TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL 1
A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: 2
1. Metaadat-táblázat Megnevezés Cím (dc:title) Kulcsszó (dc:subject) Leírás (dc:description) Típus (dc:type) Forrás (dc:source) Kapcsolat (dc:relation) Terület (dc:coverage) Létrehozó (dc:creator) Kiadó (dc:publisher) Résztvevı (dc:contributor) Jogok (dc:rights) Dátum (dc:date) 2008.07.28. Formátum (dc:format) Azonosító (dc:identifier) Nyelv (dc:language) Verzió (dc:version) Státusz (State) Fájlnév (FileName) Méret (Size) Ár (Price) Felhasználási jogok (UserRights) Leírás TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL IT biztonság; útmutató; IT biztonsági követelmény A dokumentum célja segítséget adni az IT biztonság szempontjainak érvényesítéséhez a fejlesztési projektekben. Elsısorban gyakorlati jellegő információkat tartalmaz, amelyek alapján az IT biztonság kialakításának és ellenırzésének lépései megismerhetıek és megtervezhetıek. e-közigazgatási Keretrendszer Kialakítása projekt Miniszterelnöki Hivatal BME Informaikai Központ V1 Végleges EKK_ekozig_ITbiztonsagiutmutato_080728_V1 3
2. Verziókövetési táblázat A dokumentum neve TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL A dokumentum készítıjének neve BME Informaikai Központ A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma 2008.07.28. Verziószám V1 Összes oldalszám 86 A projekt azonosítója e-közigazgatási Keretrendszer Kialakítása projekt 2.1. Változáskezelés Verzió Dátum A változás leírása V1 2008.07.28 MeH-nek átadott verzió V2 V3 4
3. Szövegsablon Megnevezés 1. Elıszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyőjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14. Mellékletek (Appendix) Leírás 5
4. Tartalomjegyzék Tartalom 1. Metaadat-táblázat... 3 2. Verziókövetési táblázat... 4 2.1. Változáskezelés 4 3. Szövegsablon... 5 4. Tartalomjegyzék... 6 5. Bevezetés... 8 6. Az IT biztonság helye a fejlesztési projektekben... 9 6.2. A környezet specialitásai 9 6.3. Biztonsági alapfogalmak 10 6.4. Biztonsági célok 11 6.5. Követelmények 12 6.6. Elérés módja 13 6.7. Alapvetı elvek 14 7. A biztonság megvalósításának folyamata... 15 7.8. Helyzetfelmérés 15 7.9. Kockázatelemzés 16 7.10. Védelmi intézkedések 18 8. Védelmi intézkedések meghatározása... 19 8.11. Fizikai biztonsági kérdések 19 8.12. Központi számítógéptermekkel szemben támasztott követelmények 20 8.13. Általános követelmények 20 8.14. Szakágankénti elemzés 22 8.14.1. Géptermi fizikai környezet (építészet, statika) 22 8.14.2. Objektumon belüli helyiségkiosztás és biztonsági elvárások 23 8.14.3. Statikai szempontok és megközelíthetıség 24 8.14.4. Számítógépterem határoló szerkezetek építészeti szempontból 25 8.14.5. Moduláris géptermi határoló szerkezetek 26 8.14.6. Rezgés- és zajvédelem 26 8.14.7. Megelızı intézkedések 27 8.14.8. Zajterhelés 27 6
8.14.9. Rezgésvédelem 27 8.14.10. Épületgépészet és technológiai hőtés 28 8.14.11. Tervezés 28 8.14.12. Hőtési rendszer méretezése 29 8.14.13. Alkalmazható technológiák 29 8.14.14. Üzemeltetési szempontok 31 8.14.15. Frisslevegı ellátás és légtechnikai kivitelezés 31 8.14.16. Katasztrófaesetek elleni védelem (passzív és aktív tőzvédelem) 33 8.14.17. Megelızı intézkedések (adminisztratív védelem) 34 8.14.18. Számítógépterem határoló szerkezetek katasztrófavédelmi szempontból 35 8.14.19. Aktív tőzvédelem 36 8.14.20. Elektromos ellátó rendszerek 38 8.14.21. Energiaellátási alapkoncepció, redundancia szintek 38 8.14.22. Méretezési szempontok 39 8.14.23. Villamos rendszerekkel szembeni követelmények 40 8.14.24. Túlfeszültség- és villámvédelem 42 8.14.25. Elektromágneses zavarvédelem 43 8.14.26. EM védelem tervezésének lépései 43 8.14.27. Géptermi hálózatok és kommunikációs kapcsolatok 44 8.14.28. Objektumvédelem 46 9. Decentrális géptermekkel szemben támasztott követelmények... 49 10. Technológiai leírások... 51 10.14.29. Géptermi határoló felületek kialakítási lehetıségei 52 10.14.30. Rezgésvédelmi megoldások a számítógépteremben 55 10.14.31. Technológiai hőtés mőszaki leírása 55 10.14.32. Releváns tőzérzékelési megoldások technológiai összehasonlítása 59 10.14.33. Releváns oltórendszerek technológiai összehasonlítása 61 10.14.34. Áramellátási lehetıségek mőszaki leírása 63 10.14.35. EMC árnyékolási megoldások 64 10.14.36. Objektumvédelmi koncepció 67 10.14.37. Számítógépterem biztonságos üzemeltetése integrált távfelügyeleti rendszerrel 71 10.14.38. Informatikai kérdések 72 10.15. Azonosítás és ellenırzés 75 10.16. Nyomonkövetés, naplózás, auditálás 77 11. Ellenırzés... 79 11.17. Etikus hekkelés 79 11.18. Eszközök a vizsgálathoz 80 7
5. Bevezetés Az informatikai biztonság megvalósítása az elméleti megalapozáson túl jelentıs mennyiségő gyakorlati kérdést is felvet. Az anyag ezekre a gyakorlati jellegő kérdésekre világít rá, ellenırzı listaként, sorvezetıként használható. Kiindulhatunk a biztonság definíciójából. Informaációt akkor tekintünk biztonságban lévıknek, ha a következı három feltétel teljesül: Bizalmasság (Confidentiality): az információhoz csak az arra feljogosítottak férhetnek hozzá. Ez a gyakorlatban azt vonja maga után, hogy biztosítani kell, hogy illetéktelenek vagy ne férhessenek hozzá az adathoz, vagy az adatok olyan formában pl. titkosítva legyenek hozzáférhetıek, hogy azt csak az arra jogosultak (személyek, rendszerek) tudják értelmezni. Sértetlenség (Integrity): az információt csak az arra feljogosítottak módosíthatják. Más szóval ez azt jelenti, hogy az adat mindig olyan állapotban legyen, ahogy az utolsó, módosításra jogosult hagyta. Gyakorlatban meg kell akadályozni a módosítás jellegő hozzáféréseket, illetve megfelelı módszerekkel biztosítani kell a jogosulatlan, vagy véletlen módosítások felismerését és az eredeti állapot visszaállítását. A sértetlenség körébe tartozik a letagadhatatlanság (nonrepudiation), az elszámoltathatóság (accountability) és a hitelesség (authenticity). Letagadhatatlanság alatt azt értjük, hogy az információ jogosult módosítója vagy elıállítója ne tudja letagadni ezt a cselekedetet. Ez nyilvánvalóan alapvetı fontosságú például az elektronikus úton indított közigazgatási eljárások, stb. esetében. Az elszámoltathatóság annak biztosítása, hogy az információval kapcsolatos mőveletek végrehajtója késıbb azonosítható legyen. Ez többek között megfelelı naplózással biztosítható. A hitelesség a sértetlenség bizonyíthatósága. Ennek tipikus eszköze az elektronikus aláírás. Elérhetıség (Availability): az információ rendelkezésre áll az arra feljogosítottak számára. Biztosítani kell, hogy a rendszer, amely az adatot szolgáltatja mőködıképes legyen, ne lehessen támadással megbénítani, mőszaki hiba esetén sem semmisüljenek meg az adatok és az információ értelmezhetı formában álljon rendelkezésre. Ezt a hármast szokás az angol rövidítések alapján CIA elvnek nevezni Az informatikai biztonság kialakítása során a cél ezen három feltétel megvalósítása és meglétüknek folyamatos fenntartása. Fontos tudni, hogy az informatikai biztonság által megvalósított célok nem abszolút célok, és csak valamilyen igényszintnek megfelelıen értelmezhetıek. Nyilvánvaló például, hogy másként kell értelmezni és biztosítani a rendelkezésre állást és házi számítógép és egy elektronikus piactér esetében. Az önkormányzati környezet esetében számos jogszabály és elıírás határozza meg a biztonság igényszintjét, és a megvalósítás során elérendı célokat. 8
6. Az IT biztonság helye a fejlesztési projektekben 6.2. A környezet specialitásai A Ket. által megkövetelt informatikai biztonsági környezetet a 195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról, együttmőködési képességérıl és egységes használatáról definiálja. A rendeletben foglaltak megfelelnek az általános informatikai biztonsági alapelveknek és céloknak, azonban ezeket pontosítják a környezetre vonatkozó kötelezı érvényő elıírásokkal. A rendelet több alapvetı megállapítást tesz, amely igen lényeges a biztonság szempontjából: Minıségirányítási rendszerrel kell rendelkezni, amely magában foglalja a biztonsági követelményeket (6. ), és ezt megfelelı dokumentációs rendszerrel támasztja alá (8. ). Mindez hangsúlyozza a biztonság folyamatszerő megközelítését, amely a helyesen kialakított célrendszerre, megfelelıen elvégzett tervezésre és kivitelezésre valamint a folyamatos üzemeltetésre épül. A 4.1-4.6 fejezet ismerteti az ennek során végrehajtandó lépéseket és elkészítendı dokumentumokat. A 9. ismerteti a kockázatelemzés fontosságát. Kiemelendı a 9. (1), amely kimondja, hogy A hatóság az informatikai célrendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik az informatikai célrendszer kockázatokkal arányos védelmérıl a tervezés, a beszerzés, az elıállítás, az üzemeltetés és a felülvizsgálat területén. Azaz elıírja, hogy a biztonsági rendszert periódikusan felül kell vizsgálni, reagálni kell a változó környezet által támasztott igényekre. A kétévenkénti felülvizsgálatot célszerő sőríteni, ha jelentıs változás áll be A 4.2-4.3 fejezet bemutatja a helyzetfelmérés és a kockázatelemzés folyamatát. A 10. felhívja a figyelmet a biztonsági osztályba sorolásra, amely a helyzetelemzés-kockázatelemzés része. A 12. az informatikai rendszerek kiszervezésérıl szól és tükrözi azt az elvet, hogy az informatikai biztonság során a teljeskörőségre kell törekedni, azaz a saját rendszerünk biztonságát befolyásolja minden ezzel kapcsolatban lévı más rendszer. Kiszervezés esetén legfontosabb az átláthatóság, azaz a kiszervezett rendszerbe olyan szintő rálátással kell rendelkeznünk, hogy megbizonyosodhassunk a biztonsági szempontból helyes megvalósításról illetve befolyásunk lehessen ebbıl a szempontból. (12. (1)). A 13. hasonló megállapításokat tesz az adatvédelem szempontjából. A rendelet biztonsági követelményeket állapít meg a 14. -ban meghatározott (gyak. a csak elektronikusan folytatható ügyek) területekre: Ügyfél azonosításával kapcsolatos követelmények (15. ). Az ügyfél azonosításnak meg kell akadályozni a késıbbi megszemélyesítést és meg kell akadályozni az elektronikus aláírással ellátott őrlapok újrafelhasználását (visszajátszását). Az elektronikus aláírás kérdéseivel a 8. fejezet foglalkozik. A naplózással kapcsolatos követelmények (16. ). A naplózásnak különös tekintettel ki kell térnie az ügykezelés minden lépésére, olyan szinten, hogy az ügykezelés minden mozzanata rekonstruálható legyen. A naplóállományokat megfelelı módon védeni kell. A naplózás megvalósítása elsısorban az adott alkalmazás feladata, de a követelményrendszerben ezt specifikálni kell. A rendelkezésre állással kapcsolatos követelmények (17. ). Ki kell dolgozni és biztosítani kell a rendszerek megfelelı szintő üzemeltetését illetve helyreállítási tervét. Az üzemeltetéssel foglalkozik az 5. fejezet. 9
A mentéssel és archiválással kapcsolatos követelmények (18., 19. ). A mentésnek biztosítani kell az ügyekhez kapcsolódó dokumentumok megırzését, helyreállíthatóságát és hitelességének megırzését. A mentési és üzeltmenetfolytonossági terv kialakítása során ezekre ki kell térni. A üzemeltetésrıl a 5. fejezet, az egyes rendszerekhez kötıdı alapvetı mentési beállításokról a 4.8. fejezet szól. A vírusok és más támadások elleni védelem követelményei. A rendszerek védelmét biztosítani kell a kártékony kódok és a támadások ellen. A 4.8 fejezet szól az alapvetı beállításokról és lehetıségekrıl ezen a területen. Az adattárolással (12. ) és adattovábbítással (22. ) kapcsolatos követelmények. A vizsgált környezetben elsısorban az adatvédelemmel kapcsolatos feladatok jelentkeznek az általános biztonsági követelmények felett. Az adattovábbítás biztonságában lényeges szerepet játszó tőzfalakról a 4.8.3, a titkosításról a 4.9, a vezetéknélküli hálózatok biztonságáról a 4.10. és az elektronikus aláírásról a 8 fejezet szól. A hozzáférés és a fizikai biztonság követelményei (23., 24. ). A hozzáférés során minden félnek azonosíthatónak kell lennie, különös tekintettel az ügyintézésben részt vevı felekre. Az általános biztonsági alapelveknek megfelelıen a rendszerekhez való fizikai hozzáférés biztonságát meg kell oldani. Az informatikai rendszer kezelésével kapcsolatos követelmények (25. ). Az informatikai rendszerben alkalmazott elemek csak szabályozott körülmények között vehetıek használatba. Ezzel kapcsolatban a 4.11 és 5.3 fejezet szól. 6.3. Biztonsági alapfogalmak A következı 5 fogalom az, amit egy rendszernél megvalósítani igyekszünk (sok más mellett). Rendelkezésre állás (Availability): A szolgáltatások és adatok elérhetısége biztosított az arra jogosult felhasználók számára. Véd a jogosulatlan hozzáféréstıl és adatmódosítástól, törléstıl, illetve a szolgáltatás elérhetıségének megakadályozásától (Denial of Service). Sértetlenség (Integrity): Két típusa van, adat és rendszer integritás. Adat integritás esetén az adat nem módosult nem engedélyezett módon a tárolás, feldolgozás, adatátvitel során. Rendszer integritáson azt érjük, hogy a rendszer a megvalósított funkciót változatlanul, engedélyezetlen manipulációtól mentesen hajtja végre. Bizalmasság (Confidentiality): Az a követelmény, hogy a bizalmas, vagy magántermészető információ nem jutott jogosulatlan kezekbe. Ez vonatkozik az adat tárolására, feldolgozására, átvitelére egyaránt. Felelısség (Accountability): Bármely entitás cselekvései követhetıek, és egyértelmően visszavezethetıek rá. Megbízhatóság (Assurance): A különbözı biztonsági intézkedések az irányítási, technológiai, mőködési vezérlés területén megfelelıen mőködnek, és védik a rendszert és az általa feldolgozott adatot. Az elızı négy cél megvalósított, ha: Ha a kívánt funkció jelen van és pontosan megvalósított. Ha megfelelı védelem van a nem szándékos hibák ellen. Ha megfelelı védelem van a szándékos hibák (behatolás, stb.) ellen. A fogalmak összefüggése a következı képen található: 10
A bizalmasság függ az integritástól, hiszen ha az elveszett, akkor nincsen ésszerő elvárás arra, hogy az információ nem került jogosulatlan kezekbe. Az integritás függ a bizalmasságtól, hiszen ha valamilyen adatnak elveszett a bizalmassága (superuser jelszó), akkor az adatok jogosulatlanul is módosulhattak. A rendelkezésre állás és a felelısség függ a bizalmasságtól és az integritástól, hiszen ha a bizalmasság sérült, akkor ezek a célok már nem érvényesek. Az összes összefügg a megbízhatósággal, hiszen már a rendszer tervezése során egy minıségi szintet meghatároz a tervezı az összes fogalomra nézve. Nem csak a szükséges funkciókat biztosítják, hanem azt is, hogy nem kívánt események nem történhetnek meg. 6.4. Biztonsági célok A számítógépes biztonságnak támogatni kell a szervezet céljait: A biztonság célja, hogy a szervezet erıforrásait (hardver, szoftver, információ) védje, és segítse a kitőzött célok megvalósításában azáltal, hogy védi a fizikai, pénzügyi erıforrásait, a hírnevét, dolgozóit, s egyéb tárgyi és szellemi tulajdonait. Fontos az, hogy a dolgozó ne érezze azt, hogy akadályozza munkáját a sok biztonsági követelmény, intézkedés. A biztonság szerves része a megbízható irányításnak: A számítógépes rendszerek és a rajtuk tárolt információ igen gyakran kritikus a szervezet mőködésének szempontjából. Ennek védelme legalább olyan fontos lehet, mint az erıforrásoké. Így tehát el kell dönteni, mekkora kockázatot hajlandó vállalni a szervezet vezetése a biztonság terén, milyen összegeket hajlandó rááldozni. Költséghatékonynak kell lennie: A biztonsági intézkedések várható költségét és az általa elért védelmet alaposan meg kell vizsgálni, nehogy sokkal drágább legyen, mint az általa biztosított elınyök. Semmilyen biztonsági megoldásnak sem szabad többe kerülnie annál, mintha egyszerően elviselnénk a biztonsági rés által okozott problémát, vagyis az okozott kárnál. 11
A rendszerhez tartozó felelısségeket határozottan definiálni kell: A számítógépes rendszerhez tartozó felhasználók, szolgáltatók, tulajdonosok, s egyéb, hozzáféréssel rendelkezık felelıssége egyértelmően meghatározott kell, hogy legyen. A szervezet méretétıl függetlenül szükség van konkrét szabályokra. Maga a fogalom nem jelenti feltétlenül a személyes felelısségre vonhatóságot is, hiszen sok információs rendszer nem is igényel felhasználói azonosítást. A rendszerek mőködtetıi saját rendszereiken kívül is felelısséggel tartoznak: Ha a rendszernek vannak külsı felhasználói is, akkor a rendszer gazdái felelısséggel tartoznak azért, hogy a különbözı felhasználókat tudassák a rendszer védelmének mértékérıl és szintjérıl. Ezzel együtt az információ megosztása azt is jelenti, hogy az esetleges hibákról betörésekrıl a többi rendszer mőködtetıjét is értesíteni kell, így koordináltan tehetik meg a védelmi intézkedéseket. A biztonság széleskörő, egységes megközelítést igényel: Ahhoz, hogy hatékony számítógépes biztonságot biztosítsunk, nemcsak a számítástechnika területérıl kell alapos ismeretekkel rendelkeznünk. Szükségünk van annak ismeretére, hogy a rendszer biztonságának kezelése hogyan kapcsolódik a szervezet mőködésének különbözı területeihez. A különbözı biztonsági vezérlık szintén más vezérlık megfelelı mőködésétıl függenek. Sok ilyen belsı függés létezik, megfelelı kiválasztással az irányítási, mőködési, technikai vezérlés kiválóan tud együttmőködni. Azonban a rossz kezelés azt okozhatja, hogy ezek a funkciók akadályozzák egymást. A biztonságot idırıl-idıre újra kell értékelni: Maga a számítógépes rendszer, a környezete dinamikusan változik. A technológia, a tárolt információ s éppen ezért a kockázat mértéke is folyton változik. Ezzel együtt viszont a biztonsági követelmények is megváltoznak. Történhet ez valamilyen technikai fejlesztés, külsı hálózathoz történı kapcsolódás, vagy az információ fontosságának változása folytán. Így egy rendszer soha sem tökéletes mikor implementálják, hiszen akaratlanul is derülnek ki hibák, s így sebezhetıbb lesz a rendszer. Éppen ezért kell idıvel újraértékelni a biztonsági intézkedések megbízhatóságát. A biztonságot különbözı szociális tényezık korlátozzák: A biztonsági intézkedéseket korlátozzák a különbözı szociális tényezık. Általában az intézkedések sorába tartozik, hogy jegyzik az egyes felhasználók belépését a rendszerbe, illetve az általa végrehajtott mőveleteket. Azonban ez ellentétben áll a magánszféra sérthetetlenségével, hiszen ekkor akár a megírt e-maileket is feljegyezhetik. A fontos felismerés az, hogy az intézkedéseket csak az alanyok jogainak figyelembevételével hozzuk meg és valósítjuk meg. 6.5. Követelmények Látható, hogy az információ biztonsága és az informatikai biztonság különbözı, de egymással szorosan összefüggı fogalom. Az információbiztonság az információ megjelenési formájától 12
függetlenül foglalkozik annak biztonságával. Az információ biztonság nem csak és nem elsısorban informatikai kérdés. Erre a területre tartozik a titkos ügyiratkezeléstıl kezdve a tőzvédelemig nagyon sok szabályozás és szakma. Az ezeken alapuló védelmi intézkedések egyik részhalmaza az informatikai rendszerekre vonatkozó intézkedések. Az informatikai biztonság ezzel szemben kifejezetten az informatikai rendszerekben kezelt információ biztonságával foglalkozik. A szokásos definíció szerint informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítı mértékő állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. A védelmi intézkedésekre jellemzı, hogy: teljes körőek, azaz a rendszer összes elemére kiterjednek, zártak, azaz minden fenyegetést figyelembe vesznek folytonosak, azaz a változó körülmények és követelmények mellett is megszakítás nélkül megvalósulnak. 6.6. Elérés módja Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelıen a biztonság kialakítása több lépésben történik. A lényeges lépések a következık: 1. A rendszer leírása, helyzetfelmérés: meghatározzuk a vizsgált rendszer határait, környezetét, az érintett információs és egyéb erıforrásokat, figyelembe véve a rendszer komponenseit, a tárolt, feldolgozott, elıállított és továbbított információt, ezek sérülékenységeit, kritikusságát és érzékenységét. 2. A veszélyek meghatározása: a veszély a sebezhetıség kihasználása valamely veszélyforrás által. A lépés során meghatározzuk és felsoroljuk a vizsgált rendszer veszélyforrásait. 3. A sebezhetıségek elemzése, kockázatelemzés: a sebezhetıségeket elemzzük a kihasználhatóság valószínősége és a kihasználás esetén fellépı hatás súlyossága alapján. 4. Az intézkedések elemzése: megvizsgáljuk a biztonsági intézkedéseket hatékonyságuk és az általuk esetleg indukált más sérülékenységek szempontjából. 5. A valószínőségek meghatározása: a sebezhetıségek kihasználhatóságának valószínőségét osztályokba soroljuk: alacsony, közepes, magas. A vizsgálat során figyelembe vesszük a sebezhetıség jellegét, a veszélyforrás képességeit és motivációját, a meglevı biztonsági intézkedéseket. 6. Hatáselemzés: a sebezhetıségek kihasználásának káros hatásait vizsgáljuk a CIA elv alapján. A hatást alacsony, fokozott és kiemelt osztályokba sorolhatjuk. 7. Kockázat meghatározása: a kihasználhatóság valószínősége és a hatás alapján meghatározzuk a kockázatot. 8. Biztonsági intézkedések megtervezése: azon menedzsment, üzemeltetési és mőszaki biztonsági intézkedések meghozása, amelyek elfogadható szintre csökkentik rendszer kockázati szintjét. 9. Dokumentálás: a folyamat eredményét dokumentálni kell. A védelmi intézkedéseket megvalósítjuk és mőködtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. 13
A következıkben egy egyszerő módszertant mutatunk be ezeknek a lépéseknek végrehajtására. Az itt bemutatott lépések nem szigorúan formalizáltak, sokkal inkább segítséget nyújtanak abban, hogy a biztonság megtervezése és megvalósítása során szisztematikusan tudjuk végigvinni a tervezést, ne kerülje el semmi a figyelmünket. 6.7. Alapvetı elvek Nagyon fontos tisztában lenni a biztonság kialakítása során elérendı célokkal. Néhány lényeges pont, amelyet szem elıtt kell tartani: Ismerd meg magad és ellenséged! Az biztonságot csak úgy lehet kellı szinten kialakítani, ha tisztában vagyunk saját környezetünkkel, rendszerünkkel, igényeinkkel és hasonló rálátással rendelkezünk a fenyegetı veszélyekkel. A pontos helyzetfelmérés nélkül csak vaktában hozhatunk intézkedéseket. A biztonság kompromisszumok kérdése. A biztonság kialakítása során fel kell tennünk a következı kérdéseket: Milyen biztonsági problémát kívánunk megoldani, milyen veszélyeket akarunk csökkenteni? A választott megoldások mennyire szolgálják a megoldást? Milyen új biztonsági problémákat vet fel a megoldás? Figyelembe véve a megoldás költségét (nem csak a pénzben kifejezhetıeket) és a megoldás által generált újabb problémákat, érdemes-e ezt a megoldást választani? Látszik, hogy sosem egy jó és egy nem jó megoldás között kell dönteni, hanem különbözı környezetben különbözı kompromisszumokat kell hozni. Mindent nem védhetünk száz százalékos biztonsággal. Az elıbb láthattuk, hogy a biztonság mindig kompromisszum kérdése. Meg kell találni azt a pontot, ahol az adott biztonsági szint elfogadható, anélkül, hogy más téren elfogadhatatlan dolgokat kényszerítene ki. Az indokolatlanul szigorú védelmi intézkedések nem csak túlzottan költségesek, de gyakran akadályozzák a produktív munkát és arra ösztönzik a felhasználókat, hogy szántszándékkal megkerüljék ıket, így nagyobb kockázatot jelentve, mint amit az eredeti intézkedés kiküszöbölt. Tipikus eset például a túlzottan bonyolult jelszavak kikényszerítése, amelyet ezután a felhasználók nem képesek fejben tartani, hanem leírják ıket. A védelem legyen egyenszilárdságú! Minden védelmi rendszer annyira erıs, amennyire erıs a leggyengébb láncszeme. A védelem kialakítása során tehát kellı gondossággal tervezzük meg az egyes komponenseket, ugyanis hamis biztonságérzetet adhat az, ha az egyik komponens erıs, miközben más komponensekre nem fordítunk kellı figyelmet. Gyakran elıfordul, hogy egy technológia (pl. tőzfal, vagy erıs titkosítás) meglétével a biztonságot elintézettnek tekintik, miközben ezek pusztán önmagukban nem oldanak meg semmit. Az egyenszilárdság kialakítása nem egyszerő, mivel olyan nehezen kezelhetı dolgokat kell beilleszteni a rendszerbe, mint az emberi tényezı. A védelem ne kerüljön többe, mint a védett érték! Ez nyilvánvaló és tulajdonképpen következik az elızı két elvbıl is. Bizonyos esetekben célszerőbb együtt élni, vagy más módon (pl. biztosítással) kezelni valamely fenyegetettség által jelentett kockázatot. Például hazai viszonyok között nagyok kevés olyan érték van, amelyet érdemes megelızı védelemmel védeni hetes erısségő földrengés ellen, annak ellenére, hogy egy ilyen veszély elvileg nem zárható ki. A biztonság sosem állapot, hanem folyamat. Mivel a biztonság önmagában nem érzékelhetı, csak annak hiánya észlelhetı, ezért folyamatosan követni kell 14
rendszerünket, olyan jelek után kutatva, amely az aktuális helyzet hiányosságait jelzik, és a megfelelı ellenintézkedéseket meg kell tenni. Ha kell, módosítani kell a szabályzatokat, eljárásokat. Gyakori eset, hogy ragaszkodnak a valamikor elkészített szabályzatokhoz, beállításokhoz, miközben a megváltozott körülmények miatt ez nagyobb kárt okoz, mint hasznot. Válasszuk az egyszerő megoldást! A biztonsági kérdések esetében különösen igaz, hogy ami bonyolult, az valószínőleg nagyobb valószínőséggel tartalmaz olyan hibákat, amelyek biztonsági problémához vezetnek. Törekedjünk a minél egyszerőbb architektúrákra, szabályzatokra és rendszerekre. Nem szabad engedni a kísértésnek, hogy a bonyolult megoldás biztonságosabb. Általában csak annak látszik, de nem az! Legyen többszintő védelem! Több, egymást támogató védelmi vonal többet ér, mint egy, általában még akkor is, ha egyenként gyengébbek. A támadóknak több akadályon kell átverekedni magukat, így nagyobb az esély, hogy még a siker elıtt felfedezik ıket. Például ha levelezı rendszerünkben központi vírusvédelem van, még nem jelenti azt, hogy nem kell az irodai gépeken külön is víruskeresıt (mégpedig lehetıleg a központitól eltérıt) telepíteni. 7. A biztonság megvalósításának folyamata 7.8. Helyzetfelmérés Csak akkor tudjuk rendszereinket, adatainkat biztonságba helyezni, ha tudatában vagyunk a jelenlegi helyzettel. Ezért elsı és nagyon fontos lépés az átfogó helyzetelemzés. Ennek során felmérjük a rendszereinket, mőködési eljárásainkat és a kezelt információt. A helyzetfelmérés során elsısorban megállapítjuk a védendı értékeket és az ezekre veszélyt jelentı veszélyforrásokat. Ezeket célszerő kategóriánként számba venni: Környezeti veszélyek pl. természeti károk, tőz, stb. Fizikai veszélyek lopás, rongálás, fizikai betörés. Informatikai veszélyek vírusok, számítógépes betörés, stb. Humán veszélyek szabotázs, gondatlanság, stb. Szervezeti veszélyek szervezeti problémák, irányítási gondok, stb. A veszélyforrásokból a helyzetelemzés eredményeként keletkezik egy felsorolás, amely elsısorban intuitív munka eredménye. Ebbe be kell vonni a szervezet minél több munkatársát, mivel általában a különbözı területeken, munkakörökben mások a veszélyek és a prioritások. Természetesen figyelembe kell venni a szabályozási környezet által támasztott igényeket is (pl. adatvédelem, titokvédelem). 15
7.9. Kockázatelemzés A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatot próbáljuk megállapítani. A kockázat meghatározása során a veszély megvalósulásának valószínősége és az okozható kár alapján, vagy más nézıpontból az adott veszélyt képviselı sérülékenység kihasználhatósága és ennek hatása alapján történik. Egyes módszertanok megpróbálják számszerősíteni a kockázatot, általában a bekövetkezési valószínőség és az okozott kár nagyságának szorzataként, azonban a gyakorlat sokszor azt mutatja, hogy ez a számszerősítés nehéz, vagy egyenesen lehetetlen. Különösen igaz ez azért, mert a legtöbb módszertant elsısorban üzleti környezetben történı felhasználásra dolgozták ki, ahol a közigazgatási környezethez képest gyakran könnyebb a károk számszerősítése (veszteség, elmarad haszon, stb.). Ezért a gyakorlatban célszerőbb kategóriákkal dolgozni, amelyek az adott környezet mőködéséhez igazodnak. Az hatások kategorizálása a közigazgatás szemszögébıl: Alacsony, várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A korlátozott hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsıdleges funkcióit, de a funkciók hatásossága észrevehetıen csökken. Az ügyek lefolytatásában fennakadást okoz, de a sikeres lefolytatást és határidık betartását nem veszélyezteti. o A szervezeti eszközök kisebb mértékő károsulását eredményezi. o Kisebb mértékő pénzügyi veszteséget okoz. o A jogbiztonságot kisebb mértékben veszélyezteti, a személyes és/vagy közhiteles adatok védelmével kapcsolatban felmerül a lehetıség, hogy a helyzet javítása nélkül az adatok védelme sérülhet. Fokozott, várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A komoly hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani elsıdleges funkcióit, de a funkciók hatásossága jelentıs mértékben csökken. Az ügyekkel kapcsolatban olyan szintő adatvesztés következik be, amely az ügyek folytatását megakasztja, a határidık betartását lehetetlenné teszi vagy más útra (papír alapú) tereli. o A szervezeti eszközök jelentıs károsulását eredményezi. o Jelentıs pénzügyi veszteséget okoz. o A jogbiztonságot jelentıs mértékben veszélyezteti, személyes és/vagy közhiteles adatok védelme sérül. 16
Kiemelt, várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy: A szolgáltatási képességet olyan mértékben és olyan idıtartamra csökkentheti, illetve akár meg is szőntetheti, hogy a szervezet nem képes végrehajtani egy vagy több elsıdleges funkcióját. Az ügyekkel kapcsolatosan olyan szintő adatvesztés következik be, amely lehetetlenné teszi az ügy folytatását és az eredeti helyzet helyreállítását. A szervezeti eszközök lényegi károsulását eredményezi. Lényegi pénzügyi veszteséget okoz. A jogbiztonságot alapvetıen veszélyezteti, a személyes és/vagy közhiteles adatok védelme súlyosan és jóvátehetetlenül sérül. Hasonló módon a bekövetkezési valószínőséget is kategorizálhatjuk: Magas bármikor elıfordulhat. mert pl. gyakori esemény, vagy a támadást bárki végrehajthatja. Ilyen lehet például egy olyan vírustámadás, amelyet nagyrészt automatizált kártékony kódok hajtanak végre Közepes gyakran elıfordulhat, pl. szakértı támadó által végrehajtható. Ilyen lehet egy célzott számítógépes betörés a rendszerbe. Alacsony az elıfordulása a vizsgált rendszer vagy szervezet mőködési idejéhez képest nem gyakori. Ilyen lehet például tőzeset vagy természeti csapás. A várható kár és a bekövetkezés valószínősége alapján a kockázat is kategorizálható: hatás \ valószínőség magas közepes alacsony alacsony mérsékelt alacsony alacsony fokozott jelentıs mérsékelt alacsony kiemelt kritikus jelentıs mérsékelt A táblázat a kockázatot az alacsony, mérsékelt, jelentıs és kritikus kategóriákba sorolja. Az egyes besorolások az igényszintek alapján természetesen módosíthatóak, sıt, igény esetén akár a kár, akár az elıfordulás valószínőségére és használhatóak más felbontások. A lényeg nem az értékeken van, hanem azon, hogy képesek legyünk prioritásokat felállítani a kockázatok között, így megfelelıen koncentrálva a kritikus pontokra. A következı táblázat egy kiragadott példa a veszélyek felsorolásra és a kockázatelemzésre: Veszély Típus Leírás Kár Valószínőség Kockázat Meghibásodás környezeti Hardverhiba Jelentıs Ritka Mérsékelt Kártékony kód Adathordozó elvesztése Informatikai Kártékony kód a belsı számítógépes rendszerbe Humán Dolgozó érzékeny adatokat tartalmazó adathordozót veszít el Közepes Állandó Jelentıs Közepes Gyakori Mérsékelt 17
7.10. Védelmi intézkedések A fenti alapelvek figyelembevételével úgy tudjuk kidolgozni védelmi rendszerünket, hogy felmérjük a különbözı veszélyeket, az általuk jelentett kockázatot, majd ezt összevetve a kockázat kezelésére alkalmas védelmi és más intézkedésekkel, kiválasztjuk a megfelelı intézkedést. A prioritások megállapításával meghatározzuk, hogy mely kockázatokkal kívánunk (kell) elıször foglalkozni, illetve milyen kockázati szintig kívánunk védelmi intézkedéseket hozni, és melyek esetében véljük elfogadhatónak a kockázatot. A védelmi intézkedések, az elızıkben foglaltak alapján a menedzsment, üzemeltetési és mőszaki intézkedések csoportjaiba sorolhatóak, azonban felállítható egy másik nézıpont szerinti csoportosítás, amely segíti a veszélyekhez rendelt intézkedések kidolgozását, azon az alapon, hogy a veszélyt megelızni, észlelni, vagy javítani kívánjuk: Megelızı (preventív): a megelızés során olyan tevékenységeket kell végrehajtani, amely lehetetlenné teszi a veszélyes esemény bekövetkeztét. Megelızı intézkedés például email tartalomszőrés, amellyel megelızzük vírusok levelezésen keresztüli bejutását. Észlelı (detektáló): az észlelés során a már folyamatban lévı támadást, károkozást próbáljuk lehetıleg minél hamarabb észlelni, majd ez alapján megszüntetni, mielıtt lényegi károkozásra kerülne sor. Ilyen például a behatolás jelzı (IDS) rendszer használata, amely gyanús hálózati forgalom esetén riasztást ad. Az észlelés alapján azután más tevékenységeket is végezhetünk. Javító (korrektív): a javító intézkedés a már megtörtént esemény által okozott kárt csökkenti vagy szünteti meg. Javító intézkedés például a rendszer visszaállítása mentésbıl, de ilyen intézkedés akár az is, ha biztosítással rendelkezünk, amely kár esetén biztosít fedezetet. Ezt a hármast az angol megnevezések alapján PreDeCo-nak nevezik. Természetesen elıfordulhat, hogy bizonyos esetekben valamelyik típusú védelmi intézkedés nem értelmezhetı, vagy úgy ítéljük, hogy nincsen rá szükség. Az egyes veszélyforrásokra vonatkozóan most már megállapíthatóak a védelmi intézkedések, ezek kidolgozása során használhatjuk a CIA elvet, minden veszélyforráshoz hozzárendelve az általa képviselt kockázatot, az azt megvalósító bizalmasság, sértetlenség vagy rendelkezésre állás sérülését és az ezeket megelızı, detektáló vagy javító intézkedéseket. Ennek táblázatos összefoglalása egy egyszerő példával: Veszély Hardver meghibásodása Kockázat Mérsékelt Intézkedés C I A Redundáns Redundáns Redundáns Pre rendszer, rendszer, rendszer, megelızı megelızı megelızı karbantartás karbantartás karbantartás De Co Vírustámadás Jelentıs Pre - Integritás ellenırzı kriptográfiai eszközök - Biztonsági mentés Vírusszőrés, tőzfal, felhasználók oktatása Vírusszőrés, tőzfal, felhasználók oktatása Rendszerfelügyelet mőködtetése Tartalék rendszer, biztonsági mentés Vírusszőrés, tőzfal, felhasználók oktatása 18
De Víruskeresı Integritás ellenırzı kriptográfiai eszközök Biztonsági mentés Rendszerfelügyelet, víruskeresı Nem védjük / Tartalék rendszer, Co biztosítás biztonsági mentés A táblázatot minden veszélyre kitöltve meghatározhatóak azok a védelmi intézkedések, amelyek az adott kockázat kezelésére alkalmasak, vagy amelyeket alkalmazni kívánunk. Természetesen, ahogy a példában is elıfordul, hogy a táblázat egyes mezıi kitöltetlenek, mivel az adott sérülékenység nem értelmezhetı és/vagy az adott kockázatot nem kívánjuk vagy nem tudjuk kezelni. Ezzel a módszerrel szisztematikusan végig gondolható a szervezet informatikai védelme, és meghatározhatóak és dokumentálhatóak a védelmi intézkedések. A lényeg nem a táblázatgyártásban van, hanem ha követjük a fenti eljárást, akkor biztosak lehetünk abban, hogy sikerült átfogóan végiggondolni a biztonsági kérdéseket, nem hagytunk rést. Az informatikai biztonságnak pedig a teljes szervezetre nézve átfogónak kell lennie. Az intézkedéseket besoroljuk a menedzsment, üzemeltetési vagy mőszaki kategóriákba, így elhelyezhetıek a szervezet szabályozásaiban. Az intézkedéseket implementálni kell. Ezek egy része informatikai feladat, más része pedig szabályzatok és egyéb elıírások meghozatalát igényli. Az intézkedések kialakítása és meghozatala természetesen nem jelenti a tevékenység befejezését, az elemzést rendszeresen meg kell ismételni, és a változó körülmények, fenyegetettségek és üzemeltetési tapasztalatok alapján módosítani, helyesbíteni kell. Az egyik leggyakoribb hiba az egyszer kialakított védelmi intézkedések kıbe vésése, mivel a változó körülmények között egy védelmi intézkedés akár késıbbiekben károssá is válhat. 8. Védelmi intézkedések meghatározása 8.11. Fizikai biztonsági kérdések Az biztonság megvalósításának egyik alapvetı pillére a helyesen kialakított fizikai biztonság. A bizalmasság, a sértetlenség és a rendelkezésre állás megfelelı megteremtése igényli a fizikai biztonság helyes tervezését, gyakran nem is triviális megoldásokat használva. A fejezet bemutatja az alapvetı intézkedéseket és tervezési irányelveket. Informatikai számítóközpontok vagy decentrális informatikai és kommunikációs rendszerek fizikai- és üzemeltetési környezetének kialakítását a releváns fenyegetettségek figyelembe vételével kell megvalósítani. Jelen tanulmány célja, hogy átfogóan bemutassa az informatikai rendszerek üzemeltetési környezetével szemben támasztott, fenyegetettségek kimutatásán alapuló követelménystruktúrákat. A követelmények kiválasztása során figyelembe vettük a vonatkozó információbiztonsági szabványokat (CC, COBIT, MSZ ISO 27001, 27002), illetve a számítógépterem építésére vonatkozó BITKOM ajánlást és a TIER szerinti osztályozási rendszert, valamint a számítógéptermek környezeti határértékeire vonatkozó Euronorma szabványokat és nemzetközi ajánlásokat. Kiemelt figyelmet fordítottunk az ISO 27001 és 27002 szabványban 19
megfogalmazott fizikai védelmi és az informatikai szolgáltatás folyamatosságára vonatkozó követelményekre. Az egyes szakterületek súlyának és az ezen belüli követelmények meghatározása során, ahol lehetséges, alternatív lehetıségek kerülnek megadásra, biztosítva ezáltal, hogy minden egyes védendı objektum esetében lehetıség legyen a kockázatarányosság elvének érvényesítésére. Fontos kiemelni továbbá, hogy az egyes védelmi szintek kialakítása idıben elkülönülhet, ahogy az üzemeltetési lehetıségek és a felhasználói igények fejlıdnek. A kiinduló pontot jelentı gyakorlati fenyegetések általánosítását alapfenyegetéseknek hívjuk, amelyek: a bizalmasság (az adatot csak az arra felhatalmazottak ismerhetik meg és rendelkezhetnek a felhasználásáról), a sértetlenség (az adatok konzisztenciája, integritása, fizikai vagy logikai teljessége biztosított), a rendelkezésre állás, (az informatikai rendszer megbízhatósági szempontokat figyelembe vevı tervezésének és üzemeltetésének köszönhetıen az adat használhatóságának biztosítása a rendelkezésre állás meghatározott követelmény szintjén) elvesztése. A támadás alatt nemcsak az adatok bizalmasságát, sértetlenségét veszélyeztetı akciókat kell érteni, hanem minden olyan fenyegetést is, amely a rendszer megbízható mőködését, ezáltal az adatok rendelkezésre állását veszélyezteti. A tanulmányban szakterületenként bemutatjuk a fenti alapkövetelményeknek megfelelı követelményrendszert, méretezési szempontokat, valamint a jelenleg alkalmazott technológiai megoldásokat. A bemutatásra kerülı követelményrendszer és technológiai megoldásokat alapvetıen központi, elsıdleges számítógépterem szempontjából vizsgáljuk. A tanulmányban, ezen túlmenıen, külön fejezet foglalkozik a további (helyi) szerverszobák, géptermek valamint kismérető informatikai helyiségek kialakításának szempont- és követelményrendszerével. Fontos azonban megjegyezni, hogy egy adott informatikai gépteremmel szemben elvárt követelményeket az ott mőködı rendszerektıl és a rendszereken futó alkalmazásoktól kell függıvé tenni. 8.12. Központi számítógéptermekkel szemben támasztott követelmények 8.13. Általános követelmények A Számítóközpont és a kisegítı helyiségek kivitelezése feleljen meg a munka- és egészségvédelmi, használati és üzemviteli biztonsági követelményeknek, továbbá a megfelelı szabványoknak és az elvárható esztétikai szempontoknak egyaránt. Igazolni kell a beépített anyagok (álmennyezetek, felfüggesztések, falburkolatok, álpadlók stb.) építıipari alkalmasságát és beépíthetıségét is. A minısítı iratok, a szállítói megfelelıségi nyilatkozatok az átadási dokumentáció részét kell, hogy képezzék. Minıségbiztosítási terv alapján gondoskodni kell a minıség folyamatos ellenırzésérıl a számítóközpont kivitelezésekor, és ezt dokumentálni szükséges. A beruházó 20