KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Átírás

1 KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-2. kötet Informatikai Biztonság Irányítási Követelmények (IBIK) 1.0 verzió június

2 Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Muha Lajos PhD, CISM K ö z r e mőködött: Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Sneé Péter, Váncsa Julianna PhD. Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonság Irányítási Keretrendszer

3 TARTALOMJEGYZÉK ELİSZÓ...9 BEVEZETÉS AZ INFORMATIKAI BIZTONSÁG MIÉRT VAN SZÜKSÉG AZ INFORMATIKAI BIZTONSÁGRA? HOGYAN ÁLLÍTSUNK FEL BIZTONSÁGI KÖVETELMÉNYEKET? A BIZTONSÁGI KOCKÁZATOK MEGHATÁROZÁSA AZ INTÉZKEDÉSEK KIVÁLASZTÁSA AZ INFORMATIKAI BIZTONSÁG KIINDULÓPONTJA KRITIKUS SIKERTÉNYEZİK ÚTMUTATÓ SAJÁT INFORMATIKAI BIZTONSÁGI SZABÁLYZAT ELKÉSZÍTÉSÉHEZ FEJEZET ALKALMAZÁSI TERÜLET FEJEZET FOGALMAK ÉS MEGHATÁROZÁSOK AZ INFORMATIKAI BIZTONSÁG FEJEZET AZ AJÁNLÁS FELÉPÍTÉSE FEJEZET KOCKÁZATOK MEGHATÁROZÁSA, ELEMZÉSE ÉS KEZELÉSE KOCKÁZATELEMZÉS KOCKÁZATKEZELÉS FEJEZET BIZTONSÁGPOLITIKA AZ INFORMATIKAI BIZTONSÁG DOKUMENTUMAI Az informatikai biztonságpolitika Az informatikai biztonsági stratégia Az Informatikai Biztonsági Szabályzat FELÜLVIZSGÁLAT ÉS FEJLESZTÉS FEJEZET SZERVEZETI BIZTONSÁG AZ INFORMATIKAI BIZTONSÁG BELSİ SZERVEZETI STRUKTÚRÁJA Vezetıi elkötelezettség Az informatikai biztonság és a szervezeti struktúra összehangolása Az informatikai biztonsági feladatok megosztása Biztonsági Vezetı Informatikai Biztonsági Vezetı Az adatfeldolgozás engedélyezési eljárásai Titoktartási nyilatkozatok Együttmőködés külsı szervezetekkel, hatóságokkal Együttmőködés különféle szakmai és információvédelmi szervezetekkel Az informatikai biztonság független felülvizsgálata Informatikai biztonsági tanácsadás ELİÍRÁSOK A KÜLSİ SZEMÉLYEK ÁLTAL TÖRTÉNİ HOZZÁFÉRÉSEKKEL KAPCSOLATBAN A külsı személyek által történı hozzáférések kockázatai A hozzáférések típusai A hozzáférések engedélyezési feltételei Magyar Informatikai Biztonság Irányítási Keretrendszer 3

4 Helyszíni tevékenységet végzı külsı személyek A külsı személyek által történı hozzáférések kockázatainak felmérése Ügyfélkapcsolatok informatikai biztonsága Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben VÁLLALKOZÁSBA ADÁS Elıírások a vállalkozásba adási szerzıdésekben FEJEZET AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE SZÁMADÁSI KÖTELEZETTSÉGEK AZ ESZKÖZÖKKEL KAPCSOLATBAN Eszköz és vagyonleltár A vagyontárgyak gazdája Az eszközök (vagyontárgyak) megfelelı használata AZ ADATOK BIZTONSÁGI OSZTÁLYOZÁSA Az osztályozás irányelvei Az adatok minısítése, címkézése és kezelése FEJEZET SZEMÉLYI BIZTONSÁG AZ ALKALMAZÁS ELİTT Informatikai biztonság a felvételnél és a munkaköri leírásokban A személyzet biztonsági átvilágítása és a személyzeti politika A foglalkoztatás feltételei AZ ALKALMAZÁS ALATT A vezetıség felelısségei Az informatikai biztonsági oktatás és képzés Fegyelmi eljárás AZ ALKALMAZÁS MEGSZŐNÉSEKOR VAGY VÁLTOZÁSAKOR A munkaviszony megszüntetésének biztonsági kérdései Az eszközök visszaadása A hozzáférési jogok visszavonása Az átszervezés biztonsági kérdései FEJEZET FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG BIZTONSÁGI SZEGMENSEK Biztonsági határok beléptetési intézkedések Létesítmények és helyiségek biztonsága Védelem a külsı és környezeti fenyegetettségek ellen Munkavégzés a biztonsági szegmensekben A kiszolgáló területek és raktárak biztonsági elkülönítése A BERENDEZÉSEK FIZIKAI VÉDELME A mőszaki berendezések elhelyezése és védelme Energiaellátás A kábelezés biztonsága A berendezések karbantartása A telephelyen kívüli berendezések védelme A berendezések biztonságos tárolása és újrafelhasználása Az eszközök selejtezése, elvitele Az informatikai eszközök selejtezése Az informatikai eszközök kivitele, szervízbe küldése Magyar Informatikai Biztonság Irányítási Keretrendszer

5 10. FEJEZET SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE ÜZEMELTETÉSI ELJÁRÁSOK ÉS FELELİSSÉGEK Az üzemeltetési eljárások dokumentációja Változásmenedzsment A feladatkörök elhatárolása A fejlesztési és az üzemeltetési feladatok szétválasztása Külsı létesítmények üzemeltetése HARMADIK FÉL SZOLGÁLTATÁSÁNAK IRÁNYÍTÁSA A szolgáltatás színvonala A szolgáltatás auditja Változáskezelés INFORMATIKAI RENDSZEREK TERVEZÉSE ÉS ÁTVÉTELE Kapacitástervezés A rendszer átvétele VÉDELEM ROSSZINDULATÚ PROGRAMOK ELLEN A rosszindulatú programokat ellenırzı eszközök A vírusvédelmi rendszer kialakítása és mőködtetése Mobil kód elleni intézkedések MENTÉS Adatmentések HÁLÓZATMENEDZSMENT Hálózatbiztonsági intézkedések Hálózati szolgáltatások biztonsága AZ ADATHORDOZÓK BIZTONSÁGOS KEZELÉSE Hordozható adathordozók kezelése Az adathordozók tárolása Adathordozók kivitele Az adathordozók, újrahasznosítása selejtezése Adathordozók újrahasznosítása Adathordozók megsemmisítése Adatkezelési eljárások A rendszerdokumentációk biztonsága ADATOK ÉS PROGRAMOK CSERÉJE Adatcserére vonatkozó szabályzatok és eljárások Az adatcsere egyéb formái Megállapodások az adatok és programok cseréjérıl Adathordozók szállítása Az elektronikus levelezés biztonsága Biztonsági kockázatok Az elektronikus levelezés irányelvei Üzleti információs rendszerek AZ ELEKTRONIKUS KERESKEDELEM BIZTONSÁGA Biztonsági intézkedések On-line tranzakciók Nyilvános rendszerek biztonsága A BIZTONSÁGI MEGFIGYELİ RENDSZER HASZNÁLATA Biztonsági események naplózása A rendszer használat megfigyelése Magyar Informatikai Biztonság Irányítási Keretrendszer 5

6 Kockázati tényezık Az eseménynaplózás és értékelése Naplózási információk védelme Adminisztrátori és operátori tevékenységek naplózása Rendszerhibák naplózása Rendszerórák szinkronizálása FEJEZET HOZZÁFÉRÉS MENEDZSMENT A HOZZÁFÉRÉS ELLENİRZÉS ÜZLETI KÖVETELMÉNYEI A hozzáférés ellenırzésének szabályai Hozzáférés ellenırzési szabályzat Külsı fél hozzáférése A FELHASZNÁLÓI HOZZÁFÉRÉS MENEDZSMENTJE A felhasználók regisztrációja A jogosultságok kezelése A felhasználói jelszavak kezelése A felhasználó hozzáférési jogosultságainak ellenırzése A FELHASZNÁLÓ FELADATAI, FELELİSSÉGEI Jelszó használat Felügyelet nélküli berendezések Adattárolási és képernyı-kezelési irányelvek A HÁLÓZATI SZINTŐ HOZZÁFÉRÉSEK MENEDZSMENTJE A hálózati szolgáltatások használatának irányelvei Kötelezı hozzáférési útvonal Felhasználó azonosítás-hitelesítés távoli kapcsolatnál Hálózati eszközök, munkaállomások azonosítása és hitelesítése A távdiagnosztikai portok védelme A hálózatok biztonsági szegmentálása A hálózatra történı csatlakozások ellenırzése A hálózati útvonal kiválasztások ellenırzése AZ OPERÁCIÓS RENDSZERSZINTŐ HOZZÁFÉRÉSEK ELLENİRZÉSE Biztonságos hitelesítési, bejelentkezési eljárások Munkaállomások automatikus azonosítása, hitelesítése Biztonságos bejelentkezési eljárások A felhasználó azonosítása, hitelesítése Jelszómenedzsment rendszer Rendszer segédprogramok használata Kapcsolati idıtúllépés Kapcsolati idıkorlátozás Támadás-riasztás ALKALMAZÁS SZINTŐ HOZZÁFÉRÉSEK VEZÉRLÉSE Az adatelérés szabályozása Érzékeny adatokat kezelı rendszer elkülönítése MOBIL INFORMATIKAI TEVÉKENYSÉG, TÁVMUNKA Mobil informatikai tevékenység A távmunka Magyar Informatikai Biztonság Irányítási Keretrendszer

7 12. FEJEZET AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA AZ INFORMATIKAI RENDSZEREK INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEI A biztonsági követelmények elemzése és meghatározása BIZTONSÁG AZ ALKALMAZÁSI RENDSZEREKBEN A bemenı adatok hitelesítése Az adatfeldolgozás ellenırzése Veszélyeztetett területek Vezérlı és ellenırzı eljárások Az üzenetek hitelesítése A kimenı adatok hitelesítése KRIPTOGRÁFIAI ESZKÖZÖK A kriptográfiai eszközök alkalmazásának irányelvei Rejtjelzés Digitális aláírás Szolgáltatások a le nem tagadhatóságra Kulcsmenedzsment A kriptográfiai kulcsok védelme Szabványok, eljárások, módszerek RENDSZERÁLLOMÁNYOK VÉDELME Az operációs rendszer ellenırzése A rendszervizsgálati (teszt) adatok védelme A program forráskönyvtárhoz való hozzáférés ellenırzése INFORMATIKAI BIZTONSÁG A FEJLESZTÉSI ÉS A KARBANTARTÁSI FOLYAMATOKBAN Változásmenedzsment Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések A szoftvercsomagok megváltoztatásának korlátozása A rendszeriformációk kiszivárgásának megakadályozása A programfejlesztés kihelyezése A MŐSZAKI SEBEZHETİSÉGEK KEZELÉSE A mőszaki sebezhetıségek ellenırzése FEJEZET AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE BIZTONSÁGI ESEMÉNYEK ÉS BIZTONSÁGI RÉSEK JELENTÉSE A biztonsági esmények jelentése A biztonsági rések, gyenge pontok jelentése Programhibák jelentése INFORMATIKAI BIZTONSÁGI INCIDENS MENEDZSMENT Eljárások és felelısségek Okulás az informatikai biztonsági incidensekbıl Bizonyítékok győjtése, védelme A bizonyítékokra vonatkozó szabályok A bizonyítékok elfogadhatósága A bizonyítékok minısége és hiánytalan volta FEJEZET ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT AZ ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT INFORMATIKAI BIZTONSÁGI SZEMPONTJAI Magyar Informatikai Biztonság Irányítási Keretrendszer 7

8 Az informatikai biztonsági szempotok érvényesítése az üzletmenetfolytonosság irányításában Az üzletmenet-folytonossági hatásvizsgálatok és a kockázatok elemzése Az üzletmenet-folytonossági terv kidolgozása Katasztrófa-elhárítási terv Az üzletmenet-folytonosság tervezési keretrendszere Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése A tervek tesztelése A tervek karbantartása és újraértékelése FEJEZET MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A SZABÁLYOZÓKNAK A JOGSZABÁLYI ELİÍRÁSOK BETARTÁSA A vonatkozó jogszabályok behatárolása Szellemi tulajdonjogok Szerzıi jogok Szoftver szerzıi jogok A szervezet adatainak biztonsága Személyes adatok védelme A védelmi eszközökkel elkövethetı visszaélések megelızése A kriptográfiai eszközök kezelésének szabályozása AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZATNAK, SZABVÁNYOKNAK ÉS MŐSZAKI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS Az informatikai biztonsági elıírásoknak való megfelelés A mőszaki követelményeknek való megfelelés AZ INFORMATIKAI RENDSZEREK BIZTONSÁGI ELLENİRZÉSÉNEK SZEMPONTJAI Rendszerauditálási óvintézkedések Rendszerauditáló eszközök védelme MELLÉKLETEK MELLÉKLET: FELHASZNÁLÓ REGISZTRÁCIÓS LAP MELLÉKLET: FELHASZNÁLÓ KILÉPTETİ LAP MELLÉKLET: HÁLÓZATI JOGOSULTSÁG IGÉNYLİ LAP MELLÉKLET: HÁLÓZATI HOZZÁFÉRÉSI ENGEDÉLY (HARMADIK SZEMÉLY RÉSZÉRE) MELLÉKLET: TITOKTARTÁSI NYILATKOZAT Magyar Informatikai Biztonság Irányítási Keretrendszer

9 ELİSZÓ Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL 1 -re és a COBIT 2 -ra. Az ITIL, Az informatikaszolgáltatás módszertana egy az informatika, mint szolgáltatás egészére kiterjedı, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létezı ITIL folyamatokat bıvíti a biztonságirányítással. A COBIT az információrendszer ellenırök egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenırzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. Az ISO/IEC szabvány (Common Criteria) elsısorban technikai jellegő, fıleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minısítésére. Nem 1 ITIL = Information Infrastructure Library Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezıek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az Information Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára de facto nemzetközi szabvánnyá vált, amelynek több országban mőködik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával novemberében honosították. 2 COBIT = Control Objectives for Information and Related Technology Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenırzésével és Vizsgálatával foglalkozó Alapítvány), az Information Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsısorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenırzési irányelvek, a Vezetıi útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezéső kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenırzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fı hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Magyar Informatikai Biztonság Irányítási Keretrendszer 9

10 tartalmaz ugyanakkor megfelelıen, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltetı, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR Guidelines for the Management of Information Security 3 (GMITS) mőszaki beszámoló. Az ISO/IEC TR nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de Technical Report -ként, ami ebben az esetben a megoldási lehetıségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR öt részbıl áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for Information Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning Information Security), 3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of Information Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections). 3 Segédlet az informatikai biztonság irányításához 10 Magyar Informatikai Biztonság Irányítási Keretrendszer

11 Az ISO/IEC 27002:2005 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelı informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különbözı nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a de facto nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC szabványt bár kritikák is érik a világ, és különösen az Európai Unió mind több országában fogadják el a különbözı szervezetek informatikai rendszerük biztonságának alapjaként. Ezért a jelen követelményeknek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével. Magyar Informatikai Biztonság Irányítási Keretrendszer 11

12 12 Magyar Informatikai Biztonság Irányítási Keretrendszer

13 BEVEZETÉS 1. Az informatikai biztonság Az informatikai biztonság az informatikai rendszer olyan az érintett 4 számára kielégítı mértékő állapota, amelynek védelme az informatikai rendszerben kezelt 5 adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körőség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az idıben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olyan módon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, mint a védelem erısségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy az elmaradt haszon az veszteség gazdasági alaptétel mintájára az elmaradt kár az haszon tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkezı károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetık pénzkidobásnak. 4 Az érintett alatt a védelem nem kielégítı megvalósítását elszenvedı, a védelmet elıíró, továbbá a védelemért felelıs személyek és szervezetek együttese értendı. 5 Az adatok kezelése az alkalmazott eljárástól függetlenül a adatok győjtése, felvétele, tárolása, feldolgozása (megváltoztatás, átalakítás, összegzés, elemzés, stb.), továbbítása, törlése, hasznosítása (ideértve például a nyilvánosságra hozatalt is), és felhasználásuk megakadályozása. Magyar Informatikai Biztonság Irányítási Keretrendszer 13

14 2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentıs üzleti értéket, vagyont képeznek, olyan kiemelt jelentıségő erıforrások, amelyek semmi mással nem helyettesíthetı. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tőzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes változata a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számítógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezetı támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerıbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti mőködtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhetı hozzá, elvész vagy illetéktelen kezekbe jut, az jelentıs anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentıs változások történtek az információ megjelenési formáját illetıen. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselı információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektıl és informatikai szolgáltatásoktól való függıség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetıbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erıforrások megosztása nagyon megnehezíti a hozzáférések ellenırzését. Az osztott feldolgozás tendenciája, iránya jelentısen meggyengítette a szakértıi központi ellenırzés hatékonyságát. Igen sok informatikai rendszert egyszerően nem biztonságosra terveztek. Csak mőszaki eszközökkel kizárólag korlátozott biztonság érhetı el, éppen ezért kell azt megfelelı vezetési és irányítási módszerekkel támogatni. Az informatikai biztonság megteremtésének kiindulópontját az információ minısítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetıség szerint mindenre kiterjedı, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az informatikai biztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthetı. 14 Magyar Informatikai Biztonság Irányítási Keretrendszer

15 A biztonság megteremtéséhez nem elegendı a megfelelı szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van. Szervezeti szempontból fontos, hogy az informatikai biztonság különbözı, de szorosan összetartozó szakterületeit mővelı szakemberek, azonos szervezeti egységhez tartozzanak, közös irányítás alatt. A megfelelı biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthetı a számítógépen készített és tárolt minısített irat illetéktelen megismerésének valószínősége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép által automatikusan és folyamatosan tárolt feljegyzések alapján a biztonságot sértı eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerő megvalósítása esetén lehetséges, amely speciális, az informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erıforrásokat. Ennek hiányában a számítógépeken digitális állapotú információk megismerése nyomtalanul végrehajtható, és a további erıfeszítések a kinyomtatott, papíralapon megjelenı iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelı védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintő elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintı változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelmérıl nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellı figyelmet. A Ttv ben jelent meg, amikor a kérdés jelentısége még sokkal kisebb volt, és a jogszabályalkotó azóta is adós az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minısített adat kezelésének rendjérıl) nem követték a tényleges technikai fejlıdést és az egyre növekvı mértékben megjelenı biztonsági kockázatokra nem adtak releváns választ, ezért a valós veszélyekre való tekintettel az egyes szervezetek öntevékenyen kezdték el Magyar Informatikai Biztonság Irányítási Keretrendszer 15

16 szabályozni ezt a területet, így jelenleg sokféle, különbözı szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létezı szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végzı szerv szabályozza és ellenırzi. 3. Hogyan állítsunk fel biztonsági követelményeket? Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonságpolitikáját, belsı szabályzóit. Ennek három fı forrása ismert: 1. A követelmények elsı forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez utóbbiak bekövetkezésének valószínőségét, és megbecsüli a lehetséges, várható károkat. 2. A második forrást azok a törvényi, szabályozási és szerzıdési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. 3. A harmadik forrást azok az adatfeldolgozási alapelvek, célkitőzések és követelmények alkotják, amelyeket a szervezet saját mőködésének támogatására fejlesztett ki. 4. A biztonsági kockázatok meghatározása A biztonsági követelmények és intézkedések a biztonsági kockázatok módszeres felmérésével határozhatók meg. A védelmi szint meghatározásának kulcsfogalma a kockázat arányosság. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, a védelem erısségének is szokták nevezni. Röviden a védelmi intézkedések kiadásai legyenek egyensúlyban a biztonsági eseményekbıl származó megbecsült üzleti veszteségekkel. Ahogyan a szervezet környezete, piaci szerepe valamint szervezeti felépítése változik, úgy folyamatosan változik a szervezet mőködését veszélyeztetı veszélyforrások száma. Az új veszélyforrások és kockázati tényezık felismeréséhez, valamint az új védelmi intézkedések 16 Magyar Informatikai Biztonság Irányítási Keretrendszer

17 foganatosítása érdekében a kockázatok felmérését idıszakosan meg kell ismételni. (A biztonsági kockázatok felmérésével a 4.1 fejezet foglalkozik.) 5. Az intézkedések kiválasztása A biztonsági kockázatok meghatározása után kerülhet sor a megfelelı szintő, kockázatarányos védelmi intézkedések kiválasztására, foganatosítására, amely szervezet számára elviselhetı szintre hozza ezeket a kockázatokat. A kiválasztott biztonsági intézkedések, eljárások nagyban függnek: - a szervezet kockázat vállalási szintjétıl, - a szervezetnél alkalmazott általános kockázatkezelési megközelítéstıl, - valamint az összes ide vonatkozó nemzeti és nemzetközi törvényi szabályozástól. (A biztonsági intézkedések kiválasztásával a 4.2 fejezet foglalkozik.) 6. Az informatikai biztonság kiindulópontja A jelen követelmények alapján számos intézkedés tekinthetı jó kiindulási pontnak az informatikai biztonság kialakításához. A szabványban rögzített védelmi intézkedések megfelelnek napjaink informatikai biztonsági gyakorlatának. A legfontosabb jogi kérdésekkel kapcsolatos intézkedések: a) az adatvédelem és a személyes információ bizalmassága (lásd fejezet); b) a szervezeti feljegyzések védelme (lásd fejezet); c) a szellemi tulajdonjog (lásd fejezet). Napjaink informatikai biztonsági gyakorlatának tekinthetı alapintézkedések: a) az informatikai biztonságpolitika dokumentuma (lásd fejezet); b) az informatikai biztonság felelısségeinek kiosztása (lásd fejezet); c) informatikai biztonságtudatosság, -képzés és -oktatás (lásd fejezet); Magyar Informatikai Biztonság Irányítási Keretrendszer 17

18 d) helyes feldolgozás az alkalmazások során (lásd fejezet); e) mőszaki sebezhetıség kezelése (lásd fejezet); f) mőködésfolytonosság irányítása (lásd 14. fejezet); g) az informatikai biztonsági incidensek és fejlesztések irányítása (lásd fejezet). Ezek az intézkedések szervezetek többségére, általános környezetben érvényesek. Fontos, hogy ezek az alapintézkedések irányadóak ugyan, de az általunk védett szervezet védelmi intézkedéseit azokra az eseti kockázatokra kell meghatározni, amelyek azt fenyegetik. 7. Kritikus sikertényezık A sokéves informatikai biztonsági gyakorlat azt mutatja, hogy az alább felsorolt tényezık sikeressége nagyban befolyásolja egy adott szervezet védelmi szintjét: a) informatikai biztonsági politika céljainak és üzleti tevékenységek céljainak összhangja; b) informatikai biztonsági intézkedések bevezetésének, vizsgálatának, és karbantartásának összhangja a szervezeti kultúrával; c) látható támogatás és elkötelezettség a vezetıség minden szintjén; d) az informatikai biztonsági követelmények, kockázatfelmérés és kockázatkezelés fontosságának megértése; e) az informatikai biztonság eredményes közvetítése minden vezetı, és munkatárs felé; f) az informatikai biztonság irányításának, és a védelmi intézkedések implementálásának anyagi támogatása; g) az információvédelmi tudatosság elérésére, folyamatos oktatás és képzés nyújtása, eredményes informatikai biztonsági incidenskezelési folyamatok kialakítása; 18 Magyar Informatikai Biztonság Irányítási Keretrendszer

19 h) az informatikai biztonsági rendszer folyamatos fejlesztése, ellenırzése, karbantartása (TVEB 6 modell). 8. Útmutató saját informatikai biztonsági szabályzat elkészítéséhez Jelen dokumentum keret lehet, egy a szervezetekre általánosan jellemzı szervezeti szintő Informatikai Biztonsági Szabályzat fejlesztéséhez. Gyakorlati tapasztalat, hogy az Informatikai Biztonsági Szabályzatokban az informatikai biztonsági szabványoknak való megfelelés és hivatkozás lényegesen megkönnyíti az auditorok dolgát. Jelen dokumentumban, valamint az információvédelemmel, informatikai biztonsággal kapcsolatos más dokumentumokban elıírt védelmi intézkedések nem alkalmazhatóak minden szervezetre. Minden szervezetnek saját magának kell meghatároznia biztonsági kockázatait melyekkel nap, mint nap szembenéz, és ezekkel a kockázatokkal arányosan kell létrehoznia védelmi intézkedéseit. 6 Plan Do Check Act Magyar Informatikai Biztonság Irányítási Keretrendszer 19

20 20 Magyar Informatikai Biztonság Irányítási Keretrendszer