KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Átírás

1 KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/2. Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 1.0 verzió június

2 Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából K é s z í t e t t e : Balázs István Dr., CSc, Szabó István Dr., CSc, Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak május-júniusi elektronikus távszavazása alapján került elfogadásra 2

3 TARTALOMJEGYZÉK 1. BEVEZETÉS CÉLKÖZÖNSÉG, A SÉMA CÉLJA ÉS SZEREPLİI AZ AJÁNLÁS CÉLKÖZÖNSÉGE A SÉMA CÉLJA A SÉMA SZEREPLİI ÉS FELEDATAIK AJÁNLÁSOK ÉRTÉKELT TERMÉKEK ÉS RENDSZEREK ALKALMAZÁSÁRA9 4. AJÁNLÁS AZ INFORMATIKAI BIZTONSÁG HAZAI, TECHNOLÓGIAI SZEMPONTÚ ÉRTÉKELÉSI MÓDSZERÉRE ALAPUL SZOLGÁLÓ SZABVÁNYOK

4 1. BEVEZETÉS Az informatikai alkalmazások egyre átfogóbb alkalmazása érinti a társadalom minden rétegét (az államigazgatást, a kritikus infrastruktúrákat, a gazdasági és a civil szférát) és ezek kapcsolatát. Ebbıl következıen egyre nagyobb értéket képvisel az információ-technológiai eszközökben feldolgozott információ, melynek megsérülése vagy szándékos veszélyeztetése (beleértve az információval történı visszaéléseket és az adatok meghamisítását is) mérhetetlen károkat okoz(hat). Az informatikai rendszereket üzemeltetı vezetık és üzemeltetık felelıssége kiterjed az informatikai adatvagyon, az információhoz kapcsolódó személyiségi jogok védelmére is, melyet a társadalmi, szervezeti érdekeken túlmutatóan jogszabályi elıírások is elvárnak. Mindezek miatt kiemelt igény mutatkozik az informatikai biztonság garantálására. Az informatikai biztonság mely tartalmazza az információk és az informatikai eszközök és szolgáltatások védelmét is sokrétő fogalom, fejlesztése, folyamatos fenntartása minden résztvevı felelıssége, egyúttal szerteágazó szaktudást igényel. A szervezetek hatékony vezetése és rendeltetés szerinti mőködtetése csak a szükséges információ birtokában valósítható meg. Jelentıs anyagi és erkölcsi károkat okozhat, ha az információ nem hozzáférhetı, megsérül, vagy illetéktelen kezekbe jut, ezért kiemelten fontos feladat egy informatikai biztonsági irányítási rendszer mőködtetése. Információs rendszereink és hálózataink egyre gyakrabban érintettek különbözı forrásból származó biztonsági fenyegetésekkel, többek között a számítógépes csalással és a bizalmas információk illetéktelen megszerzési törekvéssel szemben. A szándékos károkozások technikai lehetıségeinek széles skálája áll a rosszindulatú támadók rendelkezésére. Ismeretes, hogy a védelmi rendszerek fejlıdésével annak ellenére, hogy a támadó rendszerek kifejlesztése egyre több szaktudást igényel jelentıs károkat okozó támadások végrehajtása minimális felkészültséggel is eredményt hozhat, mivel a támadó rendszerek (hacker- és kémprogramok, vírusok, ) jelentıs eszközparkja az interneten szabadon hozzáférhetı. Ezért a szervezeti szinten megtett védelmi intézkedések hatékonysága érdekében szükség van az informatikai termékekre és rendszerekre elıírt technológiai biztonsági követelményekre, valamint az ezek teljesítését igazoló garanciákra is. 4

5 A fentieknek megfelelıen az informatikai biztonság közvetlenül és alapvetıen függ: mind az informatikai rendszert üzemeltetı szervezet folyamataitól, biztonságot menedzselı szervezeti struktúrájától, hozzáértı humán erıforrásaitól, szabályozási rendszerszerétıl, a szabályok betartásának ellenırzésétıl; mind a szoftver és hardver termékek, valamint az ezekbıl integrált komplex informatikai rendszerek és alkalmazások biztonsági megfelelıségétıl; valamint e két terület egymásra ható kapcsolatától. A Miniszterelnöki Hivatal Elektronikuskormányzat-központ megrendelésére elkészült a Magyar Informatikai Biztonsági Ajánlások (MIBA) címő ajánlássorozat. A MIBA fı célja, hogy biztonságos informatikai rendszerek kialakítását és fenntartását segítse elı. A nemzetközi szabványokhoz és ajánlásokhoz igazodva a MIBA három fı részbıl áll: A Magyar Informatikai Biztonsági Keretrendszer (MIBIK) szervezeti szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBIK a biztonságos informatikai rendszerek irányításáért, menedzseléséért felelıs vezetıknek, illetve a szervezet egészére vonatkozó követelmények teljesülését értékelı szakembereknek szól. A Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma (MIBÉTS) technológiai szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBÉTS célközönsége az informatikai rendszerek kialakításáért, fejlesztéséért felelıs vezetık, valamint az informatikai termékek és rendszerek biztonsági értékelését és tanúsítását végzı szakemberek köre. Az Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) olyan szervezeteknek nyújt segítséget biztonságos informatikai rendszereik kialakításához, amelyek nem rendelkeznek jelentısebb informatikai rendszerrel, illetve ehhez elkülönült informatikai személyzettel. Ez a dokumentum a MIBÉTS ajánlását tartalmazza. A MIBÉTS az ISO/IEC 15408:2005 és ISO/IEC 18045:2005 nemzetközi szabványokon, illetve a nemzetközi legjobb gyakorlatokon és nemzeti sémákon alapul. Keretet biztosít arra, hogy az informatikai termékek és rendszerek tekintetében a biztonsági funkciók teljessége és hatásossága értékelésre kerüljön. Értékelési módszertana alkalmas az operációs rendszerek, 5

6 hardverek (pl. hálózati eszközök, tőzfalak, behatolás észlelık, intelligens kártyák), szoftveralkalmazások (pl. különbözı programnyelveken megírt kritikus alkalmazások) speciális biztonsági szempontjainak értékelésére. Ezzel a MIBÉTS a megbízható harmadik felek által végzett biztonsági ellenırzés és audit egységes szempontrendszerét alkotja meg. 2. CÉLKÖZÖNSÉG, A SÉMA CÉLJA ÉS SZEREPLİI 2.1. AZ AJÁNLÁS CÉLKÖZÖNSÉGE A MIBÉTS ajánlásai egyrészt az informatikai rendszerek kialakításáért és mőködtetéséért felelıs vezetık és szakemberek munkáját igyekszik segíteni, akiknek mind az új informatikai rendszerek kialakításánál, mind a már mőködı rendszerek megújítása, fejlesztése során a technológiai biztonsági szempontokat figyelembe kell venni. Az ajánlás másik célközönsége az informatikai termékfejlesztık, rendszer-integrátorok, valamint a technológia szempontú értékelést és tanúsítást végzık. 2.2 A SÉMA CÉLJA A MIBÉTS célja informatikai termékekre és rendszerekre irányuló, független, nemzetközi módszertanon alapuló értékelési és tanúsítási rendszer kialakítása, mely segíti: mind a felhasználókat, beszerzıket a felkínált termékek vagy rendszerek biztonsági szintjének megalapozott megítélésében, rendszerfejlesztéseikben, a rendszerek biztonságos üzemeltetési feltételeinek kialakításában; mind a fejlesztıket, gyártókat, forgalmazókat a termékeik és rendszereik biztonságára vonatkozó állításaik független igazolásában. A MIBÉTS sémában elfogadott értékelések általános elvei: Az alkalmasság elve A pártatlanság elve Az objektivitás elve A megismételhetıség elve 6

7 Az újraelıállíthatóság elve Az eredmények helyességének elve A séma az értékelési módszertan kialakítása mellett szervezeti és eljárásbeli keretet is ad a Magyarországon belül végrehajtott technológiai értékelések számára, beleértve az értékeléseket végzı vizsgálólaboratóriumok (értékelı szervezetek) feladatleírását, valamint a javasolt technikák és eljárások meghatározását is. 2.3 A SÉMA SZEREPLİI ÉS FELEDATAIK A MIBÉTS felhasználói - a konkrét értékelési és tanúsítási folyamatokban résztvevıkön kívül az egyes szervezetekben a biztonságos informatikai rendszerek fejlesztéséért, üzemeltetéséért felelıs vezetık, munkatársak. Részükre az értékelés és tanúsítás elınyeinek, lehetıségeinek megismerése, az eredményeinek felhasználása, a fejlesztıkkel, értékelıkkel közös fogalomhasználat alkalmazása a fontos, a terjedelmes módszertan részletes megismerése nélkül. A MIBÉTS az alábbi szereplıket (résztvevıket) különbözteti meg: megbízó, fejlesztı, értékelı és tanúsító. Az értékelési eljárásban minden szereplı meghatározott felelısséggel, elvégzendı feladatokkal bír. Az egyes szereplık feladatainak részletezése a MIBÉTS különbözı segédleteiben található. Az alábbiak e feladatokat, illetve felelısségeket sorolják fel, tekintik át: Az értékelés megbízójának általános felelıssége magában foglalja az alábbiakat: az értékelés kereteit meghatározó döntések meghozatala, az értékelés jogi elıkészítése, az értékeléshez szükséges információk biztosítása, a tanúsítás eredményeinek korrekt felhasználása, az értékelés és tanúsítás költségeinek vállalása. A fejlesztı általános felelıssége magában foglalja az alábbiakat: az értékeléshez szükséges fejlesztıi bizonyítékok (részleges vagy teljes) elkészítése, az értékelés szakmai támogatása. Az értékelı általános felelıssége magában foglalja az alábbiakat: az értékelésre átadandó fejlesztıi bizonyítékok átvétele és megfelelı kezelése, az értékelési módszertan által megkövetelt értékelési tevékenységek végrehajtása, 7

8 a szükséges értékelési támogatás kérése, fogadása (pl. a fejlesztı általi képzés, a tanúsító értelmezései), a tanúsításra átadandók elkészítése, a tanúsító szervezetet az értékelés során képviselı átvizsgáló számára az értékelıi általános határozat és közbensı értékelıi határozatok dokumentálása és indoklása, megfelelés a MIBÉTS általános elveinek és értékelésre vonatkozó elıírásainak. A tanúsító általános felelıssége magában foglalja az alábbiakat: az értékelések ellenırzése, azoknak a feltételeknek a megteremtése, melyek biztosítják, hogy az értékelés megfeleljen az értékelés általános elveinek, az értékelések támogatása elıírások készítésével, a követelmények értelmezésével és iránymutatással, a tanúsításra átadandók átvétele és megfelelı kezelése, az értékelıi általános határozat jóváhagyása vagy elvetése, a tanúsítási jelentés elkészítése és a tanúsítvány kibocsátása. 8

9 3. AJÁNLÁSOK ÉRTÉKELT TERMÉKEK ÉS RENDSZEREK ALKALMAZÁSÁRA A biztonságos informatikai rendszerek kialakítása érdekében az alábbiak javasoltak: 1. A közigazgatásban és a versenyszférában egyaránt törekedni kell arra, hogy értékelt informatikai termékeket és rendszereket alkalmazzanak, ahol ezt a körülmények indokolják. Az értékelt informatikai termékek és rendszerek alkalmazása különösen az alábbi körülmények esetén javasolt: ha az informatikai rendszerek és az általuk fogadott, tárolt, feldolgozott és továbbított információk biztonsági kategorizálása (a védendı értékek felmérése) ezt indokolttá teszi, amennyiben az informatikai rendszerekre és az általuk fogadott, tárolt, feldolgozott és továbbított információkra irányuló, kivédendı fenyegetések ezt indokolják, ahol ezt jogszabályok vagy a szervezeten belüli szabályzatok megkövetelik. 2. A közigazgatásban és a versenyszférában alkalmazott, biztonsági szempontból értékelt informatikai termékekre és rendszerekre vonatkozóan: A Közös szempontok (Common Criteria, CC) szerinti tanúsítvánnyal rendelkezı informatikai termékek beszerzése és felhasználása kívánatos, az ilyen termékek további értékelésére nincs szükség. Amennyiben adott termékkörben nincs CC szerinti értékelés, de biztonsági szempontból értékelt termék használata indokolt, úgy (az értékelés feltételeinek biztosíthatósága érdekében elsısorban hazai fejlesztések esetén) a MIBÉTS módszertana alapján értékelt termékek használata javasolt. 3. Az értékelt informatikai termékek, valamint az ezekbıl integrált biztonságos informatikai rendszerek elterjesztésének javasolt módszerei az alábbiak: A közigazgatás új informatikai rendszereinek kialakításánál, valamint a meglévı rendszerek bıvítésénél és továbbfejlesztésénél törekedni kell a CC szerint, vagy a MIBÉTS módszertana alapján értékelt termékek beszerzésére. A közigazgatás informatikai rendszereiben idıvel egyre szélesebb körben javasolt elıírni a biztonsági szempontból értékelt (CC tanúsítvánnyal vagy MIBÉTS igazolással rendelkezı) termékek kötelezı alkalmazását. Ezt az elvárást a közbeszerzési, versenyeztetési eljárások során egyre szélesebb termékkörben célszerő bevezetni. A központi, illetve állami támogatásokkal megvalósuló informatikai rendszer kialakítások és bıvítések támogatási feltételei közé kerüljön be a CC szerint tanúsított, vagy a hazai séma (MIBÉTS) keretében igazolt biztonságos termékek alkalmazásának elvárása, vagy (pályázatok esetén) elınyben részesítettsége. 9

10 4. AJÁNLÁS AZ INFORMATIKAI BIZTONSÁG HAZAI, TECHNOLÓGIAI SZEMPONTÚ ÉRTÉKELÉSI MÓDSZERÉRE A MIBÉTS keretében kidolgozásra került az informatikai termékek és rendszerek biztonsági értékelési módszertana, mely a Közös értékelési módszertan (CEM) egyszerősített, honosított változata. Jelen ajánlás az alábbi, a MIBÉTS keretén belül kidolgozott dokumentumokra épül: A dokumentum címe A dokumentum tartalma Célközönség 1. számú segédlet: Modell és folyamatok 2. számú segédlet: Útmutató a megbízók számára 3. számú segédlet: Útmutató a fejlesztık számára 4. számú segédlet: Útmutató az értékelık számára A MIBÉTS alapelveit, a séma szereplıit, fı folyamatait tekinti át. Az értékelés megbízói számára ad kiegészítı ismereteket és magyarázatokat. A fejlesztık számára ad kiegészítı ismereteket és magyarázatokat, köztük a séma fejlesztıi bizonyítékokra vonatkozó tartalmi és formai elvárásairól. Az értékelık számára ad kiegészítı ismereteket és magyarázatokat. felhasználók, megbízók, fejlesztık, értékelık, tanúsítók megbízók, fejlesztık, értékelık, tanúsítók fejlesztık, értékelık, tanúsítók értékelık, tanúsítók 5. számú segédlet: Értékelıi módszertan A hazai séma CEM egyszerősítésével készített értékelési módszertana. Részletesen meghatározza a biztonsági elıirányzat értékelésének közös feladatait, valamint a három különbözı értékelési garanciaszinten (alap, fokozott és kiemelt) elvégzendı (egyre bıvülı és szigorodó) értékelési tevékenységeket. értékelık, tanúsítók 10

11 5. ALAPUL SZOLGÁLÓ SZABVÁNYOK [1] MSZ ISO/IEC :2003 Informatika Biztonságtechnika Az informatikai biztonságértékelés közös szempontjai 1. rész: Bevezetés és általános modell, 2. rész: A biztonság funkcionális követelményei, 3. rész: A biztonság garanciális követelményei [2] ISO/IEC :2005 Information technology - Security techniques Evaluation criteria for IT security Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements /Közös szempontok, Common Criteria, CC/ [3] ISO/IEC 18045:2005 Information technology Security techniques Methodology for IT security evaluation /Közös értékelési módszertan, Common Evaluaion Methodology, CEM/ A technológiai értékelési és tanúsítási folyamatban résztvevı szervezetekre vonatkozó követelmények: [4] MSZ EN ISO/IEC 17025:2001 Vizsgáló- és kalibrálólaboratóriumok felkészültségének általános követelményei [5] MSZ EN 45011: Terméktanúsítási rendszereket mőködtetı szervezetekre vonatkozó általános követelmények (ISO/IEC Guide 65:1996) 11