8.2.3. Intézkedések az informatikai rendszer környezetével kapcsolatban

8.2.3. Intézkedések az informatikai rendszer környezetével kapcsolatban

Infrastruktúra

Az informatikai rendszer biztonsága szempontjából fontos azoknak a helyiségeknek és együttesüknek a védelme, amelyekben a rendszer működik. A környezethez sorolható még a tápfeszültség ellátás, a túlfeszültség- és villámvédelem, a tűzvédelem is. A védelemnek az alkalmazások rendelkezésre állásának értékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. Tekintettel a fentiek fajlagosan magas árára, a védelem teljes körű, mindenre kiterjedő és egyenszilárdságú legyen. Erről a teljes körű védelemről már a környezet kiválasztása, illetve kialakítása során gondoskodni kell.

Az itt megadott intézkedések jelentős részben az 5. és a 6. pontokban leírtakon alapulnak, és megvalósításuk a rendszer minimális védelmét képes biztosítani az adott biztonsági osztályban, de önmagukban nem váltják, nem válthatják ki a szakszerű felmérést, az ennek alapján megtervezett védelmi rendszert és a teljes körű biztonsági intézkedéseket.

Az alapbiztonság szintjén:

Az épület és az egyes információ technológiai helyiségek falazata legalább 36 cm vastag legyen és kisméretű téglából, vagy ezzel egyenértékű szilárdságú anyagból készüljön.
Az utca szintjétől 3 m-nél alacsonyabb párkánymagasságú ablakoknak megfelelő szilárdságú, a falhoz rögzített és legfeljebb 15×25 cm szemkiosztású ráccsal kell rendelkezniük (vagy a rés alakjától függetlenül az emberi fej nem férhet át a nyíláson).
A bejárati ajtó keményfa, fém vagy más megfelelő szilárdságú, leemelés, befeszítés ellen védett és legalább két darab biztonsági zárral zárható legyen. Biztonsági zárnak minősül a legalább 5 csapos hengerzár, az 5 rotoros mágneszár, a kéttollú kulccsal zárható lamellás zár, továbbá a MABISZ vagy a Rendőrség által jóváhagyott és biztonsági zárnak elfogadott egyéb pl.: motoros zár. A lakat nem minősül biztonsági zárnak!
A bejáratot munkaidőn túl zárva kell tartani és a belépés csak előzetes bejelentkezés után (pl.: kaputelefon) legyen lehetséges.
Az intézményen (épületen) belül a nap 24 órájára személyi felügyeletet (biztonsági személyzet, rendészet, portaszolgálat) kell biztosítani.
Az épületben a biztonsági szolgálat a főmunkaidőn túli időszakban szemrevételezéssel rendszeresen ellenőrizze a közlekedő terek és a fontosabb helyiségek sértetlenségét. Ahol ez nem valósítható meg, ott technikai védelmet szükséges kiépíteni.
A belépési eljárásokat, a belépési jogosultságok rendszerét szabályozni kell:

az épület,
a számítóközpontok, a szerverszobák, és az egyéb "központi" jellegű informatikai helyiségek,
a számítástechnikai eszközzel ellátott irodai helyiségek
vonatkozásában.
A szabályozás terjedjen ki:
a különböző beosztású belső személyek belépési jogosultságaira az egyes helyiségekbe,
a különböző céllal érkező külső személyek beléptetésének rendjére (engedélyező, naplózás, kisérés),
a belépés megengedett vagy tiltott időszakaira,
a beléptetéssel kapcsolatos engedélyezési eljárásokra és az engedélyező személyekre,
az egyes helyiségek kulcsai leadásának, felvételének és tárolásának rendjére.

Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva kell tartani.
A tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő személyzet útján kell biztosítani a helyiségen belül készenlétben tartott, a helyi tűzvédelmi előírásoknak (szakhatósági engedélynek) megfelelő kézi tűzoltó készülékekkel. A készenléti helyeken elsődlegesen gáz halmazállapotú oltóanyaggal feltöltött tűzoltó készülékek legyenek. A készülékek típus és darabszámát, illetve elhelyezését a helyi tűzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség alkalmas, jól megközelíthető pontjain kell elhelyezni. Az épületben a vonatkozó szabványok előírásainak megfelelő tűzjelző rendszert kell kiépíteni, ki kell jelölni a menekülési útvonalakat.
Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok előírásait.
Az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok előírásainak.
A túlfeszültség- és villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat.
Az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre helyileg megállapított követelményeknek megfelelően kell kialakítani és külön szünetmentes leágazással vagy lokális szünetmentes tápáramforrással kell a táplálásról gondoskodni.
Az átlagostól eltérő klimatikus viszonyú (pl. a hőmérséklet, illetve a páratartalom értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) helyiségekben helyi klimatizálásról kell gondoskodni úgy, hogy az információ technológiai eszközök környezeti hőmérséklete működés közben 15-28 C°, tárolási hőmérséklete 0-40 C° között maradjon.

A technikai védelem tervezését, kiépítését csak rendőrségi engedéllyel, a tűzjelző, illetve tűzvédelmi eszközök tervezését a Tűzoltóság Országos Parancsnokságának engedélyével rendelkező, szakmai gyakorlattal (ellenőrizhető referenciákkal) rendelkező szakemberre vagy vállalkozásra szabad bízni! A szabványoknak való megfelelésről erre feljogosított szakember írásos nyilatkozata szükséges.

A fokozott biztonság szintjén:

Az alapbiztonsági szint előírásain túl az alábbi intézkedéseket kell meghozni:

Az információ technológiai helyiségekbe csak annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat, tehát a helyiségen belül nem mehet át víz, gáz csatorna és egyéb közművezeték, felette és a határoló falfelületeken un. vizes blokkot tartalmazó helyiségrész ne legyen.
A technikai védelemi rendszert az épület teljes területén vagy a mechanikusan is elválasztott fokozott biztonsági osztályba sorolt területen ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál, vagy a legközelebbi illetékes rendvédelmi szervnél is meg kell jelenniük. A védelem legyen szabotázsvédett és elégítse ki az alábbi követelményeket:

a nyílászárók nyitás és zártság ellenőrző eszközzel legyenek ellátva, a belső terek védelme mozgásérzékelővel biztosított legyen, a védelem ki- és bekapcsolása a bejáraton kívül elhelyezett minimum 6 számjegyes kóddal működtetett tasztatúráról történjék,
a személyzet a helyiségbe (épületbe) belépni szándékozókat belépés előtt a biztonság veszélyeztetése nélkül azonosítsa,
amennyiben az egyidejűleg szolgálatban lévő biztonsági személyzet létszáma kevesebb, mint három fő, a személyzetet el kell látni egy esetleges baleset esetén is jelzést biztosító (pl. dőléskapcsolóval kombinált) mobil támadásjelző eszközzel,
a jelzőközpont és az általa működtetett eszközök 12 órás áthidalást biztosító szünetmentes tápegységgel rendelkezzenek, oly módon, hogy a 12. óra letelte után még képesek annyi energiát szolgáltatni, hogy egy riasztási eseményt jelezzenek, és végrehajtsák az ehhez kapcsolódó vezérlést ( pl.: hang- vagy fényjelző eszköz 3 perces időtartamban való működtetése).

Az információtechnológiai helyiségeket olyan ajtókkal kell ellátni, amelyek legalább 30 perces műbizonylatolt tűzgátlással rendelkeznek. A helyiségen belül automatikus és kézi jelzésadók kerüljenek telepítésre. A jelzésadók jelzéseit mind a helyiségen belül, mind az épület biztonsági szolgálatánál meg kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek forgalomba-hozatali engedélyével.
Az elektromos hálózat legalább a szerver és a szükségvilágítás vonatkozásában 30 perces áthidalási idejű, megszakításmentes átkapcsolással rendelkező szünetmentes tápegységgel legyen ellátva. A tápegység akkumulátorai a maximális igénybevételt követő töltés hatására teljes kapacitásukat 24 órán belül nyerjék vissza.
A padlóburkolatok, berendezési tárgyak antisztatikus kivitelűek legyenek.
A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó előírásokat és az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség elleni védelembe be kell vonni az árnyékolást megtestesítő, az épületbe belépő minden fémszerkezetet. (Az elektromos hálózatot, víz, gáz, távfűtés, csatorna hálózatokat, antenna bevezetéseket, adatátviteli és távbeszélő hálózatokat stb.) Az informatikai rendszer legyen ellátva másodlagos villámvédelemmel.
A túlmelegedés elleni védelmet a helyiség klimatizálásával kell biztosítani. A légellátásnak a klimatizáló berendezések által átlagos szinten biztosított porkoncentrációt kell elérnie.

A kiemelt biztonság szintjén:

A fokozott biztonsági szint előírásain túl az alábbi intézkedéseket kell meghozni:

Az információ technológiai helyiségekbe csak az annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat.
Az információ technológiai helyiségek betekintés és behatolás ellen védő biztonsági fóliával védettek legyenek. Ablakok elkerülhetetlen létesítése esetén azok közforgalomtól elzárt területre, belső udvarra nézzenek.
A technikai védelembe legyenek bekötve a számítástechnikai eszközök burkolatai az illetéktelen kinyitás jelzésére, illetve a hozzáférés-védelem hardver eszközei eltávolításának megakadályozására és az információ technológiai helyiségek a munkaidőn kívül.
A védelem kiegészítendő intelligens beléptető-rendszerrel, amely a mozgásokat két irányban regisztrálja és legalább az utolsó 4.000 eseményt naplózza és az utolsó személy távozásakor a védelmi rendszert automatikusan élesíti.
A személyzet a helyiségbe (épületbe) belépni szándékozókat belépés előtt a biztonság veszélyeztetése nélkül azonosítsa és vezessen nyilvántartást a belépőkről.
Az IT helyiségek legyenek ellátva automatikus működtetésű oltórendszerrel, az oltórendszer működését tekintve helyi vagy teljes elárasztásos legyen, működése előtt biztosítson elegendő időt a személyzet evakuálására, vezérlő kimeneteinek egyikén adjon jelzést a szerver felé az automatikus mentésre, majd azt követően a lekapcsolásra.
Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett szükség-áramellátó diesel-elektromos gépcsoport is telepítendő, amely automatikus indítású és szabályozású, teljesítménye képes kiszolgálni a számítástechnikai eszközökön túl azok működéséhez szükséges segédüzemi (pl.: klímaberendezéseket ) is.
Az IT helyiségekben a fűtést a klímarendszeren keresztül meleg levegő befúvással kell megoldani, a helyiségben vizes fűtés nem létesíthető. A klímarendszer kültéri és beltéri egységből épüljön fel, vízhűtéses klíma nem telepíthető. Központi klímagép telepítése esetén a befúvó és az elszívó légcsatornába légmentesen záró, tűzgátló tűzcsappantyúkat kell telepíteni. A befúvó légcsatornába megfelelő gázérzékelők telepítését kell végre hajtani.

Személyek

Ebben a fejezetben a személyzetet, mint az informatikai rendszert működtető környezetet jelenítjük meg, mivel a későbbiekben, az egyes mintarendszereknél a személyzetre vonatkozó intézkedések már nem szerepelnek.

Az informatikai rendszer biztonsága szempontjából meghatározó szerepe van az üzemeltető személyzetnek az információvédelem és a megbízható működés tekintetében egyaránt, ezért a szervezetnél ki kell alakítani azt a személyzeti struktúrát, amelynek feladata és felelőssége az informatikai rendszer megbízható üzemeltetése és ezáltal az alkalmazások megbízható működésének biztosítása.

Az itt megadott intézkedések is az 5. és a 6. pontokban leírtakon alapulnak, megvalósításuk a rendszer minimális védelmét képes biztosítani az adott biztonsági osztályban az egyéb humánpolitikai szabályozásokkal együtt alkalmazva.

Az alapbiztonság szintjén:

Az informatikai rendszerek kezelésére, működtetésére csak erkölcsi bizonyítvánnyal rendelkező személyeket szabad alkalmazni.
Az intézmény területén mindenki köteles kitűzőt viselni. Látogatók, külső partnerek csak regisztrálást követően, látogatói kitűzőt viselve tartózkodhatnak az intézményben. Kitűzőt nem viselő személlyel szemben a munkatársak kötelesek a beléptetési rendben előírt intézkedéseket foganatosítani.
Azokba a helyiségekbe, ahol adatkezelés folyik, a belépés rendjét az informatikai rendszerben kiadott hozzáférési jogosultságokkal összhangban kell szabályozni.
A rendszeradminisztrátor, illetve a fontosabb alkalmazások rendszergazdai funkcióját lehetőleg személyében szét kell választani.
A rendszeradminisztrátorok (rendszergazdák) és az informatikai biztonsági felügyelő funkcióját személyében szét kell választani.
Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos, feladatköre ellátásához szükséges ismeretek, feladatok elsajátítását. Az elsajátítás tényét, valamint azt, hogy az Informatikai Biztonsági Szabályzatban foglaltakat magára nézve kötelezőnek tartja, minden munkatársnak aláírásával igazolnia kell.
A biztonsági színvonal fenntartása érdekében rendszeresen, továbbá új munkakörbe kerülés esetén, új alkalmazások, technológia bevezetésénél biztosítani kell a megfelelő szintű továbbképzést.
Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak kiválasztásánál a biztonság szempontjait fokozottan figyelembe kell venni. Gondoskodni kell arról, hogy az ideiglenesen vagy tartósan távollévő munkatárs feladatát arra alkalmas, megfelelően felkészített helyettes vegye át.
Az intézmény informatikai szervezeti egysége vezetőjének, valamint a nagyobb és fontos alkalmazási területek vezetőinek egymással egyeztetve ki kell jelölniük a fontos alkalmazások rendszergazdáit, feladataikat és felelősségüket meg kell határozniuk. A rendszergazdák feladatkörébe az adatok naprakész és hiteles voltának (adatminőség) biztosításán túl, a hozzáférések jogosultágának érvényesítése is beletartozik. Így az érintett rendszergazda írásos hozzájárulása nélkül hozzáférési jogosultság nem adható ki és nem változtatható meg (kivéve a kötelező letiltást).
Külső partnerekkel kötött fejlesztési, karbantartási szerződés részeként a külső partner számára kötelező érvénnyel elő kell írni az intézmény Informatikai Biztonsági Szabályzata rájuk vonatkozó szabályait, amelynek megsértése jogi és kártérítési eljárást von maga után.
Az őrző/védő feladatokat ellátó (elsősorban az intézmény egészének, ezen belül az informatikai rendszernek a fizikai védelmét biztosító) személyzet feladatainak kijelölése és alkalmazásuk az intézmény vezetésének feladata. Erre a feladatra csak olyan személyek alkalmazhatók, akik erkölcsileg feddhetetlenek és megbízhatók, valamint rendelkeznek az őrző/védő feladatok ellátásához szükséges vizsgákkal, minősítésekkel.
Az intézmény informatikai szervezeti egysége vezetőjének gondoskodnia kell az üzemeltető és karbantartó személyzet olyan szintű kiképzéséről, hogy az egyszerűbb hibákat mind a hardver, mind a szoftver területen elhárítsák, illetve az összetettebbeket a szerviz személyzet részére körülhatárolják.
A javítási idő lerövidítése céljából az üzemeltető személyzetnek a hibát olyan szinten be kell tudnia határolni, hogy a szerviz munkatársai felkészülten szálljanak ki a hibaelhárításra. E követelmény biztosításához az üzemeltető személyzetet megfelelő szintű oktatásban kell részesíteni.
Az intézmény általános biztonságáért felelős vezetőnek és az informatikai szervezeti egység vezetőjének szabályoznia kell:

külső személyek belépési és tartózkodási rendjét az informatikai biztonság szempontjából kritikus területeken,
a kilépőkkel kapcsolatos informatikai biztonsági intézkedéseket,
rendszeres oktatás, továbbképzés rendjét a felhasználók, az adminisztrátorok, a rendszergazdák, az üzemeltető és karbantartó személyzet részére az informatikai rendszer megbízható üzemeltetésével, és biztonságos használatával kapcsolatban,
az informatikai biztonság megsértése esetén a személyekre vonatkozó intézkedéseket.

Össze kell állítani és elérhető helyen kell tartani a számítástechnikai eszközök használatára felhatalmazott személyek névsorát és feladataikat körül kell határolni.

A fokozott biztonság szintjén:

Az alapbiztonsági szint előírásain túl az alábbi intézkedéseket kell meghozni:

A biztonsági eseménynapló fájlok auditálás céljából történő vizsgálatához szükséges eszközöknek a rendszerben létezniük kell és szelektíven azonosítaniuk kell egy vagy több felhasználó tevékenységét.
Ha a titokbirtokos nem azonos az informatikai eljárást végző személlyel, szervezet, illetve belső szervezeti egység vezetőjével (a továbbiakban: üzemeltető), akkor:

az adatok érdekében szükséges intézkedések megtételéről az anyag átadása előtt a titokbirtokos, átadása után az üzemeltető gondoskodik.
a titokbirtokos, illetve az üzemeltető felelős a saját ügykörében felmerülő adat- és titokvédelmi feladatok ellátásáért.
ha az üzemeltető nem minősített adatállomány feldolgozása (például: egyedi adatkiemelés) során államtitoknak vagy szolgálati titoknak minősülő adatot hozhat létre, akkor a minősítőnek kell meghatározni a feldolgozás feltételeit.

A számítástechnikai eljárásban részt vevő személynek a munkafolyamat elvégzéséhez szükséges mértékre korlátozott betekintési jogosultság is adható, a betekintés megtörténtét a számítástechnikai eljárás végrehajtásának ténye és annak bizonylatai igazolják.
A szolgálati titkot tartalmazó számítástechnikai eljárásba közreműködőt csak a minősítő írásbeli engedélyével szabad bevonni.
Az Informatikai Biztonsági Szabályzatban foglaltakból az informatikai rendszerrel kapcsolatba kerülő munkatársakat le kell vizsgáztatni. A vizsgát az Informatikai Biztonsági Szabályzatban meghatározott időszakonként meg kell ismételni.

A kiemelt biztonság szintjén:

A fokozott biztonsági szint előírásain túl az alábbi intézkedéseket kell meghozni:

Új jogosultság kiosztását, a jogosultság törlését, átmeneti felfüggesztését csak erre felhatalmazott személy végezheti el. Minden jogosultsági azonosítóval ellátott erőforrás esetében a hozzáférésre jogosult felhasználók vagy felhasználói csoportok listáját ki kell tudni nyomtatni, azok hozzáférési jogosultságaival együtt. A biztonsági szintben a használat pl. tranzakció, interaktív kommunikáció, közben beállt változásokat a felhasználónak azonnal és közvetlenül jelezni kell és le kell tudnia kérdezni a többi alannyal kapcsolatos védelmi attribútumokat.
A személyzet összetétele, képzettsége, valamint gyakorlati tapasztalata olyan legyen, hogy erre a biztonsági osztályra meghatározott 16 perces kiesési időt tartani tudja a kiemelt fontosságú alkalmazások, illetve a teljes rendszer kiesése esetén.
A Biztonsági Kézikönyvben foglaltakból az informatikai rendszerrel kapcsolatba kerülő munkatársakat le kell vizsgáztatni. A vizsgát az Informatikai Biztonsági Szabályzatban meghatározott időszakonként meg kell ismételni.