmazni az üzemelı rendszer Magyar Informatikai Biztonság Irányítási Keretrendszer

251

Informatikai Biztonság Irányítási Követelmények védelmére, és hogy megóvjuk az auditálás alatt az auditáló eszközöket. Ugyancsak védelmet szükséges alkalmazni ahhoz, hogy megóvjuk az auditáló eszközök sértetlenségét és megelızzük a velük való visszaélést. Az ellenırzés egy folyamatos tevékenység, amely azt vizsgálja, hogy a rendszer és felhasználói valamint a környezet fenntartja-e az informatikai biztonsági tervben meghatározott biztonsági szintet. Napi rendszerességő ellenırzési tervet kell készíteni kiegészítı iránymutatásokkal és eljárásokkal a folyamatos biztonságos mőködés támogatására. A felhasználóknak, az üzemletetési személyzetnek és a biztonsági tervezıknek rendszeresen konzultálniuk kell annak érdekében, hogy az összes biztonsági célkitőzést kielégítsék és az informatikai biztonsági terv naprakész maradjon. Azon okok egyike, amelyek miatt az ellenırzés olyan fontos az informatikai biztonság fenntartásában az, hogy ez egy út a biztonságot érintı változások érzékelésére. Néhány szempont, amit ellenırizni kell: az eszközök és értékük, az eszközökre irányuló fenyegetések és azok sérülékenységei és az eszközöket védı biztosítékok. Az eszközöket az értékükben és az informatikai rendszerek biztonsági céljai változásának észlelése érdekében kell ellenırizni. Ezeknek a változásoknak a lehetséges okai a következık: a szervezet céljai, az informatikai rendszerben mőködı alkalmazások, az informatikai rendszerben feldogozott információk és maguk az informatikai eszközök. A fenyegetéseket és sérülékenységeket azért ellenırizzük, hogy érzékeljük a változásokat súlyosságukban (például az infrastruktúrában, környezetben bekövetkezett változások okozhatják ezeket vagy technikai lehetıségek) és hogy korai szakaszban tudjunk érzékelni új fenyegetéseket vagy sérülékenységeket. Az eszközök változásai befolyásolhatják a fenyegetések és sérülékenységek változásait. A biztosítékokat teljesítményük és hatékonyságuk vizsgálata érdekében ellenırizzük idınként. Biztosítani kell, hogy megfelelıek legyenek és az informatikai rendszert a szükséges védelmi szinten védjék. Lehetséges, hogy az eszközök, fenyegetések és sérülékenységek változásai befolyásolják a biztosítékok hatékonyságát és megfelelısségét. Továbbá, ha új informatikai rendszereket vezetnek be, vagy megváltoztatják a meglevıket, akkor igény keletkezik, hogy a hasonló változások ne befolyásolják a meglévı biztosítékokat és az új rendszerek számára megfelelı biztosítékok álljanak rendelkezésre. Ha biztonsági rendellenességet találunk, akkor azt ki kell vizsgálni, és a megállapításokat jelenteni kell a felsı vezetésnek a biztosítékok lehetséges felülvizsgálatához 252


Informatikai Biztonság Irányítási Követelmények vagy komolyabb körülmények között az informatikai rendszerszintő biztonsági politika felülvizsgálatához és kockázat-felmérési tevékenységhez. A biztonsági politikához való kapcsolódás érdekében megfelelı erıforrásokat kell rendelni a következık megfelelı napi szintő ellenırzésének biztosítására: a) Létezı biztosítékok, b) Új rendszerek és szolgáltatások bevezetése, és c) Tervezett változtatások a létezı rendszerekben és szolgáltatásokban. Sok biztosíték készít napló formájú kimenetet az eseményekrıl. Ezeket a naplókat statisztikai technikák használatával kell ellenırizni a trendváltozások és az ismétlıdı események elıfordulásainak korai érzékelése érdekében. Ki kell jelölni, hogy ki a felelıs a naplók elemzéséért. Elosztott rendszerekben a naplók csak egy adott környezetre vonatkozó információkat rögzítenek. Egy összetett esemény valós megértéséhez egyetlen eseményrekorddá kell egyesíteni a különbözı naplókat. Ezután ezt az eseményrekordot kell elemezni. Az eseményrekord egyesítés egy összetett feladat és a legfontosabb szempontja azon paraméterek azonosítása, melyek segítségével a különbözı naplóbejegyzéseket biztonságosan össze lehet főzni. A napi rendszerességő ellenırzés szervezéséhez szükséges vezetési technika a biztonsági mőveleti eljárások dokumentálása. Ez a dokumentum leírja az összes mőveletet, ami ahhoz szükséges, hogy biztosítjuk minden rendszer és szolgáltatás biztonsági szintjének hosszabb távon való fenntartását. A biztonsági konfiguráció frissítéséhez szükséges tevékenységeket dokumentálni kell. Tartalmazniuk kell a változtatott biztonsági paramétereket, és frissíteniük kell minden biztonsági szervezési információt. Ezeket a változásokat rögzíteni kell, és jóvá kell hagyni a konfiguráció kezelési folyamat során. A rendszeres karbantartás folyamán biztosítani kell, hogy a biztonság ne sérüljön. Megbízható elosztási eljárásokat kell leírni minden biztonsági összetevıre, ahol ez alkalmazható. A biztosítékok ellenırzési folyamatát írásba kell foglalni. Rögzíteni kell a biztonsági naplók vizsgálatának gyakoriságát és annak megközelítését. Meg kell jeleníteni a statisztikai eszközök és módszerek használatát. Útmutatást kell adni arról, hogy különbözı mőködési körülmények között milyen vizsgálati küszöbértékeket alkalmazunk. Magyar Informatikai Biztonság Irányítási Keretrendszer

253

Informatikai Biztonság Irányítási Követelmények 15.3.1. RENDSZERAUDITÁLÁSI ÓVINTÉZKEDÉSEK Az üzemelı rendszer átvilágító auditálásának a követelményeit, valamint az ellenırzést is magában foglaló tevékenységeket ajánlatos gondosan megtervezni és egyeztetni, hogy ezzel minimalizálni lehessen az üzleti folyamatok megszakadásának a kockázatát. Az alábbiakat ajánlatos megfigyelni: a) Az átvilágító auditálás követelményeit ajánlatos egyeztetni az illetékes vezetıséggel. b) Az ellenırzés tárgyát ajánlatos egyeztetni és ellenırizni. c) A szoftverek és az adatok ellenırzése a „csak olvasás” jellegő hozzáférésre legyen korlátozva. d) A „csak olvasás”-on kívüli hozzáférést csak akkor szabad engedélyezni, ha az a rendszerállományok (rendszerfájlok) elkülönített másolatán történik, és akkor is az átvilágító auditálás befejezésével ezeket az állományokat ajánlatos megsemmisíteni. e) Az ellenırzéseket végzı informatikai eszközöket pontosan azonosítani, és rendelkezésre bocsátani kell. f) A különleges vagy kiegészítı feldolgozás követelményeit ajánlatos azonosítani és egyeztetni. g) A hivatkozási napló (reference trail) készítéséhez ajánlatos minden egyes hozzáférést megfigyelni és naplózni (log). h) Valamennyi

eljárást,

követelményt

és

felelısséget

ajánlatos

írásban

foglalni

(dokumentálni).

15.3.2. RENDSZERAUDITÁLÓ ESZKÖZÖK VÉDELME A

hozzáférést

a

rendszerauditáló

átvilágító

eszközökhöz,

azaz

szoftverekhez

és

adatállományokhoz (fájlokhoz) védeni kell annak érdekében, hogy kizárjuk a lehetséges visszaéléseket és a veszélyeztetést. Ezeket az eszközöket el kell különíteni az üzemeltetı és a fejlesztı eszközöktıl, és nem szabad azokat a szalagtárakban vagy a használói körzetekben tárolni, hacsak nincsenek ellátva alkalmas szintő kiegészítı védelemmel. Ha harmadik fél van bevonva az auditba, fennállhat részükrıl az auditálási eszközökkel való visszaélésés az információhoz való hozzáférés. Az olyan intézkedések, mint a 6.2.1.

254


Informatikai Biztonság Irányítási Követelmények szakasz (a kockázatok felmérése) és a 9.1.2. szakasz (a fizikai hozzáférés korlátozása) szerintiek, úgy tekinthetık, mint ezen kockázat esetei.


255


256



MELLÉKLETEK

1. MELLÉKLET: FELHASZNÁLÓ REGISZTRÁCIÓS LAP

Felhasználó regisztrációs lap

(A felhasználó szervezeti vezetıje tölti ki) Belépı felhasználó neve Beosztása Felettes Szervezeti egység neve Irodai telefonszám

Felhasználó hozzáférés kérése: ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………… A belépı felhasználó szervezeti vezetıjének soron kívüli kérései: ………………………………………………………………………………………………… ………………………………………………………………………………………………… …………………………………………………………………………………


257

Informatikai Biztonság Irányítási Követelmények (Az informatika tölti ki)

A felhasználó operációs rendszer szintő azonosítójának aktiválása

Felhasználó-azonosító

Aktiválás

Aktiválást

(Tartomány\felhasználó)

idıpontja

személy

végzı olvasható

aláírása

A felhasználó alkalmazás szintő azonosítójának aktiválása:

Felhasználó-

Alkalmazás adataí Aktiválás

Aktiválást

azonosító

Abszolút

személy

elérési idıpontja

végzı olvasható

aláírása

út, programnév

RAS hozzáférés engedélyezése

RAS

Aktiválás

azonosító

idıpontja

Hívószám

Visszahívás Engedélyez Beállítást i szám

ı

vezetı végzı személy

aláírása

olvasható aláírása

258


Informatikai Biztonság Irányítási Követelmények Felhasználói csoporttagság regisztráció

Csoport azonosító

Engedélyezı szervezeti vezetı olvasható aláírása

Hálózati meghajtó hozzáférés regisztráció

Hálózati meghajtó elérési út, Hozzáférési könyvtár vagy fájl név

jog Jogok

(Read, vagy Change)

igénylése

alkönyvtárakban

az is

(igen/nem)

Kulcskezelési adatok


Aktiválás idıpontja


kulcsok

Azonosító

Aktiválásért végzı személy

Kulcsok

Mentés

Mentés

biztonsági

idıpontja

lejáratának személy

mentésének helye,

idıpontja

média

Mentését

végzı


azonosító


259

Informatikai Biztonság Irányítási Követelmények A szerveren lévı felhasználói könyvtár adatai

Felhasználói elérési útja

könyvtár Könyvtár jogosultsági Aktiválásért Felelıs személy beállításai:

neve, aláírása

A felhasználó postafiókjának létrehozása

Postafiók Aktiválás idıpontja

Aktiválást

végzı

személy

olvasható

aláírása

Telefon rendszer hozzáférés, hangposta kód aktiválása

Aktiválásért felelıs személy neve:

Olvasható aláírása:

Az informatikai vezetı egyéb észrevételei a beléptetési folyamattal kapcsolatban ………………………………………………………………………………………………… ………………………………………………………………………………………

260


Informatikai Biztonság Irányítási Követelmények A felhasználó tudomásul veszi, hogy: • • •

a rábízott adatokért és jogosultságokért személyes felelısséget vállal, felhasználói-azonosítóját és jelszavát nem szolgáltathatja ki más személynek, a saját számítógépén és a hozzákapcsolódó rendszerekben létrehozott és kezelt állományok – beleértve az elektronikus levelezést is –, a SZERVEZET tulajdonát képezik, ezért a SZERVEZET szabályzatokban és utasításokban feljogosított ellenırzı szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van. Dátum: ………………….……………

………………..…………………… felhasználó

Dátum: ………………….……………

………………..…………………… szervezeti egység vezetıje

Dátum: ………………….……………

………………..…………………… Informatikai vezetı


261


2. MELLÉKLET: FELHASZNÁLÓ KILÉPTETİ LAP

Felhasználó kiléptetı lap

(A felhasználó szervezeti vezetıje tölti ki)

A

kilépı

felhasználó

neve Felhasználó-azonosító (domain/username) Beosztása Felettes Szervezeti egység neve Irodai telefonszám Céges mobil telefonszám

1. A felhasználó operációs rendszer szintő azonosítójának letiltása


Letiltás idıpontja

Letiltásért

végzı

személy


262


Informatikai Biztonság Irányítási Követelmények 2. A felhasználó alkalmazás szintő azonosítójának letiltása



Letiltásért

végzı

személy


3. RAS hozzáférés letiltása

RAS azonosító

Deaktiválás idıpontja

Deaktiválást végzı személy olvasható aláírása

4. Kulcskezelési adatok:


Letiltásért

Visszavonás idıpontja:

végzı

személy


kulcsok

5. Munkaállomás Adatainak mentése (amennyiben szükséges)

Munkaállomás Mentési azonosító

útvonal média

Mentés vagy idıpontja

Mentés

Mentést

végzı

lejáratának személy olvasható idıpontja

aláírása

azonosító

6. A szerveren lévı felhasználói könyvtár archiválása


263

Informatikai Biztonság Irányítási Követelmények Felhasználói

Mentési

könyvtár

útvonal

Mentés

Mentés

vagy idıpontja

Mentést

végzı

lejáratának személy olvasható

média

idıpontja

aláírása

Mentés

Mentést

azonosító

7. A felhasználó postafiókjának mentése

Postafiók :

Mentési útvonal

Mentés vagy idıpontja

végzı

lejáratának személy olvasható

média

idıpontja

aláírása

azonosító

8.

Telefon

rendszer

hozzáférés,

Visszavonásért felelıs személy neve:

hangposta

kód

visszavonása

Olvasható aláírása:

9. Az informatikai vezetı egyéb észrevételei a kiléptetési folyamattal kapcsolatban

………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ……………………………………………………………………………

Dátum: ……………………………

…………………………… Informatikai vezetı

264



3. MELLÉKLET: HÁLÓZATI JOGOSULTSÁG IGÉNYLİ LAP

Hálózati jogosultság igénylı lap (A felhasználó szervezeti vezetıje tölti ki)

A kilépı felhasználó neve Felhasználó-azonosító (domain/username) Beosztása Felettes Szervezeti egység neve

RAS hozzáférés kérése

RAS azonosító Aktiválás

Hívószám

idıpontja

Visszahívási Engedélyezı Aktiválást végzı szám

vezetı

személy

aláírása

aláírása

neve,

Hálózati hozzáférés kérése

Hálózati megh.,elérési út, Hozzáférési jog (Read, vagy Jogok könyvtár vagy file név.

Change)

igénylése

alkönyvtárakban

az is

(igen/nem)


265


Felhasználói csoporttagság ill. új csoport létrehozásának kérése (Egyeztetés alapján a rendszergazda tölti ki.)

Csoport azonosító

Engedélyezı

vezetı

olvasható

aláírása

A felhasználó alkalmazás szintő azonosítójának kérése


Alkalmazás neve

Aktiválást

végzı

személy


A felhasználó tudomásul veszi, hogy: •

a rábízott adatokért és jogosultságokért személyes felelısséget vállal,

•

felhasználói-azonosítóját és jelszavát nem szolgáltathatja ki más személynek,

•

a saját számítógépén és a hozzákapcsolódó rendszerekben létrehozott és kezelt állományok – beleértve az elektronikus levelezést is –, a SZERVEZET tulajdonát képezik, ezért a SZERVEZET szabályzatokban és utasításokban feljogosított ellenırzı szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van.

…………………….. Felhasználó aláírása

266

….………………….

………………..…………….

Szervezeti egység vezetıje

Informatikai vezetı


Informatikai Biztonság Irányítási Követelmények A jogosultság beállítását végzı személy olvasható aláírása:…………………………….


267


4. MELLÉKLET: HÁLÓZATI HOZZÁFÉRÉSI ENGEDÉLY (HARMADIK SZEMÉLY RÉSZÉRE)

Hálózati hozzáférési engedély (harmadik személy részére)

(A felhasználó szervezeti vezetıje tölti ki) A felhasználó neve Lakcím Vállalkozás neve Címe Felhasználó-azonosító (domain/username) Engedélyt kérı szervezeti egység

Hálózati hozzáférés kérésének indoklása ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… …………………………………………………………………………………………………

Hozzáférést kérı szervezeti vezetı Aláírása neve

A harmadik személyt alkalmazó vezetı soron kívüli kérései az engedélyezéssel kapcsolatban

268


Informatikai Biztonság Irányítási Követelmények ………………………………………………………………………………………………… …………………………………………………………………………………………………


269

Informatikai Biztonság Irányítási Követelmények Engedélyezı rendelkezése a hozzáféréssel kapcsolatban

Titoktartási nyilatkozat :

Szükséges, mellékelve

Nem szükséges

(Nem kívánt rész áthúzandó!)

………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… (Az informatika tölti ki:) A felhasználó operációs rendszer szintő azonosítójának aktiválása



Aktiválást végzı személy olvasható aláírása

A felhasználó alkalmazás szintő azonosítójának aktiválása




Felhasználói csoporttagság regisztráció

Csoport azonosító

270

Engedélyezı vezetı neve, aláírása


Informatikai Biztonság Irányítási Követelmények Hálózati meghajtó hozzáférés regisztráció

Hálózati meghajtó elérési út, könyvtár Hozzáférési jog Jogok vagy fájl név

(Read,

igénylése

vagy alkönyvtárakban

Change)

az is

(igen/nem)

Kulcskezelési adatok




kulcsok

Azonosító:

Kulcsok

Mentés

Mentés

Mentésért

biztonsági

idıpontja:

lejáratának

felelıs személy

idıpontja:

neve, aláírása

mentésének helye,

média

azonosító:


271

Informatikai Biztonság Irányítási Követelmények Az informatikai vezetı egyéb észrevételei az engedélyezési folyamattal kapcsolatban

………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ……………………………………………………………………………

Dátum: ………………….……………

…………………………………………

Informatikai vezetı

----------------------------------------------------------------------------------------------------------

Hozzáférés visszavonásának adatai

A felhasználó operációs rendszerszintő azonosítójának letiltása:



Letiltást

végzı

személy


A felhasználó alkalmazás szintő azonosítójának letiltása :



Letiltást

végzı

személy


272


Informatikai Biztonság Irányítási Követelmények Kulcskezelési adatok


Visszavonás idıpontja

Letiltást

kulcsok

végzı

személy


Munkaállomás adatainak mentése (amennyiben szükséges)

Munkaállomás

Mentési útvonal Mentés

Mentés

Mentést

azonosító

vagy

lejáratának

személy

idıpontja

olvasható

média idıpontja

azonosító

végzı

aláírása

A szerveren lévı felhasználói könyvtár archiválása

Felhasználói

Mentési útvonal Mentés

Mentés

Mentést

könyvtár

vagy

lejáratának

személy

idıpontja

olvasható

azonosító

média idıpontja

végzı

aláírása


273

Informatikai Biztonság Irányítási Követelmények informatikai vezetı egyéb észrevételei a visszavonási folyamattal kapcsolatban

………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… …………………………………………………………………………………………………

Dátum: ………………….……………

………………………………………… Informatikai vezetı

274



5. MELLÉKLET: TITOKTARTÁSI NYILATKOZAT

TITOKTARTÁSI NYILATKOZAT

Alulírott ……………................ (................................... alatti lakos, sz.ig.sz.: ............), mint a SZERVEZETTEL üzleti kapcsolatban (szerzıdéses jogviszonyban) álló partner kijelentem, hogy a SZERVEZET titokvédelmérıl szóló szabályzatát ismerem, az abban foglalt, a SZERVEZET üzleti információvédelmi követelményeit magamra nézve kötelezı jelleggel elfogadom, azt betartom. A szerzıdéses jogviszonyom során tudomásomra jutott információkat és adatokat üzleti titokként kezelem. Kijelentem továbbá, hogy tisztában vagyok az üzleti titok megsértésének büntetıjogi következményeivel*, a tudomásomra jutott titkokat az érdekkörön kívüli személlyel nem közlöm, a titkok megırzéséért teljes büntetıjogi felelısséggel tartozom. Ezen felelısségem fennáll azt követıen is, ha szerzıdéses jogviszonyom bármely okból megszőnik. Kötelezettséget vállalok arra, hogy szerzıdéses jogviszonyom ideje alatt, továbbá annak megszőnése után a SZERVEZET üzleti titkait, továbbá a munkavégzés során tudomásomra jutott információt, adatot, dokumentumot nem közlöm harmadik féllel, nem hozom nyilvánosságra, nem reprodukálom, kivéve, ha a közléshez a SZERVEZET, illetve az adat tulajdonosa elızetesen írásban hozzájárult. Titoksértés esetén vállalom a büntetıjogi és polgári jogi felelısséget.

Dátum:…………………………….. .............................................. nyilatkozattevı * 1978. évi IV. törvény (BTK) 300§ Üzleti titok megsértése: 300. § (1) Aki üzleti titkot haszonszerzés végett, vagy másnak vagyoni hátrányt okozva jogosulatlanul megszerez, felhasznál vagy nyilvánosságra hoz, bőntettet követ el, és három évig terjedı szabadságvesztéssel büntetendı. (2) Az (1) bekezdés alkalmazásában üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történı megszerzése vagy felhasználása a jogosult jogszerő pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette.


275

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Recommend Documents