Minta: Informatikai Biztonsági Szabályzat

Informatikai Biztonsági Szabályzat

=Általános Rendelkezések=

Az IBSZ célja
A jelen Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) célja, hogy a Hungary Zrt-nél (a továbbiakban vállalat) működtetett informatikai rendszerre vonatkozóan a biztonsági intézkedéseket szabályozza, meghatározza a számítástechnikai eszközök beszerzésének és használatának, a szoftverkészítés és alkalmazás, az adatkezelés folyamatának biztonsági szabályait, továbbá az informatikai szerepköröket, és előírja az egyes szereplők informatikai biztonságot érintő feladatait.

Az IBSZ által biztosítható:

A titok-, vagyon- és tűzvédelemre vonatkozó előírások betartása.

A személyiségi jogok kellő védelme.

Az üzemeltetett számítástechnikai eszközök, hardverek, szoftverek, hálózatok, stb. rendeltetésszerű használata és megfelelő üzemvitele.

Az üzembiztonságot szolgáló műszaki fenntartási és karbantartási teendők elvégzése.

A számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő károk megelőzése, illetve minimális mértékűre való csökkentése.

Az adatállományok formai és tartalmi helyességének és épségének megőrzése.

Az alkalmazott szoftverek sértetlenségének, megbízható működésének biztosítása.

Az adatállományok biztonságos mentése.

A felhasznált és keletkezett írásos dokumentumok megfelelő kezelésének biztosítása.

Annak rögzítése, hogy mi a szervezetek vezető beosztású és az informatikai feladatokat irányító dolgozóinak a feladata, felelőssége és a jogköre az informatikai biztonság tekintetében.

A jogosultság és a hozzáférés rendszerének dokumentált kialakítása.

A célok elérése érdekében a védelemnek működnie kell az egyes rendszerelemek fennállásának teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül a felszámolásukig, és azt követően az elévülés, illetve a selejtezhetőség időtartama alatt.

=Alapul vett irányelvek, követendő szabványok, ajánlások=

Az IBSZ mint az információvédelem szabályozásának elsődleges eszköze, a vállalat működési területén szükségszerűen a hatályos jogszabályok, szabványok, ajánlások előírásain alapul. Ezek jellemzően a következők:

1995. évi LXV. törvény. az államtitokról és a szolgálati titokról,

79/1995. (VI. 30.) Korm. rendelet a minősített adat kezelésének rendjéről,

43/1994. (III. 29.) Korm. rendelet a rejtjeltevékenységről,

1992. évi LXIII. törvény. a személyi adatok védelméről és a közérdekű adatok nyilvánosságáról, (hatályon kívül)

1992. évi XXIII. törvény. a köztisztviselők jogállásáról,

1992. évi XXXIII. törvény a közalkalmazottak jogállásáról,

233/2001. (XII.10.) Korm. rendelet a közszolgálati jogviszonnyal összefüggő adatkezelésre és közszolgálati nyilvántartásra vonatkozó szabályokról,

7/2002. (III. 12.) BM rendelet a közszolgálati nyilvántartás egyes kérdéseiről,

1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről.,

Tűzvédelmi Szabályzat,

A Vállalat Közszolgálati Adatvédelmi Szabályzata,

A vagyonvédelemmel kapcsolatos rendelkezések,

Az informatikai rendszerekre vonatkozó szabványok, ajánlások (elsősorban a MeH ITB 12. ajánlása),

A vállalat tevékenységét a rá vonatkozó Szervezeti és Működési Szabályzat (a továbbiakban SZMSZ), valamint az ebből, a szakági utasításokból és a magasabb jogszabályokból levezetett ügyrendek, eljárásrendek és belső szabályzatok szabályozzák. A belső, helyi szabályozások kiadása az intézményvezető felelőssége. [ISO/IEC 27001, 27002, COBIT]

=A szabályzat felülvizsgálatának rendje, hatálya=

A felülvizsgálatot évente vagy ha a működés rendjében változás történik az igazgatótanács végzi el, s a felülvizsgálat tényét ellenőrzési lapon dokumentálja, melyet irattárba helyez.

Felülvizsgálat szükséges jogszabályváltozások esetén is, a jogszabályokban jelzett határidőig.

A szabályzatot és módosításait külső auditor véleményezi és fogad

ja el.

A szabályzatot és módosításait a tulajdonos hagyja jóvá.

Az IBSZ területi hatálya
Az IBSZ rendelkezéseinek teljes körű és értelemszerű alkalmazása a vállalat-nak az XYZ utca xy sz. alatti épületeiben (továbbiakban telephelyek) elhelyezett valamennyi szervezeti egységére nézve kötelező, a vállalat költségvetési intézményei számára pedig iránymutató.

Az IBSZ személyi hatálya
kiterjed a vállalat minden felhasználójára. A vállalattal nem jogviszonyban állók esetében gondoskodni kell arról a szerződéskötőnek, foglalkoztatónak, illetékes főosztályvezetőnek stb., hogy a szerződésekben az IBSZ megfelelő előírásai kötelezettségként megjelenjenek.

Az IBSZ tárgyi hatálya
kiterjed a hivatal valamennyi telephelyén lévő:

a vállalat szervezeti egységei által használt, vagy általuk tárolt valamennyi informatikai berendezésre, beleértve a berendezések műszaki dokumentációját is;

rendszerprogramokra és a felhasználói programokra;

védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk, valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól függetlenül;

adathordozókra, azok tárolására és felhasználására, beleértve a feldolgozásra beérkezés és a felhasználókhoz történő eljuttatás folyamatait is;

az informatikai folyamatban szereplő valamennyi dokumentációra.

Az IBSZ területi, személyi és tárgyi hatálya kiterjed a vállalat Gazdasági Igazgatóságra. A vállalat Gazdasági Igazgatósággal szerződéses viszonyban és nem munkajogi kapcsolatban állók esetében a szerződéskötőnek gondoskodnia kell arról, hogy a szerződésekben az IBSZ megfelelő előírásai kötelezettségként megjelenjenek.

A felhasználók számára az IBSZ megismertetésére az Informatikai Főosztály az informatikai oktatás részeként központi oktatást szervez.

Az IBSZ rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljes körűen alkalmazni kell. A szabályozás hatályba lépésének időpontjában már üzemeltetett rendszer esetében egyedi eltérés az informatikai biztonsági felügyelő jóváhagyásával meghatározott, átmeneti időszakra megengedhető.

=Szabályozási elemek=

Informatikai biztonsági útmutató – IBU
Ezt a munkatársak belépésükkor aláírják (a többiek a HR döntése szerinti időpontban).

Azonosító: Pmt.

Hatályba lépés:

Felelős:

Készítés dátuma:

Ellenőrizte:

Ellenőrzés dátuma:

Jóváhagyta:

Jóváhagyás dátuma:

Kapják: ..., ... szervezeti egységei

Felülvizsgálta:

Felülvizsgálat dátuma:

Felhasználói biztonsági szabályzat
Az XYZ Vállalat a munkavégzéshez megfelelő számítástechnikai hátteret biztosít, a biztosított eszközöket azonban kizárólag munkavégzés céljára lehet használni.

A biztosított eszközök az XYZ Vállalat tulajdonát képezik.

Eszközökkel kapcsolatos szabályok

 * Amennyiben a felhasználó bármilyen biztonsági problémát vagy hibát észlel azonnal köteles értesíteni a HelpDesket.


 * Tilos az eszközöket és azok részeit áthelyezni, burkolatukat, csatlakozásaikat megbontani.


 * Tilos az eszközök közelében enni, inni, dohányozni.

Jelszó kezeléssel kapcsolatos szabályok

 * A felhasználó 3 havonta köteles jelszavait lecserélni.


 * A jelszó minimum 8 karakter hosszú, (kicsi és nagy) betűket és számokat is kell tartalmaznia.


 * A jelszó nem írható le semmilyen jól látható, vagy könnyen hozzáférhető helyre.


 * Tilos a névre szóló jelszó kiadása más felhasználók számára.

Szoftverekkel kapcsolatos szabályok

 * Az XYZ Vállalat kizárólag jogtiszta szoftverekkel dolgozik.


 * A jogtisztaság biztosítása az IT Igazgatóság felelőssége, ezért tilos az IT Igazgatóság munkatársain kívül bármely más felhasználónak bármilyen terjesztési engedéllyel (freeware, shareware, stb.) rendelkező szoftvert, a cég tulajdonát képező számítógépre feltelepíteni=Szoftverek törlését is csak a az IT Igazgatóság munkatársai végezhetik el. Ez alól kivételt képeznek a víruskeresők, melyek fertőzés esetén jogosultak a számítógépről fájlokat törölni.

Adatvédelmi szabályok

 * A felhasználók számára tilos bármilyen adathordozóra adatokat lementeniük a számítógépükről vagy a szerverekről. Külső adathordozót (Pen drive, CD/DVD stb.), csak az IT igazgatóság munkatársai csatlakoztathatnak a számítástechnikai eszközökhöz.


 * A munkahely elhagyása esetén a számítógépet zárolni kell a "Windows" + "L" billentyűk egyidejű lenyomásával, illetve olyan képernyővédőt kell beállítani, melyek jelszóval engedik csak a gép feloldását.


 * A személyes, munkához közvetlenül nem kapcsolódó állományok tárolása mind a munkaállomásokon, mind a szervereken nem engedélyezett.


 * A számítógépen tilos mappa megosztást definiálni, működtetni. Kivétel ez alól a minden számítógépen létrehozott osztott (Shared) mappa. Használatuk kizárólag arra az esetre vonatkozik, amikor a számítástechnikai eszközök között - üzleti céllal - adatállomány-mozgatás történik. Ezen mappákban tilos állományokat tároIni!

Internethasználattal kapcsolatos szabályok

 * Tilos a munkahelyen minden valós idejű kommunikációs program használata=Ide tartozik az MSN, ICQ, IRC, és egyéb hasonló üzenetküldő használata. Tilos továbbá web- felületen keresztül elérhetö valós idejű üzenetküldő úgynevezett "chat" program használata. Indokolt esetben az informatika osztály jogosult központilag tiltani ezen alkalmazásokhoz szükséges feltételeket.


 * Tilos a munkahelyi internet kapcsolaton keresztül minden olyan program és egyéb fájlletöltése, ami nem a munkavégzéshez szükséges.


 * Fájlok külső szerverekre való feltöltése minden esetben tiltott. Kivételt képez ez alól a cég által bérelt ftp szerverekre való feltöltés.


 * Tilos minden internetes online sugárzott műsor (ide tartoznak a rádió, televízió műsorok) hallgatása, megtekintése az internet sávszélesség indokolatlan csökkentése miatt. Az Informatikai üzemeltetési és fejlesztési Igazgatóság jogosult az internet kapcsolat sávszélességének és forgalmának ellenőrzésére, korlátozására, amennyiben azt valamilyen konkrét észrevétel indokolja, hogy az internet kapcsolat optimális kihasználtságát, vagy a munkát hátráltatja.


 * Nem üzleti célú (webfelület alapú) levelezés nem engedélyezett munkaidőn belül a munkahelyi számítógépeken.


 * Mindenféle fájlmegosztó alkalmazás használata az XYZ Vállalat Csoport számítástechnikai eszközein tiltott.

Vírusvédelmi szabályok

 * A számítógépen vírusellenörző program fut, mely a gép működése közben automatikusan figyeli a rendszert. A vírusellenörző programot leállítani és annak működésébe beavatkozni szigorúan tilos.


 * Minden fájlművelet előtt ez a program ellenőrzi a megnyitott fájlokat. Bármilyen, adatbiztonságot veszélyeztető esemény figyelmeztetése jelenik meg a felhasználó monitorán, azonnal értesítenie kell a rendszergazdát, hogy a megfelelő lépésekkel megakadályozhassák a kártékony programok további fertőzéseit. Ugyanerről az eseményről a vírusirtó program elektronikus üzenetet küld rendszergazdák számára.


 * Vírustalálat esetében a munkát azonnali hatállyal fel kell függeszteni, a számítógépet az adathálózatról le kell választani és megkezdeni az okok feltárását és a helyreállítást.

Az utasítás tudomásul vételének igazolása

 * Minden jelen utasítás hatálya alá tartozó személy jogállásától, jogviszonyától függetlenül, 3 munkanapon belül köteles a szolgálati út betartásával a jelen utasítás 1. sz. mellékletét képező jognyilatkozatot saját kezűleg hiánytalanul kitölteni és továbbítani a HR Igazgatóságnak.

Felhasználói nyilatkozat
Számítástechnikai Felhasználói Biztonsági Szabályzatot elolvastam, tudomásul vettem és elfogadom.

Munkáltató megnevezése:

Név:

Munkakör:

Dátum:

Aláírás:

A Felhasználói nyilatkozat átvettem

Munkáltató megnevezése:

Dátum:

Aláírás:

Alapfogalmak az ISO27001 szabványban
Az ISO27001 szabvány az alábbi általános fogalmakat fejti ki kiegészítve a szabvány elején található szakkifejezéssekkel:

Alapfogalmak
Vagyontárgy (asset) - Bármi, ami a szervezet számára érték. [ISO 27001 / 3.1]

Rendelkezésre állás (availability) - Olyan tulajdonság, amely lehetővé teszi, hogy az adott objektum. feljogosított entitás által támasztott igény alapján hozzáférhető és igénybe vehető legyen. [ISO 27001 / 3.2]

Bizalmasság, titkosság (confidentiality) - Olyan tulajdonság, amely biztosítja, hogy az információt jogosulatlan egyének, entitások vagy folyamatok számára nem teszik hozzáférhetővé, és nem hozzák azok tudomására. [ISO 27001 / 3.3]

Információbiztonság (information security) - Az információ bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése; továbbá, egyéb tulajdonságok, mint a hitelesség, a számonkérhetőség, a letagadhatatlanság és a megbízhatóság, szintén ide tartozhatnak. [ISO 27001 / 3.4]

Információbiztonsági esemény (information security event) - Valamely rendszer, szolgáltatás, illetve hálózat meghatározott állapotának előfordulása, amely az információbiztonsági szabályzat lehetséges megsértésére, vagy a biztonsági ellenintézkedések hiányára, vagy a biztonsággal esetleg összefüggő, korábban nem ismert helyzetre utal. [ISO 27001 / 3.5]

Információbiztonsági incidens (information security incident) - Nem kívánt, illetve nem várt egyedi vagy sorozatos információbiztonsági események, amelyek nagy valószínűséggel veszélyeztetik a működési tevékenységet és fenyegetik az információk biztonságát. [ISO 27001 / 3.6]

Információbiztonsági irányítási rendszer (information security management system) ISMS - Az átfogó irányítási rendszernek az a része, amely. egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva. Kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. MEGJEGYZÉS: Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. [ISO 27001 / 3.7]

Sértetlenség (integrity) - A vagyontárgyak pontosságának és teljességének védelmét biztosító tulajdonság. [ISO 27001 / 3.8]

Maradványkockázat (residual risk) - A kockázat kezelése után fennmaradó kockázat. [ISO 27001 / 3.9]

Kockázatelfogadás (risk acceptance) - Döntés egy kockázat jóváhagyásáról [ISO 27001 / 3.10]

Kockázatelemzés (risk analysis) - Az információ módszeres felhasználása az erőforrások azonosítására és kockázatbecslésre. [ISO 27001 / 3.11]

Kockázatfelmérés (risk assessment) - A kockázatelemzés és kockázatértékelés átfogó folyamata. [ISO 27001 / 3.12]

Kockázatértékelés (risk evaluation) - A becsült kockázat és az adott kockázati ismérvek (kritériumok) összehasonlításának folyamata a kockázat jelentőségének meghatározása céljából. [ISO 27001 / 3.13]

Kockázatkezelés (risk management) - Összehangolt tevékenységek egy szervezet kockázati szempontból történő irányítására és ellenőrzésére. [ISO 27001 / 3.14]

Kockázatfejlesztés (risk treatment) - Folyamat intézkedések kiválasztására és végrehajtására a kockázat módosítása érdekében. [ISO 27001 / 3.15]

Alkalmazhatósági nyilatkozat (statement of applicability) - A szervezet ISMS-ére vonatkoztatható és alkalmazható szabályozási célokat és intézkedéseket leíró dokumentált nyilatkozat. MEGJEGYZÉS: A szabályozási célok és intézkedések a kockázatfelmérési és kockázatjavítási folyamatok eredményein és következtetésein, a jogi, illetve szabályozási követelményeken, a szerződéses kötelezettségeken, valamint a szervezetnek az információbiztonsággal szemben támasztott működési követelményein alapulnak. [ISO 27001 / 3.16]

Kockázatkezelési alapfogalmak
Az ISO27001 szabványban nagy szerepet kapnak a kockázatkezelés egyes szakkifejezései, amelyeket a szabvány az ISO Guide 73 alapján értelmez (lásd feljebb az Alapfogalmak címszónál). A következőkben az ISO Guide 73:2002-ben szereplő többi, kockázatkezeléssel kapcsolatos szakkifejezés és meghatározása található:

Esemény (event) - A körülmények egy adott összességének bekövetkezése.

Valószínűség (probability) - Annak a mértéke, hogy egy esemény milyen eséllyel következik be.

Következmény (consequence) - Egy esemény eredménye.

Mérséklés (mitigation) - Egy adott esemény negatív következményének korlátozása.

Kockázat (risk) - Egy esemény valószínűségének és következményének kombinációja.

Kockázati forrás (source) - Dolog vagy tevékenység, amely valamilyen következményt idézhet elő.

Kockázati szempontok (risk criteria) - Hivatkozási alap, amely szerint a kockázat jelentőségének felmérése történik. [ISO 27001 / 12.oldal Kiegészítő szakkifejezés-magyarázatok]

Érintett (stakeholder) - Tetszőleges egyén, csoport vagy szervezet, amely befolyással lehet egy adott kockázatra, illetőleg amelyet e kockázat befolyásolhat, esetleg úgy érzékeli, hogy befolyásolhatja őt.

Érdekelt fél (interested parties) - Személy vagy csoport, amelynek érdeke fűződik egy szervezet teljesítményéhez vagy sikeréhez.

Kockázatkezelési rendszer (risk management system) - Egy szervezet irányítási rendszerének azon elemei, amelyek a kockázat kezelésével foglalkoznak.

Kockázatérzékelés (risk perception) - Az, ahogy egy érintett egy adott kockázatot felfog bizonyos értékekből és szempontokból kiindulva.

Kockázatismertetés (risk communication) - Kockázatra vonatkozó információ cseréje vagy megosztása a döntéshozó és más érintettek között.

Kockázatazonosítás (risk identification) - A kockázat egyes elemeinek megtalálása, összegyűjtése és jellemzése.

Forrásazonosítás (source identification) - A kockázati források megtalálása, összegyűjtése és jellemzése.

Kockázatbecslés (risk estimation) - Folyamat, amelynek segítségével értékeket rendelnek a kockázat valószínűségéhez és következményeihez.

Kockázatfelügyelet (risk control) - A kockázatkezelés döntéseit megvalósító tevékenységek.

Kockázatoptimalizálás (risk optimization) - Folyamat, amely. egy kockázathoz kapcsolódóan. minimalizálja annak negatív és maximalizálja annak pozitív következményeit, valamint ezek vonatkozó valószínűségeit.

Kockázatcsökkentés (risk reduction) - Intézkedések, amelyeket egy kockázattal kapcsolatos valószínűség vagy a negatív következmények (vagy mindkettő) enyhítésére hoztak.

Kockázatelkerülés (risk avoidance) - Döntés bizonyos kockázati helyzetbe jutás megakadályozásáról, illetve intézkedés az ilyen helyzetből való kijutás érdekében.

Kockázatáthárítás (risk transfer) - Egy adott kockázatból származó kár terhének. vagy hasznának. másik féllel történő megosztása.

Kockázatvállalás (risk retention) - Egy adott kockázatból származó kár terhének. vagy hasznának. tudomásul vétele. [ISO 27001 / 13.oldal Kiegészítő szakkifejezés-magyarázatok]

Kockázatfinanszírozás (risk financing) - Pénzügyi támogatás biztosítása a kockázatfejlesztés megvalósításának költségeire és más kapcsolódó költségekre.

Maradványkockázat (residual risk) - Az a kockázat, ami a kockázatfejlesztés után megmarad. [ISO 27001 / 14.oldal Kiegészítő szakkifejezés-magyarázatok]

Egyéb alapfogalmak
Az ISO27001 előfordulnak olyan további szakkifejezések is, amelyek nem szerepelnek a szabvány szakkifejezései és meghatározásaik között (lásd a feljebb Alapfogalamak címszónál), azonban a magyar megfelelőjének helyes értelmezéséhez további magyarázatra lehet szükség. A legfontosabb ilyen szakkifejezések meghatározása a következőkben található:

Érzékeny rendszer (sensitive system) - Érzékeny információkat kezelő és feldolgozó rendszer. Az információ akkor tekinthető érzékenynek, ha az információhoz való jogosulatlan hozzáférés súlyos következményekkel járhat az érdekelt felek számára (pl.tulajdonos, üzemeltető, felhasználó).

Beültetett kód (trojan code) - Olyan rosszindulatú programkód, amely nem közvetlenül, illetve azonnal, hanem közvetetten és áttételeken keresztül, rendszerint időben jóval a beültetés (tulajdonképpen a szoftver megrontása) után fejti ki nem kívánt hatását.

Bevált gyakorlat (best practice) - Olyan rutinszerűen végzett tevékenység, amely széles körű tapasztalatokon alapul, és több, különböző szervezetben is eredményesnek bizonyult. Megjegyzés: Gyakran félrevezetően "legjobb gyakorlat"-nak nevezik. Azonban semmilyen "adott körben és időszakban" bevált gyakorlat sem ad garanciát arra, hogy nem létezhet nála jobb gyakorlat.

Továbbvitel (escalation) - Egy incidensre, problémára vagy változtatásra vonatkozó információ továbbadása nagyobb befolyással rendelkező személynek vagy más, nagyobb szakértelemmel rendelkező szakértőnek, és/vagy intézkedés kérése tőlük.

Helyreállítás (restoration) - Egy szolgáltatás akkor tekinthető helyreállítottnak, ha a felhasználó újra képes az általa végzett tevékenység keretében feladatot végrehajtani, azaz a rendszer és a rendelkezésre álló adatok visszaállítása megtörtént, a szükséges teszteket elvégezték, a felhasználót tájékoztatták, és minden elveszett munkát újra elvégeztek.

Meghibásodás (failure) - Akkor következik be, amikor valamilyen funkcionális egység (pl. berendezés, szoftver) alkalmatlanná válik rendeltetése betöltésére.

Megoldás (resolution) - Az a tevékenység, amely egy incidenst követően újra lehetővé teszi a felhasználók számára feladataik végzését. Ez lehet akár ideiglenes megkerülő megoldás, akár a hibás részegység végleges megjavítása vagy cseréje.

Változásfelügyelet (change control) - Azok az eljárások, amelyek biztosítják, hogy minden változtatás ellenőrzött legyen, beleértve annak kérelmezését, rögzítését, elemzését, a vonatkozó döntés meghozását, jóváhagyását, kivitelezését és a változtatás megvalósítás utáni áttekintését is. [ISO 27001 / 14.oldal Egyébb-szakkifejezések]

=Szerepkörök=

Meg kell határozni a folyamat kulcsfontosságú tevékenységeit és végtermékeit. Egyértelmű szerepköröket és felelősségeket kell kijelölni és ismertetni azokat a kulcsfontosságú tevékenységek es dokumentálásuk eredményes és hatékony végrehajtása, valamint a folyamat végtermékeiért való elszámoltathatóság biztosítása érdekében.

Szerepkörök és felelősségek kialakítása
Az informatikai munkatársak és a végfelhasználók szerepköreit és felelősségeit oly módon kell kialakítani, és ismertetni, hogy az informatikai munkatársak és a felhasználók között el legyen különítve a hatáskör, a felelősségek és a szervezet igényeinek kielégítéséért való felelősség tekintetében.

Megfelelő eljárásokat kell megvalósítani a felügyeltre vonatkozóan az informatikai funkción belül annak biztosítása érdekében, hogy a szerepköröket és felelősségeket szabályosan gyakoroljak, valamint annak felmérése érdekében, hogy az összes munkatárs rendelkezik-e a szerepeik és felelősségi köreik teljesítéséhez szükséges megfelelő hatáskörrel és erőforrásokkal, valamint általában a KPI-k (kulcsfontosságú teljesítmény indikátorok) szemmel tartása végett.

A szerepköröket és felelősségeket oly módon kell megosztani, amely csökkenti annak lehetőségét, hogy egyetlen egy ne veszélyeztethessen egy kritikus fontosságú folyamatot.

Gondoskodni kell arról, hogy a munkatársak csak a munkakörüknek és beosztásuknak megfelelő, engedélyezett feladatokat hajtsanak végre. [COBIT 4.1:2007]

Rendszergazda
A rendszergazda számára több automatizált programcsomag áll rendelkezésére, amely segít a biztonság folyamatos szinten tartásában a logok elemzésével, a gyanús programok megkeresésében, stb. Az alapos adminisztrátor tudja használni ezeket, de nem csak ezekre támaszkodik, hiszen neki is érteni kell a gyanús jelek felismeréséhez és a megfelelő intézkedések – amelynek természetesen összhangban kell lenniük a biztonsági politikával - megtételéhez.

A rendszergazda felelőssége
Vállalati környezetben a biztonsági házirend része kell, legyen, hogy a vírusellenőrző programok működésének beállítása a rendszergazda feladata és felelőssége, és a felhasználó nemhogy engedélyt, de lehetőséget sem kaphat a vírusvédelmi beállítások bármilyen módosítására.

A jó rendszergazda nem várja meg, amíg betörnek hozzá, hanem proaktívan védekezik.

Kialakítja a rendszer biztonságát, a biztonságpolitikával összhangban.

Gyakran a hacker fejével kell gondolkoznia, ismernie kell a betörési módszereket és meg kell vizsgálnia, hogy rendszere ezek ellen védve van-e, mivel egyik rendszer sem statikus, vagyis nap, mint nap újabb biztonsági lyukak kerülhetnek felszínre.

Követnie kell a megfelelő internetes fórumokat, a gyártó híreit, hogy minél előbb tudomást szerezzen az esetleges problémákról.

Folyamatosan figyelemmel kíséri a gép működését, nem csak a betörések jeleit, hanem az esetleges – legális felhasználók által – elkövetett tevékenységeket, amelyek a rendszer biztonságát veszélyeztetik.

A természetes tevékenységek, mint a rendszeres mentés és karbantartás is a rendszergazda feladatai.

A rendszergazda feladatai
A rendszergazda feladata a hálózat és a hálózatban részt vevő egységek biztonságának megoldása, felügyelete, javaslatok megtétele a biztonsági hiányosságok pótlására. Felelős az informatikai rendszerek üzembiztonságáért, szerverek adatairól biztonsági másolatok készítéséért és karbantartásáért. Gondoskodik a rendszer kritikus részeinek újra indíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról. Feladata a védelmi eszközök működésének folyamatos ellenőrzése. Felelős a vállalkozás informatikai rendszer hardver eszközeinek karbantartásáért. Nyilvántartja a beszerzett, illetve üzemeltetett hardver és szoftver eszközöket. Gondoskodik a folyamatos vírusvédelemről. Folyamatosan figyelemmel kíséri és vizsgálja a rendszer működésére és biztonsága szempontjából a lényeges paraméterek alakulását. Ellenőrzi a rendszer adminisztrációját.

Különbséget kell tennünk az adatbázis adminisztrátori és a biztonsági adminisztrátori felelősségek és jogkörök között. A biztonsági adminisztrátor egy központi konzolról állítja be a visszafejtési jogokat. Ha az adatbázis adminisztrátornak az ő, az adatok adminisztrációját érintő adatbázis-konfigurációs, vagy bármilyen az adatokkal kapcsolatos munkájához szüksége van arra, hogy rendelkezhessen valamelyik titkosított adat felett, akkor megkapja ezt a jogot a biztonsági adminisztrátortól. Amint erre a jogra már nincs szüksége, vissza lehet tőle venni. Így nem neki kell erre figyelnie, és mégis teljesül, hogy bizonyos kényes jogokat csak addig birtokol, ameddig a munkájához szüksége van rá. Ehelyett, és az egyéb biztonsági funkciók ellátása helyett tud az egyéb biztonsági funkciók ellátására koncentrálni, hiszen a biztonsági ügyeket átveszi tőle a biztonsági adminisztrátor.

Az adatbázis adminisztrátor feladatai
Az adatbázist meg kell tervezni, dokumentálni, a következő lépésekben:

Adatbázis-kezelő szoftverkomponenseinek kezelése.
 * adatmodell kialakítása,
 * az adatbázis objektumainak definiálása,
 * keresési stratégiák megválasztása (indexelés),
 * jogosultságok adása és szabályozása.

Fejlesztési projektekhez kapcsolódó Oracle és SQL Server adatbázisok üzemeltetése.

Mentési és helyreállítási környezet, tervezése, kialakítása és adminisztrálása.

Adatbázisséma változáshoz kapcsolódó verzió-scriptek írása.

Lekérdezések készítése, optimalizálása.

Különböző adatbázis kezelő rendszerek közti adatáttöltő csomagok készítése.

Adatbázis szerverek telepítése, üzemeltetése, hibaelhárítása.

Rendszerhasználat támogató munkatárs
A felhasználók tevékenységére vonatkozó adatokat is védeni kell, mert azok összegyűjtésével és későbbi elemzésével jelentős mennyiségű információhoz lehet jutni, a hozzáférés védelmi rendszer megkerülésével.

Védelmi előírások
A felhasználó erőforrás, vagy szolgáltatás használatakor ne legyen jogosulatlanul azonosítható (anonimity).

Az adat felhasználás ténye, módja számon kérhetőségét biztosítani kell (pseudominity).

Amennyiben a felhasználó több erőforrást, szolgáltatást is használ, ne legyenek ezek megállapíthatók (unlinkability).

A felhasználás tényének védelme, mely szerint ne lehessen erőforrás, vagy szolgáltatás felhasználásairól jogosulatlanul adatokat gyűjteni (unobservability).

Az informatikai biztonsági vezető
Az informatikai biztonsági vezető általános feladata az üzemeltetett informatikai és távközlési rendszerek információvédelmével összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek országos hatáskörű és társasági szintű tervezése, szervezése, irányítása, koordinálása és ellenőrzése. Feladatait az Informatikai biztonsági szervezeti egység munkatársainak bevonásával látja el.

Feladatai az informatikai biztonság területén
Felméri és elemzi a működésből eredő, az adat- és az információvédelemmel összefüggő veszélyforrásokat.

Kidolgozza és döntésre előterjeszti az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat, utasításokat, terveket és irányelveket.

Szakmai szempontból, közvetlenül irányítja a használt informatikai rendszerek információvédelmét.

Szakmai szempontból irányítja az Informatikai biztonságra vonatkozó oktatást.

Szakmai szempontból egyezeti a rendszerszintű IBSZ-ek tervezetét.

Elemzéseket végez, szükség esetén javaslatokat tesz a megfelelő adat- és információvédelmi intézkedésekre, valamint a biztonságos működéssel összefüggő szabályok megváltoztatására.

Ellenőrzi az adat- és információvédelmi előírások végrehajtását.

Végzi az informatikai rendszerek információvédelmében vállalkozóként résztvevő gazdasági társaságok szakmai irányítását, ellenőrzi tevékenységüket.

Végzi az informatikai biztonsági felelősök és szervezetek szakmai irányítását.

Jogosult:

A vizsgálati tevékenysége során, a használatban lévő bármilyen iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába való betekintésre.

A kezelésben, vagy használatban levő helyiségekben a berendezések, különösen az informatikai eszközök vizsgálatára.

Részt vesz:

a rendkívüli események kezelésére szolgáló tervek elkészítésében, azok naprakészen tartásában;

az Informatikai biztonság szempontjából fontosnak minősített munkakörök betöltési szabályainak, feltételeinek meghatározásában;

a biztonsági követelmények és az előírások betartásának ellenőrzésében.

[Az informatikai biztonság kézikönyve, 2007 Budapest Kiadó: Szakkiadó Kft.]

Szakterületek

 * tervezés és szervezet


 * beszerzés és rendszermegvalósítás


 * szolgáltatás és támogatás


 * monitorozás és kiértékelés

Az informatikai rendszer folyamat alapon strukturált vizsgálata jelentősen megkönnyíti az ellenőrök helyzetét, hisz ha a vizsgálat célpontjául szolgáló informatikai tevékenységeket a COBIT folyamatokon végigmenve azonosítják, akkor a vizsgálatból egyetlen informatikai tevékenység sem marad ki.

A jelentések számítástechnikai környezetére vonatkozó követelmények:

adatok bizalmas kezelése

alkalmazói rendszerek a felhasználói specifikációknak és igényeknek megfelelő funkcionalitása

adatok rendelkezésre állása

adatfeldolgozási folyamat és üzemeltetés megfelelése

[Az Informatikai biztonság kézikönyve, 27. aktualizálás Verlag Dashöfer, Budapest, 2007. november]

Biztonsági irányelvek dokumentuma rögzíti
a cég tulajdonában lévő adatvagyon elemeinek érzékenységét, védelmi szinteket, és a biztonsági osztályozási rendszert

figyelembe veendő jogszabályokat, szabványokat

kockázatkezelésre vonatkozó elveket

információvédelemre, megbízható működésre vonatkozó elveket

belső személyzettel, és a külső partnerekkel kapcsolatos biztonságpolitikát

biztonsági ellenőrzés rendszerét

biztonság központi menedzselését

biztonsági feladatok megosztására vonatkozó elveket

Információ biztonsági politika
Az információbiztonsági szabályzat dokumentuma:

a vezetésnek információbiztonsági szabályzatot kell jóváhagynia, azt közzé kell tennie és ismertetnie kell valamennyi alkalmazottal és a megfelelő külső partnerekkel.

Az információbiztonsági szabályzat átvizsgálása:

az információbiztonsági szabályzatot meghatározott időközönként, illetve lényeges változások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon.

=Informatikai biztonsági rendelkezések, szabályozandó kérdések, eljárásrendek=

Kockázatkezelés
Célja

Kritikus rendszerek meghatározása, a folyamatos működésüket lassító vagy megszüntető veszélyforrások meghatározása, azok bekövetkezési valószínűségének vizsgálata és az általuk okozott kár felbecsülése. A megállapított kockázatok elkerülésére, észlelésére és/vagy elhárítására védelmi politikák kidolgozása.

Kockázatbecslés (risk estimation)
Folyamat, amelynek segítségével értékeket rendelnek a kockázat valószínűségéhez és következményeihez. [ISO/IEC 27001:2006]

Kockázat becslés főbb lépései
Meghatározni a vállalat működése szempontjából kritikus rendszereket.

Ezen rendszerek működését lassító vagy megakasztó veszélyforrásokat.

Célszerű kockázat mátrixot készíteni:

Elemezni a veszélyforrások bekövetkezési valószínűségét.

Elemezni a veszélyforrások által okozott kárt.

Kockázatok kategorizálása.

Külső és belső sérülékenység vizsgálatok
hatókör

felhasznált eszközök

eljárási rend

az eredmények közlése

az eredmények feldolgozása

Vagyonleltár
Intézkedés

Valamennyi vagyontárgyat egyértelműen azonosítani kell és valamennyi fontos vagyontárgyról leltárt kell felvenni és azt meg kell őrizni. [MSZ ISO/IEC 27001:2006]

Kockázatkezelés (risk management)
Összehangolt tevékenységek egy szervezet kockázati szempontból történő irányítására és ellenőrzésére. [ISO/IEC Guide 73:2002]

A kockázatkezelés fázisai
Kockázat azonosítás (a lehetséges kockázatok közül meghatározni a valószínű kockázatokat)

Kockázat elemzés (megbecsülni a kockázatbekövetkezésének valószínűségét és kihatását)

Kockázat tervezés (intézkedési tervek készítése a kockázat csökkentésére, illetve a teendőkre a bekövetkezésének esetére)

Kockázat figyelés (állandó monitorozás és terv revízió)

Védekezési stratégiák
Védekezési stratégiák kidolgozása Prevention szintre.

Védekezési stratégiák kidolgozása Detection szintre.

Védekezési stratégiák kidolgozása Correction szintre.

Egyéb teendők
Költségvetés készítés a kidolgozott stratégiákra.

Elviselhető kockázatok meghatározása.

Katasztrófa tervek készítése az üzletmenet folytonosság fenntartásának érdekében.

Prezentálás a vezetőség felé.

Kockázat felügyelet (risk control)
A kockázatkezelés döntéseit megvalósító tevékenységek. [ISO/IEC 27001:2006]

Információbiztonsági politika
Control objective: Vezetői iránymutatás és támogatás nyújtása az információbiztonság a működés követelményeinek, valamint a vonatkozó törvényeknek és szabályozásnak megfelelően.

Az információbiztonsági szabályzat átvizsgálása
Control measure: Az információbiztonsági szabályzatot meghatározott időközönként, illetve lényeges változtatások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon. [ISO 27001/5.1, 5.1.2.]

Figyelemmel követés (monitoring)
Control objective: A jogosulatlan információ-feldolgozó tevékenységek észlelése.

Audit naplózása
Control measure: A felhasználói tevékenységekről, kizárásokról, és az információbiztonsági eseményekről audit naplókat kell vezetni, és azokat meghatározott időtartamig meg kell őrizni. [ISO 27001/10, 10.10.1.]

Információs rendszerek auditálásának szempontjai
Control Objective: Az információs rendszerek átvizsgálati folyamata eredményességének maximalizálása és a folyamatot érő vagy az általa okozott zavarok minimalizálása.

Információs rendszerek auditjával kapcsolatos intézkedések
Control measure: Az auditálásra és a működő rendszerek ellenőrzéseit is magukban foglaló tevékenységekre vonatkozó követelményeket gondosan meg kell tervezni és azokat egyeztetni kell, hogy a működés megszakadásának kockázata minimális legyen.

====Információs rendszerek auditeszközeinek védelme [Information technology - Security techniques - Information security management systems - Requirements Reference number: ISO/IEC 27001:2005 (E) Copyright © ISO/IEC 2005]====

Control measure: Az információs rendszerek auditálására szolgáló eszközöket védeni kell minden esetleges visszaéléstől, illetve rongálástól. [ISO 27001/15.3]

Jogosultságkezelés célja
Annak szabályozása, hogy csak azok férjenek hozzá az informatikai rendszerben tárolt adatokhoz és szolgáltatásokhoz, akiknek azokhoz szükséges hozzáférniük és természetesen akiknek mi előzetesen felhatalmazást adtunk rá.

Jogosultságkezelés során felhasznált eszközök
Azonosító - Minden egyes felhasználónak saját személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie. [ISO/IEC 27001 / A11.5.2]

Jelszó - „Valami, amit tudunk” Egy olyan egyedi karaktersorozat, amely az adott azonosítóval párosítva egyértelműen alkalmas a felhasználó azonosítására, és megfelel a jelszóval szemben támasztott követelményeknek.

Kulcs alapú azonosító - „Valami, amit birtoklunk” Egy a felhasználó birtokában lévő tárggyal azonosítjuk magunkat, ez lehet mechanikus kulcs, elektronikus kulcs, vagy intelligens kulcs.

Biometrikus azonosító - „Valami, ami mi vagyunk” A felhasználó valamilyen tulajdonságát veszi alapul, legjellemzőbb és legelterjedtebb az ujjlenyomat alapú azonosítás.

Integrált jogosultság kezelő rendszer - Az integrált jogosultság kezelő rendszer lehetővé teszi, hogy a felhasználók a jogosultságuk szerinti különböző felhasználói azonosítókkal és jelszavakkal elérhető más rendszereket, alkalmazásokat, adatokat egy központi jelszó megadásával elérjék, valamint a rendszer a más rendszerek, alkalmazások, adatok eléréséhez szükséges jelszavakat automatikusan, a meghatározott módon, a kívánt erősségűre generálja, a bejelentkezési és azonosítási folyamatokat elvégezze. [Központi jogosultság és felhasználó menedzsment rendszerek fontossága az E-világban /2.1]

Központi felhasználó menedzsment rendszer - A központi felhasználó menedzsment rendszer megoldást nyújt egy informatikai rendszer felhasználóinak mindenféle a rendszerrel kapcsolatos jogosultságainak kezelésére, a felhasználók szervezetbe történő belépésétől a szervezetben történő ténykedésein keresztül a szervezetből történő kilépésükig, és kiterjed más informatikai erőforrások, alkalmazások rendszerbe illesztése, módosítása, eltávolítása esetén szükséges felhasználói jogosultságok beállítására is. [Központi jogosultság és felhasználó menedzsment rendszerek fontossága az E-világban /2.2]

Jogosultságkezelés folyamat lépései
Hozzáférés ellenőrzés - Hozzáférés-ellenőrzési szabályzat: Dokumentált hozzáférés-ellenőrzési szabályzatot kell kialakítani és azt a hozzáférésre vonatkozó, működési és biztonsági követelmények alapján felül kell vizsgálni. [ISO/IEC 27001 / A11.1.1]

Felhasználói hozzáférés irányítása - Az első lépés mindig a felhasználó regisztrálása. Minden információs rendszerhez és azokon belül minden szolgáltatáshoz egy hivatalos regisztrálási eljárást kell kezdeményezni. Amennyiben a felhasználó regisztrálása megtörténik, úgy úgynevezett előjogokat és jelszavakat kell kiosztani a felhasználó számára, az előjogokat természetesen bizonyos időnként felül kell vizsgálni, a jelszavak kiosztását pedig folyamatosan felügyelni kell és a jogosultságokat időnként hivatalosan át kell vizsgálni. Amennyiben az alkalmazottnak megszűnik az alkalmazása, úgy a hozzáférésének jogosultságát meg kell szüntetni, változás esetén természetesen csak módosítani kell.

Felhasználói felelősségek - Azon túl, hogy szabályozzuk a felhasználók jogosultságait, minden a rendszerben regisztrált felhasználó felelősséggel tartozik a jelszavának védelméért, ehhez a következőket kell teljesíteni: A jelszóválasztásnál figyelembe kell venni, az azzal kapcsolatos alapvető biztonsági elvárásokat. A felhasználóktól meg kell követelni, hogy a jelszavak kiválasztásában és használatában a jó biztonság gyakorlatot kövessék. [ISO/IEC 27001 / A11.3.1] Védeni kell az őrizetlenül hagyott berendezéseket. A felhasználóknak biztosítaniuk kell az őrizetlenül hagyott berendezések megfelelő védelmét. [ISO/IEC 27001 / A11.3.2] Az úgynevezett „Tiszta asztal, tiszta képernyő” szabályzatot kell alkalmazni. Az iratok és eltávolítható adathordozók tekintetében a „tiszta asztal”, míg az információfeldolgozó eszközök tekintetében a „tiszta képernyő” szabályzatát kell alkalmazni. [ISO/IEC 27001 / A11.3.3]

Hálózati szintű hozzáférés ellenőrzés - Hálózati szolgáltatások használatára vonatkozó szabályzat: A felhasználók csak azokhoz a szolgáltatásokhoz kaphassanak hozzáférést, amelyek használatára kifejezett jogosultságuk van. [ISO/IEC 27001 / A11.4.1] Felhasználó hitelesítése külső csatlakozások esetén: A távoli felhasználók általi hozzáférés ellenőrzésére megfelelő hitelesítési eljárásokat kell alkalmazni. [ISO/IEC 27001 / A11.4.2] Berendezések azonosítása a hálózatokban: Az automatikus berendezésazonosítást úgy kell tekinteni, mint a speciális helyekről és berendezésekről megvalósuló összeköttetések hitelesítési módját. [ISO/IEC 27001 / A11.4.3] Távdiagnosztikai és konfigurációs portok védelme: A diagnosztikai és konfigurációs portokhoz való fizikai és logikai hozzáférést ellenőrizni kell. [ISO/IEC 27001 / A11.4.4] Elkülönítés a hálózatokban: Az információs szolgáltatások, a felhasználók és az információs rendszerek csoportjait el kell különíteni a hálózatokban. [ISO/IEC 27001 / A11.4.5] Hálózathoz való csatlakozás ellenőrzése: Megosztott hálózatoknál, különösen azoknál, amelyek a szervezet határain túlra nyúlnak, a hozzáférés-ellenőrzési szabályzattal és a működési alkalmazások követelményeivel összhangban, korlátozni kell a felhasználók hálózati csatlakozási képességeit. [ISO/IEC 27001 / A11.4.6] Hálózati útvonal ellenőrzése: A hálózatokban az útvonalellenőrzést kell bevezetni annak biztosítására, hogy a számítógépes összeköttetések és az információáramlás ne sértsék a működési alkalmazásokra vonatkozó hozzáférés-ellenőrzési szabályzatot. [ISO/IEC 27001 / A11.4.7]

Operációs rendszer szintű hozzáférés-ellenőrzés - Biztonságos bejelentkezési eljárások: Az operációs rendszerekhez való hozzáférést biztonságos bejelentkezési eljárásokkal kell ellenőrzés alatt tartani. [ISO/IEC 27001 / A11.5.1] Felhasználó azonosítása és hitelesítése: Minden egyes felhasználónak saját személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie, és alkalmas hitelesítési technikát kell választani a felhasználó állítólagos azonosságának igazolására. [ISO/IEC 27001 /A11.5.2] Jelszókezelő rendszer: A jelszavak kezelésére szolgáló rendszereknek interaktív rendszereknek kell lenniük és jó minőségű jelszavakat kell biztosítaniuk. [ISO/IEC 27001 / A11.5.3] Rendszer-segédprogramok használata: Korlátozni és szigorúan ellenőrizni kell a rendszer segédprogramjainak használatát, amelyek alkalmasak lehetnek a rendszer- és alkalmazásellenőrzés megkerülésére. [ISO/IEC 27001 / A11.5.4] Kapcsolati idő túllépése: Az inaktív összeköttetéseket meghatározott időtartamú inaktivitás után bontani kell. [ISO/IEC 27001 / A11.5.5] Az összeköttetés idejének korlátozása: A magas kockázatú alkalmazások kiegészítő biztonsága érdekében korlátozni kell az összeköttetés idejét. [ISO/IEC 27001 / A11.5.6]

Alkalmazás és információ szintű hozzáférés-ellenőrzés - Információ hozzáférés korlátozása: Az információkhoz és az alkalmazási rendszerek funkcióihoz való felhasználói és támogatószemélyzeti hozzáférést a kialakított hozzáférés-ellenőrzési szabályzattal összhangban korlátozni kell. [ISO/IEC 27001 / A11.6.1] Érzékeny rendszerek elkülönítése: Az érzékeny rendszereknek egy erre a célra létesített (elkülönített) számítógépes környezettel kell rendelkezniük. [ISO/IEC 27001 / A11.6.2]

Mobil számítógép használata és távmunka - Mobil számítógép használata és kommunikáció: Hivatalos szabályzatnak kell hatályban lennie és megfelelő biztonsági intézkedéseket kell elfogadni a mobil számítógép használatából és a mobil kommunikációs berendezések használatából eredő kockázatok elleni védekezés. [ISO/IEC 27001 / A11.7.1] Távmunka: A távmunkában folytatott tevékenységekre szabályzatot, üzemeltetési terveket és eljárásokat kell kidolgozni és megvalósítani. [ISO/IEC 27001 / A11.7.2]

A technikai különleges jogosultságok kezelése
Felhasználó - A felhasználók feladata, hogy a szerzett jogosultságukat, szakszerűen, indokoltan, a kapcsolódó szabályzatoknak megfelelően használják, munkaköri vagy jogviszony változás esetén a szervezeti egységük jogosultság intézőjénél haladéktalanul kezdeményezzék jogosultságuk módosítását, visszavonását. Minden felhasználónak haladéktalanul jelentenie kell a jogosultságigény engedélyezőnek, ha azt tapasztalja, hogy az ő vagy más jogosultságával visszaéltek, ha illetéktelen jogosultságokhoz jutott vagy meglévő jogosultságai változtak. A felhasználó hozzáférési probléma észlelése esetén a problémát köteles bejelenteni. [EMIR /6.4]

Adattulajdonos - Az adatgazda feladata és felelőssége a rendszerben tárolt adatok, információk védelme, a hozzáférés engedélyezése, tiltása. Ezen jogkörét az általa kijelölt jogosultság engedélyezőkön keresztül gyakorolja. Az adatgazda biztonsági vagy más indokok alapján dönthet a jogosultsági rendszer és a hozzáférések, jogosultságok teljes körű felülvizsgálatáról, illetve megújításának szükségességéről és annak módjáról. [EMIR /6.1]

Jogosultságigény engedélyező - A jogosultságigény engedélyezők felelősséggel tartoznak az általuk jóváhagyott kérelmek tartalmáért, különösen azért, hogy csak a velük munkavégzésre irányuló jogviszonyban álló felhasználóknak és csak a feladatellátáshoz szükséges, jogi és szabályozási feltételeknek megfelelő jogosultságot engedélyezhetik. Az engedélyezésnél az adott Informatikai Biztonsági Szabályzat figyelembevételével kell eljárni. A jogosultságigény engedélyezőnek irattáraznia kell a jogosultság kérelmezésekor, az igénylőlap továbbításával egyidejűleg, az igénylőlap eredeti, papír alapú, a felhasználó, a jogosultság intéző és az engedélyező aláírásával ellátott példányát, valamint bizonyos felhasználók esetében a titoktartási nyilatkozatot, amely bekerül a jogosultságkezelési nyilvántartásba. A jogosultságigény engedélyező, jogosultság intéző vagy a felhasználók kilépése esetén a jogosultság menedzsert haladéktalanul értesíteni kell a jogosultság visszavonás elindítása érdekében. [EMIR /6.3]

Adatbázis adminisztrátor - Az adatbázis-adminisztrátornak különböző területeken változatos feladatokat kell elvégeznie ahhoz, hogy egy cég adatai és adatbázisai hasznosak, használhatóak, elérhetőek, és korrektek legyenek. Ezek a területek magukban foglalják az adatbázistervet, a teljesítménymonitorozását, a hangolást, az adatbázis-elérhetőséget, a biztonságot, a mentést és a helyreállítást, az adatintegritást, a migrációt és igazában mindent, ami érinti a cég adatbázisait. [Debreceni Egyetem, Informatikai Kar, Adatbázis-adminisztráció]

Operációs rendszer rendszergazda - Minden olyan tevékenység elvégzése, amely az operációs rendszer biztonságos és gazdaságos üzemeltetésének rendszertechnikai feltételeit biztosítja.

Hálózati rendszergazda - A különböző szervezeti egységek munkájának ellenőrzése az adatbiztonság és a minősített adatok elektronikus kezelésének vonatkozásában. Az esetleges szabálytalanságok, biztonsági események kivizsgálása, jelentése. A hozzá érkezett bejelentések alapján kivizsgálja az adatfeldolgozás és adatkezelés biztonságát sértő eseményeket, az esetleges rossz szándékú hozzáférési kísérleteket, illetéktelen adatfelhasználást. Az eseménnyel kapcsolatban értékeli a rendszer eseménynaplóit. Javaslatot tesz a további intézkedésekre. Nyilvántartja és őrzi a stratégiailag fontos rendszer-felelősök belépési jelszavait. Ellenőrzi, hogy az informatikai rendszerben kialakított, aktuálisan beállított jogosultságok megegyeznek-e a jóváhagyott jogosultságokkal.

Jelszókezelés követelményei

 * A kezdetben generált jelszót az első bejelentkezés alkalmával kötelezően meg kell változtatni.


 * A jelszónak minden felhasználó számára bármikor szabadon megváltoztathatónak kell lennie.


 * A választott jelszó összefüggő szövegként soha ne legyen olvasható.


 * A jelszó és a hozzátartozó azonosító soha nem kerülhet egy postai küldeménybe, még elektronikus levelezés során sem.


 * A jelszó minimális hossza felhasználók esetében minimum 6 karakter, kiemeltebb jogosultság esetén 12 karakter hosszúnak kell lennie.


 * A biztonságos jelszó kialakításánál, a kisbetűk, nagybetűk, számok és speciális karakterek csoportok közül legalább 3 fajta típust tartalmaznia kell a választott jelszónak.


 * További feltétel, hogy nem tartalmazhatja a felhasználó nevét még részleteiben sem.


 * A jelszó maximális élettartama felhasználók esetén 90 nap, míg adminisztrátorok esetén 30 nap.


 * A jelszó egyediségét 3 ciklusra visszamenőleg ellenőrizni kell.


 * Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte azonnal le kell azt cserélnie.


 * A jelszó ne legyen kívülálló számára kitalálható, ne tartalmazzon a felhasználó személyére utaló információkat.


 * A jelszavakat nem szabad felírni, papíron tárolni, amennyiben az elkerülhetetlen (kezdetben generált jelszó esetén) gondoskodni kell a jelszó biztonságos helyen zárt borítékban történő tárolásáról.


 * Amennyiben a felhasználó multiplatformos környezetet vagy több hitelesítés igénylő alkalmazást használ lehetőség van a felhasználó számára egyetlen kellő hosszúságú és bonyolultságú jelszó alkalmazására.

A biztonságos jelszóhasználatot minden felhasználó számára oktatni kell. A felhasználókkal tudatosítani kell, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával mások hajtanak végre, az informatikai rendszer az ő „terhére” könyveli el, és azokért személyesen felel.

[Az informatikai biztonság kézikönyve]

Az informatikai eszközök biztonsága
Manapság egyre több helyen jelennek meg informatikai eszközök, egyre fontosabbak, hogy megvédjük ezeket az eszközöket külső vagy belső támadásoktól esetleg a felhasználók tapasztalatlanságától. Az informatikai eszközök biztonságába egyaránt beleértendők a hardver és a szoftver összetevők védelme.

Fizikai védelem és a környezet védelme
A fizikai védelmi intézkedések az információ feldolgozását kiszolgáló berendezések, helyiségek és az alkalmazottak védelmét szolgálják. Ilyenek például a vagyonvédelmi, a tűzjelző-, a beléptető- és a videó meg­figyelő­rend­szerek vagy akár a szünetmentes áram­források, védett kábelrendezők, klíma berendezések. 

Területek védelme, biztosítása
Cél: A szervezet helyiségeinek és információinak védelme, a jogosulatlan, illetéktelen fizikai behatolás, károkozás és zavarkeltés megakadályozása.

Fizikai biztonsági határzóna
Azokon a területeken, ahol információkat vagy információ-feldolgozó eszközöket tartanak, biztonsági határzónákat (lehatároló védfalakat, kártyával ellenőrzött beléptető kapukat, illetve személyzettel ellátott portaszolgálatot) kell alkalmazni e területek védelmére.

Fizikai belépés ellenőrzése
A biztonsági területeket a belépés megfelelő ellenőrzésével kell védeni, hogy e területekre csak a belépésre jogosultak juthassanak be.

Irodák, helyiségek és létesítmények védelme
Az irodák, helyiségek és létesítmények fizikai védelmét ki kell alakítani és azt alkalmazni kell.

Külső és környezeti veszélyekkel szembeni védelem
Ki kell alakítani a tűzvész, áradás, földrengés, robbanás, polgári zavargás, valamint a természeti és ember által előidézett katasztrófák más formái által okozott károk elleni védelmet és azt alkalmazni kell.

Munkavégzés biztonsági területeken
Ki kell alakítani és alkalmazni kell a biztonsági területeken történő munkavégzésre vonatkozó fizikai védelmeket és irányelveket.

Közforgalmi bejutási pontok, szállítási és rakodási területek
A szállítási és rakodási területek belépési pontjait, és egyéb olyan pontokat, amelyeken keresztül arra jogosulatlan egyének a helyiségekbe bejuthatnak, ellenőrizni kell, és lehetőség szerint, ezeket az illetéktelen hozzáférés megelőzése érdekében el kell különíteni az információ-feldolgozás létesítményeitől. [ISO 27001: 35. old. A 9.1]

Berendezések védelme
Cél: A vagyontárgyak elvesztésének, károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése.

Berendezések elhelyezése és védelme

A berendezéseket úgy kell elhelyezni, illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége.

Közműszolgáltatások
A berendezéseket védeni kell a közüzemi létesítményekben bekövetkező meghibásodások okozta áramkimaradásoktól és más kiesésektől.

Kábelbiztonság
Az adatátvitelt bonyolító, illetve az információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot védeni kell a lehallgatástól és a károsodástól.

Berendezések karbantartása
A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.

Berendezések biztonsága a telephelyen kívül

A telephelyen kívüli berendezések biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.

Berendezések biztonságos selejtezése, illetve újrafelhasználása

Valamennyi olyan berendezést, amely tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.

Vagyontárgyak eltávolítása
Berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetők ki a telephelyről. [ISO 27001: 36. old. A 9.2]

Logikai védelem és hozzáférés-ellenőrzés
A logikai védelmi intézkedések, megoldások az adatok bizalmas kezelését, sértetlenségének megőrzését, és folyamatos rendelkezésre állását biztosítják. Néhány példa a teljesség igénye nélkül: vírusvédelem, tűzfalak, behatolás-érzékelő rendszerek, autentikációs rendszerek, nyilvános kulcsú infrastruktúra a digitális aláírás és titkosítás megvalósítására, tartalomszűrés, virtuális magánhálózat a bizalmas kommunikációhoz, mentési/archiválási rendszerek. 

A hozzáférés-ellenőrzéshez fűződő működési követelmény
Cél: Az információkhoz való hozzáférés ellenőrzése.

Hozzáférés-ellenőrzési szabályzat
Dokumentált hozzáférés-ellenőrzési szabályzatot kell kialakítani és azt a hozzáférésre vonatkozó, működési és biztonsági követelmények alapján felül kell vizsgálni. [ISO 27001: 40. old. A 11.1]

Felhasználói hozzáférés irányítása
Cél: Az információs rendszerekhez való jogosult hozzáférés biztosítása, illetve a jogosulatlan hozzáférés megakadályozása.

Felhasználók regisztrálása
Valamennyi információs rendszerhez és szolgáltatáshoz való hozzáférés megadására és visszavonására hivatalos felhasználó regisztrálási és regisztráció megszüntetési eljárást kell alkalmazni.

Előjogok kezelése
Az előjogok kiosztását és használatát korlátozni és ellenőrizni kell.

Felhasználói jelszavak kezelése
A jelszavak kiosztását hivatalos kezelési folyamattal kell ellenőrizni.

Felhasználói hozzáférési jogosultságok átvizsgálása
A vezetőségnek rendszeres időközönként hivatalos folyamattal át kell vizsgálnia a felhasználói hozzáférési jogosultságokat. [ISO 27001: 40. old. A 11.2]

Felhasználói felelősségek
Cél: A jogosulatlan felhasználói hozzáférés, valamint az információk és információfeldolgozó eszközök megrongálásának, illetve eltulajdonításának megelőzése.

Jelszóhasználat
A felhasználóktól meg kell követelni, hogy a jelszavak kiválasztásában és használatában a jó biztonság gyakorlatot kövessék.

Őrizetlenül hagyott felhasználói berendezések
A felhasználóknak biztosítaniuk kell az őrizetlenül hagyott berendezések megfelelő védelmét.

A "Tiszta asztal, tiszta képernyő" szabályzata
Az iratok és eltávolítható adathordozók tekintetében a "tiszta asztal", míg az információfeldolgozó eszközök tekintetében a "tiszta képernyő" szabályzatát kell alkalmazni. [ISO 27001: 41. old. A 11.3]

Hálózati szintű hozzáférés ellenőrzés
Cél: A hálózatos szolgáltatásokhoz való jogosulatlan hozzáférés megakadályozása

Hálózati szolgáltatások használatára vonatkozó szabályzat
A felhasználók csak azokhoz a szolgáltatásokhoz kaphassanak hozzáférést, amelyek használatára kifejezett jogosultságuk van.

Felhasználó hitelesítése külső csatlakozások esetén
A távoli felhasználók általi hozzáférés ellenőrzésére megfelelő hitelesítési eljárásokat kell alkalmazni.

Berendezések azonosítása a hálózatokban
Az automatikus berendezés azonosítást úgy kell tekinteni, mint a speciális helyekről és elrendezésekről megvalósuló összeköttetések hitelesítési módját.

Távdiagnosztikai és konfigurációs portok védelme
A diagnosztikai és konfigurációs portokhoz való fizikai és logikai hozzáférést ellenőrizni kell.

Elkülönítés a hálózatokban
Az információs szolgáltatások, a felhasználók és az információs rendszerek csoportjait el kell különíteni a hálózatokban.

Hálózathoz való csatlakozás ellenőrzése
Megosztott hálózatoknál, különösen azoknál, amelyek a szervezet határain túlra nyúlnak, a hozzáférés-ellenőrzési szabályzattal és a működési alkalmazások követelményeivel összhangban, korlátozni kell a felhasználók hálózati csatlakozási képességeit.

Hálózati útvonal ellenőrzése
A hálózatokban az útvonal ellenőrzést kell bevezetni annak biztosítására, hogy a számítógépes összeköttetések és az információáramlás ne sértsék a működési alkalmazásokra vonatkozó hozzáférés-ellenőrzési szabályzatot. [ISO 27001: 41. old. A 11.4]

Operációs rendszer szintű hozzáférés-ellenőrzés
Cél: Az operációs rendszerekhez való jogosulatlan hozzáférés megelőzése

Biztonságos bejelentkezési eljárások
Az operációs rendszerekhez való hozzáférést biztonságos bejelentkezési eljárásokkal kell ellenőrzés alatt tartani.

Felhasználó azonosítása és hitelesítése
Minden egyes felhasználónak saját személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie, és alkalmas hitelesítési technikát kell választani a felhasználó állítólagos azonosságának igazolására.

Jelszókezelő rendszer
A jelszavak kezelésére szolgáló rendszereknek interaktív rendszereknek kell lenniük és jó minőségű jelszavakat kell biztosítaniuk.

Rendszer-segédprogramok használata
Korlátozni és szigorúan ellenőrizni kell a rendszer segédprogramjainak használatát, amelyek alkalmasak lehetnek a rendszer- és alkalmazásellenőrzés megkerülésére.

Kapcsolati idő túllépése
Az inaktív összeköttetéseket meghatározott időtartamú inaktivitás után bontani kell.

Az összeköttetés idejének korlátozása
A magas kockázatú alkalmazások kiegészítő biztonsága érdekében korlátozni kell az összeköttetés idejét. [ISO 27001: 41. old. A 11.5]

Alkalmazás és információ szintű hozzáférés-ellenőrzés
Cél: Az alkalmazási rendszerekben tárolt információhoz való jogosulatlan hozzáférés megelőzése.

Információ hozzáférés korlátozása
Az információkhoz és az alkalmazási rendszerek funkcióihoz való felhasználói és támogatószemélyzeti hozzáférést a kialakított hozzáférés-ellenőrzési szabályzattal összhangban korlátozni kell.

Érzékeny rendszerek elkülönítése
Az érzékeny rendszereknek egy erre a célra létesített (elkülönített) számítógépes környezettel kell rendelkezniük. [ISO 27001: 42. old. A 11.6]

Mobil számítógép használata és távmunka
Cél: Az információbiztonság megőrzése mobil számítógép használatra és távmunka végzésére szolgáló berendezések használata esetén

Mobil számítógép használata és kommunikáció
Hivatalos szabályzatnak kell hatályban lennie és megfelelő biztonsági intézkedéseket kell elfogadni a mobil számítógép használatából és a mobil kommunikációs berendezések használatából eredő kockázatok elleni védekezés.

Távmunka
A távmunkában folytatott tevékenységekre szabályzatot, üzemeltetési terveket és eljárásokat kell kidolgozni és megvalósítani. [ISO 27001: 42. old. A 11.7]

Perifériákról általában
A periféria egy olyan számítógépes hardver, amivel egy gazda számítógép képességeit bővíthetjük. A fogalom szűkebb értelemben használva azon eszközökre értendő, amelyek opcionális természetűek, szemben azokkal, melyekre vagy minden esetben igény van, vagy elengedhetetlen fogalmi alapkövetelmény jelenlétük. A fogalmat általában azokra az eszközökre alkalmazzák, melyek külsőleg csatlakoznak a gazdagéphez, tipikusan egy számítógépes buszon keresztül, mint például az USB. Tipikus példa a joystick, nyomtató, és lapolvasó. Az olyan eszköz, mint például monitor és a lemezmeghajtó manapság azért nem számít perifériának, mert igazából nem opcionálisak, a videó digitalizáló kártya pedig azért nem, mert belső eszköz. [ http://hu.wikipedia.org/wiki/Periféria ]

Adathordozók kezelése
Cél: Vagyontárgyak illetéktelen kiadásának, módosításának, eltávolításának, vagy tönkretételének, valamint aműködési tevékenységek megszakadásának megelőzése.

Az eltávolítható adathordozók kezelése

Intézkedés: Az eltávolítható adathordozók kezelésére megfelelő eljárásokat kell alkalmazni.

Adathordozók selejtezése

Intézkedés: A feleslegessé vált adathordozókat hivatalos eljárásokkal védett módon és biztonságosan le kell selejtezni, vagy meg kell semmisíteni.

Információkezelési eljárások

Intézkedés: Eljárásokat kell kialakítani az információ kezelésére és tárolására, annak érdekében, hogy az ilyen információt a jogosulatlan feltárástól, vagy a visszaéléstől meg lehessen óvni.

Rendszerdokumentáció védelme

Intézkedés: A rendszerdokumentációt védeni kell a jogosulatlan hozzáféréstől. [ISO 27001: 38. old. A 10.7]

Adathordozók biztonsági tárolása
Az üzletmenet szempontjából alapvető fontosságú informatikai rendszerek adatait tervezett módon, rendszeresen olyan biztonsági adathordozókra kell menteni, amelyekről egy esetleges üzemzavar esetén egy utolsó, működőképes állapotot vissza lehet állítani. A biztonság érdekében a mentések egyik példányát az informatikai központtól távol kell elhelyezni. A biztonsági másolatok olyan készletét kell ilyen módon tárolni, amelyből újraindíthatók a számítógépes rendszerek [ http://www.pannonarchiv.hu/index.php/adathordozo-kezeles ]

A berendezések védelme
Az elektronikus adatfeldolgozó berendezéseket vagy azok részegységeit, tartozékait, az adattároló eszközöket fizikailag védeni kell az eltulajdonítástól, sérüléstől, meghibásodástól, megsemmisüléstől. Ennek lehetséges módszerei az eszközök elzárása, az eszközöket működtető szoftverek védelme, az illetéktelen telepítések kizárása, az eszközöket tároló helyiségekbe belépés korlátozása, rendszeres ellenőrzés és karbantartás, szünetmentes áramforrás, tűzvédelem, biztonsági őrzés, az adatok biztonsági mentése.

A kommunikációs hálózat védelme
Az elektronikus adatfeldolgozó berendezések hálózatát a hálózat felől érkező betörések, támadások és kémprogramok ellen is védeni kell. Ennek eszközei a hálózati tűzfalak, privát hálózatok, hálózati kliensek azonosítása, hálózati forgalom szűrése és korlátozása, hálózaton terjedő vírusok és kémprogramok elleni védelem.

A hozzáférések védelme
Amennyiben illetéktelenek férhetnek az eszközökhoz, akkor a rajtuk tárolt adatokat megismerhetik, kinyomtathatják, adathordozóra menthetik vagy elektronikusan továbbíthatják, amivel az adatok tulajdonosának kárt okozhatnak. Ezért az adatokhoz történő hozzáférést szabályozni kell. Ennek lehetséges módjai: különböző jogosultágokkal rendelkező felhasználók, jelszavas védelem, azonosítókártyák használata, hozzáférések naplózása, a hozzáférések előtti engedélyezési folyamat.

Az adathordozók védelme
Az adathordozókat védeni kell az eltulajdonítástól, illetéktelen másolástól, leolvasástól. Ennek lehetséges eszközei: az adathordozók elzárása, visszazárhatatlan (angolul temper proof) csomagolás. Adatíró és mentő perifériák használatának korlátozása, az adathordozón lévő adatok titkosítása. A már nem szükséges adatok vagy adathordozók felügyelt megsemmisítése.

Az adatközlés, a kommunikáció titkosítása
Az adatok továbbításuk során több állomáson át kerülhetnek el a címzetthez. Az adatvédelem azt is jelenti, hogy a közbülső szereplők egyike sem manipulálhatja az adatokat, nem tekinthet be az adatokba, kizárólag a címzett. Ennek eszközei közé tartozik a jelszavas tömörítés, titkosítás, kriptográfia, digitális aláírás.

Az adatkezelési folyamat folyamatos monitorozása
A teljes adatkezelési folyamat folyamatos felügyelete kiszűrheti a gyenge láncszemeket, felfedi az esetleges biztonsági réseket. Az intézményi belső adatvédelmi felelős folyamatosan figyelemmel kíséri az adatutakat, javaslatot tehet a párhuzamosságok megszüntetésére, egyes adatkezelések tiltására, folyamatok átszervezésére. Javaslatára egyre újabb védelmi technikákat vezethetnek be, amellyel növelhetik az adatkezelés biztonságosságát. [ http://hu.wikipedia.org/wiki/Adatbiztons%C3%A1g ]

Mozgatható perifériák és adathordozók engedélyezése
Néhány éve még a floppy lemez volt az egyetlen adathordozó, amelyet a személyi számítógépek kezeltek, ma viszont a modern operációs rendszerek tucatnyi kapcsolódási technológiát támogatnak. Szinte naponta jelennek meg az egyre újabb, egyre nagyobb kapacitású és egyre gyorsabb adatátvitelre képes adathordozók és kommunikációs eszközök, amelyekkel bárki gond nélkül tud kapcsolódni a saját személyi számítógépéhez. Ha a digitális információ ellenőrzés nélkül kijuthat a cégtől a hálózatba kötött munkaállomásokon keresztül, akkor csak idő kérdése, hogy az “adatszivárgás” akár véletlenül, akár akarattal, mikor fog megtörténni.

Megoldási lehetőség
Léteznek olyan szoftverrendszerek, amelyek egyedülálló lehetőségeket biztosítanak a fent jelzett problémák megoldására, azaz az adatáramlás központi menedzselésére, illetve a nem kívánt eszközhasználat korlátozására. Alkalmazása segítségével az informatikai rendszer valamennyi felhasználójára és eszközére egyedi biztonsági rendszabályok érvényesíthetők, és egy speciális megoldás segítségével szükség esetén a teljes ki- vagy bemenő adatforgalom eltárolható és utólag tartalmilag is vizsgálható.

Ezen szoftverek segítségével megvalósítható a teljes, központosított felügyelet minden hordozható média, eszköz és port elérés esetében. A szoftver a működése során ellenőrzi a felhasználói jogosultságokat az ACL (Access Control List) segítségével, majd összehasonlítja a saját un. „fehér listáján” található felhasználó és a szabályzók által a felhasználónak jogosan használhatónak nyilvánított eszközlistával. Amennyiben a szabályrendszer által a felhasználó és az eszköz is engedélyezett, így a használat megvalósul, az összes többi esetben az eszköz használhatatlan az adott számítógép adott portján, adott felhasználó által.

A szoftver lehetőséget biztosít az adminisztrátornak arra, hogy gyorsan azonosítsa az egyes eszközöket és ezek használatának szabályait csoportokhoz, felhasználókhoz rendelhesse. A felhasználhatósági információk az Active Directory-ban tárolódnak, így jelentősen egyszerűsödik a szoftver menedzsmentje, az egyes eszközök „fehár listára” kerülése így percek kérdése. A fehér lista segítségével könnyen elérhető akár az is, hogy az Intézmény felhasználói csakis azokat az USB pen drive-okat használhassák amelyeket az Intézmény vezetése biztosít számukra. [ http://www.atigris.hu/SecureWave/DeviceControl-Lumension.aspx ]

CD lemez
Az írható és újraírható CD ROM meghajtók CD-nként 550-650 megabájtnyi adat tárolására képesek (az áll rajtuk, hogy kapacitásuk 600-700 megabájt, de legalább 50-100 megabájtot tesz ki a könyvtárszerkezetre vonatkozó leírás).

Az írható CD-k (CD-R = "CD recordable") nagyszerűen alkalmazhatók hosszú távú, archiváló biztonsági mentésre, viszont egy kicsit pazarlóak, mert egy CD-t csak egyszer lehet teleírni; az újraírás lehetősége kizárt. Ez egyúttal biztonsági problémákat is felvethet, mivel ha időnként új mentést készítünk, akkor valószínűleg a korábbi másolatokat tartalmazó CD-ket ki akarjuk majd dobni. Ugyanakkor, a meghajtók árának esésével, az írható CD-ROM a legolcsóbb biztonsági tároló eszközzé vált.

Az újraírható CD-k (CD-RW = "CD-read/write") már jobbak, hiszen bármikor újabb fájlokat írhatunk rájuk, és a munka menete szerint a régieket felülírhatjuk; ha egy munkát apránként fejezünk be, nagyon jól használhatók a lépcsőzetes biztonsági mentésre. Viszont minél többször írjuk újra a CD-t, annál nagyobb a valószínűsége, hogy az adatok sérülnek rajta. Ez azért van így, mert az újraírás eljárása lassanként felőrli a lemez adattároló polimerjét.

Az újraírható CD-k, nagyfokú megbízhatóságuk és sokoldalúságuk miatt, a szalagos egységek riválisai. De a szalagos egységek a tárolókapacitás terén még mindig vezetnek. [ http://www.zpok.hu/biztkomm/204.shtml ]

Pendrive
A pendrive (USB-flash-tároló, USB-kulcs, pendrive, tollmeghajtó) egy USB-csatlakozóval egybeépített flash memória. Tárolási kapacitása jelenleg 8 MB-tól 64 GB-ig terjed. Némelyik képes 10 évig megőrizni az adatokat, és egymillió írás-törlési ciklust is kibír. A modern operációs rendszerekkel szabványos USB mass storageszabványt használja. Önállóan nem képes adatcserére, csak személyi számítógépre vagy a megfelelő csatlakozással ellátott író/olvasó egységre csatlakoztatott állapotban, arról vezérelve. Jellemző adatátviteli sebessége USB 2.0 feltételek megléte esetén 6 MB/s, USB 1.0 szabványnál kb 1 MB/s. Az elektromos csatlakozás védelme érdekében védőkupakkal készül, de létezik védőkupak nélküli változat is. A pendrive egy parányi nyomtatott áramkört tartalmaz, a ráerősített fémcsatlakozóval, általában egy műanyag tokba téve. A tokozása a felhasználói igényektől függően változatos: van por‑ és cseppálló kivitele, kiemelten ütésálló kivitele is. Mivel a floppy lemeznél 1-2 MB adatot tudtunk csak tárolni azt is lassú írási-olvasási műveletekkel végezve, a hordozható flash memória és az USB (Universal Serial Bus) elterjedése és összetalálkozása Pendrive formájában megpecsételte a sorsát. [ http://hu.wikipedia.org/wiki/Pendrive ]

Bevezetés
Napjainkban, amikor az információs technológia életünk szerves részévé vált, elképzelhetetlen a vállalatok működése számítógépek, számítógép-hálózatok alkalmazása nélkül. Rohanó világunkban egyre nagyobb jelentőséggel bír a távoli munkavégzés lehetősége. A mobilitás nagymértékben növelheti egy szervezet hatékonyságát, a távoli munkavégzés lehetővé teszi, hogy a munkatársak, szükség esetén a partnerek, ügyfelek otthonról vagy a világ bármely részéről feladataik elvégzése céljából el tudják érni a vállalati erőforrásokat. A távoli munkavégzést lehetővé tevő technológiák elterjedésével az igény annak használatára egyre növekszik. A háztartások egyre nagyobb arányban teszik lehetővé a hálózati kapcsolat használatát, de nyilvános helyeken (internet kávézók, hotspot-ok, repülőterek, stb.) is lehetőség nyílik interneten keresztül elérni a vállalati hálózatot. A felhasználók száma egyre nő, a vállalat saját felhasználói egyre több és több opciót szeretnének elérni otthonról is a munkahelyi hálózatból. Megjelentek a speciális dolgozók, mint a távmunkások, az utazó felhasználók, és olyan ügyfelek, partnerek, beszállítók, akiknek szükséges hozzáférést biztosítani a belső hálózathoz.

A ZyXEL legutóbbi felméréséből kiderül, hogy a távolról dolgozó felhasználók 87 százaléka az otthoni számítógépét is használja a munkavégzés során, mely eredmény indokolja a témakörrel való foglalkozás, biztonságos megoldások keresésének szükségességét. A mobil munkavégzés, mely sokszor nagyon hatékony, egyre nagyobb teret hódít, de komoly biztonsági kockázatot is jelenthet, hiszen ezek a távoli kapcsolatok veszélyeztethetik is a vállalati rendszereket. [Biztonságportál: Aggodalmak a távoli munkavégzés miatt, http://www.biztonsagportal.hu/article3088.html, 2007.10.03.]

Távmunka
Otthonról dolgozók tapasztalatai

Nem kell órákat munkába menet dugóban tölteni, nem piszkál a főnök percenként, akár az ágyból kikelve pizsamában is el lehet kezdeni dolgozni, csend és nyugalom van a szobában. Ki ne szeretne ilyen körülmények között dolgozni? Csábító a távmunka, igaz, keveseknek adatik meg. Aktív távmunkásokat kérdeztünk munkás hétköznapjaikról.

Az MTA Szociológiai Intézetének 2005-ös becslése szerint hazánkban az aktív munkavállalók 0,4-2,6 százaléka végzi munkáját otthonról számítógépen, internetkapcsolat segítségével, ami jócskán elmarad az Egyesült Államokban (15 százalék) és Hollandiában (21) mért adatokhoz képest.

Kisebb cégeknél jellemző

"Bár a szélessávú internet és a hordozható számítógépek terjedésének köszönhetően egyre több munkáltató hajlandó beleegyezni abba, hogy dolgozói otthonról végezzék munkájukat, ennek ellenére a klasszikus távmunka népszerűségének növekedéséről egyelőre nem beszélhetünk. Ezek ugyanis jellemzően egyszeri alkalmak, a vezetők mindössze egy, maximum két nap távollétre bólintanak rá, és az év többi részében elvárják, hogy jelen legyen a munkavállaló. Főként a kisebb cégekre jellemző a távmunkások foglalkoztatása, a nagyobb vállalatok még nem ismerték fel a lehetőségeket" - mondja Kádár Miklós, a távmunka-közvetítéssel is foglalkozó Netgral Kft. ügyvezetője.

A távmunkának több verzióját különböztetjük meg. A klasszikus forma, amikor a dolgozó otthon, lakásában berendezett irodájában végzi el feladatait, és mindössze hetente vagy havonta egyszer látogat el az őt alkalmazó céghez. A mobil távmunkások munkája nem helyhez kötött, megbízótól megbízóig járnak, és időnként megpihenhetnek a munkáltató székhelyén. Előfordul, hogy a dolgozók idejük egy részében otthon, míg a fennmaradó időben a cégnél dolgoznak, ők is távmunkásnak számítanak.

A távmunkások hétköznapjai

Kőtelkiné Bozóki Angéla, a Központi Statisztikai Hivatal adatgyűjtő statisztikusa klasszikus távmunkában, vagyis otthonról látja el feladatait. "A régiós átszervezés miatt 2005 februárjában megszűntek a KSH megyei igazgatóságai, helyettük 6 régiós igazgatóságot hoztak létre. Az átszervezés engem is érintett, én ugyanis a Jász-Nagykun-Szolnok megyei Igazgatóságon dolgoztam, ami szintén megszűnt. Az átszervezésekkor felajánlották, hogy eddigi munkámat végezhetem távmunkában, vagy ingázhatok lakóhelyem Szolnok, és a debreceni régióközpont között. Én a távmunkát választottam, mert nem szerettem volna utazgatni. Ekkoriban még alig tudtam valamit a munkavégzés ezen módjáról, mégis vonzóbbnak találtam, mint az ingázást" - mesélte a 46 éves hölgy.

A munkaadó rendezte be az otthoni irodát

Mint kiderült, végül igen jól döntött, hiszen azóta is ebben a formában végzi munkáját és elégedett. "Döntésemet követően ki kellett jelölnöm a lakásban egy részt, ahol berendezhetik otthoni irodámat. Én abban a szerencsés helyzetben voltam, hogy egy külön szobát el tudtam különíteni e célra. Miután kijelöltem a teret, a hivatal szakemberei gyakorlatilag áttelepítették benti irodámat a lakásomba. Minden eszközt - beleértve a számítógépet, asztalt, széket, az internetkapcsolatot - megkaptam a munkavégzéshez."

Könnyebbé vált a nap

A kezdeti informatikai nehézségek után az átállás is sikerült. Ugyanúgy fél hétkor kelt, és határidőre sikerült is befejeznie a munkát. "A különbség csak annyi volt, hogy könnyebbé vált a napom. Ébredés után van időm meginni egy kávét, megreggelizni, esetleg beindítok egy programot a mosógépen. Ezt követően kezdem el a munkát. Előfordul, hogy be kell mennem a kirendeltségre, akkor autóba vagy buszra ülök, és megjelenek a kért időpontban. Ha nem, akkor elkezdem a munkát - elemzem, ellenőrzöm, rögzítem a kapott adatokat -, ha lassabb az internet, akkor az otthoni teendőimet végzem el, és akkor folytatom, ha már kevesebben használják a hálózatot" - tájékoztatott.

Hasonlókról számolt be Gulyás Irén is. A 28 éves hölgy közel egy éve váltott távmunkára, ekkor vállalta el egy liechtensteini székhelyű cég közép-kelet-európai regionális sales manageri pozícióját. "A pozíció "home office" címen lett meghirdetve, tehát tudtam, mire vállalkozom. Felvételem után a cég biztosította a munkámhoz szükséges eszközöket - számítógépet, faxot, nyomtatót, amelyeket a lakásunk emeletén helyeztem el, ez lett a dolgozószobám" - meséli Gulyás Irén.

Önfegyelem kell a munkához

"Furcsa volt átállni a teljesen önállóságra. Ehhez a munkához nagyon nagy önfegyelemre és lelkiismeretességre van szükség. Sokat segített, hogy az aktív munka megkezdése előtt részt vettem egy céges tréningen, amelyen minden szükséges információt megkaptam a vállalatról, annak felépítéséről, a termékekről és a felelősségi körömbe tartozó partnerekről. A napom egyébként szinte semmiben nem különbözik egy átlagos munkanaptól. Legkésőbb fél nyolckor bekapcsolom a gépemet, elolvasom a leveleket, dolgozom, fél hatkor pedig abbahagyom a munkát" - mondta el.

Egy távmunkás esetében adott a kérdés: nem hiányzik-e neki a csapat, nem érzi-e elszigeteltnek magát. Kőtelkiné Bozóki Angéla és Gulyás Irén szerint ez személyiségfüggő, és mint elmondták, szerencsére neki nincs problémájuk ezzel sem. "Van IP-telefon a számítógépen, bármikor felhívhatok bárkikor felhívhatom bármelyik munkatársamat, így olyan, mintha bent lennék. Tartjuk a kapcsolatot ezen kívül e-mailben is, tehát abszolút nem érzem kirekesztettnek magam" - mondta el Kőtelkiné Bozóki Angéla.

Felelősségtudat és önkontroll

Bár mindez igen vonzónak tűnhet a dolgozók számára, azonban Kádár Miklós figyelmeztet: nem mindenkinek ajánlott az ilyen típusú munkavégzés. "Elsősorban azoknak javaslom, akik már dolgoztak "normál" munkakörben is. A kezdők sajnos gyakrabban esnek abba a hibába, hogy mással foglalkoznak otthon a munka helyett. A távmunkához nagy fokú önkontroll és felelősségtudat szükséges. Aki nem rendelkezik e két alapvető tulajdonsággal, annak jobb nem belevágni. Az önálló munkavégzésre való képesség hasonlóan fontos" - sorolta Kádár Miklós. [Távmunka: Otthonról dolgozók tapasztalatai http://karrier-tanacsok.monster.hu/allaskeresesi-strategia/hogyan-fogjunk-hozza-/tavmunka-otthonrol-dolgozok-tapasztalatai/article.aspx]

TÁVOLI HOZZÁFÉRÉSI MEGOLDÁSOK

 * E-parlament

Egy természetes igény a parlamenti munka kapcsán is, hogy a képviselők megfelelő biztonsági szabályok betartása mellett otthonról, illetve távoli munkahelyről is be tudjanak kapcsolódni a parlamenti munkafolyamatokba.

A megfelelő biztonság megteremtése érdekében 2003-tól szigorú szabályok mellett használható, előre konfigurált laptopokat alkalmaznak, melyekkel csak előre meghatározott célokkal és helyekről (hivatali környezet, ülésterem, a felhasználó által megjelölt helyszínek) lehet kapcsolódni a Hivatal hálózati erőforrásaihoz. A távmunka biztonságát, a hitelesítést, titkosítást, elektronikus aláírást X.509 digitális tanúsítványok tárolására is alkalmas intelligens (smart) kártya garantálja. Külön védelmet biztosít a laptop jogosulatlan tulajdonba kerülése ellen, hogy az operációs rendszer indítása a felhasználó részére kiadott chipkártya (OGYchip) azonosításához kötött. A felhasználó azonosítása az OGYchip és a hozzáférési hely azonosításával történik. Központi hálózatról történik a vírusvédelem rendszeres frissítése. A felhasználó nem rendelkezik rendszergazdai jogosultsággal, így idegen programot nem telepíthet. A hálózati támadások ellen a Hivatal által kialakított, lokálisan nem megváltoztatható szabályrendszerrel működő tűzfal véd. [Kertészné Gérecz Eszter: AZ E-parlament http://www.neumann-centenarium.hu/kongresszus/prog16.html?v%5Bid%5D=63, 2007.10.03.]

A módszer hátránya, hogy igen költséges ezért vállalati környezetben ma még elképzelhetetlen, hogy a cég minden dolgozója, partnere, ügyfele számára így biztosítson távoli hozzáférési lehetőset.


 * Az operációs rendszer USB flash memóriáról történő betöltése

A számítógép bekapcsolása után az operációs rendszer egy USB flash memóriáról töltődik be, melyre előre konfigurálhatók a távoli elérést biztosító kapcsolat beállításai. Ha a merevlemez tartalmaz is kártékony kódot, ebben az esetben az nem tud tovább fertőzni. Az eljárás már jóval költségkímélőbb, mint az előző megoldás, hisz egy USB flash memória költsége elenyésző egy laptop árához viszonyítva, azonban gondot okozhat az operációs rendszer és egyéb alkalmazások licenszelési kérdésköre. [Kristóf Csaba: Operációs rendszer USB-memórián http://computerworld.hu/operacios-rendszer-usb-memorian.html, 2007.04.18.]


 * A Cisco"Önvédő hálózat" koncepciója

Lényegében megegyezik a karantén VPN elveivel. [Cisco Systems: Preventing worm and virus outbreaks with cisco self-defending networks, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns481/c654/cdccont_0900aecd801dff73.pdf, 2007.10.05.]


 * Előre definiált VPN beállítások csomagban

Ha már mindenképpen elkerülhetetlen VPN kapcsolat kialakítása, akkor például a Microsoft Connection Manager Administration Kit (CMAK) segítségével előredefiniált VPN kliens beállítások és (opcionálisan) kiegészítő eszközök, mint például proxy beállítások csomagolhatók össze a felhasználónak egy .exe fájlba, melyet, ha bármelyik távoli számítógépen lefuttat, akkor automatikusan egy testreszabott VPN kapcsolatot képes kialakítani a vállalati hálózathoz. Előnye, hogy ekkor a VPN kliens kötelezően azokkal a beállításokkal fog majd belépni a hálózatba, amit a csomagban számára előre előírtunk. [Microsoft TechNet: Microsoft Windows Server 2003 TechCenter, http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/5cd571d6-7fdc-483d-8899-0a337acc9cf9.mspx?mfr=true, 2007.06.01.]

Megadható például, hogy hitelesítés, titkosítás szükséges-e a bejelentkezéshez, ha igen, akkor milyen. Az adott felhasználó milyen kapcsolaton keresztül jelentkezhet be, mi történjen a kapcsolat felépítése után és a leváláskor (például törlődjenek a beállítások, ami nyilvános számítógép esetén különösen hasznos). Milyen telefonszámon kérhet segítséget probléma esetén, stb. A 2. ábrán látható, eredményként keletkező .exe és esetlegesen (proxy beállítás megadása esetén) .txt fájlokat kell a felhasználóhoz eljuttatni, mely megtehető akár egy USB kulcs átadásával is, melyen a még nagyobb biztonság érdekében önkicsomagoló formában (egy jelszót fog kérni a kicsomagoláskor) titkosítva adhatók meg a fájlok (a kulcs esetleges elvesztése, illetéktelen kezekbe jutása esetén védelmet nyújt).

Összegző megállapítások
A ZyXEL felmérése arra is rávilágít, hogy a biztonsági szakemberek aggodalma ellenére tovább fog nőni a távoli munkavégzés népszerűsége, éppen ezért szükséges annak biztonságos voltát szavatoló konstrukciók kidolgozása. Néhány megoldás született már, mint a Microsoft karantén VPN technológiája, vagy a Cisco "Önvédő hálózat" koncepciója, ami lényegében megegyezik a karantén VPN elveivel.

A BeCrypt pedig a hordozható számítógépek használatával járó veszélyforrások a (". notebookokról számos kártékony program kerülhet be a vállalati rendszerekbe, illetve onnan bizalmas adatok szivároghatnak ki .") megszüntetése érdekében USB flash memóriákra épülő biztonságos rendszert tervezett, melynek lényege, hogy a notebook bekapcsolása után az operációs rendszer egy USB flash memóriáról töltődik be. Így, ha a PC merevlemeze tartalmaz is kártékony kódot, az nem tud tovább fertőzni.

Első megközelítésben távoli munkavégzés biztonságos megvalósítására VPN kialakítása lenne célszerű, de tekintve a megvalósítás nehézségeit (szakértelem hiány, operációs rendszer nem teszi lehetővé, nyilvános helyek problémái, stb.) és kockázatait (kellő körültekintés nélkül könnyen bekábelezhető a vállalati hálózatba nem biztonságos számítógép is), érdemes alaposan megfontolni, hogy milyen célok elérésére is van szüksége a távoli felhasználónak és annak megfelelően kiválasztani az anyagi lehetőségektől is függő megfelelő technológiát.

Ma még a kliensek az esetek többségében csupán leveleik letöltésére használják a vállalati hálózatot, mely esetben a komplett VPN helyett érdemes inkább megfelelő titkosítási lehetőséggel rendelkező levelező alkalmazás használata, mint például az Outlook Web Acces, illetve az Outlook azon képességét kihasználni, hogy képes HTTPS-en keresztül szinkronizálni a levelesláda tartalmát.

Ha ezen túlmenően még a hálózati megosztásokra is szükség van, szűkített VPN-kapcsolatot ésszerű használni, ami mindössze ezt a funkciót nyújtja, a kártevőknek viszont nem nyit utat.

Gyakran szükséges emeltszintű munkavégzés biztosítása is, a távoli asztal (Remote Desktop), távfelügyelet használata, melynek segítségével biztonságosan kezelhetünk akár egy tucat szervert távolról.

Ha már mindenképpen elkerülhetetlen a VPN kapcsolat kialakítása, akkor célszerű a felhasználó, ügyfél, partner számára a megfelelő beállításokkal előre preparálni azt, és például a CMAK segítségével előállított fájlokat megfelelő titkosítással a rendelkezésükre bocsátani. Így biztosítható, hogy a VPN kliens kötelezően azokkal a beállításokkal fog belépni a vállalat hálózatába, amit a csomagban előre előírtunk számára.

Felhasználóknak szóló tanácsok:

Ne használjunk FTP-t, vagy, ha igen, akkor, amennyiben megoldható ne a fontos titkos név-jelszót használjuk.

Ne használjunk titkosítatlan levélolvasást (pl. POP3, bár szerver oldalon be lehet állítani az SSL titkosítást és le lehet tiltani a titkosítatlant).

Ne használjuk a vállalati jelszavunkat, ha az URL sima http-vel kezdődik, bár gyakran egy http bejelentkezési oldal esetleg titkosított oldalra dobja tovább a kérést.

Felhasznált irodalom
Robothadviselés 7. Tudományos szakmai konferencia 2007. november 27.

Póserné Oláh Valéria: A távoli munkavégzés biztonsági kérdései, megoldási lehetősek windows szerverek esetén

Drótnélküli eszközök használata
Drótnélküli eszköznek tekintünk minden olyan eszközt, amely a levegőt használja, mint átviteli közeg.

Az ilyen eszközöket működését tekintve több kategóriába soroljuk, melyek Infravörös vagy Rádióhullámon működhetnek.

A szabályzat használat közbeni célja, az hálózaton lévő információk megóvása, és az azt támogató infrastruktúra védelme.

Erre a következő két módszert kell alkalmazni:

Hálózatok védelme [10.6.1]

Intézkedések: A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani.

Hálózati szolgáltatások biztonsága [10.6.2]

Intézkedés: A biztonsági jellemzőket, a szolgáltatási szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak.

Mobil eszköz használat
Napjainkban a mobil informatikai eszközök – ezen belül is kifejezetten a mobiltelefonok, valamint a tabletek – fejlettsége eljutott arra a pontra, amikor tökéletes megoldást kínálnak távoli munkavégzésre. A megfelelő szabályok és biztonsági protokollok betartása mellett az adott vállalat munkatársai szabadon, a világ bármely pontjáról képesek munkát végezni. Mivel ezek az eszközök nem a cég saját hálózatáról kapcsolódnak a szerverekhez, kliensekhez, elengedhetetlen, hogy pontosan meghatározzuk, mely egységekhez és milyen módon férhetnek hozzá.

A különböző osztályokba sorolt rendszerekhez történő menedzsment hozzáférés kizárólag az intézményi belső hálózatból (intranet) lehetséges. Meghatározott osztályú rendszerek menedzsment hozzáférése megfelelő titkosítással bíró adatkapcsolattal külső hálózatból is megengedett. Minden egyéb hozzáférési kísérlet incidensnek minősül és informatikai megoldásokkal is akadályozható az üzemeltetők részéről.

Speciális hálózati szolgáltatásokkal (pl. VPN) az intranet az intézmény fizikai hálózatán kívülre is meghosszabbítható, ezáltal a munkahelyen kívüli munkavégzés lehetséges. Ezen megoldások (a hálózati SLA megsértésével járó) önerős megvalósítása nem megengedett, kizárólag az IIG ilyen tartalmú szolgáltatásai vehetők igénybe. Az intranet védelmi szintjének megsértése a hálózati hozzáférés nem megfelelő használatával (pl. saját átjáró, külső hálózati kapcsolat, stb. felhasználó általi létesítése súlyos SLA sértésnek minősül. [ELTE ISO 27001:2005 11.7]

Az incidens megfogalmazása
Nem kívánt, illetve nem várt egyedi vagy sorozatos információbiztonsági események, amelyek nagy valószínűséggel veszélyeztetik a működési tevékenységet és fenyegetik az információk biztonságát. Ennek megtörténtekor – például egy vállalat levelezése támadás vagy vírus következtében megbénul – fontos, hogy legyen egy olyan csoport, akik az incidenst lekezelik és a bekövetkezett problémát megoldás céljából a megfelelő helyre eszkalálják. [ISO/IEC 27001 / 3.6]

Az incidens megoldása
Az a tevékenység, amely egy incidenst követően újra lehetővé teszi a felhasználók számára feladataik végzését. Ez lehet akár ideiglenes megkerülő megoldás, akár a hibás részegység végleges megjavítása vagy cseréje. [ISO/IEC 27001]

ISMS és az incidenskezelés
A szervezetnek létre kell hoznia, be kell vezetnie, működtetnie kell, figyelemmel kell kísérnie, át kell vizsgálnia, fenn kell tartania és folyamatosan fejlesztenie kell egy dokumentált ISMS-t (Information Security Management System) összefüggésben a szervezet általános működési tevékenységével és kockázataival, amelyekkel szembenéz. Az e nemzetközi szabvány céljaira használt folyamat az következő ábrán látható PDCA-modellen alapul.

'Incidens.png'

Olyan eljárásokat és egyéb intézkedéseket kell bevezetni az ISMS-be, amelyek lehetővé tudják tenni a biztonsági események, azaz incidensek azonnali észlelését és azok megválaszolását. [ISO/IEC 27001 4.2.2 / h]

Az ISMS figyelemmel kisérése az incidensekhez
Az ISMS-nek üzemeltetési eljárásokat kell végezni, mely tartalmazza annak megfigyelését és átvizsgálását annak érdekében, hogy


 * azonnal észlelni tudja a hibákat a feldolgozás eredményeiben, melyből incidensek keletkeznek;


 * azonnal azonosítani tudja a védelem megkísérelt és sikeres megsértéseit és a biztonsági incidenseket;


 * lehetővé tegye a vezetés számára annak megállapítását, hogy vajon a munkatársakra bízott, vagy az informatika segítségével megvalósított biztonsági tevékenységeket az elvárások szerint hajtják-e végre;


 * elősegítse a biztonsági események, vagyis az incidensek észlelését és ily módon, mutatószámok alkalmazásával, megelőzze azokat;


 * megállapítsa, vajon a biztonság megsértésének helyreállítására megtett intézkedések hatásosak voltak-e. [ISO/IEC 27001 4.2.3 / a]

Az ISMS átvizsgálása
Rendszeres átvizsgálásokat kell végeznie az ISMS eredményességére vonatkozóan (beleértve az ISMS szabályzat és a célok teljesülését, valamint a biztonsági intézkedések átvizsgálását), figyelembe véve a biztonsági auditok eredményeit, az incidenseket, a hatékonyság mérésének eredményeit, az összes érdekelt fél javaslatait és visszajelzéseit. [ISO/IEC 27001 4.2.3 / b]

Feljegyzések készítése
Feljegyzéseket kell készíteni és meg kell azokat őrizni a követelményeknek való megfelelés és az ISMS eredményes működtetésének bizonyítékaként. Ezeket védeni és ellenőrizni kell. Az ISMS-nek figyelembe kell vennie minden vonatkozó jogi vagy szabályozási követelményt. A feljegyzéseknek olvashatóknak, könnyen azonosíthatóknak és előkereshetőknek kell maradniuk. A feljegyzések azonosításához, tárolásához, megóvásához, előkereséséhez, megőrzési idejéhez és selejtezéséhez szükséges intézkedéseket dokumentálni kell. [ISO/IEC 27001 4.3.3]

Információbiztonsági incidensek kezelése
Cél: Annak biztosítása, hogy az információs rendszerekkel összefüggő információbiztonsági események és gyengeségek kommunikálása olyan módon történjék, ami időben lehetővé teszi a szükséges helyesbítő intézkedések megtételét. [ISO/IEC 27001 A13.1]

Információbiztonsági események és gyengeségek jelentése
Az információk biztonságát érintő eseményeket megfelelő vezetői csatornákon keresztül a lehető leggyorsabban jelenteni kell. [ISO/IEC 27001 A13.1.1]

Az események jelentésére külön eljárást szükséges létrehozni, amelyet minden szerződő és használó harmadik félnek ismernie és használnia kell [ISO/IEC 27002 13.1.1.]

Biztonsági gyenge pontok jelentése
Az információs rendszereket és szolgáltatásokat használó valamennyi alkalmazottól, szerződő vállalkozótól és harmadik féltől meg kell követelni, hogy jegyezze fel és jelentse a rendszerekben, illetve szolgáltatásokban észlelt, vagy feltételezett bármiféle gyenge pontot. [ISO/IEC 27001 A13.1.2]

A felfedezett gyenge pontok jelentésének módjára egy könnyű, hozzáférhető, rendelkezésre álló módszert kell kidolgozni. A jelentést elkészítő személyt okvetlenül tájékoztatni kell arról, hogy a sejtett biztonsági gyengeséget ne ellenőrizze: a rendszerben kárt okozhatnak, vagy információkkal élhetnek vissza, ami jogi következményekkel járhat a vizsgálatot végző személynek. [ISO/IEC 27002 13.1.2.]

Információbiztonsági incidensek és javító fejlesztések kezelése
Cél annak biztosítása, hogy az információbiztonsággal összefüggő incidenseket következetes és hatékony megközelítéssel kezeljék. [ISO/IEC 27001 A13.2]

Az információbiztonsági incidensekre történő gyors, hatékony és szabályszerű válasz biztosítása érdekében rögzíteni kell a vezetői felelősségeket és eljárásokat. [ISO/IEC 27001 A13.2.1]

A rendszert és a rendszert érintő riasztásokat és sérülékenységeket folyamatosan figyelemmel kell kísérni az információbiztonsági incidensek felfedésére.

Az információbiztonsági incidensek kezelésének célját egyeztetni kell a vezetőséggel, és biztosítani kell, hogy a szervezet elsőbbséget élvezzen. [ISO/IEC 27002 13.2.1.]

Tanulságok levonása az információbiztonsági incidensekből
Olyan mechanizmusok legyenek, amelyek lehetővé teszik az információbiztonsági incidensek és a hibás működések típusainak, mennyiségének és költségének számszerűsítését és figyelemmel kísérését. [ISO/IEC 27001 A13.2.2]

Az incidensekből kinyert információkat az ismétlődő és/vagy nagyhatású incidensek azonosítására kell felhasználni. Segítségével továbbá jelezni lehet az igényt újabb ellenőrzési folyamatok bevezetésére, így korlátozhatják a jövőbeli előfordulások bekövetkezési valószínűségét és a belőle származó kárt. [ISO/IEC 27002 13.2.2.]

Bizonyítékok gyűjtése
Ha egy információbiztonsági incidenst követően egy személlyel, vagy szervezettel szemben indított nyomon-követési beavatkozás (akár polgári, akár büntetőjogi) jogkövetkezménnyel jár, a bizonyítékokat a bizonyításra vonatkozó törvény(ek)ben lefektettet jogszabályoknak megfelelően kell gyűjteni, megőrizni és bemutatni. [ISO/IEC 27001 A13.2.3]

A bizonyíték hitelességét és bizonyító erejét igazolandó, biztosítani kell, hogy a rendszerek feleljenek meg valamilyen szabványnak vagy gyakorlati kézikönyvnek. Papír alapú bizonyíték esetén az eredetit biztonságosan meg kell őrizni. Adathordozó esetén az eredeti adathordozót és naplót érintetlenül kell hagyni. Minden bizonyítékról készült másolatot naplózni kell. [ISO/IEC 27002 13.2.3.]

Alkalmazások
Az ISMS kialakítása


 * Meg kell határozni az ISMS alkalmazási területét és annak határait a működési tevékenység jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, beleértve az alkalmazási területből történő bárminemű kizárás részleteit és azok indoklását.


 * Meg kell határoznia az ISMS szabályzatát a működés jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, ami igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az ISMS létrehozása és fenntartása történni fog. [ISO 27001 Magyar szabvány, 4.2.1 bekezdés 24. oldal]

Az ISMS dokumentációnak tartalmaznia kell:


 * az ISMS alkalmazási területét.


 * az alkalmazhatósági nyilatkozatot. [ISO 27001 Magyar szabvány, 4.3.1 bekezdés 27. oldal]

A feljegyzések kezelése

Feljegyzéseket kell készíteni és meg kell azokat őrizni a követelményeknek való megfelelés, és az ISMS eredményes működtetésének bizonyítékaként. Ezeket védeni és ellenőrizni kell. Az ISMS-nek figyelembe kell vennie minden vonatkozó jogi vagy szabályozási követelményt. A feljegyzéseknek olvashatóknak, könnyen azonosíthatóknak és előkereshetőknek kell maradniuk. A feljegyzések azonosításához, tárolásához, megóvásához, előkereséséhez, megőrzési idejéhez és selejtezéséhez szükséges intézkedéseket dokumentálni kell. [ISO 27001 Magyar szabvány, 4.3.3 bekezdés 28. oldal]

Belső ISMS-auditok

Dokumentált eljárásban meg kell határozni az auditok tervezésére és lefolytatására, valamint az eredményekről történő beszámolásra és a feljegyzések megőrzésére vonatkozó felelősségeket és követelményeket [ISO 27001 Magyar szabvány, 6. bekezdés 29. oldal]

Gyári rendszerek
Az információbiztonsági irányítási rendszer (information security management system) ISMS

Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. [ISO 27001 Magyar szabvány, 3.7 bekezdés 22. oldal]

Az ISMS bevezetése és működtetése

 * Kockázatjavítási tervet kell kidolgozni, amely meghatározza a megfelelő irányítási beavatkozásokat, a forrásokat, a felelősségi köröket és a fontossági sorrendet az információbiztonsági kockázatok kezelésére.


 * A meghatározott szabályzási célok elérése érdekében be kell vezetnie a kockázatjavítási tervet, ami magába foglalja, a finanszírozás, valamint a feladat- és a felelősségi körök kijelölésének kérdéseit is. [ISO 27001 Magyar szabvány, 4.2 2 bekezdés 25. oldal]

Az ISMS figyelemmel kísérése és átvizsgálása

 * Megfigyelési, átvizsgálási eljárásokat kell működtetnie, és más intézkedéseket kell hoznia, hogy azonnal azonosítani tudja a védelem megkísérelt és sikeres megsértéseit és biztonsági incidenseket.


 * Rendszeres átvizsgálásokat kell végeznie az ISMS eredményességére vonatkozóan (beleértve az ISMS szabályzat és a –célok teljesülését, valamint a biztonsági intézkedések átvizsgálását), figyelembe véve a biztonsági auditok eredményeit, az incidenseket, a hatékonyság mérésének eredményeit, az összes érdekelt fél javaslatait és visszajelzéseit. [ISO 27001 Magyar szabvány, 4.2.3 bekezdés 26. oldal]

Az ISMS fejlesztése
Folyamatos fejlesztés

A szervezetnek folyamatosan javítania kell az ISMS hatékonyságát az információbiztonsági szabályzat, az in­formáció biztonsági célok, az audit eredmények, a megfigyelt események elemzése, a helyesbítő és megelőző tevékenységek, valamint a vezetőségi átvizsgálás alkalmazásán keresztül.

Helyesbítő tevékenység

A szervezetnek beavatkozásokat kell végeznie az ISMS-követelményekkel kapcsolatos nemmegfelelősségek okainak kiküszöbölésére annak érdekében, hogy megelőzze az ismételt előfordulást. A helyesbítő tevékenység dokumentált eljárásának követelményeket kell meghatároznia:


 * az ISMS bevezetésével és/vagy működtetésével kapcsolatos nemmegfelelősségek azonosítására;


 * a nemmegfelelősségek okainak meghatározására;


 * a nemmegfelelősségek ismétlődését megakadályozó tevékenység szükségességének értékelésére;


 * a szükséges helyesbítő tevékenység meghatározására és végrehajtására;


 * a végzett tevékenység eredményeinek feljegyzésére;


 * az elvégzett helyesbítő tevékenység átvizsgálására.

Megelőző tevékenység
A szervezetnek tevékenységet kell meghatároznia az ISMS-követelményektől való esetleges eltérések okának kiküszöbölésére annak érdekében, hogy meg lehessen előzni előfordulásukat. A végzett megelőző tevékenysé­gek álljanak arányban az esetleges problémák hatásával. A megelőző tevékenység dokumentált eljárásának követelményeket kell meghatároznia:


 * a lehetséges nemmegfelelőségek és okaik meghatározására;


 * annak felbecsülésére, hogy mikor szükséges intézkedni a nemmegfelelőségek előfordulásának megelőzé­sére;


 * a szükséges megelőző tevékenység meghatározására és végrehajtására;


 * az elvégzett beavatkozás eredményeinek átvizsgálására; és


 * az elvégzett megelőző tevékenység átvizsgálására vonatkozóan.

A szervezetnek azonosítania kell a megváltozott kockázatokat és meg kell határoznia a megelőző tevékeny­ségre vonatkozó követelményeket, különös figyelmet fordítva a jelentősen megváltozott kockázatokra. [ISO 27001 Magyar szabvány, 8. bekezdés 30-31. oldal]

Berendezések védelme
A vagyontárgyak elvesztésének, károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése.


 * Berendezések elhelyezése és védelme: A berendezéseket úgy kell elhelyezni, illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége.


 * Közműszolgáltatások: A berendezéseket védeni kell a közüzemi létesítményekben bekövetkező meghibásodások okozta áramkimaradásoktól és más kiesésektől.


 * Kábelbiztonság: Az adatátvitelt bonyolító, illetve az információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot védeni kell a lehallgatástól és a károsodástól.


 * Berendezések karbantartása: A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.


 * Berendezések biztonsága a telephelyen kívül: A telephelyen kívüli berendezések biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.


 * Berendezések biztonságos selejtezése, illetve újrafelhasználása: Valamennyi olyan berendezést, amely tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.


 * Vagyontárgyak eltávolítása: Berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetők ki a telephelyről. [ISO 27001 Magyar szabvány, A melléklet 9.2 bekezdés 36-37. oldal]

Hálózatbiztonság kezelése
A hálózatokban lévő információk megóvásának és a támogató infrastruktúra védelmének biztosítása.


 * Hálózatok védelme: A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani.


 * Hálózati szolgáltatások biztonsága: A biztonsági jellemzőket, a szolgáltatási szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak. [ISO 27001 Magyar szabvány, A melléklet 10.6 bekezdés 38. oldal]

Adathordozók kezelése

 * Információkezelési eljárások: Eljárásokat kell kialakítani az információ kezelésére és tárolására, annak érdekében, hogy az ilyen információt a jogosulatlan feltárástól, vagy a visszaéléstől meg lehessen óvni.


 * Rendszerdokumentáció védelme: A rendszerdokumentációt védeni kell a jogosulatlan hozzáféréstől.


 * Fizikai adathordozók szállítása: A szervezet fizikai határain túlra történő szállításuk közben az információt tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, a visszaélésektől, illetve a megrongálástól.

Elektronikus kereskedelmi szolgáltatások
Az elektronikus kereskedelmi szolgáltatások biztonságának és azok biztonságos használatának biztosítása.


 * Elektronikus kereskedelem: Az elektronikus kereskedelemben nyilvános hálózatokon áthaladó információkat meg kell óvni a tisztességtelen tevékenységtől, a szerződéses vitától, a jogosulatlan felfedéstől és módosítástól.


 * On-line tranzakciók: Az on-line tranzakciók információit védeni kell, hogy megelőzhető legyen hiányos továbbításuk, téves kézbesítésük, az üzenetek jogosulatlan módosítása, jogosulatlan felfedése, az üzenetek jogosulatlan másolása, illetve megismétlése.


 * Nyilvánosan hozzáférhető információk: A nyilvánosan hozzáférhető rendszereken elérhetővé tett információk épségét a jogosulatlan módosítás elkerülése érdekében meg kell védeni. [ISO 27001 Magyar szabvány, 10.7-8-9 bekezdés 39. oldal]

Üzemeltetési szerepkörök
Fontos: E kiadványnak nem célja, hogy valamennyi szükséges, szerződéses előírást tartalmazzon. Helyes alkalmazásért a felhasználók felelnek. Valamely nemzetközi szabványnak való megfelelés önmagában véve nem mentesít a jogi kötelezettségek alól. [ISO 27001 Magyar szabvány, 0.3 bekezdés 21. oldal]

Ez a nemzetközi szabvány annak felmérésére használható, hogy az érdekelt belső és külső felek mennyiben tartják azt be. [ISO 27001 Magyar szabvány, 0.1 bekezdés 19. oldal]

Az alkalmazást megelőzően
Annak biztosítása, hogy az alkalmazottak, a szerződő felek és harmadik felek, mint felhasználók legyenek tisztában felelősségükkel, legyenek alkalmasak a nekik szánt feladatkörök betöltésére, valamint a lopásból, a csalásból, illetve az eszközökkel való visszaélésből származó kockázatok csökkentésére.


 * Feladat- és felelősségi körök: Az alkalmazottak, szerződő felek és harmadik felek, mint felhasználók, biztonsággal összefüggő feladat- és felelősségi körét a szervezet információbiztonsági szabályzatával összhangban kell meghatározni és dokumentálni.


 * Átvilágítás: A vonatkozó törvényi, szabályozási és etikai előírásoknak, az elérendő információ osztályozásának és az érzékelt kockázatoknak megfelelően, valamint a működés által megkívánt mértékben valamennyi állásra pályázó, szerződő vállalkozó, felhasználó harmadik fél tekintetében végzett igazoló háttérellenőrzések.


 * Alkalmazási kifejezések és feltételek: Szerződéses kötelezettségük részeként, az alkalmazottaknak, szerződőknek és a felhasználó harmadik feleknek el kell fogadniuk és alá kell írniuk alkalmazási szerződésük feltételeit és kikötéseit, amelyeknek rögzíteniük kell az alkalmazottak és a szervezet információbiztonsággal kapcsolatos felelősségét.

=
Az alkalmazás megszűnése, illetve megváltozása: annak biztosítása, hogy az alkalmazottak, szerződő és felhasználó harmadik felek szabályos módon váljanak meg egy szervezettől, illetve változtassanak munkahelyet.=====


 * Felelősségek az alkalmazás megszűnésekor: Egyértelműen meg kell határozni és ki kell jelölni az alkalmazás megszüntetésekor, illetve megváltoztatásakor fennálló felelősségeket.


 * Vagyontárgyak visszaszolgáltatása: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik félnek vissza kell szolgáltatnia a szervezet valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik.


 * Hozzáférési jogok megszüntetése: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik, szerződésük, illetve megálla­podásuk lejár, vagy azt módosulás esetén a változáshoz kell igazítani. [ISO 27001 Magyar szabvány, A melléklet 8. bekezdés 34-35. oldal]

A vezetőség elkötelezettsége
A vezetőségnek bizonyítania kell elkötelezettségét az ISMS kialakítása, bevezetése, működtetése, figyelemmel kísérése, átvizsgálása, fenntartása és fejlesztése iránt:


 * ISMS-szabályzat kialakításával;


 * ISMS-célok és –tervek kialakításának biztosításával;


 * az információvédelemért viselt feladat- és felelősségi körök kialakításával;


 * az információvédelmi célok teljesítése és az információvédelmi szabályzatnak való megfelelés fontosságának, a jogszabályok szerinti felelősségeknek, valamint a folyamatos fejlesztés szükségesének kinyilvánításával a szervezet felé;


 * elegendő erőforrás biztosításával az ISMS létrehozásához, bevezetéséhez, működtetéséhez és fenntartásához; [ISO 27001 Magyar szabvány, 5.1 bekezdés 28. oldal]

Általános követelmények
A vezetőségnek tervezett időközönként át kell vizsgálnia a szervezet ISMS-ét, hogy biztosítsa annak folyamatos alkalmasságát, megfelelőségét és eredményességét. Ennek az átvizsgálásnak tartalmaznia kell a fejlesztési lehetőségek és az ISMS-beli változtatások szükségességének értékelését, beleértve a biztonsági szabályzatot és a biztonsági célokat is. Az átvizsgálások eredményeit egyértelműen dokumentálni kell, és a feljegyzéseket meg kell őrizni.

A átvizsgálás bemenő adatai
A vezetőségi átvizsgálás bemenő adatainak tartalmaznia kell:


 * az ISMS auditjának és átvizsgálásainak eredményeit;


 * az érdekelt felek visszajelzéseit;


 * a technikákat, termékeket vagy eljárásokat, amelyeket a szervezet felhasználhat az ISMS teljesítésének és hatásosságának fejlesztésére;


 * a megelőző és helyesbítő tevékenységek helyzetét;


 * azokat a sebezhető pontokat vagy fenyegetéseket, amelyeket nem kezeltek megfelelően a korábbi kocká­zatfelméréskor;


 * a hatékonysági mérések eredményét;


 * a korábbi vezetőségi átvizsgálások utóintézkedéseit;


 * bármilyen változtatást, amely hatással lehet az ISMS-re;


 * a fejlesztésre vonatkozó javaslatokat. [ISO 27001 Magyar szabvány, 7.1-2 bekezdés 29-30. oldal]

Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség:
Annak biztosítása, hogy a rendszerek megfelelnek a szervezet biztonsági politikáinak és szabványainak.


 * Megfelelés a biztonsági szabályzatoknak és szabványoknak: A vezetőknek biztosítaniuk kell, hogy felelősségi területükön belül valamennyi biztonsági eljárást előírásszerűen, a biztonsági szabályzatoknak és szabványoknak való megfelelés elérésével hajtsanak végre.


 * Műszaki megfelelés ellenőrzése: Az információs rendszereket rendszeresen ellenőrizni kell, hogy megfelelnek-e a biztonság megvalósítására vonatkozó szabványoknak. [ISO 27001 Magyar szabvány, A melléklet 15.1-2 bekezdés 46. oldal]

Felelősség
Minden résztvevő felelős az információs rendszerek és hálózatok biztonságáért. [ISO 27001 Magyar szabvány, B melléklet 47. oldal]

Felelősségek és eljárások
Az információbiztonsági incidensekre történő gyors, hatékony és szabályszerű válasz biztosítása érdekében rögzíteni kell a vezetői felelősségeket és eljárásokat. [ISO 27001 Magyar szabvány, A melléklet 13.2.1 bekezdés 44. oldal]

Üzemeltetési eljárások és felelősségi körök
Az információ-feldolgozó eszközök előírásszerű és biztonságos üzemeltetésének biztosítása


 * Dokumentált üzemeltetési eljárások: Az üzemeltetési eljárásokat dokumentálni kell és azokat karban kell tartani, és minden olyan felhasználó számára hozzáférhetővé kell tenni, akiknek arra szükségük van.


 * Változáskezelés: Az információ-feldolgozó eszközök és rendszerek változtatásait szabályozni kell.


 * Feladatkörök, kötelezettségek elhatárolása: A feladatköröket és felelősségi területeket szét kell választani a szervezet vagyontárgyai jogosulatlan, illetve nem szándékolt módosítása, illetve az azokkal való visszaélés lehetőségeinek csökkentése érdekében.


 * Fejlesztési, vizsgáló és üzemeltetési berendezések különválasztása: A fejlesztési, vizsgáló és üzemeltetési berendezéseket egymástól külön kell választani az üzemelő rendszerekhez való jogosulatlan hozzáférés, illetve azok jogosulatlan módosítása kockázatainak csökkentése érdekében. [ISO 27001 Magyar szabvány, A melléklet 10.1 bekezdés 37. oldal]

Rendszerfájlok biztonsága:
A rendszerfájlok biztonságának garantálása.


 * Programok forráskódjához való hozzáférés ellenőrzése: A programok forráskódjához való hozzáférést korlátozni kell.


 * Változás-szabályozási eljárások: A változtatások megvalósítását hivatalos változás-szabályozási eljárások használatán keresztül, ellenőrzés alatt kell tartani.


 * Alkalmazások műszaki átvizsgálása az üzemelő rendszerek megváltoztatását követően: Amikor üzemelő rendszerekben történik változtatás, a működés szempontjából kritikus alkalmazásokat át kell vizsgálni és le kell vizsgálni, annak biztosítása érdekében, hogy a változtatás ne legyen hátrányos hatással a szervezet működésére, illetve a biztonságra.


 * Szoftvercsomagok megváltozásának korlátozásai: A szoftvercsomagok módosítását vissza kell szorítani, azt a szükséges változtatásokra kell korlátozni, és valamennyi változtatást szigorúan ellenőrizni kell.


 * Információk kiszivárgása: Meg kell előzni az információk kiszivárgásának lehetőségeit.


 * Kiszervezett szoftverfejlesztés: A szervezetnek felül kell vizsgálnia figyelemmel kell kísérnie a kiszervezett szoftverfejlesztést. [ISO 27001 Magyar szabvány, A melléklet 12.4-5 bekezdés 43-44. oldal]

Bizalmasság, titkosság (confidentality)
Olyan tulajdonság, amely biztosítja, hogy az információt jogosulatlan egyének, entitások vagy folyamatok számára nem teszik hozzáférhetővé, és nem hozzák azok tudomására. [ISO 27001 Magyar szabvány, 3.3 bekezdés 22. oldal]

A dokumentumok ellenőrzése
Az ISMS által megkövetelt dokumentumokat védeni kell és szabályozás alatt kell tartani. Dokumentált eljárást kell kidolgozni, hogy meghatározzák a vezetőség azon tevékenységeit, amelyek szükségesek


 * annak biztosítására, hogy az alkalmazható dokumentumok legújabb változatai rendelkezésre álljanak a felhasználási helyeken


 * annak biztosítására, hogy a dokumentumok hozzáférhetők legyenek azoknak, akik igénylik azokat és átvigyék, tárolják és végül selejtezzék az osztályozásokra alkalmazható eljárásokkal összhangban. [ISO 27001 Magyar szabvány, 4.3.2 bekezdés 27. oldal]

Hozzáférés-ellenőrzés

 * A hozzáférés-ellenőrzéshez fűződő működési követelmény: Az információkhoz való hozzáférés ellenőrzése.


 * Hozzáférés-ellenőrzési szabályzat: Dokumentált hozzáférés-ellenőrzési szabályzatot kell kialakítani és azt a hozzáférésre vonatkozó, működési és biztonsági követelmények alapján felül kell vizsgálni.

Felhasználói hozzáférés irányítása: Az információs rendszerekhez való jogosult hozzáférés biztosítása, illetve a jogosulatlan hozzáférés megakadályozása.

 * Felhasználók regisztrálása: Valamennyi információs rendszerhez és szolgáltatáshoz való hozzáférés megadására és visszavonására hivatalos felhasználó regisztrálási és regisztráció megszüntetési eljárást kell alkalmazni.


 * Előjogok kezelése: Az előjogok kiosztását és használatát korlátozni és ellenőrizni kell.


 * Felhasználói jelszavak kezelése: A jelszavak kiosztását hivatalos kezelési folyamattal kell ellenőrizni.


 * Felhasználói hozzáférési jogosultságok átvizsgálása: A vezetőségnek rendszeres időközönként hivatalos folyamattal át kell vizsgálnia a felhasználói hozzáférési jogosultságokat.

Felhasználói felelősségek: A jogosulatlan felhasználói hozzáférés, valamint az információk és információ-feldolgozó eszközök megrongálásának, illetve eltulajdonításának megelőzése.

 * Jelszóhasználat: A felhasználóktól meg kell követelni, hogy a jelszavak kiválasztá­sában és használatában a jó biztonság gyakorlatot kövessék.


 * Őrizetlenül hagyott felhasználói berendezések: A felhasználóknak biztosítaniuk kell az őrizetlenül hagyott berendezések megfelelő védelmét.


 * A „Tiszta asztal, tiszta képernyő" szabályzata: Az iratok és eltávolítható adathordozók tekintetében a „tiszta asztal", míg az információfel-dolgozó eszközök tekintetében a „tiszta képernyő" szabályzatát kell alkalmazni.

Hálózati szintű hozzáférés ellenőrzés: A hálózatos szolgáltatásokhoz való jogosulatlan hozzáférés megakadályozása

 * Hálózati szolgáltatások használatára vonatkozó szabályzat: A felhasználók csak azokhoz a szolgáltatásokhoz kaphassanak hozzáférést, amelyek használatára kifejezett jogosultságuk van.


 * Felhasználó hitelesítése külső csatlakozások esetén: A távoli felhasználók általi hozzáférés ellenőrzésére megfelelő hitelesítési eljárásokat kell alkalmazni.


 * Berendezések azonosítása a hálózatokban: Az automatikus berendezés-azonosítást úgy kell tekinteni, mint a speciális helyekről és berendezésekről megvalósuló összeköttetések hitelesítési módját.


 * Távdiagnosztikai és konfigurációs portok védelme: A diagnosztikai és konfigurációs portokhoz való fizikai és logikai hozzáférést ellenőrizni kell.


 * Elkülönítés a hálózatokban: Az információs szolgáltatások, a felhasználók és az információs rendszerek csoportjait el kell különíteni a hálózatokban.


 * Hálózathoz való csatlakozás ellenőrzése: Megosztott hálózatoknál, különösen azoknál, amelyek a szervezet határain túlra nyúlnak, a hozzáférés-ellenőrzési szabályzattal és a működési alkalmazások követelményeivel összhangban, korlátozni kell a felhasználók hálózati csatlakozási képességeit.


 * Hálózati útvonal ellenőrzése: A hálózatokban az útvonal-ellenőrzést kell bevezetni annak biztosítására, hogy a számítógépes összeköttetések és az információáramlás ne sértsék a működési alkalmazásokra vonatkozó hozzáférés-ellenőrzési szabályzatot.

Operációs rendszer szintű hozzáférés-ellenőrzés: Az operációs rendszerekhez való jogosulatlan hozzáférés megelőzése

 * Biztonságos bejelentkezési eljárások: Az operációs rendszerekhez való hozzáférést biztonságos bejelentkezési eljárásokkal kell ellenőrzés alatt tartani.


 * Felhasználó azonosítása és hitelesítése: Minden egyes felhasználónak saját személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie, és alkalmas hitelesítési technikát kell választani a felhasználó állítólagos azonosságának igazolására.


 * Jelszókezelő rendszer: A jelszavak kezelésére szolgáló rendszereknek interaktív rendszereknek kell lenniük és jó minőségű jelszavakat kell biztosítaniuk.


 * Rendszer-segédprogramok használata: Korlátozni és szigorúan ellenőrizni kell a rendszer segéd­-programjainak használatát, amelyek alkalmasak lehetnek a rendszer- és alkalmazásellenőrzés megkerülésére.


 * Kapcsolati idő túllépése: Az inaktív összeköttetéseket meghatározott időtartamú inaktivitás után bontani kell.


 * Az összeköttetés idejének korlátozása: A magas kockázatú alkalmazások kiegészítő biztonsága érdekében korlátozni kell az összeköttetés idejét.

Alkalmazás és információ szintű hozzáférés-ellenőrzés: Az alkalmazási rendszerekben tárolt információhoz való jogosulatlan hozzáférés megelőzése.

 * Információ hozzáférés korlátozása: Az információkhoz és az alkalmazási rendszerek funkcióihoz való felhasználói és támogatószemélyzeti hozzáférést a kialakított hozzáférés-ellenőrzési szabályzattal összhangban korlátozni kell.


 * Érzékeny rendszerek elkülönítése: Az érzékeny rendszereknek egy erre a célra létesített (elkülönített) számítógépes környezettel kell rendelkezniük. [ISO 27001 Magyar szabvány, A melléklet 11.1-6 bekezdés 40-41-42. oldal]

Az információbiztonság szervezete

 * Belső szervezet: Az információbiztonság irányítása a szervezeten belül.


 * Az információbiztonsági felelősségi körök kijelölése: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni.


 * Jogosultsági engedélyezési folyamat az információ-­feldolgozó eszközökre vonatkozóan: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére.


 * Titoktartási megállapodások: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.


 * Külső ügyfelek: A szervezet külső felek, ügyfelek által hozzáférhető, feldolgozott vagy részükre kommunikált, illetve általuk kezelt információk és információ-feldolgozó eszközök biztonságának fenntartása.


 * A külső ügyfelekkel összefüggő kockázatok azonosítása: Azonosítani kell a szervezet információit és információ-feldolgozó eszközeit fenyegető kockázatokat, amelyek olyan működési folyamatokból származnak, amelyekben külső ügyfelek vesznek részt, ezekkel szemben megfelelő intézkedéseket kell hozni és érvényesíteni a hozzáférési jog megadása előtt.


 * A biztonság kérdésének kezelése az ügyfelekkel való foglalkozás során: Foglalkozni kell valamennyi azonosított biztonsági követelménnyel, mielőtt a szervezet hozzáférést biztosít információihoz, illetve vagyontárgyaihoz az ügyfelek számára.


 * A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban: A harmadik felekkel kötött megállapodásoknak, beleértve a szervezet információihoz, illetve információ-feldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információ-feldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell. [ISO 27001 Magyar szabvány, A melléklet 6. bekezdés 32-33. oldal]

Értékelési feladatok
Ellenőrzés (az ISMS figyelemmel kisérése és átvizsgálása)

A folyamatok teljesítményének értékelése, ahol lehetséges mérése, az ISMS-politikával, - célokkal és a gyakorlati tapasztalatokkal összevetve, tovább az eredmények jelentése a vezetésnek átvizsgálás céljából. [ISO 27001 Magyar szabvány, A melléklet 0.2 bekezdés 20. oldal]

Vírusvédelem
A célkitűzés az, hogy megvédjük az adatok sértetlenségét a szoftvereknek és az információknak [ISO/IEC 17799:2005 10.4.1].

A vírusvédelem egy megelőző tevékenység a legtöbb esetben, segítségével megelőzhetőek a rosszindulatú kódok és a jogosulatlan mobil kódok futtatása.

Segédeszközök
Minden a cég tulajdonában lévő számítógépen telepítve kell lennie a cég által engedélyezett vírusvédelmi szoftver valamelyikének.

Windows XP esetén: ESET NOD32 Antivirus

Windows 7 esetén: ESET NOD32 Antivirus

Linux és Unix, amely támogatja a deb vagy rpm csomagkezelőket:

ESET NOD32 Antivirus for Linux Desktop

Linux és Unix, amelyek nem támogatják a deb és rpm csomagkezelőket:

ClamAV

Továbbá a szerverek feladatainak megfelelő védelem.

Részletek a bizalmas mellékletben.

Menedzsment
A menedzsment tudásának folyamatos bővítése, naprakészen tartása továbbképzésekkel.

Különböző levelezési listákra való feliratkozás és weboldalakra való látogatás, hogy az új kártékony kódokról információkat szerezzen.

A menedzsmentnek minden a vírusvédelemmel való incidenst jelentenie kell a vezetőségnek.

A menedzsmentnek biztosítania kell, hogy a cég számítógépein a vírusvédelmi szoftverek megfeleljenek a cég politikájának.

Használati előírások
A vírusvédelmi szoftvereket naprakészen kell tartani, mindig az elérhető legújabb stabil verziót kell feltelepíteni.

A vírusvédelmi szoftvert sosem szabad kikapcsolni.

Minden fájlt ellenőrizni kell a használata előtt, amelyet elektronikus vagy optikai adathordozóról szeretnénk használni vagy a hálózaton keresztül szereztünk be.

Ellenőrizni kell az e-mail csatolmányait és a letöltött állományokat mielőtt használnánk azokat.

Ellenőrizni kell a weboldalakat kártevő kódok ellen.

Az üzletmenet-folytonosság érdekében rendszeresen mentenünk kell a fájlokat, hogy azok visszaállíthatóak legyenek a kártevő kódok támadása után is.

Menedzsment
A ki- és bejövő levelek ellenőrzése. Az illetéktelen, nem megbízható forrásból származó, illetve tartalmat tartalmazó levelek szűrése.

Az ISMS figyelemmel kisérése és átvizsgálása

 * Megfigyelési, átvizsgálási eljárásokat kell működtetnie, és más intézkedéseket kell hoznia, hogy


 * azonnal azonosítani tudja a védelem megkísérelt és sikeres megsértéseit és a biztonsági incidenseket;


 * lehetővé tegye a vezetés számára annak megállapítását, hogy vajon a munkatársakra bízott, vagy az informatika segítségével megvalósított biztonsági tevékenységeket az elvárások szerint hajtják-e végre?

Használati előírások
A felhasználóknak külön figyelniük kell a nem megbízható csatolmányokra, amelyek nem megbízható forrásból származnak.

A felhasználók nem adhatják ki magukat másnak levelezés közben.

A felhasználóknak a kockázatok tudatában szabad bizalmas és üzletileg érzékeny információt tartalmazó levelet elküldeni.

A levelek helyesen és professzionálisan legyenek megfogalmazva, ne tartalmazzanak rágalmazó, sértő tartalmat.

Képzés, tudatosság és felkészültség

 * a szükséges felkészültség meghatározásával azon dolgozók esetében, akik az ISMS-t befolyásoló munkát végeznek {Megelőző tevékenység}

Internet használat
Cél, az Internet használatát szabályozó házirend kialakítása, mely elősegíti az üzletmenet folytonosságát. Mivel az Internet használata nélkül manapság nem képzelhető el egy vállalat működése sem, fontos korlátozni a rossz szándékú, illetéktelen hozzáférések előfordulásának valószínűségét. Amellett, hogy megpróbáljuk lecsökkenteni a vállalat ellen irányuló interneten keresztüli támadások számát, elengedhetetlen az is, hogy a dolgozók zavartalanul használhassák a világhálót. A vállalatnál különféle munkakörben végzik a dolgozók a munkájukat, az internet használatról azonban fontos egy egységes, mindenki által elismert és tudomásul vett szabályzat-rendszer megléte.

Segédeszközök:
Switch

Vírusirtók

Tűzfalak

Böngésző(k)

Menedzsment
A vállalatnál létezik egy vagy több kitüntetett szerepkörű rendszergazda, aki(k) a hálózati infrastruktúra zökkenőmentes működéséért felelős(ek).

Előfordulhatnak olyan szerepkörök, melyben a vállalat hálózatát (így az internetet) csak eleve korlátozva, - például kizárólag egyes oldalakat illetve szolgáltatásokat elérhetővé tevő böngészőket használ a munkatárs. Ezáltal a támadások valószínűsége is csökkenthető, hiszen az alkalmazott nem kószálhat szabadon a világhálón.

Fontos egy rendszeres kontroll, amikor egy arra felhatalmazott személy (lehetőleg egy rendszergazda) ellenőrzi egyes alkalmazottak naplófájljait, így az esetleges már bekövetkezett illetéktelen hozzáférés után az események rekonstruálhatóvá válhatnak.

Használati előírások
Az egész cégre kiterjedő internet használati házirend a következőket tartalmazza:


 * az alkalmazottak a számítógépükön elérhető internetet csak munka céljából használhatják. Személyes, üzletmenethez nem tartozó ügyek intézésére nem alkalmazható a céges internet elérés. A tiltott webes tevékenységek a 3.5. pontban vannak részletezve.


 * az alkalmazottak csak üzleti órákban használhatják az internetet.


 * a vállalat figyeli (naplózza) a munkatárs által folytatott kommunikációt, mely az interneten keresztül történt, hiszen ez a vállalat szempontjából, így üzleti célból is bizalmasnak tekinthető.


 * bármilyen hiba vagy probléma előfordulása esetén a dolgozó első feladata értesíteni a rendszergazdát


 * egyéb: Sértő tartalmak letöltése, Fenyegetés és erőszakos fellépés, Illegális tevékenységek


 * A cégnél ellátott feladatokon kívül eső kereskedelmi tevékenységek

=Külső partner kezelés (outsource)=

A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban: A harmadik felekkel kötött megállapodásoknak, beleértve a szervezet információihoz, illetve információfeldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információfeldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell.

Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik félnek vissza kell szolgáltatnia a szervezet valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik.

Az üzemeltetési eljárásokat dokumentálni kell és azokat karban kell tartani, és minden olyan felhasználó számára hozzáférhetővé kell tenni, akiknek arra szükségük van.

Harmadik felek szolgáltatásnyújtásának irányítása
Cél: Az információbiztonság és szolgáltatásnyújtás megfelelő szintjének bevezetése és fenntartása a harmadik felekkel kötött szolgáltatásnyújtási megállapodásokkal összhangban.

Szolgáltatásnyújtás
Intézkedés: Biztosítani kell a harmadik felekkel szolgáltatásnyújtására kötött megállapodásokban foglalt biztonsági intézkedések, szolgáltatásmeghat ározások és szolgáltatásnyújtási szintek harmadik felek általi megvalósítását, működtetését és fenntartását.

Harmadik felek szolgáltatásainak figyelemmel kisérése és átvizsgálása
Intézkedés: A harmadik felek által nyújtott szolgáltatásokat, jelentéseket és feljegyzéseket rendszeresen figyelemmel kell kísérni és át kell vizsgálni, valamint rendszeres auditjukat is el kell végezni.

Harmadik felek szolgáltatásaival kapcsolatos változások kezelése
Intézkedés: A szolgáltatások nyújtását, beleértve a meglévő információbiztonsági szabályzatok, eljárások és ellenőrző intézkedések fenntartását és fejlesztését, érintő változásokat, az érintett működési rendszerek kritikusságára beleértve a folyamatokat és a kockázatok újraértékelését kezelni kell.

Adathordozók kezelése
Cél: Vagyontárgyak illetéktelen kiadásának, módosításának, eltávolításának, vagy tönkretételének, valamint a működési tevékenységek megszakadásának megelőzése

Információcsere
Cél: A szervezeten belül és bármilyen külső entitással kicserélt információk és szoftverek biztonságának fenntartása.

Információcserére vonatkozó szabályzatok és eljárások
Intézkedés: A cserét szabályzó hivatalos irányelvek, eljárások és intézkedések legyenek készen a kommunikációs berendezések valamennyi típusának használatával megvalósuló információcsere védelme, biztonsága érdekében.

Megállapodások az információ- és szoftvercseréről
Intézkedés: Megállapodásokat kell létrehozni a szervezet és külső felek közötti információ- és szoftvercserére vonatkozóan.

Fizikai adathordozók szállítása
Intézkedés: A szervezet fizikai határain túlra történő szállításuk közben az információt tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, a visszaélésektől, illetve a megrongálástól.

Elektronikus üzenetek küldése/fogadása
Intézkedés: Az elektronikus üzenetekben foglalt információkat megfelelő módon védeni kell.

Működési információs rendszerek
Intézkedés: Szabályzatokat és eljárásokat kell kidolgozni és bevezetni a működési információs rendszerek összeköttetésével kapcsolódó információk védelmére.

Mobil számítógép használata és távmunka
Cél: Az információbiztonság megőrzése mobil számítógép használatra és távmunka végzésére szolgáló berendezések használata esetén

Mobil számítógép használata és kommunikáció
Intézkedés: Hivatalos szabályzatnak kell hatályban lennie és megfelelő biztonsági intézkedéseket kell elfogadni a mobil számítógép használatából és a mobil kommunikációs berendezések használatából eredő kockázatok elleni védekezés.

Távmunka
Intézkedés: A távmunkában folytatott tevékenységekre szabályzatot, üzemeltet ési terveket és eljárásokat kell kidolgozni és megvalósítani.

Kiszervezett szoftverfejlesztés
Intézkedés: A szervezetnek felül kell vizsgálnia figyelemmel kell kísérnie a kiszervezett szoftverfejlesztést.

Biztonsági gyenge pontok jelentése
Intézkedés: Az információs rendszereket és szolgáltatásokat használó valamennyi alkalmazottól, szerződő vállalkozótól és harmadik féltől meg kell követelni, hogy jegyezze fel és jelentse a rendszerekben, illetve szolgáltatásokban észlelt, vagy feltételezett bármiféle gyenge pontot.

Bizonyítékok gyűjtése
Intézkedés: Ha egy információbiztonsági incidenst követően egy személlyel, vagy szervezettel szemben indított nyomon-követési beavatkozás (akár polgári, akár büntetőjogi) jogkövetkezménnyel jár, a bizonyítékokat a bizonyításra vonatkozó törvény(ek)ben lefektettek jogszabályoknak megfelelően kell gyűjteni, megőrizni és bemutatni.

Jogi követelményeknek való megfelelés
Cél: Bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség, továbbá bármely biztonsági követelmény megsértésének elkerülése.

Az alkalmazandó jogszabályok megállapítása
Intézkedés: Minden egyes információs rendszerre és szervezetre egyértelműen meg kell határozni, dokumentálni kell és naprakészen kell tartani valamennyi vonatkozó, törvényben meghatározott, szabályozási és szerződéses kötelezettséget, valamint azt, hogy a szervezet miként tesz eleget e követelményeknek.

=Adatvédelem=

Az adatok, amikkel a gazdasági egység dolgozik, stratégiai szempontból felbecsülhetetlen értékkel bírnak. Adatvesztés történhet külső illetve belső körülmény miatt. Külső körülmény lehet egy természeti katasztrófa, egy illetéktelen hozzáférésből származó, kifejezetten ártó szándékú támadás. Feltesszük, hogy a vállalatunk fontos üzleti tényező a piacon, és érzékenyen érintené a bevétel kiesés (mint minden rendes vállalatot). Belső körülményre példa egy a rendszer adminisztrátor által - tévesen - megfelelő jogosultságokkal felruházott dolgozó mellényúlása. Fontos dolog tehát az üzleti adatok védelméről való gondoskodás.

Az adatvesztés pontos oka sokféle lehet, de következményei megfelelő óvintézkedésekkel, előrelátó, logikus gondolkodással csökkenthetők, így az üzletmenet folytonosság csak a tűréshatáron belüli fennakadást kell, hogy elviseljen.

A vállalat három különböző védelmi intézkedés bevezetését fogalmazta meg és hajtotta végre.


 * Biztonsági másolatok rendszere

A biztonsági mentés másolatot készít az adatokról egy másik adathordozóra. A biztonsági másolatoknak alapvetően két típusa van: teljes és növekményes. A teljes biztonsági másolat teljes egészében tartalmazza a kijelölt adatokat egy alternatív adathordozón. A növekményes fajtánál csak az utolsó biztonsági mentés óta történt változásokat mentjük el.

A hét egy napján teljes biztonsági mentés készül az adatokról, emellett hétköznaponként zárás után a napi változásokat a növekményes biztonsági másolattal kerülnek mentésnek. Tesztelési célból havonta egyszer kipróbálásra kerülnek az alkalmazott biztonsági másolatok.


 * Engedélyek használata

Az adatok védelme érdekében elengedhetetlen fontosságú a pontos, naprakész, konzisztens jogosultsági rendszer kialakítása.


 * Adattitkosítás

Az adatok illetéktelen kézbejutásának illetve hozzáférésének megakadályozása, káros következményeinek enyhítése érdekében titkosító szoftvereket használ. Adathordozókon lévő információ, valamint a külső kommunikációs csatornákon történő információcseréjekor szükség van megfelelő kriptográfiai eljárások alkalmazására.

A dolgozókra szigorú adatvédelmi szabályok vonatkoznak. A saját felelősség körében tárolt illetve felhasznált adatok sérthetetlenségének megőrzésére minden esetben törekednie kell. 

=Az információbiztonsági oktatás rendje=

Célja:
A tudatosság elérése. Az érintetteknek tisztában kell lenniük az információs rendszerek és hálózatok biztonságának szükségességével, illetve hogy milyen intézkedésekkel növelhetik azt. Ez a tevékenység a végrehajtási szakasz része.

Intézkedések:
A szervezet valamennyi alkalmazottját és, ahol ez jelentőséggel bír,

a szerződőket és a felhasználó harmadik feleit megfelelő, tudatosító

képzésben kell részesíteni, és a munkaköri feladataiknak

megfelelően a szervezeti szabályzatok és eljárások tekintetében

rendszeresen friss ismeretanyaggal kell ellátni.

A szervezetnek biztosítania kell, hogy minden dolgozó, akire az IBSZ-ben meghatározott felelősséget osztottak ki, felkészült legyen az elvárt feladatok elvégzésére:

Az IBSZ-hez kapcsolódó munkakörben dolgozók képzetségi szintjének meghatározása;

Alkalmas képzések megtartásával és szükség esetén felkészült dolgozók alkalmazásával ezeknek az igényeknek a kielégítésére;

A megtartott képzések és az elvégzett tevékenységek hatásosságának értékelésével;

Az oktatások és képzések során keletkező tapasztalati vagy egyéb feljegyzések megőrzése;

A szervezetnek biztosítania kell azt is, hogy az érintettek tudatában legyenek az információbiztonsággal kapcsolatos tevékenységük szerepével és fontosságával, valamint azzal, hogy miképpen járulhatnak hozzá az IBSZ céljainak eléréséhez.

=Jogszabályok=

Az ISO27001 szabvány az alábbi általános mondatokat fogalmazta meg a jogszabályokat illetően:

Jogi követelményeknek való megfelelés esetén a cél bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség, továbbá bármely biztonsági követelmény megsértésének elkerülése.

Az alkalmazandó jogszabályok megállapítása
Minden egyes információs rendszerre és szervezetre egyértelműen meg kell határozni, dokumentálni kell és naprakészen kell tartani valamennyi vonatkozó, törvényben meghatározott, szabályozási és szerződéses kötelezettséget, valamint azt, hogy a szervezet miként tesz eleget e követelményeknek.

Szellemi tulajdonjogok (angol rövidítéssel: IPR)
Megfelelő eljárásokat kell bevezetni a jogszabályi, szabályozási és szerződéses kötelezettségeknek való megfelelés biztosítására szellemi tulajdonjogokhoz esetleg köthető anyagok, valamint szellemi tulajdont képező szoftvertermékek felhasználása során.

Szervezeti feljegyzések védelme
A törvényben meghatározott, szabályozási, szerződéses és működési követelményekkel összhangban a fontos feljegyzéseket meg kell óvni az elveszéstől, a megsemmisüléstől és a meghamisítástól.

Adatvédelem és a személyes adatok titkossága
A vonatkozó törvényi előírásokban, jogszabályokban, és ahol alkalmazható, a szerződéses kikötésekben rögzített követelményeknek megfelelően biztosítani kell az adatok védelmét és bizalmasságát.

Információfeldolgozó berendezésekkel való visszaélések megelőzése
Meg kell akadályozni, hogy a felhasználók az információ-feldolgozó berendezéseket jogosulatlan célokra használják.

Titkosítási eljárások szabályozása
A titkosítási eljárásokat valamennyi vonatkozó megállapodás, törvény és jogszabály betartásával kell alkalmazni.

A legfontosabb információbiztonsággal kapcsolatos törvények, jogszabályok, szabványok
Az alábbi lista értelemszerűen nem teljes, de tartalmazza a napi működéssel kapcsolatos leginkább releváns törvényeket, jogszabályokat:

1.1992. évi LXIII. tv. a személyi adatok védelméről és a közérdekű adatok nyilvánosságáról. Ez a törvény hatályát vesztette 2012. január 1-én. Az új törvény, mely ma (2012. március 16-án) is hatályos: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

2.1992. évi XXII. tv. a Munka Törvénykönyvéről

3.1978. évi IV. tv. a Büntető Törvénykönyvről

4.1996. évi LVII. tv A tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról)

5.1995. évi LXVI. tv Köziratok, köz- és magánlevéltári anyagok

6.1999. évi LXXVI. tv. A szerzői jogról

7.2001. évi XXXV. tv. Az elektronikus aláírásról

8.1995. évi LXVI. törvény a közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről

9.1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról

10.1992. évi LXIII. törvény. a személyi adatok védelméről és a közérdekű adatok nyilvánosságáról,

11.1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről.

A tárca- vagy ágazati szintű rendelkezések, végrehajtási utasítások
Ezen a szabályozási szinten - az informatikai biztonság szempontjából - elsősorban az informatikai, információ-feldolgozási feladatok kiosztása, az adattovábbítások rendjének megállapítása történik meg. A tárca szintű szabályozás az esetek jelentős részében már részletező jellegű, akár egyes konkrét intézkedésekre is kiterjedhet a rendszer biztonságával kapcsolatban.

A helyi szabályozások
A helyi szabályozás szintjén jelennek meg az informatikai biztonsággal (is) összefüggő konkrét intézkedések előírások, szabályzatok, intézkedési tervek formájában:

A Szervezeti és Működési Szabályzat (SzMSz)

Az Ügykezelési (Iratkezelési) és/vagy a Titkos Ügykezelési Szabályzat,

A vagyonvédelmi, rendészeti, biztonságtechnikai előírások,

A Tűzvédelmi Szabályzat,

A Munkavédelmi Szabályzat,

A Munkaköri Leírások.

Az Informatikai Biztonsági Szabályzatban érintett azon intézkedéseket, amelyek egyes beosztásokat, munkaköröket érintenek, a Szervezeti és Működési Szabályzatba kell beépíteni és az egyes konkrét személyekre vonatkozó feladat- és hatáskör is ott kell, hogy meghatározásra kerüljön. Az Informatikai Biztonsági Szabályzat, illetve az SzMSz szerinti feladatok, felelősségek és jogok a munkaköri leírásokban kerüljenek részletesen kifejtésre.

=Mellékletek=

Az informatikai biztonsággal kapcsolatos JELENLEGI utasítások
Védelmi berendezések alkalmazása (mód, topológia), üzemeltetése és menedzsmentje

Cél
A hálózatokban lévő információk megóvásának és a támogató infrastruktúra védelmének biztosítása. [MSZ ISO/IEC 27001:2006 A10.6.]

mód
A tűzfalnak két alkalmazási módja lehet, ezek a következők: szoftveres tűzfal vagy „hardveres tűzfal”. Szoftveres tűzfal esetén, mint a neve is mutatja egy számítógépre telepített szoftver látja el a hálózat védelmét, az internetforgalom ezen a számítógépen halad keresztül. A hardveres tűzfalnál is lényegében egy szoftver látja el a forgalom szűrését, mégpedig a routerba épített mikroszámítógépen futó tűzfal szoftver. A hardveres tűzfal stabilabb és megbízhatóbb, mint a szoftveres tűzfal.

topológia:
szoftveres tűzfal:

'SWFirewall.png' 2012-03-23

hardveres tűzfal:

'HWFirewall.png' 2012-03-23

Hálózatok védelme:
Intézkedések

A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani. [MSZ ISO/IEC 27001:2006 A10.6.1.]

Hálózati szolgáltatások biztonsága:
Intézkedés

A biztonsági jellemzőket, a szolgáltatási szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak. [MSZ ISO/IEC 27001:2006 A10.6.2.]

Menedzsment:
A tűzfal menedzselése rendkívül fontos, hiszen alapjaiban határozza meg a privát hálózat biztonságát, megpróbálja megóvni a hálózati szegmenst a nem kívánt támadásoktól. Szabályozza a különböző megbízhatósági szintekkel rendelkező számítógép-hálózatok közti forgalmat. Az internet semmilyen megbízhatósággal nem rendelkezik, ezzel szemben egy belső hálózatnak magasabb a megbízhatósági szintje. Megfelelő beállítás nélkül egy tűzfal gyakorlatilag értelmetlenné válik. A biztonsági szabványok alapértelmezett-letiltás szabálycsoportot határoznak meg, amelyben csakis azok a hálózatok vannak engedélyezve, amik már külsőleg engedélyezve lettek. Ehhez azonban részletesen ismerni kell a hálózati eszközöket és azokat a végpontokat, amik a vállalat mindennapi működéséhez szükségesek. Sok vállalatnál hiányzik ez az ismeret és ezért alapértelmezett-engedélyezés szabálycsoportot alkalmaznak, amiben minden forgalom engedélyezve van, amíg konkrétan nem történik blokkolás. Az ilyen beállítások kéretlen hálózati kapcsolatokat és rendszer veszélyeket okozhatnak. A menedzselés szoftveres tűzfal esetén magának a tűzfal programnak a segítségével történik, míg hardveres tűzfal esetén a hálózatunk védelme érdekében a megfelelő beállításokat a router ip címén elérhető webes adminisztrációs felületen tudjuk megtenni.

hatókör:
A külső és belső sérülékenységvizsgálat kiterjed az egész hálózatra mind a külső elérésre mind a belső elérésre.

A külső vizsgálatok kiterjednek a vezetékes és vezetéknélküli kapcsolatokra valamint az interneten keresztüli behatolás veszélyeire.

A belső viszgálatok a belső hálózat ellenőrésre terjed ki.

felhasznált eszközök
A felhasználói jogok kiosztására az Active Directory-t haszáljuk.

A belső viszgálatnál a halózati hozzáférések ellenőrzésére a Naplóelemzőt használjuk hogy történt-e illetéktelen hozzáférés.

A külső viszgálatnál a Tűzfalak naplózását kell ellenőrizni valamit a nyitott portokat és a hozzádérési listákat (ACL).

A vezetéknélküli hozzáférés ellenőzésére a titkosítás feltörésnek kísérletére AirPCap nevű wifi kommunikáció lehallgató hardware használata a hozzávaló szoftverrel.

eljárási rend
Az ellenőrzést félévente kell végre hajtani hogy garantálni lehessen a megfelelő biztonságot mely a cég működéséhez elengedhetetlen.

Az ellenőrzést végezhetik a belső munaktársak (IT biztonsági osztályról) illetve erre megbízott cég.

az eredmények közlése
Jegyzőkönyvek készítése a felmérésről.

Az eredményekről azzonali tájékoztatást kell adni a IT és IT biztonsági igazgatónak. Ő hozza meg a megfelelő intézkedéseket. az esetleges hibák elhárítására.

az eredmények feldolgozása
Amennyiben az ellenőrzés hiányosságokat illetve biztonsági réseket tárna fel azt azonnal közölni kell a IT biztonsági részleggel hogy mihamarabb megtegyék a megfelelő intézkedéseket a hibák kijavításá ért

Amennyiben az ellenőrzés nem talál hibát úgy a jegyzőkönyveket iktetni kell hogy a következő ellenőrzéskor kiindulási alapot tudjon nyújtani.

Naplóelemző rendszer:
Napjainkban elengedhetetlen rendszereink naplózása. Naplóink értelmezése és elemzése a gyakorlatban minden olyan területen hasznunkra válhat, ami csak előfordulhat egy IT rendszerben. Mind biztonsági, mind üzemeltetési szempontokból rengeteg előnyünk származhat egy jól működő naplózó rendszerből. Mégis miért hanyagolják el ezt a területet olyan sokan?

A válasz talán a probléma komplexitásában rejlik, hisz még egy jól konfigurált naplózás esetén is cégmérettől függően a napi több ezer bejegyzéstől a több millióig terjedhet a rögzített események száma. Hibakeresés és egyéb felderítés céljából bár minden illetékes rendszergazda elemzi az általa felügyelt rendszereket, de így könnyen előfordulhat, hogy az összefüggő információk együttes többletértéke nem kerül előtérbe az elemzések elkülönüléséből fakadóan. Magyarán ha az egymással nem kommunikáló windowsos, hálózatos és tűzfalas rendszergazdák a saját rendszerükben észlelt egyidejű üzemzavarról nem értekeznek, akkor lehet, hogy soha ki sem derül, hogy egy rosszindulatú támadó keze van a dologban. Márpedig az éles hibák elhárítása során esetlegesen kialakult „pánikhelyzetben” ritkán jellemző, hogy egymástól viszonylag független területek konzultáljanak egymással, amíg arra a következtetésre nem jutnak, hogy a hiba megszüntetéséhez segítségül kell hívni a társterületet.Mit lehet tenni, hogy elkerüljük az események magasabb szinten való elemzésének hiányában keletkező információveszteséget? A probléma megoldása egyértelműen a központosított loggyűjtés irányába mutat, de ha ránézünk a számokra, méretekre, könnyen beláthatjuk, hogy ekkora eseménymennyiséget manuálisan képtelenség feldolgozni.

A piacnak a problémára több ingyenes és fizetős megoldása is van. Ezek nem mások, mint a központi logelemző / logmenedzselő rendszerek, azaz a SIMS–ek (security information management system). Ezek a megoldások képesek a beáramló naplókat fogadni és különböző korrelációs szabályrendszerrel feldolgozni. Így egy jól kidolgozott szabályhierarchiával képesek lehetünk közel realtime észlelni problémáink forrását (fenti példánkban egy támadási diagram generálásával) és magát a kiváltó okot megszüntetni.

Hogyan is néz ki egy tipikus SIMS? Jellemzően rendelkeznek loggyűjtő és normalizáló, valamint korrelátor modullal, az események strukturált tárolására pedig valamilyen adatbázis megoldást használnak. A loggyűjtő hivatott fogadni a naplókat, melyet a normalizátor alakít a korrelátor számára megfelelő formára, megőrizve az eseménybejegyzések integritását. A korrelátor modul a szabályrendszer alapján incidenseket generál, melyeket a szerepkör alapú hozzáférésekkel rendelkező személyzet kezel a vállalat hatályos incidenskezelési szabályzata vagy eljárásrendje alapján.

Az architektúra kialakításának nehézsége abban rejlik, hogy manapság egy vállalati infrastruktúra meglehetősen sokféle komponensből állhat, melyeknek naplózási mechanizmusai eltérőek lehetnek. Tipikusan történhet a naplózás fájlba, adatbázisba vagy syslog szerű megoldásokkal. SIMS –ünket úgy kell megválasztanunk, hogy az a lehető legjobban illeszkedjen az általunk felügyelt környezetbe, és az üzleti és IT stratégiákat figyelembe véve a legjobban illeszkedjen a tervezett fejlesztésekhez is, legyen az infrastrukturális vagy szoftver.

Új gyári rendszerek bevezetésénél (pl. operációs rendszerek) általában a naplózási funkció adott, így ezen a vonalon sok teendő nincsen, mindössze a kompatibilis / nem kompatibilis feltételt kell megvizsgálnunk SIMS-ünk esetében, ami esetlegesen befolyásolhatja eszközválasztásainkat. Egyedi, saját fejlesztéseink esetén azonban már más a helyzet. Ezen esetekben célszerű tudatosan abba az irányba terelni a dolgok menetét, ami biztonságunk és SIMS –ünk számára kedvezőbb. Annak hogy egy napló mennyire legyen bőbeszédű, egyedi fejlesztések esetén gyakorlatilag csak a képzeletünk – meg az erre allokált büdzsé –határozza meg. Azonban célszerű a naplózási kritériumokat úgy specifikálni, hogy lehetőleg a fejlesztendő rendszer ne a SIMS –ünk áteresztőképességét legyen hivatott tesztelni, hanem csak a számunkra releváns és fontos információkat naplózza le.

A legfontosabb szempontok egy naplóelemző rendszerrel kapcsolatban: [BalaBit Kft.: A központi naplózás hat sarokköve http://itsec.blog.hu/]

 * kritikus adatminőség, avagy elemezzünk megbízható infrastruktúrán


 * testreszabott riasztások riportok: a legfontosabb az, hogy a riportok és a riasztások mennyiségének összhangban kell lenniük a rendelkezésre álló humán kapacitásokkal.


 * naplózás hatóköre: a megfelelő adatokat naplózzuk a rendszerben, mivel itt is érvényes a Pareto elv, hogy azok az információk amikre kíváncsiak vagyunk, a logüzenetek kis részében vannak jelen, így például nagyon fontos archiválás előtt osztályozni és kiszűrni a megfelelő adatokat


 * kritikus pont az időpecséteket és a tanúsítványokat szolgáltató infrastruktúra: az üzletileg kritikus eseményeknél vagy büntetőjogi eseteknél fontos, hogy hiteles időbélyeggel rendelkezzen a naplófájlunk, ezért alkalmazni kell valamilyen szinkronizáló eszközt a rendszerünkben


 * hozzáférés-szabályozás: csak az arra illetékes személy férhessen hozzá a naplózó rendszer komponenseihez, kezdve a helyi naplózó alkalmazástól egészen a központi naplóadat tároló storage-ekig


 * pontosan meghatározott és szigorúan betartatott hozzáférés‐szabályozás legyen érvényben. Biztosítani kell, hogy csak az arra jogosult személyek férhessenek hozzá a naplózó rendszer egyes komponenseihez, beleértve a klienseken futó agenteket, az átvitelre szolgáló hálózati berendezéseket, relay pontokat, az adatok tárolásához, archiválásához használt storage‐eket valamint a feldolgozást végző, riasztásokat és jelentéseket generáló összetevőket is.

Vírusvédelem
A vírusvédelmi szoftvernek a felhasználót és a menedzsmentet érthetően kell informálni, hogy eldönthető legyen a felhasználó és/vagy a menedzsment számára, hogy a riasztás valós-e vagy csak hamis.

A cég segít az alkalmazottaknak telepíteni a saját tulajdonú számítógépekre, amelyek a munkaköri tevékenységekhez használ, hogy megfeleljen a cég biztonsági politikájának.

Ha egy számítógép fertőzött lesz valamilyen kártékony kóddal, akkor azt le kell választani a hálózatról és megkezdeni a helyreállítási intézkedéseket.

Minden hónap első szerdáján egy teljes körű vizsgálatot indítanak a számítógépek automatikusan, hogy az esetlegesen észre nem vett káros kódokat is megtalálják.

A vírusvédelmi szoftver naplózását naponta át kell vizsgálni, hogy az észlelt káros kódokat megvizsgáljuk és ellenük az intézkedéseket kitaláljuk.

Bármely alkalmazott, aki megszegi a cég vírusvédelmi politikáját, felelősségre lesz vonva.

A szerverek védelmi rendszerei:
A szerver szerepköréhez megfelelő védelmet kell kialakítani.

Levelezőszerver védelem: ESET Mail Security

Fájlszerver védelem: ESET File Security

Átjáróvédelem: ESET Gateway Security

Távadminisztráció
Minden szerver védelmi rendszerét egyetlen távoli helyről is el kell, hogy tudja érni a menedzsment.

Az ehhez használt szerver program: ESET Remote Administrator Server

Ahhoz, hogy a Remote Administration Server szolgáltatás zavartalanul működjön - vagyis frissüljön, és a kliensek illetve a konzol is tudjanak csatlakozni - engedélyezni kell a tűzfalban (amennyiben van) a 2221, 2222, 2223 és a 2224-es portokat.

Az ehhez használt kliens program: ESET Remote Administrator Console - Ennek segítségével kapcsolódhatunk a Server-hez

A távadminisztráció segítségével a vállalat gépeire telepíthetjük távolról is az új verziójú vírusvédelmi szoftvert.

El kell tudni indítani távolról a víruskeresési vagy irtási folyamatot.

A távoli eléréssel el kell érni a vírusvédelmi szoftver naplóit.

A Remote Administrator Server segítségével a cég számítógépeit csoportokba lehet szervezni.

Az egyes csoportoknak lehetőség van beállítani különböző ütemezéseket.

Levelezés
Információcserére vonatkozó szabályzatok és eljárások

A cserét szabályzó hivatalos irányelvek, eljárások és intézkedések legyenek készen a kommunikációs berendezések valamennyi típusának használatával megvalósuló információcsere védelme, biztonsága érdekében.

Elektronikus üzenetek küldése/fogadása

Az elektronikus üzenetekben foglalt információkat megfelelő módon védeni kell. [ISO/IEC 27002 10.8.4]


 * üzenetek védése illetéktelen hozzáféréstől, módosítástól vagy szolgáltatás megtagadásától


 * az üzenet helyes címzésének, szállításának biztosítása


 * a szolgáltatás általános megbízhatósága és elérhetősége


 * jogi szempontok, például elektronikus szignatúrák használata


 * jóváhagyás megszerzése, külső szolgáltatások használata előtt például azonnali üzenetküldés

Internet
Kívánatos cél az, hogy gondoskodjon az információ védelméről az adott hálózaton, emellett biztosítsa a támogató infrastruktúra biztonságát is.

Ahhoz, hogy a több vállalati alrendszert érintő hálózatunk biztonságos legyen, különös figyelmet kell fordítani az adatfolyamokra, a törvényi szabályozásokra, a figyelésre és a védelemre.

Ha fontos adatot szeretnénk küldeni publikus hálózatokon (így az Interneten) további intézkedésekre van szükség. A hálózatot megfelelően kell kezelni és igazgatni, egészen a fenyegetések elleni védelemtől kezdve, a biztonság fenntartásáig - minden egyes rendszert és alkalmazást illetően - beleértve az elküldött - épp a hálózaton lévő - információt is.

A hálózati szakembereknek elsődleges feladatuk az olyan intézkedések felügyelete illetve betarttatása, melyek segítségével a hálózaton lévő adatok biztonsága megőrizhető.

Fontos az olyan kontrollok bevezetése, melyek garantálják a publikus hálózatokon futó adatok bizalmasságát és integritását, és megvédik a használatban lévő rendszereket és a rajtuk futó alkalmazásokat is.

Esetekben szükséges a fontos tevékenységek logolása illetve figyelése. [ISO/IEC 27002 10.6 - Network Security Management, 10.6.1 - Network controls]

Az erős autentikáció, a token, és használata
Autentikáció magyarul hitelesítés. A hitelesítés olyan folyamat, amely arra szolgál, hogy egy entitás bizonyítsa az önmagáról állítottak valódiságát. A bizonyításnak elfogadott módszerek három csoportra oszthatók. A „mit tudsz?” kérdésre adott válasz (tudás: jelszó, PIN-kód), a „mid van?” kérdésre bemutatott eszköz (tulajdonlás: kártya, igazolvány, kulcs stb.) és a „ki vagy?” kérdésre adott az egyénre jellemző biológiai adat (tulajdonság: ujjlenyomat, hang, DNS-minta stb.) alkotja ezt a hármast.

A korszerű és biztonságos rendszerek a három módszer közül legalább kettőt alkalmaznak, de lehetséges mindhárom módszer alkalmazása. Ilyen esetben alkalmazható olyan intelligens kártya (tulajdonlás), melynek használatához PIN-kód megadása szükséges (tudás), de a hitelességet biometrikus (pl. ujjlenyomat) adatok igazolják (tulajdonság)

[MTA Sztaki, http://e-oktat.pmmf.hu/webgui/www/uploads/images/1514/4_Felhasznalo_azonositas.pdf]

Olyan azonosítási rendszer ahol a hálózati klienseket, felhasználókat és szervereket a jelszó átvitele nélkül azonosítják. Ezért nem szükséges, hogy a hálózat védett legyen.

[Access Control Systems Security, Identity Management and Trust Models by Messaoud Benantar]

RSA Secure ID működése:

Az RSA SecurID token egy speciális eszköz, mely 60 másodpercenként egy 6 számból álló sorozatot állít elő, ezt kell a felhasználónak azonosítás céljából megadni. Ezzel a módszerrel elérhető, hogy a felhasználónak biztosan rendelkeznie kell a token-el, hiszen 60 másodperc elteltével az – esetlegesen – megjegyzett számsorozat már nem érvényes. További biztonságot jelent, hogy a mobiltelefonokhoz hasonlóan maga a token is védhető egy PIN kód segítségével. Az RSA SecurID autentikátorok egy jelszó megadásával egyszerűen használhatók, azonban ennél sokkal biztonságosabbak. Minden végfelhasználó számára kijelölésre került egy RSA SecurID autentikátor, amely egy egyszer használatos kódot generál. Bejelentkezéskor a felhasználó egyszerűen megadja ezt a számot és titkos PIN-jét, hogy sikeresen azonosítsa magát. Az RSA SecurID megoldást egyformán könnyű bevezetni és felügyelni. További előny, hogy az RSA SecurID hardver tokenek előzetes ismereteket nem igénylő megoldások, melyeknek nincs egyéb szoftverre szükségük a felhasználó számítógépén, így az eszközök átvételkor azonnal működőképesek. Az adminisztrátorok gyorsan felfedezik, hogy az RSA SecurID megoldást sokkal kevésbé költséges kezelni, mint a jelszavakat. Minden RSA SecurID autentikátor rendelkezik egy nagyteljesítményű algoritmussal kombinált egyedi szimmetrikus kulccsal, amely 6o másodpercenként új kódot generál. Mivel a szám megjósolhatatlan és dinamikus, a hacker számára kivételesen nehéz feladatot jelent a helyes számot kitalálni bármely adott időben. A szabadalmaztatott műszaki megoldás minden autentikátort összeszinkronizál a biztonsági szerverrel, így garantálva a biztonság magas szintjét. Ez a védelem szinte megfizethetetlen, ha a figyelembe vesszük az illetéktelen hozzáférésnek kitett kritikus erőforrásokkal járó kockázatot. [www.rsa.com]

Digitális aláírás tanusítvánnyal
A digitális aláírás a nyílt kulcsú titkosító rendszerek egy lehetősége, amellyel a hagyományos aláírást tudjuk helyettesíteni az informatika világában. Igazolni tudjuk az aláíró személyét, és azt hogy a dokumentum az aláírás óta nem változott meg. A jó digitális aláírás a hagyományos aláírás minden jó tulajdonságát hordozza, sőt ki is egészíti azokat. [Wikipedia: http://hu.wikipedia.org/wiki/Digit%C3%A1lis_al%C3%A1%C3%ADr%C3%A1s]

ISO/IEC 9796 Digirális aláírás szabvány:
az első digitális aláírás szabvány (1991)

nem specifikálja az algoritmust

korlátozott hosszú üzenetekre használható

üzenet visszanyerhető az aláírásból

üzenet kiegészítés megfelelő méretre

függelékben RSA és módosított Rabin algoritmust használ

diszkrét logaritmus (2000)

Az elektronikus aláírás ellenőrzése
Formátum: Az aláírás formátuma:

A Befogadó eltérő rendelkezése hiányában az aláírás a következő formátumok valamelyikével kell, hogy rendelkezzen. A Befogadó jogosult elutasítani a más formátumú aláírásokat:

Elektronikus akta (e-akta) formátum, amely egy ETSI TS 101 903 (XAdES) formátumú aláírásokat tartalmazó XML „konténer” fájl. Az e-akta kiterjesztése .es3 vagy .dosszie.

PDF aláírás, amely egy PDF fájlban elhelyezett PKCS#7 aláírás vagy ETSI TS 101 733 (CAdES) formátumú aláírás, illetve ETSI TS 101 788 (PAdES) aláírás lehet. A PDF kiterjesztése .pdf. Az automatizált feldolgozhatóság érdekében a Befogadó a fentiektől eltérő, automatizált feldolgozásra alkalmas formátumot – például adott XML sémának megfelelő XML formátumot – is meghatározhat, és megteheti, hogy jelen szabályzat keretében kizárólag e formátumnak megfelelő aláírt dokumentumokat fogad el. XML formátum esetén XAdES aláírást kell használni. Amennyiben a Befogadó nem rendelkezik speciális formátumról, a fenti két formátumot (e-akta és PDF aláírás) kell használni.

Az aláírt dokumentum formátuma:

E-akta használata esetén – amennyiben a Befogadó másképp nem rendelkezik – az e-akta PDF fájlokat és további e-aktákat tartalmazhat.

PDF aláírás használata esetén az aláírt fájl formátuma PDF.

Amennyiben a Befogadó speciális aláírás-formátumot határozott meg, a Befogadó az aláírt dokumentum formátumát is meghatározza.

Aláírási szabályzat meghivatkozása az aláírásban

A XAdES, CAdES és PAdES aláírásokban feltüntethető, hogy az adott aláírás pontosan mely aláírási szabályzat szerint készült. Jelen szabályzat nem javasolja, de megengedi ezen hivatkozás használatát. Amennyiben mégis az aláírási szabályzatot hivatkozó, ún. –EPES alapú aláírás készül, jelen szabályzat a SignaturePolicyImplied opció használatát javasolja.

Elfogadott kriptográfiai algoritmusok köre
Jelen szabályzat értelmében az Eat. 18. §-a szerinti mindenkori hatósági határozat értelmében biztonságos kriptográfiai algoritmusok használhatóak. Ezen határozatok a Nemzeti Média- és Hírközlési Hatóság honlapján érhetőek el.

A korábban kibocsátott tanúsítványok és időbélyegek, illetve a korábban készült aláírások tekintetében a korábbi határozatok szerinti algoritmusokat is el kell fogadni.

Elfogadott hitelesítés-szolgáltatók
Jelen szabályzat értelmében minden olyan hitelesítés-szolgáltató elfogadott, amely az Európai Unió tagállamai által kibocsátott ún. bizalmi listákon (trust services list) hitelesítésszolgáltatóként szerepel. A listákon szereplő szolgáltatói tanúsítványok e tekintetben megbízható gyökérként (trust anchor) kezelendőek akkor is, ha maguk nem önhitelesített gyökértanúsítványok.

A tagállamok által kibocsátott bizalmi listák elérhetőségét tartalmazó „listák listája” (list of lists) aláírásához használt tanúsítvány lenyomatát az Európai Unió Hivatalos Lapjában publikálták. E lenyomat alapján a Befogadó meggyőződhet a listák listájának hitelességéről. A listák listája tartalmazza a tagállamokban kibocsátott listák elérhetőségét, és a listákon lévő aláírások ellenőrzéséhez szükséges tanúsítványt.

A Befogadó nem köteles elfogadni az olyan szolgáltatót, amely:

egyik EU tagállam bizalmi listáján sem szerepel hitelesítés-szolgáltatóként,

olyan EU tagállamban működik, amely nem bocsátott ki ETSI TS 102 231 szerinti, géppel értelmezhető, XML formátumú bizalmi listát,

olyan bizalmi listán szerepel, amely nincsen aláírva,

olyan bizalmi listán szerepel, amely nem ellenőrizhető a listák listáján publikált tanúsítványok alapján.

Tekintve, hogy a bizalmi listák történeti adatokat is tartalmaznak, a már nem működő, illetve már nem felügyelt hitelesítés-szolgáltatók tanúsítványait szintén el kell fogadni, amennyiben egy aláírást olyan múltbeli időpontra nézve ellenőriz a Befogadó, amely időpontban a kérdéses szolgáltató még működött, illetve felügyelet alatt állt.

Amennyiben a Befogadó kizárólag minősített aláírásokat fogad el, akkor a bizalmi listákról csak azon hitelesítés-szolgáltatók tanúsítványait tekinti megbízható gyökérnek, amelyek szerint minősített tanúsítványok kibocsátása történik. Amennyiben a Befogadó nem kizárólag minősített aláírásokat fogad el, akkor a bizalmi listán lévő összes hitelesítés-szolgáltatói tanúsítvány elfogadja.

A Befogadó elfogadhat további, a bizalmi listákon nem szereplő hitelesítés-szolgáltatókat is.

A Befogadó kizárólag indokolt esetben tagadhatja meg a bizalmi listákon szereplő hitelesítés szolgáltatók elfogadását. Ilyen esetet jelent, ha a tudomására jut, hogy egy adott hitelesítésszolgáltató magánkulcsa kompromittálódott.

Elfogadott időbélyegzés-szolgáltatók
Minden olyan időbélyegzés-szolgáltató elfogadott, amely az Európai Unió tagállamai által kibocsátott bizalmi listán (trust services list) minősített időbélyegzés-szolgáltatóként szerepel. A listákon szereplő szolgáltatói tanúsítványok e tekintetben megbízható gyökérként (trust anchor) kezelendőek akkor is, ha maguk nem önhitelesített gyökértanúsítványok.

A hitelesítés-szolgáltatók esetén leírt szabályok itt is érvényesek.

Az aláírás ellenőrzésének módja
Megbízható időpont meghatározása:

Az aláírást minősített időbélyeggel kell ellátni. Az időbélyeget olyan módon kell csatolni az aláíráshoz, hogy a kapott aláírás legalább XAdES-T, PAdES-T, CAdES-T, illetve időbélyeggel ellátott PKCS#7 aláírás legyen.

Az időbélyeg beszerzése és csatolása a Benyújtó feladata, az időbélyeg nélküli aláírásokat a Befogadó nem köteles elfogadni. Amennyiben a Befogadó úgy rendelkezik, hogy időbélyeg nélküli aláírásokat is befogad, akkor a Befogadó köteles biztosítani, hogy az aláírásokhoz a minősített időbélyegek csatolásra kerüljenek.

Az aláírást a rajta lévő minősített időbélyegen szereplő megbízható időpontra nézve kell ellenőrizni.

Tanúsítványlánc felépítése:

Az aláíró tanúsítványát vissza kell vezetni egy elfogadott hitelesítés-szolgáltató tanúsítványára. Az aláíráshoz csatolni kell az így kapott tanúsítványláncot, amely az aláíró tanúsítványától egy elfogadott megbízható gyökérig vezet. A megbízható gyökér nem része a tanúsítványláncnak, így nem kötelező csatolni.

Az aláíráshoz további szolgáltatói tanúsítványok is csatolhatóak.

A tanúsítványlánc csatolása a Benyújtó feladata.

A Befogadó köteles figyelembe venni az aláíráshoz csatolt tanúsítványláncot, de más tanúsítványláncokat is felhasználhat az aláírás ellenőrzése során.

A tanúsítványlánc minden eleme érvényes kell, hogy legyen azon időpontban, amelyre nézve az aláírást ellenőrizzük.

Az időbélyegekre, illetve az esetleges visszavonási információkra vonatkozó tanúsítványláncokat is az itt leírtakhoz hasonlóan kell csatolni.

Visszavonási információk beszerzése:

Meg kell vizsgálni, hogy a tanúsítványlánc egyes elemei nem voltak-e visszavont állapotban azon időpontban, amelyre nézve az aláírást ellenőrizzük. A visszavonási állapot ellenőrizhető visszavonási listák (CRL) vagy online tanúsítvány-állapot protokoll (OCSP) segítségével.

Egyszerűsített aláírás esetén az ellenőrzést elegendő valamely „kellően friss”, azaz még nem lejárt visszavonási információ alapján elvégezni. Ekkor követelmény, hogy a visszavonási információban szereplő nextUpdate időpont későbbi legyen, mint az az időpont, amelyre nézve az aláírást ellenőrizzük.

Szigorított aláírás esetén olyan visszavonási információt kell használni, amely azon időpontra vonatkozik, amelyre nézve az aláírást ellenőrizzük. Ekkor követelmény, hogy a visszavonási információban szereplő thisUpdate későbbi legyen, mint az az időpont, amelyre nézve az aláírást ellenőrizzük. E követelményt a teljes tanúsítványláncra, így a láncban szereplő szolgáltatói tanúsítványokra is érvényesíteni kell.

A legkülső időbélyeg, valamint a hozzá kapcsolódó tanúsítványlánc tekintetében SZIGORÍTOTT aláírás esetén is elegendő a „kellően friss”, még nem lejárt visszavonási információ.

A Befogadó az alábbi forrásokból próbálja meg beszerezni a visszavonási információkat:


 * a tanúsítványban meghivatkozott elérhetőségről (CRL esetén ez a CRL distribution point, OCSP esetén az authority information access mező);


 * az aláíráshoz csatolt információk közül (*AdES-C, vagy magasabb szintű aláírások esetén);

A Befogadó megteheti, hogy más forrásokat is figyelembe vesz, de nem köteles erre. Amennyiben a fenti forrásokból se megfelelő CRL, se megfelelő OCSP válasz nem szerezhető be akkor a Befogadó érvénytelennek tekintheti az aláírást. 

A COBIT informatikai folyamatainak listája
[COBIT 1998] COBIT Executive Summary April 1998 2nd Edition Released by the COBIT Steering Committee and the Information Systems Audit and Control Foundation

[COBIT 2000] COBIT₢ 3rd Edition, July 2000 Released by the COBIT Steering Committee and the IT Governance Institute editor: Information Systems Audit and Control Association - ISACA

[COBIT 4.0, 2005] COBIT₢ 4.0 Control Objectives, Management Guidelines, Maturity Models Copyright © IT Governance Institute, 2005

[COBIT Map] COBIT Mapping Overview of International IT Guidance, 2nd Edition Copyright © IT Governance Institute, 2006 editor: Information Systems Audit and Control Association - ISACA

[COBIT 4.1, 2007] COBIT₢ 4.1 Framework, Management Guidelines, Maturity Models Copyright © IT Governance Institute, 2007

The COBIT basics valid from 1998 till now, till COBIT 4.1 identifies four domains of IT processes: Plan and Organise Acquire and Implement Deliver and Support Monitor and Evaluate.

There are 34 IT processes that belong to these domains:

Plan and Organise:

PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organization and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects

Acquire and Implement:

AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes

Deliver and Support:

DS1 Define and Manage Service Levels DS2 Manage Third-party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations

Monitor and Evaluate:

ME1 Monitor and Evaluate IT Performance ME2 Monitor and Evaluate Internal Control ME3 Ensure Compliance With External Requirements ME4 Provide IT Governance