11/2009. (X. 9.) ÖM utasítás

az Önkormányzati Minisztérium Informatikai Biztonsági Szabályzatáról

2009.10.17.

A minisztérium informatikai rendszereinek védelmére a központi elektronikus szolgáltató rendszer és a kapcsolódó rendszerek biztonsági követelményeiről szóló 84/2007. (IV. 25.) Korm. rendelet 2. §-a (2) bekezdésének b) pontja figyelembevételével kiadom az alábbi utasítást.

1. Az Önkormányzati Minisztérium Informatikai Biztonsági Szabályzatát ezen utasítás mellékletében foglaltak szerint határozom meg.

2. Az informatikai biztonság megteremtése és fenntartása érdekében az Önkormányzati Minisztérium Informatikai Biztonsági Szabályzatát évente rendszeresen felül kell vizsgálni, illetve az informatikai rendszerek működtetése és szabályozása terén bekövetkező jelentős változások esetén szükség szerint aktualizálni kell.

3. Ez az utasítás a közzétételét követő nyolcadik napon lép hatályba.

Varga Zoltán s. k.,
önkormányzati miniszter

Az Önkormányzati Minisztérium Informatikai Biztonsági Szabályzata

1. Az Informatikai Biztonsági Szabályzat (a továbbiakban: Szabályzat) kiadásának célja:

a) az Önkormányzati Minisztérium (a továbbiakban: ÖM) stratégiája és feladatai megvalósulásának elősegítése;

b) az ÖM tulajdonában lévő, illetve az általa üzemeltetett informatikai rendszerek által kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását, illetve az informatikai rendszerek sértetlenségét és rendelkezésre állását fenyegető veszélyekkel szemben foganatosítandó védelmi tevékenységek szabályozása a Szabályzat útján;

c) a biztonságpolitika által meghatározott esetekben az ÖM által fejlesztett, üzemeltetett informatikai rendszereknél a fejlesztők, az üzemeltetők és a felhasználók által megvalósítandó biztonsági tevékenységekre egységes keretszabályok és értelmezések megadása;

d) az ÖM tulajdonában lévő, illetve az általa üzemeltetett informatikai rendszerekre vonatkozó biztonsági előírások teljes körű keretszabályozása:

da) azok teljes életciklusára (az előkészítés, a megvalósítási projekt, az üzemeltetés és a rendszerből történő kivonás fázisaira),

db) az informatikai rendszerek és környezetük minden elemére,

dc) az informatikai rendszerek infrastruktúra- és alkalmazási szintjeire,

dd) a központi és végponti számítástechnikai erőforrásokra.

I. Általános rendelkezések

A Szabályzat hatálya

2. A Szabályzat személyi hatálya a következő személyekre terjed ki:

a) az ÖM minden köztisztviselőjére, ügykezelőjére, berendelt vagy vezényelt hivatásos állományú munkatársára (a továbbiakban: az ÖM munkatársai),

b) az ÖM informatikai rendszerével, szolgáltatásaival szerződéses, vagy más módon kapcsolatba kerülő természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban: külső személy) a velük kötött szerződésben rögzített mértékben, illetve a titoktartási nyilatkozat alapján.

3. A Szabályzat tárgyi hatálya az ÖM tulajdonában lévő vagy az általa üzemeltetett valamennyi meglévő és a jövőben fejlesztendő informatikai rendszerre, illetve azok környezetét alkotó rendszerelemekre terjed ki, azok teljes életciklusában (az előkészítéstől a rendszerből történő kivonásig), kivéve a minősített adatokat (államtitkot vagy szolgálati titkot) kezelő rendszereket.

4. Fogalmak és meghatározások

4.1. Adat: az információnak olyan új formában való ábrázolása, amely alkalmas közlésre, értelmezésre, vagy feldolgozásra. Tények, fogalmak vagy utasítások formalizált ábrázolása, amely alkalmas az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra. (MSZ ISO 2382-1). A számítástechnikában 1. a számítógépes állományok meghatározott része (minden, ami nem program). 2. Adat mindaz, amivel a számítógépek a kommunikációjuk során foglalkoznak (kimenő és bemenő adat).

4.2. Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

4.3. Adatkezelés: az adatok gyűjtése, felvétele, tárolása, feldolgozása (megváltoztatása, átalakítása, összegzése, elemzése stb.), továbbítása, törlése, hasznosítása (ideértve például a nyilvánosságra hozatalt is), és felhasználásuk megakadályozása.

4.4. Adatállomány: az informatikai rendszerben logikailag összetartozó, együtt kezelt adatok.

4.5. Adatátvitel: az adatok informatikai rendszerek, rendszerelemek közötti továbbítása.

4.6. Adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.

4.7. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából adatok feldolgozását végzi.

4.8. Adatgazda: aki jogosult minősítés vagy osztályba sorolás elvégzésére, felelős az általa kezelt adatokért.

4.9. Adatkezelés: az alkalmazott eljárástól függetlenül az adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása.

4.10. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg.

4.11. Adattal rendelkezés: a birtokban tartás, az adat alapján további adat készítése, az adat másolása, sokszorosítása, a betekintés engedélyezése, a feldolgozás és felhasználás, a minősítés (biztonsági osztályba sorolás), a minősítés (biztonsági osztályba sorolás) felülvizsgálata, a minősítés (biztonsági osztályba sorolás) felülbírálata, a nyilvánosságra hozatal, a titoktartási kötelezettség alóli felmentés, megismerési engedély kiadása.

4.12. Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik.

4.13. Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges.

4.14. Adatvédelem: az adatkezelés során érintett természetes személyek jogainak és érdekeinek védelmére és az adatkezelés során felmerülő eljárásokra vonatkozó szabályozások és eljárások.

4.15. Adminisztratív védelem: szervezési és szabályozási úton megvalósított védelem.

4.16. Akkreditálás: olyan eljárás, amelynek során egy erre feljogosított testület hivatalos elismerését adja annak, hogy egy adott szervezet vagy személy felkészült és alkalmas bizonyos tevékenységek elvégzésére.

4.17. Alkalmazás, alkalmazói program: olyan program, amelyet az alkalmazó saját speciális céljai elérése érdekében vezet be, és amely a hardver- és az üzemi rendszer funkcióit használja.

4.18. Behatolás: védett rendszerbe jogosulatlan belépés a védelem megkerülésével, vagy védelmi hiba kihasználásával.

4.19. Bejelentkezés: a felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen az informatikai rendszer funkcióinak használata lehetővé válik.

4.20. Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.

4.21. Biztonság: a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet valósít meg.

4.22. Biztonsági esemény: az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült vagy megsérülhet.

4.23. Biztonsági követelmények: A kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese.

4.24. Biztonsági mechanizmus: olyan eljárás, módszer vagy megoldási elv – ami lehet számítástechnikai műszaki tartalmú is – amely valamilyen biztonsági követelmény(eke)t valósít meg.

4.25. Biztonsági osztályba sorolás: az adatnak az adatkezelés során a kezelés módjára, körülményeire, a védelem eszközeire vonatkozó védelmi szintet meghatározó besorolása, osztályozása.

4.26. Crack: a programok védelmének feltörése, kijátszása. A crack eredeti jelentése: valami keménynek (pl. dióhéjnak) az összeroppantása, feltörése.

4.27. Cracker: az informatikai rendszerbe informatikai eszközöket használva, direkt rombolási céllal betörő személy.

4.28. DoS vagy DDoS: (Distributed Denial of Service) egy szerver tömeges szolgáltatási igénnyel való túlterhelése, ami a felhasználók hozzáférését akadályozza, akár a szerver teljes leállásához is vezethet.

4.29. Elektronikus aláírás: az informatikai rendszerben kezelt adathoz csatolt, rejtjelezéssel előállított jelsorozat, amely az adat hitelességének és sértetlenségének bizonyítására használható.

4.30. Érzékeny adat: államtitok, szolgálati titok, üzleti titok, különleges személyes adat.

4.31. Felhasználó: személy vagy szervezet, aki (amely) egy adott számítástechnikai eszközt igénybe vesz.

4.32. Fenyegetés: a biztonság megsértésének lehetősége.

4.33. Fenyegetettség: olyan állapot, amelyben az erőforrások felfedésre, módosításra vagy elpusztításra kerülhetnek.

4.34. Féreg: olyan program, amely romboló hatását önmaga – a számítógép összeomlásáig tartó – reprodukálásával éri el.

4.35. Fizikai védelem: az anyagi térben megvalósuló támadások elleni védelem. A fizikai védelem fontosabb területei: mechanikai védelem, elektronikai jelzőrendszer, élőerős védelem, beléptető rendszer, megfigyelő rendszer, tápáramellátás, túlfeszültség- és villámvédelem, tűzvédelem.

4.36. Folyamatosság: a tevékenységet biztosító rendszerek, szolgáltatások zavarmentes rendelkezésre állása.

4.37. Folytonos védelem: folytonos a védelem, ha az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul.

4.38. Funkcionalitás: az informatikai rendszerelem (ideértve az adatot is) tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a kezelési céloknak megfelel és használható.

4.39. Gyenge pont: az informatikai rendszerelem olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat.

4.40. Hacker: az informatikai rendszerbe informatikai eszközöket használva, kifejezett ártó szándék nélkül betörő személy. A tömegkommunikációban helytelenül minden számítógépes bűnözőre használják. Eredeti jelentése szerint a hacker olyan mesterember, aki fából tárgyakat farag.

4.41. Hálózat: informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége.

4.42. Hash-függvény: olyan transzformáció, amely egy tetszőleges hosszú szöveg egyedi, az adott szövegre jellemző fix hosszúságú digitális sűrítményét készíti el.

4.43. Helyreállítás: a katasztrófa következtében megsérült erőforrások eredeti állapotának biztosítása, eredeti helyen.

4.44. Hitelesítésszolgáltató: olyan mindenki által megbízhatónak tartott, szakosodott szervezet, amely tanúsítványokat adhat ki. Elektronikus vagy digitális közjegyzőnek is nevezik. A hitelesítő hatóság egy harmadik személy, amelyet partnerek közössége megbíz azzal, hogy ellenőrizze a kulcsok biztonságos és szakszerű allokációját. Szimmetrikus kulcsrendszerben, ahol mindkét partner ugyanazt a titkos kulcsot használja, a CA generálhatja a titkos kulcsot és megküldheti azt a partnereknek. Az aszimmetrikus rendszerben a hitelesítő hatóság generálhatja és küldheti a titkos kulcsot az engedélyezett feladónak, illetve a nyilvános kulcsot a közösség tagjainak.

4.45. Hitelesség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.

4.46. Hoax: olyan e-mail, ami valamilyen új – általában fiktív – vírus terjedésére figyelmeztet, és a fertőzés megakadályozása érdekében egy vagy több fájl törlésére ösztönöz (ezek azonban a rendszer működéséhez szükséges, de kevésbé ismert állományok). Az e-mail továbbküldésére is buzdít, hogy a levéláradat – lánclevél – szűk keresztmetszetet generáljon a hálózaton.

4.47. Hozzáférés: olyan eljárás, amely valamely informatikai rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat.

4.48. Hozzáférés-ellenőrzési lista: olyan lista, mely meghatározza, hogy az adott erőforráshoz, szolgáltatáshoz, eszközhöz stb. milyen hozzáférési jogosultságok kerültek definiálásra.

4.49. Illetéktelen személy: aki az adat megismerésére nem jogosult.

4.50. Információ: tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat, vagy ismeret (adat), amely valakinek a tudását, ismeretkészletét, annak rendezettségét megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságot csökkent vagy szüntet meg.

4.51. Információs önrendelkezési jog: az egyén joga arra, hogy ellenőrizze vagy befolyásolja azt, hogy ki és milyen vele kapcsolatos adatot kezelhet.

4.52. Információvédelem: az informatikai rendszerekben kezelt adatok által hordozott információk bizalmasságának, hitelességének és sértetlenségének védelme.

4.53. Informatikai biztonság: az informatikai biztonság az informatikai rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

4.54. Informatikai katasztrófaterv: egy katasztrófa bekövetkezése esetén keletkező vagyoni, és nem vagyoni kárkövetkezmények elhárítására készített intézkedési terv.

4.55. Informatikai rendszer: információs, ügyviteli, üzletviteli vagy egyéb folyamat, szolgáltatás működését támogató elektronikus adatfeldolgozó eszközök és eljárások, valamint az ezeket kiszolgáló emberi erőforrások és a kapcsolódó folyamatok összessége. Az informatikai rendszerek közé tartoznak az általános célú számítógépek és a célszámítógépek, de nem soroljuk ide a numerikus_vezérlésű eszközöket (pl. robotok, szerszámgépek), a különböző eszközöket vezérlő mikroprocesszoros rendszereket, a processzorvezérelt gépeket (pl. motorelektronika), a zsebszámológépeket és a játékkomputereket.

4.56. Internet: a TCP/IP-protokollon alapuló, nyilvános, világméretű számítógépes hálózat. Az Internet a szolgáltatások széles skáláját nyújtja felhasználóinak (FTP, Gopher, IRC, e-mail, Telnet, UCP, WWW stb.).

4.57. Jelszó: védett karakterfüzér, amelyet a felhasználói névvel együtt használva a belépni szándékozót azonosítja.

4.58. Katasztrófaelhárítás-tervezés: az informatikai rendszer rendelkezésre állásának megszűnése vagy nagy mértékű csökkenése utáni visszaállításra vonatkozó tervezés.

4.59. Kiesési idő: az információrendszer leállásától a következő elérési lehetőségig eltelő idő.

4.60. Kockázat: a fenyegetettség mértéke, amely valamely fenyegető tényezőből ered, és amelyet a kockázatelemzés során a fenyegető tényezők értékelése révén tárunk fel. A kockázat a kárnagyság és a bekövetkezési valószínűség (gyakoriság) szorzata.

4.61. Kockázatelemzés: a kockázatelemzés olyan elemző és értékelő jellegű szakértői vizsgálat, amely az informatikai rendszerekben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a potenciális kárértékeket és azok bekövetkezési gyakoriságát.

4.62. Kockázatmenedzsment: védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a maradványkockázatok elviselhető szintűre csökkennek.

4.63. Kockázattal arányos védelem: a kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel.

4.64. Kriptoanalízis (kriptográfiai bevizsgálás): a rejtjeles üzenet illetéktelenek általi, azaz a rejtjelező eljárás, illetve a kulcsok ismerete nélkül, vagy azok részleges ismeretében az eredeti üzenet visszaállításának kísérlete.

4.65. Kriptográfia: mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak kutatását, alkalmazását jelenti, amelyek az információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak megvédeni.

4.66. Kriptológia: a kriptoanalízis és a kriptográfia elméletének és gyakorlatának együttese.

4.67. Kulcs: a kriptológiában a rejtjelezés és a megfejtés műveleteihez használt szimbólumok sorozata. Az adatbázis-kezelésben egy rekord vagy rekordcsoport azonosítója. A mechanikai védelemben a zárak nyitásához és zárásához használt eszköz.

4.68. Kulcsmenedzsment: a kriptográfiában a rejtjelezés és a megfejtés műveleteihez használt kulcsok előállítása, tárolása, szétosztása, törlése, archiválása és alkalmazása, illetve ezek szabályrendszere.

4.69. Logikai bomba: olyan programrészlet, amely logikailag (funkcionálisan) nem várt hatást fejt ki. Jelentkezése váratlan, hatása pusztító – innen a bomba kifejezés.

4.70. Logikai védelem: az informatikai rendszerben informatikai eszközökkel megvalósított védelem. A logikai védelem fontosabb területei: azonosítás és hitelesítés, hozzáférés-jogosultsági rendszer, hozzáférés-ellenőrzési rendszer, bizonyítékok rendszere.

4.71. Makrovírus: olyan dokumentumhoz csatolt (abban tárolt) makrónyelven írt vírus, amely a dokumentumot kezelő és a makrót használni képes alkalmazáshoz kötődik. Hatását a dokumentum használata során fejti ki.

4.72. Megoldás: a rejtjeles üzenet legális címzettje által, az eljárás ismeretében az eredeti üzenet visszaállítása.

4.73. Megszemélyesítés: egy entitás (személy, program, folyamat stb.) magát más entitásnak tünteti fel.

4.74. Minősítés: az a döntés, melynek meghozatala során az arra felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó titokkörbe tartozik.

4.75. Működésfolytonosság: az informatikai rendszer üzemi működése folytonosságának azon szintje, amely során a kiesési kockázati szint a szervezet számára elviselhető.

4.76. Nyilvános kulcsú infrastruktúra: a hitelesítésszolgáltatók nemzetközi feltételeket, szabványokat kielégítő a biztonságos rejtjelzés módszereinek, a személyzetre, a fizikai és az informatikai környezetre kiterjedő infrastruktúrája.

4.77. Nyilvános kulcsú rendszer: olyan kriptográfiai rendszer, amelynek a résztvevői közös algoritmust használnak a rejtjelezésre és a megoldásra. A rejtjelező algoritmusnak két – a használótól függő – kulcsa van. Ezek egyikét (nyilvános kulcs) nevükkel együtt nyilvánosságra hozzák, a másikat titokban tartják (titkos kulcs). A kulcsok egyikét a rejtjelezésre, a másikat a megoldásra használják.

4.78. Nyilvánosságra hozatal: az adatnak meghatározhatatlan körben, mindenki részére biztosított megismerhetővé, hozzáférhetővé tétele.

4.79. Program: a számítógépes utasítások logikailag és funkcionálisan összetartozó sorozata.

4.80. Programhiba: az informatikai program leírástól eltérő működése.

4.81. Rejtjelezés: nyílt üzenet kódolása kriptográfiai eljárással, eszközzel vagy módszerrel. A rejtjelzés eredménye a rejtjeles üzenet.

4.82. Rendelkezésre állás: az adat, illetve az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható.

4.83. Rendszerelemek: az adatokat körülvevő, az informatikai rendszer részét képző elemek. Rendszerelemcsoportok:

a) az informatikai rendszer környezetét alkotó infrastruktúra,

b) az informatikai rendszer hardverelemei,

c) az informatikai rendszer szoftverelemei,

d) az informatikai rendszer kommunikációs elemei,

e) adathordozók,

f) input és output dokumentumok, az informatikai rendszerre vonatkozó dokumentációk,

g) az informatikai rendszerben részt vevő emberi erőforrások.

4.84. Rendszerprogram (rendszerszoftver): az operációs rendszer részeként futó programok.

4.85. RSA-rejtjelezés: Ronald Rivest, Adi Shamir és Leonard Adleman 1978-ban szabadalmazott nyilvános kulcsú kriptográfiai algoritmusa.

4.86. Sebezhetőség: A veszélyforrás képezte sikeres támadás bekövetkezése esetén az erőforrások sérülésének lehetősége.

4.87. Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség) és a származás megtörténtének bizonyosságát (letagadhatatlanság) is, illetve a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható.

4.88. SET (Secure Electronic Transaction) protocol: az e-üzlet biztonságos elektronikus tranzakciói céljára, kártyakibocsátó és informatikai vállalkozások által közösen kifejlesztett kommunikációs protokoll, amelynek használata a felek közötti rejtett adatátvitelt és a felek biztonságos hitelesítését szolgálja.

4.89. SSL (Secure Socket Layer): a Netscape által kifejlesztett nyílt szabványajánlás biztonságos kommunikációs csatorna létrehozására a kritikus adatok védelme érdekében.

4.90. Számítógépes bűnözés: haszonszerzés vagy károkozás céljából, az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása ellen irányuló vagy informatikai eszközök felhasználásával elkövetett bűncselekmények összefoglaló megnevezése.

4.91. Szimmetrikus rejtjelező eljárás: a rejtjelezésre és megoldásra egyetlen kulcsot használó rejtjelező eljárás. A megoldó algoritmus nem feltétlenül egy fordított sorrendben végrehajtott rejtjelezés.

4.92. Támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény. Támadás alatt nem csak a személyek, szervezetek által elkövetett támadásokat, de áttételesen a gondatlanságból, nem szándékosan kiváltott veszélyeztetéseket és a környezeti, természeti fenyegetéseket is értjük. A támadás legtöbbször nem közvetlenül éri a védett értéket, hanem a körülményektől függő támadási útvonalon zajlik le.

4.93. Teljes körű védelem: teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed.

4.94. Trójai faló: olyan kártékony program, amelyet alkalmazásnak, játéknak, szolgáltatásnak álcáznak. Futtatásakor károkozó tevékenységet fejt ki.

4.95. Üzletmenet-folytonosság tervezés: az informatikai rendszer rendelkezésre állásának olyan szinten történő fenntartása, hogy a kiesésből származó károk a szervezet számára még elviselhetőek legyenek.

4.96. Vírus: olyan programtörzs, amely a megfertőzött program alkalmazása során másolja, esetleg mutálja is önmagát. Valamilyen beépített feltétel bekövetkezésekor többnyire romboló, néha csak figyelmeztető vagy „tréfás” hatású kódja is elindul. Többnyire komoly károkat okoz, adatot töröl, formázza a merevlemezt, vagy adatállományokat küld szét e-mailben.

4.97. Warez-oldal: illegális szoftvermásolatok (az eredeti programba épített másolásvédelmet vagy regisztrációt kijátszva/semlegesítve, és ezáltal bárki számára használhatóvá téve azt) közzétételére fenntartott internetes oldal – warez-site –, ahonnan e programok ingyenesen letölthetők.

4.98. Zárt védelem: zárt a védelem, ha az összes releváns fenyegetést figyelembe veszi.

II. Biztonságpolitika

Informatikai biztonságpolitika

5.1. Az ÖM vezetőinek feladata az informatikai rendszerek, valamint az azokban kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának zárt, teljes körű és folytonos, valamint a kockázatokkal arányos védelme, azaz az informatikai biztonság megteremtése, fenntartása. Ennek érdekében közreműködnek a szükséges utasítások, rendelkezések, valamint szabályzatok kiadásában és gondoskodnak a védelem adminisztratív, személyi biztonsági, technikai, fizikai, kommunikációs, ellenőrzési rendszerének karbantartásáról, kiépítéséről és működtetéséről, továbbá ehhez biztosítják hatáskörükhöz mérten a szükséges anyagi, technikai, információs és emberi erőforrásokat.

5.2. Az informatikai biztonság területén a Közigazgatási Informatikai Bizottság 25. számú ajánlását és a Magyar Informatikai Biztonsági Ajánlásokat kell alkalmazni. El kell készíteni az ÖM tulajdonában levő adatvagyon leltárát, fel kell mérni az informatikai elemek érzékenységét.

6. Az informatikai biztonságpolitika áttekintésének és fejlesztésének koordinálásáért az informatikai biztonságért felelős vezető felel. Az eredeti szabályozás alapjait érintő minden változás (új káresemények, új veszélyhelyzetek, a szervezeti és a műszaki infrastruktúra átalakítása) esetén soron kívüli új vizsgálatra, elemzésre van szükség.

Szervezeti biztonság

7. Biztonsági fórum: a biztonsági fórum feladatát a miniszteri értekezlet tölti be. Hatáskörébe tartozik az informatikai biztonság területén:

a) az informatikai biztonsági irányelvek és feladatok vizsgálata, jóváhagyása,

b) az információs erőforrások súlyos veszélyhelyzeteknek való kitettségében bekövetkező jelentős változások nyomon követése,

c) az informatikai biztonsági események nyomon követése,

d) az informatikai biztonság fokozását szolgáló jelentős kezdeményezések jóváhagyása.

8. Az informatikai biztonságért felelős vezető: az ÖM informatikai biztonságért felelős vezetőjének feladatát a Jogi Főosztály vezetője (a továbbiakban: informatikai biztonságért felelős vezető) látja el. Általános feladata az ÖM-nél üzemeltetetett informatikai rendszerek védelmével összefüggő tevékenységek jogszabályokkal való összhangjának megteremtése és fenntartása, ennek tervezése, szervezése, irányítása, koordinálása és ellenőrzése. Feladatait külső munkatársak, szakértők bevonásával is elláthatja. Gondoskodik az informatikai biztonságra vonatkozó jogszabályok, illetve az Informatikai Biztonsági Szabályzat végrehajtásáról, e körben szabályozási koncepciókat, szabályzattervezeteket készít, az ÖM szervezeti egységének megkeresésére vagy saját hatáskörben szakmai állásfoglalást ad ki. Az informatikai biztonság szempontjából véleményezi az ÖM szabályzatait. Az informatikai biztonságot érintő jogszabályi változások és a gyakorlati tapasztalatok alapján javaslatokat készít az ÖM szabályzatainak módosítására, kezdeményezi új szabályzatok kibocsátását. Gondoskodik az informatikai biztonságra vonatkozó rendelkezések betartásának éves ellenőrzéséről, a lefolytatott ellenőrzések, vizsgálatok eredményéről tájékoztatja az ÖM hatáskörükben érintett vezetőit.

9.1. Az informatikai biztonsági felelős feladatát a Pénzügyi Erőforrás-gazdálkodási Főosztály (a továbbiakban: PEF) vezetője, vagy az általa megbízott személy látja el. Általános feladata az ÖM-nél üzemeltetetett informatikai rendszerek védelmével összefüggő tevékenységek koordinálása és ellenőrzése. Informatikai eszközök, alkalmazások beszerzéséhez vagy fejlesztéséhez a hozzájárulását ki kell kérni.

9.2. Az informatikai biztonsági felelős feladatai az informatikai biztonság területén:

a) felméri és elemzi az ÖM működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat,

b) kidolgozza és döntésre előterjeszti:

ba) a veszélyforrások felmérése alapján az intézkedési tervet;

bb) az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat;

bc) az informatikai biztonsági tevékenység végzésének személyi, tárgyi, anyagi stb. terveit;

c) részt vesz:

ca) a rendkívüli események kezelésére szolgáló tervek elkészítésében, azok naprakészen tartásában,

cb) az informatikai biztonság szempontjából fontosnak minősített munkakörök betöltési szabályainak, feltételeinek meghatározásában,

cc) a biztonsági követelmények és az előírások betartásának ellenőrzésében.

d) véleményezi az informatikai eszközök és alkalmazások beszerzési és fejlesztési igényeit,

e) tervezi az informatikai biztonságra vonatkozó oktatást,

f) szükség esetén javaslatokat tesz a megfelelő informatikai biztonsági intézkedésekre, valamint a biztonságos működéssel összefüggő szabályok megváltoztatására,

g) ellenőrzi az informatikai biztonsági előírások végrehajtását.

9.3. Az informatikai biztonsági felelős jogosult:

a) a vizsgálati tevékenysége során, az ÖM tulajdonában, használatában vagy a területén lévő, illetve az ÖM-re vonatkozó bármilyen (államtitkot vagy szolgálati titkot nem tartalmazó) iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába betekinteni,

b) az ÖM tulajdonában lévő, vagy általa bérelt épületben és azon belül minden – az ÖM tulajdonában, kezelésében vagy használatában lévő – helyiségben az informatikai eszközök vizsgálatára,

c) indoklás nélkül bármilyen adatkezelési tevékenység azonnali – jelentési kötelezettség melletti – leállítására, számítógépes vagy más adathordozó elzárására és a munkatársak (alkalmazotti, vállalkozói vagy szerződéses kapcsolatban álló) további adatkezelési tevékenységének felfüggesztésére.

9.4. A jogosultságok gyakorlása során az érintettek személyiségi jogait tiszteletben kell tartani és minden esetben jegyzőkönyvet kell felvenni.

Az adatfeldolgozás engedélyezési eljárásai

10. Az adatfeldolgozást az adatgazda csak akkor engedélyezheti, ha az – legalább – az adatkörök biztonsági osztályba sorolásának megfelelő adatfeldolgozó eszközökön történik. Az új adatfeldolgozási eszközökre és lehetőségekre vonatkozó engedélyezési eljárásban a következőket kell figyelembe venni:

a) új adatfeldolgozási eszközökre és lehetőségekre vonatkozó jóváhagyás csak abban az esetben adható meg, ha azok megfelelnek az előírt biztonsági elvárásoknak,

b) ellenőrzéssel kell meggyőződni a hardver-, szoftvereszközök és más rendszerösszetevők kompatibilitásáról.

Informatikai biztonsági tanácsadás

11. Az ÖM szervezetei részére informatikai biztonsági szakértői támogatást az informatikai biztonságért felelős vezető biztosít. Amennyiben a minisztérium belső erőforrásai nem elegendőek, vagy a feladat speciális jellege nem teszi azt lehetővé, az informatikai biztonságért felelős vezető részt vesz a külső szakértő kiválasztásában, a szerződéskötésben, illetve az eredmények átvételében.

12. Külső szervezetekkel való együttműködés során korlátozni kell a biztonsággal kapcsolatos információk kicserélését, megelőzendő, hogy az ÖM bizalmas információi illetéktelen kezekbe kerülhessenek.

Az informatikai biztonság független vizsgálata

13. Az informatikai biztonság megvalósulását legalább kétévenként független szakértőnek kell értékelnie. Erre sor kerülhet belső ellenőrzéssel vagy ilyen vizsgálatokra szakosodott független külső szervezettel. Az informatikai biztonságpolitikában, valamint a Szabályzatban rögzítettek megvalósulását – a Szervezeti és Működési Szabályzatban előírt általános feladatköreinek és az összeférhetetlenségi szabályoknak megfelelően – az informatikai biztonságért felelős vezető ellenőrzi. Ez az általános ellenőrzési jogkör nem mentesíti a szervezeti egységek vezetőit az alól, hogy az informatikai biztonság megvalósulását a beosztottaik munkavégzésének folyamatos vizsgálata során ellenőrizzék.

III. Külső személyek hozzáférése

A hozzáférés feltételei

14.1. Az ÖM-mel köztisztviselői, közalkalmazotti, illetve munkavállalói jogviszonyban nem álló (a továbbiakban: külső) személyek számára is hozzáférhető informatikai rendszerek és eszközök biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenőrizni kell. Az ellenőrzésért az ÖM részéről felelősként, kapcsolattartóként meghatározott szervezeti egysége vezetője – amennyiben a szerződésben nem került feltüntetésre, úgy a szerződést kötő szervezet vezetője – a felelős.

14.2. A biztonsági kockázatokat és az ellenőrzés, valamint a felügyelet követelményeit fel kell mérni. A felmérésért a szerződést – szakmai oldalról – előkészítő személy a felelős. A külső személlyel megkötött szerződésben egyértelműen meg kell határozni az előzőekhez kapcsolódó elvárásokat.

14.3. Külső személyek hozzáférésénél további résztvevők közreműködésére is szükség lehet. A hozzáféréséről rendelkező szerződésekben rendelkezni kell arról, hogy más, arra jogosult közreműködők is hozzáférhetnek a különböző eszközökhöz és minden esetben rögzíteni kell a hozzáférés feltételeit.

14.4. A Szabályzat előírásainak betartása az ilyen szerződések létrejöttének, valamint az adatfeldolgozási vállalkozási szerződés megkötésének elengedhetetlen feltétele.

15. Amennyiben külső személyeknek ideiglenes hozzáférési lehetőséget kell biztosítani, azt kizárólag az engedélyeztetési eljárás után lehet megtenni. A hozzáférési engedélyt minden esetben csak a szervezeti egység (főosztály) vezetője kérheti a 4. függelékben szereplő nyomtatvány kitöltésével. Az informatikai biztonságért felelős vezető a titokvédelmi előírások figyelembevételével dönt az engedély megadásáról, a kiadott engedély másolatát átadja a hatáskörrel rendelkező osztálynak. A hozzáférést mindaddig ki kell zárni, amíg a szükséges ellenőrzést el nem végezték, illetve szerződésben nem határozták meg a hozzáférés feltételeit. A visszavonás és a lejárat időpontját minden esetben szerepeltetni kell a hozzáférési engedélyben.

16. Az ÖM azon külső személyeknek, akik számára szolgáltatásokat nyújtanak, tevékenységük végzéséhez meghatározott és engedélyezett fizikai, illetve logikai hozzáféréseket biztosít:

a) hardver- és szoftvertámogató személyzet, akiknek rendszerszintű vagy alacsony szintű működési felhasználással kell rendelkezniük,

b) szolgáltatók vagy más partnerek, akik az információcserében részt vesznek, informatikai rendszerekhez vagy adatbázisrészekhez hozzáférhetnek;

17.1. Ahol a szolgálati érdek megkívánja a külső személyekkel való kapcsolattartást, a munka megkezdése előtt egyértelműen meg kell határozni a munkavégzés célját, helyét, idejét, módját, fel kell mérni az alkalmazás kockázatait, a szükséges hozzáférések típusait, a veszélyeztetett adatok, információk értékét, a külső személy által használt ellenőrzéseket. Az azonosítást különleges figyelemmel kell elvégezni.

17.2. A külső személyek hordozható számítógépein tárolt – a munkavégzés során megszerzett és az ÖM-mel kapcsolatos – adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amiről a partnernek – a szerződéses kapcsolat lezárásának feltételeként – írásos nyilatkozatot kell tennie.

Helyszíni tevékenységet végző külső vállalkozók

18. A szerződéses vagy egyéb jogviszony alapján helyszíni tevékenységet végző külső személyek által okozott biztonsági gyengülés megelőzése érdekében:

a) a külső személlyel kötött szerződésekben ki kell kötni az ÖM ellenőrzési jogosultságát,

b) a külső személyek helyszíni tevékenységének informatikai biztonsági ellenőrzése során a munkahelyi vezetőnek együtt kell működnie az informatikai biztonsági felelőssel,

c) az informatikai biztonsági felelősnek – még a munka megkezdése előtt –meg kell vizsgálnia a külső személyek várható helyszíni tevékenységét.

Biztonsági követelmények a külső személlyel kötött szerződésekben

19.1. Külső személyeknek az ÖM informatikai rendszereihez való hozzáférése kizárólag olyan írásbeli szerződésen alapulhat, melynek az összes – informatikai biztonsággal kapcsolatos – előírása igazodik a jogszabályokhoz, az ÖM előírásaihoz és elfogadott szabványaihoz.

19.2. Külső személyek számára – a velük kötött szerződésben részletezettek szerint – az adathozzáférés, elektronikus, papíralapú, mágneses vagy bármely más típusú adathordozón történő átadás-átvétel csak az adat érzékenységéhez, kezeléséhez és az informatikai rendszer biztonsági osztályba sorolásához rendelt engedélyezési eljáráshoz kötött szabályozott és dokumentált formában történhet, az adott szerződés elválaszthatatlan mellékletét képező adatvédelmi és titoktartási nyilatkozatok tartalmának megfelelően.

19.3. A 19.2. pontban felsoroltak alól kivételt képeznek az informatikai biztonsággal kapcsolatos kötelező eseti és rendszeres adatszolgáltatások, továbbá a hatósági eljárások. Ezekről minden esetben értesíteni kell az informatikai biztonságért felelős vezetőt.

Vállalkozási szerződés kötése, outsourcing

20. Vállakozási szerződést csak írásban lehet kötni, és a Szabályzat előírásait a megkötésnél figyelembe kell venni.

21. Vállakozási szerződés kötése esetén az érintett informatikai rendszereket, hálózatokat, környezeteket, az azokat érintő kockázatokat, valamint az alkalmazott biztonsági eszközöket és eljárásokat, felelősségeket a két fél között létrejött szerződésben rögzíteni kell.

22. Amennyiben a vállalkozó a saját telephelyén végzi az informatikai fejlesztési tevékenységet, az ÖM részéről, illetve részére elektronikus hálózati kapcsolaton keresztül csak rejtjelezve továbbíthatók a fejlesztés tárgyát képező programok és adatok a fejlesztést végzők számára. Az éles üzemű rendszerekhez a vállakozó (ideértve a vállalkozási szerződésben nem nevesített alvállalkozókat, beszállítókat is) nem férhet hozzá.

23. Programok, adatok kizárólag átadás-átvételi jegyzőkönyv alapján adhatók át. A jegyzőkönyvnek tartalmaznia kell a következő adatokat:

a) programátadás esetén:

aa) program megnevezése, készítője,

ab) funkciója,

ac) könyvtárstruktúrája,

ad) fájlok;

b) fájlátadás esetén:

ba) teljes fájlnév (név, kiterjesztés),

bb) méret,

bc) módosítás dátuma,

bd) verzióinformáció.

c) adatátadás esetén: ha az adat nem tartozik a fájl fogalmába, akkor a papíralapú iratkezelésre vonatkozó szabályok az iránymutatók.

24. A 22. pont szerinti anyagokat tartalmazó adathordozókat a következők szerint kell kezelni: az adathordozóknak azonosíthatónak, ellenőrizhetőnek kell lenniük, a minősítési (érzékenységi) és az azonosítási jeleket vagy jelöléseket olvashatóan, letörölhetetlenül, levehetetlenül kell feltüntetni. A vállakozó ezekkel a jelekkel, jelölésekkel kapcsolatos kezelési szabályokat a teljes munkafolyamat során köteles betartani, ennek hiányában a teljesítést nem lehet elfogadni. Az adathordozók csak biztonsági (pl. vírus) ellenőrzések elvégzése után vehetők használatba az ÖM rendszerein.

25. Vállalkozó részére tesztelésre éles üzemi adatok csak kivételesen indokolt esetben és az informatikai biztonságért felelős vezető előzetes engedélyével adhatók át. Éles üzemi tesztek csak az ÖM saját fejlesztő rendszerein végezhetők. Tesztrendszerben csak az eredeti adatra vissza nem következtethető adat lehet.

26. A Szabályzat 20–25. pontjaiban foglalt előírások betartását, a tevékenység dokumentálását az ÖM részéről felelősként, kapcsolattartóként meghatározott szervezeti egységének vezetője és az informatikai biztonságért felelős vezető által kijelölt személyek ellenőrzik.

27. Amennyiben a vállakozó a saját telephelyén működő fejlesztő rendszeren dolgozik, akkor a következő főbb biztonsági szabályok az irányadók:

a) a tevékenységet a fogadó szervezet folyamatosan felügyelje, dokumentálja és ellenőrizze a Szabályzat betartását,

b) belépési és hozzáférési jogosultságot az általános jogosultsági szinten túlmenően csak külön engedély alapján, a tevékenysége elvégzéséhez szükséges időre kapjon,

c) távoli hozzáférésekkel történő fejlesztés csak indokolt esetben folyhat (pl. amikor az előző pontokban meghatározott fejlesztési mód alapos indok miatt nem valósítható meg),

d) távoli hozzáféréssel történő fejlesztés, az érintett szakmai vezető (főosztályvezető) kezdeményezésére, az informatikai biztonságért felelős vezető előzetes írásbeli engedélyével történhet. Az erre irányuló javaslatot a fejlesztő és megrendelője köteles megindokolni,

e) fejlesztési céllal távoli hozzáférés csak az engedélyben definiált végpontról és csak az ÖM ellenőrzése alatt álló védelmi rendszerrel megtámogatva történhet.

IV. Az eszközök biztonsági besorolása és ellenőrzése

Számadási kötelezettség

28.1. Meg kell határozni a leltárilag nyilvántartott számítástechnikai eszközöket őrző személyeket. Az eszközért az eszközt őrző személy a felelős.

28.2. Megfelelő személyekhez – leltárfelelősök – kell rendelni a szükséges ellenőrző eszközök fenntartásának feladatát és felelősségét. A leltárfelelősöket a szervezeti egységek vezetői nevezik ki.

28.3. A szervezeti egységeknél kijelölt leltárfelelősök munkaköri leírásában rögzíteni kell a készletleltárral kapcsolatos tevékenységüket, illetve a felelősségüket.

29.1. Az ÖM munkatársának munkába állásakor átadás-átvételi jegyzőkönyvet kell készíteni a részére átadásra kerülő munkaeszközökről. Az ÖM munkatársa aláírásával elfogadja az eszközökre vonatkozó elszámolási kötelezettségét, valamint ennek megsértésekor a felelősségrevonás módját, mértékét. A leltár megfelelőségét a Leltározási és Leltárkészítési Szabályzat előírásai alapján kell végrehajtani.

29.2. Ellenőrzést kell tartani:

a) a munkaviszony megszűntekor – a munkavállaló által leadott eszközöket össze kell vetni az átadás-átvételi jegyzőkönyvvel, megfelelés esetén – igazolást kell kiadni a számadási kötelezettségek teljesítéséről, eltérés esetén jegyzőkönyvet kell felvenni, valamint haladéktalanul értesíteni kell a munkavállaló munkáltatói jogkört gyakorló vezetőjét a felelősségre vonási eljárás megindítása érdekében,

b) más szervezeti egységbe, más munkavégzési helyiségbe való átlépéskor – az előző pontban részletezettek megtartásával,

c) ha okafogyottá válik az eszköz(ök) használata – leadás esetén is ellenőrizni kell az átadás-átvételi jegyzőkönyvvel való egyezést,

d) eseti vezetői döntés alapján (cél- vagy átfogó leltár).

Biztonsági osztályozás

30. Az informatikai eszközök megfelelő védelméről való gondoskodás magában foglalja, hogy a védelem prioritásai és mértéke tükrözzék az adatok érzékenységét. Rögzíteni kell az informatikai biztonsági osztályok meghatározását.

31. Az ÖM minden informatikai rendszerét – új rendszerek esetén már a tervezés folyamán – az adatok bizalmassága, sértetlensége, illetve rendelkezésre állása elvesztésével arányos lehetséges kárértéktől függően biztonsági osztályokba kell besorolni. A biztonsági osztályba nem sorolt adatok, rendszerek esetében közepes szintet kell feltételezni.

32. A munkafolyamatot felügyelő szervezeti egység vezetőjének meg kell határoznia az adatfeldolgozás egyes tevékenységeinél alkalmazható – az adat érzékenységétől függő – adatkezelési eljárásokat:

a) adat-előállítás,

b) adatfelvitel,

c) másolás,

d) tárolás,

e) adatmentés,

f) archiválás,

g) átvitel,

h) megsemmisítés.

33. A hordozható adathordozókat (pendrive, memoriakártyák), illetve hordozható eszközök (notebook, PDA, intelligens telefon) adathordozóit rejtjelezni kell. A védelem installálása és évenkénti ellenőrzése az üzemeltető szervezeti egység feladata. A hordozható eszközöket legalább 3 havonta a hálozatra csatlakoztatni kell és a szükséges (védelmi) szoftverfrissítéseket el kell végezni.

V. Személyi követelmények

Informatikai biztonság a munkaköri leírásban

34. Az emberi hibák, lopás, rosszhiszemű magatartás vagy a létesítmények és az eszközök nem megfelelő használata során fellépő kockázatokat mérsékelni kell, a következők figyelembevételével:

a) a biztonsági követelményeket a munkaerő-felvételnél, a szerződésekben, valamint a foglalkoztatás során egyaránt érvényesíteni kell,

b) a rendszer külső használóinak a velük kötött szerződés alapján titoktartási nyilatkozatot kell aláírniuk

35. A felhasználóregisztrációs lapot (1. függelék) a belépő munkatárs szervezeti vezetője és az informatikai üzemeltetés tölti ki közösen, és az Informatikai Osztály őrzi.

36. A felhasználókiléptető lapot (2. függelék) a munkatárs és az ÖM jogviszonyának megszűnésekor kell kitölteni.

37. A foglalkoztatás alapvető biztonsági feltétele az általános és a munkakörre vonatkozó speciális biztonsági előírások megismerése, elfogadása, a titoktartási nyilatkozat aláírással történő elfogadása.

Biztonsági oktatás

38.1. A PEF vezetője gondoskodik arról, hogy a felhasználók megismerjék a biztonsági eljárásokat és az adatfeldolgozó lehetőségek helyes használatának módját, hogy ezzel is a minimálisra csökkentsék a lehetséges biztonsági kockázatokat.

38.2. A Szabályzat előírásainak, valamint a PEF által meghatározott képzési elveknek megfelelően a PEF vezetője kidolgozza az éves képzési tervet.

39.1. Az ÖM munkatársai legalább évente egyszer informatikai biztonsági oktatáson vesznek részt. Aki ezt elmulasztja, annak hozzáférési jogait (felhasználói fiókját) az oktatáson való részvétel megtörténtéig fel kell függeszteni.

39.2. Az oktatás célja az informatikai rendszerek biztonsága alapjainak, valamint a kapcsolódó eszközök és eljárások megismerése. Az oktatás során az informatikai biztonsággal kapcsolatos jogi előírások, minisztériumi szintű előírások mellett meg kell ismerni az informatikai rendszerek biztonságához tartozó technológiai kérdések alapelveit és megoldásait.

39.3. Az oktatás tematikáját az 5. függelék tartalmazza.

VI. Fizikai és környezeti biztonság

Biztonsági szegmensek

40.1. A fizikai és környezeti biztonság megteremtése, illetve fenntartása érdekében a vonatkozó jogszabályok, biztonsági és tűzvédelmi szabványok, valamint a helyi szabályzatok, rendelkezések előírásainak maradéktalanul meg kell felelni, és ezért a szervezeti egységek vezetői a felelősek a szervezeti és működési szabályzatban meghatározottak szerint.

40.2. Az illetéktelen hozzáférés, a károkozás, valamint az adatok jogtalan elérésének megakadályozása érdekében a lehetséges kockázatokat fel kell mérni és ennek megfelelően biztonsági területeket kell kijelölni.

40.3. A folyamatok folytonossága szempontjából nélkülözhetetlen adatokat feldolgozó és tároló egységeket, szervezeteket, létesítményeket, így különösen a szervertermek, meghatározott biztonsági sávval védett, biztonsági korlátokkal és áthaladást ellenőrző pontokkal ellátott területeken (a továbbiakban: biztonsági területek) kell elhelyezni. A helyiségért felelős vezetőnek gondoskodnia kell az illetéktelen behatolást, hozzáférést, károkozást és beavatkozást megakadályozó fizikai-mechanikai, elektronikai és személyi védelem szükséges méretű – együttes – alkalmazásáról.

40.4. A védelemnek arányban kell állnia a megállapított kockázatokkal. Az illetéktelen hozzáférés megakadályozása, a dokumentumok, az adathordozók védelme és az adatfeldolgozó létesítmények kockázatának mérséklése érdekében szükség van megfelelő beléptetési és megfigyelési szabályok érvényesítésére.

41.1. A fizikai biztonsági zónákat informatikai rendszerenként, valamint biztonsági osztályonként egyaránt rögzíteni kell. Ez a helyiségért és az informatikai rendszerért felelős vezető(k) feladata. A biztonsági területeken belül biztonsági zónákat kell meghatározni és kijelölni, valamint azokat informatikai rendszerenként, illetve biztonsági osztályonként rögzíteni kell.

41.2. A védelemigényes helyiségekbe (biztonsági területekre vagy zónákba) való belépési jogosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az informatikai rendszerben vagy környezetében betöltött szerepük alapján kell hozzá rendelni a helyiségekhez vagy helyiségcsoportokhoz.

A létesítmények és helyiségek biztonsága

42.1. A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni és naplózni kell.

42.2. A biztonsági területekre, illetve az egyes biztonsági zónákba állandó belépési jogosultsággal nem rendelkező személyek be- és kilépése esetén a be- és kilépést minden esetben regisztrálni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt.

43. Az informatikai rendszerek környezetét megfelelő fizikai, mechanikai, elektronikai és személyi védelemmel kell biztosítani (pl. rácsos ablakok, az áttörést megnehezítő üvegezés, acél ajtók). Az alkalmazott védelmi formák körét, azok kialakítását az informatikai biztonságért felelős vezető határozza meg a Szabályzat előírásainak megtartása mellett, az adott létesítmény védelmi igényének és speciális feltételeinek figyelembe vételével.

Fizikai védelem

44.1. Az informatikai berendezéseket, eszközöket fizikai valójukban is védeni kell a biztonságot fenyegető veszélyektől és a káros környezeti hatásoktól.

44.2. A műszaki eszközök fizikai védelmére azért van szükség, hogy ily módon is mérsékeljük az adatokhoz való illetéktelen hozzáférés kockázatát, valamint gondoskodjunk az adatok és eszközök megfelelő védelméről. Erre már a berendezések elhelyezése során is tekintettel kell lenni. A veszélyek és az illetéktelen hozzáférés elhárításához, illetve a kiszolgáló létesítmények védelméhez különleges eszközökre, többek között áramszolgáltató és kábelrendező infrastruktúrára is szükség van.

45.1. Az informatikai rendszerek védelmének – a rendszer megbízható működésbeli biztonsági osztályának megfelelően – ki kell terjednie:

a) az extrém hőmérsékletek és a meg nem engedett mértékű levegő nedvességtartalom elleni védelemre (klimatizálás),

b) a fémes adatvezetékek elektromágneses impulzusok elleni védelmére (elektromágneses besugárzás elleni védelem),

c) külső tényezők (tűz, víz, vihar stb.) elleni védelemre, így különösen a tűzjelző berendezések meglétére és működőképességére, illetve a vízelvezetésre,

d) áramellátó-rendszerek kiesése következményeinek elhárítására (akkumulátoros és generátoros szükség-áramellátással),

e) az áramellátás területén a villámcsapások elsődleges és másodlagos hatásai, illetve egyéb túlfeszültségek elleni védelemre,

f) elektrosztatikus kisülések hatásainak elhárítására (a helyiségek és munkahelyek megfelelő kialakításával, amelyekbe az informatikai rendszereket telepítették).

45.2. A központi hardvererőforrások, az azokon üzemeltetett alkalmazások és kezelt adatok információvédelmének és megbízható működésének biztosításában nagy szerepet játszik azoknak a helyiségeknek (pl. szerverszobák) a védelme, amelyekben ezek az erőforrások üzemelnek. Ennek a védelemnek az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell térnie a tárolt szoftverek, adatok és dokumentációk védelmére is. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. Tekintettel ezek fajlagosan magas árára, a védelem teljes körű és mindenre kiterjedő kell hogy legyen. Erről a teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt terjedjen ki az élőerős, a mechanikai (építészeti) védelemre és a technikai (elektronikai) védelemre.

45.3. A biztonsági követelményeket az egész építményre vonatkozó összefüggések figyelembevételével (elhelyezés, falazatok, födémek, nyílászárók, zárak, kerítés, megvilágítás, belső közlekedő terek, közös, illetve kiegészítő helyiségek stb.) kell meghatározni és érvényre juttatni. Az építmény egyes helyiségeire vonatkozó biztonsági előírás eltérhet – annál szigorúbb lehet – az építmény egészére megfogalmazott biztonság mértékétől. Ilyen helyiségek lehetnek a távbeszélő hálózat hozzáférési pontjai, a számítógéptermek, a pénztárak, a titkos ügykezelés helyiségei, ügyeleti helyiségek.

45.4. A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál a vonatkozó építészeti szabványok, a MABISZ és a rendőrség ajánlásai szerint kell eljárni.

46.1. Az objektumok őrzés-védelmét, nyitását és zárását, a be- és kilépést mind munkaidőben, mind azon kívül a hatályban lévő szabályzatok és az érvényes előírások alapján biztosítani és érvényesíteni kell.

46.2. Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva kell tartani.

46.3. Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását. A tűz elleni védelmet elsődlegesen a személyi felügyelet, valamint a jelenlévő személyzet biztosítja a helyiségen belül készenlétben tartott – a tűzvédelmi előírásoknak megfelelő – kézi tűzoltókészülékekkel. A készenléti helyeken elsődlegesen gáz halmazállapotú oltóanyaggal feltöltött tűzoltókészülékek legyenek. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tűzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthető pontjain kell elhelyezni. A helyiségben a vonatkozó szabványok előírásainak megfelelő tűzjelző rendszert kell kiépíteni és üzemeltetni. Az elektromos hálózatnak meg kell felelnie az MSZ 1600 sorozatú szabványoknak, az érintésvédelemnek meg kell felelnie az MSZ 172 sorozatú szabványoknak.

46.4. A megbízható működés szempontjából lényeges követelmény, hogy az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani és külön leágazás megépítésével kell a betáplálásról gondoskodni. Ha egy nem szerverszobának kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell lokális szünetmentes tápáramellátásról.

46.5. Az átlagostól eltérő klimatikus viszonyú (pl. a hőmérséklet, illetve a páratartalom értéke túllépi a számítástechnikai eszközökre vonatkozó megengedett tartományt) helyiségekben lokális klimatizálásról kell gondoskodni.

A berendezések elhelyezése és védelme

47. A környezeti veszélyek és kockázatok mérséklése érdekében:

a) a berendezéseket úgy kell elhelyezni, hogy lehetőleg megakadályozzuk az illetéktelen hozzáférést, és a helyiség észrevétlen megközelítését,

b) a különleges védelmet igénylő eszközöket elkülönítetten kell elhelyezni és használni,

c) a környezeti határok és a lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével kell törekedni a szükséges működési feltételek biztosítására.

48. Az elektromos hálózat meghibásodása, az energiaellátás megszűnése esetére gondoskodni kell a berendezések védelméről, a következők szerint:

a) az áramszolgáltatónak meg kell felelnie az informatikai berendezés gyártója által meghatározott követelményeknek,

b) többféle alternatív áramszolgáltatási lehetőséget kell igénybe venni (pl. aggregátor),

c) lehetőség szerint megszakítás nélküli áramforrást (UPS) kell használni,

d) tartalék áramfejlesztőt kell rendszerbe állítani.

49. Az adatátviteli és energiaellátó hálózat kábelezésénél a következő követelményeket kell betartani:

a) védett kábeleket kell használni:

aa) a károkozás, szándékos vagy gondatlan beavatkozás elhárítására,

ab) a környezeti veszélyek (tűz, robbanás, füst, víz, por, elektromágneses sugárzás stb.) káros hatásai következményeinek elhárítására, csökkentésére.

b) az adatátviteli (távközlési) kábelt el kell különíteni az energiaellátás kábeleitől.

50. A megbízható működés érdekében a berendezések folyamatos használata és rendelkezésre állásának biztosítása érdekében:

a) a specifikációban javasolt időközönként el kell végezni a berendezések karbantartását,

b) a berendezések kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik,

c) az informatikai eszközök külső helyszínen történő javítása, karbantartása esetén gondoskodni kell az eszközön tárolt adatok végleges (visszaállíthatatlan) törléséről, vagy az adathordozó eltávolításáról és az ÖM területén belül tartásáról.

51. Az ÖM telephelyén kívüli adatfeldolgozás csak a Szabályzatban meghatározott módon lehetséges. Az alkalmazandó biztonsági előírásoknak meg kell egyezniük egyaránt az ÖM telephelyén hasonló feladatokhoz használt informatikai berendezésekre vonatkozó előírásokkal. Az egyes külső helyszínek között jelentős különbségek lehetnek a biztonsági kockázatok (károkozás, lopás, lehallgatás stb. veszélye) mértéke között, ezt figyelembe kell venni a szükséges biztonsági eszközök és eljárások kiválasztásánál.

52.1. Az informatikai berendezések használaton kívül helyezése előtt gondoskodni kell az összes adat, szoftver visszaállíthatatlan eltávolításáról vagy felülírásáról.

52.2. A használaton kívül helyezett informatikai berendezés és az ÖM összes hálózata közötti összeköttetést meg kell szüntetni.

52.3. A használaton kívüli informatikai berendezés újbóli rendszerbeállításakor úgy kell eljárni, mint egy új eszköz üzembeállítása során.

Általános védelmi intézkedések

53. Az informatikai eszközöket, illetve az azokban tárolt, kezelt adatokat védeni kell a jogtalan közzététel, módosítás, vagy eltulajdonítás ellen. Fokozottan kell ügyelni a megelőzésre, valamint a megfelelő védelmi intézkedések működtetésére a károk és veszteségek mérséklése érdekében.

54.1. A monitorokat úgy kell elhelyezni, hogy az azon megjelenő adatokat illetéktelen személy ne láthassa.

54.2. A képernyővédőket jelszavas védelemmel kell ellátni. A képernyővédő megjelenési idejét úgy kell beállítani, hogy az a rendes munkavégzésben ne okozzon zavart.

54.3. A fokozott, illetve a kiemelt biztonsági osztályba tartozó rendszerek munkaállomásai kizárólag zárolás után hagyhatók felügyelet nélkül.

54.4. A BIOS-SETUP állítását jelszóhoz kell kötni úgy, hogy annak el kell térnie a felhasználói jelszótól és azt a számítógépet felügyelő rendszeradminisztrátor állítsa be, biztosítva, hogy a felhasználó ne tudja az indítási konfigurációt megváltoztatni.

55.1. Számítástechnikai eszközöket, adathordozókat, programokat kizárólag a szervezeti egységek vezetőinek írásos engedélyével szabad kivinni a munkahelyről.

55.2. Az ÖM területéről kivitt eszközöket a leltárfelelősöknek nyilván kell tartaniuk.

55.3. A kivitelre kerülő eszközökön tárolt adatok illetéktelenek általi elérhetetlenségére fokozottan kell ügyelni.

55.4. Meghibásodott eszköz cseréje esetén – garanciális esetben is – adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került.

VII. Számítógépes hálózati szolgáltatások és az üzemeltetés menedzselése

Üzemeltetési eljárások és feladatok

56. Az adatfeldolgozó kapacitások megbízható és biztonságos működésének biztosítása érdekében meg kell határozni az összes adatfeldolgozó egység kezelésére és működtetésére vonatkozó feladatokat és eljárásokat. Ebbe beletartozik az összes szükséges működtetési és hibaelhárítási eljárás elkészítése.

57.1. Az üzemeltetési eljárásokat az üzemeltetést végző személynek, vagy annak, aki az üzemeltetést megrendeli, részletesen dokumentálnia kell.

57.2. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint:

a) az adatkezelés (-feldolgozás és -tárolás),

b) tervezett követelmények, más rendszerek bizalmasságának megsérülhetősége,

c) munkaidőn kívüli munkahelyen való tartózkodás,

d) hibaesetekre és rendellenes működésre vonatkozó eljárások,

e) munkavégzés közben fellépő kivételes állapotok kezelése,

f) rendszer újraindítása és visszaállítása.

57.3. Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni.

58. A változásokat ellenőrizni és dokumentálni kell és a következő tevékenységeket kell elvégezni:

a) jelentős változások azonosítása,

b) felelős résztvevők megjelölése,

c) a változások lehetséges hatásainak felmérése,

d) a tervezett változtatások jóváhagyási eljárásainak ellenőrzése,

e) az összes érintett értesítése a változások részleteiről,

f) a változtatás megszakításáért és az eredeti állapotba való visszaállításért felelős személy kijelölése.

A feladatkörök biztonsági szétválasztása

59.1. Az informatikai rendszerek biztonsági beállításához fűződő tevékenységeket (operációs rendszerek, alkalmazások rendszergazdái) – a véletlen vagy szándékos visszaélések elkerülése érdekében – szét kell választani úgy, hogy azokat több személynek együttesen kelljen végrehajtania. A biztonsági ellenőrzés a végrehajtó szervezettől és a menedzsmenttől függetlenül működik.

59.2. Ahol a szétválasztás megoldása aránytalan terheket jelentene a szervezetre, ott monitorozással, az eseménynaplók elemzésével és fokozott vezetői felügyelettel kell eljárni.

60.1. Éles üzemben működtetett informatikai rendszerben fejlesztések, tesztelések nem folytathatók.

60.2. Éles adatokkal tesztelést végezni tilos, teszteléshez mindig tesztadatokat kell készíteni (generálni).

60.3. Fejlesztés alatt álló rendszerben éles üzemi tevékenységet folytatni tilos.

60.4. A fordító-, szerkesztő- és egyéb segédprogramok éles üzemi rendszerben csak abban az esetben lehetnek elérhetők, ha ezekre a programokra dokumentáltan és az alkalmazásgazda álta engedélyezetten szükség van.

60.5. A fejlesztők az üzemi rendszerben rendszergazdai (administrator, root, supervisor stb.) jogosultságokat nem kaphatnak, amennyiben erre ideiglenesen szükség van, ezt követően a jelszavakat haladéktalanul meg kell változtatni, és a rendszer biztonsági beállításait teljeskörűen felül kell vizsgálni.

60.6. Az informatikai biztonsági felelős részére kiadott rendszeradminisztrátori jogosultságok csak az adatvédelmi tevékenységgel kapcsolatos munkák során, jegyzőkönyvezve használhatók.

Külső létesítmények üzemeltetése

61.1. Az ÖM informatikai rendszereinek üzemeltetésére, adatfeldolgozására külső személlyel kötött vállalkozási szerződésekben ki kell térni az ÖM ellenőrzési jogosultságára, lehetőségeire, eszközeire és eljárásaira.

61.2. A szerződéskötés során figyelembe kell venni:

a) az alkalmazások és adatok érzékenységét, biztonsági osztályát,

b) a szükséges jóváhagyások beszerzését,

c) az üzletmenet-folytonossági (katasztrófaelhárítási) tervekre gyakorolt hatását,

d) a vállalkozó által alkalmazandó biztonsági szabályokat és alkalmazásokat,

e) a biztonsággal, valamint az adatkezeléssel összefüggő tevékenységek hatékony nyomonkövethetőségét,

f) a biztonsági események jelentéstételi kötelezettségét, illetve a kezelésükre vonatkozó feladatokat és eljárásokat.

Informatikai rendszerek tervezése és átvétele

62.1. A megfelelő kapacitás és a szükséges erőforrások elérhetősége érdekében előzetes tervezést és előkészületeket kell végrehajtani.

62.2. A rendszer(ek) túlterheltségével járó kockázatok mérséklése érdekében szükség van a kapacitások iránti várható igények előrejelzésére.

62.3. Meg kell határozni az új rendszerek üzemeltetési követelményeit, a rendszer átvétele és üzembe helyezése előtt el kell végezni a követelmények dokumentálását, és le kell futtatni a szükséges teszteket.

63. A rendszer működtetéséhez, működéséhez szükséges adatfeldolgozó és adattároló kapacitásokról való gondoskodás során:

a) fel kell mérni, illetve nyomon kell követni a kapacitás iránti igények várható alakulását,

b) figyelembe kell venni a környezet és a rendszer támasztotta igényeket,

c) nyomon kell követni a rendszer erőforrásainak – processzorok, központi tárolóegységek, adatállományok tárolására rendszeresített eszközök, nyomtatók és egyéb kimenetek, adatátviteli rendszerek – felhasználását,

d) ki kell szűrni és meg kell szüntetni a rendszer biztonságát és a felhasználói szolgáltatásokat veszélyeztető szűk keresztmetszeteket, illetve meg kell tervezni a rendszer helyreállításához szükséges intézkedéseket.

64. Az informatikai rendszerek átvételének alapvető követelménye az átadás-átvételi jegyzőkönyv, melynek tartalmaznia kell minden, az átvétellel kapcsolatos feladatot, kötelezettséget, dokumentációt.

Védelem a rosszindulatú programok ellen

65.1. Törekedeni kell arra, hogy megfelelő intézkedésekkel megakadályozzuk, illetve kiszűrjük a rosszindulatú programok (vírusokkal fertőzött termékek, a hálózati férgek, trójai lovak, logikai bombák) bevezetését.

65.2. A felhasználóknak a kötelező oktatás során meg kell ismerniük a rosszindulatú és engedély nélküli programok alkalmazásával járó veszélyeket.

65.3. Az informatikai szervezetnek gondoskodnia kell a rosszindulatú programok kiszűrésére és megelőzésére alkalmas különleges ellenőrző eszközök alkalmazásáról.

66.1. A rosszindulatú programokkal szembeni védekezést szűréssel és a programok bevezetése előtti ellenőrzéssel kell megvalósítani. A rosszindulatú program elleni védekezés részét kell hogy képezze a felhasználók tájékoztatása és oktatása, a hozzáférés-védelem, továbbá a változtatások felügyelete és ellenőrzése. Ennek során szükséges:

a) olyan eszközök alkalmazása, melyek megkövetelik a jogtiszta programok használatát és tiltják az engedély nélküli termékek alkalmazását,

b) külső hálózatokból vagy azokon keresztül, illetve egyéb adathordozókról telepített adatállományok és programok felhasználásával járó kockázat elhárításához szükséges intézkedések bevezetése,

c) vírusfelismerő és -megsemmisítő programok telepítése és rendszeres aktualizálása,

d) a kritikus folyamatokat támogató rendszerek adattartalmának és programjainak rendszeres vizsgálata,

e) a bizonytalan eredetű adatállományok ellenőrzése, vírusok kiszűrése,

f) e-mail kiterjesztések, csatolt dokumentumok és letöltések használat előtti ellenőrzése,

g) a vírusokkal szembeni védelemre vonatkozó feladatok és eljárások meghatározása, alkalmazásuk oktatása, a vírustámadások naplózása és az eredeti állapot helyreállítása,

h) megfelelő üzletmenet-folytonossági terv összeállítása, a szükséges adatállományok és programok back-up példányainak és a helyreállítás eljárásainak elkészítése,

i) a hamis, vagy hamisított programra vonatkozó összes információ ellenőrzése, a figyelmeztető tájékoztató kiadványok folyamatos frissítése, meglétének ellenőrzése.

66.2. Az informatikai üzemeltetés feladata a felhasználókat a rendszerhibát okozó lánclevelekről, illetve az illegális programok használatának veszélyeiről értesíteni, továbbá folyamatosan figyelmeztetnie kell a felhasználókat a frissen megjelent fenyegetésekről. A felhasználót a gépén tárolt illegális programokért felelősségre kell vonni.

67.1. Központosított hálózati felhasználó adminisztrációt kell kialakítani – az egyenrangú hálózatokat fel kell számolni – a felhasználókat tartományba vagy szerverre kell bejelentkeztetni.

67.2. Az összes érintett dolgozóra kiterjedő felhasználói oktatásnak ki kell térni a vírusvédelmi rendszer működésére.

Operátori tevékenységek

68.1. A megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását rendszeresen ellenőrizni kell.

68.2. A biztonsági mentéseket a háromgenerációs elv betartása mellett, lehetőség szerint külön telephelyen, de minimum a követelményeknek megfelelő külön helyiségben, kell tárolni. Ezt konkrétan az üzletmenet-folytonossági terv határozza meg.

68.3. A mentések nyilvántartását az előírásoknak megfelelően kell vezetni, és azok helyességét rendszeresen ellenőrizni kell.

68.4. Az időszakos (pl. negyedéves) mentéseket 1 évig, az archiválásokat a jogszabályokban meghatározott ideig, de legalább három évig visszakereshetően, helyreállíthatóan kell megőrizni.

69.1. Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.

69.2. Az operátori (rendszergazda) naplókat legalább 6 hónapig meg kell őrizni.

69.3. A rendszernek képesnek kell lennie minden egyes felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására. A minimálisan kötelezően regisztrálandó események a következők:

a) rendszerindítások, -leállások, -leállítások,

b) rendszerhibák és korrekciós intézkedések,

c) programindítások és -leállások, -leállítások,

d) az azonosítási és hitelesítési mechanizmus használata,

e) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,

f) az adatállományok és kimeneti adatok kezelésének visszaigazolása,

g) azonosítóval ellátott erőforrás létrehozása vagy törlése,

h) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik.

70.1. Az informatikai rendszer üzemeltetése során operátori naplót kell vezetni, amelyet az informatikai szervezeti egység felelős vezetőjének és az informatikai biztonsági megbízottnak rendszeresen ellenőriznie kell.

70.2. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

70.3. Az informatikai rendszer üzemeltetéséről nyilvántartást kell vezetni, amelyet az informatikai biztonságért felelős vezetőnek rendszeresen ellenőriznie kell.

71.1. Az üzemzavarok elhárítása érdekében, a bejelentést követően korrekciós intézkedéseket kell kezdeményezni. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt hibákat naplózni kell.

71.2. Az üzemzavar kezelésének szabályai:

a) a hibanapló vizsgálata és a hiba kezelésének, elhárításának ellenőrzése,

b) korrekciós intézkedések vizsgálata, illetve ezek végrehajtásának és a kezdeményezett intézkedések engedélyezése engedélyezésének szabályosságának ellenőrzése.

Hálózatmenedzsment

72.1. A hálózatmenedzsment segítségével kell meghatározni a hálózatok adattartalmának biztonságát és az infrastruktúra védelmét, különös tekintettel a több szervezetet átfogó hálózatokra.

72.2. Az ÖM közvetlen szervezeti és fizikai felügyeletén kívül eső kapcsolatok esetében a kriptográfiai módszerek (rejtjelzés, digitális aláírás, SSL/TSL, https stb.) kötelező. A megoldás kiválasztását vagy jóváhagyását az informatikai biztonsági felelős és az informatikai osztályvezető közösön lássák el.

73.1. Olyan ellenőrző eszközökről kell gondoskodni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok – a biztonsági osztálynak megfelelő – biztonságát, valamint a kapcsolt szolgáltatásokat megóvják az illetéktelen hozzáférésektől.

73.2. A hálózatok és a számítógépek működtetésének feladatait szét kell választani.

73.3. A nyilvános hálózatokon keresztül továbbított érzékeny adatok, illetve a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközökre van szükség.

73.4. Pontosan definiálni kell a hálózat határait. A hálózat biztonságos szegmentálásának kialakításáért az Informatikai Osztály vezetője a felelős.

74. Az eszközök károsodásának megelőzése, és a tevékenységben okozott fennakadás megakadályozása érdekében:

a) gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről.

b) meg kell előzni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését.

c) szabályozni kell az adathordozók beszerzését, tárolását és kezelését.

d) biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében, – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni.

e) az ÖM-en kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások (pl. vírusellenőrzés) elvégzése után szabad (pl. vírusellenőrzés),

f) minden adathordozót újraalkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell,

g) az adattípus (minősítés) felismerhető jelölését a számítástechnikai berendezéssel előállított adattároló és megjelenítő eszközökön biztosítani kell,

h) az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell.

75. Az iratkezelés által érintett adathordozókat biztonságos módon kell kezelni az ÖM Egyedi Iratkezelési Szabályzata és az ÖM Titokvédelmi Szabályzata előírásainak megfelelően. Annak érdekében, hogy ezek az adathordozók ne kerülhessenek illetéktelen felhasználásra.

76.1. Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen kell tárolni, vagy amennyiben munkaközi példányok, azokat vagy helyreállíthatatlanul törölni kell, vagy meg kell semmisíteni. Adathordozók:

a) a kinyomtatott dokumentumok,

b) a hang- vagy egyéb adatrögzítések,

c) a kimeneti jelentések,

d) az egyszer használatos nyomtatószalagok,

e) a mobil diszkek és kazetták, mágnesszalagok,

f) a CD, DVD vagy más tárolóeszközök (pendrive, rádiótelefon, memóriakártya stb.),

g) a programlisták,

h) a tesztadatok,

i) a rendszerdokumentáció.

76.2. Az érzékeny adatokat, mentéseket, archiválásokat tartalmazó adathordozók tárolása csak megbízhatóan zárt helyiségben, minimum 30 perces tűzállóságú tároló szekrényben történhet.

77. Az adatok illetéktelen közzétételének, illetve felhasználásának megakadályozása érdekében szükségesek az adatkezelést szabályozó eljárások. Ezeknek az eljárásoknak – az adatok érzékenységének megfelelően – igazodniuk kell az előírásokhoz, szabályzatokhoz, számítástechnikai rendszerekhez, hálózatokhoz, a használt számítástechnikai eszközökhöz, távközlési, hangátviteli és multimédiás stb. rendszerekhez, levelezőrendszerhez, az informatikai szolgáltatásokhoz. Az adatkezelési eljárások előírása, meghatározása során a következőket kell figyelembe venni:

a) az összes adathordozó kezelése és címkézése,

b) az illetéktelen személyek kiszűrése, hozzáférésük megakadályozása,

c) a bemenő adatok teljeskörűségének, az adatfeldolgozás teljességének és a kimeneti adatok hitelességének és hitelesítésének ellenőrzése,

d) a be- és kimenő adatok védelme, a védettség mértékének az adatok érzékenységéhez való igazítása,

e) az adatok elosztásának szabályozása, ellenőrzése és korlátozása,

f) az adatok minősítését, kezelési jelzését kötelezően alkalmazni kell, és a változásokat automatikusan naplózni kell,

g) rendszeresen ellenőrizni kell az adatok minősítésének alkalmazását,

h) a biztonsági naplófájlokat az arra feljogosított személynek a rendszer minősítésének megfelelő, meghatározott módon kell kezelnie, illetve kiértékelnie,

i) az észlelt eltéréseket (hibás kezelés, jogosultság megsértésének a kísérlete) haladéktalanul ki kell vizsgálni, és az eredményt jegyzőkönyvben kell rögzíteni. Ezért az adott szervezeti egység vezetője a felelős.

78.1. Az informatikai rendszerek dokumentációja biztonságilag érzékeny adatokat is tartalmazhat, ilyen érzékeny adat lehet a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek, vagy az engedélyezési folyamatok ismertetése.

78.2. Az illetéktelen hozzáférés megelőzése érdekében:

a) gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról,

b) minimálisra kell csökkenteni azok számát, akik hozzáférhetnek a rendszerdokumentációkhoz,

c) gondoskodni kell a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított dokumentáció védelméről,

d) az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelő módon kell kezelni,

e) az informatikai rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell aktualizálni és naprakészen tartani,

f) gondoskodni kell a változások menedzseléséről és a biztonságot érintő változások, változtatások naplózásáról,

g) a rendszerben feldolgozásra kerülő, a fokozott és a kiemelt biztonsági osztályba sorolt adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni,

h) az informatikai rendszer beszerzéssel és/vagy fejlesztéssel történő kialakításához és üzemeltetéséhez, a rendszer funkcionalitásának és megbízható üzemeltetésének a biztosításához a következő dokumentációk szükségesek:

ha) rendszerterv,

hb) üzembe helyezési jegyzőkönyv,

hc) katasztrófaelhárítási terv,

hd) üzletmenet-folytonossági terv,

i) a biztonsági rendszerek, alrendszerek dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Biztonsági rendszer, alrendszer dokumentációját csak az informatikai biztonságért felelős vezető által engedélyezett személyek kezelhetik.

Adatok és programok átadása

79.1. A szervezetek között cserélt adatok és programok elvesztésének, módosításának vagy illetéktelen felhasználásának lehetőségét is meg kell akadályozni. Az adatok és a programok szervezetek közötti átadását, cseréjét ellenőrizni kell.

79.2. Mérlegelni kell az elektronikus adatcsere, az elektronikus kereskedelem és az e-mail biztonsági kockázatát, annak következményeit és az ellenőrző eszközök alkalmazására vonatkozó követelményeket.

80.1. Az ÖM más szervezettel adat és programcserét kizárólag írásbeli szerződés alapján bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is.

80.2. A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni:

a) az adatátvitel, -feladás és -átvétel ellenőrzésének és bejelentésének eljárási szabályait,

b) az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait,

c) adatvesztéssel kapcsolatos kötelezettséget és felelősséget,

d) az adatátvitel során a biztonságos (szükség esetén rejtjelezett) környezet előírásait minden érintett félnél,

e) az érzékeny adatok védelméhez szükséges speciális eszközök igénybevételét (pl. kriptográfiai kulcsok).

81.1. Az adat, illetve az abból megismerhető információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen hozzáférés és visszaélés veszélyének. A számítástechnikai adathordozók biztonsági szállítása érdekében az alábbi ellenőrző eszközök alkalmazását kell mérlegelni:

a) szállítást – épületen kívül – csak a szervezeti egység vezetője rendelhet el,

b) szállítás során átadás-átvételi bizonylat szükséges,

c) szállítást – lehetőség szerint – több embernek kell végeznie,

d) épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani,

e) tömegközlekedési eszközön – lehetőség szerint – ne történjék adathordozó szállítása,

f) épületen kívüli szállítás esetén megfelelő tárolóeszköz szükséges.

g) elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor kerülendő a nyilvánvalóan erős mágneses tér megközelítése (pl. nagyfeszültségű távvezetékek, transzformátorház stb.),

h) a szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni.

i) az adathordozót tilos őrizetlenül hagyni.

j) az adathordozókat óvni kell a fizikai sérülésektől.

k) az adathordozókon a minősítést megváltoztathatatlanul kell feltüntetni.

81.2. Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelő) vezetőjét –szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy időben tájékoztatnia kell az informatikai biztonságért felelős vezetőt az eseményről és a megtett intézkedésekről.

82.1. Az elektronikus szolgáltatások biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt sor kerül(het).

82.2. A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani, melynek legfontosabb feladatai:

a) a hozzáférés egységes szabályozása és ellenőrzése,

b) egységes azonosítás és hitelesítés (SSO),

c) az elektronikus aláírások kezelése, rejtjelezés, kulcsmenedzsment (CA, PKI),

d) biztonságos adattovábbítás,

e) a behatolási kísérletek figyelése (IDS),

f) biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez,

g) az auditálhatóság.

82.3. Az elektronikus szolgáltató rendszerek hatékony védelmének kialakításához pontosan meg kell határozni a lehetséges fenyegetéseket, a potenciális veszélyeket és a várható támadási módszereket. A 7. függelék táblázata az elektronikus szolgáltatások lényeges kapcsolati elemei szerinti csoportosításban tartalmazza ezeket a fenyegetettségeket, sebezhetőségeket és az ellenük, illetve a megelőzésükre alkalmazható intézkedéseket.

Az elektronikus levelezés biztonsága

83. Az elektronikus levelezés biztonságának szabályozásakor a következő fenyegetettségeket kell figyelembe venni:

a) az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának veszélye,

b) emberi hibákból eredő veszélyeztető tényezők, pl. rossz címzés vagy irányítás,

c) bizalmas adatok továbbításának lehetősége és ennek veszélyei,

d) a feladó- és címzetthitelesítési problémák, illetve a levél átvételének bizonyítása,

e) a kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek,

f) távolról bejelentkező felhasználó biztonsági problémái.

84. Az elektronikus levelezés biztonsági irányelvei:

a) a levelezőrendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új mailvírusok megjelenését,

b) az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni az új szoftverfrissítések, service packok és security-patch fájlok megjelenését.),

c) az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírusfenyegetettség esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet, – a belső hálózaton (intraneten) kívül eső elektronikus levélforgalmat ideiglenesen le kell állítani. Ennek elrendelésére az informatikai biztonsági felelős jogosult,

d) definiálni kell a felhasználók felelősségét a minisztérium érdekeinek védelmében,

e) az elektronikus üzenetek bizalmasságának, illetve hitelességének védelme érdekében használt kriptográfiai eszközt vagy eljárást az informatikai biztonságért felelős vezető engedélyez,

f) kilépéskor archiválni kell és a kilépés napjától számított 3 hónapig meg kell őrizni minden olyan felhasználó elektronikus levezését, akiknek munkaviszonya, illetve a jogosultság alapját képező megbízása, szerződése megszűnt. Megőrizendők továbbá azok az elektronikus levelek, amelyek fegyelmi, büntető vagy polgári eljárások alapját képezhetik,

g) a nem hitelesíthető, kétes forrásból származó üzeneteket ki kell vizsgálni,

h) az elektronikus levelezés forgalmát – a technikai lehetőségek szerint – tartalmilag szűrni kell, a bizalmas adatok kiszivárgásának elkerülése érdekében,

i) minden felhasználót fel kell világosítani arról, hogy az ÖM levelezőrendszerén tárolt és továbbított levelek, az ÖM tulajdonát képezik, ezért az ÖM szabályzatokban és utasításokban feljogosított ellenőrző szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van,

j) az ÖM levelezőrendszere reklám, valamint egyéb üzleti célokra nem használható.

85.1. A levelezőrendszer elérése csak védett (hiteles és rejtjelezett) csatornán (pl. https) keresztül valósítható meg. A hozzáférés csak jelszavas védelmen keresztül történhet. A felhasználó felügyeleti lehetőségein kívüli (például nyilvános, idegen tulajdonú) munkaállomások, terminálok használata esetén csak az ennek megfelelő üzemmódban szabad bejelentkezni.

85.2. Az ÖM elektronikus levelezési címjegyzéke nem szolgáltatható ki külső személynek semmilyen célból.

Irodaautomatizálási rendszer

86. Az automatizált irodai rendszerek olyan komplex tevékenység elősegítésére jöttek létre, amelyek egyaránt tartalmazzák a dokumentumok, hangok és képek elektronikus eszközökkel való előállítását, kezelését, tárolását, valamint továbbítását. Az automatizált irodai rendszerekben használt eszközök (asztali és mobil számítástechnika, hangátvitel, multimédia stb.) összekapcsolása során több, egymással összefüggő biztonsági követelményt kell mérlegelni:

a) a továbbított és felhasznált adatok sebezhetőségének figyelembevétele,

b) az adatok minősítésük szerinti kezelése, a biztonsági osztályba sorolásnak megfelelő védelmi követelmények teljesítése, illetve betartásuk ellenőrzése az adatgazda feladata,

c) a felhasználók hozzáférési jogosultságainak meghatározásánál, kiosztásánál és használatuk ellenőrzése során figyelembe kell venni a jelen IBSZ előírásait,

d) a biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése stb.) haladéktalanul ki kell vizsgálni, és a vizsgálat eredményét jegyzőkönyvezni kell. Ezekért az adott szervezeti egység vezetője a felelős,

e) az érzékeny adatok védelmének a biztosítása (jogosultságok, hozzáférés, adatkezelés stb.),

f) a biztonsági másolatokat, mentéseket a rendszerre előírt módon kell kezelni és tárolni,

g) az irodaautomatizálási rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) az illetéktelen fizikai hozzáférés ellen is védeni kell.

Nyilvános rendszerek

87. Nyilvános rendszerben (pl. egy Interneten keresztül elérhető webszerveren) a fokozott integritást igénylő számítástechnikai programok, adatok és egyéb információk védelméhez megfelelő eszközökre – pl. digitális aláírás alkalmazására – van szükség. Az elektronikus hirdető rendszereknél – különösen azoknál, amelyek lehetővé teszik a visszajelzést és az információ közvetlen beléptetését – megfelelő eszközökkel kell gondoskodni a következőkről:

a) az információ megszerzésének módja feleljen meg a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény rendelkezéseinek,

b) időben kerüljön sor a rendszerbe bekerülő információ pontos és hiánytalan feldolgozására,

c) az adatok kezelése (gyűjtés, tárolás, feldolgozás) során gondoskodni kell az adatok, valamint az informatikai rendszerek védelméről,

d) a rendszerhez való külső hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz a belső hálózatokhoz, amelyekhez a rendszer csatlakozik.

Az adatcsere egyéb formái

88.1. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési és adatátviteli eszközökön keresztül kicserélt információk védelméről. Az információ nem biztonságos felhasználásának lehetséges okai: a szükséges ismeretek hiánya, az ilyen eszközök használatára vonatkozó irányelvek és eljárások nem kellő ismerete.

88.2. Figyelembe kell venni azt az eshetőséget is, hogy a távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különböző információkhoz.

88.3. A munkavállalók az adatátviteli eszközök használata során kötelesek a következő irányelveket és eljárási szabályokat betartani:

a) tekintettel arra, hogy nem hozhatnak nyilvánosságra belső adatokat, a telefonbeszélgetések során ügyelniük kell:

b) közvetlen környezetükben tartózkodó emberekre, különösen mobiltelefon használata során,

c) a telefonbeszélgetések – illetve a készülékek – lehallgatására és letapogató eszközök, vevőkészülékek alkalmazására,

d) a hívott félnél tartózkodó személyekre,

e) ne folytassanak bizalmas telefonbeszélgetéseket nyilvános helyeken vagy nyitott irodákban,

f) ne tároljanak feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni.

89. A faxgépek használata során a következőkre kell tekintettel lenni:

a) a dokumentumok és üzenetek – esetleges – téves számra való elküldése,

b) a gépek szándékos vagy véletlen programozása egy meghatározott címre szánt üzenetek továbbítására,

c) illetéktelen hozzáférés a beépített üzenettárolókhoz, az üzenetek visszakeresése és lehallgatása.

VIII. Hozzáférés-menedzsment

Irányelvek és követelmények

90. Az adatok és folyamatok elérését a biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerültek az adatok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek.

91. Minden informatikai rendszer hozzáférési rendszerét a megvalósítási projekt során a biztonsági osztálynak megfelelő követelményszinten kell megtervezni. Ebben pontos tartalmat kapnak a munkakörök, az objektumok és a hozzáférési módok, melyek meghatározásához a következőket kell figyelembe venni:

a) az egyes alkalmazások biztonsági követelményeit,

b) az alkalmazásokra vonatkozó összes információ azonosítását,

c) az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz a „need to know” elvet, a biztonsági szinteket és az adatminősítés alkalmazását,

d) különböző rendszerek és hálózatok hozzáférés-ellenőrző eszközeit és az információ minősítésére vonatkozó irányelvek közötti összhang megteremtését,

e) az adatok és szolgáltatások elérésének védelmére vonatkozó törvényi rendelkezéseket, szabályzatokat és a szerződésekben rögzített szabályokat,

f) azonos köztisztviselői csoportokra vonatkozó egységes irányelveket,

g) hozzáférési jogok kezelését a kapcsolatok összes típusát felismerő osztott és hálózatba szervezett környezetben.

A hozzáférés ellenőrzésének szabályai

92.1. A szabad belátás elve szerint kialakított hozzáférés-vezérlésnél a felhasználóknak az adatállományokhoz fűződő jogosultságai egyedi elbírálás alapján személyenként vagy csoportonként kerülnek meghatározásra.

92.2. Az előre meghatározott munkakörök (szerepkörök) szerinti hozzáférés-jogosultság vezérlés esetében az előre meghatározott felhasználói szerepkörökhöz, valamint az informatikai rendszer adatállományaihoz és erőforrásaihoz biztonsági címkéket kell hozzárendelni, amelyek tartalmát (adatcsoportok, adatvédelmi szintek, hozzáférési jogok) előre meghatározott módon kell kialakítani. Az egyes felhasználók eltérő szerepkörbe sorolhatók és megkapják a szerepkörhöz rendelt jogokat. A hozzáférés jogosságának elbírálása az adott szerepkör, illetve a hozzáférésre megcélzott adatállomány, erőforrás biztonsági címkéinek összehasonlításával történik. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás (MAC) használata a fokozott és a kiemelt biztonsági osztályokban kötelező.

92.3. Mindegyik informatikai rendszernél a minimálisan használandó szerepköröket, valamint az azokhoz tartozó legjellemzőbb funkciókat külön-külön kell meghatározni. A szerepkörök tartalmát az SZMSZ-ben és más utasításokban meghatározott munkakörök határozzák meg.

92.4. A standard munkakörök az informatikai rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést és szükség esetén további rész-szerepkörökre bonthatók.

92.5. Az informatikai rendszerrel dolgozó minden munkatárs a védelmi rendszertervben konkrétan meghatározott szerepkörbe sorolandó és örökli a szerepkörre meghatározott hozzáférési jogokat.

92.6. A munkaköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során az informatikai biztonsági felelősnek kell meghatároznia és jóváhagyatnia az adatgazdával.

92.7. Új rendszerek bevezetésekor a Single Sign-On (SSO) módszer alkalmazására kell törekedni!

A felhasználói hozzáférés menedzsmentje

93.1. Az információs rendszerek illetéktelen elérésének megakadályozása, érdekében megfelelő hozzáférési rendszert kell kialakítani. Hozzáférési jogosultság csak írásban kérhető, a 3. függelékben foglalt formanyomtatványon.

93.2. Minden szerepkör feljogosít meghatározott fizikai, illetve logikai biztonsági tartományba (pl. szerverszoba, gépterem, archiváló helyiség, illetve adott alkalmazás, hálózati szegmens, munkahelyi állomás stb.) történő belépésre és abban az engedélyezett fizikai, illetve logikai objektumokhoz való hozzáférésre az engedélyezett hozzáférési jogokkal.

93.3. Hivatalos eljárásokkal kell szabályozni az információs rendszerekre és szolgáltatásokra vonatkozó hozzáférési jogok kiosztásának ellenőrzését.

93.4. Az eljárásoknak ki kell terjedniük a felhasználói hozzáférés életciklusának minden egyes szakaszára, az új felhasználók kezdeti bejelentkezésétől az olyan felhasználók kijelentkezéséig, akik többé már nem igénylik (nem igényelhetik) az információs rendszerek és szolgáltatások elérését. Külön figyelmet érdemel az elsőbbségi hozzáférési jogok kiosztása, melyek lehetővé teszik, hogy egyes felhasználók megkerüljék a rendszer ellenőrző eszközeit.

94.1. Hivatalos be- és kijelentkezési eljárást kell működtetni, amely alapján mindegyik több-felhasználós rendszerben és szolgáltatásnál szabályozni lehet a felhasználók hozzáférését.

94.2. A felhasználó azonosító az informatikai rendszert használó identitásának egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas megjelenítése kell hogy legyen az informatikai rendszerben. A felhasználók közé sorolandók a természetes személyek, folyamatok, vagy egyéb eszközök egyaránt. Az egyedi felhasználói azonosítót a hozzáférés szabályozására, az adatok és az információk védelmére, valamint a hitelesítés támogatására kell felhasználni. Biztosítani kell, hogy a felhasználó azonosítója az egyes erőforrásokhoz, folyamatokhoz és az adatokhoz való hozzáférést megfelelően szabályozza (korlátozza) és követhető, ugyanakkor a biztonsági funkciók működése során ellenőrizhető legyen a biztonsági rendszer által számára.

94.3. A felhasználó azonosítónak minden esetben egyedinek kell lennie, (azaz semmilyen körülmények között sem adható ki különböző felhasználók részére megegyező azonosító).

94.4. A felhasználói azonosítók képzésére központi névkonvenciós szabályzatot kell készíteni. A felhasználói azonosítók képzését az ÖM-en belül egy helyen kell végrehajtani.

94.5. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) naplózni kell.

94.6. Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják.

94.7. A felhasználói azonosítók nem örökérvényűek. Ennek megfelelően a következő szabályokat kell alkalmazni:

a) az ÖM munkatársai, illetve külső személyek – amennyiben munkakörük, illetve beosztásuk alapján az informatikai rendszer szolgáltatásait igénybe vehetik –, munkába állásuk után haladéktalanul kapják meg felhasználói azonosítójukat. Az utasítási jogkört gyakorló vezető – legalább 3 munkanappal – a munkába lépés előtt igényelje meg a felhasználói-azonosítót a hozzáférési jogosultságok megjelölésével (1. függelék). Más azonosítója átmenetileg sem használható. A kapott felhasználói azonosítót haladéktalanul érvényesíteni kell,

b) az ÖM munkatársainak felhasználói azonosítóját munkaviszonyuk megszűnésével, a külső személyek felhasználói azonosítóját megbízatásuk lejártával, haladéktalanul le kell tiltani. A megszűnt munkaviszonyú felhasználó a rendszer szolgáltatásait nem veheti igénybe és erőforrásait nem használhatja,

c) a jogviszonyukat huzamosabb ideig szüneteltető (pl. képviselőjelölt, önkéntes tartalékos katonai szolgálat, gyermek szülése), illetve a tartósan más okból távollévő (külföldi kiküldetés, elhúzódó gyógykezelés) munkatársak felhasználói azonosítóját le kell tiltani, illetve munkába állásukkal egy időben ismét engedélyezni kell,

d) a köztisztviselők áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltása, vagy a jogosultságok törlése, illetve új azonosítók vagy jogosultságok létrehozása) az áthelyezéssel egy időben, haladéktalanul át kell vezetni,

e) külső személyek, akik valamilyen okból igénybe vehetik az ÖM bármelyik rendszerének szolgáltatásait, csak meghatározott időre, és korlátozott lehetőségeket biztosító (pl. egy adott projekt keretein belül érvényes) felhasználói azonosítót kaphatnak. A részükre kiadott azonosító szerkezetileg feleljen meg a szervezeten belüli dolgozók azonosítójával, de legyen egyértelműen és könnyen megállapítható, hogy az adott felhasználói azonosító külső személyé,

f) azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének időpontját, ha egy felhasználó azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), azonosítóját le kell tiltani és erről a dolgozó munkahelyi vezetőjét értesíteni szükséges, megjelölve az érvénytelenítés okát,

g) a Humánerőforrás és Civilkapcsolati Főosztály vezetőjének haladéktalanul kezdeményeznie kell a kilépő dolgozó összes azonosítójának letiltását.

A jogosultságok kezelése

95. Standard jogosultságok:

a) olvasási jog (betekintés),

b) létrehozási jog,

c) módosítási jog,

d) törlési jog.

96.1. A hozzáférés-jogosultság vezérlésére a szerepkör szerinti hozzáférés (MAC) elvét kell alkalmazni, valamint a biztonsági adminisztrátori szerepkört elkülönítetten kell létrehozni.

96.2. A biztonsági naplóállományokat két példányban, időszakosan, és elkülönítetten tárolt, egyszer írható adathordozóra kell archiválni.

96.3. A rendszernek alkalmasnak kell lennie a hozzáférési jogok egyedi vagy csoport szinten való megkülönböztetésére és szabályozására. A hasonló szerepű személyek csoportjai munkájának támogatására hozzáférési jogosultsági csoportokat kell kialakítani.

96.4. Az ÖM informatikai rendszeréhez való hozzáférési jog megadása csak a 3. függelékben foglalt hálózati jogosultság igénylő lap szabályos kitöltése után lehetséges. A hálózati jogosultság igénylő lapok megőrzése és karbantartása az informatikai üzemeltetés feladata.

A felhasználói jelszavak kezelése

97.1. Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó megadása.

97.2. A felhasználónak kötelezően alá kell írnia egy nyilatkozatot, melyben felelősséget vállal személyes jelszavainak bizalmas kezelésére. (1. függelék.)

97.3. A belépéskor kapott, illetve – pl. ha a felhasználó elfelejtette a jelszavát – az ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes – pl. személyes – azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig lehetnek érvényesek, megváltoztatásuk kötelező.

97.4. Telefonon, illetve elektronikusan aláíratlan e-mail-en történő kérésre, jelszóváltoztatás nem kezdeményezhető.

97.5. A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail), vagy személyesen.

97.6. A jelszónak minden felhasználó számára szabadon megváltoztathatónak kell lennie.

97.7. A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:

a) a jelszó legalább 8 karakterből álljon,

b) a jelszót a kisbetű (a-z), nagybetű (A-Z), szám (0-9) és a jelek halmazából legalább két csoport felhasználásával kell képezni, a jelszó 12 hónapig és legalább 4 jelszóváltásig nem ismételhető,

c) a jelszó maximális élettartama 3 hónap,

d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,

e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszó cseréjét,

f) a számítógépes rendszerekben a jelszavakat tilos nyílt formában tárolni. A jelszófájlokat megfelelő rejtjelezési védelemmel kell ellátni,

g) a jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos.

97.8. Automatikus bejelentkezési eljárások (pl. batch-fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. A felhasználó azonosítók és jelszavak nem tárolhatók rejtjelezetlen formában. Felhasználói azonosítók, jelszavak, kriptográfiai kulcsok és az ehhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. Amennyiben munkahelyi felsővezetők felhasználói azonosítóit, jelszavait, illetve rejtjelező titkos kulcsait, vagy az ehhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelésen kell lezárt, lepecsételt borítékban őrizni különösen védendő munkaállomásain mérlegelni kell chipkártyás, illetve biometrikus, vagy más azonosítás alkalmazását.

98.1. Biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága munkakörüknek megfelelő legyen.

98.2. Az informatikai biztonsági felelős a rendszergazdák, a Humánerőforrás és Civilkapcsolati Főosztály és az alkalmazásgazda bevonásával a jogosultságokat rendszeres időközönként ellenőrizi. Az általános felhasználók esetében ezt évente, míg a kiemelt jogosultsággal rendelkező felhasználók esetében legalább 3 havonta kell megtenni. Rendszeresen ellenőrizni kell azt is, hogy privilegizált jogokkal csak egyedileg azonosítható felhasználók, csoportok és eszközök rendelkezhessenek.

98.3. A munkakörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni, és az új munkakörnek megfelelően módosítani kell.

A felhasználó feladatai

99. Meg kell akadályozni az illetéktelen felhasználói hozzáférést az informatikai rendszer erőforrásaihoz. A biztonság hatékonyságához nélkülözhetetlen az engedéllyel rendelkező felhasználók együttműködése.

100. A felhasználóknak tudomással kell bírniuk a hozzáférés hatékony ellenőrzésére alkalmas eszközök használatáról, különös tekintettel a jelszavak használatára és a felhasználó kezelésében lévő berendezések biztonságára.

101.1. A jelszavakat bizalmasan kell kezelni, azok más személyeknek nem adhatók meg, nyilvánosságra nem hozhatók.

101.2. A jelszavakat nem szabad papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavakat kötelező zárt borítékban, két példányban, két különböző helyen, legalább zárható lemezszekrényben tárolni.

101.3. Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie.

101.4. A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználó személyére utaló információkat (pl. neveket, telefonszámokat, születési dátumokat), összefüggő szövegként ne legyen olvasható.

101.5. Legalább 3 havonta rendszeresen cserélni kell a rendszerben használt felhasználói jelszavakat, kerülve a korábban használt jelszavak ismételt vagy ciklikus használatát.

101.6. Első bejelentkezés alkalmával a kötelező jelszócserét végre kell hajtani.

101.7. Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmeztetése alapján, a felhasználó köteles gondoskodni arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót.

101.8. A biztonságos jelszóhasználat szabályait minden felhasználónak oktatni kell.

101.9. A felhasználó azonosítójával és jelszavával az informatikai rendszerben végrehajtott műveletekért személyesen felel.

101.10. Amennyiben a felhasználó multiplatformos környezetet, vagy több hitelesítést igénylő alkalmazást használ, lehetőség van a felhasználó számára egyetlen kellő hosszúságú és bonyolultságú jelszó alkalmazására az összes rendszeren. (A multiplatformos rendszerekben használatos jelszó hossza min. 12 karakter, ezen kívül vegyesen tartalmaznia kell alfabetikus és numerikus karaktereket is.) Az ilyen jelszavaknál fokozottan ügyelni kell arra, hogy ne tartalmazzanak egymást követő azonos karaktereket.

102.1. A felhasználóknak gondoskodniuk kell a felügyelet nélkül hagyott eszközök megbízható védelméről. A felhasználó helyiségeiben felállított és a hosszabb időre felügyelet nélkül hagyott berendezéseknél – többek között munkaállomásoknál vagy szervereknél –, külön védelemre lehet szükség az illetéktelen hozzáférés megakadályozására. Mindegyik felhasználónak és harmadik személynek meg kell ismernie a felügyelet nélkül hagyott berendezésékre vonatkozó biztonsági követelményeket és eljárásokat, valamint a védekezés megvalósítására vonatkozó saját felelősségüket.

102.2. Az informatikai rendszerekhez csak olyan kihelyezett terminál funkció használata engedélyezhető, melynek működése az informatikai rendszerből menedzselhető (beleértve a jogosultságok vezérlését is), továbbá abból szükség esetén kizárható. A központi védelmi funkciók és a távoli csatlakozó berendezés védelmi funkcióinak együttes megléte alapvető feltétele a távoli hozzáférési jog engedélyezésének.

102.3. Azokban a rendszerekben, ahol lehetőség van rá, biztosítani kell a hosszabb ideig inaktív munkaállomások rendszer által kikényszerített kijelentkezését, vagy a berendezés blokkolását (lock), például a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált képernyővédő funkciót. (A munkaállomáshoz történő visszatéréskor a képernyővédő funkció feloldása csak sikeres jelszó megadás után legyen lehetséges.)

102.4. A PC-s terminál használata esetén, a PC használata a nem azonosított és hitelesített felhasználók számára nem megengedett.

102.5. Megfelelő védelmi eszköz vagy beépített védelemmel nem rendelkező operációs rendszerek nem használhatók.

102.6. A napi munkavégzés befejezését követően a munkaállomások kikapcsolása kötelező.

A hálózati szintű hozzáférések menedzsmentje

103.1. A hálózatba szervezett szolgáltatások védelme érdekében szabályozni és ellenőrizni kell a belső és külső hálózatba szervezett szolgáltatások elérését annak érdekében, hogy hozzáférési jogosultsággal rendelkező felhasználók ne veszélyeztethessék a hálózatba szervezett szolgáltatások biztonságát. Ellenőrizni kell a belső és külső hálózatokban működő szolgáltatások elérését.

103.2. Az ellenőrzés és a menedzselés eszközei a következők:

a) megfelelően biztonságos kapcsolatok létesítése a szervezet hálózata és más szervezetek tulajdonában levő hálózatok vagy nyilvános hálózatok között,

b) a felhasználók és az eszközök hitelesítésének mechanizmusa,

c) az informatikai szolgáltatások felhasználóinak menedzselése, hozzáférésük vezérlése.

104.1. A hálózatba szervezett szolgáltatásokhoz való nem eléggé kellően biztonságos csatlakozások hatással lehetnek a szervezet egészére. Alapvető követelmény, hogy a felhasználók közvetlenül csak azokhoz a szolgáltatásokhoz férhessenek hozzá, amelyekre engedélyük kifejezetten vonatkozik. Ennek az ellenőrzése különösen fontos az érzékeny vagy kritikus alkalmazásokhoz való hálózati csatlakozások vagy a különösen nagy kockázattartalmú helyen tevékenykedő felhasználók – többek között olyan nyilvános vagy külső területek – esetében, amelyek kívül esnek a szervezet biztonsági irányításán és ellenőrzésén.

104.2. A hálózatok és a hálózati szolgáltatások használata során a következő tényezőkre kell figyelni:

a) meg kell határozni az engedélyezett hálózatok, valamint az engedélyezett hálózati szolgáltatások elérési kritériumait,

b) az engedélyezési eljárás során meg kell határozni az engedélyezett hálózatokat és hálózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat, melyek valamiképpen kapcsolatba kerülnek a hálózatokkal és a hálózati szolgáltatásokkal,

c) menedzselési és ellenőrzési eljárásokat kell kialakítani,

d) ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra, hitelesítésre, hozzáférés-szabályozásra, bizalmasságmegőrzésre és az ellenőrzésre vonatkozó szabályokkal. Mindegyik igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni,

e) az elektronikus úton továbbított üzenetek, állományok tekintetében az Ügyviteli és Iratkezelési Szabályzatnak megfelelően kell eljárni,

f) a felhasználók számára a hálózati erőforrások használatát a munkájukat nem veszélyeztető mértékig korlátozni kell,

g) az adatvesztés és sérülés elkerülése érdekében hibadetektáló és -javító eljárásokat kell alkalmazni,

h) a hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást ne használják illetéktelenül.

105.1. Az alkalmazásgazda feladata, hogy ellenőrizze a felhasználói terminál és a szerver közötti útvonalat. A hálózatok alapvető rendeltetése, hogy biztosítsák az erőforrások megosztását és a rugalmas útvonal-kiválasztást. Ez esetenként lehetővé teheti az alkalmazások engedély nélküli elérését, vagy az informatikai eszközök engedély nélküli használatát. Egy felhasználói terminál és a felhasználó által használható számítástechnikai szolgáltatások közötti útvonalat korlátozó ellenőrző eszközök alkalmazása – azaz egy kötelező útvonal kialakítása – csökkentheti a lehetséges kockázatokat.

105.2. A kötelezően előírt útvonal célja, hogy a felhasználók ne választhassanak a felhasználói terminál és a felhasználó számára hozzáférhető szolgáltatások közötti – az engedélyben rögzített – útvonalon kívül eső útvonalat. Ehhez általában arra van szükség, hogy az útvonal különböző pontjain megvalósuljanak a megfelelő ellenőrző eszközök. Az elv lényege, hogy előre meghatározott választási lehetőségekkel korlátozzák a hálózat minden egyes pontján a választható útvonalak számát. Ennek lehetséges megoldásai:

a) a hálózat aktív eszközeivel, az operációs rendszer beállításaival és az alkalmazói programokkal kell biztosítani a lehető legnagyobb fokú hálózati erőforrás-, szegmensszétválasztást, valamint a felhasználók munkájához szükséges (és csak az ahhoz szükséges) útvonalakat,

b) kiválasztott vonalak vagy telefonszámok kijelölése,

c) az egyes felhasználó által választható menü- és almenü opciók korlátozása,

d) a korlátlan hálózati „böngészés” megakadályozása,

e) meghatározott felhasználói rendszerek és/vagy biztonsági kapuk kötelező használatának elrendelése a külső hálózati felhasználóknál,

f) az engedélyezett forrás és a rendeltetési hely közötti kommunikációk megelőző ellenőrzése biztonsági kapukkal, pl. tűzfalakkal,

g) a hálózati hozzáférés korlátozása különálló logikai struktúrák (pl. zárt virtuális hálózatok), létrehozásával a szervezeten belül bizonyos felhasználói csoportok számára.

Azonosítás távoli kapcsolatnál, távdiagnosztikai portok védelme

106.1. A távoli felhasználók hozzáférését hitelesítéshez kell kötni. A kriptográfiai technikákra alapozott módszerek lehetővé teszik a felhasználók megbízható hitelesítését. Kockázatelemzés alapján fel kell mérni a védelem szükséges mértékét, annak érdekében, hogy kiválasztható legyen a hitelesítés megfelelő módszere.

106.2. A távoli felhasználók hitelesítése megoldható többek között kriptográfiai technikával, gépi jelzéssel vagy kérdés/felelet protokollal. A csatlakozások forrásának ellenőrzése kiválasztott magánvonalakkal vagy hálózati felhasználói címek ellenőrzésére alkalmas eszközökkel is lehetséges.

106.3. A visszahívási eljárások és ellenőrző eszközök használata védelmet nyújthat az ÖM adatfeldolgozó eszközeihez való illetéktelen és nem kívánatos hozzáféréssel szemben. Az ilyen jellegű ellenőrzés hitelesíti azokat a felhasználókat, akik egy távoli helyről kívánnak kapcsolatot teremteni az ÖM hálózatával. Fontos továbbá, hogy a visszahívás folyamata garanciákat tartalmazzon arra az esetre is, hogy az ÖM oldalán valóban megtörténik a kapcsolat megszakítása. (Ellenkező esetben a távoli felhasználó nyitva tarthatja a vonalat és szimulálhatja a visszahívás megtörténtét. Ennél a lehetőségnél gondoskodni kell a visszahívási eljárások és ellenőrző eszközök alapos vizsgálatáról is.)

106.4. Mindegyik felhasználói igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok, vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni. A felhasználókkal a szolgáltatások indítása, vagy az azokkal történő kommunikáció megkezdése előtt végre kell hajtani a hitelesítési eljárást.

106.5. Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét.

106.6. A hálózati erőforrások használatát a felhasználók számára korlátozni kell.

106.7. Megosztott erőforrások csak azonosítás után legyenek elérhetők. Munkaállomások megosztását (azok védelmének nehézsége miatt) kerülni kell.

106.8. Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call back) lehetőségét.

106.9. Csak a kellően biztonságos környezetben, megfelelő technikákkal biztosított helyeken lehet a távoli elérést biztosítani.

106.10. Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani.

107.1. Egy távoli számítógéphez való automatikus csatlakozás lehetősége egy alkalmazáshoz való illetéktelen hozzáférést tehet lehetővé, ezért a számítástechnikai rendszerekhez távolról való összes csatlakozást hitelesíteni kell. Ez különösen fontos akkor, ha a csatlakozás egy olyan hálózatot használ, amely kívül esik a szervezet biztonsági rendszerének ellenőrzésén.

107.2. Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról lehessen a rendszerekbe belépni. Egységes munkaállomás-névhasználatot kell kialakítani, a hálózatban lévő munkaállomások pontos azonosítása érdekében.

108.1. Az informatikai üzemeltetőnek gondoskodnia kell a diagnosztikai portok hozzáférésének biztonságos ellenőrzéséről. Számos számítógép és kommunikációs rendszer rendelkezik egy tárcsázással működtethető távoli diagnosztikai eszközzel, amelyet a karbantartásért felelős műszaki szakemberek használhatnak. Kellő védelem hiányában ezek a diagnosztikai illesztőegységek az illetéktelen hozzáférés eszközeiként használhatók. Ezért megfelelő biztonsági mechanizmussal, többek között zárral vagy eljárással gondoskodni kell arról, hogy ezekhez csak az informatikai biztonságért felelős vezető engedélye (szerződés) alapján lehessen hozzáférni.

108.2. A távdiagnosztikai szolgáltatással rendelkező eszközök esetén a menedzselést csak azonosító és jelszó együttes használatával szabad elérni.

108.3. Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott ezt a lehetőséget kifejezetten minden esetben le kell tiltani.

A hálózatok biztonsági szegmentálása

109.1. A hálózatok biztonságának ellenőrzésére alkalmas módszerek egyike a hálózatok felosztása önálló logikai hálózati struktúrákra; ezek mindegyikét egy meghatározott biztonsági gyűrű (háló) védi. Ez kialakítható többek között oly módon is, hogy a két összekapcsolható hálózat között egy biztonsági kapu (pl. tűzfal) ellenőrzi a hozzáférést és a két struktúrahálózat közötti információáramlást. Ennek a konfigurációnak alkalmasnak kell lennie a két struktúrahálózat közötti forgalom szűrésére, valamint – az ÖM hozzáférést ellenőrző hatályos irányelveinek megfelelően – az illetéktelen hozzáférés megakadályozására.

109.2. A hálózatok elkülönítésének kritériumait a hozzáférés ellenőrzésére vonatkozó irányelvek és a hozzáférési igények alapján kell kialakítani; aminek során figyelembe kell venni a megfelelő hálózati útvonal-kiválasztási vagy kapuzási technológia tényleges és fajlagos költségeit és a teljesítményre gyakorolt hatását.

A hálózatra való csatlakozások és a hálózati útvonal kiválasztásának ellenőrzése

110.1. Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága szükségessé teszi bizonyos ellenőrző eszközök alkalmazását a felhasználók csatlakozási lehetőségeinek korlátozására. (Ezeket a forgalomszűrő, -ellenőrző lehetőségeket amennyiben szükséges, a gateway és az operációs rendszeri beállításánál alkalmazni kell.)

110.2. Korlátozó rendelkezéseket többek között a következő esetekben célszerű alkalmazni:

a) elektronikus levelezés,

b) egyirányú adatállomány mozgatása (pl. mentési rendszerek esetében),

c) adatállomány mozgatása mindkét irányban,

d) meghatározott időponthoz kötött hálózati hozzáférés.

111. Az ÖM szervezetén túlterjedő hálózatoknál kötelező az útvonal-kiválasztást ellenőrző és vezérlő eszközök, módszerek alkalmazása, ahol:

a) a rendszerdokumentációban pontosan meg kell adni az elérni kívánt eszközök címét, portszámát és egyéb, a biztonsági szűréshez szükséges adatokat,

b) az útvonalak kialakításáért az adathálózati terület a felelős,

c) a beállításokat minden esetben tesztelni és jegyzőkönyvezni kell.

A hálózati szolgáltatások biztonsága

112. Mivel a különböző hálózatok szolgáltatásainak kínálata rendkívül széles, jelentős részük még számos többletszolgáltatással rendelkezik, ezért fontos, hogy a rendszer telepítése során csak azokat a hálózati szolgáltatásokat implementáljuk a rendszerbe, melyekre az üzemeltetéshez feltétlenül szükség van. A feleslegesen installált hálózati szolgáltatások, protokollok az esetleges biztonsági rések számát növelhetik. A rendszerüzemeltetőnek minden esetben fel kell mérnie, és minden részletre kiterjedően dokumentálnia kell az általa alkalmazott hálózati szolgáltatás egyedi egyedülálló, illetve összetett biztonsági jellemzőit. Amennyiben több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatot üzemeltető szervezet feladata.

Az operációs rendszer szintű hozzáférések ellenőrzése

113.1. Az informatikai eszközök illetéktelen elérésének megakadályozása érdekében az operációs rendszer szintjén rendelkezésre álló biztonsági lehetőségeket is fel kell használni a számítástechnikai erőforrásokhoz való hozzáférés korlátozásához. Ezeknek a következőket kell lehetővé tenniük:

a) az engedéllyel rendelkező felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása,

b) a sikeres és az eredménytelen hozzáférési kísérletek rögzítése,

c) megfelelő hitelesítési eszközök és – jelszókezelő rendszer használata esetén – minőségi jelszavak biztosítása,

d) adott esetben a felhasználók csatlakozási idejének korlátozása.

113.2. Amennyiben a kockázatok alapján ez indokolt, más hozzáférést vezérlő módszerek (pl. ujjlenyomat azonosító eszközök, chipkártya, kérdés-felelet) is alkalmazhatók.

114. A terminál automatikus azonosítása kötelező, ha fontos és indokolt, hogy egy munkát, vagy tranzakciót csak egy adott terminálról lehessen kezdeményezni. Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról, címekről lehessen a rendszerekbe belépni. Egységes munkaállomás-névhasználatot kell kialakítani.

115.1. A számítógéprendszerbe való bejelentkezési folyamatnak minimumra kell csökkentenie az illetéktelen hozzáférés lehetőségét. Ennek során csak a bejelentkezés eredményes befejezése után jelenhet meg a használni kívánt rendszerre vonatkozó adat, azonosító stb.

115.2. A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása után kerülhet sor; sikertelenség esetén nem jelölheti meg a hibás, elrontott azonosítót, jelszót.

115.3. Korlátozni kell az eredménytelen bejelentkezési kísérletek számát, rögzíteni kell az eredménytelen kísérleteket, időtúllépés esetén meg kell szüntetni az adatátviteli kapcsolatot.

116.1. Biztonságos bejelentkezési folyamatot kell kialakítani, melynek során

a) az azonosítás és hitelesítés keretében a hozzáférési jogosultságot jelszavakkal kell ellenőrizni. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen megkerülhető, illetve könnyen megfejthető,

b) a felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas kell hogy legyen,

c) a munkakör megváltozásakor a felhasználók hozzáférési jogosultságait felül kell vizsgálni, és ennek alapján módosítani kell,

d) biztosítani kell a felhasználói azonosítók időszakos vagy végleges letiltásának lehetőségét.

e) a rendszerhozzáférés szempontjából meghatározó erőforrásaihoz (pl. fájlok, tároló területek, berendezések stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáférési jogosultság meghatározásának alapjául szolgálnak.

117. Mindazon operációs rendszerelemeket, segédprogramokat, amelyek a munkavégzéshez nem szükségesek, nem kell telepíteni, vagy amennyiben ez elkerülhetetlen, úgy el kell távolítani azokat a rendszerből. Amennyiben ilyen rendszerelemek, segédprogramok használatára szükség van, azt jogosultságokhoz, felhasználókhoz kell kötni.

118.1. A különösen fontos munkaállomásokat, illetve a nagy kockázatú rendszereit kiszolgáló inaktív terminálokat az inaktivitás kezdetétől számítva legfeljebb 30 perc elteltével ki kell kapcsolni, az illetéktelen személyek hozzáférésének megakadályozása érdekében. Ennek a funkciónak az inaktív időkorlát elteltével automatikus mentést kell végrehajtania, le kell törölnie a képernyőt, be kell zárnia a futó alkalmazásokat, és meg kell szüntetnie a hálózati kapcsolatokat.

118.2. Az alkalmazott időkorlátnak, valamint a zárolás szintjének meg kell felelnie a rendszer biztonsági osztályának.

119. Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére időkorlátokat kell bevezetni (pl. internetes szolgáltatások), ami az illetéktelen hozzáférés lehetőségeit és kockázatát csökkenti.

Alkalmazás szintű hozzáférések vezérlése

120.1. Az illetéktelen hozzáférés megakadályozására a felhasználói rendszereken belül biztonsági eszközöket is kell alkalmazni.

120.2. A programok és az adatok logikai hozzáférését minden esetben az engedéllyel rendelkező felhasználókra kell korlátozni. A felhasználói rendszernek nem szabad befolyásolnia olyan más rendszerek biztonságát, amelyekkel az adott rendszer megosztva használ különböző informatikai erőforrásokat. A felhasználói rendszerekben:

a) a mindenkori hatályos hozzáférési irányelveknek megfelelően ellenőrizni kell az adatokhoz és a felhasználói rendszer funkcióihoz való felhasználói hozzáférést,

b) védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram és operációs rendszerprogram számára ott, ahol meg lehet kerülni a rendszer vagy az alkalmazás ellenőrző eszközeit.

121. Abban az esetben, amennyiben azt a kialakított rendszer sajátossága szükségessé teszi, az alkalmazás szintjén is szabályozni kell az adatelérést (pl. megfelelő menük alkalmazásával, a dokumentációhoz és a rendszerfunkciókhoz való hozzáférés szelektívvé tételével stb.).

Hozzáférés a biztonsági monitoringrendszerhez és a rendszer használata

122. Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében:

a) figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és rögzíteni kell a megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához, és segítséget nyújtsanak a szabályzat aktualizálásához,

b) a rendszer nyomon követése tegye lehetővé az ellenőrző eszközök hatékonyságának ellenőrzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését,

c) a biztonsági monitorrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell.

123.1. A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni és azt a hozzáférés nyomon követhetősége érdekében meg kell őrizni.

123.2. Az elszámoltathatóság és auditálhatóság biztosítása érdekében a regisztrálási és a naplózási rendszert (biztonsági napló) úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenőrizni lehet a hozzáférések jogosultságát, meg lehet állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét.

124.1. A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet egyedi regisztrálására. A következő eseményeket naplózni kell:

a) rendszerindítások, -leállítások,

b) rendszeróra-állítások,

c) be- és kijelentkezések,

d) programleállások,

e) az azonosítási és a hitelesítési mechanizmus használata,

f) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,

g) azonosítóval ellátott erőforrás létrehozása vagy törlése,

h) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik.

124.2. A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következő adatokat is rögzíteni kell:

a) a felhasználó azonosítása és hitelesítése esetén:

aa) dátum,

ab) időpont,

ac) a felhasználó azonosítója,

ad) az eszköz (pl. terminál) azonosítója, amelyről az azonosítási és hitelesítési művelet kezdeményezése történt,

ae) a hozzáférési művelet eredményessége vagy sikertelensége,

b) az olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáférési jogok ellenőrzése kötelező:

ba) dátum,

bb) időpont,

bc) a felhasználó azonosítója,

bd) az erőforrás azonosítója,

be) a hozzáférési kezdeményezés típusa,

bf) a hozzáférés eredményessége vagy sikertelensége.

c) az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező:

ca) dátum,

cb) időpont,

cc) a felhasználó azonosítója,

cd) az erőforrás azonosítója,

ce) a kezdeményezés típusa,

cf) a művelet eredményessége vagy sikertelensége.

d) a felhatalmazott felhasználók (pl. rendszeradminisztrátorok) olyan műveletei esetén, amelyek a rendszer biztonságát érintik:

da) dátum,

db) időpont,

dc) a műveletet végző azonosítója,

dd) az erőforrás azonosítója, amelyre a művelet vonatkozik,

de) a művelet eredményessége vagy sikertelensége.

125.1. Minden tevékenységet naplózni kell. A naplófájlok tartalmát megadott időintervallum alapján képernyőn és nyomtatón is meg kell tudni jeleníteni. A naplóállományokat nem lehet megsemmisíteni, felülírni, módosítani, viszont archiválni kell őket.

125.2. A naplóállományoknak kódoltaknak, ellenőrző összeggel ellátottaknak kell lenniük. A hibás bejelentkezési kísérletek számát rögzíteni kell.

125.3. Nyilvántartást kell vezetni az egyes képernyőkhöz hozzáféréssel rendelkező felhasználói csoportokról és a jogosultságáról; illetve arról, hogy egy adott felhasználói csoport melyik képernyőkhöz és milyen jogosultsággal férhet hozzá. Nyilván kell tartani a jelszócsere dátumát.

125.4. A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenőrizni és archiválni kell. A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzőkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és mik ezek a szankciók. A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni. A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetéktelen hozzáféréstől.

125.5. A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotának regisztrálhatónak és dokumentálhatónak kell lennie. A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát.

125.6. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.

126.1. A felhasználók által elvégzett tevékenységeket – az ellenőrizhetőség érdekében – rögzíteni, naplózni kell.

126.2. Az informatikai rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az adott informatikai rendszer üzemeltetéséért felelős szervezeti egység felelős vezetőjének és az informatikai biztonsági megbízottnak rendszeresen ellenőriznie kell.

126.3. Az informatikai rendszer üzemeltetéséről nyilvántartást (adatkérések, adatszolgáltatások, feldolgozások stb.) kell vezetni, amelyet az informatikai rendszer üzemeltetéséért felelős szervezeti egység vezetőjének (osztályvezető) rendszeresen ellenőriznie kell.

127.1. Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és rendszeridő beállítására.

127.2. A rendszerdátum és a rendszeridő beállítására kizárólag az informatikai biztonságért felelős vezető által kijelölt munkatársak jogosultak, az időpont beállítását jegyzőkönyvezni kell.

Mobil informatikai tevékenység, távmunka

128. A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek összhangban kell lennie ennek a speciális munkavégzésnek a kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges módját és eszközeit. A mobil számítástechnikai eszközökön gondoskodni kell a rejtjelezett adattárolásról és adatátvitelről. Távmunka, távoli hozzáférés esetén az ÖM érintett szervezeti egységeinek gondoskodniuk kell a biztonságos adatkapcsolat létrehozásáról, a kapcsolatot tartó hely védelméről.

129. A mobil informatikai eszközök nem hagyhatók felügyelet nélkül, amennyiben nem biztosítható azok előírt védelme. Ki kell alakítani a mobil informatikai eszközök megfelelő fizikai védelmét, és a kommunikációhoz védett csatornáról kell gondoskodni. Vírus- és behatolásvédelmi eszközöket kell biztosítani a mobil eszközökre. Fokozott figyelmet kell fordítani a mobil eszközökön tárolt adatok bizalmasságának védelmére. A távoli elérésre vonatkozó szabályokat a mobil informatikai eszközökre is alkalmazni kell.

130.1. Távmunka esetén is gondoskodni kell a biztonsági követelmények és előírások betartásáról, valamint a megfelelő és rendszeres ellenőrzésről.

130.2. A távmunkát végző az ÖM hálózatához csak a kijelölt csatlakozási pontokon keresztül csatlakozhat, amelyeket az informatikai biztonságért felelős vezető határoz meg.

130.3. A munkaállomásokon egyidejűleg modem és hálózati kártya csak a PEF vezetőjének külön engedélyével használható.

130.4. A távmunkát végző gépekkel az Internetre csatlakozni nem lehet. Ezekre a gépekre vírusvédelmi és biztonsági eszközöket kell telepíteni, amelyeket használni kell.

Az informatikai rendszerek fejlesztése és karbantartása

Az informatikai rendszerek informatikai biztonsági követelményei

131.1. Az informatikai rendszerek (infrastruktúra, alkalmazások és a felhasználó által kifejlesztett alkalmazások) integrált biztonságát a biztonságpolitikai szempontok szerint kell kialakítani. A biztonság egyik feltétele az alkalmazást vagy szolgáltatást támogató folyamat megtervezése és megvalósítása. Az informatikai rendszerek kifejlesztése előtt meg kell határozni és egyeztetni kell a biztonsági követelményeket az informatikai biztonsági felelőssel.

131.2. Egy projekt követelményeinek megfogalmazása során meg kell határozni az összes biztonsági követelményt. Ezeket a követelményeket és szükséges megoldásokat egy informatikai rendszer fejlesztésének részeként kell megindokolni, egyeztetni és dokumentálni. A projektek során az informatikai biztonsági előírásokat kell érvényesíteni.

132.1.Az ÖM informatikai beruházásai elkészítésének fázisában a fejlesztési tervek előkészítésére vonatkozó utasítások figyelembevételével az informatikai biztonsággal kapcsolatban a következőknek kell szerepelnie az elkészítendő dokumentum(ok)ban:

a) az informatikai rendszer által kezelendő adatoknak az információvédelem és a megbízható működés szempontjából történő elemzése, valamint és a védelmi célkitűzések meghatározása,

b) az informatikai rendszer érzékenysége,

c) a jogszabályokból és a belső szabályozásból eredő kötelezettségek bemutatása,

d) a fizikai és a logikai védelem rendszer szintű bemutatása,

e) a megvalósításhoz szükséges feltételrendszer meghatározása,

f) a biztonsági rendszer teljes költségének becslése, ennek összehasonlítása a lehetséges kockázatokkal, károkkal.

132.2. Az informatikai biztonsági fejezetnek a tervezési dokumentumokba történő beállításáért a projektvezető, annak kijelöléséig, vagy hiánya esetén az előterjesztő a felelős.

132.3. Az ÖM minden informatikai projektje előterjesztésének tartalmaznia kell a létrehozandó (fejlesztendő, átalakítandó) informatikai rendszer fizikai, logikai és adminisztratív védelmi rendszerének – a projekt keretében történő – tervezési és megvalósítási lépéseit, költségeit, felelőseit. Az informatikai projekt költségvetésében szerepelnie kell a biztonsági rendszer tervezési és megvalósítási költségeinek is.

132.4. A 132. pontban előírt feltételek hiánya esetén informatikai projekt nem indítható el. Ezért a projektvezető a felelős.

Biztonság a felhasználói rendszerekben

133.1. A felhasználói rendszerek integrált biztonsága kiterjed a rendszerekben tárolt felhasználói adatok illetéktelen hozzáférésének, módosításának, törlésének, nem megfelelő felhasználásának stb. megelőzésére. A rendszertervek összeállítása során mérlegelni kell a rendszerbe beépítendő automatikus ellenőrző eszközök, valamint a biztonságot támogató manuális ellenőrző eszközök szükségességét.

133.2. A felhasználói rendszerek biztonságát a következő intézkedések szavatolják:

a) a felhasználói rendszerekben – többek között a felhasználó által kifejlesztett alkalmazásokban – meg kell tervezni a megfelelő ellenőrző eszközöket és eseménynaplókat, valamint a tevékenységek naplózását. Ezeknek tartalmazniuk kell a bemenő adatok, a belső adatfeldolgozás és a kimenő adatok hitelesítését.

133.3. A 133.2. pont a) és b) alpontjaiban meghatározott biztonsági intézkedéseket pontosan, minden részletre kiterjedően dokumentálni kell.

134. Az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenőrizni kell. A bemenő adatok ellenőrzésének eszközei:

a) az ismételt adatbevitel és az ebből származó adat-karbantartási anomáliák elkerülésére írt eljárások,

b) időszakos adatmező és adatállomány vizsgálat, valamint a felvitt adatok hitelességének, valamint és integritásának ellenőrzése és igazolása,

c) az adatbevitel alapját képező nyomtatott input dokumentumok ellenőrzése, illetve ezek engedély nélküli módosításának megakadályozása, valamint az engedélyezés kikényszerítésére írt eljárások,

d) az adathitelesítési hibák kiküszöbölését elősegítő eljárások,

e) adatbevitel során, a mezőtípus kompatibilitást biztosító, illetve adattartalom helyességét ellenőrző és kikényszerítő eljárások és függvények,

f) az alkalmazáshoz történő hozzáférés naplózása,

g) a feldolgozásban részt vevő munkatársak feladatkörének és felelősségének rögzítése a munkaköri leírásokban.

135. A pontosan és hiánytalanul beléptetett adatok biztonságát, integritását a feldolgozás ideje alatt a következő intézkedésekkel kell szavatolni:

a) az adatfeldolgozás rendszerébe ellenőrzési, hitelesítési pontokat kell beépíteni, különös tekintettel az adatmódosító, adattörlő funkciók helyére,

b) adatfeldolgozási hibák esetén: hibadetektáló, és a további rendszerfutást leállító eljárások beépítése a rendszerbe,

c) korrekciós programok alkalmazása a feldolgozás során felmerülő hibák korrigálására,

d) a folyamatba épített ellenőrzés ellátásáért az informatikai biztonságért felelős vezető a felelős.

136.1. Az üzenethitelesítés, valamint az elektronikus aláírás kialakítása során:

a) az azonosítás és a hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni,

b) a hitelesítés legáltalánosabb módja a jelszó megadása. Kezelésére a jelszókezelésre vonatkozó fejezetben részletezett általános szabályokat kell alkalmazni,

c) a hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott, védett csatornán keresztül kell biztosítani.

136.2. PKI alkalmazásakor az alkalmazásért felelős vezető alakítson ki tanúsítványpolitikát (Certificate Policy, CP), melyet az informatikai biztonsági felelőssel egyeztessen. A tanúsítványpolitika alkalmazása kötelező.

137. Az adatfeldolgozás rendszerében ellenőrizni, hitelesíteni kell a kimenő adatokat. Ennek során a kimenő adatok biztonsága érdekében a következő védelmi eljárásokat kell alkalmazni:

a) integritásellenőrzés,

b) az adattartalom meglétének, értékének ellenőrzése,

c) a megfelelő minősítés meglétének ellenőrzése,

d) a kimenő adatok értékelésében és hitelesítésében részt vevő munkatársak feladatainak és felelősségének meghatározása.

Kriptográfiai eszközök

138.1. Olyan adatok esetében, ahol más védelmi eszközök nem nyújtanak kellő biztonságot, rejtjelező eszközökkel és technikákkal kell gondoskodni az adatvédelemről.

138.2. Államtitkot és szolgálati titkot képző adatállományok csak rejtjelezve tárolhatók és továbbíthatók. Államtitok és szolgálati titok esetében kizárólag a Magyar Köztársaság Információs Hivatala Országos Rejtjelfelügyelete által engedélyezett rejtjelező eszköz vagy eljárás használható.

138.3. Az alkalmazható kriptográfiai eszközt vagy eljárást, valamint a kriptográfiai kulcsok hosszát az informatikai biztonságért felelős vezető hagyja jóvá.

139. A kriptográfiai eszköz vagy a rejtjelezési eljárás, illetve algoritmus kiválasztása előtt kockázatelemzésre van szükség. Gondoskodni kell a kulcsok kezeléséről (kiadás, megszemélyesítés, visszavonás stb.), a felelősségi köröket, felelős személyeket előre meg kell meghatározni.

140. Kriptográfiai rendszerekkel és technikákkal kell gondoskodni az adatok rejtjelezéséről, ha az adatokat illetéktelen személyek által is hozzáférhető helyen kell továbbítani vagy tárolni, valamint minden olyan esetben ahol fennáll, hogy az adatok bizalmassága sérül.

141. Az elektronikus aláírás esetében ügyelni kell a magánkulcs bizalmas kezelésére. Az elektronikus aláírás kulcsa és a rejtjelkulcs nem lehet azonos. Az elektronikus aláírás algoritmusát, valamint az alkalmazható kulcsok hosszát az informatikai biztonságért felelős vezető hagyja jóvá.

142. A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható rendszereket kell kialakítani.

143. A kulcsmenedzsmentet minden elektronikus aláírással, rejtjelezéssel rendelkező rendszerben ki kell alakítani. Ennek során a hatályos jogi szabályozást és a PKI-ra vonatkozó nemzetközi szabályozást kell figyelembe venni.

144.1. A kriptográfiai kulcsok fizikai, valamint speciális, illetve fokozott biztonságot igénylő esetben rejtjelezéssel megvalósított logikai védelméről is gondoskodni kell. Szükség esetén a kulcsfelek megosztásával kell biztosítani a rejtjelkulcsok védelmét.

144.2. A kulcskezelési rendszer kialakításánál a következő szabványok, szempontok és módszerek egyeztetett rendszerét kell figyelembe venni:

a) kulcsgenerálási rendszer,

b) nyilvános kulcshitelesítési eljárások,

c) a felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó módszerek,

d) kulcstárolási, illetve hozzáférési szabályok,

e) kulcsmódosítási, aktualizálási szabályok,

f) hamisított kulcsok kezelése,

g) kulcsvisszavonási szabályok (a kulcsok visszavonásának és használaton kívül helyezésének módja, többek között abban az esetekben, amikor a kulcsokat hamisítják vagy a kulcs tulajdonosa elhagyja a szervezetet),

h) kulcsok archiválási rendje,

i) elveszett kulcsok helyreállítási szabályai (az elveszett kulccsal rejtjelezett állományok visszaállítása az üzletmenet-folytonossági terv része kell hogy legyen),

j) kulcsok megsemmisítésének szabályai,

k) kulcskezelő rendszer eseménynaplózása.

144.3. A kulcshamisítás kockázatának csökkentése érdekében, előzetesen meg kell határozni a kulcsok aktiválásának és visszavonásának dátumait. A kulcs élettartama függ a vélelmezett kockázat mértékétől.

144.4. A nyilvános kulcsokkal való esetleges visszaélések kockázatának csökkentése érdekében, csak hitelesített nyilvános kulcsok használhatók a rendszerben.

144.5. A kriptográfiai szolgáltatók külső szállítóival, például egy hitelesítő hatósággal kötött, a szolgáltatás mértékét meghatározó megállapodásoknak vagy szerződéseknek szabályozniuk kell a felelősség kérdését.

Rendszerszintű adatállományok védelme

145.1. A rendszerszintű adatállományok védelmének érdekében ellenőrizni és dokumentálni kell a védendő rendszer-adatállományok elérését. A rendszer integritásának fenntartása annak a felhasználói funkciónak vagy fejlesztési csoportnak a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.

145.2. Az informatikai rendszerek által biztosított naplózási lehetőségeket be kell kapcsolni. A rendszergazdáknak ezeket a naplókat rendszeresen ellenőrizniük kell, az ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük.

145.3. A központi erőforrások (szerverek, tűzfalak stb.) naplóállományaihoz az informatikai biztonsági felelős részére távoli elérést kell biztosítani olvasási joggal.

145.4. A fejlesztői, a teszt- és az éles rendszereket egymástól el kell választani. Amennyiben az éles adatbázis alapja a tesztnek, akkor az adatok visszafordíthatatlan konvertálásáról gondoskodni kell.

146.1. Az ÖM által fejlesztett, illetve alkalmazott programok forráskönyvtárát, a programokba való illetéktelen beavatkozás lehetőségének korlátozása érdekében szigorú ellenőrzés alá kell vonni.

146.2. A program forráskönyvtárát lehetőség szerint az operációs rendszer állományaitól elkülönítve kell tárolni. Minden alkalmazás esetében ki kell jelölni egy olyan személyt, aki az alkalmazás forráskódjának biztonságáért felel. A program forráskönyvtáraihoz csak ezek a személyek férhetnek hozzá.

146.3. A programforráskönyvtárak aktualizálását és a programforrások programozók számára való kibocsátását csak kijelölt könyvtáros végezheti, az alkalmazásért felelős vezető írásos engedélyével. A forráskönyvtár minden változásáról eseménynaplót kell vezetni.

146.4. A forrásprogramok korábbi verzióit archiválni kell. A programforráskönyvtárak karbantartását és másolását a változtatásokra vonatkozó szigorú ellenőrzési eljárások alá kell vonni.

Informatikai biztonság a fejlesztési és a karbantartási folyamatokban

147.1. A fejlesztések csak az informatikai biztonsági felelős hozzájárulása után kezdhetők meg. A projekt- és a támogatási környezeteket szigorúan kell ellenőrizni.

147.2. Az alkalmazói rendszerekért felelős vezetők felelősek a projekt és a támogatás környezetének biztonságáért. Meg kell vizsgálniuk a rendszerben javasolt összes változtatást és meg kell állapítanuk, mennyiben befolyásolják ezek a rendszer vagy működési környezete biztonságát.

147.3. A fejlesztőnek ki kell alakítania a fejlesztési szabályokat.

148.1. Az informatikai rendszer sérülékenységének minimalizálása érdekében a változtatásokat csak szigorú ellenőrzéseken keresztül lehet megvalósítani. A változtatás ellenőrzésének eljárását a Változásmenedzsment Szabályzatban kell szabályozni.

148.2. Az eljárással kapcsolatban:

a) szabályozni kell a változtatást végrehajtó személyek körét,

b) a szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver azonosítását el kell végezni,

c) a munka elkezdése előtt részletes, formalizált elfogadási eljárásra van szükség,

d) biztosítani kell, hogy a megvalósítás során a belső folyamatok ne sérüljenek,

e) a rendszerdokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat archiválni kell,

f) karban kell tartani a változásmenedzsment segítségével az összes szoftverfrissítést,

g) biztosítani kell minden változtatás ellenőrzését,

h) biztosítani kell, hogy – amennyiben szükségesek – a változások az üzemi dokumentumokon is átvezetésre kerüljenek,

i) biztosítani kell, hogy a változtatások kellő időben kerüljenek megvalósításra.

149. Amennyiben a külső vagy a belső tényezők szükségessé teszik az operációs rendszer változtatását, az operációs rendszer alapértelmezett átvizsgálása után az applikációs rendszert ellenőrizni és tesztelni kell annak biztosítása érdekében, hogy a változtatás a működőképességgel és a biztonsággal ne ütközzön. Éles rendszerbe történő beillesztés előtt a változásokat az alkalmazásokkal kell tesztelni.

150. Az ÖM munkatársai munkavégzésük során csak jogtiszta szoftvereket használhatnak

151. A programfejlesztés külső személyekhez (fejlesztő) való kihelyezése esetén az ÖM adat- és információvédelmére vonatkozó szabályok figyelembevételével kell eljárni. Biztosítani kell a forrásprogramot, valamint a továbbfejlesztés lehetőségét az ÖM részére a fejlesztőtől függetlenül is. A fejlesztés során az üzemi rendszerekhez a külső személy (fejlesztő) részére távoli hozzáférés nem engedélyezhető. A fejlesztő éles adatokkal tesztelést nem folytathat. Biztosítani kell annak lehetőségét, hogy az ÖM a fejlesztési környezetet, az informatikai biztonsági szabályok betartását ellenőrizhessék.

IX. Az informatikai biztonsági incidensek kezelése

Biztonsági és üzemzavarok kezelése

152.1. Mérsékelni kell a biztonságot befolyásoló események és működési zavarok következményeit; nyomon kell követni az eseményeket; biztosítani kell a mielőbbi normális üzemre való visszaállást és a tapasztalatokat írásban kell megfogalmazni.

152.2. Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a napi feldolgozást hátráltatják, azonnal jelenteni kell a rendszer üzemeltetéséért felelős vezetőnek.

A váratlan események kezelési eljárásai

153. Az ÖM munkatársainak és a vele polgári vagy munkajogi jogviszonyban álló külső személyeknek ismerniük kell a szervezet működésének és az eszközök használatának biztonságát befolyásoló különböző események (biztonsági előírások megsértése, veszélyek, hiányosságok vagy működési zavarok) jelentésének eljárási szabályait. A munkatársaknak jelenteniük kell az észlelt eseményeket. Az események biztonságos kezeléséhez szükség van arra, hogy az eseményt követően nyomban összegyűjtsék a meglévő bizonyítékokat.

154.1. A biztonsági eseményre adandó gyors, hatékony és szabályos válaszadás érdekében meg kell határozni a váratlan eseményekkel kapcsolatos felelősségeket és eljárásokat.

154.2. A következő biztonsági események kezelésére kell egyedi eljárást kidolgozni:

a) az informatikai rendszer hibái és a szolgáltatás megszakadása,

b) szolgáltatás megtagadása,

c) pontatlan és hiányos adatokból származó hibás eredmények,

d) a bizalmasság elvesztése.

154.3. Az üzletmenet-folytonossági tervhez kapcsolódóan a következő eljárásokat kell alkalmazni:

a) azonosítani és elemezni kell az események okait,

b) terveket kell kidolgozni a nem kívánt események ismétlődésének megakadályozására,

c) az eseményeket naplózni kell,

d) gondoskodni kell a visszaállítás megoldásáról,

e) az illetékes munkahelyi vezető és az informatikai biztonságért felelős vezető részére jelentést kell készíteni.

154.4. A biztonsági események és rendszerhibák javítását a következők szerint kell végrehajtani:

a) csak az engedéllyel és a kellő szaktudással rendelkező személyek férhetnek az „éles” rendszerekhez és azok adataihoz,

b) minden rendkívüli esemény során az alkalmazandó/alkalmazott eljárást a vezetőnek ismernie és ellenőriznie kell,

c) minden rendkívüli esemény során az alkalmazandó/alkalmazott eljárást dokumentálni kell,

d) a rendkívüli eseményeket követően az adatok sértetlenségét haladéktalanul ellenőrizni kell.

Biztonsági események jelentése

155. A munkatársak az észlelt eseményeket a szervezeti egység vezetőjének és az informatikai biztonsági felelősnek jelenti, valamint mindent megtesz a szükséges bizonyítékok összegyűjtésére. Az informatikai biztonsági felelős és a szervezeti egység vezetője jelentéseiket haladéktalanul kötelesek megtenni az informatikai biztonságért felelős vezetőnek, aki az eseményt a lehető legrövidebb idő alatt kivizsgálja, és amennyiben a felelősségre vonás szükségessége fennáll, értesíti a munkáltatói jogkör gyakorlóját.

A rendszerek és a programok működési zavarainak kezelése

156.1. Az ÖM minden szerverén és munkaállomásán folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit.

156.2. Rendszer-, illetve alkalmazáshiba esetén:

a) figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket,

b) amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás, vagy vírustámadás okozta, az érintett munkaállomást, számítógépet le kell választani a hálózat(ok)ról, szükség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is (pendrive, CD-ROM, mentési médiák), melyeket az informatikai biztonsági felelősnek, munkatársának vizsgálat céljára át kell adni,

c) az ÖM hozzáférési, és egyéb adatvédelmi rendszereinek működés zavarát, a megtett intézkedéseket, haladéktalanul jelenteni kell a szervezeti egység vezetőjének és az informatikai biztonságért felelős vezetőnek,

d) a meghibásodott számítógépben használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más számítógépekben.

Az események tapasztalatainak elemzése és értékelése

157.1. Az eseményeket

a) típus,

b) terjedelem,

c) általuk okozott károk, helyreállítási költségek,

d) a feljogosítási és monitorozási rendszer működési zavara

alapján értékelni kell.

157.2. Az elemzés alapján – szükség esetén – kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerűsítését.

158. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető feladata.

X. Üzletmenetfolytonosság-menedzsment

Az üzletmenetfolytonosság-menedzsment területei

159. A kritikus informatikai folyamatok védelme érdekében a meghibásodások és a rendellenességek elhárítása során:

a) az üzletmenet folytonosságának fenntartását szolgáló eljárás a megelőző és helyreállítást vezérlő eljárások (üzletmenet-folytonossági terv, katasztrófaelhárítási terv) együttes alkalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer meghibásodása által okozott fennakadásokat (ezek lehetnek többek között természeti katasztrófák, balesetek, berendezésekben keletkezett hibák, vagy szándékos cselekmények következményei),

b) elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit,

c) az üzletmenet folytonosságának irányítása ki kell hogy terjedjen – többek között – a kockázatok azonosítására és csökkentésére alkalmas ellenőrző eszközökre, a kárt okozó események következményeinek korlátozására, valamint a lényeges tevékenységek időben történő újraindítására.

160. Az üzletmenet-folytonosság tervezését projektszerűen (projektmenedzser által kísérve) kell megvalósítani. Az üzletmenet-folytonosság biztosítási folyamatának kialakítása során a következőket kell figyelembe venni:

a) az informatikai biztonsági kockázatok felmérése, és a bekövetkezési valószínűségek elemzése,

b) a folytonosság megszakadásából (megszakításából) következő hatások, következmények felmérése és elemzése,

c) az informatikai biztonságpolitikának megfelelő üzletmenet-folytonossági stratégia meghatározása.

d) az előzőekben megfogalmazottaknak megfelelő üzletmenet-folytonossági tervek kidolgozása,

e) az elfogadott tervek rendszeres felülvizsgálata és aktualizálása,

f) kulcsfontosságú rendszerek kizárólag megfelelő és kipróbált katasztrófaelhárítási terv alapján működhetnek éles üzemben.

161.1. A megfelelő üzletmenet-folytonosság az informatikai rendszer folyamatos üzemi működésének az a szintje, amely során a kiesés kockázatának szintje az ÖM számára még elviselhető. Az elviselhetőség határát a támogatás szempontjából kritikus rendszerek maximált kiesési ideje határozza meg.

161.2. Az üzletmenet-folytonosság megfelelő szintjét a szükséges megelőző, illetve (a kiesés bekövetkezése után) visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket előre meg kell tervezni (üzletmenet-folytonossági terv, katasztrófaelhárítási terv).

161.3. Az üzletmenetfolytonosság-tervezés eredménye az üzletmenet-folytonossági terv, amely részletesen meghatározza a kívánt üzletmenet-folytonosság fenntartásához szükséges feltételeket, szervezeti és szervezési lépéseket, valamint szabályozza a megvalósítás módját. Alapvető célja az, hogy az ÖM folyamatait támogató informatikai erőforrások a rendelkezésre álló üzemidőben a lehető legjobb időkihasználással és a legmagasabb funkcionalitási szinten működjenek annak érdekében, hogy a közvetlen és közvetett károk minimálisak legyenek.

161.4. Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletmenet-folytonosság fenntartásához szükséges megelőző, helyettesítő, illetve visszaállító intézkedések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megvalósítás módját.

161.5. A tervezés egyik lényeges eleme a kiesési kockázatok elemzése, amelynek során mérlegelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövetkezésének gyakoriságát.

161.6. Az üzletmenet-folytonossági terv fő részei:

a) helyzetfelmérés és értékelés,

aa) projekt-előkészítő megbeszélés (feladatbehatárolás, humán- és eszközerőforrás, illetve az adminisztrációs feltételek tisztázása, projektterv megbeszélése, felhasználandó dokumentumok előzetes meghatározása),

ab) részletes projektterv elkészítése,

ac) projektindító megbeszélés (célok, feladatok, várható eredmények prezentációja; pontos feladatmeghatározás; projektszervezet összetétele; felhasználandó dokumentumok listája; projekt megkezdése),

ad) előzetes helyzetfelmérő interjúterv elkészítése és véglegesítése (területek, személyek),

ae) az interjúk megszervezése (személyek és időpontok egyeztetése), tematikák elkészítése,

af) interjúk elkészítése és feldolgozása dokumentumokban (kritikus folyamatok és az ezeket támogató alkalmazások; a kiesések következményei, kockázatai és rangsorolása az eredményes működés szempontjából, rendelkezésre állás követelményei, potenciális üzemzavari és katasztrófaesemények palettája, tartalékolási és visszaállítási stratégiák és megoldások),

ag) projektteam teszteli a meghatározott tartalékolási és visszaállítási megoldások megvalósíthatósági feltételeit, majd ennek alapján helyzetfelmérő és értékelő jelentést készít. A projektteam a helyzetfelmérő és értékelő jelentését a szervezet vezetőjének átadja, aki a jelentést ellenőrzi és elfogadja.

b) az üzletmenet-folytonossági terv kidolgozása.

c) oktatás, tréning és tesztelés: célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenetfolytonosság-tervezés alapismereteinek átadása, a megelőzési és visszaállítási tervben foglaltak megismerése és elsajátítása.

162. Az üzletmenet-folytonossági terv kidolgozásának részei:

a) megelőzési terv és intézkedés: tartalmazza mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek az informatikai rendszer folytonos üzemét valamilyen módon veszélyeztető tényezőkkel kapcsolatosak. A megelőzési terv a következőkre terjed ki:

aa) az informatikai rendszer megbízható üzemeltetésére és az üzemeltetésre vonatkozó intézkedésekre,

ab) az informatikai rendszer kritikus elemeinek üzemi és katasztrófa tartalékmegoldásaira és ezek üzemkészségét biztosító intézkedésekre,

ac) az informatikai rendszer üzemét biztosító környezeti rendszerek karbantartási, illetve az ezekkel kapcsolatos biztonsági intézkedésekre,

ad) az üzemeltetési dokumentáció és dokumentumok rendszerezett és biztonságos tárolására,

ae) az adathordozók rendszerezett és biztonságos tárolására,

af) az üzemeltető, a karbantartó, és a kárelhárító személyzet rendelkezésre állását és bevethetőségét biztosító intézkedésekre,

ag) a külső szervizre, a tartalékképzési megoldásokra vonatkozó, és a biztosítási szerződésekkel kapcsolatos intézkedésekre,

ah) mentési tervre, amely meghatározza a mentési rendszer generációit és hierarchiáját,

ai) az üzemelő rendszer konfigurációjában, az üzemelő szoftverben megvalósítandó változások szabályozott kivitelezésére, valamint a szoftverfejlesztések elkülönített kivitelezésére és a fejlesztett szoftverek rendszerbe történő integrálására vonatkozó legfontosabb intézkedésekre,

aj) vírusvédelmi és vírusmenedzsment-intézkedésekre, figyelembe véve a szervezetnél hatályos vírusvédelmi szabályzatot,

ak) a megelőzésben fontos szerepet játszik az alkalmazói rendszerek használatára történő rendszeres oktatás, illetve az informatikai biztonság olyan szintű oktatása, amely kiterjed az informatikai rendszerekben kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának megőrzése érdekében betartandó szabályokra és az érvényesítendő védelmi intézkedésekre,

al) tesztelési és tréningtervre, amely meghatározza a tesztelés formáit. Két formája javasolt: auditálás jellegű check-listás teszt, amelyet egy előre elkészített ellenőrzési lista alapján független belső vagy külső auditorok végeznek el, illetve valós üzemzavar- vagy katasztrófaesemények szimulációja.

b) visszaállítási terv: célja az, hogy az üzemzavar- vagy katasztrófaesemények bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszköz erőforrások haladéktalan mozgósítása, és a visszaállítás a lehető leggyorsabban és szervezetten történjen meg a tervben meghatározott utasítások szerint. A visszaállítási terv a következőket tartalmazza:

ba) a visszaállítási terv célját és használatát,

bb) az üzemzavar- és a katasztrófa események meghatározását,

bc) az események bekövetkezési és kezelési időszakait,

bd) az eseménykezelő team összetételét, feladatait és hatáskörét,

be) visszaállítási intézkedéseket a következő lépésekre: azonnali válasz (riadó terv), futtató környezet helyreállítása, funkcionális helyreállítás, üzemeltetési szintű helyreállítás, áttelepülés (katasztrófa esetén), normalizáció az áttelepülés után.

163.1. Az intézkedések átfogják a központi erőforrások, azok fizikai és személyi környezetét, a végponti munkaállomások és a kommunikációs rendszer területeit.

163.2. Az előzetes intézkedési tervnek tartalmaznia kell mindazon feltételek biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági terv nem működőképes és a következő projekt fázisban elvégzendő üzletmenet-folytonossági terv tesztje és tréningje nem valósítható meg.

163.3. Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a szervezet által az üzletmenet-folytonossági terv készítési fázisa végén elfogadott intézkedési tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje és tréningje meghatározott üzemzavari/katasztrófaeseményre kivitelezhető.

163.4. Az üzletmenet-folytonossági terv tesztje szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kerül megvalósításra, amelynek keretében az eseménykezelő team, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a visszaállítási terv utasításainak végrehajtását.

164.1. A katasztrófa-elhárítási terv globális helyettesítő megoldásokat ad megelőző és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható.

164.2. A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A vészhelyzetekből eredő károk megelőzésének, mérséklésének alapvető követelménye a részletes terv (megelőzési és visszaállítási terv) elkészítése, tesztelése és a végrehajtás rendszeres gyakorlása.

164.3. A katasztrófaelhárítási terv eljárások és/vagy tevékenységlépések sorozata annak biztosítására, hogy az ÖM kritikusinformáció-feldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen állítani. A katasztrófaelhárítási terv meghatározza a következőket:

a) a rendelkezésre állási követelmények megadása;

b) a katasztrófa- vagy vészhelyzetesemények definíciója;

c) a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó funkcionalitási szintek;

d) javaslat a felelősségek szabályozására veszély vagy katasztrófa esetén;

e) a riadóterv vázlata;

f) kiválasztott esetekre konkrét intézkedési terv, különösen a következő területen:

fa) a szükségüzem esetére a minimális hardver- és szoftverkonfiguráció rögzítése (beleértve az adatokat is),

fb) a szükségüzem esetére – amennyiben az lehetséges – manuális póteljárás rögzítése,

fc) szükség esetén backup-rendszer (pl. saját vagy külső tartalék központ, igénybe vétele),

fd) adatrekonstrukciós eljárások bevezetése,

fe) az újraalkalmazhatóságot lehetővé tevő intézkedések;

g) az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetőeknek kell lenniük (pl. redundancia intézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel),

h) az adatbiztosítási intézkedések megvalósítási szabályainak összeállítása (pl. háromgenerációs elv),

i) az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése meghatározott időszakonként,

j) a biztonsági másolatoknak más biztos helyen (a munkaterületen kívüli) raktározása,

k) az installált rendszerszoftverek és a fontosabb alkalmazói szoftverek referenciamásolatainak biztonságos raktározása,

l) a fontosabb dokumentációk megkettőzése és raktározása,

m) a megvalósított adatbiztosítás ellenőrizhető dokumentációja;

n) visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásainak kijelölését és a célkitűzések megállapítása (pl. az X alkalmazás újraindítása Y napon belül);

o) a beszállítói (szolgáltatói) szerződésekre vonatkozó – katasztrófaesemények bekövetkezése esetében érvényes – követelmények meghatározása (annak érdekében, hogy katasztrófahelyzetben is biztosítani lehessen a rendelkezésre állást);

p) javasolt biztosítások katasztrófák, káresemények esetére,

q) a terv készítésének, felülvizsgálatának, tesztelésének időpontja.

165. A katasztrófaelhárítási terv részei:

a) a katasztrófaelhárítási terv definíciója,

b) a mentési (megelőzési) terv: azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy lehetővé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a számítógép, a háttértárak tükrözése és az optikai tárolók használata sokkal könnyebbé teheti adatbázisok, illetve nagy tömegű papíralapú dokumentumok helyreállítását.

c) a helyreállítási és újraindítási terv: a helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák az informatikai rendszert a tartalék központban vagy az adatfeldolgozó központot. A helyreállítási terv szakaszai:

ca) azonnali reakció: válasz a katasztrófahelyzetre, a veszteségek számbavétele, a megfelelő emberek értesítése és a katasztrófaállapot megállapítása,

cb) környezeti helyreállítás: az adatfeldolgozó rendszer (operációs rendszer, programtermékek és a távközlési hálózat) helyreállítása,

cc) funkcionális helyreállítás: az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakció naplóval. Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok, az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet,

cd) áttelepülés: az informatikai rendszer kiépítése és telepítése a hidegtartalék létesítményben (ha a melegtartalék-létesítmények használata időben korlátozott),

ce) normalizáció: az új állandó informatikai rendszer kiépítése és arra az üzemelő rendszer áttelepítése.

d) tesztelési terv: azokat a tevékenységeket tartalmazza, amelyek ellenőrzik és biztosítják a katasztrófaelhárítási terv működőképességét,

e) a karbantartási (üzemben tartási) terv: a szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófaelhárítási terv aktuális állapotban tartására,

f) az érintett személyek elérési adatai.

166. Intézkedni kell:

a) a kár megelőzésére és a károk minimalizálására a Szabályzatban foglaltak alapján (pl. belső vagy külső háttér-, illetve tartalékszámítógép-kapacitás előkészítése szükségüzem esetére az elégséges hardver- és szoftverkonfiguráció rögzítésével),

b) a katasztrófák, veszélyhelyzetek bekövetkezésekor,

c) a rendszer (folytonosságának) visszaállítására a katasztrófákat és a káreseményeket követően,

d) a veszélyhelyzetek és a katasztrófák esetszimulálására, begyakorlásra, intézkedések modellezésére, illetőleg kipróbálására.

167.1. A tervek tesztelését egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kell megvalósítani. Ennek keretében az eseménykezelő szervezet, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a visszaállítási terv utasításainak végrehajtását.

167.2. A teszt értékelése során az üzletmenet-folytonosságát biztosító terveket módosítani, aktualizálni kell, és gondoskodni kell azok egymáshoz való illesztéséről. A terveket a folytonosan változó helyzethez, körülményekhez (személyzet, stratégia, infrastruktúra), követelményekhez (szabályok, kockázatok) is hozzá kell igazítani.

1. függelék az ÖM Informatikai Biztonsági Szabályzatához

Felhasználóregisztrációs lap

(A felhasználó szervezeti vezetője tölti ki)

Belépő felhasználó neve
Beosztása
Felettes
Szervezeti egység neve
Irodai telefonszám

Felhasználói hozzáférés kérése:

A belépő felhasználó szervezeti vezetőjének soron kívüli kérései:

(Az Informatikai Osztály tölti ki)

A felhasználó operációs rendszer szintű azonosítójának aktiválása

Felhasználóazonosító (tartomány\felhasználó)	Aktiválás időpontja	Aktiválást végző személy aláírása

A felhasználó alkalmazás szintű azonosítójának aktiválása:

Felhasználóazonosító	Alkalmazás adatai Abszolút elérési út, programnév	Aktiválás időpontja	Aktiválást végző személy aláírása

RAS-hozzáférés engedélyezése:

RAS-azonosító	Aktiválás időpontja	Hívószám	Visszahívási szám	Engedélyező vezető aláírása	Beállítást végző személy aláírása

Felhasználói csoporttagság regisztráció:

Csoportazonosító	Engedélyező szervezeti vezető aláírása

Hálózati meghajtó hozzáférés regisztráció:

Hálózati meghajtó elérési út, könyvtár vagy fájlnév	Hozzáférési jog (Read, vagy Change)	Jogok igénylése az alkönyvtárakban is (igen/nem)

Kulcskezelési adatok:

Felhasználóazonosító kulcsok	Aktiválás időpontja	Aktiválást végző személy aláírása

Azonosító	Kulcsok biztonsági mentésének helye, médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

A szerveren lévő felhasználói könyvtár adatai:

Felhasználói könyvtár elérési útja	Könyvtár jogosultsági beállításai	Aktiválásért felelős személy neve, aláírása

A felhasználó postafiókjának létrehozása:

Postafiók	Aktiválás időpontja	Aktiválást végző személy aláírása

Telefonrendszer-hozzáférés, hangpostakód aktiválása:

Aktiválásért felelős személy neve	Aláírása

Az informatikai osztályvezető egyéb észrevételei a beléptetési folyamattal kapcsolatban

A felhasználó tudomásul veszi, hogy:

– a rábízott adatokért és jogosultságokért személyes felelősséget vállal,

– felhasználói azonosítóját és jelszavát nem szolgáltathatja ki más személynek,

– a saját számítógépén és a hozzá kapcsolódó rendszerekben létrehozott és kezelt állományok – beleértve az elektronikus levelezést is –, az Önkormányzati Minisztérium tulajdonát képezik, ezért az Önkormányzati Minisztérium szabályzatokban és utasításokban feljogosított ellenőrző szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van.

Dátum: ………………….……………	………………..……………………
	felhasználó

Dátum: ………………….……………	………………..……………………
	szervezeti egység vezetője

Dátum: ………………….……………	………………..……………………
	informatikai osztályvezető

2. függelék az ÖM Informatikai Biztonsági Szabályzatához

FELHASZNÁLÓ KILÉPTETŐ LAP

MINTA

Felhasználó kiléptető lap

(A felhasználó szervezeti vezetője tölti ki)

A kilépő felhasználó neve
Felhasználóazonosító (domain/username)
Beosztása
Felettes
Szervezeti egység neve
Irodai telefonszám
Céges mobiltelefonszám

1. A felhasználó operációs rendszer szintű azonosítójának letiltása

Felhasználóazonosító	Letiltás időpontja	Letiltást végző személy aláírása

2. A felhasználó alkalmazás szintű azonosítójának letiltása:

Felhasználóazonosító	Letiltás időpontja	Letiltást végző személy aláírása

3. RAS-hozzáférés letiltása:

RAS-azonosító	Deaktiválás időpontja	Deaktiválást végző személy aláírása

4. Kulcskezelési adatok:

Felhasználóazonosító kulcsok	Visszavonás időpontja	Letiltást végző személy aláírása

5. Munkaállomás adatainak mentése (amennyiben szükséges):

Munkaállomás-azonosító	Mentési útvonal vagy médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

6. A szerveren lévő felhasználói könyvtár archiválása:

Felhasználói könyvtár	Mentési útvonal vagy médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

7. A felhasználó postafiókjának mentése:

Postafiók	Mentési útvonal vagy médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

8. Telefonrendszer-hozzáférés, hangpostakód visszavonása

Visszavonásért felelős személy neve	Aláírás

9. Az informatikai osztályvezető egyéb észrevételei a kiléptetési folyamattal kapcsolatban

Dátum: ……………………………	……………………………
	informatikai vezető

3. függelék az ÖM Informatikai Biztonsági Szabályzatához

HÁLÓZATI JOGOSULTSÁG IGÉNYLŐ LAP

MINTA

Hálózati jogosultság igénylő lap

(A felhasználó szervezeti vezetője tölti ki)

A kilépő felhasználó neve
Felhasználóazonosító (domain/username)
Beosztása
Felettes
Szervezeti egység neve

RAS-hozzáférés kérése:

RAS-azonosító	Aktiválás időpontja	Hívószám	Visszahívási szám	Engedélyező vezető aláírása	Aktiválást végző személy neve, aláírása

Hálózati hozzáférés kérése:

Hálózati meghajtó, elérési út, könyvtár vagy file-név	Hozzáférési jog (Read vagy Change)	Jogok igénylése az alkönyvtárakban is (igen/nem)

Felhasználói csoporttagság, illetve új csoport létrehozásának kérése:

(Egyeztetés alapján a rendszergazda tölti ki.)

Csoportazonosító	Engedélyező vezető aláírása

A felhasználó alkalmazás szintű azonosítójának kérése:

Felhasználóazonosító	Alkalmazás neve	Aktiválást végző személy aláírása

A felhasználó tudomásul veszi, hogy:

– a rábízott adatokért és jogosultságokért személyes felelősséget vállal,

– felhasználói azonosítóját és jelszavát nem szolgáltathatja ki más személynek,

………………..…………….	………………..…………….	………………..…………….
felhasználó aláírása	szervezeti egység vezetője	informatikai osztályvezető

A jogosultság beállítását végző személy olvasható aláírása: …………………………….

4. függelék az ÖM Informatikai Biztonsági Szabályzatához

HÁLÓZATI HOZZÁFÉRÉSI ENGEDÉLY (KÜLSŐ SZEMÉLY RÉSZÉRE)

MINTA

Hálózati hozzáférési engedély (külső személy részére)

(A felhasználó szervezeti vezetője tölti ki)

A felhasználó neve
Lakcím
Vállalkozás neve
Címe
Felhasználóazonosító (domain/username)
Engedélyt kérő szervezeti egység

Hálózati hozzáférés kérésének indoklása

Hozzáférést kérő szervezeti vezető neve	Aláírása

A harmadik személyt alkalmazó vezető soron kívüli kérései az engedélyezéssel kapcsolatban

Engedélyező rendelkezése a hozzáféréssel kapcsolatban

Titoktartási nyilatkozat:

Szükséges, mellékelve

Nem szükséges

(Nem kívánt rész áthúzandó!)

(Az informatikai osztály tölti ki:)

A felhasználó operációs rendszer szintű azonosítójának aktiválása:

Felhasználóazonosító	Aktiválás időpontja	Aktiválást végző személy aláírása

A felhasználó alkalmazás szintű azonosítójának aktiválása:

Felhasználóazonosító	Aktiválás időpontja	Aktiválást végző személy aláírása

Felhasználói csoporttagság regisztráció:

Csoportazonosító	Engedélyező vezető neve, aláírása

Hálózati meghajtó hozzáférés regisztráció:

Hálózati meghajtó elérési út, könyvtár- vagy fájlnév	Hozzáférési jog (Read vagy Change)	Jogok igénylése az alkönyvtárakban is (igen/nem)

Kulcskezelési adatok:

Felhasználóazonosító kulcsok	Aktiválás időpontja	Aktiválást végző személy aláírása

Azonosító	Kulcsok biztonsági mentésének helye, médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentésért felelős személy neve, aláírása

Az informatikai vezető egyéb észrevételei az engedélyezési folyamattal kapcsolatban

Dátum: ………………….……………	…………………………………………
	informatikai vezető

Hozzáférés visszavonásának adatai

A felhasználó operációs rendszerszintű azonosítójának letiltása:

Felhasználóazonosító	Letiltás időpontja	Letiltást végző személy aláírása

A felhasználó alkalmazás szintű azonosítójának letiltása:

Felhasználóazonosító	Letiltás időpontja	Letiltást végző személy aláírása

Kulcskezelési adatok:

Felhasználóazonosító kulcsok	Visszavonás időpontja	Letiltást végző személy aláírása

Munkaállomás adatainak mentése (amennyiben szükséges):

Munkaállomás-azonosító	Mentési útvonal vagy médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

A szerveren lévő felhasználói könyvtár archiválása:

Felhasználói könyvtár	Mentési útvonal vagy médiaazonosító	Mentés időpontja	Mentés lejáratának időpontja	Mentést végző személy aláírása

Az informatikai osztályvezető egyéb észrevételei a visszavonási folyamattal kapcsolatban

Dátum: ………………….……………	…………………………………………
	informatikai vezető

5. függelék az ÖM Informatikai Biztonsági Szabályzatához

Miért kell az informatikai biztonság, ki és mi fenyeget?

1. Az informatikai biztonság elméleti alapjai, szükségessége, kialakulása, fogalma, rendszerszemléletű megközelítése.

2. Információbiztonsági jogi ismeretek

– a személyes adatok védelme,

– az államtitok és a szolgálati titok védelme,

– az üzleti titok, a banktitok, az értékpapírtitok stb. védelme,

– az elektronikus aláírás jogi szabályozása,

– az elektronikus szolgáltatások (e-közigazgatás) szabályozása,

– az internetjog,

– szerzői jogok,

– felhasználóvédelem (fogyasztóvédelem),

– az állam szerepe az informatikai rendszerek biztonságában.

3. A jelen IBSZ-felhasználókra vonatkozó előírásai (részletesen, magyarázattal).

4. Fizikai és környezeti biztonság

A fizikai és környezeti biztonság megteremtése, illetve fenntartása érdekében a vonatkozó jogszabályok, biztonsági és tűzvédelmi szabványok, valamint a helyi szabályzatok, rendelkezések előírásainak maradéktalanul meg kell felelni.

A betartatásért felelősek: SZMSZ által meghatározott vezetők.

6. függelék az Informatikai Biztonsági Szabályzathoz

Késztermék	Fejlesztett termék
Szállítási dokumentáció, minőségi bizonyítvány	Architektúra és konfiguráció szintű dokumentáció
Rendszerelemek, egységek dokumentációi	Modul szintű dokumentáció
Teljes rendszerdokumentáció	Teljes rendszerdokumentáció
Rendszerteszt-dokumentáció	Tesztkövetelmények és -eljárások dokumentációja modul szinten
Üzemeltetési dokumentáció (normál üzemeltetés, hibaelhárítás, újraindítás)	Tesztkövetelmények és -eljárások dokumentációja rendszer szinten
Felhasználói dokumentáció	Felhasználói dokumentáció Átadás-átvételi dokumentáció
Biztonsági rendszer dokumentációja	Üzemeltetési dokumentáció (normál üzemeltetés, hibaelhárítás, újraindítás)
Biztonsági rendszer dokumentációja	Biztonsági rendszer dokumentációja

7. függelék az Informatikai Biztonsági Szabályzathoz

Elem	Fenyegetések, veszélyek, sebezhetőségek	Védelem
Végponti állomás	Érzékeny adatok ellopása, adatfájlok törlése, ellopása, módosítása.	Hozzáférés-védelem beállítása.
	Rosszindulatú program (vírus, trójai faló stb.) bejuttatása a rendszerbe.	Vírusvédelmi rendszer alkalmazása.
	Vírus, trójai faló, féreg aktiválódása, pl. e-mail-csatolmány megnyitásakor.	Vírusvédelmi rendszer alkalmazása.
	Végrehajtható programok, scriptek (Java Applet, JavaScript, VB Script, CGI stb.) letöltése, pl. az állomás DoS-támadásra való felhasználására a felhasználó tudtán kívül.	Böngésző biztonsági beállítása.
	Web és alkalmazásba csomagolt ActiveX objektumok, amelyek a programozó szándékától függően a legkülönbözőbb károkat (gépleállítás, konfiguráció feltérképezés, monitor/billetyűzet elvétel stb.) okozhatják.	Böngésző biztonsági beállítása.
	Ismeretlen forrásból érkező e-mail-ek és azok csatolmányainak megnyitása.	Vírusvédelmi rendszer alkalmazása, felhasználó oktatása.
	Az internetböngészőkben meglévő biztonsági lyukak „betömésére” szolgáló javító programok letöltésének elmulasztása. A biztonsági lyukak kihasználásával elérhetők a végponti felhasználó érzékeny adatai (jelszó, az állomás konfigurációja, fájl nevek, fájlstruktúra, a meglátogatott weblapok címei stb.).	Legújabb verziók, frissítések telepítése.
	A munkaállomásra letöltött adatlapok (kérdőív, adatszolgáltató formanyomtatvány stb.) programhibái. A szolgáltatott adatok rejtjelzés nélküli elküldése.	Csak megbízható forrásból származó program használata.
	Vírusvédelmi program frissítésének elmulasztása.	Rendszeres, automatikus frissítés.
	Az igénybe vett szolgáltatás letagadása.	Naplózás.
	Digitális aláíráshoz, rejtjelzéshez használt privát kulcs nem biztonságos kezelése, tárolása.	Kulcskezelés szabályozása, felhasználó oktatása.
	A végponti állomás ellopása.	Követelményrendszer szerinti fizikai biztonság kialakítása.
Internet	A felhasználó login adatainak (felhasználói azonosító, jelszó) lehallgatása, ezek segítségével a felhasználó megszemélyesítése.	Rejtjelezett adatátviteli csatorna használata.
	Érzékeny adatok lehallgatása.	Rejtjelezett adatátviteli csatorna használata.
	Adatok „leszívása” és továbbítása megváltoztatott tartalommal.	Hozzáférés-vezérlés kialakítása. Rejtjelezett adatátviteli csatorna. Egyszer használatos jelszó.
	E-mail-ek, elektronikus dokumentumok eltérítése.	Hozzáférés-vezérlés kialakítása.
Tűzfal	Tűzfal-biztonságpolitika hiánya vagy hiányos volta.	Tűzfal-biztonságpolitika elkészítése, vagy aktualizálása.
	Ad hoc vagy nem a biztonságpolitikának megfelelő biztonsági beállítás, vagy üzemeltetés.	Biztonsági beállítások rendszeres ellenőrzése, naplózás, riasztás.
	Portok letapogatása.	Tűzfal biztonsági beállítása.
	IP-cím megszemélyesítése, a támadó a védett hálózaton működő számítógép (pl. szerver) IP-címét megszerezve egy belső munkaállomást „szimulálva” a tűzfalon keresztül fér hozzá a szerveren levő adatállományokhoz.	Megfelelő hálózati biztonságpolitika, architektúraterv kialakítása.
	Visszaélés forrásútvonal-választással. A támadó a védett belső hálózat felépítésének ismeretében a saját gépében meghatározott útvonallal és belső IP-címmel belső gépet „játszik el” és fér hozzá az útvonal végén levő belső géphez.	Megfelelő hálózati biztonságpolitika, architektúraterv kialakítása. Hálózati végpont IP-címhez, MAC-címhez kötése.
	Szervertípus (Windows NT, UNIX, Linux) specifikus biztonsági lyukak az operációs rendszerben. Az aktuális javító- és szervizcsomagok telepítésének elmulasztása.	Operációs rendszerek biztonsági frissítéseinek folyamatos figyelése, végrehajtása.
	A tűzfal távoli, pl. interneten keresztül történő adminisztrálása.	Tűzfal adminisztrálása csak védett hálózatból vagy konzolról.
	Vírusvédelmi programok frissítésének elmulasztása.	Vírusvédelmi rendszer folyamatos frissítése.
	Hiányos biztonsági naplózás. A biztonsági naplók értékelésének elmulasztása vagy rendszertelensége.	Minden jelentős biztonsági esemény naplózása, naplózott események folyamatos értékelése.
	Hiányos fizikai biztonság.	Követelményrendszer szerinti fizikai biztonság kialakítása.
Webszerver	Webszerver biztonságpolitika hiánya vagy hiányos volta.	Webszerver-biztonságpolitika elkészítése vagy aktualizálása.
	Ad hoc vagy nem a biztonságpolitikának megfelelő biztonsági beállítás, vagy üzemeltetés.	Biztonsági beállítások rendszeres ellenőrzése, beállítások tényének naplózása.
	Biztonsági szempontból helytelenül konfigurált szerver.	Követelményeknek megfelelő konfigurálás.
	Weblapeltérítés. Ismert oldal tartalmának lemásolása, a hivatkozási név eltérítésével ezen oldal nyújtotta szolgáltatások saját célra való felhasználása (pl. bankkártya hozzáférési kódjainak megismerése, átutalások eltérítése); illetve a hivatkozás mögé az eredeti tartalommal nem megegyező oldal (pl. pornó) felvétele.	Webszerver megfelelő biztonsági beállítása.
	DoS-támadás.	Webszerver megfelelő biztonsági beállítása.
	Rosszindulatú programok, scriptek. Konfiguráció, fájlstruktúra-letapogatás.	Webszerver megfelelő biztonsági beállítása.
	Illetéktelen adathozzáférés megszemélyesítéssel.	Azonosítás, hitelesítés adminisztratív szabályozása, rendszeres ellenőrzése.
	Szervertípus (Windows NT, UNIX) specifikus biztonsági lyukak az operációs rendszerben. Az aktuális javító- és szervizcsomagok telepítésének elmulasztása.	Operációs rendszerek biztonsági frissítéseinek folyamatos figyelése, végrehajtása.
	Hiányos fizikai biztonság.	Követelményrendszer szerinti fizikai biztonság kialakítása.
	Hosszabb ideje inaktív felhasználók biztonsági táblái törlésének elmulasztása.	Adminisztrátori feladatok végrehajtásának rendszeres ellenőrzése.
	A nem használt vagy a biztonságpolitika által nem megengedett programok, utasítások (ftp, tftp, sendmail, gopher, finger, stb.), interpreterek hatástalanításának elmulasztása. Pl. mailszerver esetén az ftp, http szolgáltatások nem kerülnek letiltásra.	Adminisztrátori feladatok végrehajtásának rendszeres ellenőrzése.
Vállalati adatbázis, alkalmazások	Alkalmazás-, adatbázisszerver-biztonságpolitika hiánya vagy hiányos volta.	Alkalmazás-, adatbázis szerver-biztonságpolitika elkészítése.
	Ad hoc, vagy nem a biztonságpolitikának megfelelő biztonsági beállítás vagy üzemeltetés.	Biztonsági beállítások rendszeres ellenőrzése, beállítások tényének naplózása.
	Biztonsági szempontból helytelenül konfigurált szerver.	Biztonsági beállítások véglegesítése előtti tesztelése.
	Illetéktelen adathozzáférés megszemélyesítéssel.	Azonosítás, hitelesítés adminisztratív szabályozása, rendszeres ellenőrzés.
	Rosszindulatú programok, scriptek. Konfiguráció, fájlstruktúra-letapogatás.	Hozzáférés-vezérlés, jogosultságok beállítása.
	Hiányos fizikai biztonság.	Követelményrendszer szerinti fizikai biztonság kialakítása.

Másolás a vágólapra
Nyomtatás

Hatályos
Már nem hatályos
Még nem hatályos
Módosulni fog
Időállapotok
Adott napon hatályos
Közlönyállapot
Indokolás

Jelmagyarázat Lap tetejére

Műveletek