Az alapbiztonsági osztály követelményei tekintetében alapvetően a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt kell figyelembe venni.

Elemezve az ITSEC biztonsági osztályozási rendszerét, azt a következtetést lehet levonni, hogy az ITSEC elsősorban az informatikai rendszerek logikai védelmére összpontosít és a biztonsági osztályok kialakítása is logikai védelmi követelmények alapján történik. Az alapbiztonsági osztály és az ITSEC osztályok megfeleltetését tehát elsősorban a logikai védelmi követelmények összevetésével lehet megteremteni. Ez alapján az alapbiztonsági osztály az ITSEC F-C2 osztálynak feleltethető meg logikai védelmi szempontból.

Itt meg kell jegyezni, hogy az ITSEC alacsonyabb osztályainak követelményeit - az ITSEC struktúrájának következtében - is figyelembe kellett venni az IV-A osztály követelményeinek meghatározásánál.

5.3.1. Az IV-A osztály minimális követelményei

• Az azonosítás és hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni. A jelszó menedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen könnyen megfejthető, megkerülhető.
• A rendszer hozzáférés szempontjából érdekes erőforrásaihoz (processzek, fájlok, tároló területek, berendezések) olyan egyedi azonosítót kell rendelni, amely a hozzáférési jogosultság meghatározásának alapjául szolgál.
• On-line adatmozgás (tranzakció) kezdeményezésének jogosultságát minden esetben ellenőrizni kell.
• Ki kell dolgozni az informatikai rendszerhez történő hozzáférések illetékességi, jogosultsági rendszerét.
• A hozzáférés-jogosultság menedzselésénél az ITSEC F-C2 funkcionális követelményszintnek megfelelően kell eljárni.
• A jogosultsági rendszernek támogatnia kell a jogosultságokhoz kapcsolódó adminisztrátori műveleteket (módosítás, törlés, stb.).
• Az elszámoltathatóság és auditálhatóság biztosítása logikai védelmi funkciót az ITSEC F-C2 funkcionális szintnek megfelelően kell biztosítani.
• Intézkedési tervet kell kidolgozni arra vonatkozóan, mi történjék illetéktelen hozzáférések, illetve jogosultságokkal való visszaélések esetén, amely során a lehető legnagyobb mértékben meg kell tudni határozni a felelősséget.
• Egy rendszeren belül a különböző adattípusokat olyan mértékben kell elkülönítetten kezelni, hogy megállapítható legyen a hozzáférések jogossága.
• A hitelesítés és az azonosítás, valamint a hozzáférés szabályozás rendszerét a hálózati alapú osztott rendszerek esetén az ITSEC F-C2 funkcionális szinttel azonos egyenszilárdsággal kell megvalósítani.
• Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.
• Az informatikai rendszer üzemeltetéséről nyilvántartást kell vezetni, amelyet az arra illetékes személynek rendszeresen ellenőriznie kell.

5.3.2. Infrastruktúra

A központi hardver erőforrások, az azokon üzemeltetett alkalmazások és adatok információvédelmének és megbízható működésének biztosításában nagy szerepet játszik azoknak a helyiségeknek (pl. szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának értékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. Tekintettel a fentiek fajlagosan magas árára, a védelem teljes körű, mindenre kiterjedőn legyen. Erről a teljes körű védelemről különösen a helyiségek kialakítása során kell gondoskodni. A védelem terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre egyaránt.

A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet - szigorúbb lehet - az építmény egészére megfogalmazott biztonság mértéktől. Ilyen helyiségek lehetnek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, a titkos ügykezelés helyiségei.

• A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál a vonatkozó építészeti szabványok, a MABISZ és a Rendőrség ajánlásai szerint kell eljárni.
• Az intézmény őrzés-védelmét mind munkaidőben, mind azon túl biztosítani kell, az épület zárását, a belépést ezen időszakoknak megfelelően szabályozni és érvényesíteni kell.
• Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva kell tartani.
• Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását.

5.3.3. Hardver, szoftver

• A számítástechnikai eszközökre a vagyonvédelem szempontjából a MABISZ ajánlásait kell alkalmazni.
• A PC-s munkaállomásokat a felhasználói igények figyelembevételével úgy kell konfigurálni, hogy a felhasználóhoz kötött jelszó használat biztosított, illetve az illetéktelen floppy használat megakadályozható legyen.
• A floppy-ról történő rendszerindítást megfelelő technikai megoldásokkal meg kell akadályozni.
• Biztosítani kell az intézmény egészére kiterjedő, rendszeres és folyamatos vírusvédelmet.
• A szoftverben megvalósított védelmeket az operációs rendszer és a felhasználói rendszer védelmi tulajdonságai kölcsönös gyengítése nélkül kell kialakítani. Követelmény, hogy az alkalmazások szintjén megvalósított védelmi funkciók az operációs rendszer megfelelő védelmi eszközeire - ha ilyenek léteznek - épüljenek.
• Össze kell állítani és elérhető helyen kell tartani a számítástechnikai eszközök használatára felhatalmazott személyek névsorát, feladataikat körül kell határolni.
• A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kell kezelni.

5.3.4. Adathordozók (szoftver, adat vagy dokumentáció és azok biztonsági másolatai)

Adathordozóként értelmezzük a papírt, mikrofilmet és a mágneses vagy egyéb számítástechnikai adathordozót egyaránt.

• Az adathordozó eszközök elhelyezésére szolgáló helyiségeket úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
• Adatátvitelre, valamint mentésre, archiválásra használt adathordozók tárolása csak megbízhatóan zárt helyen történhet.
• Az adathordozók beszerzését, tárolását, felhasználását és hozzáférését szabályozni, nyilvántartani, rendszeresen és dokumentáltan ellenőrizni kell.
• Biztosítani kell, hogy az adathordozók kezelése a vonatkozó iratkezelési szabályok szellemében, a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. A mentésre, archiválásra szolgáló adathordozók tartalmáról nyilvántartást kell vezetni.
• Az intézménynél csak leltár szerint kiadott, azonosítóval ellátott adathordozót szabad használni. Idegen adathordozó használata nem megengedhető.
• Az intézményen kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása csak kijelölt helyeken, írásban szabályozott, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások (pl. vírusellenőrzés) után szabad.
• Minden adathordozót újra alkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell.

5.3.5. Dokumentumok és dokumentációk

• A nyomtatott anyagok kezelését az iratkezelési szabályzat szerint kell elvégezni.
• Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelően kell kezelni.
• Az informatikai rendszer vagy annak bármely elemének dokumentációját változás-menedzsment keretében kell aktuális szinten tartani.

5.3.6. Adatok

• Az információs rendszer hozzáférési kulcsait (azonosító kártya, jelszó), a jogosultságokat és más, a biztonsággal kapcsolatos paramétereket titkosítva kell továbbítani.
• A rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok, naplók) védelméről a hozzáférési jogosultságok kiosztásánál kell gondoskodni.
• Külső személy - pl. karbantartás, javítás, fejlesztés céljából - a számítástechnikai eszközökhöz úgy férhet hozzá, hogy a kezelt adatokat ne ismerhesse meg.
• Az adatbevitel során a bevitt adatok helyességét az alkalmazási követelményeknek megfelelően ellenőrizni kell.
• Programfejlesztés vagy próba céljára valódi adatok felhasználását - különösen akkor, ha a próbát külső szerv vagy személy végzi vagy annak eredményeit megismerheti - el kell kerülni. Ha ez nem valósítható meg, akkor az adatok bizalmasságát más módszerekkel kell megőrizni.
• Gondoskodni kell arról, hogy a számítógépen feldolgozott minden adatállomány az adattípust jelölő biztonsági címkével legyen ellátva.

5.3.7. Kommunikáció, osztott rendszerek

• Az elektronikus úton továbbított üzenetek, állományok tekintetében az iratkezelési szabályzatnak megfelelően kell eljárni.
• Az alanyokra a szolgáltatások indítása vagy az azokkal történő kommunikáció megkezdése előtt megvalósítandó a hitelesítési eljárás.
• Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét.
• Egy adott alhálózatban azonosítani kell a más alhálózatból importált adatok feladóját. Ha ilyen nincs, ezeket az adatok el kell különíteni.
• A hálózati erőforrások használata a felhasználók számára szabályozandó, korlátozandó.
• A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást illetéktelenül ne használjanak.
• Egy alhálózatban definiált azonosító hozzáférési joga delegálható egy másik alhálózatba és ez alapján kell érvényesíteni az eredeti azonosítóhoz rendelt jogokat.
• A szabad belátás szerint kialakított hozzáférés-vezérlést (DAC) ki kell terjeszteni a teljes osztott rendszerre.
• Központi hozzáférés-menedzsment esetén az alanyoknak egy privilegizált hálózati szolgáltatás (pl. egy biztonsági szerver) által kezelt hozzáférési jogai biztonságos úton eljutnak az osztott rendszer többi feldolgozó egységéhez a hozzáférés-vezérlés végrehajtása céljából. Ehhez elosztott hozzáférés-vezérlési táblakezelés szükséges. Az ilyen információk titkosítva kerüljenek továbbításra.
• A biztonságos adatcsere követelményének teljesítéséhez biztosítani kell az adatintegritást mind a protokollvezérlő, mind a felhasználói adatokra.
• Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat kell alkalmazni.
• Az osztott rendszerben a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók.

5.3.8. Személyek

• Az intézmény területén ki kell alakítani a kitűzők viselésével kapcsolatos szabályozást.
• A belépés rendjét a hozzáférési jogosultságokkal összhangban kell szabályozni.
• A magasabb jogosultságú személyeknél el kell kerülni a jogok túlzott koncentrációját.
• Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos oktatást, valamint az összes munkatárs számára a rendszeres továbbképzést.
• Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak helyettesítési rendjét ki kell alakítani.
• A fontosabb alkalmazásokhoz rendszergazdákat kell kinevezni, akiknek feladatkörét pontosan meg kell határozni.
• A fejlesztői környezetet el kell választani az alkalmazói környezettől, szét kell választani a fejlesztői, működtetői és adminisztrációs hozzáférési jogköröket.
• Külső partnerekkel kötött fejlesztési, karbantartási szerződések biztonsággal kapcsolatos részeinek kialakítására pontos szabályozást kell adni.