IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

Átírás

1 Adat és Információvédelmi Mesteriskola 30 MB Dombora Sándor AZ IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

2 Tartalom Iránymutatások szükségessége Termék fókuszú szabványok TCSEC ITSEC Common Criteria (CC) MSZ ISO/IEC MIBA Információbiztonságot érintő további szabványok

3 Iránymutatások szükségessége Jogszabályok Az érintettekre vonatkozóan betartásuk kötelező Szabványok Ajánlások, Keretrendszerek Útmutatóból és követelményekből állnak Bevált gyakorlatokra épülnek A szervezetek önként vezetik be Bevezetésük tanúsítható, 3. felek elfogadják Bevált gyakorlatokra épülnek A szervezetek önként vezetik be Bevezetésük biztonságot és hatékonyságot eredményez 3

4 Adatvédelmi jogszabályok Infotv évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról GDPR - Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről Információbiztonsági jogszabályok Ibtv évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről évi CLV. törvény a minősített adat védelméről Szakterületekre vonatkozó jogszabályok Szakterületi jogszabályok, amelyek hatással vannak az IT biztonságra is évi LXIX. Törvény a pénzintézetekről és a pénzintézeti tevékenységről évi LXXXVIII. Törvény a biztosítási tevékenységről SOX - a gazdasági társaságok éves beszámolóinak ellenőrzéseire ill. valódiságukra vonatkozóan 4

5 Termék fókuszú szabványok TCSEC Orange Book of DoD: 1985 ITSEC - Európai Közösség: 1991 Commaon Criteria 3.1. Rev április Általános ISO szabványok ISO/IEC információbiztonság teljes körű tanúsításához ISO kockázatmenedzsment ISO üzletmenet folytonosság menedzsment

6 CobiT Control Objectives for Information and Related Technology ISACA (Information Systems Audit and Control Association) Honlap: Nemcsak biztonság, hanem fejlesztési, üzemeltetési, auditálási, kockázatelemzési, IT irányítási kérdések is Jelen verziója CobiT 5 ITIL Information Technology Infrastructure Lirary OGC (Office of Government Commerce) Honlap: weblap ITIL, az IT szolgáltatásmenedzsment bevált gyakorlata Jelen verziója ITIL V3 Az Informatikaszolgáltatás menedzsment szabvány az ISO/IEC MIBA - Magyar Informatikai Biztonsági Ajánlások KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Megjelenés éve: 2008 június

7 Miért építsünk szabványokra Bevált gyakorlatra épülnek Nem kell újra és újra feltalálni a spanyolviaszt, hiszen vannak kipróbált a gyakorlatban működő megoldások Bevezetésük hatékonyságot és szabályozott működést eredményez Útmutatót tartalmaznak Az útmutató támogatja a szabvány bevezetését Ellenőrzési szempontrendszert tartalmaznak Megfelelőség ellenőrzés Megvalósulás ellenőrzés Tanúsíthatók független, akkreditált tanúsító szervezet által

8 Termék fókuszú szabványok TCSEC, ITSEC, Common Criteria Az ITSEC a TCSEC filozófiáját követi, IT rendszerek logikai védelmére fókuszálnak Funkcionális és minősítési követelmények Nem tárgyalják az adminisztratív, szervezeti, személyi és fizikai kérdéseket nem teljes körűek Elsősorban az IT termékek gyártóit támogatják és nem az üzemeltetőket, a termékre koncentrálnak, a termékre vonatkozó követelményrendszert állítanak fel. Az üzemeltetőknek ez a gyakorlatban kevés. CC: A követelmények árnyaltabbak, lehetőség van kifejezetten biztonsági termékek (pl. tűzfal) alaposabb biztonsági minősítésére. Példák: A Microsoft Windows NT Workstation Version 4.0 ill. Windows NT Server Version 4.0 operációs rendszerek a TCSEC C2 biztonsági csoportba lettek besorolva 1999-ben. Sun Solaris 2.6 operációs rendszer az ITSEC E3 biztonsági csoportba lett besorolva 1999-ben. A Cisco Secure PIX Firewall a CC EAL4 biztonsági osztályba lett besorolva 2001-ben

9 A TCSEC egymásra épülő biztonsági csoportokat definiál A csoport Bizonyított védelem B csoport Kötelező és ellenőrzött védelem (B1, B2, B3) C csoport Szelektív és ellenőrzött védelem (C1, C2) D csoport Minimális védelem (érdemtelen pl. MDOS)

10 A TCSEC C csoportjának követelményei C1: Korlátozott védelem DAC (Discretionary Access Control): Az objektumoknak tulajdonosai vannak, a tulajdonosok és privilegizált felhasználók az objektumokat mások számára megoszthatják ID (Identification):Azonosítható és ellenőrizhető felhasználók (nevek, jelszavak) A termék jól dokumentált legyen (tartalom+forma) C2: Ellenőrzött védelem A C1 osztály követelményei Audit: biztonsági események naplózása Object reuse: Az objektumok nem újrahasznosíthatók (Egy erőforrás - kazetta, printer, file - használatba vételkor ne tartalmazzon értelmezhető információt)

11 A TCSEC D csoportjának követelményei B1: Címkézett védelem C2 osztály követelményei MAC (Mandatory Access Control):Az objektumoknak és szubjektumoknak címkéi vannak, a hozzáférés az objektuménál gyengébb címkével nem lehetséges B2: Strukturált védelem B1 osztály követelményei Trusted Path (biztonságos kommunikációs csatorna a távoli felhasználó és a számítógép között) Device Label (eszközönként meghatározott, hogy milyen érzékeny adatok tárolhatók rajta) Structured Protection (A rendszer jól definiált formális modell alapján épül fel) B3: Biztonsági tartományok B2 osztály követelményei A biztonsággal kapcsolatos kódok áttekinthetők, jól elválaszthatók az op. rendszer egyéb részeitől Biztonsági adminisztrátor alkalmazása

12 A TCSEC A csoportjának követelményei A1: Bizonyított védelem B2 osztály követelményei Formális módszerek Titkos csatorna elemzéshez Tervezési specifikációhoz és ellenőrzéshez Megbízható terjesztés Formális felső szintű specifikáció

13 ITSEC Szükségesség A különböző európai országok saját szabványokat dolgoztak ki A gyártókánk egységes követelményrendszerre volt szükségük A TCSEC főleg operációs rendszerekre volt alkalmazható Tulajdonságai A TCSEC-hez hasonlóan hierarchikus követelményrendszer Hét értékelési szintet határoz meg az értékelési cél helyességének megbízhatóságára vonatkozóan 10 funkcióosztályt határoz meg, amelyek rendszerspecifikus követelményeket tartalmaznak

14 Az ITSEC értékelési szintjei E0 Ez a szint nem megfelelő bizonyosságot jelent E1 Az értékelési célhoz lennie kell biztonsági célkitűzésnek lennie kell informális architektúra terv leírásnak A funkcionális teszteknek azt kell jelezniük, hogy az értékelési cél megfelel a biztonsági célkitűzésének

15 Az ITSEC értékelési szintjei E2 - Az E1 követelményein túl Lennie kell informális leírásnak a részletes tervezéshez. A funkcionális tesztelés elvégzésének bizonyítékát ki kell értékelni. Lennie kell egy konfigurációskezelési rendszernek és egy jóváhagyott terjesztési eljárásnak. E3 Az E2 követelményein túl A biztonsági funkciókhoz tartozó forráskódot és hardver ábrákat ki kell értékelni. A biztonsági funkciók tesztelésének bizonyítékait ki kell értékelni

16 Az ITSEC értékelési szintjei E4 - Az E3 követelményein túl Lézeznie kell a biztonsági célt támogató biztonsági politika alapjául szolgáló formális modellnek. A biztonsági funkciókat, a architektúra terveket és a részletes terveket félig formális módon kell specifikálni. E5 Az E4 követelményein túl A részletes tervezés és a forráskód és/vagy hardver ábrázolás között szoros megfeleltetésnek kell lennie

17 Az ITSEC értékelési szintjei E6 - Az E5 követelményein túl A biztonsági funkciókat és az architektúra terveket formális módon kell specifikálni összhangban a meghatározott biztonsági politika alapjául szolgáló formális modellel

18 Az ITSEC biztonsági osztályai F-C1, F-C2, F-B1, F-B2, F-B3 A TCSEC biztonsági osztályaiból származtatott biztonsági osztályok Főképpen operációs rendszerekre alkalmazhatók F-IN Az adatok és programok integritásának biztosításához. Pl. Adatbáziskezelő rendszerek esetében

19 Az ITSEC biztonsági osztályai F-AV Magas rendelkezésre állású rendszerekhez Javasolt ipari vezérlőegységek esetében F-DI Adatok integritásának biztosítása adatcsere esetében

20 Az ITSEC biztonsági osztályai F-DC Azon értékelési célok számára, amelyeknek maximális bizalmasságot kell biztosítani adatcsere során Pl. kriptográfiai rendszerek F-DX Olyan hálózatokhoz, amelyeknek magas bizalmassági és integritási követelményeket kell biztosítaniuk az adatcserék során Pl. ha az érzékeny információkat nem biztonságos hálózatokon keresztül kell kicserélni

21 Common Criteria CC tulajdonságai Az ITSEC alapötletét követi 11 funkcionális osztályt határoz meg, amelyekben részletei a funkcionális követelményeket Az osztályokban belül családok és azokon belül komponensek vannak amelyeket külön jelölnek A komponensek a követelményekre vonatkozó kifejezések

22 A Common Criteria funkcionális osztályai FAU FCO FCS FDP FIA FMT FPR FPT FRU FTA FTP Security audit Biztonsági audit Communication Kommunikáció Cryptographic support Kriptográfiai támogatás User data protection Felhasználói adatok védelme Identification and authentication Azonosítás és autentikáció Security management Biztonság menedzsment Privacy Adatvédelem (személyes adatok) Protection of the TSF (TOE Security Functions) - A biztonsági funkciók értékelési céljának védelme Resource utilisation erőforrás gazdálkodás TOE access (Target of Evaluation) értékelési célok hozzáférhetősége Trusted path/channels Biztonságos csatornák

23 A Common Criteria értékelési szintjei EAL7 EAL6 EAL5 EAL4 EAL3 EAL2 EAL1 Formally verified design and tested formálisan ellenőrzött tervezés és tesztelés Semiformally verified design and tested félig formálisan ellenőrzött tervezés és tesztelés Semiformally designed and tested - félig formális tervezés és tesztelés Methodically designed, tested, and reviewed módszeres tervezés, tesztelés és felülvizsgálat Methodically tested and checked módszeresen tesztelt és ellenőrzött Structurally tested strukturálisan tesztelt Functionally tested funkcionálisan tesztelt

24 ISO/IEC szabványcsalád Az ISO/IEC es szabványcsalád Az információbiztonsági irányítási rendszerekkel kapcsolatos szabványokat tartalmazza, melyek egy része előkészítés, illetve korszerűsítés alatt áll, többségük azonban már megjelent és folyamatos korszerűsítés alatt áll. Fordítás Az egyes szabványok többsége magyar szabványként, magyar nyelven nem létezik. Központi elemek A szabványcsaládon belül központi helyet foglal el az ISO/IEC ill. ISO/IEC szabvány. ISO27000: A szabványcsalád áttekintését és a valamennyi szabványra érvényes fogalomtárat tartalmazza ISO27001: Általános követelmények

25 ISO/IEC szabványcsalád ISO 27000: Áttekintés és szótár ISO 27001: Követelmények Útmutatók: ISO 27002: Code practice ISO 27003: Bevezetés Audit: ISO 27006: Követelmények ISMS tanúsítóknak ISO 27007: ISMS auditálás útmutató ISO 27008: IS kontroll audit útmutató Biztonsági területek, ágazatok: ISO 27004: Mérés ISO 27005: Kockázat mgmt. ISO 27035: Incidens mgmt. ISO 27031: Folytonosság ISO x: Hálózat biztonság ISO x: Alkalmazás biztonság ISO x: Telekommunikáció ISO x: ISM egészségügyben Forrás: Móricz Pál, Szenzor Gazdaságkutató KFT

26 MSZ ISO/IEC Célja Teljes kőrű információbiztonság megvalósítása szervezeten/szervezeti egységen belül Felépítése Kockázatfelmérés és kockázatjavítás Biztonságpolitika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés ellenőrzés Információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása Megfelelőség

27 MSZ ISO/IEC fejezetei Kockázatfelmérés és kockázatjavítás A kockázatok felmérése A kockázatok értékelése A kockázatok csökkentése Rendszeres tevékenység! Biztonságpolitika A felsővezetés elkötelezettségének kinyilvánítása az informatikai biztonság kialakításához Dokumentált informatikai biztonsági politika A vállalat számára legfontosabb biztonsági elvek, szabványok és követelmények meghatározása Az informatikai biztonság pontos meghatározása, tárgya, keretei, a biztonság fontossága

28 MSZ ISO/IEC fejezetei Az információbiztonság szervezete Szervezet kialakítása szükséges az irányított informatikai biztonság megvalósításához. (Vezetői fórum, a szervezet működtetése, koordináció kialakítása, szerepkörök, felelősségek meghatározása, szervezeti együttműködés, tanácsadás, független felülvizsgálat létrehozása) Harmadik féllel kötött szerződések informatikai biztonsági követelményei (titoktartási nyilatkozat, garanciák stb.) Az outsourcing(kiszervezés, vállalkozásba adás) biztonsági szempontjai (a szerződésnek külön kell foglalkoznia a biztonsággal) Segregation of duties (feladatkörök szétválasztása)

29 Vagyontárgyak kezelése MSZ ISO/IEC fejezetei Vagyonleltár A felelősségek meghatározása az informatikai vagyon védelmére, az adatgazdák kijelölése, a szervezet adatvagyonának (adatbázisok, alkalmazások, rendszerszoftverek, dokumentációk stb.) felmérése, nyilvántartásba vétele, felelősök névjegyzékének felvétele Információ osztályozási alapelvek és kategóriák, adatok biztonsági osztályozása (nyilvános, belső, bizalmas, szigorúan bizalmas stb.) Az információ minősítése, címkézése, kezelése

30 MSZ ISO/IEC fejezetei Emberi erőforrások biztonsága Az alkalmazás feltételei (belépéskor, az alkalmazás folyamán ill. kilépéskor) Munkaköri leírások biztonsági előírásai (biztonsági szerepkörök meghatározása, átvilágítás, a dolgozói titoktartás, alkalmazási feltételek: végzettség, tapasztalat, referenciák) Felhasználói oktatás (informatikai biztonsági oktatás és training) Biztonsági események és üzemzavarok kezelése (biztonsági események, veszélyek jelentése, rögzítése, a tapasztalatok feldolgozása, fegyelmi eljárások)

31 MSZ ISO/IEC fejezetei Fizikai és környezeti biztonság Védett és nem védett területek meghatározása (beléptetés rendje, a beléptetés fizikai eszközei, a munkavégzés szabályainak rögzítése, a védelmi rendszerek: beléptető, monitoring és riasztórendszerek kialakítása) Az informatikai eszközök védelme (elhelyezés, szünetmentes energiaellátás, a kábelezés biztonsága, karbantartási szabályok, védelem üzemi területen kívül, hordozható gépek biztonsága, berendezés újrafelhasználás biztonsága) Általános védelmi előírások (védekezés a jogtalan eltulajdonítás ellen: üres íróasztal politika, üres képernyő politika, eszköz kiszállítás szabályozása)

32 MSZ ISO/IEC fejezetei A kommunikáció és az üzemeltetés irányítása Üzemeltetési eljárások és felelősségek (dokumentálás, változások követése, fejlesztői és üzemeltetői környezet elkülönülése, fejlesztői és üzemeltetői munkakörök szétválasztása, üzemeltetés külső helyszínen) Rendszerek tervezése és átvétele (üzemeltetés kapacitásának tervezése) Vírusvédelem Rendszerháztartási feladatok (biztonsági másolatok, operátori és rendszernaplók készítése) A hálózat védelme Adathordozók kezelésének biztonsága Információ és szoftvercsere

33 Hozzáférés ellenőrzés MSZ ISO/IEC fejezetei A hozzáféréseket meghatározó üzleti követelmények (mindenkinek csak annyi jogosultsága lehet, amennyi a munkája végzéséhez szükséges) A felhasználói hozzáférések kezelése A felhasználó felelősségek (jelszóhasználati szabályok, felügyelet nélkül hagyott eszközök) Hálózati hozzáférés ellenőrzés Hozzáférési jogosultságok az op. rendszerhez Az alkalmazások hozzáférési szabályozása Hozzáférések és a rendszerhasználat ellenőrzése Hordozható eszközök és távmunka

34 MSZ ISO/IEC fejezetei Informatikai rendszerek beszerzése, fejlesztése és karbantartása Rendszerek biztonsági követelményei (analízis és specifikációk) Az alkalmazási rendszerek biztonsága (beviteli és feldolgozási kontrollok, kimeneti hitelesítés) Kriptográfiai kontrollok (rejtjelezés, digitális aláírás, letagadhatatlanság, kulcsok védelme) Rendszerállományok biztonsági követelményei Rendszer fejlesztések és karbantartások biztonsága

35 MSZ ISO/IEC fejezetei Az információbiztonsági incidensek kezelése HelpDesk biztosítása és szabályozott jelentési folyamat Az incidensek kezelése Tanulás az információbiztonsági incidensekből Bizonyítékok gyűjtése A működés folytonosságának irányítása A működésfolytonosság fenntartásának szempontjai A kockázatok felmérése Működésfolytonossági tervek (BCP, DRP)* készítése és bevezetése Működésfolytonossági tervek tesztelése, értékelése A működésfolytonossági tervek karbantartása, felülvizsgálata, oktatása, tárolása, tesztelése

36 Megfelelőség MSZ ISO/IEC fejezetei A jogi követelményeknek és szabványoknak való megfelelés (az alkalmazható jogszabályok meghatározása, a szellemi tulajdon védelme, az adatvédelem és a személyes adatok védelme, kriptográfiai szabályok betartása, jogkövetkezményű bizonyítékok rögzítése) Az információvédelmi politika és a technikai megfelelőség felülvizsgálata Rendszerauditok működése, védelme

37 Magyar Informatikai Biztonsági Ajánlások (MIBA) Célja A Magyar Informatikai Biztonsági Ajánlások (MIBA) című ajánlássorozat fı célja, hogy biztonságos informatikai rendszerek kialakítását és fenntartását segítse elő. Nemzetközi szabványokhoz és ajánlásokhoz igazodva három részből áll A Magyar Informatikai Biztonsági Keretrendszer (MIBIK) szervezeti szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBIK a biztonságos informatikai rendszerek irányításáért, menedzseléséért felelős vezetőknek, illetve a szervezet egészére vonatkozó követelmények teljesülését értékelő szakembereknek szól. A Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma (MIBÉTS) technológiai szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBÉTS célközönsége az informatikai rendszer kialakításáért, fejlesztéséért felelős vezetők, valamint az informatikai termékek és rendszerek biztonsági értékelését és tanúsítását végző szakemberek köre. Az Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) olyan szervezeteknek nyújt segítséget biztonságos informatikai rendszereik kialakításához, amelyek nem rendelkeznek jelentősebb informatikai rendszerrel, illetve ehhez elkülönült informatikai személyzettel. Forrás: MIBÉTS

38 Magyar Informatikai Biztonsági Keretrendszer (MIBIK) Felépítése A MIBIK az ISO/IEC 27001:2005, ISO/IEC 27002:2005 és az ISO/IEC TR nemzetközi szabványokon, valamint az irányadó EU és NATO szabályozáson alapul. MIBIK része az Informatikai Biztonsági Irányítási Rendszer (IBIR), amely a szervezet informatikai biztonságának tervezésére, üzemeltetésére, ellenőrzésére és javítására vonatkozik. A MIBIK része az Informatikai Biztonság Irányítási Követelmények (IBIK), amely az informatikai biztonság kezelésének hatékonyabbá tételéhez nyújt segítséget, lehetőséget teremtve a követelmények és feladatok szakmailag egységes kezelésére. A MIBIK része az Informatikai Biztonsági Irányítás Vizsgálata (IBIV), amely az informatikai biztonság ellenőrzéséhez ad módszertani segítséget. Forrás: MIBÉTS

39 Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) Felépítése és célja Az ISO/IEC 15408:2005 és ISO/IEC 18045:2005 nemzetközi szabványokon, illetve a nemzetközi legjobb gyakorlatokon és nemzeti sémákon alapul. Keretet biztosít arra, hogy az informatikai termékek és rendszerek tekintetében a biztonsági funkciók teljessége és hatásossága értékelésre kerüljön. Értékelési módszertana alkalmas az operációs rendszerek, hardverek, szoftver-alkalmazások, (pl. különböző programnyelveken megírt kritikus alkalmazások) speciális biztonsági szempontjainak értékelésére. Megbízható harmadik felek által végzett biztonsági ellenőrzés és audit egységes szempontrendszerét alkotja. Forrás: MIBÉTS

40 Célja Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) Segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati és más informatikai szempontból kis méretű környezetben. Javasolt az anyag azon szervezetek számára, ahol a szervezet méreténél fogva nem áll rendelkezésrekülön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. Forrás: MIBÉTS

41 Biztonság kiépítése és fenntartása Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás Az Informatikai Biztonság Irányítási Rendszer létrehozása és működtetése a szervezeten belül IBIR alkalmazása Új informatikai rendszer bevezetése Védelmi követelmények megfogalmazása Informatikai Biztonsági Szabályzat (IBSZ) elkészítése, meglévő aktualizálása (érettségi szinttől függően) IBIK alkalmazása Új informatikai termék vagy rendszer kiválasztása védelmi követelmények alapján az alkalmazás biztonság-kritikusságának felmérése szükség esetén a védelmi (biztonsági) követelményeknek megfelelő, értékelt és tanúsított termékek kiválasztása MIBÉTS 1. számú melléklet: Modell és folyamatok Forrás: MIBÉTS

42 Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás Biztonság-kritikus termék technológiai szempontú értékelése tanúsítása Amennyiben nincs megfelelően értékelt termék, vagy a termék egy olyan komplex rendszerben kerül alkalmazásra, melynek egységes értékelése is szükséges, a termék vagy a rendszer technológiai szempontú értékeltetése és tanúsíttatása MIBÉTS 2. számú melléklet: Útmutató megbízóknak Biztonság-kritikus termék és rendszer technológiai szempontú értékelése és tanúsítása Szervezeten kívüli feladat Technológiai szempontú értékelésben és tanúsításban érintett külső résztvevők (fejlesztő, vizsgáló laboratórium, tanúsító szervezet) végrehajtják az értékelést és tanúsítást MIBÉTS ajánlás: 3., 4. és 5. számú segédletek (Útmutató fejlesztőknek, Útmutató értékelőknek, Értékelési módszertan) Forrás: MIBÉTS

43 Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás A beszerzett termékek és rendszerek biztonságos üzemeltetése A biztonsági szabályozók és a termék által teljesített (értékelt) biztonsági funkciók feltételrendszerének összhangba hozása IBIK ajánlás A rendszerek és adatok minősítése, a hiányosságok megállapítása Kockázatelemzés Belső ellenőrzések elvégzése Külső audit megrendelése és elfogadása IBIV ajánlás Forrás: MIBÉTS

44 MSZ ISO/IEC TR :2004 MSZ ISO/IEC TR :2004 MSZ ISO/IEC TR :2004 MSZ ISO/IEC TR :2004 Informatika. Az informatikai biztonság menedzselésének irányelvei. 1. rész: Az informatikai biztonság fogalmai és modelljei Informatika. Az informatikai biztonság menedzselésének irányelvei. 2. rész: Az informatikai biztonság menedzselése és tervezése Informatika. Az informatikai biztonság menedzselésének irányelvei. 3. rész: Az informatikai biztonság menedzselésének technikái Informatika. Az informatikai biztonság menedzselésének irányelvei. 4. rész: A biztonsági ellenintézkedések megválasztása 44 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

45 MSZ ISO/IEC TR :2004 Informatika. Az informatikai biztonság menedzselésének irányelvei. 5. rész: A hálózatbiztonság menedzselési útmutatója MSZ ISO/IEC :2001 MSZ ISO/IEC :2001 Információtechnika. Biztonságtechnika. Letagadhatatlanság. 1. rész: Általános ismertetés Információtechnika. Biztonságtechnika. Letagadhatatlanság. 2. rész: Szimmetrikus technikákon alapuló módszerek MSZ ISO/IEC :2001 Információtechnika. Biztonságtechnika. Letagadhatatlanság. 3. rész: Aszimmetrikus technikákon alapuló módszerek 45 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

46 MSZ ISO/IEC :2005 Informatika. Biztonságtechnika. Kulcsgondozás. 1. rész: Keretrendszer MSZ ISO/IEC :2004 Informatika. Nyílt rendszerek összekapcsolása. Névtár: A nyilvánoskulcs- és az attribútumtanúsítvány keretszabályai MSZ ISO/IEC :2001 MSZ ISO/IEC :2001 Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 1. rész: Általános ismertetés Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 2. rész: Azonosítás alapú módszerek 46 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

47 MSZ ISO/IEC :2001 Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 3. rész: Tanúsítvány alapú módszerek MSZ ISO/IEC 15945:2002 Informatika. Biztonságtechnika. Ajánlás/nemzetközi szabvány bizalmi harmadik fél (TTP) digitális aláírások alkalmazását támogató szolgáltatásaira 47 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

48 Köszönöm a figyelmet!