KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Átírás

1 2-8/2014 KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) Jóváhagyom: Karcag, július Oldal: 1 / 9

2 1. IBS dokumentum karbantartás Dokumentum változások története Verzió Dátum Változás leírása Módosította június verzió Oldal: 2 / 9

3 2. Bevezetés A magyar Országgyűlés április 15-én fogadta el az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvényt (továbbiakban: Ibtv.), melynek hatálya kiterjed a Karcagi Polgármesteri Hivatalra, (továbbiakban: Hivatal) is. Az Ibtv. 5. -a és 6. -a szerint az Ibtv. hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell: az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és a kockázatokkal arányos védelmét Az elektronikus információs rendszernek az előbbiekben meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a megelőzést és a korai figyelmeztetést, az észlelést, a reagálást, a biztonsági események kezelését. Az Ibtv. végrehajtási rendeleteként a Nemzeti Fejlesztési Miniszter kiadta a 77/2013. számú (XII. 19.) NFM rendeletet az Ibtv-ben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolásának követelményeiről. 3. A stratégia célja Az Informatikai Biztonsági Stratégia (továbbiakban: IBS) a Hivatal vezetésének stratégiája a szervezet informatikai rendszerei által kezelt információvagyon bizalmasságának, sértetlenségének és rendelkezésre állasának megőrzésére és fenntartására irányuló intézkedések bevezetésére. Az IBS alapul szolgál továbbá az alacsonyabb szintű szabályozási eszközök, kialakítására és bevezetésére. Az információ védelem megvalósítása érdekében tervezni és biztosítani kell azokat az anyagi feltételeket, amelyek lehetővé teszik a megfelelő színvonalú technika, valamint a speciális felkészültséget igénylő személyi feltételek megteremtését és folyamatos fenntartását. A Hivatal megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely meghatározza a biztonságpolitikai célok megvalósításának módszerét, eszközrendszerét, ütemezését. A biztonsági célok a 77/2013. számú (XII. 19.) NFM rendelet szerinti, a Hivatal információs rendszereinek biztonsági osztályai alapján felállított cselekvési tervek végrehajtása során kerülnek elérésre. A cselekvési tervekben rövid, közép, és hosszabb távon végrehajtandó feladatok kerülnek meghatározásra. A Hivatal meghatározza az informatikai biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát. A Hivatal gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, módosítható. Oldal: 3 / 9

4 Az informatikai biztonsági stratégiának illeszkednie kell a szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, fejlesztéshez), jövőképéhez. 4. Általános rendelkezések 4.1. Az IBS hatálya Személyi hatály Az IBS személyi hatálya kiterjed a) a Hivatal minden munkatársára b) a Hivatal informatikai üzemeltetést végző, kiszervezett tevékenységeit ellátó külső partnereire, c) a Hivatal informatikai üzemeltetést vagy fejlesztést végző egyéb szerződéses viszonyban tevékenykedő partnereire A jelen szabályzat személyi hatálya alá tartozóknak a stratégia célkitűzéseit ismerniük és követniük kell Tárgyi hatálya Az IBS tárgyi hatálya kiterjed a Hivatal a) adathordozóira b) alkalmazásaira c) alapszoftvereire d) hardver elemeire e) környezeti infrastruktúra elemeire f) objektumaira Területi hatálya Az IBS területi hatálya kiterjed a tárgyi hatálya alá tartozó informatikai erőforrások üzemelési és használati helyszíneire: a) a Hivatal telephelyére b) mindenkori bérelt helyiségeire c) kiszervezett adatfeldolgozási és üzemeltetési tevékenységeinek külső helyszíneire d) az otthoni használatra adott eszközökre Oldal: 4 / 9

5 4.2. Elhelyezkedése, megfelelősége Az IBS a szabályozási hierarchia (irányelvek - szabályozások - eljárásrendek - kézikönyvek) köztes szintjén helyezkedik el és ilyen módon hatással van a teljes szabályozási struktúrára. Ismerete és betartása minden munkatársra kötelező érvényű. A biztonsági stratégia a cselekvési tervekben rögzített részletezéssel meghatározza a biztonságpolitikai célok megvalósításának módszerét, eszközrendszerét, ütemezését Az Információ Biztonsági Politika, majd az erre épülő Informatikai Biztonsági Stratégia és Informatikai Biztonsági Szabályzat kibocsátása, az érintettek körében történő közzététele a Hivatal Jegyzőjének, karbantartatása és folyamatos felülvizsgáltatása az Informatikai biztonsági felelős feladata. A jelen IBS-ben megfogalmazottak megfelelnek a hazai jogszabályoknak Felülvizsgálat Az IBS-t rendszeresen, de legalább kétévente felül kell vizsgálni. A felülvizsgálat az Információbiztonsági Felelős feladata. 5. Informatikai biztonsági stratégiai alapelvek és célkitűzések 5.1. Célkitűzések Hitelesség biztosítása a Hivatal kezelésében levő adatok tekintetében. Szükséges, hogy minden kétséget kizáróan megállapítható legyen a bekerülő adat forrása és az adat valóságnak való megfelelősége, valamint annak biztosítása, hogy az előállítás után megőrzi ezen minőségét. Bizalmasság biztosítása a Hivatal által kezelt adatokhoz való hozzáférés tekintetében, érvényesülését elsősorban az informatikai rendszerben történő adathozzáférések és adatkezelés, valamint a Hivatal kommunikációja során kell biztosítani. Sértetlenség biztosítása a Hivatal adatkezelése, adatfeldolgozása és kommunikációja során. A Hivatal által történő adatkezelés során követelmény, hogy pontos és a valóságnak mindenben megfelelő információk kerüljenek a rendszerben feldolgozásra, és ezen információk sértetlensége az adatkezelés során mindvégig biztosított legyen. Rendelkezésre állás biztosítása a Hivatal által kezelt adatok tekintetében. A feldolgozott információ tekintetében követelmény annak visszakereshetősége, melynek záloga az informatikai rendszerek funkcióinak és elérhetőségének folyamatos biztosítás. Oldal: 5 / 9

6 5.2. Alapelvek A védelem teljes körűségének alapelve - A teljes körűségre vonatkozó alapelvet a fizikai, a logikai es az adminisztratív védelem területen a következő három dimenzióban kell érvényesíteni: a) az összes rendszerelemre, b) a rendszerek architektúrájának minden rétegére, azaz mind a számítástechnikai infrastruktúra, mind az alkalmazások szintjén, c) mind a központi, mind a végponti informatikai eszközökre és környezetükre. A védelem zártságának alapelve - A zárt védelem akkor biztosított, ha az összes valószínűsíthető fenyegetés elleni megelőző védelmi intézkedések megvalósításra kerültek, és azok szerves egységet alkotnak. A védelem kockázatarányosságának alapelve - A védelem mértéke és költségei a felmért kockázatokkal arányos legyen. Célkitűzés a minimális védelmi költséggel elért maximális védelmi képesség. A védelem folytonosságának alapelve - Az informatikai rendszerek bevezetése során kialakított védelmi képességeket a rendszer teljes életciklusa alatt folytonosan biztosítani és fejleszteni kell Kritikus sikertényezők A Hivatal számára az információbiztonság sikeres megvalósítása során kritikus tényezők a következők: a biztonsági szabályzó környezet pontos meghatározása, a vezetőség elkötelezettsége, a biztonsági követelmények, a kockázatbecslés és a kockázatkezelés megértése és helyes alkalmazása, a biztonság hatékony menedzselése valamennyi vezető és alkalmazott felé, gondoskodás a kellő oktatásról és képzésről, átfogó, mindenre kiterjedő és kiegyensúlyozott mérési módszer alkalmazása a biztonság menedzselés teljesítőképességének értékeléséhez és a helyesbítési javaslatok visszacsatolásához Kockázatalapú megközelítés A Hivatal célul tűzte ki - a kockázatokkal arányos védelem biztosítása érdekében - kockázatelemzés rendszeres, belső szabályozás szerinti elvégzését a fenyegetések, a gyenge pontok, a nem elviselhető kockázatú tényezők meghatározására, valamint az ezek alapján kialakítandó védelmi intézkedésekre. Oldal: 6 / 9

7 5.5. Szervezeti és felelősségi kérdések Az IBS kidolgozásának és végrehajtásának a Hivatalon belül minden esetben kell, hogy legyen felelőse: Információ Biztonsági Felelős (továbbiakban: IBF). Az IBF közvetlen a Jegyzőhöz rendelt pozíció kell, hogy legyen. Az IBS végrehajtásának helyzetéről az IBF rendszeresen beszámol a Jegyzőnek, aki az információ biztonsági feladatok megvalósításának feltételeit biztosítja Logikai biztonság A logikai biztonság területén a Hivatal célkitűzései az alábbiak: informatikai rendszerek védelmének megteremtése a jogosulatlan hozzáférésektől, az informatikai rendszerekhez és alkalmazásokhoz való hozzáférési jogok engedélyezésének hivatalos eljárások keretében történő szabályozása, információ, illetve adatvagyon megfelelő védelmi szintjének kialakítása, valamint az információs rendszerek osztályozása, rosszindulatú szoftverek elleni védekezés hatékony kialakítása, valamint az Internet használat és hálózatbiztonság tekintetében megfelelő tűzfalas védelem kialakítása a külső támadások, illetve belső erőforrásokhoz történő jogtalan külső hozzáférések megakadályozása érdekében, biztonsági követelmények érvényesítése minden, a Hivatal külső informatikai adat, vagy számítástechnikai kapcsolatában, az ennek kialakítására irányuló szerződésekben, megállapodásokban, jogosulatlan tevékenységek észlelésének megteremtése, informatikai biztonság megteremtése a mobil számítástechnikai és a távmunka végzési eszközök használata esetén. A megkívánt biztonság legyen összemérhető azzal a kockázattal, amelyeket az ilyen munkavégzési mód hordoz. rendkívüli események kezelésére történő felkészülés, alaptevékenységek megszakadásainak leküzdése, és a kritikus szolgálati folyamatok megvédése a nagyobb meghibásodások és a katasztrófák hatásaitól Fizikai és szervezeti biztonság, környezeti infrastruktúra A fizikai és szervezeti biztonság, környezeti infrastruktúra területen a Hivatal vezetésének célkitűzései az alábbiak: A Hivatal objektumának és a szervezeti állomány biztonságának szavatolása, Információ kezelését, feldolgozását végző helyiségek, valamint az egyes eszközök, az abban elhelyezett adattárolók és adathordozók fizikai védelmének biztosítása, Papír alapon valamint elektronikusan kezelt és tárolt információk, tárgyi eszközök, vagy szolgálatot teljesítő személyek védelmének biztosítása a különböző eseményektől, mint tűz, víz, áramellátás kimaradása, külső támadások, betörés, Informatikai, vagy egyéb úton keletkezett adatok és információk kezelése során az előírt fizikai informatikai biztonsági követelmények betartásának elősegítése, Oldal: 7 / 9

8 Személyi felelősségek egyértelmű meghatározása és elhatárolása Adminisztratív biztonság Az adminisztrációs biztonság területén a Hivatal vezetésének célkitűzései az alábbiak: A Hivatal folyamatos, zavartalan és hatékony működését biztosító informatikai szabályozó környezet, illetve feltételrendszer megteremtése, Teljes körű szabályzói környezet kialakítása, amely kiterjed a koncepciókra, szabályzatokra, és eljárásrendekre, A Hivatal kiemelt figyelmet fordít a felhasznált szoftverek jogtisztaságára, mindent megtesz a jogtiszta szoftverhasználat érdekében, és az illegális használat, illetve másolás ellen Információbiztonsági incidensek kezelése A Hivatal a kockázatokkal arányos védelem biztosítása érdekében célul tűzte ki a kockázatelemzés alapján kialakított incidenskezelést Az információbiztonság ellenőrzése, fenntartása Az IBP által megkövetelt információ biztonsági irányítási rendszer fenntartása alapvetően fontos stratégia cél. Ennek felelőse az IBF. Az IBF által elvégzendő távolabbi feladatokat az Informatikai Biztonsági Stratégia (IBS), illetve cselekvési tervek, az IBF rendszeres feladatait pedig az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) tartalmazza. A stratégiában elhatározott és az IBSZ-ben előírt feladatok végrehajtásához szükséges feltételek biztosításáért a Jegyző felel. A Hivatal biztonságirányítási rendszerének fenntartásához elengedhetetlenül szükséges a munkatársak biztonságtudatosságának fejlesztése és fenntartása. Ennek érdekében kell végrehajtani a munkatársak évenkénti biztonsági oktatását, Az IBS életciklusa Az IBS rendszeres felülvizsgálata alapvető fontosságú elvárás, ezért kötelező évenként felülvizsgálni. Hosszabb távon az IBS-t a Hivatal átfogó Informatikai Stratégiájának (IS) részeként szükséges kezelni. Oldal: 8 / 9

9 6. Az információbiztonság szintjei, definíciója 6.1. Az informatikai biztonság szintjei Az informatikai biztonság szint besorolását az Ibtv. szerint kell alkalmazni. A Hivatal az információt megjelenésekor osztályozza, érzékenységi foka és kritikussága szerint, annak érdekében, hogy nyilvánvaló legyen a védettség szintje; így gondoskodik az információvagyon megfelelő védelmi szintjéről, beleértve a különleges kezelést igénylő információkat is. 7. A stratégiai feladatok meghatározása, tervezése, és végrehajtása A biztonsági stratégia Ibtv. szerinti tervezésének és végrehajtásának alapját a 77/2013. számú (XII. 19.) NFM rendeletet végrehajtási utasításai jelentik. A törvény, és a rendelet útmutatásai alapján a Hivatal az információs rendszereit biztonsági osztályokba sorolja. (IBSZ 1. sz. melléklet) A Hivatal az előírások szerint elvégzi a szervezet biztonsági szintjének meghatározását. (IBSZ 1. sz. melléklet) A részletes jelenlegi biztonsági helyzet vizsgálata, és a biztonsági osztályok rendelet szerinti követelményeivel való összehasonlítása a Nemzeti Elektronikus Információbiztonsági Hatóság által kibocsátott táblázatokban történik meg, amely táblázatok tartalmazzák a rendelet valamennyi követelményét, illetve a jelenlegi helyzettel való összevethetőségét. A jelenlegi helyzet, és követelmények összehasonlítása alapján a Hivatal cselekvési tervet készít. A cselekvési tervben a végrehajtandó feladatok az IBS célkitűzéseivel összhangban rövid, közép, és hosszú távú besorolást kapnak. A cselekvési tervekben meghatározott feladatok ütemterv szerinti végrehajtása, a fentiekkel összhangban biztosítja a stratégiai célok elérését. 8. Értelmező rendelkezések Az IBS-ben használt fogalmak és definíciók értelmezése az Ibtv., és az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény fogalmaival és definícióival azonosak. Oldal: 9 / 9