Koordinációs Irányító Hatóság EMIR Informatikai Biztonsági Szabályzat
Tartalomjegyzék 1. A dokumentum keretei... 4 1.1. Dokumentum hatálya... 4 1.2. Kapcsolódó dokumentumok... 4 1.3. Fogalomtár... 4 1.4. Szerepkörök... 8 2. Az informatikai biztonsági rendszer mőködtetése... 10 2.1. Megfelelés a jogszabályoknak és a belsı szabályzatoknak... 10 2.2. Kockázat menedzsment... 10 3. Védelmi intézkedések meghatározása... 13 3.1. Az adatok biztonsági besorolása... 13 3.1.1. Adathalmaz felmérése...13 3.1.2. Adatcsoportok kialakítása...13 3.1.3. Folyamatok felmérése...13 3.1.4. Adatosztályba sorolás...14 3.1.5. Adatok nyilvántartásba vétele...14 3.2. Szervezeti és személyi biztonság... 15 3.2.1. EMIR biztonsági fórum...15 3.2.2. Az IT biztonság szervezeti felépítése...15 3.2.3. Informatikai biztonsági feladatkörök...16 3.2.4. Az IT biztonság személyi vonatkozásai...19 3.3. Fizikai és környezeti biztonság... 20 3.3.1. Informatikai biztonsági zónák kialakítása...21 3.3.2. IT biztonsági zónákba történı belépés és munkavégzés...21 3.3.3. Eszközök kivitele...21 3.4. IT folyamatok biztonsága... 22 3.4.1. Informatikai rendszerek tervezése és jóváhagyása...22 3.4.2. IT eszközök beszerzésének biztonsága...22 3.4.3. Az EMIR alkalmazásfejlesztés biztonsága...23 3.4.4. Az üzemeltetés biztonsága...24 3.4.5. Biztonsági incidensek kezelése...25 3.4.6. (Operátori) Tevékenységek naplózása...27 3.5. Adatvédelmi eljárások menedzsmentje... 28 3.5.1. A határvédelemmel kapcsolatos védelmi intézkedések...28 3.5.2. Nem kívánatos kódok elleni védekezés...29 3.5.3. A jogosultság kezelés...34 3.5.4. Mentés, archiválás, visszatöltés...40 3.5.5. Kriptográfiai óvintézkedések...43 3.6. IT szolgáltatások biztonsága... 44 3.6.1. Az Internet elérés biztonsága...44 3.6.2. Fájl kezelés / Címtár kezelés...44 3.7. Üzemmenet-folytonosság menedzsment... 44 4. A biztonsági szint mérése, monitorozása... 46 4.1. A biztonsági szint mérésének feltételei... 46
4.2. A biztonsági szint mérésének eszközei és módszerei... 46 4.2.1. Technikai szintő auditok...46 4.2.2. Személyi biztonság szintjének mérése (Social Enginering)...46 4.2.3. DRP tesztek...47 4.2.4. IT rendszer monitorozása...47 4.2.5. A mérési adatok feldolgozása, visszacsatolása...47 4.3. Ellenırzési irányelvek... 49 4.4. Biztonsági rendszerek felülvizsgálata... 49 5. Záró rendelkezések... 51 3. oldal
1. A dokumentum keretei 1.1. Dokumentum hatálya Jelen IT Biztonsági Szabályzat hatálya az EMIR és kiszolgáló környezet üzemeltetésével és fejlesztésével kapcsolatos biztonsági feladatok követelmény szintő szabályozására terjed ki. 1.2. Kapcsolódó dokumentumok Üzleti hatáselemzés: az NFÜ üzleti folyamatainak kiesési hatásait vizsgáló dokumentum. Jogosultságkezelési szabályzat: a Nemzeti Fejlesztési Ügynökség elnökének 24/2007. (10.26.) utasítása az EMIR Jogosultságkezelési Szabályzatának kiadásáról. Alkalmazásfejlesztési szabályzat: a Nemzeti Fejlesztési Ügynökség elnökének 15/2007. (VII.9.) utasítása az EMIR Alkalmazásfejlesztési Szabályzatának kiadásáról. 1.3. Fogalomtár Jelen szabályzat alkalmazásában: Adat: a hivatalos küldemények azon része, amelynek elektronikus eszköz az információ hordozója (pl.: floppy, e-mail üzenet a képernyın), függetlenül attól, hogy az információ szöveges vagy számszerő. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy a mőveletek összessége, így például győjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása (1992. évi LXIII. tv., 2. 9. pont). Adatállomány: valamely informatikai rendszerben (e szabályzat esetében az EMIR-ben) lévı adatok logikai összefogása, amelyet egy névvel jelölnek. Ezen a néven keresztül lehet hozzáférni a rendszer által tartalmazott adatokhoz. Adatgazda: az ügyviteli, mőködési folyamatokhoz tartozó adatok kezeléséért felelıs személy. Adatátvitel: elektronikus adatok szállítása összeköttetéseken, összekötı utakon keresztül. (Például számítógépek között hálózaton keresztül, e-mailben, Interneten.) Adatbiztonság: az adat bizalmasságának, integritásának és rendelkezésre állásának biztonságos megırzése. Adatbiztonsági szint: az adat sértetlenségét és bizalmasságát jellemzı minıségi (kvalitatív) osztályozás. Adathordozó: az adat tárolására és terjesztésére alkalmas eszköz. 4. oldal
Adatvédelemi szint: az adat rendelkezésre állását jellemzı minıségi (kvalitatív) osztályozás. Az osztályozás meghatározza, hogy a szóban forgó adat rendelkezésre állása milyen mértékben befolyásolja az általa érintett folyamatok végrehajtását, illetve az NFÜ tevékenységét tekintve mennyire fontos ügyviteli, mőködési folyamathoz tartozik. Bekövetkezési valószínőség: annak az esélye, hogy a veszélyforrás képezte fenyegetettség támadás formájában bekövetkezik. Bizalmasság: az EMIR ügyfeleire, illetve ügyletmenetére vonatkozó adatok védelme illetéktelen hozzáférés, illetve felhasználás ellen. Az információkhoz, adatokhoz csak az arra jogosítottak és csak az elıírt módokon férhetnek hozzá. Ez vonatkozhat programokra, mint szélesebb értelemben vett információkra is. (Például, ha valamely eljárás elıírásai egy programmal kerülnek leírásra, és azt szükséges titokban tartani.) Biztonság: az informatikával kapcsolatban, az informatikai rendszerekben olyan elıírások és szabványok betartását jelenti, amelyek a rendszer mőködıképességét, az adatok rendelkezésre állását, sértetlenségét, bizalmasságát és hitelességét erısítik. Biztonsági szint: a rendszerek megbízhatóságát és érzékenységét jellemzı minıségi (kvalitatív) osztályozás. A megbízhatóság a rendszer azon jellemzıje, amely megadja, hogy az üzemeltetési feltételek zavartalan fennállása esetén milyen mértékben várható el a hibátlan és rendeltetésszerő mőködés. Az érzékenység pedig meghatározza, hogy az adott rendszer elemei mennyire védettek és ellenállóak a különbözı hatásokkal és károkozásokkal szemben. Elektronikus aláírás: személyek és/vagy digitális adatok elektronikus úton történı hitelesítésére alkalmas módszer. Két részbıl áll: a személyhez kötött aláírást generáló részbıl, és az ellenırzést bárki számára lehetıvé tevı részbıl. Esemény: az EMIR rendszerben elıálló idıleges kiesést vagy zavarokat, és akár gazdasági, reputációs, személyi vagy dologi kárt is okozó, illetve törvényi következményekkel járó történés. Fenyegetettség: az EMIR informatikai infrastruktúráját fenyegetı azon veszélyforrások összessége, amelyek bekövetkezése esetén az informatikai rendszer nem tudja teljesíteni a vállalt rendelkezésre állást, akadályozva ezzel a normális üzemmenet folytonosságát, illetve az adatok sértetlensége és bizalmassága sérül. Fenyegetettség-hatáselemzés: az egyes informatikai szolgáltatásokkal kapcsolatban a kiesés lehetséges okainak, az egyes okok bekövetkezési valószínőségének felmérése. (A vizsgálatot követıen lehetıvé válik a kiesés legvalószínőbb okaival szemben a hatékony, célzott védekezés.) Fenyegetı tényezı: azon esemény, amelynek bekövetkezése közvetlenül vagy közvetve a kritikus informatikai szolgáltatások kiesését eredményezi. Fizikai biztonság: az erıforrások bizalmassága és sértetlensége, valamint rendelkezésre állása sérelmére bekövetkezı szándékos vagy véletlen fizikai támadásokkal, veszélyforrásokkal szembeni védettség. Hitelesség: a rendszerben kezelt adat bizonyíthatóan hiteles forrásból származik. (Az entitás olyan tulajdonsága, amely egy vagy több hozzá kapcsolódó tulajdonságot más entitás számára bizonyíthatóvá tesz.) 5. oldal
Információ: egy adatküldemény tartalma, függetlenül az információ hordozójától. Informatikai katasztrófa: az informatikai szolgáltatások olyan kiesése, amelynek következtében megszakad az EMIR rendszer folyamatos és rendeltetésszerő mőködése, és ez jelentıs hatást gyakorol a normál ügyviteli, illetve mőködési tevékenységek folyamatosságára és mőködıképességére. Informatikai katasztrófahelyzet: az az állapot, amikor az informatikai rendszer utolsó mőködıképes állapotát az üzemeltetési szabályok elıírásszerő betartásával és végrehajtásával, a meghatározott erıforrások felhasználásával, a megállapított helyreállítási idın belül, nem lehet visszaállítani. IT erıforrások: az ügyviteli folyamatok mőködéséhez nélkülözhetetlen elektronikus adatok, informatikai alkalmazások, technológiai eszközök, környezeti infrastruktúra és humán erıforrások összessége. Jelentıs szolgáltatás-kiesés: az informatikai szolgáltatások olyan kiesése, amelynek következtében megszakad az EMIR rendszer folyamatos és rendeltetésszerő mőködése, és ez jelentıs hatást gyakorol a normál ügyviteli, illetve mőködési tevékenységek folyamatosságára és mőködıképességére. Jogi következmények: a jogszabályi rendelkezések esetleges megszegésébıl eredı következmények, amelyek egy adott informatikai szolgáltatás kiesésébıl következhetnek. Katasztrófaesemény: azon esemény, amelynek bekövetkezése krízishelyzetet teremt. A katasztrófaeseménynek több, egymástól független, vagy egymással összefüggı oka lehet. Az okok azon releváns fenyegetési tényezık, amelyek az adott esemény kiváltásához vezetnek különbözı valószínőségekkel. A normál ügyvitelre történı visszaállás várható határideje meghaladja az üzemzavarnál leírtakat, illetve a probléma nem csupán az NFÜ tevékenységeinek egyes elemeit, részlegeit érinti, hanem az NFÜ ügyviteli tevékenységének jelentıs körénél problémát okoz. Katasztrófahelyzet kezelés tervezése (DRP Disaster Recovery Planning): a káreseményeknek az informatikai rendszerek kritikus elemeire vonatkozó hatásait elemzi és tervet ad olyan globális helyettesítı megoldásokra, valamint megelızı és elhárító intézkedésekre, amelyekkel a bekövetkezett káresemény után az informatikai rendszer funkcionalitása eredeti állapotában visszaállítható. Kockázat: annak veszélye, hogy egy esemény, fenyegetettség bekövetkezése vagy intézkedés hátrányosan befolyásolja az NFÜ lehetıségeit céljainak és stratégiájának megvalósítása során. Kockázattal arányos védelem: a lehetséges védelmi intézkedések olyan hatékony alkalmazása, amikor egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékekkel. Kockázatelemzés: az információs folyamatokra és az adatra hatással lévı veszélyek felbecsülése. A kockázatfelmérés és kockázatfelbecsülés általános folyamata. Kritikus ügyviteli folyamat: az EMIR által kezelt olyan ügyviteli folyamat, amely mőködıképességének fenntartása elengedhetetlen az NFÜ stratégiai céljainak elérése, teljesíthetısége érdekében. 6. oldal
Kritikus üzemmeneti szint: a kritikus ügyviteli folyamatok mőködése megszakadt oly módon, hogy a probléma a folyamatot mőködtetık, illetve az informatikai üzemeltetés hatáskörében közvetlenül, a folyamat mőködésének a sebezhetıségi ablakban meghatározott értéknél hosszabb szüneteltetése nélkül, nem megoldható. A kritikus üzemmeneti szint esetén az elhárítást külön e célra létrehozott szervezet szervezi, aki jogosult az intézkedések végrehajtásához szükséges döntéseket meghozni. Maximális kiesési idı: azon idıintervallum, amelyen belül a kiesést szenvedett kritikus informatikai szolgáltatást a helyreállítási/visszaállítási eljárás végrehajtásának eredményeként ismételten mőködıvé kell tenni, mert ellenkezı esetben az NFÜ már nem elviselhetı károkat szenvedne. Megelızı védelem: azon technikai, szervezeti és adminisztratív intézkedések halmaza, amelyek célja a fenyegetı tényezıkbıl fakadó események/katasztrófaesemények bekövetkezését megelızni, vagy annak esélyét csökkenteni, valamint a helyettesítı folyamat beindítását lehetıvé tenni. Minimális szolgáltatás: az EMIR által kezelt ügyviteli folyamatok közül azon elıre definiált, belsı szabályzatban rögzített tevékenységek, amelyeket az adott szervezeti egységnek akkor is nyújtania kell, ha üzemzavar, krízishelyzet áll elı. Normál üzemmenet szint: a napi mőködés során nem történik rendkívüli helyzet, az informatikai rendszerekbe épített belsı ellenırzı funkciók hibát nem jeleznek, az ügyfelek és a felhasználók nem tapasztalnak az EMIR szolgáltatásaival kapcsolatos rendellenességet. Normál üzemi állapotnak tekintett az az eset is, ha az ügyfél a saját üzemeltetésében lévı informatikai rendszer meghibásodása miatt nem képes igénybe venni az EMIR szolgáltatásait. A normál üzemmenet esetén az NFÜ Szervezeti és Mőködési Szabályzataiban rögzített hatás- és jogkörök érvényesek, külön intézkedésre, beavatkozásra, hatáskör túllépésre nincs szükség. Rendelkezésre állás: az a tényleges állapot, amikor az informatikai rendszer eredeti rendeltetésének megfelelı szolgáltatásokat amely szolgáltatások különbözık lehetnek nyújtani tudja (funkcionalitás) meghatározott helyen és idıben (elérhetıség), és a rendszer mőködıképessége sem átmenetileg, sem pedig tartósan nincs akadályozva. Ebben az összefüggésben jelentısége van az információ vagy adatok rendelkezésre állásának, elérhetıségének is. Rendszer-monitorozó eszközök: az EMIR rendszerrıl, vagy valamilyen csoportosító szempont szerint a rendszer egyes részeirıl győjtenek folyamatos információkat. Reputációs (társadalmi, image) kár: az NFÜ és az EMIR megbízhatóságába, hitelességébe, illetve az NFÜ által az EMIR-en keresztül és azzal kapcsolatosan nyújtott szolgáltatásokba vetett hit szempontjából mérhetı hatások. Sebezhetıségi ablak: azon idıtartam, amely alatt a helyettesítı megoldás fenntartható az ügyviteli tevékenységek és a jogszabályok által elıírt kötelezettségek komolyabb sérülése nélkül. Az adott informatikai szolgáltatás megszakadását követı idıtartam, amelyet normális mőködési rendjének és tevékenységének megszakadása nélkül képes az NFÜ elviselni. Sértetlenség (integritás): az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Az információkat, adatokat, 7. oldal
alkalmazásokat csak az arra jogosultak változtathatják meg, és azok véletlenül sem módosulhatnak. (A sértetlenséget általában az információkra, adatokra, illetve alkalmazásokra is értelmezik, mivel az adatok sértetlenségét csak rendeltetésszerő feldolgozás és átvitel esetén lehet biztosítani.) Személyi kár: az NFÜ alkalmazottainak testi épségét, egészségét érintı hatás, következmény. Tesztelés: a kialakított üzemmenet folytonossági cselekvési tervek gyakorlati értékelése; a megfogalmazott felkészülési, helyettesítési és helyreállítási tevékenységek szükségességének és megfelelıségének vizsgálata, a szabályozás bármilyen hiányosságának feltárása, az üzemmenet folytonossági tevékenységek alapját adó (informatikai) helyreállítási eljárások vizsgálata, illetve a külsı partnerekkel kötött egyezmények betartásának és használhatóságának vizsgálata. Teszt (gyakorló) környezet: az informatikai rendszer azon elkülönített része, amelyben többek között az éles üzembe állítás elıtti tesztelések az éles környezethez hasonló körülmények között történnek. Türelmi idı: az az idıtartam, amelynek keretén belül a szolgáltatás kiesése esetén az NFÜ-nek még nem szükséges semmilyen lépést tennie az alternatív mőködés elrendelésére. Ügyviteli folyamat: olyan tevékenységek összessége, amelyek értéket állítanak elı az NFÜ ügyfelei számára egy szervezeti egységen belül, vagy azok között a kapcsolódó folyamatok által szolgáltatott információk felhasználásával. (Egy NFÜ-s szolgáltatás nyújtásához szükséges tevékenységek, feladatok összessége.) Üzemmenet folytonosság: az EMIR zavartalan mőködését, az ügyviteli folyamatokat támogató elsısorban informatikai, de emellett telekommunikációs, emberi és infrastrukturális erıforrások egy hosszabb idın át folyamatosan, megszakítás nélkül üzemelnek, illetve a megkívánt mértékben és funkcionalitási szinten rendelkezésre állnak. Üzemmenet folytonosság tervezés (BCP Business Continuity Planning): a káresemények, krízishelyzetek által elıidézett mőködési kiesések megelızését, minimalizálását, illetve a helyreállítási idıben alkalmazható, helyettesítı részfolyamat életbe léptetését és visszavonását célzó tervezési lépések összessége. Üzemmeneti szint: a folyamatok mőködési zavartalanságának mérésére szolgáló mutató, amelynek kapcsán az egyes üzemmeneti szintekhez egyértelmően hozzárendelésre kerülnek a döntési felelısségek és jogkörök. Vagyoni kár: az NFÜ eszközeiben, fizikai vagyontárgyaiban közvetlenül bekövetkezı kár vagy veszteség. 1.4. Szerepkörök Az e dokumentumban definiált szerepkörhöz rendelt feladatok meghatározását a 3.2-es pont, az NFÜ-n belüli megfeleltetést a 2. számú Melléklet tartalmazza. 1) IT biztonsági felelıs: az EMIR üzemeltetési és fejlesztési csoporttól független, a szakmai és biztonsági szempontok érvényesüléséért felelıs személy. 8. oldal
2) EMIR fejlesztési vezetı: az NFÜ szervezetén belül az EMIR szoftver fejlesztésével kapcsolatos feladatok koordinálásáért felelıs személy. 3) EMIR üzemeltetési vezetı: az NFÜ szervezetén belül az EMIR szoftver infrastruktúrájának üzemeltetéséért, illetve a rendszer elérhetıségéért felelıs személy. 4) Határvédelmi rendszergazda: az EMIR infrastruktúrájának külsı támadások, illetéktelen behatolások elleni védelmét biztosító informatikus szakember. 5) Vírusvédelmi rendszergazda: az EMIR infrastruktúrájának vírusokkal, kártékony kódokkal szembeni védelmét biztosító informatikus szakember. 6) Mentésért felelıs rendszergazda: az Üzemeltetési tervben szereplı biztonsági mentési feladatok elvégzéséért felelıs informatikus szakember. 7) Jogosultságkezelı rendszergazda: a Jogosultságkezelési szabályzatban foglalt eljárásrend alapján a jogosultságokkal kapcsolatos feladatok ellátásáért felelıs személy. 9. oldal
2. Az informatikai biztonsági rendszer mőködtetése 2.1. Megfelelés a jogszabályoknak és a belsı szabályzatoknak Az NFÜ-ben az IT biztonság mőködésének követni kell a rá vonatkozó törvényi elıírásokat és jogszabályokat, valamint a jelen IBSZ-en túl a belsı szabályzatokat. 2.2. Kockázat menedzsment Annak érdekében, hogy az NFÜ-ben a kockázatarányos védelem elve érvényesüljön, kockázatmenedzsment kell kialakítani. Az információ kockázatmenedzsment célja, hogy az információk bizalmasságát, sértetlenségét, valamint rendelkezésre állását veszélyeztetı kockázati tényezık azonosításával, a kockázatok csökkentésével biztosítsa az információbiztonság szinten tartását, növelését. A kockázat menedzsment rendszerét az alábbi ábra mutatja: Kockázat felmérés Fenyegetettség felmérés Hatás- és kockázat elemzés Kockázatok priorizálása Kockázat kezelés Tervezés Megoldás Maradék kockázatok felvállalása Kockázat Menedzsment Kockázat riporting Monitoring Trendelemzés Helyesbítés 1. ábra Az NFÜ-nél az információbiztonság szinten tartása érdekében ki kell alakítani a kockázatok felmérésére, kezelésére, és csökkentésére irányuló folyamatokat. Az információ kockázatmenedzsmentnek az alábbi tevékenységekre kell kiterjednie: Kockázat felmérés: célja, a kockázatok azonosítása, bekövetkezési valószínőségeinek, hatásainak és kockázati szintjeinek meghatározása. Fenyegetettség felmérés: célja, az adatok bizalmasságát, sértetlenségét, rendelkezésre állását veszélyeztetı tényezık azonosítása. 10. oldal
Hatáselemzés és kockázatanalízis: célja, a fenyegetettségek elıfordulási valószínőségének, hatásainak meghatározása. Kockázatok priorizálása: célja, a kockázat mértékének meghatározása. Kockázat kezelés: célja, a kockázatok csökkentésére irányuló akciók kidolgozása. Tervezés: célja, a kockázatok csökkentésére irányuló megoldási lehetıségek keresése, tervezése. Megoldás: célja, a kockázatok csökkentésére irányuló döntések meghozatala, tevékenységek végrehajtása. Maradék kockázatok felvállalása: cél, hogy azon kockázatok köre, amelyek csökkentésére nem kerülnek intézkedések megfogalmazásra, azok az NFÜ vezetıi számára ismertek legyenek. Kockázat riporting: célja, a kockázatok, illetve azok csökkentésére tett intézkedések kommunikálása az érintett személyek felé, valamint az elemzések alapján az információbiztonsági rendszer karbantartása és fejlesztése. Monitoring: célja, a kockázatok mérése, és nyomon követése. Trendelemzés: célja, a biztonsági incidensek illetve a fenyegetettségek elıfordulási gyakoriságának elemzése. Helyesbítés: célja, a monitorozásra és a trendelemzésre alapozva helyesbítı és megelızı intézkedések meghozatala az információbiztonsági rendszer továbbfejlesztése érdekében. Teljes körő kockázatfelmérést rendszeresen, de legalább kétévente kell végrehajtani az informatikai rendszer minden elemére (technikai eszközök, személyek, eljárások, szabályok). A fenti kockázatfelmérésen túl részleges kockázatfelmérést kell végrehajtani a bevezetésre tervezett rendszerek (fejlesztések, beszerzések, stb.) vonatkozásában, a tervezési idıszakban. A felmerült kockázatok kezelésére akcióterveket kell készíteni, melyek a feltárt kockázatok függvényében az alábbiakat tartalmazzák: A kockázatok csökkentésére tett javaslatok a technikai eszközök megváltoztatására, vagy fejlesztésére (pl.: új védelmi eszközök alkalmazását, vagy a jelenlegi átkonfigurálását). A kockázatok csökkentésére tett javaslatok valamely eljárásrend megváltoztatására. A kockázatok csökkentésére tett javaslatok az érvényben lévı szabályozás megváltoztatására. A kockázatok csökkentésére tett javaslatok a személyi állományra vonatkozóan (pl.: motiváció, a fegyelmi eljárások szigorítása, oktatás, stb.) A kockázatok tudatos felvállalását, ha a védelmi intézkedés anyagi vonzata nagyobb, vagy közel azonos, mint a fenyegetettség által elszenvedhetı anyagi kár. A felmerült kockázatokat, illetve a csökkentésükre tett védelmi intézkedéseket dokumentálni kell. 11. oldal
Az EMIR rendszer biztonsági szintjét folyamatosan mérni kell annak érdekében, hogy a fenyegetettség változásokról az IT biztonság tervezéséért felelıs személyek reális képet alkothassanak. A kockázatmenedzsment teljes területe az IT biztonsági felelıs felelısségi körébe tartozik, azonban munkája elvégzését az NFÜ teljes személyi állománynak támogatnia kell. 12. oldal
3. Védelmi intézkedések meghatározása 3.1. Az adatok biztonsági besorolása Az adatnyilvántartás bıvítésére és a nyilvántartásba újonnan bekerült adatcsoportok besorolására különösen a következı esetekben kerülhet sor: új alrendszer kerül bevezetésre az EMIR-ben, új modul kerül kifejlesztésre a már létezı alrendszerekben, a paraméterezési folyamat során új adatcsoport megjelenése, jogszabályi változás során új adatcsoport megjelenése. 3.1.1. Adathalmaz felmérése Az elızı bekezdésben részletezett okok miatt az EMIR-ben jelentkezı új adathalmazt fel kell mérni, ami azt jelenti, hogy azonosítani kell és összegyőjteni a létezı adat elemeket. Az adatelemek különösen a következı módszerekkel azonosíthatók: kinyerhetık a rendszerbıl lekérdezéssel, kinyerhetık a közzétett eljárásrendbıl és funkciójegyzékbıl, kinyerhetık az alrendszerhez kapcsolódó adatstruktúrából. 3.1.2. Adatcsoportok kialakítása Az azonosított adatelemeket adatcsoportokba kell sorolni a könnyebb kezelhetıség érdekében. Az adatok jellegétıl függıen az adatok besorolhatók a jelenleg is létezı adatcsoportok valamelyikébe, illetve ha nem létezik még az adatelemnek megfelelı adatkategória, ki kell alakítani. Az adatcsoportok kialakításánál figyelembe kell venni, hogy bizalmasság és rendelkezésre állás szempontjából hasonló védelmet igénylı adatok kerüljenek egy csoportba. 3.1.3. Folyamatok felmérése Ahhoz, hogy az adatokkal szemben támasztott rendelkezésre állási követelményeket meg tudjuk fogalmazni, szükséges felmérni az újonnan keletkezett folyamatokat is. A folyamatok felmérése történhet mőködési kézikönyvek, audit trail-ek, eljárásrendek segítségével, illetve a folyamat szereplıivel késztett interjú során. A folyamatok azonosítását és rögzítését követıen szükséges megállapítani a folyamat maximálisan megengedhetı kiesési idejét és a kiesési idıszak alatt bekövetkezı veszteségek mértékét. A veszteség realizálódhat anyagiakban, okozhat hírnévbeli csorbulást, mőködésbeli fennakadást, illetve vonhat maga után jogi problémákat. A veszteség mértéke négyfokú skálán (elhanyagolható, jelentıs, súlyos, katasztrofális) határozható meg. A skála pontos meghatározását az Üzleti hatáselemzés jelentés tartalmazza. A folyamatok felmérését és a kiesési hatások megállapítását követıen kell elvégezni az üzleti hatáselemzést, melynek eredményeként elıállnak a kritikus folyamatok. A folyamatok által kezelt és/vagy felhasznált adatcsoportok a 13. oldal
folyamat üzletre gyakorolt hatásának függvényében besorolhatók a következı fejezet által meghatározott információ védelmi kategóriákba. Az üzleti hatáselemzés módját a szabályzatot megalapozó Üzleti hatáselemzés jelentés tartalmazza. 3.1.4. Adatosztályba sorolás A kialakított adatcsoportokat védelmi igényüknek megfelelıen be kell sorolni az alább részletezett adatosztályokba. Az EMIR által tárolt adatok bizalmassági és rendelkezésre állási igényeit figyelembe véve négy információbiztonsági és két információvédelmi osztály különböztethetı meg. Az információ biztonsági osztályok a bizalmasság és sértetlenség elve alapján szervezıdnek, melyek a következık: 1) Publikus (nyilvános) adatok: ezen adatosztályba kerülnek azok adatok, amelyek az államháztartásról szóló 1992. évi XXXVIII. törvény (a továbbiakban: Áht.), az államháztartás mőködési rendjérıl szóló 217/1998. (XII. 30.) Korm. rendelet (Ámr.), az adatvédelemrıl szóló 1992. évi LXIII. törvény (Avtv.), a Polgári Törvénykönyvrıl szóló 1959. évi IV. törvény (Ptk.), illetve az eljárási rendeletek szerint nyilvános (közérdekő) adatnak minısülnek. Ezek az adatok közzétehetık az NFÜ honlapján és minden korlátozás nélkül megoszthatók a külsı adatkérıkkel. 2) Belsı adatok: azok az adatok, amelyek felhasználásra kerülnek az EMIR felhasználói által megfelelı jogosultság kiosztás mellett. A belsı adatok szükség szerint az adatgazda jóváhagyásával bizalmas adattá minısíthetık. 3) Bizalmas adat: minden olyan adat, amelynek nyilvánosságra kerülése az NFÜ számára hátrányos erkölcsi, jogi és anyagi következményeket von maga után. Bizalmas adatnak tekintendık a személyes adatok is. 4) Titkos adatok: minden olyan adat, amely az EMIR rendszerben kezelendı és beletartozik a Ptk, a tıkepiacról szóló 2001. évi CXX. törvény (Tpt.), valamint az adózás rendjérıl szóló 2003. évi XCII. Törvény (Art.) által meghatározott államtitok, üzleti titok, banktitok és adótitok fogalomkörbe. Az információ védelmi osztályok a rendelkezésre állás elve alapján szervezıdnek, ezek a következık: 1) Kritikus adatok: azok az adatok, amelyek kiesése rövid idın (1-3 nap) belül jelentıs kárt okoz az NFÜ számára. 2) Nem kritikus adatok: azok az adatok, amelyek kiesése hosszabb idın keresztül, jelentıs veszteség nélkül elviselhetı. 3.1.5. Adatok nyilvántartásba vétele Az egyes adatosztályokba tartozó adatcsoportokat, és az adatcsoportokat alkotó adatelemeket nyilvántartásba kell venni. A nyilvántartás tartalmazza az adatcsoportok információ biztonsági és információ védelmi besorolását, az adatgazda nevét, illetve az adatcsoporthoz kapcsolódó folyamat kódját. 14. oldal
A nyilvántartás célja, hogy az adatok bizalmasságuknak és rendelkezésre állási szintjüknek megfelelıen kerüljenek kezelésre. Ennek feltétele, hogy a nyilvántartás folyamatosan naprakész legyen. A nyilvántartás folyamatos karbantartásáról és naprakészségérıl az adatgazdának kell gondoskodnia, akinek személyérıl és feladatairól az EMIR tekintetében a 102/2006. (IV. 28.) Korm. rendelet rendelkezik. Az adatosztályokhoz rendelt kezelési intézkedéseket ezen szabályzat tartalmazza. 3.2. Szervezeti és személyi biztonság 3.2.1. EMIR biztonsági fórum Az IT biztonsággal kapcsolatos stratégiai döntések optimális meghozatalára IT biztonsági fórumot kell létrehozni. A fórumon résztvevı személyek az alábbiak: a KIH vezetıje, illetve az általa kijelölt személy, IT biztonsági felelıs, IT üzemeltetési vezetı, EMIR alkalmazásért felelıs vezetı, EMIR Fejlesztési vezetı. Az IT biztonsági fórum évente egy alkalommal ülésezik. Az ülésen született döntéseket, megállapodásokat jegyzıkönyvben kell dokumentálni, azokat a fórumon résztvevı minden szervezet magára nézve kötelezınek kell elfogadnia. A fórumot az IT biztonsági felelıs javaslatára a KIH vezetıje hívja össze, minden év elsı negyedévében. Az IT biztonsági fórum fı feladatai: Az IT biztonsági felelıs éves beszámolójának meghallgatása. Az IT biztonság növeléséhez szükséges döntések meghozatala, elhanyagolható kockázatok felvállalása. Az IT biztonsági stratégia kialakítása/módosítása. 3.2.2. Az IT biztonság szervezeti felépítése A biztonsági szervezet szerepköreinek valós pozíciókkal való megfeleltetése a 2. számú mellékletben található hatályos szervezeti ábra alapján történik. Az IT biztonsági folyamatok koordinálása, végrehajtása, és ellenırzése az alábbi struktúrában valósul meg: 15. oldal
Belsı ellenır (független felügyelet) IT biztonsági felelıs (független szakmai felügyelet) IT üzemeltetés Határvédelmi rendszergazda (végrehajtó) Mentésért felelıs rendszergazdák (végrehajtó) Vírusvédelmi rendszergazda Jogosultság kezelı rendszergazda (végrehajtó) EMIR Help Desk 2. ábra 3.2.3. Informatikai biztonsági feladatkörök Belsı ellenır IT biztonsági feladatai Megtervezi, végrehajtja és dokumentálja a tervezett belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket szükség szerint az IT biztonsági felelıs, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával. Megtervezi, végrehajtja és dokumentálja a meglepetésszerő belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket, szükség szerint az IT biztonsági felelıs, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával. Létrehozza az általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl készített jelentéseket. Általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl megfelelıen tájékoztatja az érintett vezetıt, továbbá az ellenırzésbe bevont személyt, illetve a biztonsági eseményeket jelenti az elnöknek. IT biztonsági felelıs feladatai Felelıs a kockázatkezelési feladatok rendszeres végrehajtásáért, a feltárt kockázatok csökkentésére vonatkozó akciótervek végrehajtásának ellenırzéséért. 16. oldal
Javaslatot tesz az IT Biztonsági fórumon a felvállalható rendszer biztonsági kockázatokra, felhívja a figyelmét a nem felvállalható kockázatokra. Felelıs az adatosztályozási folyamat fenntartásáért, illetve az adatosztályozási nyilvántartások vezetéséért. Kezeli, és rendszeresen felülvizsgálja a biztonsági alapdokumentumokat (stratégia, politika, szabályzat, katasztrófaterv). Kijelöli az alacsonyabb szintő, eljárás- vagy eszköz / technológia specifikus biztonsági dokumentumok elkészítéséért felelıs szervezeti egységeket. Együttmőködik az informatikai rendszerfejlesztıkkel az informatikai rendszerek védelmére megvalósítandó rendszer biztonsági követelmények kialakításában. Együttmőködik az informatikai üzemeltetéssel az IT biztonság fokozása, a biztonsági incidensek elhárítása érdekében. Ellenırzi az informatikai rendszer-fejlesztések, beszerzések, ezekre vonatkozó szolgáltatási és más egyéb (pl. szállítási) szerzıdések rendszer és hálózat biztonsági szempontból való megfelelıségét. Véleményezi a rendszer szintő és hálózati eszköz hozzáférési jogosultságokra, eszköz / objektum hozzáférésekre vonatkozó üzleti területi, alkalmazotti, fejlesztıi, adminisztrátori, belsı és külsı informatika biztonsági ellenıri kéréseket és technikai megoldásokat a Logikai hozzáférési eljárás fejezetben meghatározott jogosultsági elıírások, továbbá az IBSZ más fejezetei, illetve a rendszer specifikus fejlesztıi dokumentációk alapján. Felügyeli a belsı és külsı informatika biztonsági ellenırzések végrehajtását. Együttmőködik az adatvédelmi felelıssel és a létesítmény biztonságáért az NFÜ SzMSz-e szerint felelıs személyekkel az informatikai biztonsághoz kapcsolódó meghatározási feladatokban. Részt vesz a rendszer biztonsági oktatások és éberségi programok tematikájának meghatározásában, szakmai felügyeletében. IT üzemeltetési vezetı feladatai Gondoskodik arról, hogy az IT biztonsági feladatok és követelmények beépüljenek az üzemeltetési folyamatokba. Részt vesz az IT biztonsági fórum határozataiban. Részt vesz a IT biztonsággal kapcsolatos incidensek kivizsgálásában, az esetleges felelısök felelısségre vonásában. A beszerzésekben érvényesíti a biztonsági szempontokat. Érvényesíti az IT biztonsági követelményeket a külsı szolgáltatókkal kötött szerzıdésekben. Vírus-vészhelyzetben gondoskodik a vészhelyzet elrendelésérıl és az elhárítás koordinálását végzi. Gondoskodik ún. vészhozzáférések elhelyezésérıl (lepecsételt boríték, páncélszekrény). Intézkedik a mentési stratégia kialakításáról, ellenırzéseket végez a mentések elvégzésérıl, intézkedik az ezzel kapcsolatos incidensek kezelésére. Gondoskodik a mentések tárgyi- személyi feltételeirıl. 17. oldal
Rendszeresen a szabályzatban leírtak szerint végeztet katasztrófahelyzet kezeléssel kapcsolatos teszteket. Vírusvédelmi rendszergazda feladatai Naponta figyeli a megjelenı vírusokról és sérülékenységekrıl szóló jelentéseket, szükség esetén javaslatokat tesz az IT biztonsági felelısnek a védelmi szint emelésére. Szükség esetén értesíti a vírusvédelmi rendszer támogatását végzı céget, a vírusvédelmi rendszer felmerült üzemeltetési problémáinak, illetve vírusvédelmi vészhelyzet elhárítása miatt. Napi rendszerességgel ellenırzi a vírusvédelmi rendszer állapotát, a vírusvédelmi eszközök vírusadatbázisát. Statisztikákat készít a vírusvédelmi incidensekrıl, és azokat háromhavonta jelenti az IT biztonsági felelısnek. Szükség esetén végrehajtja a mentesítést. Javaslatokat tesz a szabályzat vírusvédelmi fejezeteinek módosítására. Határvédelmi rendszergazda feladatai Naponta figyeli a megjelenı sérülékenységekrıl szóló jelentéseket, szükség esetén javaslatokat tesz az IT biztonsági felelısnek a védelmi szint emelésére. Végzi a tőzfalrendszer napi rutinszerő üzemeltetési, és ellenırzési feladatait. Szükség esetén elhárítja a tőzfalrendszer üzemeltetési problémáit. Végzi a tőzfalrendszer biztonsági frissítéseinek telepítését. IT Biztonsági felelıs jóváhagyása esetén végzi a tőzfal szabályok szükséges módosítását, illetve gondoskodik azok rendszeres felülvizsgálatáról. Javaslatokat tesz a szabályzat határvédelmi fejezeteinek módosítására. Végzi az EMIR környezetben használt szoftverek, alkalmazások biztonsági frissítéseit. Mentésért felelıs rendszergazda Részt vesz a mentési, archiválási rend kialakításában. Rendszeresen ellenırzi a beállított automata mentések végrehajtását. Szükség esetén végrehajtja a kézi mentéseket. Az archiválási rendnek megfelelıen végrehajtja az adatok archiválását, illetve a mentési, archiválási médiák biztonságos tárolását. DR tervek aktiválása esetén végzi az adatok visszatöltését. Követi a mentési médiák életciklusát, szükség esetén másolással hosszabbítja meg az adatok visszaállíthatóságát. Gondoskodik a mentési médiák rotálásának, újrahasznosításának szakszerő végrehajtásáról. Jogosultság kezelı rendszergazda Részt vesz a jogosultsági rendszer kialakításában. Végrehajtja a szabályzatnak megfelelı jogosultság kezelési feladatokat (kiadás, módosítás, felfüggesztés, visszavonás). 18. oldal
Végrehajtja a jogosultságok nyilvántartásával kapcsolatos adminisztratív feladatokat. Rendszeresen felülvizsgálja a kiadott jogosultságokat. EMIR HelpDesk Fogadja az EMIR rendszerrel kapcsolatos incidens jellegő bejelentéseket. Végrehatja azoknak a biztonsági incidenseknek az elhárítását, amelyekhez kompetenciája van. A kompetenciáján kívül esı incidensek elhárítására, értesíti az incidensek kezeléséért felelıs szakértıket. Dokumentálja a biztonsági incidensek kezelésének teljes ciklusa alatt felmerült problémákat, tevékenységeket, megoldásokat. Valamennyi biztonsági incidensrıl jelentést tesz az IT biztonsági felelısnek. 3.2.4. Az IT biztonság személyi vonatkozásai A személyekhez kapcsolódó biztonsági elıírások Az IT biztonság szintjének fenntartása, mint kiemelt feladat, az EMIR felhasználók teljes állományának felelıssége. Az IT biztonság minimálisan betartandó elıírásait az IBSZ 1. számú mellékletében található Felhasználói nyilatkozat tartalmazza. A felhasználói nyilatkozat tudomásulvétele és aláírása az EMIR jogosultság kiadásának feltétele. Informatikai biztonság tudatosítása A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani: A személyi kockázatok csökkentése érdekében meg kell oldani az EMIR rendszer felhasználóinak, valamint üzemeltetıinek, és fejlesztıinek biztonsággal kapcsolatos tudatosítását. Az IT biztonság oktatása az EMIR esetében oktató anyagok terjesztésével történik, melynek terjesztésérıl az EMIR alkalmazásért felelıs vezetı gondoskodik. Fegyelmi eljárások, szankcionálások Az EMIR biztonsági elıírások súlyos megsértése esetén fegyelmi eljárás indítható a szabálysértı személyével szemben, különösen ha: a szabályzat elıírásainak megsértése EMIR hozzáférési adatainak illetéktelen személynek történı tudomására hozatalával (pl.: személyes jelszó elmondása, vagy hozzáférhetı helyre történı feljegyzése) kapcsolatos; a szabályzat elıírásainak megsértése következtében az EMIR biztonsági rendszerének védelmi megoldásai illetéktelenek kezébe jutottak; a szabályzat elıírásainak megsértése következtében bekövetkezett vagyoni hátrány (vagyoni kár, többletköltség) esete áll elı; törvénysértés esetén; 19. oldal
a szabályzat megsértésének következtében súlyosan sérülnek a személyes adatok védelmérıl, és nyilvánosságra hozataláról szóló jogszabályok. bőncselekmény gyanúja áll fenn. Az IT biztonsággal kapcsolatos fegyelmi eljárás lefolytatásához az IT biztonsági felelıst, illetve az IT üzemeltetés vezetıt be kell vonni. Ha a felhasználó által okozott szabálysértés anyagi kárral is jár, anyagi felelısséget is meg kell állapítani, és az okozott kárt a törvényeknek megfelelıen ki kell fizettetni a kár okozójával. A felhasználók jogai A felhasználóknak joga van a rendelkezésükre bocsátott informatikai eszközök szabályszerő, rendeltetésszerő használatára a saját munkájuk támogatása érdekében. A felhasználóknak joga van az EMIR használata során felmerült problémák, akadályok elhárításához támogatási kapni. A segítségnyújtáshoz az igényt az EMIR HelpDesk szolgálatnál kell bejelenteni A felhasználónak joga van a reá vonatkozó törvények, és szabályzatok megismeréséhez. A felhasználónak joga van az EMIR-ben végzett munkájához szükséges IT biztonsági eljárások, ismeretek megismeréséhez. A felhasználóknak joga van megtagadni az EMIR-rel végzett munkát, ha: az EMIR használata súlyos törvénysértéshez, vagy bőncselekményhez vezet. a tevékenység veszélyezteti az EMIR rendelkezésre állását. A felhasználói felelısségek A felhasználó általában felelısséggel tartozik: a törvények betartásáért, az NFÜ szabályzataiban megfogalmazott elıírások betartásáért; A Felhasználói nyilatkozatban felelısséget vállalt elıírások betartásáért; a törvényekben, szabályzatokban megfogalmazott elıírások bárki által történı megszegésének jelentéséért; Az IT biztonságért felelıs személyekkel való együttmőködésért. 3.3. Fizikai és környezeti biztonság Az EMIR infrastruktúráját kiszolgáló IT eszközök idı elıtti elhasználódásából, meghibásodásából, megrongálódásából eredı kockázatainak csökkentésére az alábbi követelményeknek kell megfelelni: biztosítani kell az IT eszközök biztonsági besorolásuknak megfelelı fizikai hozzáférés védelmét; biztosítani kell az IT eszközök rendeltetésszerő használatát; biztosítani kell az IT eszközök megfelelı környezeti mőködtetését. 20. oldal
3.3.1. Informatikai biztonsági zónák kialakítása Annak érdekében, hogy az EMIR IT eszközeinek fizikai védelme több fokozatban valósuljon meg, az NFÜ-ben biztonsági zónák kerültek kialakításra. IT biztonság szempontjából az alábbi zónákat kell megkülönböztetni: szerverszoba(k), hálózati rendezık. 3.3.2. IT biztonsági zónákba történı belépés és munkavégzés A szerverszobába belépésre jogosultak: az NFÜ elnöke; IT biztonsági felelıs; belsı ellenır; IT üzemeltetés vezetı; rendszergazdák; az IT üzemeltetés vezetı, illetve szolgáltatási szerzıdésben meghatározott személyek. Az NFÜ egyéb alkalmazottai, illetve megbízottjai a szerverszobába csak a fent felsoroltak kíséretében, kizárólag munkavégzés céljából léphetnek be. Idegenek a szerverszobába csak az IT biztonsági felelıs és az IT üzemeltetés vezetı együttes engedélyével, kizárólag csak munkavégzés céljából léphetnek be. A szerverszobában tilos a munkavégzéstıl eltérı tevékenységet folytatni, így például tilos: ételt, és italt fogyasztani, dohányozni, szemetelni, mobil telefont használni, a szerverszobát mőhelyként használni, a szerverszobát raktárként használni, a szerverszobát pihenı helyiségnek használni. 3.3.3. Eszközök kivitele A lenti pontok rendelkezésein túl az NFÜ egyéb hatályos szabályozásait is be kell tartani. Az eszközök átmeneti kivitele Az EMIR szerverszobából kiszállítandó informatikai berendezésekre vonatkozó szabályok: minden informatikai eszköz a szerverszobából történı kivitele csak az IT üzemeltetési vezetı távollétében helyettese engedélyével lehetséges, a ki- és beszállításokat minden esetben dokumentálni kell szállítólevél alkalmazásával, amelyen az adott informatikai eszköz egyedi azonosítóját fel kell tüntetni (típus, gyári szám, leltári szám), illetve 21. oldal
nagy mennyiség esetén csatolt mellékletben kell felsorolni az egyedi azonosító adatait. a szállítólevelet a kiinduló és a fogadó helyen a szállítást engedélyezı és a szállítmányt fogadó személynek kézjegyével ellen kell jegyeznie, ezáltal nyomon követhetıvé válik az eszköz útja. Az eszközök végleges kivitele Az EMIR szerverszobából véglegesen (pl. értékesítés miatt) kikerülı informatikai eszközökre vonatkozó szabályok: az informatikai eszközökön tárolt adatokat visszaállíthatatlanul törölnie kell, a kiszállítást dokumentálni kell szállítólevél alkalmazásával, a szállítólevél kiállításának feltétele a kiegyenlített számla, vagy a selejtezési jegyzıkönyv, amennyiben szükséges, az eszköz pótlásáról gondoskodni kell annak végleges kivitelét megelızıen. 3.4. IT folyamatok biztonsága 3.4.1. Informatikai rendszerek tervezése és jóváhagyása Az informatikai rendszerek tervezésénél és átvételekor, jóváhagyásakor a funkcionalitáson, a gazdaságosságon túl teljesülnie kell a rendszer biztonságos mőködéséhez szükséges minden olyan követelménynek, melyet meghatároztak. Biztosítani kell, hogy a jóváhagyott rendszerek megfeleljenek a kapacitás tervezés során megfogalmazott követelményeknek, és ezek rendszeresen ellenırzésre kerüljenek. Az IT biztonsági felelısnek a teljes tervezési ciklust felügyelni kell annak érdekében, hogy tervezéskor a biztonsági megoldások is hangsúlyt kapjanak. A tervezés során általában az alábbi biztonsági szempontokat kell figyelembe venni: a rendszer együttmőködése a meglévı rendszerelemekkel; beépített biztonsági megoldások; az EMIR hozzáférési megoldásai (jogosultság kezelés, titkosítás, stb.); az EMIR rendelkezésre állást támogató megoldásai (karbantarthatóság, javíthatóság, üzemeltetıi support, mentések végrehajthatósága, stb.); az EMIR menedzselhetısége (központilag menedzselhetı, vagy helyileg); az EMIR ellenırizhetısége (naplózhatók-e a kritikus folyamatok, távoli elérés biztosított-e, stb.). 3.4.2. IT eszközök beszerzésének biztonsága Az EMIR IT eszközeinek (hardver, szoftver) beszerzése biztonsága érdekében az NFÜ-re központilag, valamint az EMIR-re speciálisan kidolgozott szabályokat, eljárásokat kell kialakítani annak érdekében, hogy biztosítható 22. oldal
legyen az eszközök funkcionalitása, homogenitása, illetve a rendszer elıírt biztonsága. A beszerzéseket illetıen minden esetben ki kell kérni az IT biztonsági felelıs véleményét. Törekedni kell a felhasználó oldali informatikai környezet lehetı legnagyobb mértékő egységesítésére annak érdekében, hogy a központi infrastruktúra és a rendszerfejlesztések a költségek, a funkcionalitás és a biztonság legoptimálisabb keretében valósulhasson meg. Ahol lehetséges a felhasználói platformok egységesítését kell megvalósítani a rendszer megbízható funkcionalitásának érdekében. A beszerzésekre vonatkozó igényeket a fejlesztési vezetı és az IT üzemeltetési vezetı közösen határozza meg. Az eszközök (hardver, szoftver) kiválasztásánál a gazdasági tényezık mellett figyelembe kell venni az adott eszköz által nyújtott biztonsági funkciókat, megoldásokat is. A hardver eszközök beszerzéséhez az alábbi tényezık figyelembevétele szükséges: a hardver funkcionalitása, erıforrásai; a hardver várható rendelkezésre állása (megbízhatóság); a hardver garanciális támogatása (garancia idı, tartalom); a hardver support támogatása (tanácsadás, alkatrész biztosítás). A szoftver megoldásoknál az alábbi tényezık figyelembevétele szükséges: a szoftver funkcionalitása; a szoftver platformfüggısége; támogatja-e a szoftver a homogenitási törekvéseket; a szoftver biztonsági megoldásai (jogosultság kezelés, titkosítás, stb.); a szoftver menedzselhetısége; a szoftverhez biztosított support. 3.4.3. Az EMIR alkalmazásfejlesztés biztonsága A biztonságos fejlesztés érdekében ki kell dolgozni az EMIR fejlesztési folyamatot, a hozzátartozó feladatokkal, és felelısségekkel annak érdekében, hogy az IT biztonsági elvárások maximálisan érvényesíthetık legyenek a fejlesztés folyamatában, és a fejlesztett rendszerekben. A fejlesztés lépéseit, feladatok elhatárolását, szükséges dokumentumok elıállítását az érvényben lévı EMIR alkalmazásfejlesztési szabályzat alapján kell lefolytatni. Az IT biztonsági elıírásokat érvényesíteni kell a fejlesztéssel kapcsolatos szerzıdésekben, megállapodásokban. Gondoskodni kell a szerzıdésekben foglalt kötelezı érvényő biztonsági záradékok, mint titoktartási nyilatkozat kialakításáról. A fejlesztési dokumentációk elkészítéséért a fejlesztési szabályzatban meghatározott felelıs gondoskodik. 23. oldal
3.4.4. Az üzemeltetés biztonsága A megbízható és biztonságos üzemeltetés érdekében szabályokat, eljárásokat kell kidolgozni az informatikai rendszerhez kapcsolódó folyamatok - javítások, karbantartások, szoftvertelepítések és beállítások, stb. - végrehajtására. A szabályokat, eljárásokat össze kell hangolni az érvényben lévı IT biztonsági szabályokkal, eljárásokkal. Az üzemeltetési eljárásokat dokumentálni szükséges annak érdekében, hogy az elvégzett feladatok nyomon követhetıek legyenek. Az informatikai rendszerterveket, és a biztonsági megoldásokat tartalmazó egyéb dokumentumokat Bizalmas információként kell kezelni. Az üzemeltetési dokumentációk elkészítésérıl az IT üzemeltetési vezetı gondoskodik, a fejlesztési vezetıvel együttmőködve. Ha az üzemeltetés feladata külsı szolgáltató bevonásával történik, a szolgáltatási szerzıdés követelményeinek megfelelı üzemeltetési dokumentációk elkészítése és naprakészen tartása a szolgáltató feladata. Az IT biztonsági felelıs feladata a dokumentációk félévenkénti felülvizsgálata. Üzemeltetési folyamatok biztonsági elıírásai Az üzemeltetési folyamatokhoz ki kell alakítani a tevékenység-felelısség mátrixot, amelyben az alábbi felelısségeket kell megállapítani: döntési felelısség, koordinálási / felügyeleti felelısség, végrehajtási felelısség, ellenırzési felelısség. A feladatkörök, felelısségi körök kialakításánál ügyelni kell arra, hogy az adott feladat végrehajtását, és ellenırzését ne végezze ugyanaz a személy. Az EMIR, vagy rendszerelemeinek változása (verzióváltás, frissítések) csak elızetesen sikeres tesztelés után történhet meg. A kritikus eszközökön történı változás esetén, amely veszélyeztetheti az eszköz rendelkezésre állását, a változás elıtt mentést kell végrehajtani. A javítási, karbantartási és szolgáltatási szerzıdésekben az eszközök által kezelt adatok rendelkezésre állási követelményeihez igazodó rendelkezésre állási idıket kell érvényesíteni. Az EMIR-t folyamatosan monitorozni kell. A monitorozás eredményébıl, valamint az incidensek kezelésébıl származó információkból statisztikákat, kimutatásokat kell készíteni, hogy a rendszerek megbízhatósága, rendelkezésre állása mérhetı legyen. A rendszer és az adatok biztonsága érdekében az alábbi üzemeltetési feladatokat kell a rendszert üzemeltetı csoportnak, valamint a külsı hosting cégnek ellátni. A szerzıdött fél tevékenysége eredményeirıl jelentést készíteni az IT biztonsági felelıs számára: Napi / rendszeres üzemeltetési feladatok: naplóállományok ellenırzése, mentés végeredményének ellenırzése, erıforrás monitorozó eszköz felügyelete, logok vizsgálata, felügyeleti rendszer riasztásainak, üzeneteinek átvizsgálása, vírusvédelem ellenırzése, 24. oldal
mentési média rendszeres cseréje. Havi feladatok: havi mentés elkészítése, és átadása az Üzembentartó részére, havi jelentés elkészítése és átadása az Üzembentartónak, havi teljesítményadatok kiértékelése, és az összegzés feltüntetése a havi jelentésben. Karbantartási feladatok: hibaelhárítás a felügyeleti rendszer riasztása, vagy az EMIR Helpdesk bejelentése alapján, a rendszert érintı javítások megjelenésének követése, szükséges Windows és Oracle javítások (SP, patch) tesztelése, telepítése, felhasználói adminisztrációs feladatok (profilok létrehozása, karbantartása), felhasználói házirend konfigurálása, Oracle adatbázis adminisztráció, nyomtató driver-ek karbantartása (Tricerat ScrewDriver). A szabályzatban nem részletezett, az EMIR infrastruktúrát érintı (hardver és szoftver infrastruktúra üzemeltetése és a hosting szolgáltatás) üzemeltetési feladatok tekintetében az érvényben lévı szolgáltatói szerzıdés rendelkezései kötelezı érvényőek. 3.4.5. Biztonsági incidensek kezelése Biztonsági incidensnek számít minden, az informatikával kapcsolatba hozható rendellenes mőködés, fenyegetés, amely az EMIR adatainak bizalmasságát, sértetlenségét, vagy rendelkezésre állását veszélyezteti. Minden felhasználó számára ismert, hivatalos riasztási eljárást kell kialakítani és mőködtetni, mely biztosítja az incidensek azonosításának, feljegyzésének és elhárításának lehetı leggyorsabb lefolytatását. A biztonsági incidensek következményeirıl, elhárításának eredményeirıl értesíteni kell a felhasználói közösséget. A biztonság incidensek kezelésére alkalmazott eljárások folyamatos fejlesztését és ellenırzését kell megvalósítani, ami az IT biztonsági felelıs feladata. Továbbá az IT biztonsági felelıs feladata az incidensek következményeinek értékelése, számszerősítése, tapasztalatok levonása, valamint a bizonyítékok összegyőjtése. Biztonság incidens bejelentése Az EMIR-rel kapcsolatba kerülı minden felhasználó köteles értesíteni az EMIR HelpDesket az általa észlelt biztonsági incidensekrıl. A EMIR HelpDeskre érkezı biztonsági incidensek (felhasználó, vagy biztonsági rendszer által generált) információit a legrövidebb idın belül továbbítani kell az elhárításért felelıs csoportoknak. A bejelentéshez szükséges paraméterek az alábbiak: 25. oldal