A követelmények megfogalmazásánál mindazon közvetlen vagy közvetett feltételekre kitérünk, amelyek biztosítása szükséges ahhoz, hogy az adott biztonsági osztályra jellemző megbízható működési mutató tartható, más szóval a megengedett kiesési idő túllépése elkerülhető legyen. A közvetett feltételek közé soroljuk például a beszerzéssel, a rendszer fejlesztésével, a dokumentáció rendszerével stb. kapcsolatos követelményeket, amelyeket teljesítve az informatikai rendszer magasabb funkcionalitási szinten alakítható ki, megbízhatóbban lesz üzemeltethető és így hatással lesznek az alkalmazások jobb, megbízhatóbb működésére.

6.2.1. Az MM-A osztály minimális követelményei

• Az informatikai rendszer megbízhatóságát az MM-A osztály szintjén jó minőségű és megfelelő számú referenciával rendelkező hardver és szoftver termékek beszerzésével kell biztosítani.
• A szállítóval és a szerviz cégekkel olyan garanciális, illetve garancián túli szerviz szerződést kell kötni, amely garantálja az MM-A osztályra definiált rendelkezésre állási szint betarthatóságát. A szerviz szerződésben legalább a 12 órás reakcióidő kikötése ajánlott.
• Az informatikai rendszer tervezésénél betartandók a funkcionalitás biztosítását meghatározó lépések (részletesen lásd a 6.2.5. pontban!).
• Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakítása folyamatának dokumentációs rendszerét ki kell alakítani és ennek megfelelően a dokumentációkat el kell készíteni, illetve be kell szerezni.
• A fontosabb számítástechnikai eszközöket tartalmazó helyiségeket (pl. szerverszoba, hálózati központi elosztó helyiség) a MABISZ és a Rendőrség által jóváhagyott biztonsági zárral zárni kell, a kulcskezelést szabályozottan kell végezni.
• A számítástechnikai eszközöket tartalmazó helyiségekben az országos és az intézményi szintű tűz- és munkavédelmi rendszabályokat be kell tartani és tartatni.
• A fontosabb számítástechnikai erőforrások (pl. szerverek) legyenek ellátva szünetmentes tápegységgel.
• A rendszerbe kívülről bekerülő adathordozókat felhasználás előtt vírusellenőrzésnek kell alávetni. A vírusdetektálás és eltávolítás is biztonsági eseménynek számít, ezért a biztonsági naplózásnál (lásd 6.2.5. pontnál!) leírtaknak megfelelően kell eljárni. Az IBSz-ben legyen külön vírusvédelmi fejezet.
• A megbízható működéssel kapcsolatos eseményekre (rendszer indítás/leállás, nagyobb üzemzavarok, alap- és felhasználói szoftverekkel kapcsolatos, a megbízható működést érintő események) gépi, illetve manuális biztonsági naplózásokat kell végezni.
• A rendszer- és adatmentéseket az üzemviteli előírásoknak megfelelő rendszerességgel el kell végezni, a mentésekről biztonsági másolatot kell készíteni. A primer és a biztonsági mentések adathordozóit külön-külön, tűzbiztos helyen kell tárolni.
• 100-nál nagyobb számú felhasználót kezelő hálózatnál az egyszerűsített SNMP szintű hálózat menedzsment alkalmazása szükséges.
• A hálózati elemek rongálás és tűz elleni védelmét biztosítani kell.
• Az informatikai rendszer üzemeltetéséhez és karbantartásához biztosítani kell az MM-A osztály követelményeinek megfelelő szaktudású és tapasztalatú személyzetet.

6.2.2. Infrastruktúra

Az infrastruktúra fizikai védelme egyaránt szolgálja az informatikai rendszerben az információvédelem és a megbízható működés biztosítását. Az 5. pontban részletesen kifejtettük az idevonatkozó követelményeket, amelyek a megbízható működés szempontjából is érvényesek. Az ott meghatározottakon kívül a védelem terjedjen ki a tűz elleni védelemre és a villámcsapások által indukált túlfeszültségek elleni védelemre is.

• A tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő személyzet biztosítja a helyiségen belül készenlétben tartott, a tűzvédelmi előírásoknak megfelelő kézi tűzoltó-készülékekkel. A készenléti helyeken elsődlegesen gáz halmazállapotú oltóanyaggal feltöltött tűzoltókészülékek legyenek. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tűzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthető pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok előírásainak megfelelő tűzjelző rendszert kell kiépíteni és
• üzemeltetni.
• Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok előírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok előírásainak.
  A megbízható működés szempontjából lényeges követelmény, hogy az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani és külön leágazásról kell a táplálásról gondoskodni. Ha egy nem szerverszobának kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell lokális szünetmentes tápáramellátásról.
• A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat.
• Az átlagostól eltérő klimatikus viszonyú (pl. a hőmérséklet, illetve a páratartalom értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) helyiségekben lokális klimatizálásról kell gondoskodni.

6.2.3. Hardver/szoftver rendszer, adatok

Rendszertechnika, tartalékolás

Az informatikai rendszer megbízható működését közvetlenül a kritikus hardver és szoftver elemek megbízhatósága határozza meg. Kritikus elemeknek tekintjük általában a központi egységet, a mágneslemez rendszert, az operációs rendszert, a hálózati szoftvereket és hardver elemeket, valamint az alkalmazói szoftvert.

Az alapbiztonság szintjén az informatikai rendszer kritikus elemeit nem szükséges tartalékolni. A kritikus hardver elemek megbízhatósága a mai technológiai színvonalon eléri azt a szintet, hogy megfelelő szervizhátteret feltételezve, tartalékolás nélkül biztosítani lehessen az alapbiztonságra meghatározott megbízható működést.

Vírusvédelem

Az 5. pontban az IV-A osztályban a vírusvédelemre meghatározott követelmények itt is érvényesek.

Szerviz, karbantartás

A szerviz cégekkel olyan szerződést kell kötni, amely biztosítja a hibás elemek javításának megkezdését a bejelentéstől számított 12 órán belül. Ha ez nem sikerül, akkor csere készüléket kell biztosítani. A javítási idő lerövidítése céljából az üzemeltető személyzetnek a hibát olyan szinten be kell tudnia határolni, hogy a szerviz munkatársai felkészülten szálljanak ki a hibaelhárításra. E követelmény biztosításához az üzemeltető személyzetet megfelelő szintű oktatásban kell részesíteni. A helyszíni tartalék alkatrész biztosítás szintjét alacsonyan lehet tartani, inkább az üzemeltetés során sűrűn pótlandó elemekből (pl. festék-szalag) célszerű tartalékot képezni.

A hardver rendszerre a szállítónak minimum 1 éves garanciát kell biztosítania. A rendszer értékétől függően 5-10 évig kell biztosítania a tartalék alkatrész ellátást.

A hardver elemeknél a megelőző karbantartást az adott elemre vonatkozó karbantartási előírásoknak megfelelően el kell végezni.

Beszerzéspolitika

Törekedni kell olyan beszerzési politika kialakítására, amely biztosítja egy független minősítő cég által kiállított minőségi bizonyítvánnyal rendelkező, helyszíni referencia-látogatásokkal leellenőrzött számítástechnikai termékek beszerzését.

A szoftver termékek esetében beszerezni, illetve installálni csak jogtiszta, megfelelő dokumentációval ellátott, vírus- és hibamentességre tesztelt szoftvert szabad. Szabályozni kell az újonnan beszerzett szoftverek nyilvántartásba-vételének és installációs feltételeinek módját és az intézményi szoftverek másolásának, kivitelének módját.

Biztosítani kell a rendszer felfelé való kompatibilitását mind hardver, mind szoftver szempontból úgy, hogy a rendszer bővíthetősége, az alkalmazói rendszerek hordozhatósága hosszú távon biztosítható legyen. A szállítónak legalább 3 éves távon biztosítania kell a nagy értékű szoftverrel kapcsolatos szavatosságot és támogatást. A kritikus, különösen az egyedileg fejlesztett szoftverek forráskódját megfelelő letéti megbízásban szabályozott feltételek mellett közjegyzőnél vagy más hiteles letétben el kell helyezni. Ha a szállító részéről megszűnik a szoftver támogatás, a felhasználónak a forráskód birtokába kell jutnia, hogy a támogatást akár saját erővel, akár külső kapacitással biztosítani tudja.

Rendszerfejlesztés

Az informatikai rendszerek funkcionalitásának biztosításában - mind a hardver, mind a szoftver területen - a rendszer tervezésében és megvalósításában alkalmazott módszertan által megkövetelt lépések maradéktalan végrehajtása a meghatározó. Az ITSEC idevonatkozó követelményei teljes összhangban vannak a nemzetközileg elterjedt módszertanokkal, így a továbbiakban a funkcionalitás biztosításával kapcsolatos követelmények kifejtésében az ITSEC-et követjük.

Magyarországon a jelenlegi időszakban ennek elsősorban szoftverfejlesztésnél van gyakorlati jelentősége. Az alapbiztonsági osztályra nézve e tekintetben az ITSEC E2 kiértékelési szintnek megfelelő követelmények a mérvadók. E szerint a fejlesztést a következő fázisokra kell bontani:

• követelményrendszer megfogalmazása,
• globális rendszerterv, architektúra szintű tervezés,
• részletes megvalósítási terv,
• megvalósítás,
• tesztelés,
• átadás.

Már az alapbiztonság szintjén meg kell határozni:

• az egyes fázisokban elvégzendő tevékenységet, a formalizált eljárásokat,
• a fázisok dokumentációs előírásait és rendszerét,
• a minőségi követelményeket,
• a biztonsági követelményeknek és mechanizmusoknak az egyes fázisokra jellemző elkülönített kezelését.

6.2.4. Adathordozók

Az 5. pontban az IV-A osztályban az adathordozókra meghatározott követelmények itt is érvényesek.

Az adathordozók kezelésével, használatával és tárolásával kapcsolatban meg kell határozni:

• Az adathordozó-adminisztrációt, ezen belül:

• a beszerzési szabályokat, a minőségi követelményeket, az ellenőrzési és engedélyezési eljárásokat a használatbavétel előtt,
• a nyilvántartási rend kialakítását,
• a megsemmisítési, illetve újrafelhasználási eljárásokat,
• a készlet- és használat nyilvántartást.
• Az adathordozók tárolására vonatkozó fizikai védelem követelményeit.
• A tárolók (helyiség, szekrény stb.) környezeti paramétereire (hőmérséklet, nedvesség, elektromos/mágneses zavarok) vonatkozó előírásokat és a paraméterek normál értékeinek biztosítására, valamint ellenőrzésére vonatkozó intézkedéseket.
• A megelőző intézkedéseket az elöregedésből fakadó adatvesztés ellen.
• Az adathordozók másodpéldányai (biztonsági másolatok) biztonságos tárolásának előírásait.
• Az adathordozók kölcsönzésével kapcsolatos előírásokat.
• A rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó előírásokat.

6.2.5. Dokumentumok, dokumentáció

Az 5. pontban az IV-A osztályban a dokumentumokra, dokumentációra meghatározott követelmények itt is érvényesek.

Az informatikai rendszer késztermékek és fejlesztett elemek integrálása során alakul ki. Az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához és az üzemeltetéshez szükséges dokumentumokkal kapcsolatos követelményeket az ITSEC E2 szintű, a fejlesztésre és az üzemeltetésre vonatkozó értékelési követelményei határozzák meg. A dokumentum és dokumentáció rendszer struktúráját és az azokkal kapcsolatos intézkedéseket az Intézkedések c. fejezet 8.2.4.2 pont tartalmazza.

Naplózás

A megbízható működéssel kapcsolatos eseményekről (rendszer indítás/leállás, nagyobb üzemzavarok, alap- és felhasználói szoftverekkel kapcsolatos, a megbízható működést érintő események) gépi, illetve manuális biztonsági naplózásokat kell végezni. Meghatározandók azok tartalmi követelményei, a naplók kezelési, értékelési és tárolási módja. A biztonsági napló tartalmi és formai követelményei legyenek összhangban az információvédelmi biztonsági naplózásnál ismertetett követelményekkel (lásd 5.3.1. és 5.3.3. pontoknál!).

6.2.6. Adatok

Az adatok kezelésével kapcsolatban a következőket kell szabályozni :

• a biztonságos adatbevitellel kapcsolatos előírások kialakítása,
• az adatvesztés pótlására vonatkozó szabályok kialakítása,
• adatszolgáltatási előírások kialakítása.

6.2.7. Kommunikáció, osztott rendszerek

• A helyi hálózatok, a kommunikációs kábelek műanyag védőburkolattal ellátott kábelcsatornában legyenek vezetve a helyi lehetőségek által megszabott lehető legnagyobb magasságban.
• 100-nál nagyobb user-számú hálózat esetén javasolt a strukturált kábelezési rendszer alkalmazása. Ez lényegesen növeli a hálózat üzembiztos működtetését, a kábelezés struktúrájában bekövetkező változások (pl. költözés) rugalmas kezelését.
• A hálózat diszkrét elemeit (elosztó szekrények, bridge-ek, router-ek, modemek stb.) olyan zárható helyiségben kell elhelyezni, ahol biztosíthatók az üzembiztos működéshez szükséges hőmérsékleti feltételek is.
• Az átvitel biztonsága érdekében az adatátvitelben a CRC-CCITT szerinti hiba-felismerési és- javítási szintet vagy ezzel azonos hatékonyságú védelmet kell biztosítani az átviteli eljárásokban, amely a kettős bithibák felismerésére alkalmas. Ezt pl. a manapság elterjedt szinkron adatátviteli eljárások (pl. HDLC) biztosítják.
• Már az alapbiztonsági osztályban szükséges valamilyen szintű hálózat-menedzsment alkalmazása. Általában két szinten valósul meg:
• fizikai szintű menedzsment, amely alapvetően a hálózat összefüggőségét (connectivity) a kábelezés és a hálózat diszkrét eszközeinek fizikai szintjén vizsgálja és lehetővé teszi a hálózat legkisebb egybefüggő szakaszára a fizikai kapcsolat megszűnésének detektálását,
• logikai szintű menedzsment, amely a hálózat felsőbb rétegei szintjén ellenőrzi az összefüggőséget.

Ma a logikai hálózati menedzsmentre de facto standardként az SNMP szintű menedzsmentet használják, amelynek egyszerűsített és bővített változata ismert.

Alapbiztonsági osztályban 100 user-nél nagyobb hálózatokon az egyszerűsített SNMP szintű menedzsment használatát biztosítani kell, a bővített használata javasolt.

Adminisztratív úton szabályozni kell:

• a hálózati elemek fizikai és környezeti veszélyek (tűz, elektromos/mágneses zavarok stb.) elleni védelmére vonatkozó előírásokat,
• a biztonságot befolyásoló események naplózására vonatkozó követelményeket,
• a hálózati szoftverek védelmére vonatkozó előírásokat.

Osztott rendszerek

• A rendelkezésre állás és a biztonságos rendszer-visszaállítás biztosításához a következő követelményeket kell kielégíteni:
• ha az osztott rendszer a felhasználónak megtagadja a kért szolgáltatást (Denial of Service - DOS), megfelelő mechanizmust kell biztosítani a szolgáltatások degradációjának detektálására és közlésére (pl. nem megfelelő az átviteli áteresztőképesség, a megcímzett hálózati rész nem érhető el, a kért erőforrás nem áll rendelkezésre stb.),
• biztosítani kell a néhány perces kiesés áthidalását.

6.2.8. Személyek

Minden intézménynél ki kell alakítani azt a személyzeti struktúrát, amelynek feladata és felelőssége az informatikai rendszer megbízható üzemeltetése és ezáltal az alkalmazások megbízható működésének biztosítása. Az informatikai biztonság területén a következő jól elhatárolható feladatokat kell meghatározni és az elvégzésükért felelős személyeket kijelölni, illetve alkalmazni.

• Őrző/védő feladatok ellátását biztosító személyzet, amely elsősorban az intézmény egészének és ezen belül az informatikai rendszernek a fizikai védelmét biztosítja. Feladataik kijelölése és alkalmazásuk az intézmény vezetésének feladata. Erre a feladatra csak olyan személyek alkalmazhatók, akik erkölcsileg feddhetetlenek és megbízhatók, valamint rendelkeznek az őrző/védő feladatok ellátásához szükséges vizsgákkal, minősítésekkel.
• Az intézmény informatikai szervezeti egysége vezetőjének ki kell jelölnie a legfontosabb részrendszerek (rendszerszoftver, hálózati adatbázis-kezelők, levelező rendszerek stb.) rendszeradminisztrátorait, feladataikat és felelősségüket meg kell határoznia.
• Az intézmény informatikai szervezeti egysége vezetőjének, valamint a nagyobb és fontos alkalmazási területek vezetőinek egymással egyeztetve ki kell jelölniük a fontos alkalmazások rendszergazdáit, feladataikat és felelősségüket meg kell határozniuk.
• Az intézmény informatikai szervezeti egysége vezetőjének gondoskodnia kell az üzemeltető és karbantartó személyzet olyan szintű kiképzéséről, hogy az egyszerűbb hibákat mind a hardver, mind a szoftver területen elhárítsák, illetve az összetettebbeket a szerviz személyzet részére körülhatárolják.
• Az intézmény általános biztonságáért felelős vezetőnek és az informatikai szervezeti egység vezetőjének szabályoznia kell:
• külső személyek belépési és tartózkodási rendjét az informatikai biztonság szempontjából kritikus területeken,
• a kilépőkkel kapcsolatos informatikai biztonsági intézkedéseket,
• rendszeres oktatás rendjét a felhasználók, az adminisztrátorok, a rendszergazdák, az üzemeltető és karbantartó személyzet részére az informatikai rendszer megbízható üzemeltetésével és biztonságos használatával kapcsolatban,
• az informatikai biztonság megsértése esetén a személyekre vonatkozó intézkedéseket.