ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Útmutató akkreditorok számára

A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az „Elektronikus közigazgatási keretrendszer” tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett:

EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx

2


Metaadat-táblázat Megnevezés Cím (dc:Title) Kulcsszó (dc:Subject) Leírás (dc:Description)

Leírás Útmutató akkreditorok számára IT biztonság; értékelés; útmutató Az elkészült e-közigazgatási szolgáltató rendszerek használatba vételét, illetve a központi rendszerhez csatlakoztatását jogszabályban meghatározott eljárásrend szerint engedélyezik. Ezt az engedélyezési folyamatot a nemzetközileg elfogadott szóhasználatnak megfelelıen biztonsági akkreditálásnak nevezzük.

Típus (dc:Type) Forrás (dc:Source) Kapcsolat (dc:Relation) Terület (dc:Coverage) Létrehozó (dc:Creator) Kiadó (dc:Publisher) Résztvevı (dc:Contributor) Jogok (dc:Rights) Dátum (dc:Date) Formátum (dc:Format) Azonosító (dc:Identifier) Nyelv (dc:Language) Verzió (dc:Version) Státusz (State) Fájlnév (FileName) Méret (Size) Ár (Price) Felhasználási jogok (UserRights)

Jelen dokumentum elsısorban a szolgáltató rendszerek használatba vételét, központi rendszerhez csatlakoztatását engedélyezı vezetınek, az akkreditornak ad útmutatást,egyúttal meghatározza a biztonsági akkreditálásban érintett egyéb szereplık feladatait is. Szöveg, ábra, táblázat e-Közigazgatási Keretrendszer egyéb dokumentumai KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek e-Közigazgatási Keretrendszer Kialakítása projekt Miniszterelnöki Hivatal Hunguard Kft. e-Közigazgatási Keretrendszer 2008.09.19. .doc Magyar V1 Végleges EKK_ekozig_utmutato_akkreditoroknak_080919_V1.doc

Korlátlan


3


A dokumentum neve A dokumentum készítıjének neve A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám Összes oldalszám A projekt azonosítója

Verzió V0.1 V1

Dátum 2008.08.21. 2008.09.19.

Verziókövetési táblázat Útmutató akkreditorok számára Hunguard Kft 2008.09.19. V1

45 E-közigazgatási keretrendszer kialakítása

Változáskezelés A változás leírása Elsı tartalomjegyzék MeH-nek átadott verzió


4


Szövegsablon Megnevezés 1. Elıszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyőjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14. Mellékletek (Appendix)

Leírás 1. fejezet 2. fejezet

nincs 9. fejezet szövegben nincs 5. fejezet V1 nincs


5


Tartalomjegyzék 1. 2.

Elıszó.............................................................................................................................................................. 7 Bevezetés ........................................................................................................................................................ 8 2.1. A dokumentum célja ............................................................................................................................ 8 2.2. A dokumentum felépítése .................................................................................................................... 8 3. Alkalmazási terület ......................................................................................................................................... 9 4. Rendelkezı hivatkozások................................................................................................................................ 9 5. Fogalom-meghatározások ............................................................................................................................. 12 6. A biztonság akkreditálása ............................................................................................................................. 13 6.1. A biztonsági akkreditálás alapjai ....................................................................................................... 13 6.1.1. A biztonsági akkreditálás .............................................................................................................. 13 6.1.2. A biztonsági akkreditálást megalapozó eljárások.......................................................................... 14 6.1.3. A biztonsági akkreditálásban érintett szereplık és felelısségük ................................................... 18 6.1.4. A biztonsági akkreditálás lehetséges eredményei ......................................................................... 19 6.1.5. A biztonsági akkreditálási folyamatot megalapozó dokumentumok............................................. 21 6.1.6. A folyamatos monitorozás ............................................................................................................ 23 6.2. A biztonsági akkreditálás folyamata .................................................................................................. 24 6.2.1. A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei .............................................. 24 6.2.2. Az elıkészületi szakasz ................................................................................................................. 25 6.2.3. Az auditálási és értékelési szakasz ................................................................................................ 30 6.2.4. Az akkreditálási szakasz................................................................................................................ 36 6.2.5. A folyamatos monitorozási szakasz .............................................................................................. 39 7. Melléklet: A biztonsági akkreditálás feladatainak áttekintése ...................................................................... 44 8. Bibliográfia ................................................................................................................................................... 45 9. Rövidítésgyőjtemény .................................................................................................................................... 45 10. Fogalomtár.............................................................................................................................................. 45 11. Ábrák ...................................................................................................................................................... 45 12. Képek...................................................................................................................................................... 45 13. Táblázatok .............................................................................................................................................. 46 14. Verziószám ............................................................................................................................................. 46


6


1. Elıszó Jelen dokumentum az e-Közigazgatási Keretrendszer részét képezi. Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. Ezt az engedélyezést, mely egy hivatalos vezetıi döntés a szolgáltató rendszer mőködtetésének (csatlakoztatásának) engedélyezésérıl, jelen anyag (a nemzetközi szóhasználatnak megfelelıen) biztonsági akkreditálásnak nevezi. Jelen dokumentum a biztonsági akkreditálás eljárásrendjét kívánja szakmailag megalapozni, áttekintve a folyamatot, részletezve az elvégzendı feladatokat és meghatározva az egyes feladatok felelıseit. A biztonsági akkreditálás eljárásrendjének biztosítania kell az informatikai biztonság megfelelı szintő megvalósulását. Az eljárásrend részét képezik az alábbiak: ― a szolgáltató rendszer biztonsági irányelvének, szabályzatának és eljárásrendjének elkészítése és jóváhagyása, ― egy elızetes auditálás és értékelés, ― a rendszer használati ideje során rendszeres és szükség szerint független értékelési és auditálási eljárások. Az auditálás és értékelés az elektronikus szolgáltatások megfelelıség vizsgálatának egymást kiegészítı két szempontját képviselik. Az auditálás a szolgáltató szervezetre irányul, s a dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések megfelelıségét igazolja. Az értékelés a szolgáltató informatikai rendszerre irányul, s a szoftver és hardver termékekbıl kialakított komplex informatikai rendszer adott technológiai értékelési szabványok (pl. Common Criteria, CEM, MIBÉTS) szerinti megfelelıségét igazolja. A központi rendszer biztonsági szempontjainak érvényesítéséért az informatikai biztonsági felügyelı visel felelısséget, így az informatikai biztonsági kérdésekben az akkreditor (az engedélyezı) a 84/2007. (IV. 25.) kormányrendeletben nevesített informatikai biztonsági felügyelı. A jelen dokumentumban meghatározott feladatok meghatározása a biztonsági akkreditálásban érintett összes szereplı (a szolgáltató szervezet informatikai biztonsági felelıse, közigazgatási informatikai biztonsági felügyelı, az auditálás vezetıje, az értékelés vezetıje) munkáját kívánja segíteni, így nemcsak az akkreditornak szól.


7


2. Bevezetés 2.1.

A dokumentum célja

Az [1] kormány rendelet meghatározza az informatikai biztonsági felügyelı feladatait a rendeletben meghatározott biztonsági követelmények érvényesítése érdekében. A [2] törvény-tervezet szerint a (közigazgatási) informatikai biztonsági felügyelı engedélyezi a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatások mőködtetését. Jelen dokumentum célja ennek az engedélyezı (akkreditori) feladatnak a segítése, figyelembe véve az informatikai rendszerek biztonsági akkreditálására és ennek elıkészítésére irányuló mértékadó dokumentum [3] útmutatásait is.

2.2.

A dokumentum felépítése

Az 1. fejezet elhelyezi a dokumentumot az e-Közigazgatási Keretrendszeren belül, tájékoztatást adva a célközönségrıl és a kapcsolódó dokumentumokról. A 2. fejezet bevezetı információkat tartalmaz, megadva a dokumentum célját és felépítését. A 3. fejezet meghatározza az alkalmazás lehetséges területeit. A 4. és 5. fejezet a hivatkozásokat, illetve a fogalom-meghatározásokat tartalmazza. A 6. fejezet tartalmazza a dokumentum lényegi részét, 2 alfejezetben. A 6.1 alfejezet a mőködı rendszerek biztonsági akkreditálásának a szakmai alapjait fekteti le. 6.1.1 az akkreditálást megalapozó két eljárást, a szervezet auditálását és az informatikai rendszer biztonsági értékelését tekinti át. 6.1.2 a mőködı rendszerek biztonsági akkreditálásának fogalmát tisztázza. 6.1.3 az akkreditálásban érintett szereplık (a szolgáltató szervezet informatikai biztonsági felelıse, az audit vezetıje, az értékelés vezetıje, az akkreditor) felelısségeit, kötelezettségeit tekinti át. 6.1.4 az akkreditálás lehetséges eredményeivel foglalkozik. 6.1.5 az akkreditálási folyamatot megalapozó (támogató) dokumentumokat határozza meg. 6.1.6 Az akkreditálás utáni idıszakot, a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését tárgyalja.


8


A 6.2 alfejezet az akkreditálás folyamatát tekinti át. Ezen belül 6.2.1 meghatározza az akkreditálási folyamat, szakaszait, fı tevékenységeit, bemeneteit és kimeneteit. A további alfejezetek meghatározzák és részletesen leírják az akkreditálásban érintett szereplık feladatait az akkreditálási folyamat különbözı szakaszaiban (elıkészületi szakasz: 6.2.2, auditálási és értékelési szakasz: 6.2.3, akkreditálási szakasz: 6.2.4, folyamatos monitorozási szakasz: 6.2.5). A 7. fejezet melléklete összefoglaló módon áttekinti a biztonsági akkreditálás folyamatának feladatait és ezek felelıseit. A 8. - 14. fejezetek kiegészítı információkat tartalmaznak (8. Bibliográfia, 9. Rövidítésgyőjtemény, 10. Fogalomtár, 11. Ábrák, 12. Képek, 13. Táblázatok, 14. Verziószám).

3. Alkalmazási terület A jelen dokumentumban megfogalmazottak elsısorban a közigazgatási informatikai biztonsági felügyelı munkáját kívánja segíteni, aki a szolgáltató szervezetek központi rendszerhez való csatlakozását, illetve a szolgáltatás mőködtetését engedélyezi. Ugyanakkor a jelen dokumentumban megfogalmazottak a közigazgatás más területein, valamint a magánszféra legkülönbözıbb területein is alkalmazhatók, azon felelıs vezetık (akkreditorok) munkájának támogatásához, akik egy informatikai rendszer mőködtetésének engedélyezésérıl döntenek.

4. Rendelkezı hivatkozások A jelen dokumentumban megfogalmazott irányelvek és követelmények az alábbi mértékadó dokumentumokon alapulnak: [1]: 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl [2]: Törvény-tervezet az informatikai biztonságról [3]: NIST Special Publication 800-37 - Guide for the Security Certification and Accreditation of Federal Information Systems – April 2004 [4]: KIB 25. számú ajánlása (MIBA) – 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK)


9


[6]: KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) [7]: KIB 25. számú ajánlása (MIBA) – 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) [8]: KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [10]: Termékekre vonatkozó értékelési módszertan (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [11]: Összetett termékekre vonatkozó értékelési módszertan (az Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum)

„e-Közigazgatási

[12]: Rendszerekre vonatkozó értékelési módszertan (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [14]: Útmutató az IT biztonsági szintek meghatározásához (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [15]: Minta biztonsági kategorizálás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [16]: Útmutató rendszer értékelık számára (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [17]: Útmutató rendszer integrátorok számára (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [18]: Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [20]: Konfigurációmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [21]: Változásmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum)


10


[22]: Kiadásmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [23]: Problémamenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [24]: Incidensmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) Az 1. táblázat a rendelkezı hivatkozások elérhetıségét adja meg. (még készül) 1. táblázat - A rendelkezı hivatkozások elérhetısége Cím 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl Törvény-tervezet az informatikai biztonságról NIST Special Publication 800-37 - Guide for the Security Certification and Accreditation of Federal Information Systems – April 2004 KIB 25. számú ajánlása (MIBA) – 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) KIB 25. számú ajánlása (MIBA) – 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata Termékekre vonatkozó értékelési módszertan Összetett termékekre vonatkozó értékelési módszertan Rendszerekre vonatkozó értékelési módszertan IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre Útmutató az IT biztonsági szintek meghatározásához Minta biztonsági kategorizálás Útmutató rendszer értékelık számára Útmutató rendszer integrátorok számára Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ Az értékeléssel megszerzett garancia folyamatosságának biztosítása Konfigurációmenedzsment ajánlás Változásmenedzsment ajánlás Kiadásmenedzsment ajánlás Problémamenedzsment ajánlás Incidensmenedzsment ajánlás


Külföldi elérhetıség

Magyar elérhetıség 84/2007. (IV. 25.) Kormányrendelet

NISP SP 800-37 EEK KIB 25/1-1 EEK KIB 25/1-2 EEK KIB 25/1-3 EEK KIB 25/2

EEK KIB 25/2-5 e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer

e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer

11


5. Fogalom-meghatározások Jelen dokumentum az alábbi kiegészítı fogalmakra épül, s ezeket az alábbi értelemben használja: Akkreditálás: Annak hivatalos elismerése, hogy egy szervezet, személy, alkalmas (megfelelıen felkészült) bizonyos tevékenységek (vizsgálat, kalibrálás, tanúsítás, ellenırzés, hitelesítés) meghatározott feltételek szerinti végzésére. (Ennek az általános fogalomnak a jelen dokumentumban használt megfelelıjeként lásd „biztonsági akkreditálás”, mely egy informatikai rendszer alkalmasságának elismerése.) Akkreditor: Az engedélyezı vezetı a biztonsági akkreditálás folyamatában. Audit: A dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések szabványokban (pl. ISO 27001), ajánlásokban (pl. MIBA) és a nemzetközi legjobb gyakorlatokban (best practices) leírt elvárásoknak való megfelelıségének igazolása. [2] Audit jelentés: Az a dokumentum, amely bemutatja az audit eredményeit és az auditálással kapcsolatos egyéb információkat. Auditáló szervezet: A szolgáltató szervezet informatikai biztonságának auditálását végzı, erre jogosult cég. [2] Biztonsági akkreditálás: Hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Biztonsági irányelv: Az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. [1] Biztonsági szabályzat: A biztonsági intézkedéseket, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. [1] Értékelı szervezet: A szolgáltató rendszer technológiai szempontú értékelését végzı, erre jogosult cég. [2] Értékelés: Szoftver és hardver termékekbıl kialakított komplex informatikai rendszerek, alkalmazások adott technológiai értékelési szabványok (pl. Common Criteria, CEM, vagy MIBÉTS) szerinti megfelelıségi vizsgálata. [2] Értékelési jelentés: Az a dokumentum, amely bemutatja az értékelés eredményeit és az értékeléssel kapcsolatos egyéb információkat. Informatikai biztonság: Az informatikai rendszer technikai részét (hardver) és az azon futó programokat (szoftver) érintı biztonsági szabályok összessége és alkalmazása annak


12


érdekében, hogy megóvja vagy megelızze az illetéktelen felfedés, megismerés, manipuláció, adattörlés, illetve ilyen esetekben a rendszer nyújtotta szolgáltatásokhoz történı hozzáférés lehetıségét, valamint a informatikai/távközlési hálózatokat is magába foglaló rendszerek esetében a távközlést érintı biztonsági rendszabályok alkalmazásának összessége, mely egyfelıl biztosítja az illetéktelen személyek kizárását a távközlési hálózat értéket tartalmazó információihoz történı hozzáférésének és azok feldolgozásának lehetıségébıl, másfelıl a jogosultak számára garantálja a hozzájuk eljuttatott információk hitelességét. [2] Informatikai biztonsági felelıs: A szolgáltató szervezetben a szolgáltatást mőködtetı szervezeti egységétıl függetlenül, a szolgáltató szervezet vezetıjének közvetlen irányítása alatt dolgozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. [1] Informatikai biztonsági felügyelı: A Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozó olyan személy, aki az üzemeltetı és szolgáltató szervezetekre is kiterjedı jogosultsággal, a biztonsági követelmények érvényesítése érdekében széles hatáskörrel és felelısséggel rendelkezik (lásd [1] 4. §). Központi rendszer (központi elektronikus szolgáltató rendszer): Olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenı, ezeken keresztül elérhetı elektronikus szolgáltatásokat. [1] Rendszer biztonsági elıirányzat: Biztonsági követelmények és elıírások olyan összessége, amelyet egy szolgáltató rendszer értékelésénél az értékelés alapjaként használnak. Szolgáltató szervezet: A központi rendszeren keresztül elektronikus szolgáltatást nyújtó közigazgatási szerv.[1] Szolgáltató rendszer: A szolgáltató szervezet elektronikus szolgáltatást nyújtó informatikai rendszere.[1] Üzemeltetı szervezet: A központi kendszert üzemeltetı szervezet. [1]

6. A biztonság akkreditálása 6.1.

A biztonsági akkreditálás alapjai

6.1.1. A biztonsági akkreditálás A biztonsági akkreditálás egy hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Az engedélyezés azoknak a maradvány kockázatoknak a közvetlen elfogadását is jelenti, melyek az informatikai rendszer mögött (üzemeltetıként vagy tulajdonosként) álló szervezet


13


mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatosak, s melyek az elızetesen elfogadott biztonsági intézkedések megvalósítása ellenére maradtak a rendszerben. Ezért az engedélyezı vezetınek (akkreditornak) fel kell tudni mérnie a maradvány kockázatokat, s különbözı tényezık figyelembe vételével döntést kell hoznia ezek elfogadásáról, feltételes elfogadásáról vagy visszautasításáról. A [2] törvény-tervezet egyre szigorodó elvárásokat fogalmaz meg az alábbiakra: ― a Magyar Köztársaság területén bejegyzett, elektronikus szolgáltatást nyújtó szolgáltatók, ― az elektronikus szolgáltatást nyújtó közigazgatási szervek, ― a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatók. A biztonsági akkreditálás általános fogalmát a továbbiakban szőkebben értelmezzük, a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatókra (a [2] törvény-tervezetben) megfogalmazott elvárásokból kiindulva. Az akkreditor a továbbiakban a fenti értelmezésnek megfelelıen a (közigazgatási) informatikai biztonsági felügyelı. 6.1.2. A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálás közvetlen támogatásaként két különbözı eljárás biztosít fontos információkat az akkreditornak. A két eljárás elkülönítésének indoka, hogy az akkreditálás támogatása érdekében elvégzendı feladatok két nagy csoportra oszthatók jellegük, megközelítés módjuk, illetve a megvalósításukban érintett személyek szempontjából: ― Auditálási eljárás: szervezeti/irányítási szemléletet és szaktudást igénylı feladatok végrehajtása (biztonsági követelmények meghatározása, biztonságpolitika, biztonsági stratégia és biztonsági szabályozások kialakítása, a szervezeti, személyi, fizikai és környezeti biztonság megteremtése, biztonságos fejlesztés, üzemeltetés és karbantartás, a jogszabályoknak és a biztonsági szabályzatoknak való megfelelés biztosítása) – az ezen szakterületekre elfogadott módszertanokra alapozva. ― Értékelési eljárás: technológiai szemléletet és szaktudást igénylı feladatok végrehajtása (informatikai termékek fejlesztése, informatikai rendszer kialakítása, a biztonsági szempontok folyamatos fenntartása, a termékek és összetett termékek technológiai szempontú értékelése és tanúsítása, informatikai rendszerek értékelése, a követelményeknek való megfelelés idıszakos felülvizsgálata és értékelése) – az ezen szakterületekre elfogadott módszertanokra alapozva. Mindkét eljárás az érintett szervezet által a vizsgált informatikai rendszerre vonatkozóan megvalósított biztonsági intézkedések felmérését végzi, de egy tudatos munkamegosztás keretében. Az informatikai biztonság védelmi intézkedései az alábbi három kategóriába sorolhatók: Menedzsment biztonsági intézkedések: olyan intézkedések, amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak:


14


― Kockázatfelmérés, azaz a szervezetnek idınként fel kell mérnie a szervezet mőködése során felmerülı kockázatokat és az ezek által fenyegetett értékeket. ― Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. ― Rendszer és szolgáltatás beszerzés, azaz a tervezés során elıállt terv megvalósítása, amelynek során a szervezet erıforrásokat biztosít a terv megvalósítására, majd megvalósítja azokat. ― Biztonság értékelés és auditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan mőködtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. A menedzsment biztonsági intézkedések felmérésével az auditálási eljárás foglalkozik. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsısorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: ― Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstıl. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. ― Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülı személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. ― Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerjék a jogszabályi, szabályozási és védelmi hátteret, elıírásokat. A személyzet a munkakörének megfelelı képzésben részesüljön az informatikai biztonság területén. ― Karbantartás, azaz intézkedéseket kell hozni és mőködtetni annak érdekében, hogy az informatikai rendszerek idıszakos és rendszeres karbantartása megvalósuljon és figyelembe vegye a biztonsági követelményeket. ― Konfiguráció kezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenırizni, nyomon követni kell ezek változását. ― Üzletmenet-folytonosság tervezése, azaz a szervezetnek terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési mőveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erıforrások rendelkezésre álljanak, valamint rendkívüli helyzetekben is megvalósuljon a folyamatos mőködés. ― Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók, illetve az azokon tárolt és szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Az üzemeltetési biztonsági intézkedések felmérésével mindkét eljárás foglalkozik, az auditálási eljárás elsısorban az elsı négy, míg a technológiai szemlélető értékelési eljárás fıleg az utolsó három témakörrel.


15


Mőszaki biztonsági intézkedések: olyan intézkedések, melyeket elsısorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevıiben megvalósuló mechanizmusok segítségével. Ide tartoznak: ― Azonosítás és hitelesítés, azaz azonosítani kell az informatikai rendszer felhasználóit, valamint hitelesíteni kell azonosságukat, mielıtt hozzáférést engedélyeznének számukra. ― Hozzáférés ellenırzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. ― Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeirıl megfelelı naplózás szülessen, és a naplóbejegyzések a szükséges ideig megırzésre kerüljenek. Biztosítani kell, hogy az egyes felhasználói tevékenységek nyomon követhetıek legyenek a felhasználói felelısség utólagos megállapíthatósága érdekében. ― Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen, illetve figyelemmel kell kísérnie a rendszer biztonsági riasztásait. ― Rendszer és kommunikáció védelem, azaz monitorozni, ellenırizni és védeni kell a szervezetbıl kilépı és az oda belépı információkat. ― Reagálás a biztonsági eseményekre, azaz a szervezetnek úgy kell kialakítania rendszerét, hogy lehetıvé tegye a biztonsági események észlelését, elemzését, valamint az ezekre történı reagálást. A mőszaki biztonsági intézkedések felmérésével az értékelési eljárás foglalkozik. Mindkét eljárás során a biztonsági intézkedések megvalósításának helyességét, tervezettnek megfelelı mőködését, valamint a kívánt eredmények biztosítását ellenırzik. 6.1.2.1.

Auditálási eljárás (a szolgáltató szervezet auditálása)

Az auditálási eljárás az informatikai rendszert üzemeltetı szervezet folyamatait, biztonságot menedzselı szervezeti struktúráját, hozzáértı humán erıforrásait, szabályozási rendszerszerét, valamint a szabályok betartását vizsgálja. Az auditálás módszertanát a következı mértékadó dokumentumok határozzák meg: ― KIB 25. számú ajánlása (MIBA): 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK), amely a 27002:2005 nemzetközi szabványét szerkezetét pontosan követve átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekrıl, ― KIB 25. számú ajánlása (MIBA): 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV), amely az ISO/IEC 27001:2005 szabványnak való megfelelést bizonyító audit elvégzésének módszertanát fejti ki, ― Elektronikus Közigazgatási Keretrendszer - A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata, mely az auditálást különbözı olyan dokumentum mintákkal segíti, melyek a szolgáltatás kialakítási projekt elıkészítésére és megvalósítására, illetve az elıállított rendszerek üzemeltetésére és a nyújtott szolgáltatások irányítására vonatkozik. Az auditálási eljárás bemeneti dokumentumai az alábbiak:


16


― A szolgáltató szervezet jóváhagyott biztonsági irányelve (sokszor ezt biztonságpolitika elnevezéssel említik), ― A szolgáltató szervezet jóváhagyott biztonsági szabályzata, ― A szolgáltató szervezet jóváhagyott végrehajtási eljárásrendjei, ― Az auditálás módszertana által megkövetelt egyéb bizonyítékok. Az auditálási eljárás eredménye egy audit jelentés, melynek szerkezetét és elvárt tartalmát a módszertan meghatározza ([6] 260. oldal). 6.1.2.2.

Értékelési eljárás (a szolgáltató rendszer biztonsági értékelése)

Az értékelési eljárás a szoftver és hardver termékek, valamint az ezekbıl integrált bonyolult informatikai rendszerek biztonsági megfelelıségét vizsgálja. A szolgáltató rendszer biztonsági értékelésének módszertanát a következı mértékadó dokumentumok határozzák meg: ― KIB 25. számú ajánlása (MIBA): 25/2-5: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) - Értékelési módszertan, mely az MSZ ISO/IEC 15408:2003 (CC v2.3) és az ISO/IEC 18045:2005 (CEM v2.3) szabványokon alapuló termék értékelési módszertant határozza meg, ― Elektronikus Közigazgatási Keretrendszer - Termékekre vonatkozó értékelési módszertan, mely az értékelési módszertan továbbfejlesztését tartalmazza, a jelenleg érvényes CC v3.1 és CEM v3.1 verziókkal teljes összhangban, ― Elektronikus Közigazgatási Keretrendszer - Rendszerekre vonatkozó értékelési módszertan, mely a termék értékelés módszertanát általánosítja bonyolult és mőködı (szolgáltató) informatikai rendszerek esetére. Az értékelési eljárás legfontosabb bemenete a jóváhagyott biztonsági irányelv és az ebbıl készített rendszer biztonsági elıirányzat. A biztonsági irányelv meghatározza az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat. A rendszer biztonsági elıirányzat a biztonsági követelmények és elıírások olyan összessége, amelyet egy értékelt rendszerre az értékelés alapjaként használnak. A rendszer értékelési módszertan számos egyéb dokumentumot (értékelési bizonyítékot) vár el az értékelési eljárás bemeneteként, melyek elkészítésének felelıssége az értékelés megbízójáé (tipikusan a szolgáltató szervezet vezetıje vagy informatika biztonsági felelıse), elkészítésükhöz ugyanakkor valószínőleg be kell vonni az informatikai rendszer integrátorát is. Az értékelési eljárás eredménye egy rendszer értékelési jelentés, melynek szerkezetét és elvárt tartalmát a módszertan részletesen meghatározza ([12] 7.2 mellékletében).


17


6.1.3. A biztonsági akkreditálásban érintett szereplık és felelısségük A biztonsági akkreditálási folyamatban az alábbi szereplık érintettek: ― szolgáltató szervezet informatikai biztonsági felelıse, ― az audit vezetıje, ― az értékelés vezetıje, ― az akkreditor (az informatikai biztonsági felügyelı) 6.1.3.1.

A szolgáltató szervezet informatikai biztonsági felelısének felelıssége

A szolgáltató szervezet informatikai biztonsági felelıse a szolgáltatást mőködtetı szervezeti egységétıl független, a szolgáltató szervezet vezetıjének közvetlen irányítása alá tartozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az elıkészületi feladatok végrehajtása, melyek a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének kidolgozására, valamint az ezek (akkreditor általi) jóváhagyásához esetleg szükséges módosításokra vonatkoznak (lásd 6.2.2). ― Az auditálási és értékelési eljárások elıkészítése, az ezekhez szükséges dokumentációk és egyéb bizonyítékok biztosításával (lásd 6.2.3). ― Az akkreditálás elıkészítése, az audit és értékelés eredményein alapuló intézkedési terv elkészítésével, valamint az akkreditálás formális kérelmezésével (lásd 6.2.3). ― A folyamatos monitorozás feladatainak végrehajtása, melynek keretében felülvizsgálja a szolgáltató szervezet biztonsági irányelvét, biztonsági szabályzatát és eljárásrendjét, rendszeres idıközönként (évente), vagy soron kívül, jelentıs szervezeti vagy mőszaki változások, illetve biztonsági esemény esetén (lásd 6.2.4). 6.1.3.2.

Az audit vezetıjének felelıssége

Auditálási eljárásra csak olyan auditáló szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az audit eljárást az auditáló szervezet vezetıje által megbízott audit vezetı irányítja. Az audit vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az elıkészületi feladatok támogatása, az auditáláshoz szükséges erıforrások meghatározásáva, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). ― Az auditálási eljárás végrehajtása (lásd 6.2.3).


18


6.1.3.3.

Az értékelés vezetıjének felelıssége

Értékelési eljárásra csak olyan értékelı szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az értékelési eljárást az értékelı szervezet vezetıje által megbízott értékelés vezetı irányítja. Az értékelés vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az elıkészületi feladatok támogatása, az értékeléshez szükséges erıforrások meghatározásával, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). ― Az értékelési eljárás végrehajtása (lásd 6.2.3). 6.1.3.4.

Az akkreditor felelıssége

Az informatikai biztonsági felügyelı a Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozik. Tevékenysége kiterjed a szolgáltató szervezetekre is. Az [1] kormányrendeletben meghatározott biztonsági követelmények érvényesítése érdekében: ― folyamatosan figyelemmel kíséri az üzemeltetı és szolgáltató szervezetekkel kötött megállapodásokat; ― állást foglal a központi rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról; ― határidı tőzésével felhívja az érintett szervezetek vezetıit az eltérések felszámolására, ellenırzi a követelmények megvalósítását; ― jóváhagyja az üzemeltetı és szolgáltató szervezetek központi rendszerre vonatkozó biztonsági irányelveit, szabályzatait és eljárásrendjeit; ― ellenırzi a biztonságirányítási rendszer mőködtetésének megvalósítását; ― biztonsági kockázat, illetve a biztonsági irányelv, szabályzat vagy eljárásrend jóváhagyásának megtagadása esetén kezdeményezheti a szolgáltatás felfüggesztését a kockázat elhárításáig. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az elıkészületi feladatok támogatása, a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének felülvizsgálatával és elfogadásával (lásd 6.2.2). ― Az akkreditálás végrehajtása, az akkreditálási döntés meghozatala és indoklása (lásd 6.2.3). ― A biztonságra vonatkozó tájékoztató jelentések figyelemmel kísérése, szükség esetén kockázat elhárításra vonatkozó döntés meghozatala (lásd 6.2.4). 6.1.4. A biztonsági akkreditálás lehetséges eredményei Az akkreditor az alábbi három lehetséges döntést hozhatja az auditálási és értékelési eljárások eredményein alapuló vizsgálatával: ― a mőködtetés (csatlakozás, vagy további mőködtetés) engedélyezése, ― a mőködtetés átmeneti (feltételes) engedélyezése,


19


― a mőködtetés engedélyezésének visszautasítása. Az auditálási és értékelési eredmények vizsgálata a következıket foglalja magában: ― a szervezetre irányuló audit jelentés összefoglaló eredménye, valamint az ebben kifejtett, auditálás során feltárt nemmegfelelıségek. ― az informatikai rendszerre irányuló rendszer értékelési jelentés összefoglaló eredménye, valamint az értékelés során feltárt maradvány sebezhetıségek, ― a két jelentés egymást kiegészítı, egymásnak ellent nem mondó jellegének vizsgálata, ― a két jelentés eredményeit figyelembe vevı intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányulnak. 6.1.4.1.

A csatlakozás vagy a további mőködés engedélyezése

Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók, akkor engedélyezi a csatlakozást, vagy a további mőködést. Az ilyen (feltétel nélküli) engedélyezés is tartalmazhat a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányuló javaslatokat. Ezeket a javaslatokat a szolgáltató szervezet informatikai biztonsági felelısének ajánlott figyelembe vennie, amikor a biztonsági intézkedések hatékonyságának folyamatos monitorozását végzi. A (feltétel nélküli) engedélyezés érvényessége a következı újra akkreditálás idejéig (tipikusan 1 évre) szól, kivéve azt az esetet, amikor a biztonságot is érintı jelentıs szervezeti vagy mőszaki változtatásokra kerül sor. 6.1.4.2.

A csatlakozás vagy a további mőködés ideiglenes (feltételes) engedélyezése

Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok nem teljesen elfogadhatók ugyan, de jelentıs érdekek főzıdnek a szolgáltatás beindításához, vagy további mőködéséhez, akkor feltételesen engedélyezheti a csatlakozást, vagy a további mőködést. A feltételes engedélyezés akkor alkalmazható, ha az auditálási vagy az értékelési eljárás olyan kisebb hiányosságokat, sebezhetıségeket tár fel, melyek rövid idın belül kezelhetınek látszanak, s az intézkedési tervben is látszik a megoldás szándéka, iránya és idızítése. A feltételes engedélyezés esetén az akkreditor a szolgáltató szervezetet határidı kitőzésével a hiányosság megszüntetésére szólítja fel, a központi rendszerre csatlakozást, illetve a mőködés folytatásának engedélyezését feltételesen, egy átmeneti idıszakra adja meg. A feltételes engedélyezéssel az akkreditor korlátozhatja a szolgáltató rendszer tényleges mőködését is.


20


Az ideiglenes (feltételes) engedélyezés érvényessége nem tarthat tovább három hónapnál, de indokolt esetben egyszer meghosszabbítható, legfeljebb további három hónapra. Amennyiben az ideiglenes (feltételes) engedélyezés érvényessége úgy jár le, hogy a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére nem került sor, akkor a szolgáltatás mőködtetését le kell állítani további engedélyezéséig (amit soron kívüli audit és/vagy értékelési eljárás elız meg). Amennyiben az ideiglenes engedélyezés érvényességi idıszakán belül a hiányosságokat korrigálják, a sebezhetıségeket megfelelı mértékben csökkentik vagy kiküszöbölik, akkor a szolgáltatás mőködtetése teljes körően engedélyezhetı. Ilyen esetben a következı újra akkreditálás idıpontja a teljes körő engedélyezéstıl számolandó. A szolgáltató szervezet informatikai biztonsági felelıse által készített intézkedési terv felhasználásával az akkreditor nyomon követheti a hiányosságok korrigálásának, a sebezhetıségek csökkentésének vagy kiküszöbölésének folyamatát. Az ideiglenes engedélyezés folyamán bekövetkezı jelentısebb biztonsági állapot változásokat az informatikai biztonsági felelısnek haladéktalanul jelentenie kell az informatikai biztonsági felügyelınek. 6.1.4.3.

A csatlakozás (további mőködés) engedélyezésének visszautasítása

Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatok elfogadhatatlanok, akkor nem engedélyezi a csatlakozást, vagy a további mőködést. Az engedélyezés visszautasítása a csatlakoztatás elhalasztását, vagy a már szolgáltató rendszer mőködésének haladéktalan felfüggesztését jelenti. Az engedélyezés visszautasítása általában azt mutatja hogy nagyobb hiányosságok vannak a biztonsági intézkedésekben. Ilyen esetben az akkreditornak, vagy megbízottjának támogatást kell nyújtania az intézkedési terv szükséges módosításához. 6.1.5. A biztonsági akkreditálási folyamatot megalapozó dokumentumok A biztonsági akkreditálás folyamatát az alábbi dokumentumok alapozzák meg: ― a szolgáltató szervezet jóváhagyott biztonsági irányelve, ― a szolgáltató szervezet jóváhagyott biztonsági szabályzata, ― audit jelentés, ― rendszer értékelési jelentés, ― intézkedési terv.


21


6.1.5.1.

Jóváhagyott biztonsági irányelv

A biztonsági irányelv a szolgáltató szervezet informatikai infrastruktúrájának teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia. 6.1.5.2.

Jóváhagyott biztonsági szabályzat

A biztonsági szabályzat a szolgáltató szervezet biztonsági intézkedései, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia. 6.1.5.3.

Audit jelentés

Az audit jelentés tartalmazza az auditálási eljárás során elvégzett szervezeti szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. 1.1. 1.2. 1.3. 1.4. 1.5. 2. 2.1. 2.2 2.3 3. 3.1 3.2. 4. 4.1. 4.2. 4.3. 5. 5.1. 5.2. 5.3. 5.4. 5.5. 6.

BEVEZETÉS A vizsgálat célja Módszertan, tartalom, a vizsgálat határai A vizsgálat ütemezése A vizsgálat körülményei Résztvevık (vizsgált szervezeti egységek) A VÉDELMI IGÉNYEK FELTÁRÁSA A társaság bemutatása az informatikai rendszerekben kezelt fıbb adatkörök a védelmi igények FENYEGETETTSÉG-ELEMZÉS a fenyegetett rendszerelemek feltárása A fenyegetı tényezık meghatározása KOCKÁZATELEMZÉS A kárértékek átvitele a rendszerelemekre A fenyegetések okozta károk gyakoriságának meghatározása A fennálló kockázatok értékelése KOCKÁZAT-KEZELÉS A nem elviselhetı kockázatok Az informatikai biztonsági intézkedések kidolgozásának szempontjai Biztonsági intézkedések a kockázatok értékelése alapján A társaság egészét érintı, globális intézkedési javaslatok Akcióterv és költségbecslés a javasolt intézkedésekre ÖSSZEFOGLALÓ


22


6.1.5.4.

Rendszer értékelési jelentés

A rendszer értékelési jelentés tartalmazza az értékelési eljárás során elvégzett technológiai szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. 1.1 1.2 1.3 2. 2.1 2.2 2.3 3. 4. 4.1 4.2 4.3 4.4 4.5 4.6 5. 5.1 5.2 5.3 6. 7. 8.

BEVEZETÉS Azonosító adatok Az értékelés mérföldkövei Az értékelı adatai A RENDSZER SZERKEZETI LEÍRÁSA A szolgáltató rendszer fizikai hatóköre és határai A szolgáltató rendszer logikai hatóköre és határai A szolgáltató rendszer legfontosabb tulajdonságai AZ ÉRTÉKELÉS JELLEMZÉSE AZ ÉRTÉKELÉS EREDMÉNYEI A rendszer biztonsági elıirányzat értékelése A rendszer fejlesztés értékelése A rendszer útmutató dokumentumok értékelése A rendszer konfiguráció kezelés értékelése A rendszer tesztelés értékelése A rendszer sebezhetıség felmérés értékelése KÖVETKEZTETÉSEK ÉS JAVASLATOK Az értékelés összefoglaló eredménye Feltételek Javaslatok AZ ÉRTÉKELÉSI BIZONYÍTÉKOK LISTÁJA RÖVIDÍTÉSEK ÉS SZAKKIFEJEZÉSEK ÉSZREVÉTELEZÉSI JELENTÉSEK

6.1.5.5.

Intézkedési terv

Az intézkedési tervnek mindkét fenti jelentés eredményeit figyelembe véve az auditálás során feltárt hiányosságok korrigálására, illetve az értékelés során feltárt maradvány sebezhetıségek csökkentésére vagy kiküszöbölésére kell irányulnia. Konkrét biztonsági intézkedéseket kell felvázolnia, határidıkkel és felelısökkel. Elkészítését az informatikai biztonsági felelısnek kell biztosítania. 6.1.6. A folyamatos monitorozás A biztonsági akkreditálás folyamatának kritikus szakasza az akkreditálás utáni idıszak, mely a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését igényli. Egy hatékony folyamatos monitorozáshoz az alábbiakra van szükség: ― konfiguráció kezelési eljárások, ― a biztonsági intézkedések folyamatos monitorozása, ― a monitorozás eredményeinek dokumentálása és jelentése.


23


6.1.6.1.

Konfiguráció kezelési eljárások

Az informatikai rendszerek tipikusan folyamatosan változnak, a hardver, szoftver és förmver elemek cserélıdnek, és a mőködtetı környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelı és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. Ennek alapján a szolgáltató szervezet naprakész információival rendelkezhet a szolgáltatás nyújtásához szükséges informatikai infrastruktúráról, valamint a rendszer elemeinek logikai kapcsolatairól. 6.1.6.2.

A biztonsági intézkedések folyamatos monitorozása

A gyakorlatban megvalósíthatatlan vagy nagyon nem költség-hatékony az informatikai rendszerek összes biztonsági intézkedésének folyamatos nyomon követése. Ezért az informatika biztonsági felelısnek ki kell választania a legfontosabbnak ítélt biztonsági intézkedéseket, s meg kel határoznia ezek ellenırzési módját és gyakoriságát. 6.1.6.3.

A monitorozás eredményeinek dokumentálása és jelentése

A kiválasztott biztonsági intézkedések folyamatos monitorozásának eredményeit dokumentálni kell, illetve a szervezet vezetıjét rendszeres idınként jelentésben kell tájékoztatni ezekrıl.

6.2.

A biztonsági akkreditálás folyamata

6.2.1. A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei Az 1. ábra áttekinti a biztonsági akkreditálás folyamatát és fı tevékenységeit.


24


Elıkészületi szakasz

• Elıkészítés • Értesítés és a szükséges erıforrások meghatározása • A biztonsági irányelv és a biztonsági szabályzat vizsgálata, elfogadása

• A szervezet auditálása • Audit jelentés Auditálási és értékelési szakasz

• Az informatikai rendszer értékelése • Rendszer értékelési jelentés • Intézkedési terv

Akkreditálási szakasz

Folyamatos monitorozási szakasz

• Döntés a biztonsági akkreditálásról • A döntés indoklása

• Konfiguráció kezelés • A biztonsági intézkedések folyamatos monitorozása • A biztonsági állapot jelentése és dokumentálása

1. ábra – A biztonsági akkreditálás folyamatának áttekintése

6.2.2. Az elıkészületi szakasz Ez a szakasz az alábbi feladatokból áll: ― elıkészítés, ― erıforrás tervezés, ― a biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása. A 2. ábra az elıkészületi szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is.


25


Újraindítás a folyamatos monitorozási szakaszt követıen

Elıkészületi szakasz Elıkészítés

Erıforrás tervezés Biztonsági irányelv tervezet

Biztonsági irányelv és biztonsági szabályzat vizsgálata

Biztonsági szabályzat tervezet

nem

Elfogadva ?

igen

Jóváhagyott biztonsági irányelv

Jóváhagyott biztonsági szabályzat

Átlépés az auditálási és értékelési szakaszba

Átadás az auditálási és értékelési szakasz részére

2. ábra – Az elıkészületi szakasz folyamata

Az elıkészületi szakasz célja, hogy az akkreditor és a szolgáltató szervezet informatikai biztonsági felelıse egyetértenek a biztonsági irányelvek és a biztonsági szabályzat tartalmában, még mielıtt az auditálási és értékelési eljárások megkezdenék az informatikai rendszer biztonsági intézkedéseinek a vizsgálatát. Az akkreditor és a szolgáltató szervezet felelıs vezetıinek korai bevonása kulcsfontosságú tényezı a biztonsági akkreditálás sikerének. Az elıkészületi szakaszhoz szükséges információk jelentıs részét a szolgáltató szervezet már korábban megszerezte (a kezdeti kockázatbecslési folyamattal, a biztonsági irányelv és biztonsági szabályzat kidolgozásával, valamint saját esetleges belsı auditálásával). Az elıkészületi szakasz annak megerısítését szolgálja, hogy a biztonsági irányelv és a biztonsági szabályzat elkészítése befejezıdött. 6.2.2.1.

1. feladat: elıkészítés

Az elıkészítés feladat célja, hogy felkészítsen a további feladatokra azáltal, hogy áttekinti a biztonsági irányelvet és a biztonsági szabályzatot, és megerısíti, hogy ezek összhangban vannak a kezdeti kockázatbecslési folyamat eredményeivel. 1.1 feladat Elvégendı feladat:

Az informatikai rendszer leírása Annak megerısítése, hogy a szolgáltató informatikai rendszert megfelelı módon leírták a biztonsági irányelvben, a biztonsági szabályzatban, illetve az ezekbıl


26


Felelıs: Útmutatás:

Hivatkozások: 1.2 feladat Elvégendı feladat:


készített rendszer biztonsági elıirányzatban. A szolgáltató szervezet informatikai biztonsági felelıse A fent megnevezett három dokumentumban az informatikai rendszerre meg kell adni az alábbiakat: - a rendszer neve és egyedi azonosítója, - az informatikai rendszerért felelıs szervezet neve és címe, - az informatikai rendszer biztonságáért felelıs személy kapcsolat tartáshoz szükséges információi, - az informatikai rendszer által feldolgozott, tárolt és továbbított információ típusa, - az informatikai rendszer fı biztonsági tulajdonságai, - az informatikai rendszer fizikai hatóköre és határai, - az informatikai rendszer logikai hatóköre és határai, - az informatikai rendszerre vonatkozó funkcionális követelmények, - az informatikai rendszer és a benne feldolgozott, tárolt és továbbított információk - biztonságára vonatkozó jogszabályban, szabályzatban vagy szabványban megfogalmazott elıírások, - külsı mőködı rendszerekhez való kapcsolódásuk (külsı interfészek), - belsı hardver, szoftver és rendszer interfészek, - információ áramlás (bemenetek és kimenetek), - az informatikai rendszert mőködtetı fizikai környezet. [12]: Rendszerekre vonatkozó értékelési módszertan Biztonsági kategorizálás Annak megerısítése, hogy a biztonsági irányelv és az ennek alapján készített rendszer biztonsági elıirányzat meghatározza a szolgáltató informatikai rendszer biztonsági osztályát. A szolgáltató szervezet informatikai biztonsági felelıse [13] és [14] három lehetséges biztonsági kihatás szintet (alacsony, fokozott, kiemelt) határozott meg az informatikai rendszerekre jellemzı biztonsági célokra (bizalmasság, sértetlenség, rendelkezésre állás). Egy informatikai rendszer különbözı információ típusokat tartalmazhat (pl. magánadatok, üzleti titkok, munkaügyi információk, orvosi információk, munkavállalók biztonsága információ típus, stb.) Egy adott informatikai rendszer minden információ típusára meg kell határozni a három biztonsági célra gyakorolt potenciális kihatás szintet. Egy informatikai rendszer biztonsági kategóriáját a legmagasabb kihatás szint határozza meg (az összes érintett információ típust, s mindhárom biztonsági célt figyelembe véve) [13] mindhárom biztonsági osztályhoz konkrét mőszaki biztonsági intézkedéseket (mint megvalósítandó minimális követelmények) rendelt, egyúttal megadta e követelmény-rendszerek testre szabási módszerét is.

Hivatkozások:

1.3 feladat Elvégendı feladat:

[15] a közigazgatásban használt információ típusok osztályozásával és példák bemutatásával nyújt segítséget az informatikai rendszerek biztonsági osztályba sorolásához. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához [15]: Minta biztonsági kategorizálás A fenyegetések azonosítása Annak megerısítése, hogy az informatikai rendszer hibáit vagy gyengeségeit kihasználni képes potenciális fenyegetéseket azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági elıirányzat.


27



A szolgáltató szervezet informatikai biztonsági felelıse A kezdeti kockázatbecslési folyamathoz jó útmutatást biztosít [5], melynek 4. fejezete a kockázatok meghatározásával, elemzésével és kezelésével foglakozik. Abban az esetben viszont, ha az informatikai rendszer biztonsági kategorizálását [13] alapján végezték, s az ebben levezetett 3 biztonsági osztály (alacsony, fokozott és kiemelt kihatású biztonsági osztály) valamelyikének követelmény-rendszerét változtatás nélkül átvették, akkor a fenyegetések külön azonosítására nincs szükség (hiszen a 3 biztonsági osztály követelmény-rendszerének meghatározásakor ezt már helyette elvégezték). [5]: Informatikai Biztonság Irányítási Követelmények (IBIK)

Hivatkozások:



A sebezhetıségek azonosítása Annak megerısítése, hogy az informatikai rendszer kihasználható hibáit vagy gyengeségeit azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági elıirányzat. A szolgáltató szervezet informatikai biztonsági felelıse Az informatikai rendszer kihasználható hibáinak vagy gyengeségeinek azonosítása a rendszer fejlesztési életciklus bármely szakaszában megvalósítható. A fejlesztés alatt álló rendszerek sebezhetıségeinek azonosítása elsısorban a szervezet biztonsági politikájára, a tervezett biztonsági eljárásokra, a rendszertıl elvárt követelményekre, valamint a felhasználásra tervezett termékek biztonsági elemzésére koncentráljon. A megvalósítás alatt álló rendszerekre a sebezhetıségek azonosítása építhet a biztonsági tervdokumentációkban leírt tervezett biztonsági tulajdonságokra és a rendszer integrátor által végzett biztonsági tesztelés eredményeire is. A mőködı (szolgáltató) rendszerekre a sebezhetıségek azonosítása a rendszer védelmére megvalósított biztonsági intézkedések vizsgálatát is magában foglalja. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára

Hivatkozások:

1.5 feladat Elvégendı feladat: Felelıs: Útmutatás:

[13] megadja az elıre rögzített három követelmény-rendszer testre szabásának módszerét is. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre

Hivatkozások:

6.2.2.2.

A biztonsági intézkedések meghatározása Annak megerısítése, hogy a rendszer biztonsági elıirányzatban azonosították az informatikai rendszer (tervezett vagy megvalósított) biztonsági intézkedéseit. A szolgáltató szervezet informatikai biztonsági felelıse A [13] által a három biztonsági osztályra (alacsony, fokozott, kiemelt) elıre meghatározott mőszaki biztonsági intézkedések jó kiindulási pontot biztosítanak.

2. feladat: értesítés és a szükséges erıforrások meghatározása

Ez a feladat a biztonsági akkreditálásban és az ezt elıkészítı auditálási és értékelési eljárásban érintettek értesítésére vonatkozik, valamint a lebonyolítás megtervezését és a szükséges erıforrások meghatározását jelenti. 2.1 feladat Elvégendı feladat:

Az érintettek értesítése Az akkreditor, az auditáló szervezet, az értékelı szervezet, és más érintettek értesítése arról, hogy az informatikai rendszer auditálást, értékelést, majd


28



akkreditálást igényel. A szolgáltató szervezet informatikai biztonsági felelıse Az elsı biztonsági akkreditálás esetén az érintettek értesítése a biztonsági akkreditálási folyamat külsı szereplıinek bevonását hivatott elıkészíteni. Ekkor az értesítés tipikusan az auditálási és/vagy értékelési eljárásra vonatkozó pályázati kiírás formáját ölti. A megismételt biztonsági akkreditálás esetén az értesítés az érintettek korai figyelmeztetését jelenti, hogy hamarosan aktuális lesz a következı auditálás és a felülvizsgálati rendszer értékelés, majd ezt követıen az újra akkreditálás.

Hivatkozások:

---


Az akkreditáláshoz szükséges erıforrások meghatározása A biztonsági akkreditáláshoz, illetve elsısorban az azt elıkészítı auditálási és értékelési eljáráshoz szükséges erıforrások meghatározása, valamint a lebonyolítás megtervezése. Akkreditor, Auditor szervezet vezetıje, értékelı szervezet vezetıje, a szolgáltató szervezet informatikai biztonsági felelıse A szükséges erıforrás számos tényezıtıl függ: - a szervezet méretétıl, - az informatikai rendszer méretétıl és bonyolultságától, - az informatikai rendszer biztonsági osztályozásától (alacsony, fokozott, kiemelt), - a rendszer értékelésre választott garanciacsomagtól (SAP-A, SAP-F, SAP-K)


Hivatkozások:

Az auditáló és értékelı szervezet kiválasztását követıen végrehajtási tervet kell készíteni, melynek legfontosabb paramétereit (auditálásra átadandó dokumentumok, értékelésre átadandó bizonyítékok, határidık) a szervezetekkel megkötendı szerzıdésbe is bele kell foglalni. ---

6.2.2.3. 3. feladat: a biztonsági irányelv és a biztonsági szabályzat vizsgálata és elfogadása Ez a feladat az auditálási és értékelési eljárást megalapozó két legfontosabb dokumentum elızetes vizsgálatát, esetleges pontosítását és elfogadását jelenti. 3.1 feladat Elvégendı feladat:


A biztonsági kategorizálás áttekintése A biztonsági irányelvben (és az ennek alapján készített rendszer biztonsági elıirányzatban) meghatározott biztonsági osztály (alacsony, fokozott vagy kiemelt) áttekintése annak meghatározása érdekében, hogy a bizalmasság, sértetlenség és rendelkezésre állás potenciális elvesztésének hatása összhangban áll-e a vizsgált szolgáltatás aktuális jelentıségével. Akkreditor, Auditor szervezet vezetıje, értékelı szervezet vezetıje A biztonsági osztályba sorolás áttekintése arra irányuljon, hogy az informatikai rendszer jelentısségét (benne a kritikusságát és érzékenységét is) tükrözi-e a szolgáltató szervezet által meghatározott biztonsági osztály.

Hivatkozások:

[2] elvárásának megfelelıen, az akkreditor ennek a feladatnak a keretében formálisan is véleményezi az informatikai rendszer biztonsági osztályba sorolását. [2]: Törvény tervezet az informatikai biztonságról [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához

3.2 feladat

A biztonsági irányelv és a biztonsági szabályzat vizsgálata


29


Elvégendı feladat:


Hivatkozások: 3.3 feladat Elvégendı feladat: Felelıs: Útmutatás:



A biztonsági irányelv és a biztonsági szabályzat vizsgálata annak megállapítása érdekében, hogy azok helyesen mérik-e fel az informatikai rendszer sebezhetıségeit és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatokat. Akkreditor, az auditor és az értékelı szervezet vezetıje A biztonsági irányelv (mely meghatározza az informatikai infrastruktúra teljes életciklusára alkalmazandó általános biztonsági elvárásokat) és a biztonsági szabályzat (mely leírja a biztonsági intézkedéseket, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét) tartalmának meg kell felelnie az [1] 1. számú mellékletében meghatározott követelményeknek. Ezek független áttekintése után az akkreditor, az auditor és az értékelı szervezet már az elıkészületi szakaszban megállapíthatja azok teljességét, vagy módosító javaslatokkal élhetnek. [1]: 84/2007. (IV. 25.) kormányrendelet A biztonsági irányelv és a biztonsági szabályzat módosítása A biztonsági irányelv és a biztonsági szabályzat módosítása a 3.2. feladat során elvégzett vizsgálat eredményeként tett javaslatok figyelembe vételével. a szolgáltató szervezet informatikai biztonsági felelıse A módosítás elıtt az informatikai biztonsági felelıs konzultálhat a szolgáltató szervezetben dolgozó más felelıs személyekkel. A módosítás elvileg az irányelv és szabályzat bármely részét érintheti. [1]: 84/2007. (IV. 25.) kormányrendelet A biztonsági irányelv és a biztonsági szabályzat elfogadása A biztonsági irányelv és a biztonsági szabályzat áttekintése abból a szempontból, hogy a bennük megfogalmazott, a szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos kockázatok elfogadhatók-e. Akkreditor Amennyiben a kockázatok elfogadhatatlanok, az akkreditor átdolgozásra visszaküldi a biztonsági irányelvet és a biztonsági szabályzatot. A biztonsági irányelv és a biztonsági szabályzat elfogadása egy fontos lépés a biztonsági akkreditálás folyamatában. Az elfogadás azt is jelenti, hogy az akkreditor a tervezett biztonsági intézkedéseket megfelelınek tartja a biztonsági követelmények kielégítésére.

Hivatkozások:

Ennek alapján az auditálási és értékelési eljárások tovább léphetnek, a megvalósított biztonsági intézkedések felmérése irányában. [1]: 84/2007. (IV. 25.) kormányrendelet [2]: Törvény tervezet az informatikai biztonságról

6.2.3. Az auditálási és értékelési szakasz Ez a szakasz az alábbi feladatokból áll: ― a szervezet auditálása, ― audit jelentés készítés, ― rendszer értékelés, ― rendszer értékelési jelentés készítés, ― intézkedési terv készítés.


30


A 3. ábra az auditálási és értékelési szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az elıkészületi szakaszból

Átlépés az elıkészületi szakaszból

Biztonsági szabályzat

Biztonsági irányelv

Auditálási és értékelési szakasz

A szervezet auditálása

Audit jelentés

Egyéb dokumentumok

Biztonsági elıirányzat

A rendszer értékelése

Értékelési jelentés

Egyéb értékelési bizonyítékok

Intézkedési terv készítés

Átlépés az akkreditálási szakaszba

Intézkedési terv

Átadás az akkreditálási szakasz részére

3. ábra – Az auditálási és értékelési szakasz folyamata

Az auditálási és értékelési szakasz célja annak megállapítása, hogy a biztonsági intézkedéseket helyesen valósították-e meg, azokat a tervezetteknek megfelelıen mőködtetike, valamint hogy azok a rendszerre vonatkozó követelményeknek megfelelı eredménnyel járnak-e. Ebben a szakaszban kell foglalkozni azon speciális tevékenységek megvalósításával vagy megtervezésével is, melyek a biztonsági intézkedések hiányosságainak korrigálására, valamint az informatikai rendszerekben azonosított sebezhetıségeinek csökkentésére vagy kiküszöbölésére irányulnak. Ennek a szakasznak a sikeres befejezésével az akkreditor megkapja a megalapozott döntéséhez szükséges információkat. 6.2.3.1.

4. feladat: a szervezet auditálása

Ez a feladat az auditálási eljárás közvetlen elıkészítését és végrehajtását jelenti. 4.1 feladat Elvégendı feladat: Felelıs:

Dokumentáció és egyéb támogató anyagok Az auditálás végrehajtásához szükséges dokumentumok és egyéb támogató anyagok összegyőjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelıse


31


Útmutatás:

[4] az auditálás végrehajtásához az alábbi háromszintő szabályzati struktúrát várja el (meghatározva ezek elvárt tartalmát is):

[9] több olyan dokumentumra is ajánlást biztosít, amely egy szolgáltatás kialakítás tágabb folyamatát is tekintetbe veszi (Projekt elıkészítés tárgyú ajánlások, Közbeszerzési eljárásokban elıírandó követelmények tárgyú ajánlások).

Hivatkozások:


[9] az auditálási eljárást közvetlenül támogató több dokumentumokra is konkrét ajánlást (mintát) biztosít, köztük az alábbiakra: - Szolgáltatási szint biztosítás - Kapacitásgazdálkodás - Rendelkezésre állás menedzsment - Konfigurációkezelés - Változáskezelés - Kiadáskezelés - Incidenskezelés - Problémakezelés - Szolgáltatáskatalógus - Üzemeltetési szabályzat - Mentési rend [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata A korábbi auditálási eredmények felhasználása A korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelıse, az auditálás vezetıje Egy szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek auditálása igen költséges és idıigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra felhasználhatóságát mérlegelni kell. Az auditáló szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelı mőködtetést, valamint a kívánt eredmények biztosítását ellenırizték. Az auditálási eljárásnak - amennyire csak lehet – a legutolsó auditálásnál feltárt nemmegfelelıségekre, illetve az azóta bekövetkezı változásokra kell koncentrálnia. Ezért a korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése megalapozza az auditálási terv elkészítését, majd az auditálás hatékony végrehajtását.


32


Hivatkozások:

[4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV)


Auditálási terv készítése Az auditálási eljárás során alkalmazandó megfelelı módszerek és eljárások kiválasztása a szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelı mőködtetésnek, valamint a kívánt eredmények biztosítottságának az ellenırzésére). Az elvégzendı feladatok ütemezése. az auditálás vezetıje Annak elkerülésére, hogy minden auditálásra külön egyedi módszertan készüljön, illetve, hogy a különbözı auditáló szervezetek egymástól lényegesen eltérı módszertant alkalmazzanak, az auditálás vezetıjének maximálisan törekednie kell arra, hogy az auditálási terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [5] vizsgálja, a meghatározott módszertan [6] alapján.


Indokolt esetben (szervezeti sajátosságok, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthetı. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV)

Hivatkozások:


Az auditálási eljárás eredménye (beleértve a feltárt hiányosságok korrigálására tett javaslatokat is) egy audit jelentés lesz. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV)

Hivatkozások:

6.2.3.2.

Az auditálás végrehajtása A szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek felmérése az auditálási tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az auditálás vezetıje Az auditálási eljárás a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket.

5. feladat: audit jelentés

Ez a feladat az auditálási eljárás eredményeinek dokumentálását jelenti. 5.1 feladat Elvégendı feladat: Felelıs: Útmutatás:

Audit jelentés készítése A végleges audit jelentés elkészítése. az auditálás vezetıje Az audit jelentés tartalmazza az auditálás eredményét (mely a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt hiányosságok korrigálására tett javaslatokat is. Az audit jelentés elvárt szerkezetét 6.1.6.3 ismerteti.

Hivatkozások:

Az audit jelentés az akkreditálási szakasz egyik fontos bemenete. [5]: Informatikai Biztonság Irányítási Követelmények (IBIK)


33


[6]: Az informatikai biztonság irányításának vizsgálata (IBIV)

6.2.3.3.

6. feladat: az informatikai rendszer értékelése

Ez a feladat az értékelési eljárás közvetlen elıkészítését és végrehajtását jelenti. 6.1 feladat Elvégendı feladat:


Rendszer biztonsági elıirányzat és egyéb értékelési bizonyítékok A rendszer értékelés kiinduló pontját képezı rendszer biztonsági elıirányzat, valamint az értékeléshez szükséges egyéb értékelési bizonyítékok összegyőjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelıse [12] részletesen meghatározza a rendszer értékeléshez szükséges értékelési bizonyítékokat. Ezek közül a legfontosabb a rendszer biztonsági elıirányzat, mely a biztonsági irányelv és a biztonsági szabályzat alapján készíthetı el.

Hivatkozások:


A többi értékelési bizonyíték függ az értékelésre választott garanciaszinttıl (alap, fokozott vagy kiemelt rendszer garanciacsomag), de alapvetıen a következıkbıl áll: - rendszer biztonsági tervdokumentációk, - telepítésre, konfigurálásra és üzemeltetésre vonatkozó útmutatók, - konfiguráció kezeléssel kapcsolatos dokumentáció, - biztonsági tesztelésre vonatkozó dokumentáció, - a független tesztelésre és sebezhetıség vizsgálatra alkalmas informatikai rendszer [12]: Rendszerekre vonatkozó értékelési módszertan [17]: Útmutató rendszer integrátorok számára A korábbi értékelési eredmények felhasználása A korábbi rendszer értékelésekbıl származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelıse, az értékelés vezetıje Egy informatikai rendszer mőszaki biztonsági intézkedéseinek értékelése igen költséges és idıigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra felhasználhatóságát mérlegelni kell. Az értékelı szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelı mőködtetést, valamint a kívánt eredmények biztosítását ellenırizték. Az értékelési eljárásnak - amennyire csak lehet - a legutolsó rendszer értékelésénél feltárt maradvány sebezhetıségekre, illetve az azóta bekövetkezı változásokra kell koncentrálnia. Ezért a korábbi rendszer értékelésekbıl származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése megalapozza az értékelési terv elkészítését, majd a rendszer értékelés hatékony végrehajtását.

Hivatkozások:

Az értékelı szervezetnek a rendszer értékelés során ugyancsak építenie kell azokra a rendszer komponensekre, melyeket már termékként, vagy összetett termékként sikeresen értékeltek és tanúsítottak (a CC nemzetközi, vagy a MIBÉTS hazai séma keretén belül). [10]: Termékekre vonatkozó értékelési módszertan [11]: Összetett termékekre vonatkozó értékelési módszertan


34


[12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára 6.3 feladat Elvégendı feladat:


Értékelési terv készítése Az értékelési eljárás során alkalmazandó megfelelı módszerek és eljárások kiválasztása az informatikai rendszer mőszaki biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelı mőködtetésnek, valamint a kívánt eredmények biztosítottságának az ellenırzésére). Az elvégzendı feladatok ütemezése. az értékelés vezetıje Annak elkerülésére, hogy minden rendszer értékelésre külön egyedi módszertan készüljön, illetve, hogy a különbözı értékelı szervezetek egymástól lényegesen eltérı módszertant alkalmazzanak, az értékelés vezetıjének maximálisan törekednie kell arra, hogy az értékelési terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [13] vizsgálja, a meghatározott módszertan [12] és [16] alapján. Indokolt esetben (az informatikai rendszer sajátosságai, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthetı. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára

Hivatkozások:


Az értékelés végrehajtása Az informatikai rendszer mőszaki biztonsági intézkedéseinek felmérése az értékelési tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az értékelés vezetıje Az értékelési eljárás a mőszaki biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket. Az értékelési eljárás eredménye (beleértve a feltárt maradvány sebezhetıségeket és az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is) egy rendszer értékelési jelentés lesz. [18] részletesen leírja a biztonsági értékelés folyamatát, tevékenységeit és eljárásait. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára [18]: Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai

Hivatkozások:

6.2.3.4.

7. feladat: rendszer értékelési jelentés

Ez a feladat az értékelési eljárás eredményeinek dokumentálását jelenti. 7.1 feladat Elvégendı feladat: Felelıs: Útmutatás:

Rendszer értékelési jelentés A végleges rendszer értékelési jelentés elkészítése. az értékelés vezetıje A rendszer értékelési jelentés tartalmazza az értékelés eredményét (mely a mőszaki biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt maradvány sebezhetıségeket, valamint az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is. A rendszer értékelési jelentés elvárt szerkezetét 6.1.6.4 ismerteti.


35


A rendszer értékelési jelentés az akkreditálási szakasz másik fontos bemenete. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára

Hivatkozások:

6.2.3.5.

8. feladat: intézkedési terv

Ez a feladat az auditálási eljárás során feltárt hiányosságok (nemmegfelelıségek) korrigálására, valamint az értékelési eljárás során a rendszerekben feltárt sebezhetıségek csökkentésére vagy kiküszöbölésére irányuló intézkedési terv elkészítését, majd az eredmények akkreditor számára történı összeállítását és továbbítását jelenti. 8.1 feladat Elvégendı feladat: Felelıs: Útmutatás:

Intézkedési terv készítése Intézkedési terv készítése az audit jelentés és a rendszer értékelési jelentés alapján. a szolgáltató szervezet informatikai biztonsági felelıse Az intézkedési tervben mindkét jelentés (audit és rendszer értékelési) negatív eredményeire, illetve javaslataira ki kell térni. Kiegészítı vagy módosított biztonsági intézkedéseket kell betervezni a feltárt hiányosságok korrigálására, illetve a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére. Az intézkedési tervnek felelısöket és határidıket is tartalmaznia az egyes problémák megoldására.


Hivatkozások:

Az intézkedési tervben arra is ki kell térni, hogy szükség van-e az auditálási és értékelési eljárások kiinduló pontját képezı alap dokumentumok (biztonsági irányelv, biztonsági szabályzat) módosítására. Amennyiben szükség van erre, akkor ennek a végrehajtását is tervezni kell. --Akkreditálási kérelmezése Az elkészült audit jelentés, rendszer értékelési jelentés és intézkedési terv továbbítása az akkreditornak, valamint az akkreditálás formális kérelmezése. a szolgáltató szervezet informatikai biztonsági felelıse A szolgáltató szervezet informatikai biztonsági felelısének kell formálisan kérelmeznie az akkreditálást, s ennek keretében össze kell állítania, majd az akkreditor felé továbbítania kell az alábbiakat: - végleges audit jelentés, - végleges rendszer értékelési jelentés, - intézkedési terv, - módosított biztonsági irányelv (szükség esetén), - módosított biztonsági szabályzat (szükség esetén). Az akkreditor elsısorban a fenti dokumentációkban foglaltakat fogja felhasználni döntése meghozatalához. ---

6.2.4. Az akkreditálási szakasz Ez a szakasz az alábbi feladatokból áll: ― döntés a biztonsági akkreditálásról, ― a döntés indoklása.


36


A 4. ábra az akkreditálási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az auditálási és értékelési szakaszból

Átlépés az auditálási és értékelési szakaszból

Visszalépés az elıkészületi szakaszba

Akkreditálási szakasz Audit jelentés

Értékelési jelentés

A mőködtetés engedélyezhetı?

nem

igen Intézkedési terv

A döntés dokumentálása

Akkreditálási határozat

Átlépés a folyamatos monitorozási szakaszba

4. ábra - Az akkreditálási szakasz folyamata

Az akkreditálási szakasz célja annak biztosítása, hogy az informatikai rendszer mögött (üzemeltetıként vagy tulajdonosként) álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók-e az akkreditor számára. Ennek a szakasznak a sikeres befejezésével a szolgáltató szervezet engedélyt kap információs rendszere mőködtetésére, átmeneti (bizonyos feltételekhez kötött) engedélyt kap az információs rendszer mőködtetésére, vagy ezt a mőködtetést nem engedélyezik. 6.2.4.1.

9. feladat: döntés a biztonsági akkreditálásról

Ebben a kettıs feladatban elıbb meg kell határozni az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok mértékét, majd el kell dönteni, hogy ez elfogadható-e. 9.1 feladat Elvégendı feladat:

A maradvány kockázat meghatározása Az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos végsı maradvány kockázat mértékének meghatározása.


37



akkreditor Az akkreditor a végsı maradvány kockázat mértékét az alábbiak alapján határozza meg: - a szervezetre irányuló audit jelentésben leírt, az auditálás során feltárt hiányosságok és nemmegfelelıségek, - az informatikai rendszerre irányuló rendszer értékelési jelentésben leírt, az értékelés során feltárt maradvány sebezhetıségek, - a két jelentés eredményeit figyelembe vevı intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányulnak. A végsı maradvány kockázat mértékének meghatározása érdekében az akkreditor konzultálhat a szolgáltató szervezet informatikai biztonsági felelısével, valamint az auditáló szervezet és az értékelı szervezet felelıs vezetıjével. ---


Döntés a maradvány kockázat elfogadhatóságáról Döntés az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos végsı maradvány kockázat elfogadhatóságáról. akkreditor Az akkreditor a végsı maradvány kockázat elfogadhatóságáról az auditálási és értékelési eredmények vizsgálata alapján dönthet. Az auditálási és értékelési eredmények vizsgálata a következıket foglalja magában: - a 9.1 feladat során meghatározott végsı maradvány kockázat mértéke, - a szolgáltató rendszer csatlakoztatásából (vagy további mőködtetésébıl) származó felhasználói elınyök, - a szolgáltató rendszer csatlakoztatásának (vagy további mőködtetésének) elhalasztásából adódó veszteségek, - az intézkedési tervben vázolt javító és kiegészítı intézkedések várható következménye és megvalósítási idıigénye. A fenti szempontok alapján kell meghoznia döntését, mely az alábbiak egyike lehet (lásd 6.1.5): - a mőködtetés engedélyezése, - a mőködtetés átmeneti (feltételes) engedélyezése, - a mőködtetés engedélyezésének visszautasítása. ---

Hivatkozások:

6.2.4.2.

10. feladat: a döntés indoklása

Ez a feladat az akkreditor által meghozott döntés írásba foglalását és indoklását, valamint a biztonsági irányelv és biztonsági szabályzat ennek következtében szükségessé váló módosítását jelenti. 10.1 feladat Elvégendı feladat: Felelıs: Útmutatás: Hivatkozások:

A döntés határozatba foglalása Az akkreditálásra vonatkozó döntésnek és indoklásának írásba foglalása. akkreditor Az akkreditor által hozott döntésrıl egy határozatot kell készítenie. ---


A biztonsági irányelv és biztonsági szabályzat módosítása Az akkreditálásra vonatkozó döntéstıl függıen a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelıse

Felelıs:


38


Útmutatás:

A mőködtetés engedélyezése esetén a biztonsági irányelvet és a biztonsági szabályzatot nem kell módosítani. A mőködtetés átmeneti (feltételes) engedélyezése esetén az akkreditálásra vonatkozó döntésben megfogalmazott korlátozásokat vagy feltételeket meg kell jeleníteni a biztonsági irányelvben és/vagy a biztonsági szabályzatban is. Ugyanakkor törekedni kell arra, hogy ebben a lépésben a biztonsági irányelv és a biztonsági szabályzat módosítása minimális legyen. A mőködtetés engedélyezésének visszautasítása az akkreditálás folyamatát visszatéríti az elıkészületi szakaszba. Ebben az esetben a biztonsági irányelv és a biztonsági szabályzat jelentıs átdolgozása is szükségessé válhat. ---

Hivatkozások:

6.2.5. A folyamatos monitorozási szakasz Ez a szakasz az alábbi feladatokból áll: ― konfiguráció kezelés, ― a biztonsági intézkedések folyamatos monitorozása, ― a monitorozás eredményeinek dokumentálása és jelentése. Az 5. ábra a folyamatos monitorozási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átlépés az akkreditálási szakaszból

Folyamatos monitorozási szakasz

Rendszeres (félévenkénti) biztonsági jelentés

A biztonsági intézkedések monitorozása Rendkívüli biztonsági jelentés

Konfiguráció kezelés Évente felülvizsgált biztonsági irányelv és biztonsági szabályzat

A biztonsági irányelv és a biztonsági szabályzat vizsgálata

nem

Soron kívül felülvizsgált biztonsági irányelv és biztonsági szabályzat

Újra akkreditálás szükséges ? igen

Az újra akkreditálás indítása az elıkészületi szakasztól kezdıdıen


39


5. ábra – A folyamatos monitorozási szakasz folyamata

A folyamatos monitorozási szakasz célja az informatikai rendszer biztonsági intézkedéseinek folyamatos áttekintése és nyomon követése, valamint az akkreditor tájékoztatása minden olyan változásról, mely a rendszer biztonságára hatást gyakorolhat. A fenti tevékenységet az informatikai rendszer teljes további életciklusában végezni kell. Ugyanakkor az akkreditálás megújítására is szükség lehet, az informatikai rendszerben bekövetkezı jelentıs változások miatt, vagy annak következtében, hogy a szabályozás rendszeres idıközönként (évente) megköveteli ezt. 6.2.5.1.

11. feladat: konfiguráció kezelés

Ez a feladat az informatikai rendszer változásainak dokumentálását, valamint a változások biztonsági hatásának felmérését jelenti. Az informatikai rendszerek folyamatosan változnak, a hardver, szoftver és förmver elemek cserélıdnek, és a mőködtetı környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelı és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. A változások dokumentálása, valamint ezek biztonságra gyakorolt hatásának rendszeres felmérése a biztonsági akkreditálás karbantartásának lényeges elvárásai. 11.1 feladat Elvégendı feladat: Felelıs: Útmutatás:

Az informatikai rendszer változásainak dokumentálása Az akkreditálásra vonatkozó döntéstıl függıen a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelıse Az informatikai rendszerek változásának kezelése, ellenırzése és dokumentálása kritikus szerepet tölt be a rendszert védı biztonsági intézkedések folyamatos felmérésében. Fontos feljegyezni a hardver, szoftver és förmver komponensekben megvalósult alábbi fontosabb változásokat: - verzió vagy kibocsátási szám, - az új vagy módosított tulajdonságok vagy kapacitások leírása, - biztonsági útmutatók. Ugyancsak fontos feljegyezni a mőködtetı környezetben bekövetkezı változásokat, mint például a fizikai elhelyezés megváltoztatása. Jelentıs változtatások csak azt követıen hajthatók végre, hogy felmérték ezek biztonságra gyakorolt hatását (lásd 11.2 feladat), s az esetlegesen szükségessé váló kiegészítı biztonsági intézkedéseket is megvalósították. [13] a konfiguráció kezelést mint az egyik mőszaki biztonsági intézkedést tárgyalja.

Hivatkozások:

A konfigurációmenedzsment ajánlás [20] azt segíti elı, hogy az informatikai szolgáltatás nyújtásakor használandó eszközöket egységesen tartsák nyílván a különbözı szolgáltatók. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [20]: Konfigurációmenedzsment ajánlás


40




Biztonsági hatásvizsgálat Az informatikai rendszerben javasolt vagy megvalósult (hardver, szoftver, förmver és mőködtetı környezetbeli) változások vizsgálata, ezek biztonságra gyakorolt hatásának felmérésére. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági hatásvizsgálatot számos dokumentum támogatja: [19] 6.3 alfejezete útmutatást ad a változtatások biztonságos megvalósítására, a módosítások kategorizálására, a fejlesztıi bizonyíték aktualizálására és a biztonsági hatásvizsgálat elkészítésére. A konfigurációmenedzsment ajánlás [20] célja, hogy az informatikai szolgáltatás nyújtásakor használandó eszközöket egységesen tartsák nyílván a szolgáltatók. Megvalósítása segítséget nyújt az incidens-, probléma- és a változásmenedzsment folyamatokhoz is. A változásmenedzsment ajánlása [21] célja, hogy az elektronikus közigazgatási szolgáltatásokat nyújtó szervezetek úgy legyenek képesek az informatikai szolgáltatásokat érintı folyamatos változtatások kezelésére, hogy közben a lehetı legalacsonyabb szinten tartják az ezekkel kapcsolatos incidensek elıfordulásának valószínőségét, biztosítják a szolgáltatások zavartalanságát és a optimalizálják a változtatásokkal járó kockázatokat. A kiadásmenedzsment ajánlás [22] célja, hogy minden az elektronikus ügyintézést támogató informatikai szolgáltatás esetében biztosítsa az azokat érintı változtatások zökkenımentes bevezetését az éles üzembe. A problémamenedzsment ajánlás [23] célja azon tevékenységek meghatározása, melyek segítségével az elektronikus közigazgatási szolgáltatásokkal kapcsolatos problémák és a belılük következı incidensek elháríthatók, csökkenthetı az ismétlıdı incidensek száma és azon incidensek hatása, amiket nem lehet megelızni. Az incidensmenedzsment ajánlás [24] az informatikai támogatás során elıforduló incidensek kezelését segíti. Kitér a folyamat leírására és a megvalósítandó szerepkörökre is

Hivatkozások:

6.2.5.2.

[19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása [20]: Konfigurációmenedzsment ajánlás [21]: Változásmenedzsment ajánlás [22]: Kiadásmenedzsment ajánlás [23]: Problémamenedzsment ajánlás [24]: Incidensmenedzsment ajánlás

12. feladat: a biztonsági intézkedések folyamatos monitorozása

Ez a feladat néhány biztonsági intézkedések kiválasztását, majd ezek folyamatos vizsgálatát, nyomon követését jelenti. Ez a folyamatos monitorozás segíti azoknak a lehetséges biztonsági problémáknak az azonosítását, melyeket a konfiguráció kezelés keretében végrehajtott biztonsági hatásvizsgálat (11.2) nem tárt fel. 12.1 feladat Elvégendı feladat:

Biztonsági intézkedések kiválasztása Azoknak a biztonsági intézkedéseknek a kiválasztása, melyet az informatikai rendszerben folyamatosan nyomon fognak majd követni.


41



a szolgáltató szervezet informatikai biztonsági felelıse Valamennyi biztonsági intézkedés folyamatos nyomon követése megvalósíthatatlanul bonyolult és költséges lenne. A kiválasztás szempontja kettıs: - célszerő olyan biztonsági intézkedéseket kiválasztani, melyek helytelen megvalósulása kritikus hatást gyakorolna az informatikai rendszerre, - célszerő mőszaki és üzemeltetési intézkedéseket egyaránt kiválasztani, - idıvel érdemes változtatni a kiválasztott biztonsági intézkedéseket, hogy hosszabb távon minél nagyobb mintára valósuljon meg a nyomon követés. A kiválasztandó biztonsági intézkedésekre javaslatot fogalmazhatnak meg az audit és a rendszer értékelési jelentésben is. ---



A kiválasztott biztonsági intézkedések felmérése Annak ellenırzése, hogy a kiválasztott biztonsági intézkedéseket helyesen valósították-e meg, a tervezettnek megfelelıen mőködnek-e, illetve a kívánt eredményeket biztosítják-e. a szolgáltató szervezet informatikai biztonsági felelıse Az ellenırzés különbözı módszerekkel hajtható végre (pl. biztonsági átvilágítással, önértékeléssel, biztonsági teszteléssel, értékeléssel, auditálással), az informatikai biztonsági felelıs belátásától függıen. Ugyanakkor az alkalmazott ellenırzési (nyomon követési) módszereket dokumentálni kell, s a felmérés eredményeit a következı auditálási és értékelési eljárás számára elérhetıvé tenni. Amennyiben a felmérés helytelen megvalósítást, a tervezettıl eltérı mőködést, vagy nem megfelelı eredmény jelzést tárnak fel, akkor (nem megvárva a következı újra akkreditálási szakaszt) kiegészítı vagy javító intézkedéseket kell hozni a problémák kezelésére. ---

Hivatkozások:

6.2.5.3.

13. feladat: a biztonsági állapot jelentése és dokumentálása

Ez a feladat a biztonsági irányelv és biztonsági szabályzat karbantartására, valamint a biztonsági állapot (akkreditor és a szolgáltató szervezet vezetıje felé történı) jelentésére vonatkozik. Az akkreditor az állapot jelentések alapján határozhatja meg az újra akkreditálás szükségességét. 13.1 feladat Elvégendı feladat:


A biztonsági irányelv és biztonsági szabályzat karbantartása A biztonsági irányelv és a biztonsági szabályzat módosítása az informatikai rendszer dokumentált (hardver, szoftver, förmver és mőködtetı környezetbeli) változásai, valamint a folyamatos monitorozás eredményei alapján. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági irányelvnek és a biztonsági szabályzatnak a lehetı legnagyobb mértékben aktuális információkat kell tartalmazniuk. Következésképpen a bekövetkezı változásoknak idıvel meg kell jelenniük ebben a két alap dokumentumban. A biztonsági irányelv és a biztonsági szabályzat módosításának gyakoriságát az informatikai biztonsági felelıs az alábbi két ellentétes szempont mérlegelésével határozza meg: - a lényeges változások minél hamarabbi megjelenítése a dokumentumokban,


42


- a felesleges papírmunka elkerülése.




Hivatkozások:

A biztonsági irányelv és a biztonsági szabályzat karbantartásának jelentıségét az adja meg, hogy a késıbbi auditálási, értékelési eljárások ismételten visszatérnek ezekhez, mint a vizsgálandó alap követelményeket tartalmazó dokumentumokhoz. [1]: 84/2007. (IV. 25.) kormányrendelet Tájékoztató jelentés a biztonságról Az akkreditor számára rendszeres idıközönként (félévente) vagy soron kívül (jelentıs biztonsági esemény bekövetkezése esetén) jelentés készítése az informatikai rendszer biztonsági állapotáról. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági jelentésnek a következıket kell tartalmaznia: - a biztonsági irányelv és a biztonsági szabályzat változásai, - az informatikai biztonsági eljárásrendek mőködése, - bekövetkezett jelentıs biztonsági esemény. A fentiekhez a jelentést készítı informatikai biztonsági felelısnek az alábbi szempontokat kell figyelembe vennie (s ezeket érdemes külön-külön meg is jelenítenie) a tájékoztatásban: - az informatikai rendszerben megvalósult (hardver, szoftver, förmver és mőködtetı környezetbeli) változások, - a változások biztonsági hatásvizsgálatának következtetései, - a folyamatos monitorozás eredményei, - a bekövetkezett biztonsági esemény kritikussága. [1]: 84/2007. (IV. 25.) kormányrendelet Kockázat elhárítás Az akkreditor egy biztonsági jelentés (13.2) alapján külön vizsgálatot kezdeményezhet. Akkreditor Külön vizsgálat kezdeményezése az alábbi esetekben indokolt: - a biztonsági irányelv és a biztonsági szabályzat jelentıs megváltozása, - az informatikai rendszerben megvalósult, a biztonságra jelentıs hatást gyakoroló változások, - a folyamatos monitorozás jelentıs biztonsági kockázatot - feltáró eredményei. - soron kívül jelentett kritikus biztonsági esemény. A külön vizsgálat eredményei az alábbiak lehetnek: - felülvizsgált és jóváhagyott biztonsági irányelv és a - biztonsági szabályzat, - újra akkreditálás eljárásának kezdeményezése, - a szolgáltatás felfüggesztése a kockázat elhárításáig. [1]: 84/2007. (IV. 25.) kormányrendelet


43


7. Melléklet: A biztonsági akkreditálás feladatainak áttekintése Az alábbi táblázat áttekinti a 6.2 alfejezetben részletezett biztonsági akkreditálási folyamat feladatait , s ezek felelıseit. Sorszám

Elnevezés

Felelıs Elıkészületi szakasz

1. Feladat

Elıkészítés Az informatikai rendszer leírása Biztonsági kategorizálás A fenyegetések azonosítása A sebezhetıségek azonosítása A biztonsági intézkedések meghatározása Értesítés és a szükséges erıforrások meghatározása 2.1 feladat Az érintettek értesítése 1.1 feladat 1.2 feladat 1.3 feladat 1.4 feladat 1.5 feladat

2. Feladat

2.2 feladat Az akkreditáláshoz szükséges erıforrások meghatározása 3. Feladat 3.1 feladat 3.2 feladat 3.3 feladat 3.4 feladat 4. Feladat 4.1 feladat 4.2 feladat 4.3 feladat 4.4 feladat 5. Feladat 5.1 feladat 6. Feladat 6.1 feladat 6.2 feladat 6.3 feladat 6.4 feladat 7. Feladat 7.1 feladat 8. Feladat

9. Feladat

10. Feladat

11. Feladat

A biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása A biztonsági kategorizálás áttekintése A biztonsági irányelv és a biztonsági szabályzat vizsgálata A biztonsági irányelv és a biztonsági szabályzat módosítása A biztonsági irányelv és a biztonsági szabályzat elfogadása Auditálási és értékelési szakasz A szervezet auditálása Dokumentáció és egyéb támogató anyagok A korábbi auditálási eredmények felhasználása Auditálási terv készítése Az auditálás végrehajtása Audit jelentés Audit jelentés készítése Az informatikai rendszer értékelése Rendszer biztonsági elıirányzat és egyéb értékelési bizonyítékok A korábbi értékelési eredmények felhasználása Értékelési terv készítése Az értékelés végrehajtása Rendszer értékelési jelentés Rendszer értékelési jelentés készítése

Intézkedési terv 8.1 Intézkedési terv készítése 8.2 Akkreditálás kérelmezése Akkreditálási szakasz Döntés a biztonsági akkreditálásról 9.1 A maradvány kockázat meghatározása 9.2 Döntés a maradvány kockázat elfogadhatóságáról A döntés indoklása 10.1 A döntés határozatba foglalása 10.2 A biztonsági irányelv és biztonsági szabályzat módosítása Folyamatos monitorozási szakasz Konfiguráció kezelés 11.1 Az informatikai rendszer változásainak dokumentálása 11.2 Biztonsági hatásvizsgálat


IB felelıs IB felelıs IB felelıs IB felelıs IB felelıs IB felelıs IBF, IB felelıs, AV, ÉV

IBF, AV, ÉV IBF, AV, ÉV IB felelıs IBF

IB felelıs IB felelıs, AV AV AV AV IB felelıs IB felelıs, ÉV ÉV ÉV ÉV

IB felelıs IB felelıs

IBF IBF IBF IB felelıs

IB felelıs IB felelıs

44


12. Feladat

13. Feladat

A biztonsági intézkedések folyamatos monitorozása 12.1 Biztonsági intézkedések kiválasztása 12.2 A kiválasztott biztonsági intézkedések felmérése A biztonsági állapot jelentése és dokumentálása 13.1 A biztonsági irányelv és biztonsági szabályzat karbantartása 13.2 Tájékoztató jelentés a biztonságról 13.3 Kockázat elhárítás

IB felelıs IB felelıs IB felelıs IB felelıs IBF

8. Bibliográfia -

9. Rövidítésgyőjtemény Jelen dokumentum a 2. táblázatban bemutatott rövidítéseket használja. 2. táblázat – A dokumentumban használt rövidítések Rövidítés AV CC ÉV IB felelıs IBF IT KIB MIBA MIBÉTS

Angol jelentés --Common Criteria ------Information Technology -------

Magyar jelentés Az auditálás vezetıje Közös szempontok Az értékelés vezetıje Informatikai biztonsági felelıs Informatikai biztonsági felügyelı (akkreditor) Információs technológia, informatika Közigazgatási Informatikai Bizottság Magyar Informatikai Biztonsági Ajánlások Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma

10. Fogalomtár -

11. Ábrák 1. ábra – A biztonsági akkreditálás folyamatának áttekintése 2. ábra – Az elıkészületi szakasz folyamata 3. ábra – Az auditálási és értékelési szakasz folyamata 4. ábra - Az akkreditálási szakasz folyamata 5. ábra – A folyamatos monitorozási szakasz folyamata

12. Képek -


45


13. Táblázatok 1. táblázat – A rendelkezı hivatkozások elérhetısége 2. táblázat – A dokumentumban használt rövidítések

14. Verziószám V1


46

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Recommend Documents