3. VÉGREHAJTÁSI SEGÉDLET AZ INFORMATIKAI BIZTONSÁGI KONCEPCIÓ (IBK) KIALAKÍTÁSÁHOZ

3. VÉGREHAJTÁSI SEGÉDLET AZ INFORMATIKAI BIZTONSÁGI KONCEPCIÓ (IBK) KIALAKÍTÁSÁHOZ

Bármely szervezet informatika-alkalmazásának biztonsága - amint az a korábban leírtakból már nyilvánvaló - magával az alkalmazott informatikai rendszerrel azonos fontosságú, azzal szervesen összefüggô, sôt összeépülô tényezô. Sajátos (gondoljuk: átmeneti) állapotot eredményez azonban az a körülmény, hogy míg az alkalmazói rendszerek gyakorlatilag a már forgalomban lévô, eleve kifejlesztett elemekbôl, modulokból tulajdonképpen mozaik-szerûen felépíthetôk, addig a hozzájuk szükségszerûen kapcsolódó biztonsági rendszerek elemeit megközelítôleg sem lehet ugyanolyan bôséggel és választékkal megtalálni a piaci kínálatban.

Az elmondottak indokolják, hogy minden alkalmazó áldozatos és jelentôs ráfordításokat igénylô munkával kénytelen kialakítani a saját informatikai biztonsági rendszerét.

Ez a nagy feladat csak projekt-szerû fejlesztéssel oldható meg, amely mindenek elôtt megfelelô koncepció kidolgozását igényli.

Kézikönyvünk, amint ezt eleve deklaráltuk, ennek a koncepciónak a kialakításához kíván módszertani segítséget nyújtani.

A most következô fejezet az elôzôekben kifejtett "elméleti " ajánlások értelmezéséhez és gyakorlati végig viteléhez segítségül szolgáló segédleteket, helyenként csupán felsorolásokat tartalmaz, lehetôség szerint célszerû rendszerezettségben.

3.1. Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései

Az alábbi felsorolás csak szemelvényként tekintendô, hiszen az alkalmazott rendszerek száma napjainkban már végeláthatatlan listát igényelne.

A legelterjedtebb rendszerek a következôk:

szövegfeldolgozás,
dokumentumok adminisztrációja/kezelése,
könyvelés,
számolási, számlázási ügyek,
fizetés- és keresetszámítások,
számlavezetés,
vevôkártyák vezetése,
személyi kártyák vezetése,
ügyfél kártyák vezetése,
lakcímbejelentô regiszter kezelése,
gépjármû engedélyezési adatok adminisztrációja/kezelése,
konstrukciós adatok adminisztrációja/kezelése,
gyártásvezérlés,
folyamatvezérlés,
számítógép által támogatott raktárkészlet ellenôrzés,
a kiszállítás lebonyolítása,
tudományos számítások,
információ kínálata tudományos könyvtárakból,
információ kínálata nyílt közkönyvtárakból,
döntéstámogatás,
információ grafikus megjelenítése,
képernyôszöveg (teletext),
elektronikus levelezés ("electronic mail"),
elektronikus adatcsere,
dokumentumok elküldése hálózatokon stb.

Különös jelentôségû informatika-alkalmazások

Ugyancsak gyakran találkozunk különbözô (tipikusnak nevezhetô) szoftver-fejlesztô rendszerekkel, amelyek azonban az általunk értelmezett alkalmazói körben nem tekinthetôk jellemzô alkalmazásoknak.

A szemelvényszerûen felsorolt, valamint a felsorolásban nem szereplô rendszerekkel szemben általános érvénnyel fennáll a Bevezetés c. fejezetben említett öt alapkövetelmény. Ezek teljesülését veszélyeztetô fenyegetettségeket "alapfenyegetettség" megnevezésû csoportokba soroltuk.

Az informatikai biztonsági koncepció kialakításához a szervezetben már alkalmazott vagy alkalmazni kívánt valamennyi rendszerre vonatkozóan az itt felsorolt alapfenyegetettségek megválaszolása nélkülözhetetlen.

Kérdések a "rendelkezésre állás elvesztése" alapfenyegetettséghez:

Az egész informatikai alkalmazásnak vagy egyes szolgáltatásainak a munka szempontjából folyamatosan rendelkezésre kell-e állni?
Jelentôséggel bír-e a szervezeti egység számára, hogy a programok és adatok (egyes programok és adatok) állandóan hozzáférhetôk legyenek, rendelkezésre álljanak?
Elhalasztható-e a szervezet szempontjából idôlegesen valamely feldolgozás anélkül, hogy károkat okozna?
Az alkalmazás valahol máshol is megvalósítható-e?
Milyen kiadással jár, hogy a számításokat valahol máshol végezzék el?
Milyen következményekkel járhat az informatikai rendszer kiesése, például a felhasználó zavarba kerülése, a szavahihetôség elvesztése, gazdasági veszteségek?
Milyen problémákat okozhatnak az adatvesztések?
Pótolhatók, illetve rekonstruálhatók-e az elveszett adatok?
Milyen ráfordítást igényel az adatok rekonstruálása?
Hány fontos ügyfelet érintene az informatikai rendszer kiesése?
Veszélyeztetheti-e az informatikai rendszer kiesése a szervezetet, vagy más szervet, egységet (önkormányzat, dekoncentrált szervezet, állam)?
Van-e az informatikai rendszer használatának alternatívája, például lehetséges-e a manuális feldolgozás?
Milyen következményekkel jár a szervezetre, vagy együttmûködô partnereire nézve, ha a kommunikációs összeköttetések kiesnek?
Milyen követelményei vannak a felhasználónak a rendelkezésre állás vonatkozásában?

Kérdések a "sértetlenség elvesztése" alapfenyegetettséghez:

A megváltoztatott programfutások kihatásai veszélyeztethetnek-e embereket?
Törvényi rendelkezések megkövetelik-e az adatok sértetlenségét?
A rendeltetésszerû vagy elôírt feldolgozás különleges fontosságú-e?
Veszélyt jelent-e az adatok nemkívánatos módosítása, megváltoztatása?
Milyen következményekkel járhat az adatok nemkívánatos módosítása, megváltoztatása?
Milyen természetû károkat okozhat helytelen vagy nem teljes adatok bevitele vagy kiadása?
Milyen károkat okozhat hamis, vagy nem teljes adatok továbbítása?
A felhasználó számára mennyire fontos az adatok és a lefutások sértetlensége?

Kérdések a "bizalmasság elvesztése" alapfenyegetettséghez:

Az adatok nyilvánosságra kerülése által személyeknek okozott károktól kell-e tartani?
Mely törvényi elôírások követelik meg az adatok bizalmasságát. titkosságát?
Törvényi korlátozások hatálya alá tartoznak-e a feldolgozandó adatok (mint például a személyeket illetô adatok az adatvédelmi törvény hatálya alá)?
Az adatok nyilvánosságra kerülése esetén várható-e büntetô eljárás?
A feldolgozandó adatok üzemi szempontból bizalmasak vagy minôsítettek-e?
Okozhat-e károkat, a szervezeti célok szempontjából, a meg nem engedett információ-kiszivárgás?
Bekövetkezhet-e a meg nem engedett információ-kiszivárgások következtében gazdasági veszteség?
Okozhat-e kárt az adott szervezetnek az adatok nyilvánosságra hozása?
Milyen értékkel bírnak az adatok kívülállók számára?
Mennyibe kerülne egy konkurensnek, hogy adatokhoz jusson?
Elônyökben reménykedhet-e a konkurencia az adatokba való betekintés következtében?
A továbbított, közvetített adatok kívülállók tudomására jutása jelent-e veszélyt?
A kommunikációs kapcsolatoknak titokban kell-e maradniuk?
Az adatok nem szándékolt továbbítása harmadik személy számára okozhat-e károkat?
Bizalmasak-e a gazdasági kapcsolatok?
A felhasználó megköveteli-e a bizalmasságot?

Kérdések a "hitelesség elvesztése" alapfenyegetettséghez:

Szükség van-e az üzenet/adatállomány létrehozójának hiteles azonosítására?
Szükség van-e az üzenet/adatállomány létrehozójának bizonyítható azonosítására?
Szükség van-e az üzenet címzettjének, adatállomány felhasználójának hiteles azonosítására?
Szükség van-e az üzenet címzettjének, adatállomány felhasználójának bizonyítható azonosítására?
Szükség van-e az üzenet elküldésének illetve fogadásának bizonyítására?

Kérdések a "mûködôképesség elvesztése" alapfenyegetettséghez:

Milyen módon veszélyezteti a rendelkezésre állást és a sértetlenséget a mûködôképesség elvesztése?
Milyen következményei vannak annak, ha a helyi hálózat nem mûködôképes?
Milyen következményekkel jár az környezeti infrastruktúra teljes vagy részleges bénulása?
Milyen következményekkel jár a mûködtetô személyzet teljes vagy részleges kiesése?
Milyen veszélyeket rejt a rendszer- és alkalmazói szoftver meghibásodása?