ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Átírás

1 ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

2 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 2

3 Metaadat-táblázat Megnevezés Cím (dc:title) Kulcsszó (dc:subject) Leírás (dc:description) Leírás Útmutató akkreditorok számára IT biztonság; értékelés; útmutató Az elkészült e-közigazgatási szolgáltató rendszerek használatba vételét, illetve a központi rendszerhez csatlakoztatását jogszabályban meghatározott eljárásrend szerint engedélyezik. Ezt az engedélyezési folyamatot a nemzetközileg elfogadott szóhasználatnak megfelelıen biztonsági akkreditálásnak nevezzük. Jelen dokumentum elsısorban a szolgáltató rendszerek használatba vételét, központi rendszerhez csatlakoztatását engedélyezı vezetınek, az akkreditornak ad útmutatást,egyúttal meghatározza a biztonsági akkreditálásban érintett egyéb szereplık feladatait is. Típus (dc:type) Szöveg, ábra, táblázat Forrás (dc:source) Kapcsolat (dc:relation) e-közigazgatási Keretrendszer egyéb dokumentumai Terület (dc:coverage) KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek Létrehozó (dc:creator) e-közigazgatási Keretrendszer Kialakítása projekt Kiadó (dc:publisher) Miniszterelnöki Hivatal Résztvevı (dc:contributor) Hunguard Kft. Jogok (dc:rights) e-közigazgatási Keretrendszer Dátum (dc:date) Formátum (dc:format).doc Azonosító (dc:identifier) Nyelv (dc:language) Magyar Verzió (dc:version) V1 Státusz (State) Végleges Fájlnév (FileName) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.doc Méret (Size) Ár (Price) Felhasználási jogok (UserRights) Korlátlan EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 3

4 Verziókövetési táblázat A dokumentum neve Útmutató akkreditorok számára A dokumentum készítıjének neve Hunguard Kft A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám V1 Összes oldalszám 45 A projekt azonosítója E-közigazgatási keretrendszer kialakítása Változáskezelés Verzió Dátum A változás leírása V Elsı tartalomjegyzék V MeH-nek átadott verzió EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 4

5 Szövegsablon Megnevezés Leírás 1. Elıszó (Foreword) 1. fejezet 2. Bevezetés (Preamble) 2. fejezet 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia nincs 8. Rövidítésgyőjtemény 9. fejezet 9. Fogalomtár 10. Ábrák szövegben 11. Képek nincs 12. Fogalmak 5. fejezet 13. Verzió V1 14. Mellékletek (Appendix) nincs EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 5

6 Tartalomjegyzék 1. Elıszó Bevezetés A dokumentum célja A dokumentum felépítése Alkalmazási terület Rendelkezı hivatkozások Fogalom-meghatározások A biztonság akkreditálása A biztonsági akkreditálás alapjai A biztonsági akkreditálás A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálásban érintett szereplık és felelısségük A biztonsági akkreditálás lehetséges eredményei A biztonsági akkreditálási folyamatot megalapozó dokumentumok A folyamatos monitorozás A biztonsági akkreditálás folyamata A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei Az elıkészületi szakasz Az auditálási és értékelési szakasz Az akkreditálási szakasz A folyamatos monitorozási szakasz Melléklet: A biztonsági akkreditálás feladatainak áttekintése Bibliográfia Rövidítésgyőjtemény Fogalomtár Ábrák Képek Táblázatok Verziószám EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 6

7 1. Elıszó Jelen dokumentum az e-közigazgatási Keretrendszer részét képezi. Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. Ezt az engedélyezést, mely egy hivatalos vezetıi döntés a szolgáltató rendszer mőködtetésének (csatlakoztatásának) engedélyezésérıl, jelen anyag (a nemzetközi szóhasználatnak megfelelıen) biztonsági akkreditálásnak nevezi. Jelen dokumentum a biztonsági akkreditálás eljárásrendjét kívánja szakmailag megalapozni, áttekintve a folyamatot, részletezve az elvégzendı feladatokat és meghatározva az egyes feladatok felelıseit. A biztonsági akkreditálás eljárásrendjének biztosítania kell az informatikai biztonság megfelelı szintő megvalósulását. Az eljárásrend részét képezik az alábbiak: a szolgáltató rendszer biztonsági irányelvének, szabályzatának és eljárásrendjének elkészítése és jóváhagyása, egy elızetes auditálás és értékelés, a rendszer használati ideje során rendszeres és szükség szerint független értékelési és auditálási eljárások. Az auditálás és értékelés az elektronikus szolgáltatások megfelelıség vizsgálatának egymást kiegészítı két szempontját képviselik. Az auditálás a szolgáltató szervezetre irányul, s a dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések megfelelıségét igazolja. Az értékelés a szolgáltató informatikai rendszerre irányul, s a szoftver és hardver termékekbıl kialakított komplex informatikai rendszer adott technológiai értékelési szabványok (pl. Common Criteria, CEM, MIBÉTS) szerinti megfelelıségét igazolja. A központi rendszer biztonsági szempontjainak érvényesítéséért az informatikai biztonsági felügyelı visel felelısséget, így az informatikai biztonsági kérdésekben az akkreditor (az engedélyezı) a 84/2007. (IV. 25.) kormányrendeletben nevesített informatikai biztonsági felügyelı. A jelen dokumentumban meghatározott feladatok meghatározása a biztonsági akkreditálásban érintett összes szereplı (a szolgáltató szervezet informatikai biztonsági felelıse, közigazgatási informatikai biztonsági felügyelı, az auditálás vezetıje, az értékelés vezetıje) munkáját kívánja segíteni, így nemcsak az akkreditornak szól. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 7

8 2. Bevezetés 2.1. A dokumentum célja Az [1] kormány rendelet meghatározza az informatikai biztonsági felügyelı feladatait a rendeletben meghatározott biztonsági követelmények érvényesítése érdekében. A [2] törvény-tervezet szerint a (közigazgatási) informatikai biztonsági felügyelı engedélyezi a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatások mőködtetését. Jelen dokumentum célja ennek az engedélyezı (akkreditori) feladatnak a segítése, figyelembe véve az informatikai rendszerek biztonsági akkreditálására és ennek elıkészítésére irányuló mértékadó dokumentum [3] útmutatásait is A dokumentum felépítése Az 1. fejezet elhelyezi a dokumentumot az e-közigazgatási Keretrendszeren belül, tájékoztatást adva a célközönségrıl és a kapcsolódó dokumentumokról. A 2. fejezet bevezetı információkat tartalmaz, megadva a dokumentum célját és felépítését. A 3. fejezet meghatározza az alkalmazás lehetséges területeit. A 4. és 5. fejezet a hivatkozásokat, illetve a fogalom-meghatározásokat tartalmazza. A 6. fejezet tartalmazza a dokumentum lényegi részét, 2 alfejezetben. A 6.1 alfejezet a mőködı rendszerek biztonsági akkreditálásának a szakmai alapjait fekteti le az akkreditálást megalapozó két eljárást, a szervezet auditálását és az informatikai rendszer biztonsági értékelését tekinti át a mőködı rendszerek biztonsági akkreditálásának fogalmát tisztázza az akkreditálásban érintett szereplık (a szolgáltató szervezet informatikai biztonsági felelıse, az audit vezetıje, az értékelés vezetıje, az akkreditor) felelısségeit, kötelezettségeit tekinti át az akkreditálás lehetséges eredményeivel foglalkozik az akkreditálási folyamatot megalapozó (támogató) dokumentumokat határozza meg Az akkreditálás utáni idıszakot, a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését tárgyalja. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 8

9 A 6.2 alfejezet az akkreditálás folyamatát tekinti át. Ezen belül meghatározza az akkreditálási folyamat, szakaszait, fı tevékenységeit, bemeneteit és kimeneteit. A további alfejezetek meghatározzák és részletesen leírják az akkreditálásban érintett szereplık feladatait az akkreditálási folyamat különbözı szakaszaiban (elıkészületi szakasz: 6.2.2, auditálási és értékelési szakasz: 6.2.3, akkreditálási szakasz: 6.2.4, folyamatos monitorozási szakasz: 6.2.5). A 7. fejezet melléklete összefoglaló módon áttekinti a biztonsági akkreditálás folyamatának feladatait és ezek felelıseit. A fejezetek kiegészítı információkat tartalmaznak (8. Bibliográfia, 9. Rövidítésgyőjtemény, 10. Fogalomtár, 11. Ábrák, 12. Képek, 13. Táblázatok, 14. Verziószám). 3. Alkalmazási terület A jelen dokumentumban megfogalmazottak elsısorban a közigazgatási informatikai biztonsági felügyelı munkáját kívánja segíteni, aki a szolgáltató szervezetek központi rendszerhez való csatlakozását, illetve a szolgáltatás mőködtetését engedélyezi. Ugyanakkor a jelen dokumentumban megfogalmazottak a közigazgatás más területein, valamint a magánszféra legkülönbözıbb területein is alkalmazhatók, azon felelıs vezetık (akkreditorok) munkájának támogatásához, akik egy informatikai rendszer mőködtetésének engedélyezésérıl döntenek. 4. Rendelkezı hivatkozások A jelen dokumentumban megfogalmazott irányelvek és követelmények az alábbi mértékadó dokumentumokon alapulnak: [1]: 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl [2]: Törvény-tervezet az informatikai biztonságról [3]: NIST Special Publication Guide for the Security Certification and Accreditation of Federal Information Systems April 2004 [4]: KIB 25. számú ajánlása (MIBA) 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 9

10 [6]: KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) [7]: KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) [8]: KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [10]: Termékekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [11]: Összetett termékekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [12]: Rendszerekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [14]: Útmutató az IT biztonsági szintek meghatározásához (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [15]: Minta biztonsági kategorizálás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [16]: Útmutató rendszer értékelık számára (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [17]: Útmutató rendszer integrátorok számára (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [18]: Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [20]: Konfigurációmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [21]: Változásmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 10

11 [22]: Kiadásmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [23]: Problémamenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [24]: Incidensmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) Az 1. táblázat a rendelkezı hivatkozások elérhetıségét adja meg. (még készül) Cím 1. táblázat - A rendelkezı hivatkozások elérhetısége 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl Törvény-tervezet az informatikai biztonságról NIST Special Publication Guide for the Security Certification and Accreditation of Federal Information Systems April 2004 KIB 25. számú ajánlása (MIBA) 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) Külföldi elérhetıség NISP SP Magyar elérhetıség 84/2007. (IV. 25.) Kormányrendelet EEK KIB 25/1-1 EEK KIB 25/1-2 EEK KIB 25/1-3 EEK KIB 25/2 KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan EEK KIB 25/2-5 A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai e-közigazgatási Keretrendszer és gyakorlata Termékekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer Összetett termékekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer Rendszerekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer IT biztonsági mőszaki követelmények a különbözı biztonsági e-közigazgatási Keretrendszer szintekre Útmutató az IT biztonsági szintek meghatározásához e-közigazgatási Keretrendszer Minta biztonsági kategorizálás e-közigazgatási Keretrendszer Útmutató rendszer értékelık számára e-közigazgatási Keretrendszer Útmutató rendszer integrátorok számára e-közigazgatási Keretrendszer Szolgáltatások megfelelıség vizsgálatának folyamata és e-közigazgatási Keretrendszer eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ Az értékeléssel megszerzett garancia folyamatosságának biztosítása Konfigurációmenedzsment ajánlás Változásmenedzsment ajánlás Kiadásmenedzsment ajánlás Problémamenedzsment ajánlás Incidensmenedzsment ajánlás e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 11

12 5. Fogalom-meghatározások Jelen dokumentum az alábbi kiegészítı fogalmakra épül, s ezeket az alábbi értelemben használja: Akkreditálás: Annak hivatalos elismerése, hogy egy szervezet, személy, alkalmas (megfelelıen felkészült) bizonyos tevékenységek (vizsgálat, kalibrálás, tanúsítás, ellenırzés, hitelesítés) meghatározott feltételek szerinti végzésére. (Ennek az általános fogalomnak a jelen dokumentumban használt megfelelıjeként lásd biztonsági akkreditálás, mely egy informatikai rendszer alkalmasságának elismerése.) Akkreditor: Az engedélyezı vezetı a biztonsági akkreditálás folyamatában. Audit: A dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések szabványokban (pl. ISO 27001), ajánlásokban (pl. MIBA) és a nemzetközi legjobb gyakorlatokban (best practices) leírt elvárásoknak való megfelelıségének igazolása. [2] Audit jelentés: Az a dokumentum, amely bemutatja az audit eredményeit és az auditálással kapcsolatos egyéb információkat. Auditáló szervezet: A szolgáltató szervezet informatikai biztonságának auditálását végzı, erre jogosult cég. [2] Biztonsági akkreditálás: Hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Biztonsági irányelv: Az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. [1] Biztonsági szabályzat: A biztonsági intézkedéseket, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. [1] Értékelı szervezet: A szolgáltató rendszer technológiai szempontú értékelését végzı, erre jogosult cég. [2] Értékelés: Szoftver és hardver termékekbıl kialakított komplex informatikai rendszerek, alkalmazások adott technológiai értékelési szabványok (pl. Common Criteria, CEM, vagy MIBÉTS) szerinti megfelelıségi vizsgálata. [2] Értékelési jelentés: Az a dokumentum, amely bemutatja az értékelés eredményeit és az értékeléssel kapcsolatos egyéb információkat. Informatikai biztonság: Az informatikai rendszer technikai részét (hardver) és az azon futó programokat (szoftver) érintı biztonsági szabályok összessége és alkalmazása annak EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 12

13 érdekében, hogy megóvja vagy megelızze az illetéktelen felfedés, megismerés, manipuláció, adattörlés, illetve ilyen esetekben a rendszer nyújtotta szolgáltatásokhoz történı hozzáférés lehetıségét, valamint a informatikai/távközlési hálózatokat is magába foglaló rendszerek esetében a távközlést érintı biztonsági rendszabályok alkalmazásának összessége, mely egyfelıl biztosítja az illetéktelen személyek kizárását a távközlési hálózat értéket tartalmazó információihoz történı hozzáférésének és azok feldolgozásának lehetıségébıl, másfelıl a jogosultak számára garantálja a hozzájuk eljuttatott információk hitelességét. [2] Informatikai biztonsági felelıs: A szolgáltató szervezetben a szolgáltatást mőködtetı szervezeti egységétıl függetlenül, a szolgáltató szervezet vezetıjének közvetlen irányítása alatt dolgozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. [1] Informatikai biztonsági felügyelı: A Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozó olyan személy, aki az üzemeltetı és szolgáltató szervezetekre is kiterjedı jogosultsággal, a biztonsági követelmények érvényesítése érdekében széles hatáskörrel és felelısséggel rendelkezik (lásd [1] 4. ). Központi rendszer (központi elektronikus szolgáltató rendszer): Olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenı, ezeken keresztül elérhetı elektronikus szolgáltatásokat. [1] Rendszer biztonsági elıirányzat: Biztonsági követelmények és elıírások olyan összessége, amelyet egy szolgáltató rendszer értékelésénél az értékelés alapjaként használnak. Szolgáltató szervezet: A központi rendszeren keresztül elektronikus szolgáltatást nyújtó közigazgatási szerv.[1] Szolgáltató rendszer: A szolgáltató szervezet elektronikus szolgáltatást nyújtó informatikai rendszere.[1] Üzemeltetı szervezet: A központi kendszert üzemeltetı szervezet. [1] 6. A biztonság akkreditálása 6.1. A biztonsági akkreditálás alapjai A biztonsági akkreditálás A biztonsági akkreditálás egy hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Az engedélyezés azoknak a maradvány kockázatoknak a közvetlen elfogadását is jelenti, melyek az informatikai rendszer mögött (üzemeltetıként vagy tulajdonosként) álló szervezet EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 13

14 mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatosak, s melyek az elızetesen elfogadott biztonsági intézkedések megvalósítása ellenére maradtak a rendszerben. Ezért az engedélyezı vezetınek (akkreditornak) fel kell tudni mérnie a maradvány kockázatokat, s különbözı tényezık figyelembe vételével döntést kell hoznia ezek elfogadásáról, feltételes elfogadásáról vagy visszautasításáról. A [2] törvény-tervezet egyre szigorodó elvárásokat fogalmaz meg az alábbiakra: a Magyar Köztársaság területén bejegyzett, elektronikus szolgáltatást nyújtó szolgáltatók, az elektronikus szolgáltatást nyújtó közigazgatási szervek, a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatók. A biztonsági akkreditálás általános fogalmát a továbbiakban szőkebben értelmezzük, a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatókra (a [2] törvény-tervezetben) megfogalmazott elvárásokból kiindulva. Az akkreditor a továbbiakban a fenti értelmezésnek megfelelıen a (közigazgatási) informatikai biztonsági felügyelı A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálás közvetlen támogatásaként két különbözı eljárás biztosít fontos információkat az akkreditornak. A két eljárás elkülönítésének indoka, hogy az akkreditálás támogatása érdekében elvégzendı feladatok két nagy csoportra oszthatók jellegük, megközelítés módjuk, illetve a megvalósításukban érintett személyek szempontjából: Auditálási eljárás: szervezeti/irányítási szemléletet és szaktudást igénylı feladatok végrehajtása (biztonsági követelmények meghatározása, biztonságpolitika, biztonsági stratégia és biztonsági szabályozások kialakítása, a szervezeti, személyi, fizikai és környezeti biztonság megteremtése, biztonságos fejlesztés, üzemeltetés és karbantartás, a jogszabályoknak és a biztonsági szabályzatoknak való megfelelés biztosítása) az ezen szakterületekre elfogadott módszertanokra alapozva. Értékelési eljárás: technológiai szemléletet és szaktudást igénylı feladatok végrehajtása (informatikai termékek fejlesztése, informatikai rendszer kialakítása, a biztonsági szempontok folyamatos fenntartása, a termékek és összetett termékek technológiai szempontú értékelése és tanúsítása, informatikai rendszerek értékelése, a követelményeknek való megfelelés idıszakos felülvizsgálata és értékelése) az ezen szakterületekre elfogadott módszertanokra alapozva. Mindkét eljárás az érintett szervezet által a vizsgált informatikai rendszerre vonatkozóan megvalósított biztonsági intézkedések felmérését végzi, de egy tudatos munkamegosztás keretében. Az informatikai biztonság védelmi intézkedései az alábbi három kategóriába sorolhatók: Menedzsment biztonsági intézkedések: olyan intézkedések, amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 14

15 Kockázatfelmérés, azaz a szervezetnek idınként fel kell mérnie a szervezet mőködése során felmerülı kockázatokat és az ezek által fenyegetett értékeket. Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. Rendszer és szolgáltatás beszerzés, azaz a tervezés során elıállt terv megvalósítása, amelynek során a szervezet erıforrásokat biztosít a terv megvalósítására, majd megvalósítja azokat. Biztonság értékelés és auditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan mőködtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. A menedzsment biztonsági intézkedések felmérésével az auditálási eljárás foglalkozik. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsısorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstıl. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülı személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerjék a jogszabályi, szabályozási és védelmi hátteret, elıírásokat. A személyzet a munkakörének megfelelı képzésben részesüljön az informatikai biztonság területén. Karbantartás, azaz intézkedéseket kell hozni és mőködtetni annak érdekében, hogy az informatikai rendszerek idıszakos és rendszeres karbantartása megvalósuljon és figyelembe vegye a biztonsági követelményeket. Konfiguráció kezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenırizni, nyomon követni kell ezek változását. Üzletmenet-folytonosság tervezése, azaz a szervezetnek terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési mőveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erıforrások rendelkezésre álljanak, valamint rendkívüli helyzetekben is megvalósuljon a folyamatos mőködés. Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók, illetve az azokon tárolt és szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Az üzemeltetési biztonsági intézkedések felmérésével mindkét eljárás foglalkozik, az auditálási eljárás elsısorban az elsı négy, míg a technológiai szemlélető értékelési eljárás fıleg az utolsó három témakörrel. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 15

16 Mőszaki biztonsági intézkedések: olyan intézkedések, melyeket elsısorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevıiben megvalósuló mechanizmusok segítségével. Ide tartoznak: Azonosítás és hitelesítés, azaz azonosítani kell az informatikai rendszer felhasználóit, valamint hitelesíteni kell azonosságukat, mielıtt hozzáférést engedélyeznének számukra. Hozzáférés ellenırzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeirıl megfelelı naplózás szülessen, és a naplóbejegyzések a szükséges ideig megırzésre kerüljenek. Biztosítani kell, hogy az egyes felhasználói tevékenységek nyomon követhetıek legyenek a felhasználói felelısség utólagos megállapíthatósága érdekében. Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen, illetve figyelemmel kell kísérnie a rendszer biztonsági riasztásait. Rendszer és kommunikáció védelem, azaz monitorozni, ellenırizni és védeni kell a szervezetbıl kilépı és az oda belépı információkat. Reagálás a biztonsági eseményekre, azaz a szervezetnek úgy kell kialakítania rendszerét, hogy lehetıvé tegye a biztonsági események észlelését, elemzését, valamint az ezekre történı reagálást. A mőszaki biztonsági intézkedések felmérésével az értékelési eljárás foglalkozik. Mindkét eljárás során a biztonsági intézkedések megvalósításának helyességét, tervezettnek megfelelı mőködését, valamint a kívánt eredmények biztosítását ellenırzik Auditálási eljárás (a szolgáltató szervezet auditálása) Az auditálási eljárás az informatikai rendszert üzemeltetı szervezet folyamatait, biztonságot menedzselı szervezeti struktúráját, hozzáértı humán erıforrásait, szabályozási rendszerszerét, valamint a szabályok betartását vizsgálja. Az auditálás módszertanát a következı mértékadó dokumentumok határozzák meg: KIB 25. számú ajánlása (MIBA): 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK), amely a 27002:2005 nemzetközi szabványét szerkezetét pontosan követve átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekrıl, KIB 25. számú ajánlása (MIBA): 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV), amely az ISO/IEC 27001:2005 szabványnak való megfelelést bizonyító audit elvégzésének módszertanát fejti ki, Elektronikus Közigazgatási Keretrendszer - A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata, mely az auditálást különbözı olyan dokumentum mintákkal segíti, melyek a szolgáltatás kialakítási projekt elıkészítésére és megvalósítására, illetve az elıállított rendszerek üzemeltetésére és a nyújtott szolgáltatások irányítására vonatkozik. Az auditálási eljárás bemeneti dokumentumai az alábbiak: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 16

17 A szolgáltató szervezet jóváhagyott biztonsági irányelve (sokszor ezt biztonságpolitika elnevezéssel említik), A szolgáltató szervezet jóváhagyott biztonsági szabályzata, A szolgáltató szervezet jóváhagyott végrehajtási eljárásrendjei, Az auditálás módszertana által megkövetelt egyéb bizonyítékok. Az auditálási eljárás eredménye egy audit jelentés, melynek szerkezetét és elvárt tartalmát a módszertan meghatározza ([6] 260. oldal) Értékelési eljárás (a szolgáltató rendszer biztonsági értékelése) Az értékelési eljárás a szoftver és hardver termékek, valamint az ezekbıl integrált bonyolult informatikai rendszerek biztonsági megfelelıségét vizsgálja. A szolgáltató rendszer biztonsági értékelésének módszertanát a következı mértékadó dokumentumok határozzák meg: KIB 25. számú ajánlása (MIBA): 25/2-5: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) - Értékelési módszertan, mely az MSZ ISO/IEC 15408:2003 (CC v2.3) és az ISO/IEC 18045:2005 (CEM v2.3) szabványokon alapuló termék értékelési módszertant határozza meg, Elektronikus Közigazgatási Keretrendszer - Termékekre vonatkozó értékelési módszertan, mely az értékelési módszertan továbbfejlesztését tartalmazza, a jelenleg érvényes CC v3.1 és CEM v3.1 verziókkal teljes összhangban, Elektronikus Közigazgatási Keretrendszer - Rendszerekre vonatkozó értékelési módszertan, mely a termék értékelés módszertanát általánosítja bonyolult és mőködı (szolgáltató) informatikai rendszerek esetére. Az értékelési eljárás legfontosabb bemenete a jóváhagyott biztonsági irányelv és az ebbıl készített rendszer biztonsági elıirányzat. A biztonsági irányelv meghatározza az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat. A rendszer biztonsági elıirányzat a biztonsági követelmények és elıírások olyan összessége, amelyet egy értékelt rendszerre az értékelés alapjaként használnak. A rendszer értékelési módszertan számos egyéb dokumentumot (értékelési bizonyítékot) vár el az értékelési eljárás bemeneteként, melyek elkészítésének felelıssége az értékelés megbízójáé (tipikusan a szolgáltató szervezet vezetıje vagy informatika biztonsági felelıse), elkészítésükhöz ugyanakkor valószínőleg be kell vonni az informatikai rendszer integrátorát is. Az értékelési eljárás eredménye egy rendszer értékelési jelentés, melynek szerkezetét és elvárt tartalmát a módszertan részletesen meghatározza ([12] 7.2 mellékletében). EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 17

18 A biztonsági akkreditálásban érintett szereplık és felelısségük A biztonsági akkreditálási folyamatban az alábbi szereplık érintettek: szolgáltató szervezet informatikai biztonsági felelıse, az audit vezetıje, az értékelés vezetıje, az akkreditor (az informatikai biztonsági felügyelı) A szolgáltató szervezet informatikai biztonsági felelısének felelıssége A szolgáltató szervezet informatikai biztonsági felelıse a szolgáltatást mőködtetı szervezeti egységétıl független, a szolgáltató szervezet vezetıjének közvetlen irányítása alá tartozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok végrehajtása, melyek a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének kidolgozására, valamint az ezek (akkreditor általi) jóváhagyásához esetleg szükséges módosításokra vonatkoznak (lásd 6.2.2). Az auditálási és értékelési eljárások elıkészítése, az ezekhez szükséges dokumentációk és egyéb bizonyítékok biztosításával (lásd 6.2.3). Az akkreditálás elıkészítése, az audit és értékelés eredményein alapuló intézkedési terv elkészítésével, valamint az akkreditálás formális kérelmezésével (lásd 6.2.3). A folyamatos monitorozás feladatainak végrehajtása, melynek keretében felülvizsgálja a szolgáltató szervezet biztonsági irányelvét, biztonsági szabályzatát és eljárásrendjét, rendszeres idıközönként (évente), vagy soron kívül, jelentıs szervezeti vagy mőszaki változások, illetve biztonsági esemény esetén (lásd 6.2.4) Az audit vezetıjének felelıssége Auditálási eljárásra csak olyan auditáló szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az audit eljárást az auditáló szervezet vezetıje által megbízott audit vezetı irányítja. Az audit vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, az auditáláshoz szükséges erıforrások meghatározásáva, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). Az auditálási eljárás végrehajtása (lásd 6.2.3). EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 18

19 Az értékelés vezetıjének felelıssége Értékelési eljárásra csak olyan értékelı szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az értékelési eljárást az értékelı szervezet vezetıje által megbízott értékelés vezetı irányítja. Az értékelés vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, az értékeléshez szükséges erıforrások meghatározásával, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). Az értékelési eljárás végrehajtása (lásd 6.2.3) Az akkreditor felelıssége Az informatikai biztonsági felügyelı a Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozik. Tevékenysége kiterjed a szolgáltató szervezetekre is. Az [1] kormányrendeletben meghatározott biztonsági követelmények érvényesítése érdekében: folyamatosan figyelemmel kíséri az üzemeltetı és szolgáltató szervezetekkel kötött megállapodásokat; állást foglal a központi rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról; határidı tőzésével felhívja az érintett szervezetek vezetıit az eltérések felszámolására, ellenırzi a követelmények megvalósítását; jóváhagyja az üzemeltetı és szolgáltató szervezetek központi rendszerre vonatkozó biztonsági irányelveit, szabályzatait és eljárásrendjeit; ellenırzi a biztonságirányítási rendszer mőködtetésének megvalósítását; biztonsági kockázat, illetve a biztonsági irányelv, szabályzat vagy eljárásrend jóváhagyásának megtagadása esetén kezdeményezheti a szolgáltatás felfüggesztését a kockázat elhárításáig. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének felülvizsgálatával és elfogadásával (lásd 6.2.2). Az akkreditálás végrehajtása, az akkreditálási döntés meghozatala és indoklása (lásd 6.2.3). A biztonságra vonatkozó tájékoztató jelentések figyelemmel kísérése, szükség esetén kockázat elhárításra vonatkozó döntés meghozatala (lásd 6.2.4) A biztonsági akkreditálás lehetséges eredményei Az akkreditor az alábbi három lehetséges döntést hozhatja az auditálási és értékelési eljárások eredményein alapuló vizsgálatával: a mőködtetés (csatlakozás, vagy további mőködtetés) engedélyezése, a mőködtetés átmeneti (feltételes) engedélyezése, EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 19

20 a mőködtetés engedélyezésének visszautasítása. Az auditálási és értékelési eredmények vizsgálata a következıket foglalja magában: a szervezetre irányuló audit jelentés összefoglaló eredménye, valamint az ebben kifejtett, auditálás során feltárt nemmegfelelıségek. az informatikai rendszerre irányuló rendszer értékelési jelentés összefoglaló eredménye, valamint az értékelés során feltárt maradvány sebezhetıségek, a két jelentés egymást kiegészítı, egymásnak ellent nem mondó jellegének vizsgálata, a két jelentés eredményeit figyelembe vevı intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányulnak A csatlakozás vagy a további mőködés engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók, akkor engedélyezi a csatlakozást, vagy a további mőködést. Az ilyen (feltétel nélküli) engedélyezés is tartalmazhat a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányuló javaslatokat. Ezeket a javaslatokat a szolgáltató szervezet informatikai biztonsági felelısének ajánlott figyelembe vennie, amikor a biztonsági intézkedések hatékonyságának folyamatos monitorozását végzi. A (feltétel nélküli) engedélyezés érvényessége a következı újra akkreditálás idejéig (tipikusan 1 évre) szól, kivéve azt az esetet, amikor a biztonságot is érintı jelentıs szervezeti vagy mőszaki változtatásokra kerül sor A csatlakozás vagy a további mőködés ideiglenes (feltételes) engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok nem teljesen elfogadhatók ugyan, de jelentıs érdekek főzıdnek a szolgáltatás beindításához, vagy további mőködéséhez, akkor feltételesen engedélyezheti a csatlakozást, vagy a további mőködést. A feltételes engedélyezés akkor alkalmazható, ha az auditálási vagy az értékelési eljárás olyan kisebb hiányosságokat, sebezhetıségeket tár fel, melyek rövid idın belül kezelhetınek látszanak, s az intézkedési tervben is látszik a megoldás szándéka, iránya és idızítése. A feltételes engedélyezés esetén az akkreditor a szolgáltató szervezetet határidı kitőzésével a hiányosság megszüntetésére szólítja fel, a központi rendszerre csatlakozást, illetve a mőködés folytatásának engedélyezését feltételesen, egy átmeneti idıszakra adja meg. A feltételes engedélyezéssel az akkreditor korlátozhatja a szolgáltató rendszer tényleges mőködését is. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 20

21 Az ideiglenes (feltételes) engedélyezés érvényessége nem tarthat tovább három hónapnál, de indokolt esetben egyszer meghosszabbítható, legfeljebb további három hónapra. Amennyiben az ideiglenes (feltételes) engedélyezés érvényessége úgy jár le, hogy a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére nem került sor, akkor a szolgáltatás mőködtetését le kell állítani további engedélyezéséig (amit soron kívüli audit és/vagy értékelési eljárás elız meg). Amennyiben az ideiglenes engedélyezés érvényességi idıszakán belül a hiányosságokat korrigálják, a sebezhetıségeket megfelelı mértékben csökkentik vagy kiküszöbölik, akkor a szolgáltatás mőködtetése teljes körően engedélyezhetı. Ilyen esetben a következı újra akkreditálás idıpontja a teljes körő engedélyezéstıl számolandó. A szolgáltató szervezet informatikai biztonsági felelıse által készített intézkedési terv felhasználásával az akkreditor nyomon követheti a hiányosságok korrigálásának, a sebezhetıségek csökkentésének vagy kiküszöbölésének folyamatát. Az ideiglenes engedélyezés folyamán bekövetkezı jelentısebb biztonsági állapot változásokat az informatikai biztonsági felelısnek haladéktalanul jelentenie kell az informatikai biztonsági felügyelınek A csatlakozás (további mőködés) engedélyezésének visszautasítása Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatok elfogadhatatlanok, akkor nem engedélyezi a csatlakozást, vagy a további mőködést. Az engedélyezés visszautasítása a csatlakoztatás elhalasztását, vagy a már szolgáltató rendszer mőködésének haladéktalan felfüggesztését jelenti. Az engedélyezés visszautasítása általában azt mutatja hogy nagyobb hiányosságok vannak a biztonsági intézkedésekben. Ilyen esetben az akkreditornak, vagy megbízottjának támogatást kell nyújtania az intézkedési terv szükséges módosításához A biztonsági akkreditálási folyamatot megalapozó dokumentumok A biztonsági akkreditálás folyamatát az alábbi dokumentumok alapozzák meg: a szolgáltató szervezet jóváhagyott biztonsági irányelve, a szolgáltató szervezet jóváhagyott biztonsági szabályzata, audit jelentés, rendszer értékelési jelentés, intézkedési terv. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 21

22 Jóváhagyott biztonsági irányelv A biztonsági irányelv a szolgáltató szervezet informatikai infrastruktúrájának teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia Jóváhagyott biztonsági szabályzat A biztonsági szabályzat a szolgáltató szervezet biztonsági intézkedései, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia Audit jelentés Az audit jelentés tartalmazza az auditálási eljárás során elvégzett szervezeti szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. BEVEZETÉS 1.1. A vizsgálat célja 1.2. Módszertan, tartalom, a vizsgálat határai 1.3. A vizsgálat ütemezése 1.4. A vizsgálat körülményei 1.5. Résztvevık (vizsgált szervezeti egységek) 2. A VÉDELMI IGÉNYEK FELTÁRÁSA 2.1. A társaság bemutatása 2.2 az informatikai rendszerekben kezelt fıbb adatkörök 2.3 a védelmi igények 3. FENYEGETETTSÉG-ELEMZÉS 3.1 a fenyegetett rendszerelemek feltárása 3.2. A fenyegetı tényezık meghatározása 4. KOCKÁZATELEMZÉS 4.1. A kárértékek átvitele a rendszerelemekre 4.2. A fenyegetések okozta károk gyakoriságának meghatározása 4.3. A fennálló kockázatok értékelése 5. KOCKÁZAT-KEZELÉS 5.1. A nem elviselhetı kockázatok 5.2. Az informatikai biztonsági intézkedések kidolgozásának szempontjai 5.3. Biztonsági intézkedések a kockázatok értékelése alapján 5.4. A társaság egészét érintı, globális intézkedési javaslatok 5.5. Akcióterv és költségbecslés a javasolt intézkedésekre 6. ÖSSZEFOGLALÓ EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 22

23 Rendszer értékelési jelentés A rendszer értékelési jelentés tartalmazza az értékelési eljárás során elvégzett technológiai szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. BEVEZETÉS 1.1 Azonosító adatok 1.2 Az értékelés mérföldkövei 1.3 Az értékelı adatai 2. A RENDSZER SZERKEZETI LEÍRÁSA 2.1 A szolgáltató rendszer fizikai hatóköre és határai 2.2 A szolgáltató rendszer logikai hatóköre és határai 2.3 A szolgáltató rendszer legfontosabb tulajdonságai 3. AZ ÉRTÉKELÉS JELLEMZÉSE 4. AZ ÉRTÉKELÉS EREDMÉNYEI 4.1 A rendszer biztonsági elıirányzat értékelése 4.2 A rendszer fejlesztés értékelése 4.3 A rendszer útmutató dokumentumok értékelése 4.4 A rendszer konfiguráció kezelés értékelése 4.5 A rendszer tesztelés értékelése 4.6 A rendszer sebezhetıség felmérés értékelése 5. KÖVETKEZTETÉSEK ÉS JAVASLATOK 5.1 Az értékelés összefoglaló eredménye 5.2 Feltételek 5.3 Javaslatok 6. AZ ÉRTÉKELÉSI BIZONYÍTÉKOK LISTÁJA 7. RÖVIDÍTÉSEK ÉS SZAKKIFEJEZÉSEK 8. ÉSZREVÉTELEZÉSI JELENTÉSEK Intézkedési terv Az intézkedési tervnek mindkét fenti jelentés eredményeit figyelembe véve az auditálás során feltárt hiányosságok korrigálására, illetve az értékelés során feltárt maradvány sebezhetıségek csökkentésére vagy kiküszöbölésére kell irányulnia. Konkrét biztonsági intézkedéseket kell felvázolnia, határidıkkel és felelısökkel. Elkészítését az informatikai biztonsági felelısnek kell biztosítania A folyamatos monitorozás A biztonsági akkreditálás folyamatának kritikus szakasza az akkreditálás utáni idıszak, mely a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését igényli. Egy hatékony folyamatos monitorozáshoz az alábbiakra van szükség: konfiguráció kezelési eljárások, a biztonsági intézkedések folyamatos monitorozása, a monitorozás eredményeinek dokumentálása és jelentése. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 23

24 Konfiguráció kezelési eljárások Az informatikai rendszerek tipikusan folyamatosan változnak, a hardver, szoftver és förmver elemek cserélıdnek, és a mőködtetı környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelı és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. Ennek alapján a szolgáltató szervezet naprakész információival rendelkezhet a szolgáltatás nyújtásához szükséges informatikai infrastruktúráról, valamint a rendszer elemeinek logikai kapcsolatairól A biztonsági intézkedések folyamatos monitorozása A gyakorlatban megvalósíthatatlan vagy nagyon nem költség-hatékony az informatikai rendszerek összes biztonsági intézkedésének folyamatos nyomon követése. Ezért az informatika biztonsági felelısnek ki kell választania a legfontosabbnak ítélt biztonsági intézkedéseket, s meg kel határoznia ezek ellenırzési módját és gyakoriságát A monitorozás eredményeinek dokumentálása és jelentése A kiválasztott biztonsági intézkedések folyamatos monitorozásának eredményeit dokumentálni kell, illetve a szervezet vezetıjét rendszeres idınként jelentésben kell tájékoztatni ezekrıl A biztonsági akkreditálás folyamata A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei Az 1. ábra áttekinti a biztonsági akkreditálás folyamatát és fı tevékenységeit. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 24

25 Elıkészületi szakasz Elıkészítés Értesítés és a szükséges erıforrások meghatározása A biztonsági irányelv és a biztonsági szabályzat vizsgálata, elfogadása A szervezet auditálása Audit jelentés Auditálási és értékelési szakasz Az informatikai rendszer értékelése Rendszer értékelési jelentés Intézkedési terv Akkreditálási szakasz Döntés a biztonsági akkreditálásról A döntés indoklása Folyamatos monitorozási szakasz Konfiguráció kezelés A biztonsági intézkedések folyamatos monitorozása A biztonsági állapot jelentése és dokumentálása 1. ábra A biztonsági akkreditálás folyamatának áttekintése Az elıkészületi szakasz Ez a szakasz az alábbi feladatokból áll: elıkészítés, erıforrás tervezés, a biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása. A 2. ábra az elıkészületi szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 25

26 Újraindítás a folyamatos monitorozási szakaszt követıen Elıkészületi szakasz Elıkészítés Biztonsági irányelv tervezet Biztonsági szabályzat tervezet Erıforrás tervezés Biztonsági irányelv és biztonsági szabályzat vizsgálata nem igen Elfogadva? Jóváhagyott biztonsági irányelv Jóváhagyott biztonsági szabályzat Átlépés az auditálási és értékelési szakaszba Átadás az auditálási és értékelési szakasz részére 2. ábra Az elıkészületi szakasz folyamata Az elıkészületi szakasz célja, hogy az akkreditor és a szolgáltató szervezet informatikai biztonsági felelıse egyetértenek a biztonsági irányelvek és a biztonsági szabályzat tartalmában, még mielıtt az auditálási és értékelési eljárások megkezdenék az informatikai rendszer biztonsági intézkedéseinek a vizsgálatát. Az akkreditor és a szolgáltató szervezet felelıs vezetıinek korai bevonása kulcsfontosságú tényezı a biztonsági akkreditálás sikerének. Az elıkészületi szakaszhoz szükséges információk jelentıs részét a szolgáltató szervezet már korábban megszerezte (a kezdeti kockázatbecslési folyamattal, a biztonsági irányelv és biztonsági szabályzat kidolgozásával, valamint saját esetleges belsı auditálásával). Az elıkészületi szakasz annak megerısítését szolgálja, hogy a biztonsági irányelv és a biztonsági szabályzat elkészítése befejezıdött feladat: elıkészítés Az elıkészítés feladat célja, hogy felkészítsen a további feladatokra azáltal, hogy áttekinti a biztonsági irányelvet és a biztonsági szabályzatot, és megerısíti, hogy ezek összhangban vannak a kezdeti kockázatbecslési folyamat eredményeivel. 1.1 feladat Az informatikai rendszer leírása Elvégendı feladat: Annak megerısítése, hogy a szolgáltató informatikai rendszert megfelelı módon leírták a biztonsági irányelvben, a biztonsági szabályzatban, illetve az ezekbıl EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 26

27 készített rendszer biztonsági elıirányzatban. A szolgáltató szervezet informatikai biztonsági felelıse A fent megnevezett három dokumentumban az informatikai rendszerre meg kell adni az alábbiakat: - a rendszer neve és egyedi azonosítója, - az informatikai rendszerért felelıs szervezet neve és címe, - az informatikai rendszer biztonságáért felelıs személy kapcsolat tartáshoz szükséges információi, - az informatikai rendszer által feldolgozott, tárolt és továbbított információ típusa, - az informatikai rendszer fı biztonsági tulajdonságai, - az informatikai rendszer fizikai hatóköre és határai, - az informatikai rendszer logikai hatóköre és határai, - az informatikai rendszerre vonatkozó funkcionális követelmények, - az informatikai rendszer és a benne feldolgozott, tárolt és továbbított információk - biztonságára vonatkozó jogszabályban, szabályzatban vagy szabványban megfogalmazott elıírások, - külsı mőködı rendszerekhez való kapcsolódásuk (külsı interfészek), - belsı hardver, szoftver és rendszer interfészek, - információ áramlás (bemenetek és kimenetek), - az informatikai rendszert mőködtetı fizikai környezet. [12]: Rendszerekre vonatkozó értékelési módszertan 1.2 feladat Biztonsági kategorizálás Elvégendı feladat: Annak megerısítése, hogy a biztonsági irányelv és az ennek alapján készített rendszer biztonsági elıirányzat meghatározza a szolgáltató informatikai rendszer biztonsági osztályát. A szolgáltató szervezet informatikai biztonsági felelıse [13] és [14] három lehetséges biztonsági kihatás szintet (alacsony, fokozott, kiemelt) határozott meg az informatikai rendszerekre jellemzı biztonsági célokra (bizalmasság, sértetlenség, rendelkezésre állás). Egy informatikai rendszer különbözı információ típusokat tartalmazhat (pl. magánadatok, üzleti titkok, munkaügyi információk, orvosi információk, munkavállalók biztonsága információ típus, stb.) Egy adott informatikai rendszer minden információ típusára meg kell határozni a három biztonsági célra gyakorolt potenciális kihatás szintet. Egy informatikai rendszer biztonsági kategóriáját a legmagasabb kihatás szint határozza meg (az összes érintett információ típust, s mindhárom biztonsági célt figyelembe véve) [13] mindhárom biztonsági osztályhoz konkrét mőszaki biztonsági intézkedéseket (mint megvalósítandó minimális követelmények) rendelt, egyúttal megadta e követelmény-rendszerek testre szabási módszerét is. [15] a közigazgatásban használt információ típusok osztályozásával és példák bemutatásával nyújt segítséget az informatikai rendszerek biztonsági osztályba sorolásához. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához [15]: Minta biztonsági kategorizálás 1.3 feladat A fenyegetések azonosítása Elvégendı feladat: Annak megerısítése, hogy az informatikai rendszer hibáit vagy gyengeségeit kihasználni képes potenciális fenyegetéseket azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági elıirányzat. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 27

28 A szolgáltató szervezet informatikai biztonsági felelıse A kezdeti kockázatbecslési folyamathoz jó útmutatást biztosít [5], melynek 4. fejezete a kockázatok meghatározásával, elemzésével és kezelésével foglakozik. Abban az esetben viszont, ha az informatikai rendszer biztonsági kategorizálását [13] alapján végezték, s az ebben levezetett 3 biztonsági osztály (alacsony, fokozott és kiemelt kihatású biztonsági osztály) valamelyikének követelmény-rendszerét változtatás nélkül átvették, akkor a fenyegetések külön azonosítására nincs szükség (hiszen a 3 biztonsági osztály követelmény-rendszerének meghatározásakor ezt már helyette elvégezték). [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) 1.4 feladat A sebezhetıségek azonosítása Elvégendı feladat: Annak megerısítése, hogy az informatikai rendszer kihasználható hibáit vagy gyengeségeit azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági elıirányzat. A szolgáltató szervezet informatikai biztonsági felelıse Az informatikai rendszer kihasználható hibáinak vagy gyengeségeinek azonosítása a rendszer fejlesztési életciklus bármely szakaszában megvalósítható. A fejlesztés alatt álló rendszerek sebezhetıségeinek azonosítása elsısorban a szervezet biztonsági politikájára, a tervezett biztonsági eljárásokra, a rendszertıl elvárt követelményekre, valamint a felhasználásra tervezett termékek biztonsági elemzésére koncentráljon. A megvalósítás alatt álló rendszerekre a sebezhetıségek azonosítása építhet a biztonsági tervdokumentációkban leírt tervezett biztonsági tulajdonságokra és a rendszer integrátor által végzett biztonsági tesztelés eredményeire is. A mőködı (szolgáltató) rendszerekre a sebezhetıségek azonosítása a rendszer védelmére megvalósított biztonsági intézkedések vizsgálatát is magában foglalja. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára 1.5 feladat A biztonsági intézkedések meghatározása Elvégendı feladat: Annak megerısítése, hogy a rendszer biztonsági elıirányzatban azonosították az informatikai rendszer (tervezett vagy megvalósított) biztonsági intézkedéseit. A szolgáltató szervezet informatikai biztonsági felelıse A [13] által a három biztonsági osztályra (alacsony, fokozott, kiemelt) elıre meghatározott mőszaki biztonsági intézkedések jó kiindulási pontot biztosítanak. [13] megadja az elıre rögzített három követelmény-rendszer testre szabásának módszerét is. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre feladat: értesítés és a szükséges erıforrások meghatározása Ez a feladat a biztonsági akkreditálásban és az ezt elıkészítı auditálási és értékelési eljárásban érintettek értesítésére vonatkozik, valamint a lebonyolítás megtervezését és a szükséges erıforrások meghatározását jelenti. 2.1 feladat Az érintettek értesítése Elvégendı feladat: Az akkreditor, az auditáló szervezet, az értékelı szervezet, és más érintettek értesítése arról, hogy az informatikai rendszer auditálást, értékelést, majd EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 28

29 akkreditálást igényel. A szolgáltató szervezet informatikai biztonsági felelıse Az elsı biztonsági akkreditálás esetén az érintettek értesítése a biztonsági akkreditálási folyamat külsı szereplıinek bevonását hivatott elıkészíteni. Ekkor az értesítés tipikusan az auditálási és/vagy értékelési eljárásra vonatkozó pályázati kiírás formáját ölti. A megismételt biztonsági akkreditálás esetén az értesítés az érintettek korai figyelmeztetését jelenti, hogy hamarosan aktuális lesz a következı auditálás és a felülvizsgálati rendszer értékelés, majd ezt követıen az újra akkreditálás feladat Az akkreditáláshoz szükséges erıforrások meghatározása Elvégendı feladat: A biztonsági akkreditáláshoz, illetve elsısorban az azt elıkészítı auditálási és értékelési eljáráshoz szükséges erıforrások meghatározása, valamint a lebonyolítás megtervezése. Akkreditor, Auditor szervezet vezetıje, értékelı szervezet vezetıje, a szolgáltató szervezet informatikai biztonsági felelıse A szükséges erıforrás számos tényezıtıl függ: - a szervezet méretétıl, - az informatikai rendszer méretétıl és bonyolultságától, - az informatikai rendszer biztonsági osztályozásától (alacsony, fokozott, kiemelt), - a rendszer értékelésre választott garanciacsomagtól (SAP-A, SAP-F, SAP-K) Az auditáló és értékelı szervezet kiválasztását követıen végrehajtási tervet kell készíteni, melynek legfontosabb paramétereit (auditálásra átadandó dokumentumok, értékelésre átadandó bizonyítékok, határidık) a szervezetekkel megkötendı szerzıdésbe is bele kell foglalni feladat: a biztonsági irányelv és a biztonsági szabályzat vizsgálata és elfogadása Ez a feladat az auditálási és értékelési eljárást megalapozó két legfontosabb dokumentum elızetes vizsgálatát, esetleges pontosítását és elfogadását jelenti. 3.1 feladat A biztonsági kategorizálás áttekintése Elvégendı feladat: A biztonsági irányelvben (és az ennek alapján készített rendszer biztonsági elıirányzatban) meghatározott biztonsági osztály (alacsony, fokozott vagy kiemelt) áttekintése annak meghatározása érdekében, hogy a bizalmasság, sértetlenség és rendelkezésre állás potenciális elvesztésének hatása összhangban áll-e a vizsgált szolgáltatás aktuális jelentıségével. Akkreditor, Auditor szervezet vezetıje, értékelı szervezet vezetıje A biztonsági osztályba sorolás áttekintése arra irányuljon, hogy az informatikai rendszer jelentısségét (benne a kritikusságát és érzékenységét is) tükrözi-e a szolgáltató szervezet által meghatározott biztonsági osztály. [2] elvárásának megfelelıen, az akkreditor ennek a feladatnak a keretében formálisan is véleményezi az informatikai rendszer biztonsági osztályba sorolását. [2]: Törvény tervezet az informatikai biztonságról [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához 3.2 feladat A biztonsági irányelv és a biztonsági szabályzat vizsgálata EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 29

30 Elvégendı feladat: A biztonsági irányelv és a biztonsági szabályzat vizsgálata annak megállapítása érdekében, hogy azok helyesen mérik-e fel az informatikai rendszer sebezhetıségeit és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatokat. Akkreditor, az auditor és az értékelı szervezet vezetıje A biztonsági irányelv (mely meghatározza az informatikai infrastruktúra teljes életciklusára alkalmazandó általános biztonsági elvárásokat) és a biztonsági szabályzat (mely leírja a biztonsági intézkedéseket, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét) tartalmának meg kell felelnie az [1] 1. számú mellékletében meghatározott követelményeknek. Ezek független áttekintése után az akkreditor, az auditor és az értékelı szervezet már az elıkészületi szakaszban megállapíthatja azok teljességét, vagy módosító javaslatokkal élhetnek. [1]: 84/2007. (IV. 25.) kormányrendelet 3.3 feladat A biztonsági irányelv és a biztonsági szabályzat módosítása Elvégendı feladat: A biztonsági irányelv és a biztonsági szabályzat módosítása a 3.2. feladat során elvégzett vizsgálat eredményeként tett javaslatok figyelembe vételével. a szolgáltató szervezet informatikai biztonsági felelıse A módosítás elıtt az informatikai biztonsági felelıs konzultálhat a szolgáltató szervezetben dolgozó más felelıs személyekkel. A módosítás elvileg az irányelv és szabályzat bármely részét érintheti. [1]: 84/2007. (IV. 25.) kormányrendelet 3.4 feladat A biztonsági irányelv és a biztonsági szabályzat elfogadása Elvégendı feladat: A biztonsági irányelv és a biztonsági szabályzat áttekintése abból a szempontból, hogy a bennük megfogalmazott, a szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos kockázatok elfogadhatók-e. Akkreditor Amennyiben a kockázatok elfogadhatatlanok, az akkreditor átdolgozásra visszaküldi a biztonsági irányelvet és a biztonsági szabályzatot. A biztonsági irányelv és a biztonsági szabályzat elfogadása egy fontos lépés a biztonsági akkreditálás folyamatában. Az elfogadás azt is jelenti, hogy az akkreditor a tervezett biztonsági intézkedéseket megfelelınek tartja a biztonsági követelmények kielégítésére. Ennek alapján az auditálási és értékelési eljárások tovább léphetnek, a megvalósított biztonsági intézkedések felmérése irányában. [1]: 84/2007. (IV. 25.) kormányrendelet [2]: Törvény tervezet az informatikai biztonságról Az auditálási és értékelési szakasz Ez a szakasz az alábbi feladatokból áll: a szervezet auditálása, audit jelentés készítés, rendszer értékelés, rendszer értékelési jelentés készítés, intézkedési terv készítés. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 30

31 A 3. ábra az auditálási és értékelési szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az elıkészületi szakaszból Átlépés az elıkészületi szakaszból Biztonsági szabályzat Biztonsági irányelv A szervezet auditálása Auditálási és értékelési szakasz Audit jelentés Egyéb dokumentumok Biztonsági elıirányzat Egyéb értékelési bizonyítékok A rendszer értékelése Értékelési jelentés Intézkedési terv készítés Intézkedési terv Átlépés az akkreditálási szakaszba Átadás az akkreditálási szakasz részére 3. ábra Az auditálási és értékelési szakasz folyamata Az auditálási és értékelési szakasz célja annak megállapítása, hogy a biztonsági intézkedéseket helyesen valósították-e meg, azokat a tervezetteknek megfelelıen mőködtetike, valamint hogy azok a rendszerre vonatkozó követelményeknek megfelelı eredménnyel járnak-e. Ebben a szakaszban kell foglalkozni azon speciális tevékenységek megvalósításával vagy megtervezésével is, melyek a biztonsági intézkedések hiányosságainak korrigálására, valamint az informatikai rendszerekben azonosított sebezhetıségeinek csökkentésére vagy kiküszöbölésére irányulnak. Ennek a szakasznak a sikeres befejezésével az akkreditor megkapja a megalapozott döntéséhez szükséges információkat feladat: a szervezet auditálása Ez a feladat az auditálási eljárás közvetlen elıkészítését és végrehajtását jelenti. 4.1 feladat Dokumentáció és egyéb támogató anyagok Elvégendı feladat: Az auditálás végrehajtásához szükséges dokumentumok és egyéb támogató anyagok összegyőjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelıse EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 31

32 [4] az auditálás végrehajtásához az alábbi háromszintő szabályzati struktúrát várja el (meghatározva ezek elvárt tartalmát is): [9] több olyan dokumentumra is ajánlást biztosít, amely egy szolgáltatás kialakítás tágabb folyamatát is tekintetbe veszi (Projekt elıkészítés tárgyú ajánlások, Közbeszerzési eljárásokban elıírandó követelmények tárgyú ajánlások). [9] az auditálási eljárást közvetlenül támogató több dokumentumokra is konkrét ajánlást (mintát) biztosít, köztük az alábbiakra: - Szolgáltatási szint biztosítás - Kapacitásgazdálkodás - Rendelkezésre állás menedzsment - Konfigurációkezelés - Változáskezelés - Kiadáskezelés - Incidenskezelés - Problémakezelés - Szolgáltatáskatalógus - Üzemeltetési szabályzat - Mentési rend [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata 4.2 feladat A korábbi auditálási eredmények felhasználása Elvégendı feladat: A korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelıse, az auditálás vezetıje Egy szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek auditálása igen költséges és idıigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra felhasználhatóságát mérlegelni kell. Az auditáló szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelı mőködtetést, valamint a kívánt eredmények biztosítását ellenırizték. Az auditálási eljárásnak - amennyire csak lehet a legutolsó auditálásnál feltárt nemmegfelelıségekre, illetve az azóta bekövetkezı változásokra kell koncentrálnia. Ezért a korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése megalapozza az auditálási terv elkészítését, majd az auditálás hatékony végrehajtását. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 32

33 [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 4.3 feladat Auditálási terv készítése Elvégendı feladat: Az auditálási eljárás során alkalmazandó megfelelı módszerek és eljárások kiválasztása a szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelı mőködtetésnek, valamint a kívánt eredmények biztosítottságának az ellenırzésére). Az elvégzendı feladatok ütemezése. az auditálás vezetıje Annak elkerülésére, hogy minden auditálásra külön egyedi módszertan készüljön, illetve, hogy a különbözı auditáló szervezetek egymástól lényegesen eltérı módszertant alkalmazzanak, az auditálás vezetıjének maximálisan törekednie kell arra, hogy az auditálási terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [5] vizsgálja, a meghatározott módszertan [6] alapján. Indokolt esetben (szervezeti sajátosságok, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthetı. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 4.4 feladat Az auditálás végrehajtása Elvégendı feladat: A szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek felmérése az auditálási tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az auditálás vezetıje Az auditálási eljárás a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket. Az auditálási eljárás eredménye (beleértve a feltárt hiányosságok korrigálására tett javaslatokat is) egy audit jelentés lesz. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) feladat: audit jelentés Ez a feladat az auditálási eljárás eredményeinek dokumentálását jelenti. 5.1 feladat Audit jelentés készítése Elvégendı feladat: A végleges audit jelentés elkészítése. az auditálás vezetıje Az audit jelentés tartalmazza az auditálás eredményét (mely a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt hiányosságok korrigálására tett javaslatokat is. Az audit jelentés elvárt szerkezetét ismerteti. Az audit jelentés az akkreditálási szakasz egyik fontos bemenete. [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 33

34 [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) feladat: az informatikai rendszer értékelése Ez a feladat az értékelési eljárás közvetlen elıkészítését és végrehajtását jelenti. 6.1 feladat Rendszer biztonsági elıirányzat és egyéb értékelési bizonyítékok Elvégendı feladat: A rendszer értékelés kiinduló pontját képezı rendszer biztonsági elıirányzat, valamint az értékeléshez szükséges egyéb értékelési bizonyítékok összegyőjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelıse [12] részletesen meghatározza a rendszer értékeléshez szükséges értékelési bizonyítékokat. Ezek közül a legfontosabb a rendszer biztonsági elıirányzat, mely a biztonsági irányelv és a biztonsági szabályzat alapján készíthetı el. A többi értékelési bizonyíték függ az értékelésre választott garanciaszinttıl (alap, fokozott vagy kiemelt rendszer garanciacsomag), de alapvetıen a következıkbıl áll: - rendszer biztonsági tervdokumentációk, - telepítésre, konfigurálásra és üzemeltetésre vonatkozó útmutatók, - konfiguráció kezeléssel kapcsolatos dokumentáció, - biztonsági tesztelésre vonatkozó dokumentáció, - a független tesztelésre és sebezhetıség vizsgálatra alkalmas informatikai rendszer [12]: Rendszerekre vonatkozó értékelési módszertan [17]: Útmutató rendszer integrátorok számára 6.2 feladat A korábbi értékelési eredmények felhasználása Elvégendı feladat: A korábbi rendszer értékelésekbıl származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelıse, az értékelés vezetıje Egy informatikai rendszer mőszaki biztonsági intézkedéseinek értékelése igen költséges és idıigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra felhasználhatóságát mérlegelni kell. Az értékelı szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelı mőködtetést, valamint a kívánt eredmények biztosítását ellenırizték. Az értékelési eljárásnak - amennyire csak lehet - a legutolsó rendszer értékelésénél feltárt maradvány sebezhetıségekre, illetve az azóta bekövetkezı változásokra kell koncentrálnia. Ezért a korábbi rendszer értékelésekbıl származó eredmények, bizonyítékok és dokumentációk összegyőjtése és áttekintése megalapozza az értékelési terv elkészítését, majd a rendszer értékelés hatékony végrehajtását. Az értékelı szervezetnek a rendszer értékelés során ugyancsak építenie kell azokra a rendszer komponensekre, melyeket már termékként, vagy összetett termékként sikeresen értékeltek és tanúsítottak (a CC nemzetközi, vagy a MIBÉTS hazai séma keretén belül). [10]: Termékekre vonatkozó értékelési módszertan [11]: Összetett termékekre vonatkozó értékelési módszertan EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 34

35 [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára 6.3 feladat Értékelési terv készítése Elvégendı feladat: Az értékelési eljárás során alkalmazandó megfelelı módszerek és eljárások kiválasztása az informatikai rendszer mőszaki biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelı mőködtetésnek, valamint a kívánt eredmények biztosítottságának az ellenırzésére). Az elvégzendı feladatok ütemezése. az értékelés vezetıje Annak elkerülésére, hogy minden rendszer értékelésre külön egyedi módszertan készüljön, illetve, hogy a különbözı értékelı szervezetek egymástól lényegesen eltérı módszertant alkalmazzanak, az értékelés vezetıjének maximálisan törekednie kell arra, hogy az értékelési terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [13] vizsgálja, a meghatározott módszertan [12] és [16] alapján. Indokolt esetben (az informatikai rendszer sajátosságai, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthetı. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára 6.4 feladat Az értékelés végrehajtása Elvégendı feladat: Az informatikai rendszer mőszaki biztonsági intézkedéseinek felmérése az értékelési tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az értékelés vezetıje Az értékelési eljárás a mőszaki biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket. Az értékelési eljárás eredménye (beleértve a feltárt maradvány sebezhetıségeket és az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is) egy rendszer értékelési jelentés lesz. [18] részletesen leírja a biztonsági értékelés folyamatát, tevékenységeit és eljárásait. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára [18]: Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai feladat: rendszer értékelési jelentés Ez a feladat az értékelési eljárás eredményeinek dokumentálását jelenti. 7.1 feladat Rendszer értékelési jelentés Elvégendı feladat: A végleges rendszer értékelési jelentés elkészítése. az értékelés vezetıje A rendszer értékelési jelentés tartalmazza az értékelés eredményét (mely a mőszaki biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelıen mőködnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt maradvány sebezhetıségeket, valamint az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is. A rendszer értékelési jelentés elvárt szerkezetét ismerteti. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 35

36 A rendszer értékelési jelentés az akkreditálási szakasz másik fontos bemenete. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelık számára feladat: intézkedési terv Ez a feladat az auditálási eljárás során feltárt hiányosságok (nemmegfelelıségek) korrigálására, valamint az értékelési eljárás során a rendszerekben feltárt sebezhetıségek csökkentésére vagy kiküszöbölésére irányuló intézkedési terv elkészítését, majd az eredmények akkreditor számára történı összeállítását és továbbítását jelenti. 8.1 feladat Intézkedési terv készítése Elvégendı feladat: Intézkedési terv készítése az audit jelentés és a rendszer értékelési jelentés alapján. a szolgáltató szervezet informatikai biztonsági felelıse Az intézkedési tervben mindkét jelentés (audit és rendszer értékelési) negatív eredményeire, illetve javaslataira ki kell térni. Kiegészítı vagy módosított biztonsági intézkedéseket kell betervezni a feltárt hiányosságok korrigálására, illetve a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére. Az intézkedési tervnek felelısöket és határidıket is tartalmaznia az egyes problémák megoldására. Az intézkedési tervben arra is ki kell térni, hogy szükség van-e az auditálási és értékelési eljárások kiinduló pontját képezı alap dokumentumok (biztonsági irányelv, biztonsági szabályzat) módosítására. Amennyiben szükség van erre, akkor ennek a végrehajtását is tervezni kell feladat Akkreditálási kérelmezése Elvégendı feladat: Az elkészült audit jelentés, rendszer értékelési jelentés és intézkedési terv továbbítása az akkreditornak, valamint az akkreditálás formális kérelmezése. a szolgáltató szervezet informatikai biztonsági felelıse A szolgáltató szervezet informatikai biztonsági felelısének kell formálisan kérelmeznie az akkreditálást, s ennek keretében össze kell állítania, majd az akkreditor felé továbbítania kell az alábbiakat: - végleges audit jelentés, - végleges rendszer értékelési jelentés, - intézkedési terv, - módosított biztonsági irányelv (szükség esetén), - módosított biztonsági szabályzat (szükség esetén). Az akkreditor elsısorban a fenti dokumentációkban foglaltakat fogja felhasználni döntése meghozatalához Az akkreditálási szakasz Ez a szakasz az alábbi feladatokból áll: döntés a biztonsági akkreditálásról, a döntés indoklása. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 36

37 A 4. ábra az akkreditálási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az auditálási és értékelési szakaszból Átlépés az auditálási és értékelési szakaszból Visszalépés az elıkészületi szakaszba Audit jelentés Akkreditálási szakasz Értékelési jelentés igen A mőködtetés engedélyezhetı? nem Intézkedési terv A döntés dokumentálása Akkreditálási határozat Átlépés a folyamatos monitorozási szakaszba 4. ábra - Az akkreditálási szakasz folyamata Az akkreditálási szakasz célja annak biztosítása, hogy az informatikai rendszer mögött (üzemeltetıként vagy tulajdonosként) álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók-e az akkreditor számára. Ennek a szakasznak a sikeres befejezésével a szolgáltató szervezet engedélyt kap információs rendszere mőködtetésére, átmeneti (bizonyos feltételekhez kötött) engedélyt kap az információs rendszer mőködtetésére, vagy ezt a mőködtetést nem engedélyezik feladat: döntés a biztonsági akkreditálásról Ebben a kettıs feladatban elıbb meg kell határozni az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok mértékét, majd el kell dönteni, hogy ez elfogadható-e. 9.1 feladat A maradvány kockázat meghatározása Elvégendı feladat: Az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos végsı maradvány kockázat mértékének meghatározása. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 37

38 akkreditor Az akkreditor a végsı maradvány kockázat mértékét az alábbiak alapján határozza meg: - a szervezetre irányuló audit jelentésben leírt, az auditálás során feltárt hiányosságok és nemmegfelelıségek, - az informatikai rendszerre irányuló rendszer értékelési jelentésben leírt, az értékelés során feltárt maradvány sebezhetıségek, - a két jelentés eredményeit figyelembe vevı intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányulnak. A végsı maradvány kockázat mértékének meghatározása érdekében az akkreditor konzultálhat a szolgáltató szervezet informatikai biztonsági felelısével, valamint az auditáló szervezet és az értékelı szervezet felelıs vezetıjével feladat Döntés a maradvány kockázat elfogadhatóságáról Elvégendı feladat: Döntés az informatikai rendszer mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos végsı maradvány kockázat elfogadhatóságáról. akkreditor Az akkreditor a végsı maradvány kockázat elfogadhatóságáról az auditálási és értékelési eredmények vizsgálata alapján dönthet. Az auditálási és értékelési eredmények vizsgálata a következıket foglalja magában: - a 9.1 feladat során meghatározott végsı maradvány kockázat mértéke, - a szolgáltató rendszer csatlakoztatásából (vagy további mőködtetésébıl) származó felhasználói elınyök, - a szolgáltató rendszer csatlakoztatásának (vagy további mőködtetésének) elhalasztásából adódó veszteségek, - az intézkedési tervben vázolt javító és kiegészítı intézkedések várható következménye és megvalósítási idıigénye. A fenti szempontok alapján kell meghoznia döntését, mely az alábbiak egyike lehet (lásd 6.1.5): - a mőködtetés engedélyezése, - a mőködtetés átmeneti (feltételes) engedélyezése, - a mőködtetés engedélyezésének visszautasítása feladat: a döntés indoklása Ez a feladat az akkreditor által meghozott döntés írásba foglalását és indoklását, valamint a biztonsági irányelv és biztonsági szabályzat ennek következtében szükségessé váló módosítását jelenti feladat A döntés határozatba foglalása Elvégendı feladat: Az akkreditálásra vonatkozó döntésnek és indoklásának írásba foglalása. akkreditor Az akkreditor által hozott döntésrıl egy határozatot kell készítenie feladat A biztonsági irányelv és biztonsági szabályzat módosítása Elvégendı feladat: Az akkreditálásra vonatkozó döntéstıl függıen a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelıse EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 38

39 A mőködtetés engedélyezése esetén a biztonsági irányelvet és a biztonsági szabályzatot nem kell módosítani. A mőködtetés átmeneti (feltételes) engedélyezése esetén az akkreditálásra vonatkozó döntésben megfogalmazott korlátozásokat vagy feltételeket meg kell jeleníteni a biztonsági irányelvben és/vagy a biztonsági szabályzatban is. Ugyanakkor törekedni kell arra, hogy ebben a lépésben a biztonsági irányelv és a biztonsági szabályzat módosítása minimális legyen. A mőködtetés engedélyezésének visszautasítása az akkreditálás folyamatát visszatéríti az elıkészületi szakaszba. Ebben az esetben a biztonsági irányelv és a biztonsági szabályzat jelentıs átdolgozása is szükségessé válhat A folyamatos monitorozási szakasz Ez a szakasz az alábbi feladatokból áll: konfiguráció kezelés, a biztonsági intézkedések folyamatos monitorozása, a monitorozás eredményeinek dokumentálása és jelentése. Az 5. ábra a folyamatos monitorozási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átlépés az akkreditálási szakaszból Folyamatos monitorozási szakasz A biztonsági intézkedések monitorozása Rendszeres (félévenkénti) biztonsági jelentés Rendkívüli biztonsági jelentés Konfiguráció kezelés A biztonsági irányelv és a biztonsági szabályzat vizsgálata Újra nem akkreditálás szükséges? igen Évente felülvizsgált biztonsági irányelv és biztonsági szabályzat Soron kívül felülvizsgált biztonsági irányelv és biztonsági szabályzat Az újra akkreditálás indítása az elıkészületi szakasztól kezdıdıen EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 39

40 5. ábra A folyamatos monitorozási szakasz folyamata A folyamatos monitorozási szakasz célja az informatikai rendszer biztonsági intézkedéseinek folyamatos áttekintése és nyomon követése, valamint az akkreditor tájékoztatása minden olyan változásról, mely a rendszer biztonságára hatást gyakorolhat. A fenti tevékenységet az informatikai rendszer teljes további életciklusában végezni kell. Ugyanakkor az akkreditálás megújítására is szükség lehet, az informatikai rendszerben bekövetkezı jelentıs változások miatt, vagy annak következtében, hogy a szabályozás rendszeres idıközönként (évente) megköveteli ezt feladat: konfiguráció kezelés Ez a feladat az informatikai rendszer változásainak dokumentálását, valamint a változások biztonsági hatásának felmérését jelenti. Az informatikai rendszerek folyamatosan változnak, a hardver, szoftver és förmver elemek cserélıdnek, és a mőködtetı környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelı és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. A változások dokumentálása, valamint ezek biztonságra gyakorolt hatásának rendszeres felmérése a biztonsági akkreditálás karbantartásának lényeges elvárásai feladat Az informatikai rendszer változásainak dokumentálása Elvégendı feladat: Az akkreditálásra vonatkozó döntéstıl függıen a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelıse Az informatikai rendszerek változásának kezelése, ellenırzése és dokumentálása kritikus szerepet tölt be a rendszert védı biztonsági intézkedések folyamatos felmérésében. Fontos feljegyezni a hardver, szoftver és förmver komponensekben megvalósult alábbi fontosabb változásokat: - verzió vagy kibocsátási szám, - az új vagy módosított tulajdonságok vagy kapacitások leírása, - biztonsági útmutatók. Ugyancsak fontos feljegyezni a mőködtetı környezetben bekövetkezı változásokat, mint például a fizikai elhelyezés megváltoztatása. Jelentıs változtatások csak azt követıen hajthatók végre, hogy felmérték ezek biztonságra gyakorolt hatását (lásd 11.2 feladat), s az esetlegesen szükségessé váló kiegészítı biztonsági intézkedéseket is megvalósították. [13] a konfiguráció kezelést mint az egyik mőszaki biztonsági intézkedést tárgyalja. A konfigurációmenedzsment ajánlás [20] azt segíti elı, hogy az informatikai szolgáltatás nyújtásakor használandó eszközöket egységesen tartsák nyílván a különbözı szolgáltatók. [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre [20]: Konfigurációmenedzsment ajánlás EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 40

41 11.2 feladat Biztonsági hatásvizsgálat Elvégendı feladat: Az informatikai rendszerben javasolt vagy megvalósult (hardver, szoftver, förmver és mőködtetı környezetbeli) változások vizsgálata, ezek biztonságra gyakorolt hatásának felmérésére. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági hatásvizsgálatot számos dokumentum támogatja: [19] 6.3 alfejezete útmutatást ad a változtatások biztonságos megvalósítására, a módosítások kategorizálására, a fejlesztıi bizonyíték aktualizálására és a biztonsági hatásvizsgálat elkészítésére. A konfigurációmenedzsment ajánlás [20] célja, hogy az informatikai szolgáltatás nyújtásakor használandó eszközöket egységesen tartsák nyílván a szolgáltatók. Megvalósítása segítséget nyújt az incidens-, probléma- és a változásmenedzsment folyamatokhoz is. A változásmenedzsment ajánlása [21] célja, hogy az elektronikus közigazgatási szolgáltatásokat nyújtó szervezetek úgy legyenek képesek az informatikai szolgáltatásokat érintı folyamatos változtatások kezelésére, hogy közben a lehetı legalacsonyabb szinten tartják az ezekkel kapcsolatos incidensek elıfordulásának valószínőségét, biztosítják a szolgáltatások zavartalanságát és a optimalizálják a változtatásokkal járó kockázatokat. A kiadásmenedzsment ajánlás [22] célja, hogy minden az elektronikus ügyintézést támogató informatikai szolgáltatás esetében biztosítsa az azokat érintı változtatások zökkenımentes bevezetését az éles üzembe. A problémamenedzsment ajánlás [23] célja azon tevékenységek meghatározása, melyek segítségével az elektronikus közigazgatási szolgáltatásokkal kapcsolatos problémák és a belılük következı incidensek elháríthatók, csökkenthetı az ismétlıdı incidensek száma és azon incidensek hatása, amiket nem lehet megelızni. Az incidensmenedzsment ajánlás [24] az informatikai támogatás során elıforduló incidensek kezelését segíti. Kitér a folyamat leírására és a megvalósítandó szerepkörökre is [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása [20]: Konfigurációmenedzsment ajánlás [21]: Változásmenedzsment ajánlás [22]: Kiadásmenedzsment ajánlás [23]: Problémamenedzsment ajánlás [24]: Incidensmenedzsment ajánlás feladat: a biztonsági intézkedések folyamatos monitorozása Ez a feladat néhány biztonsági intézkedések kiválasztását, majd ezek folyamatos vizsgálatát, nyomon követését jelenti. Ez a folyamatos monitorozás segíti azoknak a lehetséges biztonsági problémáknak az azonosítását, melyeket a konfiguráció kezelés keretében végrehajtott biztonsági hatásvizsgálat (11.2) nem tárt fel feladat Biztonsági intézkedések kiválasztása Elvégendı feladat: Azoknak a biztonsági intézkedéseknek a kiválasztása, melyet az informatikai rendszerben folyamatosan nyomon fognak majd követni. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 41

42 a szolgáltató szervezet informatikai biztonsági felelıse Valamennyi biztonsági intézkedés folyamatos nyomon követése megvalósíthatatlanul bonyolult és költséges lenne. A kiválasztás szempontja kettıs: - célszerő olyan biztonsági intézkedéseket kiválasztani, melyek helytelen megvalósulása kritikus hatást gyakorolna az informatikai rendszerre, - célszerő mőszaki és üzemeltetési intézkedéseket egyaránt kiválasztani, - idıvel érdemes változtatni a kiválasztott biztonsági intézkedéseket, hogy hosszabb távon minél nagyobb mintára valósuljon meg a nyomon követés. A kiválasztandó biztonsági intézkedésekre javaslatot fogalmazhatnak meg az audit és a rendszer értékelési jelentésben is feladat A kiválasztott biztonsági intézkedések felmérése Elvégendı feladat: Annak ellenırzése, hogy a kiválasztott biztonsági intézkedéseket helyesen valósították-e meg, a tervezettnek megfelelıen mőködnek-e, illetve a kívánt eredményeket biztosítják-e. a szolgáltató szervezet informatikai biztonsági felelıse Az ellenırzés különbözı módszerekkel hajtható végre (pl. biztonsági átvilágítással, önértékeléssel, biztonsági teszteléssel, értékeléssel, auditálással), az informatikai biztonsági felelıs belátásától függıen. Ugyanakkor az alkalmazott ellenırzési (nyomon követési) módszereket dokumentálni kell, s a felmérés eredményeit a következı auditálási és értékelési eljárás számára elérhetıvé tenni. Amennyiben a felmérés helytelen megvalósítást, a tervezettıl eltérı mőködést, vagy nem megfelelı eredmény jelzést tárnak fel, akkor (nem megvárva a következı újra akkreditálási szakaszt) kiegészítı vagy javító intézkedéseket kell hozni a problémák kezelésére feladat: a biztonsági állapot jelentése és dokumentálása Ez a feladat a biztonsági irányelv és biztonsági szabályzat karbantartására, valamint a biztonsági állapot (akkreditor és a szolgáltató szervezet vezetıje felé történı) jelentésére vonatkozik. Az akkreditor az állapot jelentések alapján határozhatja meg az újra akkreditálás szükségességét feladat A biztonsági irányelv és biztonsági szabályzat karbantartása Elvégendı feladat: A biztonsági irányelv és a biztonsági szabályzat módosítása az informatikai rendszer dokumentált (hardver, szoftver, förmver és mőködtetı környezetbeli) változásai, valamint a folyamatos monitorozás eredményei alapján. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági irányelvnek és a biztonsági szabályzatnak a lehetı legnagyobb mértékben aktuális információkat kell tartalmazniuk. Következésképpen a bekövetkezı változásoknak idıvel meg kell jelenniük ebben a két alap dokumentumban. A biztonsági irányelv és a biztonsági szabályzat módosításának gyakoriságát az informatikai biztonsági felelıs az alábbi két ellentétes szempont mérlegelésével határozza meg: - a lényeges változások minél hamarabbi megjelenítése a dokumentumokban, EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 42

43 - a felesleges papírmunka elkerülése. A biztonsági irányelv és a biztonsági szabályzat karbantartásának jelentıségét az adja meg, hogy a késıbbi auditálási, értékelési eljárások ismételten visszatérnek ezekhez, mint a vizsgálandó alap követelményeket tartalmazó dokumentumokhoz. [1]: 84/2007. (IV. 25.) kormányrendelet 13.2 feladat Tájékoztató jelentés a biztonságról Elvégendı feladat: Az akkreditor számára rendszeres idıközönként (félévente) vagy soron kívül (jelentıs biztonsági esemény bekövetkezése esetén) jelentés készítése az informatikai rendszer biztonsági állapotáról. a szolgáltató szervezet informatikai biztonsági felelıse A biztonsági jelentésnek a következıket kell tartalmaznia: - a biztonsági irányelv és a biztonsági szabályzat változásai, - az informatikai biztonsági eljárásrendek mőködése, - bekövetkezett jelentıs biztonsági esemény. A fentiekhez a jelentést készítı informatikai biztonsági felelısnek az alábbi szempontokat kell figyelembe vennie (s ezeket érdemes külön-külön meg is jelenítenie) a tájékoztatásban: - az informatikai rendszerben megvalósult (hardver, szoftver, förmver és mőködtetı környezetbeli) változások, - a változások biztonsági hatásvizsgálatának következtetései, - a folyamatos monitorozás eredményei, - a bekövetkezett biztonsági esemény kritikussága. [1]: 84/2007. (IV. 25.) kormányrendelet 13.3 feladat Kockázat elhárítás Elvégendı feladat: Az akkreditor egy biztonsági jelentés (13.2) alapján külön vizsgálatot kezdeményezhet. Akkreditor Külön vizsgálat kezdeményezése az alábbi esetekben indokolt: - a biztonsági irányelv és a biztonsági szabályzat jelentıs megváltozása, - az informatikai rendszerben megvalósult, a biztonságra jelentıs hatást gyakoroló változások, - a folyamatos monitorozás jelentıs biztonsági kockázatot - feltáró eredményei. - soron kívül jelentett kritikus biztonsági esemény. A külön vizsgálat eredményei az alábbiak lehetnek: - felülvizsgált és jóváhagyott biztonsági irányelv és a - biztonsági szabályzat, - újra akkreditálás eljárásának kezdeményezése, - a szolgáltatás felfüggesztése a kockázat elhárításáig. [1]: 84/2007. (IV. 25.) kormányrendelet EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 43

44 7. Melléklet: A biztonsági akkreditálás feladatainak áttekintése Az alábbi táblázat áttekinti a 6.2 alfejezetben részletezett biztonsági akkreditálási folyamat feladatait, s ezek felelıseit. Sorszám Elnevezés Felelıs Elıkészületi szakasz 1. Feladat Elıkészítés 1.1 feladat Az informatikai rendszer leírása IB felelıs 1.2 feladat Biztonsági kategorizálás IB felelıs 1.3 feladat A fenyegetések azonosítása IB felelıs 1.4 feladat A sebezhetıségek azonosítása IB felelıs 1.5 feladat A biztonsági intézkedések meghatározása IB felelıs 2. Feladat Értesítés és a szükséges erıforrások meghatározása 2.1 feladat Az érintettek értesítése IB felelıs 3. Feladat 2.2 feladat Az akkreditáláshoz szükséges erıforrások meghatározása IBF, IB felelıs, AV, ÉV A biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása 3.1 feladat A biztonsági kategorizálás áttekintése IBF, AV, ÉV 3.2 feladat A biztonsági irányelv és a biztonsági szabályzat vizsgálata IBF, AV, ÉV 3.3 feladat A biztonsági irányelv és a biztonsági szabályzat módosítása IB felelıs 3.4 feladat A biztonsági irányelv és a biztonsági szabályzat elfogadása IBF Auditálási és értékelési szakasz 4. Feladat A szervezet auditálása 4.1 feladat Dokumentáció és egyéb támogató anyagok IB felelıs 4.2 feladat A korábbi auditálási eredmények felhasználása IB felelıs, AV 4.3 feladat Auditálási terv készítése AV 4.4 feladat Az auditálás végrehajtása AV 5. Feladat Audit jelentés 5.1 feladat Audit jelentés készítése AV 6. Feladat Az informatikai rendszer értékelése 6.1 feladat Rendszer biztonsági elıirányzat és egyéb értékelési bizonyítékok IB felelıs 6.2 feladat A korábbi értékelési eredmények felhasználása IB felelıs, ÉV 6.3 feladat Értékelési terv készítése ÉV 6.4 feladat Az értékelés végrehajtása ÉV 7. Feladat Rendszer értékelési jelentés 7.1 feladat Rendszer értékelési jelentés készítése ÉV 8. Feladat Intézkedési terv 8.1 Intézkedési terv készítése IB felelıs 8.2 Akkreditálás kérelmezése IB felelıs Akkreditálási szakasz 9. Feladat Döntés a biztonsági akkreditálásról 9.1 A maradvány kockázat meghatározása IBF 9.2 Döntés a maradvány kockázat elfogadhatóságáról IBF 10. Feladat A döntés indoklása 10.1 A döntés határozatba foglalása IBF 10.2 A biztonsági irányelv és biztonsági szabályzat módosítása IB felelıs Folyamatos monitorozási szakasz 11. Feladat Konfiguráció kezelés 11.1 Az informatikai rendszer változásainak dokumentálása IB felelıs 11.2 Biztonsági hatásvizsgálat IB felelıs EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 44

45 12. Feladat A biztonsági intézkedések folyamatos monitorozása 12.1 Biztonsági intézkedések kiválasztása IB felelıs 12.2 A kiválasztott biztonsági intézkedések felmérése IB felelıs 13. Feladat A biztonsági állapot jelentése és dokumentálása 13.1 A biztonsági irányelv és biztonsági szabályzat karbantartása IB felelıs 13.2 Tájékoztató jelentés a biztonságról IB felelıs 13.3 Kockázat elhárítás IBF 8. Bibliográfia - 9. Rövidítésgyőjtemény Jelen dokumentum a 2. táblázatban bemutatott rövidítéseket használja. 2. táblázat A dokumentumban használt rövidítések Rövidítés Angol jelentés Magyar jelentés AV --- Az auditálás vezetıje CC Common Criteria Közös szempontok ÉV --- Az értékelés vezetıje IB felelıs --- Informatikai biztonsági felelıs IBF --- Informatikai biztonsági felügyelı (akkreditor) IT Information Technology Információs technológia, informatika KIB --- Közigazgatási Informatikai Bizottság MIBA --- Magyar Informatikai Biztonsági Ajánlások MIBÉTS --- Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma 10. Fogalomtár Ábrák 1. ábra A biztonsági akkreditálás folyamatának áttekintése 2. ábra Az elıkészületi szakasz folyamata 3. ábra Az auditálási és értékelési szakasz folyamata 4. ábra - Az akkreditálási szakasz folyamata 5. ábra A folyamatos monitorozási szakasz folyamata 12. Képek - EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 45

46 13. Táblázatok 1. táblázat A rendelkezı hivatkozások elérhetısége 2. táblázat A dokumentumban használt rövidítések 14. Verziószám V1 EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 46