Az Információbiztonsági irányítási rendszer alapjai jegyzet (V.03. / 2015-10-04) Készítette: Dr. Horváth Zsolt László
Tartalomjegyzék Tartalomjegyzék...2 0 Bevezetés...7 0.1 A tárgy keretei...7 0.2 Miről lesz szó ebben a tárgyban?...7 1 Bevezetés az információbiztonságba...8 1.1 Általános információbiztonsági veszélyek...8 1.1.1 Az információ lélektana...8 1.1.2 Az otthoni számítógépezés, internetezés veszélyei...8 1.1.3 Korunk jellemzői...8 1.2 Az információ biztonsága...9 1.2.1 Az információbiztonság fogalma...9 1.2.2 Az adathordozók...9 1.2.3 Adatszivárgás lehetséges helyei, formái - PÉLDÁK...9 1.2.4 A social engingeenering... 11 1.3 Az információvédelem...11 1.3.1 Az információvédelem célja... 11 1.3.2 A biztonság különböző szintjei... 12 1.4 Az információvédelmi eljárások megvalósítási területei...12 1.4.1 Objektum, terület védelem... 12 1.4.2 Személy védelem... 13 1.4.3 Hagyományos adatok, adathordozók védelme... 13 1.4.4 Informatikai védelem... 13 1.4.5 Természeti /társadalmi katasztrófahelyzetek elleni védelem... 14 1.5 Ellenőrző kérdések...14 2 Az IBIR, mint menedzsmentrendszer...15 2.1 Az információbiztonsági irányítási rendszer (IBIR)...15 2.1.1 Fogalom meghatározások... 15 2.1.2 Az IBIR lényegi részei... 15 2.1.3 Az IBIR szabványai... 15 2.2 Általános menedzsmentrendszer (irányítási rendszer) áttekintés...16 2.2.1 Menedzsmentrendszerek jellemzői... 16 2.2.2 Új, egységes szabványstruktúra a menedzsmentrendszerekre... 17 2.3 Az IBIR bevezetése, működtetése és folyamatos fejlesztése...18 2.3.1 Az IBIR bevezetésének kulcselemei... 18 2.3.2 IBIR tervezése és bevezetése... 19 2.3.3 IBIR működtetése, ellenőrzése és fejlesztése... 20 2.4 Az IBIR szervezete...20 2.4.1 Szerepkörök IBIR szervezetben... 20 2.4.2 Információbiztonsági szervezet struktúrája... 21 2.4.3 Fórumok... 21 2.4.4 Követelmények külsősöknek... 22 2.5 Az IBIR dokumentálása...22 2.5.1 Az IBIR dokumentumai... 22 2.5.2 Információbiztonsági stratégia (IBS)... 23 2.5.3 Az információ-biztonsági politika... 23 2.5.4 Alkalmazhatósági Nyilatkozat (Statement of applicability)... 23 Dr. Horváth Zsolt László 2
2.5.5 Az információbiztonság folyamatszabályozásának főbb területei... 24 2.5.6 A felhasználói információbiztonság szabályok... 24 2.5.7 Az IBIR működésének igazoló feljegyzései (példák)... 25 2.6 Ellenőrző kérdések...25 3 Információbiztonsággal kapcsolatos jogszabályi követelmények...26 3.1 Információbiztonsággal kapcsolatos jogi szabályozási területek...26 3.2 Adatkezelési jogszabályok követelményei...26 3.2.1 Közokiratok, közlevéltárak iratai védelme... 26 3.2.2 Közérdekű adatok nyilvánossága Személyes adatok védelme... 27 3.2.3 Üzleti titok védelme... 29 3.2.4 Nemzeti minősített adat védelme... 30 3.3 Információbiztonság megsértésének büntetése...31 3.4 Ellenőrző kérdések...32 4 A védendő vagyon és az információbiztonsági kockázatok...33 4.1 Az adatvagyon és az (információs) vagyon fogalma...33 4.2 A vagyonelemek kategóriái és fenyegetései...33 4.2.1 Vagyonelem kategóriákra példák... 33 4.2.2 (Információs) vagyonelemek tulajdonságai... 34 4.2.3 A fenyegetések csoportosítása... 34 4.3 Információs vagyonleltár felvétele...34 4.4 Vagyonelemek feltérképezésének módja...35 4.5 A kockázatok értékelésének és kezelésének általános életciklusa...36 4.6 Információbiztonság kockázatelemzési módszerei...36 4.6.1 IT biztonsági kockázatelemzési módszerek (ISO/IEC TR 13335-3:1998)... 36 4.6.2 Kockázatbecslési módszerek (ISO/IEC 27005:2008)... 37 4.6.3 A CRAMM támadási modell... 37 4.6.4 Az információbiztonsági általános kockázatelemzés lépések... 38 4.7 A skálázások...38 4.7.1 Kárérték becslése... 39 4.7.2 Bekövetkezési valószínűség becslése... 40 4.8 A kockázatok értékelésének módjai...41 4.9 Kockázatok kezelése...41 4.10 Kockázatok értékelésének megismétlése...42 4.11 Ellenőrző kérdések...43 5 A terület- és objektumvédelem...44 5.1 Áttekintés a terület- és objektumvédelemről...44 5.2 Védelem területek funkciói az információbiztonság során...44 5.2.1 Általános szempontok... 44 5.2.2 Fizikai biztonsági határzónák kialakítása... 45 5.2.3 Fizikai beléptetés felügyelete... 46 5.2.4 Irodák, helyiségek és eszközök védelme... 46 5.2.5 Munkavégzés biztonsági területeken... 46 5.2.6 Szállítási és rakodási területek... 46 5.3 Védelmi eszközök, módszerek...47 5.3.1 Beléptető rendszerek... 47 5.3.2 Behatolás elleni és mozgás ellenőrző eszközök... 48 5.4 Ellenőrző kérdések...48 6 A személyvédelem és a humán biztonság...49 Dr. Horváth Zsolt László 3
6.1 Általános gondolatok...49 6.2 Social engineering...49 6.2.1 A Social Engineering fogalma, jellemzése... 49 6.2.2 A Social Engineering eszközei... 50 6.2.3 Védekezési módszerek... 51 6.3 A személyügyi munka (HR)...51 6.3.1 Előzetes átvilágítás szempontjai:... 51 6.3.2 Szempontok a munkavállalói szerződések biztonsági aspektusaival kapcsolatban... 52 6.3.3 Szempontok az IB tudatosító (képzési) programhoz... 52 6.3.4 Szempontok a munkaviszony megszüntetésekor vagy megváltoztatásakor... 52 6.4 Ellenőrző kérdések...53 7 Dokumentumok, iratok védelme...54 7.1 Dokumentumok és iratok kezelésének általános alapelvei...54 7.1.1 A vállalati dokumentumkezelésről általánosan... 54 7.1.2 Az iratkezelés... 54 7.1.3 Iratok a fizikai és elektronikus térben... 55 7.2 Dokumentumok, iratok osztályozása, és kapcsolódó biztonsági elvárások...56 7.2.1 Iratok osztályozása, minősítése... 56 7.2.2 Példák osztályba sorolás értelmezésére... 57 7.2.3 Példák az egyes biztonsági osztályú dokumentumok kezelési irányelveire... 58 7.2.4 Irattári működési követelmények irányelvei példák... 59 7.3 Ellenőrző kérdések...60 8 Az informatikai fizikai biztonság...61 8.1 Az informatikai üzemeltetéssel szembeni elvárások...61 8.1.1 Az IT üzemeltetés általános elvárásai... 61 8.1.2 Az IT üzemeltetés fizikai biztonsága kérdéskörei... 61 8.2 A berendezések elhelyezése és védelme...62 8.3 A rendszerüzem védelme...63 8.3.1 Légkondicionálás... 63 8.3.2 Kábelbiztonság... 63 8.3.3 Szünetmentes áramellátás (UPS)... 64 8.3.4 Külső tényezők elleni védelem: tűzvédelem... 64 8.3.5 Közműszolgáltatások védelme... 64 8.4 Karbantartás...64 8.5 A berendezések biztonságos selejtezése vagy újrafelhasználása...65 8.6 Berendezések és vagyonelemek eltávolítása...66 8.7 Berendezések és vagyonelemek biztonsága a telephelyen kívül...66 8.8 Felügyelet nélkül hagyott felhasználói berendezések...66 8.9 Ellenőrző kérdések...66 9 Az informatikai üzemeltetés és kommunikáció biztonsága...68 9.1 Az informatikai infrastruktúra üzemeltetésének szabályozása...68 9.2 Az üzemelő szoftverek felügyelete...68 9.3 A műszaki sebezhetőségek felügyelete...69 9.4 Védelem a rosszindulatú szoftverek ellen...69 9.5 Naplózás, monitoring...70 9.6 Mentések szabályozása...71 9.6.1 Adatmentési módszerek... 71 9.6.2 RAID technikák - üzemmódok... 72 Dr. Horváth Zsolt László 4
9.6.3 Archiválás... 72 9.7 Titkosítási intézkedések...72 9.7.1 Kriptográfia... 73 9.7.2 A digitális aláírás... 74 9.8 A hozzáférés-felügyelettel kapcsolatos üzleti követelmények...75 9.8.1 A felhasználói hozzáférések kezelése... 75 9.8.2 Felhasználói felelősségek... 75 9.8.3 Rendszer- és alkalmazás-hozzáférés felügyelete... 76 9.9 A hálózatbiztonság...76 9.9.1 Hálózatok veszélyei és védekezési módszerek... 76 9.9.2 Tűzfalak... 77 9.10 Információátvitel...77 9.11 Ellenőrző kérdések...78 10 Információs rendszerek biztonsági követelményei...79 10.1 Információs rendszerek biztonsági követelményei...79 10.1.1 Információbiztonsági követelmények elemzése és meghatározása... 79 10.1.2 Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások biztonsága... 80 10.1.3 Az alkalmazás-szolgáltatások tranzakcióinak védelme... 80 10.2 Biztonság a szoftver-fejlesztési és -támogatási folyamatokban...80 10.2.1 Szabály a biztonságos fejlesztésre... 80 10.2.2 Rendszerek változásfelügyeleti eljárásai... 81 10.2.3 Az alkalmazások műszaki vizsgálata a működtető környezet változásai után... 81 10.2.4 Szoftvercsomagok változtatásainak korlátozása... 81 10.2.5 Biztonságos rendszerek tervezési elvei... 81 10.2.6 Biztonságos fejlesztési környezet... 81 10.2.7 Kiszervezett fejlesztés... 82 10.2.8 A rendszer biztonsági tesztelése... 82 10.2.9 A rendszer elfogadási tesztelése... 82 10.2.10 Tesztadatok védelme... 82 10.3 Ellenőrző kérdések...83 11 Incidenskezelés és az üzletmenet folytonossági követelmények...84 11.1 Az információbiztonsági incidens fogalma...84 11.2 Az információbiztonsági incidenskezelés folyamata...85 11.3 Tanulás az incidensekből...86 11.4 Az üzletmenet folytonosság és a katasztrófa-elhárítás kérdései...86 11.5 Az üzletmenet folytonosság és a katasztrófa-elhárítás működése...88 11.6 A BCP-DRP alkalmazás típusai...88 11.7 A BCP-DRP tervek készítésének lépései...89 11.7.1 Az informatikai megközelítés... 89 11.7.2 Az üzleti megközelítés... 90 11.8 Ellenőrző kérdések...91 12 Dolgozókra vonatkozó biztonsági előírások...92 12.1 A munkahelyi munkával összefüggő információbiztonsági veszélyek...92 12.1.1 Irodai munkahely használat... 92 12.1.2 Tiszta asztal tiszta képernyő politika... 93 12.1.3 Fax használata... 93 12.1.4 IT eszközök használata... 93 12.1.5 Hordozható mobil eszközök használata... 94 Dr. Horváth Zsolt László 5
12.1.6 Adathordozók használata... 94 12.1.7 A vállalati hálózat használata... 95 12.1.8 Hálózati alkalmazások használata... 95 12.1.9 Jelszóhasználat... 95 12.1.10 Elektronikus levelezés... 96 12.1.11 Internethasználat... 96 12.1.12 Külső szereplőkkel való együttműködés... 96 12.2 Biztonság munkahelyen kívül szempontok...97 12.3 Eljárás incidensek esetén...97 12.4 Vírusvédelem - veszélyek...98 12.5 Ellenőrző kérdések...99 1. Melléklet. Az ISO/IEC 27000-s szabványcsoport szabványai... 100 2. Melléklet: Az egyes vagyonelem kategóriák tipikus fenyegetési példái... 102 Dr. Horváth Zsolt László 6
0 Bevezetés 0.1 A tárgy keretei - Szabadon választható tárgy, tárgyra való jelentkezési előfeltétel nélkül - A kurzus egy féléves. itt: 12 előadás, előadásokon elméleti anyag elsősorban a vállalatoknál az információbiztonság átfogó szervezése, védelme tárgyköréből, példákkal - Vizsga írásbeli vizsga a vizsgaidőszakban o 6 db kifejtős kérdés, kérdésenként 5 pont o Értékelés: 1: 0 17 pont (< 60 %), 2: 18 20 pont (60%-tól), 3: 21 23 pont (70 %-tól), 4: 24 26 pont (80 %-tól), 5: 27 30 pont (90 %-tól) - Vizsgán való részvétel feltétele: előadásokon min. 70 %-os részvétel (azaz az elméleti 12 előadásból max. 4 hiányzás lehet) - Előadások törzsanyaga elérhető jegyzetben! Előadásokon további példák, magyarázatok. - Jegyzet: www.uni-obuda.hu/users/horvath.zsolt.laszlo ftp site-on. - Előadó érhetőségei: o Név: Dr. Horváth Zsolt László, ÓE KVK MAI o E-Mail: horvath.zsoltlaszlo@kvk.uni-obuda.hu o Tel: +36 70 4198599 o Munkahely: KVK Tavaszmező u. C épület, 410-es szoba 0.2 Miről lesz szó ebben a tárgyban? A tantárgy célja: az információbiztonsági irányítási rendszer (IBIR) fogalmáról, céljáról, jelentőségéről, területei és működtetési követelményeiről egy részletes áttekintés nyújtása. Az előadások a következő témaköröket tárgyalják: Bevezetés az információbiztonság is az IBIR jelentőségébe, alapjaiba és a vonatkozó szabványkapcsolatok bemutatása Az IBIR, mint menedzsment-rendszer irányítási követelményei, szervezeti működtetése Megfelelés a jogszabályi követelményeknek A védendő vagyon meghatározása és az információbiztonsági kockázatok A terület- és objektumvédelem eszköztára A személyvédelem és a humán biztonság eszközei Papíralapú iratok védelme Az informatikai fizikai biztonság kérdései Az informatikai üzemeltetés és kommunikáció biztonsági kérdései Információs rendszerek biztonsági követelményei Incidenskezelés követelményei Üzletmenet-folytonossági követelmények A dolgozókra vonatkozó biztonsági szabályok Dr. Horváth Zsolt László 7
1 Bevezetés az információbiztonságba 1.1 Általános információbiztonsági veszélyek 1.1.1 Az információ lélektana - Az ellopott információ nem hiányzik, az ellopás ténye (általában) nem látszik, nem vehető észre. - Amikor észrevesszük, akkor már visszaéltek vele, és kárunk keletkezett. - Apró lényegtelen információ önmagában még ha nem is veszélyes, de sokból összerakható teljes kép már igen! - Sokszor nem vesszük észre, hogy ártatlanul milyen információkat fecsegünk ki! - 1.1.2 Az otthoni számítógépezés, internetezés veszélyei - Adatvesztések (mentések hiánya, karbantartás) - Személyes adatok ellopása (számítógép nem megfelelő védelme, közzététel közösségi oldalakon, felhő szolgáltatások biztonsági gyengeségei, ) - Személyiséglopás, lopás (bankkártya adatok, más személyes azonosító adatok, személyes információk ellopása számítógép vagy felhő szolgáltató feltörésével, közösségi oldali információkkal, ) - Jogi veszélyek: o Nevünkben erőforrásaink használata (számítógépünk meghackelése, zombigéppé alakítása és ) o Mi válunk közvetítővé lánclevelek kérdése - Mobil eszközök (okostelefonok, stb.) védelmi hiányai, veszélyei - Stb és ugyanezek csak sokszor fokozottabb mértékben jelennek meg a vállalatok életében is: 1.1.3 Korunk jellemzői A vállalatok működésének környezetét ma jellemzi: - Erős informatikai támogatás o Adatfeldolgozás már csak számítástechnikával, minden IT-alapon o Folyamatok mögött work-flow-k, adatbázisok, o Kiszervezett informatika o IT támogatás versenyelőny de nélküle megáll az élet Új kiszolgáltatottságok: a szolgáltatóknak, az IT működés / szolgáltatás hibáinak, az IT bűnözés fenyegetettségeinek - Mobilitás a kommunikáció új útja o Felhő alapú adattárolás, szolgáltatás o Mobil-eszközök (telefonok, tabletek, stb ) o Közösségi oldalak az üzleti életben is o Internet világa, beépülése az üzletbe Új fajta módszerek és új veszélyek Az információszolgáltatás jelentőségének növekedése Dr. Horváth Zsolt László 8
- Sokkal erősebb függés az információszolgáltatástól o Ha nem működik, leáll az élet (meddig lehet?) o Ha hibásan működik, akkor a folyamatokban? o Ha jogosulatlanok hozzáférnek adatainkhoz, akkor? - Információ mint erőforrás jelentősége megnövekedett: o Mind a rendelkezésre állás o Mind a pontosság (adatminőség) o Mind a bizalmasság tekintetében. INFORMÁCIÓBIZTONSÁG ÜZLETI JELENTŐSÉGE NŐ 1.2 Az információ biztonsága 1.2.1 Az információbiztonság fogalma Információ = (számomra értelmes) tartalommal bíró adat Információhordozó ezen keresztül létezik az információ, és ezen keresztül sérülhet a biztonsága is! Információ biztonsága = - az információ bizalmassága (C confidentality) - az információ sértetlensége (I integrity) - az információ rendelkezésre állása (A avialability) 1.2.2 Az adathordozók Az adatok mindig valamilyen adathordozón fordulnak elő. Ezért az adatok csoportosítása az adatvédelem kialakítása szempontjából, a különböző adathordozó-kategóriához kötött adatokon keresztül valósul meg. (Persze az adatvédelemnél ahogy később meglátjuk, ennél sokkal többről van szó.) Adathordozók kategorizálása szerint: - IT alapú adathordozók biztonsága (informatikai rendszer biztonsága üzemeltetésben, felhasználók kezelésében, ) - Papír (és hagyományos) adathordozók biztonsága (adminisztrációs folyamatok, iratkezelés és tárolás, TÜK, ) - Személyek, mint adathordozók biztonsága (social engineering, emberi tényező, szándékos és szándékolatlan esetek, ) 1.2.3 Adatszivárgás lehetséges helyei, formái - PÉLDÁK NEM-Informatika: Hol is van adat? - Milyen adathordozón: o Papíron szerződések, tervek, jelentések, kimutatások, nyilatkozatok, munkaanyagok, piszkozatok, stb. - Kinél: o Minden alkalmazottnál - Hol (milyen helyiségben): o Munkavégzés helyszínén irodákban, titkárságokon, Dr. Horváth Zsolt László 9
o Közös használatú helyiségekben tárgyalók, előadók, o Iratmegőrzés, tárolás - irattárak o Külső (munkavégzési) helyszíneken ügyfélnél, konferenciák helyszínén, szállodákban, (otthon?), NEM-Informatika: Adatszivárgás hol lehet? - Hogyan lehet hozzáférni az adatokhoz? Illetéktelen o bejutás a helyiségbe, ahol az iratok vannak, o hozzáférése az iratokhoz (mert elöl, szabadon vannak, üvegszekrényben láthatóak és nincsenek elzárva, vagy szekrényekben nem elzártak,..) o lemásolhatja (mert hozzáfér a másolóhoz, vagy valaki ott dolgozó kérésre megteszi neki, ) Illetékes (pl. saját dolgozó) o hozzáfér az adathoz, de illetéktelenül, jogosulatlanul használja fel, visszaél vele. Informatika: Hol is van adat? o Szervereken adatbázisban o Szervereken önálló fájlok könyvtár-struktúrákban o PC-ken / Notebookokon o Mobil eszközkön (iphone, ipad, okostelefon, ) o Kimentve (egyénileg) külső elektronikus adathordozókon (DVD / DAT / USB Flash / ) o Központi mentésekben, archív állományokban, (backup site-ok, stb ) o... és kinn a szolgáltatói felhőben Informatika: Adatszivárgás hol lehet? - Hogyan lehet hozzáférni az adatokhoz? Illetéktelen o bejutás a szerverterembe o hozzáférés a számítógépekhez / notebookokhoz o hozzáférés a mentésekhez o hozzáférés a külső / mobil adathordozókhoz o bejutás az interneten / külső hálózaton át (hacking, virus, spyware, maleware, trojan, spam, hoax, ) o hozzáférés a WiFi-hez o no és ki fér hozzá a felhőben tárolt adatokhoz? Adatszivárgás hol lehet még? - Hogyan lehet hozzáférni az adatokhoz? Illetéktelen hozzáférés / felhasználás illetékes által! Belső ember (munkatárs) kiadja: o mert nem tudja, hogy nem lehet o mert megtévesztették, azt hitte ki kell adnia o mert megfenyegették / megzsarolták Dr. Horváth Zsolt László 10
o bosszúból (mert pl. sértettnek érzi magát!) o csak hogy megmutassa, hogy milyen rossz a rendszer o stb 1.2.4 A social engingeenering Meghatározás: Az emberek pszichológiai manipulációja és megtévesztése, amelynek során a támadó a befolyásolás, rábeszélés és a meggyőzés módszerével, kihasználva a jellegzetes emberi viselkedési formákat és reakciókat, ráveszi az áldozatot, arra hogy az együttműködjön vele. Olyan információt adjon ki, amely felhasználható a kiválasztott informatikai rendszerek technológiai eszközök alkalmazásával vagy anélküli- megtámadására és kompromittálására. A megtévesztés tudománya. Az emberek hiszékenységét, naivitását használja ki információk (titkok) megszerzésére. A leggyengébb láncszem (még mindig ) az EMBER! Védekezés ellene: - tudjam, hogy mely információ minősül titoknak, vagy alkalmazzam az általános irányelveket --- azaz ülök a számon. - ismerjem föl a (főbb) technikákat. 1.3 Az információvédelem 1.3.1 Az információvédelem célja A szervezetek információellátásában zavarokra vezető gyengepontok és veszélyek meghatározása után olyan védintézkedések meghozatala és megvalósítása, amelyek a fellépő kockázatok kezelésével és egyéb követelmények teljesítésével az információellátás folyamatos működését, és az információszivárgás megakadályozását biztosítják összhangban a szervezet biztonsági és üzleti céljaival. Az információvédelem megtérülése (avagy az információbiztonság vagy annak hiányának költségei: Dr. Horváth Zsolt László 11
Milyen legyen a jó információvédelem? - kockázatarányos védelem - egyenszilárdságú védelem - teljes körű védelem - szükséges és elégséges információ elve - információbiztonság szemléletének beépülése minden tevékenységbe, adatkezelése - és könnyen kezelhető és érthető 1.3.2 A biztonság különböző szintjei 1.4 Az információvédelmi eljárások megvalósítási területei - objektum, terület védelem Védi az adatokhoz, adathordozókhoz és azok területeihez való fizikai hozzáférést. - személy védelem Rendszerben a személy, mint információhordozó védelme, valamint a rendszer védelme az emberi jellegű támadásoktól, visszaélésektől. - hagyományos adatok, adathordozók védelme Pl. papíralapú információk (titkos ügyiratkezelés, ), analóg berendezések védelme. - informatikai védelem Az informatikai rendszerben tárolt adatok védelme. - elemi károk, természeti /társadalmi katasztrófahelyzetek elleni védelem Az információbiztonság szemszögéből, az üzletmenet üzemmenet folytonosságának fenntartása. 1.4.1 Objektum, terület védelem CÉL: Védelem azokra a területekre való illetéktelen bejutás és ott-tartózkodás ellen, ahol bizalmas / érzékeny adatok, azok adathordozói vagy az azokhoz való hozzáférést biztosító eszközök vannak. ESZKÖZÖK: Az őrzés-védelmi szakma eszköztára - Belső zónák, biztonsági területek kijelölése és az ottani biztonsági szint előírása - Élőerős őrzés-védelem (beléptetési kontroll, eszközök kontrollja) - Beléptető rendszerek, személyi azonosítás - Megfigyelő- és kamera rendszerek - Belső biztonsági szabályrendszer kidolgozása (rendészetnek, alkalmazottaknak, vendégeknek) Dr. Horváth Zsolt László 12
1.4.2 Személy védelem Rendszerben a személy, mint információhordozó védelme: - Kockázatok: o Csúcsvezetők, kulcsemberek személyi biztonsága o Személy távollétekor az információk, illetve bizonyos jogosultságok rendelkezésre állásának hiánya o Felejtés, tévesztés esetén az információk pontosságának (sértetlenségének) vagy rendelkezésre állásának hiánya - Helyettesítési rend, delegálás; - Fontos információk dokumentálása, központi helyen, jogosultaknak elérhető módon; Rendszerben a személytől, mint fenyegetettségtől való védelem: - A HUMÁN BIZTONSÁG része. - A rendszer védelme az emberi jellegű támadásoktól, vissza-élésektől. - Lehetséges eljárások, módszerek: o Felvételi folyamat során o Alkalmazás során o Munkakör megváltozásakor o Távozáskor o Titoktartás az alkalmazás alatt és után is 1.4.3 Hagyományos adatok, adathordozók védelme Kockázatok jogosulatlan hozzáférés esetén: - Adatszivárgás (és ezzel való visszaélés) - Adatvesztés vagy adatmódosítás - Lehetséges eljárások, módszerek: o Adatok, iratok besorolása érzékenységi/biztonsági kategóriákba; o Adatok, iratok kezelési eljárásai o Irattárak, dokumentációtárak működésének szabályozása o Belső biztonsági szabályok o Tiszta asztal tiszta képernyő politika elve 1.4.4 Informatikai védelem - Ez az ún. informatikai biztonság területe. - CÉL: Az informatikai eszközökön, rendszereken és adathordozókon tárolt adatok, információk védelme, biztonságának megőrzése. - Kockázatok - lehetséges kárra, következményre példa: o Informatika nem működik, leáll (támogatott folyamat leáll) o Adatvesztés (teljes vagy részleges, végleges vagy időleges) o Adathibázás o Adatszivárgás (és visszaélés vele) - Az informatikai védelem területei: o Informatikai kapacitások menedzselése o HelpDesk szolgáltatás o Adatmentések és archiválások o Jogosultságok kezelése és menedzselése Dr. Horváth Zsolt László 13
o Fizikai működtetés feltételei o Vírusvédelem o Hálózati határvédelem o Internethasználat és elektronikus levelezés korlátozása o Események naplózása, kiértékelése o - A védelem MINDENKIRE vonatkozik, aki használja az informatikát! Szabályozások: o Informatikai üzemeltetési szabályzatok előírások az üzemeltetőknek a megbízható és biztonságos üzemeltetésért o Informatikai biztonsági szabályzatok (az Információbiztonsági szabályzatok részeként) előírások a felhasználóknak a bizalmasság és a biztonság betartásáért o Partnerekkel kötött szerződésekben a biztonságra vonatkozó követelmények előírások a partnereknek a bizalmasság és biztonság betartásáért 1.4.5 Természeti /társadalmi katasztrófahelyzetek elleni védelem - CÉL: A szervezet működőképességének mihamarabbi visszaállítása, az okozott károk/veszteségek minimalizálása. - Kockázatok: o Természeti katasztrófahelyzetek o Társadalmi katasztrófahelyzetek o Belső balesetek, káresetek miatti kulcsterületek, kulcsfolyamatok vagy eszközök leállása, üzemszüneti állapota, működésképtelensége 1.5 Ellenőrző kérdések - Mit jelent az információbiztonság fogalma? Mutassa be azokat a főbb szempontokat, ami miatt az információbiztonság fontos (lehet) a vállalatok számára! - Milyen különböző adathordozó kategóriákat ismer? Mutasson példát mindegyikre! - Mutassa meg, hogy milyen adatszivárgási lehetőségek fordulhat elő egy vállalat életében! - Mit jelent az információvédelem fogalma, és melyek (milyen alapelvek) a jó információvédelem jellemzői? - Mutassa be az információvédelem megvalósításának öt gyakorlati területét, és jellemezze röviden azokat! Dr. Horváth Zsolt László 14
2 Az IBIR, mint menedzsmentrendszer 2.1 Az információbiztonsági irányítási rendszer (IBIR) 2.1.1 Fogalom meghatározások Az információvédelem fogalma alatt értjük az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszerét. Az információvédelem célja, hogy az adatok bizalmasságának, rendelkezésre állásának vagy sértetlenségének veszélyeztetése következtében létrejövő bármilyen, a vállalat működésére ható fenyegetést, károkozást elkerüljön. Irányítási rendszer (menedzsmentrendszer): Rendszer politika és célok megfogalmazásához, valamint a célok eléréséhez. MEGJEGYZÉS: Egy szervezet irányítási rendszere különböző irányítási rendszereket tartalmazhat, például minőségirányítási rendszert, pénzügyi irányítási rendszert vagy környezetközpontú irányítási rendszert. (MSZ EN ISO 9000:2005) Az információ-biztonsági irányítási rendszer egy olyan irányítási rendszer, amely egy szervezeti-működési kockázatokat figyelembe vevő megközelítésre alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, karbantartja és fejleszti az információvédelmet. 2.1.2 Az IBIR lényegi részei 1. Információs vagyon fenyegetettségeinek átfogó kockázatelemzése 2. Védelmi intézkedések, eljárások megteremtése különböző területeken a különböző fenyegetettségekre 3. Menedzsment rendszer menedzsment elemek kiépítése, működtetése (hasonló mint a minőségirányítási rendszer, környezetvédelmi irányítási rendszer, stb.) 2.1.3 Az IBIR szabványai ISO/IEC 27001:2013 Information technology Security techniques Information security management system Requirements és magyar kiadásban: MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika Az információbiztonság irányítási rendszerei. Követelmények Ez a szabvány tartalmazza az információbiztonsági irányítási rendszer (tanúsítható) szabványkövetelményeit a rendszer kiépítésével, működtetésével és fejlesztésével szemben. Gondolatok az ISO 27001-es szabványról - Menedzsmentrendszer és technikai követelmények együttese - Integrálható a többi irányítási (menedzsment) rendszerrel - Alkalmazási területe megválasztható (scope-olható) - Kockázatelemzésre épít Dr. Horváth Zsolt László 15
- Alapvetően a következő főbb új elemeket/tevékenységeket adja: o Menedzsmentrendszer kiegészítése az információbiztonsággal o Információbiztonsági vagyonfelmérés és kockázatkezelés o Védelmi követelmények meghatározása és folyamatos aktualizálása o Védelmi intézkedések beleépítése a folyamatokba illetve önálló kiépítése o Incidenskezelési folyamat működtetése o Információbiztonsági szabályzat működtetése o Üzletmenet-folytonossági terv (információbiztonsági vonatkozású) készítése, működtetése Az ISO/IEC 27000-es szabványcsoport még számtalan szabványt tartalmaz az információbiztonsági irányítás egyes részterületeivel kapcsolatban. Ezek felsorolása megtalálható az 1. sz. mellékletben. 2.2 Általános menedzsmentrendszer (irányítási rendszer) áttekintés 2.2.1 Menedzsmentrendszerek jellemzői Átfogó menedzsmentrendszerek (irányítási rendszerek) pl.: - minőségirányítási rendszer (MSZ EN ISO 9001:2009); - környezetközpontú irányítási rendszer (MSZ EN ISO 14001:2005); - információbiztonsági irányítási rendszer (MSZ ISO/IEC 27001:2014); - munkahelyi egészségvédelmi és biztonsági irányítási rendszerek (MSZ 28001:2008). - stb Irányítási rendszerek (menedzsmentrendszerek) általános jellemzői: - Vállalati stratégia (politika és célok) - Menedzsmentrendszer témájának megfelelő szempontrendszer beintegrálása, figyelése, előtérbe hozása - Vállalat működése tervezett, szabályozott, kontrollált - Tevékenységekre folyamatokba rendezve dokumentált végrehajtási utasítások - Erőforrások figyelése, kezelése, biztosítása - Hibák figyelése, javítás, tanulás - Folyamatos javítás, fejlesztés Dr. Horváth Zsolt László 16
PDCA az irányítási rendszerekben Irányítási rendszerek közös elemei: - külső elvárások összegyűjtése, meghatározása - érvényességi terület meghatározása - politika és célok definiálása - irányítási rendszer kialakítása - PDCA elv általános alkalmazása - folyamatok meghatározása és menedzselése - vezetőség felelőssége definiált - hatáskörök, felelősségek, feladatok egyértelmű definiálása - dokumentálási kötelezettség (minimum: szabályozó és igazoló dokumentációk szükségessége) - oktatás, képzés szerepe - belső ellenőrző mechanizmusok (rendszer: auditok, önértékelések, stb ; folyamatok: ellenőrző mérések, ) - vezetőségi átvizsgálás funkciója - folyamatos fejlesztés szerepe 2.2.2 Új, egységes szabványstruktúra a menedzsmentrendszerekre A Nemzetközi Szabványosítási Szervezet (ISO) 2012-ben kiadott egy új, egységes követelmény-struktúrát minden újonnan megjelenő / megújuló ISO rendszerszabványra. Ez a koncepció (struktúra) az ún. HLS (high level structure), amit minden új vagy újonnan kiadásra kerülő ISo menedzsmentrendszer szabványnak be kell tartania. Alapvető követelményei: - Egységes tartalomjegyzék és követelmény minden egyes ISO irányítási rendszerszabványban. - Mindegyik szabvány menedzsment elemei ebben a HLS-ben, a saját szabványra értelmezve jelennek meg. Dr. Horváth Zsolt László 17
- Mindegyik szabvány egyedi, speciális területének követelményei vagy a szabványtörzsben (kiegészítésként, ha beilleszthető oda), vagy önálló mellékletként beillesztve kerül beépítésre. A HLS tartalmi struktúrája: 1. Alkalmazási terület 2. Rendelkező hivatkozások 3. Szakkifejezések és meghatározások 4. A szervezet környezete 5. Vezetés 6. Tervezés 7. Támogatás 8. Működtetés 9. Teljesítményértékelés 10. Fejlesztés Az IBIR és a MIR tervezet szabvány-verziók összehasonlítása (megfelelve a HLS-nek): 2.3 Az IBIR bevezetése, működtetése és folyamatos fejlesztése 2.3.1 Az IBIR bevezetésének kulcselemei Tapasztalat, hogy az IBIR bevezetése akkor lehet eredményes, sikeres, hogyha a bevezetés a következő szempontokat érdemben és komolyan figyelembe veszi: - az üzleti célokon alapuljon a politika, célok, tevékenységek, - összhang a szervezeti kultúrával, - a vezetés elkötelezettsége, támogatása, - követelmények, kockázatelemzés, és menedzselés megértése, - minden vezető és alkalmazott bevonása, - útmutatók eljuttatása minden érintetthez (külsőkhöz is), Dr. Horváth Zsolt László 18
- megfelelő képzés, oktatás (pl. e-learning!), - átfogó és kiegyensúlyozott mérési rendszer a végrehajtás kiértékelésére és fejlesztés javaslatok jelzésére. 2.3.2 IBIR tervezése és bevezetése 1. Alkalmazási terület és politika meghatározása Megfelelés a (külső és belső) elvárásoknak Vezetőség szerepe, elkötelezettsége, támogatása Illeszkedés a vállalati stratégiához, üzleti politikához, Illeszkedés a cégkultúrához Mit akarunk védeni, mit akarunk elkerülni és mennyire 2. A szervezeti keretek és erőforrások tisztázása IBIR szervezetének meghatározása cégszervezeten belül Feladatok, felelősségek, hatáskörök és erőforrások tisztázása Szükséges képzések 3. A védendő (információs) vagyon felmérése Vagyonfelmérés módszertani meghatározása (minek a mentén: folyamatok, IT infrastruktúra, stb / mit nézünk / hogyan osztályozunk értékrend és skálázás ) Vagyonelemek és jellemzőinek, felelőseinek meghatározása Vagyonelemek osztályozása Vagyonelemekre vonatkozó működési / biztonsági szabályok 4. Fenyegetettségek felvétele Vagyonelemek jellemző / lehetséges veszélyeinek, fenyegetettségeinek, azok lehetséges következményeinek számba vétele 5. Információbiztonsági kockázatok becslése, értékelése Kockázat értékelés módszertani meghatározása (mit nézünk / hogyan osztályozunk értékrend és skálázás ) Kockázatok azonosítása, kockázati értékek becslése Elfogadható kockázati szint meghatározása 6. Védelmi intézkedések meghatározása Illeszkedve a működő rendszerekhez, struktúrákhoz külön-külön rendszerenként 7. Védelmi intézkedések és IBIR folyamatok dokumentálása IBIR dokumentálása / meglévő működési szabályozók kiegészítése IBIR szempontjaival Új és módosított folyamatok kialakítása és dokumentálása a cég működő folyamatmenedzsment rendszerén beül (Új folyamatok pl.: kockázatkezelés, BCP-DRP tervezés, incidenskezelés, IBIR hatékonyságának mérései, ) Biztonsági szabályzatok megalkotás / aktualizálása a felelősi rendszeren keresztül (együttműködve az érintett üzemelőkkel) Áttekintés az Alkalmazhatósági nyilatkozaton keresztül Dr. Horváth Zsolt László 19
8. Állománynak oktatás, tudatosítás Cél: Az IBIR eljárásainak, előírásainak megismerése, annak való megfelelni tudás és az információbiztonsági tudatosság kialakítása Célcsoportonként eltérő tananyag Beépülés a cég belső oktatási rendszerébe, programjába 9. Életbe léptetés 2.3.3 IBIR működtetése, ellenőrzése és fejlesztése Folyamatos fenntartás és működtetés Működtetés a cég folyamatmenedzsment rendszerén keresztül Felelősségi rend a szervezeti struktúrában meghatározva Ellenőrzések, megfigyelések, naplózások folyamatos működése, kontrollja Folyamatos szinten tartó, biztonságtudatosító képzések IBIR folyamatos mérése Biztonsági intézkedések működésének kontrollingja Események és incidensek figyelése, naplózása, kiértékelése Log-állomány elemzések és értékelések Alkalmas mutatószámrendszer képzése és figyelése, elemzése IBIR belső auditálása Folyamatos fejlesztés Ismételt (aktualizált) kockázatelemzés alapján új intézkedési tervek Új trendek, elvárások, incidensek nyomán új és erősebb védelmi intézkedések Illeszkedés vezetőségi, stratégiai célokhoz. Dokumentáció-követés! 2.4 Az IBIR szervezete Célja: Az IBIR működtetése életciklusának (PDCA) feladatainak ellátása, felelősségeinek biztosítása a vállalat szervezeti felépítésén belül. IBIR eredményes működtetésének kulcseleme a vezetői elkötelezettség. Vezetőségi elfogadás, akarat, támogatás nélkül nem lehetséges rendszert kiépíteni, működtetni. 2.4.1 Szerepkörök IBIR szervezetben Alapvető szerepkörök az IBIR működtetés feladatainak elvégzésére: - Legfelső vezető (vezérigazgató, ügyvezető igazgató, ) - Információbiztonsági vezető (felső vezetőség megbízottja) - Biztonsági területek, információvédelmi folyamatok felelősei, végrehajtói - Szervezeti egységek vezetői, információ-biztonsági megbízottai - Információbiztonsági auditorok Felső vezetői feladatok az IBIR bevetésekor: - célok kitűzése, - a feladat behatárolása, Dr. Horváth Zsolt László 20
- résztvevők kijelölése, - a résztvevők motiválása, - feltételek biztosítása, - a feladat indítása, - ellenőrzés, - alternatívák közötti döntés, - jóváhagyás, - az intézkedések átvezetése a többi rendszerelemen. Az információbiztonsági vezető szerepköre: - Más rendszerek hasonló funkcióihoz képest speciális helyzetben van: nem lehet polihisztor. - Szerepe: koordináló, ellenőrző, szervező. - Feladata: a szabvány követelményeinek átalakítása a saját szervezetnél végrehajtható feladatokká. - Szakmailag ő irányítja az IBIR működését, feladatai és felelősségei: o az IBIR-rel szembeni (külső és belső) elvárásoknak való megfelelés; o az információbiztonság működése napi feladatainak irányítása; o az egész szervezetben az információbiztonsági irányelvek és szabályok betartatásának kontrollja, o az információbiztonság szakmai területei munkájának koordinálása; o az információbiztonsági fejlesztéséket irányítása; o incidenskezelési folyamat (csoport) munkája; o információbiztonsági belső auditálása; o az IBIR működése hatékonyságának figyelése és értékelése; o jelentések és fejlesztési javaslatok a felső vezetőségnek. 2.4.2 Információbiztonsági szervezet struktúrája Javasolt információbiztonsági szervezet - Mátrix szervezet - Integrált irányítási rendszer esetén: az Integrált irányítási rendszere keretén belül - Az információbiztonság egyes területeinek, folyamatainak (pl. minősített adatok védelme, TÜK, fizikai védelem területei, informatikai védelem területei, stb.) működtetését az adott folyamatok folyamatfelelősei irányítják. - Az információbiztonsági elveknek, folyamatoknak és eljárásoknak működtetését minden szervezeti egységben egy Információbiztonsági megbízott (IB megbízott) fogja össze és koordinálja. 2.4.3 Fórumok Vezetői értekezlet - A legfőbb színtere annak, hogy a vezetés az információbiztonságot, mint menedzsment eszközt tudja használni. - A szervezet rendeltetésszerű ügyeiben információbiztonsági szűrő. - Információbiztonsági szemszögből a koncepcionális döntések színtere: o a követelményeknek való megfelelést értékelik, Dr. Horváth Zsolt László 21
o o meghatározzák a célokat, feladatokat, jóváhagyják a szükséges adminisztratív és anyagi igényeket. Információbiztonsági értekezlet Itt történik az Információbiztonsági vezető vezetésével, és a szakmai területek képviselőinek (vezetőinek) és szervezeti egységek IB felelőseinek (vezetőinek) részvételével: - a szabvány és a vezetés követelményeinek lefordítása a szakmai területek számára végrehajtható feladatokká, - a területi átfedéseket is figyelembe vevő szabályozók kidolgozása, felelősségek meghatározása. - Az információbiztonsági rendszer eljárásai, folyamatai működtetésének, problémáinak közös szervezeti irányítása és fóruma. 2.4.4 Követelmények külsősöknek Nem a szervezet állományába tartozókkal kapcsolatos kérdések (megbízó, alvállalkozó, stb.) - Szerződésben nyilatkozik, hogy ismeri, elfogadja a szabályozást. - Ellenőrzés, hogy rendelkezik-e a betartáshoz szükséges feltételekkel. - Megállapodás, hogy milyen eseményre milyen erkölcsi, anyagi ellentételezéssel áll helyt. 2.5 Az IBIR dokumentálása 2.5.1 Az IBIR dokumentumai Az IBIR működtetése során a komplett szabályozó dokumentumstruktúra kiépítésére nincs egy általános formai követelmény. A működés támogatására a célok meghatározottak, de magát a szabályozó dokumentáció struktúráját, részletezettségét minden szervezet a saját igényei, viszonyai alapján saját magának testre szabva készítheti el. Az IBIR szabályozandó működése a következő struktúrát fedi le: Az IBIR működtetésének a részei - IBIR menedzsment folyamatok működtetése o Az iratok, dokumentumok és feljegyzések kezelésének folyamata o Belső képzések folyamata o Belső audit folyamata o Vezetőségi átvizsgálás folyamata o Folyamatos fejlesztés, megelőzés és helyesbítés folyamata - IBIR saját (biztonságot irányító) folyamatainak működtetése o Információbiztonsági vagyonleltár és kockázati profil karbantartása o Információbiztonsági monitoring o Információbiztonsági incidenskezelés o IT BCP/DRP tervek készítése, karbantartása és működtetése - Információbiztonsági (nem folyamat-alapú) szabályrendszer - Információbiztonsági szempontok érvényesítése a szervezet működési folyamataiban o A folyamatok adatkezelésének megfelelése o Változások követése a vagyonleltárban és a kockázati profilban Dr. Horváth Zsolt László 22
o Egyes szakterületek speciális információbiztonsági szempontjai Az IBIR főbb dokumentumai a következők. - Információbiztonsági stratégia - Információbiztonsági politika, és éves IB-fejlesztési célok - az információbiztonsági (vagy információvédelmi) szabályozás / kézikönyv, - az IBIR alkalmazhatósági nyilatkozata, - a szükséges folyamatok eljárási utasításai (ezek lehetnek a kézikönyv integrált részei is), o IBIR menedzselés folyamatainak szabályozása o IB saját folyamatainak szabályozása (pl.kockázat elemzési és kezelési eljárás szabályozása, IT BCP és IT DRP, IB-monitoring, ) - egyéb folyamatszabályozások információbiztonsági kiegészítése - egyéb (biztonsági) szabályok vagy előírások, - a szükséges feljegyzések és bizonylatok formanyomtatványai. 2.5.2 Információbiztonsági stratégia (IBS) Egyike a fontos vállalati rész-stratégiáknak. Rendszeres karbantartást igényel. Az IBS készítési lépései: 1. Jövőkép (vízió) kidolgozása (hová akarunk eljutni?) 2. A jelenlegi helyzet értékelése (honnan indulunk) 3. A preferált útvonal meghatározása (kulcsprojektek azonosítása) 2.5.3 Az információ-biztonsági politika A vezetőség általános elkötelezettségét fejezi ki egy rövid (ca. 0,5 1,5 oldalas nyilatkozatban), amiben alapvetően a következő kérdésekre ad vélaszt: - Mit is akarunk ezzel? Keretet ad a védelmi célok kitűzéséhez, kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban. - Minek is kell megfelelni? Figyelembe veszi a működési, jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket. - Illeszkedés a vállalati stratégiába. Igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az IBIR létrehozása és fenntartása történni fog. - Milyen szempontok alapján működjön az IBIR? Meghatározza azokat az alapelveket (szempontokat, értékrendet), amelyek alapján működtetjük az információvédelmet és az IBIR-t. Továbbá keretet ad az IBIR kialakításához, fenntartásához és folyamatos továbbfejlesztéséhez. - A Vezetés elkötelezett döntése ez! Jóváhagyásra kerül a vezetés által. 2.5.4 Alkalmazhatósági Nyilatkozat (Statement of applicability) A szervezetnél az információvédelmi irányítási rendszerre vonatkozó és az alkalmazható szabályozási célokat és szabályozásokat leíró dokumentum, amely a kockázat értékelési és kockázat kezelési folyamatok eredményein és következtetésein alapul. Dr. Horváth Zsolt László 23
Az ISO/IEC 27001 szabvány szerinti IBIR kötelező dokumentuma. Az auditon (a megfelelés ellenőrzésének) referencia-dokumentuma. Alapja: az ISO/IEC 27001 szabvány A melléklete alapján elfogadott ÉS a már működő és a kockázatok kezelése alapján meghatározott új védelmi intézkedések együttesen. 2.5.5 Az információbiztonság folyamatszabályozásának főbb területei - IBIR menedzselés folyamatainak szabályozása o Dokumentumok és feljegyzések kezelés o IB stratégia / politika / célok tervezése és követése o IB képzés és tudatosítás o Belső audit o Vezetőségi átvizsgálás o Folyamatos fejlesztés o - IB saját folyamatainak szabályozása o IB vagyonleltár felvétel, kockázat értékelés és kockázat kezelés o Incidenskezelés o IB monitoring - Egyéb jellemzően saját IT szempontokkal kiegészítendő működési folyamatok o Humán erőforrás menedzsment (felvétel, munkaügy, humán biztonság, ) o Beszerzés (pályáztatás, szerződéskötés és együttműködés alvállalkozókkal, kiszervezett szolgáltatások igénybe vétele) o IT tervezés és üzemeltetés o Iktatás és iratkezelés o Kommunikáció o - Bármely folyamatnál az adatkezelési és a változáskezelési szempontok figyelembe vétele 2.5.6 A felhasználói információbiztonság szabályok - Információbiztonság részletes szabályai munkavégzés során o irodai iratkezelés és a fax használata o (asztali és mobil) számítógépek használata o adathordozók használata o az informatikai hálózat használata o hálózati alkalmazások használata o jelszóhasználat o elektronikus levelezés o internethasználat - Biztonsági problémák kezelése o eljárás incidensek esetén o vírusvédelem Dr. Horváth Zsolt László 24
- Külső partnerekkel való együttműködés - Információbiztonsági szabályok a munkavégzésen kívül 2.5.7 Az IBIR működésének igazoló feljegyzései (példák) - Vezetői értekezletek emlékeztetői; - Belső illetve külső (pl. felügyeleti hatóság) felülvizsgálatok jegyzőkönyvei; - SYS logok ill. log-elemzési statisztikák; - HelpDesk jegyek; - Incidens-napló; - Szerverterem belépési napló; - Tesztelési jegyzőkönyvek (BCP, DRP!); - Oktatások jelenléti ívei; - Stb. 2.6 Ellenőrző kérdések - Melyek a különböző irányítási rendszerek (menedzsmentrendszerek) közös elemei? - Mit jelent a PDCA-elv az IBIR működtetésében? - Mutassa be az információbiztonsági irányítási rendszer bevezetésének főbb lépéseit! - Mutassa meg, hogy az IBIR működtetéséhez milyen információbiztonsági szerepkörökre van szükség, és mi ezeknek a jellemző feladatuk! - Mi az IBIR-ben az információbiztonsági vezetőnek a feladata, szerepe? - Milyen fórumokon (értekezleteken) történnek az IBIR működését befolyásoló, jelentős megbeszélések, döntések, és mik ezek a témák? - Melyek az információbiztonsági irányítási rendszer működésének főbb dokumentumai? - Mi az Alkalmazhatósági Nyilatkozat, és mit kell tartalmaznia? - Az információbiztonság folyamatszabályozása milyen főbb területekre oszlik, és hol (milyen szabályozásokban) jelenik meg? - Milyen munkatársakra vonatkozó tudnivalók tartoz(hat)nak bele a felhasználói információbiztonsági szabályzatba? Dr. Horváth Zsolt László 25
3 Információbiztonsággal kapcsolatos jogszabályi követelmények 3.1 Információbiztonsággal kapcsolatos jogi szabályozási területek Különböző minősítésű / kategóriájú adatok védelme, kezelése: - Közokiratok, közlevéltárak iratai védelme - Közérdekű adatok nyilvánossága - Személyes adatok védelme - Üzleti titok védelme - Nemzeti minősített adat (régi neve: államtitok) védelme - stb. Adatkezelés biztonságával kapcsolatos önálló területek szabályozása - Államérdekben titkos adatok védelme (Nemzeti minősített adatok kezelése) - Nemzeti adatvagyon védelme - Nemzeti kritikus infrastruktúra védelme - Elektronikus közszolgáltatás biztonsága - Nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága - Elektronikus aláírás (digitális aláírás) - Elektronikus kereskedelem, közbeszerzés, hírközlés, reklámtevékenység, információszabadság, szabályai - stb. 3.2 Adatkezelési jogszabályok követelményei 3.2.1 Közokiratok, közlevéltárak iratai védelme 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről Törvény célja: irattári anyagok szakszerű kezelése, és személyes adatok illetve minősített adatok védelme Előírásokat tartalmaz az irattári, levéltári kezelés biztonságára vonatkozólag. Törvény struktúrája: - ÁLTALÁNOS RENDELKEZÉSEK o Az irattári és a levéltári anyag védelmének általános szabályai o A levéltári anyag védelmének irányítása - A KÖZIRAT o A köziratok kezelése és védelme o Az iratkezelési szabályzatok kiadása o - A KÖZLEVÉLTÁR - A KÖZLEVÉLTÁR ANYAGÁNAK HASZNÁLATA - A MAGÁNLEVÉLTÁRI ANYAG VÉDELME Dr. Horváth Zsolt László 26
3.2.2 Közérdekű adatok nyilvánossága Személyes adatok védelme 2011. évi CXII törvény az információs önrendelkezési jogról és az információszabadságról; Célja: személyes adatok biztonsága és a közérdekű adatok nyilvánossága Meghatározza - a személyes adatok és a közérdekű adatok fogalmát, és körét - az adatkezelés, adatfeldolgozás fogalmát - a személyes adatok kezelésének, védelmének módját és alapelveit, - az adatvédelmi felelős feladatkörét Fogalommagyarázat (3. ) 1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy; 2. személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés; 3. különleges adat: a. a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 10. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; 11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; 17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik; Az adatkezelés elvei (4. ) - Célhoz kötöttség: o kizárólag meghatározott célból o az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas o csak a cél megvalósulásához szükséges mértékben és ideig Dr. Horváth Zsolt László 27
- Kapcsolat helyreállíthatósága: o személyes adat mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható - Adatok pontossága, teljessége: o biztosítani kell az adatok pontosságát, teljességét és naprakészségét Az adatkezelés jogalapja (5. ) - Személyes adat akkor kezelhető, ha o az érintett hozzájárul, o kötelező adatkezelés (azt törvény vagy pl. önkormányzati rendelet elrendeli) - Különleges adat akkor kezelhető, ha o az érintett írásban hozzájárul, o azokat törvény elrendeli. Az adatbiztonság követelménye (7. ) - az érintettek magánszférája védelmének biztosítása - gondoskodás az adatok biztonságáról, az ehhez szükséges technikai és szervezési intézkedések és eljárási szabályok kialakítása. - az adatok védelme különösen o a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, o a véletlen megsemmisülés és sérülés, o az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen - a különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme - személyes adatok automatizált feldolgozása során adatbiztonsági követelmények: o a jogosulatlan adatbevitel megakadályozása o jogosulatlan személyek általi használatának megakadályozása o annak ellenőrizhetősége és megállapíthatósága, hogy a személyes adatokat mely szerveknek továbbították vagy továbbíthatják mely személyes adatokat, mikor és ki vitte be o a telepített rendszerek üzemzavar esetén történő helyreállíthatósága o jelentés a fellépő hibákról - Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. Adatfeldolgozás (10. ) - Az adatfeldolgozónak a kötelezettségeit az adatkezelő határozza meg, az általa adott utasítások jogszerűségéért ő felel. - Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. - Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. Dr. Horváth Zsolt László 28