Tartalmi kivonat
ÚTMUTATÓ AKKREDITOROK SZÁMÁRA Útmutató akkreditorok számára A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az „Elektronikus közigazgatási keretrendszer” tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: Útmutató akkreditoroknak (2008, 46 oldal) 2 Útmutató akkreditorok számára Metaadat-táblázat Megnevezés Cím (dc:Title) Kulcsszó (dc:Subject) Leírás (dc:Description) Leírás Útmutató akkreditorok számára IT biztonság; értékelés; útmutató Az elkészült e-közigazgatási szolgáltató rendszerek használatba vételét, illetve a központi rendszerhez csatlakoztatását jogszabályban meghatározott eljárásrend szerint engedélyezik. Ezt az engedélyezési folyamatot a nemzetközileg elfogadott szóhasználatnak megfelelően biztonsági akkreditálásnak nevezzük. Típus (dc:Type) Forrás (dc:Source)
Kapcsolat (dc:Relation) Terület (dc:Coverage) Létrehozó (dc:Creator) Kiadó (dc:Publisher) Résztvevő (dc:Contributor) Jogok (dc:Rights) Dátum (dc:Date) Formátum (dc:Format) Azonosító (dc:Identifier) Nyelv (dc:Language) Verzió (dc:Version) Státusz (State) Fájlnév (FileName) Méret (Size) Ár (Price) Felhasználási jogok (UserRights) Jelen dokumentum elsősorban a szolgáltató rendszerek használatba vételét, központi rendszerhez csatlakoztatását engedélyező vezetőnek, az akkreditornak ad útmutatást,egyúttal meghatározza a biztonsági akkreditálásban érintett egyéb szereplők feladatait is. Szöveg, ábra, táblázat e-Közigazgatási Keretrendszer egyéb dokumentumai KOP-ok során megvalósuló projektek, központi IT fejlesztési projektek e-Közigazgatási Keretrendszer Kialakítása projekt Miniszterelnöki Hivatal Hunguard Kft. e-Közigazgatási Keretrendszer 2008.0919 .doc Magyar V1 Végleges EKK ekozig utmutato akkreditoroknak 080919 V1.doc
Korlátlan Útmutató akkreditoroknak (2008, 46 oldal) 3 Útmutató akkreditorok számára A dokumentum neve A dokumentum készítőjének neve A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám Összes oldalszám A projekt azonosítója Verzió V0.1 V1 Dátum 2008.0821 2008.0919 Verziókövetési táblázat Útmutató akkreditorok számára Hunguard Kft 2008.0919 V1 45 E-közigazgatási keretrendszer kialakítása Változáskezelés A változás leírása Első tartalomjegyzék MeH-nek átadott verzió Útmutató akkreditoroknak (2008, 46 oldal) 4 Útmutató akkreditorok számára Szövegsablon Megnevezés 1. Előszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkező hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyűjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14.
Mellékletek (Appendix) Leírás 1. fejezet 2. fejezet nincs 9. fejezet szövegben nincs 5. fejezet V1 nincs Útmutató akkreditoroknak (2008, 46 oldal) 5 Útmutató akkreditorok számára Tartalomjegyzék Előszó . 7 Bevezetés . 8 A dokumentum célja . 8 2.1 A dokumentum felépítése . 8 2.2 3. Alkalmazási terület 9 4. Rendelkező hivatkozások 9 5. Fogalom-meghatározások 12 6. A biztonság akkreditálása 13 A biztonsági akkreditálás alapjai . 13 6.1 A biztonsági akkreditálás . 13 6.11 A biztonsági akkreditálást megalapozó eljárások. 14 6.12 A biztonsági akkreditálásban érintett szereplők és felelősségük . 18 6.13 A biztonsági akkreditálás lehetséges eredményei . 19 6.14 A biztonsági akkreditálási folyamatot megalapozó dokumentumok . 21 6.15 A folyamatos monitorozás . 23 6.16 A biztonsági akkreditálás folyamata . 24 6.2 A biztonsági akkreditálási folyamat szakaszai és fő tevékenységei . 24 6.21 Az előkészületi szakasz .
25 6.22 Az auditálási és értékelési szakasz . 30 6.23 Az akkreditálási szakasz. 36 6.24 A folyamatos monitorozási szakasz . 39 6.25 7. Melléklet: A biztonsági akkreditálás feladatainak áttekintése 44 8. Bibliográfia 45 9. Rövidítésgyűjtemény 45 Fogalomtár . 45 10. Ábrák . 45 11. Képek . 45 12. Táblázatok . 46 13. Verziószám . 46 14. 1. 2. Útmutató akkreditoroknak (2008, 46 oldal) 6 Útmutató akkreditorok számára 1. Előszó Jelen dokumentum az e-Közigazgatási Keretrendszer részét képezi. Elektronikus szolgáltatások csak engedéllyel csatlakozhatnak a központi rendszerhez. Ezt az engedélyezést, mely egy hivatalos vezetői döntés a szolgáltató rendszer működtetésének (csatlakoztatásának) engedélyezéséről, jelen anyag (a nemzetközi szóhasználatnak megfelelően) biztonsági akkreditálásnak nevezi. Jelen dokumentum a biztonsági akkreditálás eljárásrendjét kívánja szakmailag megalapozni, áttekintve a
folyamatot, részletezve az elvégzendő feladatokat és meghatározva az egyes feladatok felelőseit. A biztonsági akkreditálás eljárásrendjének biztosítania kell az informatikai biztonság megfelelő szintű megvalósulását. Az eljárásrend részét képezik az alábbiak: ― a szolgáltató rendszer biztonsági irányelvének, szabályzatának és eljárásrendjének elkészítése és jóváhagyása, ― egy előzetes auditálás és értékelés, ― a rendszer használati ideje során rendszeres és szükség szerint független értékelési és auditálási eljárások. Az auditálás és értékelés az elektronikus szolgáltatások megfelelőség vizsgálatának egymást kiegészítő két szempontját képviselik. Az auditálás a szolgáltató szervezetre irányul, s a dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések megfelelőségét igazolja. Az értékelés a szolgáltató informatikai
rendszerre irányul, s a szoftver és hardver termékekből kialakított komplex informatikai rendszer adott technológiai értékelési szabványok (pl. Common Criteria, CEM, MIBÉTS) szerinti megfelelőségét igazolja. A központi rendszer biztonsági szempontjainak érvényesítéséért az informatikai biztonsági felügyelő visel felelősséget, így az informatikai biztonsági kérdésekben az akkreditor (az engedélyező) a 84/2007. (IV 25) kormányrendeletben nevesített informatikai biztonsági felügyelő. A jelen dokumentumban meghatározott feladatok meghatározása a biztonsági akkreditálásban érintett összes szereplő (a szolgáltató szervezet informatikai biztonsági felelőse, közigazgatási informatikai biztonsági felügyelő, az auditálás vezetője, az értékelés vezetője) munkáját kívánja segíteni, így nemcsak az akkreditornak szól. Útmutató akkreditoroknak (2008, 46 oldal) 7 Útmutató akkreditorok számára 2. Bevezetés 2.1 A
dokumentum célja Az [1] kormány rendelet meghatározza az informatikai biztonsági felügyelő feladatait a rendeletben meghatározott biztonsági követelmények érvényesítése érdekében. A [2] törvény-tervezet szerint a (közigazgatási) informatikai biztonsági felügyelő engedélyezi a központi elektronikus szolgáltató rendszer igénybe vételével történő elektronikus szolgáltatások működtetését. Jelen dokumentum célja ennek az engedélyező (akkreditori) feladatnak a segítése, figyelembe véve az informatikai rendszerek biztonsági akkreditálására és ennek előkészítésére irányuló mértékadó dokumentum [3] útmutatásait is. 2.2 A dokumentum felépítése Az 1. fejezet elhelyezi a dokumentumot az e-Közigazgatási Keretrendszeren belül, tájékoztatást adva a célközönségről és a kapcsolódó dokumentumokról. A 2. fejezet bevezető információkat tartalmaz, megadva a dokumentum célját és felépítését A 3. fejezet
meghatározza az alkalmazás lehetséges területeit A 4. és 5 fejezet a hivatkozásokat, illetve a fogalom-meghatározásokat tartalmazza A 6. fejezet tartalmazza a dokumentum lényegi részét, 2 alfejezetben A 6.1 alfejezet a működő rendszerek biztonsági akkreditálásának a szakmai alapjait fekteti le 6.11 az akkreditálást megalapozó két eljárást, a szervezet auditálását és az informatikai rendszer biztonsági értékelését tekinti át. 6.12 a működő rendszerek biztonsági akkreditálásának fogalmát tisztázza 6.13 az akkreditálásban érintett szereplők (a szolgáltató szervezet informatikai biztonsági felelőse, az audit vezetője, az értékelés vezetője, az akkreditor) felelősségeit, kötelezettségeit tekinti át. 6.14 az akkreditálás lehetséges eredményeivel foglalkozik 6.15 az akkreditálási folyamatot megalapozó (támogató) dokumentumokat határozza meg 6.16 Az akkreditálás utáni időszakot, a szolgáltató rendszerekben
megvalósított biztonsági intézkedések folyamatos nyomon követését tárgyalja. Útmutató akkreditoroknak (2008, 46 oldal) 8 Útmutató akkreditorok számára A 6.2 alfejezet az akkreditálás folyamatát tekinti át Ezen belül 6.21 meghatározza az akkreditálási folyamat, szakaszait, fő tevékenységeit, bemeneteit és kimeneteit. A további alfejezetek meghatározzák és részletesen leírják az akkreditálásban érintett szereplők feladatait az akkreditálási folyamat különböző szakaszaiban (előkészületi szakasz: 6.22, auditálási és értékelési szakasz: 623, akkreditálási szakasz: 624, folyamatos monitorozási szakasz: 6.25) A 7. fejezet melléklete összefoglaló módon áttekinti a biztonsági akkreditálás folyamatának feladatait és ezek felelőseit. A 8. - 14 fejezetek kiegészítő információkat tartalmaznak (8 Bibliográfia, 9 Rövidítésgyűjtemény, 10. Fogalomtár, 11 Ábrák, 12 Képek, 13 Táblázatok, 14 Verziószám). 3.
Alkalmazási terület A jelen dokumentumban megfogalmazottak elsősorban a közigazgatási informatikai biztonsági felügyelő munkáját kívánja segíteni, aki a szolgáltató szervezetek központi rendszerhez való csatlakozását, illetve a szolgáltatás működtetését engedélyezi. Ugyanakkor a jelen dokumentumban megfogalmazottak a közigazgatás más területein, valamint a magánszféra legkülönbözőbb területein is alkalmazhatók, azon felelős vezetők (akkreditorok) munkájának támogatásához, akik egy informatikai rendszer működtetésének engedélyezéséről döntenek. 4. Rendelkező hivatkozások A jelen dokumentumban megfogalmazott irányelvek és követelmények az alábbi mértékadó dokumentumokon alapulnak: [1]: 84/2007. (IV 25) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről [2]: Törvény-tervezet az informatikai biztonságról [3]: NIST Special Publication 800-37 -
Guide for the Security Certification and Accreditation of Federal Information Systems – April 2004 [4]: KIB 25. számú ajánlása (MIBA) – 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) Útmutató akkreditoroknak (2008, 46 oldal) 9 Útmutató akkreditorok számára [6]: KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) [7]: KIB 25. számú ajánlása (MIBA) – 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) [8]: KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [10]: Termékekre vonatkozó értékelési módszertan (az
„e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [11]: Összetett termékekre vonatkozó értékelési módszertan (az Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) „e-Közigazgatási [12]: Rendszerekre vonatkozó értékelési módszertan (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [13]: IT biztonsági műszaki követelmények a különböző biztonsági szintekre (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [14]: Útmutató az IT biztonsági szintek meghatározásához (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [15]: Minta biztonsági kategorizálás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [16]: Útmutató rendszer értékelők számára (az „e-Közigazgatási Keretrendszer
Kialakítása” projekt keretében kidolgozott dokumentum) [17]: Útmutató rendszer integrátorok számára (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [18]: Szolgáltatások megfelelőség vizsgálatának folyamata és eljárásai /A biztonsági értékelés folyamata, tevékenységei és eljárásai/ (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása (az „eKözigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [20]: Konfigurációmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [21]: Változásmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) Útmutató akkreditoroknak (2008, 46 oldal) 10 Útmutató akkreditorok
számára [22]: Kiadásmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [23]: Problémamenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) [24]: Incidensmenedzsment ajánlás (az „e-Közigazgatási Keretrendszer Kialakítása” projekt keretében kidolgozott dokumentum) Az 1. táblázat a rendelkező hivatkozások elérhetőségét adja meg (még készül) 1. táblázat - A rendelkező hivatkozások elérhetősége Cím 84/2007. (IV 25) Kormányrendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről Törvény-tervezet az informatikai biztonságról NIST Special Publication 800-37 - Guide for the Security Certification and Accreditation of Federal Information Systems – April 2004 KIB 25. számú ajánlása (MIBA) – 25/1-1: Informatikai Biztonság Irányítási Rendszer (IBIR)
KIB 25. számú ajánlása (MIBA) - 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK) KIB 25. számú ajánlása (MIBA) - 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV) KIB 25. számú ajánlása (MIBA) – 25/2 kötet: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (v1.0, 2008 június) KIB 25. számú ajánlása (MIBA): 25/2-5: Értékelési módszertan A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata Termékekre vonatkozó értékelési módszertan Összetett termékekre vonatkozó értékelési módszertan Rendszerekre vonatkozó értékelési módszertan IT biztonsági műszaki követelmények a különböző biztonsági szintekre Útmutató az IT biztonsági szintek meghatározásához Minta biztonsági kategorizálás Útmutató rendszer értékelők számára Útmutató rendszer integrátorok számára Szolgáltatások megfelelőség vizsgálatának folyamata és eljárásai /A
biztonsági értékelés folyamata, tevékenységei és eljárásai/ Az értékeléssel megszerzett garancia folyamatosságának biztosítása Konfigurációmenedzsment ajánlás Változásmenedzsment ajánlás Kiadásmenedzsment ajánlás Problémamenedzsment ajánlás Incidensmenedzsment ajánlás Útmutató akkreditoroknak (2008, 46 oldal) Külföldi elérhetőség Magyar elérhetőség 84/2007. (IV 25) Kormányrendelet NISP SP 800-37 EEK KIB 25/1-1 EEK KIB 25/1-2 EEK KIB 25/1-3 EEK KIB 25/2 EEK KIB 25/2-5 e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer e-Közigazgatási Keretrendszer
e-Közigazgatási Keretrendszer 11 Útmutató akkreditorok számára 5. Fogalom-meghatározások Jelen dokumentum az alábbi kiegészítő fogalmakra épül, s ezeket az alábbi értelemben használja: Akkreditálás: Annak hivatalos elismerése, hogy egy szervezet, személy, alkalmas (megfelelően felkészült) bizonyos tevékenységek (vizsgálat, kalibrálás, tanúsítás, ellenőrzés, hitelesítés) meghatározott feltételek szerinti végzésére. (Ennek az általános fogalomnak a jelen dokumentumban használt megfelelőjeként lásd „biztonsági akkreditálás”, mely egy informatikai rendszer alkalmasságának elismerése.) Akkreditor: Az engedélyező vezető a biztonsági akkreditálás folyamatában. Audit: A dokumentumok, valamint a szervezet folyamataira vonatkozó menedzsment és üzemeltetési biztonsági intézkedések szabványokban (pl. ISO 27001), ajánlásokban (pl MIBA) és a nemzetközi legjobb gyakorlatokban (best practices) leírt elvárásoknak való
megfelelőségének igazolása. [2] Audit jelentés: Az a dokumentum, amely bemutatja az audit eredményeit és az auditálással kapcsolatos egyéb információkat. Auditáló szervezet: A szolgáltató szervezet informatikai biztonságának auditálását végző, erre jogosult cég. [2] Biztonsági akkreditálás: Hivatalos vezetői döntés egy informatikai rendszer működtetésének engedélyezéséről. Ez a döntés egyaránt vonatkozhat új informatikai rendszer első üzembe helyezésére, illetve már szolgáltató rendszer további működtetésére. Biztonsági irányelv: Az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. [1] Biztonsági szabályzat: A biztonsági intézkedéseket, azok dokumentálásának és ellenőrzésének feladatait, a végrehajtás felelősét és végrehajtás
gyakoriságát vagy idejét leíró dokumentum. [1] Értékelő szervezet: A szolgáltató rendszer technológiai szempontú értékelését végző, erre jogosult cég. [2] Értékelés: Szoftver és hardver termékekből kialakított komplex informatikai rendszerek, alkalmazások adott technológiai értékelési szabványok (pl. Common Criteria, CEM, vagy MIBÉTS) szerinti megfelelőségi vizsgálata. [2] Értékelési jelentés: Az a dokumentum, amely bemutatja az értékelés eredményeit és az értékeléssel kapcsolatos egyéb információkat. Informatikai biztonság: Az informatikai rendszer technikai részét (hardver) és az azon futó programokat (szoftver) érintő biztonsági szabályok összessége és alkalmazása annak Útmutató akkreditoroknak (2008, 46 oldal) 12 Útmutató akkreditorok számára érdekében, hogy megóvja vagy megelőzze az illetéktelen felfedés, megismerés, manipuláció, adattörlés, illetve ilyen esetekben a rendszer nyújtotta
szolgáltatásokhoz történő hozzáférés lehetőségét, valamint a informatikai/távközlési hálózatokat is magába foglaló rendszerek esetében a távközlést érintő biztonsági rendszabályok alkalmazásának összessége, mely egyfelől biztosítja az illetéktelen személyek kizárását a távközlési hálózat értéket tartalmazó információihoz történő hozzáférésének és azok feldolgozásának lehetőségéből, másfelől a jogosultak számára garantálja a hozzájuk eljuttatott információk hitelességét. [2] Informatikai biztonsági felelős: A szolgáltató szervezetben a szolgáltatást működtető szervezeti egységétől függetlenül, a szolgáltató szervezet vezetőjének közvetlen irányítása alatt dolgozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. [1] Informatikai biztonsági felügyelő: A Miniszterelnöki Hivatalt vezető
miniszter közvetlen irányítása alá tartozó olyan személy, aki az üzemeltető és szolgáltató szervezetekre is kiterjedő jogosultsággal, a biztonsági követelmények érvényesítése érdekében széles hatáskörrel és felelősséggel rendelkezik (lásd [1] 4. §) Központi rendszer (központi elektronikus szolgáltató rendszer): Olyan elektronikus rendszer, amely együttesen magában foglalja az elektronikus kormányzati gerinchálózatot, a kormányzati portált, az ügyfélkaput, a kormányzati ügyfél-tájékoztató központot, valamint az ezeken megjelenő, ezeken keresztül elérhető elektronikus szolgáltatásokat. [1] Rendszer biztonsági előirányzat: Biztonsági követelmények és előírások olyan összessége, amelyet egy szolgáltató rendszer értékelésénél az értékelés alapjaként használnak. Szolgáltató szervezet: A központi rendszeren keresztül elektronikus szolgáltatást nyújtó közigazgatási szerv.[1] Szolgáltató rendszer: A
szolgáltató szervezet elektronikus szolgáltatást nyújtó informatikai rendszere.[1] Üzemeltető szervezet: A központi kendszert üzemeltető szervezet. [1] 6. A biztonság akkreditálása 6.1 A biztonsági akkreditálás alapjai 6.11 A biztonsági akkreditálás A biztonsági akkreditálás egy hivatalos vezetői döntés egy informatikai rendszer működtetésének engedélyezéséről. Ez a döntés egyaránt vonatkozhat új informatikai rendszer első üzembe helyezésére, illetve már szolgáltató rendszer további működtetésére. Az engedélyezés azoknak a maradvány kockázatoknak a közvetlen elfogadását is jelenti, melyek az informatikai rendszer mögött (üzemeltetőként vagy tulajdonosként) álló szervezet Útmutató akkreditoroknak (2008, 46 oldal) 13 Útmutató akkreditorok számára működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatosak, s melyek az előzetesen elfogadott biztonsági intézkedések megvalósítása
ellenére maradtak a rendszerben. Ezért az engedélyező vezetőnek (akkreditornak) fel kell tudni mérnie a maradvány kockázatokat, s különböző tényezők figyelembe vételével döntést kell hoznia ezek elfogadásáról, feltételes elfogadásáról vagy visszautasításáról. A [2] törvény-tervezet egyre szigorodó elvárásokat fogalmaz meg az alábbiakra: ― a Magyar Köztársaság területén bejegyzett, elektronikus szolgáltatást nyújtó szolgáltatók, ― az elektronikus szolgáltatást nyújtó közigazgatási szervek, ― a központi elektronikus szolgáltató rendszer igénybe vételével történő elektronikus szolgáltatást nyújtó szolgáltatók. A biztonsági akkreditálás általános fogalmát a továbbiakban szűkebben értelmezzük, a központi elektronikus szolgáltató rendszer igénybe vételével történő elektronikus szolgáltatást nyújtó szolgáltatókra (a [2] törvény-tervezetben) megfogalmazott elvárásokból kiindulva. Az
akkreditor a továbbiakban a fenti értelmezésnek megfelelően a (közigazgatási) informatikai biztonsági felügyelő. 6.12 A biztonsági akkreditálást megalapozó eljárások A biztonsági akkreditálás közvetlen támogatásaként két különböző eljárás biztosít fontos információkat az akkreditornak. A két eljárás elkülönítésének indoka, hogy az akkreditálás támogatása érdekében elvégzendő feladatok két nagy csoportra oszthatók jellegük, megközelítés módjuk, illetve a megvalósításukban érintett személyek szempontjából: ― Auditálási eljárás: szervezeti/irányítási szemléletet és szaktudást igénylő feladatok végrehajtása (biztonsági követelmények meghatározása, biztonságpolitika, biztonsági stratégia és biztonsági szabályozások kialakítása, a szervezeti, személyi, fizikai és környezeti biztonság megteremtése, biztonságos fejlesztés, üzemeltetés és karbantartás, a jogszabályoknak és a biztonsági
szabályzatoknak való megfelelés biztosítása) – az ezen szakterületekre elfogadott módszertanokra alapozva. ― Értékelési eljárás: technológiai szemléletet és szaktudást igénylő feladatok végrehajtása (informatikai termékek fejlesztése, informatikai rendszer kialakítása, a biztonsági szempontok folyamatos fenntartása, a termékek és összetett termékek technológiai szempontú értékelése és tanúsítása, informatikai rendszerek értékelése, a követelményeknek való megfelelés időszakos felülvizsgálata és értékelése) – az ezen szakterületekre elfogadott módszertanokra alapozva. Mindkét eljárás az érintett szervezet által a vizsgált informatikai rendszerre vonatkozóan megvalósított biztonsági intézkedések felmérését végzi, de egy tudatos munkamegosztás keretében. Az informatikai biztonság védelmi intézkedései az alábbi három kategóriába sorolhatók: Menedzsment biztonsági intézkedések: olyan intézkedések,
amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak: Útmutató akkreditoroknak (2008, 46 oldal) 14 Útmutató akkreditorok számára ― Kockázatfelmérés, azaz a szervezetnek időnként fel kell mérnie a szervezet működése során felmerülő kockázatokat és az ezek által fenyegetett értékeket. ― Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. ― Rendszer és szolgáltatás beszerzés, azaz a tervezés során előállt terv megvalósítása, amelynek során a szervezet erőforrásokat biztosít a terv megvalósítására, majd megvalósítja azokat. ― Biztonság értékelés és auditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan működtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. A menedzsment
biztonsági intézkedések felmérésével az auditálási eljárás foglalkozik. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsősorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: ― Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstől. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. ― Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülő személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. ― Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a
tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerjék a jogszabályi, szabályozási és védelmi hátteret, előírásokat. A személyzet a munkakörének megfelelő képzésben részesüljön az informatikai biztonság területén. ― Karbantartás, azaz intézkedéseket kell hozni és működtetni annak érdekében, hogy az informatikai rendszerek időszakos és rendszeres karbantartása megvalósuljon és figyelembe vegye a biztonsági követelményeket. ― Konfiguráció kezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenőrizni, nyomon követni kell ezek változását. ― Üzletmenet-folytonosság tervezése, azaz a szervezetnek terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési műveletekre és a
katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erőforrások rendelkezésre álljanak, valamint rendkívüli helyzetekben is megvalósuljon a folyamatos működés. ― Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók, illetve az azokon tárolt és szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Az üzemeltetési biztonsági intézkedések felmérésével mindkét eljárás foglalkozik, az auditálási eljárás elsősorban az első négy, míg a technológiai szemléletű értékelési eljárás főleg az utolsó három témakörrel. Útmutató akkreditoroknak (2008, 46 oldal) 15 Útmutató akkreditorok számára Műszaki biztonsági intézkedések: olyan intézkedések, melyeket elsősorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevőiben megvalósuló
mechanizmusok segítségével. Ide tartoznak: ― Azonosítás és hitelesítés, azaz azonosítani kell az informatikai rendszer felhasználóit, valamint hitelesíteni kell azonosságukat, mielőtt hozzáférést engedélyeznének számukra. ― Hozzáférés ellenőrzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. ― Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeiről megfelelő naplózás szülessen, és a naplóbejegyzések a szükséges ideig megőrzésre kerüljenek. Biztosítani kell, hogy az egyes felhasználói tevékenységek nyomon követhetőek legyenek a felhasználói felelősség utólagos megállapíthatósága érdekében. ― Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen, illetve figyelemmel kell kísérnie a rendszer biztonsági
riasztásait. ― Rendszer és kommunikáció védelem, azaz monitorozni, ellenőrizni és védeni kell a szervezetből kilépő és az oda belépő információkat. ― Reagálás a biztonsági eseményekre, azaz a szervezetnek úgy kell kialakítania rendszerét, hogy lehetővé tegye a biztonsági események észlelését, elemzését, valamint az ezekre történő reagálást. A műszaki biztonsági intézkedések felmérésével az értékelési eljárás foglalkozik. Mindkét eljárás során a biztonsági intézkedések megvalósításának helyességét, tervezettnek megfelelő működését, valamint a kívánt eredmények biztosítását ellenőrzik. 6.121 Auditálási eljárás (a szolgáltató szervezet auditálása) Az auditálási eljárás az informatikai rendszert üzemeltető szervezet folyamatait, biztonságot menedzselő szervezeti struktúráját, hozzáértő humán erőforrásait, szabályozási rendszerszerét, valamint a szabályok betartását vizsgálja. Az
auditálás módszertanát a következő mértékadó dokumentumok határozzák meg: ― KIB 25. számú ajánlása (MIBA): 25/1-2: Az Informatikai Biztonság Irányítási Követelmények (IBIK), amely a 27002:2005 nemzetközi szabványét szerkezetét pontosan követve átfogó tájékoztatást ad a szervezetek vezetésének és szakembereinek az informatikai biztonsággal kapcsolatos követelményekről, ― KIB 25. számú ajánlása (MIBA): 25/1-3: Az informatikai biztonság irányításának vizsgálata (IBIV), amely az ISO/IEC 27001:2005 szabványnak való megfelelést bizonyító audit elvégzésének módszertanát fejti ki, ― Elektronikus Közigazgatási Keretrendszer - A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata, mely az auditálást különböző olyan dokumentum mintákkal segíti, melyek a szolgáltatás kialakítási projekt előkészítésére és megvalósítására, illetve az előállított rendszerek üzemeltetésére és a
nyújtott szolgáltatások irányítására vonatkozik. Az auditálási eljárás bemeneti dokumentumai az alábbiak: Útmutató akkreditoroknak (2008, 46 oldal) 16 Útmutató akkreditorok számára ― A szolgáltató szervezet jóváhagyott biztonsági irányelve (sokszor ezt biztonságpolitika elnevezéssel említik), ― A szolgáltató szervezet jóváhagyott biztonsági szabályzata, ― A szolgáltató szervezet jóváhagyott végrehajtási eljárásrendjei, ― Az auditálás módszertana által megkövetelt egyéb bizonyítékok. Az auditálási eljárás eredménye egy audit jelentés, melynek szerkezetét és elvárt tartalmát a módszertan meghatározza ([6] 260. oldal) 6.122 Értékelési eljárás (a szolgáltató rendszer biztonsági értékelése) Az értékelési eljárás a szoftver és hardver termékek, valamint az ezekből integrált bonyolult informatikai rendszerek biztonsági megfelelőségét vizsgálja. A szolgáltató rendszer biztonsági
értékelésének módszertanát a következő mértékadó dokumentumok határozzák meg: ― KIB 25. számú ajánlása (MIBA): 25/2-5: Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) - Értékelési módszertan, mely az MSZ ISO/IEC 15408:2003 (CC v2.3) és az ISO/IEC 18045:2005 (CEM v23) szabványokon alapuló termék értékelési módszertant határozza meg, ― Elektronikus Közigazgatási Keretrendszer - Termékekre vonatkozó értékelési módszertan, mely az értékelési módszertan továbbfejlesztését tartalmazza, a jelenleg érvényes CC v3.1 és CEM v31 verziókkal teljes összhangban, ― Elektronikus Közigazgatási Keretrendszer - Rendszerekre vonatkozó értékelési módszertan, mely a termék értékelés módszertanát általánosítja bonyolult és működő (szolgáltató) informatikai rendszerek esetére. Az értékelési eljárás legfontosabb bemenete a jóváhagyott biztonsági irányelv és az ebből készített rendszer
biztonsági előirányzat. A biztonsági irányelv meghatározza az informatikai infrastruktúra teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat. A rendszer biztonsági előirányzat a biztonsági követelmények és előírások olyan összessége, amelyet egy értékelt rendszerre az értékelés alapjaként használnak. A rendszer értékelési módszertan számos egyéb dokumentumot (értékelési bizonyítékot) vár el az értékelési eljárás bemeneteként, melyek elkészítésének felelőssége az értékelés megbízójáé (tipikusan a szolgáltató szervezet vezetője vagy informatika biztonsági felelőse), elkészítésükhöz ugyanakkor valószínűleg be kell vonni az informatikai rendszer integrátorát is. Az értékelési eljárás eredménye egy rendszer értékelési jelentés, melynek szerkezetét és elvárt tartalmát a módszertan
részletesen meghatározza ([12] 7.2 mellékletében) Útmutató akkreditoroknak (2008, 46 oldal) 17 Útmutató akkreditorok számára 6.13 A biztonsági akkreditálásban érintett szereplők és felelősségük A biztonsági akkreditálási folyamatban az alábbi szereplők érintettek: ― szolgáltató szervezet informatikai biztonsági felelőse, ― az audit vezetője, ― az értékelés vezetője, ― az akkreditor (az informatikai biztonsági felügyelő) 6.131 A szolgáltató szervezet informatikai biztonsági felelősének felelőssége A szolgáltató szervezet informatikai biztonsági felelőse a szolgáltatást működtető szervezeti egységétől független, a szolgáltató szervezet vezetőjének közvetlen irányítása alá tartozó olyan személy, aki személyesen felel a biztonsági követelmények megvalósulásáért, és e feladatának ellátása körében nem utasítható. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak:
― Az előkészületi feladatok végrehajtása, melyek a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének kidolgozására, valamint az ezek (akkreditor általi) jóváhagyásához esetleg szükséges módosításokra vonatkoznak (lásd 6.22) ― Az auditálási és értékelési eljárások előkészítése, az ezekhez szükséges dokumentációk és egyéb bizonyítékok biztosításával (lásd 6.23) ― Az akkreditálás előkészítése, az audit és értékelés eredményein alapuló intézkedési terv elkészítésével, valamint az akkreditálás formális kérelmezésével (lásd 6.23) ― A folyamatos monitorozás feladatainak végrehajtása, melynek keretében felülvizsgálja a szolgáltató szervezet biztonsági irányelvét, biztonsági szabályzatát és eljárásrendjét, rendszeres időközönként (évente), vagy soron kívül, jelentős szervezeti vagy műszaki változások, illetve biztonsági esemény esetén
(lásd 6.24) 6.132 Az audit vezetőjének felelőssége Auditálási eljárásra csak olyan auditáló szervezet jogosult, mely megfelel az informatikai biztonságért felelős miniszter által megállapított, erre vonatkozó követelményeknek. Az audit eljárást az auditáló szervezet vezetője által megbízott audit vezető irányítja. Az audit vezetőjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az előkészületi feladatok támogatása, az auditáláshoz szükséges erőforrások meghatározásáva, valamint a biztonsági irányelv és biztonsági szabályzat előzetes vizsgálatával (lásd 6.22) ― Az auditálási eljárás végrehajtása (lásd 6.23) Útmutató akkreditoroknak (2008, 46 oldal) 18 Útmutató akkreditorok számára 6.133 Az értékelés vezetőjének felelőssége Értékelési eljárásra csak olyan értékelő szervezet jogosult, mely megfelel az informatikai biztonságért felelős miniszter által
megállapított, erre vonatkozó követelményeknek. Az értékelési eljárást az értékelő szervezet vezetője által megbízott értékelés vezető irányítja. Az értékelés vezetőjének a biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az előkészületi feladatok támogatása, az értékeléshez szükséges erőforrások meghatározásával, valamint a biztonsági irányelv és biztonsági szabályzat előzetes vizsgálatával (lásd 6.22) ― Az értékelési eljárás végrehajtása (lásd 6.23) 6.134 Az akkreditor felelőssége Az informatikai biztonsági felügyelő a Miniszterelnöki Hivatalt vezető miniszter közvetlen irányítása alá tartozik. Tevékenysége kiterjed a szolgáltató szervezetekre is Az [1] kormányrendeletben meghatározott biztonsági követelmények érvényesítése érdekében: ― folyamatosan figyelemmel kíséri az üzemeltető és szolgáltató szervezetekkel kötött megállapodásokat; ― állást
foglal a központi rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról; ― határidő tűzésével felhívja az érintett szervezetek vezetőit az eltérések felszámolására, ellenőrzi a követelmények megvalósítását; ― jóváhagyja az üzemeltető és szolgáltató szervezetek központi rendszerre vonatkozó biztonsági irányelveit, szabályzatait és eljárásrendjeit; ― ellenőrzi a biztonságirányítási rendszer működtetésének megvalósítását; ― biztonsági kockázat, illetve a biztonsági irányelv, szabályzat vagy eljárásrend jóváhagyásának megtagadása esetén kezdeményezheti a szolgáltatás felfüggesztését a kockázat elhárításáig. A biztonsági akkreditálás folyamatában legfontosabb feladatai az alábbiak: ― Az előkészületi feladatok támogatása, a szolgáltató szervezet biztonsági irányelvének, biztonsági szabályzatának és eljárásrendjének felülvizsgálatával és elfogadásával
(lásd 6.22) ― Az akkreditálás végrehajtása, az akkreditálási döntés meghozatala és indoklása (lásd 6.23) ― A biztonságra vonatkozó tájékoztató jelentések figyelemmel kísérése, szükség esetén kockázat elhárításra vonatkozó döntés meghozatala (lásd 6.24) 6.14 A biztonsági akkreditálás lehetséges eredményei Az akkreditor az alábbi három lehetséges döntést hozhatja az auditálási és értékelési eljárások eredményein alapuló vizsgálatával: ― a működtetés (csatlakozás, vagy további működtetés) engedélyezése, ― a működtetés átmeneti (feltételes) engedélyezése, Útmutató akkreditoroknak (2008, 46 oldal) 19 Útmutató akkreditorok számára ― a működtetés engedélyezésének visszautasítása. Az auditálási és értékelési eredmények vizsgálata a következőket foglalja magában: ― a szervezetre irányuló audit jelentés összefoglaló eredménye, valamint az ebben kifejtett, auditálás során
feltárt nemmegfelelőségek. ― az informatikai rendszerre irányuló rendszer értékelési jelentés összefoglaló eredménye, valamint az értékelés során feltárt maradvány sebezhetőségek, ― a két jelentés egymást kiegészítő, egymásnak ellent nem mondó jellegének vizsgálata, ― a két jelentés eredményeit figyelembe vevő intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére irányulnak. 6.141 A csatlakozás vagy a további működés engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók, akkor engedélyezi a csatlakozást, vagy a további működést. Az ilyen (feltétel
nélküli) engedélyezés is tartalmazhat a feltárt hiányosságok korrigálására, a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére irányuló javaslatokat. Ezeket a javaslatokat a szolgáltató szervezet informatikai biztonsági felelősének ajánlott figyelembe vennie, amikor a biztonsági intézkedések hatékonyságának folyamatos monitorozását végzi. A (feltétel nélküli) engedélyezés érvényessége a következő újra akkreditálás idejéig (tipikusan 1 évre) szól, kivéve azt az esetet, amikor a biztonságot is érintő jelentős szervezeti vagy műszaki változtatásokra kerül sor. 6.142 A csatlakozás vagy a további működés ideiglenes (feltételes) engedélyezése Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet működésével, az érintett vagyontárgyakkal
és személyekkel kapcsolatos maradvány kockázatok nem teljesen elfogadhatók ugyan, de jelentős érdekek fűződnek a szolgáltatás beindításához, vagy további működéséhez, akkor feltételesen engedélyezheti a csatlakozást, vagy a további működést. A feltételes engedélyezés akkor alkalmazható, ha az auditálási vagy az értékelési eljárás olyan kisebb hiányosságokat, sebezhetőségeket tár fel, melyek rövid időn belül kezelhetőnek látszanak, s az intézkedési tervben is látszik a megoldás szándéka, iránya és időzítése. A feltételes engedélyezés esetén az akkreditor a szolgáltató szervezetet határidő kitűzésével a hiányosság megszüntetésére szólítja fel, a központi rendszerre csatlakozást, illetve a működés folytatásának engedélyezését feltételesen, egy átmeneti időszakra adja meg. A feltételes engedélyezéssel az akkreditor korlátozhatja a szolgáltató rendszer tényleges működését is. Útmutató
akkreditoroknak (2008, 46 oldal) 20 Útmutató akkreditorok számára Az ideiglenes (feltételes) engedélyezés érvényessége nem tarthat tovább három hónapnál, de indokolt esetben egyszer meghosszabbítható, legfeljebb további három hónapra. Amennyiben az ideiglenes (feltételes) engedélyezés érvényessége úgy jár le, hogy a feltárt hiányosságok korrigálására, a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére nem került sor, akkor a szolgáltatás működtetését le kell állítani további engedélyezéséig (amit soron kívüli audit és/vagy értékelési eljárás előz meg). Amennyiben az ideiglenes engedélyezés érvényességi időszakán belül a hiányosságokat korrigálják, a sebezhetőségeket megfelelő mértékben csökkentik vagy kiküszöbölik, akkor a szolgáltatás működtetése teljes körűen engedélyezhető. Ilyen esetben a következő újra akkreditálás időpontja a teljes körű
engedélyezéstől számolandó. A szolgáltató szervezet informatikai biztonsági felelőse által készített intézkedési terv felhasználásával az akkreditor nyomon követheti a hiányosságok korrigálásának, a sebezhetőségek csökkentésének vagy kiküszöbölésének folyamatát. Az ideiglenes engedélyezés folyamán bekövetkező jelentősebb biztonsági állapot változásokat az informatikai biztonsági felelősnek haladéktalanul jelentenie kell az informatikai biztonsági felügyelőnek. 6.143 A csatlakozás (további működés) engedélyezésének visszautasítása Amennyiben az auditálási és értékelési eredmények, valamint az ezekre reagáló intézkedési terv vizsgálata alapján az akkreditor számára a szolgáltató rendszer és a mögötte álló szervezet működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatok elfogadhatatlanok, akkor nem engedélyezi a csatlakozást, vagy a további működést. Az
engedélyezés visszautasítása a csatlakoztatás elhalasztását, vagy a már szolgáltató rendszer működésének haladéktalan felfüggesztését jelenti. Az engedélyezés visszautasítása általában azt mutatja hogy nagyobb hiányosságok vannak a biztonsági intézkedésekben. Ilyen esetben az akkreditornak, vagy megbízottjának támogatást kell nyújtania az intézkedési terv szükséges módosításához. 6.15 A biztonsági akkreditálási folyamatot megalapozó dokumentumok A biztonsági akkreditálás folyamatát az alábbi dokumentumok alapozzák meg: ― a szolgáltató szervezet jóváhagyott biztonsági irányelve, ― a szolgáltató szervezet jóváhagyott biztonsági szabályzata, ― audit jelentés, ― rendszer értékelési jelentés, ― intézkedési terv. Útmutató akkreditoroknak (2008, 46 oldal) 21 Útmutató akkreditorok számára 6.151 Jóváhagyott biztonsági irányelv A biztonsági irányelv a szolgáltató szervezet informatikai
infrastruktúrájának teljes életciklusára (tervezésnél, beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél) alkalmazandó általános biztonsági elvárásokat meghatározó dokumentum. Elkészítését az informatikai biztonsági felelősnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelő) pedig még az auditálási és értékelési eljárások megkezdése előtt jóvá kell hagynia. 6.152 Jóváhagyott biztonsági szabályzat A biztonsági szabályzat a szolgáltató szervezet biztonsági intézkedései, azok dokumentálásának és ellenőrzésének feladatait, a végrehajtás felelősét és végrehajtás gyakoriságát vagy idejét leíró dokumentum. Elkészítését az informatikai biztonsági felelősnek kell biztosítania, az akkreditornak (informatikai biztonsági felügyelő) pedig még az auditálási és értékelési eljárások megkezdése előtt jóvá kell hagynia. 6.153 Audit jelentés Az audit
jelentés tartalmazza az auditálási eljárás során elvégzett szervezeti szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. 1.1 1.2 1.3 1.4 1.5 2. 2.1 2.2 2.3 3. 3.1 3.2 4. 4.1 4.2 4.3 5. 5.1 5.2 5.3 5.4 5.5 6. BEVEZETÉS A vizsgálat célja Módszertan, tartalom, a vizsgálat határai A vizsgálat ütemezése A vizsgálat körülményei Résztvevők (vizsgált szervezeti egységek) A VÉDELMI IGÉNYEK FELTÁRÁSA A társaság bemutatása az informatikai rendszerekben kezelt főbb adatkörök a védelmi igények FENYEGETETTSÉG-ELEMZÉS a fenyegetett rendszerelemek feltárása A fenyegető tényezők meghatározása KOCKÁZATELEMZÉS A kárértékek átvitele a rendszerelemekre A fenyegetések okozta károk gyakoriságának meghatározása A fennálló kockázatok értékelése KOCKÁZAT-KEZELÉS A nem elviselhető kockázatok Az informatikai biztonsági intézkedések kidolgozásának szempontjai Biztonsági intézkedések a
kockázatok értékelése alapján A társaság egészét érintő, globális intézkedési javaslatok Akcióterv és költségbecslés a javasolt intézkedésekre ÖSSZEFOGLALÓ Útmutató akkreditoroknak (2008, 46 oldal) 22 Útmutató akkreditorok számára 6.154 Rendszer értékelési jelentés A rendszer értékelési jelentés tartalmazza az értékelési eljárás során elvégzett technológiai szempontú informatikai biztonsági vizsgálat eredményét. A jelentés szerkezete az alábbi: 1. 1.1 1.2 1.3 2. 2.1 2.2 2.3 3. 4. 4.1 4.2 4.3 4.4 4.5 4.6 5. 5.1 5.2 5.3 6. 7. 8. BEVEZETÉS Azonosító adatok Az értékelés mérföldkövei Az értékelő adatai A RENDSZER SZERKEZETI LEÍRÁSA A szolgáltató rendszer fizikai hatóköre és határai A szolgáltató rendszer logikai hatóköre és határai A szolgáltató rendszer legfontosabb tulajdonságai AZ ÉRTÉKELÉS JELLEMZÉSE AZ ÉRTÉKELÉS EREDMÉNYEI A rendszer biztonsági előirányzat értékelése A rendszer
fejlesztés értékelése A rendszer útmutató dokumentumok értékelése A rendszer konfiguráció kezelés értékelése A rendszer tesztelés értékelése A rendszer sebezhetőség felmérés értékelése KÖVETKEZTETÉSEK ÉS JAVASLATOK Az értékelés összefoglaló eredménye Feltételek Javaslatok AZ ÉRTÉKELÉSI BIZONYÍTÉKOK LISTÁJA RÖVIDÍTÉSEK ÉS SZAKKIFEJEZÉSEK ÉSZREVÉTELEZÉSI JELENTÉSEK 6.155 Intézkedési terv Az intézkedési tervnek mindkét fenti jelentés eredményeit figyelembe véve az auditálás során feltárt hiányosságok korrigálására, illetve az értékelés során feltárt maradvány sebezhetőségek csökkentésére vagy kiküszöbölésére kell irányulnia. Konkrét biztonsági intézkedéseket kell felvázolnia, határidőkkel és felelősökkel. Elkészítését az informatikai biztonsági felelősnek kell biztosítania. 6.16 A folyamatos monitorozás A biztonsági akkreditálás folyamatának kritikus szakasza az akkreditálás
utáni időszak, mely a szolgáltató rendszerekben megvalósított biztonsági intézkedések folyamatos nyomon követését igényli. Egy hatékony folyamatos monitorozáshoz az alábbiakra van szükség: ― konfiguráció kezelési eljárások, ― a biztonsági intézkedések folyamatos monitorozása, ― a monitorozás eredményeinek dokumentálása és jelentése. Útmutató akkreditoroknak (2008, 46 oldal) 23 Útmutató akkreditorok számára 6.161 Konfiguráció kezelési eljárások Az informatikai rendszerek tipikusan folyamatosan változnak, a hardver, szoftver és förmver elemek cserélődnek, és a működtető környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelő és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. Ennek alapján a szolgáltató szervezet naprakész információival
rendelkezhet a szolgáltatás nyújtásához szükséges informatikai infrastruktúráról, valamint a rendszer elemeinek logikai kapcsolatairól. 6.162 A biztonsági intézkedések folyamatos monitorozása A gyakorlatban megvalósíthatatlan vagy nagyon nem költség-hatékony az informatikai rendszerek összes biztonsági intézkedésének folyamatos nyomon követése. Ezért az informatika biztonsági felelősnek ki kell választania a legfontosabbnak ítélt biztonsági intézkedéseket, s meg kel határoznia ezek ellenőrzési módját és gyakoriságát. 6.163 A monitorozás eredményeinek dokumentálása és jelentése A kiválasztott biztonsági intézkedések folyamatos monitorozásának eredményeit dokumentálni kell, illetve a szervezet vezetőjét rendszeres időnként jelentésben kell tájékoztatni ezekről. 6.2 A biztonsági akkreditálás folyamata 6.21 A biztonsági akkreditálási folyamat szakaszai és fő tevékenységei Az 1. ábra áttekinti a biztonsági
akkreditálás folyamatát és fő tevékenységeit Útmutató akkreditoroknak (2008, 46 oldal) 24 Útmutató akkreditorok számára Előkészületi szakasz • Előkészítés • Értesítés és a szükséges erőforrások meghatározása • A biztonsági irányelv és a biztonsági szabályzat vizsgálata, elfogadása • A szervezet auditálása • Audit jelentés Auditálási és értékelési szakasz • Az informatikai rendszer értékelése • Rendszer értékelési jelentés • Intézkedési terv Akkreditálási szakasz Folyamatos monitorozási szakasz • Döntés a biztonsági akkreditálásról • A döntés indoklása • Konfiguráció kezelés • A biztonsági intézkedések folyamatos monitorozása • A biztonsági állapot jelentése és dokumentálása 1. ábra – A biztonsági akkreditálás folyamatának áttekintése 6.22 Az előkészületi szakasz Ez a szakasz az alábbi feladatokból áll: ― előkészítés, ― erőforrás tervezés,
― a biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása. A 2. ábra az előkészületi szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Útmutató akkreditoroknak (2008, 46 oldal) 25 Útmutató akkreditorok számára Újraindítás a folyamatos monitorozási szakaszt követően Előkészületi szakasz Előkészítés Erőforrás tervezés Biztonsági irányelv tervezet Biztonsági irányelv és biztonsági szabályzat vizsgálata Biztonsági szabályzat tervezet nem Elfogadva ? igen Jóváhagyott biztonsági irányelv Jóváhagyott biztonsági szabályzat Átlépés az auditálási és értékelési szakaszba Átadás az auditálási és értékelési szakasz részére 2. ábra – Az előkészületi szakasz folyamata Az előkészületi szakasz célja, hogy az akkreditor és a szolgáltató szervezet informatikai biztonsági felelőse egyetértenek a biztonsági irányelvek és a biztonsági
szabályzat tartalmában, még mielőtt az auditálási és értékelési eljárások megkezdenék az informatikai rendszer biztonsági intézkedéseinek a vizsgálatát. Az akkreditor és a szolgáltató szervezet felelős vezetőinek korai bevonása kulcsfontosságú tényező a biztonsági akkreditálás sikerének. Az előkészületi szakaszhoz szükséges információk jelentős részét a szolgáltató szervezet már korábban megszerezte (a kezdeti kockázatbecslési folyamattal, a biztonsági irányelv és biztonsági szabályzat kidolgozásával, valamint saját esetleges belső auditálásával). Az előkészületi szakasz annak megerősítését szolgálja, hogy a biztonsági irányelv és a biztonsági szabályzat elkészítése befejeződött. 6.221 1. feladat: előkészítés Az előkészítés feladat célja, hogy felkészítsen a további feladatokra azáltal, hogy áttekinti a biztonsági irányelvet és a biztonsági szabályzatot, és megerősíti, hogy ezek
összhangban vannak a kezdeti kockázatbecslési folyamat eredményeivel. 1.1 feladat Elvégendő feladat: Az informatikai rendszer leírása Annak megerősítése, hogy a szolgáltató informatikai rendszert megfelelő módon leírták a biztonsági irányelvben, a biztonsági szabályzatban, illetve az ezekből Útmutató akkreditoroknak (2008, 46 oldal) 26 Útmutató akkreditorok számára Felelős: Útmutatás: Hivatkozások: 1.2 feladat Elvégendő feladat: Felelős: Útmutatás: készített rendszer biztonsági előirányzatban. A szolgáltató szervezet informatikai biztonsági felelőse A fent megnevezett három dokumentumban az informatikai rendszerre meg kell adni az alábbiakat: - a rendszer neve és egyedi azonosítója, - az informatikai rendszerért felelős szervezet neve és címe, - az informatikai rendszer biztonságáért felelős személy kapcsolat tartáshoz szükséges információi, - az informatikai rendszer által feldolgozott, tárolt és
továbbított információ típusa, - az informatikai rendszer fő biztonsági tulajdonságai, - az informatikai rendszer fizikai hatóköre és határai, - az informatikai rendszer logikai hatóköre és határai, - az informatikai rendszerre vonatkozó funkcionális követelmények, - az informatikai rendszer és a benne feldolgozott, tárolt és továbbított információk - biztonságára vonatkozó jogszabályban, szabályzatban vagy szabványban megfogalmazott előírások, - külső működő rendszerekhez való kapcsolódásuk (külső interfészek), - belső hardver, szoftver és rendszer interfészek, - információ áramlás (bemenetek és kimenetek), - az informatikai rendszert működtető fizikai környezet. [12]: Rendszerekre vonatkozó értékelési módszertan Biztonsági kategorizálás Annak megerősítése, hogy a biztonsági irányelv és az ennek alapján készített rendszer biztonsági előirányzat meghatározza a szolgáltató informatikai rendszer biztonsági
osztályát. A szolgáltató szervezet informatikai biztonsági felelőse [13] és [14] három lehetséges biztonsági kihatás szintet (alacsony, fokozott, kiemelt) határozott meg az informatikai rendszerekre jellemző biztonsági célokra (bizalmasság, sértetlenség, rendelkezésre állás). Egy informatikai rendszer különböző információ típusokat tartalmazhat (pl. magánadatok, üzleti titkok, munkaügyi információk, orvosi információk, munkavállalók biztonsága információ típus, stb.) Egy adott informatikai rendszer minden információ típusára meg kell határozni a három biztonsági célra gyakorolt potenciális kihatás szintet. Egy informatikai rendszer biztonsági kategóriáját a legmagasabb kihatás szint határozza meg (az összes érintett információ típust, s mindhárom biztonsági célt figyelembe véve) [13] mindhárom biztonsági osztályhoz konkrét műszaki biztonsági intézkedéseket (mint megvalósítandó minimális követelmények)
rendelt, egyúttal megadta e követelmény-rendszerek testre szabási módszerét is. Hivatkozások: 1.3 feladat Elvégendő feladat: [15] a közigazgatásban használt információ típusok osztályozásával és példák bemutatásával nyújt segítséget az informatikai rendszerek biztonsági osztályba sorolásához. [13]: IT biztonsági műszaki követelmények a különböző biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához [15]: Minta biztonsági kategorizálás A fenyegetések azonosítása Annak megerősítése, hogy az informatikai rendszer hibáit vagy gyengeségeit kihasználni képes potenciális fenyegetéseket azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági előirányzat. Útmutató akkreditoroknak (2008, 46 oldal) 27 Útmutató akkreditorok számára Felelős: Útmutatás: A szolgáltató szervezet informatikai biztonsági felelőse A kezdeti kockázatbecslési folyamathoz jó útmutatást
biztosít [5], melynek 4. fejezete a kockázatok meghatározásával, elemzésével és kezelésével foglakozik. Abban az esetben viszont, ha az informatikai rendszer biztonsági kategorizálását [13] alapján végezték, s az ebben levezetett 3 biztonsági osztály (alacsony, fokozott és kiemelt kihatású biztonsági osztály) valamelyikének követelmény-rendszerét változtatás nélkül átvették, akkor a fenyegetések külön azonosítására nincs szükség (hiszen a 3 biztonsági osztály követelmény-rendszerének meghatározásakor ezt már helyette elvégezték). [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) Hivatkozások: 1.4 feladat Elvégendő feladat: Felelős: Útmutatás: A sebezhetőségek azonosítása Annak megerősítése, hogy az informatikai rendszer kihasználható hibáit vagy gyengeségeit azonosította a kezdeti kockázatbecslési folyamat, vagy a rendszer biztonsági előirányzat. A szolgáltató szervezet informatikai
biztonsági felelőse Az informatikai rendszer kihasználható hibáinak vagy gyengeségeinek azonosítása a rendszer fejlesztési életciklus bármely szakaszában megvalósítható. A fejlesztés alatt álló rendszerek sebezhetőségeinek azonosítása elsősorban a szervezet biztonsági politikájára, a tervezett biztonsági eljárásokra, a rendszertől elvárt követelményekre, valamint a felhasználásra tervezett termékek biztonsági elemzésére koncentráljon. A megvalósítás alatt álló rendszerekre a sebezhetőségek azonosítása építhet a biztonsági tervdokumentációkban leírt tervezett biztonsági tulajdonságokra és a rendszer integrátor által végzett biztonsági tesztelés eredményeire is. A működő (szolgáltató) rendszerekre a sebezhetőségek azonosítása a rendszer védelmére megvalósított biztonsági intézkedések vizsgálatát is magában foglalja. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer
értékelők számára Hivatkozások: 1.5 feladat Elvégendő feladat: Felelős: Útmutatás: [13] megadja az előre rögzített három követelmény-rendszer testre szabásának módszerét is. [13]: IT biztonsági műszaki követelmények a különböző biztonsági szintekre Hivatkozások: 6.222 A biztonsági intézkedések meghatározása Annak megerősítése, hogy a rendszer biztonsági előirányzatban azonosították az informatikai rendszer (tervezett vagy megvalósított) biztonsági intézkedéseit. A szolgáltató szervezet informatikai biztonsági felelőse A [13] által a három biztonsági osztályra (alacsony, fokozott, kiemelt) előre meghatározott műszaki biztonsági intézkedések jó kiindulási pontot biztosítanak. 2. feladat: értesítés és a szükséges erőforrások meghatározása Ez a feladat a biztonsági akkreditálásban és az ezt előkészítő auditálási és értékelési eljárásban érintettek értesítésére vonatkozik, valamint a
lebonyolítás megtervezését és a szükséges erőforrások meghatározását jelenti. 2.1 feladat Elvégendő feladat: Az érintettek értesítése Az akkreditor, az auditáló szervezet, az értékelő szervezet, és más érintettek értesítése arról, hogy az informatikai rendszer auditálást, értékelést, majd Útmutató akkreditoroknak (2008, 46 oldal) 28 Útmutató akkreditorok számára Felelős: Útmutatás: akkreditálást igényel. A szolgáltató szervezet informatikai biztonsági felelőse Az első biztonsági akkreditálás esetén az érintettek értesítése a biztonsági akkreditálási folyamat külső szereplőinek bevonását hivatott előkészíteni. Ekkor az értesítés tipikusan az auditálási és/vagy értékelési eljárásra vonatkozó pályázati kiírás formáját ölti. A megismételt biztonsági akkreditálás esetén az értesítés az érintettek korai figyelmeztetését jelenti, hogy hamarosan aktuális lesz a következő auditálás
és a felülvizsgálati rendszer értékelés, majd ezt követően az újra akkreditálás. Hivatkozások: --- 2.2 feladat Elvégendő feladat: Az akkreditáláshoz szükséges erőforrások meghatározása A biztonsági akkreditáláshoz, illetve elsősorban az azt előkészítő auditálási és értékelési eljáráshoz szükséges erőforrások meghatározása, valamint a lebonyolítás megtervezése. Akkreditor, Auditor szervezet vezetője, értékelő szervezet vezetője, a szolgáltató szervezet informatikai biztonsági felelőse A szükséges erőforrás számos tényezőtől függ: - a szervezet méretétől, - az informatikai rendszer méretétől és bonyolultságától, - az informatikai rendszer biztonsági osztályozásától (alacsony, fokozott, kiemelt), - a rendszer értékelésre választott garanciacsomagtól (SAP-A, SAP-F, SAP-K) Felelős: Útmutatás: Hivatkozások: Az auditáló és értékelő szervezet kiválasztását követően végrehajtási tervet
kell készíteni, melynek legfontosabb paramétereit (auditálásra átadandó dokumentumok, értékelésre átadandó bizonyítékok, határidők) a szervezetekkel megkötendő szerződésbe is bele kell foglalni. --- 6.223 3. feladat: a biztonsági irányelv és a biztonsági szabályzat vizsgálata és elfogadása Ez a feladat az auditálási és értékelési eljárást megalapozó két legfontosabb dokumentum előzetes vizsgálatát, esetleges pontosítását és elfogadását jelenti. 3.1 feladat Elvégendő feladat: Felelős: Útmutatás: A biztonsági kategorizálás áttekintése A biztonsági irányelvben (és az ennek alapján készített rendszer biztonsági előirányzatban) meghatározott biztonsági osztály (alacsony, fokozott vagy kiemelt) áttekintése annak meghatározása érdekében, hogy a bizalmasság, sértetlenség és rendelkezésre állás potenciális elvesztésének hatása összhangban áll-e a vizsgált szolgáltatás aktuális jelentőségével.
Akkreditor, Auditor szervezet vezetője, értékelő szervezet vezetője A biztonsági osztályba sorolás áttekintése arra irányuljon, hogy az informatikai rendszer jelentősségét (benne a kritikusságát és érzékenységét is) tükrözi-e a szolgáltató szervezet által meghatározott biztonsági osztály. Hivatkozások: [2] elvárásának megfelelően, az akkreditor ennek a feladatnak a keretében formálisan is véleményezi az informatikai rendszer biztonsági osztályba sorolását. [2]: Törvény tervezet az informatikai biztonságról [13]: IT biztonsági műszaki követelmények a különböző biztonsági szintekre [14]: Útmutató az IT biztonsági szintek meghatározásához 3.2 feladat A biztonsági irányelv és a biztonsági szabályzat vizsgálata Útmutató akkreditoroknak (2008, 46 oldal) 29 Útmutató akkreditorok számára Elvégendő feladat: Felelős: Útmutatás: Hivatkozások: 3.3 feladat Elvégendő feladat: Felelős: Útmutatás:
Hivatkozások: 3.4 feladat Elvégendő feladat: Felelős: Útmutatás: A biztonsági irányelv és a biztonsági szabályzat vizsgálata annak megállapítása érdekében, hogy azok helyesen mérik-e fel az informatikai rendszer sebezhetőségeit és a mögötte álló szervezet működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradványkockázatokat. Akkreditor, az auditor és az értékelő szervezet vezetője A biztonsági irányelv (mely meghatározza az informatikai infrastruktúra teljes életciklusára alkalmazandó általános biztonsági elvárásokat) és a biztonsági szabályzat (mely leírja a biztonsági intézkedéseket, azok dokumentálásának és ellenőrzésének feladatait, a végrehajtás felelősét és végrehajtás gyakoriságát vagy idejét) tartalmának meg kell felelnie az [1] 1. számú mellékletében meghatározott követelményeknek. Ezek független áttekintése után az akkreditor, az auditor és az értékelő szervezet
már az előkészületi szakaszban megállapíthatja azok teljességét, vagy módosító javaslatokkal élhetnek. [1]: 84/2007. (IV 25) kormányrendelet A biztonsági irányelv és a biztonsági szabályzat módosítása A biztonsági irányelv és a biztonsági szabályzat módosítása a 3.2 feladat során elvégzett vizsgálat eredményeként tett javaslatok figyelembe vételével. a szolgáltató szervezet informatikai biztonsági felelőse A módosítás előtt az informatikai biztonsági felelős konzultálhat a szolgáltató szervezetben dolgozó más felelős személyekkel. A módosítás elvileg az irányelv és szabályzat bármely részét érintheti. [1]: 84/2007. (IV 25) kormányrendelet A biztonsági irányelv és a biztonsági szabályzat elfogadása A biztonsági irányelv és a biztonsági szabályzat áttekintése abból a szempontból, hogy a bennük megfogalmazott, a szervezet működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos kockázatok
elfogadhatók-e. Akkreditor Amennyiben a kockázatok elfogadhatatlanok, az akkreditor átdolgozásra visszaküldi a biztonsági irányelvet és a biztonsági szabályzatot. A biztonsági irányelv és a biztonsági szabályzat elfogadása egy fontos lépés a biztonsági akkreditálás folyamatában. Az elfogadás azt is jelenti, hogy az akkreditor a tervezett biztonsági intézkedéseket megfelelőnek tartja a biztonsági követelmények kielégítésére. Hivatkozások: Ennek alapján az auditálási és értékelési eljárások tovább léphetnek, a megvalósított biztonsági intézkedések felmérése irányában. [1]: 84/2007. (IV 25) kormányrendelet [2]: Törvény tervezet az informatikai biztonságról 6.23 Az auditálási és értékelési szakasz Ez a szakasz az alábbi feladatokból áll: ― a szervezet auditálása, ― audit jelentés készítés, ― rendszer értékelés, ― rendszer értékelési jelentés készítés, ― intézkedési terv készítés.
Útmutató akkreditoroknak (2008, 46 oldal) 30 Útmutató akkreditorok számára A 3. ábra az auditálási és értékelési szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az előkészületi szakaszból Átlépés az előkészületi szakaszból Biztonsági szabályzat Biztonsági irányelv Auditálási és értékelési szakasz A szervezet auditálása Audit jelentés Egyéb dokumentumok Biztonsági előirányzat A rendszer értékelése Egyéb értékelési bizonyítékok Intézkedési terv készítés Átlépés az akkreditálási szakaszba Értékelési jelentés Intézkedési terv Átadás az akkreditálási szakasz részére 3. ábra – Az auditálási és értékelési szakasz folyamata Az auditálási és értékelési szakasz célja annak megállapítása, hogy a biztonsági intézkedéseket helyesen valósították-e meg, azokat a tervezetteknek megfelelően működtetike, valamint hogy azok a
rendszerre vonatkozó követelményeknek megfelelő eredménnyel járnak-e. Ebben a szakaszban kell foglalkozni azon speciális tevékenységek megvalósításával vagy megtervezésével is, melyek a biztonsági intézkedések hiányosságainak korrigálására, valamint az informatikai rendszerekben azonosított sebezhetőségeinek csökkentésére vagy kiküszöbölésére irányulnak. Ennek a szakasznak a sikeres befejezésével az akkreditor megkapja a megalapozott döntéséhez szükséges információkat. 6.231 4. feladat: a szervezet auditálása Ez a feladat az auditálási eljárás közvetlen előkészítését és végrehajtását jelenti. 4.1 feladat Elvégendő feladat: Felelős: Dokumentáció és egyéb támogató anyagok Az auditálás végrehajtásához szükséges dokumentumok és egyéb támogató anyagok összegyűjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelőse Útmutató akkreditoroknak (2008, 46 oldal) 31 Útmutató
akkreditorok számára Útmutatás: [4] az auditálás végrehajtásához az alábbi háromszintű szabályzati struktúrát várja el (meghatározva ezek elvárt tartalmát is): Informatikai Biztonságpolitika Informatikai Stratégia Informatikai Biztonsági Szabályzat Informatikai Felhasználói Szabályzat Eljárásrend Gyűjtemény [9] több olyan dokumentumra is ajánlást biztosít, amely egy szolgáltatás kialakítás tágabb folyamatát is tekintetbe veszi (Projekt előkészítés tárgyú ajánlások, Közbeszerzési eljárásokban előírandó követelmények tárgyú ajánlások). Hivatkozások: 4.2 feladat Elvégendő feladat: Felelős: Útmutatás: [9] az auditálási eljárást közvetlenül támogató több dokumentumokra is konkrét ajánlást (mintát) biztosít, köztük az alábbiakra: - Szolgáltatási szint biztosítás - Kapacitásgazdálkodás - Rendelkezésre állás menedzsment - Konfigurációkezelés - Változáskezelés - Kiadáskezelés -
Incidenskezelés - Problémakezelés - Szolgáltatáskatalógus - Üzemeltetési szabályzat - Mentési rend [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [9]: A szolgáltatásmenedzsmentre vonatkozó auditálás szempontjai és gyakorlata A korábbi auditálási eredmények felhasználása A korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyűjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelőse, az auditálás vezetője Egy szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek auditálása igen költséges és időigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra felhasználhatóságát mérlegelni kell. Az auditáló szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelő működtetést, valamint
a kívánt eredmények biztosítását ellenőrizték. Az auditálási eljárásnak - amennyire csak lehet – a legutolsó auditálásnál feltárt nemmegfelelőségekre, illetve az azóta bekövetkező változásokra kell koncentrálnia. Ezért a korábbi auditálásokból származó eredmények, bizonyítékok és dokumentációk összegyűjtése és áttekintése megalapozza az auditálási terv elkészítését, majd az auditálás hatékony végrehajtását. Útmutató akkreditoroknak (2008, 46 oldal) 32 Útmutató akkreditorok számára Hivatkozások: [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 4.3 feladat Elvégendő feladat: Felelős: Útmutatás: Auditálási terv készítése Az auditálási eljárás során alkalmazandó megfelelő módszerek és eljárások kiválasztása a szervezet menedzsment és üzemeltetési
biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelő működtetésnek, valamint a kívánt eredmények biztosítottságának az ellenőrzésére). Az elvégzendő feladatok ütemezése. az auditálás vezetője Annak elkerülésére, hogy minden auditálásra külön egyedi módszertan készüljön, illetve, hogy a különböző auditáló szervezetek egymástól lényegesen eltérő módszertant alkalmazzanak, az auditálás vezetőjének maximálisan törekednie kell arra, hogy az auditálási terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [5] vizsgálja, a meghatározott módszertan [6] alapján. Hivatkozások: Indokolt esetben (szervezeti sajátosságok, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthető. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság
Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 4.4 feladat Elvégendő feladat: Felelős: Útmutatás: Az auditálás végrehajtása A szervezet menedzsment és üzemeltetési biztonsági intézkedéseinek felmérése az auditálási tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az auditálás vezetője Az auditálási eljárás a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelően működnek-e, valamint biztosítják-e a kívánt eredményeket. Hivatkozások: Az auditálási eljárás eredménye (beleértve a feltárt hiányosságok korrigálására tett javaslatokat is) egy audit jelentés lesz. [4]: Informatikai Biztonság Irányítási Rendszer (IBIR) [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 6.232 5. feladat:
audit jelentés Ez a feladat az auditálási eljárás eredményeinek dokumentálását jelenti. 5.1 feladat Elvégendő feladat: Felelős: Útmutatás: Audit jelentés készítése A végleges audit jelentés elkészítése. az auditálás vezetője Az audit jelentés tartalmazza az auditálás eredményét (mely a menedzsment és üzemeltetési biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelően működnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt hiányosságok korrigálására tett javaslatokat is. Az audit jelentés elvárt szerkezetét 6.163 ismerteti Hivatkozások: Az audit jelentés az akkreditálási szakasz egyik fontos bemenete. [5]: Informatikai Biztonság Irányítási Követelmények (IBIK) Útmutató akkreditoroknak (2008, 46 oldal) 33 Útmutató akkreditorok számára [6]: Az informatikai biztonság irányításának vizsgálata (IBIV) 6.233 6. feladat: az
informatikai rendszer értékelése Ez a feladat az értékelési eljárás közvetlen előkészítését és végrehajtását jelenti. 6.1 feladat Elvégendő feladat: Felelős: Útmutatás: Rendszer biztonsági előirányzat és egyéb értékelési bizonyítékok A rendszer értékelés kiinduló pontját képező rendszer biztonsági előirányzat, valamint az értékeléshez szükséges egyéb értékelési bizonyítékok összegyűjtése, elkészítése. a szolgáltató szervezet informatikai biztonsági felelőse [12] részletesen meghatározza a rendszer értékeléshez szükséges értékelési bizonyítékokat. Ezek közül a legfontosabb a rendszer biztonsági előirányzat, mely a biztonsági irányelv és a biztonsági szabályzat alapján készíthető el. Hivatkozások: 6.2 feladat Elvégendő feladat: Felelős: Útmutatás: A többi értékelési bizonyíték függ az értékelésre választott garanciaszinttől (alap, fokozott vagy kiemelt rendszer
garanciacsomag), de alapvetően a következőkből áll: - rendszer biztonsági tervdokumentációk, - telepítésre, konfigurálásra és üzemeltetésre vonatkozó útmutatók, - konfiguráció kezeléssel kapcsolatos dokumentáció, - biztonsági tesztelésre vonatkozó dokumentáció, - a független tesztelésre és sebezhetőség vizsgálatra alkalmas informatikai rendszer [12]: Rendszerekre vonatkozó értékelési módszertan [17]: Útmutató rendszer integrátorok számára A korábbi értékelési eredmények felhasználása A korábbi rendszer értékelésekből származó eredmények, bizonyítékok és dokumentációk összegyűjtése és áttekintése. a szolgáltató szervezet informatikai biztonsági felelőse, az értékelés vezetője Egy informatikai rendszer műszaki biztonsági intézkedéseinek értékelése igen költséges és időigényes eljárás. A biztonsági akkreditálás folyamatának hatékonyság növelése érdekében minden korábbi eredmény újra
felhasználhatóságát mérlegelni kell. Az értékelő szervezetnek építenie kell azon korábbi eredményekre, melyek a biztonsági intézkedések megvalósításának helyességét, a tervezetteknek megfelelő működtetést, valamint a kívánt eredmények biztosítását ellenőrizték. Az értékelési eljárásnak - amennyire csak lehet - a legutolsó rendszer értékelésénél feltárt maradvány sebezhetőségekre, illetve az azóta bekövetkező változásokra kell koncentrálnia. Ezért a korábbi rendszer értékelésekből származó eredmények, bizonyítékok és dokumentációk összegyűjtése és áttekintése megalapozza az értékelési terv elkészítését, majd a rendszer értékelés hatékony végrehajtását. Hivatkozások: Az értékelő szervezetnek a rendszer értékelés során ugyancsak építenie kell azokra a rendszer komponensekre, melyeket már termékként, vagy összetett termékként sikeresen értékeltek és tanúsítottak (a CC nemzetközi,
vagy a MIBÉTS hazai séma keretén belül). [10]: Termékekre vonatkozó értékelési módszertan [11]: Összetett termékekre vonatkozó értékelési módszertan Útmutató akkreditoroknak (2008, 46 oldal) 34 Útmutató akkreditorok számára [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelők számára 6.3 feladat Elvégendő feladat: Felelős: Útmutatás: Értékelési terv készítése Az értékelési eljárás során alkalmazandó megfelelő módszerek és eljárások kiválasztása az informatikai rendszer műszaki biztonsági intézkedéseinek felmérésére (a megvalósítás helyességének, a tervezetteknek megfelelő működtetésnek, valamint a kívánt eredmények biztosítottságának az ellenőrzésére). Az elvégzendő feladatok ütemezése. az értékelés vezetője Annak elkerülésére, hogy minden rendszer értékelésre külön egyedi módszertan készüljön, illetve, hogy a különböző értékelő
szervezetek egymástól lényegesen eltérő módszertant alkalmazzanak, az értékelés vezetőjének maximálisan törekednie kell arra, hogy az értékelési terv amennyire csak lehetséges, a már kidolgozott és ajánlásokban részletesen leírt követelményeket [13] vizsgálja, a meghatározott módszertan [12] és [16] alapján. Indokolt esetben (az informatikai rendszer sajátosságai, speciális biztonsági intézkedések alkalmazása) a vizsgálati módszertan testre szabható, illetve kiegészíthető. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelők számára Hivatkozások: 6.4 feladat Elvégendő feladat: Felelős: Útmutatás: Az értékelés végrehajtása Az informatikai rendszer műszaki biztonsági intézkedéseinek felmérése az értékelési tervben meghatározott módszerekkel, eljárásokkal és ütemezéssel. az értékelés vezetője Az értékelési eljárás a műszaki biztonsági intézkedésekre
meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelően működnek-e, valamint biztosítják-e a kívánt eredményeket. Az értékelési eljárás eredménye (beleértve a feltárt maradvány sebezhetőségeket és az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is) egy rendszer értékelési jelentés lesz. [18] részletesen leírja a biztonsági értékelés folyamatát, tevékenységeit és eljárásait. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelők számára [18]: Szolgáltatások megfelelőség vizsgálatának folyamata és eljárásai Hivatkozások: 6.234 7. feladat: rendszer értékelési jelentés Ez a feladat az értékelési eljárás eredményeinek dokumentálását jelenti. 7.1 feladat Elvégendő feladat: Felelős: Útmutatás: Rendszer értékelési jelentés A végleges rendszer értékelési jelentés elkészítése. az értékelés vezetője A rendszer
értékelési jelentés tartalmazza az értékelés eredményét (mely a műszaki biztonsági intézkedésekre meghatározza, hogy mennyire helyes megvalósításuk, a tervezetteknek megfelelően működnek-e, valamint biztosítják-e a kívánt eredményeket), beleértve a feltárt maradvány sebezhetőségeket, valamint az ezek csökkentésére vagy kiküszöbölésére irányuló javaslatokat is. A rendszer értékelési jelentés elvárt szerkezetét 6.164 ismerteti Útmutató akkreditoroknak (2008, 46 oldal) 35 Útmutató akkreditorok számára A rendszer értékelési jelentés az akkreditálási szakasz másik fontos bemenete. [12]: Rendszerekre vonatkozó értékelési módszertan [16]: Útmutató rendszer értékelők számára Hivatkozások: 6.235 8. feladat: intézkedési terv Ez a feladat az auditálási eljárás során feltárt hiányosságok (nemmegfelelőségek) korrigálására, valamint az értékelési eljárás során a rendszerekben feltárt
sebezhetőségek csökkentésére vagy kiküszöbölésére irányuló intézkedési terv elkészítését, majd az eredmények akkreditor számára történő összeállítását és továbbítását jelenti. 8.1 feladat Elvégendő feladat: Felelős: Útmutatás: Intézkedési terv készítése Intézkedési terv készítése az audit jelentés és a rendszer értékelési jelentés alapján. a szolgáltató szervezet informatikai biztonsági felelőse Az intézkedési tervben mindkét jelentés (audit és rendszer értékelési) negatív eredményeire, illetve javaslataira ki kell térni. Kiegészítő vagy módosított biztonsági intézkedéseket kell betervezni a feltárt hiányosságok korrigálására, illetve a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére. Az intézkedési tervnek felelősöket és határidőket is tartalmaznia az egyes problémák megoldására. Hivatkozások: 8.2 feladat Elvégendő feladat: Felelős: Útmutatás:
Hivatkozások: Az intézkedési tervben arra is ki kell térni, hogy szükség van-e az auditálási és értékelési eljárások kiinduló pontját képező alap dokumentumok (biztonsági irányelv, biztonsági szabályzat) módosítására. Amennyiben szükség van erre, akkor ennek a végrehajtását is tervezni kell. --Akkreditálási kérelmezése Az elkészült audit jelentés, rendszer értékelési jelentés és intézkedési terv továbbítása az akkreditornak, valamint az akkreditálás formális kérelmezése. a szolgáltató szervezet informatikai biztonsági felelőse A szolgáltató szervezet informatikai biztonsági felelősének kell formálisan kérelmeznie az akkreditálást, s ennek keretében össze kell állítania, majd az akkreditor felé továbbítania kell az alábbiakat: - végleges audit jelentés, - végleges rendszer értékelési jelentés, - intézkedési terv, - módosított biztonsági irányelv (szükség esetén), - módosított biztonsági
szabályzat (szükség esetén). Az akkreditor elsősorban a fenti dokumentációkban foglaltakat fogja felhasználni döntése meghozatalához. --- 6.24 Az akkreditálási szakasz Ez a szakasz az alábbi feladatokból áll: ― döntés a biztonsági akkreditálásról, ― a döntés indoklása. Útmutató akkreditoroknak (2008, 46 oldal) 36 Útmutató akkreditorok számára A 4. ábra az akkreditálási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átvétel az auditálási és értékelési szakaszból Átlépés az auditálási és értékelési szakaszból Visszalépés az előkészületi szakaszba Akkreditálási szakasz Audit jelentés Értékelési jelentés igen A működtetés engedélyezhető? nem Intézkedési terv A döntés dokumentálása Akkreditálási határozat Átlépés a folyamatos monitorozási szakaszba 4. ábra - Az akkreditálási szakasz folyamata Az akkreditálási szakasz célja annak
biztosítása, hogy az informatikai rendszer mögött (üzemeltetőként vagy tulajdonosként) álló szervezet működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok elfogadhatók-e az akkreditor számára. Ennek a szakasznak a sikeres befejezésével a szolgáltató szervezet engedélyt kap információs rendszere működtetésére, átmeneti (bizonyos feltételekhez kötött) engedélyt kap az információs rendszer működtetésére, vagy ezt a működtetést nem engedélyezik. 6.241 9. feladat: döntés a biztonsági akkreditálásról Ebben a kettős feladatban előbb meg kell határozni az informatikai rendszer működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos maradvány kockázatok mértékét, majd el kell dönteni, hogy ez elfogadható-e. 9.1 feladat Elvégendő feladat: A maradvány kockázat meghatározása Az informatikai rendszer működésével, az érintett vagyontárgyakkal és személyekkel
kapcsolatos végső maradvány kockázat mértékének meghatározása. Útmutató akkreditoroknak (2008, 46 oldal) 37 Útmutató akkreditorok számára Felelős: Útmutatás: akkreditor Az akkreditor a végső maradvány kockázat mértékét az alábbiak alapján határozza meg: - a szervezetre irányuló audit jelentésben leírt, az auditálás során feltárt hiányosságok és nemmegfelelőségek, - az informatikai rendszerre irányuló rendszer értékelési jelentésben leírt, az értékelés során feltárt maradvány sebezhetőségek, - a két jelentés eredményeit figyelembe vevő intézkedési terv, mely a feltárt hiányosságok korrigálására, a rendszerekben meglévő sebezhetőségek csökkentésére vagy kiküszöbölésére irányulnak. A végső maradvány kockázat mértékének meghatározása érdekében az akkreditor konzultálhat a szolgáltató szervezet informatikai biztonsági felelősével, valamint az auditáló szervezet és az értékelő
szervezet felelős vezetőjével. --- Hivatkozások: 9.2 feladat Elvégendő feladat: Felelős: Útmutatás: Döntés a maradvány kockázat elfogadhatóságáról Döntés az informatikai rendszer működésével, az érintett vagyontárgyakkal és személyekkel kapcsolatos végső maradvány kockázat elfogadhatóságáról. akkreditor Az akkreditor a végső maradvány kockázat elfogadhatóságáról az auditálási és értékelési eredmények vizsgálata alapján dönthet. Az auditálási és értékelési eredmények vizsgálata a következőket foglalja magában: - a 9.1 feladat során meghatározott végső maradvány kockázat mértéke, - a szolgáltató rendszer csatlakoztatásából (vagy további működtetéséből) származó felhasználói előnyök, - a szolgáltató rendszer csatlakoztatásának (vagy további működtetésének) elhalasztásából adódó veszteségek, - az intézkedési tervben vázolt javító és kiegészítő intézkedések várható
következménye és megvalósítási időigénye. A fenti szempontok alapján kell meghoznia döntését, mely az alábbiak egyike lehet (lásd 6.15): - a működtetés engedélyezése, - a működtetés átmeneti (feltételes) engedélyezése, - a működtetés engedélyezésének visszautasítása. --- Hivatkozások: 6.242 10. feladat: a döntés indoklása Ez a feladat az akkreditor által meghozott döntés írásba foglalását és indoklását, valamint a biztonsági irányelv és biztonsági szabályzat ennek következtében szükségessé váló módosítását jelenti. 10.1 feladat Elvégendő feladat: Felelős: Útmutatás: Hivatkozások: A döntés határozatba foglalása Az akkreditálásra vonatkozó döntésnek és indoklásának írásba foglalása. akkreditor Az akkreditor által hozott döntésről egy határozatot kell készítenie. --- 10.2 feladat Elvégendő feladat: A biztonsági irányelv és biztonsági szabályzat módosítása Az akkreditálásra
vonatkozó döntéstől függően a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelőse Felelős: Útmutató akkreditoroknak (2008, 46 oldal) 38 Útmutató akkreditorok számára A működtetés engedélyezése esetén a biztonsági irányelvet és a biztonsági szabályzatot nem kell módosítani. Útmutatás: A működtetés átmeneti (feltételes) engedélyezése esetén az akkreditálásra vonatkozó döntésben megfogalmazott korlátozásokat vagy feltételeket meg kell jeleníteni a biztonsági irányelvben és/vagy a biztonsági szabályzatban is. Ugyanakkor törekedni kell arra, hogy ebben a lépésben a biztonsági irányelv és a biztonsági szabályzat módosítása minimális legyen. A működtetés engedélyezésének visszautasítása az akkreditálás folyamatát visszatéríti az előkészületi szakaszba. Ebben az esetben a biztonsági irányelv és a biztonsági
szabályzat jelentős átdolgozása is szükségessé válhat. --- Hivatkozások: 6.25 A folyamatos monitorozási szakasz Ez a szakasz az alábbi feladatokból áll: ― konfiguráció kezelés, ― a biztonsági intézkedések folyamatos monitorozása, ― a monitorozás eredményeinek dokumentálása és jelentése. Az 5. ábra a folyamatos monitorozási szakasz folyamatát részletezi, feltüntetve a bemeneti és kimeneti dokumentumokat is. Átlépés az akkreditálási szakaszból Folyamatos monitorozási szakasz A biztonsági intézkedések monitorozása Rendszeres (félévenkénti) biztonsági jelentés Rendkívüli biztonsági jelentés Konfiguráció kezelés A biztonsági irányelv és a biztonsági szabályzat vizsgálata nem Újra akkreditálás szükséges ? Évente felülvizsgált biztonsági irányelv és biztonsági szabályzat Soron kívül felülvizsgált biztonsági irányelv és biztonsági szabályzat igen Az újra akkreditálás indítása az
előkészületi szakasztól kezdődően Útmutató akkreditoroknak (2008, 46 oldal) 39 Útmutató akkreditorok számára 5. ábra – A folyamatos monitorozási szakasz folyamata A folyamatos monitorozási szakasz célja az informatikai rendszer biztonsági intézkedéseinek folyamatos áttekintése és nyomon követése, valamint az akkreditor tájékoztatása minden olyan változásról, mely a rendszer biztonságára hatást gyakorolhat. A fenti tevékenységet az informatikai rendszer teljes további életciklusában végezni kell. Ugyanakkor az akkreditálás megújítására is szükség lehet, az informatikai rendszerben bekövetkező jelentős változások miatt, vagy annak következtében, hogy a szabályozás rendszeres időközönként (évente) megköveteli ezt. 6.251 11. feladat: konfiguráció kezelés Ez a feladat az informatikai rendszer változásainak dokumentálását, valamint a változások biztonsági hatásának felmérését jelenti. Az informatikai
rendszerek folyamatosan változnak, a hardver, szoftver és förmver elemek cserélődnek, és a működtető környezetben is változások következhetnek be. A konfiguráció kezelési eljárások keretében megfelelő és rendszeresen aktualizált információkat kell tárolni a rendszer szolgáltatásairól, a szoftver és hardver konfigurációkról, valamint ezek dokumentációjáról. A változások dokumentálása, valamint ezek biztonságra gyakorolt hatásának rendszeres felmérése a biztonsági akkreditálás karbantartásának lényeges elvárásai. 11.1 feladat Elvégendő feladat: Felelős: Útmutatás: Az informatikai rendszer változásainak dokumentálása Az akkreditálásra vonatkozó döntéstől függően a biztonsági irányelvet és/vagy a biztonsági szabályzatot módosítani kell. a szolgáltató szervezet informatikai biztonsági felelőse Az informatikai rendszerek változásának kezelése, ellenőrzése és dokumentálása kritikus szerepet tölt be a
rendszert védő biztonsági intézkedések folyamatos felmérésében. Fontos feljegyezni a hardver, szoftver és förmver komponensekben megvalósult alábbi fontosabb változásokat: - verzió vagy kibocsátási szám, - az új vagy módosított tulajdonságok vagy kapacitások leírása, - biztonsági útmutatók. Ugyancsak fontos feljegyezni a működtető környezetben bekövetkező változásokat, mint például a fizikai elhelyezés megváltoztatása. Jelentős változtatások csak azt követően hajthatók végre, hogy felmérték ezek biztonságra gyakorolt hatását (lásd 11.2 feladat), s az esetlegesen szükségessé váló kiegészítő biztonsági intézkedéseket is megvalósították. [13] a konfiguráció kezelést mint az egyik műszaki biztonsági intézkedést tárgyalja. Hivatkozások: A konfigurációmenedzsment ajánlás [20] azt segíti elő, hogy az informatikai szolgáltatás nyújtásakor használandó eszközöket egységesen tartsák nyílván a
különböző szolgáltatók. [13]: IT biztonsági műszaki követelmények a különböző biztonsági szintekre [20]: Konfigurációmenedzsment ajánlás Útmutató akkreditoroknak (2008, 46 oldal) 40 Útmutató akkreditorok számára 11.2 feladat Elvégendő feladat: Felelős: Útmutatás: Biztonsági hatásvizsgálat Az informatikai rendszerben javasolt vagy megvalósult (hardver, szoftver, förmver és működtető környezetbeli) változások vizsgálata, ezek biztonságra gyakorolt hatásának felmérésére. a szolgáltató szervezet informatikai biztonsági felelőse A biztonsági hatásvizsgálatot számos dokumentum támogatja: [19] 6.3 alfejezete útmutatást ad a változtatások biztonságos megvalósítására, a módosítások kategorizálására, a fejlesztői bizonyíték aktualizálására és a biztonsági hatásvizsgálat elkészítésére. A konfigurációmenedzsment ajánlás [20] célja, hogy az informatikai szolgáltatás nyújtásakor használandó
eszközöket egységesen tartsák nyílván a szolgáltatók. Megvalósítása segítséget nyújt az incidens-, probléma- és a változásmenedzsment folyamatokhoz is. A változásmenedzsment ajánlása [21] célja, hogy az elektronikus közigazgatási szolgáltatásokat nyújtó szervezetek úgy legyenek képesek az informatikai szolgáltatásokat érintő folyamatos változtatások kezelésére, hogy közben a lehető legalacsonyabb szinten tartják az ezekkel kapcsolatos incidensek előfordulásának valószínűségét, biztosítják a szolgáltatások zavartalanságát és a optimalizálják a változtatásokkal járó kockázatokat. A kiadásmenedzsment ajánlás [22] célja, hogy minden az elektronikus ügyintézést támogató informatikai szolgáltatás esetében biztosítsa az azokat érintő változtatások zökkenőmentes bevezetését az éles üzembe. A problémamenedzsment ajánlás [23] célja azon tevékenységek meghatározása, melyek segítségével az
elektronikus közigazgatási szolgáltatásokkal kapcsolatos problémák és a belőlük következő incidensek elháríthatók, csökkenthető az ismétlődő incidensek száma és azon incidensek hatása, amiket nem lehet megelőzni. Az incidensmenedzsment ajánlás [24] az informatikai támogatás során előforduló incidensek kezelését segíti. Kitér a folyamat leírására és a megvalósítandó szerepkörökre is Hivatkozások: 6.252 [19]: Az értékeléssel megszerzett garancia folyamatosságának biztosítása [20]: Konfigurációmenedzsment ajánlás [21]: Változásmenedzsment ajánlás [22]: Kiadásmenedzsment ajánlás [23]: Problémamenedzsment ajánlás [24]: Incidensmenedzsment ajánlás 12. feladat: a biztonsági intézkedések folyamatos monitorozása Ez a feladat néhány biztonsági intézkedések kiválasztását, majd ezek folyamatos vizsgálatát, nyomon követését jelenti. Ez a folyamatos monitorozás segíti azoknak a lehetséges biztonsági
problémáknak az azonosítását, melyeket a konfiguráció kezelés keretében végrehajtott biztonsági hatásvizsgálat (11.2) nem tárt fel 12.1 feladat Elvégendő feladat: Biztonsági intézkedések kiválasztása Azoknak a biztonsági intézkedéseknek a kiválasztása, melyet az informatikai rendszerben folyamatosan nyomon fognak majd követni. Útmutató akkreditoroknak (2008, 46 oldal) 41 Útmutató akkreditorok számára Felelős: Útmutatás: a szolgáltató szervezet informatikai biztonsági felelőse Valamennyi biztonsági intézkedés folyamatos nyomon követése megvalósíthatatlanul bonyolult és költséges lenne. A kiválasztás szempontja kettős: - célszerű olyan biztonsági intézkedéseket kiválasztani, melyek helytelen megvalósulása kritikus hatást gyakorolna az informatikai rendszerre, - célszerű műszaki és üzemeltetési intézkedéseket egyaránt kiválasztani, - idővel érdemes változtatni a kiválasztott biztonsági intézkedéseket,
hogy hosszabb távon minél nagyobb mintára valósuljon meg a nyomon követés. A kiválasztandó biztonsági intézkedésekre javaslatot fogalmazhatnak meg az audit és a rendszer értékelési jelentésben is. --- Hivatkozások: 12.2 feladat Elvégendő feladat: Felelős: Útmutatás: A kiválasztott biztonsági intézkedések felmérése Annak ellenőrzése, hogy a kiválasztott biztonsági intézkedéseket helyesen valósították-e meg, a tervezettnek megfelelően működnek-e, illetve a kívánt eredményeket biztosítják-e. a szolgáltató szervezet informatikai biztonsági felelőse Az ellenőrzés különböző módszerekkel hajtható végre (pl. biztonsági átvilágítással, önértékeléssel, biztonsági teszteléssel, értékeléssel, auditálással), az informatikai biztonsági felelős belátásától függően. Ugyanakkor az alkalmazott ellenőrzési (nyomon követési) módszereket dokumentálni kell, s a felmérés eredményeit a következő auditálási és
értékelési eljárás számára elérhetővé tenni. Amennyiben a felmérés helytelen megvalósítást, a tervezettől eltérő működést, vagy nem megfelelő eredmény jelzést tárnak fel, akkor (nem megvárva a következő újra akkreditálási szakaszt) kiegészítő vagy javító intézkedéseket kell hozni a problémák kezelésére. --- Hivatkozások: 6.253 13. feladat: a biztonsági állapot jelentése és dokumentálása Ez a feladat a biztonsági irányelv és biztonsági szabályzat karbantartására, valamint a biztonsági állapot (akkreditor és a szolgáltató szervezet vezetője felé történő) jelentésére vonatkozik. Az akkreditor az állapot jelentések alapján határozhatja meg az újra akkreditálás szükségességét. 13.1 feladat Elvégendő feladat: Felelős: Útmutatás: A biztonsági irányelv és biztonsági szabályzat karbantartása A biztonsági irányelv és a biztonsági szabályzat módosítása az informatikai rendszer dokumentált
(hardver, szoftver, förmver és működtető környezetbeli) változásai, valamint a folyamatos monitorozás eredményei alapján. a szolgáltató szervezet informatikai biztonsági felelőse A biztonsági irányelvnek és a biztonsági szabályzatnak a lehető legnagyobb mértékben aktuális információkat kell tartalmazniuk. Következésképpen a bekövetkező változásoknak idővel meg kell jelenniük ebben a két alap dokumentumban. A biztonsági irányelv és a biztonsági szabályzat módosításának gyakoriságát az informatikai biztonsági felelős az alábbi két ellentétes szempont mérlegelésével határozza meg: - a lényeges változások minél hamarabbi megjelenítése a dokumentumokban, Útmutató akkreditoroknak (2008, 46 oldal) 42 Útmutató akkreditorok számára - a felesleges papírmunka elkerülése. Hivatkozások: 13.2 feladat Elvégendő feladat: Felelős: Útmutatás: Hivatkozások: 13.3 feladat Elvégendő feladat: Felelős: Útmutatás:
Hivatkozások: A biztonsági irányelv és a biztonsági szabályzat karbantartásának jelentőségét az adja meg, hogy a későbbi auditálási, értékelési eljárások ismételten visszatérnek ezekhez, mint a vizsgálandó alap követelményeket tartalmazó dokumentumokhoz. [1]: 84/2007. (IV 25) kormányrendelet Tájékoztató jelentés a biztonságról Az akkreditor számára rendszeres időközönként (félévente) vagy soron kívül (jelentős biztonsági esemény bekövetkezése esetén) jelentés készítése az informatikai rendszer biztonsági állapotáról. a szolgáltató szervezet informatikai biztonsági felelőse A biztonsági jelentésnek a következőket kell tartalmaznia: - a biztonsági irányelv és a biztonsági szabályzat változásai, - az informatikai biztonsági eljárásrendek működése, - bekövetkezett jelentős biztonsági esemény. A fentiekhez a jelentést készítő informatikai biztonsági felelősnek az alábbi szempontokat kell figyelembe
vennie (s ezeket érdemes külön-külön meg is jelenítenie) a tájékoztatásban: - az informatikai rendszerben megvalósult (hardver, szoftver, förmver és működtető környezetbeli) változások, - a változások biztonsági hatásvizsgálatának következtetései, - a folyamatos monitorozás eredményei, - a bekövetkezett biztonsági esemény kritikussága. [1]: 84/2007. (IV 25) kormányrendelet Kockázat elhárítás Az akkreditor egy biztonsági jelentés (13.2) alapján külön vizsgálatot kezdeményezhet. Akkreditor Külön vizsgálat kezdeményezése az alábbi esetekben indokolt: - a biztonsági irányelv és a biztonsági szabályzat jelentős megváltozása, - az informatikai rendszerben megvalósult, a biztonságra jelentős hatást gyakoroló változások, - a folyamatos monitorozás jelentős biztonsági kockázatot - feltáró eredményei. - soron kívül jelentett kritikus biztonsági esemény. A külön vizsgálat eredményei az alábbiak lehetnek: -
felülvizsgált és jóváhagyott biztonsági irányelv és a - biztonsági szabályzat, - újra akkreditálás eljárásának kezdeményezése, - a szolgáltatás felfüggesztése a kockázat elhárításáig. [1]: 84/2007. (IV 25) kormányrendelet Útmutató akkreditoroknak (2008, 46 oldal) 43 Útmutató akkreditorok számára 7. Melléklet: A biztonsági akkreditálás feladatainak áttekintése Az alábbi táblázat áttekinti a 6.2 alfejezetben részletezett biztonsági akkreditálási folyamat feladatait , s ezek felelőseit. Sorszám 1. Feladat 2. Feladat Elnevezés Előkészítés Az informatikai rendszer leírása Biztonsági kategorizálás A fenyegetések azonosítása A sebezhetőségek azonosítása A biztonsági intézkedések meghatározása Értesítés és a szükséges erőforrások meghatározása 2.1 feladat Az érintettek értesítése IB felelős IB felelős IB felelős IB felelős IB felelős 2.2 feladat Az akkreditáláshoz szükséges erőforrások
meghatározása IB felelős IBF, IB felelős, AV, ÉV 3.1 feladat 3.2 feladat 3.3 feladat 3.4 feladat 4. Feladat 4.1 feladat 4.2 feladat 4.3 feladat 4.4 feladat 5. Feladat 5.1 feladat 6. Feladat 6.1 feladat 6.2 feladat 6.3 feladat 6.4 feladat 7. Feladat 7.1 feladat 9. Feladat 10. Feladat 11. Feladat Felelős 1.1 feladat 1.2 feladat 1.3 feladat 1.4 feladat 1.5 feladat 3. Feladat 8. Feladat Előkészületi szakasz A biztonsági irányelv és biztonsági szabályzat vizsgálata és elfogadása A biztonsági kategorizálás áttekintése A biztonsági irányelv és a biztonsági szabályzat vizsgálata A biztonsági irányelv és a biztonsági szabályzat módosítása A biztonsági irányelv és a biztonsági szabályzat elfogadása Auditálási és értékelési szakasz A szervezet auditálása Dokumentáció és egyéb támogató anyagok A korábbi auditálási eredmények felhasználása Auditálási terv készítése Az auditálás végrehajtása Audit jelentés Audit
jelentés készítése Az informatikai rendszer értékelése Rendszer biztonsági előirányzat és egyéb értékelési bizonyítékok A korábbi értékelési eredmények felhasználása Értékelési terv készítése Az értékelés végrehajtása Rendszer értékelési jelentés Rendszer értékelési jelentés készítése Intézkedési terv 8.1 Intézkedési terv készítése 8.2 Akkreditálás kérelmezése Akkreditálási szakasz Döntés a biztonsági akkreditálásról 9.1 A maradvány kockázat meghatározása 9.2 Döntés a maradvány kockázat elfogadhatóságáról A döntés indoklása 10.1 A döntés határozatba foglalása 10.2 A biztonsági irányelv és biztonsági szabályzat módosítása Folyamatos monitorozási szakasz Konfiguráció kezelés 11.1 Az informatikai rendszer változásainak dokumentálása 11.2 Biztonsági hatásvizsgálat Útmutató akkreditoroknak (2008, 46 oldal) IBF, AV, ÉV IBF, AV, ÉV IB felelős IBF IB felelős IB felelős, AV AV AV AV
IB felelős IB felelős, ÉV ÉV ÉV ÉV IB felelős IB felelős IBF IBF IBF IB felelős IB felelős IB felelős 44 Útmutató akkreditorok számára 12. Feladat 13. Feladat A biztonsági intézkedések folyamatos monitorozása 12.1 Biztonsági intézkedések kiválasztása 12.2 A kiválasztott biztonsági intézkedések felmérése A biztonsági állapot jelentése és dokumentálása 13.1 A biztonsági irányelv és biztonsági szabályzat karbantartása 13.2 Tájékoztató jelentés a biztonságról 13.3 Kockázat elhárítás IB felelős IB felelős IB felelős IB felelős IBF 8. Bibliográfia - 9. Rövidítésgyűjtemény Jelen dokumentum a 2. táblázatban bemutatott rövidítéseket használja 2. táblázat – A dokumentumban használt rövidítések Rövidítés AV CC ÉV IB felelős IBF IT KIB MIBA MIBÉTS Angol jelentés --Common Criteria ------Information Technology ------- Magyar jelentés Az auditálás vezetője Közös szempontok Az értékelés vezetője
Informatikai biztonsági felelős Informatikai biztonsági felügyelő (akkreditor) Információs technológia, informatika Közigazgatási Informatikai Bizottság Magyar Informatikai Biztonsági Ajánlások Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma 10. Fogalomtár - 11. Ábrák 1. ábra – A biztonsági akkreditálás folyamatának áttekintése 2. ábra – Az előkészületi szakasz folyamata 3. ábra – Az auditálási és értékelési szakasz folyamata 4. ábra - Az akkreditálási szakasz folyamata 5. ábra – A folyamatos monitorozási szakasz folyamata 12. Képek - Útmutató akkreditoroknak (2008, 46 oldal) 45 Útmutató akkreditorok számára 13. Táblázatok 1. táblázat – A rendelkező hivatkozások elérhetősége 2. táblázat – A dokumentumban használt rövidítések 14. Verziószám V1 Útmutató akkreditoroknak (2008, 46 oldal) 46