Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos
2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körő, folytonos és kockázatokkal arányos védelmét.
Adatok és elemek védelme Logikai (rendszerekben alkalmazott védelmi megoldások pl. jogosultságok) Fizikai (pl. elkülönített szerverterem) Adminisztratív Politika Stratégia Szabályzatok Utasítások Eljárásrendek
Mire jó az IBSZ? Szervezett, átlátható, ellenırizhetı mőködés és környezet Információbiztonsággal kapcsolatos feladatok, felelısségek meghatározása Számonkérhetıség alapja Külsı auditokra történı felkészülés elısegítése A mit szabad és mit nem egyértelmő meghatározása az információbiztonság területén A szabályzat akkor fejti ki pozitív hatását ha a szervezet minden munkatársa, megismeri és elfogadja (és betartja)
Javasolt tartalom ISO 27001-27002 információbiztonsági szabvány alapján Nemzetközileg elfogadott Minden területre kiterjed Csak a releváns területekre vonatkozóan
ISO 27001 fı területei Biztonsági irányelvek Az információ-biztonság szervezete Vagyontárgyak kezelése Az emberi erıforrások biztonsága Fizikai védelem és a környezet védelme A kommunikáció és az üzemeltetés irányítása Hozzáférés-ellenırzés Információs rendszerek beszerzése, fejlesztése és fenntartása Információbiztonsági incidensek kezelése Mőködés folytonosságának irányítása Követelményeknek való megfelelés
Jogosultságkezelés Az egyes rendszerekre vonatkozóan mely felhasználó mihez férhet hozzá, milyen jogosultsággal (csak olvasás, írás, stb.) Folyamat leírása Ki igényelhet Ki hagyja jóvá Ki állítja be Ellenırzés
Változáskezelés Az informatikai rendszer elemeiben (szoftver, hardver) bekövetkezı változtatások ellenırzött folyamata (a szervezet mindig legyen tisztában informatikai környezetének összetevıivel) Ki kezdeményezhet Ki hajtja végre TESZTELÉS
Vírusvédelem Az informatikai rendszerek alapvetı védelmi zónája Felhasználók mit tehetnek és mit nem Nem kapcsolhatják ki Ha jelez a rendszer értesítsék az IT-t Rendszeradminisztrátoroknak mi a teendıjük Rendszeres frissítés Rendszeres ellenırzés futtatása Riasztás esetén teendık
Mentések A rendszerben tárolt adatokról, valamint a környezetrıl rendszeres mentéseket kell készíteni, esetleges sérülés, adatvesztés esetére, a folyamatos mőködıképesség biztosítására, az adatok helyreállíthatósága érdekében Folyamat leírása feladatok, felelısök Mentési rend (általában külön dokumentum) részletesen mit, milyen médiára, hogyan VISSZATÖLTÉSI TESZTEK
Internet és e-mail használata Az Internet (és az e-mail) nagy lehetıségeket nyújt, de hasonló veszélyeket is Mi az amit lehet és mi az amit tiltunk (technológiai, illetve szabályzati akadály ) E-mail használat Magán levelek kezelése Téves levelek kezelése Tömeges levélküldés (pl. csak a közönségkapcsolatokkal foglalkozó területen dolgozóknak engedélyezett)
Mobil eszközök használata Egyre nagyobb igény (BYOD) Nehezen menedzselhetı központilag Általában igen heterogén eszközpark Nagy kockázatokat hordoz Lopás Elvesztés Ártó kódok ellen általában védtelen Illetéktelenek számára sokkal hozzáférhetıbb, mint az irodákban elhelyezett informatikai eszközök
Továbbiak Nem csak informatika, hiszen információbiztonságról beszélünk Az információ nem csak informatikai eszközökön jelenik meg Papír - Iratkezelés Munkatársak ismeretei HR intézkedések
Felhasználókkal szembeni elvárások Javasolt az IBSZ-bıl, illetve egyéb szabályzatokból az általános minden munkatársra vonatkozó részeket kivonatolni OKTATÁS Nagyobb elfogadottság Nagyobb tudatosság Magasabb szintő biztonság
Kérdések