KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-2. kötet Informatikai Biztonság Irányítási Követelmények (IBIK) 1.0 verzió 2008. június

Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Muha Lajos PhD, CISM K ö z r e mőködött: Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Sneé Péter, Váncsa Julianna PhD. Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonság Irányítási Keretrendszer

TARTALOMJEGYZÉK ELİSZÓ...9 BEVEZETÉS...13 1. AZ INFORMATIKAI BIZTONSÁG...13 2. MIÉRT VAN SZÜKSÉG AZ INFORMATIKAI BIZTONSÁGRA?...14 3. HOGYAN ÁLLÍTSUNK FEL BIZTONSÁGI KÖVETELMÉNYEKET?...16 4. A BIZTONSÁGI KOCKÁZATOK MEGHATÁROZÁSA...16 5. AZ INTÉZKEDÉSEK KIVÁLASZTÁSA...17 6. AZ INFORMATIKAI BIZTONSÁG KIINDULÓPONTJA...17 7. KRITIKUS SIKERTÉNYEZİK...18 8. ÚTMUTATÓ SAJÁT INFORMATIKAI BIZTONSÁGI SZABÁLYZAT ELKÉSZÍTÉSÉHEZ...19 1. FEJEZET ALKALMAZÁSI TERÜLET...21 2. FEJEZET FOGALMAK ÉS MEGHATÁROZÁSOK...23 2.1. AZ INFORMATIKAI BIZTONSÁG...23 3. FEJEZET AZ AJÁNLÁS FELÉPÍTÉSE...25 4. FEJEZET KOCKÁZATOK MEGHATÁROZÁSA, ELEMZÉSE ÉS KEZELÉSE...27 4.1. KOCKÁZATELEMZÉS...27 4.2. KOCKÁZATKEZELÉS...32 5. FEJEZET BIZTONSÁGPOLITIKA...35 5.1. AZ INFORMATIKAI BIZTONSÁG DOKUMENTUMAI...35 5.1.1 Az informatikai biztonságpolitika...35 5.1.2. Az informatikai biztonsági stratégia...37 5.1.3. Az Informatikai Biztonsági Szabályzat...37 5.2. FELÜLVIZSGÁLAT ÉS FEJLESZTÉS...38 6. FEJEZET SZERVEZETI BIZTONSÁG...40 6.1. AZ INFORMATIKAI BIZTONSÁG BELSİ SZERVEZETI STRUKTÚRÁJA...40 6.1.1. Vezetıi elkötelezettség...40 6.1.2. Az informatikai biztonság és a szervezeti struktúra összehangolása...41 6.1.3. Az informatikai biztonsági feladatok megosztása...45 6.1.3.1. Biztonsági Vezetı... 45 6.1.3.2. Informatikai Biztonsági Vezetı... 46 61.4. Az adatfeldolgozás engedélyezési eljárásai...48 6.1.5. Titoktartási nyilatkozatok...49 6.1.6. Együttmőködés külsı szervezetekkel, hatóságokkal...50 6.1.7. Együttmőködés különféle szakmai és információvédelmi szervezetekkel...51 6.1.8. Az informatikai biztonság független felülvizsgálata...52 6.1.8.1. Informatikai biztonsági tanácsadás... 52 6.2. ELİÍRÁSOK A KÜLSİ SZEMÉLYEK ÁLTAL TÖRTÉNİ HOZZÁFÉRÉSEKKEL KAPCSOLATBAN...53 6.2.1. A külsı személyek által történı hozzáférések kockázatai...54 6.2.1.1. A hozzáférések típusai... 54 6.2.1.2. A hozzáférések engedélyezési feltételei... 54 Magyar Informatikai Biztonság Irányítási Keretrendszer 3

6.2.1.3. Helyszíni tevékenységet végzı külsı személyek... 56 6.2.1.4. A külsı személyek által történı hozzáférések kockázatainak felmérése... 56 6.2.2. Ügyfélkapcsolatok informatikai biztonsága... 58 6.2.3. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben... 59 6.3. VÁLLALKOZÁSBA ADÁS... 61 6.3.1. Elıírások a vállalkozásba adási szerzıdésekben... 62 7. FEJEZET AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE.. 66 7.1. SZÁMADÁSI KÖTELEZETTSÉGEK AZ ESZKÖZÖKKEL KAPCSOLATBAN 66 7.1.1. Eszköz és vagyonleltár... 67 7.1.2. A vagyontárgyak gazdája... 68 7.1.3. Az eszközök (vagyontárgyak) megfelelı használata... 68 7.2. AZ ADATOK BIZTONSÁGI OSZTÁLYOZÁSA... 69 7.2.1. Az osztályozás irányelvei... 69 7.2.2. Az adatok minısítése, címkézése és kezelése... 74 8. FEJEZET SZEMÉLYI BIZTONSÁG... 76 8.1. AZ ALKALMAZÁS ELİTT... 76 8.1.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban... 76 8.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika... 77 8.1.3. A foglalkoztatás feltételei... 78 8.2. AZ ALKALMAZÁS ALATT... 79 8.2.1. A vezetıség felelısségei... 80 8.2.2. Az informatikai biztonsági oktatás és képzés... 81 8.2.3. Fegyelmi eljárás... 83 8.3. AZ ALKALMAZÁS MEGSZŐNÉSEKOR VAGY VÁLTOZÁSAKOR... 84 8.3.1. A munkaviszony megszüntetésének biztonsági kérdései... 84 8.3.2. Az eszközök visszaadása... 84 8.3.3. A hozzáférési jogok visszavonása.... 85 8.3.4. Az átszervezés biztonsági kérdései... 86 9. FEJEZET FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG... 88 9.1. BIZTONSÁGI SZEGMENSEK... 88 9.1.1. Biztonsági határok... 89 9.1.2. beléptetési intézkedések... 90 9.1.3. Létesítmények és helyiségek biztonsága... 90 9.1.4. Védelem a külsı és környezeti fenyegetettségek ellen... 91 9.1.5. Munkavégzés a biztonsági szegmensekben... 92 9.1.6. A kiszolgáló területek és raktárak biztonsági elkülönítése... 93 9.2. A BERENDEZÉSEK FIZIKAI VÉDELME... 94 9.2.1 A mőszaki berendezések elhelyezése és védelme... 99 9.2.2. Energiaellátás... 100 9.2.3. A kábelezés biztonsága... 101 9.2.4. A berendezések karbantartása... 102 9.2.5. A telephelyen kívüli berendezések védelme... 102 9.2.6. A berendezések biztonságos tárolása és újrafelhasználása... 103 9.2.7. Az eszközök selejtezése, elvitele... 104 9.2.7.1. Az informatikai eszközök selejtezése... 104 9.2.7.2. Az informatikai eszközök kivitele, szervízbe küldése... 104 4 Magyar Informatikai Biztonság Irányítási Keretrendszer

10. FEJEZET SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE...106 10.1. ÜZEMELTETÉSI ELJÁRÁSOK ÉS FELELİSSÉGEK...106 10.1.1. Az üzemeltetési eljárások dokumentációja...106 10.1.2. Változásmenedzsment...107 10.1.3. A feladatkörök elhatárolása...108 10.1.4. A fejlesztési és az üzemeltetési feladatok szétválasztása...108 10.1.5. Külsı létesítmények üzemeltetése...110 10.2. HARMADIK FÉL SZOLGÁLTATÁSÁNAK IRÁNYÍTÁSA...110 10.2.1. A szolgáltatás színvonala...111 10.2.2. A szolgáltatás auditja...111 10.2.3. Változáskezelés...111 10.3. INFORMATIKAI RENDSZEREK TERVEZÉSE ÉS ÁTVÉTELE...112 10.3.1. Kapacitástervezés...112 10.3.2. A rendszer átvétele...113 10.4. VÉDELEM ROSSZINDULATÚ PROGRAMOK ELLEN...114 10.4.1. A rosszindulatú programokat ellenırzı eszközök...116 10.4.1.1. A vírusvédelmi rendszer kialakítása és mőködtetése... 117 10.4.2. Mobil kód elleni intézkedések...119 10.5. MENTÉS...120 10.5.1. Adatmentések...120 10.6. HÁLÓZATMENEDZSMENT...121 10.6.1. Hálózatbiztonsági intézkedések...122 10.6.2. Hálózati szolgáltatások biztonsága...122 10.7. AZ ADATHORDOZÓK BIZTONSÁGOS KEZELÉSE...123 10.7.1. Hordozható adathordozók kezelése...124 10.7.1.1. Az adathordozók tárolása... 124 10.7.1.2. Adathordozók kivitele... 125 10.7.2. Az adathordozók, újrahasznosítása selejtezése...126 10.7.2.1. Adathordozók újrahasznosítása... 127 10.7.2.2. Adathordozók megsemmisítése... 127 10.7.3. Adatkezelési eljárások...128 10.7.4. A rendszerdokumentációk biztonsága...129 10.8. ADATOK ÉS PROGRAMOK CSERÉJE...130 10.8.1. Adatcserére vonatkozó szabályzatok és eljárások...131 10.8.1.1. Az adatcsere egyéb formái... 132 10.8.2. Megállapodások az adatok és programok cseréjérıl...133 10.8.3. Adathordozók szállítása...134 10.8.4. Az elektronikus levelezés biztonsága...135 10.8.4.1. Biztonsági kockázatok... 135 10.8.4.2. Az elektronikus levelezés irányelvei... 136 10.8.5. Üzleti információs rendszerek...137 10.9. AZ ELEKTRONIKUS KERESKEDELEM BIZTONSÁGA...139 10.9.1. Biztonsági intézkedések...139 10.9.2. On-line tranzakciók...140 10.9.3. Nyilvános rendszerek biztonsága...141 10.10. A BIZTONSÁGI MEGFIGYELİ RENDSZER HASZNÁLATA...142 10.10.1. Biztonsági események naplózása...142 10.10.2. A rendszer használat megfigyelése...146 Magyar Informatikai Biztonság Irányítási Keretrendszer 5

10.10.2.1. Kockázati tényezık... 147 10.10.2.2. Az eseménynaplózás és értékelése... 147 10.10.3. Naplózási információk védelme... 148 10.10.4. Adminisztrátori és operátori tevékenységek naplózása... 148 10.10.5. Rendszerhibák naplózása... 149 10.10.6. Rendszerórák szinkronizálása... 150 11. FEJEZET HOZZÁFÉRÉS MENEDZSMENT... 151 11.1. A HOZZÁFÉRÉS ELLENİRZÉS ÜZLETI KÖVETELMÉNYEI... 151 11.1.1. A hozzáférés ellenırzésének szabályai... 153 11.1.1.1. Hozzáférés ellenırzési szabályzat... 153 11.1.1.2. Külsı fél hozzáférése... 155 11.2. A FELHASZNÁLÓI HOZZÁFÉRÉS MENEDZSMENTJE... 155 11.2.1. A felhasználók regisztrációja... 156 11.2.2. A jogosultságok kezelése... 158 11.2.3. A felhasználói jelszavak kezelése... 161 11.2.4. A felhasználó hozzáférési jogosultságainak ellenırzése... 163 11.3. A FELHASZNÁLÓ FELADATAI, FELELİSSÉGEI... 164 11.3.1. Jelszó használat... 164 11.3.2. Felügyelet nélküli berendezések... 166 11.3.3. Adattárolási és képernyı-kezelési irányelvek... 166 11.4. A HÁLÓZATI SZINTŐ HOZZÁFÉRÉSEK MENEDZSMENTJE... 167 11.4.1. A hálózati szolgáltatások használatának irányelvei... 168 11.4.1.1. Kötelezı hozzáférési útvonal... 169 11.4.2. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál... 170 11.4.3. Hálózati eszközök, munkaállomások azonosítása és hitelesítése... 172 11.4.4. A távdiagnosztikai portok védelme... 173 11.4.5. A hálózatok biztonsági szegmentálása... 173 11.4.6. A hálózatra történı csatlakozások ellenırzése... 175 11.4.7. A hálózati útvonal kiválasztások ellenırzése... 175 11.5 AZ OPERÁCIÓS RENDSZERSZINTŐ HOZZÁFÉRÉSEK ELLENİRZÉSE... 176 11.5.1. Biztonságos hitelesítési, bejelentkezési eljárások... 176 11.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése... 176 11.5.1.2. Biztonságos bejelentkezési eljárások... 177 11.5.2. A felhasználó azonosítása, hitelesítése... 177 11.5.3. Jelszómenedzsment rendszer... 178 11.5.4. Rendszer segédprogramok használata... 179 11.5.5. Kapcsolati idıtúllépés... 180 11.5.6. Kapcsolati idıkorlátozás... 181 11.5.7. Támadás-riasztás... 181 11.6. ALKALMAZÁS SZINTŐ HOZZÁFÉRÉSEK VEZÉRLÉSE... 182 11.6.1. Az adatelérés szabályozása... 182 11.6.2. Érzékeny adatokat kezelı rendszer elkülönítése... 182 11.7. MOBIL INFORMATIKAI TEVÉKENYSÉG, TÁVMUNKA... 183 11.7.1. Mobil informatikai tevékenység... 183 11.7.2. A távmunka... 193 6 Magyar Informatikai Biztonság Irányítási Keretrendszer

12. FEJEZET AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA...196 12.1. AZ INFORMATIKAI RENDSZEREK INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEI...196 12.1.1. A biztonsági követelmények elemzése és meghatározása...196 12.2. BIZTONSÁG AZ ALKALMAZÁSI RENDSZEREKBEN...198 12.2.1. A bemenı adatok hitelesítése...198 12.2.2. Az adatfeldolgozás ellenırzése...199 12.2.2.1. Veszélyeztetett területek... 199 12.2.2.2. Vezérlı és ellenırzı eljárások... 200 12.2.3. Az üzenetek hitelesítése...200 12.2.4. A kimenı adatok hitelesítése...201 12.3. KRIPTOGRÁFIAI ESZKÖZÖK...201 12.3.1. A kriptográfiai eszközök alkalmazásának irányelvei...202 12.3.1.1. Rejtjelzés... 203 12.3.1.2.Digitális aláírás... 203 12.3.1.3.Szolgáltatások a le nem tagadhatóságra... 204 12.3.2. Kulcsmenedzsment...204 12.3.2.1. A kriptográfiai kulcsok védelme... 205 12.3.2.2. Szabványok, eljárások, módszerek... 205 12.4. RENDSZERÁLLOMÁNYOK VÉDELME...206 12.4.1. Az operációs rendszer ellenırzése...206 12.4.2. A rendszervizsgálati (teszt) adatok védelme...207 12.4.3. A program forráskönyvtárhoz való hozzáférés ellenırzése...208 12.5. INFORMATIKAI BIZTONSÁG A FEJLESZTÉSI ÉS A KARBANTARTÁSI FOLYAMATOKBAN...209 12.5.1. Változásmenedzsment...209 12.5.2. Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések...210 12.5.3. A szoftvercsomagok megváltoztatásának korlátozása...210 12.5.4. A rendszeriformációk kiszivárgásának megakadályozása...211 12.5.5. A programfejlesztés kihelyezése...212 12.6. A MŐSZAKI SEBEZHETİSÉGEK KEZELÉSE...212 12.6.1. A mőszaki sebezhetıségek ellenırzése...213 13. FEJEZET AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE...215 13.1. BIZTONSÁGI ESEMÉNYEK ÉS BIZTONSÁGI RÉSEK JELENTÉSE...218 13.1.1. A biztonsági esmények jelentése...218 13.1.2. A biztonsági rések, gyenge pontok jelentése...219 13.1.2.1. Programhibák jelentése... 220 13.2. INFORMATIKAI BIZTONSÁGI INCIDENS MENEDZSMENT...220 13.2.1. Eljárások és felelısségek...220 13.2.2. Okulás az informatikai biztonsági incidensekbıl...222 13.2.3. Bizonyítékok győjtése, védelme...222 13.2.3.1. A bizonyítékokra vonatkozó szabályok... 222 13.2.3.2.A bizonyítékok elfogadhatósága... 222 13.2.3.2.A bizonyítékok minısége és hiánytalan volta... 222 14. FEJEZET ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT...224 14.1. AZ ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT INFORMATIKAI BIZTONSÁGI SZEMPONTJAI...224 Magyar Informatikai Biztonság Irányítási Keretrendszer 7

14.1.1. Az informatikai biztonsági szempotok érvényesítése az üzletmenetfolytonosság irányításában... 225 14.1.2. Az üzletmenet-folytonossági hatásvizsgálatok és a kockázatok elemzése.. 226 14.1.3. Az üzletmenet-folytonossági terv kidolgozása... 227 14.1.3.1. Katasztrófa-elhárítási terv... 231 14.1.4. Az üzletmenet-folytonosság tervezési keretrendszere... 235 14.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése... 235 14.1.5.1. A tervek tesztelése... 235 14.1.5.2. A tervek karbantartása és újraértékelése... 237 15. FEJEZET MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A SZABÁLYOZÓKNAK... 239 15.1. A JOGSZABÁLYI ELİÍRÁSOK BETARTÁSA... 239 15.1.1. A vonatkozó jogszabályok behatárolása... 239 15.1.2. Szellemi tulajdonjogok... 243 15.1.2.1. Szerzıi jogok... 243 15.1.2.2. Szoftver szerzıi jogok... 244 15.1.3. A szervezet adatainak biztonsága... 245 15.1.4. Személyes adatok védelme... 246 15.1.5. A védelmi eszközökkel elkövethetı visszaélések megelızése... 246 15.1.6. A kriptográfiai eszközök kezelésének szabályozása... 247 15.2. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZATNAK, SZABVÁNYOKNAK ÉS MŐSZAKI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS... 248 15.2.1. Az informatikai biztonsági elıírásoknak való megfelelés... 248 15.2.2. A mőszaki követelményeknek való megfelelés... 251 15.3. AZ INFORMATIKAI RENDSZEREK BIZTONSÁGI ELLENİRZÉSÉNEK SZEMPONTJAI... 251 15.3.1. Rendszerauditálási óvintézkedések... 254 15.3.2. Rendszerauditáló eszközök védelme... 254 MELLÉKLETEK... 257 1. MELLÉKLET: FELHASZNÁLÓ REGISZTRÁCIÓS LAP... 257 2. MELLÉKLET: FELHASZNÁLÓ KILÉPTETİ LAP... 262 3. MELLÉKLET: HÁLÓZATI JOGOSULTSÁG IGÉNYLİ LAP... 265 4. MELLÉKLET: HÁLÓZATI HOZZÁFÉRÉSI ENGEDÉLY (HARMADIK SZEMÉLY RÉSZÉRE)... 268 5. MELLÉKLET: TITOKTARTÁSI NYILATKOZAT... 275 8 Magyar Informatikai Biztonság Irányítási Keretrendszer

ELİSZÓ Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL 1 -re és a COBIT 2 -ra. Az ITIL, Az informatikaszolgáltatás módszertana egy az informatika, mint szolgáltatás egészére kiterjedı, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létezı ITIL folyamatokat bıvíti a biztonságirányítással. A COBIT az információrendszer ellenırök egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenırzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. Az ISO/IEC 15408 szabvány (Common Criteria) elsısorban technikai jellegő, fıleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minısítésére. Nem 1 ITIL = Information Infrastructure Library Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezıek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az Information Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára de facto nemzetközi szabvánnyá vált, amelynek több országban mőködik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával 2002. novemberében honosították. 2 COBIT = Control Objectives for Information and Related Technology Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenırzésével és Vizsgálatával foglalkozó Alapítvány), az Information Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsısorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenırzési irányelvek, a Vezetıi útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezéső kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenırzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fı hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Magyar Informatikai Biztonság Irányítási Keretrendszer 9

tartalmaz ugyanakkor megfelelıen, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltetı, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR 13335 Guidelines for the Management of Information Security 3 (GMITS) mőszaki beszámoló. Az ISO/IEC TR 13335 nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de Technical Report -ként, ami ebben az esetben a megoldási lehetıségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR 13335 öt részbıl áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for Information Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning Information Security), 3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of Information Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections). 3 Segédlet az informatikai biztonság irányításához 10 Magyar Informatikai Biztonság Irányítási Keretrendszer

Az ISO/IEC 27002:2005 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelı informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különbözı nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a de facto nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC 27002 szabványt bár kritikák is érik a világ, és különösen az Európai Unió mind több országában fogadják el a különbözı szervezetek informatikai rendszerük biztonságának alapjaként. Ezért a jelen követelményeknek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR 13335 szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével. Magyar Informatikai Biztonság Irányítási Keretrendszer 11

12 Magyar Informatikai Biztonság Irányítási Keretrendszer

BEVEZETÉS 1. Az informatikai biztonság Az informatikai biztonság az informatikai rendszer olyan az érintett 4 számára kielégítı mértékő állapota, amelynek védelme az informatikai rendszerben kezelt 5 adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körőség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az idıben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olyan módon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, mint a védelem erısségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy az elmaradt haszon az veszteség gazdasági alaptétel mintájára az elmaradt kár az haszon tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkezı károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetık pénzkidobásnak. 4 Az érintett alatt a védelem nem kielégítı megvalósítását elszenvedı, a védelmet elıíró, továbbá a védelemért felelıs személyek és szervezetek együttese értendı. 5 Az adatok kezelése az alkalmazott eljárástól függetlenül a adatok győjtése, felvétele, tárolása, feldolgozása (megváltoztatás, átalakítás, összegzés, elemzés, stb.), továbbítása, törlése, hasznosítása (ideértve például a nyilvánosságra hozatalt is), és felhasználásuk megakadályozása. Magyar Informatikai Biztonság Irányítási Keretrendszer 13

2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentıs üzleti értéket, vagyont képeznek, olyan kiemelt jelentıségő erıforrások, amelyek semmi mással nem helyettesíthetı. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tőzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes változata a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számítógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezetı támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerıbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti mőködtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhetı hozzá, elvész vagy illetéktelen kezekbe jut, az jelentıs anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentıs változások történtek az információ megjelenési formáját illetıen. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselı információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektıl és informatikai szolgáltatásoktól való függıség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetıbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erıforrások megosztása nagyon megnehezíti a hozzáférések ellenırzését. Az osztott feldolgozás tendenciája, iránya jelentısen meggyengítette a szakértıi központi ellenırzés hatékonyságát. Igen sok informatikai rendszert egyszerően nem biztonságosra terveztek. Csak mőszaki eszközökkel kizárólag korlátozott biztonság érhetı el, éppen ezért kell azt megfelelı vezetési és irányítási módszerekkel támogatni. Az informatikai biztonság megteremtésének kiindulópontját az információ minısítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetıség szerint mindenre kiterjedı, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az informatikai biztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthetı. 14 Magyar Informatikai Biztonság Irányítási Keretrendszer

A biztonság megteremtéséhez nem elegendı a megfelelı szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van. Szervezeti szempontból fontos, hogy az informatikai biztonság különbözı, de szorosan összetartozó szakterületeit mővelı szakemberek, azonos szervezeti egységhez tartozzanak, közös irányítás alatt. A megfelelı biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthetı a számítógépen készített és tárolt minısített irat illetéktelen megismerésének valószínősége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép által automatikusan és folyamatosan tárolt feljegyzések alapján a biztonságot sértı eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerő megvalósítása esetén lehetséges, amely speciális, az informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erıforrásokat. Ennek hiányában a számítógépeken digitális állapotú információk megismerése nyomtalanul végrehajtható, és a további erıfeszítések a kinyomtatott, papíralapon megjelenı iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelı védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintő elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintı változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelmérıl nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellı figyelmet. A Ttv. 1995-ben jelent meg, amikor a kérdés jelentısége még sokkal kisebb volt, és a jogszabályalkotó azóta is adós az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minısített adat kezelésének rendjérıl) nem követték a tényleges technikai fejlıdést és az egyre növekvı mértékben megjelenı biztonsági kockázatokra nem adtak releváns választ, ezért a valós veszélyekre való tekintettel az egyes szervezetek öntevékenyen kezdték el Magyar Informatikai Biztonság Irányítási Keretrendszer 15

szabályozni ezt a területet, így jelenleg sokféle, különbözı szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létezı szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végzı szerv szabályozza és ellenırzi. 3. Hogyan állítsunk fel biztonsági követelményeket? Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonságpolitikáját, belsı szabályzóit. Ennek három fı forrása ismert: 1. A követelmények elsı forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez utóbbiak bekövetkezésének valószínőségét, és megbecsüli a lehetséges, várható károkat. 2. A második forrást azok a törvényi, szabályozási és szerzıdési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. 3. A harmadik forrást azok az adatfeldolgozási alapelvek, célkitőzések és követelmények alkotják, amelyeket a szervezet saját mőködésének támogatására fejlesztett ki. 4. A biztonsági kockázatok meghatározása A biztonsági követelmények és intézkedések a biztonsági kockázatok módszeres felmérésével határozhatók meg. A védelmi szint meghatározásának kulcsfogalma a kockázat arányosság. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhetı szintre kerülnek. Ezt az arányt, a védelem erısségének is szokták nevezni. Röviden a védelmi intézkedések kiadásai legyenek egyensúlyban a biztonsági eseményekbıl származó megbecsült üzleti veszteségekkel. Ahogyan a szervezet környezete, piaci szerepe valamint szervezeti felépítése változik, úgy folyamatosan változik a szervezet mőködését veszélyeztetı veszélyforrások száma. Az új veszélyforrások és kockázati tényezık felismeréséhez, valamint az új védelmi intézkedések 16 Magyar Informatikai Biztonság Irányítási Keretrendszer

foganatosítása érdekében a kockázatok felmérését idıszakosan meg kell ismételni. (A biztonsági kockázatok felmérésével a 4.1 fejezet foglalkozik.) 5. Az intézkedések kiválasztása A biztonsági kockázatok meghatározása után kerülhet sor a megfelelı szintő, kockázatarányos védelmi intézkedések kiválasztására, foganatosítására, amely szervezet számára elviselhetı szintre hozza ezeket a kockázatokat. A kiválasztott biztonsági intézkedések, eljárások nagyban függnek: - a szervezet kockázat vállalási szintjétıl, - a szervezetnél alkalmazott általános kockázatkezelési megközelítéstıl, - valamint az összes ide vonatkozó nemzeti és nemzetközi törvényi szabályozástól. (A biztonsági intézkedések kiválasztásával a 4.2 fejezet foglalkozik.) 6. Az informatikai biztonság kiindulópontja A jelen követelmények alapján számos intézkedés tekinthetı jó kiindulási pontnak az informatikai biztonság kialakításához. A szabványban rögzített védelmi intézkedések megfelelnek napjaink informatikai biztonsági gyakorlatának. A legfontosabb jogi kérdésekkel kapcsolatos intézkedések: a) az adatvédelem és a személyes információ bizalmassága (lásd 15.1.4.fejezet); b) a szervezeti feljegyzések védelme (lásd 15.1.3.fejezet); c) a szellemi tulajdonjog (lásd 15.1.2. fejezet). Napjaink informatikai biztonsági gyakorlatának tekinthetı alapintézkedések: a) az informatikai biztonságpolitika dokumentuma (lásd 5.1.1. fejezet); b) az informatikai biztonság felelısségeinek kiosztása (lásd 6.1.3. fejezet); c) informatikai biztonságtudatosság, -képzés és -oktatás (lásd 8.2.2. fejezet); Magyar Informatikai Biztonság Irányítási Keretrendszer 17

d) helyes feldolgozás az alkalmazások során (lásd 12.2. fejezet); e) mőszaki sebezhetıség kezelése (lásd 12.6. fejezet); f) mőködésfolytonosság irányítása (lásd 14. fejezet); g) az informatikai biztonsági incidensek és fejlesztések irányítása (lásd 13.2. fejezet). Ezek az intézkedések szervezetek többségére, általános környezetben érvényesek. Fontos, hogy ezek az alapintézkedések irányadóak ugyan, de az általunk védett szervezet védelmi intézkedéseit azokra az eseti kockázatokra kell meghatározni, amelyek azt fenyegetik. 7. Kritikus sikertényezık A sokéves informatikai biztonsági gyakorlat azt mutatja, hogy az alább felsorolt tényezık sikeressége nagyban befolyásolja egy adott szervezet védelmi szintjét: a) informatikai biztonsági politika céljainak és üzleti tevékenységek céljainak összhangja; b) informatikai biztonsági intézkedések bevezetésének, vizsgálatának, és karbantartásának összhangja a szervezeti kultúrával; c) látható támogatás és elkötelezettség a vezetıség minden szintjén; d) az informatikai biztonsági követelmények, kockázatfelmérés és kockázatkezelés fontosságának megértése; e) az informatikai biztonság eredményes közvetítése minden vezetı, és munkatárs felé; f) az informatikai biztonság irányításának, és a védelmi intézkedések implementálásának anyagi támogatása; g) az információvédelmi tudatosság elérésére, folyamatos oktatás és képzés nyújtása, eredményes informatikai biztonsági incidenskezelési folyamatok kialakítása; 18 Magyar Informatikai Biztonság Irányítási Keretrendszer

h) az informatikai biztonsági rendszer folyamatos fejlesztése, ellenırzése, karbantartása (TVEB 6 modell). 8. Útmutató saját informatikai biztonsági szabályzat elkészítéséhez Jelen dokumentum keret lehet, egy a szervezetekre általánosan jellemzı szervezeti szintő Informatikai Biztonsági Szabályzat fejlesztéséhez. Gyakorlati tapasztalat, hogy az Informatikai Biztonsági Szabályzatokban az informatikai biztonsági szabványoknak való megfelelés és hivatkozás lényegesen megkönnyíti az auditorok dolgát. Jelen dokumentumban, valamint az információvédelemmel, informatikai biztonsággal kapcsolatos más dokumentumokban elıírt védelmi intézkedések nem alkalmazhatóak minden szervezetre. Minden szervezetnek saját magának kell meghatároznia biztonsági kockázatait melyekkel nap, mint nap szembenéz, és ezekkel a kockázatokkal arányosan kell létrehoznia védelmi intézkedéseit. 6 Plan Do Check Act Magyar Informatikai Biztonság Irányítási Keretrendszer 19

20 Magyar Informatikai Biztonság Irányítási Keretrendszer