Dabas és Környéke Vízügyi Kft

Átírás

1 Dabas és Környéke Vízügyi Kft H-2370 Dabas, Széchenyi u. 3. Tel: 29/ ; 29/ Tel./fax: 29/ kiadás /változat 1.0 jóváhagyta, hatályba léptette: Hatályba lépés dátuma: Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!

2 /változat: 1.0 Oldalak száma: 2/17 Verzió Készítette /módosította Módosítás Hatályba lépés dátuma File neve 1.0 DAKOV KFT naplo.pdf : 1.0 Hatályba helyezve: Oldalszám: 2 / 17

3 /változat: 1.0 DAKÖV KFT. Oldalak száma: 3/17 Tartalomjegyzék 1. A naplózási szabályzat dokumentuma A jelen szabályzat célja A naplózási szabályzat hatálya Személyi hatálya Tárgyi hatálya Területi hatálya Időbeli hatálya A szabályzat minősítése A szabályzat felülvizsgálata A Társaság naplózási követelményei A naplózandó események körének meghatározása Naplóállományok kezelése Naplóállományok mentése Naplóállományok visszatöltése és a visszatölthetőség tesztelése Naplóállomány elemzések Feladatok és felelősségek a naplózás és naplóelemzés területén Naplózásra vonatkozó rendelkezések Naplózási követelmény az operációs-rendszereken Naplózási követelmény az adatbázis-kezelőkben Naplózási követelmény az alkalmazásokban Naplózási követelmény a hálózati aktív eszközökön Naplózási követelmény a hálózat biztonságát szavatoló eszközökön Naplózandó események a rendszerek kritikusságának figyelembe vételével A naplóállományok kezelése a szerveren A naplóesemények kezelése, feldolgozása A naplóesemények kezelése a naplózó-szerveren Naplóelemzés alapvető követelményei : 1.0 Hatályba helyezve: Oldalszám: 3 / 17

4 /változat: 1.0 Oldalak száma: 4/ A naplóelemzési jelentés Naplózó-szerver rendszergazdai feladatok : 1.0 Hatályba helyezve: Oldalszám: 4 / 17

5 /változat: 1.0 Oldalak száma: 5/17 1. A naplózási szabályzat dokumentuma 1.1 A jelen szabályzat célja A jelen naplózási szabályzat célja, hogy meghatározza az informatikai rendszerek használata során a jogszabályok által előírt, és a Dabas és Környéke Vízügyi Kft. (továbbiakban: Társaság) elvárásainak megfelelő naplózási és naplóelemzési követelményeket, továbbá keretül szolgáljon a naplók gyűjtéséhez és értékeléséhez. A Társaságnak törvényben előírt kötelezettsége szerint biztosítani kell azt, hogy egy biztonsági incidens, ügyfél panasz vagy szoftverhiba miatt utólag megtalálható legyen az, hogy ki, mikor és milyen mértékben változtatott meg egy értéket az adatbázisban, egy paramétert az operációs rendszerben, egy eljárást a szoftverben, egy beállítást valamely informatikai rendszerelemben, vagy éppen csak mikor tekintett meg olvasási szinten a munkájához nem feltétlen szükséges adatokat. Ezek a feladatok csak akkor végezhetők el, ha a változások és események bekövetkezése eltárolásra kerül, naplózódik. Ez a napló képezheti alapját a hibák kijavításának és biztosíthatja a felelősök számon kérhetőségét, valamint lehetőséget teremt a proaktív beavatkozás kezdeményezésére. A Naplózási szabályzat nem foglalkozik a teszt és fejlesztői rendszerek eseményeinek gyűjtésével (naplózás) és elemzésével csak éles üzemi rendszerekkel kapcsolatban határoz meg irányelveket. Abban az esetben, ha a felhasználók hitelesítése, konfigurációk módosítása a teszt és a fejlesztői rendszereken kihatással van az éles üzemi környezetre, akkor ezen részrendszereket is a naplózási politika alá kell rendelni, naplózni és elemezni kell, a képviselt kockázatuknak megfelelően. A fenti feladatok végrehajtásának biztosítása érdekében, a kockázatelemzés eredményének értékelése alapján a kockázatokkal arányos módon, gondoskodni kell olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események nyilvántartására és kezelésére. 1.2 A naplózási szabályzat hatálya Személyi hatálya A szabályzat szervezeti hatálya kiterjed a: Társaság minden munkatársára, Társaság szerződéses viszonyban tevékenykedő partnereire Tárgyi hatálya A szabályzat tárgyi hatálya kiterjed a Társaság: : 1.0 Hatályba helyezve: Oldalszám: 5 / 17

6 /változat: 1.0 Oldalak száma: 6/17 szabályzataira, irányelveire eljárásrendjeire Területi hatálya A szabályzat területi hatálya kiterjed a tárgyi hatálya alá tartozó informatikai erőforrások üzemelési helyszíneire: a Társaság telephelyeire a külső szolgáltatók által, a Társaságnak nyújtott szolgáltatásban érintett helyszíneire Időbeli hatálya A jelen szabályzat az aláírás napját követő első munkanapon lép hatályba, a dokumentumban foglalt feladatok és szabályok ezen időponttól alkalmazandók. A szabályzat visszavonásig érvényes. 1.3 A szabályzat minősítése A jelen naplózási szabályzat belső nyilvános dokumentum, amelyet a szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag az Ügyvezetők előzetes írásos engedélye alapján ismerhet meg. Jelen szabályzat személyi hatálya alá tartozóknak a szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a szabályzatból információt nem adhat ki. 1.4 A szabályzat felülvizsgálata A szabályzatot évente felül kell vizsgálni, a felülvizsgálat az Informatikai Biztonsági Felelős (a továbbiakban IBF) feladata. : 1.0 Hatályba helyezve: Oldalszám: 6 / 17

7 /változat: 1.0 Oldalak száma: 7/17 2. A Társaság naplózási követelményei Gondoskodni kell az informatikai rendszerek eseményeinek a rendszerek kritikusságának függvényében különböző mélységű naplózásáról, a naplóállományok rendszeres ellenőrzéséről és mentéséről. A naplóállományokat és azok minden bejegyzését védeni kell a módosítástól, illetve biztosítani kell, hogy a naplók tartalmához csak arra feljogosított személy, elsősorban a független, naplóelemzéssel megbízott személy (IBF) férhessen hozzá. A napló kezelését olyan módon kell megoldani, hogy kizárható legyen a napló megsemmisítése, a napló bejegyzéseinek törlése, módosítása, a bejegyzések sorrendjének bármilyen módon történő megváltoztatása. A naplónak tartalmaznia kell a naplózott esemény bekövetkezésének dátumát és pontos idejét, az esemény követhetőségéhez, rekonstruálásához szükséges adatokat, az események kiváltásában közreműködő felhasználó vagy más érintett személy nevét. A rendszerek által készített naplók biztonsági szempontú elemzését lehetőség szerint folyamatosan, dokumentált módon kell végezni. A naplóelemzést informatikai eszközökkel kell támogatni, mert csak ezzel lehet biztosítani a megfelelő színvonalú és költséghatékony munkát. Olyan eljárásokat kell kialakítani, amelyek biztosítják (ahol szükséges), hogy az alkalmazási programok olyan funkciókat is tartalmazzanak, amelyek rutinszerűen ellenőrzik a szoftver által elvégzett feladatokat, segítve ezzel az adatok sértetlenségének megőrzését, és amelyek gondoskodnak az adatok épségének helyreállításáról a tranzakciók visszagörgetése, illetve más eszközök révén. Már az informatikai beszerzések során, figyelembe kell venni a megfelelő biztonsági környezet kialakításának szempontjait, amelynek összhangban kell lennie az előzetesen lefolytatott kockázatelemzéssel. Ezért a megfelelő eljárások révén gondoskodni kell arról, hogy a naplókban rögzítésre kerüljenek azok a szükséges kronológiai információk, amelyek lehetővé teszik az adatfeldolgozási folyamatok, a feldolgozáshoz kapcsolódó és azt segítő egyéb tevékenységek idősorrendjének rekonstruálását, áttekintését és kivizsgálását. Elő kell írni olyan eljárások és módszerek alkalmazását az új informatikai rendszerfejlesztési projektek specifikációjának kidolgozásakor, amelyek gondoskodnak a szükséges naplózásról. Gondoskodni kell arról, hogy a meglévő rendszerek jelentősebb módosítása esetén már a tervezés szakaszában jelenjenek meg a biztonsági (és így a naplózási) funkciók. A fejlesztés, illetve módosítás alatt álló rendszerek alapvető biztonsági és belső ellenőrzési aspektusait a rendszer koncepcionális szintű megtervezésével egy időben kell meghatározni annak érdekében, hogy a biztonsági szempontokat a tervezés lehető legkorábbi szakaszában be lehessen építeni. : 1.0 Hatályba helyezve: Oldalszám: 7 / 17

8 /változat: 1.0 Oldalak száma: 8/17 3. A naplózandó események körének meghatározása A naplózást több szinten kell végezni az operációs rendszer, az adatbázis-kezelő és az alkalmazás szintjén, mivel a kritikus (lényeges) informatikai események is különböző szinteken történnek. A hálózat működését biztosító aktív eszközök (router-ek és switch-ek) naplózásáról, valamint a hálózat biztonságát szavatoló eszközök (pl.: tűzfal) naplózásáról szintén gondoskodni kell. 4. Naplóállományok kezelése A naplóállományok hozzáférésének és kezelésének módját definiálni kell. Alapelv, hogy mivel egy-egy adott rendszeren a rendszergazda olyan jogosultsággal bír, amely a naplózás (ok) beállításait és konfigurációját állítani is tudja, valamint a naplózott adatokat (a naplóbejegyzéseket) módosítani tudja, ezért a naplóbejegyzéseket egy az adott rendszergazdák felügyeletén kívüli eszközre naplózó szerverre kell továbbítani, lehetőleg a bejegyzések keletkezése után azonnal. Erre lehetőség szerint a rendszerek által biztosított szolgáltatásokat kell használni kiegészítve egy integrált naplózó eszközzel szoftverrel ami ezt biztosítani tudja. Mivel a naplózó szerver jelenti az egyik kontrollt a rendszergazdák tevékenysége felett, ezért a kontrollálni kívánt rendszergazdáknak csak olvasási jogot szabad engedélyezni a naplózó szerverhez, módosítási jogot nem. A naplózó szerver adminisztrátorát ezért szükségszerűen nem lehet a naplózott rendszerek rendszergazdái közül választani. A naplóállományok integritásvédelmét meg kell oldani. A naplózandó rendszerek naplózó szerverről történő leválasztása és az azt követő újra csatlakoztatás után a leválasztás időtartama alatt az adott rendszeren történt események (naplóbejegyzések) naplózó szerverre történő továbbításáról gondoskodni kell, és meg kell oldani azt, hogy a naplóállományok integritása biztosított legyen. 5. Naplóállományok mentése A mentési adathordozón az adatok tárolását integritás-ellenőrzésre alkalmas, lehetőleg titkosított módon kell megoldani. A visszaállításhoz szükséges adatokat, kulcsokat a Társaság páncélszekrényében lezárt borítékban kell tartani. A mentést a Társaság Mentési szabályzatának megfelelően kell végezni. A két mentési adathordozót egymástól elkülönített módon tűzbiztos tároló helyen kell őrizni. A mentendő naplóállományokat (adatbázist) úgy kell menteni, hogy azok egy mentési adathordozó hibája (megsemmisülése) esetén is legalább a mentési szabályzatban meghatározott időtartamig visszamenőleg megtalálhatóak és vizsgálhatóak legyenek. : 1.0 Hatályba helyezve: Oldalszám: 8 / 17

9 /változat: 1.0 Oldalak száma: 9/17 6. Naplóállományok visszatöltése és a visszatölthetőség tesztelése A naplóállományok mentések használhatóságát évente két alkalommal szúrópróbaszerűen tesztelni kell, így meg kell bizonyosodni arról, hogy a mentett adatok igény esetén visszaállíthatóak. A mentés megfelelőségéről visszatöltéssel kell meggyőződni. A visszatöltés esetén a Társaság páncélszekrényében lévő lezárt borítékot (amely a visszatöltéshez szükséges adatokat, kulcsokat stb. tartalmazza) is vizsgálni és ellenőrizni kell. 7. Naplóállomány elemzések : 1.0 A rendszerek normális működését veszélyeztető események bekövetkezése előtt a legtöbb esetben történnek olyan események (figyelmeztetések), amelyek a probléma bekövetkezését előre jelzik. Ez a megállapítás a rendszerek biztonságát fenyegető eseményekre is igaz (nem csak az üzemeletetésre vonatkozóan). Tehát a naplók rendszeres elemzése lehetőséget ad a prevencióra. A rendszerek által készített naplók és a naplózás konfigurálása minden esetben különböző, így általános program sem létezik arra, hogy mit és hogyan kell figyelni a naplókban. Ezért a folyamatos naplóelemzések és a bekövetkezett problémák miatti naplózási beállítás módosítások egy iterációs folyamat keretében fogják egyre jobban megközelíteni az elvárt biztonsági szintet és megelőzni a problémás események bekövetkezését. Mindemellett ezt az iterációs folyamatot az elszámoltathatóság érdekében is folytatni kell, hiszen ha nem került a naplókba, hogy ki hajtott végre bizonyos eseményeket, akkor a felelősök megtalálása is kérdésesé válhat. A keletkező naplóállományokat, naplóbejegyzéseket rendszeresen érdemi módon elemezni és értékelni kell. Az elemzéshez, értékeléshez informatikai támogatás szükséges, mert több százezer, vagy több millió bejegyzés érdemi értékelését nem lehet kézi megoldással (szemmel végignézve) végrehajtani. Az elemzéshez célszerű magát a naplógyűjtő szervert használni. Meg kell határozni, hogy a monitorozott eseményeket mikor, milyen szinttől tekintjük kritikusnak. Az elemzés elkészítésekor az egyéb (be nem sorolt) eseményeket statisztikai módszerrel tekintjük át, gyakorlatilag a szokásostól eltérő eseményeket, a nagyobb gyakoriság változásokat vizsgáljuk meg. A vizsgálat után vezetői döntés kérdése, hogy az azt kiváltó esemény bekerül-e a szokásos jelentési rendszerbe, vagy továbbra is csak a szokásostól eltérők között vizsgáljuk. A naplógyűjtő szerverre beérkezett naplózott eseményeket a kezelhetőség biztosítása céljából csoportosítani kell. Az események csoportosítása esemény típusonként, azon belül rendszerenként és esemény altípusonként történik. Az események csoportosítása rendszer típusonként és rendszer fajtánként változó lehet ezért azt a Naplózási szabályzatban, vagy a rendszerenkénti eljárásrendekben kell rögzíteni Hatályba helyezve: Oldalszám: 9 / 17

10 /változat: 1.0 Oldalak száma: 10/17 8. Feladatok és felelősségek a naplózás és naplóelemzés területén A Társaság a naplózási és naplófájl értékelési feladatokat szervezeti szinten az IBF felelősségi körébe delegálja. A biztonsági célú naplókba kerül a rendszergazdák által végrehajtott tevékenységek nyoma is, így ez használható fel a rendszergazdák ellenőrzésére is és az IBF és a független informatikai auditor is ezeket a naplókat vizsgálja akkor, amikor a rendszergazdák tevékenységének megfelelőségét kell megítélnie. Használható a rendszergazdák adminisztrációs kötelezettségeinek kontrolljára is. Alapkoncepció, hogy a biztonsági célú naplófájlokat csak az IBF által lehessen törölni, illetve azok működését leállítani és elindítani, vagy ezeknek az adott rendszer rendszergazdája által sem módosítható nyomát rögzíteni szükséges. Az ilyen eseményeket - ha nem az IBF végezte - minden esetben kötelező megvizsgálni. A naplófájlokban történő keresésre és azok érdemi értékelésére részletes szabályokat kell hozni Naplózási szabályzat - és a szabályok működtetésére célalkalmazásokat kell üzembe helyezni. Ezen szabályok között kell meghatározni, hogy mely eseményeket kell jegyzőkönyvezni és mely eseményeket hogyan kell szankcionálni. 9. Naplózásra vonatkozó rendelkezések 9.1. Naplózási követelmény az operációs-rendszereken Az operációs-rendszer szinten kell naplózni azokat az eseményeket, amelyek csak ezen a szinten zajlanak. Az operációs rendszerbe történő sikeres be- és kilépést, a sikertelen belépési kísérleteket, ki és mikor. A kritikus rendszerfájlok létrehozását, módosítását és törlését (Windows esetében ezeken felül a Registry meghatározott területeinek a módosítását is). A jogosultsági rendszert érintő változtatásokat, jogosultsági csoportok létrehozását és módosítását, a felhasználók létrehozását és módosítását, valamint a csoportokhoz rendelését stb. Az operációsrendszer naplózó rendszerének bármilyen beállítás módosítását, a naplózás leállítását és indítását. Szintén itt kell naplózni azokat a konfigurációs beállítások létrehozását, módosítását és törlését, amelyek befolyásolják az adott operációsrendszer, vagy a rá telepített alkalmazás működését (beleértve az adatbázis kezelők telepítését és operációsrendszer szintű konfigurálását). A hozzáférést biztosító alkalmazások indításának és körülményeinek naplózását pl.: telnet, snmp, ssh, stb. : 1.0 Hatályba helyezve: Oldalszám: 10 / 17

11 /változat: 1.0 Oldalak száma: 11/17 A naplózáshoz elsődlegesen az operációs rendszer által nyújtott eszközöket kell alkalmazni, amennyiben ez önmagában nem biztosítja a megfelelő naplózást, nem tudja naplózni az előírt eseményeket, akkor erre a célra más szállító által készített szoftvert kell alkalmazni. A konfigurációs beállítások módosításának, az adatbázis-kezelő szoftverelemei változtatásának és az alkalmazási rendszer programfájljai változtatásának naplózása erősen kapcsolódik a változáskezelés (konfigurációkezelés) kontrolljaihoz is Naplózási követelmény az adatbázis-kezelőkben Az adatbázis szinten kell naplózni azokat az eseményeket, amelyek csak ezen a szinten zajlanak. A közvetlen adatbázis hozzáférést a sikeres ki- és bejelentkezéseket, valamint a sikertelen belépési kísérleteket, ki és mikor. Az adatbázis, illetve kiemelt funkcióinak leállítását és újraindítását (naplózáson kívüli funkciók, szolgáltatások) Az adatbázisban történt közvetlen változtatásokat (ki, mikor, mit, miről, mire), az adatszerkezet módosításokat, az adatbázison belüli programmódosításokat (tárolt eljárások, triggerek stb.) Az adatbázison belüli jogosultsági rendszert érintő változtatásokat, jogosultsági csoportok létrehozását és módosítását, a felhasználók létrehozását és módosítását, valamint a csoportokhoz rendelését stb. Az adatbázis-kezelőrendszer naplózó rendszerének bármilyen beállítás módosítását, a naplózás leállítását és indítását. A nem közvetlen hozzáféréseket, amelyek például az alkalmazáson keresztül módosítanak egy-egy adatot, azt az alkalmazás szintjén kell naplózni. A naplózáshoz elsődlegesen az adatbázis-kezelő rendszer által nyújtott eszközöket kell alkalmazni, amennyiben ez önmagában nem biztosítja a megfelelő naplózást, nem tudja naplózni az előírt eseményeket, akkor más szállító által készített szoftvert kell alkalmazni. Az adatszerkezet módosításának és az alkalmazási rendszer adatbázisban lévő programjai változtatásának naplózása erősen kapcsolódik a változáskezelés kontrolljaihoz is Naplózási követelmény az alkalmazásokban Az alkalmazás szinten kell naplózni azokat az eseményeket, amelyek csak ezen a szinten zajlanak. Az alkalmazásba történő a sikeres be és kijelentkezést, a sikertelen bejelentkezési kísérleteket, ki és mikor. Az alkalmazásmodulok indítását (ki, mikor, melyik modult) és a sikertelen próbálkozásokat (ki és mikor). : 1.0 Hatályba helyezve: Oldalszám: 11 / 17

12 /változat: 1.0 Oldalak száma: 12/17 Az alkalmazáson belüli jogosultsági rendszert érintő változtatásokat, jogosultsági csoportok létrehozását és módosítását, a felhasználók létrehozását és módosítását, valamint a csoportokhoz rendelését stb. (ki, mikor, melyik felhasználót, miről, mire). Az alkalmazás naplózó rendszerének bármilyen beállítás módosítását, a naplózás leállítását és indítását. Minden olyan üzleti eseményt, amelyet a felhasználói terület az adott rendszer esetében szükségesnek ítél (ki, mikor, mit, miről, mire). Ezen eseményeket az adott alkalmazást használó szervezeti egységnek kell meghatározni és a rendszerhez készített naplózási eljárásrendbe kell rögzíteni. Ezek a felhasználói terület által meghozott döntések az adott alkalmazás naplózási eljárásrendjében szerepelnek. A naplózáshoz elsődlegesen az alkalmazás által nyújtott eszközöket kell használni, amennyiben ez önmagában nem biztosítja a megfelelő naplózást, nem tudja naplózni az előírt eseményeket, akkor vagy fel kell kérni az alkalmazás szállítóját a megfelelő módosításra, vagy más szállító által készített szoftvert kell alkalmazni. Az alkalmazás saját konfigurációs állományai módosításának naplózása erősen kapcsolódik a változáskezelés kontrolljaihoz is Naplózási követelmény a hálózati aktív eszközökön Hálózati aktív eszközökön kell naplózni azokat az eseményeket, amelyek csak ezen az eszközön zajlanak: A hálózati eszköz konfigurációs rendszerébe történő be- és kilépést, a sikertelen bejelentkezési kísérleteket, ki és mikor. A konfiguráció változtatását, módosítását (ki, mikor, mit, miről, mire), a sikertelen konfigurációváltoztatási kísérleteket. A naplózáshoz elsődlegesen az eszköz által nyújtott szolgáltatást kell alkalmazni, amennyiben ez önmagában nem biztosítja a megfelelő naplózást, nem tudja naplózni az előírt eseményeket, akkor más szállító által készített szoftvert (eszközt) kell alkalmazni. Az eszköz saját konfigurációs állományai módosításának naplózása erősen kapcsolódik a változáskezelés kontrolljaihoz is Naplózási követelmény a hálózat biztonságát szavatoló eszközökön Hálózat biztonságát szavatoló eszközökön (pl.: tűzfal, behatolás detektáló rendszer, tartalomszűrő rendszer) naplózni kell azokat az eseményeket, amelyek csak ezen az eszközön zajlanak: : 1.0 Az eszköz konfigurációs rendszerébe történő be- és kilépést, a sikertelen bejelentkezési kísérleteket, ki és mikor. A konfiguráció változtatását, módosítását (ki, mikor, mit, miről, mire), a sikertelen konfigurációváltoztatási kísérleteket. Hatályba helyezve: Oldalszám: 12 / 17

13 /változat: 1.0 Oldalak száma: 13/17 Mivel ezen eszközök speciális feladatot látnak el ezért a fentiek mellett a további naplózandó események meghatározását az adott eszközhöz tartozó eljárásrendben, vagy rendszerdokumentciójában részletezzük. A naplózáshoz elsődlegesen az eszköz által nyújtott szolgáltatást kell alkalmazni, amennyiben ez önmagában nem biztosítja a megfelelő naplózást, nem tudja naplózni az előírt eseményeket, akkor más szállító által készített szoftvert (eszközt) kell alkalmazni. Az eszköz saját konfigurációs állományai módosításának naplózása erősen kapcsolódik a változáskezelés kontrolljaihoz is. 10. Naplózandó események a rendszerek kritikusságának figyelembe vételével A naplózzunk mindent elv alkalmazása a lehetséges összes tranzakció és változás nyomainak eltárolása költséghatékonysági és bizonyos méretek feletti fizikai tárkapacitás igény miatt nem kerül bevezetésre. Annak érdekében, hogy a rendelkezésre álló erőforrások ésszerű felhasználásával, de a kockázatok alapján szükségesnek ítélt biztonsági szint megtartásával a naplóállományok biztonsági célú, érdemi értékelése megvalósulhasson, három szinten írjuk elő a naplózási feladatokat, módszereket, tevékenységeket. Az üzletmenet folytonossági tervben meghatározottak szerinti három kockázati kategóriára a kritikus, vagy magas kockázatú, a közepes kockázatú és az alacsony kockázatú informatikai rendszerek. A kritikus rendszereknél jóval több esemény nyomát kell rögzíteni és utólag visszakereshetővé tenni, mint az alacsony kockázatúaknál. A kritikus rendszereinken minden esemény naplózását biztosítani kell. Az alacsonyabb kockázatú rendszereknél egyrészt nem minden eseményt kell naplózni, másrészt ugyanazok az események nem ugyanolyan kritikussági szinten jelennek meg a naplóelemzés kapcsán. 11. A naplóállományok kezelése a szerveren A naplóállományok méretét meg kell határozni. Kellően nagynak kell lennie, hogy napi mennyiség beleférjen, de az archiválását kézzel (automatizált script-el) kell végezni. A méret meghatározása szerverenként becsléssel és utólagos módosítással történjen. Kiinduló érték 500Mb legyen. A naplófájlok ürítését az operációs rendszer ütemezett programvégrehajtójával a napi munka utáni, de a mentés előtti időpontra kell beállítani. A tömörített és archivált naplóállományokat is fel kell tölteni a naplózó szerverre. Magán a szerveren egy hónapig tárolódnak a tömörített állományok és utána szintén programozott script törli. A naplózásért felelős rendszergazda a naplózó-szerveren hetente ellenőrzi, hogy az archivált fájlok rendben elkészülnek és mentődnek a szerverére. : 1.0 Hatályba helyezve: Oldalszám: 13 / 17

14 /változat: 1.0 Oldalak száma: 14/ A naplóesemények kezelése, feldolgozása A naplóeseményeket a naplózott szerverről továbbítani kell a naplózó-szerverre, lehetőség szerint azonnal az esemény bekövetkezése (a naplóbejegyzés létrejötte után). Amennyiben nem lehet azonnal továbbítani, akkor a hálózati kapcsolat helyreállítása után az elmaradt (át nem küldött) eseményeket is át kell küldeni a naplózó szerverre. 13. A naplóesemények kezelése a naplózó-szerveren A naplóesemények fogadását a szervernek minden időpontban biztosítania kell. A naplózandó szervereken kell gondoskodni arról, hogy a naplózó-szerver esetleges kiesésekor a naplóesemények tárolásra kerüljenek és a naplózó-szerver fogadókészségének helyreállása után a tárolt naplóesemények átküldésre kerüljenek a naplózó-szerverre. A naplózó-szerver a naplóesemény fogadásakor normalizálja a naplóbejegyzést, azaz kategorizálja és besorolja a megfelelő esemény típuskörbe. Egy naplóesemény több típuskörbe is tartozhat pl.: naplózási beállítás megváltoztatása, mint változáskezelési esemény, valamint biztonsági esemény. A normalizálás alapvető fontosságú a naplóesemények további kezelése és elemzése szempontjából. A rendszerenként és rendszertípusonként megjelenő naplóesemények aktuális normalizálási beállításait a rendszerenként elkészítendő eljárásrend tartalmazza. A normalizálási beállításokat az informatikai biztonsági felelős és a naplóelemzést végző munkatárs az igények szerint folyamatosan (igény szerint) módosíthatja, azonban minden módosításnak meg kell jelennie a rendszerenkénti eljárásrendekben és a korábbi beállításokat archiválni kell a visszamenőleges naplóelemzés biztosíthatósága céljából. 14. Naplóelemzés alapvető követelményei A naplóelemzést naptári naponként kell végezni lehetőleg automatizáltan. Erre a célra a naplózó-szervert kell igénybe venni. Az elemzés eredményét jelentésben kell bemutatni az arra illetékes kollégáknak a jogosultsági, megismerési és felelősségi szintek figyelembe vételével. A jelentéseket naponta az adott napra, naptári hetenként és naptári hónaponként kell elkészíteni, ahol az adott időszakra vonatkozó összes naplóeseményt értékelni kell. A jelentéseket 5 évre visszamenően tárolni kell és biztosítani kell azokban a kereshetőséget. Nem szükséges a jelentéseket on-line elérhető módon tárolni, de elfogadható időn belül tudni kell biztosítani a megfelelő kereshetőséget és elemezhetőséget. : 1.0 Hatályba helyezve: Oldalszám: 14 / 17

15 /változat: 1.0 Oldalak száma: 15/ A naplóelemzési jelentés A naplóelemzés jelentése a naplóeseményeket négy alapvető kategóriába sorolva mutatja be. A négy kategória: Jogosultsági események: a jogosultság kezelésére, használatára vonatkozó események, Változáskezelési események: az adott rendszer konfigurációjának, beállításának megváltoztatását jelző események, az adott rendszer (program, adatbázis stb.) megváltozását jelző események, javítócsomag telepítését jelző események, Informatikai biztonsági események: azon események gyűjteménye, amelyek az informatikai rendszer biztonságát sértik vagy sérthetik, Egyéb események: az összes olyan naplózott esemény, amely nem került besorolásra a fenti három kategóriába. (Cél, hogy minden esemény a megfelelő kategóriában jelenjen meg és ebben a kategóriában a lehető legkevesebb esemény szerepeljen.) A négy alapvető kategória további bontása történhet egyrészt eseményfajta szerint csoportosítva, pl.: jogosultság beállításának változása események, másrészt rendszerenként csoportosítva az eseményfajtákat. Az előbbire a jogosultságokkal általában foglalkozó szakembereknek pl.: biztonsági felelős, a másodikra a rendszerenkénti felelősséggel bíró alkalmazottaknak pl.: adatgazda, rendszergazda van szüksége. A naplóelemzési jelentésben a naplóesemények kritikusság szerint színnel jelölve jelenjenek meg. Kritikus esemény színe piros, a figyelmet igénylő esemény színe sárga, a normál (külön figyelmet nem igénylő) esemény színe zöld. A jelentésben összesítéskor a legmagasabb kritikusságú esemény határozza meg a magasabb szint színét, így azonnal felismerhető, a legmagasabb szintű (4 kategória) csoportokban, hogy abban kritikus esemény történt. Meg kell határozni azt, hogy a naplózási szabályzatban és a naplózási eljárásrendekben rögzítettek közül melyik eseményt tekintünk kritikusak, melyiket figyelemre méltónak és melyiket normál eseménynek. Az események kritikussági szintbe sorolásánál figyelembe kell venni azt is, hogy egy-egy adott esemény milyen kritikussági szintű rendszeren történt, mivel ez is befolyásolja, hogy egy adott eseményt kritikusnak, figyelemre méltónak tekintünk, vagy nem. Az elemzés elkészítésekor az egyéb (be nem sorolt) eseményeket statisztikai módszerrel tekintjük át, gyakorlatilag a szokásostól eltérő eseményeket, a nagyobb gyakoriság változásokat vizsgáljuk meg. A vizsgálat után vezetői döntés kérdése, hogy az azt kiváltó esemény bekerül-e a szokásos jelentési rendszerbe, vagy továbbra is csak a szokásostól eltérők között vizsgáljuk. : 1.0 Hatályba helyezve: Oldalszám: 15 / 17

16 /változat: 1.0 Oldalak száma: 16/17 A következő táblázat tartalmazza azokat az esemény altípusokat, amelyeket a kritikus rendszerek esetében kritikus eseménynek tekintünk. Események Jogosultságkezelési esemény Biztonsági események Változáskezelési események Egyéb események A naplózó rendszert érintő beállítás változtatás, konfigurálás. Naplózási rendszer leállítása, felfüggesztése, elindítása. A működést alapvetően befolyásoló, a konfigurációt érintő paraméterek állítása, változtatása, törlése (rendszerenként a naplózási eljárásban kerül meghatározásra). A jogosultsági rendszert érintő változtatások (rendszerenként a naplózási eljárásban kerül meghatározásra). pl. új csoportok létrehozása, meglévők módosítása, törlése, a jogosultságokat rendszerszinten érintő változtatások stb. Egy adott felhasználó (felhasználói azonosító) magas jogú csoportba történő besorolása, kivétele. pl. egy felhasználó rendszergazdai csoportba sorolása, kivétel a csoportból Közvetlen bejelentkezés az adatbázisba. Hálózati eszköz, vagy hálózatbiztonsági eszköz konfigurációjának változtatása. Alkalmazás programfájljainak, adatbáziskezelő rendszerfájljainak, az adatbázisban tárolt programoknak (tárolt eljárások, triggerek) a megváltoztatása. Az olyan események, amelyek jelentősen eltérnek a szokásostól, vagy gyakoriságban, vagy esemény fajtában. : 1.0 Meg kell határozni rendszerenként azon eseményeket, amelyek kritikussága igényli az azonnali beavatkozást (dokumentálást). Ezen eseményekről az adott rendszer rendszergazdáját ben értesíteni kell. Biztosítani kell a naplózott események ad-hoc elemzésének lehetőségét, amihez lehetővé kell tenni a naplóbejegyzések szűrését az alábbi szabályok szerint: dátum Hatályba helyezve: Oldalszám: 16 / 17

17 /változat: 1.0 Oldalak száma: 17/17 és idő, felhasználó név, bejegyzés típusa, bejegyzés forrása, a sikeressége vagy sikertelensége. A naplóelemzés után (jelentések elkészülte) azon eseményeket, amelyek veszélyeztethetik a Társaság informatikai biztonságát, ki kell vizsgálni és az eredményt dokumentálni kell. Az események okainak feltárása (módszere, menete és eljárásai) nem része jelen szabályzatnak, így egy kritikus esemény megjelenésekor a jelentésben foglaltak alapján az Informatikai biztonsági felelősnek kell eldönteni, hogy mely eseményeknek volt valós (dokumentált) alapja és mely eseményeknek nem (ezek jegyzőkönyvezése az Informatikai biztonsági felelős feladata). Cél, hogy olyan kritikus esemény ne legyen, amelynek nincs dokumentált alapja. 16. Naplózó-szerver rendszergazdai feladatok A naplózó szerver mentéséről és ezzel együtt a mentési adathordozók kezeléséről külön kell gondoskodni, azt nem lehet a többi rendszer rendszergazdáinak kezelésébe adni. Ennek megfelelően a naplózó szerver mentéséről, a mentett adatok biztonságáról a naplózó szerver rendszergazdájának kell gondoskodni. A mentési adathordozón az adatok tárolását integritás-ellenőrzésre alkalmas módon kell tárolni. A mentést a Társaság Mentési szabályzatának megfelelően kell végezni. A két mentési adathordozót egymástól elkülönített módon tűzbiztos tároló helyen kell őrizni. A mentendő naplóállományokat (adatbázist) úgy kell menteni, hogy azok egy mentési adathordozó hibája (megsemmisülése) esetén is legalább 2 évre visszamenőleg megtalálhatóak és vizsgálhatóak legyenek. A hó végi állapotokat 2 évig meg kell őrizni. A naplóállományok és naplóelemzési eredmények mentését, a mentések használhatóságát évente két alkalommal szúrópróbaszerűen tesztelni kell, így meg kell bizonyosodni arról, hogy a mentett adatok megfelelően rendelkezésre állnak. A mentés megfelelőségéről visszatöltéssel kell meggyőződni. : 1.0 Hatályba helyezve: Oldalszám: 17 / 17