Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlása (TERVEZET) Az informatikai biztonság irányításának követelményrendszere (IBIK) 0.91 verzió 2004.
Készítette: Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna PhD. Szerkesztő : Muha Lajos Copyright 2004 Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna 2004. 07. 19. 0.91 verzió 2
Ezt az ajánlást az Információs Társadalom Koordinációs Tárcaközi Bizottság 2004. szeptember -i ülésén ajánlásként fogadta el az informatikai biztonság szervezeti szintű kezeléséhez. Célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása az informatikai biztonságának megteremtéséhez. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Változáskezelés Verziószám Dátum A változás leírása 0.9 2004. 05. 20. Kiinduló munkaanyag. 0.91 (jelen verzió) 2004. 07. 19. A BME IK és más szakvélemények alapján javított változat. 0.95 (tervezet) 2004. 09. 10. A beérkező vélemények alapján átdolgozott változat. 1.0 (tervezet) 2004. 10. 15. Nyilvánosságra hozandó első kiadvány. (Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.) 2004. 07. 19. 0.91 verzió 3
TARTALOM Előszó... 13 Előzmények... 13 Az IBIK alapjai... 18 Bevezetés... 21 1. Alkalmazási terület... 25 2. Fogalmak és meghatározások... 26 2.1. Az informatikai biztonság... 26 2.2. Kockázatelemzés... 27 2.3. Kockázatkezelés... 33 3. Biztonságpolitika... 34 3.1. Az informatikai biztonság dokumentumai... 34 3.1.1. Az informatikai biztonságpolitika... 34 3.1.2. Az informatikai biztonsági stratégia... 36 3.1.3. Az Informatikai Biztonsági Szabályzat... 36 3.2. Felülvizsgálat és fejlesztés... 37 4. Szervezeti Biztonság... 38 4.1. Az informatikai biztonság szervezeti struktúrája... 38 4.1.1. Informatikai Biztonsági Fórum... 41 4.1.2. Az informatikai biztonsági feladatok megosztása... 42 4.1.2.1. Biztonsági Vezető... 42 4.1.2.2. Informatikai Biztonsági Vezető... 43 4.1.3. Az adatfeldolgozás engedélyezési eljárásai... 45 4.1.4. Informatikai biztonsági tanácsadás... 45 4.1.5. Együttműködés külső szervezetekkel... 46 4.1.6. Az informatikai biztonság független felülvizsgálata... 46 4.2. Előírások a külső személyek által történő hozzáférésekkel kapcsolatban... 47 2004. 07. 19. 0.91 verzió 4
4.2.1. A külső személyek által történő hozzáférések kockázatai... 48 4.2.1.1. A hozzáférések típusai... 48 4.2.1.2. A hozzáférések engedélyezési feltételei... 48 4.2.1.3. Helyszíni tevékenységet végző külső személyek... 49 4.2.2. Informatikai biztonsági követelmények a harmadik személlyel kötött szerződésekben... 50 4.3. Vállalkozásba adás... 51 4.3.1. Előírások a vállalkozásba adási szerződésekben... 51 5. Az eszközök biztonsági besorolása és ellenőrzése... 54 5.1. Számadási kötelezettségek az eszközökkel kapcsolatban... 54 5.1.1. Készlet leltár... 55 5.2. Az adatok biztonsági osztályozása... 56 5.2.1. Az osztályozás irányelvei... 56 5.2.2. Az adatok minősítése, címkézése és kezelése... 61 6. Személyi biztonság... 62 6.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban... 62 6.1.1. Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban... 62 6.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika... 63 6.1.3. Titoktartási nyilatkozatok... 63 6.1.4. A foglalkoztatás feltételei... 64 6.2. Felhasználói képzés... 65 6.2.1. Az informatikai biztonsági oktatás és képzés... 65 6.3. Biztonsági és üzemzavarok kezelése... 68 6.3.1. Biztonsági események jelentése... 71 6.3.2. Biztonsági rendszerek hiányosságainak jelentése... 72 6.3.3. Programhibák jelentése... 73 6.3.4. Okulás véletlen eseményekből... 73 6.3.5. Fegyelmi eljárás... 73 2004. 07. 19. 0.91 verzió 5
7. Fizikai és környezeti biztonság... 74 7.1. Biztonsági szegmensek... 74 7.1.1. Biztonsági határok... 75 7.1.2. A beléptetés fizikai eszközei... 75 7.1.3. Létesítmények és helyiségek biztonsága... 75 7.1.4. Munkavégzés a biztonsági szegmensekben... 76 7.1.5. A kiszolgáló területek és raktárak biztonsági elkülönítése... 77 7.2. A berendezések fizikai védelme... 79 7.2.1. A műszaki berendezések elhelyezése és védelme... 84 7.2.2. Energiaellátás... 85 7.2.3. A kábelezés biztonsága... 86 7.2.4. A berendezések karbantartása... 87 7.2.5. A telephelyen kívüli berendezések védelme... 87 7.2.6. A berendezések biztonságos tárolása és újra felhasználása... 88 7.3. Általános védelmi intézkedések... 89 7.3.1. Adattárolási és képernyő-kezelési irányelvek... 89 7.3.2. Eszközök kivitele... 90 7.3.3. Informatikai eszközök újrahasznosítása... 90 7.3.4. Adathordozók megsemmisítése... 91 7.3.5. Hang-, kép- és adatrögzítő eszközök használata... 91 8. Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje... 93 8.1. Üzemeltetési eljárások és feladatok... 93 8.1.1. Az üzemeltetési eljárások dokumentációja... 93 8.1.2. Változásmenedzsment és ellenőrzés az üzemeltetés során... 94 8.1.3. Váratlan események kezelési eljárásai... 94 8.1.4. A feladatkörök biztonsági szétválasztása... 96 8.1.5. A fejlesztési és az üzemeltetési feladatok szétválasztása... 96 8.1.6. Külső létesítmények üzemeltetése... 98 8.2. IT rendszerek tervezése és átvétele... 99 2004. 07. 19. 0.91 verzió 6
8.2.1. Kapacitástervezés... 99 8.2.2. A rendszer átvétele... 99 8.3. Védelem rosszindulatú programok ellen... 101 8.3.1. A rosszindulatú programokat ellenőrző eszközök... 102 8.3.1.1. A vírusvédelmi rendszer kialakítása és működtetése... 104 8.4. Operátori tevékenységek... 107 8.4.1. Az adatmentések tartalék példányai... 107 8.4.2. Operátori naplók... 108 8.4.3. Az üzemzavarok naplózása... 109 8.5. Hálózatmenedzsment... 110 8.5.1. Hálózati ellenőrző eszközök... 110 8.6. Az adathordozók biztonságos kezelése... 111 8.6.1. Hordozható adathordozók kezelése... 111 8.6.2. Az adathordozók tárolása... 112 8.6.3. Adatkezelési eljárások... 112 8.6.4. Az IT rendszer dokumentációjának biztonsága... 113 8.7. Adatok és programok cseréje... 116 8.7.1. Megállapodások az adatok és programok cseréjéről... 117 8.7.2. Adathordozók szállítása... 117 8.7.3. Az elektronikus kereskedelem biztonsága... 118 8.7.4. Az elektronikus levelezés biztonsága... 119 8.7.4.1. Biztonsági kockázatok... 119 8.7.4.2. Az elektronikus levelezés irányelvei... 119 8.7.5. Irodaautomatizálási rendszerek biztonsága... 121 8.7.6. Nyilvános rendszerek... 122 8.7.7. Az adatcsere egyéb formái... 122 9. Hozzáférés menedzsment... 124 9.1. A hozzáférés ellenőrzés üzleti követelményei... 124 9.1.1. Irányelvek és üzleti követelmények... 125 2004. 07. 19. 0.91 verzió 7
9.1.1.1. A szabályzat és az üzleti követelmények... 125 9.1.1.2. A hozzáférés ellenőrzés szabályai... 126 9.1.1.3. Külső fél hozzáférése... 127 9.2. A felhasználói hozzáférés menedzsmentje... 128 9.2.1. A felhasználó bejelentkezése... 128 9.2.2. A jogosultságok kezelése... 130 9.2.3. A felhasználói jelszavak kezelése... 132 9.2.4. A felhasználó hozzáférési jogosultságainak ellenőrzése... 134 9.3. A felhasználó feladatai... 135 9.3.1. Jelszó használat... 135 9.3.2. Felügyelet nélküli berendezések... 136 9.4. A hálózati szintű hozzáférések menedzsmentje... 138 9.4.1. A hálózati szolgáltatások használatának irányelvei... 138 9.4.2. Kötelező hozzáférési útvonal... 139 9.4.3. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál... 140 9.4.4. Távoli munkaállomás azonosítása és hitelesítése... 141 9.4.5. A távdiagnosztikai portok védelme... 141 9.4.6. A hálózatok biztonsági szegmentálása... 142 9.4.7. A hálózatra történő csatlakozások ellenőrzése... 143 9.4.8. A hálózati útvonal kiválasztások ellenőrzése... 143 9.4.9. A hálózati szolgáltatások biztonsága... 143 9.5. Az operációs rendszerszintű hozzáférések ellenőrzése... 144 9.5.1. Terminálok automatikus azonosítása, hitelesítése... 144 9.5.2. Terminál bejelentkezési eljárások... 144 9.5.3. A felhasználó azonosítása, hitelesítése... 145 9.5.4. Jelszómenedzsment rendszer... 145 9.5.5. Rendszer segédprogramok használata... 147 9.5.6. Támadás-riasztás... 147 9.5.7. Terminál időkorlát... 147 2004. 07. 19. 0.91 verzió 8
9.5.8. Kapcsolati időkorlátozás... 147 9.6. Alkalmazás szintű hozzáférések vezérlése... 148 9.6.1. Az adatelérés szabályozása... 148 9.6.2. Érzékeny adatokat kezelő rendszer elkülönítése... 148 9.7. Hozzáférés a biztonsági monitoring rendszerhez és használata... 149 9.7.1. Eseménynaplózás... 149 9.7.2. A rendszerhasználat követése... 153 9.7.2.1. Kockázati tényezők... 154 9.7.2.2. Az eseménynaplózás és értékelése... 154 9.7.3. Dátum- és időállítás... 155 9.8. Mobil IT tevékenység, távmunka... 156 9.8.1. Mobil IT tevékenység... 156 9.8.2. A távmunka végző kapcsolat a munkahellyel... 164 10. Az IT rendszerek fejlesztése és karbantartása... 165 10.1. Az IT rendszerek informatikai biztonsági követelményei... 165 10.1.1. A biztonsági követelmények elemzése és meghatározása... 165 10.2. Biztonság a felhasználói rendszerekben... 167 10.2.1. A bemenő adatok hitelesítése... 167 10.2.2. Az adatfeldolgozás ellenőrzése... 168 10.2.2.1. Veszélyeztetett területek... 168 10.2.2.2. Vezérlő és ellenőrző eljárások... 169 10.2.3. Az üzenetek hitelesítése... 169 10.2.4. A kimenő adatok hitelesítése... 170 10.3. Kriptográfiai eszközök... 171 10.3.1. A kriptográfiai eszközök alkalmazásának irányelvei... 171 10.3.2. Rejtjelzés 171 10.3.3. Digitális aláírás... 172 10.3.4. Szolgáltatások a le nem tagadhatóságra... 173 10.3.5. Kulcsmenedzsment... 173 2004. 07. 19. 0.91 verzió 9
10.3.5.1. A kriptográfiai kulcsok védelme... 173 10.3.5.2. Szabványok, eljárások, módszerek... 173 10.4. Rendszerszintű adatállományok védelme... 175 10.4.1. Az operációs rendszer ellenőrzése... 175 10.4.2. A teszt adatok védelme... 176 10.4.3. A program forráskönyvtárhoz való hozzáférés ellenőrzése... 177 10.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban... 178 10.5.1. Változásmenedzsment eljárások... 178 10.5.2. Az operációs rendszer változtatásainak ellenőrzése... 179 10.5.3. Vásárolt programok változtatására vonatkozó korlátok... 179 10.5.4. Rejtett csatorna, trójai faló... 179 10.5.5. A programfejlesztés kihelyezése... 180 11. Üzletmenet-folytonosság menedzsment... 181 11.1. Üzletmenet-folytonosság menedzsment területei... 181 11.1.1. Üzletmenet-folytonosság menedzsment folyamata... 181 11.1.2. Az üzletmenet-folytonosság és a hatásvizsgálat... 182 11.1.3. Az üzletmenet-folytonossági terv kidolgozása... 182 11.1.3.1. Katasztrófa-elhárítási terv... 186 11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere... 189 11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése... 190 11.1.5.1. A tervek tesztelése... 190 11.1.5.2. A tervek karbantartása és újraértékelése... 191 12. Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak... 193 12.1. A jogszabályi előírások betartása... 193 12.1.1. A vonatkozó jogszabályok behatárolása... 193 12.1.2. Szellemi tulajdonjogok... 196 12.1.2.1. Szerzői jogok... 196 12.1.2.2. Szoftver szerzői jogok... 196 2004. 07. 19. 0.91 verzió 10
12.1.3. A szervezet adatainak biztonsága... 197 12.1.4. Személyes adatok védelme... 198 12.1.5. A védelmi eszközökkel elkövethető visszaélések megelőzése... 198 12.1.6. A kriptográfiai eszközök kezelésének szabályozása... 199 12.1.7. A bizonyítékok gyűjtése... 200 12.1.7.1. A bizonyítékokra vonatkozó szabályok... 200 12.1.7.2. A bizonyítékok elfogadhatósága... 200 12.1.7.3. A bizonyítékok minősége és hiánytalan volta... 200 12.2. Az informatikai biztonságpolitikának és a műszaki követelményeknek való megfelelés... 202 12.2.1. Az informatikai biztonsági előírásoknak való megfelelés... 202 12.2.2. A műszaki követelményeknek való megfelelés... 205 12.3. Megfontolások a rendszerek biztonsági ellenőrzésére... 206 12.3.1. Rendszerauditálási óvintézkedések... 208 12.3.2. Rendszerauditáló eszközök védelme... 208 2004. 07. 19. 0.91 verzió 11
2004. 07. 19. 0.91 verzió 12
Előszó 1. Előzmények Az információ az innováció legfontosabb forrásává vált, jelentős részét képezve a különböző szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlődésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. A szakemberek ráébredtek arra, hogy nem elegendő az információkat hagyományos módszerekkel védeni, hanem magukat a számítástechnikai eszközöket kell úgy kialakítani, hogy megfelelő védelmet biztosítsanak. Nemzetközi téren már az 1970-es évek végén megindult (elsősorban az Egyesült Államokban) az informatikai biztonsági értékelés követelményrendszere kidolgozására vonatkozó tevékenység. Első kézzelfogható eredménye a TCSEC 1 dokumentum, vagy más néven a Narancs Könyv megjelenése volt, amelyben az USA Védelmi Minisztériumának informatikai biztonsági követelményeit hozták nyilvánosságra elsősorban a beszállítók részére. Ezt követően több országban, például Angliában, Németországban, Franciaországban is elindult hasonló dokumentum kidolgozása. A 80-as évek vége felé a személyi számítógépek, a helyi és a nagy területeket átfogó hálózatok elterjedésével mind jobban erősödött az a felismerés, hogy az informatikai biztonságra vonatkozó előírások nemzeti szintjéről tovább kell lépni egy nemzetközi téren egyeztetett dokumentum irányába. Az első ilyen erőfeszítés eredménye volt az ITSEC 2 dokumentum 1.0 változata, amelyet Anglia, Franciaország, Hollandia és Németország közösen dolgozott ki. Az ITSEC 1.2 változatát az Európai Közösség számára kísérleti célból 1991-ben adták ki. Ezzel közel egy időben a Nemzetközi Szabványosítási Szervezetben (ISO 3 ) és a Nemzetközi Elektrotechnikai Bizott- 1 TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Értékelési Kritériumai) 2 ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) 3 ISO = International Organization for Standardization 2004. 07. 19. 0.91 verzió 13
ságban (IEC 4 ) is elkezdődött ebben a tárgyban a munka, azonban a nemzeti szinteken addig kidolgozott követelmények egyeztetése miatt ez viszonylag lassan haladt előre. E probléma feloldására az Egyesült Államokban és Kanadában elkészültek az FC 5, illetve a CTCPEC 6 dokumentumok. Az FC dokumentumnak az 1993-ban az Európai Közösség illetékes bizottságának történt bemutatása után az a határozat született, hogy az ITSEC, a CTCPEC és az FC szerzői dolgozzanak ki egy olyan követelményrendszert, amely nemzetközileg elfogadható lesz, és az ISO/IEC számára ajánlani lehet a szabványosítási munka alapjául. Az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával kidolgozásra került a CC 7 dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre egyedi követelményeket szabni. Ez képezte az alapját az Európai Közösség ebben a tárgyban végzendő további munkáinak, valamint az ISO/IEC-nél elvégzendő szabványosítási tevékenységnek. A több éves munka eredményeként 1998-ban jelent meg a Common Criteria 2.0 változata. A CC követelményrendszerének első három fejezetét ISO/IEC 15408 számon, Common Criteria for Information Technology Security Evaluation, version 2.0 címmel nemzetközi szabványként is kiadták. A TCSEC, majd az ITSEC ajánlások, csak az informatikai rendszerek logikai védelmével, a biztonság funkcionális és minősítési követelményeivel foglakoznak, és nem térnek ki az adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire. A CC esetében ez a szemlét alapvetően nem változik, de a biztonsági követelmények és funkciók leírása sokkal árnyaltabb. Így lehetőség adódik pontosabb védelmi profilok (funkciók) meghatározására, a kifejezetten biztonsági termékek, például tűzfalak mélyebb és 4 IEC = International Electrotechnical Commission) 5 FC = Federal Criteria for Information Technology Security (Az Információtechnológia Biztonságára vonatkozó Szövetségi Kritériumok) 6 CTCPEC = Canadian Trusted Computer Product Evaluation Criteria (A Biztonságos Számítástechnikai Termékek Értékelési Kritériumai Kanadában) 7 CC = Common Criteria (Közös Követelmények) 2004. 07. 19. 0.91 verzió 14
korrektebb biztonsági minősítésére, sőt elvi lehetőség van összetett informatikai rendszer biztonsági értékelésére is. Az egyes országokban megindult olyan ajánlások, követelmények fejlesztése is, amelyek kifejezetten a felhasználók számára nyújtanak segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére. Ilyen például az Amerikai Egyesült Államokban a NIST 8 Special Publication 800 sorozatának NIST SP 800-12, An Introduction to Computer Security: The NIST Handbook, a német BSI 9 IT Baseline Protection Manual, vagy a Brit Szabványügyi Hivatal 10 BS 7799 Part 1, Code of practice for information security management kiadványa. Ez utóbbit 2000. augusztusában ISO/IEC 17799:2000 számon Information Technology Code of practice for information security management néven nemzetközi szabványként fogadták el. (A 2. rész 11 elsősorban a szervezet vezetésének szól, és a megfelelési és az ellenőrzési követelményeket tartalmazza.) Az eddig többségében termékorientált szemlélet egy szervezeti szintű informatikai biztonságmenedzsment központú szemlélet váltotta fel. Az ISO/IEC 17799 szabvány alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól, hogy nem követelményeket ír elő, hanem a minőségbiztosításról szóló ISO 9000 szabványhoz hasonlóan a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg. A szabvány felhasználóinak a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából kell levezetniük. Ez a szabvány már alkalmas arra, hogy a megfelelő akkreditálás és tanúsítási eljárások alkalmazásával lehetővé váljon a teljes informatikai rendszer értékelése és tanúsítása. Hazánkban a rendszerváltozás után egy érdekes időszak következett be. Mint annyi más területen az információvédelemnél is érvényesült a múlt gyors, differenciálatlan, éles és túlzottan leegyszerűsített tagadása, amely szerint a demokrácia szerves részét képezi az informá- 8 National Institute of Standards and Technology 9 Bundesamt für Sicherheit in der Informationstechnik 10 British Standard Institute 11 A BS 7799 második részét 2002-ben módosították az ISO 9001:2000 és az ISO 14001:1996 szabványokkal való harmonizáció miatt. Az aktuális változat a BS 7799 Part 2:2002, Information security management systems Specification with guidance for use. 2004. 07. 19. 0.91 verzió 15
ciókhoz, bármely információhoz való szabad hozzájutás joga. A piaci körülmények, a privatizáció fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban és az egyes személyekben is, hogy olyan, hozzájuk kapcsoló információkkal, adatokkal rendelkeznek, amelynek kizárólagos birtoklása, és folyamatos rendelkezésre állása nagyon fontos társasági, illetve személyes érdek. A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) Informatikai biztonsági módszertani kézikönyv címet viselő, 1994-ben kiadott MeH ITB 8. számú ajánlása a brit kormány Központi Számítógép és Távközlési Ügynökség (Central Computer and Telecommunications Agency) CCTA Risk Analysis and Management Method és az északrajna-vesztfáliai kormány Informationtechnik Sicherheitshandbuch felhasználásával, valamint az EU informatikai ajánlásai és a hazai jogszabályok alapján készült. A kézikönyv célja a szervezetet az informatikai biztonsági koncepciójának kialakítására történő felkészítés volt. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság és a szervezet összbiztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csatolt mellékletekben találhatók meg. A MeH ITB 8. számú ajánlását, mint az informatikai biztonság CRAMM alapú kockázatelemzési módszertanát a közigazgatás területén kívül is elterjedten használják. A MeH ITB kezdeményezésére 1995-ben kezdődött meg a következő hazai ajánlás kidolgozása, amelyet 1996. decemberére véglegesítettek, és az Informatikai Rendszerek Biztonsági Követelményei címmel, mint a MeH ITB 12. sz. ajánlás vált de facto szabvánnyá. Az Informatikai Rendszerek Biztonsági Követelményei kidolgozásánál elsődleges szempont volt, hogy ne csak a logikai védelem előírásait tartalmazza, hanem jelenjenek meg benne az adminisztratív és a fizikai védelem követelményei is. A logikai védelem (hardver, szoftver, hálózatok) esetében az ITSEC lett adaptálva, ugyanakkor részletes követelményeket és védelmi intézkedéseket tartalmaz az informatikai biztonság adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire is. A gazdasági élet számos szereplője a saját biztonsági politikája kialakításakor figyelembe vette a 12. sz. ajánlást, több esetben a mai napig is belső szabályzóként, követelményrendszerként használják a biztonsági követelmények meghatározására. Az CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött, majd 1998-ban a MeH ITB 16. sz. ajánlásaként Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana címen, mint a Common Criteria 1.0 változatának hazai feldolgozása kiadásra került. 2004. 07. 19. 0.91 verzió 16
A Magyar Szabványügyi Testület 2002. évben magyar szabványként kiadta Az informatikai biztonságértékelés közös szempontjai címen az ISO/IEC 15408, Az informatikai biztonság menedzsmentjének eljárásrendje címen az ISO/IEC 17799 szabványokat, és jelenleg előkészítés alatt áll az ISO/IEC TR 13335 első és második részének magyar kiadása. Természetesen az informatikai biztonság területén számos egyéb szabvány és ajánlás is létezik, például az: - ISO/IEC 9796 a digitális aláírás, - ISO/IEC 9797 az üzenethitelesítés, - ISO/IEC 13888 a letagadhatatlanság, - ISO/IEC 15816 a hozzáférés-ellenőrzés, - ISO/IEC 18014 az időbélyegzés, - ISO/IEC 18028 a hálózatbiztonság, - ISO/IEC 18033 a rejtjelzés (titkosítás), - ISO/IEC 19790 a kriptográfiai modulok biztonsági követelményei témájában került kiadásra. 2004. 07. 19. 0.91 verzió 17
2. Az IBIK alapjai Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran hivatkoznak ezen területen az ITIL 12 -re és a COBIT 13 -ra. Az ITIL, Az informatikaszolgáltatás módszertana egy az informatika, mint szolgáltatás egészére kiterjedő, nemzetközileg széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat, amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás (Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létező ITIL folyamatokat bővíti a biztonságirányítással. A COBIT az információrendszer ellenőrök 12 ITIL = IT Infrastructure Library Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezőek voltak, a módszertant a piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetországon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az IT Service Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését, másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára de facto nemzetközi szabvánnyá vált, amelynek több országban működik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruktúra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját. A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv támogatásával 2002. novemberében honosították. 13 COBIT = Control Objectives for Information and Related Technology Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenőrzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsősorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellenőrzési irányelvek, a Vezetői útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezésű kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az ellenőrzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fő hangsúlyt, és az ezeket támogató informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. 2004. 07. 19. 0.91 verzió 18
egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és különösen az ellenőrzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdésére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel. A már említett ISO/IEC 15408 szabvány elsősorban technikai jellegű, főleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minősítésére. Nem tartalmaz ugyanakkor megfelelően, részletesen kidolgozott követelményeket az informatikai rendszereket üzemeltető, felhasználó szervezetek számára. Az informatikai biztonság területén egyre többen használják az ISO/IEC TR 13335 Guidelines for the Management of IT Security 14 (GMITS) műszaki beszámoló. Az ISO/IEC TR 13335 nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de Technical Report -ként, ami ebben az esetben a megoldási lehetőségek leírását jelenti, és ezt csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek használatban. Az ISO/IEC TR 13335 öt részből áll: 1. Az informatikai biztonság koncepciója és modellje (Concepts and models for IT Security), 2. Az informatikai biztonság irányítása és tervezése (Managing and planning IT Security), 3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of IT Security), 4. A védelmi eljárások kiválasztása (Selection of Safeguards), 5. Hálózatbiztonsági megoldások (Safeguards for External Connections). 14 Segédlet az informatikai biztonság irányításához 2004. 07. 19. 0.91 verzió 19
Az ISO/IEC 17799 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezetre vonatkozó, az összes rendszerelem csoportot átölelő informatikai biztonsági követelményeket és védelmi intézkedéseket tartalmazza, de a különböző nemzeti dokumentumok közül ez vált nemzetközi szabvánnyá, és emellett a de facto nemzetközi szabvánnyá vált ITIL is ezt használja hivatkozási alapként. Az ISO/IEC 17799 szabványt bár kritikák is érik a világ, és különösen az Európai Unió mind több országában fogadják el a különböző szervezetek informatikai rendszerük biztonságának alapjaként. Ezért is döntött úgy az Informatikai és Hírközlési Minisztérium, hogy a jelen követelményrendszernek ez a nemzetközi szabvány képezze az alapját, az ISO/IEC TR 13335 szabvány, továbbá a NATO (Security within the North Atlantic Treaty Organisation (NATO) C-M(2002)49) és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe vételével. 2004. 07. 19. 0.91 verzió 20
Bevezetés 1. Az informatikai biztonság Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki kell, hogy terjednek (teljes körűség), és valamennyi releváns fenyegetést figyelembe kell venniük (zártság). A folytonos védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti, hogy egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockázatok elviselhető szintre kerülnek. Ezt az arányt, mint a védelem erősségének is szokták nevezni. A kockázatarányosság megértéséhez fontos, hogy az elmaradt haszon az veszteség gazdasági alaptétel mintájára az elmaradt kár az haszon tételt is értelmezzük, vagyis azt, hogy a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan bekövetkező károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági értelemben sem tekinthetők pénzkidobásnak. 2. Miért van szükség az informatikai biztonságra? Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentős üzleti értéket, vagyont képeznek, olyan kiemelt jelentőségű erőforrások, amelyek semmi mással nem helyettesíthető. A szervezetek, valamint informatikai rendszereik és hálózataik egyre gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, vandalizmussal, tűzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számítógépes változata a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számí- 2004. 07. 19. 0.91 verzió 21
tógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezető támadások egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerőbbek és egyre bonyolultabbak. A szervezetek hatékony vezetése és rendeltetés szerinti működtetése csak a szükséges információ birtokában valósítható meg. Ha az információ nem férhető hozzá, elvész vagy illetéktelen kezekbe jut, az jelentős anyagi és erkölcsi károkat okozhat, ezért védeni kell. Az elmúlt években igen jelentős változások történtek az információ megjelenési formáját illetően. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumentumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépeket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselő információ tömeg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektől és informatikai szolgáltatásoktól való függőség a biztonsági fenyegetésekkel szemben még sérülékenyebbé, még sebezhetőbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erőforrások megosztása nagyon megnehezíti a hozzáférések ellenőrzését. Az osztott feldolgozás tendenciája, iránya jelentősen meggyengítette a szakértői központi ellenőrzés hatékonyságát. Igen sok informatikai rendszert egyszerűen nem biztonságosra terveztek. Csak műszaki eszközökkel kizárólag korlátozott biztonság érhető el, éppen ezért kell azt megfelelő vezetési és irányítási módszerekkel támogatni. Az információbiztonság megteremtésének kiindulópontját az információ minősítése és az érvényes szabályozók képezik. Ezért olyan átlátható és lehetőség szerint mindenre kiterjedő, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környezetet kell kialakítani, amelyben az információbiztonság bármely szervezetben az érvényes jogi szabályozók alapján megteremthető. A biztonság megteremtéséhez nem elegendő a megfelelő szabályozás kialakítása, hanem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is szükség van, hiszen az információbiztonság különböző, de szorosan összetartozó szakterületeit művelő szakembereinek, akik közös irányítás alatt, közös célok érdekében ugyanazon feladatok összetartozó részeit közösen kell, hogy megoldják, azonos szervezeti egységhez kell tartozniuk. A megfelelő biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthető a számítógépen készített és tárolt minősített irat illetéktelen megismerésének valószínűsége, valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép 2004. 07. 19. 0.91 verzió 22
által automatikusan és folyamatosan tárolt feljegyzések alapján a biztonságot sértő eseménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki, mikor, milyen módszerrel fért hozzá az adatokhoz. Ez kizárólag a védelem szakszerű megvalósítása esetén lehetséges, amely speciális, az informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erőforrásokat. Ennek hiányában a számítógépeken digitális állapotú információk megismerése nyomtalanul végrehajtható, és a további erőfeszítések a kinyomtatott, papíralapon megjelenő iratok védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok megfelelő védelmét. Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nemzeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi helyzet áttekintése alapján jogszabályi szintű elektronikus információvédelmi szabályozás kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintő változtatásokra, a bevezetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra. Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény módosításával (a továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek következtében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen szabályozott védelméről nem beszélhetünk. A számítógépek használata komoly veszélyeket hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellő figyelmet. A Ttv. 1995- ben jelent meg, amikor a kérdés jelentősége még sokkal kisebb volt, és a jogszabályalkotó azóta is adós az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jogszabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minősített adat kezelésének rendjéről) nem követték a tényleges technikai fejlődést és az egyre növekvő mértékben megjelenő biztonsági kockázatokra nem adtak releváns választ, ezért a valós veszélyekre való tekintettel az egyes szervezetek öntevékenyen kezdték el szabályozni ezt a területet, így jelenleg sokféle, különböző szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben (ha egyáltalán van). Az esetlegesen létező szabályozókkal az egyik legnagyobb probléma az, hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végző szerv szabályozza és ellenőrzi. Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonságpolitikáját, belső szabályzóit. Ennek három fő forrása ismert: 2004. 07. 19. 0.91 verzió 23
A követelmények első forrását abból lehet nyerni, ha a szervezet minden kockázatát felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez u- tóbbiak bekövetkezésének valószinűségét, és megbecsüli a lehetséges, várható károkat. A második forrást azok a törvényi, szabályozási és szerződési követelmények alkotják, amelyeket a szervezetnek és partnereinek kell kielégíteni. A harmadik forrást azok az információfeldolgozási alapelvek, célkitűzések és követelmények alkotják, amelyeket a szervezet saját működésének támogatására fejlesztett ki. 2004. 07. 19. 0.91 verzió 24
1. ALKALMAZÁSI TERÜLET Ez az ajánlás azoknak ad segítséget az informatikai biztonság szervezeti szintű kezeléséhez, akik saját szervezetükben a biztonság kezdeményezéséért, megvalósításáért és megtartásáért felelnek. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Felhívjuk a figyelmet, hogy a változó viszonyok között a mindenkori hatályos jogszabályok keretei között kell alaklmazni ezt az ajánlást. Az ajánlás célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó olyan hazai előírások biztosítása az informatikai biztonságának megteremtéséhez, amelyek bizalmat teremthetnek a különböző szervezetek között az informatikai rendszerek biztonságát illetően. 2004. 07. 19. 0.91 verzió 25
2. FOGALMAK ÉS MEGHATÁROZÁSOK 2.1. Az informatikai biztonság Informatikai biztonság: Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Egyszerűsítve: az informatikai rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelme. Bizalmasság: Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. Sértetlenség: Az adat tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes, és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik. Rendelkezésre állás: Az informatikai rendszerelem ide értve az adatot is tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a szükséges időben és időtartamra használható. Zárt védelem: Zárt a védelem, ha az az összes releváns fenyegetést figyelembe veszi. 2004. 07. 19. 0.91 verzió 26
Teljes körű védelem: Teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed. Folytonos védelem: Folytonos a védelem, ha az az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul. Kockázattal arányos védelem: A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel. 2.2. Kockázatelemzés Az információ és az információfeldolgozó eszközök gyenge pontjainak, fenyegetéseinek (veszélyeztetettségének, sérülékenységének, befolyásolhatóságának), valamint a fenyegetésekből által okozható károk, és ezek bekövetkezése valószínűségének a becslése (kockázatbecslés) vagy felmérése (kockázatelemzés). A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát. A kockázatot, mint elvont fogalmat szokták alkalmazni, ám az formálisan is definiálható: 2004. 07. 19. 0.91 verzió 27
r = ( p t d ) t t T ahol: r: a kockázat [Ft/év], T: a releváns fenyegetések halmaza, p t : egy adott kockázat bekövetkezésének gyakorisága (valószínűsége) [1/év], d t : egy adott kockázat bekövetkezéséből származó kár [Ft]. A kockázat mértékegységekkel is kifejezhető, de nem mindig mint pontos időarányos összeg kerül meghatározásra, hanem gyakran valamilyen osztályzatként, amely a kockázat nagyságrendjét, elviselhető vagy nem elviselhető nagyságát mutatja. Bármilyen kockázatelemzési tevékenység megkezdése előtt a szervezetnek stratégiával kell rendelkeznie az ilyen elemzésekhez és ennek összetevőit (eljárások, technikák stb.) dokumentálni kell az informatikai biztonságpolitikában. A kockázatelemzési eljárás eszközeit és kritériumait az adott szervezet számára kell megválasztani. A kockázatelemzési stratégiának biztosítania kell, hogy a választott megközelítés alkalmazható az adott környezetre és ott fókuszál a biztonsági erőfeszítésekre, ahol az valóban szükséges. Az alábbiakban négy különböző kockázatmenedzsment megközelítést mutatunk be. Az alapvető különbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel általában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfajta egyensúlyt kell tartani a megközelítések között. Eltekintve a semmittevés lehetőségétől és elfogadva azt, hogy jelentős számú ismeretlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvető megközelítés van a szervezeti kockázatelemzési stratégiák területén: a) Ugyanannak az alapszintű megközelítésnek a használata minden informatikai rendszerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfogadjuk, hogy az adott szintű biztonság nem mindig megfelelő. b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve, 2004. 07. 19. 0.91 verzió 28
c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai rendszerre, d) Egy kezdeti, magas szintű kockázatelemzés kivitelezése, annak meghatározására, hogy mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a szervezet működésére nézve, majd ezt követően egy részletes kockázatelemzés ezekre a rendszerekre, a többiekre pedig az alapszintű megközelítés használata. Ezeket a különböző lehetőségeket ismertetjük az alábbiakban és javaslatokat fogalmazunk meg az ajánlott megközelítéssel kapcsolatban. Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható következményeivel. Míg ez nem igényel időt, pénzt, személyzetet vagy egyéb erőforrásokat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy rendszerei nem kritikus jellegűek súlyos következményeknek teheti ki magát. A szervezet lehet, hogy nincs összhangban a jogi és egyéb szabályozásokkal, valamint a megbecsülése szervezhet csorbát, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen biztonsági intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot érintő célja van vagy nincs kritikus informatikai rendszere, ez egy megvalósítható stratégia lehet. Bár a szervezet abban a pozícióban maradt, hogy nem tudja milyen jó vagy rossz valójában a helyzet és a legtöbb esetben ez valószínűleg nem jó megoldás. Alapszintű megközelítés Első választási lehetőségként egy szervezet alkalmazhat alapszintű biztonságot minden informatikai rendszerére a biztosítékok megfelelő megválasztásával. E megközelítésnek jelentős számú előnye van: a) csak minimális mennyiségű erőforrás szükséges a kockázatelemzéshez és kezeléshez az egyes biztosítékok alkalmazásakor és ezért kevesebb idő és erőfeszítés kell a biztosítékok kiválasztásához. b) Az alapszintű biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy hasonló alapszintű biztosítékokat lehet számos rendszerben alkalmazni különösebb erőfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és amennyiben a biztonsági igények összemérhetők. E megközelítés hátrányai a következők: 2004. 07. 19. 0.91 verzió 29
a) ha az alapszint túl magasra lett beállítva, túlzott szintű biztonság alakul ki egyes rendszerekben, b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes rendszerekben és ez megnöveli a kockázatoknak való kitettséget, c) problémák jelentkezhetnek a biztonságot érintő változások kezelésében. Például, ha a rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintű biztosítékok még mindig elegendőek. Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági követelményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális védelmet érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetettsége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása minden rendszerre. Informális megközelítés Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális megközelítés nem strukturált módszereken alapul, de kihasználja a szakértők tudását és tapasztalatát. E megközelítés előnyei: a) általában nem igényel sok időt és erőforrást. Nincs szükség további képességek megtanulására az informális elemzéshez és gyorsabban kivitelezhető, mint a részletes elemzés. A megközelítés a következő hátrányokkal bír: a) formális megközelítés és alapos ellenőrző listák nélkül megnő a fontos részletek kihagyásának valószínűsége, b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes lehet, c) kevés megelőző gyakorlattal rendelkező személyek a kockázatelemzés során kevés segítséget tudnak nyújtani, 2004. 07. 19. 0.91 verzió 30
d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosítékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették volna, hogy van-e egyáltalán valószínűsíthető fenyegetés, amely kihasználhatja ezeket a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra, e) a szubjektivitás megjelenésének lehetősége, különösen az interjú készítőjének előítéletei befolyásolhatják az eredményeket, f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végző személy elhagyja a szervezet. A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthető hatékonynak. Részletes kockázatelemzés A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes kockázatelemzés képezi. A részletes kockázatelemzés az értéket képező eszközök mélységben történő azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzéséhez majd a megfelelő biztosítékok kiválasztásához használjuk. Ezen megközelítés előnyei a következők: a) valószínűleg minden informatikai rendszer számára megfelelő biztosítékok kerülnek azonosításra, b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások kezelésében. Ezen megközelítés hátrányai a következők: a) jelentős időt és erőfeszítést, valamint szakértelmet igényel, b) fennáll a lehetősége annak, hogy a kritikus rendszerek biztonsági igényei túl későn kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességű és mennyiségű időt igénylő vizsgálata szükséges a teljes elemzéshez. Ezért nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rendszerre, ha ezt a megközelítést választjuk a következő lehetséges kivitelezési módok léteznek: a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket, 2004. 07. 19. 0.91 verzió 31
b) egy standard megközelítés alkalmazása a szervezetnek megfelelő különböző módokon kockázatmodellező technikák alkalmazása előnyös lehet sok szervezet számára. Kombinált megközelítés A negyedik lehetőség először magas szintű kockázatelemzést kell végezni minden informatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb informatikai rendszerre az alapszintű megközelítést kell alkalmazni. Ez a megközelítés az előzőek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azonosításához szükséges idő és erőforrások tekintetében, miközben biztosítja a magas kockázatnak kitett rendszerek megfelelő védelmét. E megközelítés további előnyei a következők: a) a kezdeti gyors és egyszerű megközelítés nagy valószínűséggel megkönnyíti a kockázatelemzési program elfogadását, b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról, azaz ez egy jó tervezési segítséget ad, c) a követő tevékenységek sokkal eredményesebbek lesznek. Az egyetlen lehetséges hátrány a következő: a) mivel a kezdeti kockázatelemzés magas szintű és esetleg kevésbé pontos néhány rendszer nem biztos, hogy a megfelelő szintű kockázatokkal lesz azonosítva. Ezek a rendszerek az alapszintű módszer szerint lesznek elemezve, bár a későbbiekben vissza lehet térni és újra elemezni, hogy az alapszintű megközelítésnél több is szükséges-e. A magas szintű kockázatelemzési megközelítés egyesítve az alapszintű megközelítéssel és ahol az alkalmazható, a részletes kockázatelemzéssel a szervezetek többsége számára a leghatékonyabb előremutató megoldást jelenti. 2004. 07. 19. 0.91 verzió 32
2.3. Kockázatkezelés Azoknak a biztonsági kockázatoknak az elfogadható/méltányos költségen történő azonosítása/meghatározása, ellenőrzése/kézbentartása, minimalizálása vagy megszüntetése, amelyek hatással lehetnek információrendszerekre. Védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a maradványkockázat elviselhető szintűre változnak. 2004. 07. 19. 0.91 verzió 33
3. BIZTONSÁGPOLITIKA 3.1. Az informatikai biztonság dokumentumai Az informatikai biztonságpolitika célja a vezetés elkötelezettségének bemutatása az informatikai biztonság irányítására és támogatására. A vezetőség egyértelműen tűzze ki biztonságpolitikájának irányvonalát, egyértelműen mutassa be, hogy támogatja az informatikai biztonság céljait és elveit, elkötelezett az informatikai biztonság mellett. 3.1.1. Az informatikai biztonságpolitika A biztonsági célú tevékenységekhez szükséges megfelelő mértékű támogatás biztosítása érdekében az informatikai biztonságpolitikát a felső vezetésnek kell kiadmányozni (jóváhagyni), és a szükséges mértékben közzétenni. Az informatikai biztonságpolitikát úgy kell kialakítani és gondozni, hogy az a szervezet egyéb céljaival, továbbá működési, biztonsági és informatikai politikájával, valamint a biztonsági szabályozásokkal összhangban legyen. Az informatikai biztonságpolitikát jelentősen befolyásolja az, hogy a szervezet miként alapozza működését az általa használt informatikára. Minél fontosabb az informatika és minél inkább támaszkodunk rá, annál magasabb szintű biztonságra van szükség ahhoz, hogy garantáljuk a szervezet céljainak elérését. A szervezeti szintű informatikai biztonságpolitika kialakításakor figyelembe kell venni a környezeti, szervezeti és kulturális jellemzőket, mivel ezek befolyásolhatják a biztonság megközelítését. Az informatikai biztonságpolitikában meghatározott, biztonsághoz kapcsolódó tevékenységek a következőkre alapozhatók: szervezeti célok és stratégia, korábbi kockázatfelmérések és vezetői ellenőrzések, valamint olyan kísérő tevékenységek eredményei, mint az alkalmazott biztosítékok biztonsági megfelelőségének ellenőrzése, az informatikai biztonsággal kapcsolatos napi gyakorlat folyamatos ellenőrzése és felülvizsgálata, továbbá a biztonsági eseményekről szóló jelentések. Bármilyen komoly fenyegetés vagy gyenge pont derül ki eközben, azt figyelembe kell venni az informatikai biztonságpolitikában. A részletezett tevékenységeket a szervezet informatikai biztonsági szabályzatában, a különféle informatikai 2004. 07. 19. 0.91 verzió 34