ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Átírás

1 ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

2 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 2

3 Metaadat-táblázat Megnevezés Cím (dc:title) Kulcsszó (dc:subject) Leírás (dc:description) Leírás Útmutató akkreditorok számára IT biztonság; értékelés; útmutató Az elkészült e-közigazgatási szolgáltató rendszerek használatba vételét, illetve a központi rendszerhez csatlakoztatását jogszabályban meghatározott eljárásrend szerint engedélyezik. Ezt az engedélyezési folyamatot a nemzetközileg elfogadott szóhasználatnak megfelelıen biztonsági akkreditálásnak nevezzük. Jelen dokumentum elsısorban a szolgáltató rendszerek használatba vételét, központi rendszerhez csatlakoztatását engedélyezı vezetınek, az akkreditornak ad útmutatást,egyúttal meghatározza a biztonsági akkreditálásban érintett egyéb szereplık feladatait is. Típus (dc:type) Szöveg, ábra, táblázat Forrás (dc:source) Kapcsolat (dc:relation) e-közigazgatási Keretrendszer egyéb dokumentumai Terület (dc:coverage) KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek Létrehozó (dc:creator) e-közigazgatási Keretrendszer Kialakítása projekt Kiadó (dc:publisher) Miniszterelnöki Hivatal Résztvevı (dc:contributor) Hunguard Kft. Jogok (dc:rights) e-közigazgatási Keretrendszer Dátum (dc:date) Formátum (dc:format).doc Azonosító (dc:identifier) Nyelv (dc:language) Magyar Verzió (dc:version) V1 Státusz (State) Végleges Fájlnév (FileName) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.doc Méret (Size) Ár (Price) Felhasználási jogok (UserRights) Korlátlan EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 3

4 Verziókövetési táblázat A dokumentum neve Útmutató akkreditorok számára A dokumentum készítıjének neve Hunguard Kft A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám V1 Összes oldalszám 45 A projekt azonosítója E-közigazgatási keretrendszer kialakítása Változáskezelés Verzió Dátum A változás leírása V Elsı tartalomjegyzék V MeH-nek átadott verzió EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 4

5 Szövegsablon Megnevezés Leírás 1. Elıszó (Foreword) 1. fejezet 2. Bevezetés (Preamble) 2. fejezet 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia nincs 8. Rövidítésgyőjtemény 9. fejezet 9. Fogalomtár 10. Ábrák szövegben 11. Képek nincs 12. Fogalmak 5. fejezet 13. Verzió V1 14. Mellékletek (Appendix) nincs EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 5

6 Tartalomjegyzék 1. Elıszó Bevezetés A dokumentum célja A dokumentum felépítése Alkalmazási terület Rendelkezı hivatkozások Fogalom-meghatározások A biztonság akkreditálása A biztonsági akkreditálás alapjai A biztonsági akkreditálás A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálásban érintett szereplık és felelısségük A biztonsági akkreditálás lehetséges eredményei A biztonsági akkreditálási folyamatot megalapozó dokumentumok A folyamatos monitorozás A biztonsági akkreditálás folyamata A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei Az elıkészületi szakasz Az auditálási és értékelési szakasz Az akkreditálási szakasz A folyamatos monitorozási szakasz Melléklet: A biztonsági akkreditálás feladatainak áttekintése Bibliográfia Rövidítésgyőjtemény Fogalomtár Ábrák Képek Táblázatok Verziószám EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 6

7 1. Elıszó Jelen dokumentum az e-közigazgatási Keretrendszer részét képezi. Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. Ezt az engedélyezést, mely egy hivatalos vezetıi döntés a szolgáltató rendszer mőködtetésének (csatlakoztatásának) engedélyezésérıl, jelen anyag (a nemzetközi szóhasználatnak megfelelıen) biztonsági akkreditálásnak nevezi. Jelen dokumentum a biztonsági akkreditálás eljárásrendjét kívánja szakmailag megalapozni, áttekintve a folyamatot, részletezve az elvégzendı feladatokat és meghatározva az egyes feladatok felelıseit. A biztonsági akkreditálás eljárásrendjének biztosítania kell az informatikai biztonság megfelelı szintő megvalósulását. Az eljárásrend részét képezik az alábbiak: a szolgáltató rendszer biztonsági irányelvének, szabályzatának és eljárásrendjének elkészítése és jóváhagyása, egy elızetes auditálás és értékelés, a rendszer használati ideje során rendszeres és szükség szerint független értékelési és auditálási eljárások. Az auditálás és értékelés az elektronikus szolgáltatások megfelelıség vizsgálatának egymást kiegészítı két szempontját képviselik. Az auditálás a szolgáltató szervezetre irányul, s a dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések megfelelıségét igazolja. Az értékelés a szolgáltató informatikai rendszerre irányul, s a szoftver és hardver termékekbıl kialakított komplex informatikai rendszer adott technológiai értékelési szabványok (pl. Common Criteria, CEM, MIBÉTS) szerinti megfelelıségét igazolja. A központi rendszer biztonsági szempontjainak érvényesítéséért az informatikai biztonsági felügyelı visel felelısséget, így az informatikai biztonsági kérdésekben az akkreditor (az engedélyezı) a 84/2007. (IV. 25.) kormányrendeletben nevesített informatikai biztonsági felügyelı. A jelen dokumentumban meghatározott feladatok meghatározása a biztonsági akkreditálásban érintett összes szereplı (a szolgáltató szervezet informatikai biztonsági felelıse, közigazgatási informatikai biztonsági felügyelı, az auditálás vezetıje, az értékelés vezetıje) munkáját kívánja segíteni, így nemcsak az akkreditornak szól. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 7

8 2. Bevezetés 2.1. A dokumentum célja Az [1] kormány rendelet meghatározza az informatikai biztonsági felügyelı feladatait a rendeletben meghatározott biztonsági követelmények érvényesítése érdekében. A [2] törvény-tervezet szerint a (közigazgatási) informatikai biztonsági felügyelı engedélyezi a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatások mőködtetését. Jelen dokumentum célja ennek az engedélyezı (akkreditori) feladatnak a segítése, figyelembe véve az informatikai rendszerek biztonsági akkreditálására és ennek elıkészítésére irányuló mértékadó dokumentum [3] útmutatásait is A dokumentum felépítése Az 1. fejezet elhelyezi a dokumentumot az e-közigazgatási Keretrendszeren belül, tájékoztatást adva a célközönségrıl és a kapcsolódó dokumentumokról. A 2. fejezet bevezetı információkat tartalmaz, megadva a dokumentum célját és felépítését. A 3. fejezet meghatározza az alkalmazás lehetséges területeit. A 4. és 5. fejezet a hivatkozásokat, illetve a fogalom-meghatározásokat tartalmazza. A 6. fejezet tartalmazza a dokumentum lényegi részét, 2 alfejezetben. A 6.1 alfejezet a mőködı rendszerek biztonsági akkreditálásának a szakmai alapjait fekteti le az akkreditálást megalapozó két eljárást, a szervezet auditálását és az informatikai rendszer biztonsági értékelését tekinti át a mőködı rendszerek biztonsági akkreditálásának fogalmát tisztázza az akkreditálásban érintett szereplık (a szolgáltató szervezet informatikai biztonsági felelıse, az audit vezetıje, az értékelés vezetıje, az akkreditor) felelısségeit, kötelezettségeit tekinti át az akkreditálás lehetséges eredményeivel foglalkozik az akkreditálási folyamatot megalapozó (támogató) dokumentumokat határozza meg Az akkreditálás utáni idıszakot, a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését tárgyalja. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 8

9 A 6.2 alfejezet az akkreditálás folyamatát tekinti át. Ezen belül meghatározza az akkreditálási folyamat, szakaszait, fı tevékenységeit, bemeneteit és kimeneteit. A további alfejezetek meghatározzák és részletesen leírják az akkreditálásban érintett szereplık feladatait az akkreditálási folyamat különbözı szakaszaiban (elıkészületi szakasz: 6.2.2, auditálási és értékelési szakasz: 6.2.3, akkreditálási szakasz: 6.2.4, folyamatos monitorozási szakasz: 6.2.5). A 7. fejezet melléklete összefoglaló módon áttekinti a biztonsági akkreditálás folyamatának feladatait és ezek felelıseit. A fejezetek kiegészítı információkat tartalmaznak (8. Bibliográfia, 9. Rövidítésgyőjtemény, 10. Fogalomtár, 11. Ábrák, 12. Képek, 13. Táblázatok, 14. Verziószám). 3. Alkalmazási terület A jelen dokumentumban megfogalmazottak elsısorban a közigazgatási informatikai biztonsági felügyelı munkáját kívánja segíteni, aki a szolgáltató szervezetek központi rendszerhez való csatlakozását, illetve a szolgáltatás mőködtetését engedélyezi. Ugyanakkor a jelen dokumentumban megfogalmazottak a közigazgatás más területein, valamint a magánszféra legkülönbözıbb területein is alkalmazhatók, azon felelıs vezetık (akkreditorok) munkájának támogatásához, akik egy informatikai rendszer mőködtetésének engedélyezésérıl döntenek. 4. Rendelkezı hivatkozások A jelen dokumentumban megfogalmazott irányelvek és követelmények az alábbi mértékadó dokumentumokon alapulnak: [1]: 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl [2]: Törvény-tervezet az informatikai biztonságról [3]: NIST Special Publication Guide for the Security Certification and Accreditation of Federal Information Systems April 2004 [4]: KIB 25. számú ajánlása (MIBA) 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 9

10 [6]: KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) [7]: KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) [8]: KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [10]: Termékekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [11]: Összetett termékekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [12]: Rendszerekre vonatkozó értékelési módszertan (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [13]: IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [14]: Útmutató az IT biztonsági szintek meghatározásához (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [15]: Minta biztonsági kategorizálás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [16]: Útmutató rendszer értékelık számára (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [17]: Útmutató rendszer integrátorok számára (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [18]: Szolgáltatások megfelelıség vizsgálatának folyamata és eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása (az e- Közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [20]: Konfigurációmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [21]: Változásmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 10

11 [22]: Kiadásmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [23]: Problémamenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) [24]: Incidensmenedzsment ajánlás (az e-közigazgatási Keretrendszer Kialakítása projekt keretében kidolgozott dokumentum) Az 1. táblázat a rendelkezı hivatkozások elérhetıségét adja meg. (még készül) Cím 1. táblázat - A rendelkezı hivatkozások elérhetısége 84/2007. (IV. 25.) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl Törvény-tervezet az informatikai biztonságról NIST Special Publication Guide for the Security Certification and Accreditation of Federal Information Systems April 2004 KIB 25. számú ajánlása (MIBA) 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) KIB 25. számú ajánlása (MIBA) 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) Külföldi elérhetıség NISP SP Magyar elérhetıség 84/2007. (IV. 25.) Kormányrendelet EEK KIB 25/1-1 EEK KIB 25/1-2 EEK KIB 25/1-3 EEK KIB 25/2 KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan EEK KIB 25/2-5 A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai e-közigazgatási Keretrendszer és gyakorlata Termékekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer Összetett termékekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer Rendszerekre vonatkozó értékelési módszertan e-közigazgatási Keretrendszer IT biztonsági mőszaki követelmények a különbözı biztonsági e-közigazgatási Keretrendszer szintekre Útmutató az IT biztonsági szintek meghatározásához e-közigazgatási Keretrendszer Minta biztonsági kategorizálás e-közigazgatási Keretrendszer Útmutató rendszer értékelık számára e-közigazgatási Keretrendszer Útmutató rendszer integrátorok számára e-közigazgatási Keretrendszer Szolgáltatások megfelelıség vizsgálatának folyamata és e-közigazgatási Keretrendszer eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ Az értékeléssel megszerzett garancia folyamatosságának biztosítása Konfigurációmenedzsment ajánlás Változásmenedzsment ajánlás Kiadásmenedzsment ajánlás Problémamenedzsment ajánlás Incidensmenedzsment ajánlás e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer e-közigazgatási Keretrendszer EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 11

12 5. Fogalom-meghatározások Jelen dokumentum az alábbi kiegészítı fogalmakra épül, s ezeket az alábbi értelemben használja: Akkreditálás: Annak hivatalos elismerése, hogy egy szervezet, személy, alkalmas (megfelelıen felkészült) bizonyos tevékenységek (vizsgálat, kalibrálás, tanúsítás, ellenırzés, hitelesítés) meghatározott feltételek szerinti végzésére. (Ennek az általános fogalomnak a jelen dokumentumban használt megfelelıjeként lásd biztonsági akkreditálás, mely egy informatikai rendszer alkalmasságának elismerése.) Akkreditor: Az engedélyezı vezetı a biztonsági akkreditálás folyamatában. Audit: A dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések szabványokban (pl. ISO 27001), ajánlásokban (pl. MIBA) és a nemzetközi legjobb gyakorlatokban (best practices) leírt elvárásoknak való megfelelıségének igazolása. [2] Audit jelentés: Az a dokumentum, amely bemutatja az audit eredményeit és az auditálással kapcsolatos egyéb információkat. Auditáló szervezet: A szolgáltató szervezet informatikai biztonságának auditálását végzı, erre jogosult cég. [2] Biztonsági akkreditálás: Hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Biztonsági irányelv: Az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. [1] Biztonsági szabályzat: A biztonsági intézkedéseket, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. [1] Értékelı szervezet: A szolgáltató rendszer technológiai szempontú értékelését végzı, erre jogosult cég. [2] Értékelés: Szoftver és hardver termékekbıl kialakított komplex informatikai rendszerek, alkalmazások adott technológiai értékelési szabványok (pl. Common Criteria, CEM, vagy MIBÉTS) szerinti megfelelıségi vizsgálata. [2] Értékelési jelentés: Az a dokumentum, amely bemutatja az értékelés eredményeit és az értékeléssel kapcsolatos egyéb információkat. Informatikai biztonság: Az informatikai rendszer technikai részét (hardver) és az azon futó programokat (szoftver) érintı biztonsági szabályok összessége és alkalmazása annak EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 12

13 érdekében, hogy megóvja vagy megelızze az illetéktelen felfedés, megismerés, manipuláció, adattörlés, illetve ilyen esetekben a rendszer nyújtotta szolgáltatásokhoz történı hozzáférés lehetıségét, valamint a informatikai/távközlési hálózatokat is magába foglaló rendszerek esetében a távközlést érintı biztonsági rendszabályok alkalmazásának összessége, mely egyfelıl biztosítja az illetéktelen személyek kizárását a távközlési hálózat értéket tartalmazó információihoz történı hozzáférésének és azok feldolgozásának lehetıségébıl, másfelıl a jogosultak számára garantálja a hozzájuk eljuttatott információk hitelességét. [2] Informatikai biztonsági felelıs: A szolgáltató szervezetben a szolgáltatást mőködtetı szervezeti egységétıl függetlenül, a szolgáltató szervezet vezetıjének közvetlen irányítása alatt dolgozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. [1] Informatikai biztonsági felügyelı: A Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozó olyan személy, aki az üzemeltetı és szolgáltató szervezetekre is kiterjedı jogosultsággal, a biztonsági követelmények érvényesítése érdekében széles hatáskörrel és felelısséggel rendelkezik (lásd [1] 4. ). Központi rendszer (központi elektronikus szolgáltató rendszer): Olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenı, ezeken keresztül elérhetı elektronikus szolgáltatásokat. [1] Rendszer biztonsági elıirányzat: Biztonsági követelmények és elıírások olyan összessége, amelyet egy szolgáltató rendszer értékelésénél az értékelés alapjaként használnak. Szolgáltató szervezet: A központi rendszeren keresztül elektronikus szolgáltatást nyújtó közigazgatási szerv.[1] Szolgáltató rendszer: A szolgáltató szervezet elektronikus szolgáltatást nyújtó informatikai rendszere.[1] Üzemeltetı szervezet: A központi kendszert üzemeltetı szervezet. [1] 6. A biztonság akkreditálása 6.1. A biztonsági akkreditálás alapjai A biztonsági akkreditálás A biztonsági akkreditálás egy hivatalos vezetıi döntés egy informatikai rendszer mőködtetésének engedélyezésérıl. Ez a döntés egyaránt vonatkozhat új informatikai rendszer elsı üzembe helyezésére, illetve már szolgáltató rendszer további mőködtetésére. Az engedélyezés azoknak a maradvány kockázatoknak a közvetlen elfogadását is jelenti, melyek az informatikai rendszer mögött (üzemeltetıként vagy tulajdonosként) álló szervezet EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 13

14 mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatosak, s melyek az elızetesen elfogadott biztonsági intézkedések megvalósítása ellenére maradtak a rendszerben. Ezért az engedélyezı vezetınek (akkreditornak) fel kell tudni mérnie a maradvány kockázatokat, s különbözı tényezık figyelembe vételével döntést kell hoznia ezek elfogadásáról, feltételes elfogadásáról vagy visszautasításáról. A [2] törvény-tervezet egyre szigorodó elvárásokat fogalmaz meg az alábbiakra: a Magyar Köztársaság területén bejegyzett, elektronikus szolgáltatást nyújtó szolgáltatók, az elektronikus szolgáltatást nyújtó közigazgatási szervek, a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatók. A biztonsági akkreditálás általános fogalmát a továbbiakban szőkebben értelmezzük, a központi elektronikus szolgáltató rendszer igénybe vételével történı elektronikus szolgáltatást nyújtó szolgáltatókra (a [2] törvény-tervezetben) megfogalmazott elvárásokból kiindulva. Az akkreditor a továbbiakban a fenti értelmezésnek megfelelıen a (közigazgatási) informatikai biztonsági felügyelı A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálás közvetlen támogatásaként két különbözı eljárás biztosít fontos információkat az akkreditornak. A két eljárás elkülönítésének indoka, hogy az akkreditálás támogatása érdekében elvégzendı feladatok két nagy csoportra oszthatók jellegük, megközelítés módjuk, illetve a megvalósításukban érintett személyek szempontjából: Auditálási eljárás: szervezeti/irányítási szemléletet és szaktudást igénylı feladatok végrehajtása (biztonsági követelmények meghatározása, biztonságpolitika, biztonsági stratégia és biztonsági szabályozások kialakítása, a szervezeti, személyi, fizikai és környezeti biztonság megteremtése, biztonságos fejlesztés, üzemeltetés és karbantartás, a jogszabályoknak és a biztonsági szabályzatoknak való megfelelés biztosítása) az ezen szakterületekre elfogadott módszertanokra alapozva. Értékelési eljárás: technológiai szemléletet és szaktudást igénylı feladatok végrehajtása (informatikai termékek fejlesztése, informatikai rendszer kialakítása, a biztonsági szempontok folyamatos fenntartása, a termékek és összetett termékek technológiai szempontú értékelése és tanúsítása, informatikai rendszerek értékelése, a követelményeknek való megfelelés idıszakos felülvizsgálata és értékelése) az ezen szakterületekre elfogadott módszertanokra alapozva. Mindkét eljárás az érintett szervezet által a vizsgált informatikai rendszerre vonatkozóan megvalósított biztonsági intézkedések felmérését végzi, de egy tudatos munkamegosztás keretében. Az informatikai biztonság védelmi intézkedései az alábbi három kategóriába sorolhatók: Menedzsment biztonsági intézkedések: olyan intézkedések, amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 14

15 Kockázatfelmérés, azaz a szervezetnek idınként fel kell mérnie a szervezet mőködése során felmerülı kockázatokat és az ezek által fenyegetett értékeket. Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. Rendszer és szolgáltatás beszerzés, azaz a tervezés során elıállt terv megvalósítása, amelynek során a szervezet erıforrásokat biztosít a terv megvalósítására, majd megvalósítja azokat. Biztonság értékelés és auditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan mőködtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. A menedzsment biztonsági intézkedések felmérésével az auditálási eljárás foglalkozik. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsısorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstıl. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülı személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerjék a jogszabályi, szabályozási és védelmi hátteret, elıírásokat. A személyzet a munkakörének megfelelı képzésben részesüljön az informatikai biztonság területén. Karbantartás, azaz intézkedéseket kell hozni és mőködtetni annak érdekében, hogy az informatikai rendszerek idıszakos és rendszeres karbantartása megvalósuljon és figyelembe vegye a biztonsági követelményeket. Konfiguráció kezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenırizni, nyomon követni kell ezek változását. Üzletmenet-folytonosság tervezése, azaz a szervezetnek terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési mőveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erıforrások rendelkezésre álljanak, valamint rendkívüli helyzetekben is megvalósuljon a folyamatos mőködés. Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók, illetve az azokon tárolt és szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Az üzemeltetési biztonsági intézkedések felmérésével mindkét eljárás foglalkozik, az auditálási eljárás elsısorban az elsı négy, míg a technológiai szemlélető értékelési eljárás fıleg az utolsó három témakörrel. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 15

16 Mőszaki biztonsági intézkedések: olyan intézkedések, melyeket elsısorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevıiben megvalósuló mechanizmusok segítségével. Ide tartoznak: Azonosítás és hitelesítés, azaz azonosítani kell az informatikai rendszer felhasználóit, valamint hitelesíteni kell azonosságukat, mielıtt hozzáférést engedélyeznének számukra. Hozzáférés ellenırzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeirıl megfelelı naplózás szülessen, és a naplóbejegyzések a szükséges ideig megırzésre kerüljenek. Biztosítani kell, hogy az egyes felhasználói tevékenységek nyomon követhetıek legyenek a felhasználói felelısség utólagos megállapíthatósága érdekében. Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen, illetve figyelemmel kell kísérnie a rendszer biztonsági riasztásait. Rendszer és kommunikáció védelem, azaz monitorozni, ellenırizni és védeni kell a szervezetbıl kilépı és az oda belépı információkat. Reagálás a biztonsági eseményekre, azaz a szervezetnek úgy kell kialakítania rendszerét, hogy lehetıvé tegye a biztonsági események észlelését, elemzését, valamint az ezekre történı reagálást. A mőszaki biztonsági intézkedések felmérésével az értékelési eljárás foglalkozik. Mindkét eljárás során a biztonsági intézkedések megvalósításának helyességét, tervezettnek megfelelı mőködését, valamint a kívánt eredmények biztosítását ellenırzik Auditálási eljárás (a szolgáltató szervezet auditálása) Az auditálási eljárás az informatikai rendszert üzemeltetı szervezet folyamatait, biztonságot menedzselı szervezeti struktúráját, hozzáértı humán erıforrásait, szabályozási rendszerszerét, valamint a szabályok betartását vizsgálja. Az auditálás módszertanát a következı mértékadó dokumentumok határozzák meg: KIB 25. számú ajánlása (MIBA): 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK), amely a 27002:2005 nemzetközi szabványét szerkezetét pontosan követve átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekrıl, KIB 25. számú ajánlása (MIBA): 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV), amely az ISO/IEC 27001:2005 szabványnak való megfelelést bizonyító audit elvégzésének módszertanát fejti ki, Elektronikus Közigazgatási Keretrendszer - A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata, mely az auditálást különbözı olyan dokumentum mintákkal segíti, melyek a szolgáltatás kialakítási projekt elıkészítésére és megvalósítására, illetve az elıállított rendszerek üzemeltetésére és a nyújtott szolgáltatások irányítására vonatkozik. Az auditálási eljárás bemeneti dokumentumai az alábbiak: EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 16

17 A szolgáltató szervezet jóváhagyott biztonsági irányelve (sokszor ezt biztonságpolitika elnevezéssel említik), A szolgáltató szervezet jóváhagyott biztonsági szabályzata, A szolgáltató szervezet jóváhagyott végrehajtási eljárásrendjei, Az auditálás módszertana által megkövetelt egyéb bizonyítékok. Az auditálási eljárás eredménye egy audit jelentés, melynek szerkezetét és elvárt tartalmát a módszertan meghatározza ([6] 260. oldal) Értékelési eljárás (a szolgáltató rendszer biztonsági értékelése) Az értékelési eljárás a szoftver és hardver termékek, valamint az ezekbıl integrált bonyolult informatikai rendszerek biztonsági megfelelıségét vizsgálja. A szolgáltató rendszer biztonsági értékelésének módszertanát a következı mértékadó dokumentumok határozzák meg: KIB 25. számú ajánlása (MIBA): 25/2-5: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) - Értékelési módszertan, mely az MSZ ISO/IEC 15408:2003 (CC v2.3) és az ISO/IEC 18045:2005 (CEM v2.3) szabványokon alapuló termék értékelési módszertant határozza meg, Elektronikus Közigazgatási Keretrendszer - Termékekre vonatkozó értékelési módszertan, mely az értékelési módszertan továbbfejlesztését tartalmazza, a jelenleg érvényes CC v3.1 és CEM v3.1 verziókkal teljes összhangban, Elektronikus Közigazgatási Keretrendszer - Rendszerekre vonatkozó értékelési módszertan, mely a termék értékelés módszertanát általánosítja bonyolult és mőködı (szolgáltató) informatikai rendszerek esetére. Az értékelési eljárás legfontosabb bemenete a jóváhagyott biztonsági irányelv és az ebbıl készített rendszer biztonsági elıirányzat. A biztonsági irányelv meghatározza az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat. A rendszer biztonsági elıirányzat a biztonsági követelmények és elıírások olyan összessége, amelyet egy értékelt rendszerre az értékelés alapjaként használnak. A rendszer értékelési módszertan számos egyéb dokumentumot (értékelési bizonyítékot) vár el az értékelési eljárás bemeneteként, melyek elkészítésének felelıssége az értékelés megbízójáé (tipikusan a szolgáltató szervezet vezetıje vagy informatika biztonsági felelıse), elkészítésükhöz ugyanakkor valószínőleg be kell vonni az informatikai rendszer integrátorát is. Az értékelési eljárás eredménye egy rendszer értékelési jelentés, melynek szerkezetét és elvárt tartalmát a módszertan részletesen meghatározza ([12] 7.2 mellékletében). EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 17

18 A biztonsági akkreditálásban érintett szereplık és felelısségük A biztonsági akkreditálási folyamatban az alábbi szereplık érintettek: szolgáltató szervezet informatikai biztonsági felelıse, az audit vezetıje, az értékelés vezetıje, az akkreditor (az informatikai biztonsági felügyelı) A szolgáltató szervezet informatikai biztonsági felelısének felelıssége A szolgáltató szervezet informatikai biztonsági felelıse a szolgáltatást mőködtetı szervezeti egységétıl független, a szolgáltató szervezet vezetıjének közvetlen irányítása alá tartozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok végrehajtása, melyek a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének kidolgozására, valamint az ezek (akkreditor általi) jóváhagyásához esetleg szükséges módosításokra vonatkoznak (lásd 6.2.2). Az auditálási és értékelési eljárások elıkészítése, az ezekhez szükséges dokumentációk és egyéb bizonyítékok biztosításával (lásd 6.2.3). Az akkreditálás elıkészítése, az audit és értékelés eredményein alapuló intézkedési terv elkészítésével, valamint az akkreditálás formális kérelmezésével (lásd 6.2.3). A folyamatos monitorozás feladatainak végrehajtása, melynek keretében felülvizsgálja a szolgáltató szervezet biztonsági irányelvét, biztonsági szabályzatát és eljárásrendjét, rendszeres idıközönként (évente), vagy soron kívül, jelentıs szervezeti vagy mőszaki változások, illetve biztonsági esemény esetén (lásd 6.2.4) Az audit vezetıjének felelıssége Auditálási eljárásra csak olyan auditáló szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az audit eljárást az auditáló szervezet vezetıje által megbízott audit vezetı irányítja. Az audit vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, az auditáláshoz szükséges erıforrások meghatározásáva, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). Az auditálási eljárás végrehajtása (lásd 6.2.3). EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 18

19 Az értékelés vezetıjének felelıssége Értékelési eljárásra csak olyan értékelı szervezet jogosult, mely megfelel az informatikai biztonságért felelıs miniszter által megállapított, erre vonatkozó követelményeknek. Az értékelési eljárást az értékelı szervezet vezetıje által megbízott értékelés vezetı irányítja. Az értékelés vezetıjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, az értékeléshez szükséges erıforrások meghatározásával, valamint a biztonsági irányelv és biztonsági szabályzat elızetes vizsgálatával (lásd 6.2.2). Az értékelési eljárás végrehajtása (lásd 6.2.3) Az akkreditor felelıssége Az informatikai biztonsági felügyelı a Miniszterelnöki Hivatalt vezetı miniszter közvetlen irányítása alá tartozik. Tevékenysége kiterjed a szolgáltató szervezetekre is. Az [1] kormányrendeletben meghatározott biztonsági követelmények érvényesítése érdekében: folyamatosan figyelemmel kíséri az üzemeltetı és szolgáltató szervezetekkel kötött megállapodásokat; állást foglal a központi rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról; határidı tőzésével felhívja az érintett szervezetek vezetıit az eltérések felszámolására, ellenırzi a követelmények megvalósítását; jóváhagyja az üzemeltetı és szolgáltató szervezetek központi rendszerre vonatkozó biztonsági irányelveit, szabályzatait és eljárásrendjeit; ellenırzi a biztonságirányítási rendszer mőködtetésének megvalósítását; biztonsági kockázat, illetve a biztonsági irányelv, szabályzat vagy eljárásrend jóváhagyásának megtagadása esetén kezdeményezheti a szolgáltatás felfüggesztését a kockázat elhárításáig. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: Az elıkészületi feladatok támogatása, a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének felülvizsgálatával és elfogadásával (lásd 6.2.2). Az akkreditálás végrehajtása, az akkreditálási döntés meghozatala és indoklása (lásd 6.2.3). A biztonságra vonatkozó tájékoztató jelentések figyelemmel kísérése, szükség esetén kockázat elhárításra vonatkozó döntés meghozatala (lásd 6.2.4) A biztonsági akkreditálás lehetséges eredményei Az akkreditor az alábbi három lehetséges döntést hozhatja az auditálási és értékelési eljárások eredményein alapuló vizsgálatával: a mőködtetés (csatlakozás, vagy további mőködtetés) engedélyezése, a mőködtetés átmeneti (feltételes) engedélyezése, EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 19

20 a mőködtetés engedélyezésének visszautasítása. Az auditálási és értékelési eredmények vizsgálata a következıket foglalja magában: a szervezetre irányuló audit jelentés összefoglaló eredménye, valamint az ebben kifejtett, auditálás során feltárt nemmegfelelıségek. az informatikai rendszerre irányuló rendszer értékelési jelentés összefoglaló eredménye, valamint az értékelés során feltárt maradvány sebezhetıségek, a két jelentés egymást kiegészítı, egymásnak ellent nem mondó jellegének vizsgálata, a két jelentés eredményeit figyelembe vevı intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányulnak A csatlakozás vagy a további mőködés engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók, akkor engedélyezi a csatlakozást, vagy a további mőködést. Az ilyen (feltétel nélküli) engedélyezés is tartalmazhat a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére irányuló javaslatokat. Ezeket a javaslatokat a szolgáltató szervezet informatikai biztonsági felelısének ajánlott figyelembe vennie, amikor a biztonsági intézkedések hatékonyságának folyamatos monitorozását végzi. A (feltétel nélküli) engedélyezés érvényessége a következı újra akkreditálás idejéig (tipikusan 1 évre) szól, kivéve azt az esetet, amikor a biztonságot is érintı jelentıs szervezeti vagy mőszaki változtatásokra kerül sor A csatlakozás vagy a további mőködés ideiglenes (feltételes) engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok nem teljesen elfogadhatók ugyan, de jelentıs érdekek főzıdnek a szolgáltatás beindításához, vagy további mőködéséhez, akkor feltételesen engedélyezheti a csatlakozást, vagy a további mőködést. A feltételes engedélyezés akkor alkalmazható, ha az auditálási vagy az értékelési eljárás olyan kisebb hiányosságokat, sebezhetıségeket tár fel, melyek rövid idın belül kezelhetınek látszanak, s az intézkedési tervben is látszik a megoldás szándéka, iránya és idızítése. A feltételes engedélyezés esetén az akkreditor a szolgáltató szervezetet határidı kitőzésével a hiányosság megszüntetésére szólítja fel, a központi rendszerre csatlakozást, illetve a mőködés folytatásának engedélyezését feltételesen, egy átmeneti idıszakra adja meg. A feltételes engedélyezéssel az akkreditor korlátozhatja a szolgáltató rendszer tényleges mőködését is. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 20

21 Az ideiglenes (feltételes) engedélyezés érvényessége nem tarthat tovább három hónapnál, de indokolt esetben egyszer meghosszabbítható, legfeljebb további három hónapra. Amennyiben az ideiglenes (feltételes) engedélyezés érvényessége úgy jár le, hogy a feltárt hiányosságok korrigálására, a rendszerekben meglévı sebezhetıségek csökkentésére vagy kiküszöbölésére nem került sor, akkor a szolgáltatás mőködtetését le kell állítani további engedélyezéséig (amit soron kívüli audit és/vagy értékelési eljárás elız meg). Amennyiben az ideiglenes engedélyezés érvényességi idıszakán belül a hiányosságokat korrigálják, a sebezhetıségeket megfelelı mértékben csökkentik vagy kiküszöbölik, akkor a szolgáltatás mőködtetése teljes körően engedélyezhetı. Ilyen esetben a következı újra akkreditálás idıpontja a teljes körő engedélyezéstıl számolandó. A szolgáltató szervezet informatikai biztonsági felelıse által készített intézkedési terv felhasználásával az akkreditor nyomon követheti a hiányosságok korrigálásának, a sebezhetıségek csökkentésének vagy kiküszöbölésének folyamatát. Az ideiglenes engedélyezés folyamán bekövetkezı jelentısebb biztonsági állapot változásokat az informatikai biztonsági felelısnek haladéktalanul jelentenie kell az informatikai biztonsági felügyelınek A csatlakozás (további mőködés) engedélyezésének visszautasítása Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet mőködésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatok elfogadhatatlanok, akkor nem engedélyezi a csatlakozást, vagy a további mőködést. Az engedélyezés visszautasítása a csatlakoztatás elhalasztását, vagy a már szolgáltató rendszer mőködésének haladéktalan felfüggesztését jelenti. Az engedélyezés visszautasítása általában azt mutatja hogy nagyobb hiányosságok vannak a biztonsági intézkedésekben. Ilyen esetben az akkreditornak, vagy megbízottjának támogatást kell nyújtania az intézkedési terv szükséges módosításához A biztonsági akkreditálási folyamatot megalapozó dokumentumok A biztonsági akkreditálás folyamatát az alábbi dokumentumok alapozzák meg: a szolgáltató szervezet jóváhagyott biztonsági irányelve, a szolgáltató szervezet jóváhagyott biztonsági szabályzata, audit jelentés, rendszer értékelési jelentés, intézkedési terv. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 21

22 Jóváhagyott biztonsági irányelv A biztonsági irányelv a szolgáltató szervezet informatikai infrastruktúrájának teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia Jóváhagyott biztonsági szabályzat A biztonsági szabályzat a szolgáltató szervezet biztonsági intézkedései, azok dokumentálásának és ellenırzésének feladatait, a végrehajtás felelısét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. Elkészítését az informatikai biztonsági felelısnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelı) pedig még az auditálási és értékelési eljárások megkezdése elıtt jóvá kell hagynia Audit jelentés Az audit jelentés tartalmazza az auditálási eljárás során elvégzett szervezeti szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. BEVEZETÉS 1.1. A vizsgálat célja 1.2. Módszertan, tartalom, a vizsgálat határai 1.3. A vizsgálat ütemezése 1.4. A vizsgálat körülményei 1.5. Résztvevık (vizsgált szervezeti egységek) 2. A VÉDELMI IGÉNYEK FELTÁRÁSA 2.1. A társaság bemutatása 2.2 az informatikai rendszerekben kezelt fıbb adatkörök 2.3 a védelmi igények 3. FENYEGETETTSÉG-ELEMZÉS 3.1 a fenyegetett rendszerelemek feltárása 3.2. A fenyegetı tényezık meghatározása 4. KOCKÁZATELEMZÉS 4.1. A kárértékek átvitele a rendszerelemekre 4.2. A fenyegetések okozta károk gyakoriságának meghatározása 4.3. A fennálló kockázatok értékelése 5. KOCKÁZAT-KEZELÉS 5.1. A nem elviselhetı kockázatok 5.2. Az informatikai biztonsági intézkedések kidolgozásának szempontjai 5.3. Biztonsági intézkedések a kockázatok értékelése alapján 5.4. A társaság egészét érintı, globális intézkedési javaslatok 5.5. Akcióterv és költségbecslés a javasolt intézkedésekre 6. ÖSSZEFOGLALÓ EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 22

23 Rendszer értékelési jelentés A rendszer értékelési jelentés tartalmazza az értékelési eljárás során elvégzett technológiai szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. BEVEZETÉS 1.1 Azonosító adatok 1.2 Az értékelés mérföldkövei 1.3 Az értékelı adatai 2. A RENDSZER SZERKEZETI LEÍRÁSA 2.1 A szolgáltató rendszer fizikai hatóköre és határai 2.2 A szolgáltató rendszer logikai hatóköre és határai 2.3 A szolgáltató rendszer legfontosabb tulajdonságai 3. AZ ÉRTÉKELÉS JELLEMZÉSE 4. AZ ÉRTÉKELÉS EREDMÉNYEI 4.1 A rendszer biztonsági elıirányzat értékelése 4.2 A rendszer fejlesztés értékelése 4.3 A rendszer útmutató dokumentumok értékelése 4.4 A rendszer konfiguráció kezelés értékelése 4.5 A rendszer tesztelés értékelése 4.6 A rendszer sebezhetıség felmérés értékelése 5. KÖVETKEZTETÉSEK ÉS JAVASLATOK 5.1 Az értékelés összefoglaló eredménye 5.2 Feltételek 5.3 Javaslatok 6. AZ ÉRTÉKELÉSI BIZONYÍTÉKOK LISTÁJA 7. RÖVIDÍTÉSEK ÉS SZAKKIFEJEZÉSEK 8. ÉSZREVÉTELEZÉSI JELENTÉSEK Intézkedési terv Az intézkedési tervnek mindkét fenti jelentés eredményeit figyelembe véve az auditálás során feltárt hiányosságok korrigálására, illetve az értékelés során feltárt maradvány sebezhetıségek csökkentésére vagy kiküszöbölésére kell irányulnia. Konkrét biztonsági intézkedéseket kell felvázolnia, határidıkkel és felelısökkel. Elkészítését az informatikai biztonsági felelısnek kell biztosítania A folyamatos monitorozás A biztonsági akkreditálás folyamatának kritikus szakasza az akkreditálás utáni idıszak, mely a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését igényli. Egy hatékony folyamatos monitorozáshoz az alábbiakra van szükség: konfiguráció kezelési eljárások, a biztonsági intézkedések folyamatos monitorozása, a monitorozás eredményeinek dokumentálása és jelentése. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 23

24 Konfiguráció kezelési eljárások Az informatikai rendszerek tipikusan folyamatosan változnak, a hardver, szoftver és förmver elemek cserélıdnek, és a mőködtetı környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelı és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. Ennek alapján a szolgáltató szervezet naprakész információival rendelkezhet a szolgáltatás nyújtásához szükséges informatikai infrastruktúráról, valamint a rendszer elemeinek logikai kapcsolatairól A biztonsági intézkedések folyamatos monitorozása A gyakorlatban megvalósíthatatlan vagy nagyon nem költség-hatékony az informatikai rendszerek összes biztonsági intézkedésének folyamatos nyomon követése. Ezért az informatika biztonsági felelısnek ki kell választania a legfontosabbnak ítélt biztonsági intézkedéseket, s meg kel határoznia ezek ellenırzési módját és gyakoriságát A monitorozás eredményeinek dokumentálása és jelentése A kiválasztott biztonsági intézkedések folyamatos monitorozásának eredményeit dokumentálni kell, illetve a szervezet vezetıjét rendszeres idınként jelentésben kell tájékoztatni ezekrıl A biztonsági akkreditálás folyamata A biztonsági akkreditálási folyamat szakaszai és fı tevékenységei Az 1. ábra áttekinti a biztonsági akkreditálás folyamatát és fı tevékenységeit. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 24

25 Elıkészületi szakasz Elıkészítés Értesítés és a szükséges erıforrások meghatározása A biztonsági irányelv és a biztonsági szabályzat vizsgálata, elfogadása A szervezet auditálása Audit jelentés Auditálási és értékelési szakasz Az informatikai rendszer értékelése Rendszer értékelési jelentés Intézkedési terv Akkreditálási szakasz Döntés a biztonsági akkreditálásról A döntés indoklása Folyamatos monitorozási szakasz Konfiguráció kezelés A biztonsági intézkedések folyamatos monitorozása A biztonsági állapot jelentése és dokumentálása 1. ábra A biztonsági akkreditálás folyamatának áttekintése Az elıkészületi szakasz Ez a szakasz az alábbi feladatokból áll: elıkészítés, erıforrás tervezés, a biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása. A 2. ábra az elıkészületi szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 25

26 Újraindítás a folyamatos monitorozási szakaszt követıen Elıkészületi szakasz Elıkészítés Biztonsági irányelv tervezet Biztonsági szabályzat tervezet Erıforrás tervezés Biztonsági irányelv és biztonsági szabályzat vizsgálata nem igen Elfogadva? Jóváhagyott biztonsági irányelv Jóváhagyott biztonsági szabályzat Átlépés az auditálási és értékelési szakaszba Átadás az auditálási és értékelési szakasz részére 2. ábra Az elıkészületi szakasz folyamata Az elıkészületi szakasz célja, hogy az akkreditor és a szolgáltató szervezet informatikai biztonsági felelıse egyetértenek a biztonsági irányelvek és a biztonsági szabályzat tartalmában, még mielıtt az auditálási és értékelési eljárások megkezdenék az informatikai rendszer biztonsági intézkedéseinek a vizsgálatát. Az akkreditor és a szolgáltató szervezet felelıs vezetıinek korai bevonása kulcsfontosságú tényezı a biztonsági akkreditálás sikerének. Az elıkészületi szakaszhoz szükséges információk jelentıs részét a szolgáltató szervezet már korábban megszerezte (a kezdeti kockázatbecslési folyamattal, a biztonsági irányelv és biztonsági szabályzat kidolgozásával, valamint saját esetleges belsı auditálásával). Az elıkészületi szakasz annak megerısítését szolgálja, hogy a biztonsági irányelv és a biztonsági szabályzat elkészítése befejezıdött feladat: elıkészítés Az elıkészítés feladat célja, hogy felkészítsen a további feladatokra azáltal, hogy áttekinti a biztonsági irányelvet és a biztonsági szabályzatot, és megerısíti, hogy ezek összhangban vannak a kezdeti kockázatbecslési folyamat eredményeivel. 1.1 feladat Az informatikai rendszer leírása Elvégendı feladat: Annak megerısítése, hogy a szolgáltató informatikai rendszert megfelelı módon leírták a biztonsági irányelvben, a biztonsági szabályzatban, illetve az ezekbıl EKK_ekozig_utmutato_akkreditoroknak_080919_V1.docx 26