Az informatikai biztonság irányításának követelményrendszere (IBIK)

Átírás

1 Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlása (TERVEZET) Az informatikai biztonság irányításának követelményrendszere (IBIK) 0.91 verzió 2004.

2 Készítette: Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna PhD. Szerkesztő : Muha Lajos Copyright 2004 Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna verzió 2

3 Ezt az ajánlást az Információs Társadalom Koordinációs Tárcaközi Bizottság szeptember -i ülésén ajánlásként fogadta el az informatikai biztonság szervezeti szintű kezeléséhez. Célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása az informatikai biztonságának megteremtéséhez. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Változáskezelés Verziószám Dátum A változás leírása Kiinduló munkaanyag (jelen verzió) A BME IK és más szakvélemények alapján javított változat (tervezet) A beérkező vélemények alapján átdolgozott változat. 1.0 (tervezet) Nyilvánosságra hozandó első kiadvány. (Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.) verzió 3

4 TARTALOM Előszó Előzmények Az IBIK alapjai Bevezetés Alkalmazási terület Fogalmak és meghatározások Az informatikai biztonság Kockázatelemzés Kockázatkezelés Biztonságpolitika Az informatikai biztonság dokumentumai Az informatikai biztonságpolitika Az informatikai biztonsági stratégia Az Informatikai Biztonsági Szabályzat Felülvizsgálat és fejlesztés Szervezeti Biztonság Az informatikai biztonság szervezeti struktúrája Informatikai Biztonsági Fórum Az informatikai biztonsági feladatok megosztása Biztonsági Vezető Informatikai Biztonsági Vezető Az adatfeldolgozás engedélyezési eljárásai Informatikai biztonsági tanácsadás Együttműködés külső szervezetekkel Az informatikai biztonság független felülvizsgálata Előírások a külső személyek által történő hozzáférésekkel kapcsolatban verzió 4

5 A külső személyek által történő hozzáférések kockázatai A hozzáférések típusai A hozzáférések engedélyezési feltételei Helyszíni tevékenységet végző külső személyek Informatikai biztonsági követelmények a harmadik személlyel kötött szerződésekben Vállalkozásba adás Előírások a vállalkozásba adási szerződésekben Az eszközök biztonsági besorolása és ellenőrzése Számadási kötelezettségek az eszközökkel kapcsolatban Készlet leltár Az adatok biztonsági osztályozása Az osztályozás irányelvei Az adatok minősítése, címkézése és kezelése Személyi biztonság Informatikai biztonság a felvételnél és a munkaköri leírásokban Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban A személyzet biztonsági átvilágítása és a személyzeti politika Titoktartási nyilatkozatok A foglalkoztatás feltételei Felhasználói képzés Az informatikai biztonsági oktatás és képzés Biztonsági és üzemzavarok kezelése Biztonsági események jelentése Biztonsági rendszerek hiányosságainak jelentése Programhibák jelentése Okulás véletlen eseményekből Fegyelmi eljárás verzió 5

6 7. Fizikai és környezeti biztonság Biztonsági szegmensek Biztonsági határok A beléptetés fizikai eszközei Létesítmények és helyiségek biztonsága Munkavégzés a biztonsági szegmensekben A kiszolgáló területek és raktárak biztonsági elkülönítése A berendezések fizikai védelme A műszaki berendezések elhelyezése és védelme Energiaellátás A kábelezés biztonsága A berendezések karbantartása A telephelyen kívüli berendezések védelme A berendezések biztonságos tárolása és újra felhasználása Általános védelmi intézkedések Adattárolási és képernyő-kezelési irányelvek Eszközök kivitele Informatikai eszközök újrahasznosítása Adathordozók megsemmisítése Hang-, kép- és adatrögzítő eszközök használata Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje Üzemeltetési eljárások és feladatok Az üzemeltetési eljárások dokumentációja Változásmenedzsment és ellenőrzés az üzemeltetés során Váratlan események kezelési eljárásai A feladatkörök biztonsági szétválasztása A fejlesztési és az üzemeltetési feladatok szétválasztása Külső létesítmények üzemeltetése IT rendszerek tervezése és átvétele verzió 6

7 Kapacitástervezés A rendszer átvétele Védelem rosszindulatú programok ellen A rosszindulatú programokat ellenőrző eszközök A vírusvédelmi rendszer kialakítása és működtetése Operátori tevékenységek Az adatmentések tartalék példányai Operátori naplók Az üzemzavarok naplózása Hálózatmenedzsment Hálózati ellenőrző eszközök Az adathordozók biztonságos kezelése Hordozható adathordozók kezelése Az adathordozók tárolása Adatkezelési eljárások Az IT rendszer dokumentációjának biztonsága Adatok és programok cseréje Megállapodások az adatok és programok cseréjéről Adathordozók szállítása Az elektronikus kereskedelem biztonsága Az elektronikus levelezés biztonsága Biztonsági kockázatok Az elektronikus levelezés irányelvei Irodaautomatizálási rendszerek biztonsága Nyilvános rendszerek Az adatcsere egyéb formái Hozzáférés menedzsment A hozzáférés ellenőrzés üzleti követelményei Irányelvek és üzleti követelmények verzió 7

8 A szabályzat és az üzleti követelmények A hozzáférés ellenőrzés szabályai Külső fél hozzáférése A felhasználói hozzáférés menedzsmentje A felhasználó bejelentkezése A jogosultságok kezelése A felhasználói jelszavak kezelése A felhasználó hozzáférési jogosultságainak ellenőrzése A felhasználó feladatai Jelszó használat Felügyelet nélküli berendezések A hálózati szintű hozzáférések menedzsmentje A hálózati szolgáltatások használatának irányelvei Kötelező hozzáférési útvonal Felhasználó azonosítás-hitelesítés távoli kapcsolatnál Távoli munkaállomás azonosítása és hitelesítése A távdiagnosztikai portok védelme A hálózatok biztonsági szegmentálása A hálózatra történő csatlakozások ellenőrzése A hálózati útvonal kiválasztások ellenőrzése A hálózati szolgáltatások biztonsága Az operációs rendszerszintű hozzáférések ellenőrzése Terminálok automatikus azonosítása, hitelesítése Terminál bejelentkezési eljárások A felhasználó azonosítása, hitelesítése Jelszómenedzsment rendszer Rendszer segédprogramok használata Támadás-riasztás Terminál időkorlát verzió 8

9 Kapcsolati időkorlátozás Alkalmazás szintű hozzáférések vezérlése Az adatelérés szabályozása Érzékeny adatokat kezelő rendszer elkülönítése Hozzáférés a biztonsági monitoring rendszerhez és használata Eseménynaplózás A rendszerhasználat követése Kockázati tényezők Az eseménynaplózás és értékelése Dátum- és időállítás Mobil IT tevékenység, távmunka Mobil IT tevékenység A távmunka végző kapcsolat a munkahellyel Az IT rendszerek fejlesztése és karbantartása Az IT rendszerek informatikai biztonsági követelményei A biztonsági követelmények elemzése és meghatározása Biztonság a felhasználói rendszerekben A bemenő adatok hitelesítése Az adatfeldolgozás ellenőrzése Veszélyeztetett területek Vezérlő és ellenőrző eljárások Az üzenetek hitelesítése A kimenő adatok hitelesítése Kriptográfiai eszközök A kriptográfiai eszközök alkalmazásának irányelvei Rejtjelzés Digitális aláírás Szolgáltatások a le nem tagadhatóságra Kulcsmenedzsment verzió 9

10 A kriptográfiai kulcsok védelme Szabványok, eljárások, módszerek Rendszerszintű adatállományok védelme Az operációs rendszer ellenőrzése A teszt adatok védelme A program forráskönyvtárhoz való hozzáférés ellenőrzése Informatikai biztonság a fejlesztési és a karbantartási folyamatokban Változásmenedzsment eljárások Az operációs rendszer változtatásainak ellenőrzése Vásárolt programok változtatására vonatkozó korlátok Rejtett csatorna, trójai faló A programfejlesztés kihelyezése Üzletmenet-folytonosság menedzsment Üzletmenet-folytonosság menedzsment területei Üzletmenet-folytonosság menedzsment folyamata Az üzletmenet-folytonosság és a hatásvizsgálat Az üzletmenet-folytonossági terv kidolgozása Katasztrófa-elhárítási terv Az üzletmenet-folytonosság tervezési keretrendszere Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése A tervek tesztelése A tervek karbantartása és újraértékelése Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak A jogszabályi előírások betartása A vonatkozó jogszabályok behatárolása Szellemi tulajdonjogok Szerzői jogok Szoftver szerzői jogok verzió 10

11 A szervezet adatainak biztonsága Személyes adatok védelme A védelmi eszközökkel elkövethető visszaélések megelőzése A kriptográfiai eszközök kezelésének szabályozása A bizonyítékok gyűjtése A bizonyítékokra vonatkozó szabályok A bizonyítékok elfogadhatósága A bizonyítékok minősége és hiánytalan volta Az informatikai biztonságpolitikának és a műszaki követelményeknek való megfelelés Az informatikai biztonsági előírásoknak való megfelelés A műszaki követelményeknek való megfelelés Megfontolások a rendszerek biztonsági ellenőrzésére Rendszerauditálási óvintézkedések Rendszerauditáló eszközök védelme verzió 11

12 verzió 12

13 Előszó 1. Előzmények Az információ az innováció legfontosabb forrásává vált, jelentős részét képezve a különböző szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlődésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. A szakemberek ráébredtek arra, hogy nem elegendő az információkat hagyományos módszerekkel védeni, hanem magukat a számítástechnikai eszközöket kell úgy kialakítani, hogy megfelelő védelmet biztosítsanak. Nemzetközi téren már az 1970-es évek végén megindult (elsősorban az Egyesült Államokban) az informatikai biztonsági értékelés követelményrendszere kidolgozására vonatkozó tevékenység. Első kézzelfogható eredménye a TCSEC 1 dokumentum, vagy más néven a Narancs Könyv megjelenése volt, amelyben az USA Védelmi Minisztériumának informatikai biztonsági követelményeit hozták nyilvánosságra elsősorban a beszállítók részére. Ezt követően több országban, például Angliában, Németországban, Franciaországban is elindult hasonló dokumentum kidolgozása. A 80-as évek vége felé a személyi számítógépek, a helyi és a nagy területeket átfogó hálózatok elterjedésével mind jobban erősödött az a felismerés, hogy az informatikai biztonságra vonatkozó előírások nemzeti szintjéről tovább kell lépni egy nemzetközi téren egyeztetett dokumentum irányába. Az első ilyen erőfeszítés eredménye volt az ITSEC 2 dokumentum 1.0 változata, amelyet Anglia, Franciaország, Hollandia és Németország közösen dolgozott ki. Az ITSEC 1.2 változatát az Európai Közösség számára kísérleti célból 1991-ben adták ki. Ezzel közel egy időben a Nemzetközi Szabványosítási Szervezetben (ISO 3 ) és a Nemzetközi Elektrotechnikai Bizott- 1 TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai) 2 ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) 3 ISO = International Organization for Standardization verzió 13

14 ságban (IEC 4 ) is elkezdődött ebben a tárgyban a munka, azonban a nemzeti szinteken addig kidolgozott követelmények egyeztetése miatt ez viszonylag lassan haladt előre. E probléma feloldására az Egyesült Államokban és Kanadában elkészültek az FC 5, illetve a CTCPEC 6 dokumentumok. Az FC dokumentumnak az 1993-ban az Európai Közösség illetékes bizottságának történt bemutatása után az a határozat született, hogy az ITSEC, a CTCPEC és az FC szerzői dolgozzanak ki egy olyan követelményrendszert, amely nemzetközileg elfogadható lesz, és az ISO/IEC számára ajánlani lehet a szabványosítási munka alapjául. Az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával kidolgozásra került a CC 7 dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre egyedi követelményeket szabni. Ez képezte az alapját az Európai Közösség ebben a tárgyban végzendő további munkáinak, valamint az ISO/IEC-nél elvégzendő szabványosítási tevékenységnek. A több éves munka eredményeként 1998-ban jelent meg a Common Criteria 2.0 változata. A CC követelményrendszerének első három fejezetét ISO/IEC számon, Common Criteria for Information Technology Security Evaluation, version 2.0 címmel nemzetközi szabványként is kiadták. A TCSEC, majd az ITSEC ajánlások, csak az informatikai rendszerek logikai védelmével, a biztonság funkcionális és minősítési követelményeivel foglakoznak, és nem térnek ki az adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire. A CC esetében ez a szemlét alapvetően nem változik, de a biztonsági követelmények és funkciók leírása sokkal árnyaltabb. Így lehetőség adódik pontosabb védelmi profilok (funkciók) meghatározására, a kifejezetten biztonsági termékek, például tűzfalak mélyebb és 4 IEC = International Electrotechnical Commission) 5 FC = Federal Criteria for Information Technology Security (Az Információtechnológia Biztonságára vonatkozó Szövetségi Kritériumok) 6 CTCPEC = Canadian Trusted Computer Product Evaluation Criteria (A Biztonságos Számítástechnikai Termékek Értékelési Kritériumai Kanadában) 7 CC = Common Criteria (Közös Követelmények) verzió 14

15 korrektebb biztonsági minősítésére, sőt elvi lehetőség van összetett informatikai rendszer biztonsági értékelésére is. Az egyes országokban megindult olyan ajánlások, követelmények fejlesztése is, amelyek kifejezetten a felhasználók számára nyújtanak segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére. Ilyen például az Amerikai Egyesült Államokban a NIST 8 Special Publication 800 sorozatának NIST SP , An Introduction to Computer Security: The NIST Handbook, a német BSI 9 IT Baseline Protection Manual, vagy a Brit Szabványügyi Hivatal 10 BS 7799 Part 1, Code of practice for information security management kiadványa. Ez utóbbit augusztusában ISO/IEC 17799:2000 számon Information Technology Code of practice for information security management néven nemzetközi szabványként fogadták el. (A 2. rész 11 elsősorban a szervezet vezetésének szól, és a megfelelési és az ellenőrzési követelményeket tartalmazza.) Az eddig többségében termékorientált szemlélet egy szervezeti szintű informatikai biztonságmenedzsment központú szemlélet váltotta fel. Az ISO/IEC szabvány alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy nem követelményeket ír elő, hanem a minőségbiztosításról szóló ISO 9000 szabványhoz hasonlóan a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg. A szabvány felhasználóinak a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából kell levezetniük. Ez a szabvány már alkalmas arra, hogy a megfelelő akkreditálás és tanúsítási eljárások alkalmazásával lehetővé váljon a teljes informatikai rendszer értékelése és tanúsítása. Hazánkban a rendszerváltozás után egy érdekes időszak következett be. Mint annyi más területen az információvédelemnél is érvényesült a múlt gyors, differenciálatlan, éles és túlzottan leegyszerűsített tagadása, amely szerint a demokrácia szerves részét képezi az informá- 8 National Institute of Standards and Technology 9 Bundesamt für Sicherheit in der Informationstechnik 10 British Standard Institute 11 A BS 7799 második részét 2002-ben módosították az ISO 9001:2000 és az ISO 14001:1996 szabványokkal való harmonizáció miatt. Az aktuális változat a BS 7799 Part 2:2002, Information security management systems Specification with guidance for use verzió 15

16 ciókhoz, bármely információhoz való szabad hozzájutás joga. A piaci körülmények, a privatizáció fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban és az egyes személyekben is, hogy olyan, hozzájuk kapcsoló információkkal, adatokkal rendelkeznek, amelynek kizárólagos birtoklása, és folyamatos rendelkezésre állása nagyon fontos társasági, illetve személyes érdek. A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) Informatikai biztonsági módszertani kézikönyv címet viselő, 1994-ben kiadott MeH ITB 8. számú ajánlása a brit kormány Központi Számítógép és Távközlési Ügynökség (Central Computer and Telecommunications Agency) CCTA Risk Analysis and Management Method és az északrajna-vesztfáliai kormány Informationtechnik Sicherheitshandbuch felhasználásával, valamint az EU informatikai ajánlásai és a hazai jogszabályok alapján készült. A kézikönyv célja a szervezetet az informatikai biztonsági koncepciójának kialakítására történő felkészítés volt. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság és a szervezet összbiztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csatolt mellékletekben találhatók meg. A MeH ITB 8. számú ajánlását, mint az informatikai biztonság CRAMM alapú kockázatelemzési módszertanát a közigazgatás területén kívül is elterjedten használják. A MeH ITB kezdeményezésére 1995-ben kezdődött meg a következő hazai ajánlás kidolgozása, amelyet decemberére véglegesítettek, és az Informatikai Rendszerek Biztonsági Követelményei címmel, mint a MeH ITB 12. sz. ajánlás vált de facto szabvánnyá. Az Informatikai Rendszerek Biztonsági Követelményei kidolgozásánál elsődleges szempont volt, hogy ne csak a logikai védelem előírásait tartalmazza, hanem jelenjenek meg benne az adminisztratív és a fizikai védelem követelményei is. A logikai védelem (hardver, szoftver, hálózatok) esetében az ITSEC lett adaptálva, ugyanakkor részletes követelményeket és védelmi intézkedéseket tartalmaz az informatikai biztonság adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire is. A gazdasági élet számos szereplője a saját biztonsági politikája kialakításakor figyelembe vette a 12. sz. ajánlást, több esetben a mai napig is belső szabályzóként, követelményrendszerként használják a biztonsági követelmények meghatározására. Az CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban a MeH ITB 16. sz. ajánlásaként Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana címen, mint a Common Criteria 1.0 változatának hazai feldolgozása kiadásra került verzió 16

17 A Magyar Szabványügyi Testület évben magyar szabványként kiadta Az informatikai biztonságértékelés közös szempontjai címen az ISO/IEC 15408, Az informatikai biztonság menedzsmentjének eljárásrendje címen az ISO/IEC szabványokat, és jelenleg előkészítés alatt áll az ISO/IEC TR első és második részének magyar kiadása. Természetesen az informatikai biztonság területén számos egyéb szabvány és ajánlás is létezik, például az: - ISO/IEC 9796 a digitális aláírás, - ISO/IEC 9797 az üzenethitelesítés, - ISO/IEC a letagadhatatlanság, - ISO/IEC a hozzáférés-ellenőrzés, - ISO/IEC az időbélyegzés, - ISO/IEC a hálózatbiztonság, - ISO/IEC a rejtjelzés (titkosítás), - ISO/IEC a kriptográfiai modulok biztonsági követelményei témájában került kiadásra verzió 17

18 2. Az IBIK alapjai Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL 12 -re és a COBIT 13 -ra. Az ITIL, Az informatikaszolgáltatás módszertana egy az informatika, mint szolgáltatás egészére kiterjedő, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létező ITIL folyamatokat bővíti a biztonságirányítással. A COBIT az információrendszer ellenőrök 12 ITIL = IT Infrastructure Library Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezőek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az IT Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára de facto nemzetközi szabvánnyá vált, amelynek több országban működik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával novemberében honosították. 13 COBIT = Control Objectives for Information and Related Technology Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenőrzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsősorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenőrzési irányelvek, a Vezetői útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezésű kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenőrzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fő hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet verzió 18

19 egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenőrzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. A már említett ISO/IEC szabvány elsősorban technikai jellegű, főleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minősítésére. Nem tartalmaz ugyanakkor megfelelően, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltető, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR Guidelines for the Management of IT Security 14 (GMITS) műszaki beszámoló. Az ISO/IEC TR nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de Technical Report -ként, ami ebben az esetben a megoldási lehetőségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR öt részből áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for IT Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning IT Security), 3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of IT Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections). 14 Segédlet az informatikai biztonság irányításához verzió 19

20 Az ISO/IEC szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelő informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különböző nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a de facto nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC szabványt bár kritikák is érik a világ, és különösen az Európai Unió mind több országában fogadják el a különböző szervezetek informatikai rendszerük biztonságának alapjaként. Ezért is döntött úgy az Informatikai és Hírközlési Minisztérium, hogy a jelen követelményrendszernek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével verzió 20

21 Bevezetés 1. Az informatikai biztonság Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körűség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhető szintre kerülnek. Ezt az arányt, mint a védelem erősségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy az elmaradt haszon az veszteség gazdasági alaptétel mintájára az elmaradt kár az haszon tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkező károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetők pénzkidobásnak. 2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentős üzleti értéket, vagyont képeznek, olyan kiemelt jelentőségű erőforrások, amelyek semmi mással nem helyettesíthető. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tűzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes változata a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számí verzió 21

22 tógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezető támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerőbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti működtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhető hozzá, elvész vagy illetéktelen kezekbe jut, az jelentős anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentős változások történtek az információ megjelenési formáját illetően. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselő információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektől és informatikai szolgáltatásoktól való függőség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetőbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erőforrások megosztása nagyon megnehezíti a hozzáférések ellenőrzését. Az osztott feldolgozás tendenciája, iránya jelentősen meggyengítette a szakértői központi ellenőrzés hatékonyságát. Igen sok informatikai rendszert egyszerűen nem biztonságosra terveztek. Csak műszaki eszközökkel kizárólag korlátozott biztonság érhető el, éppen ezért kell azt megfelelő vezetési és irányítási módszerekkel támogatni. Az információbiztonság megteremtésének kiindulópontját az információ minősítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetőség szerint mindenre kiterjedő, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az információbiztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthető. A biztonság megteremtéséhez nem elegendő a megfelelő szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van, hiszen az információbiztonság különböző, de szorosan összetartozó szakterületeit művelő szakembereinek, akik közös irányítás alatt, közös célok érdekében ugyanazon feladatok összetartozó részeit közösen kell, hogy megoldják, azonos szervezeti egységhez kell tartozniuk. A megfelelő biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthető a számítógépen készített és tárolt minősített irat illetéktelen megismerésének valószínűsége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép verzió 22

23 által automatikusan és folyamatosan tárolt feljegyzések alapján a biztonságot sértő eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerű megvalósítása esetén lehetséges, amely speciális, az informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erőforrásokat. Ennek hiányában a számítógépeken digitális állapotú információk megismerése nyomtalanul végrehajtható, és a további erőfeszítések a kinyomtatott, papíralapon megjelenő iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelő védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintű elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintő változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelméről nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellő figyelmet. A Ttv ben jelent meg, amikor a kérdés jelentősége még sokkal kisebb volt, és a jogszabályalkotó azóta is adós az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minősített adat kezelésének rendjéről) nem követték a tényleges technikai fejlődést és az egyre növekvő mértékben megjelenő biztonsági kockázatokra nem adtak releváns választ, ezért a valós veszélyekre való tekintettel az egyes szervezetek öntevékenyen kezdték el szabályozni ezt a területet, így jelenleg sokféle, különböző szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létező szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végző szerv szabályozza és ellenőrzi. Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonságpolitikáját, belső szabályzóit. Ennek három fő forrása ismert: verzió 23

24 A követelmények első forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez u- tóbbiak bekövetkezésének valószinűségét, és megbecsüli a lehetséges, várható károkat. A második forrást azok a törvényi, szabályozási és szerződési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. A harmadik forrást azok az információfeldolgozási alapelvek, célkitűzések és követelmények alkotják, amelyeket a szervezet saját működésének támogatására fejlesztett ki verzió 24

25 1. ALKALMAZÁSI TERÜLET Ez az ajánlás azoknak ad segítséget az informatikai biztonság szervezeti szintű kezeléséhez, akik saját szervezetükben a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Felhívjuk a figyelmet, hogy a változó viszonyok között a mindenkori hatályos jogszabályok keretei között kell alaklmazni ezt az ajánlást. Az ajánlás célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó olyan hazai előírások biztosítása az informatikai biztonságának megteremtéséhez, amelyek bizalmat teremthetnek a különböző szervezetek között az informatikai rendszerek biztonságát illetően verzió 25

26 2. FOGALMAK ÉS MEGHATÁROZÁSOK 2.1. Az informatikai biztonság Informatikai biztonság: Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Egyszerűsítve: az informatikai rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelme. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Sértetlenség: Az adat tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes, és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik. Rendelkezésre állás: Az informatikai rendszerelem ide értve az adatot is tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a szükséges időben és időtartamra használható. Zárt védelem: Zárt a védelem, ha az az összes releváns fenyegetést figyelembe veszi verzió 26

27 Teljes körű védelem: Teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed. Folytonos védelem: Folytonos a védelem, ha az az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. Kockázattal arányos védelem: A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel Kockázatelemzés Az információ és az információfeldolgozó eszközök gyenge pontjainak, fenyegetéseinek (veszélyeztetettségének, sérülékenységének, befolyásolhatóságának), valamint a fenyegetésekből által okozható károk, és ezek bekövetkezése valószínűségének a becslése (kockázatbecslés) vagy felmérése (kockázatelemzés). A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. A kockázatot, mint elvont fogalmat szokták alkalmazni, ám az formálisan is definiálható: verzió 27

28 r = ( p t d ) t t T ahol: r: a kockázat [Ft/év], T: a releváns fenyegetések halmaza, p t : egy adott kockázat bekövetkezésének gyakorisága (valószínűsége) [1/év], d t : egy adott kockázat bekövetkezéséből származó kár [Ft]. A kockázat mértékegységekkel is kifejezhető, de nem mindig mint pontos időarányos összeg kerül meghatározásra, hanem gyakran valamilyen osztályzatként, amely a kockázat nagyságrendjét, elviselhető vagy nem elviselhető nagyságát mutatja. Bármilyen kockázatelemzési tevékenység megkezdése előtt a szervezetnek stratégiával kell rendelkeznie az ilyen elemzésekhez és ennek összetevőit (eljárások, technikák stb.) dokumentálni kell az informatikai biztonságpolitikában. A kockázatelemzési eljárás eszközeit és kritériumait az adott szervezet számára kell megválasztani. A kockázatelemzési stratégiának biztosítania kell, hogy a választott megközelítés alkalmazható az adott környezetre és ott fókuszál a biztonsági erőfeszítésekre, ahol az valóban szükséges. Az alábbiakban négy különböző kockázatmenedzsment megközelítést mutatunk be. Az alapvető különbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel általában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfajta egyensúlyt kell tartani a megközelítések között. Eltekintve a semmittevés lehetőségétől és elfogadva azt, hogy jelentős számú ismeretlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvető megközelítés van a szervezeti kockázatelemzési stratégiák területén: a) Ugyanannak az alapszintű megközelítésnek a használata minden informatikai rendszerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfogadjuk, hogy az adott szintű biztonság nem mindig megfelelő. b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve, verzió 28

29 c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai rendszerre, d) Egy kezdeti, magas szintű kockázatelemzés kivitelezése, annak meghatározására, hogy mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a szervezet működésére nézve, majd ezt követően egy részletes kockázatelemzés ezekre a rendszerekre, a többiekre pedig az alapszintű megközelítés használata. Ezeket a különböző lehetőségeket ismertetjük az alábbiakban és javaslatokat fogalmazunk meg az ajánlott megközelítéssel kapcsolatban. Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható következményeivel. Míg ez nem igényel időt, pénzt, személyzetet vagy egyéb erőforrásokat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy rendszerei nem kritikus jellegűek súlyos következményeknek teheti ki magát. A szervezet lehet, hogy nincs összhangban a jogi és egyéb szabályozásokkal, valamint a megbecsülése szervezhet csorbát, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen biztonsági intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot érintő célja van vagy nincs kritikus informatikai rendszere, ez egy megvalósítható stratégia lehet. Bár a szervezet abban a pozícióban maradt, hogy nem tudja milyen jó vagy rossz valójában a helyzet és a legtöbb esetben ez valószínűleg nem jó megoldás. Alapszintű megközelítés Első választási lehetőségként egy szervezet alkalmazhat alapszintű biztonságot minden informatikai rendszerére a biztosítékok megfelelő megválasztásával. E megközelítésnek jelentős számú előnye van: a) csak minimális mennyiségű erőforrás szükséges a kockázatelemzéshez és kezeléshez az egyes biztosítékok alkalmazásakor és ezért kevesebb idő és erőfeszítés kell a biztosítékok kiválasztásához. b) Az alapszintű biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy hasonló alapszintű biztosítékokat lehet számos rendszerben alkalmazni különösebb erőfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és amennyiben a biztonsági igények összemérhetők. E megközelítés hátrányai a következők: verzió 29

30 a) ha az alapszint túl magasra lett beállítva, túlzott szintű biztonság alakul ki egyes rendszerekben, b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes rendszerekben és ez megnöveli a kockázatoknak való kitettséget, c) problémák jelentkezhetnek a biztonságot érintő változások kezelésében. Például, ha a rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintű biztosítékok még mindig elegendőek. Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági követelményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális védelmet érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetettsége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása minden rendszerre. Informális megközelítés Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális megközelítés nem strukturált módszereken alapul, de kihasználja a szakértők tudását és tapasztalatát. E megközelítés előnyei: a) általában nem igényel sok időt és erőforrást. Nincs szükség további képességek megtanulására az informális elemzéshez és gyorsabban kivitelezhető, mint a részletes elemzés. A megközelítés a következő hátrányokkal bír: a) formális megközelítés és alapos ellenőrző listák nélkül megnő a fontos részletek kihagyásának valószínűsége, b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes lehet, c) kevés megelőző gyakorlattal rendelkező személyek a kockázatelemzés során kevés segítséget tudnak nyújtani, verzió 30

31 d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosítékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették volna, hogy van-e egyáltalán valószínűsíthető fenyegetés, amely kihasználhatja ezeket a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra, e) a szubjektivitás megjelenésének lehetősége, különösen az interjú készítőjének előítéletei befolyásolhatják az eredményeket, f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végző személy elhagyja a szervezet. A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthető hatékonynak. Részletes kockázatelemzés A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes kockázatelemzés képezi. A részletes kockázatelemzés az értéket képező eszközök mélységben történő azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzéséhez majd a megfelelő biztosítékok kiválasztásához használjuk. Ezen megközelítés előnyei a következők: a) valószínűleg minden informatikai rendszer számára megfelelő biztosítékok kerülnek azonosításra, b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások kezelésében. Ezen megközelítés hátrányai a következők: a) jelentős időt és erőfeszítést, valamint szakértelmet igényel, b) fennáll a lehetősége annak, hogy a kritikus rendszerek biztonsági igényei túl későn kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességű és mennyiségű időt igénylő vizsgálata szükséges a teljes elemzéshez. Ezért nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rendszerre, ha ezt a megközelítést választjuk a következő lehetséges kivitelezési módok léteznek: a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket, verzió 31

32 b) egy standard megközelítés alkalmazása a szervezetnek megfelelő különböző módokon kockázatmodellező technikák alkalmazása előnyös lehet sok szervezet számára. Kombinált megközelítés A negyedik lehetőség először magas szintű kockázatelemzést kell végezni minden informatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb informatikai rendszerre az alapszintű megközelítést kell alkalmazni. Ez a megközelítés az előzőek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azonosításához szükséges idő és erőforrások tekintetében, miközben biztosítja a magas kockázatnak kitett rendszerek megfelelő védelmét. E megközelítés további előnyei a következők: a) a kezdeti gyors és egyszerű megközelítés nagy valószínűséggel megkönnyíti a kockázatelemzési program elfogadását, b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról, azaz ez egy jó tervezési segítséget ad, c) a követő tevékenységek sokkal eredményesebbek lesznek. Az egyetlen lehetséges hátrány a következő: a) mivel a kezdeti kockázatelemzés magas szintű és esetleg kevésbé pontos néhány rendszer nem biztos, hogy a megfelelő szintű kockázatokkal lesz azonosítva. Ezek a rendszerek az alapszintű módszer szerint lesznek elemezve, bár a későbbiekben vissza lehet térni és újra elemezni, hogy az alapszintű megközelítésnél több is szükséges-e. A magas szintű kockázatelemzési megközelítés egyesítve az alapszintű megközelítéssel és ahol az alkalmazható, a részletes kockázatelemzéssel a szervezetek többsége számára a leghatékonyabb előremutató megoldást jelenti verzió 32

33 2.3. Kockázatkezelés Azoknak a biztonsági kockázatoknak az elfogadható/méltányos költségen történő azonosítása/meghatározása, ellenőrzése/kézbentartása, minimalizálása vagy megszüntetése, amelyek hatással lehetnek információrendszerekre. Védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a maradványkockázat elviselhető szintűre változnak verzió 33

34 3. BIZTONSÁGPOLITIKA 3.1. Az informatikai biztonság dokumentumai Az informatikai biztonságpolitika célja a vezetés elkötelezettségének bemutatása az informatikai biztonság irányítására és támogatására. A vezetőség egyértelműen tűzze ki biztonságpolitikájának irányvonalát, egyértelműen mutassa be, hogy támogatja az informatikai biztonság céljait és elveit, elkötelezett az informatikai biztonság mellett Az informatikai biztonságpolitika A biztonsági célú tevékenységekhez szükséges megfelelő mértékű támogatás biztosítása érdekében az informatikai biztonságpolitikát a felső vezetésnek kell kiadmányozni (jóváhagyni), és a szükséges mértékben közzétenni. Az informatikai biztonságpolitikát úgy kell kialakítani és gondozni, hogy az a szervezet egyéb céljaival, továbbá működési, biztonsági és informatikai politikájával, valamint a biztonsági szabályozásokkal összhangban legyen. Az informatikai biztonságpolitikát jelentősen befolyásolja az, hogy a szervezet miként alapozza működését az általa használt informatikára. Minél fontosabb az informatika és minél inkább támaszkodunk rá, annál magasabb szintű biztonságra van szükség ahhoz, hogy garantáljuk a szervezet céljainak elérését. A szervezeti szintű informatikai biztonságpolitika kialakításakor figyelembe kell venni a környezeti, szervezeti és kulturális jellemzőket, mivel ezek befolyásolhatják a biztonság megközelítését. Az informatikai biztonságpolitikában meghatározott, biztonsághoz kapcsolódó tevékenységek a következőkre alapozhatók: szervezeti célok és stratégia, korábbi kockázatfelmérések és vezetői ellenőrzések, valamint olyan kísérő tevékenységek eredményei, mint az alkalmazott biztosítékok biztonsági megfelelőségének ellenőrzése, az informatikai biztonsággal kapcsolatos napi gyakorlat folyamatos ellenőrzése és felülvizsgálata, továbbá a biztonsági eseményekről szóló jelentések. Bármilyen komoly fenyegetés vagy gyenge pont derül ki eközben, azt figyelembe kell venni az informatikai biztonságpolitikában. A részletezett tevékenységeket a szervezet informatikai biztonsági szabályzatában, a különféle informatikai verzió 34