KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI STRATÉGIA TERVEZÉS KÖVETELMÉNYEI

Átírás

1 KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI STRATÉGIA TERVEZÉS KÖVETELMÉNYEI 1

2 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: 2

3 1. Metaadat-táblázat Megnevezés Leírás Cím (dc:title) Az IT Biztonsági stratégia tervezés követelményei Kulcsszó (dc:subject) IT biztonság; IT biztonsági követelmény; ajánlás Leírás (dc:description) Az IT biztonsági stratégia tervezés követelményei leírja, hogy a csatlakozó szervezetnek milyen lépéseket, feladatokat kell elvégeznie ahhoz, hogy megfeleljen az elvárásoknak. A dokumentum mintákkal és csekklistákkal támogatja a feladatvégzést. Típus (dc:type) Szöveg, táblázat, ábra Forrás (dc:source) Kapcsolat (dc:relation) E közigazgatási keretrendszer egyéb dokumentumai Terület (dc:coverage) KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek Létrehozó (dc:creator) E közigazgatási keretrendszer projekt Kiadó (dc:publisher) MEH EKK Résztvevı (dc:contributor) Stratis Kft. Jogok (dc:rights) Dátum (dc:date) Formátum (dc:format).doc Azonosító (dc:identifier) Nyelv (dc:language) Magyar Verzió (dc:version) V1 Státusz (State) Végleges Fájlnév (FileName) EKK_ekozig_IT_Bizt_Strategia_kov_080714_V1 Méret (Size) Ár (Price) Felhasználási jogok (UserRights) 3

4 2. Verziókövetési táblázat A dokumentum neve Közigazgatási Operatív Programok IT Biztonsági környezete. Az IT Biztonsági stratégia tervezés követelményei A dokumentum készítıjének neve Stratis Kft. A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám V1 Összes oldalszám 40 A projekt azonosítója E közigazgatási keretrendszer projekt 2.1. Változáskezelés Verzió Dátum A változás leírása V július 14. MeH-nek átadott verzió. V2 V3 4

5 3. Szövegsablon Megnevezés 1. Elıszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyőjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14. Mellékletek (Appendix) Leírás 5

6 4. Tartalomjegyzék 1. Metaadat-táblázat 3 2. Verziókövetési táblázat Változáskezelés 4 3. Szövegsablon 5 4. Tartalomjegyzék 6 5. Elıszó 6 6. Bevezetés 7 7. Alkalmazási terület 8 8. Rendelkezı hivatkozások 8 9. Fogalom meghatározások IT Biztonság stratégiai tervezés célja, helye, szerepe IT Biztonság stratégiai tervezés elvei Tervezési elvek Pályázatkezelési szempontok IT Biztonság stratégiai tervezés módszerei Információgyőjtés Helyzet meghatározás ( Hol vagyunk most? ) Célkijelölés ( Hová akarunk eljutni? ) Vízió Jövıkép A stratégia kidolgozása ( Hogyan jutunk el oda? ) IT Biztonság stratégiai terv jóváhagyása Az IT biztonsági stratégiai terv karbantartása IT Biztonság stratégiai tervezés dokumentált elemei Vezetıi összefoglaló Bevezetés Vízió és jövıkép (a biztonsági cél a pályázatra vonatkozóan) Jelenlegi IT biztonsági helyzet összefoglalása Teendık Függelék Az IT biztonsági stratégiai terv ellenırzése Az IT biztonsági stratégiai tevékenység ellenırzése A KOP megvalósítás pályáztatási feladatai Információ biztonság menedzsment önértékelı lista Informatikai rendszer fejlesztésére vonatkozó technikai követelmények Stratégiai célok értékelı táblázata Folyamatban lévı projektek értékelése Újonnan induló projektek Projekt adatlap Rövidítésgyőjtemény Belsı hivatkozások Elıszó Jelen dokumentum az e közigazgatási keretrendszer részeként, az informatikai biztonságra vonatkozó tervezés (középtávú) mikéntjét írja le a projektek életciklusán keresztül. Közvetlen környezetében szereplı követelmény dokumentumok: Közigazgatási Operatív Programok IT biztonsági környezete és követelményrendszere IT Biztonsági követelményrendszer érvényesítésének módja IT Biztonsági Politika követelményei IT Biztonsági szabályzatok követelményei Szabályzatmenedzsment rendszer követelményei 6

7 6. Bevezetés A Kormányzati Informatikai Egyeztetı Tárcaközi Bizottság 2005-ben A kormányzati intézmények informatikai stratégiájának készítése címmel adta ki a 22. sz. ajánlást i. Várhatóan (kötelezıen) már több központi kormányzati szervezet ezen ajánlás figyelembevételével készítette el informatikai stratégiáját. A kiemelt projektek megvalósítói célszerően, a nemzeti IT célkitőzésekkel összhangban járnak el, ha szintén követik a fenti ajánlást. A stratégiai tervezés célja tehát az IT területen a tudatos cselekvés megalapozása, és nem önálló dokumentum létrehozása. Ha a szervezet más stratégiájában az IT biztonsági kérdéseket az itt meghatározásra kerülı terjedelemben és mélységben kidolgozza, akkor azzal eleget tesz az IT Biztonsági stratégia követelményeinek. A fentiek alapján ebben az ajánlásban az IT Biztonsági stratégiával szembeni követelmények meghatározásánál is a fenti ajánlást vesszük alapul, és az általános IT stratégiai tervezéshez illesztve kezeljük a biztonsági kérdéseket is. Ez kedvez az IT stratégiával már rendelkezıknek, és ösztönöz a biztonsági mellett az általános IT stratégiai tervezésre. Napjainkban folyik a Magyar Informatikai Biztonsági Ajánlások kidolgozása, véglegesítése is. Az ajánlás célja, hogy összességében minél átjárhatóbb rendszer jöjjön létre, ezért itt az informatikai biztonsági stratégia kidolgozásához szükséges ismeretek jelennek meg, sokszor idézve a más ajánlásokban megfogalmazott (vagy honosított) eljárásokat, követelményeket, továbbá hivatkozva azokat a helyeket, ahol az ismereteket részletesebben is elérhetık. Az informatika napjainkra a szervezetek meghatározó erıforrásává vált, melynek fejlesztése és fenntartása a stratégiai tervezés körébe került. Bebizonyosodott, hogy az informatikai rendszerek kialakítása és mőködtetése az alapfunkciókon jelentısen túlmutat. Az informatikai rendszerben elıforduló zavarok lehetséges kihatásai miatt az informatika biztonság önálló területté nıtte ki magát, és a szervezet egyéb biztonsági tevékenységei mellett ez is stratégiai területté lépett elı. Ha a szervezeti küldetés elérése az információs rendszeren nyugszik (értve az információ feldolgozást, tárolás, továbbítást) akkor ennek megbízhatónak kell lennie. Támadások esetén a megbízhatóságot a ténylegesen megvalósított, megfelelı védelemre kell alapozni. Ehhez a szervezetnek olyan biztonsági rendszerre van szüksége, mely az ajánlások mellett a józan észre is támaszkodik. A valóban mőködı védelmeknél a hangsúly azon van, hogy szükség esetén tényleg hatásosak legyenek, és nem azon, hogy szabályosan legyenek kialakítva, mint ahogy az esetleges támadó sem a védelmek helyes beállításait ellenırzi, hanem egyszerően kárt akar okozni. A biztonság megvalósításának jelentıs része a különbözı dokumentált folyamatok kialakítása, dokumentálása, elsajátítása, frissen tartása. Ezek a dokumentumok nem maradhatnak pusztán leírt szavak: a szervezet elkötelezettségét fejezik ki az informatikai biztonság mellett, és megadják a megvalósítás részleteit. Az informatikai tevékenységek, ezen belül a biztonság, összetett és vegyes, különbözı megoldási idejő, nehézségő és költségő feladatokkal találkozik, így ezek véghezvitele csak tervezett módon képzelhetı el. Példaként egy felmérés alapján ii az IT biztonság leggyakoribb prioritásai: Katasztrófa terv és üzleti folytonosság Alkalmazotti figyelemfelhívó program 7

8 Adatmentés Átfogó biztonsági stratégia Hálózati tőzfalak Központosított információ biztonsági rendszer Rendszeres biztonsági audit Alkalmazottak monitorozása Biztonsági jelentések nyomon követése (log fájlok, sérülékenységi jelentések) Szellemi tulajdonok védelme A felsorolásban azonosíthatunk mőszaki, mőködési és adminisztratív célokat, a szellemi tulajdon védelemtıl a jelentések elemzéséig. Az ilyen lélegzetvételő célok megvalósítása csak jelentıs ráfordításokkal, a szervezeti küldetésbıl származtatva, a szervezeti erıforrások intenzív igénybevétele mellett képzelhetı el, így ennek jóváhagyása a legmagasabb szinten, a szervezeti célokat rögzítı stratégiákban történhet meg. 7. Alkalmazási terület A biztonsági követelmények alkalmazása ajánlott minden közigazgatási informatikai rendszer esetében, de kötelezı azoknak az IT rendszerek esetében, amelyek csatlakoznak a Központi Rendszerhez vagy a fejlesztéshez, mőködtetéshez állami támogatásokat használnak fel, jogszabály kötelez alkalmazására. A biztonsági követelmények alkalmazása szervezeti szempontból kiterjed az informatikai rendszert üzemeltetı és informatikai rendszert fejlesztı szervezetre. Idıben a követelmények alkalmazása kiterjed az informatikai rendszerek teljes életciklusára (tervezés, fejlesztés/beszerzés, mőködtetés). 8. Rendelkezı hivatkozások 9. Fogalom meghatározások Közigazgatási informatikai rendszer: Csatlakozó rendszer: A KOP programban megvalósuló, annak tárgyát képezı fejlesztés. Csatlakozó szervezet: A csatlakozó rendszert megvalósító (a megvalósításban részt vevı) szervezet. Felhasználó szervezet: Az a közigazgatási szervezet, amely az igényeiknek megfelelı közigazgatási informatikai rendszert megtervezi, finanszírozza megvalósítását és üzemeltetését (függetlenül, hogy saját forrásból vagy pályázati úton szerzett támogatásból), illetve használja. Üzemeltetı szervezet: Az a szervezet, amely a közigazgatási informatikai rendszer üzemeltetését végzi. Ez a szervezet lehet maga Felhasználó szervezet, vagy egy külsı szolgáltató. 8

9 10. IT Biztonság stratégiai tervezés célja, helye, szerepe Az Informatikai Biztonsági Stratégia kapcsot jelent az informatikai stratégia és a biztonsági stratégia között. Összehangolja az elsısorban informatikai (technológiai) célokat a szervezet (átfogó kockázat alapú) biztonsági céljaival, és definiálja a közös (mőködési) területeket. Az Informatikai Biztonsági Stratégia célja iii, hogy a szervezet üzleti (szakmai mőködési) igényeinek jövıbeni változásaival összhangban meghatározza az információbiztonság fejlesztésének tervét (középtávú, hosszú távú). A szervezet informatikai biztonsági stratégiája, a biztonsági és az informatikai stratégiák szerves részét képezi. A stratégiát alapul véve kell az éves szintő terveket elkészíteni. A jóváhagyott éves terv a beszerzési, beruházási és projekt-elıkészítési tevékenységeket érintı intézkedési tervek összeállításának kiindulási alapja. Az információbiztonsági stratégia meghatározásánál a szervezetnek: fel kell mérnie, ismernie kell a jelenlegi információbiztonsági helyzetet, számba kell vennie mindazon kihívásokat, melyekkel a közeljövıben számolnia kell, valamint fel kell mérnie a biztonság területén lehetséges fejlesztési potenciálokat. Az informatikai stratégiához hasonlóan a Biztonsági Stratégiának is illeszkednie kell a magasabb szintő stratégiákhoz, pl. az össz-kormányzati elképzeléseket rögzítı Magyar Információs Társadalom Stratégia iv alapelveihez, valamint közigazgatási tartalmú fejlesztések esetében, az össz-kormányzati törekvéseket keretbe foglaló e-kormányzati stratégiához v. Az Európa Tanács (ET) az e-kormányzatról szóló 15/12/2004 számú ajánlásában vi az alábbi biztonsági vonatkozású elvárásokat és alapelveket fogalmazza meg: Az állampolgári bizalom megırzése érdekében az adatok naprakészségére, az információk hitelességére kell törekedni. A költség hatékony és a gyakorlati szempontoknak is eleget tevı e-kormányzati szolgáltatásokat az információs és kommunikációs csatornákon keresztül is hozzáférhetıvé kell tenni, az élhetıbb, kényelmesebb élet biztosítása érdekében. Az e-kormányzati stratégiáknak meg kell határozniuk mekkora mértékő technológiai, financiális és humánerıforrást kívánnak biztosítani az elektronikus közszolgáltatások fenntartásához és fejlesztéséhez. Egyaránt tartalmazniuk kell a rövid, közép és hosszú távú pénzügyi tervezést. Az e-kormányzati stratégiáknak ösztönözniük kell a legjobb gyakorlatok elterjesztését. Az e-kormányzati szolgáltatások fejlesztésének és implementációjának folyamata során kulcsfontosságú az értékelés, a felmerülı hibák kijavítása. Valamennyi e-kormányzati fejlesztési terv részét kell, képezze az alkalmazandó technológiára vonatkozó kockázatmegelızı és kockázatmenedzsment stratégia. Az illegális rendszerbehatolások ugyanis alkalmasak az állampolgári bizalom és a demokratikus folyamatok megingatására. A magánélet, a személyes adatok védelmének tagállami szabályozását harmonizálni kell a nemzetközi szervezetek e témakörben lefektetett irányelveivel (pl. Convention for the Protection of Individuals, valamint az Automatic Processing of Personal data, ETS no. 108). Az e-kormányzati stratégiáknak rögzíteniük kell, hogy a közigazgatásnak egyik kiemelt feladata az on-line szolgáltatások társadalmi népszerősítése. Az e-kormányzati alkalmazások során használt hitelesítési eljárásnak összhangban kell lennie a megkívánt bizalom és biztonság szintjével. Az e-kormányzati szolgáltatások biztonsági rendszerének biztosítania kell a személyes adatok védelmét, valamint a megbízhatóságot és a biztonságot. 9

10 A hatókör megadásakor meg kell határozni az alkalmazási területet és annak határait a mőködési tevékenység jellemzıi, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint. A csatlakozó rendszerek informatikai biztonsági stratégai célja a biztonsági környezet kialakítása és fenntartása a csatlakozó rendszer megvalósítása és üzemeltetése során. Lehetséges küldetés vagy mőködési hatások A szervezeti mőködésre, vaygyontárgyakra, személyekre vagy más szervezetekre, a nemzetre vonatozó kockázatok Szervezet Stratégiai Célok és Követelmények Összetett, bonyolult kapcsolatrendser a szervezei küldetés, mőködési folyamtok és a támogató informatikai rendszer között Elsıszámú vezetı / felügyelı hatóság elkötelezıdése A biztonsági erıforrások rendelkezésre állása, rangsorolása Más jellegő kockázatok figyelembe vétele Küldetés / mőködési folyamat Küldetés / mőködési folyamat Küldetés / mőködési folyamat Informatikai rendszer Informatikai rendszer Informatikai rendszer Informatikai rendszer Az informatikai rendszert és támogató infrastruktúrára alkalmazott védelmi intézkedések 1. ábra - Megközelítés az információs rendszer biztonsági elemzésére vii Az ábra egy modellt mutat az információs rendszer biztonsági elemzésére. Ebben a környezetben határolható be az informatikai biztonsági stratégia kiterjedése, illetve jelennek meg az elıkészítés során elemzendı területek. Az informatikai biztonsági stratégia hatóköre a szervezet azon meghatározott része, melyben a csatlakozó rendszer mőködtetése folyik. Fontos döntés, hogy a hatókör leszőkül-e a csatlakozó rendszerrel foglalkozó lehetı legkisebb szervezeti egységre, vagy kiterjed a teljes szervezetre. A döntést befolyásolja a szervezet biztonsági érettsége, az informatika intenzitása, a KOP súlya, illetve a szervezeti stratégia. A továbbiakban a helyzetértékelést, a belsı és külsı folyamatok szétválasztását, az érintett rendszerek körét már következetesen az itt meghatározott hatókör alapján kell elvégezni. A KOP kapcsán mindenképpen elvárás az, hogy elıre lépés történjen olyan informatikai biztonsági rendszer kialakítása felé, mely a késıbbiekben újabb fejlesztéseket tud befogadni. A szervezeti küldetésbıl induló (kockázat- és folyamatalapú) megközelítés azért is kívánatos, mert jól illeszthetı más rendszerekhez, pl. minıségirányítási (ISO 9001 viii ), környezetvédelmi (ISO ix ), Az informatikaszolgáltatás irányítása MSZE 15100:2005 (BS 15000:2002) x. 11. IT Biztonság stratégiai tervezés elvei Az IT biztonság stratégiai tervezését a meglévı különbözı szintő (EU, nemzeti, ágazati, szervezeti) és különbözı tartalmú (általános, IT, biztonsági) stratégiákkal összhangban kell 10

11 megvalósítani. Az itt meghatározott IT biztonság stratégiai tervezés célja az informatikai biztonság fejlesztése, ehhez a stratégiai terv elkészítése, megvalósítása, felülvizsgálata és ellenırzési lehetıségének kialakítása a kiemelt projektekben, és ezen keresztül az érintett intézményekben Tervezési elvek Az informatikai biztonsági stratégiát a hatókörre kell elkészíteni. Elıtte meg kell határozni azokat az informatikai stratégiai döntéseket, illetve projekt definíciós elemeket, melyek a tervezési idıszakban meghatározzák a mőködési környezetet. Ideális esetben a szervezet informatikai stratégiája tartalmazza a biztonsági kérdéseket is. Az informatikai biztonságra vonatkozóan a szervezeti küldetéssel, követelményekkel, KOP definíciós elemekkel összhangban meg kell határozni az informatikai biztonsági elképzeléseket, célkitőzéseket, és program, valamint projekt szinten definiálni a célok eléréséhez szükséges kiemelt prioritású, konkrét és mérhetı lépéseket. Az informatikai biztonsági stratégiát a jogszabályi követelményeknek megfelelıen, illetve az informatikai stratégiával összhangban középtávon, kb. 3 éves idıhorizontot alapul véve javasolt elkészíteni. A tervezési idıszak terjedjen ki az informatikai csatlakozó rendszer üzemelésének megkezdéséig. Az évi informatikai terv készítésével összhangban, évenként a stratégiákat felül kell vizsgálni, és a megváltozott körülményekhez kell igazítani. Új stratégia kidolgozására, vagy nagyobb mértékő átdolgozására a külsı vagy belsı környezet alapvetı megváltozása esetében van szükség, pl. szervezeti küldetés módosulása, KOP célkitőzés változása. Az informatikai stratégakészítés szabályai xi xii: Az információ biztonsági ténykedés a szervezeti célokat szolgálja. Az összes biztonsági intézkedés a szervezeti küldetést szolgálja. Az IT biztonsági cél meg kell jelenjen a szervezet elsıdleges stratégiájában is. Az informatikai biztonsági megközelítés (létesítése, mőködtetése, fejlesztése) illeszkedjen a szervezeti kultúrához. Az informatikai biztonság váljon szerves részévé a vezetésnek! Az informatikai biztonságot költség hatékonyan kell megvalósítani! Nem szabad többet költeni a megelızésre, mint ha a kár bekövetkezne. Az informatikai biztonsági felelısségeknek és elszámoltathatóságnak egyértelmőnek kell lennie! Az informatikai biztonság teljes körő és összetett megközelítést igényel! Az informatikai biztonságot rendszeresen felül kell vizsgálni! A biztonsági tevékenység illeszkedjen az informatikai stratégiához. Biztonsági programot kell indítani és keresztül vinni. Elınyre számíthatnak azok a szervezetek, amelyek megfogalmazzák és megkövetelik a biztonságtudatos viselkedést. A biztonsági rendszer felépítésénél célszerő egy szabványos, egységes modellt követni. A szervezetek szívesebben követnek elismert megközelítéseket, mint fogadják el az ad hoc megoldásokat. Kommunikálni kell az informatikai biztonság értékét. A kockázatértékelés nyelvét használva az értékeket a szervezeti mőködés mérıszámaiban kell kifejezni. 11

12 11.3. Pályázatkezelési szempontok Egy KOP beindítása vélhetıleg a pályázók életében jelentıs változást okoz, mely stratégiáik újrafogalmazását követeli. Nem elvárható tehát egy informatikai biztonsági stratégia kidolgozása a pályázati dokumentáció mellékleteként, de mégis gondoskodni kell a kellı biztonsági szint elérésérıl a pályázat során. A pályázat részeként a pályázónak nyilatkoznia kell, hogy az informatikai biztonsági tevékenységet a KOP kapcsán tervezni fogja, a terveket végre fogja hajtani, és a pályázati források mely részét fordítja a biztonsági stratégia végrehajtására. A pályázati szakaszban elegendı az IT biztonsági víziót és jövıképet bemutatni, illetve a megvalósítandó rendszer tervezett biztonsági osztály besorolását elvégezni. A szponzor jogosult a biztonsági osztály módosítását kezdeményezni. A stratégiát a szerzıdéskötést követı három hónapon belül hatályba kell léptetni, de az elızetesen kritikusnak ítélt területeket már erre az idıre az alap védelmi szintre kell hozni. A stratégiai tervezésnek a pályázat megkezdése után három évig hatályosnak kell lennie, és az ott meghatározott feladatokat az ütemezésnek megfelelıen meg kell valósítani. A pályázat és az informatikai fejlesztési projektek életciklusai szorosan kapcsolódnak egymáshoz. Az egyes szereplık közötti feladatmegosztás a A KOP megvalósítás pályáztatási feladatai fejezetben a 24. oldalon található. A pályázatkezelı a stratégiára vonatkozóan a mellékletben található kérdéslista használatával ellenırzi a pályázót. Ellenırzi ezen túlmenıen a biztonsági osztály besorolást, és a költségek felhasználását. A követelmények teljesülhetnek az MSZ-ISO/IEC 27001:2006 xiii szabvány alapján történı tanúsítással, amennyiben teljesülnek a követelményrendszerben meghatározott elvárások és a tanúsítás érvényes teljes projektmegvalósítás alatt. A követelményeket az MSZ-ISO/IEC 27001:2006 szabvány alapján történı tanúsítással teljesítı projekt megvalósítók egyszerősített ellenırzését a finanszírozó végzi, vagy rendkívüli esetben harmadik felet bíz meg. 12. IT Biztonság stratégiai tervezés módszerei A stratégiakészítés folyamata 4 fázisra bontható: A külsı és belsı környezettel kapcsolatos információk és dokumentumok összegyőjtése, tanulmányozása, a következtetések levonása; Helyzet meghatározás ( Hol vagyunk most? ); Célkijelölés ( Hová akarunk eljutni? ); A stratégia kidolgozása ( Hogyan jutunk el oda? ). 12

13 Hatókör meghatározás Helyzetmeghatározás Önértékelési ellenırzı lista Információ győjtés Kiindulási helyzet meghatározása Jelenlegi IT biztonsági helyzet összefoglalása Célkijelölés Szervezeti küldetés Vízió és jövıkép meghatatározás Információ biztonság menedzsment önértékelı lista Vízió és jövıkép Rendszer-szintő priorizálás végrehajtása Stratégiai célok értékelı táblázata Programtervezés A stratégia kidolgozása Szervezet szintő költség alapú döntés Projekt adatlapok Stratégia karbantartása Folyamatban lévı projektek értékelı táblázata Stratégia jóváhagyása Újonnan induló projektek táblázata Programok menedzselése és végrehajtása Eredmények értékelése Változások követése 2. ábra IT Biztonsági stratégia készítés folyamata Információgyőjtés Az összegyőjtendı és tanulmányozandó külsı és belsı környezettel kapcsolatos információk és dokumentumok: Hierarchikus dokumentumok: Szervezeti (minisztériumi, intézményi) általános stratégia Vonatkozó jogszabályok, rendeletek, utasítások A KOP dokumentációja A KOP érintett adatok és informatikai eszközök leírásai 13

14 Horizontális dokumentumok: Biztonsági stratégiák (nemzeti, ágazati, intézményi) Hierarchikus és horizontális elemeket egyaránt hordozó dokumentumok, információk: EU és NATO dokumentumok (irányelvek, ajánlások, szabványok stb.) Nemzetközi szervezetek, nemzetközi egyezmények, ajánlások dokumentumai Korábbi informatikai és informatikai biztonsági stratégia, és ennek háttérdokumentumai A mőködı rendszerekre, alkalmazásokra, architektúrákra vonatkozó információk A folyamatban levı fejlesztésekre vonatkozó információk Biztonsági dokumentációk A szervezet és ágazat biztonsági helyzetére vonatkozó dokumentumok Biztonsági mőködés jelentései Az érintett informatikai rendszerekre vonatkozó információk Szervezet és KOP kockázatértékelései Helyzet meghatározás ( Hol vagyunk most? ) A feladat annak vizsgálata, hogy a (KOP megvalósításához a 10. oldalon meghatározott kiterjedésben) szervezet küldetését, vízióját, stratégiáját, a KOP definíciót figyelembe véve milyen szintet képvisel informatikai biztonsági fejlettség terén, és ez mennyiben támogatja a célok elérését. A helyzet-meghatározás során az informatikai stratégia készítésnek megfelelıen el kell végezni a rendelkezésre álló erıforrások és képességek elemzését. Figyelembe kell venni a (biztonsági, informatikai vagy KOP) érintett tárgyi- a humán-, szervezeti és pénzügyi erıforrásokat. Az elemzés eredményeként rá kell mutatni, hogy a rendelkezésre álló erıforrások hatékonyan vannak-e kihasználva, hol találhatók rejtett tartalékok. Az elemzés eredménye alapján határozhatók meg azok a területek, ahol a stratégia végrehajtása során a rendelkezésre álló erıforrások kiegészítése szükséges a stratégia megvalósításához. Rövid összefoglalást kell adni a meglévı infrastruktúráról, az alkalmazott technológiákról, szabványokról, illetve a fıbb hálózati és hardver elemekrıl, architektúráról, illetve az alapszoftverekrıl (pl. hálózati operációs rendszerek). Az elemzésben ki kell térni az informatikai (biztonsági) költségek felhasználási módjára, folyamatára. A humán erıforrások között kell feltüntetni az informatikai munkatársak számát, és az általuk ellátott feladatok jellegét és biztonsági megítélését (pl. rendszergazda, adatbázis adminisztrátor, programfejlesztı stb.) A szervezeti erıforrást célszerő szervezet diagramon ábrázolni, feltüntetve az informatikai és biztonsági szervezet (illetve annak vezetıjének) felelısségi és hatáskörét. A szervezeti erıforrásoknál be kell mutatni az informatikai biztonságra vonatkozó szabályozást. A pénzügyi erıforrások bemutatásánál ismertetni kell a különbözı forrásokból (költségvetés, pályázat stb.) rendelkezésre álló, vagy tervezett források címét, mértékét és felhasználásuk 14

15 lehetséges módját (célhoz kötött, szabadon felhasználható stb.). Ebben a részben elkülönítetten kell megjeleníteni a KOP és a szervezet egyéb IT biztonsági forrásait. A helyzetelemzés során ismertetni kell a KOP megvalósítására igénybe vett fejlesztıi potenciált, ennek biztonsági helyzetét és képességét a biztonságos rendszer kialakítására. A szervezet érettségének megfelelıen választható meg a vizsgálati módszer, azonban ki kell terjedjen a következı területekre: Biztonsági szabályzat Az információ-biztonság szervezete Vagyontárgyak kezelése Az emberi erıforrások biztonsága Fizikai védelem és a környezet védelme A kommunikáció és az üzemeltetés irányítása Hozzáférés-ellenırzés Információ rendszerek beszerzése, fejlesztése és fenntartása Információ-biztonsági incidensek kezelése Mőködés folytonosságának irányítása Követelményeknek való megfelelés ellenırzése Az értékelésre használható módszertan: a 27. oldalon található Információ biztonság menedzsment önértékelı lista, MSZ ISO/IEC 27001:2006 szabvány, MIBA xiv sorozat biztonság menedzsment ellenırzésre szolgáló fejezetei, Információ biztonságra vonatkozó hatályos jogszabályok vagy ezzel egyenértékő módszerek. Ha ez más szervezeti célokkal egybevág, már a stratégia készítés során megfontolandó a kockázatkezelés megkezdése (becsatolása, alkalmazása) annak érdekében, hogy a kialakuló biztonsági rendszer minél alaposabban vehesse figyelembe a küldetést és legyen testre szabott. A kockázatfelmérést a keretrendszer más ajánlásai tárgyalják xv. Ha készül kockázatértékelés, akkor annak összefoglalása (meghatározó fenyegetettségek, sérülékenységek és védelmek) a stratégia Helyzet-meghatározás fejezetében szintén itt jelenik meg Célkijelölés ( Hová akarunk eljutni? ) Vízió Az informatikai stratégia elkészítésének fontos elıfeltétele, hogy az intézmény, ágazat jól megfogalmazott vízióval, általános jövıbeli célkitőzésekkel (küldetéssel) rendelkezzen. Ennek hiányában, vagy egy ad hoc megfogalmazásból kiindulva a biztonsági rendszer nem lehet optimális. Ebben a helyzetben kezdeményezni kell a szervezeti vízió kidolgozását és az informatikai biztonsági stratégia hatókörét kell szőken meghatározni, a KOP definíció alapján. A szervezeti vízió kimunkálása után (mely jelentıs idıt igényelhet) történhet az informatikai biztonsági stratégia átdolgozása, és várhatóan addigra egy fejlettebb biztonsági környezetbıl indulva egy magas szintő biztonsági jövıképet lehet vetíteni. Az intézmény víziójából, küldetésébıl kiindulva, (rosszabb esetben a KOP definícióból) kell definiálni az informatikai biztonsági stratégiai célkitőzéseket. 15

16 Az IT biztonsági vízió egy (a jelenleginél magasabb szintő) biztonsági környezetben mutatja be a csatlakozó rendszer mőködését. Óvakodni kell a biztonsági tevékenység túldimenzionálásától, azonban meg kell mutatni a szervezet számára, hogy a vázolt jövıkép jól szolgálja a szervezeti célokat, és a megvalósítás elkerülhetetlen szükségszerőség. A vízióban meg kell határozni az elfogadható kockázat értékét, és érzékeltetni kell azt a biztonsági szintet, amelyet a biztonsági rendszer nyújtani fog Jövıkép A vízió lefordítása az IT és biztonsági vezetık felé a jövıkép. Itt kell összefoglalni, hogy a jövıbeni célok eléréséhez az informatikai biztonsággal szemben milyen új vagy bıvített elvárások fogalmazódnak meg akár a szervezeti változások, akár a KOP hatására. A jövıképben kell bemutatni az informatikai szervezetet, felépítést, szerepeket, kompetenciákat, mőködést és szabályozási rendet a stratégiában megfogalmazott célok elérésére, illetve a rendszerek és alkalmazások üzemeltetésére során. Az informatikai stratégiai cél meghatározása szorosan összefügg a biztonsági stratégiai tervezés 10. oldalon említett kiterjedés meghatározásához. Olyan célt kell a szervezeti küldetésbıl és a KOP definícióból származtatni, mely a megvalósult KOP beállt mőködési állapotát tükrözi. Ismételten ki kell hangsúlyozni, hogy az informatikai biztonságnak a szervezeti célokat kell szolgálni, azzal kell összhangban lennie. Ennek megfelelıen a biztonsági stratégiában is a magasabb szintő stratégiák (ágazati, szervezeti, KOP, és ezek biztonsági és informatikai részeibıl) alapján állítunk bizonyos területeket fókuszba. Az informatikai stratégiai tervezéshez hasonlóan fókuszba állított területekbıl vezethetık le a stratégia céljai, és a célok alapján határozhatók meg a fı prioritások, a kiemelt feladatok, valamint a feladatok megvalósítását biztosító projektek. A fókuszterületek megváltozása befolyásolhatja a korábban már megállapított prioritási sorrendet is, amely hatással lehet a tervezett költségvetésre és erıforrás igényekre. A fókuszba állított területekhez kapcsolódóan már informatikai szempontból határozhatók meg a fı célok és prioritások. A fı célok ismeretében meghatározhatók a konkrét célok és cselekvési programok, amelyek alapján részletesen megfogalmazható a Hová akarunk eljutni? kérdésre adandó válasz. A célkijelölés szakaszának fontos tartalmi eleme a jövıkép felvázolása. A jövıkép részletesen bemutatja azt az állapotot, amelyet a célok megvalósulásával elérhetünk. A biztonsági környezetre vonatkozó célokat a Stratégiai célok értékelı táblázata (38. oldal) foglaltuk össze. Biztonság-intenzív szervezeteknél megcélozható az integrált irányítási rendszer kiépítése (fenntartása) az MSZ ISO/IEC 27001:2006, MSZ EN ISO 9001:2001, MSZE 15100:2005 (BS 15000:2002) szabványok alapján (egyesített biztonsági szervezetnél bevonva az MSZ EN ISO 14001:2005 és MSZ 28001:2008 xvi. szabványokat.) Az informatikai fejlesztésekkel az Informatikai rendszer fejlesztésére vonatkozó technikai követelmények (37. oldal) fejezetekben leírt követelményeknek megfelelı rendszert kell elıállítani (az MSZ ISO/IEC xvii alapján). 16

17 Új fejlesztéshez már a pályázati szakaszban (illetve az elıkészítés során) meg kell határozni a rendszer biztonsági osztály besorolását, és a stratégia jóváhagyása nélkül is megkezdhetı az un. minimális kontrolok kialakítása. (A keretrendszer más ajánlásában található részletesen a biztonsági osztály besorolás xviii és a minimális kontrolok xix leírása.) A stratégia kidolgozása ( Hogyan jutunk el oda? ) A konkrét programok, projektek prioritási sorba rendezett definiálásával meghatározásra kerülnek azok a lépések, amelyek a célok eléréséhez vezetnek. A fı célokhoz kapcsolódóan határozhatók meg az átfogó programok, amelyek önálló vagy egymással összefüggı projektek révén valósulnak meg. A prioritások, valamint az egyes projektek egymásra épülésének figyelembe vételével határozható meg az egyes projektek végrehajtásának sorrendje. Az egyes projektek megvalósításához szükséges elızetesen kalkulált költségek, valamint az elıre láthatóan bevonható más erıforrások ismeretében közelítıen meghatározható a stratégia megvalósításának költségigénye. Az elıre láthatólag rendelkezésre álló, illetve tervezett költségvetési és más erıforrások (például pályázati támogatások) ismeretében pontosabban határozható meg a stratégia idıhorizontja. Rögzített stratégiai idıhorizont (például 3 év) esetén a várható pénzügyi források ismeretében meghúzható az a vonal, amely alatt a projektek megvalósulása az adott idıtávon belül nem biztosított. A vonal alatti, valamint a vonal fölötti néhány projekt esetében rá kell mutatni, hogy a projekt elmaradása milyen következményeket von maga után. Ebben a szakaszban az elmaradás következményeit figyelembe véve lehetıség van a prioritási sor módosítására, átrendezésére. A stratégiai tervezés folyamatának fontos szakasza az egyes projektek tartalmával és megvalósításának módjával kapcsolatos követelmények meghatározása. Ennek során a stratégiát készítıknek együtt kell mőködniük az érintett terület vezetıivel és munkatársaival. A 22. ajánlás alapján ismertetett IT stratégiai tervezéshez a különbözı felhasználói bevonásos technikák (interjúk, megbeszélések, felmérések) alkalmazhatók. A biztonsági értékelés esetén azonban külön figyelni kell arra, hogy a követelmények a felhasználók nyelvén legyenek megfogalmazva (ne szakzsargonnal), és a szervezet / rendszer elvárásait hően tükrözzék. Nem elegendı azonban egy informatikai biztonsági célrendszert összeállítani, ezt be kell építeni a szervezeti stratégiai célok közé, ehhez azonban a célokat ütköztetni kell a szervezet más céljaival és követelményeivel. A biztonsági célok megvédése, elfogadtatása a szervezetben megköveteli, hogy azok a szervezet számára érthetıen és indokoltan vissza legyenek csatolva, és végül beépüljenek a magasabb szintő stratégiákba. Aranyszabályok a szervezet-szintő informatikai és mőködési kockázatok kezeléséhez xx Szervezet szintő informatikai biztonsági stratégia és terv kidolgozása Felsı szinten az informatikai biztonsági programot el kell fogadni A informatikai biztonságot a szervezeti infrastruktúrába kell beépíteni Az informatikai biztonság megfelelı gondossági szintjének elfogadása Kezdetben a küldetéskritikus esetek kezelése Kiegyensúlyozott biztonsági program, menedzsment, mőködési és technikai védelmekkel. Elsı lépésként egy szilárd védelem kiépítése, majd erre továbbiak építése a kockázatfelmérés alapján 17

18 A cél nehezítése több akadály létrehozásával a szervezeti és ellenséges információs rendszerek közt. Az információs védelmi beszállítók gondos megválasztása Nem szabad elfogadni a közönyt a szervezet szintő informatikai biztonsági problémákkal kapcsolatban. Elkerülhetetlen a kockázat kezelés kiterjesztése a teljes szervezetre A jelenlegi helyzet ismeretében és a célállapot meghatározása után meghatározhatók azok a részcélok, feladatok, melyekbıl priorizálással, költségvonzatok tervezésével és a szervezeti küldetésbıl származtatott követelményekkel ütköztetve a cselekvési program elkészíthetı, illetve folyamatosan hangolható. Eltérı megközelítést igényel a már meglévı rendszerek biztonságának javítása és az új rendszerek bevezetése. A célrendszert ezek együttesen alkotják, sokszor átfedéssel, idıbeli eltolódással. Az egyes projekteket definiálni kell, majd a prioritási rangsor figyelembe vételével egy összefoglaló táblázatot kell készíteni róluk. Meg kell jelölni azokat, amelyek elindítása mindenképpen szükséges. Hasonlóképpen jelölni kell a KOP végrehajtásához közvetlenül kapcsolódó projekteket. A definiált projekteknél meg kell adni a célt, hatókört, és röviden indokolni kell a szükségességet, meg kell nevezni a felelıst. A projektre költségbecslést kell készíteni, ide értve a késıbbi, folyamatos üzemeltetési költségeket és emberi ráfordításokat is. Fel kell sorolni azokat az elvárt konkrét elınyöket, amelyek a projekt sikeres megvalósítását követıen jelentkeznek. Meg kell határozni a projekt lebonyolításának becsült átfutási idejét. Az alapvédelem kialakítása viszonylag olcsó, és a létrejövı stabil alapra már igényes rendszer építhetı. A biztonsági osztály lehetséges alapvédelmei meghatározhatók, pl. az ISO/IEC xxi alapján is. Példák: Vezetıség által elfogadott informatikai szabályzat Független Biztonsági felügyelı Biztonságos fizikai munkatér, pl. jó zárak Biztonsági másolatok biztonságosan vannak tárolva és ellenırizve Biztonsági követelmények befoglalása a szerzıdésekbe Felhasználói nevek és jelszavak jó megválasztása Vírusmentesítı eszközök és frissítések Biztonság beépítése a mőködési folyamatokba Biztonsági tudatosító program Következetes informatikai biztonság teremtés a fejlesztés és tesztelés során is. A felmérésbıl kialakuló kontrolokat hatásosságuk és elınyük (azaz a kockázatcsökkentı képességük) illetve a bekerülési költségük alapján értékeljük. Ezt követi a prioritások meghatározása. Általában célszerő az olcsó intézkedéseket választani (pl. szabályozások, szervezés). A teljes képhez néhány drágább, és nehezebben karbantartható elemre is szükség lehet, pl. PKI kialakításra. A biztonsági rendszer megvalósításához a hagyományos projekt menedzsment elemek tartoznak, pl. terv, költségterv, mérföldkövet, elırehaladás mérése. A sikerhez itt is szükség van a vezetıi elkötelezettségre és a jó projekt menedzserre. A program megvalósításához szervezeti kommunikáció is tartozik, mely (már a kezdetektıl) ismerteti a szervezettel a célokat és vívmányokat, kimutatva azok közvetlen hasznát is. 18

19 A biztonság fejlesztése során a mőködés változásait folyamatosan követni kell a védelmek hangolásához, hiszen a folyamatok változása újabb fenyegetettségeket hozhatnak be, vagy megváltoztatják a védelmek hatásosságát. A folyamatban lévı és fejlesztendı biztonsági területeken meg kell adni a projektek ütem szerinti haladását, készültségi fokát, és azt, hogy az esetlegesen megváltozott stratégiai célok nem tesznek-e szükségessé módosításokat a projekt folytatásában. A folyamatban levı projektekrıl összefoglaló táblázatot kell elkészíteni a Folyamatban lévı projektek értékelése (39. oldal) minta szerint. A helyzetelemzés során lefedetlennek ítélt területekrıl összefoglaló táblázatot kell elkészíteni a Stratégiai célok értékelı táblázata (38. oldal) minta szerint. Az IT szervezet feladata az ide felvett célok prioritását javasolni, azonban a magasabb szervezeti célok alapján kell arról dönteni, hogy ez a stratégiába projektként bekerüljön-e vagy sem. Az indítandó projektekrıl ki kell tölteni egy-egy Projekt adatlap -ot (40. oldal), mely összefoglalóan tartalmazza az idı, költség, erıforrás vonzatokat, illetve a kapcsolatokat. Az indítandó projekteket az Újonnan induló projektek (39. oldal) minta szerint össze kell győjteni, és a stratégia követése során a folyamatban lévı projektek közé átvezetni. 13. IT Biztonság stratégiai terv jóváhagyása Az informatikai biztonsági stratégiát a csatlakozó rendszer szempontjából elérhetı legmagasabb szinten kell jóváhagyni. Mivel a biztonsági céloknak meg kell jelenniük az informatikai stratégiában, azaz a készítésére kötelezett szerveknél (44/2005. (III. 11.) Korm. Rendelet xxii alapján) együttesen kerül jóváhagyásra. A minisztériumi szintő informatikai biztonsági stratégiát így a közigazgatási államtitkár, az országos hatáskörő központi államigazgatási szervek, valamint egyéb intézmények stratégiáját a felügyeletet ellátó szerv illetékes vezetıjének ellenjegyzése mellett az intézmény vezetıje hagyja jóvá. Az informatikai stratégiát, vagy annak tervezett módosítását annak elfogadása elıtt a kormányzati informatikáért felelıs jóváhagyására meg kell küldeni. Amennyiben a kormányzati informatikáért felelıs kormánymegbízott a stratégia kiegészítését vagy módosítását kéri, úgy az átdolgozott stratégiát jóváhagyásra ismételten meg kell küldeni. Önálló informatikai biztonsági stratégia kidolgozásánál, vagy a 44/2005. (III. 11.) Korm. Rendelet hatályán kívüli KOP esetében a projekt szponzor véleményezheti és kezdeményezheti a stratégia átdolgozását. Ebben az esetben az Informatikai (biztonsági) stratégiát a kedvezményezett szervezet vezetıje hagyja jóvá és hirdeti ki. 14. Az IT biztonsági stratégiai terv karbantartása A stratégiai gondolkodás megköveteli a körülmények és az eredmények rendszeres értékelését, és változások alapján az újratervezést. A felülvizsgálat során értékelni szükséges a folyamatban levı projektek helyzetét, az elmaradt projektek esetén elemezni szükséges az elmaradás okát, illetve jelezni kell, hogy a projekt véglegesen lekerült-e a napirendrıl vagy csak indítása lett az elızetesen tervezettıl késıbbre 19

20 halasztva. Külön be kell mutatni az újonnan jelentkezı projekteket, azok indításának okát és indokát, és illeszkedésüket a stratégia többi projektjéhez, valamint a kormányzati projektekhez. Ha a biztonsági stratégia az informatikai stratégia részeként készült, akkor az erre vonatkozó szabályozásnak megfelelıen el kell készíteni a felülvizsgálatot, éves informatikai tervet és informatikai beszerzési tervet. Ezekben a tervekben a megfelelı helyeken a biztonsági célok és feladatok szerepelni fognak. Ha önálló biztonsági stratégia készült egy csatlakozó rendszer megvalósításához, akkor a stratégia karbantartását a projektkezelési módszertannak megfelelıen kell végezni, ide kell becsatolnia az eredmények és elmaradások, változtatások kezelését. Ebben az esetben el kell készíteni egy olyan beszámolót, mely bemutatja a stratégia megvalósítás folyamatát, esetlegesen a fókuszok és a célok teljesülését, változását. Az éves tervek, beszámolók jóváhagyása a stratégiákkal azonos módon zajlik. A csatlakozó rendszer megvalósítása során az informatikai biztonsági környezet fejlıdésével folyamatosan fejlıdnek azok a folyamatok, melyek a stratégiai tervezést egyre megalapozottabbá teszik. 15. IT Biztonság stratégiai tervezés dokumentált elemei IT Biztonság stratégiai tervezés eredményeit az informatikai stratégiához a 22. ajánlásban meghatározott dokumentum struktúrában mutatjuk be. Ezek a részek megjelenhetnek az informatikai stratégiába illesztve, annak mellékleteként, más dokumentumokkal összevonva (pl. biztonsági politika, biztonsági szabályzat) vagy önállóan. A dokumentálással a szervezet felé a biztonsági törekvések kommunikálhatóakká, a projekt szponzor számára ellenırizhetıvé válnak. A tartalmi elemek: Vezetıi összefoglaló Bevezetés Vízió és jövıkép (a biztonsági cél a pályázatra vonatkozóan) Jelenlegi IT biztonsági helyzet összefoglalása Teendık Függelék Az egyes tartalmi elemek meghatározása mellett formázással jelölve gyakorlati tanácsok szerepelnek Vezetıi összefoglaló A vezetıi összefoglaló célja, hogy rövid, tömör összegzést adjon a dokumentum tartalmáról a vezetık számára. Az összefoglalónak tartalmaznia kell minden súlyponti elemet, fontosabb információt. Az összefoglaló elkészítésekor törekedni kell a könnyen értelmezhetı megfogalmazások használatára, a szervezeti célokat, küldetést kell középpontba állítani, és kerülni kell a szakzsargon és rövidítések alkalmazását. A vezetıi összefoglalót úgy kell elkészíteni, hogy az a stratégia elfogadásának döntés-elıkészítı dokumentumaként is felhasználható legyen, illetve illeszthetı legyen magasabb stratégiákba. 20

21 A vezetıi összefoglalónak a következı fıbb pontokat kell tartalmaznia: Az informatikai stratégiai dokumentum célja, szemléletmódja A stratégia hatóköre; Kapcsolódás más, magasabb stratégiákhoz; A jelenlegi helyzet rövid bemutatása Az elérendı jövıbeni helyzet meghatározása (jövıkép) A végrehajtás során használt módszertan bemutatása (alapmodell, szabvány) A tervezett programok, projektek ismertetése, rövid bemutatása A tervezett programok, projektek hozzávetıleges forrásigénye, a tervezhetı források megjelölésével A visszacsatolás, a monitoring és a változások követésének módszerei Bevezetés A bevezetésben röviden össze kell foglalni az informatikai stratégia kialakításának hátterét: Az informatikai stratégiai dokumentum céljának bemutatása, különös tekintettel a KOP követelményekre; Az informatikai stratégia hatóköre (az érintett szervezetek, csoportok felsorolása, akár szervezeti ábrákkal szemléltetve) A szervezeti behatárolást szervezeti ábrán célszerő bemutatni. IT alkalmazás térképen csatlakozó rendszer legyen látható mind hardver, mind szoftver és hálózati szempontból. Meg kell adni a térbeli (pl. telephely, épületrész) korlátokat is. A stratégia érvényességének tervezett idıtartama; A stratégia legyen érvényes legalább a csatlakozó rendszer üzembe helyezése után fél évig Vízió és jövıkép (a biztonsági cél a pályázatra vonatkozóan) A Célkijelölés fejezetnek (15. oldal) megfelelıen vízió és jövıkép bemutatása Jelenlegi IT biztonsági helyzet összefoglalása A jelenlegi IT biztonsági helyzet összefoglalása röviden mutassa be a helyzetelemzés eredményét a Helyzet meghatározás során (14. oldal) megadott értékelési területekre. Az IT biztonsági stratégia törzsébe az erıforrások biztonság szempontú elemzése kerül, olyan mélységig kifejtve, ami a stratégia késıbbi elemeinek megalapozásához szükséges (azaz a projektek meghatározásához és kidolgozásához). Információ biztonság menedzsment önértékelı lista (27. oldal) kitöltése kötelezı, a stratégia egyik függeléke (ezt tovább lehet majd vinni a priorizáláshoz). Ez a lista decimális aláosztással tartalmazza az értékelési területeket. A számozott sorok (pl. A5. A5.1) célokat, a számozatlan sorok az ehhez célszerő intézkedéseket tartalmaznak. 21

22 Az önértékelésnél csak a számozatlan sorokban szereplı intézkedésekrıl kell nyilatkozni. Egyértelmően (X-szel) kell jelölni soronként azt a választ, amely a csatlakozó rendszert pillanatnyilag legjobban jellemzi: Rendben: Folyamatban: Fejlesztendı: Hiányzik: Kizárható: Az intézkedést alkalmazzák Az intézkedés bevezetés alatt áll Az intézkedést alkalmazzák, de nem kellıen hatásos Az intézkedést nem alkalmazzák Az intézkedés nem alkalmazható Célszerő az Információ biztonság menedzsment önértékelı lista (27. oldal) követése a szöveges értékeléshez is. A szervezetnél kevésbé domináns területekrıl elegendı lehet elsı aláosztásonként (A5, A6 stb.) készíteni a szöveges összefoglalót a stratégia törzsébe, míg a meghatározó tartalmakat a második osztás szerint célszerő kifejteni (A5.1, A6.1, A6.2 stb.) Teendık A szervezet számára is érthetı módon, a megvalósíthatóság megítéléséhez elegendı mélységben kell bemutatni azt az utat, melyet a vízió eléréséhez meg kell tenni. Célszerő a Stratégiai célok értékelı táblázata (38. oldal) függelék szöveges összefoglalását, értelmezését, a kapcsolatok kiemelését helyezni ide. A Stratégiai célok értékelı táblázata (38. oldal) a korábban kitöltött Információ biztonság menedzsment önértékelı lista (27. oldal) alapján képezhetı a következı módon: Azokat az alcélokat (aláosztás, pl. A6.1), melyhez tartozó minden intézkedés besorolása Rendben Folyamatban Kizárható, megjelöljük, hogy nem cél. Azoknál az alcélokat (aláosztás, pl. A6.1), melynél hiányzik vagy fejlesztendı legalább egy intézkedés, megjelöljük, hogy cél. Azoknál az alcélokat (aláosztás, pl. A6.1), melynél nem hiányzik intézkedés, nincs fejlesztendı intézkedés sem, de van folyamatban fejlesztés, megjelöljük, hogy cél. Célonként összevonásokat tehetünk, azaz projektekbe rendezhetjük az egyes alcélokat, ha az oda tartozó intézkedések ezt indokolják. Ehhez sorokat illeszthetünk be és törölhetnünk a táblázatból. A táblázatból a nem cél jelöléső sorokat, az összevonások után nem használt cél / alcél sorokat törölhetjük. A célok értékelése a prioritások meghatározásával folytatódik, úgy hogy mindegyikhez meghatározunk egy prioritási értéket. Öttel a legnagyobb (sürgıs, fontos) prioritású célt, eggyel a legkisebb prioritásút jelöljük. Ezt a besorolást az IT készíti elı. A nagy és közepes prioritású célokhoz költséget becslünk. A szervezet képviselıinek bevonásával a célok prioritását véglegesítjük, és a költségek figyelembe vételével kijelöljük a megvalósítandó projekteket. Minden egyes folytatásra kijelölt futó projektrıl, illetve indításra jelölt új projektrıl elkészítjük a Projekt adatlapot (40. oldal), A 22. ajánlásnak megfelelıen elkészítjük a projektek összesítı listáit. 22

23 15.6. Függelék Tanulmányozott dokumentumok listája Az információgyőjtésnél megadott dokumentumok. A kialakítás során figyelembe vett jogszabályok, utasítások, stratégiák, programok, ajánlások és szabványok; Jelen dokumentum, a keretrendszer alkalmazott további elemei, MSZ ISO/IEC 27001:2006. A stratégiakészítésben résztvevık névsora Az IT terület, biztonsági terület, vezetés, felettes szerv, IT biztonsági tanácsadók, felhasználók képviselıi. A szervezeti értékek, küldetés képviselete nem maradhat el. IT helyzetkép ismertetéséhez háttéranyagok Ha nincs a 22. ajánlásnak megfelelı IT stratégia, akkor az IT helyzetet bemutató anyagok ide kerülnek, pl. konfiguráció, incidenskezelés, hálózat, monitoring stb. Információ biztonság menedzsment önértékelı lista (27. oldal) Stratégiai célok értékelı táblázata (38. oldal) Újonnan induló projektek (39. oldal) Folyamatban lévı projektek értékelése (39. oldal) Projekt adatlap (40. oldal), projektenként. 16. Az IT biztonsági stratégiai terv ellenırzése Az IT Biztonsági stratégia ellenırzési lista az IT Biztonság stratégiai követelményei teljesülésének az ellenırzését támogatja. Ezzel a stratéga készítıi meggyızıdhetnek arról, hogy eleget tettek a stratégiakészítésbıl adódó kötelezettségeiknek. igen részben nem nem releváns Az IT biztonsági stratégia az Útmutató struktúrájában került kialakításra A szervezet rendelkezik MSZ ISO/IEC tanúsítvánnyal, és az ott meghatározott módon készült az IT biztonsági stratégia Vezetıi összefoglaló van Hatókör meghatározás megtörtént Információgyőjtés megtörtént Kockázatértékelés összefoglalva Rendszer biztonsági osztályba sorolása Vízió és jövıkép meghatározva A stratégia a szervezet stratégiájához és a KOP definícióhoz illeszkedik A jogszabályokat, szabályzatokat, ajánlásokat figyelembe vették Az IT biztonsági szervezetet feltérképezték A jelenlegi IT biztonsági költségvetést áttekintették Informatikai biztonsági helyzetképet dokumentálták Az Informatikai biztonsági önértékelést elkészítették A lehetséges stratégiai célokat meghatározták A lehetséges stratégiai célokat priorizálták Kijelölték az újonnan induló projekteket Értékelték a folyamatban lévı projekteket Pontosították az induló és folytatódó projektek célját Költséget rendeltek az induló és folytatódó projektekhez Idıtervet rendeltek az induló és folytatódó projektekhez Elfogadható megoldás Nem kötelezı elem Nem kötelezı elem 23