Az informatikai biztonság irányításának követelményrendszere · Az informatikai biztonság irányításának követelményrendszere (tervezet) Ezt az ajánlást az Információs

Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlása (TERVEZET)

Az informatikai biztonság irányításának követelményrendszere

(IBIK)

0.91 verzió

2004.

Az informatikai biztonság irányításának követelményrendszere (tervezet)

K é s z í t e t t e :

Déri Zoltán,

Lobogós Katalin,

Muha Lajos,

Snéé Péter,

Váncsa Julianna PhD.

S z e r k e s z t ő :

Muha Lajos

Copyright © 2004

Déri Zoltán, Lobogós Katalin, Muha Lajos, Snéé Péter, Váncsa Julianna

2004. 07. 19. 0.91 verzió 2


Ezt az ajánlást az Információs Társadalom Koordinációs Tárcaközi Bizottság

2004. szeptember …-i ülésén ajánlásként fogadta el az informatikai biztonság szervezeti

szintű kezeléséhez. Célja a szervezetek részére egységes elveken nyugvó, a nemzetközi

szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása az informatikai

biztonságának megteremtéséhez. A követelményrendszer átfogó tájékoztatást ad a szervezetek

vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről.

Változáskezelés Verziószám Dátum A változás leírása

0.9 2004. 05. 20. Kiinduló munkaanyag. 0.91 (jelen verzió) 2004. 07. 19. A BME IK és más szakvélemények alapján javított változat.0.95 (tervezet) 2004. 09. 10. A beérkező vélemények alapján átdolgozott változat. 1.0 (tervezet) 2004. 10. 15. Nyilvánosságra hozandó első kiadvány.

(Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.)

2004. 07. 19. 0.91 verzió 3


TARTALOM

Előszó ....................................................................................................................................... 13

Előzmények....................................................................................................................... 13

Az IBIK alapjai ................................................................................................................. 18

Bevezetés.................................................................................................................................. 21

1. Alkalmazási terület............................................................................................................ 25

2. Fogalmak és meghatározások ........................................................................................... 26

2.1. Az informatikai biztonság ..................................................................................... 26

2.2. Kockázatelemzés ................................................................................................... 27

2.3. Kockázatkezelés .................................................................................................... 33

3. Biztonságpolitika............................................................................................................... 34

3.1. Az informatikai biztonság dokumentumai ............................................................ 34

3.1.1. Az informatikai biztonságpolitika........................................................... 34

3.1.2. Az informatikai biztonsági stratégia ....................................................... 36

3.1.3. Az Informatikai Biztonsági Szabályzat................................................... 36

3.2. Felülvizsgálat és fejlesztés .................................................................................... 37

4. Szervezeti Biztonság ......................................................................................................... 38

4.1. Az informatikai biztonság szervezeti struktúrája .................................................. 38

4.1.1. Informatikai Biztonsági Fórum............................................................... 41

4.1.2. Az informatikai biztonsági feladatok megosztása................................... 42

4.1.2.1. Biztonsági Vezető .............................................................. 42

4.1.2.2. Informatikai Biztonsági Vezető ......................................... 43

4.1.3. Az adatfeldolgozás engedélyezési eljárásai ............................................ 45

4.1.4. Informatikai biztonsági tanácsadás ......................................................... 45

4.1.5. Együttműködés külső szervezetekkel ..................................................... 46

4.1.6. Az informatikai biztonság független felülvizsgálata............................... 46

4.2. Előírások a külső személyek által történő hozzáférésekkel kapcsolatban ............ 47

2004. 07. 19. 0.91 verzió 4


4.2.1. A külső személyek által történő hozzáférések kockázatai ...................... 48

4.2.1.1. A hozzáférések típusai ....................................................... 48

4.2.1.2. A hozzáférések engedélyezési feltételei ............................ 48

4.2.1.3. Helyszíni tevékenységet végző külső személyek .............. 49

4.2.2. Informatikai biztonsági követelmények a harmadik személlyel kötött

szerződésekben........................................................................................ 50

4.3. Vállalkozásba adás ................................................................................................ 51

4.3.1. Előírások a vállalkozásba adási szerződésekben..................................... 51

5. Az eszközök biztonsági besorolása és ellenőrzése............................................................ 54

5.1. Számadási kötelezettségek az eszközökkel kapcsolatban ..................................... 54

5.1.1. Készlet leltár............................................................................................ 55

5.2. Az adatok biztonsági osztályozása ........................................................................ 56

5.2.1. Az osztályozás irányelvei........................................................................ 56

5.2.2. Az adatok minősítése, címkézése és kezelése......................................... 61

6. Személyi biztonság............................................................................................................ 62

6.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban ......................... 62

6.1.1. Informatikai biztonsági követelmények érvényesítése a munkaköri

leírásokban .............................................................................................. 62

6.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika .............. 63

6.1.3. Titoktartási nyilatkozatok........................................................................ 63

6.1.4. A foglalkoztatás feltételei ....................................................................... 64

6.2. Felhasználói képzés............................................................................................... 65

6.2.1. Az informatikai biztonsági oktatás és képzés ......................................... 65

6.3. Biztonsági és üzemzavarok kezelése..................................................................... 68

6.3.1. Biztonsági események jelentése.............................................................. 71

6.3.2. Biztonsági rendszerek hiányosságainak jelentése................................... 72

6.3.3. Programhibák jelentése ........................................................................... 73

6.3.4. Okulás véletlen eseményekből ................................................................ 73

6.3.5. Fegyelmi eljárás ...................................................................................... 73

2004. 07. 19. 0.91 verzió 5


7. Fizikai és környezeti biztonság ......................................................................................... 74

7.1. Biztonsági szegmensek.......................................................................................... 74

7.1.1. Biztonsági határok................................................................................... 75

7.1.2. A beléptetés fizikai eszközei ................................................................... 75

7.1.3. Létesítmények és helyiségek biztonsága................................................. 75

7.1.4. Munkavégzés a biztonsági szegmensekben ............................................ 76

7.1.5. A kiszolgáló területek és raktárak biztonsági elkülönítése ..................... 77

7.2. A berendezések fizikai védelme............................................................................ 79

7.2.1. A műszaki berendezések elhelyezése és védelme................................... 84

7.2.2. Energiaellátás .......................................................................................... 85

7.2.3. A kábelezés biztonsága ........................................................................... 86

7.2.4. A berendezések karbantartása ................................................................. 87

7.2.5. A telephelyen kívüli berendezések védelme ........................................... 87

7.2.6. A berendezések biztonságos tárolása és újra felhasználása .................... 88

7.3. Általános védelmi intézkedések ............................................................................ 89

7.3.1. Adattárolási és képernyő-kezelési irányelvek......................................... 89

7.3.2. Eszközök kivitele .................................................................................... 90

7.3.3. Informatikai eszközök újrahasznosítása.................................................. 90

7.3.4. Adathordozók megsemmisítése .............................................................. 91

7.3.5. Hang-, kép- és adatrögzítő eszközök használata..................................... 91

8. Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje......................... 93

8.1. Üzemeltetési eljárások és feladatok ...................................................................... 93

8.1.1. Az üzemeltetési eljárások dokumentációja ............................................. 93

8.1.2. Változásmenedzsment és ellenőrzés az üzemeltetés során ..................... 94

8.1.3. Váratlan események kezelési eljárásai .................................................... 94

8.1.4. A feladatkörök biztonsági szétválasztása................................................ 96

8.1.5. A fejlesztési és az üzemeltetési feladatok szétválasztása........................ 96

8.1.6. Külső létesítmények üzemeltetése .......................................................... 98

8.2. IT rendszerek tervezése és átvétele ....................................................................... 99

2004. 07. 19. 0.91 verzió 6


8.2.1. Kapacitástervezés.................................................................................... 99

8.2.2. A rendszer átvétele.................................................................................. 99

8.3. Védelem rosszindulatú programok ellen............................................................. 101

8.3.1. A rosszindulatú programokat ellenőrző eszközök ................................ 102

8.3.1.1. A vírusvédelmi rendszer kialakítása és működtetése....... 104

8.4. Operátori tevékenységek ..................................................................................... 107

8.4.1. Az adatmentések tartalék példányai...................................................... 107

8.4.2. Operátori naplók.................................................................................... 108

8.4.3. Az üzemzavarok naplózása ................................................................... 109

8.5. Hálózatmenedzsment........................................................................................... 110

8.5.1. Hálózati ellenőrző eszközök ................................................................. 110

8.6. Az adathordozók biztonságos kezelése ............................................................... 111

8.6.1. Hordozható adathordozók kezelése....................................................... 111

8.6.2. Az adathordozók tárolása ...................................................................... 112

8.6.3. Adatkezelési eljárások........................................................................... 112

8.6.4. Az IT rendszer dokumentációjának biztonsága .................................... 113

8.7. Adatok és programok cseréje .............................................................................. 116

8.7.1. Megállapodások az adatok és programok cseréjéről............................. 117

8.7.2. Adathordozók szállítása ........................................................................ 117

8.7.3. Az elektronikus kereskedelem biztonsága ............................................ 118

8.7.4. Az elektronikus levelezés biztonsága.................................................... 119

8.7.4.1. Biztonsági kockázatok ..................................................... 119

8.7.4.2. Az elektronikus levelezés irányelvei ............................... 119

8.7.5. Irodaautomatizálási rendszerek biztonsága........................................... 121

8.7.6. Nyilvános rendszerek ............................................................................ 122

8.7.7. Az adatcsere egyéb formái .................................................................... 122

9. Hozzáférés menedzsment................................................................................................ 124

9.1. A hozzáférés ellenőrzés üzleti követelményei .................................................... 124

9.1.1. Irányelvek és üzleti követelmények ...................................................... 125

2004. 07. 19. 0.91 verzió 7


9.1.1.1. A szabályzat és az üzleti követelmények......................... 125

9.1.1.2. A hozzáférés ellenőrzés szabályai ................................... 126

9.1.1.3. Külső fél hozzáférése....................................................... 127

9.2. A felhasználói hozzáférés menedzsmentje.......................................................... 128

9.2.1. A felhasználó bejelentkezése ................................................................ 128

9.2.2. A jogosultságok kezelése ...................................................................... 130

9.2.3. A felhasználói jelszavak kezelése ......................................................... 132

9.2.4. A felhasználó hozzáférési jogosultságainak ellenőrzése....................... 134

9.3. A felhasználó feladatai ........................................................................................ 135

9.3.1. Jelszó használat ..................................................................................... 135

9.3.2. Felügyelet nélküli berendezések ........................................................... 136

9.4. A hálózati szintű hozzáférések menedzsmentje .................................................. 138

9.4.1. A hálózati szolgáltatások használatának irányelvei .............................. 138

9.4.2. Kötelező hozzáférési útvonal ................................................................ 139

9.4.3. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál.......................... 140

9.4.4. Távoli munkaállomás azonosítása és hitelesítése ................................. 141

9.4.5. A távdiagnosztikai portok védelme....................................................... 141

9.4.6. A hálózatok biztonsági szegmentálása.................................................. 142

9.4.7. A hálózatra történő csatlakozások ellenőrzése...................................... 143

9.4.8. A hálózati útvonal kiválasztások ellenőrzése........................................ 143

9.4.9. A hálózati szolgáltatások biztonsága .................................................... 143

9.5. Az operációs rendszerszintű hozzáférések ellenőrzése ....................................... 144

9.5.1. Terminálok automatikus azonosítása, hitelesítése ................................ 144

9.5.2. Terminál bejelentkezési eljárások ......................................................... 144

9.5.3. A felhasználó azonosítása, hitelesítése ................................................. 145

9.5.4. Jelszómenedzsment rendszer ................................................................ 145

9.5.5. Rendszer segédprogramok használata................................................... 147

9.5.6. Támadás-riasztás ................................................................................... 147

9.5.7. Terminál időkorlát................................................................................. 147

2004. 07. 19. 0.91 verzió 8


9.5.8. Kapcsolati időkorlátozás ....................................................................... 147

9.6. Alkalmazás szintű hozzáférések vezérlése.......................................................... 148

9.6.1. Az adatelérés szabályozása ................................................................... 148

9.6.2. Érzékeny adatokat kezelő rendszer elkülönítése................................... 148

9.7. Hozzáférés a biztonsági monitoring rendszerhez és használata .......................... 149

9.7.1. Eseménynaplózás .................................................................................. 149

9.7.2. A rendszerhasználat követése ............................................................... 153

9.7.2.1. Kockázati tényezők.......................................................... 154

9.7.2.2. Az eseménynaplózás és értékelése................................... 154

9.7.3. Dátum- és időállítás............................................................................... 155

9.8. Mobil IT tevékenység, távmunka........................................................................ 156

9.8.1. Mobil IT tevékenység ........................................................................... 156

9.8.2. A távmunka végző kapcsolat a munkahellyel ....................................... 164

10. Az IT rendszerek fejlesztése és karbantartása................................................................. 165

10.1. Az IT rendszerek informatikai biztonsági követelményei .................................. 165

10.1.1. A biztonsági követelmények elemzése és meghatározása .................... 165

10.2. Biztonság a felhasználói rendszerekben.............................................................. 167

10.2.1. A bemenő adatok hitelesítése................................................................ 167

10.2.2. Az adatfeldolgozás ellenőrzése ............................................................. 168

10.2.2.1. Veszélyeztetett területek .................................................. 168

10.2.2.2. Vezérlő és ellenőrző eljárások ......................................... 169

10.2.3. Az üzenetek hitelesítése ........................................................................ 169

10.2.4. A kimenő adatok hitelesítése................................................................. 170

10.3. Kriptográfiai eszközök ........................................................................................ 171

10.3.1. A kriptográfiai eszközök alkalmazásának irányelvei............................ 171

10.3.2. Rejtjelzés 171

10.3.3. Digitális aláírás...................................................................................... 172

10.3.4. Szolgáltatások a le nem tagadhatóságra ................................................ 173

10.3.5. Kulcsmenedzsment................................................................................ 173

2004. 07. 19. 0.91 verzió 9


10.3.5.1. A kriptográfiai kulcsok védelme...................................... 173

10.3.5.2. Szabványok, eljárások, módszerek .................................. 173

10.4. Rendszerszintű adatállományok védelme ........................................................... 175

10.4.1. Az operációs rendszer ellenőrzése ........................................................ 175

10.4.2. A teszt adatok védelme ......................................................................... 176

10.4.3. A program forráskönyvtárhoz való hozzáférés ellenőrzése .................. 177

10.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban ............... 178

10.5.1. Változásmenedzsment eljárások ........................................................... 178

10.5.2. Az operációs rendszer változtatásainak ellenőrzése.............................. 179

10.5.3. Vásárolt programok változtatására vonatkozó korlátok........................ 179

10.5.4. Rejtett csatorna, trójai faló .................................................................... 179

10.5.5. A programfejlesztés kihelyezése........................................................... 180

11. Üzletmenet-folytonosság menedzsment.......................................................................... 181

11.1. Üzletmenet-folytonosság menedzsment területei................................................ 181

11.1.1. Üzletmenet-folytonosság menedzsment folyamata............................... 181

11.1.2. Az üzletmenet-folytonosság és a hatásvizsgálat ................................... 182

11.1.3. Az üzletmenet-folytonossági terv kidolgozása ..................................... 182

11.1.3.1. Katasztrófa-elhárítási terv................................................ 186

11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere .......................... 189

11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és

újraértékelése......................................................................................... 190

11.1.5.1. A tervek tesztelése ........................................................... 190

11.1.5.2. A tervek karbantartása és újraértékelése.......................... 191

12. Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak........................... 193

12.1. A jogszabályi előírások betartása ........................................................................ 193

12.1.1. A vonatkozó jogszabályok behatárolása ............................................... 193

12.1.2. Szellemi tulajdonjogok.......................................................................... 196

12.1.2.1. Szerzői jogok ................................................................... 196

12.1.2.2. Szoftver szerzői jogok...................................................... 196

2004. 07. 19. 0.91 verzió 10


12.1.3. A szervezet adatainak biztonsága.......................................................... 197

12.1.4. Személyes adatok védelme.................................................................... 198

12.1.5. A védelmi eszközökkel elkövethető visszaélések megelőzése ............. 198

12.1.6. A kriptográfiai eszközök kezelésének szabályozása............................. 199

12.1.7. A bizonyítékok gyűjtése........................................................................ 200

12.1.7.1. A bizonyítékokra vonatkozó szabályok ........................... 200

12.1.7.2. A bizonyítékok elfogadhatósága...................................... 200

12.1.7.3. A bizonyítékok minősége és hiánytalan volta ................. 200

12.2. Az informatikai biztonságpolitikának és a műszaki követelményeknek való

megfelelés............................................................................................................ 202

12.2.1. Az informatikai biztonsági előírásoknak való megfelelés .................... 202

12.2.2. A műszaki követelményeknek való megfelelés .................................... 205

12.3. Megfontolások a rendszerek biztonsági ellenőrzésére ........................................ 206

12.3.1. Rendszerauditálási óvintézkedések ....................................................... 208

12.3.2. Rendszerauditáló eszközök védelme..................................................... 208

2004. 07. 19. 0.91 verzió 11


2004. 07. 19. 0.91 verzió 12


Előszó

1. Előzmények

Az információ az innováció legfontosabb forrásává vált, jelentős részét képezve a kü-

lönböző szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok

védelme is új értelmezést nyert. Az informatika fejlődésével párhuzamosan az információk

megvédésének technológiája is mind tökéletesebb lett.

A szakemberek ráébredtek arra, hogy nem elegendő az információkat hagyományos

módszerekkel védeni, hanem magukat a számítástechnikai eszközöket kell úgy kialakítani,

hogy megfelelő védelmet biztosítsanak. Nemzetközi téren már az 1970-es évek végén megin-

dult (elsősorban az Egyesült Államokban) az informatikai biztonsági értékelés követelmény-

rendszere kidolgozására vonatkozó tevékenység. Első kézzelfogható eredménye a TCSEC1

dokumentum, vagy más néven a „Narancs Könyv” megjelenése volt, amelyben az USA Vé-

delmi Minisztériumának informatikai biztonsági követelményeit hozták nyilvánosságra – el-

sősorban – a beszállítók részére. Ezt követően több országban, például Angliában, Németor-

szágban, Franciaországban is elindult hasonló dokumentum kidolgozása. A ’80-as évek vége

felé a személyi számítógépek, a helyi és a nagy területeket átfogó hálózatok elterjedésével

mind jobban erősödött az a felismerés, hogy az informatikai biztonságra vonatkozó előírások

nemzeti szintjéről tovább kell lépni egy nemzetközi téren egyeztetett dokumentum irányába.

Az első ilyen erőfeszítés eredménye volt az ITSEC2 dokumentum 1.0 változata, amelyet Ang-

lia, Franciaország, Hollandia és Németország közösen dolgozott ki. Az ITSEC 1.2 változatát

az Európai Közösség számára kísérleti célból 1991-ben adták ki. Ezzel közel egy időben a

Nemzetközi Szabványosítási Szervezetben (ISO3) és a Nemzetközi Elektrotechnikai Bizott-

1 TCSEC = Trusted Computer System Evaluation Criteria (Biztonságos Számítógépes Rendszerek Érté-kelési Kritériumai) 2 ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési

Kritériumok) 3 ISO = International Organization for Standardization

2004. 07. 19. 0.91 verzió 13


ságban (IEC4) is elkezdődött ebben a tárgyban a munka, azonban a nemzeti szinteken addig

kidolgozott követelmények egyeztetése miatt ez viszonylag lassan haladt előre.

E probléma feloldására az Egyesült Államokban és Kanadában elkészültek az FC5, il-

letve a CTCPEC6 dokumentumok. Az FC dokumentumnak az 1993-ban az Európai Közösség

illetékes bizottságának történt bemutatása után az a határozat született, hogy az ITSEC, a

CTCPEC és az FC szerzői dolgozzanak ki egy olyan követelményrendszert, amely nemzetkö-

zileg elfogadható lesz, és az ISO/IEC számára ajánlani lehet a szabványosítási munka alapjá-

ul.

Az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával ki-

dolgozásra került a CC7 dokumentumtervezet, amely megpróbálta a korábbi ajánlások tartal-

mi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre egyedi köve-

telményeket szabni. Ez képezte az alapját az Európai Közösség ebben a tárgyban végzendő

további munkáinak, valamint az ISO/IEC-nél elvégzendő szabványosítási tevékenységnek. A

több éves munka eredményeként 1998-ban jelent meg a Common Criteria 2.0 változata. A CC

követelményrendszerének első három fejezetét ISO/IEC 15408 számon, „Common Criteria

for Information Technology Security Evaluation, version 2.0” címmel nemzetközi szabvány-

ként is kiadták.

A TCSEC, majd az ITSEC ajánlások, csak az informatikai rendszerek logikai védelmé-

vel, a biztonság funkcionális és minősítési követelményeivel foglakoznak, és nem térnek ki az

adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kér-

déseire. A CC esetében ez a szemlét alapvetően nem változik, de a biztonsági követelmények

és funkciók leírása sokkal árnyaltabb. Így lehetőség adódik pontosabb védelmi profilok

(funkciók) meghatározására, a kifejezetten biztonsági termékek, például tűzfalak mélyebb és

4 IEC = International Electrotechnical Commission)

5 FC = Federal Criteria for Information Technology Security (Az Információtechnológia Biztonságára vonatkozó

Szövetségi Kritériumok)

6 CTCPEC = Canadian Trusted Computer Product Evaluation Criteria (A Biztonságos Számítástechnikai Termé-

kek Értékelési Kritériumai Kanadában)

7 CC = Common Criteria (Közös Követelmények)

2004. 07. 19. 0.91 verzió 14


korrektebb biztonsági minősítésére, sőt elvi lehetőség van összetett informatikai rendszer biz-

tonsági értékelésére is.

Az egyes országokban megindult olyan ajánlások, követelmények fejlesztése is, ame-

lyek kifejezetten a felhasználók számára nyújtanak segítséget egy, a teljes szervezetet és min-

den rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és

ellenőrzésére. Ilyen például az Amerikai Egyesült Államokban a NIST8 Special Publication

800 sorozatának „NIST SP 800-12, An Introduction to Computer Security: The NIST

Handbook”, a német BSI9 „IT Baseline Protection Manual”, vagy a Brit Szabványügyi Hiva-

tal10 „BS 7799 Part 1, Code of practice for information security management” kiadványa. Ez

utóbbit 2000. augusztusában ISO/IEC 17799:2000 számon „Information Technology – Code

of practice for information security management” néven nemzetközi szabványként fogadták

el. (A 2. rész11 elsősorban a szervezet vezetésének szól, és a megfelelési és az ellenőrzési kö-

vetelményeket tartalmazza.) Az eddig többségében termékorientált szemlélet egy szervezeti

szintű informatikai biztonságmenedzsment központú szemlélet váltotta fel. Az ISO/IEC

17799 szabvány alapvetően abban különbözik a korábbi informatikai biztonsági ajánlásoktól,

hogy nem követelményeket ír elő, hanem – a minőségbiztosításról szóló ISO 9000 szab-

ványhoz hasonlóan – a teljes körű informatikai biztonság megteremtéséhez szükséges szerve-

zési, szabályozási szempontrendszert adja meg. A szabvány felhasználóinak a biztonsági kö-

vetelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából kell levezetniük.

Ez a szabvány már alkalmas arra, hogy a megfelelő akkreditálás és tanúsítási eljárások alkal-

mazásával lehetővé váljon a teljes informatikai rendszer értékelése és tanúsítása.

Hazánkban a rendszerváltozás után egy érdekes időszak következett be. Mint annyi más

területen az információvédelemnél is érvényesült a múlt gyors, differenciálatlan, éles és túl-

zottan leegyszerűsített tagadása, amely szerint a demokrácia szerves részét képezi az informá-

8 National Institute of Standards and Technology

9 Bundesamt für Sicherheit in der Informationstechnik

10 British Standard Institute

11 A BS 7799 második részét 2002-ben módosították az ISO 9001:2000 és az ISO 14001:1996 szabványokkal

való harmonizáció miatt. Az aktuális változat a BS 7799 Part 2:2002, Information security management systems

– Specification with guidance for use.

2004. 07. 19. 0.91 verzió 15


ciókhoz, bármely információhoz való szabad hozzájutás joga. A piaci körülmények, a privati-

záció fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban és az egyes

személyekben is, hogy olyan, hozzájuk kapcsoló információkkal, adatokkal rendelkeznek,

amelynek kizárólagos birtoklása, és folyamatos rendelkezésre állása nagyon fontos társasági,

illetve személyes érdek.

A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) „Informatikai

biztonsági módszertani kézikönyv” címet viselő, 1994-ben kiadott MeH ITB 8. számú ajánlá-

sa a brit kormány Központi Számítógép és Távközlési Ügynökség (Central Computer and

Telecommunications Agency) „CCTA Risk Analysis and Management Method” és az

északrajna-vesztfáliai kormány „Informationtechnik Sicherheitshandbuch” felhasználásával,

valamint az EU informatikai ajánlásai és a hazai jogszabályok alapján készült. A kézikönyv

célja a szervezetet az informatikai biztonsági koncepciójának kialakítására történő felkészítés

volt. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság

és a szervezet összbiztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csa-

tolt mellékletekben találhatók meg. A MeH ITB 8. számú ajánlását, mint az informatikai biz-

tonság – CRAMM alapú – kockázatelemzési módszertanát a közigazgatás területén kívül is

elterjedten használják.

A MeH ITB kezdeményezésére 1995-ben kezdődött meg a következő hazai ajánlás ki-dolgozása, amelyet 1996. decemberére véglegesítettek, és az Informatikai Rendszerek Bizton-sági Követelményei címmel, mint a MeH ITB 12. sz. ajánlás vált de facto szabvánnyá. Az Informatikai Rendszerek Biztonsági Követelményei kidolgozásánál elsődleges szempont volt, hogy ne csak a logikai védelem előírásait tartalmazza, hanem jelenjenek meg benne az admi-nisztratív és a fizikai védelem követelményei is. A logikai védelem (hardver, szoftver, hálóza-tok) esetében az ITSEC lett adaptálva, ugyanakkor részletes követelményeket és védelmi in-tézkedéseket tartalmaz az informatikai biztonság adminisztratív és a fizikai védelem területei-re, a szervezeti, személyi és fizikai biztonság kérdéseire is. A gazdasági élet számos szereplője a saját biztonsági politikája kialakításakor figyelembe vette a 12. sz. ajánlást, több esetben a mai napig is belső szabályzóként, követelményrendszerként használják a biztonsági követel-mények meghatározására.

Az CC feldolgozására és honosítására irányuló munka hazánkban 1997-ben kezdődött,

majd 1998-ban a MeH ITB 16. sz. ajánlásaként „Common Criteria (CC), az informatikai ter-

mékek és rendszerek biztonsági értékelésének módszertana” címen, mint a Common Criteria

1.0 változatának hazai feldolgozása kiadásra került.

2004. 07. 19. 0.91 verzió 16


A Magyar Szabványügyi Testület 2002. évben magyar szabványként kiadta „Az infor-

matikai biztonságértékelés közös szempontjai” címen az ISO/IEC 15408, „Az informatikai

biztonság menedzsmentjének eljárásrendje” címen az ISO/IEC 17799 szabványokat, és jelen-

leg előkészítés alatt áll az ISO/IEC TR 13335 első és második részének magyar kiadása.

Természetesen az informatikai biztonság területén számos egyéb szabvány és ajánlás is

létezik, például az:

- ISO/IEC 9796 a digitális aláírás,

- ISO/IEC 9797 az üzenethitelesítés,

- ISO/IEC 13888 a letagadhatatlanság,

- ISO/IEC 15816 a hozzáférés-ellenőrzés,

- ISO/IEC 18014 az időbélyegzés,

- ISO/IEC 18028 a hálózatbiztonság,

- ISO/IEC 18033 a rejtjelzés (titkosítás),

- ISO/IEC 19790 a kriptográfiai modulok biztonsági követelményei

témájában került kiadásra.

2004. 07. 19. 0.91 verzió 17


2. Az IBIK alapjai

Az informatikai biztonság kérdésével számos szabvány és ajánlás foglakozik. Gyakran

hivatkoznak ezen területen az ITIL12-re és a COBIT13-ra. Az ITIL, „Az informatikaszolgálta-

tás módszertana” egy az informatika, mint szolgáltatás egészére kiterjedő, nemzetközileg

széles körben elfogadott dokumentum. Az ITIL-ben a biztonságirányítás, bár önálló folyamat,

amennyire csak lehetséges, integrálódik a többi folyamatba. Az ITIL Biztonságirányítás

(Security Management) kötete a BS7799 szabványt használja hivatkozásként, amikor a létező

ITIL folyamatokat bővíti a biztonságirányítással. A COBIT az információrendszer ellenőrök

12 ITIL = IT Infrastructure Library

Az ITIL kezdetben brit szabvány (BS 15000) és kormányzati ajánlás volt, a közigazgatási területen általában

megkövetelték az alkalmazását. Mivel a gyakorlati alkalmazás tapasztalatai kedvezőek voltak, a módszertant a

piaci környezetben is egyre inkább használni kezdték. Az ITIL-t egyre inkább használni kezdték a szigetorszá-

gon kívül is. Egyre több országban alakultak helyi Fórumok, ezek összefogására létrejött az IT Service

Management Forum International, amely a nemzeti fórumokon keresztül egyrészt segítette az ITIL terjedését,

másrészt ügyelt arra, hogy az egységes maradjon. Az ITIL mára „de facto” nemzetközi szabvánnyá vált, amely-

nek több országban működik felhasználói szervezete, meghatározó módszertanná vált az informatikai infrastruk-

túra és informatikaszolgáltatás irányítása területén. Az ITIL-t számos nemzetközi informatikai cég is elfogadta

és támogatja, így például a Hewlett Packard, Microsoft, IBM stb. Ezek a cégek saját gyakorlatukba beépítették

az ITIL terminológiáját és megközelítését. Sok szolgáltató, amely támogató szoftver eszközöket kínál, igyekszik

azokat ITIL konformmá tenni, hogy ezzel is javítsa piaci pozícióját.

A MeH ITB Infrastrúktura menedzsment címen 15. számú ajánlásaként kiadta. A 3.1 verziót a Széchenyi-terv

támogatásával 2002. novemberében honosították.

13 COBIT = Control Objectives for Information and Related Technology

Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellenőrzésével és Vizsgálatával

foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related

Technology (Információ.technológiai Kontroll Irányelvek) támogatói elsősorban azzal a céllal dolgozták ki az

Összefoglaló áttekintés, a Keretrendszer, az Ellenőrzési irányelvek, a Vezetői útmutató, az Auditálási útmutató és

az Alkalmazási módszerek elnevezésű kiadványokat (együttesen a Termék.), hogy forrásanyagot biztosítnak az

ellenőrzési szakemberek számára. A COBIT üzleti folyamatokra helyezi a fő hangsúlyt, és az ezeket támogató

informatikai folyamatokhoz kapcsolódóan, amelyek négy területre öszpontosít: tervezés és szervezet; beszerzés

és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet.

2004. 07. 19. 0.91 verzió 18


egy nemzetközileg is ismert és elfogadott, az informatikai rendszerek szervezéséhez, és külö-

nösen az ellenőrzéséhez szükséges irányelveket tartalmazó dokumentum. A biztonság kérdé-

sére nagy hangsúlyt fektet, de részleteiben nem foglalkozik a kérdéssel.

A már említett ISO/IEC 15408 szabvány elsősorban technikai jellegű, főleg az informa-

tikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket,

eljárásokat biztosít az informatikai eszközök biztonsági minősítésére. Nem tartalmaz ugyan-

akkor megfelelően, részletesen kidolgozott követelményeket az informatikai rendszereket

üzemeltető, felhasználó szervezetek számára.

Az informatikai biztonság területén egyre többen használják az ISO/IEC TR 13335 –

Guidelines for the Management of IT Security14 (GMITS) műszaki beszámoló. Az ISO/IEC

TR 13335 nem szabvány, annak ellenére, hogy a Nemzetközi Szabványosítási Szervezet és a

Nemzetközi Elektrotechnikai Bizottság szabványsorozatának részeként került kiadásra, de

„Technical Report”-ként, ami ebben az esetben a megoldási lehetőségek leírását jelenti, és ezt

csak akkor vizsgálják felül, ha az abban foglaltak már nem érvényesek, vagy már nincsenek

használatban. Az ISO/IEC TR 13335 öt részből áll:

1. Az informatikai biztonság koncepciója és modellje (Concepts and models for IT Security),

2. Az informatikai biztonság irányítása és tervezése (Managing and planning IT Security),

3. Az informatikai biztonság irányításának megoldásai (Techniques for the Management of

IT Security),

4. A védelmi eljárások kiválasztása (Selection of Safeguards),

5. Hálózatbiztonsági megoldások (Safeguards for External Connections).

14 Segédlet az informatikai biztonság irányításához

2004. 07. 19. 0.91 verzió 19


Az ISO/IEC 17799 szabvány nem csak azért kiemelt fontosságú, mert a teljes szervezet-

re vonatkozó, az összes rendszerelem csoportot átölelő informatikai biztonsági követelmé-

nyeket és védelmi intézkedéseket tartalmazza, de a különböző nemzeti dokumentumok közül

ez vált nemzetközi szabvánnyá, és emellett a „de facto” nemzetközi szabvánnyá vált ITIL is

ezt használja hivatkozási alapként. Az ISO/IEC 17799 szabványt – bár kritikák is érik – a

világ, és különösen az Európai Unió mind több országában fogadják el a különböző szerveze-

tek informatikai rendszerük biztonságának alapjaként. Ezért is döntött úgy az Informatikai és

Hírközlési Minisztérium, hogy a jelen követelményrendszernek ez a nemzetközi szabvány

képezze az alapját, az ISO/IEC TR 13335 szabvány, továbbá a NATO (Security within the

North Atlantic Treaty Organisation (NATO) – C-M(2002)49) és az Európai Unió (Európai

Unió Tanácsának Biztonsági Szabályzata (2001/264/EK) releváns szabályozásai figyelembe

vételével.

2004. 07. 19. 0.91 verzió 20


Bevezetés

1. Az informatikai biztonság

Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő

mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértet-

lensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal

arányos.

A biztonság alapelve, hogy a védelmi intézkedéseknek a rendszer összes elemére ki

kell, hogy terjednek (teljes körűség), és valamennyi releváns fenyegetést figyelembe kell

venniük (zártság). A folytonos védelem az időben változó körülmények és viszonyok ellené-

re is megszakítás nélkül megvalósul. A kockázattal arányos védelem alkalmazása azt jelenti,

hogy egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kár-

értékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezáltal a kockáza-

tok elviselhető szintre kerülnek. Ezt az arányt, mint a védelem erősségének is szokták nevez-

ni. A kockázatarányosság megértéséhez fontos, hogy „az elmaradt haszon az veszteség” gaz-

dasági alaptétel mintájára „az elmaradt kár az haszon” tételt is értelmezzük, vagyis azt, hogy

a kár az veszteség, és a veszteség elkerülése haszonként fogható fel, azaz a potenciálisan be-

következő károk elkerülésére tett védelmi intézkedések (biztonsági beruházások) gazdasági

értelemben sem tekinthetők pénzkidobásnak.

2. Miért van szükség az informatikai biztonságra?

Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentős

üzleti értéket, vagyont képeznek, olyan kiemelt jelentőségű erőforrások, amelyek semmi más-

sal nem helyettesíthető. A szervezetek, valamint informatikai rendszereik és hálózataik egyre

gyakrabban szembesülnek igen sokféle forrásból származó biztonsági fenyegetéssel, többek

között gazdasági hírszerzéssel, ipari kémkedéssel, számítógépes csalással, szabotázzsal, van-

dalizmussal, tűzzel vagy árvízzel, de egyre nagyobb fenyegetést jelent a terrorizmus számító-

gépes „változata” – a kiberterrorizmus. A szándékos károkozások olyan formái, mint a számí-

2004. 07. 19. 0.91 verzió 21


tógépvírusok, a számítógépes betörések, vagy a szolgáltatás megtagadásra vezető támadások

egyre gyakoribbá, általánosabbá válnak, ugyanakkor egyre vakmerőbbek és egyre bonyolul-

tabbak.

A szervezetek hatékony vezetése és rendeltetés szerinti működtetése csak a szükséges

információ birtokában valósítható meg. Ha az információ nem férhető hozzá, elvész vagy

illetéktelen kezekbe jut, az jelentős anyagi és erkölcsi károkat okozhat, ezért védeni kell.

Az elmúlt években igen jelentős változások történtek az információ megjelenési formá-

ját illetően. Ma már nemcsak ismeret (személyek tudása) vagy irat (nyilvántartott dokumen-

tumok) formájában jelenik meg, hiszen a számítógépek szinte teljesen kiváltották az írógépe-

ket a papír alapú dokumentumok készítésében, így hatalmas értéket képviselő információ tö-

meg jelent meg a számítógépek adathordozóin. Az informatikai rendszerektől és informatikai

szolgáltatásoktól való függőség a biztonsági fenyegetésekkel szemben még sérülékenyebbé,

még sebezhetőbbé tesz. A nyilvános és magánhálózatok összekapcsolása, az informatikai erő-

források megosztása nagyon megnehezíti a hozzáférések ellenőrzését. Az osztott feldolgozás

tendenciája, iránya jelentősen meggyengítette a szakértői központi ellenőrzés hatékonyságát.

Igen sok informatikai rendszert egyszerűen nem biztonságosra terveztek. Csak műszaki esz-

közökkel kizárólag korlátozott biztonság érhető el, éppen ezért kell azt megfelelő vezetési és

irányítási módszerekkel támogatni.

Az információbiztonság megteremtésének kiindulópontját az információ minősítése és

az érvényes szabályozók képezik. Ezért olyan átlátható és lehetőség szerint mindenre kiterje-

dő, a szakterület fogalmait tisztázó, az érintett szakterületeket integráló szabályozási környe-

zetet kell kialakítani, amelyben az információbiztonság bármely szervezetben az érvényes jogi

szabályozók alapján megteremthető.

A biztonság megteremtéséhez nem elegendő a megfelelő szabályozás kialakítása, ha-

nem a jelenlegihez képest módosított feladatrendszerhez igazodó szervezeti struktúrára is

szükség van, hiszen az információbiztonság különböző, de szorosan összetartozó szakterülete-

it művelő szakembereinek, akik közös irányítás alatt, közös célok érdekében ugyanazon fel-

adatok összetartozó részeit közösen kell, hogy megoldják, azonos szervezeti egységhez kell

tartozniuk.

A megfelelő biztonsági rendszabályok alkalmazása mellett minimálisra csökkenthető a

számítógépen készített és tárolt minősített irat illetéktelen megismerésének valószínűsége,

valamint biztosítható, hogy számítógépes titoksértés (digitális adatlopás) esetén a számítógép

2004. 07. 19. 0.91 verzió 22


által automatikusan és folyamatosan tárolt „feljegyzések” alapján a biztonságot sértő ese-

ménnyel kapcsolatos kivizsgálást el lehessen végezni, utólag meg lehessen állapítani, hogy ki,

mikor, milyen módszerrel fért hozzá az adatokhoz.

Ez kizárólag a védelem szakszerű megvalósítása esetén lehetséges, amely speciális, az

informatikai tudástól részben elkülönült szakértelmet igényel, valamint technikai erőforráso-

kat. Ennek hiányában a számítógépeken „digitális állapotú információk” megismerése nyom-

talanul végrehajtható, és a további erőfeszítések a kinyomtatott, papíralapon megjelenő iratok

védelme érdekében a legszigorúbb ügyviteli fegyelem mellett sem érik el a kívánt célt, a titok

megfelelő védelmét.

Az elektronikus információvédelem hatékonyabbá tétele érdekében szükség van a nem-

zeti, NATO és EU követelmények és feladatok szakmailag egységes kezelésére, a jelenlegi

helyzet áttekintése alapján jogszabályi szintű elektronikus információvédelmi szabályozás

kiadására, ennek bevezetése érdekében a szervezeti struktúrát érintő változtatásokra, a beve-

zetés lehetséges ütemezésére valamint a személyzet felkészítésére vonatkozó feladatokra.

Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény módosításával (a

továbbiakban: Ttv.) kapcsolatos tárcaközi egyeztetések néhány éve húzódnak, ennek követ-

keztében a nemzeti elektronikus információ-feldolgozó és továbbító rendszerek egységesen

szabályozott védelméről nem beszélhetünk. A számítógépek használata komoly veszélyeket

hordoz, de ezekre a jelenlegi nemzeti szabályozás nem fordít kellő figyelmet. A Ttv. 1995-

ben jelent meg, amikor a kérdés jelentősége még sokkal kisebb volt, és a jogszabályalkotó

azóta is „adós” az elektronikus információvédelemre vonatkozó szabályozással. Mivel a jog-

szabályok (a Ttv., valamint a 79/1995. (VI.30.) Korm.r. a minősített adat kezelésének rendjé-

ről) nem követték a tényleges technikai fejlődést és az egyre növekvő mértékben megjelenő

biztonsági kockázatokra nem adtak releváns választ, ezért – a valós veszélyekre való tekintet-

tel – az egyes szervezetek öntevékenyen kezdték el szabályozni ezt a területet, így jelenleg

sokféle, különböző szakmai alapokon nyugvó informatikai biztonsági szabályozás van életben

(ha egyáltalán van). Az esetlegesen létező szabályozókkal az egyik legnagyobb probléma az,

hogy az informatikai biztonságot többnyire az informatikai fejlesztést-üzemeltetést végző

szerv szabályozza és ellenőrzi.

Lényeges, hogy egy adott szervezet hogyan határozza meg, azonosítja saját biztonság-

politikáját, belső szabályzóit. Ennek három fő forrása ismert:

2004. 07. 19. 0.91 verzió 23


A követelmények első forrását abból lehet nyerni, ha a szervezet minden kockázatát

felméri és a kockázatelemzés során azonosítja a gyenge pontokat és a fenyegetéseket, ez u-

tóbbiak bekövetkezésének valószinűségét, és megbecsüli a lehetséges, várható károkat.

A második forrást azok a törvényi, szabályozási és szerződési követelmények alkotják,

amelyeket a szervezetnek és partnereinek kell kielégíteni.

A harmadik forrást azok az információfeldolgozási alapelvek, célkitűzések és követel-

mények alkotják, amelyeket a szervezet saját működésének támogatására fejlesztett ki.

2004. 07. 19. 0.91 verzió 24


1. ALKALMAZÁSI TERÜLET

Ez az ajánlás azoknak ad segítséget az informatikai biztonság szervezeti szintű kezelé-

séhez, akik saját szervezetükben a biztonság kezdeményezéséért, megvalósításáért és megtar-

tásáért felelnek. A követelményrendszer átfogó tájékoztatást ad a szervezetek vezetésének és

szakembereinek az informatikai biztonsággal kapcsolatos követelményekről. Felhívjuk a fi-

gyelmet, hogy a változó viszonyok között a mindenkori hatályos jogszabályok keretei között

kell alaklmazni ezt az ajánlást.

Az ajánlás célja a szervezetek részére egységes elveken nyugvó, a nemzetközi szabvá-

nyokhoz és ajánlásokhoz igazodó olyan hazai előírások biztosítása az informatikai biztonsá-

gának megteremtéséhez, amelyek bizalmat teremthetnek a különböző szervezetek között az

informatikai rendszerek biztonságát illetően.

2004. 07. 19. 0.91 verzió 25


2. FOGALMAK ÉS MEGHATÁROZÁSOK

2.1. Az informatikai biztonság

Informatikai biztonság:

Az informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mér-

tékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértet-

lensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockáza-

tokkal arányos.

Egyszerűsítve: az informatikai rendszerekben kezelt adatok bizalmasságának, sértetlen-

ségének és rendelkezésre állásának védelme.

Bizalmasság:

Az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak is-

merhessék meg, illetve rendelkezhessenek a felhasználásáról.

Sértetlenség:

Az adat tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes,

és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.

Rendelkezésre állás:

Az informatikai rendszerelem – ide értve az adatot is – tulajdonsága, amely arra vonat-

kozik, hogy az informatikai rendszerelem a szükséges időben és időtartamra használha-

tó.

Zárt védelem:

Zárt a védelem, ha az az összes releváns fenyegetést figyelembe veszi.

2004. 07. 19. 0.91 verzió 26


Teljes körű védelem:

Teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed.

Folytonos védelem:

Folytonos a védelem, ha az az időben változó körülmények és viszonyok ellenére is

megszakítás nélkül megvalósul.

Kockázattal arányos védelem:

A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem

költségei arányosak a potenciális kárértékkel.

2.2. Kockázatelemzés

Az információ és az információfeldolgozó eszközök gyenge pontjainak, fenyegetései-

nek (veszélyeztetettségének, sérülékenységének, befolyásolhatóságának), valamint a fenyege-

tésekből által okozható károk, és ezek bekövetkezése valószínűségének a becslése (kockázat-

becslés) vagy felmérése (kockázatelemzés).

A kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az in-

formatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fe-

nyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetke-

zési gyakoriságát.

A kockázatot, mint elvont fogalmat szokták alkalmazni, ám az formálisan is definiálha-

tó:

2004. 07. 19. 0.91 verzió 27


( )∑∈

×=Tt

tt dpr

ahol: r: a kockázat [Ft/év],

T: a releváns fenyegetések halmaza,

pt: egy adott kockázat bekövetkezésének gyakorisága (valószínűsége) [1/év],

dt: egy adott kockázat bekövetkezéséből származó kár [Ft].

A kockázat mértékegységekkel is kifejezhető, de nem mindig mint pontos időarányos

összeg kerül meghatározásra, hanem gyakran valamilyen osztályzatként, amely a kockázat

nagyságrendjét, elviselhető vagy nem elviselhető nagyságát mutatja.

Bármilyen kockázatelemzési tevékenység megkezdése előtt a szervezetnek stratégiá-

val kell rendelkeznie az ilyen elemzésekhez és ennek összetevőit (eljárások, technikák stb.)

dokumentálni kell az informatikai biztonságpolitikában. A kockázatelemzési eljárás eszkö-

zeit és kritériumait az adott szervezet számára kell megválasztani. A kockázatelemzési

stratégiának biztosítania kell, hogy a választott megközelítés alkalmazható az adott kör-

nyezetre és ott fókuszál a biztonsági erőfeszítésekre, ahol az valóban szükséges. Az alábbi-

akban négy különböző kockázatmenedzsment megközelítést mutatunk be. Az alapvető kü-

lönbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel álta-

lában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre

és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfaj-

ta egyensúlyt kell tartani a megközelítések között.

Eltekintve a semmittevés lehetőségétől és elfogadva azt, hogy jelentős számú isme-

retlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvető megközelítés

van a szervezeti kockázatelemzési stratégiák területén:

a) Ugyanannak az alapszintű megközelítésnek a használata minden informatikai rend-

szerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfo-

gadjuk, hogy az adott szintű biztonság nem mindig megfelelő.

b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan

informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve,

2004. 07. 19. 0.91 verzió 28


c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai

rendszerre,

d) Egy kezdeti, magas szintű kockázatelemzés kivitelezése, annak meghatározására, hogy

mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a

szervezet működésére nézve, majd ezt követően egy részletes kockázatelemzés ezekre

a rendszerekre, a többiekre pedig az alapszintű megközelítés használata.

Ezeket a különböző lehetőségeket ismertetjük az alábbiakban és javaslatokat fogal-

mazunk meg az ajánlott megközelítéssel kapcsolatban.

Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy

elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható

következményeivel. Míg ez nem igényel időt, pénzt, személyzetet vagy egyéb erőforráso-

kat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy rendszerei

nem kritikus jellegűek súlyos következményeknek teheti ki magát. A szervezet lehet, hogy

nincs összhangban a jogi és egyéb szabályozásokkal, valamint a megbecsülése szervezhet

csorbát, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen bizton-

sági intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot

érintő célja van vagy nincs kritikus informatikai rendszere, ez egy megvalósítható straté-

gia lehet. Bár a szervezet abban a pozícióban maradt, hogy nem tudja milyen jó vagy rossz

valójában a helyzet és a legtöbb esetben ez valószínűleg nem jó megoldás.

Alapszintű megközelítés

Első választási lehetőségként egy szervezet alkalmazhat alapszintű biztonságot min-

den informatikai rendszerére a biztosítékok megfelelő megválasztásával. E megközelítés-

nek jelentős számú előnye van:

a) csak minimális mennyiségű erőforrás szükséges a kockázatelemzéshez és kezeléshez

az egyes biztosítékok alkalmazásakor és ezért kevesebb idő és erőfeszítés kell a bizto-

sítékok kiválasztásához.

b) Az alapszintű biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy

hasonló alapszintű biztosítékokat lehet számos rendszerben alkalmazni különösebb

erőfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és

amennyiben a biztonsági igények összemérhetők.

E megközelítés hátrányai a következők:

2004. 07. 19. 0.91 verzió 29


a) ha az alapszint túl magasra lett beállítva, túlzott szintű biztonság alakul ki egyes rend-

szerekben,

b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes

rendszerekben és ez megnöveli a kockázatoknak való kitettséget,

c) problémák jelentkezhetnek a biztonságot érintő változások kezelésében. Például, ha a

rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintű biztosítékok

még mindig elegendőek.

Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági köve-

telményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap

szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének

védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális védelmet

érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például

adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetett-

sége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása

minden rendszerre.

Informális megközelítés

Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális

megközelítés nem strukturált módszereken alapul, de kihasználja a szakértők tudását és

tapasztalatát.

E megközelítés előnyei:

a) általában nem igényel sok időt és erőforrást. Nincs szükség további képességek meg-

tanulására az informális elemzéshez és gyorsabban kivitelezhető, mint a részletes

elemzés.

A megközelítés a következő hátrányokkal bír:

a) formális megközelítés és alapos ellenőrző listák nélkül megnő a fontos részletek kiha-

gyásának valószínűsége,

b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes

lehet,

c) kevés megelőző gyakorlattal rendelkező személyek a kockázatelemzés során kevés

segítséget tudnak nyújtani,

2004. 07. 19. 0.91 verzió 30


d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosí-

tékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették

volna, hogy van-e egyáltalán valószínűsíthető fenyegetés, amely kihasználhatja ezeket

a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra,

e) a szubjektivitás megjelenésének lehetősége, különösen az interjú készítőjének előítéle-

tei befolyásolhatják az eredményeket,

f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végző sze-

mély elhagyja a szervezet.

A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthető

hatékonynak.

Részletes kockázatelemzés

A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes

kockázatelemzés képezi. A részletes kockázatelemzés az értéket képező eszközök mélységben

történő azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a

sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzésé-

hez majd a megfelelő biztosítékok kiválasztásához használjuk.

Ezen megközelítés előnyei a következők:

a) valószínűleg minden informatikai rendszer számára megfelelő biztosítékok kerülnek

azonosításra,

b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások

kezelésében.

Ezen megközelítés hátrányai a következők:

a) jelentős időt és erőfeszítést, valamint szakértelmet igényel,

b) fennáll a lehetősége annak, hogy a kritikus rendszerek biztonsági igényei túl későn

kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességű és

mennyiségű időt igénylő vizsgálata szükséges a teljes elemzéshez.

Ezért nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rend-

szerre, ha ezt a megközelítést választjuk a következő lehetséges kivitelezési módok léteznek:

a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket,

2004. 07. 19. 0.91 verzió 31


b) egy standard megközelítés alkalmazása a szervezetnek megfelelő különböző módokon

kockázatmodellező technikák alkalmazása előnyös lehet sok szervezet számára.

Kombinált megközelítés

A negyedik lehetőség először magas szintű kockázatelemzést kell végezni minden in-

formatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett

értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet

számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek

esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb

informatikai rendszerre az alapszintű megközelítést kell alkalmazni. Ez a megközelítés az

előzőek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azo-

nosításához szükséges idő és erőforrások tekintetében, miközben biztosítja a magas kockázat-

nak kitett rendszerek megfelelő védelmét.

E megközelítés további előnyei a következők:

a) a kezdeti gyors és egyszerű megközelítés nagy valószínűséggel megkönnyíti a kocká-

zatelemzési program elfogadását,

b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról,

azaz ez egy jó tervezési segítséget ad,

c) a követő tevékenységek sokkal eredményesebbek lesznek.

Az egyetlen lehetséges hátrány a következő:

a) mivel a kezdeti kockázatelemzés magas szintű és esetleg kevésbé pontos néhány rend-

szer nem biztos, hogy a megfelelő szintű kockázatokkal lesz azonosítva. Ezek a rend-

szerek az alapszintű módszer szerint lesznek elemezve, bár a későbbiekben vissza le-

het térni és újra elemezni, hogy az alapszintű megközelítésnél több is szükséges-e.

A magas szintű kockázatelemzési megközelítés egyesítve az alapszintű megközelítéssel

és ahol az alkalmazható, a részletes kockázatelemzéssel a szervezetek többsége számára a

leghatékonyabb előremutató megoldást jelenti.

2004. 07. 19. 0.91 verzió 32


2.3. Kockázatkezelés

Azoknak a biztonsági kockázatoknak az elfogadható/méltányos költségen történő azo-

nosítása/meghatározása, ellenőrzése/kézbentartása, minimalizálása vagy megszüntetése, ame-

lyek hatással lehetnek információrendszerekre.

Védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a ma-

radványkockázat elviselhető szintűre változnak.

2004. 07. 19. 0.91 verzió 33


3. BIZTONSÁGPOLITIKA

3.1. Az informatikai biztonság dokumentumai

Az informatikai biztonságpolitika célja a vezetés elkötelezettségének bemutatása az in-

formatikai biztonság irányítására és támogatására. A vezetőség egyértelműen tűzze ki bizton-

ságpolitikájának irányvonalát, egyértelműen mutassa be, hogy támogatja az informatikai biz-

tonság céljait és elveit, elkötelezett az informatikai biztonság mellett.

3.1.1. Az informatikai biztonságpolitika

A biztonsági célú tevékenységekhez szükséges megfelelő mértékű támogatás biztosítása

érdekében az informatikai biztonságpolitikát a felső vezetésnek kell kiadmányozni (jóváhagy-

ni), és a szükséges mértékben közzétenni.

Az informatikai biztonságpolitikát úgy kell kialakítani és gondozni, hogy az a szervezet

egyéb céljaival, továbbá működési, biztonsági és informatikai politikájával, valamint a biz-

tonsági szabályozásokkal összhangban legyen.

Az informatikai biztonságpolitikát jelentősen befolyásolja az, hogy a szervezet mi-

ként alapozza működését az általa használt informatikára. Minél fontosabb az informatika

és minél inkább támaszkodunk rá, annál magasabb szintű biztonságra van szükség ahhoz,

hogy garantáljuk a szervezet céljainak elérését. A szervezeti szintű informatikai bizton-

ságpolitika kialakításakor figyelembe kell venni a környezeti, szervezeti és kulturális

jellemzőket, mivel ezek befolyásolhatják a biztonság megközelítését.

Az informatikai biztonságpolitikában meghatározott, biztonsághoz kapcsolódó tevé-

kenységek a következőkre alapozhatók: szervezeti célok és stratégia, korábbi kockázatfelmé-

rések és vezetői ellenőrzések, valamint olyan kísérő tevékenységek eredményei, mint az al-

kalmazott biztosítékok biztonsági megfelelőségének ellenőrzése, az informatikai biztonsággal

kapcsolatos napi gyakorlat folyamatos ellenőrzése és felülvizsgálata, továbbá a biztonsági

eseményekről szóló jelentések. Bármilyen komoly fenyegetés vagy gyenge pont derül ki

eközben, azt figyelembe kell venni az informatikai biztonságpolitikában. A részletezett tevé-

kenységeket a szervezet informatikai biztonsági szabályzatában, a különféle informatikai

2004. 07. 19. 0.91 verzió 34


rendszerszintű biztonsági politikákban, biztonsági szabályzatokban, vagy más kiegészí-

tő-támogató dokumentumokban (például üzemeltetés biztonsági leírás) írjuk le.

Az informatikai biztonságpolitika kialakításakor a következő területek részvételére van

szükség:

a) felső vezetés,

b) biztonság,

c) informatika (informatikusok és felhasználók),

d) belső ellenőrzés,

e) pénzügy,

f) épület- és egyéb infrastruktúrák üzemeltetői,

g) humán erőforrás menedzsment.

A biztonsági célok szabják meg az informatikai biztonságpolitika kívánt részletezettségi

szintjét. Legalább a következő iránymutatásokat foglalja magában:

a) az informatikai biztonságpolitika kiterjedését és célját,

b) az informatikai biztonság meghatározását, általános célkitűzéseit és tárgykörét, valamint a

biztonság fontosságát,

c) a vezetőség szándéknyilatkozatát, hogy támogatja az informatikai biztonság céljait és el-

veit,

d) a kapcsolódó jogszabályok, szabványok és ajánlások (követelmények) meghatározását,

e) a jogi és egyéb szabályozásokból eredő kötelezettségeket,

f) az informatikai biztonság szervezési elveit, ide értve a szervezeti struktúrát, a személyi

felelősségeket és hatásköröket,

g) a szervezet tulajdonában levő adatvagyon elemeinek érzékenységét, az ennek megfelelő

védelmi szinteket, és a biztonsági osztályozási rendszert, továbbá – ha van ilyen – az osz-

tályba sorolástól eltérő védelmi igényű adatkörök védelmére vonatkozó politikát,

h) a kockázatok felmérésére és kezelésére vonatkozó elveket,

i) a belső személyzettel és a külső partnerekkel kapcsolatos biztonságpolitikát,

j) az informatikai biztonsági ellenőrzés rendszerét,

2004. 07. 19. 0.91 verzió 35


k) az informatikai biztonsági feladatok megosztására vonatkozó elveket,

l) a biztonságpolitika változásának ellenőrzési eljárását és felülvizsgálatának körülményeit.

Az informatikai biztonságpolitikára alapozva egy kézikönyvet kell készíteni, mely hoz-

záférhető, érthető és kötelező az összes vezető és más munkavállaló számára. Ennek megis-

merését az aláírásukkal igazolják az érintettek, mellyel az aláíró elismeri a szervezeten belüli

biztonságért való felelősségét. Ki kell fejleszteni és alkalmazni szükséges egy programot biz-

tonságtudatosság fejlesztésére és az oktatásra e szempontok hatékony kommunikációjának

érdekében.

3.1.2. Az informatikai biztonsági stratégia

Az informatikai biztonságpolitika alapján el kell készíteni a szervezet informatikai biz-

tonsági stratégiáját, amely a biztonsági és az informatikai stratégiák szerves részét képezi. A

stratégiát alapul véve kell az éves szintű terveket elkészíteni. A jóváhagyott éves terv a be-

szerzési, beruházási és projekt-előkészítési tevékenységeket érintő intézkedési tervek összeál-

lításának kiindulási alapja.

3.1.3. Az Informatikai Biztonsági Szabályzat

A szervezet Informatikai Biztonsági Szabályzatát a jogszabályokkal és a szervezet más

szabályozóival összhangban kell elkészíteni. Az Informatikai Biztonsági Szabályzat a bizton-

sággal kapcsolatos alapvető dokumentum, amelynek legalább az alábbiakra kell kitérnie:

a szervezet vezetésének egyértelmű nyilatkozata az informatikai biztonság szabályozott kiala-

kítására, illetve fenntartására,

a) az informatikai biztonság alapvető fogalmaira,

b) az informatikai biztonsággal kapcsolatos feladat- és hatáskörökre, felelősségekre,

c) a biztonsági események jelentésének rendjére,

d) elvek, követelmények, kötelező eljárások, szabványok.

Az egyes informatikai rendszerek esetében a szervezet Informatikai Biztonsági Sza-

bályzata alapján az adott alkalmazási területen megvalósítandó, a fejlesztéssel és az üzemelte-

téssel kapcsolatos tevékenységeket kell részleteiben szabályozni.

2004. 07. 19. 0.91 verzió 36


3.2. Felülvizsgálat és fejlesztés

Minden dokumentumnak legyen egy felelőse, aki gondoskodik a rendszeres felülvizsgá-

latáról, karbantartásáról és szükséges fejlesztéséről Az informatikai biztonságpolitika, az in-

formatikai stratégia és az Informatikai Biztonsági Szabályzat a Biztonsági Vezető felelőssége.

Az informatikai biztonságpolitika, az Informatikai Biztonsági Szabályzat és az egyéb doku-

mentumok (szabályozók) feleljenek meg a szervezet mindenkori helyzetének!

A Biztonsági Vezető gondoskodjon arról, hogy rendszeresen, továbbá az eredeti kocká-

zatfelmérés alapjaira ható minden olyan változásra (például jelentős vagy eddig ismeretlen

biztonsági esemény, új veszélyhelyzetek, a szervezeti vagy műszaki infrastruktúra változásai)

bekövetkezzék egy felülvizsgálat. Rendszeres és eseti felülvizsgálatokat kell tervezni a követ-

kezőkre:

a) az irányelvek biztonsági hatékonyságát,

b) az ellenőrző és a biztonsági eszközök, eljárások költséghatékonyságát,

c) a szervezeti vagy műszaki változások hatását.

2004. 07. 19. 0.91 verzió 37


4. SZERVEZETI BIZTONSÁG

4.1. Az informatikai biztonság szervezeti struktúrája

Az informatikai biztonság különböző szakterületeket fog át, a szervezet minden infor-

matikai projektjét, rendszerét és felhasználóját érinti. A felelősségek megfelelő hozzárendelé-

se és elválasztása biztosítja azt, hogy minden fontos feladat hatékonyan végrehajtható legyen.

Az egyik követelmény, hogy a szervezeten belül a feladat-, felelősség- és hatáskörök az egyes

szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a szervezet

céljainak hatékony elérését, a felesleges „keresztbeszervezések” csökkentését, és nem utolsó

sorban a felelősségre vonhatóságot. A feladatokhoz és felelősségekhez mindig megfelelő ha-

táskört kell társítani. Ezeket az elveket az informatikai biztonság területén is érvényesíteni

kell!

Ez a cél elérhető különféle szervezeti felépítések mellett is, de a szervezet mérete és

struktúrája alapján a következő szerepeket kell mindenkor lefedni:

a) Informatikai Biztonsági Fórum, mely döntésképes a különböző szakterületeket átfogó

kérdésekben, és jóváhagyja az informatikai biztonsággal kapcsolatos irányelveket és sza-

bályozásokat;

b) Biztonsági Vezető, aki a szervezet általános és teljes körű biztonságáért felelős, és közvet-

lenül a felső vezetésnek van alárendelve;

c) Informatikai Biztonsági Vezető, aki a szervezetben előforduló minden informatikai biz-

tonsághoz kapcsolódó kérdésért felelős, és a Biztonsági Vezető közvetlen alárendeltje.

Mind az Informatikai Biztonsági Fórumnak, mind az Informatikai Biztonsági Vezető-

nek egyértelmű feladatokkal kell rendelkeznie, és eléggé magasan kell elhelyezkednie a hie-

rarchiában ahhoz, hogy biztosítsa az elkötelezettséget az informatikai biztonságpolitika mel-

lett. A szervezetnek biztosítania kell a tiszta kommunikációs, felelősségi és meghatalmazási

hátteret az Informatikai Biztonsági Vezető számára, a feladatokat pedig az Informatikai Biz-

tonsági Fórumnak kell jóváhagynia. E feladatok lebonyolításába be lehet vonni külső tanács-

adókat is. Ajánlatos szerződést kötni külső informatikai biztonsági szakértőkkel, hogy a kör-

nyezeti változásokat nyomonkövessék, a jogszabályokat, szabványokat, és a módszereket

2004. 07. 19. 0.91 verzió 38


figyelemmel kísérjék, továbbá biztonsági események esetére megfelelő külső kapcsolatrend-

szert képezzenek. Az informatikai biztonság multidiszciplináris megközelítését kell előnyben

részesíteni.

A következő ábra egy javasolt példát mutat be a Biztonsági Vezető, az Informatikai

Biztonsági Vezető, az Informatikai Biztonsági Fórum valamint az egyéb szakterületek képvi-

selőinek kapcsolatára. Ez utóbbiak további biztonsági funkciójúak is lehetnek, vagy a fel-

használókat, illetve az informatikai személyzetet képviselik. Ezek a kapcsolatok részben a

függőségi, részben a funkcionális elven irányíthatók. Az ábrán egy háromszintű informatikai

biztonsági szervezetet mutatunk be. Ez bármely szervezet számára könnyen alkalmazható az

igényeknek megfelelő módon hozzáadva vagy eltávolítva az egyes szinteket, összevonva

funkciókat. A funkciók egyesítésekor ügyelni kell arra, hogy biztosítsuk a megfelelő ellenőr-

zés és egyensúly fenntartását annak elkerülésére, hogy az ellenőrzés vagy befolyásolás lehető-

sége nélkül túl nagy hatalom összpontosuljon egy személy kezében. A következő átfedések

lehetnek:

a) kis szervezeteknél, vagy ahol a biztonság különösen kiemelt, az első számú vezető be-

töltheti a Biztonsági Vezető funkcióját,

b) kis- és közepes szervezetek kijelölhetnek egyetlen Biztonsági Vezetőt, akinek a felelős-

sége lefedi az összes biztonsági funkciót,

c) a titokvédelmi felelős funkcióját elláthatja Biztonsági Vezető vagy az Informatikai Biz-

tonsági Vezető,

d) ha a szervezetnél a személyes adatok kezelése kapcsán jogszabály előírja az adatvédelmi

felelős kinevezését, ezt a funkciót a Biztonsági Vezető, az Informatikai Biztonsági Veze-

tő, vagy a titokvédelmi felelős is betöltheti.

Ezeknél az átfedéseknél sokkal fontosabb, hogy az összeférhetetlen funkciókat elválasz-

szuk. Különösen összeférhetetlen a Biztonsági Vezető, az Informatikai Biztonsági Vezető, a

titokvédelmi felelős vagy az adatvédelmi felelős funkciója az informatika alkalmazásáért, az

informatikai rendszerért felelős vezető funkciójával, vagy az informatika alkalmazásáért, az

informatikai rendszerért felelős vezetővel függőségi viszonyban lévő bármely funkcióval.

2004. 07. 19. 0.91 verzió 39


Szervezeti vezetés

Szervezeti

informatikaibiztonság-politika és irányelvek

Az informatikai terület képviselői

A felhasználók képviselői

Informatikai biztonsági fórum

Szervezeti szint

Szakterületi szint*Szakterület informatikai biztonsági

vezetője

Rendszer vagy projekt szintű

informatikai biztonsági vezető

Szakterületi Informatikai biztonság- politikák és irányelvek*

Rendszer

vagy projekt biztonság- politikák és irányelvek Szervezeti függőség

szerepkörök

* csak ha a szakterület jelen-

tős méretű

Rendszer vagy projekt szint

A szervezet informatikai biztonsági

vezetője

Informatikai vezető testület

A szervezet biztonsági vezetője

2004. 07. 19. 0.91 verzió 40


Az informatikai rendszert kezelő, fejlesztő, üzemeltető szerepeket a felhasználói funk-

cióktól a szervezeten belül el kell határolni. A Biztonsági Vezetőnek, a szervezet informatikai

vezetőjének, valamint az alkalmazói szakterületek vezetőinek egymással egyeztetve ki kell

jelölniük a fontosabb projektek és alkalmazások vezetőit és rendszergazdáit, feladataikat és

felelősségüket meghatározni.

A fejlesztői környezetet el kell választani az alkalmazói környezettől, szét kell választa-

ni a fejlesztői, üzemeltetői és alkalmazói hozzáférési jogosultságokat.

4.1.1. Informatikai Biztonsági Fórum

Az informatikai biztonság olyan felelősség, amelyen a vezetés valamennyi tagja oszto-

zik. Ezért ajánlatos létrehozni azt a vezetői fórumot, amely szavatolja, hogy a biztonsági kez-

deményezéseket a vezetés jól érzékelhető támogatása kíséri. (Ez a fórum lehet valamely meg-

lévő vezetői testület része is.) Ez a fórum kellő elkötelezettséggel és a szükséges erőforrások

rendelkezésre bocsátásával támogassa az informatikai biztonságot. Ennek a testületnek olyan

embereket kell magába foglalnia, akiknek megvan a követelmények azonosításához, politikák

kialakításához, biztonsági programok írásba foglalásához, a munka értékeléséhez és az Infor-

matikai Biztonsági Vezető irányításához szükséges képessége. A hatékony működéshez szük-

séges, hogy a fórumnak legyenek olyan tagjai is, akik komolyabb háttérrel rendelkeznek a

biztonság és az informatikai rendszerek műszaki területén, de olyan tagjai is, akik az informa-

tikai rendszerek, mint szolgáltatások nyújtásában, valamint felhasználásában vesznek részt.

Mindezen területek tudására és tapasztalatára szükség van.

Az Informatikai Biztonsági Fórum hatáskörébe tartozik:

a) javaslattétel az informatikai vezető testület számára a stratégiai tervezéshez,

b) az informatikai biztonsági irányelvek és feladatok vizsgálata és jóváhagyása, a megvalósí-

táshoz szükséges humán és anyagi erőforrások biztosítása,

c) az információs erőforrások súlyos veszélyhelyzeteknek való kitettségében bekövetkező

jelentős változások nyomon követése,

d) az informatikai biztonsági események nyomon követése,

e) az informatikai biztonság fokozását szolgáló jelentős kezdeményezések jóváhagyása,

f) az Informatikai Biztonsági Vezető személyének kijelölése, feladat- és hatáskörének meg-

határozása.

2004. 07. 19. 0.91 verzió 41


4.1.2. Az informatikai biztonsági feladatok megosztása

Tisztán és pontosan, azaz egyértelműen kell meghatározni a szervezet értékei védelmé-

nek és a biztonsági folyamatok felelőseit.

Az informatikai biztonságpolitika általános, az Informatikai Biztonsági Szabályzat (lásd

a 3. fejezetet) részletes iránymutatással szolgáljon az egész szervezetben a biztonsági felada-

tokra, felelősségekre és hatáskörökre.

Az Informatikai Biztonsági Vezető felelőssége az informatikai biztonság megtervezése

és fenntartása, de emellett az erőforrások megszerzése és a védelmi intézkedések megvalósí-

tása gyakran más vezetőkre hárul.

Pontosan meg kell meghatározni minden olyan területet, amelyért az egyes vezetők fe-

lelnek, és különösen a következőket ajánlatos megtenni:

a) pontosan kell azonosítani, és egyértelműen meghatározni minden egyes önálló rendszer-

hez hozzárendelt eszközt és folyamatot,

b) az egyes eszközökért és az egyes folyamatokért felelős vezető személyében ajánlatos

megegyezni, s a vonatkozó felelősséget ajánlatos írásban foglalni (dokumentálni),

c) tisztán és pontosan kell meghatározni a hatásköröket (jogosultsági szinteket), és ezt írásba

kell foglalni (dokumentálni).

4.1.2.1. Biztonsági Vezető

Gondoskodik az informatikai biztonságra vonatkozó jogszabályok, illetve az informati-

kai biztonságpolitika, az informatikai stratégia és az Informatikai Biztonsági Szabályzat vég-

rehajtásáról, e körben szabályozási koncepciókat, szabályzat tervezeteket készít, a szakterüle-

tek megkeresésére vagy saját hatáskörben szakmai állásfoglalást ad ki.

Az informatikai biztonság szempontjából véleményezi a szervezet szabályzatait és szer-

ződéseit.

Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok

alapján javaslatokat készít az informatikai biztonságpolitika, az informatikai stratégia és az

Informatikai Biztonsági Szabályzat módosítására, szükség esetén kezdeményezi új szabályo-

zások kibocsátását.

2004. 07. 19. 0.91 verzió 42


Gondoskodik az informatikai biztonságra vonatkozó rendelkezések betartásának rend-

szeres (legalább évente egyszeri) ellenőrzéséről, a lefolytatott ellenőrzések, vizsgálatok ered-

ményéről tájékoztatja a szervezet vezetését.

Irányítja és ellenőrzi az Informatikai Biztonsági Vezető munkáját.

4.1.2.2. Informatikai Biztonsági Vezető

Általános feladata a szervezet (szakterület, projekt, rendszer) által üzemeltetetett, illetve

a szervezet (szakterület, projekt, rendszer) adatait feldolgozó informatikai és távközlési rend-

szerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megte-

remtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése.

Feladatai:

a) Felméri és elemzi a szervezet (szakterület, projekt, rendszer) működéséből eredő, az in-

formatikai biztonsággal összefüggő veszélyforrásokat, meghatározza a kockázatkezelés

módszerét.

b) Kidolgozza, és döntésre előterjeszti az informatikai biztonság kialakítására, a megfelelő

informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat, utasításokat,

terveket és irányelveket.

c) Részt vesz:

1) a rendkívüli események kezelésére szolgáló tervek elkészítésében, azok naprakészen

tartásában;

2) a fizikai biztonsági feltételek kialakításában, követelményeinek meghatározásában;

3) az informatikai biztonság szempontjából fontosnak minősített munkakörök betöltési

szabályainak, feltételeinek meghatározásában;

4) a biztonsági követelmények és az előírások betartásának ellenőrzésében.

d) Szakmai szempontból közvetlenül irányítja a szervezet (szakterület, projekt, rendszer)

informatikai biztonsági tevékenységét.

e) Szakmai szempontból irányítja az informatikai biztonságra vonatkozó oktatást.

f) Szakmai szempontból egyezteti és jóváhagyja a szakterületi (a projekt- és rendszerszintű)

Informatikai Biztonsági Szabályzatokat.

2004. 07. 19. 0.91 verzió 43


g) Elemzéseket végez, szükség esetén javaslatokat tesz a szükséges informatikai biztonsági

intézkedésekre, valamint a biztonságos működéssel összefüggő szabályok megváltoztatá-

sára.

h) Ellenőrzi az informatikai biztonsági előírások végrehajtását.

i) Ellátja az informatikai biztonsággal összefüggő vállalkozók szakmai irányítását, ellenőrzi

tevékenységüket.

j) Ellátja a szakterületi (projekt, rendszer) Informatikai Biztonsági Vezetők szakmai irányí-

tását.

Külön felhatalmazás nélkül jogosult:

a) Az ellenőrzési, vizsgálati tevékenysége során, a szervezet (szakterület, projekt, rendszer)

tulajdonában, használatában vagy a területén lévő, illetve a szervezetre (szakterületre, pro-

jektre, rendszerre) vonatkozó bármilyen (a Titokvédelmi törvény hatálya alá nem tartozó)

iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tar-

talmába való betekintésre.

b) A szervezet (szakterület, projekt, rendszer) tulajdonában lévő, vagy általa bérelt épületben

és azon belül minden – a szervezet (szakterület, projekt, rendszer) tulajdonában, kezelésé-

ben vagy használatában lévő – helyiségben a berendezések, különösen az informatikai és

távközlési eszközök vizsgálatára.

Az informatikai biztonsági feladatok folyamatos végrehajtásának megkönnyítése érde-

kében, a szervezet (szakterület) vezetője nevezzen ki, vagy bízzon meg Informatikai Bizton-

sági Vezetőt (megbízottat, felelőst) minden informatikai rendszerhez és projekthez (rendszer-

szintű fejlesztésekhez).

Feladatai a működési területén:

a) A biztonsági eszközök állapotának figyelemmel kísérése azok teljes életciklusában, javas-

lattétel azok cseréjére, bővítésére.

b) Részvétel az üzletmenet-folytonossági terv (katasztrófa-elhárítási terv) összeállításában.

c) A rendszerek biztonsági hiányosságainak, az informatikai biztonsággal összefüggő számí-

tástechnikai, informatikai problémák jelentése a munkahely vezetőjének és az Informati-

kai Biztonsági Vezetőnek.

2004. 07. 19. 0.91 verzió 44


4.1.3. Az adatfeldolgozás engedélyezési eljárásai

a) Az adatfeldolgozás csak akkor engedélyezhető, ha az – legalább – az adatkörök biztonsági

osztályba sorolásának megfelelő adatfeldolgozó eszközökön történik.

b) Az új adatfeldolgozási eszközökre és lehetőségekre vonatkozó engedélyezési eljárásban a

következőket kell figyelembe venni:

1) az informatikai vezető új adatfeldolgozó eszközökre és eljárásokra vonatkozó jóváha-

gyását csak abban az esetben adhatja meg, ha azok megfelelnek a biztonsági követel-

ményeknek,

2) ellenőrzéssel kell meggyőződni a hardver, szoftver eszközök és más rendszerösszete-

vők kompatibilitásáról,

3) a minősített, vagy magas kockázatot jelentő adatokat feldolgozó rendszer használata a

Biztonsági Vezető engedélyéhez kötött,

4) a minősített, vagy magas kockázatot jelentő adatokat feldolgozó rendszerek használa-

tát a rendszer felelős vezetőjének a Biztonsági Vezetővel egyeztetve szabályoznia kell,

5) az adatfeldolgozás megkezdését megelőzően annak minden felhasználónak meg kell

ismernie a rendszer alkalmazásához kapcsolódó biztonsági szabályokat, és megértésü-

ket aláírásával igazolni.

4.1.4. Informatikai biztonsági tanácsadás

A legtöbb szervezetnek szüksége van informatikai biztonsági tanácsadó javaslataira.

Ideális esetben házon belül is van tapasztalt informatikai biztonsági szakember. Sok szervezet

azonban nem tud informatikai biztonsági szakértőt alkalmazni, de sokszor szükség van arra is,

hogy a saját ismereteiken, tapasztalataikon túli szakterületekre alkalmas külső tanácsadókat

elérhessenek. Ezekben az esetben ki kell választani egy olyan személyt, aki összehangolja a

házon belüli ismereteket, tapasztalatokat a szakértő(k) tevékenységével, és segítséget nyújt az

informatikai biztonsági döntésekhez.

A szervezet informatikai biztonságának hatékonyságát az határozza meg, hogy milyen a

minősége az informatikai biztonsági szakértők tevékenységének és javaslatainak. A nagyobb

hatékonyság elérése érdekében a szakértők (képviselői) lehetőséget kell, hogy kapjanak a

szervezet egészére kiterjedően a vezetéshez való közvetlen kapcsolatra.

2004. 07. 19. 0.91 verzió 45


Az informatikai biztonsági szakértőket (tanácsadókat) a lehető legkorábbi lépcsőben

ajánlatos megkeresni és meghallgatni a biztonsági esemény vagy a biztonság megsértése (fel-

tételezett) bekövetkezésekor, hogy szakértői iránymutatást, vagy a vizsgálathoz erőforrást

szolgáltasson.

4.1.5. Együttműködés külső szervezetekkel

A hatóságokkal, szabályozó testületekkel, informatikai szolgáltatókkal, távközlőhálózat-

üzemeltetőkkel megfelelő kapcsolatot kell tartani azért, hogy a szükséges feladatokat hatéko-

nyan lehessen elvégezni, és a biztonsági események esetére tanácsot lehessen kapni. Hasonló-

képpen szükséges lehet a belépés a különböző szakmai, informatikai és biztonsági munkacso-

portokba és fórumokba. Az együttműködés során korlátozni kell a biztonsággal kapcsolatos

információk kicserélését, megelőzendő, hogy a szervezet bizalmas információi illetéktelen

kezekbe kerülhessenek.

4.1.6. Az informatikai biztonság független felülvizsgálata

Az informatikai biztonságpolitika (lásd a 3.1.1. szakaszt) megvalósulását ajánlatos idő-

közönként független módon is felülvizsgálni annak érdekében, hogy megismerjük, hogy a

szervezet gyakorlata hogyan képzi le az informatikai biztonságpolitikát, illetve annak haté-

konyságát. Az informatikai biztonság megvalósulását független szakértőnek kell értékelnie.

Ez lehet a Biztonsági Vezetőtől és az Informatikai Vezetőtől független belső ellenőrzés, vagy

egy ilyen vizsgálatokra szakosodott független külső szervezet.

Az informatikai biztonságpolitikában, informatikai biztonsági stratégiában, valamint az

Informatikai Biztonsági Szabályzatban rögzítettek megvalósulását az Informatikai Biztonsági

Vezető ellenőrzi. Ez az általános ellenőrzési jogkör nem mentesíti a szakterületek (projektek

vagy rendszerek) vezetőit az alól, hogy az informatikai biztonság megvalósulását a beosztot-

taik munkavégzésének folyamatos vizsgálata során ellenőrizzék.

2004. 07. 19. 0.91 verzió 46


4.2. Előírások a külső személyek által történő hozzáférésekkel kapcsolatban

A szervezet informatikai eszközeit csak a szervezet feladatából eredő indokolt esetben,

és ellenőrizhető módon szabad külső személyek számára hozzáférhetővé tenni. A külső sze-

méllyel kötött szerződésben az alkalmazott védelmi intézkedésekben előre meg kell egyezni,

és a védelmi intézkedéseket meg kell határozni. A külső személynek adott hozzáférés további

résztvevőket is magában foglalhat, ezért a szerződésnek az ilyen hozzáférésekre ki kell térnie,

tartalmaznia kell a hozzájárulást más résztvevőkre, továbbá meghatározni a számukra engedé-

lyezett hozzáférés feltételeit.

A szervezet külső személyek számára is hozzáférhető informatikai rendszerei és eszkö-

zei biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenőrizni kell. Az

ellenőrzésért a szervezet részéről felelősként, kapcsolattartóként meghatározott szervezeti

egység vezetője – amennyiben a szerződésben nem került feltüntetésre, úgy – a szerződést

kötő szervezet vezetője, illetve az általa kijelölt személy a felelős.

A biztonsági kockázatokat és az ellenőrzés, valamint a felügyelet követelményeit fel

kell mérni. A felmérésért a szerződést – szakterületi oldalról – előkészítő személy a felelős. A

külső személlyel megkötött szerződésben egyértelműen meg kell határozni az előzőekhez

kapcsolódó elvárásokat, és az ezzel kapcsolatos adminisztrációs kötelezettségeket.

Külső személyek hozzáférésénél további résztvevők közreműködésére is szükség lehet.

A hozzáféréséről rendelkező szerződésekben rendelkezni kell arról, hogy más, arra jogosult

közreműködők is hozzáférhetnek a különböző eszközökhöz, és rögzíteni kell a hozzáférés

feltételeit.

Különös figyelmet kell fordítani az informatikai és távközlési fejlesztésben, karbantar-

tásban, a biztonsági feladatok ellátásában közreműködőkre; illetve az egyedi jelleggel hozzá-

férést igénylőkre (tanulók, konzultánsok, stb.), valamint a takarító, karbantartó személyzetre.

A fenti szabályok betartása az ilyen szerződések létrejöttének, valamint az adatfeldolgo-

zás vállalkozásba adásának elengedhetetlen feltétele!

2004. 07. 19. 0.91 verzió 47


4.2.1. A külső személyek által történő hozzáférések kockázatai

4.2.1.1. A hozzáférések típusai

A külső személyek általi hozzáférések különleges jelentőséggel bírnak. A következő

hozzáférési típusokat kell elkülöníteni:

a) fizikai hozzáférések (például irodákhoz, számítógép-termekhez, irattároló szekrényekhez,

stb.),

b) logikai hozzáférések (például adatbázisok, informatikai rendszerek, stb.).

4.2.1.2. A hozzáférések engedélyezési feltételei

a) A szervezet azon külső személyeknek, akik számára szolgáltatásokat nyújtanak, tevékeny-

ségük végzéséhez meghatározott és engedélyezett fizikai és/vagy logikai hozzáféréseket

biztosít:

1) hardver- és szoftvertámogató személyzet, akiknek rendszerszintű vagy alacsony szintű

működési felhasználással kell rendelkezniük,

2) kereskedelmi partnerek vagy közös vállalkozások, akik az információcserében részt

vesznek, informatikai rendszerekhez vagy adatbázis részekhez hozzáférhetnek.

b) Ahol az üzleti érdek megkívánja a külső személyekkel való kapcsolattartást, a munka

megkezdése előtt egyértelműen meg kell határozni a munkavégzés célját, helyét, idejét,

módját, fel kell mérni az alkalmazás kockázatait, a szükséges hozzáférések típusait, a ve-

szélyeztetett adatok, információk értékét, a külső személy által használt ellenőrzéseket.

Követelmény az azonosítás különleges figyelemmel kísért ellenőrzése is.

c) Amennyiben külső személyeknek hozzáférési lehetőséget kell biztosítani, azt csak és kizá-

rólag engedélyeztetési eljárás után lehet megtenni. A hozzáférési engedélyt minden eset-

ben csak az adott szervezeti egység vezetője kérheti. Az Informatikai Biztonsági Vezető

elsősorban a titokvédelmi előírások figyelembevételével dönt az engedély megadásáról, a

kiadott engedély másolatát átadja a kérelmezőnek és az informatikai vezetőnek. A hozzá-

férést mindaddig ki kell zárni, amíg a szükséges ellenőrzést nem foganatosították, és a

szerződésben nem határozták meg a hozzáférés feltételeit. A szerződés elválaszthatatlan

részét kell, hogy képezze a titoktartási nyilatkozat.

2004. 07. 19. 0.91 verzió 48


d) A lejárat időpontjának minden esetben szerepelni kell a hozzáférési engedélyben.

e) A külső partnerek hordozható számítógépein tárolt – a munkavégzés során megszerzett és

a szervezettel kapcsolatos – adatokat a munkavégzés befejezése után visszaállíthatatlanul

törölni kell, amelyet a felelősnek kötelessége ellenőrizni.

4.2.1.3. Helyszíni tevékenységet végző külső személyek

Szerződéses vagy egyéb jogviszony alapján helyszíni tevékenységet végző külső szemé-

lyek biztonsági kockázatot jelentenek. A helyszínre települt külső személyekre példa lehet:

a) a hardvert és szoftvert karbantartó és támogató személyzet,

b) a takarító, karbantartó, ellátó személyzet és biztonsági őrség, valamint hasonló szolgálta-

tások,

c) tanulók foglalkoztatása és más, eseti, alkalmi munkatársak, konzultánsok.

A biztonsági kockázatok csökkentése érdekében:

a) A külső személlyel kötött szerződésekben ki kell kötni a szervezet ellenőrzési jogosultsá-

gát.

b) Az Informatikai Biztonsági Szabályzat egyértelműen határozza meg a külső személyek

hozzáférési lehetőségeit.

c) Az informatikai rendszerekhez, az abban kezelt adatokhoz külső személyek hozzáférését

mindaddig ki kell zárni, amíg a megfelelő (és szerződésben is rögzített) ellenőrzést nem

foganatosították.

d) A külső személyek helyszíni tevékenységének informatikai biztonsági ellenőrzése során a

munkahelyi vezetőnek együtt kell működnie (ld. 2.1.4).

e) Még a munka megkezdése előtt kötelező megvizsgálni a külső személyek várható hely-

színi tevékenységét.

f) Meg kell határozni az együttműködés jogszabályi feltételeit, valamint a megállapodás be-

nem-tartásának következményeit.

2004. 07. 19. 0.91 verzió 49


4.2.2. Informatikai biztonsági követelmények a harmadik személlyel kötött szerződésekben

Harmadik (külső) személyeknek a szervezet informatikai rendszereihez való hozzáféré-

se kizárólag olyan írásbeli szerződésen alapulhat, melynek az összes – biztonsággal kapcsola-

tos – előírása igazodik a szervezet biztonsági előírásaihoz és elfogadott szabványaihoz.

Harmadik személyek számára – a velük kötött szerződésben részletezettek szerint – az

adathozzáférés, elektronikus-, papíralapú-, mágneses-, vagy bármely más típusú adathordozón

történő átadás-átvétel csak az adat minősítéséhez, biztonsági osztályba sorolásához és kezelé-

séhez rendelt engedélyezési eljáráshoz kötött szabályozott és dokumentált formában történhet,

az adott szerződés elválaszthatatlan mellékletét képező adatvédelmi és titoktartási nyilatkoza-

tok tartalmának megfelelően. Az átadás-átvétele csak az ügyvitelre, az adat- és titokvédelemre

vonatkozó szabályokban meghatározott előírások szerint történhet.

A kötelező eseti és rendszeres adatszolgáltatások, továbbá bíróságok, vagy más hatósá-

gok hatósági eljárásai során, illetve a hivatalból eljáró ügyvéd, közjegyző eljárása esetén a

szerződéstől és a titokvédelmi nyilatkozattól el kell tekinteni, de az adatátadás jogszerűségét

vizsgálni kell, az átadás tényét pedig dokumentálni. Ezekről minden esetben értesíteni kell az

Informatikai Biztonsági Vezetőt.

A szerződésben a szervezeteknek gondoskodni kell a beszállítói kárfelelősségről.

2004. 07. 19. 0.91 verzió 50


4.3. Vállalkozásba adás

Az informatikai biztonságot akkor is fent kell tartani, ha a szervezet az információfel-

dolgozást más szervezettől szolgáltatásként veszi igénybe. Vállalkozásba adás esetén az érin-

tett informatikai rendszereket, hálózatokat, környezeteket, az azokat érintő kockázatokat, va-

lamint az alkalmazott biztonsági eszközöket és eljárásokat, felelősségeket a két fél között lét-

rejött szerződésben rögzíteni kell.

4.3.1. Előírások a vállalkozásba adási szerződésekben

A vállalkozásba adás minden esetben csak írásbeli szerződéssel lehetséges, amelyben az

informatikai biztonságpolitikát figyelembe kell venni (érvényesíteni kell). A szerződésben a

4.2.2. pontban meghatározottakon túl ki kell térni arra, hogy:

a) a részt vevő felek tudatában vannak az informatikai biztonsággal kapcsolatos felelőssé-

gükkel,

b) hogyan fogják a jogi előírásokat kielégíteni, például a személyes adatok védelme,

c) hogyan lesz fenntartva és vizsgálva az adatok bizalmassága és sértetlensége,

d) milyen fizikai és logikai védelmi intézkedéseket fognak alkalmazni arra, hogy megfelelő-

en szabályozzák a jogosult felhasználóknak a hozzáférését a szervezet érzékeny üzleti in-

formációihoz (adataihoz),

e) hogyan lesz fenntartva a szolgáltatások rendelkezésre állása rendkívüli helyzetekben

(például természeti csapások) esetében,

f) milyen fizikai védelmet biztosítanak a vállalkozásba adásban érintett berendezések eseté-

ben,

g) ki, mikor, milyen feltételek mellett végez, illetve kell, hogy végezzen biztonsági vizsgála-

tot, ellenőrzést.

A vállalkozásba adása esetén legalább a következő védelmi intézkedéseket kell előírni:

a) Amennyiben a vállalkozó a saját telephelyén végzi az informatikai fejlesztési tevékenysé-

get, a szervezet részéről csak rejtjelezve továbbíthatók a fejlesztés tárgyát képező progra-

mok és adatok a fejlesztő számára. Az éles üzemű rendszerekhez a vállalkozó nem férhet

hozzá.

2004. 07. 19. 0.91 verzió 51


b) Programokat, adatokat a felhasználás céljának, időbeli és egyéb korlátainak megjelölésé-

vel, a felelősöknek mindkét részről történő kijelölésével, a személyi és fizikai biztonsági

követelmények egyértelmű írásban történő megjelölésével, kizárólag átadás-átvételi jegy-

zőkönyv alapján szabad átadni. A jegyzőkönyvnek tartalmazni kell:

1) programátadás esetén:

− program megnevezése, készítője,

− funkciója,

− könyvtárstruktúrája,

− fájlok,

− verzió információ.

2) fájlátadás esetén:

− teljes fájlnév (név, kiterjesztés),

− méret,

− módosítás dátuma,

− típusa.

3) adatátadás esetén:

− ha az adat nem tartozik a fájl fogalmába, akkor a papíralapú iratkezelésre vonatko-

zó szabályok az iránymutatók.

c) Az a) pont szerinti anyagokat tartalmazó adathordozókat a következő lényeges szabályok

szerint kell kezelni:

1) az adathordozók azonosíthatók, ellenőrizhetők legyenek, a minősítési és az azonosítási

jeleket vagy jelöléseket olvashatóan, letörölhetetlenül, eltávolíthatatlanul kell feltün-

tetni,

2) a harmadik személy az 1) bekezdésben felsorolt minősítésekkel, jelölésekkel kapcsola-

tos kezelési szabályokat a teljes munkafolyamat során köteles betartani, ellenkező

esetben a teljesítése nem fogadható el. Az adathordozók csak biztonsági (például ví-

rus) ellenőrzések elvégzése után vehetők használatba a szervezet rendszerein.

2004. 07. 19. 0.91 verzió 52


d) Külső fejlesztő részére tesztelésre éles üzemi adatok csak kivételesen, indokolt esetben és

az Informatikai Biztonsági Vezető előzetes engedélyével adhatók át, éles üzemi tesztek

viszont csak a szervezet saját fejlesztő rendszerein végezhetők. Tesztrendszerben csak az

eredeti adatra vissza nem következtethető adat lehet.

e) Ezen szabályok betartásának, a szabályok szerinti tevékenység dokumentálásának ellenőr-

zésére a szervezet részéről felelősként, kapcsolattartóként meghatározott szervezeti egysé-

ge és az Informatikai biztonsági szervezeti egység kijelölt munkatársai jogosultak, illetve

kötelezettek.

f) Amennyiben a vállalkozásba vevő a saját telephelyén működő fejlesztő rendszeren dolgo-

zik, akkor a következő főbb biztonsági szabályok az irányadók:

1) a tevékenységet a fogadó szervezet folyamatosan felügyelje, dokumentálja és ellen-

őrizze az Informatikai Biztonsági Szabályzat betartását,

2) belépési és hozzáférési jogosultságot az általános jogosultsági szinten túlmenően csak

külön engedély alapján, a tevékenysége elvégzéséhez szükséges időre kapjon,

3) távoli hozzáférésekkel történő fejlesztés csak indokolt esetben folyhat (például amikor

az előző pontokban meghatározott fejlesztési mód alapos indok miatt nem valósítható

meg),

4) távoli hozzáféréssel történő fejlesztés, az érintett szakmai vezető kezdeményezésére,

az Informatikai és a Biztonsági Vezető előzetes írásbeli engedélyével történhet. Az er-

re irányuló javaslatot a fejlesztő és megrendelője köteles megindokolni,

5) fejlesztési céllal távoli hozzáférés csak az engedélyben definiált végpontról, és csak a

szervezet ellenőrzése alatt álló védelmi rendszerrel megtámogatva történhet.

2004. 07. 19. 0.91 verzió 53


5. AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS

ELLENŐRZÉSE

A szervezet biztonságának kialakítása során az egyik legfontosabb alapadatbázis a szer-

vezet vagyonleltára, amely informatikai biztonsági szempontból a következőket tartalmazza:

Információ-vagyon: az adatok, adatbázisok, szoftver-kezelési kézikönyvek, oktatási,

üzemviteli, üzemeltetési, biztonsági segédletek és nyilvántartások.

Szoftver-vagyon: rendszerszoftverek, alkalmazói szoftverek, fejlesztő-eszközök és

szolgáltatások.

Fizikai-vagyon: hardver (számítógépek, perifériák, mobil számítástechnikai eszközök),

kommunikációs eszközök (telefonok, faxok, modemek, hálózati csatoló eszközök, telefon-

alközpontok), adathordozók és egyéb műszaki berendezések (szünetmentes tápegység, lég-

kondicionáló berendezés, villámhárító, stb.).

5.1. Számadási kötelezettségek az eszközökkel kapcsolatban

A szervezet vagyontárgyait leltárba kell venni, annak megjelölésével, hogy hol találha-

tóak, kinek a felelősségi körébe tartoznak, és osztályozni kell azokat a biztonsági célkitűzések

(bizalmasság, sértetlenség és rendelkezésre állás) fenntartásában játszott szerepüknek megfe-

lelően. Valamennyinek legyen megnevezett felelőse, és az alkalmazott védelmi intézkedések

karbantartásának felelőssége is legyen kiosztva. A védelmi intézkedések megvalósításának

felelősségét át lehet ruházni, de a felelősségrevonhatóság akkor is a megnevezett felelősnél

maradjon.

a) Meg kell határozni a leltárilag nyilvántartott eszközök felelősét.

b) Megfelelő személyekhez – leltárfelelősök – kell rendelni a szükséges ellenőrző eszközök

fenntartásának feladatát és felelősségét. A leltárfelelősöket a szakterületek (szervezeti

egységek) vezetői nevezik ki.

c) A szervezeti egységeknél kijelölt leltárfelelősök munkaköri leírásában rögzíteni kell a

2004. 07. 19. 0.91 verzió 54


készletleltárral kapcsolatos tevékenységüket, illetve a felelősségüket.

d) A munkavállaló munkába lépésekor átadás-átvételi jegyzőkönyvet kell készíteni a részére

átadásra kerülő munkaeszközökről, és aláírásával elfogadottá kell tenni az eszközökre vo-

natkozó számadási kötelezettségét, valamint ennek megsértésekor a felelősségrevonás

módját, mértékét.

e) Számadási kötelezettségek ellenőrzését a Leltározási és Értékelési Szabályzat előírásai

alapján kell végrehajtani.

f) Ellenőrzést kell tartani:

1) munkaviszony megszűntekor – a munkavállaló által leadott eszközöket össze kell vet-

ni az átadás-átvételi jegyzőkönyvvel, megfelelés esetén – igazolást kell kiadni a szám-

adási kötelezettségek teljesítéséről, eltérés esetén jegyzőkönyvet kell felvenni, vala-

mint haladéktalanul értesíteni kell a munkavállaló munkáltatói jogkört gyakorló veze-

tőjét a felelősségre vonási eljárás megindítása érdekében,

2) más szervezeti egységbe, más munkavégzési helyiségbe való átlépéskor – az előző

pontban részletezettek megtartásával,

3) okafogyottá válik az eszköz(ök) használata – leadás esetén is ellenőrizni kell az át-

adás-átvételi jegyzőkönyvvel való egyezést,

4) vezetői elrendelésre (cél- vagy átfogó leltár).

5.1.1. Készlet leltár

A szervezetnek szüksége van arra, hogy képes legyen azonosítani vagyonát, és megálla-

pítani a vagyontárgyai értékét és fontosságát. Erre az információra alapozva a szervezet a va-

gyon értékével és jelentőségével arányosan tudja megállapítani a védelmi szinteket. A kocká-

zatkezelésnek fontos része a vagyonleltár. Leltárt kell felállítani és karbantartani minden

olyan jelentős vagyontárgyról, amely valamelyik informatikai rendszerrel kapcsolatos. Egyér-

telműen azonosítani kell valamennyi vagyontárgyat, megállapítani, és írásba foglalni annak

felelősét és biztonsági osztályát is (lásd az 5.2. szakaszt), valamint pillanatnyi elhelyezését (ez

azért fontos, hogy elveszés vagy megrongálódás esetén vissza lehessen állítani). Minden, a

készletleltár határain belül talált eszközt azonosítani kell. Bármilyen, a készletleltárból akár-

mely okból kizárt eszközt hozzá kell rendelni egy másik vizsgálathoz, hogy biztosíthassuk:

nem kerülik el a figyelmünket, és nem feledkezünk meg róluk.

2004. 07. 19. 0.91 verzió 55


5.2. Az adatok biztonsági osztályozása

Gondoskodni az informatikai vagyontárgyak alkalmas védelmi szintjéről.

Az informatikai eszközök megfelelő védelméről való gondoskodás magában foglalja,

hogy az adatok minősítésének tükröznie kell a védelem szükségességét, prioritásait és mérté-

két.

Az adatok érzékenysége és fontosságának mértéke változó, egyes adatok fokozott vé-

delmet, vagy különleges kezelést igényelnek. A számítástechnikai rendszerek, illetve adatok

biztonsági osztályba sorolására vonatkozó előírások segítségével kell meghatározni a védett-

ségi szinteket, valamint közvetíteni kell a különleges kezelés szükségességét.

5.2.1. Az osztályozás irányelvei

Az informatikai biztonsági osztályok megállapításához értéket kell rendelni az eszkö-

zökhöz. Ezek az értékek az adott eszköz szervezet számára jelentett fontosságát adják meg. A

kár jellege lehet:

a) dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van például:

1) károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.),

2) károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.),

3) a dologi károk bekövetkezése utáni helyreállítás költségei.

b) károk a politika és a társadalom területén, például:

1) állam- vagy szolgálati titok megsértése,

2) személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének káro-

sodása,

3) bizalmas adatok nyilvánosságra hozatala,

4) hamis adatok nyilvánosságra hozatala,

5) közérdekű adatok titokban tartása,

6) bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben.

c) gazdasági károk

1) pénzügyi károk,

2) lopás károk,

2004. 07. 19. 0.91 verzió 56


3) az intézmény vagy cég arculatának (image) romlása,

4) rossz üzleti döntések hiányos vagy hamis információk alapján.

d) károk az informatikai személyzet, illetve a felhasználók személyi biztonsága területén,

például személyek megsérülése, megrokkanása (például áramütés következtében);

e) károk a hatályos jogszabályok és utasítások megsértéséből adódóan;

f) károk a tudomány területén

1) kutatások elhalasztódása,

2) eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése,

3) tudományos eredmények meghamisítása.

Az informatikai rendszerek biztonsági osztályai meghatározásához a fenti kártípusokat

bizonyos mértékben összevontan a következők szerint vesszük figyelembe:

a) közvetlen anyagi (például a mindenkori amortizált értékkel vagy az elmaradt haszonnal

arányos),

b) közvetett anyagi (például a helyreállítási költségekkel, perköltségekkel arányos),

c) társadalmi-politikai, humán,

d) személyi sérülés, haláleset,

e) jogszabály által védett adatokkal történő visszaélés vagy azok sérülése (jogsértés).

Az eszközök értékeléséhez szükséges információknak ezen eszközök tulajdonosaitól és

használóitól kell származniuk, de az üzleti tervezés, a pénzügy, az informatika és más kapcso-

lódó szakterületek munkatársait is be kell vonni az eszközökhöz tartozó értékek megállapítá-

sához. Az értékeknek összefüggésben kell lenniük az adott eszköz megszerzéséhez és fenntar-

tásához kapcsolódó költségekkel és a bizalmasság, sértetlenség és rendelkezésre állás elvesz-

téséből eredő károkkal. Az eszközök mindegyikének értéket kell jelentenie a szervezet számá-

ra, ennek ellenére nincs egy könnyen követhető vagy egyszerű módszer a pénzbeni érték

meghatározására. Az értéket vagy a szervezet számára való fontosságot nemcsak pénzügyi,

hanem kvalitatív módon (minőségi meghatározások útján) is ki kell fejezni. Ez segít meghatá-

rozni a védelem szintjét, és azt az erőforrásmennyiséget, melyet a szervezetnek az eszköz vé-

delmére áldozni kell. Az értékelési skála legalább háromfokozatú legyen: alacsony, közepes

és magas érték, de ez tovább részletezhető – jelentéktelen – csekély – közepes – nagy – ki-

emelkedően nagy értékre.

A fontosabb kártípusokhoz kvantitatív jellemzők tartományait rendelve kialakítható egy

kárérték osztályozás, amelyek segítségével a fenyegetett objektumok – esetünkben az infor-

2004. 07. 19. 0.91 verzió 57


matikai rendszerek – biztonsági osztályokba sorolhatók. A biztonság értékeléséhez a követke-

ző kárérték szinteket javasoljuk felhasználni:

♦ "0. szint": jelentéktelen kár

• közvetlen anyagi kár: -10.000,- Ft,

• közvetett anyagi kár 1 embernappal állítható helyre,

• nincs bizalomvesztés, a probléma a szervezeti egységen belül marad,

• testi épség jelentéktelen sérülése egy-két személynél,

• nem védett adat (nem minősített) bizalmassága, sértetlensége, vagy rendelkezésre állá-

sa sérül.

♦ "1. szint": csekély kár

• közvetlen anyagi kár: -100.000,- Ft-ig,

• közvetett anyagi kár 1 emberhónappal állítható helyre,

• társadalmi-politikai hatás: kínos helyzet a szervezeten belül,

• könnyű személyi sérülés egy-két személynél,

• "Korlátozott terjesztésű!" szolgálati titok bizalmassága, sértetlensége, vagy rendelke-

zésre állása sérül,

• személyes adatok bizalmassága vagy hitelessége sérül,

• csekély értékű üzleti titok, vagy belső (intézményi) szabályzóval védett adat bizalmas-

sága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "2. szint ": közepes kár

• közvetlen anyagi kár: -1.000.000,- Ft-ig,

• közvetett anyagi kár 1 emberévvel állítható helyre,

• társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatké-

rést és/vagy fegyelmi intézkedést igényel,

• több könnyű vagy egy-két súlyos személyi sérülés,

• „Bizalmas!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sé-

rül,

• személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

• közepes értékű üzleti titok vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási,

banktitok, stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

2004. 07. 19. 0.91 verzió 58


♦ "3. szint ": nagy kár


• közvetett anyagi kár 1-10 emberévvel állítható helyre,

• társadalmi-politikai hatás: bizalomvesztés a szervezet felső vezetésében, a középveze-

tésen belül személyi konzekvenciák,

• több súlyos személyi sérülés vagy tömeges könnyű sérülés,

• „Titkos!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

• szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessé-

ge sérül.

♦ "4. szint ": kiemelkedően nagy kár


• közvetett anyagi kár 10-100 emberévvel állítható helyre,

• társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felső vezetésén belül

személyi konzekvenciák,

• egy-két személy halála vagy tömeges sérülések,

• államtitok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

• nagy tömegű szenzitív személyes adat bizalmassága, sértetlensége, vagy rendelkezésre

állása sérül,

• nagy értékű üzleti titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

Függetlenül attól, hogy milyen skálát használunk, a következő okokból bekövetkező ká-

rokat kell figyelembe vennünk:

a) jogszabályok és egyéb szabályozások megsértése,

b) az alaptevékenységek akadályozása,

c) szavahihetőség, jó hírnév elvesztése,

d) személyes információkkal kapcsolatos titoksértés,

e) személyi biztonság veszélyeztetése,

f) a kényszerítő eszközök hatékonyságának csökkentése,

g) titoksértés (államtitok, szolgálati titok, üzleti titok, banktitok, orvosi titok, stb.),

h) a közrend megsértése,

i) pénzügyi veszteség okozása,

j) a környezet biztonságának veszélyeztetése.

2004. 07. 19. 0.91 verzió 59


A szervezet természetesen más szempontokat is figyelembe vehet, melyeket kiválasztott

kockázatelemzési módszertanban kell érvényesíteni. A szervezetnek meg kell húznia a károk-

kal kapcsolatos saját határokat is. Például az a pénzügyi kár, amely egy kis cég számára vég-

zetes lehet, egy nagyon nagy vállalkozás számára „alacsony”, vagy egyenesen „elhanyagolha-

tó” értéket képviselhet.

E fázisban hangsúlyozni kell, hogy az értékelési módszertannak lehetőséget kell adnia

arra, hogy ne csak számszerűsített (kvantitatív), hanem minőségi (kvalitatív) értékelést is le-

hessen végezni ott, ahol a számszerűsített értékelés lehetetlen vagy nem logikus (például élet-

veszély vagy a jó hírnév elvesztésének esetében). A használt értékelési skálát magyarázattal

kell kiegészíteni.

Az eszközök más eszközöktől való függőségét szintén azonosítani szükséges, mivel ez

az eszközök értékére befolyással lehet. Például az adatok bizalmasságát a feldolgozás teljes

folyamatában fenn kell tartani, tehát az adatfeldolgozást végző programmal szembeni bizton-

sági igényeknek közvetlenül kell kapcsolódniuk ahhoz az értékhez, melyet az adatok titkossá-

ga jelent. Ha egy folyamat egy program által készített adatok sértetlenségére alapoz, akkor e

program bemenő adatainak is megbízhatóaknak kell lenniük. Ráadásul az információk sértet-

lensége a tárolásukhoz és feldolgozásukhoz alkalmazott hardvertől és szoftvertől is függ. A

hardver pedig a tápellátástól és valószínűleg a légkondicionálástól. Ily módon a függőségekről

szóló információk segíteni fogják az odatartozó fenyegetések, és különösen a sérülékenységek

azonosítását. Továbbá abban is segítenek, hogy az eszközökhöz (összefüggéseik figyelembe

vételével) valódi értéküket rendeljük hozzá, így tehát éppen a megfelelő védelmet fogják kap-

ni.

Azon eszközök értékét, melyektől más eszközök függnek, a következőképpen módo-

síthatjuk:

a) ha a függő eszközök (például adatok) kisebb vagy egyenlő értékkel bírnak, mint a vizs-

gált eszköz (például szoftver), akkor annak értéke változatlan marad,

b) ha a függő eszköz (például adat) nagyobb értékkel bír, mint a vizsgált eszköz (például

szoftver), akkor annak értékét növelni kell a következők szerint:

1) a függőség mértéke,

2) az egyéb tényezők értéke.

2004. 07. 19. 0.91 verzió 60


A szervezetnek lehet több olyan eszköze, mely több példányban áll rendelkezésre, mint

például a szoftverek másolatai vagy az ugyanolyan típusú asztali számítógép az irodákban.

Ennek figyelembe vétele fontos az eszközök értékelése során. Egyrészt könnyű átsiklani ezen

példányok felett, ezért mindegyikükre figyelni kell, másrészt a hozzáférhetőségi problémákat

is csökkenthetjük a segítségükkel.

E lépés végeredménye egy lista az eszközökről és értékükről a következőkkel kapcso-

latban: felfedésük (titkosságuk megőrzése), módosításuk (sértetlenségük megőrzése), hasz-

nálhatatlanságuk és tönkretételük (használhatóságuk fenntartása) és a csere költsége.

5.2.2. Az adatok minősítése, címkézése és kezelése

A minősítő rendszer eljárásainak ki kell terjedniük a tárgyi és elektronikus információs

eszközökre. Meg kell határozni az adatfeldolgozás egyes tevékenységeinél alkalmazható – az

adat minősítésétől függő – adatkezelési eljárásokat:

a) adatelőállítás,

b) adatbevitel,

c) másolás,

d) tárolás,

e) archiválás (biztonsági, illetve üzemszerű),

f) átvitel,

g) megsemmisítés.

A magasabb biztonsági osztályba sorolt adatokat tartalmazó rendszerek kimeneti adatait

a kimeneten megfelelő címkével kell jelölni. A címkézésnek az előző pontban hivatkozott

biztonsági osztályoknak megfelelően tükröznie kell az adat minősítését és annak időbeli hatá-

lyát.

Az adatok bizonyos formáinál (elektronikus eszközökön tárolt adatok) ez a megoldás

nem alkalmazható, ezért ezekben az esetekben a címkézés elektronikus eszközeit kell alkal-

mazni.

2004. 07. 19. 0.91 verzió 61


6. SZEMÉLYI BIZTONSÁG

6.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban

Az emberi hibák, lopás, csalárd magatartás vagy a létesítmények és az eszközök nem

megfelelő használata során fellépő, az előírások szándékos vagy véletlen megsértéséből eredő

biztonsági kockázatokat mérsékelni kell, a következők szem előtt tartásával:

a) A biztonsági követelményeket a munkaerő-felvételnél, a szerződésekben, valamint az

egyén foglalkoztatása során egyaránt érvényesíteni kell.

b) A munkaerő-felvételi eljárás során – törvényes keretek között – olyan vizsgálatokat kell

lefolytatni, melyek egyértelmű képet adnak a jelentkező informatikai biztonság oldaláról

tekintett alkalmasságáról (ld. 6.1.2.), ez különösen fontos az informatikai biztonság szem-

pontjából kiemelt fontosságú munkakörök esetén. Minden munkavállalónak, a rendszerek

külső használóinak (a velük kötött szerződés alapján), alá kell írniuk egy titoktartási nyi-

latkozatot.

c) A munkavállalótól csak olyan nyilatkozat megtétele vagy olyan adatlap kitöltése kérhető,

illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely a személyisé-

gi jogait nem sérti, a munkaviszony szempontjából lényeges tájékoztatást nyújthat, és ah-

hoz az érintett írásban hozzájárult.

6.1.1. Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban

Valamennyi munkaterületre részletes munkaköri leírást kell készíteni. A munkaköri le-

írásnak tartalmaznia kell az adott munkaterületre vonatkozó, a biztonsággal kapcsolatos köve-

telményeket is a felelősség egyértelmű megjelölésével.

A funkcionalitásokat úgy kell meghatározni, hogy azok teljes terjedelmükben hozzáren-

delhetők legyenek a munkakörökhöz, és ezáltal el lehessen azokat határolni egymástól, hogy

minden munkavállaló csak a szigorúan rá vonatkozó feladatot hajtsa végre.

2004. 07. 19. 0.91 verzió 62


Az informatikai biztonság szempontjából elengedhetetlen a humánerőfor-

rás-gazdálkodási és biztonsági szakterületek folyamatos együttműködése a be- és kiléptetési

folyamatokkal kapcsolatban.

A be- és kilépéskor a hozzáférési jogosultságokat is meg kell határozni, és azokat a kel-

lő időben érvényesíteni kell.

6.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika

A munkatársak esetében ellenőrzést kell végezni a felvételi eljárás során. Ez foglalja

magába:

a) üzleti és személyi referenciák meglétét,

b) a felvételre jelentkező életrajzának ellenőrzését teljességre és pontosságra,

c) a legmagasabb iskolai végzettség (szakképzettség) megerősítését,

d) hatóság által kibocsátott azonosító iratot (személyi igazolvány vagy útlevél).

Államtitok vagy szolgálati titok kezelésének szükségessége esetén a nemzetbiztonsági ellen-

őrzés pozitív eredményéhez (NATO vagy EU biztonsági tanúsítvány) kell kötni az alkalmaz-

hatóságot (véglegesítést).

A személyzeti politikát a humánerőforrás-gazdálkodás készíti el a biztonsági szegmen-

sek figyelembe vételével. A személyzet biztonsági átvilágításáról külön szabályzatban kell

részletesen intézkedni. Ennek mindenképpen ki kell térnie a munkavállaló referenciáinak ér-

tékelésére, az életrajz pontosságának és teljességének vizsgálatára, a szakképzettség és az azt

igazoló iratok meglétének ellenőrzésére, illetve az összeférhetetlenség fennállásának vizsgála-

tára.

6.1.3. Titoktartási nyilatkozatok

A titoktartási nyilatkozat (megállapodás) célja, hogy felhívja a figyelmet az adott in-

formációk bizalmasságára. A munkatársak az ilyen megállapodást alkalmazásuk feltételei

tudomásul vétele keretében írják alá. Alkalmi munkaerőnek és a külső személynek, akikről a

meglévő, a titoktartási megállapodást is tartalmazó szerződés nem intézkedik, külön titoktar-

tási megállapodást kell aláírniuk, még mielőtt az adatokhoz, vagy az informatikai eszközök-

höz hozzáférést nyernének.

2004. 07. 19. 0.91 verzió 63


A titoktartási megállapodást felül kell vizsgálni, amikor az alkalmazási feltételek meg-

változnak, különösen pedig akkor, amikor egy-egy munkavállaló arra készül, hogy elhagyja a

szervezetet, vagy ha a szerződés lejártának időpontja várható.

A titoktartási nyilatkozatról a szervezet sajátosságának megfelelő Titokvédelmi Sza-

bályzatban kell részletesen intézkedni.

6.1.4. A foglalkoztatás feltételei

A foglalkoztatás alapvető biztonsági feltételei az általános és a munkakörre vonatkozó

speciális biztonsági előírások megismerése, elfogadása, a titoktartási nyilatkozat aláírással

történő elfogadása.

Az alkalmazás feltételei között ajánlatos megállapítani a munkatárs informatikai bizton-

sági felelősségeit. Ahol lehetséges (vezető beosztású, vagy más kiemelt munkakörök), ezek a

felelősségek meghatározott időtartamra terjedjenek ki az alkalmazás megszűnése után is. Eb-

be bele kell foglalni azokat az intézkedéseket, kötelezettségeket, amelyek akkor lépnek életbe,

ha a munkatárs nem tartja be az előírt biztonsági követelményeket.

A munkatársak jogai és kötelességei, például a szerzői jogokra vagy a személyes adatok

védelmére vonatkozóan, legyenek az alkalmazás feltételei közé sorolva. Ugyancsak ajánlatos

belefoglalni a munkatársra vonatkozó adatok biztonsági osztálybasorolásának és kezelésének

felelősségét. Az alkalmazási feltételekben szerepeljen, hogy ezek a felelősségek fennállnak a

szervezet telephelyein kívül is, a munkatárs rendes napi munkaidején túl is, például az otthoni

munkavégzés alatt is (lásd a 7.2.5. és a 9.8.1. szakaszban).

2004. 07. 19. 0.91 verzió 64


6.2. Felhasználói képzés

Gondoskodni arról, hogy a felhasználók tudatában legyenek az informatikai biztonság

fenyegetéseinek és gondjainak, és fel legyenek szerelve mindazzal, amire azért van szükség,

hogy az informatikai biztonságpolitikában és más szabályzókban előírtakat szokásos napi

munkájuk során betartsák. A felhasználók legyenek kioktatva a biztonsági eljárásokról és az

információfeldolgozó eszközök helyes használatáról a lehetséges biztonsági kockázat mini-

malizálása érdekében.

A felhasználóknak ismerniük kell a biztonsági felelősségüket, a biztonsági eljárások al-

kalmazását és az adatfeldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra

csökkentsék a lehetséges biztonsági kockázatokat, és alá kell írniuk az erről szóló nyilatkoza-

tot.

A felhasználói oktatás a biztonsági elképzeléseket is figyelembe vevő Képzési Terven

alapul.

Az informatikai vezetőnek – az informatikai biztonságpolitika elveinek, valamint a saját

hatáskörben meghatározott képzési elveknek megfelelően – a humánerőforrás-gazdálkodással,

illetve a Biztonsági Vezetővel egyeztetve ki kell dolgoznia a Képzési Tervet.

6.2.1. Az informatikai biztonsági oktatás és képzés

A szervezet valamennyi munkatársát, és ahol szükséges, a harmadik fél felhasználóit is,

megfelelő képzésben kell részesíteni a szervezet biztonsági szabályairól és eljárásairól. Ezeket

az ismereteket rendszeresen naprakész ismeretek közlésével fel kell újítani. A képzés foglalja

magába a biztonsági követelményeket, a jogi felelősséget, az üzleti óvintézkedéseket, vala-

mint az informatikai eszközök helyes használatát, például a bejelentkezési eljárást, a szoftve-

rek használatát. A képzést azelőtt kell lefolytatni, még mielőtt a felhasználók megkapnák a

hozzáférési jogot (jogosultság) az informatikai rendszerekhez, vagy az adatokhoz.

Az oktatási és képzési dokumentáció és a módszertani kézikönyv megfelelő fejezetei

részletesen kell, hogy tartalmazzák a biztonsági oktatásra vonatkozó információkat.

Az általános biztonságtudatosítási képzés mellett, melynek mindenkire vonatkoznia kell

a szervezetben, különleges biztonsági képzés is szükséges az informatikai biztonsággal fog-

lalkozó személyzet számára. A biztonsági képzés mélységének az informatikának a szerveze-

2004. 07. 19. 0.91 verzió 65


ten belüli általános fontosságához kell igazodnia, és az adott szerep biztonsági követelménye-

inek megfelelően kell változnia. Amennyiben szükséges, sokkal kiterjedtebb oktatást, például

egyetemi kurzusokon való részvételt is biztosítani kell. Egy informatikai biztonsági képzési

programot kell kialakítani az összes biztonsághoz kapcsolódó igény lefedésére.

A különleges biztonsági képzésre küldendő személyzet kiválasztásakor a következőket

kell figyelembe venni:

a) az informatikai rendszerek tervezésében és fejlesztésében kulcsszerepet játszó személyzet,

b) az informatikai rendszerek üzemeltetésében kulcsszerepet játszó személyzet,

c) szervezeti, projekt és rendszerszintű Informatikai Biztonsági Vezetők,

d) a biztonság adminisztrációjáért felelős személyzet, például a hozzáférés ellenőrzés vagy a

címtár kezelés területén.

Minden esetben ellenőrizni kell, hogy a tevékenységekhez (projektekhez) szükséges-e

különleges biztonsági képzés. Valahányszor olyan tevékenységek vagy projektek kezdődnek,

melyek speciális biztonsági követelményeket támasztanak, biztosítani kell a megfelelő bizton-

sági képzési program kialakítását és lebonyolítását még a projekt indulása előtt.

A biztonsági képzés tematikáját a résztvevők szerepe és funkciója szerint kell kialakíta-

ni. Általánosan alkalmazhatók az alábbiak:

a) mi a biztonság

1) a bizalmasság, sértetlenség, rendelkezésre állás megsértésének megakadályozása,

2) biztonsági esemény esetén a szervezet vagy a személy számára várható negatív hatá-

sok,

3) az információk érzékenységi kategorizálásának sémája,

b) az általános biztonsági folyamat

1) a teljes folyamat leírása,

2) a kockázatfelmérés összetevői.

c) biztosítékok és a biztosítékoknak eleget tevő oktatás,

d) szerepek és felelősségek,

e) informatikai rendszer biztonsági politika.

2004. 07. 19. 0.91 verzió 66


Az informatikai biztonsági képzési program egyik legfontosabb célja a biztosítékok he-

lyes kialakítása és használata. Minden szervezetnek az igényeknek és a létező, valamint a ter-

vezett biztosítékoknak megfelelő módon ki kell alakítania a saját informatikai biztonsági kép-

zési programját. A következőkben példákat mutatunk be a biztosítékokhoz kapcsolódva érin-

tendő témakörökből, hangsúlyozva, hogy egyensúlyra van szükség a nem technikai és a tech-

nikai jellegű biztosítékok között:

a) biztonsági infrastruktúra:

1) szerepek és felelősségek,

2) biztonsági politika,

3) rendszeres biztonsági megfelelőség ellenőrzés,

4) biztonsági események kezelése;

b) fizikai biztonság:

1) épületek,

2) irodai területek, technikai helyiségek,

3) felszerelések;

c) személyzeti biztonság;

d) adathordozók biztonsága;

e) hardver/szoftver biztonság:

1) azonosítás és hitelesítés,

2) logikai hozzáférés ellenőrzés,

3) elszámolás és biztonsági ellenőrzés,

4) tárolóterületek megtisztítása;

f) kommunikáció biztonság:

1) hálózati infrastruktúra,

2) hidak, útválasztók, átjárók, tűzfalak, hubok, switchek,

3) Internet és egyéb külső csatlakozások;

g) üzletmenet folytonosság, ide értve a katasztrófa esetén történő tevékenységeket és vissza-

állítási stratégiát, terve(ke)t.

2004. 07. 19. 0.91 verzió 67


6.3. Biztonsági és üzemzavarok kezelése

Gondoskodni arról, hogy a biztonsági események és zavarok okozta kár minimális le-

gyen, hogy a biztonsági eseményeket folyamatosan nyomon legyenek követve, és a megfelelő

következtetéseket az illetékesek levonják.

Mérsékelni kell a biztonságot befolyásoló események és működési zavarok következ-

ményeit; nyomon kell követni az eseményeket; biztosítani kell a mielőbbi normális üzemre

való visszaállást és a tapasztalatokat írásban kell megfogalmazni.

Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a

napi feldolgozást hátráltatják, azonnal jelenteni kell a feldolgozásért felelős illetékeseknek.

Minden munkavállalónak és vállalkozónak ismernie kell a szervezet működésének és az

általa használt eszközök használatának biztonságát befolyásoló különböző események (biz-

tonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok) jelentésének

eljárási szabályait. A munkavállalóknak a továbbiakban meghatározottak szerint jelenteniük

kell az észlelt eseményeket. Az események biztonságos kezeléséhez szükség van arra, hogy a

történést követően nyomban összegyűjtsék a meglévő bizonyítékokat.

A kockázatok azonosításához és súlyosságuk méréséhez kockázatfelmérésre van szük-

ség. A kockázatfelmérés támogatásához és eredményességének fejlesztéséhez információkra

van szükség a biztonsági eseményekről. Az információkat biztonságos módon kell gyűjteni és

elemezni, ezért fontos, hogy minden szervezetnek legyen használatban helyesen összeállított

és szervezett informatikai esemény elemzési sémája (EES), a gyűjtött információkat pedig

hozzáférhetővé kell tenni a kockázatelemzés és -kezelés, valamint más biztonsághoz kapcso-

lódó tevékenységek számára.

Az eredményesség és a felhasználói igények kielégítésének érdekében az EES-t a fel-

használói követelmények alapján kell összeállítani. Továbbá, minden valós tevékenységet

megelőzően szükség van az események kezelésének ismertetésére a biztonsági tudatossági

programban, hogy mindenki, aki várhatóan bevonásra kerül megértse, mit jelent az EES, mi-

lyen előnyt nyújt és milyen eredményeket lehet elérni vele:

a) fejleszti a kockázatfelmérés és vezetői szemlék,

b) segít az események bekövetkezésének megakadályozásában,

c) növeli a biztonságtudat szintjét,

2004. 07. 19. 0.91 verzió 68


d) figyelemfelhívó (riasztási) információkat nyújt az IBECS számára,

e) A fentiekhez kapcsolódó kulcsfontosságú szempontok lehetnek bármely EES esetében:

1) előregyártott tervek készítése a nem kívánt események bekövetkezésének esetére, akár

külső akár belső, logikai vagy fizikai támadásról vagy gépi, esetleg emberi hibából

bekövetkező balesetről is legyen szó,

2) az események kivizsgálására kinevezett vagy megbízott személyzet képzése, például

informatikai biztonsági eseménykezelő csoport (IBECS) kialakítása útján.

Az IBECS lehet többé-kevésbé formalizált, mint meghatározott személyek csoportja,

akik kivizsgálják az informatikai események okait, tanulmányozzák a jövőbeni bekövetkezés

lehetőségeit vagy rendszeresen tanulmányokat, elemzéseket készítenek a történeti adatsorok

alapján. Ennek eredményeit javító jellegű intézkedésekhez lehet felhasználni. Az IBECS áll-

hat belső munkatársakból, de külső (például szerződéses) résztvevőkből is.

Megfelelő terv és kiképzett személyzet birtokában egy nem kívánt esemény bekövetke-

zésekor elerülhetők az elhamarkodott döntések, bizonyítékot lehet használni és megőrizni az

esemény forrásának lenyomozásához és azonosításához, az értékes eszközök védelme lénye-

gesen gyorsabban biztosítható és nem csak az esemény, de a válasz költségei is csökkenthe-

tők. Továbbá a nyilvánosságra kerülő negatív információk is minimalizálhatók.

Minden szervezetnek egy hatékony EES segítségével fel kell készülnie a biztonsági

események bekövetkezésére, ezért a következő lépéseket kell meg tenni:

a) felkészülés – előre dokumentált megelőző intézkedések, eseménykezelési útmutatások és

eljárások (a bizonyíték védelmét, az eseménynaplók karbantartását és a nyilvánosság tájé-

koztatását is ide értve), a szükséges dokumentumok, valamint üzletmenet-folytonossági

tervek,

b) bejelentés – eljárások, módok és felelősségek azzal kapcsolatban, hogy miként és kinek

jelentsék az eseményeket,

c) értékelés – eljárások és felelősségek az események kivizsgálásában és súlyosságuk meg-

határozásában,

d) irányítás – eljárások és felelősségek az eseményekkel való tevékenység során: a károk

csökkentésekor, az esemény felszámolás alkalmával és a felső vezetés tájékoztatásakor,

e) helyreállítás – eljárások és felelősségek a normál működés helyreállításakor,

2004. 07. 19. 0.91 verzió 69


f) áttekintő vizsgálat – eljárások és felelősségek az eseményt követő tevékenységek során,

ideértve a jogi következmények kivizsgálását és a trendek elemzését.

A fenyegetések előfordulásáról szóló információk nagy segítséget jelentenek a fenyege-

tések felmérésének minőségi javításában és így a kockázatelemzésben is. Továbbá az esemé-

nyek kivizsgálásakor valószínű, hogy új és további információk gyűjthetők a sérülékenysé-

gekről és azok kihasználásának módjáról. Fontos, hogy míg az önálló szervezeteknek is elő-

nyük származik az EES használatából, többen megfontolandónak tarthatják, hogy sokkal több

előnnyel jár bizonyos biztonsági eseményekkel kapcsolatos információkat megosztani má-

sokkal, hogy egy szélesebb alapot teremtsenek a veszélyek azonosításához és a trendek feltá-

rásához a védekezés megkönnyítése érdekében. Ennek kihasználásához olyan EES adatbázis-

struktúrát kell használni, mely kellően rugalmas ahhoz, hogy lefedje a követelményeket teljes

(minden szektorra kiterjedően, fenyegetés típusok és hatások) valamint részleges fenyege-

tés/hatás elemzési igények esetén is. Akár a szervezeteken belül, akár a szervezetek között,

minden kapcsolódó EES-nek a mért jellemzők és a rögzített információk struktúráját tekintve

haasonlónak kell lennie. Ez teszi lehetővé az összehasonlítást és az elemzést. A közös struktú-

ra használata jelenti a kulcsot a sokkal átfogóbb eredményekhez és különösen a sokkal szilár-

dabb alapot a riasztó jelek azonosításához, ami egyes esetkben különálló EES útján nem is

volna lehetséges. Természetesen az információk bizalmasságára vonatkozó szabályokat ebben

az esetben is értelemszerűen használni kell.

Mint arra már utaltunk a fentiekben, az EES és a kockázatelemzés, valamint a vezetési

eljárások közötti kapcsolatban való előrehaladás jelentősen javíthatja az eredményeket, ezáltal

növelve az EES-ből származó előnyöket. Az EES használata lehetővé teszi a felhasználó szá-

mára a sérülékenységek feltárását és vizsgálatát, valamint értékes információkat biztosít a

kockázatfelmérési megközelítések számára. Ezeket részben a fenyegetéskről, részben az ese-

mények vizsgálatából, például az IBECS-től származó információkra lehet alapozni. Például a

logikai behatolás veszélye (a támadó jelenléte és a feldolgozott információ vonzó volta) egye-

sítve a logikai behatolás sérülékenységgel (elégtelen vagy hiányos a megfelelő logikai hozzá-

férés-ellenőrző mechanizmus) növeli a kockázatot. Ezért az EES azonosításra történő haszná-

lata és a sérülékenységek vizsgálata a fenyegetésekről szóló információk használatán keresz-

tül valósulhat meg, mely az eseményekről szóló adatbázis bemenő információját is képezi

melyet már jelentettek, egyesítve az egyéb forrásból származó információkkal, különösen az

IBECS vizsgálataiból és tanulmányaiból, melyek felfedhetnek előzőleg nem azonosított sérü-

lékenységeket.

2004. 07. 19. 0.91 verzió 70


Figyelembe kel venni, hogy az EES funkciók a megtörtént biztonsági eseményekhez

kapcsolódó adatoknak megfelelőek. Ezért, bármilyen EES nem tud közvetelenül információt

adni azokról a sérülékenységekről, melyek megtörténhetnek, de még nem jelentek meg in-

formatikai eseményekben. Továbbá, az EES adatokat elővigyázatosággal kell alkalmazni sta-

tisztikai és tenderelemzési célokra, mivel a bemenő adatok lehetnek hiányosak, vagy hibásan

kerülhettek azonosításra. Mindazon által, az IBECS vizsgálatainak eredményei és a vezetői

vizsgálatok segítséget adhat a kockázatelemzés és sérülékenység felmérés minőségének javí-

tásához.

6.3.1. Biztonsági események jelentése

A biztonságot érintő eseményeket – amilyen gyorsan csak lehet – a megfelelő (az EES-

ben rögzített) vezetői csatornákon jelenteni kell.

A szervezetben mindenkinek tudatában kell lennie a biztonsági események minél

gyorsabb jelentése szükségességének ideértve a szoftverek hibás működését és azonosított

gyenge pontjait. Az események kezelése magában foglalja:

1. Biztonsági események jelentése

Minden munkavállalónak tudatában kell lennie annak a kötelezettségének, hogy jelen-

tenie kell a biztonsági eseményeket. Az eseményeket lehet azonosítani és jelenteni

eszközök segítségével is, annak érdekében, a hatékony eseménykezelés érdekében a

jelentési sémát kell kidolgozni.

2. Biztonsági sérülékenységek jelentése

Ha a felhasználók bármilyen biztonsági eseményt észlelnek, minél előbb jelenteniük

kell a szervezeti egysége vezetőjének és az Informatikai Biztonsági Vezetőnek, vala-

mint kötelesek mindent megtenni a szükséges bizonyítékok összegyűjtésére.

3. Hibásan működő szoftver bejelentése

Ha a felhasználók bármilyen hibás szoftverműködést érzékelnek, minél előbb jelente-

niük kell a felelős személynek (rendszergazda, help desk).

4. Eseménykezelés

Megfelelő vezetési folyamatot kell kidolgozni és alkalmazni, amely támogatja a biz-

tonsági sérülékenységekkel szembeni védelmet, észlelésüket és jelentésüket, valamint

a megfelelő választ az eseményre. Az eseményre vonatkozó információkat össze kell

2004. 07. 19. 0.91 verzió 71


gyűjteni, és értékelni kell annak érdekében, hogy a jövőben elkerülhető legyen, és ez-

által – ha megtörténik – csökkenthetőek legyenek a károk.

Az Informatikai Biztonsági Vezető az eseményt a lehető legrövidebb idő alatt vizsgálja

ki, és amennyiben a felelősségre vonás szükségessége fennáll, értesítse a munkáltatói jogkör

gyakorlóját és a Biztonsági Vezetőt arról, hogy a munkavállalóval szemben a kötelességsze-

gés gyanúja esetén alkalmazott meg kell indítni.

6.3.2. Biztonsági rendszerek hiányosságainak jelentése

(A rendszerek és a programok működési zavarainak kezelése.)

A szervezet minden informatikai eszközén, folyamatosan figyelni kell a rendszerek

esetleges hibaüzeneteit. Sajnos sok esetben ezeket a hibaüzeneteket a felhasználók nem veszik

figyelembe, ezért ennek fontosságát a felhasználókkal is tudatosítani kell.

Teendők rendszer-, illetve alkalmazáshiba esetén:

a) Figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket.

Rendszer-, vagy alkalmazáshiba esetén az adott számítógépen fel kell függeszteni a mun-

kát. A hibaüzenetet a felhasználó nem törölheti a képernyőről, amíg az illetékes informa-

tikai munkatárs azt nem látta. A felhasználó semmiféle kísérletet nem tehet a számítógép

rendszert, vagy a hálózat működését érintő hiba megszüntetésére, még akkor sem ha kellő

felhasználói ismeretekkel rendelkezik. A hiba elhárítására csak az illetékes informatikai

munkatárs jogosult!

b) Amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás, vagy vírustámadás

okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, szük-

ség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adat-

hordozókra is (floppy lemez, CD-rom, ZIP-drive, FLASH memória, mentési médiák), me-

lyeket az illetékes informatikai munkatársnak vizsgálat céljára át kell adni.

c) A szervezet hozzáférési, és egyéb adatvédelmi rendszereinek működés zavarát, a megtett

intézkedéseket, haladéktalanul jelenteni kell a szervezet illetékes vezetőjének és az Infor-

matikai Biztonsági Vezetőnek.

d) A meghibásodott számítógépben használt adathordozók kizárólag a biztonsági ellenőrzést

követően használhatók más számítógépekben.

2004. 07. 19. 0.91 verzió 72


6.3.3. Programhibák jelentése

A programhibák észlelése esetén követendő eljárás legyen szabályozott, és tartalmazza

az alábbi előírásokat:

a) A hiba (zavar) tüneteit, a képernyőn megjelenő minden üzenetet fel kell jegyezni.

b) A számítógépet – ha ez lehetséges – el kell szigetelni a hálózattól és használatát ajánlatos

beszüntetni. Azonnal értesíteni kell az illetékes informatikai munkatársat.

c) Az eseményt azonnal jelenteni kell az Informatikai Biztonsági Vezetőnek is.

6.3.4. Okulás véletlen eseményekből

Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, a fel-

jogosítási és monitorozási rendszer működési zavara alapján értékelni kell. Az elemzés alap-

ján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabály-

zatok korszerűsítését.

6.3.5. Fegyelmi eljárás

Formális fegyelmi szabályokat kell létrehozni, hogy azokkal a munkatársakkal foglal-

kozzék, akik a szervezet biztonsági szabályzatait és eljárásait megsértették (lásd a 6.1.4. sza-

kaszt, és a bizonyítékok megőrzéséről a 12.1.7. szakaszt). Ez az eljárás visszatartólag hathat

olyan munkatársakra, akik egyébként hajlamosak lennének arra, hogy a biztonsági szabályo-

kat megszegjék. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gya-

núja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető felelőssé-

ge, és egyben kötelessége. A felelősségi, kártérítési eljárást a Munka Törvénykönyve (és ha

van ilyen a Kollektív Szerződés) szerint kell lebonyolítani. Az eljárás minden esetben legyen

korrekt és méltányos.

2004. 07. 19. 0.91 verzió 73


7. FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG

A fizikai és környezeti biztonság megteremtése, illetve fenntartása érdekében a vonat-

kozó jogszabályok, biztonsági és tűzvédelmi szabványok, valamint a helyi szabályzatok, ren-

delkezések előírásainak maradéktalanul meg kell felelni.

7.1. Biztonsági szegmensek

Az infrastruktúrát és az információt meg kell védeni a jogosulatlan hozzáféréstől, a sé-

rüléstől, valamint az illetéktelen beavatkozástól.

Az illetéktelen hozzáférés, a károkozás és az üzleti helyiségekbe való behatolás, vala-

mint az adatok jogtalan elérésének megakadályozása érdekében a lehetséges kockázatokat fel

kell mérni és ennek megfelelően biztonsági területeket kell kijelölni.

A kritikus vagy érzékeny üzleti adatokat feldolgozó és tároló eszközöket, szervezeteket,

létesítményeket meghatározott biztonsági sávval védett, biztonsági korlátokkal és áthaladást

ellenőrző pontokkal ellátott területeken (a továbbiakban: biztonsági területek) kell elhelyezni.

Gondoskodni kell az illetéktelen behatolást, hozzáférést, károkozást és beavatkozást megaka-

dályozó fizikai-mechanikai, elektronikai és személyi védelem szükséges méretű – együttes –

alkalmazásáról.

A védelemnek arányban kell állnia a megállapított kockázatokkal. Az illetéktelen hoz-

záférés megakadályozása, a dokumentumok, az adathordozók védelme és az adatfeldolgozó

létesítmények kockázatának mérséklése érdekében szükség van megfelelő beléptetési és meg-

figyelési szabályok érvényesítésére.

A kialakított biztonsági intézkedések legyenek kockázatarányosak. Ajánlatos, hogy az

„Üres asztal - tiszta képernyő” szabály alkalmazásával csökkentsük a papírok, az adathordo-

zók és az információfeldolgozó eszközök jogosulatlan hozzáférésének és károkozásának a

kockázatát.

2004. 07. 19. 0.91 verzió 74


7.1.1. Biztonsági határok

A fizikai biztonsági zónákat informatikai rendszerenként, valamint biztonsági osztá-

lyonként egyaránt rögzíteni kell. A biztonsági területeken belül biztonsági zónákat kell meg-

határozni és kijelölni, valamint azokat informatikai rendszerenként, illetve biztonsági osztá-

lyonként rögzíteni kell.

A védelemigényes helyiségekbe (biztonsági területekre vagy zónákba) való belépési jo-

gosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az

informatikai rendszerben vagy környezetében betöltött szerepük alapján kell hozzá rendelni a

helyiségekhez vagy helyiségcsoportokhoz.

7.1.2. A beléptetés fizikai eszközei

A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellen-

őrizni kell.

A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosult-

sággal nem rendelkező munkatársak, illetve külső személyek esetén a be- és kilépést minden

esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési

célt.

Külső személyek csak kísérettel tartózkodhatnak a szervezet objektumain belül.

A fokozott vagy a kiemelt biztonsági osztályba sorolt zónák esetén az állandó belépési

jogosultsággal rendelkező személyek be- és kilépését is naplózni kell.

A fokozott vagy kiemelt biztonsági osztályba sorolt zónák esetén a belépés ellenőrzését

a beléptető rendszer kártyáján túl egyéb hitelesítési eljárások alkalmazásával (például PIN

kód, biometriai azonosító eljárások) is meg kell erősíteni.

7.1.3. Létesítmények és helyiségek biztonsága

Az informatikai rendszerek környezetét legalább a biztonsági osztálynak megfelelő fizi-

kai-, mechanikai-, elektronikai- és személyi védelemmel kell biztosítani (például rácsos abla-

kok, az áttörést megnehezítő üvegezés, acélajtók). Az alkalmazott védelmi formák körét, azok

kialakítását a Biztonsági Vezető határozza meg az informatikai biztonságpolitika elveinek

megtartása mellett, az adott létesítmény védelmi igényének és speciális feltételeinek figye-

lembe vételével.

2004. 07. 19. 0.91 verzió 75


A következő védelmi intézkedéseket ajánlatos megfontolni:

a) A kulcsfontosságú eszközöket úgy ajánlatos elhelyezni, hogy az illetéktelen személyek

hozzáférését elkerüljük.

b) Az objektumok ne legyenek kirívóak, és ne mutassák céljukat, ne adják se belül se kívül

nyilvánvaló jelét, annak, hogy abban információfeldolgozó tevékenység folyik.

c) Segédberendezések és eszközök, mint a fénymásolók, szkennerek, a biztonsági körleteken

belül legyenek elhelyezve, hogy ezzel is elkerüljük az illetéktelen hozzáférés lehetőségét,

amely az információ veszélyeztetésével járna.

d) Ajtók és ablakok akkor, amikor nincs a közelben felügyelő személyzet, legyenek elrete-

szelve, és az ablakok külső védelméről is ajánlatos gondoskodni, különösen a földszinten.

e) A helyiségeket olyan alkalmas behatolásjelző rendszerrel kell védeni, amely az összes

külső ajtót és hozzáférhető ablakot (nyílászárót) lefedi és védi.

f) Az adott szervezet által kezelt és menedzselt információfeldolgozó eszközöket fizikailag

is ajánlatos elválasztani azoktól, amelyekkel harmadik felek foglalkoznak.

g) A névtárakat és a belső telefonkönyveket, címjegyzékeket, amelyek érzékeny

információfeldolgozó eszközök helyét azonosítják, nem szabad a nyilvánosság számára

elérhetővé tenni.

h) Veszélyes vagy gyúlékony anyagokat biztonságosan ajánlatos tárolni a biztonsági körlet-

től biztos távolságban. A tömegesen leszállított árút, mint az irodaszereket a biztonsági

körletben ajánlatos tárolni felhasználás előtt.

i) A tartalékberendezést és a tartalékolt adathordozókat olyan biztonságos távolságban aján-

latos elhelyezni, amellyel elkerülhető, hogy a központi telephely katasztrófája esetén kárt

szenvedjenek.

7.1.4. Munkavégzés a biztonsági szegmensekben

A biztonsági körlet biztonságának növeléséhez kiegészítő védelmi intézkedésekre és

útmutatókra van szükség. A következő intézkedéseket kell bevezetni:

a) A személyzet legyen tudatában a biztonsági körlet létezésének, és hogy abban tevékeny-

séget csak meghatározott célból szabad végeznie.

2004. 07. 19. 0.91 verzió 76


b) A biztonságos körletben el kell kerülni a felügyeletlen munkát, egyrészt a biztonság érde-

kében, másrészt hogy így a rosszindulatú tevékenység lehetőségét is megelőzzük.

c) A személyzet nélkül hagyott biztonságos körleteket fizikailag le kell zárni és időről időre

ellenőrizni.

d) A harmadik félként (külső személy) támogató munkát végző személyzetnek csak korláto-

zott hozzáférést (belépést) szabad adni, és azt is csak a szükséges esetben és időre a biz-

tonsági körletekbe, az érzékeny információt feldolgozó eszközök közelébe. Ezt a hozzáfé-

rést felhatalmazásként kell megadni, és ellenőrzés alatt kell tartani. A biztonsági sávokon

belül az olyan területek között, amelyeknek eltérők a biztonsági követelményeik, a fizikai

hozzáférés/megközelítés ellenőrzésére további akadályokra és biztonsági sávokra lehet

szükség.

e) A fényképezést, videofelvételt, audiófelvételt nem szabad megengedni csak külön felha-

talmazás formájában.

f) A beléptetés rendjére külön utasítást kell alkalmazni, de különösen betartandó:

1) A biztonsági területeken belül

− az állandó belépési jogosultsággal rendelkező személyek arcképes

− az eseti belépési jogosultságot kapott személyek fénykép nélküli

kitűzőt kötelesek viselni.

2) Látogatók, vendégek csak kísérettel tartózkodhatnak az objektumban.

3) A kitűzőt nem viselő személyt minden munkatárs köteles figyelmeztetni a kitűző

használatára, és ha ez nem vezet eredményre, az objektum biztonságáért felelős sze-

mélyt értesíteni kell.

7.1.5. A kiszolgáló területek és raktárak biztonsági elkülönítése

A kiszolgáló területeket és raktárakat, ahol csak lehetséges el kell különíteni az

információfeldolgozó eszközöktől. Az ilyen körletek biztonsági követelményeit kockázat-

elemzéssel (becsléssel) ajánlatos meghatározni.

A következő óvintézkedéseket ajánlatos megfontolni:

2004. 07. 19. 0.91 verzió 77


a) Az épületen kívüli raktárakhoz való hozzáférést az azonosított és felhatalmazott személy-

zetre kell korlátozni.

b) A raktárakat úgy kell tervezni, hogy a szállítmányokat úgy lehessen lerakodni, hogy a

kiszállító személyzetnek ne kelljen hozzáférnie, belépnie, az épület más részeibe.

c) A raktár külső ajtóinál biztonsági ajtókat kell alkalmazni, arra az esetre, amikor a belső

ajtók nyitva vannak.

d) A bejövő anyagokat a lehetséges veszélyekre tekintettel ajánlatos megvizsgál-

ni/megtekinteni [lásd a 7.2.1.d) szakaszt], mielőtt azok a raktárból végleges használati he-

lyükre kerülnek.

e) A bejövő anyagokat, ha ez alkalmas, ajánlatos már a telephelyre belépésükkor nyilvántar-

tásba venni (lásd az 5.1. szakaszt).

2004. 07. 19. 0.91 verzió 78


7.2. A berendezések fizikai védelme

Az informatikai berendezéseket, eszközöket fizikai valójukban is védeni kell a bizton-

ságot fenyegető veszélyektől és a káros környezeti hatásoktól.

A műszaki eszközök fizikai védelmére azért van szükség, hogy ily módon is mérsékel-

jük az adatokhoz való illetéktelen hozzáférés kockázatát, valamint gondoskodjunk az adatok

és eszközök megfelelő védelméről. Erre már a berendezések elhelyezése során is tekintettel

kell lenni. A veszélyek és az illetéktelen hozzáférés elhárításához, illetve a kiszolgáló létesít-

mények védelméhez különleges eszközökre, többek között áramszolgáltató és kábelrendező

infrastruktúrára is szükség van.

a) Az informatikai rendszerek védelmének ki kell terjednie:

1) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom el-

leni védelemre (klimatizálás),

2) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágne-

ses besugárzás elleni védelem),

3) külső tényezők (tűz, víz, vihar, stb.) elleni védelemre, így különösen a tűzjelző beren-

dezések meglétére és működőképességére, illetve a vízelvezetésre,

4) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és ge-

nerátoros szükség-áramellátással),

5) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve

egyéb túlfeszültségek elleni védelemre,

6) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek meg-

felelő kialakításával, amelyekbe az informatikai rendszereket telepítették).

b) A rendszerszintű IBSZ-ekben részletesen kell szabályozni:

1) a műszaki berendezések elhelyezését és védelmét,

2) az energiaellátást,

3) a kábelezés biztonságát,

4) a berendezések karbantartását,

5) a telephelyen kívüli berendezések védelmét,

2004. 07. 19. 0.91 verzió 79


6) a berendezések biztonságos tárolását és újrafelhasználását.

Mindehhez a következő követelményeket kell érvényesíteni:

a) 0. és 1. szinteken:

1) A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok

információvédelmének és megbízható működésének biztosításában nagy szerepet ját-

szik azoknak a helyiségeknek (például szerverszobák) a védelme, amelyekben ezek az

erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a há-

lózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek,

adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre

állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok

pótlásának költségével kell arányban lennie. Tekintettel ezek fajlagosan magas árára, a

védelem teljes körű és mindenre kiterjedő kell, hogy legyen. Erről a teljes körű véde-

lemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt ter-

jedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai)

védelemre. A biztonsági követelményeket az egész építményre vonatkozó összefüggé-

sek figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés,

megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek, stb.) kell

meghatározni, és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó bizton-

sági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott

biztonság mértékétől. Ilyen helyiségek a távbeszélő hálózat hozzáférési pontjai, a

számítógéptermek, a pénztárak, az ügykezelés helyiségei, ügyeleti szolgálatok.

2) A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál

a vonatkozó szabványok.

3) Az objektumok őrzés-védelmét, nyitását és zárását, a be- és kilépést mind munkaidő-

ben, mind azon kívül a hatályban lévő szabályzatok és az érvényes előírások alapján

biztosítani és érvényesíteni kell.

4) Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munka-

végzés, biztonsági zárral kell ellátni, és a helyiséget távollét esetén zárva kell tartani.

5) Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását.

6) A tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő sze-

mélyzet biztosítja a helyiségen belül készenlétben tartott – a tűzvédelmi előírásoknak

2004. 07. 19. 0.91 verzió 80


megfelelő – kézi tűzoltó-készülékekkel. A készenléti helyeken elsődlegesen gáz hal-

mazállapotú oltóanyaggal feltöltött tűzoltó-készülékek legyenek. A készülékek típusát

és darabszámát, illetve elhelyezését a helyi tűzvédelmi utasításnak kell tartalmaznia. A

készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas,

jól megközelíthető pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok

előírásainak megfelelő tűzjelző rendszert kell kiépíteni és üzemeltetni.

7) Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok előírásait, az

érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok előírásainak.

8) A rendelkezésre állás szempontjából lényeges követelmény, hogy az elektromos háló-

zatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelmé-

nyeknek megfelelően kell kialakítani és külön leágazás megépítésével kell a betáplá-

lásról gondoskodni.

9) A villámvédelem feleljen meg a kommunális és lakóépületekre vonatkozó előírások-

nak.

10) Az átlagostól eltérő klimatikus viszonyú (például a hőmérséklet, illetve a páratartalom

értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) he-

lyiségekben lokális klimatizálásról kell gondoskodni.

b) 2. és 3. szinten, az előzőeken túl:

1) A területen 12 órás áthidalást biztosító szünetmentességgel ellátott olyan elektronikai

jelzőrendszert kell kiépíteni, amellyel biztosítható a teljes felület- és a részleges térvé-

delem.

2) A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott for-

mában kell megvalósítani.

3) Az őr- és a biztonsági személyzet létszámát úgy kell megállapítani, és olyan eszkö-

zökkel kell ellátni, hogy esemény esetén az érintett személy jelezni tudjon.

4) A helyiségbe csak annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat

csatlakozhat, tehát a helyiségen belül nem mehet át víz, gáz, csatorna és egyéb köz-

művezeték.

5) A technikai védelmi rendszert a helyiségben ki kell építeni. A riasztásoknak az épület

biztonsági szolgálatánál meg kell jelenniük. A védelem szabotázsvédett legyen és a

következő követelményeket elégítse ki:

2004. 07. 19. 0.91 verzió 81


− a nyílászárók nyitás- és zártság ellenőrző eszközzel legyenek ellátva, a belső terek

védelme mozgásérzékelővel biztosított legyen, a védelem ki- és bekapcsolása a be-

járaton kívül elhelyezett (minimum 6 számjegyes) kóddal működtetett tasztatúráról

történjék,

− a személyzet a helyiségbe belépni szándékozókat belépés előtt a biztonság veszé-

lyeztetése nélkül azonosítsa,

− a jelzőközpont és az általa működtetett eszközök 12 órás áthidalást biztosító szü-

netmentes tápegységgel rendelkezzenek oly módon, hogy a 12. óra letelte után

még rendelkezzenek egy riasztási esemény jelzésére és a hozzá kapcsolódó vezér-

lés végrehajtására elegendő energiával (például hang- vagy fényjelző eszköz 3

perces időtartamban való működtetése).

6) A helyiség ajtaja rendelkezzen legalább 30 perces (műbizonylatolt) tűzgátlással, to-

vábbá a helyiségen belül automatikus és kézi jelzésadók kerüljenek telepítésre. A jel-

zésadók jelzéseit mind a helyiségen belül, mind az épület biztonsági szolgálatánál meg

kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen

meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezze-

nek a hazai minősítő intézetek forgalombahozatali engedélyével. Az automatikus tűz-

oltó rendszerek tervezése és szabályozása a Biztonsági Vezető által meghatározottak

szerint történik.

7) A helyiséget úgy kell elhelyezni, hogy felette és a határoló falfelületeken vizes blok-

kot tartalmazó helyiségrész ne legyen, nyomó- és ejtőcsövek ne haladjanak át, gázve-

zetéket telepíteni tilos.

8) Az elektromos hálózat legalább a szerver és a szükségvilágítás vonatkozásában 30

perces áthidalási idejű megszakításmentes átkapcsolással rendelkező szünetmentes

tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt

követő töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza.

9) A padlóburkolatok, berendezési tárgyak antisztatikus kivitelűek legyenek.

10) A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat és

az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség

elleni védelembe kell bevonni az árnyékolást megtestesítő, az épületbe belépő minden

fémszerkezetet (az elektromos hálózatot, víz, gáz, távfűtés, csatornahálózatokat, an-

tenna bevezetéseket, adatátviteli és távbeszélő hálózatokat, stb.).

2004. 07. 19. 0.91 verzió 82


11) A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellá-

tás legfeljebb a klimatizáló berendezések által átlagos szinten biztosított porkoncent-

rációt érheti el.

c) 4. szinten, az előzőeken túl:

1) A mechanikai védelem védjen a közforgalmú területről történő betekintés ellen is.

2) Az elektronikai védelem terjedjen ki a számítástechnikai eszközökre, valamint a fel-

ügyelet nélküli helyiségekre is.

3) A személyzet és a külső személyek belépési és azonosítási rendjét szabályozott for-

mában, intelligens beléptető-rendszerrel kell megvalósítani, amely a mindkét irányú

áthaladásokat naplózza és biztosítja az azonosító eszköz azonos irányban történő több-

szöri felhasználásának tilalmát.

4) A helyiségbe (épületbe) belépni szándékozókat azonosítani kell, és a belépőkről nyil-

vántartást kell vezetni.

5) A területre történő belépést azonosításra és hitelesítésre alkalmas rendszerrel kell el-

lenőrizni.

6) A fűtést a klímarendszeren keresztül meleg levegő befúvással kell megoldani, a helyi-

ségben vizes fűtés nem létesíthető. A klímarendszer kültéri és beltéri egységből épül-

jön fel, vízhűtéses klíma nem telepíthető. Központi klímagép telepítése esetén a

befúvó és az elszívó légcsatornába légmentesen záró, tűzgátló tűzcsappantyúkat kell

telepíteni.

7) A szerverszobába csak az annak üzemeltetéséhez elengedhetetlenül szükséges közmű-

hálózat csatlakozhat.

8) A technikai védelembe legyenek bekötve a hardver-védelemmel ellátott gépek burko-

latai az illetéktelen kinyitás jelzésére, a hardver-védelem eltávolításának megakadá-

lyozására. A számítóközpontok, a szerverszobák, és az egyéb „központi” jellegű in-

formatikai helyiségek védelmét intelligens beléptetőrendszerrel kell kiegészíteni,

amely a mozgásokat mindkét irányban regisztrálja, legalább az utolsó 4.000 eseményt

naplózza és az utolsó személy távozásakor a védelmi rendszert automatikusan élesítse.

A hardver-védelemmel ellátott munkaállomások elhelyezésére szolgáló helyiségeket

munkaidőn kívül elektronikus védelemmel kell ellátni.

2004. 07. 19. 0.91 verzió 83


9) A helyiség automatikus működtetésű oltórendszerrel egészítendő ki, az oltórendszer

működését tekintve helyi vagy teljes elárasztásos legyen, működése előtt biztosítson

elegendő időt a személyzet evakuálására, vezérlő kimeneteinek egyikén adjon jelzést a

szervernek az automatikus mentésre, majd azt követően a lekapcsolásra.

10) Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett olyan szük-

ség-áramellátó diesel-elektromos gépcsoportot is kell telepíteni, amely automatikus

indítású és szabályozású, akkora teljesítményű, hogy képes legyen kiszolgálni a szá-

mítástechnikai eszközökön túl az azok működéséhez szükséges segédüzemi (például

klíma) berendezéseket is.

7.2.1. A műszaki berendezések elhelyezése és védelme

A berendezéseket úgy kell elhelyezni és védeni, hogy csökkentsük a környezeti fenye-

getések és veszélyek kockázatát, valamint a jogtalan hozzáférés lehetőségét. A következő

intézkedéseket kell meghozni:

a) A berendezéseket úgy ajánlatos elhelyezni, hogy a munkaterületek szükségtelen megköze-

lítéseit minimalizáljuk.

b) Az érzékeny adatokat tároló és feldolgozó eszközöket úgy ajánlatos elhelyezni, hogy a

használat alatti rálátás kockázatát lecsökkentsük.

c) A különleges védelmet igénylő tételeket ajánlatos elkülöníteni (szigetelni), hogy az általá-

nosan igényelt védelmi szintet lecsökkentsük.

d) Azokat az óvintézkedéseket ajánlatos jóváhagy(at)ni, amelyek az olyan fenyegetések koc-

kázatát minimalizálják, mint

1) a lopás,

2) a tűz,

3) a robbanóanyagok,

4) a füst,

5) a víz (vagy a vízellátás meghibásodása),

6) a köd,

7) a ráz(kódtat)ás,

8) vegyi behatások,

2004. 07. 19. 0.91 verzió 84


9) a villamos energiaellátás zavarai,

10) elektromágneses sugárzás.

e) Ajánlatos, ha a szervezet megfontolja az olyan szabályzatait, amelyek az

információfeldolgozó eszközök közvetlen közelében folytatott étkezésre, folyadékfo-

gyasztásra vagy dohányzásra vonatkoznak.

f) A környezeti feltételeket állandóan figyelni ajánlatos az olyan helyzetek felismerése érde-

kében, amelyek az információfeldolgozó eszközök működésére negatív hatással lehetnek.

g) Az olyan különleges védelmi módszereket, mint amelyet például a billentyűzeti membrá-

nok jelentenek, ajánlatos az ipari környezetben működtetett berendezésekhez figyelembe

venni.

h) Ajánlatos felmérni (megbecsülni) a közelben bekövetkező olyan katasztrófák hatásait,

mint a szomszédos épületekben pusztító tűz, a tetőn keresztül vagy a földszint alól betörő

víz, vagy valamely utcai robbanás.

7.2.2. Energiaellátás

A berendezéseket meg kell védeni a tápáramellátás meghibásodásától és más hasonló

villamos rendellenességektől, anomáliáktól. Olyan villamos betáplálást alkalmazzunk, ame-

lyik megfelel a berendezés gyártói specifikációjának.

Azok a lehetőségek, amelyekkel a tápáramellátás folyamatosságát lehet elérni, maguk-

ban foglalják:

a) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elke-

rüljük,

b) szünetmentes tápegység alkalmazását (UPS, uninterruptable power supply),

c) tartalék áramforrás alkalmazását.

A folyamatos működést és a szabályos kikapcsolási folyamatot szolgáló UPS alkalma-

zása ajánlott olyan berendezésekhez, amelyek az üzlet működésére nézve kritikusak. A tarta-

lékolási terv gondoskodjék minden olyan tevékenységről, amelyet az UPS meghibásodásakor

végeznek. Az UPS berendezést időről időre ellenőrizzék, hogy elegendő-e a kapacitása, és a

gyártó ajánlása szerinti módon vizsgálják le (teszteljék).

2004. 07. 19. 0.91 verzió 85


Ajánlatos megfontolni egy tartalékgenerátor beállítását, ha elvárt, hogy a feldolgozás

folyamatosan működő legyen a tápáramellátás meghibásodás alatt is. A generátorokat telepí-

tés után időről időre a gyártó ajánlása szerinti módon ajánlatos megvizsgálni (tesztelni). Meg-

felelő mennyiségben álljon a fűtőanyag rendelkezésre annak érdekében, hogy a generátor

eléggé hosszú ideig legyen képes a feladatát betölteni.

Ezen túlmenően a tartalék áramforrások kapcsolóit a vészkijárat közelébe ajánlatos el-

helyezni azokban a géptermekben, ahol fontos, hogy vészhelyzetben az áramellátást gyorsan

lehessen kikapcsolni. Ajánlatos gondoskodni vészvilágításról is a fő energiaellátás meghibá-

sodása/kimaradása esetére. Villámhárítót ajánlatos felszerelni valamennyi épületre, és villám-

védő szűrőket alkalmazni az épületbe belépő valamennyi külső távközlő vonalra.

7.2.3. A kábelezés biztonsága

Az áramellátás kábelezését, valamint az adattovábbító és az informatikai szolgálatok el-

látásában használt távközlőkábeleket meg kell védeni a zavarásoktól és a sérülésektől. A kö-

vetkező intézkedéseket kell meghozni:

a) Az energetikai és távközlőkábeleket információfeldolgozó rendszerekhez, ahol csak lehet-

séges a föld alatt ajánlatos elvezetni, vagypedig megfelelő alternatív védelemmel ellátni.

b) A hálózati kábelezést ajánlatos megvédeni a jogosulatlan lehallgatástól és károsodástól,

például külön védőcsövek alkalmazásával vagy azzal, hogy elkerüljük a közterületen való

vonalvezetést.

c) Zavarásuk elkerülése érdekében az adatátviteli (távközlési) kábelek elkülönítése az ener-

giaellátás (erősáramú) kábelektől.

d) Az érzékeny és a kritikus rendszerekhez ajánlatos további óvintézkedéseket megfontolni,

melyek magukban foglalják:

1) védett (páncélozott) kábelek használata:

− a károkozás, szándékos vagy gondatlan beavatkozás elhárítására,

− a környezeti veszélyek (tűz, robbanás, füst, víz, por, elektromágneses sugárzás,

stb.) káros hatásai következményeinek elhárítására, csökkentésére.

2) lezárt helyiségek és szekrények használatát végpontokban és a vizsgálati pontokon,

3) alternatív forgalomirányítás használatát vagy alternatív átviteli közegek alkalmazását,

2004. 07. 19. 0.91 verzió 86


4) optikai kábelek (üvegszál) alkalmazását,

5) a kábelekhez csatlakoztatni szándékozott jogosulatlan eszközök kitiltását,

6) kábelnyilvántartás vezetése,

7) kábel-címkézés a védett vonalak megjelölésére, a követhetőség biztosítására.

7.2.4. A berendezések karbantartása

A megbízható működés érdekében a berendezések folyamatos használata és rendelke-

zésre állásának biztosítása érdekében:

a) A specifikációban javasolt időközönként el kell végezni a berendezések karbantartását.

b) A berendezések kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező

személyek végezhetik.

c) Az informatikai berendezések külső helyszínen történő javítása, karbantartása esetén gon-

doskodni kell a berendezésen tárolt adatok végleges (visszaállíthatatlan) törléséről.

d) Személyi, fizikai biztonsági követelményeknek való megfelelés a javítás, karbantartás

során.

7.2.5. A telephelyen kívüli berendezések védelme

A tulajdonlástól függetlenül a szervezet vezetése adjon felhatalmazást, minden olyan

berendezésnek a használatára, amelyen a szervezet számára házon-kívül végeznek informá-

ciófeldolgozást. Az a biztonság, amelyet így látnak el, legyen egyenértékű azzal, amelyet az

ugyanazon célra házon belül használt berendezéssel lehet elérni, figyelembe véve azt a kocká-

zatot, amit a szervezet számára házon-kívül végzett munka jelent. Információfeldolgozó be-

rendezés magában foglalhat bármilyen formában személyi számítógépet, szervezőgépet (or-

ganizátort), mobil telefont, papírt vagy bármely olyan eszközt, amelyet az otthoni munkára

használnak vagy a szokásos munkahelyről elszállítanak.

A következő intézkedéseket kell meghozni:

a) A házon kívülre helyezett berendezések és közegek nem hagyhatók felügyelet nélkül,

amíg közterületen vannak. A hordozható számítógépeket kézipoggyászban, és ahol lehet

utazás közben rejtett módon ajánlatos szállítani.

2004. 07. 19. 0.91 verzió 87


b) A gyártók berendezés-védelmi utasításait ajánlatos mindenkor figyelemmel kísérni, pél-

dául megvalósítani az erős mágneses mezőnek való kitétel elleni védekezést.

c) Az otthoni munkavégzés óvintézkedéseit ajánlatos kockázatfelméréssel megállapítani, és a

helyénvaló óvintézkedéseket arra alkalmas módon alkalmazni, például lakatolható

tárolószekrényekben elhelyezni, a számítógépeken „üres asztal” szabályt és beléptetésel-

lenőrzést használni.

d) A házon kívüli berendezés megóvása érdekében alkalmas védőbúrát ajánlatos használni.

A biztonsági kockázatok, mint például a sérülés, az ellopás vagy a lehallgatás, helytől

függően széles sávban különbözhetnek, és ezt a legmegfelelőbb óvintézkedések meghatározá-

sakor ajánlatos figyelembe venni. A mobil berendezések védelmének más szempontjairól szó-

ló további információ található a 9.8.1. szakaszban.

7.2.6. A berendezések biztonságos tárolása és újra felhasználása

Berendezések gondatlan kezelése vagy ismételt használatba vétele az információ veszé-

lyeztetéséhez (például kompromittálódásához) vezethet (lásd még a 8.6.4. szakaszt). Az érzé-

keny információt tartalmazó tárolóeszközöket vagy meg kell semmisíteni, vagy biztonságosan

(többször, váltakozó bitmintával) felül kell írni az egyszerű, szokásos törlési (delete) művelet

alkalmazása helyett (lásd még a 7.3.3. szakaszt).

A berendezéseknek a tárolóközeget tartalmazó valamennyi részegységét, a lemezegysé-

geket ellenőrizni kell annak érdekében, hogy meggyőződjünk arról, hogy az érzékeny infor-

mációt és a vásárolt (licensz szerinti) szoftvereket arról eltávolították és felülírták, mielőtt

mások rendelkezésére bocsátották volna. Az érzékeny információt tartalmazó, de sérült táro-

lóeszközök kockázatelemzést igényelnek annak meghatározására, hogy mi jobb, az adott esz-

közt megsemmisíteni, vagy megjavítani, vagy egyszerűen kidobni.

2004. 07. 19. 0.91 verzió 88


7.3. Általános védelmi intézkedések

Meg kell védeni az információt és az információfeldolgozó eszközöket a veszélyeztetés-

től és a lopástól.

7.3.1. Adattárolási és képernyő-kezelési irányelvek

A szervezeteknek ajánlatos megfontolniuk az „üres asztal” szabály elfogadását mind a

papíralapú anyagokra, mind pedig a hordozható adattároló közegekre, valamint a „tiszta kép-

ernyő” szabályzatot az információfeldolgozó eszközökre, hogy ezáltal lecsökkenjen a jogtalan

hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidő-

ben, mind azon kívül. Ez a szabály vegye figyelembe az 5.2. szakaszban felállított informati-

kai biztonsági osztályozást (minősítést), az ennek megfelelő kockázatot, valamint a szervezet

kulturális szempontjait.

Az íróasztalon kint felejtett adathordozó könnyen megsérülhet vagy megsemmisülhet az

olyan katasztrófahelyzetekben, mint a tűz, az árvíz, vagy a robbanás.

A következő intézkedéseket kell meghozni:

a) A papíranyagokat és a számítógépek adathordozóit ajánlatos alkalmasan zárható szek-

rényben őrizni/tárolni, vagy más hasonló biztonsági bútorzatban, amikor ép nincsen hasz-

nálatban, különösen a munkaidőn kívüli időszakokban.

b) Az érzékeny és kritikus üzleti információt, ha nem használják, ajánlatos elzárni (ideális

esetben tűznek ellenálló biztonsági széfben vagy pedig szekrényben, különösen akkor,

amikor az iroda (személyzete) szabadságon van.

c) Személyi számítógépeket, munkaállomásokat és nyomtatókat nem szabad „bejelentkeztet-

ni”, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel (lakatok-

kal), jelszavakkal vagy más óvintézkedésekkel legyenek védve.

d) Ajánlatos a bejövő és kimenő levelező eszközöket, a felügyeletlen távmásoló faxgépeket

és telexgépeket védeni.

e) Fénymásológépeket ajánlatos lelakatolni (vagy más módon védeni a jogosulatlan haszná-

lat ellen) különösen a rendes munkaidőn kívül.

2004. 07. 19. 0.91 verzió 89


f) Az érzékeny vagy minősített/osztályba sorolt információt kinyomtatás után ajánlatos

azonnal eltávolítani a nyomtatóról.

7.3.2. Eszközök kivitele

Számítástechnikai eszközöket, adathordozókat, programokat kizárólag a szervezeti egy-

ségek vezetőinek engedélyével szabad kivinni a munkahelyről.

A szervezet területéről kivitt eszközöket a leltárfelelősöknek nyilván kell tartaniuk.

A kivitelre kerülő eszközökön tárolt adatok illetéktelenek általi elérhetetlenségére foko-

zottan kell ügyelni.

Meghibásodott eszköz cseréje esetén – még garanciális esetben is – adathordozó csak

úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került.

A szállítás során be kell tartani a biztonsági eljárásokat.

7.3.3. Informatikai eszközök újrahasznosítása

2., 3. és 4. szinteken:

Védett informatikai rendszerben használt adathordozót olyan módszerek alkalmazásával

kell törölni, hogy az adatok a későbbiekben ne legyenek helyreállíthatóak. Ilyen módszer az

adathordozó többszöri felülírása.

Az adathordozó felülírására engedélyezett módszer a következő. Miután az adathordozó

működőképességéről meggyőződtek, valamennyi tároló területet kilencszer kell felülírni:

a) először az „1” bináris számjeggyel;

b) másodszor a „0” bináris számjeggyel;

c) majd egy tetszőleges bitmintával (például „0011 0101”);

d) végül a fenti lépéseket még kétszer meg kell ismételni.

Minden egyes esetben a tároló helyek tartalmát ellenőrizni kell, hogy a felülírás sikeres

volt-e.

Azokat az adathordozókat, amelyeket nem lehet engedélyezett módon törölni (például

működésképtelennek látszik) újrafelhasználni tilos, nem kerülhet ki a védelmi intézkedések

hatóköréből, meg kell semmisíteni.

2004. 07. 19. 0.91 verzió 90


Az adathordozó védelme csak az adatok törlését és az adathordozó felülírását követően

szüntethető meg. A felülírás tényét, módszerét, végrehajtóját, annak időpontját dokumentálni

kell. Az adathordozó védelmére vonatkozó intézkedések megszüntetésének további feltétele,

hogy az újraírható adathordozóról el kell távolítani a bizalmas adattartalomra utaló valameny-

nyi jelzést és utalást. Ha ez nem lehetséges, a védelem nem szüntethető meg.

Amennyiben az adathordozó oly mértékben sérült vagy elhasználódott, hogy a további

használata lehetetlen vagy célszerűtlen, azt az ügyviteli szabályok szerint jegyzőkönyvben

kell selejtezni. Ebben az esetben – ha lehetséges – a tartalmát törölni kell, és magát az adat-

hordozót „SELEJT” felirattal az ügyviteli szervnek kell átadni, ahol gondoskodni kell a sza-

bályszerű megsemmisítésről.

7.3.4. Adathordozók megsemmisítése

2., 3. és 4. szinteken:

Az adathordozók megsemmisítése a következő módszerekkel engedélyezett:

a) mágnesszalagok: el kell távolítani a tokból, majd mechanikusan be kell zúzni, kémiai úton

megsemmisíteni vagy elégetni; (Az utóbbi esetben a szalagokat be kell tenni az égetőbe

rövid darabokban vagy lazán betöltve jól összekeverve sokkal nagyobb mennyiségű pa-

pírhulladékkal együttesen. Nem szabad azokat az égetőbe feltekercselve vagy összepréselt

blokkokban betenni, mert nem semmisülnek meg teljes mértékben.);

b) floppy vagy más (például CD) lemezek: a floppy lemezeket el kell távolítani a házukból, a

lemezt szabálytalan alakú darabokra kell vágni (legalább 8 darabra), a darabokat defor-

málni kell és elégetni;

c) merevlemezek: fel kell nyitni, és el kell égetni; vagy a mágneses felületet el kell távolítani

dörzspapírral vagy más durva módszerrel;

d) más szilárd anyagú tárolók: össze kell törni, és el kell égetni.

7.3.5. Hang-, kép- és adatrögzítő eszközök használata

3. és 4. szinteken:

Csak különleges, előzetes, írásbeli engedély alapján szabad a biztonsági körletekbe be-

vinni:

a) magántulajdonban lévő kommunikációs eszközt (rádiót, rádiótelefont, stb.);

2004. 07. 19. 0.91 verzió 91


b) magántulajdonban lévő adatrögzítésre alkalmas eszközt (magnetofont, fényképezőgépet,

videokamerát, stb.);

c) magántulajdonban lévő számítógépet, hardvert, szoftvert, adathordozót.

Bármely típusú, magántulajdonban lévő informatikai rendszeren a szervezet védendő

adatát kezelni tilos. Ez vonatkozik a (például fejlesztési, karbantartási feladatokra igénybe

vett) külső közreműködőkre és más külső szervezetekre is. A szerződés alapján tevékenykedő

külső közreműködő személyi állományának magántulajdonában lévő számítógépes eszközö-

ket úgy kell kezelni, mint magántulajdonban lévő eszközöket.

2004. 07. 19. 0.91 verzió 92


8. SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ

ÜZEMELTETÉS MENEDZSMENTJE

A rendszerszintű biztonságpolitika támogatására biztonsági üzemeltetési eljárásokat

bemutató dokumentumokat kell készíteni és gondozni. Ezeknek tartalmazniuk kell a bizton-

sággal összefüggő napi rendszerességű üzemeltetési teendőket és azt, hogy ki a felelős ezek

végrehajtásáért és felügyeletéért.

8.1. Üzemeltetési eljárások és feladatok

8.1.1. Az üzemeltetési eljárások dokumentációja

Az üzemeltetési eljárásokat és felelősségeket részletesen és szabályszerűen dokumentál-

ni kell.

Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének

vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint:

a) az adatkezelés, (-feldolgozás és -tárolás),

b) tervezett követelmények, más rendszerek bizalmasságának megsérülhetősége,

c) munkaidőn kívüli munkahelyen való tartózkodás,

d) hibaesetekre és rendellenes működésre vonatkozó eljárások,

e) hardver és szoftver karbantartási eljárások,

f) munkavégzés közben fellépő kivételes állapotok kezelése,

g) rendszer újraindítása és visszaállítása.

Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni.

2004. 07. 19. 0.91 verzió 93


8.1.2. Változásmenedzsment és ellenőrzés az üzemeltetés során

Az információfeldolgozó eszközök és rendszerek változásait ajánlatos ellenőrzés alá

vonni. Az információfeldolgozó eszközök és rendszerek változásainak elégtelen ellenőrzése

általános oka sok biztonsági és rendszerhibának. Ajánlatos a formális menedzseri felelőssége-

ket és eljárásokat érvényre juttatni annak érdekében, hogy ezzel szavatolhassuk a kielégítő

ellenőrzést minden berendezés, szoftver vagy eljárási változás felett. Az üzemviteli progra-

mokat ajánlatos szigorú változásellenőrzés alá vonni. Ahányszor ezek a programok változnak,

ajánlatos megőrizni azt az átvilágítási naplót (audit log), amely minden vonatkozó információt

tartalmaz. Az üzemviteli környezet megváltozása hatással lehet az alkalmazásokra is. Az

üzemviteli és az alkalmazási változásellenőrző eljárásokat, ha az lehetséges és célszerű, aján-

latos integrálni, egyesíteni (lásd a 10.5.1. szakaszt is). Különösen a következő óvintézkedése-

ket ajánlatos megfontolni:

a) a jelentős változások azonosítását és rögzítését,

b) az ilyen változások lehetséges hatásainak felmérését,

c) a tervezett változások formális jóváhagyási eljárását,

d) a változások minden lényeges adatának (részleteinek) a közlését minden arra illetékes

személlyel,

e) a sikertelen változtatások félbeszakítása és az azokból való visszatérés felelőseit azonosító

(meghatározó) eljárásokat.

8.1.3. Váratlan események kezelési eljárásai

A váratlan események kezelésének felelősségeit és eljárásait rögzíteni kell annak érde-

kében, hogy szavatolhassuk, a váratlan biztonsági eseményekre adandó gyors, hatékony vá-

laszadást (lásd a 6.3.1. szakaszt). A következő intézkedéseket meghozni:

a) Ajánlatos véletlen biztonsági események (incidensek) minden lehetséges fajtáját lefedő

eljárásokat létesíteni, beleértve:

1) az informatikai rendszerek hibáit és a szolgáltatásvesztést,

2) a szolgáltatás-megtagadást,

3) a nem teljes és nem pontos üzleti adatok következtében előálló hibákat,

2004. 07. 19. 0.91 verzió 94


4) a bizalmasság megsértését.

b) Az olyan szokványos tartalékolási terven túlmenően, amelyet arra terveztek, hogy a lehető

leggyorsabban visszaállítsuk a rendszereket és a szolgáltatásokat, az eljárásoknak még a

következőket ajánlatos lefedniük, átfogniuk (lásd még a 6.3.4. szakaszt):

1) a véletlen esemény okának elemzését és azonosítását,

2) olyan ellenintézkedések megtervezését és megvalósítását, amelyek, ha lehet, megelő-

zik ezek visszajöttét, megismétlődését,

3) az átvilágítási naplók (audit trails) és hasonló bizonyítékok összegyűjtését,

4) a beszélgetést (kommunikációt) azokkal a személyekkel, akiket befolyásolt a véletlen

esemény, vagy érintettek az abból való visszatérésben,

5) a tevékenységről szóló jelentést, amelyet az illetékes szervnek (hatóságnak jelentenek.

c) Az átvilágítási naplókat (audit trails) és hasonló bizonyítékokat ajánlatos összegyűjteni

(lásd a 12.1.7. szakaszt), és a lehetőségekhez képest biztonságosan ajánlatos őrizni abból a

célból, hogy

1) elemezzék a belső nehézségeket (problémákat),

2) a lehetséges szerződésszegés, a szabályozási követelmények megsértése, a polgári

vagy büntetőjogi eljárások esetében bizonyítékként használják, mint például a számí-

tógépes visszaélés vagy az adatvédelmi jogszabályok alá tartozó esetekben,

3) kompenzációról egyezkedjenek a szoftver-szállítókkal és a szolgáltatást nyújtókkal.

d) A biztonság megszegéséből való visszatérésnek, valamint a rendszerhibák kijavításának

tevékenységeit ajánlatos gondosan és formálisan (szabályszerűen) kezelni, ellenőrizni. Az

ilyen eljárások szavatolják, hogy:

1) csak a tisztán (és pontosan, azaz egyértelműen) azonosított és feljogosított személyzet

kaphasson engedélyt arra, hogy a rendszereket és adatokat életben tartsa (lásd még a

4.2.2. szakaszt is a harmadik felek hozzáférésével kapcsolatban),

2) ajánlatos valamennyi vészhelyzeti tevékenységet részletesen írásban foglalni (doku-

mentálni),

3) ajánlatos a vészhelyzeti tevékenységet jelenteni a vezetőségnek, és rendszeresen felül-

vizsgáltatni,

2004. 07. 19. 0.91 verzió 95


4) ajánlatos az üzleti rendszerek és az óvintézkedések sértetlenségét a lehető legkisebb

késedelem mellett megerősíttetni (visszaigazoltatni).

8.1.4. A feladatkörök biztonsági szétválasztása

A feladatkörök szétválasztása az a módszer, amely minimalizálja a véletlen és a szándé-

kos visszaélésekből eredő kockázatot. Az egyes feladatok vagy felelősségi körök végrehajtá-

sát és irányítását szét kell választani annak érdekében, hogy az információ jogosulatlan módo-

sítására vagy visszaélésre vezető alkalmak esélyét csökkentsük.

A kisebb szervezetek ezt a fajta ellenőrzési módot nehéznek találhatják a maguk számá-

ra, de ajánlatos ezt az elvet, ahol csak lehet, és amennyire csak lehet alkalmazni. Amennyiben

nehézséget okoz a feladatmegosztás, egyéb óvintézkedéseket ajánlatos megfontolni, mint pél-

dául a tevékenységek megfigyelését (monitorozását), az átvilágítási naplózást, vagy a vezetői

felügyeletet. Fontos e tekintetben, hogy a biztonsági átvilágító auditálás független maradjon.

Gondosan ajánlatos ügyelni arra, nehogy akár egyetlen személy is úgy követhessen el

csalást egyedi felelőssége körében, hogy az felfedezetlen maradhasson. Bármely esemény

kezdeményezése, beindítása legyen független az arra vonatkozó felhatalmazástól. A követke-

ző pontokat ajánlatos megfontolni:

a) Fontos az olyan tevékenységek szétválasztása, amelyek összejátszással járhatnak, hogy

megakadályozzuk a csalást, például megrendelés (purchase order) kiadását és annak iga-

zolását, hogy az árút átvették.

b) Ha fennáll az összejátszás veszélye, akkor ajánlatos olyan óvintézkedéseket tenni, hogy

két vagy három személy vegyen abban részt, hogy ezzel csökkenjen az összeesküvés

(konspiráció) lehetősége.

8.1.5. A fejlesztési és az üzemeltetési feladatok szétválasztása

A fejlesztő, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is fontos, mert

ezzel lehet elérni a vonatkozó szerepek elkülönítését. Azokat a szabályokat, amelyek mentén

valamely szoftvert a fejlesztési szoftverek közül az üzemi szoftverek közé soroljuk, ajánlatos

meghatározni és írásban foglalni (dokumentálni).

2004. 07. 19. 0.91 verzió 96


A fejlesztési és a vizsgáló (tesztelő) tevékenységek komoly nehézségeket okozhatnak,

például nem kívánatos módon módosulhatnak az állományok (fájlok), változhat a rendszer-

környezet, vagy rendszerhibák léphetnek fel. A fejlesztő, a vizsgáló és az üzemeltetési kör-

nyezet szétválasztásának az üzemeltetési nehézségek elkerüléséhez szükséges szintje ajánla-

tos, ha megfontolás tárgyát képezi. Hasonló szétválasztást ajánlatos megvalósítani a fejlesztő

és a vizsgáló/tesztelő funkciók között. Ebben az esetben arra van igény, hogy fenntartsuk az

ismert és stabil környezet, amelyben az értelmes vizsgálatokat végezzük, és ugyanakkor elke-

rüljük a fejlesztők alkalmatlan hozzáférését.

Ahol a fejlesztő és a vizsgáló személyzet hozzáférhet az üzemelő rendszerhez és az

üzemi információhoz, ott ezek képessé válnak jogosulatlan és bevizsgálatlan kódok beiktatá-

sára vagy az üzemeltetési adatok megváltoztatására. Egyes rendszereken ezzel a képességgel

vissza lehet élni akár csalás (fraud) elkövetésével, akár pedig bevizsgálatlan vagy rosszindula-

tú kód (szoftver) beiktatásával. A bevizsgálatlan vagy rosszindulatú kód komoly üzemi ne-

hézségeket okozhat. A fejlesztők és a vizsgálók az üzemi információ titkosságára is fenyege-

tést, veszélyt jelenthetnek.

A fejlesztői és vizsgálati tevékenységek szándékolatlanul is okozhatnak változást a

szoftverben vagy az információban, ha ugyanazon a számítástechnikai környezeten osztoz-

kodnak. A fejlesztő, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is kívánatos,

hogy az üzemi szoftver és az üzleti adatok véletlen változtatásainak vagy a jogtalan hozzáfé-

résüknek a kockázatát lecsökkentsük. A következő óvintézkedéseket ajánlatos megfontolni:

a) A fejlesztési és az üzemi szoftvert, ahol lehetséges, különböző számítógép-processzoron,

vagy különböző tartományokban vagy különböző könyvtárakban (directories) ajánlatos

futtatni.

b) A fejlesztői és vizsgálati tevékenységeket, amennyire csak lehetséges, ajánlatos szétvá-

lasztani.

c) Fordító kompájlereket, szerkesztő editorokat és egyéb rendszertámogató eszközöket nem

szabad szükségtelenül elérhetővé tenni az üzemi rendszerből.

d) A hibák kockázatának csökkentésére a fejlesztő és a vizsgáló rendszereket eltérő bejelent-

kezési (log-on) eljárással ajánlatos működtetni. A felhasználókat arra ajánlatos bíztatni,

hogy ezekhez a rendszerekhez különböző jelszavakat alkalmazzanak, és a „menük” a kép-

ernyőn erre alkalmas azonosító üzeneteket jelenítsenek meg.

2004. 07. 19. 0.91 verzió 97


e) A fejlesztő személyzetnek csak ott szabad hozzáférést kapnia az üzemi jelszavakhoz, ahol

az üzemi rendszer kezelésére való jelszavak kiadásánál óvintézkedések vannak érvényben.

Az óvintézkedések gondoskodjanak arról, hogy az ilyen jelszavakat használat után lecse-

réljék.

8.1.6. Külső létesítmények üzemeltetése

Az információfeldolgozó eszközök menedzselésére alkalmazott külső szerződő fél fo-

kozott biztonsági veszélyt jelenthet, mert veszélyeztetése (kompromittálódást), kár, adatvesz-

tés lehetőségét hordozhatja a szerződő fél telephelyén. Még idejében ajánlatos feltárni (azono-

sítani) az ebből eredő kockázatokat, és a kellő óvintézkedéseket egyeztetni a szerződő féllel,

majd belefoglalni a szerződésbe is (lásd a 4.2.2. és a 4.3. szakaszt is a harmadik féllel kötendő

szerződésre vonatkozó útmutatásról olyan esetekre, amikor a szerződés a szervezet eszközei-

hez való hozzáférést is magában foglalja, illetve a forráskihelyezési szerződésekre vonatkozó-

an). Azok a különleges tételek, amelyeket ajánlatos megvizsgálni magukban foglalják:

a) feltárni (azonosítani) azokat az érzékeny vagy kritikus alkalmazásokat, amelyeket helye-

sebbnek vélünk házon belül tartani,

b) jóváhagyást nyerni az üzleti alkalmazások tulajdonosaitól,

c) belevonni az üzlet folyamatossága terveibe,

d) összeállítani az előírandó biztonsági szabványokat, valamint azt a folyamatot, amellyel a

megfelelőséget mérjük,

e) kiosztani valamennyi biztonsági tevékenység hatékony figyelésének sajátos felelősségeit

és eljárásait,

f) kiosztani valamennyi véletlen biztonsági esemény lekezelésének és a róluk szóló jelentés

elkészítésének felelősségeit és eljárásait (lásd a 8.1.3. szakaszt).

2004. 07. 19. 0.91 verzió 98


8.2. IT rendszerek tervezése és átvétele

Minimalizálni a rendszermeghibásodások kockázatát. Modern tervezési és előkészítési

módszerekre van szükség ahhoz, hogy szavatolni tudjuk, hogy rendelkezésre álljon a kellő

rendszerkapacitás és erőforráskapacitás. Előre ajánlatos jelezni a jövőben várható kapacitás-

követelményt annak érdekében, hogy lecsökkentsük a rendszer túlterhelésének kockázatát.

Már átvétel és használatba vétel előtt ajánlatos megállapítani, írásban foglalni (dokumentálni),

és bevizsgálni az új rendszerek üzemeltetési követelményeit.

8.2.1. Kapacitástervezés

Ajánlatos a kapacitásigényt figyelni és elkészíteni a jövő kapacitáskövetelmények terve-

it annak érdekében, hogy gondoskodjunk arról, kellő mértékben áll rendelkezésre feldolgozási

teljesítmény és tárolóhely. Ezek a tervezetek az újabb üzleti és rendszerkövetelményeket is

vegyék figyelembe, valamint a szervezet információfeldolgozásának folyó és megjósolt trend-

jeit.

Különös figyelmet érdemelnek a nagygépek (mainframe computers), mivel lényegesen

költségesebbek és sokkal több időt igényel az új kapacitások beszerzése. A nagygépes

szolgáltatások vezető menedzserei kísérjék figyelemmel a kulcsfontosságú erőforrások ki-

használtságát, beleértve a központi számítógépek processzorait, központi tárolóit, háttértároló-

it, nyomtatóit és egyéb kimeneti eszközeit, valamint távközlési, kommunikációs rendszereit.

Nekik ajánlatos feltárni (azonosítani) a használati változások irányait, trendjeit, különösen

azok üzleti alkalmazásokkal valamint a vezetői informatikai rendszerekkel kapcsolatos

eszközeit, kisegítő programeszközeit.

A vezető menedzsereknek ajánlatos ezen információt használniuk azért, hogy feltárják

(azonosítsák) és elkerüljék azokat a lehetséges szűk keresztmetszeteket, amelyek veszélyt,

fenyegetést jelenthetnek a rendszerbiztonságra és a felhasználói szolgáltatásokra, és ajánlatos

ezt alkalmasan orvosló tevékenységet tervezniük.

8.2.2. A rendszer átvétele

Új informatikai rendszerek, a korszerűsítések (upgrades) és az új változatok átvételi kö-

vetelményeit ajánlatos felállítani, és az alkalmas rendszervizsgálatokat az átvétel előtt elvé-

gezni. A vezető menedzserek gondoskodjanak arról, hogy az új rendszerek átvételi követel-

2004. 07. 19. 0.91 verzió 99


ményei és kritériumai tisztán (és pontosan, azaz egyértelműen) legyenek meghatározva,

egyeztetve és írásban foglalva (dokumentálva), és ezeket alkalmazzák az új rendszerek elfo-

gadás és használat előtti bevizsgálására. A következő óvintézkedéseket ajánlatos megfontolni:

a) a teljesítőképességi és a számítógépkapacitás-követelményeket,

b) a hibából való visszatérés és az újraindítási eljárásait, a tartalékolási tervet,

c) szabványok meghatározása érdekében a rutin üzem(eltetés)i eljárások előkészítését és

bevizsgálását,

d) a megállapodások szerinti biztonsági óvintézkedések megtételét,

e) a hatékony kézi (manuális) eljárásokat,

f) az üzletmenet folyamatosságának érdekében a 11.1. szakasz által megkívánt elrendezése-

ket,

g) annak bizonyítékait, hogy az új rendszer üzembe helyezése nem lesz ellenkező, káros ha-

tással a meglévő rendszerekre, különösen nem az olyan feldolgozási csúcsidőkben, mint

például a hó végi hajrák alkalmával,

h) annak bizonyítékait, hogy igenis figyelmet fordítottak arra a hatásra, amit az új rendszer

üzembe helyezése okoz a szervezet általános biztonságára,

i) az új rendszerek üzemeltetésének, illetőleg használatának a betanítását.

Lényegesebb új fejlesztéseknél konzultálni ajánlatos mind az üzemeltetőkkel (operáto-

rokkal), mind a felhasználókkal a fejlesztési folyamat minden lépéséhez annak érdekében,

hogy gondoskodjunk a javasolt rendszerterv üzemi hatékonyságáról.

2004. 07. 19. 0.91 verzió 100


8.3. Védelem rosszindulatú programok ellen

Megvédeni a szoftver és az információ sértetlenségét.

Elővigyázatossági intézkedésekre van szükség ahhoz, hogy a rosszindulatú szoftver be-

hatolását (introduction) megelőzzük és észleljük.

A szoftver és az információfeldolgozó eszközök igencsak sérülékenyek az olyan rossz-

indulatú szoftverek behatolásával (introduction) szemben, mint a számítógépvírusok, a háló-

zati kukacok, a trójai falovak (lásd a 10.5.4. szakaszt) és a logikai bombák. A felhasználóknak

ajánlatos tudatában lenniük, hogy a jogosulatlan és a rosszindulatú szoftverek milyen veszé-

lyesek, a vezető menedzsereknek, ahol csak szükséges, ajánlatos bevezetniük a különleges

óvintézkedéseket, hogy azok behatolását megakadályozzák. Különösen az lényeges, hogy a

személyi számítógépeken tegyünk óvintézkedéseket a számítógépvírusok behatolásának

megelőzésére és észlelésére.

A felhasználóknak tudatában kell lenniük azzal, hogy rosszindulatú programokat tudnak

bevinni környezetekbe a hálózati csatlakozásokon keresztül. Megfelelő biztosítékok nélkül

rosszindulatú kód rejtett maradhat mindaddig, amíg kárt nem okoz. A kártékony kód hatásta-

lanná teheti a biztosítékokat (például kitudódnak a jelszavak), nem szándékolt változásokat

okozhat az információkban vagy el is pusztíthatja azokat és/vagy illetéktelenül használhatja a

rendszer erőforrásait.

A rosszindulatú kódok néhány formáját meg lehet találni, és el lehet távolítani speciális

keresőprogramokkal. Keresők rendelkezésre állnak tűzfalakhoz, állomány- és levelezési ki-

szolgálókhoz, munkaállomásokhoz. Az újabb rosszindulatú kódok elleni védekezésül nagyon

fontos biztosítani a kereső szoftver naprakészen való tartását, legalább heti frissítés útján. A

felhasználóknak és a rendszergazdáknak tudniuk kell, hogy a keresők nem találnak meg min-

den rosszindulatú kódot (még az egyetlen fajtához tartozó összes változatot sem), mivel fo-

lyamatosan jelennek meg azok új formái. Ezért további biztosítékokra van szükség a keresők

által adott biztonság növelésére.

A hálózati csatlakozással rendelkező rendszerek felhasználóinak és rendszergazdáinak

azzal is tisztában kell lenniük, hogy a rosszindulatú kódok szempontjából a normálisnál na-

gyobb kockázattal jár, ha külső kapcsolaton keresztül működnek együtt külső felekkel. A fel-

használók és rendszergazdák részére eljárási gyakorlati útmutatásokat kell kidolgozni rosszin-

dulatú kód behurcolási lehetőségének minimalizálására.

2004. 07. 19. 0.91 verzió 101


A felhasználóknak és rendszergazdáknak különös figyelmet kell fordítaniuk arra, hogy a

hálózati kapcsolatban érintett rendszereket és alkalmazásokat úgy állítsák be, hogy minden, az

adott körülmények között szükségtelen funkciót letiltsanak. Példa: a PC-s alkalmazások ese-

tében a makrók használatát alaphelyzetben ki kell kapcsolni, vagy végrehajtásukat a felhasz-

náló jóváhagyásához kell kötni.

A rosszindulatú kód a bizalmasság elvesztéséhez vezethet, például a jelszavak megszer-

zése és feltárása útján. Ez ellen a biztosítékok az alábbiak:

a) Védelem a rosszindulatú kód ellen,

b) Események kezelése: bármilyen szokatlan esemény időben történő jelentése korlátozhatja

a rosszindulatú kód által okozott kárt. Behatolás elleni védelem alkalmazható a rendszerbe

vagy hálózatba történő belépési kísérletek felderítésére.

c) Megfelelő titkosítás.

A rosszindulatú kód a sértetlenség elvesztéséhez vezethet, például úgy, hogy egy sze-

mély a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy állo-

mányokat módosít. Ez ellen a biztosítékok az alábbiak:





A rosszindulatú kód felhasználható az azonosítási és hitelesítési rendszerek és ezzel az

összes ezekhez kapcsolódó biztonsági tevékenység megtévesztésére, például úgy, hogy egy

személy a rosszindulatú kód segítségével megszerzett hozzáférés birtokában adatokat vagy

állományokat semmisít meg. Ez ellen a biztosítékok az alábbiak:





8.3.1. A rosszindulatú programokat ellenőrző eszközök

A rosszindulatú szoftver elleni védelem érdekében ajánlatos észlelő (detektáló) és meg-

előző óvintézkedéseket, valamint alkalmas, a felhasználókat tudatosító eljárásokat megvalósí-

2004. 07. 19. 0.91 verzió 102


tani. A rosszindulatú szoftver ellen védelmet a tudatos biztonság, az alkalmas hozzáférés és

változáskezelés (változásmenedzselés) óvintézkedéseire ajánlatos alapozni. A következő óv-

intézkedéseket ajánlatos megfontolni:

a) egy olyan formális szabályzatot, amely megköveteli a megfelelést a szoftver-licenszeknek,

és megtiltja a jogtalan szoftverhasználatot,

b) formális szabályzatot, amely véd az olyan kockázatok ellen, amelyek az állományoknak és

szoftvernek külső hálózatokból, vagy azokon át való átvételével, vagy bármely más adat-

hordozó közeggel kapcsolatosak, és amely szabályzat azt is megadja, hogy milyen védel-

mi intézkedéseket ajánlatos hozni (lásd még a 10.5. szakaszt, különösen annak 10.5.4. és

10.5.5. részét),

c) a vírusokat detektáló és hatásait kijavító szoftver telepítését és szabályos időközönkénti

frissítését (update) a számítógépek és az adathordozók átvizsgálására akár elővigyázatos-

sági óvintézkedésképpen, akár rutinfeladatként,

d) a kritikus üzleti folyamatokat segítő rendszerek szoftverének és adattartalmának szabályos

időközönkénti felülvizsgálatát. Formálisan ajánlatos levizsgálni a vizsgálatlan állományo-

kat/fájlokat és a jogosulatlan módosításokat, ha vannak,

e) bizonytalan vagy jogosulatlan származású/eredetű elektronikus adathordozón kapott, vagy

a bizalmat nem élvező (untrusted) hálózaton át kapott állományok/fájlok használat előtti

vírusfertőzöttségi ellenőrzését,

f) minden elektronikusan kapott levélmelléklet és letöltések használat előtti rosszindulatú

szoftverrel való fertőzöttségének az ellenőrzését. Ez az ellenőrzés különböző helyeken tör-

ténhet, például az elektronikus levelezőrendszer szerverén, asztali számítógépeken, vagy

ott, ahol a szervezet hálózatába belépnek,

g) a rendszerek vírusvédelmével foglalkozó, ezek használatát betanító, a vírustámadásról

jelentést készítő és azokból helyreállítást végző vezetői-menedzseri eljárásokat és felelős-

ségeket (lásd a 6.3. és a 8.1.3. szakaszt),

h) az alkalmas üzleti folyamatossági terveket, amelyek a vírustámadás utáni helyreállításra

vonatkoznak, beleértve valamennyi szükséges adatmentési, szoftvertartalékolási és vissza-

térési eljárásokat,

i) azokat az eljárásokat, amelyek a rosszindulatú szoftverrel kapcsolatos információt hivatot-

tak igazolni és gondoskodnak arról, hogy a vírusfigyelmeztető kiadványok (bulletínok)

2004. 07. 19. 0.91 verzió 103


pontosak és tájékoztatóak. Menedzsereknek ajánlatos gondoskodniuk arról, hogy a meg-

tévesztés (hoax) és a valódi vírus közötti megkülönböztetésre minősített forrásokból

származó anyagokat alkalmaznak, tekintélyes szaklapokból, megbízható Internet helyszí-

nekről, vagy vírusvédő szoftverek szállítóitól. A személyzetben ajánlatos tudatosítani a

megtévesztések problémáját és azt is, hogy mit ajánlatos tenniük, ha ilyent észlelnek, kap-

nak.

Ezek különösen fontosak az olyan hálózati fájlkezelő kiszolgálógépek esetében, ame-

lyek sok munkaállomást szolgálnak ki.

8.3.1.1. A vírusvédelmi rendszer kialakítása és működtetése

A rosszindulatú kódokat a rendszerekbe külső csatlakozásokon és hordozható lemeze-

ken behozott állományokon és szoftvereken keresztül lehet behurcolni. Megfelelő biztosíté-

kok alkalmazása nélkül a rosszindulatú kód mindaddig rejtve maradhat, amíg kárt nem okoz.

A rosszindulatú kód a biztosítékok működését is lehetetlenné teheti (például a jelszavak elfo-

gása és felfedése útján), felfedheti az érzékeny információkat vagy megváltoztathatja azokat,

a rendszer sértetlenségének elvesztéséhez vezethet, de meg is semmisítheti az információkat

vagy illetéktelenül használhatja az erőforrásokat. A rosszindulatú kódok következő fajtáit

ismerjük:

a) vírusok,

b) férgek,

c) trójai falovak.

A rosszindulatú kódok hordozói a következők:

a) végrehajtható (futtatható) szoftverek,

b) adatállományok, melyek végrehajtható makrókat tartalmaznak, például szövegszerkesztő-

vel készült dokumentumok vagy táblázatok,

c) aktív tartalmat hordozó weboldalak.

A rosszindulatú kódokat a következő módokon lehet továbbadni:

a) floppylemezek,

b) egyéb kivehető adathordozó,

c) elektronikus levél,

2004. 07. 19. 0.91 verzió 104


d) hálózatok,

e) távoli hozzáférés,

f) letöltések.

A rosszindulatú kódok megjelenése lehet szándékos tevékenység következménye vagy

olyan rendszerszintű kölcsönhatás eredménye, mely akár észre sem vehető a felhasználók

számára. A rosszindulatú kódok elleni védelmet a következő biztosítékokkal lehet elérni:

1. Keresők

A rosszindulatú kódok különböző formáit fel lehet fedni, és el lehet távolítani speciális

kereső szoftverekkel és sértetlenség ellenőrző eszközökkel. A keresők off-line és on-line mó-

don üzemelhetnek. Az on-line működés aktív védelmet biztosít, azaz felfedi (és valószínűleg

el is távolítja) a rosszindulatú kódot még mielőtt bármilyen fertőzés történhetne, és károk ke-

letkeznének az informatikai rendszerben. A keresők rendelkezésre állnak különálló számító-

gépekhez, munkaállomásokhoz, állomány- és elektronikus levelezési kiszolgálókhoz,

proxikhoz és tűzfalakhoz. Mindazonáltal a felhasználóknak és a rendszergazdáknak tisztában

kell lenniük azzal, hogy nem lehet abban bízni, hogy a keresők minden rosszindulatú kódot

megtalálnak (még egy adott fajta összes változatát sem), mivel folyamatosan jelennek meg

ezek új formái.

2. Sértetlenség ellenőrző eszközök:

Jellemzően egyéb biztosítékok szükségesek a keresők által nyújtott biztonság növelésé-

hez. Például ellenőrző összegeket használnak annak eldöntésére, hogy egy program módosult-

e vagy sem. A sértetlenséget ellenőrző szoftverek lényeges részét képezik a rosszindulatú kó-

dok ellen védő technikai biztosítékoknak. Ezt a technikát csak olyan adatállományok és prog-

ramok esetében lehet használni, amelyek nem őriznek meg későbbi használatra szánt állapot-

információkat.

3. Kivehető adattárolók forgalmának ellenőrzése

Az adattárolók felügyelet nélküli mozgása (különösen a floppylemezek, CD és DVD

lemezek és Flash memóriák esetében) jelentős veszélyt jelent a szervezet informatikai rend-

szereire. Az adathordozóforgalom ellenőrzését a következők használatával lehet megvalósíta-

ni:

a) speciális szoftverek,

2004. 07. 19. 0.91 verzió 105


b) eljárási biztosítékok (lásd alább).

4. Eljárási biztosítékok

A felhasználóknak és rendszergazdáknak szóló útmutatókat kell kifejleszteni azoknak

az eljárásoknak és gyakorlatoknak a bemutatására, melyekkel a rosszindulatú kódok behurco-

lásának lehetőségét minimalizálni lehet. Ezeknek az útmutatásoknak ki kell térniük a játékok

és egyéb szoftverek betöltésére, a különböző internetes szolgáltatások használatára és külön-

böző adatállományok importjára. A biztonsági tudatosság fejlesztésére irányuló képzés, fe-

gyelmet fokozó tevékenység és más kapcsolódó eljárások szükségesek a rosszindulatú kódok

megelőzését szolgáló dokumentált eljárások és gyakorlatok be nem tartása esetén.

2004. 07. 19. 0.91 verzió 106


8.4. Operátori tevékenységek

8.4.1. Az adatmentések tartalék példányai

A lényeges üzleti információ és szoftver biztonsági tartalékmásolatait ajánlatos időről

időre elkészíteni. Kellő mértékben ajánlatos rendelkezésre bocsátani tartalék eszközöket is,

hogy minden lényeges üzleti információ és szoftver helyreállítható legyen akármilyen kataszt-

rófa vagy adathordozó közeg meghibásodása után. Az egyes rendszerek tartalékelrendezéseit

időről időre ajánlatos levizsgálni (tesztelni) annak érdekében, hogy az üzlet folyamatossági

terveiben (lásd a 11. szakaszban) meghatározott követelményeket kielégítsék. A következő

óvintézkedéseket ajánlatos megfontolni:

a) A biztonsági minimális mennyiségű tartalékinformációt, a tartalékmásolatok pontos és

teljes rekordjaival együtt, valamint a visszaállítás írásban foglalt (dokumentált) eljárásait

távoli helyen ajánlatos biztonságba helyezni, tehát elég távol tárolni ahhoz, hogy bármely

rongálódástól meg legyenek kímélve, ha a rendeltetési helyén (main site) katasztrófa kö-

vetkeznék be. A lényeges üzleti információ körében a biztonsági tartalék információnak

legalább három generációját, azaz ciklusát ajánlatos megőrizni.

b) A biztonsági tartalékinformációt megfelelő szintű fizikai és környezeti védelemmel aján-

latos ellátni (lásd a 7. szakaszban), ugyanazzal a szabvánnyal összhangban, mint amelyet a

rendeltetési helyén alkalmaztunk. Az adathordozó közegek körére a rendeltetési helyén

érvényesített óvintézkedések hatályát ajánlatos kiterjeszteni a tartalékok elhelyezési körle-

tére is.

c) A biztonsági tartalék adathordozóit, ahol az kivihető, időről időre ajánlatos levizsgálni

annak érdekében, hogy megbizonyosodjunk, azokra akkor is számíthatunk, ha vészhely-

zetben szükségünk lesz felhasználásukra.

d) A visszatérési/helyreállítási eljárásokat ajánlatos időről időre ellenőrizni, és levizsgálni

annak érdekében, hogy megbizonyosodjunk, azok hatékonyak és elvégezhetőek azon idő

alatt, amelyet az üzemi eljárások a visszatérésre megszabtak.

A lényeges üzleti információ megtartási időszakát mindazokkal a követelményekkel

együtt ajánlatos meghatározni, amelyeket az archivált másolatokra érvényesítünk annak érde-

kében, hogy állandóan megtartsuk azokat (lásd a 12.1.3. szakaszt).

2004. 07. 19. 0.91 verzió 107


8.4.2. Operátori naplók

Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és

naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az informatikai

rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rend-

szer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg le-

hessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak

kísérletét.

A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport

által végzett művelet szelektív regisztrálására. A minimálisan regisztrálandó események a

következők:

a) rendszerindítások, -leállások, leállítások,

b) rendszerhibák és korrekciós intézkedések,

c) programindítások és -leállások, leállítások,

d) az azonosítási és hitelesítési mechanizmus használata,

e) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,

f) az adatállományok és kimeneti adatok kezelésének visszaigazolása,

g) azonosítóval ellátott erőforrás létrehozása vagy törlése,

h) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik.

Az informatikai rendszer üzemeltetése során operátori naplót kell vezetni, amelyet az

informatikai szervezeti egység felelős vezetőjének és az Informatikai Biztonsági Megbízott-

nak rendszeresen ellenőriznie kell.

Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell ha-

tározni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

Az informatikai rendszer üzemeltetéséről nyilvántartást kell vezetni, amelyet az infor-

matikai vezető által kijelölt személynek rendszeresen ellenőriznie kell.

2004. 07. 19. 0.91 verzió 108


8.4.3. Az üzemzavarok naplózása

Az üzemzavarok bejelentését követően korrekciós intézkedéseket kell kezdeményezni.

A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt

hibákat naplózni kell.

Az üzemzavar kezelésének szabályai:

a) A hibanapló vizsgálata és a hiba kezelésének, elhárításának ellenőrzése.

b) Korrekciós intézkedések vizsgálata, illetve ezek végrehajtásának és a kezdeményezett

intézkedések engedélyezésének szabályosságának ellenőrzése.

2004. 07. 19. 0.91 verzió 109


8.5. Hálózatmenedzsment

Meg kell óvni a hálózaton áthaladó információt, és megvédeni az ezt lebonyolító inf-

rastruktúrát.

Bármilyen hálózat felügyeletét biztonságos módon kell végezni, és valóban támogatást

kell nyújtani a hálózati biztonság felügyeletéhez. Ezt a különböző hálózati protokollok fel-

használásával és kapcsolódó biztonsági szolgáltatásokkal kell megvalósítani.

A hálózatmenedzsment segítségével kell meghatározni a hálózatok adattartalma bizton-

ságát és az infrastruktúra védelmét, különös tekintettel a több szervezetet átfogó hálózatokra.

8.5.1. Hálózati ellenőrző eszközök

Olyan ellenőrző eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban ke-

zelt és továbbított adatok biztonságát, valamint a kapcsolt szolgáltatásokat megóvják az ille-

téktelen hozzáférésektől.

a) A hálózatok és a számítógépek működtetésének feladatait szét kell választani.

b) A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendsze-

rek védelmére pótlólagos ellenőrző eszközökre van szükség.

c) Pontosan definiálni kell a hálózat határait. A hálózat biztonságos szegmentálásának kiala-

kításáért az informatikai vezető által kijelölt személy (vezető) a felelős.

2004. 07. 19. 0.91 verzió 110


8.6. Az adathordozók biztonságos kezelése

Az eszközök károsodásának megelőzése, és az üzleti tevékenységekben okozott fenn-

akadás megakadályozása érdekében:

a) Gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről.

b) Meg kell előzni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek,

kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását

és engedély nélküli törlését.

c) Szabályozni kell az adathordozók beszerzését, tárolását és kezelését.

d) Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szel-

lemében, – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal

azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezet-

ni.

e) A szervezetnél csak nyilvántartott és egyedi azonosítóval ellátott adathordozót szabad

használni.

f) A szervezeten kívüli adatforgalomban használt adathordozók előállítása, kiadása és foga-

dása az ügyviteli (iratkezelési) szabályzat előírásai szerint a kijelölt helyeken, dokumentált

és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellen-

őrző eljárások elvégzése után szabad (például vírus ellenőrzés).

g) Minden adathordozót újraalkalmazás előtt, felszabadítás, selejtezés után az adatok meg-

semmisítését eredményező megfelelő eljárással törölni kell.

h) Az adattípus (minősítés) felismerhető jelölését a számítástechnikai berendezéssel előállí-

tott adattároló és megjelenítő eszközökön biztosítani kell.

i) Az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell.

8.6.1. Hordozható adathordozók kezelése

Az adathordozókat biztonságos módon kell kezelni. Annak érdekében, hogy ezek az

adathordozók ne kerülhessenek illetéktelen felhasználásra, a következők szerint kell eljárni:

a) Nem minősített adathordozókat az ügyviteli (iratkezelési) szabályzat előírásai szerint kell

kezelni.

2004. 07. 19. 0.91 verzió 111


b) Érzékeny információt tartalmazó adathordozókat az ügyviteli (iratkezelési) szabályzat és a

titokvédelmi szabályzat szerint kell tárolni és kezelni.

8.6.2. Az adathordozók tárolása

Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen

kell tárolni, vagy amennyiben ezek munkaközi példányok, meg kell semmisíteni. Ezek a kö-

vetkezők: kinyomtatott dokumentumok, hang- és egyéb adatrögzítés, nyomtatópapír, kimeneti

jelentések, egyszer használatos nyomtatószalagok, mágnesszalagok, mobil diszkek és kazet-

ták, optikai tárolóeszközök (összes lehetséges formája, ide értve a telepítőkészleteket gyártó

terjesztéséhez alkalmazott adathordozókat), programlisták, tesztadatok, rendszerdokumentá-

ció.

Az érzékeny tételek elhelyezéséről az üzemeltetésért felelős vezetőnek naplót kell ve-

zetnie.

Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a

rendszerszintű IBSZ-ekben meg kell határozni:

a) a tárolók környezeti paramétereire vonatkozó előírásokat és a paraméterek normál értéke-

inek biztosítására, ellenőrzésére vonatkozó intézkedéseket,

b) az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (például rendszeres

átírás),

c) az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat,

d) az adathordozók kölcsönzésével kapcsolatos előírásokat,

e) a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a

használati másodpéldányok készítésére vonatkozó előírásokat.

A fokozott biztonsági osztályba sorolt minősítésű adathordozók tárolása csak megbízha-

tóan zárt helyiségben, minimum 30 perces tűzállóságú tároló szekrényben történhet.

8.6.3. Adatkezelési eljárások

Az adatok illetéktelen közzétételének, illetve felhasználásának megakadályozása érde-

kében szükségesek az adatkezelést (-tárolást, -feldolgozást) szabályozó eljárások. Ezeknek az

eljárásoknak – az adatok minősítésének megfelelően – igazodniuk kell az előírásokhoz, sza-

bályzatokhoz, számítástechnikai rendszerekhez, hálózatokhoz, a használt számítástechnikai

2004. 07. 19. 0.91 verzió 112


eszközökhöz, távközlési, hangátviteli és multimédiás, levelező- stb. rendszerekhez. Az adat-

kezelési eljárások előírása, meghatározása során a következőket kell figyelembe venni:

a) Az összes adathordozó kezelése és címkézése.

b) Az illetéktelen személyek kiszűrése, hozzáférésük megakadályozása.

c) A bemenő adatok teljeskörűségének, az adatfeldolgozás teljességének és a kimeneti ada-

tok hitelesítésének ellenőrzése.

d) A be- és kimenő adatok védelme, a védettség mértékének az adatok érzékenységéhez való

igazítása.

e) Az adatok elosztásának szabályozása, ellenőrzése és korlátozása.

f) Az adatok minősítését, kezelési jelzését kötelezően alkalmazni kell és a változásokat au-

tomatikusan naplózni kell.

g) Rendszeresen ellenőrizni kell az adatok minősítésének alkalmazását.

h) A biztonsági naplófájlokat az arra feljogosított személynek a rendszer minősítésének meg-

felelő, meghatározott módon kell kezelnie, illetve kiértékelnie.

i) Az észlelt eltéréseket (hibás kezelés, jogosultság megsértésének a kísérlete) haladéktala-

nul ki kell vizsgálni és az eredményt jegyzőkönyvben kell rögzíteni. Ezért az adott szerve-

zeti egység vezetője a felelős.

8.6.4. Az IT rendszer dokumentációjának biztonsága

Az informatikai rendszerek dokumentációja biztonságilag érzékeny adatokat is tartal-

mazhat, ilyen érzékeny adat lehet a felhasználás folyamatainak leírása, az eljárás, az adatszer-

kezetek, vagy az engedélyezési folyamatok ismertetése.

Az illetéktelen hozzáférés megelőzése érdekében:

a) Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról.

b) Minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentáci-

ókhoz.

c) Gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbí-

tott dokumentáció védelméről.

2004. 07. 19. 0.91 verzió 113


d) Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rend-

szer biztonsági fokozatának megfelelő módon kell kezelni.

e) Az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások

menedzselésének keretében kell aktualizálni és naprakészen tartani.

f) Gondoskodni kell a változások menedzseléséről és a biztonságot érintő változások, változ-

tatások naplózásáról.

g) A rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt

adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni.

h) Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához és üze-

meltetéséhez, a rendszer funkcionalitásának és megbízható üzemeltetésének biztosításá-

hoz a következő dokumentációk szükségesek:

Késztermék Fejlesztett termék

Szállítási dokumentáció, minőségi bizonyít-

vány

Architektúra és konfiguráció szintű dokumen-

táció

Rendszerelemek, egységek dokumentációi Modul szintű dokumentáció

Teljes rendszerdokumentáció Teljes rendszerdokumentáció

Rendszerteszt dokumentáció Tesztkövetelmények és eljárások dokumentá-

ciója modul szinten

Üzemeltetési dokumentáció (normál üzemel-

tetés, hibaelhárítás, újraindítás)

Tesztkövetelmények és eljárások dokumentá-

ciója rendszer szinten

Felhasználói dokumentáció Felhasználói dokumentáció

Átadás-átvételi dokumentáció

Üzemeltetési dokumentáció (normál üzemel-

tetés, hibaelhárítás, újraindítás) Biztonsági rendszer dokumentációja

Biztonsági rendszer dokumentációja

i) A biztonsági rendszerek, alrendszerek dokumentációjának tartalmaznia kell a biztonsági

funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, va-

2004. 07. 19. 0.91 verzió 114


lamint az üzemeltetés során. Biztonsági rendszer, alrendszer dokumentációját csak az In-

formatikai biztonsági szervezeti egység munkatársai, illetve a Biztonsági Vezető által en-

gedélyezett személyek kezelhetik.

2004. 07. 19. 0.91 verzió 115


8.7. Adatok és programok cseréje

A szervezetek között cserélt adatok és programok elvesztésének, módosításának vagy il-

letéktelen felhasználásának lehetőségét is meg kell akadályozni. Az adatok és a programok

szervezetek közötti átadását, cseréjét ellenőrizni kell. A cserének meg kell felelnie a hatályos

törvényeknek és egyéb szabályozóknak.

Mérlegelni kell az elektronikus adatcsere, az elektronikus kereskedelem és az e-mail üz-

leti és biztonsági kockázatát, annak következményeit és az ellenőrző eszközök alkalmazására

vonatkozó követelményeket.

Olyan körülmények között, amikor fontos a bizalmasság fenntartása, meg kell fontolni a

titkosítással kapcsolatos biztosítékok alkalmazását a hálózaton áthaladó adatforgalom titkosí-

tása érdekében. A titkosítási biztosítékok használatával kapcsolatban a következőket kell fi-

gyelembe venni:

a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok

számos országot és ezzel igazságszolgáltatást érintenek),

b) a kulcsmenedzsment követelményeit és a legyőzendő nehézségeket, annak biztosítására,

hogy valóban a biztonság növekedését érjük el anélkül, hogy jelentős új sérülékenysége-

ket okoznánk,

c) a titkosító mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a kívánt

védelemi szintre.

Olyan körülmények között, amikor fontos a sértetlenség fenntartása, meg kell fontolni

az elektronikus aláírás és/vagy az üzenet sértetlenségét garantáló biztosítékok használatát a

hálózaton áthaladó információk védelmében.

Az üzenet sértetlenségét garantáló biztosítékok (például üzenethitelesítő kódok haszná-

lata) megfelelő lehet olyan esetekben, amikor a véletlen vagy szándékos megváltoztatás, hoz-

záadás vagy törlés elleni védelem a fő követelmény.

Az elektronikus aláírás biztosítékok hasonló védelmet nyújtanak, mint az üzenet hitele-

sítő biztosítékok, de vannak olyan tulajdonságaik is, amelyek a letagadhatatlanságot támogató

eljárásokat tesznek lehetővé. Az elektronikus aláírás és az üzenet hitelesítő biztosítékok al-

kalmazása közötti döntéskor figyelembe kell venni a következőket:

2004. 07. 19. 0.91 verzió 116


a) az alkalmazandó jogszabályok és más szabályozások (különösen ott, ahol a hálózatok

számos országot és ezzel igazságszolgáltatást érintenek),

b) az alkalmazható nyilvános kulcsú infrastruktúrákat,

c) a kulcsmenedzsment követelményeit és a legyőzendő nehézségeket, annak biztosításáraa,

hogy valóban a biztonság növekedését érjük el anélkül, hogy jelentős új sérülékenysége-

ket okoznánk,

d) az alapot képező mechanizmus alkalmasságát, tekintettel az adott hálózati kapcsolatra és a

kívánt védelemi szintre,

e) a felhasználók és egyedek kulcsokkal kapcsolatos megbízható (ahol megoldható hiteles)

regisztrációját az elektronikus aláírási rendszerekben.

8.7.1. Megállapodások az adatok és programok cseréjéről

A szervezet más szervezettel adat- és programcserét kizárólag írásbeli szerződés alapján

bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is.

A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni:

a) Az adatátvitel, feladás és átvétel ellenőrzésének és bejelentésének eljárási szabályait.

b) Az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabvá-

nyait.

c) Adatvesztéssel kapcsolatos kötelezettséget és felelősséget.

d) Az adatátvitel során a biztonságos (szükség esetén rejtjelzett) környezet előírásait minden

érintett félnél.

e) Az érzékeny adatok védelméhez szükséges speciális eszközök igénybe vételét (például

kriptográfiai kulcsok).

8.7.2. Adathordozók szállítása

Az információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen

hozzáférés és visszaélés veszélyének. A számítástechnikai adathordozók biztonsági szállítása

érdekében az alábbi ellenőrző eszközök alkalmazását kell mérlegelni.

a) Szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el.

b) Szállítás során átadás-átvételi bizonylat szükséges.

2004. 07. 19. 0.91 verzió 117


c) A szállítást – lehetőség szerint – több embernek kell végeznie.

d) Épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani.

e) Tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása.

f) Épületen kívüli szállítás esetén – például a MABISZ ajánlását figyelembe vevő – megfele-

lő tárolóeszköz szükséges.

g) Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor elkerü-

lendő a nyilvánvalóan erős mágneses tér (például nagyfeszültségű távvezetékek).

h) Szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni.

i) Az adathordozót tilos őrizetlenül hagyni.

j) Az adathordozókat óvni kell a fizikai sérülésektől.

k) Az adathordozókon a minősítést megváltoztathatatlanul kell feltüntetni.

l) Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelő) vezetőjét – szükség

esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a to-

vábbi károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy időben tájé-

koztatnia kell a Biztonsági Vezetőt az eseményről és a megtett intézkedésekről.

8.7.3. Az elektronikus kereskedelem biztonsága

Az elektronikus kereskedelem (e-business, e-commerce) biztonsága komplex védelmet

igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt

sor kerül(het).

A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani,

melynek legfontosabb feladatai:

a) A hozzáférés egységes szabályozása és ellenőrzése.

b) Egyszeri azonosítás és hitelesítés (SSO).

c) Az elektronikus aláírások kezelése, rejtjelzés, kulcsmenedzsment (CA, PKI).

d) Biztonságos adattovábbítás.

e) A behatolási kísérletek figyelése (IDS).

f) Biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez.

g) Az auditálhatóság.

2004. 07. 19. 0.91 verzió 118


Az elektronikus kereskedelmi rendszerek hatékony védelmének kialakításához pontosan

meg kell határozni a fenyegetéseket, a potenciális veszélyeket és a várható támadási módsze-

reket.

8.7.4. Az elektronikus levelezés biztonsága

8.7.4.1. Biztonsági kockázatok

Elektronikus levelezést az üzleti hírközlésben széles körben alkalmazzák az olyan ha-

gyományos távközlési formák kiváltására, mint a telex és a közönséges levél. Az üzleti kom-

munikáció hagyományos formáitól az elektronikus levél különbözik, például sebességben,

üzenet-szerkezetben, az informálisság mértékében (közvetlenségben), valamint a jogtalan

tevékenységekkel szembeni sérülékenységében. Megfontolást ajánlatos tenni az óvintézkedés-

re vonatkozó igényeket illetően, hogy az elektronikus levelek által keltett biztonsági kockáza-

tokat csökkentsük. Ezek a biztonsági kockázatok magukban foglalják:

a) az üzenetek sérülékenységét a jogtalan hozzáféréssel, a módosítással vagy a szolgálat

megtagadásával szemben,

b) az olyan hibákkal szembeni sérülékenységet, mint például a helytelen címzés, a téves el-

irányítás, a szolgálat általános megbízhatósága és rendelkezésre állása,

c) a hírközlőközeg cseréjének a hatásait, amelyet az üzleti folyamatokra fejt ki, például a

közvetítés megnövekedett sebességének a hatása, vagy annak a hatása, hogy formális (üz-

leti) levelet küldenek, de nem vállalat a vállalatnak, hanem személy a személynek,

d) jogi megfontolásokat, mint például az igény, hogy bizonyíthassuk a származást, a feladást,

a kézbesítést, az átvételt,

e) annak kihatásait/következményeit, hogy a külsőleg hozzáférhető személyzet listáját közzé

tesszük,

f) a távoli felhasználók hozzáféréseinek ellenőrzését, amikor elektronikus leveleikért beje-

lentkeznek a levelező rendszerünkbe.

8.7.4.2. Az elektronikus levelezés irányelvei

Az elektronikus levelezés biztonságának szabályozásakor a következő fenyegetettsége-

ket kell figyelembe venni:

2004. 07. 19. 0.91 verzió 119


a) Az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadá-

sának veszélye.

b) Emberi hibákból eredő veszélyeztető tényezők, például rossz címzés vagy irányítás.

c) Bizalmas adatok továbbításának lehetősége és ennek veszélyei.

d) A feladó és címzett hitelesítési problémák, illetve a levél átvételének bizonyítása.

e) A kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek.

f) Távolról bejelentkező felhasználó biztonsági problémái.

g) Az elektronikus levelezés biztonsági irányelvei:

h) A levelező rendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új

mail-vírusok megjelenését.

i) Az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelméről

folyamatosan gondoskodni kell (például nyomon kell követni új szoftverfrissítések, servi-

ce pack-ok és security-patch file-ok megjelenését).

j) Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a

rendszer védelme átmenetileg nem biztosított, – például olyan vírus fenyegetettség eseté-

ben, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet, – az intraneten

kívül eső elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére az

Informatikai Vezető és az Informatikai Biztonsági Vezető jogosult.

k) Definiálni kell a felhasználók felelősségét, a szervezet érdekeinek védelmében.

l) Az elektronikus üzenetek bizalmasságának, illetve hitelességének védelme érdekében

használt rejtjelző eszközt (PKI, kulcsok hosszát, tárolásuk módját) az Informatikai bizton-

sági szervezeti egység engedélyezi.

m) Kilépéskor archiválni kell és a kilépés napjától számított 1 évig meg kell őrizni minden

olyan felhasználó elektronikus levezését, akiknek munkaviszonya, illetve a jogosultság

alapját képező megbízása, szerződése megszűnt. Megőrizendők továbbá azok az elektro-

nikus levelek, amelyek peres eljárások alapját képezhetik.

n) A nem hitelesíthető, kétes forrásból származó üzeneteket, ki kell vizsgálni.

o) Az elektronikus levelezés forgalmát tartalmilag szűrni kell, a bizalmas adatok kiszivárgá-

sának elkerülése érdekében.

2004. 07. 19. 0.91 verzió 120


p) Minden felhasználót fel kell világosítani arról, hogy a szervezet levelező rendszerén tárolt

és továbbított levelek, a szervezet tulajdonát képezik, ezért a szervezet szabályzatokban és

utasításokban feljogosított ellenőrző szerveinek ezekhez az állományokhoz, a vizsgálathoz

szükséges mértékig betekintési joga van.

q) A szervezet levelező rendszere a cég üzletmenetétől idegen reklám, valamint egyéb üzleti

célokra nem használható.

r) A szervezet elektronikus levelezési címjegyzéke nem szolgáltatható ki harmadik félnek,

semmilyen célból.

8.7.5. Irodaautomatizálási rendszerek biztonsága

Az automatizált irodai rendszerek olyan komplex tevékenység elősegítésére jöttek létre,

amelyek egyaránt tartalmazzák a dokumentumok, hangok és képek elektronikus eszközökkel

való előállítását, kezelését, tárolását, valamint továbbítását.

Az automatizált irodai rendszerekben használt eszközök (asztali és mobil számítástech-

nika, hangátvitel, multimédia, stb.) összekapcsolása során több, egymással összefüggő bizton-

sági követelményt kell mérlegelni:

a) A továbbított és felhasznált adatok sebezhetőségének figyelembevétele (a postai külde-

mények, dokumentumok, faxok, fénymásolók kezelésére az ügyviteli (iratkezelési) sza-

bályzat előírásait kell alkalmazni).

b) Az adatok minősítésük szerinti kezelése, a biztonsági osztályba sorolásnak megfelelő vé-

delmi követelmények teljesítése, illetve betartásuk ellenőrzése az adatgazda feladata.

c) A felhasználók hozzáférési jogosultságainak meghatározásánál, kiosztásánál és használa-

tuk ellenőrzése során figyelembe kell venni a társasági és a rendszerszintű IBSZ-ek előírá-

sait.

d) A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezel-

ni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése, stb.) hala-

déktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzőkönyvezni kell. Ezekért az

adott szervezeti egység vezetője a felelős.

e) Az érzékeny adatok védelmének a biztosítása (jogosultságok, hozzáférés, adatkezelés,

stb.).

2004. 07. 19. 0.91 verzió 121


f) A biztonsági másolatokat, mentéseket a rendszer biztonsági osztályára előírt módon kell

kezelni és tárolni, ezt részletesen a rendszerszintű IBSZ-ben kell szabályozni.

g) Az irodaautomatizálási rendszer által kezelt adatbázisokat, használt eszközöket (szerve-

rek, munkaállomások, adattárak, hálózatok) a biztonsági osztályba sorolásnak megfelelő-

en az illetéktelen fizikai hozzáférés ellen is védeni kell.

8.7.6. Nyilvános rendszerek

Nyilvános rendszerben – többek között egy Internet hálózaton keresztül elérhető

Web-szerveren – közzétett információ esetén szükség van a rendszer joghatóságának területén

hatályos törvények, jogszabályok és rendeletek betartására.

Egy nyilvános rendszerben a fokozott integritást igénylő számítástechnikai programok,

adatok és egyéb információk védelméhez megfelelő eszközökre, – többek között digitális alá-

írás alkalmazására – van szükség.

Az elektronikus hirdető rendszereknél, – különösen azoknál, amelyek lehetővé teszik a

visszajelzést és az információ közvetlen beléptetését, – megfelelő eszközökkel kell gondos-

kodni a következőkről:

a) Az információ megszerzésének módja feleljen meg a személyes adatok védelméről és a

közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve a tisztességte-

len piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvény ren-

delkezéseinek.

b) Időben kerüljön sor a kiadó rendszerbe beléptetett információ pontos és hiánytalan feldol-

gozására.

c) Az adatok kezelése (gyűjtés, tárolás, feldolgozás) során gondoskodni kell a minősített

adatok, valamint – a biztonsági osztálynak megfelelően – az informatikai rendszerek vé-

delméről.

d) A kiadó rendszerhez való hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz

a hálózatokhoz, amelyekhez a rendszer csatlakozik.

8.7.7. Az adatcsere egyéb formái

Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési és adat-

átviteli eszközökön keresztül kicserélt információk védelméről. Az információ nem biztonsá-

2004. 07. 19. 0.91 verzió 122


gos felhasználásának lehetséges okai: a szükséges ismeretek hiánya, az ilyen eszközök hasz-

nálatára vonatkozó irányelvek és eljárások nem kellő ismerete.

Figyelembe kell venni azt az eshetőséget is, hogy a távközlési eszközökben bekövetke-

ző üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos

üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különböző

üzleti információkhoz.

A munkavállalók a távközlési és adatátviteli eszközök használata során kötelesek a kö-

vetkező irányelveket és eljárási szabályokat betartani:

a) Tekintettel arra, hogy nem hozhatnak nyilvánosságra minősített adatokat, a telefonbeszél-

getések során ügyelniük kell:

1) a közvetlen környezetükben tartózkodó emberekre, különösen mobiltelefon használata

során,

2) a telefonbeszélgetések – illetve a készülékek – lehallgatására és letapogató eszközök,

vevőkészülékek alkalmazására,

3) a hívott félnél tartózkodó személyekre.

4) Ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken vagy nyitott iro-

dákban.

5) Ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános

rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják.

Megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni.

b) A faxgépek használata során a következő eshetőségekre kell tekintettel lenni:

1) a dokumentumok és üzenetek – esetleges – téves számra való elküldése,

2) a gépek szándékos vagy véletlen programozása egy meghatározott címre szánt üzene-

tek továbbítására, illetéktelen hozzáférés a beépített üzenettárolókhoz, az üzenetek

visszakeresése és lehallgatása.

2004. 07. 19. 0.91 verzió 123


9. HOZZÁFÉRÉS MENEDZSMENT

9.1. A hozzáférés ellenőrzés üzleti követelményei

Az adatok és az üzleti folyamatok elérését az üzleti és biztonsági követelmények alap-

ján kell ellenőrizni. Ennek során meghatározásra kerültek a rendszer-erőforrások, alkalmazá-

sok, külső összeköttetések, adat(bázis)ok elérésére, terjesztésére és engedélyezésére vonatko-

zó általános irányelvek.

Biztosítékokat használhatunk e területen arra, hogy

a) korlátozzuk az információkhoz, számítógépekhez, hálózatokhoz, alkalmazásokhoz, rend-

szer erőforrásokhoz, állományokhoz és programokhoz való hozzáférést,

b) a hibákat és felhasználói tevékenységeket eseménynaplókban rögzítsük és a rögzített rész-

leteket elemezzük a biztonsági események megfelelő módon való felfedésének és kezelé-

sének érdekében.

Az általános eljárás a hozzáférés ellenőrzés kikényszerítésére az azonosítás és hitelesítés

(A&H) fájlok valamint egyéb erőforrások hozzáférés ellenőrzési listáihoz kapcsolódó részle-

teinek használata. A logikai hozzáférésellenőrzés és naplózás biztosítékai a következők:

1. Hozzáférés ellenőrzési politika

Minden felhasználó vagy felhasználó csoport számára világosan meghatározott hozzáfé-

rés ellenőrzési politikának kell lennie. Ennek a politikának a szervezeti követelmények alap-

ján kell hozzáférési jogokat adnia a hozzáférhetőség, termelékenység valamint a szükséges és

elégséges tudás elvei alapján. Általánosan elfogadott elvnek kell lennie, hogy csak a szüksé-

ges jogokat szabad kiadni. A hozzáférési jogok kiosztása során figyelembe kell venni a szer-

vezet megközelítési módját a biztonsággal kapcsolatban (mely lehet nyitott vagy korlátozó),

kultúráját az igények kielégítése és a felhasználói támogatás elnyerése érdekében.

2. Felhasználói hozzáférés a számítógépekhez

A számítógépekhez történő felhasználói hozzáférés ellenőrzést bármilyen illetéktelen

hozzáférés megakadályozására használjuk. Képesnek kell lenni azonosítani a felhasználókat

és minden azonosított felhasználó személyazonosságát ellenőrizni. Mind a sikeres, mind a

2004. 07. 19. 0.91 verzió 124


sikertelen kísérleteket naplózni kell. A számítógépekhez való hozzáférés ellenőrzése támogat-

ható jelszavakkal vagy bármilyen A&H eljárással.

3. Felhasználói hozzáférés adatokhoz, szolgáltatásokhoz és alkalmazásokhoz

Hozzáférés ellenőrzést kell alkalmazni az adatok és szolgáltatások jogosulatlan hozzáfé-

rés védelmére a számítógépen vagy a hálózaton. Ezt a megfelelő A&H mechanizmusok, a

hálózati szolgáltatások közötti csatolók és a hálózat konfigurációja segítségével lehet megten-

ni, ami biztosítja, hogy csak a rendszerhez engedélyezett hozzáférések valósulhassanak meg

(ez a jogok korlátozó elvű kiosztását jelenti). Az alkalmazásokhoz való illetéktelen hozzáférés

megakadályozására szerep alapú hozzáférés ellenőrzést kell megvalósítani a felhasználók

szervezeti funkcióinak megfelelően.

4. A hozzáférési jogok felülvizsgálata és módosítása

Minden, felhasználóknak kiosztott hozzáférési jogot rendszeresen felül kell vizsgálni és

módosítani, ha a szervezeti követelmények vagy a biztonsági igények megváltoztak. A ki-

emelt szintű jogosultságokat sokkal gyakrabban kell vizsgálni a visszaélések elkerülése érde-

kében. A hozzáférési jogokat azonnal vissza kell vonni, ha többé már nincs rájuk szükség.

5. Ellenőrzési napló

Minden informatikai támogatással végzett tevékenységet naplózni kell, és ezeket a nap-

lókat rendszeresen ellenőrizni szükséges, ez tartalmazza a rendszerbe történő sikeres és siker-

telen belépési kísérleteket az adatokhoz való hozzáférés naplózását, a rendszer által használt

funkciókat stb. A hibákat szintén naplózni kell és ezeket a naplókat rendszeresen ellenőrizni

szükséges. A napló adatokat a személyiségi jogi és adatvédelmi jogszabályoknak megfelelően

kell kezelni, például csak meghatározott ideig lehet tárolni és csak biztonsági célokra lehet

felhasználni ezeket.

9.1.1. Irányelvek és üzleti követelmények

9.1.1.1. A szabályzat és az üzleti követelmények

Minden informatikai rendszer hozzáférési rendszerét a megvalósítási projekt során a

biztonsági osztálynak megfelelő követelményszinten kell megtervezni. Ebben pontos tartal-

mat kapnak a munkakörök, az objektumok és a hozzáférési módok, melyek meghatározásához

a következőket kell figyelembe venni:

a) Az egyes üzleti alkalmazások biztonsági követelményeit.

2004. 07. 19. 0.91 verzió 125


b) Az üzleti alkalmazásokra vonatkozó összes információ azonosítását.

c) Az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz a „need to

know” elvet, a biztonsági szinteket és az adatminősítés alkalmazását.

d) A különböző rendszerek és hálózatok hozzáférést-ellenőrző eszközeit és az információ

minősítésére vonatkozó irányelvek közötti összhang megteremtését.

e) Az adatok és szolgáltatások elérésének védelmére vonatkozó törvényi rendelkezéseket,

társasági szabályzatokat és a szerződésekben rögzített szabályokat.

f) Azonos munkavállalói csoportokra vonatkozó egységes irányelveket.

g) Hozzáférési jogok kezelését a kapcsolatok összes típusát felismerő osztott és hálózatba

szervezett környezetben.

9.1.1.2. A hozzáférés ellenőrzés szabályai

A hozzáférés-vezérlésnél a felhasználóknak az adatállományokhoz fűződő jogosultságai

egyedi elbírálás alapján személyenként vagy csoportonként kerülnek meghatározásra.

a) Az előre meghatározott munkakörök (szerepkörök) szerinti hozzáférés jogosultság-

vezérlés esetében az előre meghatározott felhasználói szerepkörökhöz, valamint az infor-

matikai rendszer adatállományaihoz és erőforrásaihoz biztonsági címkéket kell hozzáren-

delni, amelyek tartalmát (adatcsoportok, adatvédelmi szintek, hozzáférési jogok) előre

meghatározott módon kell kialakítani. Az egyes felhasználók eltérő szerepkörbe sorolha-

tók és megkapják a szerepkörhöz rendelt jogokat. A hozzáférés jogosságának elbírálása az

adott szerepkör, illetve a hozzáférésre megcélzott adatállomány, erőforrás biztonsági cím-

kéinek összehasonlításával történik. A szerepkör szerint meghatározott hozzáférés-

jogosultság kiosztás (MAC) használata a 3. és 4. szinten kötelező.

b) Mindegyik informatikai rendszernél a minimálisan használandó szerepköröket, valamint

az azokhoz tartozó legjellemzőbb funkciókat külön-külön kell meghatározni. A szerepkö-

rök tartalmát az SZMSZ-ben és más utasításokban meghatározott munkakörök, valamint a

szervezeti hierarchiában elfoglalt hely határozza meg.

c) A szerepkörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét

értelmezést és szükség esetén további rész-szerepkörökre bonthatók.

2004. 07. 19. 0.91 verzió 126


d) Az informatikai rendszerrel munkakapcsolatba kerülő valamennyi munkatárs a védelmi

rendszertervben konkrétan meghatározott szerepkörbe sorolandó és örökli a szerepkörre

meghatározott hozzáférési jogokat.

e) A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés

során az Informatikai Biztonsági Vezetőnek kell meghatározni és jóváhagyatni az adat-

gazdával.

9.1.1.3. Külső fél hozzáférése

Külső fél hozzáférésének menedzsmentje azonos követelményeknek megfelelően, szer-

ződésben rögzített módon kell történjen. A külső fél – igény esetén – a hozzáférés nyilvántar-

tásait a szervezet számára át kell adja.

2004. 07. 19. 0.91 verzió 127


9.2. A felhasználói hozzáférés menedzsmentje

Az információs rendszerek illetéktelen elérésének megakadályozása érdekében megfele-

lő hozzáférési rendszert kell kialakítani. Hozzáférés iránti, illetve jogosultság módosítására,

hozzáférés törlésére vonatkozó igény csak írásban kérhető. A beérkezett igényeket nyilvántar-

tásba kell venni. A kiadott engedélyek listáját naprakészen kell tartani.

Minden szerepkör feljogosít meghatározott fizikai, illetve logikai biztonsági tartomány-

ba (például számítóközpont, szerverszoba, archiváló helyiség, illetve adott alkalmazás, háló-

zati szegmens, munkahelyi állomás, stb.) történő belépésre és abban az engedélyezett fizikai,

illetve logikai objektumokhoz való hozzáférésre az engedélyezett hozzáférési jogokkal.

Hivatalos eljárásokkal kell szabályozni az információs rendszerekre és szolgáltatásokra

vonatkozó hozzáférési jogok kiosztásának ellenőrzését.

Az eljárásoknak ki kell terjedniük a felhasználói hozzáférés életciklusának minden

egyes szakaszára, az új felhasználók kezdeti bejelentkezésétől – a felhasználói jogosultságok

módosításán át – az olyan felhasználók kijelentkezéséig, akik többé már nem igénylik az in-

formációs rendszerek és szolgáltatások elérését. Külön figyelmet érdemel az elsőbbségi hoz-

záférési jogok kiosztása, melyek lehetővé teszik, hogy egyes felhasználók megkerüljék a

rendszer ellenőrző eszközeit.

9.2.1. A felhasználó bejelentkezése

Szükség van egy hivatalos be- és kijelentkezési eljárásra, amely alapján mindegyik

többfelhasználós rendszerben és szolgáltatásnál szabályozni lehet a felhasználók hozzáférését.

A felhasználó-azonosító az informatikai rendszert használó identitásának egyedi, jel-

lemző, ellenőrizhető és hitelesítésre alkalmas megjelenítése kell, hogy legyen az informatikai

rendszerben. A felhasználók közé sorolandók a természetes személyek, folyamatok, vagy

egyéb eszközök egyaránt. Az egyedi felhasználói azonosítót a hozzáférés szabályozására, az

adatok és az információk védelmére, valamint a hitelesítés támogatására kell felhasználni.

Biztosítani kell, hogy a felhasználó azonosítója az egyes erőforrásokhoz, folyamatokhoz és az

adatokhoz való hozzáférést megfelelően szabályozza (korlátozza) és követhető, ugyanakkor a

biztonsági funkciók működése során ellenőrizhető legyen a biztonsági rendszer számára.

2004. 07. 19. 0.91 verzió 128


a) A felhasználó-azonosítónak minden esetben egyedinek kell lennie, (azaz semmilyen kö-

rülmények között sem adható ki különböző felhasználók részére megegyező azonosító).

b) A felhasználói azonosítók képzésére központi névkonvenciós szabályozást kell készíteni.

A felhasználói azonosítók képzését a szervezeten belül egy helyen kell végrehajtani.

c) A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű vál-

tozást (az ellenőrizhetőség érdekében) naplózni kell.

d) Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott

munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják.

e) A felhasználói azonosítók nem örökérvényűek. Ennek megfelelően a következő szabályo-

kat kell alkalmazni:

1) a szervezet munkatársai, illetve külső munkavállalói – amennyiben munkakörük, illet-

ve beosztásuk alapján az informatikai rendszer szolgáltatásait igénybe vehetik –, mun-

kába állásuk után haladéktalanul kapják meg felhasználói azonosítójukat. Az utasítási

jogkört gyakorló vezető – legalább 3 munkanappal – a munkába lépés előtt igényelje

meg a felhasználói azonosítót a hozzáférési jogosultságok megjelölésével. Tilos akár

csak átmeneti jelleggel is, hogy más munkatárs azonosítóját használják, saját azonosí-

tójuk hiánya miatt. A kapott felhasználói azonosítót haladéktalanul érvényesíteni kell,

2) a szervezet munkatársainak felhasználói azonosítóját munkaviszonyuk megszűnésé-

vel, a külső munkavállalók felhasználói azonosítóját megbízatásuk lejártával, haladék-

talanul le kell tiltani. A megszűnt munkaviszonyú felhasználó a rendszer szolgáltatása-

it nem veheti igénybe és erőforrásait nem használhatja,

3) a munkaviszonyukat huzamosabb ideig szüneteltető (például sorkatonai szolgálat,

gyermek szülése), illetve a tartósan más okból távollévő (külföldi kiküldetés, elhúzódó

gyógykezelés) munkatársak felhasználói azonosítóját le kell tiltani, illetve munkába

állásukkal egy időben ismét engedélyezni kell,

4) a munkatársak áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő

felhasználói azonosítók letiltása, vagy a jogosultságok törlése, illetve új azonosítók

vagy jogosultságok létrehozása) az áthelyezéssel egy időben, haladéktalanul át kell

vezetni,

5) harmadik személyek, akik valamilyen okból igénybe vehetik a szervezet bármelyik

rendszerének szolgáltatásait, csak meghatározott időre, és korlátozott lehetőségeket

2004. 07. 19. 0.91 verzió 129


biztosító (például egy adott projekt keretein belül érvényes) felhasználói azonosítót

kaphatnak. A részükre kiadott azonosító szerkezetileg feleljen meg a szervezeten belü-

li munkatársak azonosítójával, de legyen egyértelműen és könnyen megállapítható,

hogy az adott felhasználói azonosító harmadik (külső) személyé,

6) azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésé-

nek időpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizo-

nyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette

igénybe), azonosítóját le kell tiltani és erről a munkatárs munkahelyi vezetőjét értesí-

teni szükséges, megjelölve az érvénytelenítés okát.

9.2.2. A jogosultságok kezelése

Az egyes biztonsági szinteken a következő standard jogosultságokat kell értelmezni:

0., 1. és 2. szinten:

a) Ebben az osztályban minimálisan a következő jogokat kell megkülönböztetni:

1) olvasási jog (betekintés),

2) létrehozási jog,

3) módosítási jog,

4) törlési jog.

b) A hozzáférés jogosultság vezérlésére a szabad belátás szerint kialakított hozzáférés (DAC)

elvét kell alkalmazni.

c) Az adminisztrációs és naplózási jogoknak el kell különülni a felhasználói jogoktól.

d) A rendszernek alkalmasnak kell lennie a hozzáférési jogok egyedi vagy csoport szinten

való megkülönböztetésére és szabályozására. A hasonló szerepű személyek csoportjai

munkájának támogatására hozzáférési jogosultsági csoportokat kell kialakítani.

3., és 4. szinten:

a) Ebben az osztályban az informatikai rendszer objektumaihoz legalább a következő hozzá-

férési módokat kell hozzárendelni:



2004. 07. 19. 0.91 verzió 130



4) selejtezési jog,

5) törlési jog,

6) másolási jog.

b) A rendszerrel kapcsolatba kerülő személyekhez a következő hozzáférési módokat kell

hozzárendelni:

1) engedélyezési jog,

2) visszavonási jog,




6) selejtezési jog,

7) törlési jog,

8) másolási jog.

c) A hozzáférés-jogosultság vezérlésre szerepkör szerint meghatározott hozzáférési jogosult-

ság kiosztás (MAC) elvét kell alkalmazni.

d) A konkrét jogosultságokat és a hozzáférésjogosultság vezérlésének konkrét megvalósítási

módját az 1-3 pontban rögzítettek alapján az alkalmazásra kerülő hardver/szoftver termé-

kek lehetőségeinek figyelembe vételével kell kialakítani.

e) A munkakörökre a fokozott biztonsági osztálynál elmondottak érvényesek azzal a szigorí-

tással, hogy a rendszeradminisztrátor, az operátor és a biztonsági adminisztrátor szerepkö-

röket személyileg is szét kell választani.

f) A biztonsági naplóállományokat kettőzötten, az Informatikai Vezető és az Informatikai

Biztonsági Vezető által közösen meghatározott módon kell archiválni.

g) A felhasználók azonosítására és hitelesítésére (A&H) az egyedileg meghatározott jelszó

használatán kívül – az adott rendszerhez és a belépő személyhez elválaszthatatlanul kötött

és minősített – kiegészítő azonosító-hitelesítő eszközt kell használni.

2004. 07. 19. 0.91 verzió 131


h) A szervezet informatikai rendszeréhez való hozzáférési jog megadása csak a 3. számú

mellékletben szereplő hálózati jogosultság igénylő lap szabályos kitöltése után lehetséges.

A hálózati jogosultság igénylő lapok megőrzése és karbantartása az informatikai üzemel-

tetés feladata.

9.2.3. A felhasználói jelszavak kezelése

Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó

megadása.

A felhasználói jelszavak kezelésére a következő szabályok a mérvadók:

a) A felhasználónak kötelezően alá kell írnia egy nyilatkozatot, melyben felelősséget vállal

személyes, (esetleg csoportos jelszavainak) bizalmas kezelésére.

b) Belépéskor megkapott, illetve – például elfelejtés esetén – ideiglenes jelszó átadása csak

biztonságos csatornán történhet, a felhasználó előzetes – például személyes – azonosítása

után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, meg-

változtatásuk kötelező.

c) Telefonon, illetve elektronikusan aláíratlan e-mailen-en történő kérésre jelszóváltoztatás

nem kezdeményezhető.

d) A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellen-

őrizhető úton (például e-mail), vagy személyesen.

e) A jelszónak minden felhasználó számára szabadon megváltoztathatónak kell lennie.

f) A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség

van) biztosítani kell a következő követelmények teljesülését:

1) minimális jelszóhossz megadása,

2) a jelszó egyediségét (történeti tárolás),

3) a központi jelszó megadás utáni első bejelentkezéskor a kötelező jelszó cseréjét,

4) a jelszó maximális élettartamát,

5) a jelszó minimális élettartamát,

6) a jelszó zárolását,

7) a jelszó képzési szabályainak – bonyolultsági kritériumnak – meghatározását.

2004. 07. 19. 0.91 verzió 132


g) A számítógépes rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat

megfelelő rejtjelezési védelemmel kell ellátni.

h) A jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos.

i) A felhasználói jelszó hosszával ill. szerkezeti szabályaival (bonyolultság) szemben tá-

masztott követelményeket minden esetben az határozza meg, hogy milyen a kiszolgálón

tárolt adatok érzékenységi besorolása és ebből következően a kiszolgáló informatikai biz-

tonsági osztályba sorolása.

A felhasználó azonosítók és jelszavak rejtjelzetlen formában való tárolása a szervezet

rendszereiben szigorúan tilos! Felhasználói azonosítók, jelszavak, rejtjelzőkulcsok és az ehhez

tartozó jelszavak biztonsági másolatai lezárt, lepecsételt borítékban, minimum zárható lemez-

vagy páncélszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni, a lezárás dá-

tumának feltüntetésével. Privilegizált (rendszerszintű hozzáférést lehetővé tévő) felhasználók

jelszavait a többi felhasználó számára előírtnál gyakrabban kell cserélni, mert ezek kompro-

mittálódása vagy elvesztése súlyosan sértheti a rendszerek biztonságát.

0. és 1. szinten:

a) Minden jelszónak meg kell szabni a minimális hosszát és élettartamát (érvényességi ide-

jét). Minimális hossz: 6 karakter, érvényességi idő: 1 év.

b) Az újra felhasználható jelszavak engedélyezésekor a minimum legutóbbi 5 esetében meg

kell tagadni a hozzáférést.

c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rend-

szert használunk.

d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben ha

kompromittálódnak, vagy illetéktelen személy birtokába jutnak.

e) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek

és jelszavak generálását egy jelszó erősségét (minőségét) biztosító a rendszerhez fejlesz-

tett sémának megfelelően kell végrehajtani.



jét). Minimális hossz: 8 karakter, érvényességi idő: 180 nap.



2004. 07. 19. 0.91 verzió 133


c) A hozzáférési jelszavakat gyakran cserélni kell, kivéve, ha hardver alapú hitelesítési rend-

szert használunk.

d) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok

jelszavait – védetten (például lepecsételt borítékban) meg kell őrizni erre alkalmas bizton-

sági konténerben, hogy vészhelyzet esetén is biztosított legyen a rendszerhozzáférés.

e) Ahol nem egyszer használatos jelszavak vannak használatban ott a jelszavakat rejtjelzett

formában kell tárolni.

f) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben. ha


g) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek



9.2.4. A felhasználó hozzáférési jogosultságainak ellenőrzése

Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáfé-

rési jogosultsága a szerepkörüknek megfelelő legyen. Ennek érdekében:

a) A jogosultságokat rendszeres időközönként ellenőrizni kell. Az általános felhasználók

esetében ezt évente, míg a kiemelt jogosultsággal rendelkező felhasználók esetében leg-

alább 3 havonta kell megtenni.

b) Rendszeresen ellenőrizni kell, hogy privilegizált jogokkal csak egyedileg azonosítható

felhasználók, csoportok és eszközök rendelkezhessenek.

c) A szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új sze-

repkörnek megfelelően módosítani kell.

d) Az ellenőrzést a szervezeti egység vezetője által kijelölt személy végzi el, és az ellenőrzé-

sek eredményéről a negyedéves jelentésében számol be a Biztonsági Vezetőnek.

2004. 07. 19. 0.91 verzió 134


9.3. A felhasználó feladatai

Meg kell akadályozni az illetéktelen felhasználói hozzáférést az informatikai rendszer

erőforrásaihoz.

A biztonság hatékonyságához nélkülözhetetlen az engedéllyel rendelkező felhasználók

együttműködése.

A felhasználóknak tudomással kell bírniuk a hozzáférés hatékony ellenőrzésére alkal-

mas eszközök használatáról, különös tekintettel a jelszavak használatára és a felhasználó ke-

zelésében lévő berendezések biztonságára.

9.3.1. Jelszó használat

A szervezet informatikai rendszereit használó valamennyi felhasználónak a következő

jelszóhasználati szabályokat kell betartania:

a) A jelszavakat bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvá-

nosságra nem hozhatók.

b) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni.

Amennyiben ez elkerülhetetlen (például a kezdeti jelszó), akkor gondoskodni kell a jelszó

zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosult-

ságot biztosító felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két

példányban, azokat két különböző helyen, lemez- vagy páncélszekrényben tárolni.

c) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell

azt cserélnie.

d) A jelszó hossza haladja meg a 6 karaktert.

e) A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhaszná-

ló személyére utaló információkat (például neveket, telefonszámokat, születési dátumo-

kat), összefüggő szövegként ne legyen olvasható.

f) Legalább 3 havonta rendszeresen cserélni kell a rendszerben használt felhasználói jelsza-

vakat, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát.

g) Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani.

2004. 07. 19. 0.91 verzió 135


h) Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz ren-

delt makrók) nem tartalmazhatnak felhasználói jelszót.

i) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az

alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmez-

tetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne

láthassa meg az általa beírt jelszót.

j) A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell.

k) A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosító-

jával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „terhére” könyve-

li el, és azokért személyesen felel.

Amennyiben a felhasználó multiplatformos környezetet, vagy több hitelesítést igénylő

alkalmazást használ, lehetőség van a felhasználó számára egyetlen kellő hosszúságú és bo-

nyolultságú jelszó alkalmazására az összes rendszeren. (A multiplatformos rendszerekben

használatos jelszó hossza min. 12 karakter, ezen kívül vegyesen tartalmaznia kell alfabetikus

és numerikus karaktereket is. Az ilyen jelszavaknál fokozottan ügyelni kell arra, hogy ne tar-

talmazzanak egymást követő azonos karaktereket.

9.3.2. Felügyelet nélküli berendezések

A felhasználóknak gondoskodniuk kell a felügyelet nélkül hagyott eszközök megbízha-

tó védelméről. A felhasználó helyiségeiben felállított és a hosszabb időre felügyelet nélkül

hagyott berendezéseknél – többek között munkaállomásoknál vagy szervereknél –, külön vé-

delemre lehet szükség az illetéktelen hozzáférés megakadályozására. Mindegyik felhasználó-

nak és harmadik személynek meg kell ismernie a felügyelet nélkül hagyott berendezésékre

vonatkozó biztonsági követelményeket és eljárásokat, valamint a védekezés megvalósítására

vonatkozó saját felelősségüket.

A felhasználókat tájékoztatni kell a következőkről:

a) Az informatikai rendszerekhez csak olyan kihelyezett terminál funkció használata engedé-

lyezhető, melynek működése az informatikai rendszerből menedzselhető (beleértve a jo-

gosultságok vezérlését is), továbbá abból szükség esetén kizárható. A központi védelmi

funkciók és a távoli csatlakozó berendezés védelmi funkcióinak együttes megléte alapvető

feltétele a távoli hozzáférési jog engedélyezésének.

2004. 07. 19. 0.91 verzió 136


b) Azokban a rendszerekben, ahol lehetőség van rá, biztosítani kell a hosszabb ideig inaktív

munkaállomások rendszer által kényszerített kijelentkezését, vagy a berendezés blokkolá-

sát (lock), például a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált kép-

ernyővédő funkciót. (A munkaállomáshoz történő visszatéréskor a képernyővédő funkció

feloldása csak sikeres jelszó megadás után legyen lehetséges.)

c) A PC-s terminál használata esetén, a PC használatát a nem azonosított és hitelesített fel-

használók számára tiltani kell.

2004. 07. 19. 0.91 verzió 137


9.4. A hálózati szintű hozzáférések menedzsmentje

A hálózatba szervezett szolgáltatások védelme érdekében a rendszerszintű IBSZ-ekben

szabályozni és ellenőrizni kell a belső és külső hálózatba szervezett szolgáltatások elérését

annak érdekében, hogy hozzáférési jogosultsággal rendelkező felhasználók ne veszélyeztet-

hessék a hálózatba szervezett szolgáltatások biztonságát. Ellenőrizni kell a belső és külső há-

lózatokban működő szolgáltatások elérését.

Az ellenőrzés és a menedzselés eszközei a következők:

a) Megfelelően biztonságos kapcsolatok létesítése a szervezet hálózata és más szervezetek

tulajdonában levő hálózatok vagy nyilvános hálózatok között.

b) A felhasználók és az eszközök hitelesítésének mechanizmusa.

c) Az informatikai szolgáltatások felhasználóinak menedzselése, hozzáférésük vezérlése.

9.4.1. A hálózati szolgáltatások használatának irányelvei

A hálózatba szervezett szolgáltatásokhoz való nem eléggé biztonságos csatlakozások

hatással lehetnek a szervezet egészére. A felhasználók közvetlenül csak azokhoz a szolgálta-

tásokhoz férhessenek hozzá, amelyekre engedélyük kifejezetten vonatkozik. Ez az ellenőrzés

különösen fontos az érzékeny vagy kritikus alkalmazásokhoz való hálózati csatlakozások

vagy a különösen nagy kockázattartalmú helyen tevékenykedő felhasználók – többek között

olyan nyilvános vagy külső területek – esetében, amelyek kívül esnek a szervezet biztonsági

irányításán és ellenőrzésén.

a) A hálózatok és a hálózati szolgáltatások használata során a következő tényezőkre kell fi-

gyelni:

1) meg kell határozni az engedélyezett hálózatok, valamint az engedélyezett hálózati

szolgáltatások elérési kritériumait,

2) az engedélyezési eljárás során meg kell határozni az engedélyezett hálózatokat és há-

lózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat,

melyek valamiképpen kapcsolatba kerülnek a hálózatokkal és a hálózati szolgáltatá-

sokkal,

3) menedzselési és ellenőrzési eljárásokat kell kialakítani.

2004. 07. 19. 0.91 verzió 138


4) Az 1-3. alpontok a rendszerszintű IBSZ-ben kerüljenek részletesen kidolgozásra.

b) Ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra és

hitelesítésre (A&H), hozzáférés-szabályozásra, bizalmasság-megőrzésre és az ellenőrzésre

vonatkozó szabályokkal. Mindegyik igény esetében vagy a formalizált hálózati elérések-

kel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alap-

ján kell az irányelveket kidolgozni.

c) Az elektronikus úton továbbított üzenetek, állományok tekintetében is az ügyviteli (irat-

kezelési) szabályzatnak megfelelően kell eljárni.

d) A felhasználók számára a hálózati erőforrások használatát, a munkájukat nem veszélyezte-

tő mértékig, korlátozni kell.

e) Az adatvesztés és sérülés elkerülése érdekében hibadetektáló és javító eljárásokat kell

alkalmazni.

f) A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében,

hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást

ne használják illetéktelenül.

9.4.2. Kötelező hozzáférési útvonal

Ellenőrizni kell a felhasználói végpont és a számítóközpont közötti útvonalat. A hálóza-

tok alapvető rendeltetése, hogy biztosítsák az erőforrások megosztását és a rugalmas útvonal-

kiválasztást. Ez esetenként lehetővé teheti az üzleti alkalmazások engedély nélküli elérését,

vagy az informatikai eszközök engedély nélküli használatát. Egy felhasználói végpont és a

felhasználó által használható számítástechnikai szolgáltatások közötti útvonalat korlátozó

ellenőrző eszközök alkalmazása – azaz egy kötelező útvonal kialakítása – csökkentheti a le-

hetséges kockázatokat.

A kötelezően előírt útvonal célja, hogy a felhasználók ne választhassanak a felhasználói

végpont és a felhasználó számára hozzáférhető szolgáltatások közötti – az engedélyben rögzí-

tett – útvonalon kívül eső útvonalat.

Ehhez általában arra van szükség, hogy az útvonal különböző pontjain megvalósuljanak

a megfelelő ellenőrző eszközök. Az elv lényege, hogy előre meghatározott választási lehető-

ségekkel korlátozzák a hálózat minden egyes pontján a választható útvonalak számát.

Ennek lehetséges megoldásai:

2004. 07. 19. 0.91 verzió 139


a) A hálózat aktív eszközeivel, az operációs rendszer beállításaival és az alkalmazói progra-

mokkal kell biztosítani a lehető legnagyobb fokú hálózati erőforrás-, szegmens- szétvá-

lasztást, valamint a felhasználók munkájához szükséges (és csak az ahhoz szükséges) út-

vonalakat.

b) Kiválasztott vonalak vagy telefonszámok kijelölése.

c) Az egyes felhasználó által választható menü- és almenü-opciók korlátozása.

d) A korlátlan hálózati „böngészés” megakadályozása.

e) Meghatározott felhasználói rendszerek és/vagy biztonsági kapuk kötelező használatának

elrendelése a külső hálózati felhasználóknál.

f) Az engedélyezett forrás és a rendeltetési hely közötti kommunikációk megelőző ellenőr-

zése biztonsági kapukkal, például tűzfalakkal.

g) A hálózati hozzáférés korlátozása különálló logikai struktúrák (például zárt virtuális háló-

zatok), létrehozásával a szervezeten belül bizonyos felhasználói csoportok számára.

9.4.3. Felhasználó azonosítás-hitelesítés távoli kapcsolatnál

A külső kapcsolatok magukban rejtik az üzleti információk illetéktelen elérésének ve-

szélyét, többek között a tárcsázás módszerével. Ezért a távoli felhasználók hozzáférését hite-

lesítéshez kell kötni. A kriptográfiai technikákra alapozott módszerek lehetővé teszik a fel-

használók megbízható hitelesítését. Kockázatelemzés alapján fel kell mérni a védelem szük-

séges mértékét, annak érdekében, hogy kiválasztható legyen a hitelesítés megfelelő módszere.

A távoli felhasználók hitelesítése megoldható többek között egy kriptográfiai techniká-

val, gépi jelzéssel vagy kérdés/felelet protokollal. A csatlakozások forrásának ellenőrzése

kiválasztott magánvonalakkal vagy hálózati felhasználói címek ellenőrzésére alkalmas eszkö-

zökkel is lehetséges.

A visszahívási eljárások és ellenőrző eszközök használata védelmet nyújthat a szervezet

adatfeldolgozó eszközeihez való illetéktelen és nem kívánatos hozzáféréssel szemben. Az

ilyen jellegű ellenőrzés hitelesíti azokat a felhasználókat, akik egy távoli helyről kívánnak

kapcsolatot teremteni a szervezet hálózatával.

Mindegyik felhasználói igény esetében vagy a formalizált hálózati elérésekkel kapcsola-

tos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irány-

2004. 07. 19. 0.91 verzió 140


elveket kidolgozni. A felhasználókkal a szolgáltatások indítása, vagy az azokkal történő

kommunikáció megkezdése előtt végre kell hajtani a hitelesítési eljárást.

a) Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi al-

rendszerének hitelesítési rendszerét.

b) A hálózati erőforrások használatát a felhasználók számára korlátozni kell.

c) Megosztott erőforrások csak azonosítás és hitelesítés után legyenek elérhetők. Munkaál-

lomások megosztását (azok védelmének nehézsége miatt) kerülni kell.

d) Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call

back) lehetőségét. Ennek meghatározását a rendszerszintű IBSZ-nek kell megadnia.

e) Csak a kellően biztonságos környezettel, technikákkal biztosított helyeken lehet a távoli

elérést biztosítani.

f) Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani.

9.4.4. Távoli munkaállomás azonosítása és hitelesítése

A távoli rendszerekhez történő automatikus csatlakozás lehetősége egy üzleti alkalma-

záshoz való illetéktelen hozzáférést tehet lehetővé, ezért az informatikai rendszerekhez távol-

ról való összes csatlakozást azonosítani és hitelesíteni kell. Ez különösen fontos akkor, ha a

csatlakozás egy olyan hálózatot használ, amely kívül esik a szervezet biztonsági rendszerének

hatókörén. A hitelesítés néhány példáját, és azt, hogy hogyan lehet ezt elérni, az előző 9.4.3.

pont mutatja.

Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról

lehessen a rendszerekbe belépni.

Egységes munkaállomás-névhasználatot kell kialakítani, a hálózatban lévő munkaállo-

mások pontos azonosítása érdekében.

9.4.5. A távdiagnosztikai portok védelme

Meg kell oldani a diagnosztikai portok hozzáférésének biztonságos ellenőrzését. Szá-

mos számítógép és kommunikációs rendszer rendelkezik egy tárcsázással működtethető távoli

diagnosztikai eszközzel, amelyet a karbantartásért felelős műszaki szakemberek használhat-

nak. Kellő védelem hiányában ezek a diagnosztikai illesztőegységek az illetéktelen hozzáférés

eszközeiként használhatók. Ezért megfelelő biztonsági mechanizmussal, többek között zárral

2004. 07. 19. 0.91 verzió 141


vagy eljárással gondoskodni kell arról, hogy ezekhez csak az Informatikai Vezető és a hozzá-

férésre jogosult hardver/szoftver kiszolgáló szervezet közötti megállapodás alapján lehessen

hozzáférni.

a) A távdiagnosztikai szolgáltatással rendelkező eszközök esetén a menedzselést csak azono-

sító és jelszó együttes használatával szabad elérni.

b) Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott ezt a lehetőséget kifeje-

zetten le kell tiltani.

9.4.6. A hálózatok biztonsági szegmentálása

A hálózatok egyre inkább átlépik a hagyományos intézményi, társasági határokat. Létre-

jönnek olyan új üzleti partneri kapcsolatok és társas vállalkozások, amelyek működése szük-

ségessé teszi az adatfeldolgozó és a hálózati kapacitások összekapcsolását vagy megosztását.

Az ilyen kiterjesztések fokozhatják a hálózaton keresztül elérhető információs rendszerekhez

való illetéktelen hozzáférés kockázatát. Ennek megelőzése érdekében a rendszerek egy részét

– az adatok érzékeny és kritikus volta miatt – védeni kell a hálózat többi felhasználójával

szemben. Ilyen körülmények között mérlegelni kell olyan ellenőrző eszközök alkalmazását is,

amelyek lehetővé teszik az információs szolgáltatások, a felhasználók és az információs rend-

szerek különböző csoportjainak elkülönítését.

A nagy hálózatok biztonságának ellenőrzésére alkalmas módszerek egyike a hálózatok

felosztása önálló (belső és külső) logikai hálózati struktúrákra; ezek mindegyikét egy megha-

tározott biztonsági gyűrű (háló) védi. Ez kialakítható többek között oly módon is, hogy a két

összekapcsolható hálózat között egy biztonsági kapu ellenőrzi a hozzáférést és a két struktúra

közötti információáramlást. Ennek a konfigurációnak alkalmasnak kell lennie a két struktúra

közötti forgalom szűrésére, valamint – a szervezet hozzáférést ellenőrző hatályos irányelvei-

nek megfelelően – az illetéktelen hozzáférés megakadályozására. Az ilyen kapu egyik jellem-

ző példája az ún. tűzfal.

A hálózatok elkülönítésének kritériumait a hozzáférés ellenőrzésére vonatkozó irányel-

vek és a hozzáférési igények alapján kell kialakítani; aminek során figyelembe kell venni a

megfelelő hálózati útvonal-kiválasztási vagy kapuzási technológia tényleges és fajlagos költ-

ségeit és a teljesítményre gyakorolt hatását.

2004. 07. 19. 0.91 verzió 142


9.4.7. A hálózatra történő csatlakozások ellenőrzése

Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága

szükségessé teszi bizonyos ellenőrző eszközök alkalmazását a felhasználók csatlakozási lehe-

tőségeinek korlátozására. (Ezeket a forgalomszűrő, ellenőrző lehetőségeket amennyiben szük-

séges, a gateway és operációs rendszeri beállításánál alkalmazni kell.)

Korlátozó rendelkezéseket többek között az alábbi esetekben célszerű alkalmazni:

a) Elektronikus levelezés.

b) Egyirányú adatállomány mozgatás (például mentési rendszerek esetében).

c) Adatállomány mozgatása mindkét irányban.

d) Meghatározott időponthoz kötött hálózati hozzáférés.

9.4.8. A hálózati útvonal kiválasztások ellenőrzése

A szervezeten túl terjedő hálózatoknál kötelező az útvonal-kiválasztást ellenőrző és ve-

zérlő eszközök, módszerek alkalmazása, ahol:

a) A rendszerdokumentációban pontosan meg kell adni az elérni kívánt eszközök címét,

portszámát és egyéb, a biztonsági szűréshez szükséges adatait;

b) Az útvonalak kialakításáért felelős személyt ki kell jelölni;

c) A beállításokat minden esetben tesztelni és jegyzőkönyvezni kell.

9.4.9. A hálózati szolgáltatások biztonsága

Mivel a különböző hálózatok szolgáltatásainak kínálata rendkívül széles, jelentős részük

még számos többletszolgáltatással rendelkezik, ezért fontos, hogy a rendszer telepítése során

csak azokat a hálózati szolgáltatásokat implementáljuk a rendszerbe, melyekre az üzemelte-

téshez feltétlen szükség van. A feleslegesen felinstallált hálózati szolgáltatások, protokollok

esetleges biztonsági rések előfordulását megnövelhetik. A rendszerüzemeltetőnek minden

esetben fel kell mérnie, és minden részletre kiterjedően dokumentálnia kell az általa alkalma-

zott hálózati szolgáltatás egyedülálló, illetve összetett biztonsági jellemzőit. Amennyiben több

hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni

kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak

ellenőrzése, karbantartása a hálózatot üzemeltető szerv feladata.

2004. 07. 19. 0.91 verzió 143


9.5. Az operációs rendszerszintű hozzáférések ellenőrzése

Az informatikai eszközök illetéktelen elérésének megakadályozása érdekében az operá-

ciós rendszer szintjén rendelkezésre álló biztonsági lehetőségeket is fel kell használni a számí-

tástechnikai erőforrásokhoz való hozzáférés korlátozásához. Ezeknek a következőket kell

lehetővé tenniük:

a) Az engedéllyel rendelkező felhasználó személyének azonosítása és hitelesítése, szükség

esetén a terminál vagy hely azonosítása.

b) A sikeres és az eredménytelen hozzáférési kísérletek rögzítése.

c) Megfelelő hitelesítési eszközök és – jelszókezelő rendszer használata esetén – minőségi

jelszavak biztosítása.

d) Adott esetben a felhasználók csatlakozási idejének korlátozása.

e) Amennyiben az üzleti kockázatok alapján ez indokolt, más hozzáférést vezérlő módszerek

(például ujjlenyomat, chipkártya, kérdés-felelet) is alkalmazhatók.

9.5.1. Terminálok automatikus azonosítása, hitelesítése

a) A terminál automatikus azonosítása kötelező, ha fontos és indokolt, hogy egy munkát,

vagy tranzakciót csak egy adott terminálról lehessen kezdeményezni.

b) Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról,

címekről lehessen a rendszerekbe belépni.

c) Egységes munkaállomás névhasználatot kell kialakítani.

9.5.2. Terminál bejelentkezési eljárások

A számítógéprendszerbe való bejelentkezési folyamatnak minimumra kell csökkentenie

az illetéktelen hozzáférés lehetőségét.

a) Ennek során csak a bejelentkezés eredményes befejezése után jelenhet meg a használni

kívánt rendszerre vonatkozó adat, azonosító, stb.

2004. 07. 19. 0.91 verzió 144


b) A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása

után kerülhet sor; sikertelenség esetén nem jelölheti meg a hibás, elrontott azonosítót, jel-

szót.

c) Korlátozni kell az eredménytelen bejelentkezési kísérletek számát, rögzíteni kell az ered-

ménytelen kísérleteket, időtúllépés esetén meg kell szüntetni az adatátviteli kapcsolatot.

9.5.3. A felhasználó azonosítása, hitelesítése

Biztonságos bejelentkezési folyamatot kell kialakítani, melynek során:

a) Az azonosítás és hitelesítés keretében a hozzáférési jogosultságot legalább jelszavakkal

kell ellenőrizni. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson ille-

téktelenek tudomására, ne legyen megkerülhető, illetve könnyen megfejthető.

b) A felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas kell,

hogy legyen.

c) Olyan eszközök, mint a felhasználók által birtokolt adattokok (memory tokens) vagy az

elektronikus kártyák (smart cards) ugyancsak használhatóak azonosításra és hitelesítésre

(A&H).

d) Biometriai hitelesítéstechnikák, amelyek a személy egyedi jellemzőit vagy attribútumait

használják fel, ugyancsak használhatóak valamely személy azonosságának azonosítására.

(Erősebb hitelesítést nyerhetünk azzal, ha a technológiák és mechanizmusok kombináció-

ját biztonságosan kapcsoljuk egymáshoz.)

e) A munkakör megváltozásakor a felhasználók hozzáférési jogosultságait felül kell vizsgál-

ni, és ennek alapján módosítani kell.

f) Biztosítani kell a felhasználói azonosítók időszakos vagy végleges letiltásának lehetősé-

gét.

g) A rendszer hozzáférés szempontjából meghatározó erőforrásaihoz (például fájlok, tároló

területek, berendezések, stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáfé-

rési jogosultság meghatározásának alapjául szolgálnak.

9.5.4. Jelszómenedzsment rendszer

A jelszavak rendszerszintű kezelését az adott operációs rendszer vagy alkalmazási rendszer

beépített jelszó-kezelési rendszere végzi.

2004. 07. 19. 0.91 verzió 145


A jelszókezelő rendszerrel szemben támasztott alapvető követelmények:

a) A számon kérhetőség fenntartása érdekében ki kell, hogy kényszerítse az egyéni kulcssza-

vak használatát, és megadott időközönként azok cseréjét.

b) Minden felhasználó számára biztosítania kell, a szabad jelszóváltoztatás lehetőségét.

c) Kényszerítse ki a kellő biztonsági szintnek megfelelő jelszavak használatát.

d) Központi jelszó megadás utáni első bejelentkezéskor kötelező a jelszócsere.

e) Jelszó egyediségét valamint történeti tárolását biztosítani kell. (például a jelszó-kezelő

rendszer, nyilvántartást vezet az eddig alkalmazott jelszavakról, és megakadályozza a ko-

rábbiak felhasználását.)

f) Bejelentkezési folyamat során, a képernyőn rejtse el a jelszót.

g) A számítógépes rendszerben tárolt jelszavakat, jelszófájlokat az alkalmazások adataitól

elválasztva, megfelelő rejtjelezési védelemmel ellátva kell tárolni.

h) Biztosítson lehetőséget a következők beállítására:

1) minimális jelszóhossz megadása,

2) a jelszavak képzési szabályainak meghatározása,

3) jelszó élettartam,

4) a jelszófelfüggesztés, letiltás.

5) A felhasználói jelszó szerkezeti szabályaival (bonyolultság) szemben támasztott köve-

telményeket a rendszerszintű IBSZ határozza meg.

0. és 1. szinten:

a) Minimális jelszóhossz: 6 karakter.

b) Maximális jelszó érvényesség: 1 év.

c) Az előzőleg használt jelszavak újrahasználhatóságának tiltása minimum az előző 5 jelszó

erejéig.


a) Minimális jelszóhossz: 8 karakter.

b) Maximális jelszó érvényesség: 180 nap.

2004. 07. 19. 0.91 verzió 146


c) Az előzőleg használt jelszavak újrahasználhatóságának tiltása minimum az előző 5 jelszó

erejéig.

9.5.5. Rendszer segédprogramok használata

Mindazon operációs rendszerelemeket, segédprogramokat, amelyek a munkavégzéshez

nem szükségesek, nem kell telepíteni, vagy amennyiben ez elkerülhetetlen úgy, el kell távolí-

tani azokat a rendszerből.

Amennyiben ilyen rendszerelemek, segédprogramok használatára szükség van, azt jo-

gosultságokhoz, felhasználókhoz kell kötni.

9.5.6. Támadás-riasztás

Azon munkahelyeknél, felhasználóknál, ahol fizikai támadás, vagy kényszer kockázata

áll fenn, ott ki kell építeni a „támadásjelző” rendszert.

9.5.7. Terminál időkorlát

A szervezet különösen fontos munkaállomásait, illetve a nagy kockázatú rendszereit ki-

szolgáló inaktív terminálokat, legfeljebb 30 perc elteltével ki kell kapcsolni, az illetéktelen

személyek hozzáférésének megakadályozása érdekében. Az időtúllépési késleltetés (time-out

delay) értéke tükrözze a terminál elhelyezésével és használóival kapcsolatos kockázatot.

Ennek a funkciónak a rendszerszintű IBSZ-ben előírt inaktív időkorlát elteltével auto-

matikus mentést kell végrehajtania, le kell törölnie a képernyőt, be kell zárnia a futó alkalma-

zásokat, és meg kell szüntetnie a hálózati kapcsolatokat.

Az alkalmazott időkorlátnak valamint, a zárolás szintjének meg kell felelnie a rendszer

biztonsági osztályának.

9.5.8. Kapcsolati időkorlátozás

Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére időkorlátokat

kell bevezetni (például Internetes szolgáltatások), ami az illetéktelen hozzáférés lehetőségeit

és kockázatát csökkenti.

2004. 07. 19. 0.91 verzió 147


9.6. Alkalmazás szintű hozzáférések vezérlése

Az illetéktelen hozzáférés megakadályozására a felhasználói rendszereken belül bizton-

sági eszközöket is kell alkalmazni.

A programok és az adatok logikai hozzáférését minden esetben az engedéllyel rendelke-

ző felhasználókra kell korlátozni. A felhasználói rendszerekben:

a) A mindenkori hatályos üzleti hozzáférési irányelveknek megfelelően ellenőrizni kell az

adatokhoz és a felhasználói rendszer funkcióihoz való felhasználói hozzáférést.

b) Védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram és

operációs rendszerprogram számára ott, ahol meg lehet kerülni a rendszer vagy az alkal-

mazás ellenőrző eszközeit.

c) Nem szabad befolyásolnia olyan más rendszerek biztonságát, amelyekkel az adott rend-

szer megosztva használ különböző informatikai erőforrásokat.

9.6.1. Az adatelérés szabályozása

Abban az esetben, amennyiben azt a kialakított rendszer sajátossága szükségessé teszi,

az alkalmazás szintjén is szabályozni kell az adatelérést (például megfelelő menük alkalmazá-

sával, a dokumentációhoz és a rendszer funkciókhoz való hozzáférés szelektívvé tételével,

stb.). További elvárások az operációs rendszerek felhasználóinak azonosításával, hitelesítésé-

vel kapcsolatos pontban részletezettek.

2., 3. és 4. szinten: A rendszernek biztosítania kell az információáramlás felügyeleti megvaló-sulását.

9.6.2. Érzékeny adatokat kezelő rendszer elkülönítése

Érzékeny adatokat csak azon személyek kezelhetnek, akiket erre az SZMSZ által kije-

lölt vezetők feljogosítanak, továbbá rendelkeznek a megfelelő jogosultságot biztosító felhasz-

nálói azonosítóval, a hitelesítést lehetővé tevő jelszóval és – szükség esetén – további azono-

sításra alkalmas eszközzel.

A különlegesen érzékeny adatok kezelésére – indokolt esetben – elkülönített informati-

kai eszközök is igénybe vehetők.

2004. 07. 19. 0.91 verzió 148


9.7. Hozzáférés a biztonsági monitoring rendszerhez és használata

Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében:

a) Figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és rögzíteni kell a

megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági

események kivizsgálásához, és segítséget nyújtsanak a szabályzat aktualizálásához.

b) A rendszer nyomon követése tegye lehetővé az ellenőrző eszközök hatékonyságának el-

lenőrzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését.

c) A biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenysé-

güket naplózni kell.

9.7.1. Eseménynaplózás

A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni és

azt a hozzáférés nyomonkövethetősége érdekében meg kell őrizni.

a) Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózá-

si rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak

legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekin-

tettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenőrizni lehet a hozzáféré-

sek jogosultságát, meg lehet állapítani a felelősséget, valamint az illetéktelen hozzáférés

megtörténtét vagy kísérletét.

b) A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói

csoport által végzett művelet szelektív regisztrálására. A következő eseményeket (sike-

res/sikertelen) feltétlenül naplózni kell:

1) rendszerindítások, -leállítások,

2) rendszeróra-állítások,

3) be- és kijelentkezések,

4) programleállások,

5) az azonosítási és a hitelesítési mechanizmus használata,

2004. 07. 19. 0.91 verzió 149


6) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,

7) azonosítóval ellátott erőforrás létrehozása vagy törlése,

8) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik.

c) A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következő adatokat is rög-

zíteni kell:

1) a felhasználó azonosítása és hitelesítése esetén:

− dátum,

− időpont,

− a felhasználó azonosítója,

− az eszköz (például terminál) azonosítója, amelyről az azonosítási és hitelesítési

művelet kezdeményezése történt,

− a hozzáférési művelet eredményessége vagy sikertelensége.

2) az olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáfé-

rési jogok ellenőrzése kötelező:

− dátum,

− időpont,


− az erőforrás azonosítója,

− a hozzáférési kezdeményezés típusa,

− a hozzáférés eredményessége vagy sikertelensége.

3) az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok el-

lenőrzése kötelező:

− dátum,

− időpont,


− az erőforrás azonosítója,

− a kezdeményezés típusa,

2004. 07. 19. 0.91 verzió 150


− a művelet eredményessége vagy sikertelensége.

4) a felhatalmazott felhasználók (például rendszeradminisztrátorok) olyan műveletei ese-

tén, amelyek a rendszer biztonságát érintik:

− dátum,

− időpont,

− a műveletet végző azonosítója,

− az erőforrás azonosítója, amelyre a művelet vonatkozik,

− a művelet eredményessége vagy sikertelensége.

d) Alapvető naplózási követelmények:

1) kerüljön naplózásra a biztonságot érintő összes tevékenység,

2) a naplófájlok tartalmát megadott időintervallum alapján képernyőn és nyomtatón is

meg lehessen jeleníteni,

3) a naplóállományokat tilos megsemmisíteni, felülírni, módosítani, azokat archiválni

kell,

4) a naplóállományok kódoltak, ellenőrző összeggel ellátottak legyenek,

5) a fokozott és kiemelt biztonsági osztályba sorolt rendszerek biztonsági naplóit egy

másik számítógépen is tárolni kell (annak érdekében, hogy védve legyenek a törlés és

illetéktelen hozzáférés ellen), ennek megvalósításáért az Informatikai Vezető felelős,

6) rögzíteni kell a hibás bejelentkezési kísérletek számát,

7) szükség van egy olyan nyilvántartásra, melyből lekérdezhető, hogy adott képernyőhöz

melyik felhasználói csoport és milyen joggal férhet hozzá; illetve egy olyan nyilván-

tartásra, melyből az kérdezhető le, hogy egy adott felhasználói csoport mely képer-

nyőkhöz és milyen joggal férhet hozzá,

8) rögzíteni kell a jelszócsere dátumát.

e) A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenőrizni

és archiválni kell.

2004. 07. 19. 0.91 verzió 151


f) A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegy-

zőkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és

mik ezek a szankciók.

g) A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a

megőrzési határidőket meg kell határozni.

h) A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetékte-

len hozzáféréstől.

i) A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek meg-

felelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotá-

nak regisztrálhatónak és dokumentálhatónak kell lennie.

j) A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek

lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát.

k) Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell hatá-

rozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

0. és 1. szinten:

a) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell hatá-

rozni a biztonsági naplóbejegyzések élettartamát is.

b) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználó-

nevet, dátumot, időt, az esemény típusát és sikerességét (sikeres, sikertelen). A biztonsági

naplóban a következő eseményeket kell rögzíteni:

1) A rendszerindítást;

2) felhasználók be- és kijelentkezését;

3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag;

4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási

funkciókat is;

5) Naplózási szolgáltatás elindítását és leállítását.

c) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell

az illetéktelen módosítástól és törléstől, ezért ember számára olvasható formában is el kell

tárolni.

2004. 07. 19. 0.91 verzió 152



a) A rendszer IBSZ-nek minden eseményhez (napló rekordhoz) valósidejű időpecsétet kell

rendelnie.

b) A biztonsági eseményeket meg kell nevezni a biztonsági szabályzatban és meg kell hatá-

rozni a biztonsági naplóbejegyzések élettartamát is.

c) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználó-



1) A rendszerindítást;

2) felhasználók be- és kijelentkezését;

3) A jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag;

4) Biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási

funkciókat is;

5) Naplózási szolgáltatás elindítását és leállítását.

d) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell


tárolni.

9.7.2. A rendszerhasználat követése

A felhasználók által elvégzett tevékenységeket – az ellenőrizhetőség érdekében – rögzí-

teni, naplózni kell.

a) Az informatikai rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót

kell vezetni, amelyet az informatikai szervezeti egység felelős vezetőjének és az Informa-

tikai Biztonsági Vezetőnek rendszeresen ellenőriznie kell.

b) Az informatikai rendszer üzemeltetéséről nyilvántartást (adatkérések, -szolgáltatások, fel-

dolgozások, stb.) kell vezetni, amelyet az arra illetékes személynek rendszeresen ellen-

őriznie kell.

c) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani.

2004. 07. 19. 0.91 verzió 153


d) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményre-

kordokat) folyamatosan felül kell vizsgálni, a rendszernek alkalmasnak kell lennie a biz-

tonsági események automatikus detektálására.


a) Az ellenőrzési rendszernek riasztania kell támadás esetén, meg kell szakítania és le kell

tiltania a támadó folyamatot (process-t) és a felhasználói fiókot (felhasználót), vagy szol-

gáltatást és meg kell szakítsa a kapcsolatot.

b) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményre-



9.7.2.1. Kockázati tényezők

A naplózási és ellenőrzési tevékenységek eredményeit rendszeresen felül kell vizsgálni.

A felülvizsgálat gyakorisága az érintett kockázattól függjön. Ajánlatos, hogy a figyelembe

veendő kockázati tényezők magukban foglalják:

a) az alkalmazási folyamatok kritikusságát,

b) az érintett információ értékét, érzékenységét és kritikusságát,

c) a rendszerbe való beszivárgásról és a rendszerrel való visszaélésről szóló korábbi tapaszta-

latokat,

d) a rendszerkapcsolatok kiterjedtségét (különös tekintettel a nyilvános hálózatokra).

9.7.2.2. Az eseménynaplózás és értékelése

A naplóellenőrzés magában foglalja azoknak a fenyegetéseknek, veszélyeknek a felis-

merését, megértését, amelyekkel a rendszerek szembenéznek, és annak a módnak, ahogyan e

veszélyek fellépnek. Olyan eseményekre, amelyek a véletlen biztonsági eseményekkel kap-

csolatban további vizsgálatot igényelnek, találhatók példák a 9.7.1. szakaszban.

A rendszernaplók gyakran tartalmaznak nagy mennyiségben információt, amelynek

nagyrésze a biztonsági megfigyelés számára témaidegen. Megfontolás tárgyává ajánlatos ten-

ni, az arra alkalmas üzenetfajtáknak automatikus átmásolását egy második naplóba, és/vagy

alkalmas rendszersegédprogramok vagy átvilágítási (auditáló) eszközök alkalmazását az ál-

lományok (fájlok) átvizsgálásához annak érdekében, hogy segítsük a biztonsági megfigyelés

számára lényeges események azonosítását.

2004. 07. 19. 0.91 verzió 154


Amikor a naplóvizsgálati felelősségeket kiosztjuk, ajánlatos megfontolni a szerepek

szétválasztását, elválasztva azon személy(ek) felelősségét, akik a vizsgálatokat végzik, azon

személyekétől, akiknek a tevékenységére vonatkozott a megfigyelés.

Ajánlatos különös figyelmet fordítani a naplózó eszközök biztonságára, mert ha meg-

hamisíthatták (tampered with), hamis biztonságérzetet kelthetnek. Óvintézkedéseket ajánlatos

alkalmazni azért, hogy megvédjük az olyan illetéktelen változtatásoktól és üzemeltetési prob-

lémáktól, mint:

a) naplózási rendszer, amelyet kiiktattak,

b) üzenetfajták, amelyeket rögzítés után módosítottak,

c) naplófájlok, amelyeket átszerkesztettek vagy töröltek,

d) naplófájlok adathordozói, amelyek kimerültek és ennek következtében vagy nem lehet

már velük az eseményekről feljegyzést készíteni, vagy önmagukat írják felül.

9.7.3. Dátum- és időállítás

Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjá-

nak figyelembevételével a rendszerdátum és -idő beállítására, mert minden tevékenység visz-

szakereshetőségének alapja a hiteles, pontos dátum és idő.

A rendszerdátum és a -idő beállítására kizárólag az Informatikai Vezető által kijelölt

munkatársak jogosultak, az időpont beállítását jegyzőkönyvezni kell.

Ahol számítógépi vagy távközlési eszköz képes valós időben szolgáltatni órajelet, akkor

azt ajánlatos egyezményes szabvány szerinti időzítésre ráállítani, például az Egyetemes Koor-

dinált Időre (UCT, Universal Co-ordinated Time), vagy valamely helyi szabványos időzítésre.

2004. 07. 19. 0.91 verzió 155


9.8. Mobil IT tevékenység, távmunka

A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is

meg kell teremteni az informatikai biztonságot.

A szükséges védelemnek összhangban kell lennie ennek a speciális munkavégzésnek a

kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a

nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges

módját és eszközeit. A mobil számítástechnikai eszközökön az Informatikai Vezetőnek gon-

doskodni kell a rejtjelzett adattárolásról és adatátvitelről. Távmunka (távoli hozzáférés) esetén

a szervezet érintett szervezeti egységeinek gondoskodniuk kell a biztonságos adatkapcsolat

létrehozásáról, a kapcsolatot tartó hely védelméről.

A mobil informatikai tevékenység és a távmunka szabályozását a Biztonsági Vezetőnek

jóvá kell hagynia.

9.8.1. Mobil IT tevékenység

A laptopok, notebook-ok, otthoni munkaállomások használóinak mind a fizikai bizton-

ság, mind a logikai védelem területén a jelen IBSZ-ben és a rendszerszintű IBSZ-ekben fog-

laltakat kell figyelembe venniük.

Ezek közül a legfontosabbak:

a) A távmunka során is be kell tartani a szervezet szabályzataiban foglaltakat.

b) A mobil eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok

előírt védelme.

c) Ki kell alakítani a mobil informatikai eszközök megfelelő fizikai védelmét.

d) A kommunikációhoz rejtjelzett csatornáról kell gondoskodni.

e) Vírus- és behatolás védelmi eszközöket kell biztosítani a mobil eszközökre.

f) A mobil eszközökön tárolt adatok bizalmasságának védelmére fokozott figyelmet kell

fordítani.

g) A távoli elérésre vonatkozó szabályokat kell alkalmazni.

2004. 07. 19. 0.91 verzió 156


0. szinten:



b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált,

jogokkal felruházott felhasználókról.

c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok



d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha


e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hite-

lesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismereteket szerezzen

a hitelesítési folyamatról.

f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rend-

szer eseményeket, ahol a felhasználóknak újra kell azonosítania magát.




h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az ada-

tokhoz, melyeket a felhasználónak tudni kell.

i) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre

meghatározott felhasználó inaktivitás után felül kell írni, vagy törölni kell a kijelző eszkö-

zöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tenni, és le kell til-

tatni minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia kell a mun-

kameneteket.

j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt

az eszközt úgy kell kezelni, mint egy minősített dokumentumot (iratot).

k) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszkö-

zön magas minősítésű adat tárolása, vagy feldolgozása történik.

2004. 07. 19. 0.91 verzió 157


l) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és

munkaállomásra. Ezeket úgy kell konfigurálni, hogy a rendszer induláskor automatikusan

ellenőrizze a cserélhető médiákat (például floppy disk).

m) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell.

n) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek.

o) A hardver és szoftver karbantartási eljárásokat szabályozni kell.

p) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információ-

biztonsági előírásoknak és követelményeknek megfelelően, a biztonsági szervezet jóváha-

gyásával.

q) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és an-

nak ellenőrzéséért. Ha az eszközt egy csoport használja, ugyanúgy szükséges a biztonsági

átvilágítás és a szükséges tudás elve (need-to-know). Ilyen esetekben a csoport egyik tag-

ját kell kijelölni, aki felelős az eszköz biztonságáért.

1. szinten:



b) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált,


c) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok



d) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha


e) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hite-

lesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen


f) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rend-


2004. 07. 19. 0.91 verzió 158





h) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az ada-


i) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre




kameneteket.

j) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt


k) A hordozható informatikai eszközökön diszkrét címkével kell jelezni azt, hogy az eszkö-


l) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági terü-

letet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott sza-

bályok szerint.

m) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és



n) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell.

o) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek.

p) A hardver és szoftver karbantartási eljárásokat szabályozni kell.

q) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információ-


gyásával.

r) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és an-




2004. 07. 19. 0.91 verzió 159


2. és 3. szinten:





c) A biztonsági vezetésnek folyamatosan frissített listát kell tárolnia a rendszerben definiált,


d) Szükséges a kiváltságos account-ok használata (például rendszer, biztonsági adminisztrá-

tor).

e) Az összes, jogosultsággal rendelkező felhasználó biztonsági beállításait, egyedileg kell

karbantartani.

f) A biztonsági vezetésnek a felhasználói azonosító alapján meg kell tudnia határozni az

adott felhasználó jogosultságait és szerepkörét.

g) A kiváltságos (magas jogosultságokat biztosító, – például rendszergazdai –) account-ok



h) Token alapú (például smartcard) hitelesítési eljárást kell alkalmazni.

i) Használaton kívül, a hitelesítési tokent az eszköztől elszeparáltan kell tárolni.

j) Ha jelszó alapú hitelesítő rendszert használunk, cseréljük a jelszavakat minden esetben, ha


k) A biztonsági megbízottaknak és a rendszergazdáknak meg kell határozniuk azokat a rend-


l) A rendszer csak limitált visszacsatolási információt szolgáltathat a felhasználónak a hite-

lesítési eljárás alatt, így megakadályozza a felhasználót abban, hogy ismerteket szerezzen


m) A hitelesítési mechanizmus sikertelen használatát (például access denied, logon failure

stb.), és a felhasználó személyazonosságát ellenőrizhetővé, vizsgálhatóvá kell tenni.

n) Ahol nem az egyszer használatos jelszavak vannak használatban ott a jelszavakat

rejtjelzett formában kell tárolni.

2004. 07. 19. 0.91 verzió 160


o) Ahol felhasználónév, jelszó alapú hitelesítési rendszert használnak, ott a felhasználónevek



p) A beléptetési mechanizmus részeként kell korlátozni a hozzáférést csak azokhoz az ada-


q) A biztonsági és a rendszerinformációkhoz való hozzáférést korlátozni kell az illetékes

biztonsági felelősökre és a rendszergazdákra.

r) A hozzáférési jogosultságokkal kell kikényszeríteni azt a hozzáférési módot, amivel a

felhasználó rendelkezhet.(például olvasási, írási, módosítási, törlési jog.)

s) A rendszerszintű IBSZ-nek elő kell írnia az interaktív kapcsolatok zárolását, egy előre




kameneteket.

t) A rendszerszintű IBSZ-ben meg kell engedni, hogy a felhasználó zárolhassa saját interak-

tív kapcsolatait (alkalmazásait, munkameneteit), felül kell írnia, vagy törölnie kell a kijel-

ző eszközöket (képernyőket), az aktuális képernyőtartalmat olvashatatlanná kell tennie, és

le kell tiltatnia minden felhasználói tevékenységet, a hozzáférést / kijelzőket és zárolnia

kell a munkameneteket.

u) Ahol, hordozható számítógépen tárolnak, vagy dolgoznak fel minősített információt, azt


v) A hordozható informatikai eszközökön, diszkrét címkével kell jelezni azt, hogy az eszkö-


w) Minősített feldolgozást hordozható számítógépen csak minősített adatok feldolgozására

alkalmas, kijelölt területen lehet végezni. Ha az eszköz nincs használatban, magas minősí-

tésű dokumentumok számára engedélyezett biztonsági konténerben kell tárolni.

x) Amikor az adathordozó a mobil informatikai eszközzel együtt elhagyja a biztonsági terü-

letet, továbbra is védeni kell a hozzáférés-védelmi intézkedésekben megfogalmazott sza-

bályok szerint. Hordozható informatikai eszközre csak ellenőrzött környezetben csatlakoz-

tatható nyomtató.

2004. 07. 19. 0.91 verzió 161


y) A rendszerszintű IBSZ-nek elő kell írnia, hogy a felhasználó zárolhassa saját interaktív

munkameneteit, törölve a képernyőt, és letiltva minden hozzáférést a felhasználói adatok-

hoz a zárolás feloldásáig.

z) A törölt adatok (maradék információ) védelmi mechanizmusának gondoskodnia kell arról,

hogy a törölt információ többé már ne legyen vagy (ne túl hosszú ideig) legyen hozzáfér-

hető, és ezekre vonatkozó információkat az újonnan létrehozott objektumok (fájlok) ne

tartalmazzanak. Ez a védelem szükséges a logikailag már törölt de fizikailag még elérhető

adatok esetében.

aa) Az eseményrekord (bejegyzés) a következő mezőket kell, hogy tartalmazza: felhasználó-



1) a rendszerindítást;

2) felhasználók be és kijelentkezését;

3) a jogosultságok megváltozását felhasználóra és felhasználói csoportra vonatkozólag;

4) biztonsági menedzsment rendszerre vonatkozó változásokat beleértve a naplózási

funkciókat is;

5) naplózási szolgáltatás elindítását és leállítását;

6) rendszeridő megváltoztatása;

7) sikertelen rendszerhozzáférési kísérlet.

bb) A biztonsági naplót a létráhozástól folyamatosan karban kell tartani, valamint védeni kell


tárolni.

cc) Az eseménynaplózási adatokat folyamatosan kell archiválni és karbantartani.

dd) A rendszereseményeket automatikusan kell archiválni, a naplóbejegyzéseket (eseményre-



ee) Vírus és rosszindulatú programdetektáló szoftvert kell telepíteni az összes szerverre és



ff) A vírus és rosszindulatú programdetektáló szoftvereket rendszeresen frissíteni kell.

2004. 07. 19. 0.91 verzió 162


gg) A biztonsági mentési eljárásainak főbb tervezési szempontjai: mentések gyakorisága, táro-

lási követelmények a helyszínen (tűzálló konténer). A biztonsági mentések másolati pél-

dányaihoz való (hitelesített) hozzáférések ellenőrzése.

hh) A hardver és szoftverhibákat jelenteni kell a rendszeroperátoroknak, szakértőknek.

ii) A hardver és szoftver karbantartási eljárásokat szabályozni kell.

jj) Illetéktelen hardver, vagy szoftver bekerülésének a megelőzése érdekében a rendszergaz-

dáknak folyamatosan ellenőrizniük kell a hardver és szoftver konfigurációt.

kk) Az operációsrendszer konfigurációját időszakosan ellenőrizni kell.

ll) Az operációs rendszer összetevőinek megváltoztatására csak korlátozott felhasználónak

szabad jogot adni (például rendszergazda, biztonsági felelős).

mm) A biztonsági felelősök jóváhagyása szükséges az üzleti információk tárolásához, fel-

dolgozáshoz és továbbításához.

nn) A biztonsági adatok és funkciók menedzselési mechanizmusokat kell beépíteni a rend-

szerbe, csak előre definiált felhasználó (vagy szerepkör) hajthat végre biztonsági funkciót.

oo) Az informatikai biztonsági eseményeket jelenteni kell kivizsgálás céljából az információ-


gyásával.

pp) A hordozható informatikai eszközök gazdája felelős az eszköz teljes biztonságáért és an-




qq) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy

kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanú-

sító szervezetnél.

rr) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408

(Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyező biztonsági

szintnek.

ss) A rendszert biztonsági tesztelésnek kell alávetni biztonsági tesztelési tervnek megfelelően.

tt) A rendszert fix időközönként újra kell tesztelni a biztonsági tesztelési tervnek megfelelő-

en.

2004. 07. 19. 0.91 verzió 163


uu) A konfigurációra vonatkozó követelményszintnek megfelelően kell üzembehelyezni a

kiszolgálógépeket, a munkaállomásokat beleértve az elérhető szolgáltatásokat is.

vv) A rendszer vagy a hálózat összetevőinek megváltoztatása előtt fel kell mérni ezek bizton-

sági hatásait.

ww) A rendszerszintű IBSZ-eknek meg kell szorítaniuk a biztonsági beállítások lehetőségét a

rendszergazdák és a biztonsági felelősök számára.

4. szinten: Nem használható mobil számítástechnikai eszköz.

9.8.2. A távmunka végző kapcsolat a munkahellyel

Távmunka esetén is gondoskodni kell a biztonsági követelmények és előírások betartá-

sáról, a megfelelő és rendszeres ellenőrzésről.

a) A távmunkát végző csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a szerve-

zet hálózatába. Az Informatikai Vezető és az Informatikai Biztonsági Vezető közösen ha-

tározzák meg ezeket a belépési pontokat.

b) A munkaállomásokon egyidejűleg modem és hálózati kártya (engedély nélkül) nem lehet.

c) A távmunkát végző gépekkel internetes csatlakozás alapértelmezésben tiltott.

d) A számítógépeken a társasági és rendszerszintű IBSZ által meghatározott vírusvédelmi és

biztonsági eszközöknek telepítve kell lenniük, és ezeket kötelező használni.

2004. 07. 19. 0.91 verzió 164


10. AZ IT RENDSZEREK FEJLESZTÉSE ÉS

KARBANTARTÁSA

10.1. Az IT rendszerek informatikai biztonsági követelményei

Az informatikai rendszerek integrált biztonságának kialakítása a biztonságpolitika által

meghatározott szempontok szerint kell, hogy történjen.

Ebbe beletartoznak az infrastruktúra, az üzleti alkalmazások és a felhasználó által kifej-

lesztett alkalmazások. A biztonság esetenként alapvető feltételeinek egyike az alkalmazást

vagy szolgáltatást támogató üzleti folyamat megtervezése és megvalósítása. Az informatikai

rendszerek kifejlesztése előtt szükség van a biztonsági követelmények meghatározására és

egyeztetésére.

Egy projekt követelményeinek megfogalmazása során meg kell határozni az összes biz-

tonsági követelményt. Ezeket a követelményeket és szükséges megoldásokat egy informatikai

rendszer fejlesztésének részeként kell megindokolni, egyeztetni és dokumentálni.

10.1.1. A biztonsági követelmények elemzése és meghatározása

A szervezet informatikai beruházásai elkészítésének fázisában a fejlesztési tervek előké-

szítésére vonatkozó utasítások figyelembevételével az informatikai biztonsággal kapcsolatban

a következőknek kell szerepelnie az elkészítendő dokumentum(ok)ban:

a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a megbízható

működés szempontjából történő elemzése és a védelmi célkitűzések meghatározása,

b) az informatikai rendszer várható informatikai biztonsági osztályba sorolása az informá-

cióvédelem és a megbízható működés területén,

1) a jogszabályokból és a belső szabályozásból eredő kötelezettségek bemutatása,

2) a fizikai és a logikai védelem rendszerszintű bemutatása,

2004. 07. 19. 0.91 verzió 165


3) a megvalósításhoz szükséges feltételrendszer meghatározása,

4) a biztonsági rendszer teljes költségének becslése, ennek összehasonlítása a lehetséges

kockázatokkal, károkkal.

5) Az informatikai biztonsági fejezetnek a tervezési dokumentumokba történő beállításá-

ért a projektvezető, annak kijelöléséig, vagy hiánya esetén az előterjesztő a felelős.

6) A szervezet minden informatikai projekt előterjesztésnek tartalmaznia kell a létreho-

zandó (fejlesztendő, átalakítandó) informatikai rendszer fizikai, logikai és adminisztra-

tív védelmi rendszerének – a projekt keretében történő – tervezési és megvalósítási lé-

péseit, költségeit, felelőseit.

c) Az informatikai projekt jóváhagyott költségvetésében szerepelnie kell a biztonsági rend-

szer tervezési és megvalósítási költségeinek.

d) Az informatikai rendszerek részére szállított termékek esetében alapkövetelmény, hogy

kiértékelt, tanúsított legyen, vagy tanúsítási eljárás alatt álljon egy elismert nemzeti tanú-

sító szervezetnél.

e) Az alkalmazott operációsrendszer meg kell feleljen minimum az ISO/IEC 15408

(Common Criteria) EAL3-as szintjének vagy a MIBÉTS vele megegyező biztonsági

szintnek.

Az előző pontokban megfogalmazott feltételek hiánya esetén a szervezetnél informati-

kai projekt nem indítható el. Ezért a projektvezető a felelős.

2004. 07. 19. 0.91 verzió 166


10.2. Biztonság a felhasználói rendszerekben

A felhasználói rendszerek integrált biztonsága kiterjed a rendszerekben tárolt felhaszná-

lói adatok illetéktelen hozzáférésének, módosításának, törlésének, nem megfelelő felhasználá-

sának, stb. megelőzésére. A rendszertervek összeállítása során mérlegelni kell a rendszerbe

beépítendő automatikus ellenőrző eszközök, valamint a biztonságot támogató manuális ellen-

őrző eszközök szükségességét.

A felhasználói rendszerek biztonságát a következő intézkedések szavatolják:

a) A felhasználói rendszerekben – többek között a felhasználó által kifejlesztett alkalmazá-

sokban – meg kell tervezni a megfelelő ellenőrző eszközöket és eseménynaplókat, vala-

mint a tevékenységek naplózását. Ezeknek tartalmazniuk kell a bemenő adatok, a belső

adatfeldolgozás és a kimenő adatok hitelesítését.

b) Az érzékeny, értékes vagy kritikus adatok feldolgozását végző vagy ilyen adatokat befo-

lyásoló rendszereknél további ellenőrző eszközökre lehet szükség. Ezeket az ellenőrző

eszközöket a biztonsági követelmények és a kockázatelemzés alapján kell kiválasztani.

Az a) és b) pontban meghatározott biztonsági intézkedéseket pontosan, minden részletre

kiterjedően dokumentálni kell.

10.2.1. A bemenő adatok hitelesítése

Az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenőrizni kell.

A bemenő adatok ellenőrzésének eszközei:

a) Az ismételt adatbevitel és az ebből származó adatkarbantartási anomáliák elkerülésére írt

eljárások.

b) Időszakos adatmező és -állomány vizsgálat, valamint a felvitt adatok hitelességének és

integritásának ellenőrzése és igazolása.

c) Az adatbevitel alapját képező nyomtatott input dokumentumok ellenőrzése, illetve ezek

engedély nélküli módosításának megakadályozása, valamint az engedélyezés kikényszerí-

tésére írt eljárások.

d) Adathitelesítési hibák kiküszöbölését elősegítő eljárások.

2004. 07. 19. 0.91 verzió 167


e) Adatbevitel során, a mezőtípus kompatibilitást biztosító, illetve adattartalom helyességét

ellenőrző és kikényszerítő eljárások és függvények.

f) Az alkalmazáshoz történő hozzáférés naplózása.

g) A feldolgozásban résztvevő munkatársak feladatkörének és felelősségének rögzítése a

munkaköri leírásokban.

10.2.2. Az adatfeldolgozás ellenőrzése

A pontosan és hiánytalanul beléptetett adatok biztonságát, integritását a feldolgozás ide-

je alatt a következő intézkedésekkel kell szavatolni:

a) Az adatfeldolgozás rendszerébe ellenőrzési, hitelesítési pontokat kell beépíteni, különös

tekintettel az adatmódosító, -törlő funkciók helyére.

b) Adatfeldolgozási hibák esetén: hibadetektáló, és a további rendszerfutást leállító eljárások

beépítése a rendszerbe.

c) Korrekciós programok alkalmazása a feldolgozás során felmerülő hibák korrigálására.

d) A folyamatba épített ellenőrzés ellátásáért az Informatikai Vezető a felelős.

10.2.2.1. Veszélyeztetett területek

A helyesen beléptetett adatok is elromolhatnak akár a feldolgozás hibáitól, akár szándé-

kos tevékenységektől. A rendszerekbe az ilyen meghibásodások felismerése érdekében ajánla-

tos érvényesítő ellenőrzéseket (validation check) beépíteni. Az alkalmazások tervezésével

ajánlatos gondoskodni arról, hogy a korlátozások megvalósítása valóban minimalizálja a sér-

tetlenség elvesztésére vezető feldolgozási hibák kockázatát. Ajánlatos, hogy a megfontolandó

sajátos területek magukban foglalják:

a) az adatváltoztatást megvalósító hozzáadó és leválasztó funkciók helyét és használatát a

végrehajtó programokban,

b) azokat az eljárásokat, amelyek megakadályozzák, hogy a programok rossz sorrendben,

vagy korábbi feldolgozásban előállt meghibásodás után lefussanak (lásd a 8.1.1. szakasz-

ban),

c) a helyes programok használatát a meghibásodás utáni visszatérésre annak érdekében, hogy

az adatokat helyesen/pontosan dolgozzuk fel.

2004. 07. 19. 0.91 verzió 168


10.2.2.2. Vezérlő és ellenőrző eljárások

A szükséges intézkedések attól függenek, hogy milyen az alkalmazás természete, és

hogy az üzletre a hibás adat milyen hatással lehet. Azok az ellenőrzések (checks), amelyeket

fel lehet venni, magukban foglalják a következőket:

a) a munkaülésenkénti vagy csoportos ellenőrzéseket, amelyek révén a tranzakciós frissíté-

sek után az adatállomány-egyenlegeket kiegyenlítik,

b) folyószámla-ellenőrzéseket annak érdekében, hogy a nyitóegyenleget összevessük a ko-

rábbi záróegyenleggel, nevezetesen:

1) eseményenkénti ellenőrzéseket,

2) az állományfrissítések ellenőrzőösszegeit,

3) program(futás)onkénti ellenőrzéseket,

c) a rendszer által keltett adatok érvényesítését (lásd a 10.2.1. szakaszban),

d) a központi és a távoli számítógépek között a feltöltött vagy letöltött adatok vagy szoftve-

rek ellenőrzéseit (lásd a 10.3.3. szakaszban),

e) a rekordok és az állományok (fájlok) összlenyomatait (hash),

f) az ellenőrzéseket, amelyek szavatolják, hogy az alkalmazási programokat időben lefuttat-

ták,

g) az ellenőrzéseket, amelyek szavatolják, hogy az alkalmazási programokat a helyes sor-

rendben futtatták le, és hogy a programokat meghibásodáskor félbeszakították, amíg a fel-

merült nehézséget meg nem oldották.

10.2.3. Az üzenetek hitelesítése

Üzenethitelesítés az a technika, amelyet arra használunk, hogy észleljük a továbbított

elektronikus üzenet tartalmában beállt bármely illetéktelen beavatkozást, változtatást vagy

rongálást. Megvalósítható akár hardverben, akár szoftverben, ha támogatja azt egy üzenethite-

lesítő eszköz vagy egy szoftveralgoritmus. Az üzenethitelesítést nem arra tervezik, hogy

megvédje az üzenet tartalmát az illetéktelen felfedéstől, nyilvánosságra hozataltól. Alkalmas

módként kriptográfiai módszereket lehet alkalmazni (lásd a 10.3.2. és a 10.3.3. szakaszban)

üzenethitelesítés megvalósítására.

Elvárások az üzenethitelesítés, valamint az elektronikus aláírás kialakítása kapcsán:

2004. 07. 19. 0.91 verzió 169


a) Az azonosítás és hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni.

b) A hitelesítés legáltalánosabb módja, a jelszó megadása. Kezelésére a jelszókezelésre vo-

natkozó fejezetben részletezett általános szabályokat kell alkalmazni.

c) A hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott, védett

csatornán keresztül kell biztosítani.

PKI alkalmazásakor az alkalmazásért felelős vezető alakítson ki tanúsítványpolitikát

(Certificate Policy, CP) melyet az Informatikai Biztonsági Vezetővel egyeztessen. A tanú-

sítványpolitika alkalmazása kötelező.

10.2.4. A kimenő adatok hitelesítése

Az adatfeldolgozás rendszerében ellenőrizni, hitelesíteni kell a kimenő adatokat.

A kimenő adatok biztonsága érdekében a következő védelmi eljárásokat kell alkalmaz-

ni:

a) Integritásellenőrzés.

b) Adattartalom meglétének, értékének ellenőrzése.

c) A megfelelő minősítés meglétének ellenőrzése.

d) A kimenő adatok értékelésében és hitelesítésében résztvevő munkatársak feladatainak és

felelősségének meghatározása.

2004. 07. 19. 0.91 verzió 170


10.3. Kriptográfiai eszközök

A szervezet minősített adatainak, illetve olyan adatok esetében, ahol más védelmi esz-

közök nem nyújtanak kellő biztonságot, rejtjelző eszközökkel és technikákkal kell gondos-

kodni az adatvédelemről.

10.3.1. A kriptográfiai eszközök alkalmazásának irányelvei

A Titokvédelmi törvény hatálya alá tartozó minősített adat védelme kizárólag a Magyar

Köztársaság Információs Hivatala Országos Rejtjelfelügyelet által engedélyezett rejtjelző esz-

közzel vagy eljárással valósítható meg.

Üzleti titok esetében az alkalmazható rejtjelző eszközt vagy algoritmust, valamint a

kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezető hagyja jóvá.

A szervezet informatikai rendszereiben alkalmazandó rejtjelző rendszer üzembe helye-

zése csak az Informatikai Biztonsági Vezető engedélyével lehetséges, a védelmi rendszert, a

rejtjelző algoritmust, valamint a rejtjelző kulcs hosszúságát, kockázatelemzés alapján az In-

formatikai biztonsági szervezeti vezető határozza meg.

Kriptográfiai eszközök alkalmazása esetén minden rendszerben ki kell alakítani a

rejtjelzésre vonatkozó politikát, amelyet a rendszerszintű IBSZ-ben rögzíteni kell.

A rejtjelzési politika kialakításánál a következő szempontok a mérvadóak:

a) A rejtjelzési eljárás illetve algoritmus kiválasztása előtt kockázatelemzésre van szükség.

b) A rejtjelzés kialakításakor a feldolgozás első láncszemétől az utolsóig át kell tekinteni a

rendszert, egy-egy elem rejtjelzése önmagában nem elegendő.

c) A rejtjelkulcsok menedzseléséről (kiadás, megszemélyesítés, visszavonás, stb.) gondos-

kodni kell.

Előzetesen, írásban kell meghatározni a felelősségi köröket (részletesen), illetve a fele-

lős személyeket.

10.3.2. Rejtjelzés

Kriptográfiai rendszerekkel és technikákkal kell gondoskodni az adatok rejtjelzéséről,

amikor az adatokat illetéktelen személyek által is hozzáférhető helyen kell továbbítani vagy

2004. 07. 19. 0.91 verzió 171


tárolni, valamint minden olyan esetben, ahol fennáll az adatok kompromittálódásának veszé-

lye.

Államtitkot, szolgálati titkot, és üzleti titkot képző adatállományok csak rejtjelezve tá-

rolhatók és továbbíthatók.

Üzleti titok esetében az alkalmazható rejtjelző eszközt vagy algoritmust, valamint a

kriptográfiai kulcsok hosszát az Informatikai Biztonsági Vezető hagyja jóvá.

Államtitok és szolgálati titok esetében kizárólag a Magyar Köztársaság Információs Hi-

vatala Országos Rejtjelfelügyelet által engedélyezett rejtjelző eszköz vagy eljárás használható.

A rejtjelzést végző (a rejtjelző eszközöket, alkalmazásokat illetve a rejtjelkulcsokat kezelő)

személyek fontos és bizalmas munkakört betöltőnek minősülnek.

10.3.3. Digitális aláírás

A digitális aláírások ahhoz szolgáltatnak eszközt, hogy megvédhessük az elektronikus

okmányok (dokumentumok) hitelességét (authenticity) és sértetlenségét (integrity). Az elekt-

ronikus kereskedelemben például arra is használhatóak, hogy szükség esetén igazoljuk (veri-

fikáljuk) azt, aki az elektronikus okmányt aláírta, és ellenőrizzük, vajon az aláírt okmány tar-

talmán változtattak-e.

A digitális aláírások akármilyen okmányformára alkalmazhatók, hiszen ezek mind

elektronikusan lesznek feldolgozva, így például alkalmazhatjuk elektronikus kifizetésre, pénz

átutalására, szerződésekre és megállapodásokra. A digitális aláírások olyan kriptográfiai mód-

szerekkel (technikákra) valósíthatók meg, amelyeket egyértelműen összetartozó kulcspárokra

alapoznak, ahol az egyik kulccsal készül az aláírás (a magánkulccsal), míg egy másik kulccsal

ellenőrzik az aláírást (a nyilvános kulccsal).

Különösen ajánlatos gondot fordítani a magánkulcs titokban tartására. Azért ajánlatos

ezt a kulcsot titokban tartani, mert bárki, aki hozzáfér ehhez a kulcshoz, okmányt (dokumen-

tumot) tud vele úgy aláírni, például kifizetést, szerződést, hogy a kulcs tulajdonosának az alá-

írását hamisítja rá. Továbbá ajánlatos a nyilvános kulcs sértetlenségét is megóvni. Ezt a vé-

delmet a 10.3.5. szakaszban leírt nyilvánoskulcs-tanúsítványok alkalmazásával lehet ellátni.

Azt is megfontolás tárgyává ajánlatos tenni, hogy milyen aláíró algoritmust alkalma-

zunk, és milyen hosszú kulcsot. A digitális aláíráshoz alkalmazott kriptográfiai kulcsok kü-

lönbözzenek a titkosításra (rejtjelezésre) alkalmazott kulcsoktól (lásd a 10.3.2. szakaszban).

2004. 07. 19. 0.91 verzió 172


A digitális aláírások alkalmazásakor ajánlatos figyelembe venni minden hatályos jog-

szabályt, amely azokat a feltételeket írja elő, amelyek mellett a digitális aláírás jogilag érvé-

nyes, hatályos (legally binding). Például elektronikus kereskedelem esetében fontos annak

ismerete, hogyan is állnak jogilag, mi a digitális aláírások státusa. Szükség lehet arra is, hogy

a jogi hatályát megkötő szerződést vagy egyéb megállapodást kössünk ahhoz, hogy a digitális

aláírások használatát támogassuk, mert a jogi keretek e téren bizonytalanok, nem elegendőek.

Jogi tanácsot ajánlatos keresni azokra a törvényekre és jogszabályokra, amelyek érvényesek

lehetnek abban a körben, ahol a szervezet digitális aláírást szándékozik alkalmazni.

Ügyelni kell a magánkulcs bizalmas kezelésére. A magánkulcs kezelését végző (a

kulcsgeneráló eszközöket, alkalmazásokat kezelő) személyek fontos és bizalmas munkakör

betöltőnek minősülnek. Az elektronikus aláírás kulcsa és a rejtjelkulcs nem lehet azonos.

Az elektronikus aláírás algoritmusát, valamint az alkalmazható kulcsok hosszát az In-

formatikai Biztonsági Vezető hagyja jóvá.

10.3.4. Szolgáltatások a le nem tagadhatóságra

A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható

rendszereket kell kialakítani a digitális aláírási technikára alapozva.

10.3.5. Kulcsmenedzsment

A kulcsmenedzsmentet kötelező jelleggel ki kell alakítani minden elektronikus aláírás-

sal, rejtjelzéssel rendelkező rendszerben. A kulcsmenedzsment kialakítása során a hatályos

jogi szabályozást, és a PKI-ra vonatkozó nemzetközi szabályozást kell figyelembe venni.

10.3.5.1. A kriptográfiai kulcsok védelme

A rendszerben használt kriptográfiai kulcsok védelme:

a) A kriptográfiai kulcsok fizikai, valamint speciális, illetve fokozott biztonságot igénylő

esetben rejtjelzéssel megvalósított logikai védelméről is gondoskodni kell.

b) Szükség esetén a kulcs-felek megosztásával kell biztosítani a rejtjelkulcsok védelmét.

10.3.5.2. Szabványok, eljárások, módszerek

A kulcskezelési rendszer kialakításánál a következő szabványok, szempontok és módszerek

egyeztetett rendszerét kell figyelembe venni:

2004. 07. 19. 0.91 verzió 173


a) Kulcsgenerálási rendszer.

b) Nyilvános kulcs hitelesítési eljárások.

c) A felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó

módszerek.

d) Kulcstárolási illetve hozzáférési szabályok.

e) Kulcsmódosítási, aktualizálási szabályok.

f) Hamisított kulcsok kezelése.

g) Kulcsvisszavonási szabályok. (A kulcsok visszavonásának és használaton kívül helyezé-

sének módja, többek között abban az esetekben, amikor a kulcsokat hamisítják vagy a

kulcs tulajdonosa elhagyja a szervezetet.)

h) Kulcsok archiválási rendje.

i) Elveszett kulcsok helyreállítási szabályai (Az elveszett kulccsal rejtjelzett állományok

visszaállítása az üzletmenet folytonosság terv része kell, hogy legyen.).

j) Kulcsok megsemmisítésének szabályai.

k) Kulcskezelő rendszer eseménynaplózása.

A kulcshamisítás kockázatának csökkentése érdekében, előzetesen meg kell határozni a kul-

csok aktiválásának és visszavonásának dátumait. A kulcs élettartama függ a vélelmezett koc-

kázat mértékétől.

A nyilvános kulcsokkal való esetleges visszaélések kockázatának csökkentése érdekében,

csak hitelesített nyilvános kulcsok használhatók a rendszerben.

A kriptográfiai szolgáltatók külső szállítóival, például egy hitelesítő hatósággal kötött, a szol-

gáltatás mértékét meghatározó megállapodásoknak vagy szerződéseknek szabályozniuk kell a

felelősség kérdését.

2004. 07. 19. 0.91 verzió 174


10.4. Rendszerszintű adatállományok védelme

Gondoskodni kell arról, hogy az informatikai projekteket és az azokat segítő tevékeny-

ségeket biztonságosan vezessék.

A rendszerszintű adatállományok védelmére szolgáló intézkedések:

a) Ellenőrizni és dokumentálni kell a védendő rendszer-adatállományok elérését.

b) A rendszer integritásának fenntartása annak a felhasználói funkciónak vagy fejlesztési

csoportnak a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.

10.4.1. Az operációs rendszer ellenőrzése

Az üzemelő rendszeren a szoftver megvalósítását ellenőrzés alatt kell tartani. Az üze-

meltető rendszeren a megrongálódás kockázatát minimalizálandó a következő intézkedéseket

kell meghozni:

a) Az üzemeltetési programkönyvtárak frissítését (updating) csak kinevezett könyvtáros vé-

gezze alkalmas vezető menedzseri felhatalmazással (lásd a 10.4.3. szakaszt).

b) Ha lehetséges, az üzemeltető rendszer csak végrehajtható kódot tartalmazzon.

c) A végrehajtható kódot az üzemeltető rendszeren addig nem szabad megvalósítani, amíg

nem áll rendelkezésre a sikeres bevizsgálásnak (tesztelés) és a használói átvételnek a bi-

zonyítéka, és a megfelelő programkönyvtárakat nem hozták időszerű állapotba (updated).

d) Átvilágítási naplót (audit log) kell vezetni az üzemeltetési programkönyvtárak valamennyi

frissítéséről (updates).

e) A szoftver korábbi változatait ajánlatos a tartalékolás mértékében megtartani.

f) Az informatikai rendszerek által biztosított naplózási lehetőségeket be kell kapcsolni.

g) A rendszergazdáknak ezeket a naplókat rendszeresen ellenőrizniük kell, az ellenőrzés

eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük.

h) A központi erőforrások (szerverek, tűzfalak, stb.) naplóállományaihoz csak az Informati-

kai Biztonsági Vezető (az általa megbízott) férhet hozzá törlési, módosítási joggal.

Az üzemeltetési rendszerben használatos, szállító által adott szoftvert ajánlatos azon a

szinten karbantartani, ahogyan azt a szállító támogatja. Minden olyan döntés, hogy azt új vál-

2004. 07. 19. 0.91 verzió 175


tozatra cseréljük (upgrade), vegye figyelembe az új változat biztonságát, azaz az új biztonsági

funkciók bevezetését, valamint az ezzel a változattal kapcsolatos biztonsági problémák számát

és súlyosságát. Azokat a szoftvertapaszokat (patches) ajánlatos alkalmazni, amelyek segíthet-

nek abban, hogy a biztonsági gyengeségeket (gyenge pontokat) eltávolítsuk vagy lecsökkent-

sük.

A fizikai vagy a logikai hozzáférést csak akkor adjuk meg a szállítónak támogatási te-

vékenységéhez, ha az feltétlenül szükséges, és akkor is csak a vezetőség hozzájárulásával. A

szállítói tevékenységeket ajánlatos ellenőrzés alatt tartani.

10.4.2. A teszt adatok védelme

A teszt adatokat védelem és ellenőrzés alatt kell tartani. A fejlesztői, a teszt- és az éles

rendszereket egymástól el kell választani.

Mind a rendszervizsgálatok, mind az átvételi vizsgálatok többnyire jelentős mennyiségű

olyan adatot igényelnek, amelyek eléggé közel állnak az üzemi adatokhoz. A személyes ada-

tokat is tartalmazó üzemeltetési adatbázis használata tilos. Ha mégis ilyen adatokat kell hasz-

nálunk, akkor azt meg kell fosztani személyes jellegétől, és az adatok visszafordíthatatlan

konvertálásáról gondoskodni kell. Az üzemeltetési adatok védelmére, ha azokat tesztelési

célra használjuk, ajánlatos a következő óvintézkedéseket alkalmazni:

a) Olyan a hozzáférésellenőrző eljárásokat ajánlatos használni alkalmazási rendszerek teszte-

lésére, amelyeket az üzemelő alkalmazási rendszerekhez alkalmazunk.

b) Elkülönített feljogosítást ajánlatos bevezetni mindannyiszor, ahányszor üzemeltetési in-

formációt vizsgálat alatt álló alkalmazási rendszerbe másolnak át.

c) Az üzemeltetési információt ajánlatos a vizsgálat befejezése után azonnal kitörölni a vizs-

gálat alatt álló alkalmazási rendszerből.

d) Az üzemeltetési információ másolását és használatát ajánlatos az átvilágítási napló készí-

téséhez jegyzőkönyvezni.

2004. 07. 19. 0.91 verzió 176


10.4.3. A program forráskönyvtárhoz való hozzáférés ellenőrzése

A programok tönkretételének megelőzése érdekében szigorú ellenőrzést kell gyakorolni

a forrásprogramok könyvtáraihoz való hozzáférés felett a következők szerint (lásd még a 8.3.

szakaszt):

a) Ahol lehetséges, a forrásprogramok könyvtárait nem szabad üzemelő rendszerekben tarta-

ni.

b) Minden egyes alkalmazáshoz programkönyvtárost kell kinevezni.

c) Az informatikai támogató személyzetnek nem szabad korlátlan hozzáférést adni a forrás-

programok könyvtáraihoz.

d) Fejlesztés vagy fenntartás alatt álló programokat nem szabad forrásprogramok könyvtára-

iban tartani.

e) A programkönyvtárosnak a forrásprogramok könyvtárainak felfrissítését (updating) és a

forrásprogramok átadását programozóknak csak akkor szabad elvégeznie, ha az illetékes

informatikai vezető erre őt felhatalmazta.

f) A forráskönyvtár minden változásáról eseménynaplót kell vezetni.

g) A programlistákat biztonságos környezetben kell tartani (lásd a 8.6.4. szakaszt).

h) Az átvilágítási naplót kell vezetni valamennyi forrásprogram-könyvtárat érintő hozzáférés

esetében.

i) Forrásprogramok korábbi változatait archiválni kell, pontosan megjelölve annak pontos

keltét és időpontját, amikor azok üzemben voltak, együtt az azokat „támogató” szoftver-

rel, munkairányítással (job control), adatmeghatározásokkal (data definition) és eljárások-

kal.

j) A forrásprogramok könyvtárainak karbantartását és másolását ajánlatos szigorú változás-

ellenőrző eljárásnak alávetni (lásd a 10.4.1. szakaszt).

k) A forrásprogramok korábbi verzióit archiválni kell.

l) A program forráskönyvtárak karbantartását és másolását a változtatásokra vonatkozó szi-

gorú ellenőrzési eljárások alá kell vonni.

2004. 07. 19. 0.91 verzió 177


10.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban

Fenn kell tartani az alkalmazási rendszerhez tartozó szoftver és információ biztonságát.

Szükség van a projekt és a támogatási környezetek szigorú ellenőrzésére.

a) Az alkalmazói rendszerekért felelős vezetőknek vállalniuk kell a felelősséget a projekt és

a támogatás környezetének biztonságáért. Gondoskodniuk kell arról, hogy megvizsgálják

a rendszerben javasolt összes változtatást és megállapítsák, mennyiben befolyásolják ezek

a rendszer vagy működési környezete biztonságát.

b) Fejlesztési szabályokat kell kialakítani.

10.5.1. Változásmenedzsment eljárások

Az informatikai rendszer sérülékenységének minimalizálása érdekében a változtatásokat

csak szigorú ellenőrzéseken keresztül lehet megvalósítani.

A változtatás ellenőrzésének eljárását a folyamatos kockázat-kezelési módszereket is

beleértve, a Változásmenedzsment Szabályzatban kell szabályozni.

Az eljárással kapcsolatban:

a) Szabályozni kell a változtatást végrehajtó személyek körét.

b) A szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver

azonosítását el kell végezni.

c) A munka elkezdése előtt részletes, kockázatkezelésen alapuló, formalizált elfogadási eljá-

rásra van szükség.

d) Biztosítani kell, hogy a megvalósítás során az üzleti folyamatok ne sérüljenek.

e) A rendszerdokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat

archiválni kell.

f) Karban kell tartani a változásmenedzsment segítségével az összes szoftver-frissítést.

g) Biztosítani kell minden változtatás ellenőrzését.

h) Biztosítani kell, hogy az üzemi dokumentumokon is átvezetésre kerüljenek amennyiben

szükségesek a változások.

2004. 07. 19. 0.91 verzió 178


i) Biztosítani kell, hogy a változtatások kellő időben és az üzleti eljárás zavarása nélkül ke-

rüljenek megvalósításra.

10.5.2. Az operációs rendszer változtatásainak ellenőrzése

Amennyiben a külső vagy belső tényezők szükségessé teszik az operációs rendszer változtatá-

sát, az operációs rendszer alapértelmezett átvizsgálása után az applikációs rendszert ellenőriz-

ni és tesztelni kell annak biztosítása érdekében, hogy a változtatás a működőképességgel és a

biztonsággal ne ütközzön.

Éles rendszerbe történő beillesztés előtt a változásokat az alkalmazásokkal kell tesztelni.

10.5.3. Vásárolt programok változtatására vonatkozó korlátok

A szervezet munkavállalói munkavégzésük során csak jogtiszta szoftvereket használ-

hatnak. Ha a vásárlási (licensz, fejlesztési) szerződés másként nem rendelkezik, a szerzői jog-

ról szóló törvény alapján kell eljárni. Ennek megfelelően a szerző kizárólagos joga nem terjed

ki

a) a többszörözésre,

b) az átdolgozásra,

c) a feldolgozásra,

d) a fordításra,

e) a szoftver bármely más módosítására – ide értve a hiba kijavítását is –, valamint ezek

eredményének többszörözésére annyiban,

amennyiben e felhasználási cselekményeket, a szoftvert jogszerűen megszerző szervezet a

szoftver rendeltetésével összhangban végzi.

10.5.4. Rejtett csatorna, trójai faló

A rejtett csatorna olyan támadás, amely bizonyos közvetett és zavaros módon teheti

közszemlére az információt. Ezt kiválthatja egy olyan paraméter megváltoztatása, amelyhez

hozzáférhetnek a számítástechnikai rendszernek mind biztonságos, mind kevéssé biztonságos

elemei, vagy valamely adatfolyamba beültetett információ. A Trójai falovat arra tervezik,

hogy olyan módon hasson a rendszerre, amelyre az nincs felhatalmazva, és amelyet az üzenet-

2004. 07. 19. 0.91 verzió 179


fogadó vagy a programhasználó nem tud könnyen felismerni, mert nem is igényli. A bujtatott

csatorna és a Trójai faló ritkán lép fel baleset következtében. Ahol a bujtatott csatorna, vagy a

Trójai faló veszélye fennáll, ott a következőket ajánlatos megfontolni:

a) csak megbízható forrásból szerezzünk be programot,

b) csak olyan forráskódban vásároljunk programot, amelynek kódját igazoló ellenőrzésnek

(verifikálásnak) tudjuk alávetni,

c) csak kiértékelt (levizsgált) terméket használjunk,

d) minden forráskódot vizsgáljunk át üzemi használatba vétel előtt,

e) tartsuk ellenőrzésünk alatt a telepített kódnak minden hozzáférését és módosítását,

f) csak a bizalmunkat megszolgált személyzetünknek engedjük meg, hogy kulcsfontosságú

rendszereinken dolgozzon.

10.5.5. A programfejlesztés kihelyezése

Ahol a szoftverfejlesztést vállalkozásba adják, a következőket ajánlatos megfontolni:

a) licensz-szerződéseket, a szoftver tulajdonjogát és a szellemi tulajdonjogokat (lásd a

12.1.2. szakaszt),

b) a végzett munka minőségének és pontosságának tanúsítását,

c) a harmadik fél hibája esetére szükséges letéti rendszert,

d) az elvégzett munka minőségének és pontosságának átvilágító auditálásához szükséges

hozzáférési jogokat,

e) a szoftverminőség szerződéses követelményeit,

f) a trójai faló típusú szoftver észlelése érdekében a telepítés előtt elvégzendő vizsgálatot.

2004. 07. 19. 0.91 verzió 180


11. ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT

11.1. Üzletmenet-folytonosság menedzsment területei

Az üzletmenet-folytonossági tervek azokat az információkat tartalmazzák, melyek alap-

ján a támogató folyamatok (ilyenek az informatikai rendszerek is) csökkenése vagy kiesése

esetén miként lehet a szervezet működését fenntartani. Ezeknek a terveknek a lehetséges szi-

tuációk minél teljesebb összetételét kell lefedniük:

a) különböző hosszúságú megszakítások,

b) különböző eszközök és létesítmények elvesztése,

c) a helyszínekhez való fizikai hozzáférés teljes elvesztése,

d) a káros hatás bekövetkezése nélküli állapotnak megfelelő helyzethez való visszatérés igé-

nye.

A helyreállítási tervek leírják, hogy miként kell visszaállítani a váratlan eseménnyel

érintett informatikai rendszereket. A helyreállítási tervek tartalmazzák:

a) a katasztrófát jelentő körülményeket,

b) a helyreállítási tervek működésbe hozataláért való felelősséget,

c) a különböző visszaállítási tevékenységekért való felelősségeket,

d) a helyreállítási tevékenységek leírását.

11.1.1. Üzletmenet-folytonosság menedzsment folyamata

A kritikus üzleti és informatikai folyamatok védelme érdekében a meghibásodások és a rend-

ellenességek elhárítása során:

a) Az üzletmenet-folytonosságának fenntartását szolgáló eljárás a megelőző és helyreállítást

vezérlő eljárások (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv) együttes al-

kalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer meg-

hibásodása által okozott fennakadásokat. (Ezek lehetnek többek között természeti kataszt-

2004. 07. 19. 0.91 verzió 181


rófák, balesetek, berendezésekben keletkezett hibák, vagy szándékos cselekmények kö-

vetkezményei.)

b) Elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit.

c) Az üzletmenet-folytonosságának irányítása ki kell, hogy terjedjen – többek között – a

kockázatok azonosítására és csökkentésére alkalmas ellenőrző eszközökre, a kárt okozó

események következményeinek korlátozására, valamint a lényeges tevékenységek időben

történő újraindítására.

11.1.2. Az üzletmenet-folytonosság és a hatásvizsgálat

A megfelelő üzletmenet-folytonosság az informatikai rendszer folyamatos üzemi mű-

ködésének az a szintje, amely során a kiesés kockázatának szintje a szervezet számára még

elviselhető.

Az elviselhetőség határát az üzletmenet – támogatás szempontjából kritikus rendszerei-

nek – egy meghatározott (maximált) kiesési ideje határozza meg.

Az üzletmenet-folytonosság megfelelő szintjét a szükséges megelőző, illetve (a kiesés

bekövetkezése után) visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket előre

meg kell tervezni (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv).

Az üzletmenet-folytonosság tervezés eredménye az üzletmenet-folytonossági terv,

amely részletesen meghatározza a kívánt üzletmenet-folytonosság fenntartásához szükséges

feltételeket, szervezeti és szervezési lépéseket, valamint szabályozza a megvalósítás módját.

11.1.3. Az üzletmenet-folytonossági terv kidolgozása

Az üzletmenet-folytonossági terv kidolgozásának alapvető célja az, hogy a szervezet üz-

leti folyamatait támogató informatikai erőforrásai a rendelkezésre álló üzemidőben a lehető

legjobb időkihasználással és a legmagasabb funkcionalitási szinten működjenek annak érde-

kében, hogy az üzleti folyamatok zavarai által okozott közvetlen és közvetett károk minimáli-

sak legyenek.

Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletme-

net-folytonosság fenntartásához szükséges megelőző, helyettesítő, illetve visszaállító intézke-

dések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megva-

lósítás módját.

2004. 07. 19. 0.91 verzió 182


A tervezés egyik lényeges eleme a kiesési kockázatok elemzése, amelynek során mérle-

gelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövet-

kezésének gyakoriságát.

Az üzletmenet-folytonosság terv fő részei:

a) Helyzetfelmérés és értékelés

1) Projekt előkészítő megbeszélés (feladat behatárolás, humán és eszköz erőforrás, illetve

az adminisztrációs feltételek tisztázása, projektterv megbeszélése, felhasználandó do-

kumentumok előzetes meghatározása).

2) Részletes projektterv elkészítése.

3) Projektindító megbeszélés (célok, feladatok, várható eredmények prezentációja; pon-

tos feladatmeghatározás; projekt-szervezet összetétele; felhasználandó dokumentumok

listája; projekt megkezdése).

4) Előzetes helyzetfelmérő interjúterv elkészítése és véglegesítése (területek, személyek).

5) Az interjúk megszervezése (személyek és időpontok egyeztetése), tematikák elkészíté-

se.

6) Interjúk elkészítése és feldolgozása dokumentumokban (kritikus üzleti folyamatok és

az ezeket támogatóalkalmazások; a kiesések következményei, kockázatai és rangsoro-

lása az eredményes működés szempontjából, rendelkezésre állás követelményei, po-

tenciális üzemzavari és katasztrófa események palettája, tartalékolási és visszaállítási

stratégiák és megoldások).

7) Projekt-team teszteli a meghatározott tartalékolási és visszaállítási megoldások meg-

valósíthatósági feltételeit, majd ennek alapján helyzetfelmérő és értékelő jelentést ké-

szít.

8) A projekt-team a helyzetfelmérő és értékelő jelentését a szervezet vezetésének átadja,

ahol megtörténik a jelentés ellenőrzése és elfogadása.

b) Az üzletmenet-folytonossági terv elkészítése

Itt történik meg az üzletmenet-folytonossági terv kidolgozása, melynek fő részei:

c) Megelőzési terv és intézkedések

2004. 07. 19. 0.91 verzió 183


1) Tartalmazza mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek

az informatikai rendszer folytonos üzemét valamilyen módon veszélyeztető tényezők-

kel kapcsolatosak. Alapvető szerepe van a megelőzésnek, mind a nagyobb üzemza-

varok vagy katasztrófa események, mind a nagy számú, de kisebb üzemeltetési és fel-

használási problémák miatt sérülő alkalmazások rendelkezésre állásával kapcsolatban.

2) A megelőzési terv a következőkre terjed ki:

− Az informatikai rendszer megbízható üzemeltetésére és az üzemeltetésre vonatko-

zó intézkedésekre.

− Az informatikai rendszer kritikus elemeinek üzemi és katasztrófa tartalékmegoldá-

saira és ezek üzemkészségét biztosító intézkedésekre.

− Az informatikai rendszer üzemét biztosító környezeti rendszerek karbantartási, il-

letve az ezekkel kapcsolatos biztonsági intézkedésekre.

− Az üzemeltetési dokumentáció és dokumentumok rendszerezett és biztonságos tá-

rolására.

− Adathordozók rendszerezett és biztonságos tárolására.

− Az üzemeltető, a karbantartó és a kárelhárító személyzet rendelkezésre állását és

bevethetőségét biztosító intézkedésekre.

− A külső szervizre, a tartalékképzési megoldásokra vonatkozó, és a biztosítási szer-

ződésekkel kapcsolatos intézkedésekre.

− Mentési tervre, amely meghatározza a mentési rendszer generációit és hierarchiá-

ját.

− Az üzemelő rendszer konfigurációjában, az üzemelő szoftverben megvalósítandó

változások szabályozott kivitelezésére, valamint a szoftver fejlesztések elkülönített

kivitelezésére és a fejlesztett szoftverek rendszerbe történő integrálására vonatkozó

legfontosabb intézkedésekre.

− Vírusvédelmi és vírusmenedzsment intézkedésekre, figyelembe véve a szervezet-

nél hatályos vírusvédelmi szabályzatot.

− Megelőzésben fontos szerepet játszik az alkalmazói rendszerek használatára törté-

nő rendszeres oktatás, illetve az informatikai biztonság olyan szintű oktatása,

amely kiterjed az informatikai rendszerekben kezelt adatok bizalmasságának, hite-

2004. 07. 19. 0.91 verzió 184


lességének, sértetlenségének, rendelkezésre állásának megőrzése érdekében betar-

tandó szabályokra és az érvényesítendő védelmi intézkedésekre.

− Tesztelési és tréning tervre, amely meghatározza a tesztelés formáit. Két formája

javasolt: auditálás jellegű check-listás teszt, amelyet egy előre elkészített ellenőr-

zési lista alapján független belső vagy külső auditorok végeznek el, illetve valós

üzemzavari vagy katasztrófa események szimulációjával.

d) Visszaállítási terv

1) A visszaállítási terv alapvető célja az, hogy az üzemzavari vagy katasztrófa esemé-

nyek bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszköz erő-

források haladéktalan mozgósítása, és a visszaállítás a lehető leggyorsabban és szerve-

zetten történjen meg a tervben meghatározott utasítások szerint.

2) A visszaállítási terv a következőket tartalmazza:

− A visszaállítási terv célját és használatát.

− Az üzemzavari és katasztrófa események meghatározását.

− Az események bekövetkezési és kezelési időszakait.

− Az eseménykezelő team összetételét, feladatait és hatáskörét.

− Visszaállítási intézkedéseket a következő lépésekre: azonnali válasz (riadó terv),

futtató környezet helyreállítás, funkcionális helyreállítás, üzemeltetési szintű hely-

reállítás, áttelepülés (katasztrófa esetén), normalizáció az áttelepülés után.

Az intézkedések átfogják a központi erőforrások, azok fizikai és személyi környezetét, a

végponti munkaállomások és a kommunikációs rendszer területeit.

Véglegesítésre kerül az előzetes intézkedési terv, amely tartalmazza mindazon feltételek

biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági

terv nem működő képes és a következő projekt fázisban elvégzendő üzletmenet-folytonossági

terv teszt és tréning nem valósítható meg.

e) Oktatás, tréning és tesztelés

Az oktatás célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenet-

folytonosság tervezés alapismereteinek átadása, a megelőzési és visszaállítási tervben foglal-

tak megismerése és elsajátítása.

2004. 07. 19. 0.91 verzió 185


Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a

szervezet által az üzletmenet-folytonossági terv készítési fázisa végén elfogadott intézkedési

tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje

és tréningje meghatározott üzemzavari/katasztrófa eseményre kivitelezhető.

Az üzletmenet-folytonossági terv tesztje szimulált esemény bekövetkezésével és a terv

szerinti visszaállítással kerül megvalósításra, amelynek keretében az eseménykezelő team, az

üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a

visszaállítási terv utasításainak végrehajtását.


Katasztrófa és folytonossági tervet kell készíteni.

11.1.3.1. Katasztrófa-elhárítási terv

A katasztrófa-elhárítási terv globális helyettesítő megoldásokat ad megelőző és elhárító

intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rend-

szer funkcionalitása degradált vagy eredeti állapotába visszaállítható.

A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető

legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan le-

hessen megvalósítani.

A vészhelyzetekből eredő károk megelőzésének, mérséklésének alapvető követelménye

a részletes terv (Megelőzési és Visszaállítási terv) elkészítése, tesztelése és a végrehajtás

rendszeres gyakorlása.

A katasztrófa-elhárítási terv eljárások és/vagy tevékenység-lépések sorozata annak biz-

tosítására, hogy a szervezet kritikus információ-feldolgozó képességeit – a szükséges aktuális

adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen

állítani.

a) A katasztrófa-elhárítási tervben a következők kerülnek meghatározásra:

1) a rendelkezésre állási követelmények megadása;

2) a katasztrófa vagy vészhelyzet események definíciója;

3) a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó

funkcionalitási szintek;

4) javaslat a felelősségek szabályozására veszély vagy katasztrófa esetén;

2004. 07. 19. 0.91 verzió 186


5) a riadóterv vázlata;

6) kiválasztott esetekre konkrét intézkedési terv, különösen a következő területen:

− a szükségüzem esetére a minimális hardver- és szoftver konfiguráció rögzítése (be-

leértve az adatokat is),

− a szükségüzem esetére – amennyiben lehetséges – manuális póteljárás rögzítése,

− szükség esetén backup-rendszer (például saját vagy külső tartalék központ, igény-

bevétele),

− adatrekonstrukciós eljárások bevezetése,

− az újraalkalmazhatóságot lehetővé tevő intézkedések;

7) az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetőeknek kell

lenniük (például redundancia intézkedésekkel és a hibákat toleráló hardverekkel és

szoftverekkel),

8) az adatmentési intézkedések megvalósítási szabályainak összeállítása (például három-

generációs elv),

9) az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése meghatáro-

zott időszakonként,

10) a biztonsági másolatoknak más biztos helyen (a munkaterületen, illetve a számítóköz-

ponton kívüli) raktározása,

11) az installált rendszerszoftverek és a fontosabb alkalmazói szoftverek referenciamáso-

latainak biztonságos raktározása,

12) a fontosabb dokumentációk megkettőzése és raktározása,

13) a megvalósított adatmentések ellenőrizhető dokumentációja;

14) visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásai-

nak kijelölését és a célkitűzések megállapítása (például az X alkalmazás újraindítása Y

napon belül);

15) a beszállítói (szolgáltatói) szerződésekre vonatkozó – katasztrófa események bekövet-

kezése esetében érvényes – követelmények meghatározása (annak érdekében, hogy

katasztrófa helyzetben is biztosítani lehessen a rendelkezésre állást);

16) javasolt biztosítások katasztrófák, káresemények esetére,

2004. 07. 19. 0.91 verzió 187


17) a terv készítésének, felülvizsgálatának, tesztelésének időpontja.

b) A katasztrófa-elhárítási terv részei:

1) a katasztrófa-elhárítási terv definíciója,

2) a mentési (megelőzési) terv:

Azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy

lehetővé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv el-

mentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a

számítógép, a háttértárak tükrözése és az optikai tárolók használata sokkal könnyeb-

bé teheti adatbázisok, illetve nagy tömegű papíralapú dokumentumok helyreállítását.

3) a helyreállítási és újraindítási terv:

A helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában

hajtanak végre annak érdekében, hogy helyreállítsák

− az informatikai rendszert a tartalékközpontban vagy

− az adatfeldolgozó központot.

A helyreállítási terv szakaszai:

− azonnali reakció:

Válasz a katasztrófa-helyzetre, a veszteségek számbavétele, a megfelelő

emberek értesítése és a katasztrófa-állapot megállapítása.

− környezeti helyreállítás:

Az adatfeldolgozó rendszer operációs rendszer, program termékek és a táv-

közlési hálózat) helyreállítása.

− funkcionális helyreállítás:

Az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az

adatok szinkronizálása a tranzakció naplóval. Az elvesztett vagy késleltetett

tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok,

az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy hely-

reállítsák a normál feldolgozási rendet.

2004. 07. 19. 0.91 verzió 188


− áttelepülés:

Az informatikai rendszer kiépítése és telepítése a hidegtartalék létesítmény-

ben (ha a melegtartalék létesítmények használata időben korlátozott).

− normalizáció:

Az új állandó informatikai rendszer kiépítése és arra az üzemelő rendszer át-

telepítése.

4) tesztelési terv:

A tesztelési terv azokat a tevékenységeket tartalmazza, amelyek ellenőrzik és bizto-

sítják a katasztrófa-elhárítási terv működőképességét.

5) a karbantartási (üzembentartási) terv:

A szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófa-

elhárítási terv aktuális állapotban tartására.

6) az érintett személyek elérési adatai.

c) Intézkedni kell:

1) A kár megelőzésére és a károk minimalizálására az IBSZ alapján (például belső vagy

külső háttér-, illetve tartalék számítógép-kapacitás előkészítése szükségüzem esetére

az elégséges hardver és szoftver konfiguráció rögzítésével);

2) a katasztrófák, veszélyhelyzetek bekövetkezésekor;

3) a rendszer (folytonosságának) visszaállítására a katasztrófákat és a káreseményeket

követően;

4) a veszélyhelyzetek és a katasztrófák esetszimulálására, begyakorlásra, intézkedések

modellezésére, illetőleg kipróbálására.

11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere

Az üzletmenet-folytonosság egységes tervezésének érdekében keretrendszert kell kidol-

gozni, melynek részei:

a) A helyzetfelmérés és értékelés közös módszertana.

2004. 07. 19. 0.91 verzió 189


b) Szabványos, szabályos és biztonságos mentési eljárások.

c) Tartalék eljárások (áttelepítés, újraindítás, manuális módszerek, stb.).

d) Helyreállítási eljárások.

e) Karbantartási menetrend, tesztelési terv.

f) Oktatás, tréning és tesztelés.

11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése

11.1.5.1. A tervek tesztelése

Az üzletmenet-folytonossági tervekben olyan hibákat lehet teszteléssel megtalálni, mint

a gyakran előforduló helytelen feltételezések, figyelmetlenségek, berendezésbeli vagy sze-

mélyzeti változások. Ezeket a dolgokat ajánlatos időről időre megvizsgálni annak érdekében,

hogy a tervek aktuálisan naprakészek és hatékonyak legyenek. Ilyen vizsgálatokkal ajánlatos

azt is elérni, hogy a helyreállításban résztvevő valamennyi csapattag és más érintett, érdekelt

személyzet is mind ismerjék, tudatában legyenek a terveknek.

Az üzletmenet-folytonossági tervekhez rendelt vizsgálat időrendje (ütemterve) ajánla-

tos, hogy azt is mutassa meg, mikor és hogyan vizsgálják a terv adott elemét. Ajánlatos a ter-

vek egyedi összetevőit gyakran vizsgálni. A módszeres technikák egész választékát ajánlatos

használni annak érdekében, hogy elég biztosítékot szerezzünk terveinknek a valós életben

várható működőképességéről:

a) a különböző forgatókönyvek (szcenáriumok) kerekasztal (megbeszéléses) vizsgálatát, ahol

megvitatjuk az üzletmenet helyreállítási elrendezéseit példaként megszakadásokat hasz-

nálva,

b) szimulációkat, különösen a személyek begyakoroltatásában, hogyan viselkedjenek várat-

lan események bekövetkezése után, kríziskezelő (menedzselő) szerepben,

c) műszaki helyreállítási vizsgálatot, ezzel szavatolva, hogy az informatikai rendszerek haté-

konyan visszaállíthatók,

d) a helyreállítás vizsgálatait valamely másik, alternatív helyszínen, amikor az üzleti folya-

matokkal párhuzamosan a főhelyszíntől távol futnak a visszaállítási műveletek,

2004. 07. 19. 0.91 verzió 190


e) a szállítók szolgáltatásainak és eszközeinek vizsgálatát annak érdekében, hogy a külső

felek nyújtotta szolgáltatások és termékek kielégítsék a szerződéses kötelezettségként vál-

laltakat,

f) teljes beszámoltatást, annak vizsgálatára, hogy a szervezet, a személyzet, a berendezés, az

eszközök és a szolgáltatások képesek megbirkózni a megszakításokkal.

Ezeket a technikákat (módszereket) bármely szervezet használhatja, viszont alkalmazá-

suk során ajánlatos, ha magukon viselik az adott helyreállítási/visszaállítási terv sajátosságait.

A tervek tesztelését legjobban egy szimulált esemény bekövetkezésével és a terv szerin-

ti visszaállítással lehet megvalósítani. Ennek keretében az eseménykezelő szervezet, az üze-

meltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják – leg-

alább évente egy alkalommal – a visszaállítási terv utasításainak végrehajtását.

A teszt értékelése során az üzletmenet-folytonossági terveket módosítani, aktualizálni

kell, és gondoskodni kell azok egymáshoz való illesztéséről.

11.1.5.2. A tervek karbantartása és újraértékelése

Az üzletmenet-folytonosságot ajánlatos időről időre tartott felülvizsgálattal és moderni-

zálással (pontosítással) karban tartani annak érdekében, hogy folyamatos maradjon hatékony-

sága (lásd a 11.1.5.1 szakaszt is). Olyan eljárásokat is ajánlatos belefoglalni a szervezet válto-

záskezelő (-menedzselő) programjába, amelyek szavatolják, hogy az üzletmenet-folytonosság

témáit kellően kézben tartják.

Valamennyi, üzletmenet-folytonossági terv szabályos időközönkénti felülvizsgálatának

a felelősségét ki kell osztani, és az üzleti elrendezésekben bekövetkezett, és az üzletmenet-

folytonossági tervekben még nem szerepeltetett változások azonosítását a tervek alkalmas

pontosítása/kiegészítése kövesse. Ajánlatos, hogy a változások ellenőrzésének, kézben tartá-

sának ez a formális módja szavatolja, hogy a modernizált/pontosított terveket kiosztják, és a

teljes terv(rendszer) szabályos időközönkénti felülvizsgálata révén hatályba léptetik, kikény-

szerítik alkalmazását.

Az olyan helyzetek példái, amelyek a tervek pontosító felülvizsgálatát teszik szükséges-

sé, magukban foglalják az új berendezések felvételét/beiktatását, az üzemeltetőrendszer mo-

dernizálását/időszerűsítését (upgrade), valamint a következő változásokat:

a) a személyzet,

2004. 07. 19. 0.91 verzió 191


b) a címek és telefonszámok,

c) az üzleti stratégia,

d) az elhelyezés, az eszközök, az erőforrások,

e) a jogrendszer/jogszabályok/jogkörnyezet/jogalkalmazás,

f) a szerződő felek, a rendszerszállítók és a kulcsfontosságú ügyfelek/előfizetők,

g) akár az új, akár a visszavont folyamatok, valamint

h) az üzemetetés és a pénzügyek kockázata körében.

2004. 07. 19. 0.91 verzió 192


12. MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A BELSŐ

BIZTONSÁGI SZABÁLYZATOKNAK

12.1. A jogszabályi előírások betartása

El kell kerülni bármely jogszabályi, szabályozói vagy szerződéses kötelezettségnek, va-

lamint bármely biztonsági követelménynek a megszegését.

Az informatikai rendszerek tervezésére, fejlesztésére, üzembehelyezésére, működtetésé-

re, használatára és kezelésére különböző törvények, jogszabályok, szabványok, ajánlások,

valamint az egyes szerződésekben rögzített biztonsági követelmények vonatkoznak. Ezek

szervezeti szintű érvényesülése érdekében a szervezet informatikai tevékenységének végzésé-

re vonatkozó biztonsági szabályok rögzítése, a szabályozás hazai gyakorlatának és a nemzet-

közi szabványok előírásainak való megfeleltetése, továbbá az ehhez szükséges személyi és

tárgyi feltételek meghatározása elengedhetetlen.

A fentieknek megfelelően a szervezet szabályzóit a hatályos jogszabályok, szabványok

és ajánlások figyelembevételével kell elkészíteni (ld. 10.1.1.). Kétség esetén konkrét követel-

ményekről ki kell kérni a szervezet Informatikai Biztonsági Vezető véleményét.

12.1.1. A vonatkozó jogszabályok behatárolása

Minden az informatikai rendszerekre vonatkozó jogszabályi, szabályozói vagy szerző-

déses követelményt, és ezeknek a követelményeknek a kielégítésére hozott intézkedéseket és

egyéni felelősségeket egyedileg és részletesen kell meghatározni, és írásban foglalni (doku-

mentálni).

A vonatkozó jogszabályok, szabványok és ajánlások:

a) Jogszabályok:

1) 2001. évi XXXV. törvény az elektronikus aláírásról,

2) 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás ti-

lalmáról,

2004. 07. 19. 0.91 verzió 193


3) 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és

lakcímadatok kezeléséről,

4) 1995. évi LXVI. törvény a közokiratok, közlevéltárak és a magánlevéltári anyag vé-

delméről,

5) 1995. évi LXV. törvény az államtitokról és a szolgálati titokról,

6) 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyil-

vánosságáról,

7) 1992. évi XXII. törvény a Munka Törvénykönyvéről,

8) 1978. évi IV. törvény a Büntető Törvénykönyvről,

9) 1959. évi IV. törvény a Polgári Törvénykönyvről,

10) 151/2001. (IX. 1.) Korm. rendelet a Hírközlési Főfelügyeletnek az elektronikus alá-

írással kapcsolatos feladat és hatásköréről, valamint eljárásának részletes szabályairól,

11) 218/1999. (VI. 30.) Korm. rendelet az egyes szabálysértésekről,

12) 79/1995. (VI. 30.) Korm. rendelet a minősített adat kezelésének rendjéről,

13) 43/1994 (III. 29.) Korm. Rendelet a rejtjel tevékenységről,

14) 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását

végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról,

15) 16/2001. (IX. 1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatá-

sokra és szolgáltatóira vonatkozó részletes követelményekről,

b) Szabványok és ajánlások:

1) ISO/IEC 17799:2000 Information Technology – Code of practice for information

security management (Az informatikai biztonság irányítási kézikönyve),

2) BS 7799-2:2002 Information security management systems – specification with

guidance for use,

3) ISO/IEC 15408:1999 Information Technology – Security techniques (Informatikai

biztonsági technikák) /Common Criteria/,

4) ISO/IEC TR 13335 Information technology – Guidelines for the management of IT

Security,

2004. 07. 19. 0.91 verzió 194


− Part1: Concepts and models for IT Security,

− Part2: Managing and planning IT Security,

− Part3: Techniques for the management of IT Security,

− Part4: Selection of safeguards,

− Part5: Management guidance on network security,

5) Az Európai Unió Tanácsának Biztonsági Szabályzata (kiadva az Európai Unió Taná-

csának 2001/264/EK számú határozatával).

6) SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGANISATION

(NATO) – C-M(2002)49,

− AC/35-D/2000 Directive on Personnel Security,

− AC/35-D/2001 Directive on Physical Security,

− AC/35-D/2002 Directive on Security of Information,

− AC/35-D/2003 Directive on Industrial Security,

− AC/35-D/2004 Primary Directive on INFOSEC,

− AC/35-D/2005 INFOSEC Management Directive for Communications and

information Systems,

7) NIST (National Institute of Standards and Technology, Technology Administration

U.S Department of Commerce) – An Introduction to Computer Security: The NIST

Handbook (Special Publication 800-12),

8) Áttekintés: Az információs rendszerek és hálózatok biztonságára vonatkozó OECD

irányelvek: Útban a biztonságkultúra felé (Overview OECD Guidelines for the

Security of Information Systems and Networks: Towards a Culture of Security),

9) Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága (MeH ITB) 8. számú aján-

lás – Informatikai Biztonsági Módszertani Kézikönyv (kockázatelemzés),

10) ITIL (IT infrastructure Library),

11) Control Objectives for Information and Related Technology (COBIT – ISACA aján-

lás),

2004. 07. 19. 0.91 verzió 195


12) A PSZÁF elnökének 10/2001. számú ajánlása a pénzügyi szervezetek biztonsági fel-

tételeiről,

13) Az Adatvédelmi biztos ajánlása (2001. 02. 01.) az Internettel összefüggő adatkezelé-

sek egyes kérdéseiről.

c) Helyi szabályzatok

12.1.2. Szellemi tulajdonjogok

12.1.2.1. Szerzői jogok

Alkalmas eljárást kell megvalósítani azért, hogy gondoskodjunk a jogi korlátoknak való

megfelelésről minden olyan anyagok használata esetében, amelyeknek szellemi tulajdonjogi

vonatkozásai vannak, mint a szerzői jogok, a tervezői jogok, vagy a védjegyek/márkajelek. A

szerzői jogok megsértése jogkövetkezményeket vonhat maga után, amely büntetőeljárást is

magában foglalhat.

A törvényes, szabályozói vagy szerződéses követelmények korlátozhatják a szervezet

tulajdonát képező írott anyagok másolását. Különösen azt követelhetik meg, hogy kizárólag

olyan anyagokat lehessen használni, amit maga a szervezet állított elő, vagypedig olyanokat,

amelyekre jogot szerzett (licenszet vett) vagy a fejlesztő maga adta át a szervezetnek.

12.1.2.2. Szoftver szerzői jogok

A saját tulajdonú szoftvertermékeket többnyire olyan licensz-szerződések hatálya alatt

szállít le a szállító, amely meghatározott gépre korlátozza e termékek használatát, és azok

másolását is csak a tartalék másolat készítésére korlátozza. A következő óvintézkedéseket

ajánlatos megfontolni:

a) a szoftver-szerzői jognak való megfelelés olyan szabályzatának kiadását, amely meghatá-

rozza, mit tekint a szoftver- és az informatikai termékek jogszerű használatának,

b) a szoftvertermékek megszerzési eljárását előíró szabványok kiadását,

c) tudatosítani a szoftver-szerzői jogot és a megszerzési szabályzatokat, és megfelelő figyel-

meztetést adni arról a szándékról, hogy fegyelmi eljárást kíván foganatosíttatni a szabály-

szegő személyzettel szemben,

d) megfelelően alkalmas vagyonleltár karbantartását,

2004. 07. 19. 0.91 verzió 196


e) a licenszek, mesterlemezek, kézikönyvek stb. tulajdonlásáról szóló okmányok és bizonyí-

tékok karbantartását,

f) olyan óvintézkedések megvalósítását, amelyekkel szavatolható, hogy a felhasználók szá-

mának megengedett legnagyobb értékét nem fogják meghaladni,

g) azoknak az óvintézkedéseknek a végrehajtását, amelyek azt célozzák, hogy kizárólag jo-

gosult szoftvereket és licenszek szerinti termékeket telepítsenek,

h) olyan szabályzat kiadását, amely a megfelelő licensz-szerződéses állapotok fenntartására

vonatkozik,

i) olyan szabályzat kiadását, amely szoftvernek más számára szóló átruházására vagy átadá-

sára vonatkozik,

j) az átvilágító auditáláshoz az alkalmas szerszámok, segédeszközök használatát,

k) megfelelést a nyilvános hálózatokon keresztül szerzett szoftver és információ alkalmazási

feltételeinek (lásd még a 8.7.6. szakaszt).

12.1.3. A szervezet adatainak biztonsága

A szervezet fontos dokumentumai ajánlatos gondosan védeni az elvesztés, a sérülés és

meghamisítás ellen. Egyes dokumentumok igényelhetik biztonságos megőrzésüket ahhoz,

hogy a törvényi és jogszabályi követelményeket kielégítsék, ugyanígy, hogy a lényeges üzleti

tevékenységeket támogassák. Ennek példái az olyan dokumentumok, amelyekre bizonyíték-

ként lehet szükség ahhoz, hogy a szervezet a törvények és jogszabályok szerinti működését

bizonyítani lehessen, vagy ahhoz, hogy szavatolja a lehetséges polgári és büntetőjogi eljárás

elleni kellő védelmet, vagy hogy a szervezet pénzügyi helyzetét megerősítse, igazolja a tulaj-

donosok, az üzletfelek (partnerek) és az átvilágító auditorok számára. Az információ megőr-

zésének időtartamát és adattartalmát a különböző jogszabályok határozzák meg.

A dokumentumokat fajtánként kell osztályozni, például számlák, adatbázisok, tranzak-

ciók naplóbejegyzései (log), az átvilágító auditálás feljegyzései, vagy az üzemeltetési eljárá-

sok dokumentumai, amelyek mindegyikéhez rögzíteni kell a kötelező megőrzés időtartamát és

az adathordozók fajtáját, például papír, mikrofilm, mágneses, vagy optikai adathordozó. A

rejtjelzett archívumokkal és a digitális aláírásokkal kapcsolatos bármely kriptográfiai kulcsot

(lásd a 10.3.2. és 10.3.3. szakaszt) csak kellően biztonságos helyen szabad tartani, és az arra

felhatalmazott személyeknek – amikor szükségük van rá – hozzáférhetővé kell tenni.

2004. 07. 19. 0.91 verzió 197


A dokumentumok rögzítésére használt adathordozóknál ajánlatos figyelembe venni az

adathordozó lehetséges állapotromlását. A tárolás és a kezelés eljárásait a gyártó ajánlásainak

betartásával kell megoldani. A tárolás során a fizikai környezetre (hőmérséklet, páratartalom,

stb.) kiemelt figyelmet kell fordítani.

Amennyiben elektronikus tárolóközeget választunk, akkor a megőrzési időszakra gon-

doskodni annak az eljárásnak az alkalmazásáról is, amelynek révén az adathordozóknak mind

az állagát, mind a rögzítési formátumát tekintve az adatok hozzáférhetők és olvashatók ma-

radnak, és amelynek révén megóvhatók attól, hogy későbbi technológiai változások miatt el-

vesszenek. Az adattároló rendszereket úgy kell megválasztani, hogy a kívánt adatokat a ható-

ságok számára jogilag is elfogadható módon lehessen visszakeresni, például valamennyi kí-

vánt adatot elfogadható időn belül és elfogadható formátumban lehessen előhívni.

A tároló- és kezelőrendszernek garantálnia kell, az adatok a kötelező megőrzési időtar-

tamban egyértelműen azonosíthatók legyenek. A tároló- és kezelőrendszer tegye lehetővé,

hogy az adatokat ezen időszak lejártával, ha a szervezet számára már nem szükségesek, al-

kalmas módon megsemmisíthessék.

Az adatok megőrzése, tárolása, kezelése és a velük való rendelkezés tekintetében intéz-

kedő útmutató kézikönyvet (használati utasítást) kell kiadni.

Megőrzési ütemtervet kell készíteni, amelyben azonosítunk minden adatfajtát és azt a

hozzájuk rendelt időszakaszt, amelyben azokat meg kell őrizni.

12.1.4. Személyes adatok védelme

A személyes adatok védelmére vonatkozó jogszabályi előírások intézkedési kötelezett-

ségeket rónak azokra az adatkezelőkre, akik a személyes adatot kezelnek. Az adatvédelmi

jogszabályoknak való megfelelés kellő irányítási struktúrát és ellenőrzést igényel. Ezt legin-

kább azzal lehet elérni, ha adatvédelmi felelőst jelölünk ki, aki erre vonatkozó útmutatót ad ki

vezetők, felhasználók és szolgáltatók számára egyéni felelősségükről, valamint azokról a kü-

lönleges eljárásokról, amelyeket követniük kell.

12.1.5. A védelmi eszközökkel elkövethető visszaélések megelőzése

A szervezet információfeldolgozó eszközeit üzleti célra hozták létre. Ajánlatos, hogy a

vezetés adja ki az engedélyt azok felhasználóinak. Ezen eszközök bármely olyan használata,

2004. 07. 19. 0.91 verzió 198


amelyik nem felel meg az üzleti céloknak, vagy amelyre nincs a vezetéstől kapott felhatalma-

zás, úgy tekintendő, mint az eszközök helytelen használata. Ha megfigyeléssel (monitorozás-

sal) vagy más módon azonosítjuk, hogy az ilyen tevékenység előfordult, akkor erre fel kell

hívni a vonatkozó fegyelmi eljárásban illetékes vezető figyelmét.

A használat figyelésének (monitorozásának) a jogszerűsége megkívánja, hogy a munka-

társakat a megfigyelésre figyelmeztessük. A megfigyelési eljárás alkalmazása előtt ajánlatos

jogi tanácsot kérni.

A jogosulatlan számítógép-használat bűncselekmény. Ezért lényeges, hogy minden fel-

használó legyen tudatában a saját, engedélye szerinti jogosultságának, az engedélyezett hoz-

záférési körének. Ezt azzal lehet elérni, hogy a felhasználók írott formában kapják meg a fel-

hatalmazásukat, amelynek egy példányát a felhasználóval alá kell íratni, és biztonságosan

megőrizni. A szervezet munkatársai ugyanúgy, mint a harmadik félhez tartozó felhasználók,

kapjanak megfelelő tájékoztatást arról, hogy semmilyen más hozzáférés nincs megengedve,

csak az, amelyre felhatalmazást kaptak.

Minden egyes bejelentkezéskor ajánlatos figyelmeztető üzenetet megjeleníteni a számí-

tógép képernyőjén, amely mutatja, hogy a rendszer, amelybe belépni készülnek, magántulaj-

donú és abba a jogosulatlan belépés nincs megengedve. Ajánlatos ezt a használóval nyugtáz-

tatni, és elvárni tőle, hogy a képernyőn megjelenített üzenetre kellő módon válaszoljon ahhoz,

hogy a bejelentkezési folyamatot folytathassa.

12.1.6. A kriptográfiai eszközök kezelésének szabályozása

Egyes országok egyezményeket kötöttek, törvényeket hoztak, szabályozást léptettek

életbe, és más eszközöket is bevetettek annak érdekében, hogy a kriptográfiai óvintézkedé-

sekhez való hozzáférést és azok használatát ellenőrzésük alatt tarthassák. Az ilyen óvintézke-

dés magában foglalhat:

a) a kriptográfiai funkciókat végrehajtani képes számítógép-hardver és -szoftver behozatalt

(importot) és kivitelt (exportot),

b) a kriptográfiai funkciót végrehajtó kiegészítések befogadására tervezett számítógép-

hardver és -szoftver behozatalt (importot) és kivitelt (exportot),

c) az országok kötelező vagy önkéntes hozzáférés módjait, a tartalom bizalmasságát ellátó

hardver vagy szoftver eszközzel titkosított információhoz.

2004. 07. 19. 0.91 verzió 199


Ajánlatos jogi tanácsot ajánlatos kérni, mielőtt rejtjelzett információt, vagy kriptográfiai

eszközöket más országba továbbítunk.

Az államtitok és szolgálati titok védelméről szóló törvény hatálya alá eső adatok eseté-

ben csak a jogszabályok szerint szabad eljárni a rejtjelzés, a kriptográfiai eszközök használata

során!

12.1.7. A bizonyítékok gyűjtése

12.1.7.1. A bizonyítékokra vonatkozó szabályok

Szükség van arra, hogy kellő bizonyítékkal rendelkezzünk ahhoz, hogy fegyelmi, vagy

jogi eljárást folytassunk egy személy vagy szervezet ellen.

Amikor a tevékenység a polgári vagy a büntető törvénykönyvet érinti, akkor a benyúj-

tott bizonyítékok feleljenek meg azoknak a bizonyítási szabályoknak, amelyek a hatályos jog-

szabályokban vagy annak a bíróságnak az eljárási szabályaiban vannak lefektetve, amelyik

előtt az ügyet tárgyalják. Általában ezek a szabályok magukban foglalják:

a) a bizonyíték elfogadhatóságát (a bizonyíték a bíróság előtt használható-e vagy sem?),

b) a bizonyíték súlyát (bizonyító erő): a bizonyíték minősége és teljessége,

c) a bizonyíték alkalmasságát (kellő voltát) a tekintetben, hogy a védelmi intézkedéseket

abban az időszakban pontosan és ellentmondásmentesen tartották be, valamint hogy a

rendszer rögzítette és tárolta a bizonyítékokat.

12.1.7.2. A bizonyítékok elfogadhatósága

A bizonyítékok elfogadhatóságához szükséges, hogy a szervezet gondoskodjon arról,

hogy informatikai megfeleljenek az elfogadható bizonyítékok előállítására vonatkozó szabvá-

nyoknak vagy eljárásrendnek.

12.1.7.3. A bizonyítékok minősége és hiánytalan volta

A bizonyíték minősége (bizonyító ereje) és teljessége eléréséhez erős, tartós bizonyíték-

naplóra van szükség. Általában az ilyen erős naplót a következő feltételekkel lehet készíteni:

a) Papíron rögzített okmányok (dokumentumok) esetében: az eredetit biztonságosan tárolják

és rögzítik azt is, hogy ki találta meg, hol találta meg, mikor találta meg, és hogy a feltalá-

2004. 07. 19. 0.91 verzió 200


lását kik tanúsítják. Csak alaposan megejtett vizsgálat szavatolhatja, hogy az eredetit nem

hamisították meg.

b) Számítógép-adathordozón rögzített információ esetében: a hordozható adathordozók, va-

lamint a háttértárolón (wincseszteren) és a központi tárolón talált információ másolatait

ajánlatos megőrizni, és rendelkezésre állásáról gondoskodni. A másolási folyamat során

ajánlatos valamennyi tevékenységről szóló naplófeljegyzést is elkészíteni és ajánlatos a

folyamathoz tanút is hívni. A naplónak és az adathordozónak egy-egy példányát ajánlatos

biztonságosan megőrizni.

Amikor a véletlen eseményt először észlelik, mindjárt nyilvánvaló lehet az is, hogy

esetleg bírósági ügy lehet belőle. Éppen ezért fennáll annak a veszélye, hogy a szükséges bi-

zonyítékok véletlenül megsemmisülnek még mielőtt a véletlen esemény komolyra fordulna.

Tanácsos jogtanácsost vagy a rendőrséget idejekorán bevonni az ügybe bármely tervezett jogi

lépés előtt, és kikérni tanácsukat, a szükséges bizonyítékokat illetően.

2004. 07. 19. 0.91 verzió 201


12.2. Az informatikai biztonságpolitikának és a műszaki követelményeknek való megfelelés

Gondoskodni arról, hogy a rendszerek megfeleljenek a szervezet biztonságpolitikájá-

nak, szabályzatainak és a szabványoknak. Az informatikai rendszerek biztonságát ajánlatos

időről időre felül kell vizsgálni.

Ezeket a felülvizsgálatokat ajánlatos a vonatkozó biztonsági szabályzatoknak megfele-

lően végezni, és ugyanígy a műszaki és informatikai rendszereket a biztonságos megvalósítás

és üzemeltetés szabványainak való megfelelést átvilágító auditálásnak kell alávetni.

12.2.1. Az informatikai biztonsági előírásoknak való megfelelés

Ajánlatos, hogy a menedzser-vezetők garantálják, a felelősségi körükbe tartozó vala-

mennyi biztonsági eljárást helyesen hajtották végre. Továbbá a szervezeten belül ajánlatos

valamennyi területet időről időre felülvizsgálni annak érdekében, hogy megfeleljenek a biz-

tonsági szabályzatoknak és a szabványoknak. Ajánlatos, hogy ez a következőket foglalja ma-

gában:

a) információrendszereket/informatikai rendszereket,

b) rendszer- beszállítókat,

c) az információ és az informatikai vagyontárgyak tulajdonosait,

d) a felhasználókat,

e) a menedzsereket, illetve a vezetőséget (a teljes menedzsmentet).

Ajánlatos, hogy az információrendszerek tulajdonosai (lásd az 5.1. szakaszt) tűrjék és

segítsék rendszereiknek a biztonsági szabályzatok, szabványok és más biztonsági követelmé-

nyek szerinti megfelelőségre vonatkozó átvilágító auditálását. A rendszerhasználat üzemviteli

megfigyelését a 9.7. szakasz tárgyalja.

A biztonsági megfelelőség ellenőrzés az alkalmazott biztosítékok felülvizsgálatát és

elemzését jelenti. Annak ellenőrzésére használatos, hogy az informatikai rendszerek és

szolgáltatások vajon megfelelnek-e az informatikai biztonságpolitikában és a Informatikai

2004. 07. 19. 0.91 verzió 202


Biztonsági Szabályzatban lefektetett követelményeknek. A biztonsági megfelelőség

ellenőrzést a következő esetekben alkalmazzuk:

a) új informatikai rendszerek és szolgáltatások implementációját követően,

b) létező informatikai rendszerek vagy szolgáltatások esetében adott időszakonként (például

évente),

c) létező informatikai rendszerek vagy szolgáltatások esetében, amennyiben változás történt

a rendszerszintű informatikai biztonságpolitikában, annak érdekében, hogy lássuk: milyen

változtatások szükségesek a kívánt biztonsági szint fenntartásához.

Biztonsági megfelelőség ellenőrzést egyaránt lehet végezni külső vagy belső

személyzettel, alapvetően a rendszerszintű informatikai biztonságpolitikára épülő

ellenőrzőlisták segítségével.

Az informatikai rendszert védő biztosítékokat a következő módon lehet ellenőrizni:

a) rendszeres vizsgálatok és tesztek,

b) a működési teljesítmény ellenőrzése valós biztonsági események bekövetkezésekor,

c) szúrópróba jellegű vizsgálatok a biztonsági szintek és célok ellenőrzésére egyes

meghatározott érzékenységű vagy profilú területeken.

Bármilyen biztonsági megfelelőség ellenőrzés támogatására értékes információk

nyerhetők az informatikai rendszerek használatáról a következő forrásokból:

a) az eseményeket rögzítő szoftvercsomagok használata,

b) biztonsági naplók alkalmazása az események teljes történetének követésére.

A biztonsági megfelelőség ellenőrzést a rendszeres felülvizsgálatok és jóváhagyások

támogatására az elfogadott biztosítékok listáira kell építeni, melyeket a legutóbbi

kockázatfelmérés eredményei, a rendszerszintű informatikai biztonságpolitika és az

informatikai vezetés által előírt biztonsági műveleti és eseményjelentési eljárások határoznak

meg. Azt kell megállapítani, hogy a biztosítékokat megvalósították-e egyáltalán, jól tették-e,

jól használják-e és ahol ez értelmezhető, tesztelték-e.

A biztonsági megfelelőséget ellenőrző személynek végig kell járnia az épületet egy

normál munkanapon és meg kell néznie, a biztonságot szolgáló biztosítékok használatának

módját. Természetesen az interjúk is fontosak, de ezeket amennyire csak lehet ellenőrizni kell.

2004. 07. 19. 0.91 verzió 203


Amit mond valaki azt őszintén hiheti is, de ettől még nem biztos, hogy igaza van: ellenőrizni

kell a munkatársak útján is.

Nem lebecsülendő segítséget tud adni egy átfogó ellenőrző lista és a jelentések

meghatározott formátumban való elkészítése. Az ellenőrző listáknak tartalmazniuk kell

általános azonosítási információkat, például konfigurációs részletek, biztonsági felelősségek,

politika jellegű dokumentumok, környezeti beállítások. A fizikai biztonságnak olyan külső

szempontokat kell megjelenítenie, mint a szabadtéri épületek, ide értve csatornanyíláson

keresztül történő megközelíthetőséget és olyan belső szempontokat, mint az építés, zárak,

tűzvédelem és megelőző (riasztó) rendszer, víz/folyadék érzékelés, és tápellátás kiesése elleni

védelem alapos kiépítettsége, stb.

Sok mindenre kell figyelni, úgy mint

a) a fizikai behatolásnak, vagy az eszközök kijátszhatóságának kitett területekre, például a

kódzárral vagy kártyával nyitható ajtók kiékelése miatt;

b) hibás vagy hibásan felszerelt eszközök, hiányos vagy rossz elosztás esetleg nem megfelelő

típusú érzékelő alkalmazása. Van elegendő füst ill. hőérzékelő egy adott területen és a

megfelelő magasságban vannak? Van megfelelő reakció a riasztásra? Megfelelően vannak

bekötve a riasztók egy ellenőrző pontra? Van bármilyen új veszélyforrás – valaki egy nem

megfelelő helységet kezd használni gyúlékony anyagok tárolására? Létezik megfelelő

védelem az áramingadozás vagy kimaradás ellen? A megfelelő kábeltípusokat használják

és azok nincsenek kitéve mechanikai sérülés veszélyének?

A biztonság területein előforduló rések megtalálásához a következő kérdések

nyújthatnak segítséget:

a) Munkavállalók biztonsági ellenőrzése: figyeljük meg a felvételi folyamatot. Valósak-e a

referenciák? Az esetleges lyukakat ellenőrizték? A humán erőforrás terület jól tájékozott a

biztonsági szempontokkal kapcsolatban? Megbízhatónak tekinthető a kulcspozícióba

kijelölt személy?

b) Adminisztratív biztonság: valójában hogy kezelik a dokumentumokat? A használatban

levő dokumentációk napra készek? A kockázatfelmérés, státusz ellenőrzés és az

események jelentése kapcsán úgy használják, ahogy kell? Az üzletmenet-folytonossági

terv pontosan fedi az egész üzletmenetet és naprakész?

2004. 07. 19. 0.91 verzió 204


c) Hardver-szoftver biztonság: van kellő tartalék? Mennyire jó a felhasználói azonosító –

jelszó választás és használat rendje? Van olyan minősített eszköz, mely megfelel a

megállapított követelményeknek?

d) Kommunikáció-biztonság: van kellő tartalék? Ha van betárcsázási lehetőség, a szükséges

berendezéseket használják és jól teszik-e ezt? Ha titkosítás és/vagy üzenet hitelesítés is

szükséges, milyen hatékony a kulcskezelési rendszer és a kapcsolódó művelet?

Összefoglalva: a biztonsági megfelelőség ellenőrzés nem ki feladat, sikeres végrehajtása

nagy gyakorlatot és tudást igényel. Ez a belső ellenőrzési tevékenységtől elválasztott művelet.

12.2.2. A műszaki követelményeknek való megfelelés

Az információrendszereket időről időre ajánlatos ellenőrizni a biztonság megvalósítását

előíró szabványokkal szembeni megfelelőségre. A műszaki megfelelőség-ellenőrzés foglalja

magában az üzemeltetési rendszer vizsgálatát, hogy ezzel lehessen szavatolni a hardver és

szoftver óvintézkedések megvalósítása helyességét, pontosságát. Ez a fajta megfelelőség-

ellenőrzés műszaki szakértői támogatást igényel. Ezt ajánlatos egy gyakorlott rendszermér-

nöknek manuálisan végrehajtani (amit szükség esetén alkalmas szoftvereszközök, -

szerszámok támogatnak), vagypedig egy olyan, automatizált szoftvercsomagnak, amely mű-

szaki jelentést készít azért, hogy azt a műszaki szakértő ezt követően értelmezze, kiértékelje.

A megfelelőség-ellenőrzés például az alkalmazás-mélység (elterjedtség, behatolási

mélység, penetráció) vizsgálatát is tartalmazza, amelyet erre a célra külön szerződtetett füg-

getlen szakértők hajtanak végre. Ez hasznos lehet a rendszer sérülékenységeinek felderítésé-

ben és annak ellenőrzésében, mennyire hatékonyak az óvintézkedések ezen sérülékenységeket

kihasználó jogtalan hozzáférések megelőzésére. Elővigyázatra van szükség erre az esetre,

mert az alkalmazás-mélység vizsgálatának sikeres elvégzése a rendszer biztonságának veszé-

lyeztetésére vezethet és egyéb sérülékenységek gondatlan kiteregetését okozhatja.

Bármely műszaki megfelelőség-ellenőrzést is elvégezhető, ha csak az illetékes, erre fel-

hatalmazott személyek végezik, vagy legalábbis felügyelik azt.

2004. 07. 19. 0.91 verzió 205


12.3. Megfontolások a rendszerek biztonsági ellenőrzésére

Maximalizálni a rendszert átvilágító auditálás hatékonyságát, és minimalizálni az általa

vagy benne okozott zavarokat. Intézkedéseket kell alkalmazni az üzemelő rendszer védelmé-

re, és hogy megóvjuk az auditálás alatt az auditáló eszközöket. Ugyancsak védelmet szüksé-

ges alkalmazni ahhoz, hogy megóvjuk az auditáló eszközök sértetlenségét és megelőzzük a

velük való visszaélést.

Az ellenőrzés egy folyamatos tevékenység, amely azt vizsgálja, hogy a rendszer és

felhasználói valamint a környezet fenntartja-e az informatikai biztonsági tervben megha-

tározott biztonsági szintet. Napi rendszerességű ellenőrzési tervet kell készíteni kiegészí-

tő iránymutatásokkal és eljárásokkal a folyamatos biztonságos működés támogatására. A

felhasználóknak, az üzemletetési személyzetnek és a biztonsági tervezőknek rendszeresen

konzultálniuk kell annak érdekében, hogy az összes biztonsági célkitűzést kielégítsék és

az informatikai biztonsági terv naprakész maradjon.

Azon okok egyike, amelyek miatt az ellenőrzés olyan fontos az informatikai bizton-

ság fenntartásában az, hogy ez egy út a biztonságot érintő változások érzékelésére. Né-

hány szempont, amit ellenőrizni kell: az eszközök és értékük, az eszközökre irányuló

fenyegetések és azok sérülékenységei és az eszközöket védő biztosítékok.

Az eszközöket az értékükben és az informatikai rendszerek biztonsági céljai változásá-

nak észlelése érdekében kell ellenőrizni. Ezeknek a változásoknak a lehetséges okai a követ-

kezők: a szervezet céljai, az informatikai rendszerben működő alkalmazások, az informatikai

rendszerben feldogozott információk és maguk az informatikai eszközök.

A fenyegetéseket és sérülékenységeket azért ellenőrizzük, hogy érzékeljük a változáso-

kat súlyosságukban (például az infrastruktúrában, környezetben bekövetkezett változások

okozhatják ezeket vagy technikai lehetőségek) és hogy korai szakaszban tudjunk érzékelni új

fenyegetéseket vagy sérülékenységeket. Az eszközök változásai befolyásolhatják a fenyegeté-

sek és sérülékenységek változásait.

A biztosítékokat teljesítményük és hatékonyságuk vizsgálata érdekében ellenőrizzük

időnként. Biztosítani kell, hogy megfelelőek legyenek és az informatikai rendszert a szüksé-

2004. 07. 19. 0.91 verzió 206


ges védelmi szinten védjék. Lehetséges, hogy az eszközök, fenyegetések és sérülékenységek

változásai befolyásolják a biztosítékok hatékonyságát és megfelelősségét.

Továbbá, ha új informatikai rendszereket vezetnek be, vagy megváltoztatják a megle-

vőket, akkor igény keletkezik, hogy a hasonló változások ne befolyásolják a meglévő biztosí-

tékokat és az új rendszerek számára megfelelő biztosítékok álljanak rendelkezésre.

Ha biztonsági rendellenességet találunk, akkor azt ki kell vizsgálni, és a megállapításo-

kat jelenteni kell a felső vezetésnek a biztosítékok lehetséges felülvizsgálatához vagy komo-

lyabb körülmények között az informatikai rendszerszintű biztonsági politika felülvizsgálatá-

hoz és kockázat-felmérési tevékenységhez.

A biztonsági politikához való kapcsolódás érdekében megfelelő erőforrásokat kell ren-

delni a következők megfelelő napi szintű ellenőrzésének biztosítására:

a) Létező biztosítékok,

b) Új rendszerek és szolgáltatások bevezetése, és

c) Tervezett változtatások a létező rendszerekben és szolgáltatásokban.

Sok biztosíték készít napló formájú kimenetet az eseményekről. Ezeket a naplókat sta-

tisztikai technikák használatával kell ellenőrizni a trendváltozások és az ismétlődő események

előfordulásainak korai érzékelése érdekében. Ki kell jelölni, hogy ki a felelős a naplók elem-

zéséért.

Elosztott rendszerekben a naplók csak egy adott környezetre vonatkozó információkat

rögzítenek. Egy összetett esemény valós megértéséhez egyetlen eseményrekorddá kell egyesí-

teni a különböző naplókat. Ezután ezt az eseményrekordot kell elemezni. Az eseményrekord

egyesítés egy összetett feladat és a legfontosabb szempontja azon paraméterek azonosítása,

melyek segítségével a különböző naplóbejegyzéseket biztonságosan össze lehet fűzni.

A napi rendszerességű ellenőrzés szervezéséhez szükséges vezetési technika a biztonsá-

gi műveleti eljárások dokumentálása. Ez a dokumentum leírja az összes műveletet, ami ahhoz

szükséges, hogy biztosítjuk minden rendszer és szolgáltatás biztonsági szintjének hosszabb

távon való fenntartását.

A biztonsági konfiguráció frissítéséhez szükséges tevékenységeket dokumentálni kell.

Tartalmazniuk kell a változtatott biztonsági paramétereket, és frissíteniük kell minden bizton-

sági szervezési információt. Ezeket a változásokat rögzíteni kell, és jóvá kell hagyni a konfi-

guráció kezelési folyamat során. A rendszeres karbantartás folyamán biztosítani kell, hogy a

2004. 07. 19. 0.91 verzió 207


biztonság ne sérüljön. Megbízható elosztási eljárásokat kell leírni minden biztonsági összete-

vőre, ahol ez alkalmazható.

A biztosítékok ellenőrzési folyamatát írásba kell foglalni. Rögzíteni kell a biztonsági

naplók vizsgálatának gyakoriságát és annak megközelítését. Meg kell jeleníteni a statisztikai

eszközök és módszerek használatát. Útmutatást kell adni arról, hogy különböző működési

körülmények között milyen vizsgálati küszöbértékeket alkalmazunk.

12.3.1. Rendszerauditálási óvintézkedések

Az üzemelő rendszer átvilágító auditálásának a követelményeit, valamint az ellenőrzést

is magában foglaló tevékenységeket ajánlatos gondosan megtervezni és egyeztetni, hogy ezzel

minimalizálni lehessen az üzleti folyamatok megszakadásának a kockázatát. Az alábbiakat

ajánlatos megfigyelni:

a) Az átvilágító auditálás követelményeit ajánlatos egyeztetni az illetékes vezetőséggel.

b) Az ellenőrzés tárgyát ajánlatos egyeztetni és ellenőrizni.

c) A szoftverek és az adatok ellenőrzése a „csak olvasás” jellegű hozzáférésre legyen korlá-

tozva.

d) A „csak olvasás”-on kívüli hozzáférést csak akkor szabad engedélyezni, ha az a rendszer-

állományok (rendszerfájlok) elkülönített másolatán történik, és akkor is az átvilágító audi-

tálás befejezésével ezeket az állományokat ajánlatos megsemmisíteni.

e) Az ellenőrzéseket végző informatikai eszközöket pontosan azonosítani, és rendelkezésre

bocsátani kell.

f) A különleges vagy kiegészítő feldolgozás követelményeit ajánlatos azonosítani és egyez-

tetni.

g) A hivatkozási napló (reference trail) készítéséhez ajánlatos minden egyes hozzáférést

megfigyelni és naplózni (log).

h) Valamennyi eljárást, követelményt és felelősséget ajánlatos írásban foglalni (dokumentál-

ni).

12.3.2. Rendszerauditáló eszközök védelme

A hozzáférést a rendszerauditáló átvilágító eszközökhöz, azaz szoftverekhez és adatál-

lományokhoz (fájlokhoz) védeni kell annak érdekében, hogy kizárjuk a lehetséges visszaélé-

2004. 07. 19. 0.91 verzió 208


seket és a veszélyeztetést. Ezeket az eszközöket el kell különíteni az üzemeltető és a fejlesztő

eszközöktől, és nem szabad azokat a szalagtárakban vagy a használói körzetekben tárolni,

hacsak nincsenek ellátva alkalmas szintű kiegészítő védelemmel.

2004. 07. 19. 0.91 verzió 209

Documents

Az informatikai biztonság irányításának követelményrendszere · Az informatikai biztonság irányításának követelményrendszere (tervezet) Ezt az ajánlást az Információs