Intézkedések az alapbiztonsági szinthez:
- Ki kell dolgozni az informatikai rendszerhez történő hozzáférések illetékességi,
jogosultsági rendszerét, amely elsősorban a fent említett szerepkörök,
másrészt az ezen belül is elkülöníthető feladatok alapján történik.
- A hozzáférések illetékességi, jogosultsági rendszerénél a feladat ellátásához
szükséges és elegendő jogokat kell, de annál többet senkinek semmilyen
hivatkozással nem szabad biztosítani.
- A jogosultság hozzárendelése (feljogosítás) csak a rendszeradminisztrátor
jogköre lehet.
- Ki kell dolgozni egy intézkedési tervet arra vonatkozóan, mi történjék
illetéktelen hozzáférések, illetve jogosultságokkal való visszaélések esetén,
amely során a lehető legnagyobb mértékben meg kell tudni határozni a felelősséget.
- A biztonsági eseménynapló adataihoz csak az informatikai biztonsági
felügyelő férhet hozzá.
- A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználó
csoport által végzett művelet szelektív regisztrálására.
- A rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok,
naplók) védelméről a hozzáférési jogosultságok kiosztásánál kell gondoskodni.
- Össze kell állítani és elérhető helyen kell tartani a számítástechnikai
eszközök használatára felhatalmazott személyek névsorát, feladataikat körül
kell határolni.
- A rendszer vagy annak bármely eleme csak az arra illetékes személy
felhatalmazásával, dokumentáltan változtatható meg, amelyet ellenőrizni
kell.
- Külső személy - pl. karbantartás, javítás, fejlesztés céljából - a
számítástechnikai eszközökhöz csak úgy férhet hozzá, hogy a kezelt adatokat
ne ismerhesse meg.
- A hozzáférés jelszavait időközönként, de a személy megváltozásakor
azzal egyidejűleg meg kell változtatni, a jelszót ismételten nem szabad
kiadni.
- Gondoskodni kell a hozzáférés-jogosultsági rendszer folyamatos aktualizálásáról,
ezen belül különösen a távozó munkatársak esetében a jogosultság megszűnését
követően annak azonnali visszavonásáról.
- Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó
munkatársak kiválasztásánál a biztonság szempontjait fokozottan figyelembe
kell venni. Gondoskodni kell arról, hogy az ideiglenesen vagy tartósan
távollévő munkatárs feladatát arra alkalmas, megfelelően felkészített helyettes
vegye át.
- Külső partnerekkel kötött fejlesztési, karbantartási szerződés részeként
a külső partner számára kötelező érvénnyel elő kell írni az intézmény Informatikai
Biztonsági Szabályzata rájuk vonatkozó szabályait, amelynek nem teljesülése
a szerződés felbontását vonja maga után.
Intézkedések a fokozott biztonsági szinthez:
- Állam- vagy szolgálati titok minősítését csak a törvényekben meghatározott
személyek engedélyezhetik.
Intézkedések a kiemelt biztonsági szinthez:
- A jogosultság hozzárendelésének végrehajtását (feljogosítás) csak engedélyezési
joggal rendelkező személy(ek) végezheti(k).
- A jogosultság hozzárendelésének megszüntetését (visszavonás) csak visszavonási
joggal rendelkező személy(ek) végezheti(k).
- Ki kell alakítani a biztonság ellenőrzésének rendszerét, amely során
a felügyeleti és elhárítási tevékenységek eljárásrendjét meg kell határozni.
- A rendszernek alkalmasnak kell lennie a hozzáférési jogok egyedi vagy
csoport szinten történő megkülönböztetésére és szabályozására. A hasonló
szerepű személyek csoportjai munkájának támogatására hozzáférési jog csoportokat
kell tudni kialakítani és minimálisan megkülönböztetendő a rendszeradminisztrátor,
az operátor és a biztonsági felügyelő szerepköre.
- A jogosultsági rendszernek támogatnia kell a jogosultságok módosítását,
átadását másik személynek, törlését, időleges korlátozását. Új jogosultság
kiosztását, a jogosultság törlését vagy átmeneti felfüggesztését csak erre
felhatalmazott személy végezheti el. Minden jogosultsági azonosítóval ellátott
erőforrás esetében a hozzáférésre jogosult felhasználók vagy felhasználói
csoportok listáját ki kell tudni nyomtatni azok hozzáférési jogosultságaival
együtt.
