KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-1. kötet Informatikai Biztonság Irányítási Rendszer (IBIR) 1.0 verzió 2008. június
Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Muha Lajos PhD, CISM K ö z r e mőködött: Berkes Zoltán, Déri Zoltán, Krasznay Csaba CISA, CISM, CISSP, Muha Lajos PhD, CISM. Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonság Irányítási Keretrendszer
TARTALOMJEGYZÉK Bevezetés...6 1. Az Informatikai Biztonsági Irányítási Rendszer és más irányítási rendszerek összehasonlítása...7 1.1. Az ISO 27001:2005 szabvány...7 1.2. Az ISO 9001:2005 szabvány...12 1.3. Az ISO 14001:2004 szabvány...16 1.4. Az irányítási rendszerekre vonatkozó szabványok összehasonlítása...18 2. A PDCA (TVEB) modell...19 2.1. A TVEB modell értelmezése az Informatikai Biztonsági Irányítási Rendszerben20 2.1.1. Az Informatikai Biztonsági Irányítási Rendszer létrehozása...21 2.1.2. Az Informatikai Biztonsági Irányítási Rendszer bevezetése és mőködtetése...24 2.1.3. Az Informatikai Biztonsági Irányítási Rendszer ellenırzése és felülvizsgálata...24 2.1.4. Az Informatikai Biztonsági Irányítási Rendszer továbbfejlesztése és karbantartása...26 3. Az Informatikai Biztonsági Irányítási Rendszer létrehozása...28 3.1. Helyzetfelmérés...28 3.1.1. Az információbiztonság aktuális állapotának felmérése...28 3.1.2. Az informatikai irányítás aktuális állapotának felmérése...29 3.2. Vagyonleltár elkészítése...35 3.3. Kockázatfelmérés (Fenyegetettség- és sebezhetıség-elemzés)...38 3.4. Kockázatelemzés...40 3.5. Kockázatkezelés...42 3.6. Alkalmazhatósági nyilatkozat...44 3.7. Szabályzati környezet kialakítása...45 Magyar Informatikai Biztonság Irányítási Keretrendszer 3
3.7.1. Az Informatikai Biztonsági Politika... 46 3.7.2. Az Informatikai Biztonsági Stratégia... 49 3.7.3. Az Informatikai Biztonsági Szabályzat... 49 3.7.4. Informatikai Felhasználói Szabályzat... 51 3.7.5. Eljárásrend Győjtemény... 51 3.8. Dokumentációk és jegyzıkönyvek kezelése... 51 3.9. A vezetés elkötelezettsége... 52 3.10. Az informatikai biztonsági feladatok megosztása... 53 3.10.1. Biztonsági Vezetı... 54 3.10.2. Informatikai Biztonsági Vezetı... 55 3.11. Erıforrások biztosítása... 57 4. Az Informatikai Biztonsági Irányítási Rendszer bevezetése és mőködtetése... 58 4.1. Szabályzati környezetnek megfelelı mőködés kialakítása... 60 4.2. Kockázatjavítási terv kidolgozása... 61 4.3. Stratégia megvalósítása... 62 4.4. Képzési és tudatossági oktatások... 63 4.4.1. Miért is fontos a képzés?... 65 4.4.2. A képzések hatásosságának mérése... 66 4.5. Feljegyzések kezelése... 67 4.6. Alkalmasság vizsgálata... 67 4.6.1. Biztonsági követelmények érvényesítése a munkaköri leírásokban... 68 4.6.2. Biztonsági átvilágítás... 68 4.6.3. Titoktartás... 69 4.6.4. Foglalkoztatás feltételei... 69 4.7. Gazdálkodás az erıforrásokkal... 70 4.8. Az Informatikai Biztonsági Irányítási Rendszer irányítása... 71 4.9. Biztonsági események kezelése... 71 4 Magyar Informatikai Biztonság Irányítási Keretrendszer
4.10. A Bevezetés kockázatai...71 5. Az Informatikai Biztonsági Irányítási Rendszer ellenırzése és felülvizsgálata...73 5.1. Mérırendszer kialakítása...75 5.2. Az informatikai biztonság ellenırzése...77 5.3. Az informatikai biztonsági ellenırzések formái...77 5.4. Az Informatikai Biztonsági Irányítási Rendszer vezetıségi vizsgálata...78 5.5. Az informatikai biztonság független felülvizsgálata...80 5.6. Megfontolások a rendszerek biztonsági ellenırzésére...80 5.6.1. Rendszerauditálási óvintézkedések...83 5.6.2. Rendszerauditáló eszközök védelme...84 6. Informatikai Biztonsági Irányítási Rendszer továbbfejlesztése és karbantartása...85 6.1. Mérések szükségessége...86 6.2. Helyesbítı tevékenységek...86 6.3. Megelızı tevékenységek...87 6.4. Dokumentációk karbantartása frissítése...88 7. Mellékletek...90 7.1. Vagyonleltár...90 7.1.1. Információ őrlap...90 7.1.2. Adathordozó őrlap...90 7.1.3. Folyamat őrlap...92 7.1.4. Kárérték táblázat minta...93 7.2. Védelmi intézkedés őrlap...94 7.3. Alkalmazhatósági nyilatkozat minta...95 Magyar Informatikai Biztonság Irányítási Keretrendszer 5
Bevezetés Az Informatikai Biztonsági Irányítási Rendszer 1 (IBIR) az ISO 27001:2005 szabvány alapvetı fogalma. Az IBIR egy általános irányítási rendszer, amely az üzleti kockázat elemzésen alapul, megállapítja, megvalósítja, üzemelteti, ellenırzi, karbantartja és javítja az információbiztonságot. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelısségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erıforrásokat. Az Informatikai Biztonsági Irányítási Rendszer akkor hatékony, ha hasznos a szervezet számára. Az információbiztonság a szervezet mőködési és üzleti kultúrájának szerves része kell, hogy legyen. Az információbiztonság a technikai problémákkal ellentétben elsıdlegesen vezetıi probléma, bár vannak nem elhanyagolható technikai problémák, különösen az informatikai használatától való általános függıség. A jól irányított információbiztonság a sikeres üzleti tevékenység egyik alapfeltétele. Egyetlen szervezet sem tud napjainkban sikeres lenni információbiztonság nélkül. Az információbiztonság érdekében hozott, jól megválasztott vezetési intézkedések megfelelıen megvalósítva, és pozitív hozzáállással használva nem csak költséget jelentenek, hanem sikeressé tehetik a szervezetet. 1 Information Security Management System ISMS 6 Magyar Informatikai Biztonság Irányítási Keretrendszer
1. Az Informatikai Biztonsági Irányítási Rendszer és más irányítási rendszerek összehasonlítása 1.1. AZ ISO 27001:2005 SZABVÁNY Az információ a szervezetek számára a legnagyobb érték. Az információ megfelelı védelme nélkül: a) Ellenırizetlen az adatok kiszivárgása; b) Az átgondolatlan, ellenırizetlen módosítások adatvesztést okozhatnak; c) Nyomnélküli adatvesztés esetén kicsi a helyreállíthatóság esélye; d) Az információk nem érhetıek el, amikor szükség van rájuk. Ezért az információ megfelelı védelme az összes vezetı, az informatikai rendszerek tulajdonosai, a rendszergazdák és üzemeltetık, valamint az összes felhasználó felelıssége kell, hogy legyen, így lehet biztosítani az információk védelmét a sokrétő fenyegetettségekkel szemben minden szervezet esetében. A fenti célok összegzéseként védeni kell a bizalmasságot, sértetlenséget és rendelkezésre állást. Ennek gyakorlati szabálya az ISO/IEC 27002:2005 (MSZ ISO/IEC 17799:2006), Az információbiztonság irányítási gyakorlatának kézikönyve 2, amely az ISO 17799 szabvány továbbfejlesztése, és melyet az ipar, a kereskedelem területein praktizáló információbiztonsági szakértık egy csoportja fejlesztett, a nagy, a közepes, valamint a kisvállalatok számára. Az ISO 27001-et (MSZ ISO/IEC 27001:2006) 2005-ben adták ki Az Információbiztonság Irányítási Rendszerei 3 címmel, amelyet a korábbihoz hasonlóan 2 Information Technology Code of practice for information security management 3 Information security management systems Requirements Magyar Informatikai Biztonság Irányítási Keretrendszer 7
fejlesztették ki az összes olyan szervezet számára, melyek megfelelıen fel szeretnének készülni az ISO 27000 alapú tanúsításra. A szabvány útmutatást biztosít az Informatikai Biztonsági Irányítási Rendszer tervezéséhez, létrehozásához, ellenırzéséhez és bevezetéséhez, az informatikai biztonsági rendszer teljes életciklusában bekövetkezı tevékenységekre vonatkozólag. Az Informatikai Biztonsági Irányítási Rendszer 4 (IBIR) az ISO/IEC 27001:2005 szabvány alapvetı fogalma. Az IBIR egy általános irányítási rendszer, amely az üzleti kockázat elemzésén alapul, megállapítja, megvalósítja, üzemelteti, ellenırzi, karbantartja és javítja az információbiztonságot. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelısségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erıforrásokat. Az Informatikai Biztonsági Irányítási Rendszer akkor hatékony, ha hasznos a szervezet számára. Az információbiztonság a szervezet mőködési és üzleti kultúrájának szerves része kell, hogy legyen. Az információbiztonság a technikai problémákkal ellentétben elsıdlegesen vezetıi probléma, bár vannak nem elhanyagolható technikai problémák, különösen az informatikai használatától való általános függıség. A jól irányított információbiztonság a sikeres üzleti tevékenység egyik alapfeltétele. Egyetlen szervezet sem tud napjainkban sikeres lenni információbiztonság nélkül. Az információbiztonság érdekében hozott, jól megválasztott vezetési intézkedések megfelelıen megvalósítva és pozitív hozzáállással használva nem csak költséget jelentenek, hanem sikeressé tehetik a szervezetet. Az ISO/IEC 27002 ajánlás alapját képezı BS 7799 eredetileg a Brit Szabványügyi Hivatal (British Standard Institute) által kiadott brit szabvány. Elızményei az 1987 májusában alapított brit DTI/CCSC 5 tevékenységéhez nyúlnak vissza, amelynek feladata volt nemzetközi 4 Information Security Management System ISMS 5 DTI/CCSC = Department of Trade and Industry's, Commercial Computer Security Centre (Kereskedelmi és Ipari Minisztérium, Kerekedelmi Számítógép Biztonsági Központ) 8 Magyar Informatikai Biztonság Irányítási Keretrendszer
szinten is elfogadható informatikai biztonság értékelési és tanúsítási kritériumok és mechanizmus kidolgozása. Ennek eredménye vált valóra az ITSEC 6, valamint a UK ITSEC Scheme 7 dokumentumokban. Az ITSEC az informatikai rendszerek, de elsısorban informatikai termékek biztonsági funkcióira, valamint ezek biztonsági értékelésére és tanúsítására vonatkozó követelményeket tartalmazza. A UK ITSEC Scheme az értékelési, tanúsítási és minısítési folyamatokat határozza meg. A DTI/CCSC másik feladatában a brit számítógép felhasználók támogatását tőzte ki célul, amely 1989-ben A Users Code of Practice címen került kiadásra, mint az informatikai biztonság megteremtésére és fenntartására vonatkozó legjobb gyakorlatot leíró dokumentum. A brit Nemzeti Számítóközpont az ipari terület felhasználóiból szervezett konzorcium bevonásával ezt továbbfejlesztette. Az eredmény a PD 0003 jelő BSI ajánlás tervezet lett A Code of Practice for Information Security Management, Az információbiztonság 8 menedzsmentjének gyakorlati kódexe címmel. A dokumentum számítógépes felhasználók további bevonásával továbbfejlesztésre került, és végül a BSI 1995-ben BS 7799 szabványként adta ki, amelynek menedzselésére, utógondozására a BSI az egyik osztályát, a BSI-DISC 9 -et jelölte ki. Idıközben igény támadt e szabvány olyan jellegő bıvítésére, amely az informatikai biztonság menedzsmentjével foglakozik. A BS 7799 2. része Az információbiztonság menedzsment rendszerének specifikációja (Specification for 6 ITSEC = IT Security Evaluation Criteria (Információtechnológiai Biztonság Értékelési Kritériumok) 7 UK ITSEC Scheme = Egyesült Királyság Információtechnológiai Biztonság Értékelési Kritériumok Eljárásrend 8 A BSI által használt információbiztonság kifejezést a hazai gyakorlatban egyre inkább terjedı informatikai biztonság kifejezéssel azonos értelmőnek vesszük azzal a feltételezéssel, hogy a BS 7799-ben és a jelen kézikönyvben is alapvetıen az informatikai rendszerben kezelt információk biztonságáról van szó. Ezért a kézikönyv szövegében mindenhol az informatikai biztonság kifejezést használjuk. Az információbiztonság kifejezést csak az angol címekben használt Information Security magyar fordításaként használjuk. 9 BSI-DISC: BSI Delivering Information Solutions to Customers (BSI Információs Megoldások Szállítása Ügyfeleknek) Magyar Informatikai Biztonság Irányítási Keretrendszer 9
Information Security Management Systems) címmel került kiadásra 1998-ban, az elsı rész kiegészítéseként. A BS 7799 szabvány elsı revíziója 1999-ben történt meg, és az elsı részét nemzetközi szabványként (ISO 10 ) történı elfogadásra javasolta BSI. A Nemzetközi Szabványügyi Szervezet 2000. augusztusában a BS 7799 1. részét változatlan szerkezetben, és gyakorlatilag változatlan tartalommal nemzetközi szabványnak fogadta el ISO/IEC 17799 néven. A BS 7799 szabványt 1995 elıtt egyszer már benyújtották a Nemzetközi Szabványügyi Testülethez, de ekkor a tagnemzetek többsége még nem fogadta el. Néhány ország, így például Új-Zéland, Ausztrália és Hollandia bizonyos kiegészítésekkel bevezette saját nemzeti szabványaként. Hollandia volt az elsı, amely a brit mintára alapozva elkészítette a saját biztonságértékelési, tanúsítási és minısítési sémáját. Ez az érdeklıdés ösztönözte a BSI-t a szabvány továbbfejlesztésére, és az újbóli benyújtásra. E folyamat során került felismerésre az a tény, hogy nem elég egy szervezet részére az informatikai biztonsági rendszer kialakításának legjobb gyakorlatát kidolgozni, hanem elsısorban a menedzsment részére azt is meg kell határozni, hogy melyek azok a feltételek, követelmények, amelyeket teljesíteni kell a szabványnak való megfeleléshez. Ezek alapján egy külsı tanúsító cég is egyértelmően el tudja dönteni, hogy az adott szervezet informatikai biztonsági rendszere megfelel-e a szabványnak vagy sem. A BS 7799-re alapozott értékelési és tanúsítási folyamatot az Egyesült Királyságban az úgynevezett c:cure eljárásrendben írták le, amely magába foglalt egy olyan akkreditálási rendszert is, amely a tanúsítást kérı cégtıl független, és a brit akkreditáló szervezet, az UKAS 11 által akkreditált tanúsító cégek alkalmazását teszi lehetıvé. A c:cure-t azonban két évvel az elfogadás után visszavonták. Egy alternatív tanúsítási séma, mely az EA7/03, Útmutató az Akkreditációs Testületeknek, melyek Információbiztonsági Irányítási Rendszereket tanúsítanak/regisztrálnak címet viselte, sokkal 10 ISO = International Standard Organization (Nemzetközi Szabványügyi Testület) 11 UKAS = UK Accreditation Service (Egyesült Királyság Akkreditációs Szolgálat) 10 Magyar Informatikai Biztonság Irányítási Keretrendszer
elfogadottabbá vált az Európai Unióban, mint az angol séma, így Nagy-Britannia is áttért ennek használatára. 2007-ben ISO/IEC 27006:2007 címmel nemzetközi szabványként is ezt a sémát fogadták el. ISO/IEC 27006:2007 ISO/IEC 27001:2005 Irányelvek ISMS regisztrációhoz és tanúsításhoz Nemzetközi Akkreditációs Testület Kölcsönös elismerési eljárások Nemzeti Akkreditációs Testület Akkreditáció kiadása Tanúsítási Testületek Kiválasztás Tanúsítói cég ISMS audit, ISO/IEC 27001 megfelelés tanúsítás Tanúsítást kérı cég ISMS Az utóbbi években jelentıs elırelépés történt az információbiztonsági szabványok egységesítése érdekében. A már említett ISO 27001, 27002 és 27006 szabványok mellett további dokumentumokat tervez az ISO elfogadni a 27000-es szabványcsaládban. Ezek a következık: ISO/IEC 27000: Alapok és szótár. A szabványt elıreláthatólag 2008 végén, 2009 elején fogadják el. Az információbiztonság alapvetı elveit, céljait és szóhasználatát hivatott meghatározni. Magyar Informatikai Biztonság Irányítási Keretrendszer 11
ISO/IEC 27003: Az IBIR rendszer megvalósítási útmutatója. Célja az IBIR rendszer bevezetésének megkönnyítése. Várhatóan 2008 októberében jelenik meg. ISO/IEC 27004: Az információbiztonság irányításának mérıszámai. A 2008 végén megjelenı szabvány az IBIR rendszer megfelelıségének mérésében nyújt segítséget. ISO/IEC 27005: Információbiztonsági kockázatkezelés. A szintén 2008 végén megjelenı szabvány az IBIR kialakításában elengedhetetlenül fontos kockázatkezelést segíti. ISO/IEC 27007: Útmutató az Információbiztonsági Irányítási Rendszerek auditjához. Az ISACA szervezet bevonásával készülı szabvány a tanúsítást végzı szervezeteket segíti az egységes auditálási útmutatóval. Leghamarabb 2009-ben fog megjelenni. ISO/IEC 27011: Útmutató a telekommunikáció információbiztonsági irányításához. A javasolt szabvány a telekommunikációs ipar információbiztonsági kihívásainak próbál megoldási javaslatot adni. Leghamarabb 2008 végén fogadhatják el. A telekommunikáció mellett több más iparághoz (pl. egészségügy, pénzintézetek) is terveznek IBIR útmutatókat kiadni. Emellett olyan területeket is szabványosítani akarnak a 27000-es családon belül, melyek az informatikai biztonság meghatározó elemei (pl. alkalmazásfejlesztés, üzletmenet-folytonosság, hálózatbiztonság), azonban az IBIR-hez kevésbé kapcsolódnak. 1.2. AZ ISO 9001:2005 SZABVÁNY Az átdolgozott és ma érvényes ISO 9000:2005 szabványsorozat több szabványból áll. Ezek az alábbiak: a) ISO 9000:2005 (MSZ EN ISO 9000:2005) Minıségirányítási rendszerek. Alapok és szótár. 12 Magyar Informatikai Biztonság Irányítási Keretrendszer
b) ISO 9001:2000 (MSZ EN ISO 9001:2001) Minıségirányítási rendszerek. Követelmények. c) ISO 9004:2000 (MSZ EN ISO 9004:2001) Minıségirányítási rendszerek. Útmutató a mőködési fejlesztéshez. Az ISO 9000 szabványsorozat rendszerszabvány, ami azt jelenti, hogy elıírásai nem a termék meghatározott tulajdonságait határozzák meg, hanem a szervezet mőködésének egészét átszövı minıségirányítás elveit, amelyek a következık (a következı felsorolás szó szerinti idézet az MSZ EN ISO 9000:2005 szabványból): a) Vevıközpontúság A szervezetek vevıiktıl függenek, ezért ismerniük kell a jelenlegi és a jövıbeli vevıi szükségleteket, teljesíteniük kell a vevık követelményeit, és igyekezniük kell felülmúlni a vevık elvárásait. b) Vezetés A vezetık megteremtik a szervezet céljainak és igazgatásának egységét. Hozzanak létre és tartsanak fenn olyan belsı környezetet, amelyben a munkatársak teljes mértékig részt vehetnek a szervezet céljainak elérésében. c) A munkatársak bevonása A szervezet lényegét minden szinten a munkatársak jelentik, és az İ teljes mértékő bevonásuk teszi lehetıvé képességeik kihasználását a szervezet javára. d) Folyamatszemlélető megközelítés A kívánt eredményt hatékonyabban lehet elérni, ha a tevékenységeket és a velük kapcsolatos erıforrásokat folyamatként irányítják. e) Rendszerszemlélet az irányításban Az egymással összefüggı folyamatok rendszerként való azonosítása, megértése és irányítása hozzájárul ahhoz, hogy a szervezet eredményesen és hatékonyan valósítsa meg céljait. f) Folyamatos fejlesztés Magyar Informatikai Biztonság Irányítási Keretrendszer 13
A szervezet teljes mőködésének átfogó, folyamatos fejlesztése legyen a szervezet állandó célja. g) Tényeken alapuló döntéshozatal Az eredményes döntések az adatok és egyéb információ elemzésén alapulnak. h) Kölcsönösen elınyös kapcsolatok a (be)szállítókkal A szervezet és (be)szállítói kölcsönösen függnek egymástól, és kölcsönösen elınyös kapcsolatuk fokozza mindkettejük értékteremtı képességét. A minıségirányítási rendszerekkel szemben támasztott követelményeket az ISO 9001:2000 (magyar megfelelıje MSZ EN ISO 9001:2001) szabvány rögzíti. Ez a szabvány egy olyan szervezet követelményeit írja le, amely képes a vevık igényeinek kielégítésére és felkészült e képességek független külsı fél által végzett értékelésére. A szabvány: a) nem kötelezı érvényő, minden alkalmazó önként vállalja e szabvány követelményeinek teljesítését, b) a követelményeket általánosan fogalmazza meg, és a felhasználóra bízza a teljesítés részleteinek kialakítását. E tulajdonsága miatt nem csak a termelı és szolgáltató szervezetekre alkalmazható, c) piac által vezérelt szabvány, amely a vevı és a szállító közötti kapcsolatot a vevı szemszögébıl szabályozza. Milyen elınyök várhatók az ISO 9000 szabványsorozat követelményrendszerének megvalósításától? a) versenyelıny a piacon, b) szabályozottabb termelés, szolgáltatás, c) jobb, pontosabb vezetıi információk, d) hatékonyabb irányítás és munkavégzés, e) javul a belsı mőködés hatékonysága, szervezettsége, f) csökkennek az üzemeltetési költségek, g) ösztönzı hatást gyakorol a beszállítói körre, 14 Magyar Informatikai Biztonság Irányítási Keretrendszer
h) kialakul a folyamatos fejlıdés igénye. A minıségirányítási rendszer kiépítésének lépései a következık: a) Elıkészítés 1) A vállalkozás tevékenységi folyamatainak, eljárásainak, ügymenetének felmérése, 2) Szervezeti átvilágítás, 3) A rendelkezésre álló dokumentáció átvizsgálása, 4) Minıségügyi tréning a társaság vezetıi, a kijelölt minıségügyi megbízott, valamint a rendszer kiépítésében közremőködı dolgozók számára, 5) A mőködıképes minıségirányítási rendszer kiépítéséhez szükséges erıforrások meghatározása. b) A minıségirányítási dokumentumrendszer kidolgozása 1) Minıségpolitika és minıségcélok, 2) Minıségirányítási kézikönyv, 3) Eljárási utasítások, 4) Munka- és vizsgálati utasítások, 5) Bizonylatok, formanyomtatványok, őrlapok, stb. c) A minıségirányítási rendszer bevezetése 1) Minıségügyi tréningek, 2) Fizikai rendteremtés, 3) Hitelesítések, kalibrálások elvégeztetése, 4) Belsı felülvizsgálók képzése, 5) Belsı auditok, 6) A szükséges helyesbítı intézkedések meghatározása, végrehajtása. A vevıi bizalom elnyeréséhez természetesen nem elegendı a minıségirányítási rendszer megléte, az ISO 9000 nemzetközi szabványsorozatban rögzített követelményrendszernek való megfelelés független tanúsító szervezet általi tanúsítása is szükséges. Magyar Informatikai Biztonság Irányítási Keretrendszer 15
A tanúsítás folyamata: a) Elıaudit (nem kötelezı, választható), b) Dokumentáció vizsgálat, c) Helyszíni audit, d) Auditjelentés készítése (pozitív esetben javaslat a tanúsítvány odaítélésére). A minıségirányítási rendszer kiépítésének idıszükséglete a cég vezetési szintjeinek számától és tevékenységének összetettségétıl függıen mintegy 6-12 hónap. 1.3. AZ ISO 14001:2004 SZABVÁNY A környezeti menedzsment rendszerek (KMR) nemzetközi szabványát, az ISO 14001-et, 1996 szeptemberében adták ki. A Magyar Szabványügyi Testület jelentette meg a magyar nyelvő fordítását "Környezetközpontú Irányítási Rendszerek. Követelmények és alkalmazási irányelvek (ISO 14001:1996)"címmel, MSZ EN ISO 14001 jelzéssel, melyet 2005-ben frissítettek. Az ISO 14001 a gazdaság minden szektorában alkalmazható a szervezetekre: az iparban, a mezıgazdaságban, a szolgáltatóiparban. A környezetközpontú irányítási rendszer modelljét a következı ábra szemlélteti 16 Magyar Informatikai Biztonság Irányítási Keretrendszer
a) Környezeti Politika. A szervezet felvázolja a környezetvédelmi céljait, a környezetvédelmi jogszabálynak való megfelelés és a folyamatos javítás melletti elkötelezettséget. b) Tervezés. Célokat és elıirányzatokat kell kitőznie a szervezetnek a jövıbeni környezetvédelmi teljesítményét illetıen, és ezekhez cselekvési terveket kell meghatároznia. c) Végrehajtás és mőködés. Az alábbi követelményeknek kell megfelelni: feladatok és felelısök meghatározása, az alkalmazottakban erısíteni kell a környezetvédelem fontosságát, alkalmazottak képzése, a szervezet környezeti teljesítményét befolyásolható tevékenységek ellenırzése/szabályozása (beszállítók és alvállalkozók tevékenységét is) haváriatervek kidolgozása balesetek esetére, tájékoztatási rendszer kidolgozása és mőködtetése környezetvédelmi kérdésekben, a rendszerdokumentáció és a nyilvántartások ellenırzési mechanizmusának kidolgozása. d) Ellenırzés és helyesbítı tevékenységek. A legfontosabb követelmények: a jogszabályoknak, valamint a kitőzött céloknak, elıirányzatoknak való megfelelés ellenırzése, belsı eljárások ellenırzése auditálással kapcsolatos rendelkezések, helyesbítı és megelızı tevékenységek. e) Vezetıségi átvizsgálás. A vezetıség rendszeresen értékeli a szervezet környezeti teljesítményében elért eredményeket, és az eredmények ismeretében hozza meg a szükséges változtatásokat. Az ISO 14001 szabvány követelményeibıl látható, hogy a hajtóerı, amely a szervezeteket a tanúsítására készteti, a törvényeknek való megfelelés. A környezeti teljesítményértékelés modelljét a következı ábra szemlélteti. Magyar Informatikai Biztonság Irányítási Keretrendszer 17
1.4. AZ IRÁNYÍTÁSI RENDSZEREKRE VONATKOZÓ SZABVÁNYOK ÖSSZEHASONLÍTÁSA Megfelelési táblázat az ISO 9001:2005, ISO 14001:2004 és az ISO 27001:2005 fejezetei között. ISO/IEC 27001:2005 ISO 9001:2005 ISO 14001:2004 Bevezetés 0 Bevezetés 0 Bevezetés - Alkalmazási területei 1 Alkalmazási terület 1 Alkalmazási terület 1 Rendelkezı 2 Rendelkezı 2 Rendelkezı 2 hivatkozások hivatkozások hivatkozások Szakkifejezések és 3 Fogalom 3 Fogalom 3 meghatározásuk meghatározások meghatározások Az 4 A minıségirányítási 4 A környezetirányítási 4 információbiztonság irányítási rendszere rendszer követelményei rendszer követelményei A vezetıség 5 A vezetıség 5 - - felelıssége felelıssége A vezetıség 5.1 A vezetıség 6 - elkötelezettsége elkötelezettsége Az ISMS vezetıségi 7 Vezetıi felülvizsgálat 5.6 Vezetıi felülvizsgálata 4.6 átvizsgálása Az ISMS fejlesztése 8 Javítás 8.5 - - 18 Magyar Informatikai Biztonság Irányítási Keretrendszer
2. A PDCA (TVEB) modell Az IBIR létrehozása és mőködtetése ugyanolyan megközelítést igényel, mint sok más irányítási rendszer. Az ISO 27001-es szabvány erre a célra az OECD 12 által is támogatott TVEB 13 folyamatmodell használatát vezette be az Informatikai Biztonság Irányítási Rendszerének fejlesztésének, megvalósításának és hatékonyságának biztosítására. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül. A TVEB bármilyen mőveletre, tevékenységre, folyamatra, rendszerre, mőködtetésre, koncepcióra, elgondolásra vonatkoztatható, zárt hatásláncú, folytonosan ismétlıdı körfolyamat-elv. A nemzetközi szakirodalomban elterjesztıjérıl, W.E. Demingrıl elnevezve Deming ciklusnak (Deming's Cycle) is nevezik. A TVEB modell négy szakaszból áll: a) elsı szakasz a Tervezés (Plan) a fennálló helyzet tanulmányozása, adatgyőjtés, javítás megtervezése; b) második szakasz a Végrehajtás (Do) a terv kipróbálása kísérleti jelleggel egy kisebb projekt vagy a felhasználók egy szőkebb körén belül alkalmazva; c) harmadik szakasz az Ellenırzés (Check) a változtatások hatásának elemzése és értékelése); d) negyedik szakasz a Beavatkozás (Act) a bevált módszer bevezetése és szabványosítása. 12 Organistaion for Economic Co-Operation and Development = Gazdasági Együttmőködési és Fejlesztési Szervezet 13 Tervezés - Végrehajtás - Ellenırzés Beavatkozás = Plan-Do-Check-Act PDCA Magyar Informatikai Biztonság Irányítási Keretrendszer 19
Ez a ciklus minden folyamatjavító koncepció alapja. A TVEB modell az alábbi ábrán látható: 2.1. A TVEB MODELL ÉRTELMEZÉSE AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZERBEN a) Tervezés (Az Informatikai Biztonsági Irányítási Rendszer létrehozása): A szervezet általános szabályainak megfelelı biztonságpolitika, célok, módszerek, folyamatok és eljárások meghatározása, amelyek relevánsak a kockázatkezelés és az informatikai biztonság fejlesztése szempontjából. b) Végrehajtás (Az Informatikai Biztonsági Irányítási Rendszer bevezetése és mőködtetése): A biztonsági szabályzat, intézkedések, módszerek és eljárások megvalósítása és üzemeltetése. c) Ellenırzés (Az Informatikai Biztonsági Irányítási Rendszer ellenırzése és felülvizsgálata): Fel kell becsülni és ahol alkalmazható fel kell mérni a biztonságpolitika végrehajtásának folyamatát, a célok és a gyakorlati tapasztalatok alapján az eredményeket a vezetés számára jelenteni kell. 20 Magyar Informatikai Biztonság Irányítási Keretrendszer
d) Beavatkozás (Az Informatikai Biztonsági Irányítási Rendszer továbbfejlesztése és karbantartása): A vezetıi felülvizsgálat eredményén alapuló korrigáló és megelızı intézkedéseket kell hozni, illetve folyamatosan tovább kell fejleszteni az Informatikai Biztonsági Irányítási Rendszert. 2.1.1. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER LÉTREHOZÁSA Az Informatikai Biztonsági Irányítási Rendszer létrehozása érdekében a következı tervezési lépéseket kell megtenni tervezés során: a) Az Informatikai Biztonsági Irányítási Rendszer területének, kiterjedésének definiálása a szervezet üzleti jellegzetességeinek, elhelyezkedésének, aktíváinak értelmében. Az IBIR alkalmazási területét pontosan meg kell határozni. Az IBIR alkalmazási területét a szervezet egy behatárolt részén a többitıl függetlenül kell meghatározni, vagy meghatározható akár az egész szervezetre is. Az alkalmazási terület meghatározása igényli a csatlakozási felületeket más rendszerekhez, szervezetekhez, külsı beszállítókhoz, és szintén figyelembe kell venni olyan igényeket és függıségeket, mint pl. hogy a biztonsági követelmények kielégíthetıek-e az Informatikai Biztonsági Irányítási Rendszerrel. b) Az informatikai biztonságpolitika definiálása a szervezet üzleti jellegzetességeinek, elhelyezkedésének, aktíváinak értelmében figyelembe véve a törvényi és szabályozási követelményeket. A vezetésnek el kell fogadnia az informatikai biztonsági politikát. A informatikai biztonsági politika magában foglalja a biztonsági célokat, megadja a vezetıi irányítást és tevékenységeket, megállapítja a kockázatkezelési összefüggéseket és kritériumokat melyek ellenében, kiértékeli a kockázatot. c) A kockázatelemzési eljárás meghatározása. A szervezeteknek szüksége van egy követelményrendszerre az elfogadható kockázatok és az elfogadható kockázatok szintjének meghatározására. Minden esetben a szervezet dönti el, hogy melyik Magyar Informatikai Biztonság Irányítási Keretrendszer 21
kockázatelemzési eljárást alkalmazza. Fontos megjegyezni, hogy akármelyik módszert is kívánja használni szervezet, az Informatikai Biztonsági Irányítási Rendszer egészére kell kiterjeszteni. Az IBIR a kockázatelemzési eljárással kapcsolatban a következı, kockázatokkal összefüggı szervezeti szempontoknak a teljes lefedését igényli: 1) humán intézkedések; 2) üzleti folyamatok; 3) üzemeltetési és karbantartási módszerek és eljárások; 4) törvényi, szabályozási és szerzıdési ügyek; 5) információfeldolgozási lehetıségek és eszközök. A kockázatelemzés kötelezı követelmény, de ez nem teszi kötelezıen szükségessé néhány automatizált szoftver eszköz használatát, azonban néhány esetben elınyt jelent ezen eszközök használata, különösen akkor, ha a kockázatok és a kockázatokkal összefüggı információk (fenyegetések, sebezhetıségek, vagyontárgyak) újraértékelésére van szükség. A kockázatelemzés összetett módszer, és ennek szemléletétıl függ az IBIR felülvizsgálatának teljessége. A különféle technikák alkalmazásának meg kell egyeznie azzal az összetettségi igénnyel és szinttel, melyre a szervezetnek szüksége van. d) A kockázatok azonosítása a vagyontárgyakról szóló jelentések, és a vagyontárgyakkal kapcsolatos fenyegetettségek: a bizalmasság, a sértetlenség, és a rendelkezésre állás elvesztése figyelembevételével történik. e) A kockázatok elemzése a d) pontban szereplı információk feldolgozásán alapul, ügyelve arra, hogy magába foglalja az összes szervezeti irányítási területet, olyanokat, mint: 1) humán intézkedések; 2) üzleti folyamatok; 3) üzemeltetési és karbantartási módszerek és eljárások; 4) törvényi, szabályozási és szerzıdési ügyek; 22 Magyar Informatikai Biztonság Irányítási Keretrendszer