KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Átírás

1 KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-3. kötet Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) 1.0 verzió június

2 Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Muha Lajos PhD, CISM K ö z r e mőködött: Balázs István CSc, Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Nyíry Géza CSc, CISM, Sneé Péter, Váncsa Julianna PhD. Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonság Irányítási Követelményrendszer

3 TARTALOMJEGYZÉK ELİSZÓ AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FOLYAMATAINAK VIZSGÁLATA AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER LÉTESÍTÉSÉNEK VIZSGÁLATA Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata Informatikai Biztonságpolitika hatáskörének vizsgálata Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata Kockázatkezelési eljárás megfelelıségének vizsgálata Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata Az elviselhetı kockázatok meghatározásának vizsgálata A kockázatok azonosítására használt eljárások vizsgálata Kockázatelemzési módszer használatának vizsgálata A kockázatkezelési lehetıségek azonosítása, kiértékelése A kockázatkezelési intézkedés tárgyának és céljának kiválasztása Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata A maradék kockázat elfogadásának és az IBIR megvalósításának vizsgálata AZ INFORMATIKAI BIZTONSÁG IRÁNYÍTÁSI RENDSZER MEGVALÓSÍTÁSA ÉS ÜZEMELTETÉSE Informatikai biztonsági képzések vizsgálata Az üzemeltetést támogató IBIR módszerek, eljárások vizsgálata Az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások vizsgálata Biztonsági eseménykezelı módszerek, eljárások meglétének vizsgálata INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER ELLENİRZÉSE ÉS FELÜLVIZSGÁLATA Az IBIR hatékonyságát folyamatosan felülvizsgáló eljárások meglétének vizsgálata A maradék kockázati szintek szervezeti felülvizsgálatának elemzése Idıszakosan tervezett és lefolytatott IBIR vizsgálatok meglétének vizsgálata IBIR szabályozási tevékenységének felülvizsgálatára megvalósított eljárások megléte...27 Magyar Informatikai Biztonság Irányítási Követelményrendszer 3

4 Az IBIR idıszakos hatékonysági vizsgálata INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE ÉS KARBANTARTÁSA DOKUMENTÁCIÓ KÖVETELMÉNYEI A dokumentumok kezelése Okmányok, jegyzıkönyvek kezelése Vezetıi felelısség Erıforrások kezelése Felelısségi körök megállapításának a vizsgálata A felhasználói felelısség és tudatosság vizsgálata AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER VEZETİI FELÜLVIZSGÁLATA Általános követelmények vizsgálata A bemeneti adatok felülvizsgálata A kimeneti adatok felülvizsgálata Az Informatikai Biztonsági Irányítási Rendszer belsı ellenırzése AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE Javító intézkedések végrehajtásának vizsgálata Megelızı tevékenységek vizsgálata BIZTONSÁGI INTÉZKEDÉSEK VIZSGÁLATA BIZTONSÁGPOLITIKA Az informatikai biztonság dokumentumai Az informatikai biztonságpolitika Az informatikai Biztonsági Szabályzat Felülvizsgálat és fejlesztés SZERVEZETI BIZTONSÁG Az informatikai biztonság belsı szervezeti struktúrája Vezetıi elkötelezettség Az informatikai biztonság és a szerveti struktúra összehangolása Az informatikai biztonsági feladatok megosztása Az adatfeldolgozás engedélyezési eljárásai Titoktartási nyilatkozatok Együttmőködés külsı szervezetekkel, hatóságokkal Együttmőködés különféle szakmai és információvédelmi szervezetekkel Az informatikai biztonság független felülvizsgálata Informatikai biztonsági tanácsadás Elıírások a külsı személyek által történı hozzáférésekkel kapcsolatban A külsı személyek által történı hozzáférések kockázatai Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben Vállalkozásba adás Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE Számadási kötelezettségek az eszközökkel kapcsolatban Eszköz- és vagyonleltár Az adatok biztonsági osztályozása Magyar Informatikai Biztonság Irányítási Követelményrendszer

5 Az osztályozás irányelvei Az adatok minısítése, címkézése és kezelése SZEMÉLYI BIZTONSÁG Az alkalmazás elıtt Informatikai biztonság a felvételnél és a munkaköri leírásokban A személyzet biztonsági átvilágítása és a személyzeti politika A foglalkoztatás feltételei Az alkalmazás alatt Az informatikai biztonsági oktatás és képzés Fegyelmi eljárás FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG Biztonsági szegmensek Biztonsági határok Beléptetési intézkedések Létesítmények és helyiségek biztonsága Munkavégzés a biztonsági szegmensekben A kiszolgáló területek és raktárak biztonsági elkülönítése A berendezések fizikai védelme A mőszaki berendezések elhelyezése és védelme Energiaellátás A kábelezés biztonsága A berendezések karbantartása A telephelyen kívüli berendezések védelme A berendezések biztonságos tárolása és újrafelhasználása SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE Üzemeltetési eljárások és felelısségek Az üzemeltetési eljárások dokumentációja Változásmenedzsment A feladatkörök elhatárolása A fejlesztési és az üzemeltetési feladatok szétválasztása Külsı létesítmények üzemeltetése Informatikai rendszerek tervezése és átvétele Kapacitástervezés A rendszer átvétele Védelem rosszindulatú programok ellen A rosszindulatú programokat ellenırzı eszközök Hálózatmenedzsment Hálózatbiztonsági intézkedések Hálózati szolgáltatások biztonsága Az adathordozók biztonságos kezelése Hordozható adathordozók kezelése Az adathordozók tárolása Adatkezelési eljárások A rendszerdokumentációk biztonsága Adatok és programok cseréje Megállapodások az adatok és programok cseréjérıl Adathordozók szállítása Az elektronikus levelezés biztonsága Biztonsági kockázatok Az elektronikus levelezés irányelvei Üzleti információs rendszerek Az elektronikus kereskedelem biztonsága...87 Magyar Informatikai Biztonság Irányítási Követelményrendszer 5

6 Nyilvános rendszerek biztonsága A biztonsági megfigyelı rendszer használata Biztonsági események naplózása A rendszerhasználat megfigyelése Kockázati tényezık Az eseménynaplózás értékelése Rendszerórák szinkronizálása HOZZÁFÉRÉS MENEDZSMENT A hozzáférés ellenırzés üzleti követelményei A hozzáférés ellenırzés szabályai Hozzáférés ellenırzési szabályzat A felhasználói hozzáférés menedzsmentje A felhasználó regisztrációja A jogosultságok kezelése A felhasználói jelszavak kezelése A felhasználó hozzáférési jogosultságainak ellenırzése A felhasználó feladatai, felelısségei Jelszó használat Felügyelet nélküli berendezések A hálózati szintő hozzáférések menedzsmentje A hálózati szolgáltatások használatának irányelvei Kötelezı hozzáférési útvonal Felhasználó azonosítás és hitelesítés távoli kapcsolatnál Hálózati eszközök, munkaállomások azonosítása és hitelesítése A távdiagnosztikai portok védelme A hálózatok biztonsági szegmentálása A hálózatra történı csatlakozások ellenırzése A hálózati útvonal kiválasztások ellenırzése Az operációs rendszer szintő hozzáférések ellenırzése Biztonságos hitelesítési, bejelentkezési eljárások Munkaállomások automatikus azonosítása, hitelesítése Biztonságos bejelentkezési eljárások A felhasználó azonosítása, hitelesítése Jelszómenedzsment rendszer Rendszer segédprogramok használata Kapcsolati idıtúllépés Kapcsolati idıkorlátozás Támadás-riasztás Alkalmazás szintő hozzáférések vezérlése Az adatelérés szabályozása Érzékeny adatokat kezelı rendszer elkülönítése Mobil informatikai tevékenység, távmunka Mobil informatikai tevékenység A távmunka AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA Az informatikai rendszerek informatikai biztonsági követelményei A biztonsági követelmények elemzése és meghatározása Biztonság az alkalmazói rendszerekben A bemenı adatok hitelesítése Az adatfeldolgozás ellenırzése Veszélyeztetett területek Vezérlı és ellenırzı eljárások Magyar Informatikai Biztonság Irányítási Követelményrendszer

7 Az üzenetek hitelesítése A kimenı adatok hitelesítése Kriptográfiai eszközök A kriptográfiai eszközök alkalmazásának irányelvei Rejtjelzés Elektronikus aláírás Szolgáltatások a le nem tagadhatóság érdekében Kulcsmenedzsment A kriptográfiai kulcsok védelme Szabványok, eljárások, módszerek Rendszerállományok védelme Az operációs rendszer ellenırzése A rendszervizsgálati (teszt) adatok védelme A program forráskönyvtárhoz való hozzáférés ellenırzése Informatikai biztonság a fejlesztési és a karbantartási folyamatokban Változásmenedzsment Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések A szoftvercsomagok megváltoztatásának korlátozása A rendszerinformációk kiszivárgásának megakadályozása A programfejlesztés kihelyezése AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE Biztonsági események és biztonsági rések jelentése A biztonsági események jelentése Biztonsági rések, gyenge pontok jelentése Programhibák jelentése Okulás az informatikai biztonsági incidensekbıl Bizonyítékok győjtése, védelme A bizonyítékok minısége és hiánytalan volta ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT Az üzletmenet-folytonosság menedzsment informatikai biztonsági szempontjai Az informatikai biztonsági szempontok érvényesítése az üzletmenetfolytonosság irányításában Az üzletmenet-folytonossági terv kidolgozása Az üzletmenet-folytonosság tervezési keretrendszere Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A BELSİ BIZTONSÁGI SZABÁLYZATOKNAK A jogszabályi elıírások betartása A vonatkozó jogszabályok behatárolása Szerzıi jogok Szoftver szerzıi jogok A szervezet adatainak biztonsága Személyes adatok védelme Az adatvédelmi eszközökkel elkövethetı visszaélések megelızése A kriptográfiai eszközök kezelésének szabályozása Az informatikai biztonságpolitikának és a mőszaki követelményeknek való megfelelés Az informatikai biztonsági elıírásoknak való megfelelés A mőszaki követelményeknek való megfelelés Az informatikai rendszerek biztonsági ellenırzésének szempontjai 152 Magyar Informatikai Biztonság Irányítási Követelményrendszer 7

8 Rendszerauditálási intézkedések Rendszerauditáló eszközök védelme AZ INFORMATIKAI RENDSZER BIZTONSÁGÁNAK VIZSGÁLATA (KOCKÁZATELEMZÉS) INFORMÁLIS KOCKÁZATELEMZÉS (KOCKÁZATBECSLÉS), KOCKÁZATKEZELÉS VEZETİI ÖSSZEFOGLALÓ BEVEZETÉS A kockázatkezelés fogalma és célja Jelen módszertani útmutató célja és hatóköre A módszertani útmutató felépítése A KOCKÁZATKEZELÉS ÁTTEKINTÉSE A kockázatkezelés fontossága A kockázatkezelés beépítése a rendszerek életciklusába Fontosabb szerepkörök KOCKÁZATBECSLÉS lépés - A rendszer leírása A VESZÉLYTÉNYEZİK FELTÁRÁSA lépés - A veszélyforrások meghatározása lépés - A sebezhetıségek meghatározása lépés - Az óvintézkedések elemzése lépés A valószínőségek meghatározása lépés - Hatáselemzés lépés - A kockázati szint meghatározása lépés Javaslat óvintézkedésekre lépés Az eredmények dokumentálása Kockázatbecslés a rendszer életciklusa során A KOCKÁZATOK CSÖKKENTÉSE A kockázatcsökkentés megközelítési módjai A kockázatcsökkentés áttekintése Az óvintézkedések megvalósítása Költség-haszon elemzés Maradványkockázat Kockázatcsökkentés a rendszer életciklusa során ÉRTÉKELÉS ÉS FELÜLVIZSGÁLAT AZ ELEKTRONIKUS KÖZIGAZGATÁSI SZOLGÁLTATÁSOKAT MEGALAPOZÓ INFORMÁCIÓK ÉS INFORMATIKAI CÉLRENDSZEREK BIZTONSÁGI KATEGORIZÁLÁSA Biztonsági célok és kihatás szintek Információ típusok biztonsági kategorizálása Informatikai rendszerek biztonsági kategorizálása TERMINOLÓGIA RÉSZLETES KOCKÁZATELEMZÉS A módszertan szakaszainak és lépéseinek részletes leírása I. szakasz: a védelmi igény feltárása lépés: Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése lépés: Az informatika-alkalmazások és a feldolgozandó adatkörök érzékenységi értékeinek meghatározása II. szakasz: fenyegetettség elemzés lépés: A fenyegetett rendszerelemek feltérképezése lépés: Az alapfenyegetettség meghatározása Magyar Informatikai Biztonság Irányítási Követelményrendszer

9 5. lépés: A fenyegetı tényezık meghatározása III. szakasz: kockázatelemzés lépés: A károk értékeinek meghatározása lépés: Az alapfenyegettségek okozta károk gyakoriságának meghatározása lépés: A fennálló kockázatok meghatározása és leírása IV. szakasz: kockázatmenedzselés lépés: Az intézkedések kiválasztása lépés: Az intézkedések értékelése lépés: A költség/haszon arány elemzése lépés: A maradványkockázat elemzése lépés: Akcióterv kidolgozása Az informatikai biztonsági vizsgálati dokumentum tartalmi felépítése Segédletek Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései Kárkövetkezmények és azok értékelési rendszere Az informatikai rendszer elemeinek csoportosítása Gyenge pontok Fenyegetések Kockázat minısítési segédletek Magyar Informatikai Biztonság Irányítási Követelményrendszer 9

10 Elıszó Az információ az innováció legfontosabb forrásává vált, jelentıs részét képezve a különbözı szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlıdésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. Ehhez a folyamathoz kapcsolódóan a szervezeti szintő informatikai biztonság létrehozása és mőködtetése támogatására a Közigazgatási Informatikai Bizottság kiadta a Magyar Informatikai Biztonsági Ajánlások Magyar Informatikai Biztonság Irányítási Keretrendszer részét képzı Informatikai Biztonság Irányítási Rendszer (IBIR) és az Informatikai Rendszerek Irányítási Követelmények (IBIK) címő dokumentumokat. Az IBIR és az IBIK elsısorban az ISO/IEC szabványsorozatra épül, amelyet a világ és különösen az Európai Unió mind több országában fogadnák el a különbözı szervezetek informatikai biztonságmenedzsmentjük alapelveként. A szervezetek vezetése és belsı ellenırzı szervezetei által végrehajtott ellenırzések mellett a nemzetközi és a hazai gyakorlatban is egyre jobban terjed megfelelı felkészülés után a -ISO/IEC szabványnak való megfelelést bizonyító audit elvégzése. Az Informatikai Biztonsági Irányítási Rendszer (IBIR) egy általános irányítási rendszer, amely megvalósítja, üzemelteti, ellenırzi, karbantartja és javítja a szervezet informatikai biztonságát. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelısségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erıforrásokat. Az informatikai biztonság kezelésének hatékonyabbá tétele érdekében szükség van a követelmények és feladatok szakmailag egységes kezelésére, amely bizalmat teremthet a különbözı szervezetek között az informatikai rendszerek biztonságát illetıen. A szervezeti szintő informatikai biztonság követelményei, az IBIK az ISO/IEC 27002:2005 és az ISO/IEC TR nemzetközi szabványok, továbbá a NATO 1 és az Európai Unió 2 releváns szabályozásai figyelembe vételével készültek. 1 (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49 2 Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) 10 Magyar Informatikai Biztonság Irányítási Követelményrendszer

11 Az informatikai biztonsági rendszer kialakításának legjobb gyakorlatán túl elsısorban a menedzsment részére azt is meg kell határozni, hogy melyek azok a feltételek, követelmények, amelyeket teljesíteni kell a szabványnak való megfeleléshez. Ezek alapján egy belsı auditor vagy külsı tanúsító egyértelmően el tudja dönteni, hogy az adott szervezet informatikai biztonsági rendszere megfelel-e a szabványnak vagy sem. Ez a módszertan részletes elıírásokat ad az informatikai biztonság irányításának vizsgálatához és tanúsításához a vizsgálatot végzıknek és az arra felkészülıknek egyaránt. Az Informatikai Biztonság Irányítási Rendszer folyamatainak vizsgálata (1. rész) és a biztonsági intézkedések vizsgálata (2. rész) lefedi az ISO/IEC szabvány szerinti tanúsításhoz szükséges vizsgálati eljárás (audit) során vizsgálandó kérdéseket. A kockázatelemzéshez, kockázatkezeléshez két módszertan kerül bemutatásra. Az elsı eljárásrend a NIST SP és a FIPS dokumentumokon alapuló módszertan. Ez a módszertan viszonylag egyszerő, kis idı- és erıforrás igényő kockázatbecslést tesz lehetıvé. A másik bemutatott eljárásrend egy CRAMM 5 alapú módszertan, amely MeH ITB 8. számú ajánlása (Informatikai biztonsági módszertani kézikönyv) alapján, annak aktualizálásával készült kockázatelemzési módszertan. A CRAMM módszertan egy részletes, az egyes fenyegetések kockázatait feltáró eljárás, azonban idı- és erıforrás igénye nagy ezért költséges. 3 NIST Special Publication , Risk Management Guide, 2001 Kockázatkezelési Útmutató. NIST National Institute of Standard and Technology, USA 4 FIPS 199 Standards for Security Categorization of Federal Information and Information Systems, FIPS Federal Information Processing Standards Publication, USA 5 CCTA Risk Analysis and Management Method CCTA Kockázatelemzési és Kezelési Módszertan. CCTA Central Computer and Telecommunications Agency (Központi Számítógép és Távközlési Ügynökség) Magyar Informatikai Biztonság Irányítási Követelményrendszer 11

12 1. Az Informatikai Biztonsági Irányítási Rendszer folyamatainak vizsgálata 1.1. Az Informatikai Biztonsági Irányítási Rendszer létesítésének vizsgálata A vizsgálat lefedi az Informatikai Biztonság Irányítási Rendszer (IBIR) folyamatait. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az informatikai biztonság hatékony irányítását egy folytonos fejlesztési programon keresztül. Ez az ún. PDCA modell: Plan / Tervezés (Informatikai Biztonság Irányítási Rendszer tervezése). Do / Végrehajtás (Informatikai Biztonság Irányítási Rendszer kialakítása). Check / Ellenırzés (Informatikai Biztonság Irányítási Rendszer ellenırzése). Act / Beavatkozás (Informatikai Biztonság Irányítási Rendszer karbantartása) Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata 1) Meg kell vizsgálni, hogy van-e olyan dokumentum a szervezetnél, amelyik egyértelmően leírja Informatikai Biztonsági Irányítási Rendszer mőködési körét. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Megfelel a követelménynek: Ha van ilyen dokumentum. Részben megfelel a követelménynek: Ha van olyan dokumentum mely részben megfelel a követelménynek. (A helyzet akkor fordulhat elı, amikor már létezik ez a dokumentum, de nincs frissítve és tartalma eltér a jelenlegi állapottól. Ilyen esetben a vizsgálónak meg kell indokolnia, hogy a dokumentum mely részei nem felelnek meg a valóságnak.) Nem felel meg a követelménynek: Ha nincs ilyen dokumentum. 12 Magyar Informatikai Biztonság Irányítási Követelményrendszer

13 Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata 1) Meg kell vizsgálni Informatikai Biztonság Irányítási Rendszer (IBIR) feladatkörének kiterjedését, különös tekintettel azokra a biztonsági feladatokra melyek nem tartoznak bele az IBIR feladatkörébe, vagy nem meghatározottak, vagy nem dokumentáltak. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések a kérdéses feladatkörben ténykedı vezetıkkel és a munkatársakkal. 4) Annak megállapítása, hogy vannak-e jelentıs kivételek melyek nem tartoznak bele Informatikai Biztonság Irányítási Rendszer feladatkörébe és hogy van-e erre egyértelmő magyarázat. Megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált és dokumentált valamint az IBIR feladatkörébe van sorolva. Részben megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált, de csak részben dokumentált és az IBIR feladatkörébe van sorolva. (Ha a szervezet a vizsgálat végéig pótolni tudja a hiányosságokat.) Nem felel meg a követelménynek: Ha van olyan informatikai biztonsági feladat, amely kívül esik az IBIR feladat és hatáskörén, vagy ha az adott feladat egyáltalán nem definiált, vagy meg van határozva, de nem az IBIR feladatköréhez tartozik Informatikai Biztonságpolitika hatáskörének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika hatáskörének vizsgálata 1) Üzletágak, tevékenységi körök feltérképezése, vizsgálata: meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás. 2) Meg kell vizsgálni, hogy a szervezetnél hatályban lévı Informatikai Biztonságpolitika Magyar Informatikai Biztonság Irányítási Követelményrendszer 13

14 naprakészségét, illetve azt, hogy lefedi-e az összes üzleti tevékenységet. 3) Szabályzatok, dokumentációk begyőjtése, elemzése. 4) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a teljes tevékenységi kört, és minden tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység. Részben megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a legfontosabb tevékenységet, de csak a legfontosabb tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység definiálva. Nem felel meg a követelménynek: Ha nincs Informatikai Biztonságpolitika, és a különféle tevékenységi területek informatikai biztonsága szabályozatlan Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata 1) Meg kell vizsgálni, hogy szolgátat-e a biztonságpolitika egy kijelölt útirányt, keretrendszert az informatikai biztonsági tevékenységhez. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Az egyes szervezeti egységek és azok különféle tevékenységi köreinek feltérképezése, vizsgálata. Meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás és hogy a biztonságpolitikában megfogalmazott biztonsági irányelvek használhatóak-e helyben is. Megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági 14 Magyar Informatikai Biztonság Irányítási Követelményrendszer

15 irányelvek az adott tevékenység informatikai biztonságának kialakításához felhasználhatóak, pénzügyi erıforrásokkal támogatottak. Részben megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági irányelvek az adott tevékenység informatikai biztonságának kialakításához felhasználhatóak, pénzügyi erıforrásokkal támogatottak de csak részben fedik le a tevékenységi kört, vagy olyan intézkedéseket fogalmaznak meg, hatékonyan nem valósíthatók meg, vagy nem kockázatarányosak. Nem felel meg a követelménynek: Ha a biztonságpolitikában megfogalmazott irányelvek: o elavultak; o rossz hatásfokuk miatt nem tarthatóak be (pl. túlzottan lelassítják az üzleti tevékenységet); o nincs meg az intézkedésekhez szükséges erıforrás Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata 1) A vizsgálónak meg kell gyızıdnie arról, hogy a biztonsági irányelvek figyelembe veszik az üzleti, törvényi, jogszabályi és a szerzıdésekkel kapcsolatos biztonsági követelményeket. 2) Hatályos jogszabályok, törvények feltérképezése. 3) A szervezet már elkészült szerzıdéseinek, szerzıdésmintáinak a biztonsági irányelveknek és a jogszabályoknak való megfelelési vizsgálata. 4) Az üzleti tevékenységek biztonsági irányelveknek és jogszabályoknak való megfelelési vizsgálata. 5) A szabályozási irányelvek, tevékenységek jogszabályi való megfelelésének vizsgálata. Megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak és a szerzıdésekkel kapcsolatos biztonsági követelményeknek. Magyar Informatikai Biztonság Irányítási Követelményrendszer 15

16 Részben megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak, de nem felelnek meg a szabályozási és a szerzıdésekkel kapcsolatos biztonsági követelményeknek. Nem felel meg a követelménynek: Ha a biztonsági irányelvek nem felelnek meg a tárgyban megfogalmazott feltételeknek Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata Vizsgálat tárgya: A informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata 1) Meg kell vizsgálni, hogy az informatikai biztonságpolitikát jóváhagyta-e a menedzsment. 2) Szabályzatok, dokumentumok begyőjtése, elemzése. 3) Személyes beszélgetések a vezetıkkel. Megfelel a követelménynek: Ha az informatikai biztonságpolitikát jóváhagyta a menedzsment. Részben megfelel a követelménynek: Ha az informatikai biztonságpolitikának csak bizonyos részeit, vagy csak a fontosabb üzleti területekre vonatkozó részeit fogadta el a vezetés. Nem felel meg a követelménynek: Ha az informatikai biztonságpolitikát nem hagyta jóvá a menedzsment. 16 Magyar Informatikai Biztonság Irányítási Követelményrendszer

17 Kockázatkezelési eljárás megfelelıségének vizsgálata Vizsgálat tárgya: Kockázatkezelési eljárás megfelelıségének vizsgálata 1) A vizsgálónak meg kell gyızıdnie arról, hogy van-e olyan elıre definiált kockázatkezelési eljárás, ami megfelel az Informatikai Biztonság Irányítási Rendszernek és az azonosított üzleti informatikai biztonsági, törvényi és szabályozási követelményeknek. 2) Olyan tanulmányok, dokumentumok keresése melyek elıírják a szervezeten belül alkalmazandó kockázatelemzési és kezelési elveket. Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha az IBIR-ben nincs meghatározott kockázatkezelési eljárás Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata Vizsgálat tárgya: A IBIR kockázat kezelési, csökkentési céljainak vizsgálata 1) A vizsgálónak meg kell vizsgálnia, hogy vannak-e olyan céljai és szabályai az Informatikai Biztonság Irányítási Rendszernek, melyek elviselhetı szintre csökkentik a kockázatokat. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Megfelel a követelménynek: Ha a vizsgálat szempontjaiban meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha nem léteznek a kockázatcsökkentı szabályok és célok az informatikai biztonságpolitkában és /vagy az IBIR-ben. Magyar Informatikai Biztonság Irányítási Követelményrendszer 17

18 Az elviselhetı kockázatok meghatározásának vizsgálata Vizsgálat tárgya: Az elviselhetı kockázatok meghatározásának vizsgálata 1) Meg kell vizsgálni, hogy van-e olyan kritérium, amely meghatározza az elviselhetı (elfogadható) kockázatokat és hogy vannak-e elfogadható szintő kockázatok meghatározva, melyek ezen a kritériumon alapulnak. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Megfelel a követelménynek: Ha van megfelelı kritérium és meg vannak határozva az elfogadható szintő kockázatok. Nem felel meg a követelménynek: Ha nincs megfelelı kritérium és nincsenek meghatározva az elfogadható szintő kockázatok A kockázatok azonosítására használt eljárások vizsgálata Vizsgálat tárgya: A kockázatok azonosítására használt eljárások létezésének vizsgálata 1) Meg kell vizsgálni, hogy a szervezetnél létezik-e helyénvaló eljárás a kockázatok azonosítására. Megfelel a követelménynek: Ha létezik kockázatazonosító eljárás. Nem felel meg a követelménynek: Ha nem áll rendelkezésre kockázatok azonosítására használható eljárás Kockázatelemzési módszer használatának vizsgálata Vizsgálat tárgya: Annak megállapítása, hogy használnak-e a szervezetnél valamilyen kockázatelemzési módszert. 1) Ez a módszer elemzi a biztonsági hibákból, a bizalmasság, sérthetetlenség, és 18 Magyar Informatikai Biztonság Irányítási Követelményrendszer

19 rendelkezésre állás elvesztésébıl származó üzleti károkat? 2) Ez a módszer elemzi (megbecsüli) a bekövetkezési valószínőségét az olyan biztonsági események elıfordulásának, melyek az Informatikai Biztonság Irányítási Rendszer értékeit fenyegetik? 3) Ez a módszer megbecsüli a kockázat szintjeit? 4) Ez a módszer meghatározza, hogy elfogadható-e (felvállalható-e) ez a kockázat vagy igényel-e valamilyen kezelési módot, ill. használnak-e más olyan kritériumot, amely meghatározza, hogy elviselhetı-e ez a kockázat? Megfelel a követelménynek: Ha vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha nem használnak kockázatelemzési módszert A kockázatkezelési lehetıségek azonosítása, kiértékelése Vizsgálat tárgya: A kockázatkezelési lehetıségek azonosítása, kiértékelése 1) A vizsgálónak meg kell állapítania, hogy használnak-e a szervezeten belül valamilyen módszert a kockázatok azonosítására, kiértékelésére és kezelésére. Ez a módszer figyelembe veszi a következı lehetıségeket: a) alkalmaz intézkedéseket a kockázatok kezelésére? b) tárgyilagosan elfogadja a kockázatokat, kielégíti a biztonsági szabályzatban definiált kockázat elfogadási ismérveket? c) Megoldja a kockázatok kikerülését? d) Átruházza a kockázatokat a biztosítókra vagy a szállítókra? Megfelel a követelménynek: Ha létezik és használatban van a vizsgálati szempontoknak megfelelı módszertan. Nem felel meg a követelménynek: Ha nem létezik és/vagy nincs használtban a Magyar Informatikai Biztonság Irányítási Követelményrendszer 19

20 vizsgálati szempontoknak megfelelı módszertan. Az informatikai biztonság irányításának vizsgálata A kockázatkezelési intézkedés tárgyának és céljának kiválasztása Vizsgálat tárgya: Megtörténik-e a kockázatkezelési intézkedés tárgyának és céljának kiválasztása 1) Használnak a szervezeten belül valamilyen módszert a kockázatkezelési intézkedések kiválasztására? 2) Biztosítja igazoltan ez a módszer, hogy az intézkedések kiválasztása kockázat elemzésen és kezelésen alapul? Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek nem teljesülnek Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata Vizsgálat tárgya: Az alkalmazhatósági nyilatkozat megléte és helyessége 1) A szervezeten belül van-e használnak-e alkalmazhatósági nyilatkozatot? 2) Az alkalmazhatósági nyilatkozat igazolja a a kockázatkezelési intézkedések kiválasztásáráról hozott döntéseket? Megfelel a követelménynek: Amennyiben mindkét vizsgálati szempontra igen a válasz. Nem felel meg a követelménynek: Amennyiben az egyik vizsgálati szempontra nem a válasz 20 Magyar Informatikai Biztonság Irányítási Követelményrendszer