Útmutató az informatikai biztonság megvalósítására önkormányzatok számára

Átírás

1 Útmutató az informatikai biztonság megvalósítására önkormányzatok számára Készült az Informatikai és Hírközlési Minisztérium megbízásából Standard-Média Bt március

2 Az útmutató elkészítésében részt vettek Szigeti Szabolcs (szerk) Krasznay Csaba Kremser Csaba (grafika) Muha Lajos Rigó Ernő További közreműködők: Kincses Zoltán Dr. Szigeti Marcell Köszönetünket fejezzük ki az Informatikai és Hírközlési Minisztérium munkatársainak, Németh J. Andrásnak és Sikolya Zsoltnak az útmutató elkészítésében nyújtott értékes segítségükért. Dok id: IHM-2005-ITSEC-1 Verzió: 1.0 Rev: d Kibocsátva: március 15. Szerkesztő: Szigeti Szabolcs

3 Tartalom 1 Vezetői összefoglaló Bevezetés A dokumentum célja A dokumentum célközönsége A dokumentum szerkezete Információbiztonság informatikai biztonság Védelmi intézkedések Informatikai biztonság Követelmények a közigazgatás számára Alapvető elvek Helyzetfelmérés Kockázatelemzés Védelmi intézkedések Szabályzatok Az emberi tényező Jelszavak Adathalászat Jellegzetes informatikai architektúrák és rendszerek önkormányzatoknál Rendszerek beállításai Windows Biztonsági beállítások Linux A Linux egy Windows-felhasználó szemével A Linux rendszer főbb komponensei Általános felhasználási tanácsok a Linux rendszerhez A Linux rendszerek alapvető beállításai A Linux hálózati tűzfala Csomagkezelés Hálózati kiszolgálók beállításai Honnan tudhatom, hogy feltörték? Tűzfalak A tűzfalak típusai Jellegzetes tűzfal architektúrák Címfordítás VPN Tipikus tűzfal beállítások Kártékony kódok Levelezés Titkosítás Vezetéknélküli hálózatok Fogalmak Veszélyek Biztonsági megoldások Lényeges tennivalók I

4 Példa a beállításokra Access Point beállítása Kliensek beállítása Bluetooth biztonság Hordozható eszközök Üzemeltetés Mentés Frissítések Selejtezés Vészhelyzetek További károk megelőzése Hasonló esetek megelőzése Normál üzem visszaállítása Nyomozás A szabályozási környezet által támasztott igények Jogszabályok Szabványok és ajánlások Az önkormányzati környezet specialitásai Az elektronikus aláírás Szótár Jogszabályok A területhez kapcsolódó egyéb jogszabályok A KIETB ajánlásai Hivatkozások Általános IT biztonság Jogszabályi háttér Windows Linux Vezetéknélküli biztonság Elektronikus aláírás Ábrák jegyzéke II

5 Vezetői összefoglaló 1 Vezetői összefoglaló Az informatika mindent átszövő fejlődésével az informatikai biztonság az utóbbi évek egyik legfontosabb szakterületévé vált. Számos eset bizonyítja, hogy a biztonság hiánya súlyos anyagi és erkölcsi károkhoz vezet. Nincs ez másként a közigazgatás területén sem, ahol éppen napjainkban alakulnak ki az elektronikus ügyintézés folyamatai, amelyek esetében magyarázat sem szükséges, hogy mennyire kiemelt fontosságú az információ és az informatikai biztonság megvalósítása. Az informatikai biztonság különleges helyzetben van, mert egyszerre van jelen az informatika minden területén, sőt, helyes kialakítása és működtetése jóval túlmutat a pusztán informatikai eszközökön. Ezért az informatikai biztonság nem képzelhető el termékként, amelyet megvásárolunk majd beüzemelünk. Az informatikai biztonságot a környezetre szabva kell kialakítani, megvalósítani és működtetni. Mindez azonban koránt sem ördöngösség, annak ellenére, hogy természetesen a mögötte álló elméleti és gyakorlati szakismeretek komoly tudományágat alkotnak. Ugyanakkor az informatikai biztonság problémás terület, hiszen megléte nem látható, nem érzékelhető. Mindig a biztonság hiánya az, amelyet gyakran saját bőrünkön is tapasztalhatunk. Ennek eredményeként gyakran csak akkor történnek lépések, ha már késő, mivel sokan felesleges befektetésnek érzik a biztonság irányába tett lépéseket. A dokumentum elsődleges célja, hogy segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati környezetben, figyelembe véve az informatikai biztonság területének jelenlegi helyzetét és a vonatkozó jogszabályi környezetet, elsősorban a évi CXL. törvényt a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól és annak végrehajtási rendeleteit. Ezek és más korábbi szabályozások jól definiálják a biztonság számára kitűzött célokat, követelményeket és követendő eljárásokat. Az informatika rohamléptékű fejlődéséből adódó részleteket azonban nem tudják és nem is feladatuk követni a jogszabályoknak. Így ezek megismétlése nélkül szükség van olyan közérthető információkra, amelyek szakácskönyv szerűen próbálnak útmutatást adni ezen a területen. Jelen dokumentum gyakorlati jellegű, így megpróbálja elkerülni a túl hivatalos és formalizált nyelvezetet és módszereket, ehelyett a praktikus információkra koncentrál. Természetesen ezek is köteteket megtöltő mennyiségű információk, amelyek ismételt leírására sem lehetőség, sem szükség nincsen. Ehelyett megpróbálunk az informatikai biztonság kialakításának teljes folyamatába betekintést nyújtani gyakorlatias nézőpontból, úgy, hogy az érdeklődők megismervén ezeket a lépéseket, képesek legyenek önállóan is elmélyedni bennük, ha a szükség úgy hozza. A dokumentum célközönsége kettős. Egyrészt szól minden önkormányzati környezetben dolgozónak, akik akár munkakörüknél fogva, akár a természetes érdeklődésből kifolyólag érdeklődnek az informatikai biztonság iránt. Elsősorban számukra ajánljuk a 3. és a , 6., 7. és 8. fejezeteket. Másrészről szól a - 1 -

6 Vezetői összefoglaló rendszerek beállításával, üzemeltetésével foglalkozó személyeknek, részükre az előbbieken kívül a és az 5. fejezet tartalmaz konkrét információkat a rendszerek beállításáról. A dokumentum különös tekintettel szól a kisebb informatikai infrastruktúrával rendelkező önkormányzatok ezen infrastruktúráért felelős személyeinek. Különösen javasolt az anyag azon önkormányzatok számára, ahol a szervezet méreténél fogva nem áll rendelkezésre külön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. Az első rész az informatikai biztonság alapvető fogalmaival és a kialakítás lépésivel foglakozik. Bemutatja a védelmi intézkedések kockázatelemzésen alapuló kialakítását. Ennek során nem alkalmaz szigorúan formalizált módszertant, sokkal inkább egyfajta sorvezetőt kíván adni a biztonság megtervezéséhez, amely segíti a feladatok szisztematikus végigvitelét: Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelően a biztonság kialakítása több lépésben történik. A lényeges lépések a következők: Helyzetfelmérés: ennek során meghatározzuk és osztályozzuk a védendő információkat, erőforrásokat, veszélyeket és fenyegetettségeket. Kockázatelemzés: a helyzetelemzés alapján meghatározzuk a fenyegetettségek által képviselt kockázatokat. Védelmi intézkedések kidolgozása: a kockázatokat kezelni kell, ezért meghatározzuk a kockázatok kezelésére (csökkentéséhez, elkerüléséhez, elviseléshez) szükséges intézkedéseket. A védelmi intézkedéseket implementáljuk és működtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. A második rész gyakorlati jellegű információkat ad, amelyek gerincét a két népszerű platform a Windows és a Linux adja. Kitér egyéb, elsősorban informatikai technikákra, mint a tűzfalak vagy a vezetéknélküli hálózatok. Az itt közölt tanácsok, beállítások elsősorban az általános, irodai jellegű környezetről szólnak, nagyméretű komplex rendszerek biztonságának kialakítása túl mutat a kereteken és feltétlenül szakértői közreműködést igényel. A harmadik rész a szabályozási környezetet és az elektronikus ügyintézést mutatja be, valamint ezekhez kapcsolódóan gyakorlati példákon keresztül ismerteti az elektronikus aláírás technológiáját és folyamatát

7 Bevezetés 2 Bevezetés Az informatika mindent átszövő fejlődésével az informatikai biztonság az utóbbi évek egyik legfontosabb szakterületévé vált. Számos eset bizonyítja, hogy a biztonság hiánya súlyos anyagi és erkölcsi károkhoz vezet. Nincs ez másként a közigazgatás területén sem, ahol éppen napjainkban alakulnak ki az elektronikus ügyintézés folyamatai, amelyek esetében magyarázat sem szükséges, hogy mennyire kiemelt fontosságú az információ és az informatikai biztonság megvalósítása. Az informatikai biztonság különleges helyzetben van, mert egyszerre van jelen az informatika minden területén, sőt, helyes kialakítása és működtetése jóval túlmutat a pusztán informatikai eszközökön. Ezért az informatikai biztonság nem képzelhető el termékként, amelyet megvásárolunk majd beüzemelünk. Az informatikai biztonságot a környezetre szabva kell kialakítani, megvalósítani és működtetni. Mindez azonban koránt sem ördöngösség, annak ellenére, hogy természetesen a mögötte álló elméleti és gyakorlati szakismeretek komoly tudományágat alkotnak. Ugyanakkor az informatikai biztonság problémás terület, hiszen megléte nem látható, nem érzékelhető. Mindig a biztonság hiánya az, amelyet gyakran saját bőrünkön is tapasztalhatunk. Ennek eredményeként gyakran csak akkor történnek lépések, ha már késő, mivel sokan felesleges befektetésnek érzik a biztonság irányába tett lépéseket. Az informatikai biztonság sok apró tényezőből tevődik össze, azonban néhány alapelvet szem előtt tartva és néhány egyszerű, gyakorlati lépést megtéve rendszereink biztonsága nagyságrendeket javítható. 2.1 A dokumentum célja A dokumentum elsődleges célja, hogy segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati környezetben, figyelembe véve az informatikai biztonság területének jelenlegi helyzetét és a vonatkozó jogszabályi környezetet, elsősorban a évi CXL. törvényt a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) és annak végrehajtási rendeleteit. Ezek és más korábbi szabályozások jól definiálják a biztonság számára kitűzött célokat, követelményeket és követendő eljárásokat. Az informatika rohamléptékű fejlődéséből adódó részleteket azonban nem tudják és nem is feladatuk követni a jogszabályoknak. Így ezek megismétlése nélkül szükség van olyan közérthető információkra, amelyek szakácskönyv szerűen próbálnak útmutatást adni ezen a területen. Jelen dokumentum gyakorlati jellegű, így megpróbálja elkerülni a túl hivatalos és formalizált nyelvezetet és módszereket, ehelyett a praktikus információkra koncentrál. Természetesen ezek is köteteket megtöltő mennyiségűek, amelyek ismételt leírására sem lehetőség, sem szükség nincsen. Így megpróbálunk az informatikai biztonság kialakításának teljes folyamatába betekintést nyújtani gyakorlatias nézőpontból, úgy, hogy az érdeklődők megismervén ezeket a - 3 -

8 Bevezetés lépéseket, képesek legyenek önállóan is elmélyedni bennük, ha a szükség úgy hozza. Az útmutató a gyakorlati lépéseken túl körüljárja a szabályozási környezetet és az elektronikus ügyintézéssel kapcsolatos lépéseket is, ezzel kialakítva a gyakorlati útmutatások környezetét. Az anyag elkészítése során elsősorban a jelenlegi szakmai gyakorlatra támaszkodtunk, valamint felhasználtuk a szabályozási környezet egyes dokumentumait és az Informatikai és Hírközlési Minisztérium által adott anyagokat és információkat. 2.2 A dokumentum célközönsége A dokumentum célközönsége kettős. Egyrészt szól minden önkormányzati környezetben dolgozónak, akik akár munkakörüknél fogva, akár a természetes érdeklődésből kifolyólag érdeklődnek az informatikai biztonság iránt. Elsősorban számukra ajánljuk a 3. és a , 6., 7. és 8. fejezeteket. Másrészről szól a rendszerek beállításával, üzemeltetésével foglalkozó személyeknek, részükre az előbbieken kívül a és az 5. fejezet tartalmaz konkrét információkat a rendszerek beállításáról. A dokumentum különös tekintettel szól a kisebb informatikai infrastruktúrával rendelkező önkormányzatok ezen infrastruktúráért felelős személyeinek. Különösen javasolt az anyag azon önkormányzatok számára, ahol a szervezet méreténél fogva nem áll rendelkezésre külön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. 2.3 A dokumentum szerkezete A dokumentum három fő részre tagolódik. Az első rész az informatikai biztonság alapvető fogalmaival és a kialakítás lépésivel foglakozik. Bemutatja a védelmi intézkedések kockázatelemzésen alapuló kialakítását. Ennek során nem alkalmaz szigorúan formalizált módszertant, sokkal inkább egyfajta sorvezetőt kíván adni a biztonság megtervezéséhez, amely segíti a feladatok szisztematikus végigvitelét. A második rész gyakorlati jellegű információkat ad, amelyek gerincét a két népszerű platform a Windows és a Linux adja. Kitér egyéb, elsősorban informatikai technikákra, mint a tűzfalak vagy a vezetéknélküli hálózatok. Az itt közölt tanácsok, beállítások elsősorban az általános, irodai jellegű környezetről szólnak, nagyméretű komplex rendszerek biztonságának kialakítása túl mutat a kereteken és feltétlenül szakértői közreműködést igényel. A harmadik rész a szabályozási környezetet és az elektronikus ügyintézést mutatja be, valamint ezekhez kapcsolódóan gyakorlati példákon keresztül ismerteti az elektronikus aláírás technológiáját és folyamatát

9 Információbiztonság informatikai biztonság 3 Információbiztonság informatikai biztonság Az információ jelentős értéket képvisel. Különösen igaz ez napjainkban, amikor az informatikai rendszerek hatalmas mennyiségű információt kezelnek, tárolnak és állítanak elő. A bennük áramló információ titkossága, sértetlensége és elérhetősége létfontosságú. Figyelembe véve az e- kormányzati, e-közigazgatási rendszerek és szolgáltatások robbanásszerű fejlődését, belátható, hogy az ezekben kezelt információ védelme, azok jellegénél kiemelten kezelendő. 3.1 Védelmi intézkedések Látható, hogy az információ biztonsága és az informatikai biztonság különböző, de egymással szorosan összefüggő fogalom. Az információbiztonság az információ megjelenési formájától függetlenül foglalkozik annak biztonságával. Az információ biztonság nem csak és nem elsősorban informatikai kérdés. Erre a területre tartozik a titkos ügyiratkezeléstől kezdve a tűzvédelemig nagyon sok szabályozás és szakma. Az ezeken alapuló védelmi intézkedések egyik részhalmaza az informatikai rendszerekre vonatkozó intézkedések. Az informatikai biztonság ezzel szemben kifejezetten az informatikai rendszerekben kezelt információ biztonságával foglalkozik. A szokásos definíció szerint informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. A védelmi intézkedésekre jellemző, hogy: teljes körűek, azaz a rendszer összes elemére kiterjednek, zártak, azaz minden fenyegetést figyelembe vesznek folytonosak, azaz a változó körülmények és követelmények mellett is megszakítás nélkül megvalósulnak. Jelen dokumentum az informatikai biztonsággal foglalkozik, azonban nem szabad elfelejteni, hogy annak ellenére, hogy informatikáról beszélünk, a védelmi intézkedéseknek csak egy része jelent közvetlen informatikai - 5 -

10 Információbiztonság informatikai biztonság tevékenységet, vagy eszközt. Az informatikai biztonsági védelmi intézkedéseket több kategóriába sorolhatjuk 1 : Menedzsment biztonsági intézkedések: olyan intézkedések, amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak: o Kockázatfelmérés, azaz a közigazgatási hatóságnak időnként fel kell mérnie a szervezet működése során felmerülő kockázatokat és az ezek által fenyegetett értékeket. o Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. o Rendszer és szolgáltatás beszerzés, azaz a tervezés során előállt terv megvalósítása, amelynek során a szervezet erőforrásokat biztosít a terv megvalósítására és megvalósítja azokat. o Biztonság értékelés és akkreditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan működtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsősorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: o Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstől. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. o Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülő személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. o Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerje a jogszabályi, szabályozási és védelmi hátteret, előírásokat. A személyzet a munkakörének megfelelő képzésben részesüljön az informatikai biztonság területén. o Konfigurációkezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. 1 Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatás biztonsági osztályokba sorolt informatikai célrendszereire vonatkozó biztonsági intézkedésekre c. tervezet alapján

11 Információbiztonság informatikai biztonság Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenőrizni, nyomon követni kell ezek változását. o Üzletmenet-folytonosság tervezése, azaz a közigazgatási hatóságnak terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési műveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erőforrások rendelkezésre álljanak és rendkívüli helyzetekben is megvalósuljon a folyamatos működés. o Karbantartás, azaz intézkedéseket kell hozni és működtetni annak érdekében, hogy az informatikai rendszerek időszakos és rendszerek karbantartása megvalósuljon, és figyelembe vegye a biztonsági követelményeket. o Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók illetve az azokon tárolt, szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Műszaki biztonsági intézkedések: olyan intézkedések, melyeket elsősorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevőiben megvalósuló mechanizmusok segítségével. Ide tartoznak: o Azonosítás és hitelesítés, azaz a közigazgatási hatóságnak azonosítani kell az informatikai rendszer felhasználóját és hitelesíteni kell azonosságukat, mielőtt hozzáférést engedélyez. o Hozzáférés ellenőrzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. o Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeiről megfelelő naplózás szülessen, és ezek a naplóbejegyzések a szükséges ideig meg legyenek őrizve. Biztosítani kell, hogy összhangban a vonatkozó jogszabályokkal az egyes felhasználói tevékenységek nyomon követhetőek legyenek, a felhasználói felelősség megállapíthatóságára. o Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen és figyelemmel kell kísérnie, a rendszer biztonsági riasztásait. o Rendszer és kommunikáció védelem, azaz monitorozni, ellenőrizni és védeni kell a szervezetből kilépő és az oda belépő információkat. o Reagálás a biztonsági eseményekre, azaz a közigazgatási hatóságnak úgy kell kialakítania rendszerét, hogy lehetővé tegye az észlelését, elemzését, reagálást a biztonsági eseményekre

12 Információbiztonság informatikai biztonság Egyes módszertanok más felosztását alkalmazzák az intézkedéseknek, érdemes ezeket is áttekinteni, mivel más nézőpontból csoportosítja ugyanezeket a védelmi intézkedéseket: Fizikai védelmi intézkedések. Az informatikai eszközök fizikai védelmét megvalósító intézkedések. Ezek inkább tartoznak a hagyományos biztonságtechnikai területre, de ide tartozik például az elektronikus kisugárzás elleni védelem is. Algoritmikus védelmi intézkedések. Gyakran ezeket az intézkedéseket értik szűk értelemben informatikai biztonság alatt, mivel ide tartoznak a titkosítási, vírusvédelmi, hálózati forgalom szűrési stb. intézkedései, vagyis mindazok, amelyek az informatika eszközeivel (algoritmusokkal) megoldható. Adminisztratív intézkedések. Minden olyan intézkedés, amely előírások, szabályzatok formájában jelentkezik, és azok betartását elsősorban szankcionálással éri el. Ezek az intézkedések kicsit a másik kettő fölött helyezkednek el, mivel céljuk többek között az összes védelmi intézkedés egységbe foglalása is (biztonsági politika, stb.) 3.2 Informatikai biztonság Mindezek után tekintsük át, hogy mit takar az informatikai biztonság! Az egyik leggyakrabban használt definíciója szerint a rendszer által kezelt információ biztonsága három pilléren nyugszik: Bizalmasság (Confidentiality): az információhoz csak az arra feljogosítottak férhetnek hozzá. Ez a gyakorlatban azt jelenti, hogy biztosítani kell, hogy illetéktelenek vagy ne férhessenek hozzá az adathoz, vagy az adatok olyan formában pl. titkosítva legyenek hozzáférhetőek, hogy azt csak az arra jogosultak (személyek, rendszerek) tudják értelmezni. Sértetlenség (Integrity): az információt csak az arra feljogosítottak módosíthatják. Más szóval ez azt jelenti, hogy az adat mindig olyan állapotban legyen, ahogy az utolsó, módosításra jogosult hagyta. Gyakorlatban meg kell akadályozni a módosítás jellegű hozzáféréseket, illetve megfelelő módszerekkel biztosítani kell a jogosulatlan (vagy véletlen, pl. műszaki hibából eredő) módosítások felismerését. A sértetlenség körébe tartozik a letagadhatatlanság (nonrepudiation), az elszámoltathatóság (accountability) és a hitelesség (authenticity). Letagadhatatlanság alatt azt értjük, hogy az információ jogosult módosítója vagy előállítója ne tudja letagadni ezt a cselekedetet. Ez nyilvánvalóan alapvető fontosságú például az elektronikus úton indított közigazgatási eljárások, stb. esetében. Az elszámoltathatóság annak biztosítása, hogy az információval kapcsolatos műveletek végrehajtója később azonosítható legyen. Ez többek között megfelelő naplózással biztosítható. A hitelesség a sértetlenség bizonyíthatósága. Ennek tipikus eszköze az elektronikus aláírás

13 Információbiztonság informatikai biztonság Elérhetőség (Availability): az információ rendelkezésre áll az arra feljogosítottak számára. Gyakorlatban biztosítani kell, hogy a rendszer, amely az adatot szolgáltatja működőképes legyen, ne lehessen támadással megbénítani, műszaki hiba esetén sem semmisüljenek meg az adatok és az információ értelmezhető formában álljon rendelkezésre. Ezt a hármast szokás az angol rövidítések alapján CIA elvnek nevezni 2. Az informatikai biztonság kialakítása során a cél ezen három feltétel megvalósítása és meglétüknek folyamatos fenntartása. Fontos tudni, hogy az informatikai biztonság által megvalósított célok nem abszolút célok, és csak valamilyen igényszintnek megfelelően értelmezhetőek. Nyilvánvaló például, hogy másként kell értelmezni és biztosítani a rendelkezésre állást és házi számítógép és egy elektronikus piactér esetében. Az önkormányzati környezet esetében számos jogszabály és előírás határozza meg a biztonság igényszintjét, és a megvalósítás során elérendő célokat. 3.3 Követelmények a közigazgatás számára A Ket. által megkövetelt informatikai biztonsági környezetet a 195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról definiálja. A rendeletben foglaltak megfelelnek az általános informatikai biztonsági alapelveknek és céloknak, azonban ezeket pontosítják a környezetre vonatkozó kötelező érvényű előírásokkal. A rendelet több alapvető megállapítást tesz, amely igen lényeges a biztonság szempontjából: Minőségirányítási rendszerrel kell rendelkezni, amely magában foglalja a biztonsági követelményeket (6. ), és ezt megfelelő dokumentációs rendszerrel támasztja alá (8. ). Mindez hangsúlyozza a biztonság folyamatszerű megközelítését, amely a helyesen kialakított célrendszerre, megfelelően elvégzett tervezésre és kivitelezésre valamint a folyamatos üzemeltetésre épül. A fejezet ismerteti az ennek során végrehajtandó lépéseket és elkészítendő dokumentumokat. A 9. ismerteti a kockázatelemzés fontosságát. Kiemelendő a 9. (1), amely kimondja, hogy A hatóság az informatikai célrendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik az informatikai célrendszer kockázatokkal arányos védelméről a tervezés, a beszerzés, az előállítás, az üzemeltetés és a felülvizsgálat területén. Azaz előírja, hogy a biztonsági rendszert periódikusan felül kell vizsgálni, reagálni kell a változó környezet által támasztott igényekre. A kétévenkénti felülvizsgálatot célszerű sűríteni, ha jelentős változás áll be A fejezet bemutatja a helyzetfelmérés és a kockázatelemzés 2 Bár biztonság területe miatt kétségtelen az áthallás a USA hírszerző hivatalának elnevezésével, a CIA elv elnevezés elterjedt mind a külföldi, mind a hazai szakirodalomban

14 Információbiztonság informatikai biztonság folyamatát. A 10. felhívja a figyelmet a biztonsági osztályba sorolásra, amely a helyzetelemzés-kockázatelemzés része. A 12. az informatikai rendszerek kiszervezéséről szól és tükrözi azt az elvet, hogy az informatikai biztonság során a teljeskörűségre kell törekedni, azaz a saját rendszerünk biztonságát befolyásolja minden ezzel kapcsolatban lévő más rendszer. Kiszervezés esetén legfontosabb az átláthatóság, azaz a kiszervezett rendszerbe olyan szintű rálátással kell rendelkeznünk, hogy megbizonyosodhassunk a biztonsági szempontból helyes megvalósításról illetve befolyásunk lehessen ebből a szempontból. (12. (1)). A 13. hasonló megállapításokat tesz az adatvédelem szempontjából. A rendelet biztonsági követelményeket állapít meg a 14. -ban meghatározott (gyak. a csak elektronikusan folytatható ügyek) területekre: Ügyfél azonosításával kapcsolatos követelmények (15. ). Az ügyfél azonosításnak meg kell akadályozni a későbbi megszemélyesítést és meg kell akadályozni az elektronikus aláírással ellátott űrlapok újrafelhasználását (visszajátszását). Az elektronikus aláírás kérdéseivel a 8. fejezet foglalkozik. A naplózással kapcsolatos követelmények (16. ). A naplózásnak különös tekintettel ki kell térnie az ügykezelés minden lépésére, olyan szinten, hogy az ügykezelés minden mozzanata rekonstruálható legyen. A naplóállományokat megfelelő módon védeni kell. A naplózás megvalósítása elsősorban az adott alkalmazás feladata, de a követelményrendszerben ezt specifikálni kell. A rendelkezésre állással kapcsolatos követelmények (17. ). Ki kell dolgozni és biztosítani kell a rendszerek megfelelő szintű üzemeltetését illetve helyreállítási tervét. Az üzemeltetéssel foglalkozik az 5. fejezet. A mentéssel és archiválással kapcsolatos követelmények (18., 19. ). A mentésnek biztosítani kell az ügyekhez kapcsolódó dokumentumok megőrzését, helyreállíthatóságát és hitelességének megőrzését. A mentési és üzeltmenet-folytonossági terv kialakítása során ezekre ki kell térni. A üzemeltetésről a 5. fejezet, az egyes rendszerekhez kötődő alapvető mentési beállításokról a 4.8. fejezet szól. A vírusok és más támadások elleni védelem követelményei. A rendszerek védelmét biztosítani kell a kártékony kódok és a támadások ellen. A 4.8 fejezet szól az alapvető beállításokról és lehetőségekről ezen a területen. Az adattárolással (12. ) és adattovábbítással (22. ) kapcsolatos követelmények. A vizsgált környezetben elsősorban az adatvédelemmel kapcsolatos feladatok jelentkeznek az általános biztonsági követelmények felett. Az adattovábbítás biztonságában lényeges szerepet játszó tűzfalakról a 4.8.3, a titkosításról a 4.9, a vezetéknélküli hálózatok biztonságáról a és az elektronikus aláírásról a 8 fejezet szól. A hozzáférés és a fizikai biztonság követelményei (23., 24. ). A hozzáférés során minden félnek azonosíthatónak kell lennie, különös

15 Információbiztonság informatikai biztonság tekintettel az ügyintézésben részt vevő felekre. Az általános biztonsági alapelveknek megfelelően a rendszerekhez való fizikai hozzáférés biztonságát meg kell oldani. Az informatikai rendszer kezelésével kapcsolatos követelmények (25. ). Az informatikai rendszerben alkalmazott elemek csak szabályozott körülmények között vehetőek használatba. Ezzel kapcsolatban a 4.11 és 5.3 fejezet szól. Természetesen a rendelet nem tér és nem is térhet ki a konkrét beállításokra és megvalósításokra, mivel ezek mindig az adott alkalmazástól és helyzettől függenek. Azonban a biztonsági előírások és politika kialakítása során a fentieket figyelembe kell venni és alkalmazni kell

16 4 Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelően a biztonság kialakítása több lépésben történik. A lényeges lépések a következők: 1. A rendszer leírása, helyzetfelmérés: meghatározzuk a vizsgált rendszer határait, környezetét, az érintett információs és egyéb erőforrásokat, figyelembe véve a rendszer komponenseit, a tárolt, feldolgozott, előállított és továbbított információt, ezek sérülékenységeit, kritikusságát és érzékenységét. 2. A veszélyek meghatározása: a veszély a sebezhetőség kihasználása valamely veszélyforrás által. A lépés során meghatározzuk és felsoroljuk a vizsgált rendszer veszélyforrásait. 3. A sebezhetőségek elemzése, kockázatelemzés: a sebezhetőségeket elemzzük a kihasználhatóság valószínűsége és a kihasználás esetén fellépő hatás súlyossága alapján. 4. Az intézkedések elemzése: megvizsgáljuk a biztonsági intézkedéseket hatékonyságuk és az általuk esetleg indukált más sérülékenységek szempontjából. 5. A valószínűségek meghatározása: a sebezhetőségek kihasználhatóságának valószínűségét osztályokba soroljuk: alacsony, közepes, magas. A vizsgálat során figyelembe vesszük a sebezhetőség jellegét, a veszélyforrás képességeit és motivációját, a meglevő biztonsági intézkedéseket. 6. Hatáselemzés: a sebezhetőségek kihasználásának káros hatásait vizsgáljuk a CIA elv alapján. A hatást alacsony, fokozott és kiemelt osztályokba sorolhatjuk. 7. Kockázat meghatározása: a kihasználhatóság valószínűsége és a hatás alapján meghatározzuk a kockázatot. 8. Biztonsági intézkedések megtervezése: azon menedzsment, üzemeltetési és műszaki biztonsági intézkedések meghozása, amelyek elfogadható szintre csökkentik rendszer kockázati szintjét. 9. Dokumentálás: a folyamat eredményét dokumentálni kell. A védelmi intézkedéseket megvalósítjuk és működtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. A következőkben egy egyszerű módszertant mutatunk be ezeknek a lépéseknek végrehajtására. Az itt bemutatott lépések nem szigorúan formalizáltak, sokkal inkább segítséget nyújtanak abban, hogy a biztonság megtervezése és megvalósítása során szisztematikusan tudjuk végigvinni a tervezést, ne kerülje el semmi a figyelmünket. 4.1 Alapvető elvek Nagyon fontos tisztában lenni a biztonság kialakítása során elérendő célokkal. Néhány lényeges pont, amelyet szem előtt kell tartani:

17 Ismerd meg magad és ellenséged! Az biztonságot csak úgy lehet kellő szinten kialakítani, ha tisztában vagyunk saját környezetünkkel, rendszerünkkel, igényeinkkel és hasonló rálátással rendelkezünk a fenyegető veszélyekkel. A pontos helyzetfelmérés nélkül csak vaktában hozhatunk intézkedéseket. A biztonság kompromisszumok kérdése. A biztonság kialakítása során fel kell tennünk a következő kérdéseket: Milyen biztonsági problémát kívánunk megoldani, milyen veszélyeket akarunk csökkenteni? A választott megoldások mennyire szolgálják a megoldást? Milyen új biztonsági problémákat vet fel a megoldás? Figyelembe véve a megoldás költségét (nem csak a pénzben kifejezhetőeket) és a megoldás által generált újabb problémákat, érdemes-e ezt a megoldást választani? Látszik, hogy sosem egy jó és egy nem jó megoldás között kell dönteni, hanem különböző környezetben különböző kompromisszumokat kell hozni. Mindent nem védhetünk száz százalékos biztonsággal. Az előbb láthattuk, hogy a biztonság mindig kompromisszum kérdése. Meg kell találni azt a pontot, ahol az adott biztonsági szint elfogadható, anélkül, hogy más téren elfogadhatatlan dolgokat kényszerítene ki. Az indokolatlanul szigorú védelmi intézkedések nem csak túlzottan költségesek, de gyakran akadályozzák a produktív munkát és arra ösztönzik a felhasználókat, hogy szántszándékkal megkerüljék őket, így nagyobb kockázatot jelentve, mint amit az eredeti intézkedés kiküszöbölt. Tipikus eset például a túlzottan bonyolult jelszavak kikényszerítése, amelyet ezután a felhasználók nem képesek fejben tartani, hanem leírják őket. A védelem legyen egyenszilárdságú! Minden védelmi rendszer annyira erős, amennyire erős a leggyengébb láncszeme. A védelem kialakítása során tehát kellő gondossággal tervezzük meg az egyes komponenseket, ugyanis hamis biztonságérzetet adhat az, ha az egyik komponens erős, miközben más komponensekre nem fordítunk kellő figyelmet. Gyakran előfordul, hogy egy technológia (pl. tűzfal, vagy erős titkosítás) meglétével a biztonságot elintézettnek tekintik, miközben ezek pusztán önmagukban nem oldanak meg semmit. Az egyenszilárdság kialakítása nem egyszerű, mivel olyan nehezen kezelhető dolgokat kell beilleszteni a rendszerbe, mint az emberi tényező. A védelem ne kerüljön többe, mint a védett érték! Ez nyilvánvaló és tulajdonképpen következik az előző két elvből is. Bizonyos esetekben célszerűbb együtt élni, vagy más módon (pl. biztosítással) kezelni valamely fenyegetettség által jelentett kockázatot. Például hazai viszonyok között nagyok kevés olyan érték van, amelyet érdemes megelőző védelemmel védeni hetes erősségű földrengés ellen, annak ellenére, hogy egy ilyen veszély elvileg nem zárható ki. A biztonság sosem állapot, hanem folyamat. Mivel a biztonság önmagában nem érzékelhető, csak annak hiánya észlelhető, ezért folyamatosan követni kell rendszerünket, olyan jelek után kutatva, amely az aktuális helyzet hiányosságait jelzik, és a megfelelő ellenintézkedéseket meg kell

18 tenni. Ha kell, módosítani kell a szabályzatokat, eljárásokat. Gyakori eset, hogy ragaszkodnak a valamikor elkészített szabályzatokhoz, beállításokhoz, miközben a megváltozott körülmények miatt ez nagyobb kárt okoz, mint hasznot. Válasszuk az egyszerű megoldást! A biztonsági kérdések esetében különösen igaz, hogy ami bonyolult, az valószínűleg nagyobb valószínűséggel tartalmaz olyan hibákat, amelyek biztonsági problémához vezetnek. Törekedjünk a minél egyszerűbb architektúrákra, szabályzatokra és rendszerekre. Nem szabad engedni a kísértésnek, hogy a bonyolult megoldás biztonságosabb. Általában csak annak látszik, de nem az! Legyen többszintű védelem! Több, egymást támogató védelmi vonal többet ér, mint egy, általában még akkor is, ha egyenként gyengébbek. A támadóknak több akadályon kell átverekedni magukat, így nagyobb az esély, hogy még a siker előtt felfedezik őket. Például ha levelező rendszerünkben központi vírusvédelem van, még nem jelenti azt, hogy nem kell az irodai gépeken külön is víruskeresőt (mégpedig lehetőleg a központitól eltérőt) telepíteni. 4.2 Helyzetfelmérés Csak akkor tudjuk rendszereinket, adatainkat biztonságba helyezni, ha tudatában vagyunk a jelenlegi helyzettel. Ezért első és nagyon fontos lépés az átfogó helyzetelemzés. Ennek során felmérjük a rendszereinket, működési eljárásainkat és a kezelt információt. A helyzetfelmérés során elsősorban megállapítjuk a védendő értékeket és az ezekre veszélyt jelentő veszélyforrásokat. Ezeket célszerű kategóriánként számba venni: Környezeti veszélyek pl. természeti károk, tűz, stb. Fizikai veszélyek lopás, rongálás, fizikai betörés. Informatikai veszélyek vírusok, számítógépes betörés, stb. Humán veszélyek szabotázs, gondatlanság, stb. Szervezeti veszélyek szervezeti problémák, irányítási gondok, stb. A veszélyforrásokból a helyzetelemzés eredményeként keletkezik egy felsorolás, amely elsősorban intuitív munka eredménye. Ebbe be kell vonni a szervezet minél több munkatársát, mivel általában a különböző területeken, munkakörökben mások a veszélyek és a prioritások. Természetesen figyelembe kell venni a szabályozási környezet által támasztott igényeket is (pl. adatvédelem, titokvédelem). 4.3 Kockázatelemzés A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatot próbáljuk megállapítani. A kockázat meghatározása során a veszély megvalósulásának valószínűsége és az okozható kár alapján, vagy más nézőpontból az adott veszélyt képviselő sérülékenység kihasználhatósága és ennek hatása alapján történik

19 Egyes módszertanok megpróbálják számszerűsíteni a kockázatot, általában a bekövetkezési valószínűség és az okozott kár nagyságának szorzataként, azonban a gyakorlat sokszor azt mutatja, hogy ez a számszerűsítés nehéz, vagy egyenesen lehetetlen. Különösen igaz ez azért, mert a legtöbb módszertant elsősorban üzleti környezetben történő felhasználásra dolgozták ki, ahol a közigazgatási környezethez képest gyakran könnyebb a károk számszerűsítése (veszteség, elmarad haszon, stb.). Ezért a gyakorlatban célszerűbb kategóriákkal dolgozni, amelyek az adott környezet működéséhez igazodnak. Az hatások kategorizálása a közigazgatás szemszögéből: Alacsony, várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A korlátozott hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan időtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsődleges funkcióit, de a funkciók hatásossága észrevehetően csökken. Az ügyek lefolytatásában fennakadást okoz, de a sikeres lefolytatást és határidők betartását nem veszélyezteti. o A szervezeti eszközök kisebb mértékű károsulását eredményezi. o Kisebb mértékű pénzügyi veszteséget okoz. o A jogbiztonságot kisebb mértékben veszélyezteti, a személyes és/vagy közhiteles adatok védelmével kapcsolatban felmerül a lehetőség, hogy a helyzet javítása nélkül az adatok védelme sérülhet. Fokozott, várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A komoly hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan időtartamra csökkentheti, hogy a szervezet képes végrehajtani elsődleges funkcióit, de a funkciók hatásossága jelentős mértékben csökken. Az ügyekkel kapcsolatban olyan szintű adatvesztés következik be, amely az ügyek folytatását megakasztja, a határidők betartását lehetetlenné teszi vagy más útra (papír alapú) tereli. o A szervezeti eszközök jelentős károsulását eredményezi. o Jelentős pénzügyi veszteséget okoz. o A jogbiztonságot jelentős mértékben veszélyezteti, személyes és/vagy közhiteles adatok védelme sérül. Kiemelt, várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet olyan mértékben és olyan időtartamra csökkentheti, illetve akár meg is szűntetheti, hogy a szervezet nem

20 képes végrehajtani egy vagy több elsődleges funkcióját. Az ügyekkel kapcsolatosan olyan szintű adatvesztés következik be, amely lehetetlenné teszi az ügy folytatását és az eredeti helyzet helyreállítását. o A szervezeti eszközök lényegi károsulását eredményezi. o Lényegi pénzügyi veszteséget okoz. o A jogbiztonságot alapvetően veszélyezteti, a személyes és/vagy közhiteles adatok védelme súlyosan és jóvátehetetlenül sérül. Hasonló módon a bekövetkezési valószínűséget is kategorizálhatjuk: Magas bármikor előfordulhat. mert pl. gyakori esemény, vagy a támadást bárki végrehajthatja. Ilyen lehet például egy olyan vírustámadás, amelyet nagyrészt automatizált kártékony kódok hajtanak végre Közepes gyakran előfordulhat, pl. szakértő támadó által végrehajtható. Ilyen lehet egy célzott számítógépes betörés a rendszerbe. Alacsony az előfordulása a vizsgált rendszer vagy szervezet működési idejéhez képest nem gyakori. Ilyen lehet például tűzeset vagy természeti csapás. A várható kár és a bekövetkezés valószínűsége alapján a kockázat is kategorizálható: hatás \ valószínűség magas közepes alacsony alacsony mérsékelt alacsony alacsony fokozott jelentős mérsékelt alacsony kiemelt kritikus jelentős mérsékelt A táblázat a kockázatot az alacsony, mérsékelt, jelentős és kritikus kategóriákba sorolja. Az egyes besorolások az igényszintek alapján természetesen módosíthatóak, sőt, igény esetén akár a kár, akár az előfordulás valószínűségére és használhatóak más felbontások. A lényeg nem az értékeken van, hanem azon, hogy képesek legyünk prioritásokat felállítani a kockázatok között, így megfelelően koncentrálva a kritikus pontokra. A következő táblázat egy kiragadott példa a veszélyek felsorolásra és a kockázatelemzésre: Veszély Típus Leírás Kár Valószínűség Kockázat Hardverhiba környezeti Hardverhiba a kiszolgálóban Vírus-támadás Informatikai Vírus kerül a belső számítógépes rendszerbe Jelentős Ritka Mérsékelt Közepes Állandó Jelentős Adathordozó Humán Dolgozó érzékeny Közepes Gyakori Mérsékelt