KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-3. kötet Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) 1.0 verzió 2008. június
Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Muha Lajos PhD, CISM K ö z r e mőködött: Balázs István CSc, Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Nyíry Géza CSc, CISM, Sneé Péter, Váncsa Julianna PhD. Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonság Irányítási Követelményrendszer
TARTALOMJEGYZÉK ELİSZÓ 10 1. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FOLYAMATAINAK VIZSGÁLATA...12 1.1. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER LÉTESÍTÉSÉNEK VIZSGÁLATA...12 1.1.1. Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata...12 1.1.2. Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata...13 1.1.3. Informatikai Biztonságpolitika hatáskörének vizsgálata...13 1.1.4. Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata...14 1.1.5. Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata.15 1.1.6. Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata...16 1.1.7. Kockázatkezelési eljárás megfelelıségének vizsgálata...17 1.1.8. Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata...17 1.1.9. Az elviselhetı kockázatok meghatározásának vizsgálata...18 1.1.10. A kockázatok azonosítására használt eljárások vizsgálata...18 1.1.11. Kockázatelemzési módszer használatának vizsgálata...18 1.1.12. A kockázatkezelési lehetıségek azonosítása, kiértékelése...19 1.1.13. A kockázatkezelési intézkedés tárgyának és céljának kiválasztása..20 1.1.14. Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata...20 1.1.15. A maradék kockázat elfogadásának és az IBIR megvalósításának vizsgálata....21 1.2. AZ INFORMATIKAI BIZTONSÁG IRÁNYÍTÁSI RENDSZER MEGVALÓSÍTÁSA ÉS ÜZEMELTETÉSE...22 1.2.1. Informatikai biztonsági képzések vizsgálata...22 1.2.2. Az üzemeltetést támogató IBIR módszerek, eljárások vizsgálata...23 1.2.3. Az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások vizsgálata...23 1.2.4. Biztonsági eseménykezelı módszerek, eljárások meglétének vizsgálata...24 1.3. INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER ELLENİRZÉSE ÉS FELÜLVIZSGÁLATA...25 1.3.1. Az IBIR hatékonyságát folyamatosan felülvizsgáló eljárások meglétének vizsgálata...25 1.3.2. A maradék kockázati szintek szervezeti felülvizsgálatának elemzése 26 1.3.3. Idıszakosan tervezett és lefolytatott IBIR vizsgálatok meglétének vizsgálata...27 1.3.4. IBIR szabályozási tevékenységének felülvizsgálatára megvalósított eljárások megléte...27 Magyar Informatikai Biztonság Irányítási Követelményrendszer 3
1.3.5. Az IBIR idıszakos hatékonysági vizsgálata... 28 1.4. INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE ÉS KARBANTARTÁSA... 29 1.5. DOKUMENTÁCIÓ KÖVETELMÉNYEI... 30 1.5.1. A dokumentumok kezelése... 31 1.5.2. Okmányok, jegyzıkönyvek kezelése... 32 1.5.3. Vezetıi felelısség... 32 1.5.4. Erıforrások kezelése... 33 1.5.5. Felelısségi körök megállapításának a vizsgálata... 34 1.5.6. A felhasználói felelısség és tudatosság vizsgálata... 35 1.6. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER VEZETİI FELÜLVIZSGÁLATA... 36 1.6.1. Általános követelmények vizsgálata... 36 1.6.2. A bemeneti adatok felülvizsgálata... 36 1.6.3. A kimeneti adatok felülvizsgálata... 37 1.6.4. Az Informatikai Biztonsági Irányítási Rendszer belsı ellenırzése... 38 1.7. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE... 40 1.7.1. Javító intézkedések végrehajtásának vizsgálata... 40 1.7.2. Megelızı tevékenységek vizsgálata... 41 2. BIZTONSÁGI INTÉZKEDÉSEK VIZSGÁLATA... 42 2.1. BIZTONSÁGPOLITIKA... 42 2.1.1. Az informatikai biztonság dokumentumai... 42 2.1.1.1. Az informatikai biztonságpolitika... 42 2.1.1.3. Az informatikai Biztonsági Szabályzat... 43 2.1.2. Felülvizsgálat és fejlesztés... 44 2.2. SZERVEZETI BIZTONSÁG... 45 2.2.1. Az informatikai biztonság belsı szervezeti struktúrája... 45 2.2.1.1. Vezetıi elkötelezettség... 45 2.2.1.2. Az informatikai biztonság és a szerveti struktúra összehangolása... 46 2.2.1.3. Az informatikai biztonsági feladatok megosztása... 46 2.2.1.4. Az adatfeldolgozás engedélyezési eljárásai... 47 2.2.1.5. Titoktartási nyilatkozatok... 47 2.2.1.6. Együttmőködés külsı szervezetekkel, hatóságokkal... 48 2.2.1.7. Együttmőködés különféle szakmai és információvédelmi szervezetekkel... 49 2.2.1.8. Az informatikai biztonság független felülvizsgálata... 49 2.2.1.8.1. Informatikai biztonsági tanácsadás... 50 2.3.1. Elıírások a külsı személyek által történı hozzáférésekkel kapcsolatban... 51 2.3.1.1. A külsı személyek által történı hozzáférések kockázatai... 51 2.3.1.3. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben... 51 2.3.2. Vállalkozásba adás... 52 2.3.2.1. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben... 52 2.4. AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE... 54 2.4.1. Számadási kötelezettségek az eszközökkel kapcsolatban... 54 2.4.1.1. Eszköz- és vagyonleltár... 54 2.4.2. Az adatok biztonsági osztályozása... 55 4 Magyar Informatikai Biztonság Irányítási Követelményrendszer
2.4.2.1. Az osztályozás irányelvei... 55 2.4.2.2. Az adatok minısítése, címkézése és kezelése... 56 2.5. SZEMÉLYI BIZTONSÁG...57 2.5.1. Az alkalmazás elıtt...57 2.5.1.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban... 57 2.5.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika... 58 2.5.1.3. A foglalkoztatás feltételei... 59 2.5.2. Az alkalmazás alatt...59 2.5.2.2. Az informatikai biztonsági oktatás és képzés... 60 2.5.2.3. Fegyelmi eljárás... 60 2.6. FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG...62 2.6.1. Biztonsági szegmensek...62 2.6.1.1. Biztonsági határok... 62 2.6.1.2. Beléptetési intézkedések... 62 2.6.1.3. Létesítmények és helyiségek biztonsága... 63 2.6.1.5. Munkavégzés a biztonsági szegmensekben... 64 2.6.1.6. A kiszolgáló területek és raktárak biztonsági elkülönítése... 65 2.6.2. A berendezések fizikai védelme...66 2.6.2.1. A mőszaki berendezések elhelyezése és védelme... 66 2.6.2.2. Energiaellátás... 67 2.6.2.3. A kábelezés biztonsága... 67 2.6.2.4. A berendezések karbantartása... 68 2.6.2.5. A telephelyen kívüli berendezések védelme... 69 2.6.2.6. A berendezések biztonságos tárolása és újrafelhasználása... 70 2.7. SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE...72 2.7.1. Üzemeltetési eljárások és felelısségek...72 2.7.1.1. Az üzemeltetési eljárások dokumentációja... 72 2.7.1.2. Változásmenedzsment... 73 2.7.1.3. A feladatkörök elhatárolása... 73 2.7.1.4. A fejlesztési és az üzemeltetési feladatok szétválasztása... 74 2.7.1.5. Külsı létesítmények üzemeltetése... 75 2.7.3. Informatikai rendszerek tervezése és átvétele...76 2.7.3.1. Kapacitástervezés... 76 2.7.3.2. A rendszer átvétele... 77 2.7.4. Védelem rosszindulatú programok ellen...77 2.7.4.1. A rosszindulatú programokat ellenırzı eszközök... 78 2.7.6. Hálózatmenedzsment...79 2.7.6.1. Hálózatbiztonsági intézkedések... 79 2.7.6.2. Hálózati szolgáltatások biztonsága... 79 2.7.7. Az adathordozók biztonságos kezelése...80 2.7.7.1. Hordozható adathordozók kezelése... 81 2.7.7.1.1. Az adathordozók tárolása... 81 2.7.7.3. Adatkezelési eljárások... 82 2.7.7.4. A rendszerdokumentációk biztonsága... 83 2.7.8. Adatok és programok cseréje...83 2.7.8.2. Megállapodások az adatok és programok cseréjérıl... 84 2.7.8.3. Adathordozók szállítása... 84 2.7.8.4. Az elektronikus levelezés biztonsága... 85 2.7.8.4.1. Biztonsági kockázatok... 85 2.7.8.4.2. Az elektronikus levelezés irányelvei... 86 2.7.8.5. Üzleti információs rendszerek... 86 2.7.9. Az elektronikus kereskedelem biztonsága...87 Magyar Informatikai Biztonság Irányítási Követelményrendszer 5
2.7.9.3. Nyilvános rendszerek biztonsága... 88 2.7.10. A biztonsági megfigyelı rendszer használata... 88 2.7.10.1. Biztonsági események naplózása... 89 2.7.10.2. A rendszerhasználat megfigyelése... 90 2.7.10.2.1. Kockázati tényezık... 90 2.7.10.2.2. Az eseménynaplózás értékelése... 91 2.7.10.6. Rendszerórák szinkronizálása... 92 2.8. HOZZÁFÉRÉS MENEDZSMENT... 93 2.8.1. A hozzáférés ellenırzés üzleti követelményei... 93 2.8.1.1. A hozzáférés ellenırzés szabályai... 93 2.8.1.1.1. Hozzáférés ellenırzési szabályzat... 94 2.8.2. A felhasználói hozzáférés menedzsmentje... 94 2.8.2.1. A felhasználó regisztrációja... 94 2.8.2.2. A jogosultságok kezelése... 95 2.8.2.3. A felhasználói jelszavak kezelése... 96 2.8.2.4. A felhasználó hozzáférési jogosultságainak ellenırzése... 96 2.8.3. A felhasználó feladatai, felelısségei... 97 2.8.3.1. Jelszó használat... 97 2.8.3.2. Felügyelet nélküli berendezések... 98 2.8.4. A hálózati szintő hozzáférések menedzsmentje... 99 2.8.4.1. A hálózati szolgáltatások használatának irányelvei... 99 2.8.4.1.1. Kötelezı hozzáférési útvonal... 100 2.8.4.2. Felhasználó azonosítás és hitelesítés távoli kapcsolatnál... 100 2.8.4.3. Hálózati eszközök, munkaállomások azonosítása és hitelesítése... 101 2.8.4.4. A távdiagnosztikai portok védelme... 102 2.8.4.5. A hálózatok biztonsági szegmentálása... 103 2.8.4.6. A hálózatra történı csatlakozások ellenırzése... 103 2.8.4.7. A hálózati útvonal kiválasztások ellenırzése... 104 2.8.5. Az operációs rendszer szintő hozzáférések ellenırzése... 105 2.8.5.1. Biztonságos hitelesítési, bejelentkezési eljárások... 105 2.8.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése... 105 2.8.5.1.2. Biztonságos bejelentkezési eljárások... 106 2.8.5.2. A felhasználó azonosítása, hitelesítése... 107 2.8.5.3. Jelszómenedzsment rendszer... 108 2.8.5.4. Rendszer segédprogramok használata... 108 2.8.5.5. Kapcsolati idıtúllépés... 109 2.8.5.6. Kapcsolati idıkorlátozás... 110 2.8.5.7. Támadás-riasztás... 110 2.8.6. Alkalmazás szintő hozzáférések vezérlése... 111 2.8.6.1. Az adatelérés szabályozása... 111 2.8.6.2. Érzékeny adatokat kezelı rendszer elkülönítése... 112 2.8.7. Mobil informatikai tevékenység, távmunka... 113 2.8.7.1. Mobil informatikai tevékenység... 113 2.8.7.2. A távmunka... 114 2.9. AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA... 116 2.9.1. Az informatikai rendszerek informatikai biztonsági követelményei... 116 2.9.1.1. A biztonsági követelmények elemzése és meghatározása... 116 2.9.2. Biztonság az alkalmazói rendszerekben... 117 2.10.2.1. A bemenı adatok hitelesítése... 117 2.9.2.2. Az adatfeldolgozás ellenırzése... 118 2.9.2.2.1. Veszélyeztetett területek... 119 2.9.2.2.2. Vezérlı és ellenırzı eljárások... 119 6 Magyar Informatikai Biztonság Irányítási Követelményrendszer
2.9.2.3. Az üzenetek hitelesítése... 120 2.9.2.4. A kimenı adatok hitelesítése... 121 2.9.3. Kriptográfiai eszközök...121 2.9.3.1. A kriptográfiai eszközök alkalmazásának irányelvei... 121 2.9.3.1.1. Rejtjelzés... 122 2.9.3.1.2. Elektronikus aláírás... 123 2.9.3.1.3. Szolgáltatások a le nem tagadhatóság érdekében... 124 2.9.3.2. Kulcsmenedzsment... 124 2.9.3.2.1. A kriptográfiai kulcsok védelme... 125 2.9.3.2.2. Szabványok, eljárások, módszerek... 125 2.9.4. Rendszerállományok védelme...127 2.9.4.1. Az operációs rendszer ellenırzése... 127 2.9.4.2. A rendszervizsgálati (teszt) adatok védelme... 128 2.9.4.3. A program forráskönyvtárhoz való hozzáférés ellenırzése... 128 2.9.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban...129 2.9.5.1. Változásmenedzsment... 129 2.9.5.2. Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések130 2.9.5.3. A szoftvercsomagok megváltoztatásának korlátozása... 131 2.9.5.4. A rendszerinformációk kiszivárgásának megakadályozása... 132 2.9.5.5. A programfejlesztés kihelyezése... 133 2.10. AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE...135 2.10.1. Biztonsági események és biztonsági rések jelentése...135 2.10.1.1. A biztonsági események jelentése... 135 2.10.1.2. Biztonsági rések, gyenge pontok jelentése... 135 2.10.1.2.1. Programhibák jelentése... 136 2.10.2.2. Okulás az informatikai biztonsági incidensekbıl... 137 2.10.2.3. Bizonyítékok győjtése, védelme... 137 2.10.2.3.3. A bizonyítékok minısége és hiánytalan volta... 138 2.11. ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT...140 2.11.1. Az üzletmenet-folytonosság menedzsment informatikai biztonsági szempontjai...140 2.11.1.1. Az informatikai biztonsági szempontok érvényesítése az üzletmenetfolytonosság irányításában... 141 2.11.1.3. Az üzletmenet-folytonossági terv kidolgozása... 141 2.11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere... 142 2.11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése... 143 2.12. MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A BELSİ BIZTONSÁGI SZABÁLYZATOKNAK...145 2.12.1. A jogszabályi elıírások betartása...145 2.12.1.1. A vonatkozó jogszabályok behatárolása... 145 2.12.1.2.1. Szerzıi jogok... 145 2.12.1.2.1. Szoftver szerzıi jogok... 146 2.12.1.3. A szervezet adatainak biztonsága... 147 2.12.1.4. Személyes adatok védelme... 148 2.12.1.5. Az adatvédelmi eszközökkel elkövethetı visszaélések megelızése 149 2.12.1.6. A kriptográfiai eszközök kezelésének szabályozása... 150 2.12.2. Az informatikai biztonságpolitikának és a mőszaki követelményeknek való megfelelés...151 2.12.2.1. Az informatikai biztonsági elıírásoknak való megfelelés... 151 2.12.2.2. A mőszaki követelményeknek való megfelelés... 152 2.12.3. Az informatikai rendszerek biztonsági ellenırzésének szempontjai 152 Magyar Informatikai Biztonság Irányítási Követelményrendszer 7
2.12.3.1. Rendszerauditálási intézkedések... 152 2.12.3.2. Rendszerauditáló eszközök védelme... 153 3. AZ INFORMATIKAI RENDSZER BIZTONSÁGÁNAK VIZSGÁLATA (KOCKÁZATELEMZÉS)... 155 3.1. INFORMÁLIS KOCKÁZATELEMZÉS (KOCKÁZATBECSLÉS), KOCKÁZATKEZELÉS... 160 VEZETİI ÖSSZEFOGLALÓ... 160 BEVEZETÉS... 169 1.1 A kockázatkezelés fogalma és célja... 169 1.2 Jelen módszertani útmutató célja és hatóköre... 170 1.3 A módszertani útmutató felépítése... 171 2. A KOCKÁZATKEZELÉS ÁTTEKINTÉSE... 172 2.1 A kockázatkezelés fontossága... 172 2.2 A kockázatkezelés beépítése a rendszerek életciklusába... 172 2.3 Fontosabb szerepkörök... 173 3. KOCKÁZATBECSLÉS... 175 1. lépés - A rendszer leírása... 176 A VESZÉLYTÉNYEZİK FELTÁRÁSA... 177 2. lépés - A veszélyforrások meghatározása... 177 3. lépés - A sebezhetıségek meghatározása... 179 4. lépés - Az óvintézkedések elemzése... 180 5. lépés A valószínőségek meghatározása... 182 6. lépés - Hatáselemzés... 183 7. lépés - A kockázati szint meghatározása... 186 8. lépés Javaslat óvintézkedésekre... 187 9. lépés Az eredmények dokumentálása... 188 Kockázatbecslés a rendszer életciklusa során... 189 4. A KOCKÁZATOK CSÖKKENTÉSE... 189 4.1 A kockázatcsökkentés megközelítési módjai... 190 4.2 A kockázatcsökkentés áttekintése... 191 4.3 Az óvintézkedések megvalósítása... 192 4.4 Költség-haszon elemzés... 199 4.5 Maradványkockázat... 201 4.6 Kockázatcsökkentés a rendszer életciklusa során... 202 5 ÉRTÉKELÉS ÉS FELÜLVIZSGÁLAT... 203 6. AZ ELEKTRONIKUS KÖZIGAZGATÁSI SZOLGÁLTATÁSOKAT MEGALAPOZÓ INFORMÁCIÓK ÉS INFORMATIKAI CÉLRENDSZEREK BIZTONSÁGI KATEGORIZÁLÁSA... 204 6.1 Biztonsági célok és kihatás szintek... 204 6.2 Információ típusok biztonsági kategorizálása... 207 6.3 Informatikai rendszerek biztonsági kategorizálása... 208 TERMINOLÓGIA... 212 3.2. RÉSZLETES KOCKÁZATELEMZÉS... 214 A módszertan szakaszainak és lépéseinek részletes leírása... 215 I. szakasz: a védelmi igény feltárása... 220 1. lépés: Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése... 222 2. lépés: Az informatika-alkalmazások és a feldolgozandó adatkörök érzékenységi értékeinek meghatározása... 224 II. szakasz: fenyegetettség elemzés... 228 3. lépés: A fenyegetett rendszerelemek feltérképezése... 230 4. lépés: Az alapfenyegetettség meghatározása... 233 8 Magyar Informatikai Biztonság Irányítási Követelményrendszer
5. lépés: A fenyegetı tényezık meghatározása...235 III. szakasz: kockázatelemzés...237 6. lépés: A károk értékeinek meghatározása... 239 7. lépés: Az alapfenyegettségek okozta károk gyakoriságának meghatározása... 241 8. lépés: A fennálló kockázatok meghatározása és leírása... 244 IV. szakasz: kockázatmenedzselés...248 9. lépés: Az intézkedések kiválasztása... 250 10. lépés: Az intézkedések értékelése... 252 11. lépés: A költség/haszon arány elemzése... 256 12. lépés: A maradványkockázat elemzése... 258 13. lépés: Akcióterv kidolgozása... 260 Az informatikai biztonsági vizsgálati dokumentum tartalmi felépítése...260 Segédletek...262 Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései... 262 Kárkövetkezmények és azok értékelési rendszere... 266 Az informatikai rendszer elemeinek csoportosítása... 272 Gyenge pontok... 286 Fenyegetések... 290 Kockázat minısítési segédletek... 297 Magyar Informatikai Biztonság Irányítási Követelményrendszer 9
Elıszó Az információ az innováció legfontosabb forrásává vált, jelentıs részét képezve a különbözı szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlıdésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. Ehhez a folyamathoz kapcsolódóan a szervezeti szintő informatikai biztonság létrehozása és mőködtetése támogatására a Közigazgatási Informatikai Bizottság kiadta a Magyar Informatikai Biztonsági Ajánlások Magyar Informatikai Biztonság Irányítási Keretrendszer részét képzı Informatikai Biztonság Irányítási Rendszer (IBIR) és az Informatikai Rendszerek Irányítási Követelmények (IBIK) címő dokumentumokat. Az IBIR és az IBIK elsısorban az ISO/IEC 27000 szabványsorozatra épül, amelyet a világ és különösen az Európai Unió mind több országában fogadnák el a különbözı szervezetek informatikai biztonságmenedzsmentjük alapelveként. A szervezetek vezetése és belsı ellenırzı szervezetei által végrehajtott ellenırzések mellett a nemzetközi és a hazai gyakorlatban is egyre jobban terjed megfelelı felkészülés után a -ISO/IEC 27001 szabványnak való megfelelést bizonyító audit elvégzése. Az Informatikai Biztonsági Irányítási Rendszer (IBIR) egy általános irányítási rendszer, amely megvalósítja, üzemelteti, ellenırzi, karbantartja és javítja a szervezet informatikai biztonságát. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelısségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erıforrásokat. Az informatikai biztonság kezelésének hatékonyabbá tétele érdekében szükség van a követelmények és feladatok szakmailag egységes kezelésére, amely bizalmat teremthet a különbözı szervezetek között az informatikai rendszerek biztonságát illetıen. A szervezeti szintő informatikai biztonság követelményei, az IBIK az ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO 1 és az Európai Unió 2 releváns szabályozásai figyelembe vételével készültek. 1 (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49 2 Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) 10 Magyar Informatikai Biztonság Irányítási Követelményrendszer
Az informatikai biztonsági rendszer kialakításának legjobb gyakorlatán túl elsısorban a menedzsment részére azt is meg kell határozni, hogy melyek azok a feltételek, követelmények, amelyeket teljesíteni kell a szabványnak való megfeleléshez. Ezek alapján egy belsı auditor vagy külsı tanúsító egyértelmően el tudja dönteni, hogy az adott szervezet informatikai biztonsági rendszere megfelel-e a szabványnak vagy sem. Ez a módszertan részletes elıírásokat ad az informatikai biztonság irányításának vizsgálatához és tanúsításához a vizsgálatot végzıknek és az arra felkészülıknek egyaránt. Az Informatikai Biztonság Irányítási Rendszer folyamatainak vizsgálata (1. rész) és a biztonsági intézkedések vizsgálata (2. rész) lefedi az ISO/IEC 27001 szabvány szerinti tanúsításhoz szükséges vizsgálati eljárás (audit) során vizsgálandó kérdéseket. A kockázatelemzéshez, kockázatkezeléshez két módszertan kerül bemutatásra. Az elsı eljárásrend a NIST SP 800-30 3 és a FIPS 199 4 dokumentumokon alapuló módszertan. Ez a módszertan viszonylag egyszerő, kis idı- és erıforrás igényő kockázatbecslést tesz lehetıvé. A másik bemutatott eljárásrend egy CRAMM 5 alapú módszertan, amely MeH ITB 8. számú ajánlása (Informatikai biztonsági módszertani kézikönyv) alapján, annak aktualizálásával készült kockázatelemzési módszertan. A CRAMM módszertan egy részletes, az egyes fenyegetések kockázatait feltáró eljárás, azonban idı- és erıforrás igénye nagy ezért költséges. 3 NIST Special Publication 800-30, Risk Management Guide, 2001 Kockázatkezelési Útmutató. NIST National Institute of Standard and Technology, USA 4 FIPS 199 Standards for Security Categorization of Federal Information and Information Systems, 2004. FIPS Federal Information Processing Standards Publication, USA 5 CCTA Risk Analysis and Management Method CCTA Kockázatelemzési és Kezelési Módszertan. CCTA Central Computer and Telecommunications Agency (Központi Számítógép és Távközlési Ügynökség) Magyar Informatikai Biztonság Irányítási Követelményrendszer 11
1. Az Informatikai Biztonsági Irányítási Rendszer folyamatainak vizsgálata 1.1. Az Informatikai Biztonsági Irányítási Rendszer létesítésének vizsgálata A vizsgálat lefedi az Informatikai Biztonság Irányítási Rendszer (IBIR) folyamatait. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az informatikai biztonság hatékony irányítását egy folytonos fejlesztési programon keresztül. Ez az ún. PDCA modell: Plan / Tervezés (Informatikai Biztonság Irányítási Rendszer tervezése). Do / Végrehajtás (Informatikai Biztonság Irányítási Rendszer kialakítása). Check / Ellenırzés (Informatikai Biztonság Irányítási Rendszer ellenırzése). Act / Beavatkozás (Informatikai Biztonság Irányítási Rendszer karbantartása). 1.1.1. Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata 1) Meg kell vizsgálni, hogy van-e olyan dokumentum a szervezetnél, amelyik egyértelmően leírja Informatikai Biztonsági Irányítási Rendszer mőködési körét. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Megfelel a követelménynek: Ha van ilyen dokumentum. Részben megfelel a követelménynek: Ha van olyan dokumentum mely részben megfelel a követelménynek. (A helyzet akkor fordulhat elı, amikor már létezik ez a dokumentum, de nincs frissítve és tartalma eltér a jelenlegi állapottól. Ilyen esetben a vizsgálónak meg kell indokolnia, hogy a dokumentum mely részei nem felelnek meg a valóságnak.) Nem felel meg a követelménynek: Ha nincs ilyen dokumentum. 12 Magyar Informatikai Biztonság Irányítási Követelményrendszer
1.1.2. Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata 1) Meg kell vizsgálni Informatikai Biztonság Irányítási Rendszer (IBIR) feladatkörének kiterjedését, különös tekintettel azokra a biztonsági feladatokra melyek nem tartoznak bele az IBIR feladatkörébe, vagy nem meghatározottak, vagy nem dokumentáltak. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések a kérdéses feladatkörben ténykedı vezetıkkel és a munkatársakkal. 4) Annak megállapítása, hogy vannak-e jelentıs kivételek melyek nem tartoznak bele Informatikai Biztonság Irányítási Rendszer feladatkörébe és hogy van-e erre egyértelmő magyarázat. Megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált és dokumentált valamint az IBIR feladatkörébe van sorolva. Részben megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált, de csak részben dokumentált és az IBIR feladatkörébe van sorolva. (Ha a szervezet a vizsgálat végéig pótolni tudja a hiányosságokat.) Nem felel meg a követelménynek: Ha van olyan informatikai biztonsági feladat, amely kívül esik az IBIR feladat és hatáskörén, vagy ha az adott feladat egyáltalán nem definiált, vagy meg van határozva, de nem az IBIR feladatköréhez tartozik. 1.1.3. Informatikai Biztonságpolitika hatáskörének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika hatáskörének vizsgálata 1) Üzletágak, tevékenységi körök feltérképezése, vizsgálata: meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás. 2) Meg kell vizsgálni, hogy a szervezetnél hatályban lévı Informatikai Biztonságpolitika Magyar Informatikai Biztonság Irányítási Követelményrendszer 13
naprakészségét, illetve azt, hogy lefedi-e az összes üzleti tevékenységet. 3) Szabályzatok, dokumentációk begyőjtése, elemzése. 4) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a teljes tevékenységi kört, és minden tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység. Részben megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a legfontosabb tevékenységet, de csak a legfontosabb tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység definiálva. Nem felel meg a követelménynek: Ha nincs Informatikai Biztonságpolitika, és a különféle tevékenységi területek informatikai biztonsága szabályozatlan. 1.1.4. Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata 1) Meg kell vizsgálni, hogy szolgátat-e a biztonságpolitika egy kijelölt útirányt, keretrendszert az informatikai biztonsági tevékenységhez. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Az egyes szervezeti egységek és azok különféle tevékenységi köreinek feltérképezése, vizsgálata. Meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás és hogy a biztonságpolitikában megfogalmazott biztonsági irányelvek használhatóak-e helyben is. Megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági 14 Magyar Informatikai Biztonság Irányítási Követelményrendszer
irányelvek az adott tevékenység informatikai biztonságának kialakításához felhasználhatóak, pénzügyi erıforrásokkal támogatottak. Részben megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági irányelvek az adott tevékenység informatikai biztonságának kialakításához felhasználhatóak, pénzügyi erıforrásokkal támogatottak de csak részben fedik le a tevékenységi kört, vagy olyan intézkedéseket fogalmaznak meg, hatékonyan nem valósíthatók meg, vagy nem kockázatarányosak. Nem felel meg a követelménynek: Ha a biztonságpolitikában megfogalmazott irányelvek: o elavultak; o rossz hatásfokuk miatt nem tarthatóak be (pl. túlzottan lelassítják az üzleti tevékenységet); o nincs meg az intézkedésekhez szükséges erıforrás. 1.1.5. Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata 1) A vizsgálónak meg kell gyızıdnie arról, hogy a biztonsági irányelvek figyelembe veszik az üzleti, törvényi, jogszabályi és a szerzıdésekkel kapcsolatos biztonsági követelményeket. 2) Hatályos jogszabályok, törvények feltérképezése. 3) A szervezet már elkészült szerzıdéseinek, szerzıdésmintáinak a biztonsági irányelveknek és a jogszabályoknak való megfelelési vizsgálata. 4) Az üzleti tevékenységek biztonsági irányelveknek és jogszabályoknak való megfelelési vizsgálata. 5) A szabályozási irányelvek, tevékenységek jogszabályi való megfelelésének vizsgálata. Megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak és a szerzıdésekkel kapcsolatos biztonsági követelményeknek. Magyar Informatikai Biztonság Irányítási Követelményrendszer 15
Részben megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak, de nem felelnek meg a szabályozási és a szerzıdésekkel kapcsolatos biztonsági követelményeknek. Nem felel meg a követelménynek: Ha a biztonsági irányelvek nem felelnek meg a tárgyban megfogalmazott feltételeknek. 1.1.6. Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata Vizsgálat tárgya: A informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata 1) Meg kell vizsgálni, hogy az informatikai biztonságpolitikát jóváhagyta-e a menedzsment. 2) Szabályzatok, dokumentumok begyőjtése, elemzése. 3) Személyes beszélgetések a vezetıkkel. Megfelel a követelménynek: Ha az informatikai biztonságpolitikát jóváhagyta a menedzsment. Részben megfelel a követelménynek: Ha az informatikai biztonságpolitikának csak bizonyos részeit, vagy csak a fontosabb üzleti területekre vonatkozó részeit fogadta el a vezetés. Nem felel meg a követelménynek: Ha az informatikai biztonságpolitikát nem hagyta jóvá a menedzsment. 16 Magyar Informatikai Biztonság Irányítási Követelményrendszer
1.1.7. Kockázatkezelési eljárás megfelelıségének vizsgálata Vizsgálat tárgya: Kockázatkezelési eljárás megfelelıségének vizsgálata 1) A vizsgálónak meg kell gyızıdnie arról, hogy van-e olyan elıre definiált kockázatkezelési eljárás, ami megfelel az Informatikai Biztonság Irányítási Rendszernek és az azonosított üzleti informatikai biztonsági, törvényi és szabályozási követelményeknek. 2) Olyan tanulmányok, dokumentumok keresése melyek elıírják a szervezeten belül alkalmazandó kockázatelemzési és kezelési elveket. Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha az IBIR-ben nincs meghatározott kockázatkezelési eljárás. 1.1.8. Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata Vizsgálat tárgya: A IBIR kockázat kezelési, csökkentési céljainak vizsgálata 1) A vizsgálónak meg kell vizsgálnia, hogy vannak-e olyan céljai és szabályai az Informatikai Biztonság Irányítási Rendszernek, melyek elviselhetı szintre csökkentik a kockázatokat. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Megfelel a követelménynek: Ha a vizsgálat szempontjaiban meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha nem léteznek a kockázatcsökkentı szabályok és célok az informatikai biztonságpolitkában és /vagy az IBIR-ben. Magyar Informatikai Biztonság Irányítási Követelményrendszer 17
1.1.9. Az elviselhetı kockázatok meghatározásának vizsgálata Vizsgálat tárgya: Az elviselhetı kockázatok meghatározásának vizsgálata 1) Meg kell vizsgálni, hogy van-e olyan kritérium, amely meghatározza az elviselhetı (elfogadható) kockázatokat és hogy vannak-e elfogadható szintő kockázatok meghatározva, melyek ezen a kritériumon alapulnak. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Megfelel a követelménynek: Ha van megfelelı kritérium és meg vannak határozva az elfogadható szintő kockázatok. Nem felel meg a követelménynek: Ha nincs megfelelı kritérium és nincsenek meghatározva az elfogadható szintő kockázatok. 1.1.10. A kockázatok azonosítására használt eljárások vizsgálata Vizsgálat tárgya: A kockázatok azonosítására használt eljárások létezésének vizsgálata 1) Meg kell vizsgálni, hogy a szervezetnél létezik-e helyénvaló eljárás a kockázatok azonosítására. Megfelel a követelménynek: Ha létezik kockázatazonosító eljárás. Nem felel meg a követelménynek: Ha nem áll rendelkezésre kockázatok azonosítására használható eljárás. 1.1.11. Kockázatelemzési módszer használatának vizsgálata Vizsgálat tárgya: Annak megállapítása, hogy használnak-e a szervezetnél valamilyen kockázatelemzési módszert. 1) Ez a módszer elemzi a biztonsági hibákból, a bizalmasság, sérthetetlenség, és 18 Magyar Informatikai Biztonság Irányítási Követelményrendszer
rendelkezésre állás elvesztésébıl származó üzleti károkat? 2) Ez a módszer elemzi (megbecsüli) a bekövetkezési valószínőségét az olyan biztonsági események elıfordulásának, melyek az Informatikai Biztonság Irányítási Rendszer értékeit fenyegetik? 3) Ez a módszer megbecsüli a kockázat szintjeit? 4) Ez a módszer meghatározza, hogy elfogadható-e (felvállalható-e) ez a kockázat vagy igényel-e valamilyen kezelési módot, ill. használnak-e más olyan kritériumot, amely meghatározza, hogy elviselhetı-e ez a kockázat? Megfelel a követelménynek: Ha vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha nem használnak kockázatelemzési módszert. 1.1.12. A kockázatkezelési lehetıségek azonosítása, kiértékelése Vizsgálat tárgya: A kockázatkezelési lehetıségek azonosítása, kiértékelése 1) A vizsgálónak meg kell állapítania, hogy használnak-e a szervezeten belül valamilyen módszert a kockázatok azonosítására, kiértékelésére és kezelésére. Ez a módszer figyelembe veszi a következı lehetıségeket: a) alkalmaz intézkedéseket a kockázatok kezelésére? b) tárgyilagosan elfogadja a kockázatokat, kielégíti a biztonsági szabályzatban definiált kockázat elfogadási ismérveket? c) Megoldja a kockázatok kikerülését? d) Átruházza a kockázatokat a biztosítókra vagy a szállítókra? Megfelel a követelménynek: Ha létezik és használatban van a vizsgálati szempontoknak megfelelı módszertan. Nem felel meg a követelménynek: Ha nem létezik és/vagy nincs használtban a Magyar Informatikai Biztonság Irányítási Követelményrendszer 19
vizsgálati szempontoknak megfelelı módszertan. Az informatikai biztonság irányításának vizsgálata 1.1.13. A kockázatkezelési intézkedés tárgyának és céljának kiválasztása Vizsgálat tárgya: Megtörténik-e a kockázatkezelési intézkedés tárgyának és céljának kiválasztása 1) Használnak a szervezeten belül valamilyen módszert a kockázatkezelési intézkedések kiválasztására? 2) Biztosítja igazoltan ez a módszer, hogy az intézkedések kiválasztása kockázat elemzésen és kezelésen alapul? Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek. Nem felel meg a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek nem teljesülnek.. 1.1.14. Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata Vizsgálat tárgya: Az alkalmazhatósági nyilatkozat megléte és helyessége 1) A szervezeten belül van-e használnak-e alkalmazhatósági nyilatkozatot? 2) Az alkalmazhatósági nyilatkozat igazolja a a kockázatkezelési intézkedések kiválasztásáráról hozott döntéseket? Megfelel a követelménynek: Amennyiben mindkét vizsgálati szempontra igen a válasz. Nem felel meg a követelménynek: Amennyiben az egyik vizsgálati szempontra nem a válasz 20 Magyar Informatikai Biztonság Irányítási Követelményrendszer