Környezet: általános intézkedések
Szervezet
1. Az intézményen belül a szervezeti és működési szabályzatban (SzMSz) rögzíteni kell az informatikai feladatok (tervezés-fejlesztés, üzemeltetés, felügyelet stb.) feladat- és felelősségi körét, valamint kompetenciáit.
2. Az informatikai területen a tervezés-fejlesztés, az üzemeltetés, valamint a felügyelet feladat- és felelősségi körét, kompetenciáit külön-külön kell meghatározni.
3. Az intézményen belül meg kell határozni az adatvédelmi felelős és az informatikai biztonsági felügyelő feladat- és felelősségi körét, valamint kompetenciáit és megfelelően körültekintő kiválasztás után ki kell nevezni őket.
4. Az informatikai rendszer biztonsági vizsgálatára külső, független konzultációs partner bevonása célszerű.
5. Meg kell határozni és fel kell sorolni az intézmény szempontjából jelentős alkalmazásokat, adatállományokat, pl. költségvetés, személy- és munkaügyi rendszerek, ügyiratkezelés stb.
6. Az informatikai rendszeren belül elkülönítetten kell kezelni az államtitkot, szolgálati titkot, személyes adatot és a törvények által meghatározott egyéb adatcsoportokat.
7. Szükség esetén az egyes számítógépes alkalmazásokra a biztonsággal kapcsolatos, specifikus előírásokat külön meg kell határozni.
8. Az alkalmazások dokumentációját legalább két szinten,
szintjén kell összeállítani.
9. Az intézmény alakítsa ki informatikai biztonsági koncepcióját (irányelvek, védelmi szükségletek megállapítása, védelmi intézkedések tervei és dokumentumai).
10. Meghatározandók azok a számítógépes (informatikai) alkalmazások, amelyek különleges védelmi intézkedést kívánnak.
11. A biztonsági, védelmi intézkedéseket rendszeresen kell ellenőrizni és felülvizsgálni.
12. El kell készíteni az ellenőrzések és a felülvizsgálatok dokumentációját és azt egy előre meghatározott és védett helyen kell tárolni.
13. Meg kell határozni a számítógépes alkalmazásokkal kapcsolatban, illetve az intézményben hivatalosan keletkezett dokumentumok megőrzési határidejét.
14. Ha a számítástechnikai rendszer üzemeltetése során kiderül a biztonság megsértése, illetve megsérülése, haladéktalanul meg kell kezdeni a vonatkozó intézkedések érvényesítését.
15. Az informatikai rendszert ért káresemények utólagos elemzését rendszeresen el kell végezni (pl.: hardver hibák, szoftver hibák, bejelentkezések, hozzáférési kísérletek, gondatlan kezelések, vírusok stb.).
16. Az elemzést, illetve a veszélyelhárítást, amennyiben az értékelés alapján ez indokolt, személyre vagy személyekre vonatkozó feladat- és hatáskör módosításnak kell követnie.
17. A feladat- és hatáskörök szerint a biztonsággal foglalkozó előírásokat külön választva kell kialakítani és tárolni.
18 A 17. pontban említett biztonsági szabályozásokkal kapcsolatos tennivalókat a munkaköri leírásban is szerepeltetni kell.
Beszerzés, üzemeltetés, fenntartás
19. Az intézmény szintjén központi beszerzési politikát kell kialakítani és a hardver és szoftver eszközök beszerzése ennek megfelelően történjék.
20. A szoftverek beszerzése jogtisztán, megbízható forrásból történjék.
21. A hardver és szoftver eszközöket az intézményen belül nyilván kell tartani.
22 Az informatikai rendszereket és a számítástechnikai eszközöket kidolgozott tesztelési terv alapján üzembe állítás előtt tesztelni kell.
23. Az intézményen belül törekedni kell az egységes szoftver és hardver elemek alkalmazására.
24. Amennyiben az intézményen belül szoftverfejlesztés történik, azt egy kiválasztott tervezési és fejlesztési módszertan alapján kell elvégezni.
25. A számítástechnikai eszközök telepítését az intézményen belül az üzemeltetésért felelős részleg irányítsa és ellenőrizze.
26. Ezen részlegen belül kell a rendszeradminisztrátori munkaköröket kialakítani.
27. A kiválasztás során a rendszeradminisztrátorok megbízhatóságát ellenőrizni kell.
28. Az intézményen belül szabályozni kell a számítástechnikai rendszerek használatának feltételeit.
29. Az intézményen belül meg kell tiltani, hogy az intézményi dolgozók saját adathordozókat (pl.: floppy) és számítástechnikai eszközöket (hardver, szoftver) használjanak.
30. Az intézményi dolgozóknak meg kell tiltani, hogy az intézeti számítástechnikai eszközöket munkahelyen kívül használják, kivéve a hordozható eszközöket (pl. lap top számítógépek). Ezek használata mindig feljogosított személyhez kötött. A hordozható eszközök használatára az adathordozókra vonatkozó szabályok érvényesek.
31. Az informatikai rendszer használatára vonatkozó biztonsági előírások betartását ellenőrizni kell.
32. A számítástechnikai és telekommunikációs rendszerben bekövetkezett változásokat dokumentálni kell.
33. A külső cégek, szervezetek javítási és karbantartási tevékenységeit ellenőrizni kell.
34. Javítás és karbantartás esetén a bizalmas adatokat (pl.: adatmentés és felülírásos törlés révén) védeni kell.
Szoftverek (elő)készítése
35. A szoftverek beszerzésére vonatkozó irányelvek, illetve előírások a beszerzési politika részét kell, hogy képezzék.
36. A szoftverek ellenőrzésére vonatkozó irányelveket és előírásokat a tesztelési, illetve az üzemeltetési dokumentációknak tartalmazniuk kell.
37. A szoftverek tesztelésére és a teszteredmények kiértékelésére vonatkozó irányelveket és előírásokat a tesztelési tervnek tartalmaznia kell.
38. A szoftverek karbantartására és aktualizálására vonatkozó irányelveket és előírásokat az üzemeltetési előírások keretében le kell dokumentálni.
39. A katasztrófa megelőzési és elhárítási tervben meg kell fogalmazni az elhárítási stratégiát és a mentesítés végrehajtási ütemtervét a nem kívánatos mellékhatású programok (vírusok, trójai programok, férgek stb.) fellépése esetén.
40. A szoftverek első üzembehelyezése előtt referencia másolatokat kell készíteni és azokat biztonságos helyen kell őrizni.
41. A rendszerprogramokat az illetéktelen hozzáféréstől fokozottabban védeni kell.
42. Ellenőrizni kell, hogy az alkalmazói szoftverekhez való hozzáférés esetén azon keresztül nem lehet-e a rendszerszoftverekhez illetéktelenül hozzáférni.
Környezet: intézkedések területenként
Infrastruktúra
43. Biztonsági szempontok alapján, tervszerűen kell a lokális számítógépes hálózat központi részét tartalmazó helyisége(ke)t kiválasztani.
44. Az ún. biztonsági zónák határait (pl.: látogatók, védelmi ellenőrzések, munka zónák) tervszerűen kell kialakítani.
45. Az átviteli eszközöket, csatlakozási pontokat, elosztó-, illetve rendező egységeket ugyanolyan védelmi igénnyel kell védeni, mint a központi berendezéséket.
46. A számítóközpontok üzembiztonsági szabvány-előírásait (klíma, páratartalom, tűzvédelem stb.) be kell tartani.
47. A központi berendezéseket a szándékos behatásoktól (pl.: támadás, betörés stb.) védeni kell.
48. A számítástechnikai rendszert a villámcsapástól, túlfeszültségtől, feszültségcsökkenéstől védeni kell.
49. A számítástechnikai rendszer üzemszerű működéséhez szükséges legfontosabb egységeinek folyamatos működését az áramszolgáltatás kiesése esetén biztosítani kell. (szünetmentes, vagy tartalék áramforrás segítségével).
50. A felhasználói számítógépek kiválasztásánál figyelembe kell venni a bizalmas adatok kezelése esetén, hogy a berendezések csökkentett elektromágneses sugárzási jellemzőkkel rendelkezzenek.
51. Az üzemi körülmények tűréshatárainak túllépését (hőmérséklet, páratartalom stb.) figyelni és ellenőrizni kell.
52. A tartalék ellátó (klíma, áramellátó stb.) berendezések funkcionális működését időszakosan ellenőrizni kell.
53. A számítástechnikai rendszer elemeit (hardver, szoftver, adathordozó) lopástól védeni kell.
54. A számítástechnikai rendszer elemeit (hardver, szoftver, adathordozó) a manipulációtól védeni kell.
Személyzet
55. Az informatikai rendszer tervezéséhez, bevezetéséhez, üzemeltetéséhez, karbantartásához szükséges bizalmi funkciókhoz a személyzetet gondosan kell kiválasztani.
56. A személyzetet az informatikai rendszer bevezetése előtt ki kell képezni.
57. A képzésnek ki kell terjednie az informatikai biztonság területére is.
58. A képzés színvonalát és az elsajátított tudás szintjét ellenőrizni kell.
59. Ellenőrizni kell, hogy a személyzet betartja-e a biztonsági előírásokat.
Informatikai rendszer
A bejelentkezés ellenőrzése (azonosítás, hitelesítés)
60. Ellenőrizni kell az informatikai rendszer egyes elemeihez való hozzáférések és bejelentkezések illetékességét.
61. Nyilvántartást kell vezetni azon személyekről és programokról, mint alanyokról, valamint azon adatokról és készülékekről, mint tárgyakról, amelyeknek az azonosítása és hitelesítése használatbavétel előtt szükséges.
62. Rögzíteni kell az informatikai rendszeren belül az azonosítás és hitelesítés folyamatát.
63. Új dolgozók belépése, illetve távozó dolgozók kilépése esetén a személyi jogosultságokat aktualizálni kell.
64. Gondot kell fordítani a felhasználók egyértelmű azonosítására, azaz nem fordulhat elő, hogy több személy kap azonos jelölést.
65. Elő kell írni a jelszavak használatának módját (titokban tartás, minimális hossz, bonyolultságuk, érvényességi idejük).
66. Ha más hitelesítő eszközök (pl.: azonosító kártya, chipkártya stb.) is alkalmazásra kerülnek, elő kell írni használatuk szabályait (pl.: átruházás tiltás, elvesztés bejelentési kötelezettség stb.).
67. Rögzíteni kell az eredménytelen azonosítási és hitelesítési események kapcsán felmerülő intézkedés-sorozatokat.
Hozzáférés ellenőrzés (jogosultsági adminisztráció és jogosultság ellenőrzés)
68. Rögzíteni kell a személyek és programok, mint alanyok, valamint az adatok és készülékek, mint tárgyak, hozzáférés ellenőrzési igényeit.
69. A hozzáférési jogosultságok odaítélését a feladatteljesítés követelményeihez igazodva kell megállapítani.
70. A hozzáférési jogosultságok kiosztását, illetve megvonását a vezetői jóváhagyás után a rendszeradminisztrátornak el kell végeznie.
71. Ellenőrizni kell a hozzáférési jogosultságok kiosztását, zárolását, megvonását, módosítását.
72. A hozzáférési jogosultság kiosztási szintjeit felül kell vizsgálni.
73. A jogosulatlan hozzáférési kísérletek eseményeit ellenőrizni kell.
Naplózás (bizonyíték biztosítás)
74. A biztonsági követelmények között szerepelnie kell az illetéktelen, illetve jogosulatlan események naplózásának.
75. Elő kell írni, hogy mely események kerüljenek naplózásra.
76. A jogosultságok kiosztását, módosítását és megvonását naplózni kell.
77. Csak hitelesített személyek (pl.: rendszeradminisztrátorok vagy biztonsági felügyelők) férhetnek hozzá a napló adatokhoz.
78. A napló adatok kiértékelését automatizált folyamatokkal kell támogatni.
79. A napló adatokat rendszeresen ki kell értékelni.
80. A napló adatok megőrzési határidejét rögzíteni kell.
81. A napló készítő elemeket manipuláció ellen védeni kell.
82. Az őrzésre kerülő napló adatokat manipuláció és megsemmisülés ellen védeni kell.
Információk, adatok: intézkedések a feldolgozással kapcsolatban
Tárolás
83. Rendszeresen regisztrálni kell a tároló eszközökön lévő programokat és adatokat.
84. Rögzíteni kell azon adatok és programok listáját, amelyeket nem szabad megváltoztatni, módosítani.
85. A bizalmas adatokat az adathordozókon - amennyiben más védelem nem biztosítható - kódolt formában kell tárolni.
Feldolgozás
86. Az alkalmazási szintet be kell vonni a hozzáférés ellenőrzési intézkedések körébe.
87. A feldolgozással kapcsolatos üzemeltetési és biztonsági irányelveket ki kell alakítani.
88. A gondatlanság vagy a hibák hatásait rendszeresen fel kell mérni.
89. A rendszerszoftverek, illetve az alkalmazói szoftverek funkcionálisan csak az adott feldolgozás feladatainak teljesítéséhez szükséges mértékben kerülhetnek kiépítésre.
90. A munkahely ideiglenes elhagyásakor gondoskodni kell a képernyőn megjelenő információ automatikus elfedéséről, elsötétítéséről.
91. Az információk és az adatok sértetlenségének biztosításához ellenőrzési módszereket (pl.: ellenőrzőösszeg képzés, digitális aláírás stb.) kell alkalmazni.
92. Az adathordozókon lévő bizalmas adatok törléséhez ún. törlőmintákat kell alkalmazni.
93. Elő kell írni az adott feladatkörhöz szükséges másolatok készítésének feltételeit.
94. Szükség szerint alkalmazni kell a másolásvédelmi intézkedéseket.
Átvitel
95. A hálózati csatolási pontok számát minimalizálni kell.
96. A hálózati csatolási pontok fizikai védelméről gondoskodni és annak sértetlenségét rendszeresen ellenőrizni kell.
97. Az adó és fogadó egységeket (pl.: címazonosítás, jelszó használat, visszaigazolás stb.) azonosítani és hitelesíteni kell.
98. Az átviteli funkciókat be kell vonni a hozzáférés ellenőrzési intézkedések körébe.
99. Rögzíteni kell az átviteli jogosultság kiosztásokat.
100. Ellenőrizni kell az átviteli jogosultságokat.
101. Az átviteli ellenőrzéseket naplózni kell.
102. A hálózati műveletek indítása előtt meg kell valósítani a logikai és fizikai bejelentkezéseket.
103. A hálózati felhasználókat hitelesíteni kell.
104. A hálózat menedzselési feladatait csak megbízható és ellenőrzött személy végezheti.
105. Amennyiben az adatok az adatátvitel során a biztonsági besorolásuknak megfelelően nem védhetők, akkor titkosítani kell őket.
106. Titkosítás esetén a rejtjelkulcsok kezelését, ellenőrzését elő kell írni.
107. A rejtjelkulcsok hozzáférési jogosultságainak kiosztását, zárolását, megvonását, módosítását ellenőrizni kell.
Információk, adatok
Bevitel
108. Az információ beviteli funkciókat be kell vonni a hozzáférés ellenőrzési intézkedések körébe.
109. A bevitel ellenőrzési eljárásokat minőségileg értékelni kell.
110. Az információ beviteli program (alkalmazói program) dokumentáltságát ellenőrizni kell.
111. A beviteli információkat, adatokat tartalmazó iratokat biztonságosan kell tárolni és kezelni.
112. Az átvételi, átadási jogosultságokat ellenőrizni kell.
113. Az információ beviteli eseményeket naplózni kell.
Kiadás
114. Az információ kiadási funkciókat be kell vonni a hozzáférés ellenőrzési intézkedések körébe.
115. A kiadó végberendezéseket (nyomtatók, képernyők) a jogosulatlan hozzáférésektől védeni kell.
116. A kinyomtatásra került anyagok biztonságos kezeléséről és tárolásáról gondoskodni kell.
117. A kinyomtatott anyagok kezelésére az iratkezelési szabályok vonatkoznak.
Adathordozók
Kezelés, tárolás, adminisztráció
118. Elő kell írni az adathordozók kezelésének feltételeit.
119. Elő kell írni az adathordozók felvételi és leadási eljárásait.
120. Szabályozni kell a papír alapú adathordozók (nyomtatványok), az informatikai adathordozók (floppy-k, szalagok stb.), valamint a dokumentációs és ellenőrzési előírások kezelésére vonatkozó folyamatokat.
121. Rögzíteni kell az adminisztrációért felelős személyek feladatait.
122. Az adathordozókat meg kell jelölni (azonosítás).
123. A különleges védelmet igénylő adathordozókat (bizalmas adatok) elkülönítve kell kezelni.
124. A különleges védelmet igénylő informatikai adathordozók adatait titkosítani kell.
125. Ellenőrizni kell a tárolt adathordozók sértetlenségét.
Továbbadás/szállítás
126. Szabályozni kell a papír alapú adathordozók (nyomtatványok), az informatikai adathordozók (diszketek, szalagok stb.), valamint a dokumentációs és ellenőrzési előírások továbbadási folyamatait.
127. Rögzíteni kell az idegen adathordozók átvételi szabályait.
128. Ellenőrizni kell a továbbadási és átvételi jogosultságokat.
129. Ellenőrizni kell az adathordozók visszaadási kötelezettségének teljesülését.
130. Ellenőrizni kell az átvétel során az adathordozók és az adatok sértetlenségét, manipulálatlanságát.
131. A különleges védelmet igénylő adatok továbbítására szolgáló adathordozókon az adatokat titkosítani kell.
Megsemmisítés
132. Rögzíteni kell a megsemmisítési eljárásra jogosult személyek feladat- és hatásköreit.
133. Ellenőrizni kell a megsemmisítési folyamatot.
Katasztrófaterv
Adatmentés, biztonsági másolatok
134. Elő kell írni a biztonsági másolatok készítésének szabályait.
135. Megbízható helyen (a munkaterületen kívül) kell tárolni a biztonsági másolatokat.
136. Az üzemben lévő rendszerszoftverek és alkalmazási szoftverek biztonsági másolatait a számítóközponton kívül kell tárolni.
137. A jelentős dokumentumokról biztonsági másolatokat kell készíteni és azokat biztonságos helyen kell tárolni.
138. A katasztrófaterv dokumentációját el kell készíteni és azt rendszeresen ellenőrizni kell.
Újraindítás
139. Meg kell tervezni a szükséges hardver, szoftver elemek konfigurációját (az adatokat is beleértve) a katasztrófa utáni szükségüzem esetére.
140. Meg kell tervezni a katasztrófát követő intézkedés-sorozatot.
141. Fokozott rendelkezésre állási követelmények esetén a követelményekkel arányos tartalékolási megoldásokat kell betervezni.
142. Az adatrekonstrukciós eljárásokat meg kell tervezni és alkalmazni kell őket.
143. A katasztrófát követő intézkedéseket oktatni és gyakorolni kell.
144. Rendszeresen ellenőrizni kell a katasztrófaterv előírás- és intézkedés-gyűjteményét.
Az eddigiekben azokat az általános intézkedéseket soroltuk fel, amelyeket az informatikai rendszerekkel kapcsolatban minimálisan érvényesíteni kell és amelyeket minden informatikai rendszernél figyelembe kell venni.
A következőkben az általános intézkedéseken túlmutató, illetve azokat részletesebben megfogalmazó, a rendszerelemekhez és az adatfeldolgozás folyamatához kapcsolódó specifikus intézkedéseket vesszük sorra biztonsági osztályonként csoportosítva.