Napjainkban a hagyományos termelési folyamatok egyre inkább automatizálódnak. Ez a tendencia jellemző minden olyan vállalatra, amely részben, vagy teljesen információ feldolgozással foglalkozik. A vállalatok életét egyre inkább átszövi az információ technológia, illetve ennek kiszolgáló ipara az informatika.
Vajon az ön vállalata képes lenne kezelni teljes informatikai rendszerének leállását? Képes lenne kezelni információs vagyona elvesztését?
Nemzetközi felmérések azt mutatják, hogy azon vállalatok, amelyek elvesztik információs vagyonukat 91%-os aránnyal a megsemmisülést követő egy éven belül nem képesek folytatni tevékenységeiket.
Az információs rendszerek integrációjával, illetve az új technológiák egyre nagyobb előretörésével ez a veszély folyamatosan emelkedik.
Természetesen a vezetők mindent megtesznek azért, hogy ezt a veszélyt megelőzzék. Többnyire a vállalaton belül fellelhető szaktudás igénybevételével kívánják kezelni a problémát.
A folyamatosan érkező negatív tapasztalatok igazolják, hogy még a világ informatikai iparában vezető szerepet játszó cégeknél (Microsoft, NAI…) sem elegendő a magasan kvalifikált szakértők igénybevétele, a biztonsági kérdések hatékony orvoslásához olyan csapatot szükséges igénybe venni, amelyik folyamatosan képzi magát, és minden biztonsággal kapcsolatos információt elemez, értékel.
Ezt felismerve számos multinacionális cég külsős biztonsági csapatot bíz meg információs rendszerük biztosításával. Az eredmények magukért beszélnek, hiszen a profi cégek által felügyelt rendszerek minden esetben képesek az információs vagyon megőrzésére.
Információs rendszer felméréseAz informatikai biztonság szintjének emelése két egymással párhuzamosan folyó, összefüggő tevékenységsorozaton (alprojekt szervezetben) keresztül kerül bevezetésre. Az egyik alprojekt az informatikai(számítástechnikai) rendszer biztonsági szintjének javítását célozza (IT audit, RDBMS audit…), míg a másik az informatikai eljárások szabványosítását célozza (archiválás, felhasználókezelés…). Ilyen módon a projekt időbeli lefutásával számos termék készül, illetve kerül átadásra (informatikai biztonsági szabályzat, elkészített szoftverek, bevezetett szoftverek).
Jelen dokumentum célja, hogy ismertesse az alkalmazandó módszertant, illetve áttekintse azokat a dokumentáció megjelenésű szakmai termékeket, amelyek az informatikai biztonsági projekt ideje alatt átadásra kerülnek.
Megjegyzések:
A dokumentum nem tartalmazza az irányítási termékeket (pl.: Projekt Definíciós Memorandum…) amelyek a projekt irányítását támogatják. Ilyen komlex tevékenység csak a Megrendelővel közösen bevezetett eljárásokkal, illetve a helyben lévő tudás felhasználásával lehet sikeres, ilyen módon válhat a Megrendelő “tulajdonossá” a rendszerben. Elköteleztük magunk a PRINCE projektvezetési módszertan alkalmazása mellett.
A táblázatban felsorolásra kerülő termékek a projekt ideje alatt többször módosulnak, kiegészülnek, most csak az első előfordulást jelöljük, a módosításokat nem.
Jelen felsorolásban kereskedelmi okokból kizárólag az elemzés egyes lépéseit, tevékenységeit foglaltuk össze.
Az információs rendszer biztonsági felmérése az alábbi elemekből áll:
Hálózat, hálózati eszközök értékelése
Hardware elemek értékelése
Szerver operációs rendszerek értékelése
Adattárak, adatbázisok értékelése (részletesen külön fejezetben tárgyalva)
Alkalmazások értékelése
Internetes, és kapcsolt szolgáltatások elemzése
Üzemeltetési eljárások értékelése
Kapcsolódó rendszerek értékelése
Az “Informatikai alkalmazások feltérképezése” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: Az informatika-alkalmazások feltérképezése;
2. feladat: Igény esetén a különleges szolgáltatások feltérképezése;
3. feladat: Az informatikai rendszerben feldolgozásra kerülő valamennyi adat feltérképezése.
A “Feldolgozandó adatok” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: A felhasználó védelmi céljainak leírása;
2. feladat: Az ötrészes értékskála rögzítése;
3. feladat: Az értékek hozzárendelése az informatika-alkalmazásokhoz és az adatokhoz.
A “Fegyegetett rendszerelemek feltérképezése” szakasz megvalósítása során a következő feladatokat kell végrehajtani:
1. feladat: A rendszerelemek feltérképezése,
2. feladat: A rendszerelemek kölcsönös függőségeinek leírása.
Az “Alapfenyegetettség meghatározása” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: A fenyegető tényezők és a rendszerelemek összerendelése;
2. feladat: Az összerendelések dokumentálása.
A “Fenyegető tényezők” szakasz megvalósítása során a következő feladatokat kell végrehajtani:
1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése;
2. feladat: A fenyegető tényezők meghatározása.
A “Károk értékeinek meghatározása” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: Az értékek átvitele a rendszerelemekre;
2. feladat: A károk áttekintő ábrázolása.
A “Károk gyakoriságának meghatározása” szakasz végrehajtása a következő feladatokra bontható:
1. feladat: Az ötrészes gyakorisági skála rögzítése;
2. feladat: A gyakorisági értékek hozzárendelése a fenyegető tényezőkhöz.
A “Fennálló kockázat meghatározása, és leírása” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: Valamennyi kárérték összeállítása egy áttekintésben;
2. feladat: Az elviselhető és az elviselhetetlen kockázatok rögzítése;3. feladat: Az elviselhető és az elviselhetetlen kockázatok megjelölése az áttekintésben.
Az “Intézkedések kiválasztása” megvalósítása a következő feladatokra bontható:
1. feladat: Az elviselhetetlen kockázatok összeállítása;
2. feladat: Az intézkedések kiválasztása.
Az “Intézkedések értékelése” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegető tényező feltérképezése;
2. feladat: Az intézkedések kölcsönhatásának leírása;
3. feladat: Az üzemmenetre való kihatások vizsgálata;
4. feladat: Vizsgálat az előírásokkal való egyezésre vonatkozóan;
5. feladat: Az intézkedések hatékonyságának értékelése.
A “Költséghaszon arány elemzése” szakasz megvalósítása a következő feladatokra bontható:
1. feladat: Az intézkedések költségeinek megállapítása;
2. feladat: Az elfogadhatóság vizsgálata.
A “Maradványkockázat elemzése” szakasz megvalósítása a következő feladatokra bontható:
Az Informatikai Biztonsági Szabályzat (IBSZ) áttekintése1. feladat: A hatékonysági értékek bedolgozása a kockázat-áttekintésbe;
2. feladat: A maradványkockázat elemzése.
Az Informatikai Biztonsági Szabályzat egy olyan belső szervezeti intézkedés, amely a szervezeten belül működtetett informatikai rendszerekre vonatkozóan szabályozza az informatikai rendszerrel kapcsolatos biztonsági intézkedéseket, szervesen illeszkedve a szervezet egyéb működési és ügyrendi előírásaihoz. A számítástechnika védelménél többről van szó, mert a számítástechnikai eszközök az informatikai rendszer részei, és azokhoz hozzátartozik a környezeti infrastruktúra, a hardver, az adathordozók, a dokumentumok, a szoftverek, az adatok, a kommunikáció és személyek elemcsoport valamennyi eleme.
Az Informatikai Biztonsági Szabályzatban olyan intézkedéseket kell tenni, amelyek ezen rendszerelemekre korlátozódnak és az előírások lehetővé teszik az informatikai rendszerre irányuló veszélyek, fenyegető tényezők hatásainak elviselhető mértékűre való csökkentését.
Az informatika-védelem jelenlegi szabályozása három szinten valósul meg:
1. szint: adatvédelmi
törvények,
2. szint: műszaki normatívák, szabványok, irányelvek, rendeletek,
3. szint: helyi szabályzatok.
Az első szinten lévő adatvédelmi törvények az adatvédelmi rendszer kereteit határozzák meg, ugyanis egy általános védelmi rendszer teljes köre egy adott pillanatban nem határozható meg, az dinamikusan változik és az információrendszer jellegétől függően más és más szabályhalmazt jelent. Természetes, hogy nem azonos a biztonsági igénye egy ügyviteli adatfeldolgozó rendszernek és egy technológiai folyamatot értékelő programnak. Így az informatikai rendszer bármilyen szintű kialakítása során egyedileg kell megvizsgálni és megszervezni a védelmi környezetet, a terület sajátosságaihoz alkalmazkodva.
A második szinthez tartozó műszaki normatívák, szabványok, irányelvek, rendeletek védelmi körbe soroljuk:
· a beruházásokra vonatkozó jogszabályokat,
· nemzeti és nemzetközi szabványokat, ajánlásokat,
· általános és speciális iratkezelésre vonatkozó irányelveket (levéltár),
· specifikus titokvédelmi szabályozásokat, rendeleteket,
· stb.
A harmadik szinten jelennek meg a védelmi rendszer konkrét intézkedési elemei. A szervezet belső rendjét előíró szabályozásoknak az alábbi területeken kell teljesen összhangban lenniük a kialakítandó Informatikai Biztonsági Szabályzattal:
Az irányítás területéről:
· a szervezeti rend (Szervezeti és Működési Szabályzat),
· a szervezeti ügymenet rendje (Ügyrend),
· a munkavállalás rendje,
· a titkos ügykezelés rendje (TÜK),
· a külföldi kapcsolati rendszer szabályai,
· a tömegkommunikációs kapcsolatokra vonatkozó előírások stb.
A technikai területről:
· az ügyiratkezelés rendszere (Iratkezelési Szabályzat),
· a hírközlési eszközök használata,
· selejtezési, megsemmisítési eljárások,
· a sokszorosítás, kiadványozás előírásai,
· biztonságtechnikai házirend, rendészeti előírások,
· tárolási, szállítási előírások stb.
Az IBSZ készítésének alapelvei
a) Az Informatikai Biztonsági Szabályzatból mellőzendő a magasabb szintű szabályozások ismétlése.
b) Az Informatikai Biztonsági Szabályzatban fogalmazottak ne általánosságokra, hanem konkrétumokra vonatkozzanak.
c) Az Informatikai Biztonsági Szabályzat nem hozhat létre a szervezet működésétől független vagy attól idegen struktúrát, mechanizmusának végrehajtónak kell lennie, amely csak egy adott szemszögből vizsgálja a folyamatokat.
d) Az Informatikai Biztonsági Szabályzat adaptív és koordinatív típusú legyen, ne váltsa fel és ne írja felül a szervezetnek és működésének rendjét, csak teremtse meg annak biztonságos környezetét.
e) Az Informatikai Biztonsági Szabályzat metodikailag vagy önmaga tartalmazza a többi szabályzatban átvezetendő új szempontokat, vagy azokban kell a szükséges módosításokat átvezetni és az IBSZ-ben csak utalni rájuk. A két alternatíva közötti döntést a terjedelemnek, a terjesztési körnek, a téma jellegének kell motiválnia.
Az IBSZ tartalmára csak tematikai és módszertani jellegű ajánlásokat tehetünk. Az adott intézménynél egy megfelelő, jó Informatikai Biztonsági Szabályzatot csak a tények és a körülmények ismeretében lehet készíteni, megfelelő szakmai közreműködéssel. Az alábbiakban ilyen típusú metodikai szempontokat fogalmazunk meg.
a) Az IBSZ minősítése
Az IBSZ minősítését, annak tartalma alapján, a szervezet vezetője határozza meg.
b) Az IBSZ hatálya
Az adatvédelmi rendelkezések hatályán túl a szervezeten belüli konkrét helyekre és konkrét eszközökre vonatkozik, amelyek gyakorlatilag megegyeznek a rendszerelemekkel.
Ehhez meg kell vizsgálni, fel kell térképezni a szervezet informatikai rendszereinek elemeit.
c) Az IBSZ biztonsági fokozata
Itt egyértelműen rögzíteni célszerű, hogy az adott szervezet informatikai rendszerén kezelni kíván-e minősített adatokat, információkat. Ez határozza meg a biztonsági fokozatok egyikét.
d) Rendelkezés a kapcsolódó szabályozásokról
Ha valamelyik előírás az adatvédelem szempontjából módosításra, finomításra szorulna, e helyen kell rendelkezni azok átvezetéséről.
e) A műszaki-technikai, szakmai védelmi intézkedések
Ezen a helyen kell a rendszerelemek védelmére kialakított konkrét műszaki védelmi megoldásokat felsorolni.
· Infrastruktúrához kapcsolódó védelmi intézkedések:
- számítógépet tartalmazó helyiségekbe való belépés rendje,
- központi géptermek védelmi előírásai,
- áramellátás szolgáltatási rendje,
- telefon kapcsolódás feltételei,
- tároló-helyiségekre vonatkozó előírások stb.· Hardverekhez kapcsolódó védelmi intézkedések:
- kezelési előírások,
- szállítási rend,
- felhasználói terminálokra vonatkozó előírások,
- központi gépekre vonatkozó előírások,
- speciális biztonsági eszközök alkalmazása stb.· Adathordozókhoz kapcsolódó védelmi intézkedések:
- floppyk, mágnesszalagok használatának rendje,
- biztonsági másolatok készítésének és tárolásának rendje,
- munkamásolatok készítési és tárolási rendje,
- adathordozók raktározási, hozzájutási, selejtezési rendje,
- adathordozók nyilvántartási rendje,
- titkosítási célra felhasználható adathordozók használata,
- archiválási rend stb.· Dokumentumokhoz kapcsolódó védelmi intézkedések:
- rendszerleírások kezelési, tárolási rendje,
- rendszerprogram dokumentációk kezelési, tárolási rendje,
- felhasználói dokumentációk kezelési, tárolási rendje,
- számítógéppel készített iratok nyilvántartási rendje,
- automatizált ügyirat kezelés rendje,
- szerződésben megjelenő adatvédelmi intézkedések,
- fenti iratok selejtezési rendje stb.· Szoftverekhez kapcsolódó védelmi intézkedések:
- rendszerprogramok bevezetésének, használatának rendje,
- alkalmazói programok bevezetésének rendje,
- vírusellenőrzési mechanizmus előírása,
- vírusészleléssel kapcsolatos viselkedési előírások,
- programtervezési előírások,
- biztonságot támogató programok használatának rendje,
- egyéb célú programok használatának rendje stb.· Adatokhoz kapcsolódó védelmi intézkedések:
- saját dolgozókról vezetett nyilvántartási előírások,
- egyéb személyekről vezetett nyilvántartási előírások,
- adatbeviteli előírások,
- adat-feldolgozási előírások,
- adatszolgáltatási előírások,
- adat kiadmányozási előírások,
- állandó és ideiglenes adattárolási előírások,
- adattitkosítási, rejtjelezési előírások stb.· Kommunikációhoz kapcsolódó védelmi intézkedések:
- adattovábbítási előírások,
- adatfogadási előírások,
- minősített adatok továbbításának rendje,
- kommunikáció ellenőrzési előírások,
- quot;adatzsilipelési" előírások stb.· Személyekhez kapcsolódó védelmi intézkedések:
- az üzemeltető személyzet feladatai, kötelességei,
- a rendszergazda feladatai, kötelességei,
- az adatvédelmi megbízott(ak) feladatai, kötelességei,
- a karbantartó személyzet viselkedési szabályai,
- az őrző személyzet kötelességei,
- a segédszemélyzet feladatai stb.
f) Eljárási szabályok
E címszó alatt kell meghatározni mindazokat a külön eljárásokat, amelyek az egyes kérdésköröknél tematikusan nem merültek fel. Ilyenek például:
· a nemzetközi adatátvitel eljárási szabályai,
· mágneses adathordozón lévő és vizuálisan nem értelmezhető adatok belföldre, illetve külföldre vitelének ellenőrzési szempontjai,
· a hazai és nemzetközi kapcsolatok létesítésével kapcsolatos külön előírások,
g) Értelmezések
Célszerű a legfontosabb fogalmakat megmagyarázni.
h) Mellékletek