Iso 27000 es csal d
Download
1 / 99

ISO 27000-es család - PowerPoint PPT Presentation


  • 116 Views
  • Uploaded on

ISO 27000-es család. Krasznay Csaba. Bevezetés. Információbiztonsági Irányítási Rendszert (IBIR v. ISMS) létrehozni a fejlesztőnek és a megrendelőnek is fontos lehet. A szabvány bemutatása során tehát két szempontot kell figyelembe venni:

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' ISO 27000-es család' - bryga


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Iso 27000 es csal d

ISO 27000-es család

Krasznay Csaba


Bevezet s
Bevezetés

  • Információbiztonsági Irányítási Rendszert (IBIR v. ISMS) létrehozni a fejlesztőnek és a megrendelőnek is fontos lehet.

  • A szabvány bemutatása során tehát két szempontot kell figyelembe venni:

    • A megrendelő olyan szoftvert szeretne, ami segít az IBIR követelményeinek megfelelni

    • A fejlesztő olyan környezetet szeretne, ahol nem kell félnie a kód kiszivárgásától, az adatvesztéstől, stb.

    • Ez utóbbit a Common Criteria is előírja


Mi az ibir
Mi az IBIR?

  • Az átfogó irányítási rendszernek az a része, amely – egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva – kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet.

  • Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat.


Mi az ibir1
Mi az IBIR?

  • Az IBIR létrehozásának számos oka lehet:

    • Törvénynek vagy szabályozásnak való megfelelés

    • Az információ értéke olyan nagy, hogy nem lehet védtelenül hagyni

    • Külső nyomás (tulajdonosok, partnerek, vásárlók)

  • Ennél kevésbé nyilvánvaló okok is vannak:

    • Az információs rendszerek egyszerűbb kezelése

    • Csökkenő költségek (bár ez elsőre nehezen hihető)


Mi az ibir2
Mi az IBIR?

  • IBIR-t bevezetni nem egyszerű, mert

    • viszonylag sok idő kell ahhoz, hogy gördülékenyen működjön (ld. ISO 9000)

    • a bevezetés megakadhat a vállalaton belül

      • szervezeti változások miatt

      • a támogatás, az anyagiak vagy az emberek kiesése miatt

  • A tapasztalat azt mutatja, hogy a nagyobb szervezeteknél szokott lenni IBIR-szerű szabályozás, ami viszont

    • nem alkot összefüggő rendszert,

    • hiányos lehet

    • nem lehet tanúsítványt szerezni rá, ami bizonyos esetekben fontos lehet.


A szabv nyr l
A szabványról

  • Két részre bontható

    • 1. rész : A Code of Practice for Information Security Managementet (magyarul: Az informatikai biztonság menedzsmentjének gyakorlati kódexe)

    • 2. rész: Specification for Information Security Management Systems. (Az informatikai biztonsági menedzsment rendszerének specifikációja)

  • Nemzetközileg elfogadott és széles körben elismert biztonsági szabvány

  • Definíció szerint „a legszéleskörűbb eljárások, melyek az információs biztonság legjobb gyakorlati megvalósítását szolgálják”.


A szabv ny r vid t rt nete
A szabvány rövid története

ISO/IEC 17799:2005

ISO/IEC 27001:2005

ISO/IEC 27002:2005

MSZ ISO/IEC 17799:2006

MSZ ISO/IEC 27001:2006


Iso 27001
ISO 27001

  • Nagyon rövid, mindössze 8 oldal a szabvány, a többi melléklet és szómagyarázat.

  • Leírja egy olyan modellt az IBIR-re, amivel azt

    • elő lehet készíteni,

    • meg lehet valósítani,

    • működtetni lehet,

    • ellenőrizni lehet,

    • át lehet tekinteni,

    • karban lehet tartani,

    • és fejleszteni lehet.

  • Ez alapján tanúsítják az IBIR rendszereket.


Iso 270011
ISO 27001

  • A Plan-Do-Check-Act modellt használja



Iso 27002
ISO 27002

  • Jelentős változások történtek a szabvány megközelítésében

  • Korábban a CIA követelmények biztosítása volt a fókuszban

  • Az új szabvány az üzleti igényeket helyezi előtérbe

    • Az információbiztonság az információ védelme a széleskörű fenyegetésektől, hogy biztosítsák az üzleti folyamatok működésének folytonosságát, a lehető legkisebbre csökkentsék a kockázatot, és legnagyobbra növeljék a befektetési megtérülést és a működési lehetőségeket.


A v delem ter letei iso 27002 szerint
A védelem területei (ISO 27002 szerint)

  • Az ISMS kialakítása kockázatelemzéssel kezdődik!!!

  • Szabályzati rendszer

  • Biztonsági szervezet

  • Vagyontárgyak kezelése

  • Személyi biztonság

  • Fizikai és környezeti biztonság

  • Kommunikáció és üzemeltetés biztonsága

  • Hozzáférés-ellenőrzés

  • Információs rendszerek beszerzése, fejlesztése és karbantartása

  • Incidenskezelés

  • Üzletmenet-folytonosság

  • Megfelelőség


Az iso 27000 es csal d tov bbi szabv nyai
Az ISO 27000-es család további szabványai

  • A tervek szerint rövid időn belül kialakítják a szabvány teljes rendszerét

  • Ennek elemei a következők:

    • 27000: IBIR alapok és szótár (stage 30.20)

    • 27003: IBIR megvalósítási útmutató (még nem kezdték el kialakítani)

    • 27004: Az információbiztonság irányításának mérése (stage 30.20)

    • 27005: IBIR kockázatmenedzsment (stage 40.99)

    • 27006: Az IBIR tanúsítást végző szervezetre vonatkozó követelmények (megjelent: ISO/IEC 27006:2007)


Magyar vonatkoz s h rek
Magyar vonatkozású hírek

  • Az ISO 27000-es család és a Common Criteria alapján készül a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás.

  • Ez valószínűleg a közigazgatás bizonyos részein kötelezően ajánlott lesz.

  • Tartalmazza az ISO 27001, ISO 27002 és ISO 27006 követelményeit is.

  • A készítők szándéka szerint sokkal gyakorlatiasabb lesz, mint a szabványszöveg.

  • Érdemes rá odafigyelni!


Az ibir l trehoz sa
Az IBIR létrehozása

  • Az IBIR kialakítása előtt néhány fontos dolgot tisztázni kell:

    • Az egész szervezetre érvényes legyen a szabályozás, vagy csak egy részére?

    • Az ISO 27002 mely elemeit akarjuk szabályozni egyáltalán?

    • Cél a tanúsítvány megszerzése?

    • Ki vegyen részt a kialakításban a szervezet részéről?


Az ibir l trehoz sa1
Az IBIR létrehozása

  • 1. lépés: Tervezés

  • Itt kell meghatározni az IBIR szabályait és céljait

    • Ezeknek összhangban kell lenniük az üzleti célokkal

    • Meg kell határozni az alkalmazási területét, a szabályzatát, a kockázatelemzés módszerét,

    • El kell végezni a kockázatelemzést

    • Ez alapján azonosítani kell a kockázatokat, a kockázatkezelés módszereit, valamint a védelmi intézkedéseket

    • Mindehhez meg kell szerezni a vezetés jóváhagyását és alkalmazhatósági nyilatkozatot kell tenni


A lehets ges v delmi int zked sek
A lehetséges védelmi intézkedések

  • A lehetséges védelmi intézkedések az ISO 27002-ből származnak.

  • Ez részletesen leírja, hogy az információbiztonság területén mit kell figyelembe venni.

  • A védelmi intézkedések felsorolásánál a már említett két nézőpontot alkalmazzuk:

    • Mit tehetünk, ha fejlesztőként kell a saját szervezetnél bevezetni a védelmi intézkedést?

    • Mit tehetünk, ha szállítóként akarjuk támogatni a partnerünket?


Biztons gi szab lyzat
Biztonsági szabályzat

  • Információbiztonsági politika

  • Cél: Vezetői iránymutatás és támogatás nyújtása az információbiztonság a működés követelményeinek, valamint a vonatkozó törvényeknek és szabályozásnak megfelelően.

  • Az információbiztonsági szabályzat dokumentuma

    • Intézkedés: A vezetésnek információbiztonsági szabályzatot kell jóváhagynia, azt közzé kell tennie és ismertetnie kell valamennyi alkalmazottal és a megfelelő külső partnerekkel.

  • Az információbiztonsági szabályzat átvizsgálása

    • Intézkedés: Az információbiztonsági szabályzatot meghatározott időközönként, illetve lényeges változások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon.


Biztons gi szab lyzat1
Biztonsági szabályzat

  • Szoftveres támogatási lehetőség:

    • A szabályzat egészét vagy egyes pontjait folyamatosan, minden érintettnek közzétenni nehézkes.

    • A szöveg közzétételét segíthet az, ha szerepkörtől függően a szoftver folyamatosan emlékezteti a felhasználót a jogaira és kötelességeire.

    • A vezetőségi átvizsgáláshoz statisztikákat lehet nyújtani a későbbi védelmi intézkedések hatékonyságáról (pl. jelentett incidensek száma)


Az inform ci biztons g szervezete
Az információbiztonság szervezete

  • Belső szervezet

  • Cél: Az információbiztonság irányítása a szervezeten belül.

  • A vezetés elkötelezettsége az információbiztonság ügye iránt

    • Intézkedés: A vezetésnek világos iránymutatással, elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül.

  • Az információbiztonság koordinálása

    • Intézkedés: Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.


Az inform ci biztons g szervezete1
Az információbiztonság szervezete

  • Az információbiztonsági felelősségi körök kijelölése

    • Intézkedés: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni.

  • Jogosultsági engedélyezési folyamat az információ-feldolgozó eszközökre vonatkozóan

    • Intézkedés: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére.

  • Titoktartási megállapodások

    • Intézkedés: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.


Az inform ci biztons g szervezete2
Az információbiztonság szervezete

  • Kapcsolattartás a felhatalmazott szervezetekkel

    • Intézkedés: Megfelelő kapcsolatokat kell fenntartani az illetékes felhatalmazott szervezetekkel.

  • Kapcsolattartás speciális érdekcsoportokkal

    • Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal.

  • Az információbiztonság független átvizsgálása

    • Intézkedés: A szervezetnek az információbiztonság kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.


Az inform ci biztons g szervezete3
Az információbiztonság szervezete

  • Külső ügyfelek

  • Cél: A szervezet külső felek, ügyfelek által hozzáférhető, feldolgozott vagy részükre kommunikált, illetve általuk kezelt információk és információ-feldolgozó eszközök biztonságának fenntartása.

  • A külső ügyfelekkel összefüggő kockázatok azonosítása

    • Intézkedés: Azonosítani kell a szervezet információit és információ-feldolgozó eszközeit fenyegető kockázatokat, amelyek olyan működési folyamatokból származnak, amelyekben külső ügyfelek vesznek részt, ezekkel szemben megfelelő intézkedéseket kell hozni és érvényesíteni a hozzáférési jog megadása előtt.


Az inform ci biztons g szervezete4
Az információbiztonság szervezete

  • A biztonság kérdésének kezelése az ügyfelekkel való foglalkozás során

    • Intézkedés: Foglalkozni kell valamennyi azonosított biztonsági követelménnyel, mielőtt a szervezet hozzáférést biztosít információihoz, illetve vagyontárgyaihoz az ügyfelek számára.

  • A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban

    • Intézkedés: A harmadik felekkel kötött megállapodásoknak, beleértve a szervezet információihoz, illetve információfeldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információfeldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell.


Az inform ci biztons g szervezete5
Az információbiztonság szervezete

  • Szoftveres támogatási lehetőség:

    • Az adatgazdák kijelölése ebben a fázisban történik meg, ezt a jogosultságkezelésben kell a későbbiekben implementálni

    • A titoktartási szerződésben rögzített hozzáférési jogosultságokat és időket figyelembe kell venni

    • A hozzáféréssel kapcsolatos szabálysértésekről információt, statisztikát kell szolgáltatni

    • A megrendelőt folyamatosan értesíteni kell a szoftverben talált sérülékenységekről

    • Ebben a pontban határozhatják meg, hogy a szállítóval, mint harmadik féllel szemben milyen biztonsági követelmények vannak, amit vagy be kell tartani, vagy implementálni kell.


Vagyont rgyak kezel se
Vagyontárgyak kezelése

  • Felelősség a vagyontárgyakért

  • Cél: Megfelelő védelem elérése és fenntartása a szervezet vagyontárgyait illetően.

  • Vagyonleltár

    • Intézkedés: Valamennyi vagyontárgyat egyértelműen azonosítani kell és valamennyi fontos vagyontárgyról leltárt kell felvenni és azt meg kell őrizni.


Vagyont rgyak kezel se1
Vagyontárgyak kezelése

  • Vagyontárgyak tulajdonjoga

    • Intézkedés: Valamennyi információt és az információfeldolgozással összefüggő vagyontárgyat a szervezet meghatározott része kell birtokoljon.

  • Vagyontárgyak elfogadható használata

    • Intézkedés: Szabályokat kell azonosítani, dokumentálni és érvényesíteni az információk és az információfeldolgozással összefüggő vagyontárgyak elfogadható használatára vonatkozóan.


Vagyont rgyak kezel se2
Vagyontárgyak kezelése

  • Információk osztályozása

  • Cél: az információk megfelelő szintű védelmének biztosítása

  • Osztályozási elvek

    • Intézkedés: Az információkat értékük, a jogi előírások, a szervezet szempontjából képviselt érzékenységük és kritikusságuk szempontjából kell osztályozni.

  • Az információk jelölése és kezelése

    • Intézkedés: Összhangban a szervezet által elfogadott osztályozási rendszerrel, megfelelő eljárásokat kell kidolgozni és bevezetni az információk cimkézésére és kezelésére.


Vagyont rgyak kezel se3
Vagyontárgyak kezelése

  • Szoftveres támogatási lehetőségek:

    • Figyelembe kell venni, hogy a szállított szoftver milyen biztonsági szintű vagyontárgynak minősül

    • Ezt a biztonsági szintet megfelelő címkézéssel kell biztosítani

    • A címkékkel ellátott információt a biztonsági szabályzat (pl. Bell-LaPadula, MAC, DAC) szerint kell kezelni.


Az emberi er forr sok biztons ga
Az emberi erőforrások biztonsága

  • Az alkalmazást megelőzően

  • Cél: Annak biztosítása, hogy az alkalmazottak, a szerződő felek és harmadik felek, mint felhasználók legyenek tisztában felelősségükkel, legyenek alkalmasak a nekik szánt feladatkörök betöltésére, valamint a lopásból, a csalásból, illetve az eszközökkel való visszaélésből származó kockázatok csökkentésére.

  • Feladat- és felelősségi körök

    • Intézkedés : Az alkalmazottak, szerződő felek és harmadik felek, mint felhasználók, biztonsággal összefüggő feladat- és felelősségi körét a szervezet információbiztonsági szabályzatával összhangban kell meghatározni és dokumentálni.


Az emberi er forr sok biztons ga1
Az emberi erőforrások biztonsága

  • Átvilágítás

    • Intézkedés: A vonatkozó törvényi, szabályozási és etikai előírásoknak, az elérendő információ osztályozásának és az érzékelt kockázatoknak megfelelően, valamint a működés által megkívánt mértékben valamennyi állásra pályázó, szerződő vállalkozó, felhasználó harmadik fél tekintetében végzett igazoló háttérellenőrzések.

  • Alkalmazási kifejezések és feltételek

    • Intézkedés: Szerződéses kötelezettségük részeként, az alkalmazottaknak, szerződőknek és a felhasználó harmadik feleknek el kell fogadniuk és alá kell írniuk alkalmazási szerződésük feltételeit és kikötéseit, amelyeknek rögzíteniük kell az alkalmazottak és a szervezet információbiztonsággal kapcsolatos felelősségét.


Az emberi er forr sok biztons ga2
Az emberi erőforrások biztonsága

  • Az alkalmazás időtartama alatt

  • Cél: Annak biztosítása, hogy valamennyi alkalmazott, szerződő vállalkozó és felhasználó harmadik fél legyen tudatában az információ biztonságát fenyegető veszélyeknek és nyugtalanító tényezőnek, saját felelősségének és kötelezettségeinek, továbbá, hogy legyenek felkészülve mindennapi munkájuk során a szervezet biztonsági politikájának támogatására, s az emberi hibából eredő kockázat csökkentésére.

  • A vállalatvezetés felelőssége

    • Intézkedés: A vállalatvezetésnek meg kell követelnie alkalmazottaitól, a szerződőktől és a felhasználó harmadik felektől, hogy a biztonságot a szervezet által meghatározott politikáknak és eljárásoknak megfelelően alkalmazzák.


Az emberi er forr sok biztons ga3
Az emberi erőforrások biztonsága

  • Az információbiztonság tudatosítása, oktatás és képzés

    • Intézkedés: A szervezet valamennyi alkalmazottját és, ahol ez jelentőséggel bír, a szerződőket és a felhasználó harmadik feleit megfelelő, tudatosító képzésben kell részesíteni, és a munkaköri feladataiknak megfelelően a szervezeti szabályzatok és eljárások tekintetében rendszeresen friss ismeretanyaggal kell ellátni.

  • Fegyelmi eljárás

    • Intézkedés: Hivatalos fegyelmi eljárást kell lefolytatni a biztonsági előírásokat megsértő alkalmazottakkal szemben.


Az emberi er forr sok biztons ga4
Az emberi erőforrások biztonsága

  • Az alkalmazás megszűnése, illetve megváltozása

  • Cél: annak biztosítása, hogy az alkalmazottak, szerződő és felhasználó harmadik felek szabályos módon váljanak meg egy szervezettől, illetve változtassanak munkahelyet.

  • Felelősségek az alkalmazás megszűnésekor

    • Intézkedés: Egyértelműen meg kell határozni és ki kell jelölni az alkalmazás megszüntetésekor, illetve megváltoztatásakor fennálló felelősségeket.


Az emberi er forr sok biztons ga5
Az emberi erőforrások biztonsága

  • Vagyontárgyak visszaszolgáltatása

    • Intézkedés: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik félnek vissza kell szolgáltatnia a szervezet valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik.

  • Hozzáférési jogok megszüntetése

    • Intézkedés: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik, szerződésük, illetve megállapodásuk lejár, vagy azt módosulás esetén a változáshoz kell igazítani.


Az emberi er forr sok biztons ga6
Az emberi erőforrások biztonsága

  • Szoftveres támogatási lehetőségek

    • Az információbiztonsági képzést lehetőség szerint támogatni kell a szállított alkalmazás biztonsági aspektusainak ismertetésével

    • Folyamatosan kell gyűjteni a szoftverben azokat a bizonyítékokat, melyek a szabálysértésekre utalnak

    • Egy felhasználó jogosultságait a lehető legkönnyebben és leghamarabb lehessen visszavonni.


Fizikai s k rnyezeti biztons g
Fizikai és környezeti biztonság

  • Területek védelme, biztosítása

  • Cél: A szervezet helyiségeinek és információinak védelme, a jogosulatlan, illetéktelen fizikai behatolás, károkozás és zavarkeltés megakadályozása.

  • Fizikai biztonsági határzóna

    • Intézkedés: Azokon a területeken, ahol információkat vagy információ-feldolgozó eszközöket tartanak, biztonsági határzónákat (lehatároló védfalakat, kártyával ellenőrzött beléptető kapukat, illetve személyzettel ellátott portaszolgálatot) kell alkalmazni e területek védelmére.


Fizikai s k rnyezeti biztons g1
Fizikai és környezeti biztonság

  • Fizikai belépés ellenőrzése

    • Intézkedés: A biztonsági területeket a belépés megfelelő ellenőrzésével kell védeni, hogy e területekre csak a belépésre jogosultak juthassanak be.

  • Irodák, helyiségek és létesítmények védelme

    • Intézkedés: Az irodák, helyiségek és létesítmények fizikai védelmét ki kell alakítani és azt alkalmazni kell.

  • Külső és környezeti veszélyekkel szembeni védelem

    • Intézkedés: Ki kell alakítani a tűzvész, áradás, földrengés, robbanás, polgári zavargás, valamint a természeti és ember által előidézett katasztrófák más formái által okozott károk elleni védelmet és azt alkalmazni kell.


Fizikai s k rnyezeti biztons g2
Fizikai és környezeti biztonság

  • Munkavégzés biztonsági területeken

    • Intézkedés: Ki kell alakítani és alkalmazni kell a biztonsági területeken történő munkavégzésre vonatkozó fizikai védelmeket és irányelveket.

  • Közforgalmi bejutási pontok, szállítási és rakodási területek

    • Intézkedés: A szállítási és rakodási területek belépési pontjait, és egyéb olyan pontokat, amelyeken keresztül arra jogosulatlan egyének a helyiségekbe bejuthatnak, ellenőrizni kell, és lehetőség szerint, ezeket az illetéktelen hozzáférés megelőzése érdekében el kell különíteni az információ-feldolgozás létesítményeitől.


Fizikai s k rnyezeti biztons g3
Fizikai és környezeti biztonság

  • Berendezések védelme

  • Cél: A vagyontárgyak elvesztésének, károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése.

  • Berendezések elhelyezése és védelme

    • Intézkedés: A berendezéseket úgy kell elhelyezni, illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége.

  • Közműszolgáltatások

    • Intézkedés: A berendezéseket védeni kell a közüzemi létesítményekben bekövetkező meghibásodások okozta áramkimaradásoktól és más kiesésektől.


Fizikai s k rnyezeti biztons g4
Fizikai és környezeti biztonság

  • Kábelbiztonság

    • Intézkedés: Az adatátvitelt bonyolító, illetve az információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot védeni kell a lehallgatástól és a károsodástól.

  • Berendezések karbantartása

    • Intézkedés: A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.

  • Berendezések biztonsága a telephelyen kívül

    • Intézkedés: A telephelyen kívüli berendezések biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.


Fizikai s k rnyezeti biztons g5
Fizikai és környezeti biztonság

  • Berendezések biztonságos selejtezése, illetve újrafelhasználása

    • Intézkedés: Valamennyi olyan berendezést, amely tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.

  • Vagyontárgyak eltávolítása

    • Intézkedés: Berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetők ki a telephelyről.

  • Ezt a követelménytípust természetéből adódóan nem nagyon lehet szoftveresen támogatni.


Kommunik ci s zemeltet s ir ny t sa
Kommunikáció és üzemeltetés irányítása

  • Üzemeltetési eljárások és felelősségi körök

  • Cél: Az információ-feldolgozó eszközök előírásszerű és biztonságos üzemeltetésének biztosítása

  • Dokumentált üzemeltetési eljárások

    • Intézkedés: Az üzemeltetési eljárásokat dokumentálni kell és azokat karban kell tartani, és minden olyan felhasználó számára hozzáférhetővé kell tenni, akiknek arra szükségük van.

  • Változáskezelés

    • Intézkedés: Az információ-feldolgozó eszközök és rendszerek változtatásait szabályozni kell.


Kommunik ci s zemeltet s ir ny t sa1
Kommunikáció és üzemeltetés irányítása

  • Feladatkörök, kötelezettségek elhatárolása

    • Intézkedés: A feladatköröket és felelősségi területeket szét kell választani a szervezet vagyontárgyai jogosulatlan, illetve nem szándékolt módosítása, illetve az azokkal való visszaélés lehetőségeinek csökkentése érdekében.

  • Fejlesztési, vizsgáló és üzemeltetési berendezések különválasztása

    • Intézkedés: A fejlesztési, vizsgáló és üzemeltetési berendezéseket egymástól külön kell választani az üzemelő rendszerekhez való jogosulatlan hozzáférés, illetve azok jogosulatlan módosítása kockázatainak csökkentése érdekében.


Kommunik ci s zemeltet s ir ny t sa2
Kommunikáció és üzemeltetés irányítása

  • Harmadik felek szolgáltatásnyújtásának irányítása

  • Cél: Az információbiztonság és szolgáltatásnyújtás megfelelő szintjének bevezetése és fenntartása a harmadik felekkel kötött szolgáltatásnyújtási megállapodásokkal összhangban.

  • Szolgáltatásnyújtás

    • Intézkedés: Biztosítani kell a harmadik felekkel szolgáltatásnyújtására kötött megállapodásokban foglalt biztonsági intézkedések, szolgáltatás-meghatározások és szolgáltatásnyújtási szintek harmadik felek általi megvalósítását, működtetését és fenntartását.


Kommunik ci s zemeltet s ir ny t sa3
Kommunikáció és üzemeltetés irányítása

  • Harmadik felek szolgáltatásainak figyelemmel kísérése és átvizsgálása

    • Intézkedés: A harmadik felek által nyújtott szolgáltatásokat, jelentéseket és feljegyzéseket rendszeresen figyelemmel kell kísérni és át kell vizsgálni, valamint rendszeres auditjukat is el kell végezni.

  • Harmadik felek szolgáltatásaival kapcsolatos változások kezelése

    • Intézkedés: A szolgáltatások nyújtását, beleértve a meglévő információbiztonsági szabályzatok, eljárások és ellenőrző intézkedések fenntartását és fejlesztését, érintő változásokat . az érintett működési rendszerek kritikusságára beleértve a folyamatokat és a kockázatok újraértékelését . kezelni kell.


Kommunik ci s zemeltet s ir ny t sa4
Kommunikáció és üzemeltetés irányítása

  • Rendszertervezés és elfogadás

  • Cél: A rendszerhibák kockázatának minimalizálása.

  • Kapacitásmenedzselés

    • Intézkedés: A rendszer megkívánt teljesítőképességének biztosítása érdekében az erőforrások felhasználását figyelemmel kell kísérni, össze kell hangolni, valamint a jövőbeli kapacitásigényekre vonatkozóan előrejelzéseket kell készíteni.

  • Rendszerek elfogadása, átvétele

    • Intézkedés: Ki kell alakítani az új információs rendszerekre, a bővítésekre és az új változatokra vonatkozó elfogadási, átvételi kritériumokat és a fejlesztés során az átvétel előtt el kell végezni a rendszer(ek) megfelelő vizsgálatát.


Kommunik ci s zemeltet s ir ny t sa5
Kommunikáció és üzemeltetés irányítása

  • Védelem a rosszindulatú és mobil kódok ellen

  • Cél: A szoftver és az információ sértetlenségének megóvása.

  • Rosszindulatú kód elleni intézkedések

    • Intézkedés: A rosszindulatú kódok elleni védekezés érdekében észlelési, megelőzési és helyreállítási intézkedéseket kell megvalósítani, valamint a felhasználók részére megfelelő, tudatosító eljárásokat kell bevezetni.

  • Mobil kód elleni intézkedések

    • Intézkedés: Ahol a mobil kód használata engedélyezett, a konfigurációnak biztosítania kell, hogy az engedélyezett mobil kód az egyértelműen meghatározott biztonsági szabályzatnak megfelelően működjék, valamint a nem engedélyezett mobil kódot a használatból ki kell zárni.


Kommunik ci s zemeltet s ir ny t sa6
Kommunikáció és üzemeltetés irányítása

  • Biztonsági mentés

  • Cél: Az információk és az információ-feldolgozó berendezések sértetlenségének és rendelkezésre állásának fenntartása.

  • Információk biztonsági mentése

    • Intézkedés: Az információkról és a szoftverekről biztonsági másolatokat kell készíteni és azokat rendszeresen vizsgálni kell a megállapított biztonsági mentési szabályzatnak megfelelően.


Kommunik ci s zemeltet s ir ny t sa7
Kommunikáció és üzemeltetés irányítása

  • Hálózatbiztonság kezelése

  • Cél: A hálózatokban lévő információk megóvásának és a támogató infrastruktúra védelmének biztosítása.

  • Hálózatok védelme

    • Intézkedések: A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani.

  • Hálózati szolgáltatások biztonsága

    • Intézkedés: A biztonsági jellemzőket, a szolgáltatási szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak.


Kommunik ci s zemeltet s ir ny t sa8
Kommunikáció és üzemeltetés irányítása

  • Adathordozók kezelése

  • Cél: Vagyontárgyak illetéktelen kiadásának, módosításának, eltávolításának, vagy tönkretételének, valamint a működési tevékenységek megszakadásának megelőzése.

  • Az eltávolítható adathordozók kezelése

    • Intézkedés: Az eltávolítható adathordozók kezelésére megfelelő eljárásokat kell alkalmazni.

  • Adathordozók selejtezése

    • Intézkedés: A feleslegessé vált adathordozókat hivatalos eljárásokkal védett módon és biztonságosan le kell selejtezni, vagy meg kell semmisíteni.


Kommunik ci s zemeltet s ir ny t sa9
Kommunikáció és üzemeltetés irányítása

  • Információkezelési eljárások

    • Intézkedés: Eljárásokat kell kialakítani az információ kezelésére és tárolására, annak érdekében, hogy az ilyen információt a jogosulatlan feltárástól, vagy a visszaéléstől meg lehessen óvni.

  • Rendszerdokumentáció védelme

    • Intézkedés: A rendszerdokumentációt védeni kell a jogosulatlan hozzáféréstől.


Kommunik ci s zemeltet s ir ny t sa10
Kommunikáció és üzemeltetés irányítása

  • Információcsere

  • Cél: A szervezeten belül és bármilyen külső entitással kicserélt információk és szoftverek biztonságának fenntartása.

  • Információcserére vonatkozó szabályzatok és eljárások

    • Intézkedés: A cserét szabályzó hivatalos irányelvek, eljárások és intézkedések legyenek készen a kommunikációs berendezések valamennyi típusának használatával megvalósuló információcsere védelme, biztonsága érdekében.

  • Megállapodások az információ- és szoftvercseréről

    • Intézkedés: Megállapodásokat kell létrehozni a szervezet és külső felek közötti információ- és szoftvercserére vonatkozóan.


Kommunik ci s zemeltet s ir ny t sa11
Kommunikáció és üzemeltetés irányítása

  • Fizikai adathordozók szállítása

    • Intézkedés: A szervezet fizikai határain túlra történő szállításuk közben az információt tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, a visszaélésektől, illetve a megrongálástól.

  • Elektronikus üzenetek küldése/fogadása

    • Intézkedés: Az elektronikus üzenetekben foglalt információkat megfelelő módon védeni kell.

  • Működési információs rendszerek

    • Intézkedés: Szabályzatokat és eljárásokat kell kidolgozni és bevezetni a működési információs rendszerek összeköttetésével kapcsolódó információk védelmére.


Kommunik ci s zemeltet s ir ny t sa12
Kommunikáció és üzemeltetés irányítása

  • Elektronikus kereskedelmi szolgáltatások

  • Cél: Az elektronikus kereskedelmi szolgáltatások biztonságának és azok biztonságos használatának biztosítása.

  • Elektronikus kereskedelem

    • Intézkedés: Az elektronikus kereskedelemben nyilvános hálózatokon áthaladó információkat meg kell óvni a tisztességtelen tevékenységtől, a szerződéses vitától, a jogosulatlan felfedéstől és módosítástól.

  • On-line tranzakciók

    • Intézkedés: Az on-line tranzakciók információit védeni kell, hogy megelőzhető legyen hiányos továbbításuk, téves kézbesítésük, az üzenetek jogosulatlan módosítása, jogosulatlan felfedése, az üzenetek jogosulatlan másolása, illetve megismétlése.

  • Nyilvánosan hozzáférhető információk

    • Intézkedés: A nyilvánosan hozzáférhető rendszereken elérhetővé tett információk épségét a jogosulatlan módosítás elkerülése érdekében meg kell védeni.


Kommunik ci s zemeltet s ir ny t sa13
Kommunikáció és üzemeltetés irányítása

  • Figyelemmel követés (monitoring)

  • Cél: A jogosulatlan információ-feldolgozó tevékenységek észlelése.

  • Audit naplózása

    • Intézkedés: A felhasználói tevékenységekről, kizárásokról, és az információbiztonsági eseményekről audit naplókat kell vezetni, és azokat meghatározott időtartamig meg kell őrizni a jövőbeli vizsgálatok és hozzáférés-ellenőrzés figyelése céljából.

  • Rendszerhasználat figyelése

    • Intézkedés: Eljárásokat kell kialakítani az információ-feldolgozó eszközök használatának figyelésére és a figyelemmel kísérés eredményeit rendszeresen át kell vizsgálni.


Kommunik ci s zemeltet s ir ny t sa14
Kommunikáció és üzemeltetés irányítása

  • Naplóinformációk védelme

    • Intézkedés: A naplózás berendezéseit és a naplóban rögzített információkat meg kell védeni a szakszerűtlen kezeléstől és az illetéktelen hozzáféréstől.

  • Adminisztrátori és kezelői naplók

    • Intézkedés: A rendszeradminisztrátori és rendszerkezelői tevékenységeket naplózni kell.

  • Hibák naplózása

    • Intézkedés: A hibákat naplózni és elemezni kell, és meg kell tenni a megfelelő beavatkozásokat.

  • Órajelek szinkronizálása

    • Intézkedés: A szervezeten belül, illetve adott biztonsági tartományban működő valamennyi érintett információ-feldolgozó rendszer órajelét szinkronizálni kell egy közösen megállapított pontos időforráshoz.


Kommunik ci s zemeltet s ir ny t sa15
Kommunikáció és üzemeltetés irányítása

  • Szoftveres támogatási lehetőségek (szinte mindennel találkozni fogunk a CC-ben is):

    • Megfelelő változáskezelést kell alkalmazni (pl. verziószámokkal, dokumentumokkal)

    • A követelményeknek megfelelő mérési adatokat kell szolgáltatni (pl. a szükséges infrastruktúráról)

    • Támogatni kell a víruskereső alkalmazások működését

    • A szoftverelemek védelmével (pl. DLL fájlok integritásellenőrzése, adminisztrátori mód mellőzése) ki kell kerülni a kártékony kódok települését

    • Bármilyen külső fogadásánál kellő gondossággal kell eljárni (pl. frissítések digitális aláírása, ActiveX vezérlők védelme)


Kommunik ci s zemeltet s ir ny t sa16
Kommunikáció és üzemeltetés irányítása

  • Saját vagy külső mentési megoldás támogatása vagy megvalósítása.

  • Titkosított hálózati adatcsatornák alkalmazása (pl. SSL)

  • Lehetőség szerint a cserélhető adathordozókra csak indokolt esetben lehessen információt kivinni.

  • A rendszer részletes rendszerdokumentációja ne legyen elérhető az interneten (kelljen hozzá pl. regisztráció)

  • Elektronikus aláírás és titkosítás használata a bizalmasság, sértetlenség és letagadhatatlanság biztosítására.


Kommunik ci s zemeltet s ir ny t sa17
Kommunikáció és üzemeltetés irányítása

  • A tárolt és küldött e-mailek védelme.

  • Az ismert sebezhetőségek kivédése az adminisztratív és elszámolási rendszerekben, ahol az információ el van osztva a szervezet különböző részei között

  • VoIP beszélgetések rögzítése

  • A naplóállományok védelme nem jogosult felhasználóktól

  • Címtárak használata a saját adatbázis helyett

  • Az összes tranzakció rögzítése

  • A címkézett információk kiszivárgásának elkerülése


Kommunik ci s zemeltet s ir ny t sa18
Kommunikáció és üzemeltetés irányítása

  • A naplóállományok tartalmazzák a felhasználó azonosítóját, a fő események időpontjait és részleteit, a belépési pontot, a sikeres és sikertelen erőforrás és adathozzáféréseket, a rendszerkonfiguráció változását, az adminisztrátori beavatkozásokat, a hozzáfért állományok listáját és a hozzáférés típusát, a hálózati címeket és protokollokat, a hozzáférési rendszer vészjelzéseit, és a védelmi rendszer ki-bekapcsolását.

  • Amennyiben nem lehetséges a naplóadatokat írni, a szoftver működését fel kell függeszteni


Hozz f r s ellen rz s
Hozzáférés-ellenőrzés

  • A hozzáférés-ellenőrzéshez fűződő működési követelmény

  • Cél: Az információkhoz való hozzáférés ellenőrzése.

  • Hozzáférés-ellenőrzési szabályzat

    • Intézkedés: Dokumentált hozzáférés-ellenőrzési szabályzatot kell kialakítani és azt a hozzáférésre vonatkozó, működési és biztonsági követelmények alapján felül kell vizsgálni.

  • Felhasználói hozzáférés irányítása

  • Cél: Az információs rendszerekhez való jogosult hozzáférés biztosítása, illetve a jogosulatlan hozzáférés megakadályozása.

  • Felhasználók regisztrálása

    • Intézkedés: Valamennyi információs rendszerhez és szolgáltatáshoz való hozzáférés megadására és visszavonására hivatalos felhasználó regisztrálási és regisztráció megszüntetési eljárást kell alkalmazni.


Hozz f r s ellen rz s1
Hozzáférés-ellenőrzés

  • Előjogok kezelése

    • Intézkedés: Az előjogok kiosztását és használatát korlátozni és ellenőrizni kell.

  • Felhasználói jelszavak kezelése

    • Intézkedés: A jelszavak kiosztását hivatalos kezelési folyamattal kell ellenőrizni.

  • Felhasználói hozzáférési jogosultságok átvizsgálása

    • Intézkedés: A vezetőségnek rendszeres időközönként hivatalos folyamattal át kell vizsgálnia a felhasználói hozzáférési jogosultságokat.


Hozz f r s ellen rz s2
Hozzáférés-ellenőrzés

  • Felhasználói felelősségek

  • Cél: A jogosulatlan felhasználói hozzáférés, valamint az információk és információ-feldolgozó eszközök megrongálásának, illetve eltulajdonításának megelőzése.

  • Jelszóhasználat

    • Intézkedés: A felhasználóktól meg kell követelni, hogy a jelszavak kiválasztásában és használatában a jó biztonság gyakorlatot kövessék.

  • Őrizetlenül hagyott felhasználói berendezések

    • Intézkedés: A felhasználóknak biztosítaniuk kell az őrizetlenül hagyott berendezések megfelelő védelmét.

  • A „Tiszta asztal, tiszta képernyő” szabályzata

    • Intézkedés: Az iratok és eltávolítható adathordozók tekintetében a „tiszta asztal”, míg az információ-feldolgozó eszközök tekintetében a „tiszta képernyő” szabályzatát kell alkalmazni.


Hozz f r s ellen rz s3
Hozzáférés-ellenőrzés

  • Hálózati szintű hozzáférés ellenőrzés

  • Cél: A hálózatos szolgáltatásokhoz való jogosulatlan hozzáférés megakadályozása

  • Hálózati szolgáltatások használatára vonatkozó szabályzat

    • Intézkedés: A felhasználók csak azokhoz a szolgáltatásokhoz kaphassanak hozzáférést, amelyek használatára kifejezett jogosultságuk van.

  • Felhasználó hitelesítése külső csatlakozások esetén

    • Intézkedés: A távoli felhasználók általi hozzáférés ellenőrzésére megfelelő hitelesítési eljárásokat kell alkalmazni.

  • Berendezések azonosítása a hálózatokban

    • Intézkedés: Az automatikus berendezésazonosítást úgy kell tekinteni, mint a speciális helyekről és berendezésekről megvalósuló összeköttetések hitelesítési módját.


Hozz f r s ellen rz s4
Hozzáférés-ellenőrzés

  • Távdiagnosztikai és konfigurációs portok védelme

    • Intézkedés: A diagnosztikai és konfigurációs portokhoz való fizikai és logikai hozzáférést ellenőrizni kell.

  • Elkülönítés a hálózatokban

    • Intézkedés: Az információs szolgáltatások, a felhasználók és az információs rendszerek csoportjait el kell különíteni a hálózatokban.

  • Hálózathoz való csatlakozás ellenőrzése

    • Intézkedés: Megosztott hálózatoknál, különösen azoknál, amelyek a szervezet határain túlra nyúlnak, a hozzáférés-ellenőrzési szabályzattal és a működési alkalmazások követelményeivel összhangban, korlátozni kell a felhasználók hálózati csatlakozási képességeit

  • Hálózati útvonal ellenőrzése

    • Intézkedés: A hálózatokban az útvonalellenőrzést kell bevezetni annak biztosítására, hogy a számítógépes összeköttetések és az információáramlás ne sértsék a működési alkalmazásokra vonatkozó hozzáférés-ellenőrzési szabályzatot.


Hozz f r s ellen rz s5
Hozzáférés-ellenőrzés

  • Operációs rendszer szintű hozzáférés-ellenőrzés

  • Cél: Az operációs rendszerekhez való jogosulatlan hozzáférés megelőzése

  • Biztonságos bejelentkezési eljárások

    • Intézkedés: Az operációs rendszerekhez való hozzáférést biztonságos bejelentkezési eljárásokkal kell ellenőrzés alatt tartani.

  • Felhasználó azonosítása és hitelesítése

    • Intézkedés: Minden egyes felhasználónak saját személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie, és alkalmas hitelesítési technikát kell választani a felhasználó állítólagos azonosságának igazolására.


Hozz f r s ellen rz s6
Hozzáférés-ellenőrzés

  • Jelszókezelő rendszer

    • Intézkedés: A jelszavak kezelésére szolgáló rendszereknek interaktív rendszereknek kell lenniük és jó minőségű jelszavakat kell biztosítaniuk.

  • Rendszer-segédprogramok használata

    • Intézkedés: Korlátozni és szigorúan ellenőrizni kell a rendszer segédprogramjainak használatát, amelyek alkalmasak lehetnek a rendszer- és alkalmazásellenőrzés megkerülésére.

  • Kapcsolati idő túllépése

    • Intézkedés: Az inaktív összeköttetéseket meghatározott időtartamú inaktivitás után bontani kell.

  • Az összeköttetés idejének korlátozása

    • Intézkedés: A magas kockázatú alkalmazások kiegészítő biztonsága érdekében korlátozni kell az összeköttetés idejét.


Hozz f r s ellen rz s7
Hozzáférés-ellenőrzés

  • Alkalmazás és információ szintű hozzáférés-ellenőrzés

  • Cél: Az alkalmazási rendszerekben tárolt információhoz való jogosulatlan hozzáférés megelőzése.

  • Információ hozzáférés korlátozása

    • Intézkedés: Az információkhoz és az alkalmazási rendszerek funkcióihoz való felhasználói és támogatószemélyzeti hozzáférést a kialakított hozzáférés-ellenőrzési szabályzattal összhangban korlátozni kell.

  • Érzékeny rendszerek elkülönítése

    • Intézkedés: Az érzékeny rendszereknek egy erre a célra létesített (elkülönített) számítógépes környezettel kell rendelkezniük.


Hozz f r s ellen rz s8
Hozzáférés-ellenőrzés

  • Mobil számítógép használata és távmunka

  • Cél: Az információbiztonság megőrzése mobil számítógép használatra és távmunka végzésére szolgáló berendezések használata esetén

  • Mobil számítógép használata és kommunikáció

    • Intézkedés: Hivatalos szabályzatnak kell hatályban lennie és megfelelő biztonsági intézkedéseket kell elfogadni a mobil számítógép használatából és a mobil kommunikációs berendezések használatából eredő kockázatok elleni védekezés.

  • Távmunka

    • Intézkedés: A távmunkában folytatott tevékenységekre szabályzatot, üzemeltet ési terveket és eljárásokat kell kidolgozni és megvalósítani.


Hozz f r s ellen rz s9
Hozzáférés-ellenőrzés

  • Szoftveres támogatási lehetőségek:

    • A felhasználók egyedileg azonosíthatók legyenek

    • Legkisebb jogosultság elvének alkalmazása

    • A jogosultságok úgy legyenek kiosztva, hogy a feladatok szétválasztásának elve megvalósuljon

    • Tartsák be a jelszavakra vonatkozó előírásokat

    • Adott idejű inaktivitás után léptessék ki a felhasználót

    • Oldják meg a távoli felhasználók azonosítását is (pl. tanúsítvánnyal)

    • Követeljék meg a tűzfalak használatát


Hozz f r s ellen rz s10
Hozzáférés-ellenőrzés

  • Ne látszódjon a jelszó begépeléskor

  • Ne legyen segítség a jelszó kitalálásához

  • Ne látszódjon, hogy a rossz jelszó begépelésekor a felhasználó mit rontott el

  • A sikertelen belépési kísérletek között exponenciálisan növekvő idő teljen el

  • Látszódjon az előző sikeres belépési kísérlet ideje, és a sikertelen belépések száma

  • A hálózaton ne küldjenek át jelszavakat (SSL vagy hash használata javasolt)


Hozz f r s ellen rz s11
Hozzáférés-ellenőrzés

  • Tegyék lehetővé a felhasználóknak a saját jelszavuk megváltoztatását

  • Ne engedjék a korábbi jelszavak használatát egy meghatározott ideig

  • A jelszavakat lenyomat formájában tárolják

  • A felhasználók jogosultságait egyesével vagy szerepkörönként lehessen állítani


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Információs rendszerek biztonsági követelményei

  • Cél: Annak biztosítása, hogy a biztonság az információs rendszerek szerves részét képezze.

  • Biztonsági követelmények elemzése és meghatározása

    • Intézkedés: Az új információs rendszerekre, vagy a meglévő információs rendszerek bővítéseire vonatkozó működési követelményekben kell meghatározni a biztonsági intézkedések követelményeit.

  • Helyes információfeldolgozás az alkalmazásokban

  • Cél: Az információs tévedések, az információk elvesztésének, jogosulatlan módosításának, illetve az információkkal való visszaélések elkerülése az alkalmazásokban.

  • Bemenő adatok érvényesítési ellenőrzése

    • Intézkedés: Az alkalmazások bemenő adatait érvényesíteni kell annak érdekében, hogy azok helyesek és megfelelőek legyenek.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa1
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Belső feldolgozás ellenőrzése

    • Intézkedés: Az alkalmazásokba érvényesítési ellenőrzéseket kell beépíteni, hogy észlelni lehessen az információk feldolgozási hibákból, vagy szándékos cselekedetekből fakadó bármilyen sérülését.

  • Üzenetek sértetlensége

    • Intézkedés: A hitelesség biztosítása és az alkalmazásokban az üzenetek sértetlenségének védelme érdekében meg kell határozni az alkalmazásokat, valamint azonosítani kell és meg kell valósítani a megfelelő védelmeket.

  • Kimenő adatok ellenőrzése

    • Intézkedés: Egy alkalmazásból kimenő adatokat érvényesíteni kell annak érdekében, hogy a tárolt információk feldolgozása helyes és a körülményeknek megfelelő legyen.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa2
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Titkosítási intézkedések

  • Cél: Az információ bizalmasságának, hitelességének, valamint sértetlenségének védelme titkosítási eszközökkel.

  • Titkosítási eljárások használatára vonatkozó szabályzat

    • Intézkedés: Az információk védelme érdekében ki kell alakítani és alkalmazni kell a titkosítási eljárások használatára vonatkozó szabályzatot.

  • Kulcsirányítás

    • Intézkedés: Kulcsirányítást kell alkalmazni, amely támogatja a szervezetnél a titkosítási technikák használatát.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa3
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Rendszerfájlok biztonsága

  • Cél: A rendszerfájlok biztonságának garantálása.

  • Üzemelő szoftverek ellenőrzése

    • Intézkedés: Eljárásokat kell érvényesíteni a szoftvereknek az üzemelő rendszerekre történő telepítésének ellenőrzésére.

  • Rendszervizsgálat adatainak védelme

    • Intézkedés: A vizsgálati adatokat gondosan kell kiválasztani, valamint azokat védeni és ellenőrizni kell.

  • Programok forráskódjához való hozzáférés ellenőrzése

    • Intézkedés: A programok forráskódjához való hozzáférést korlátozni kell.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa4
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Biztonság a fejlesztési és támogató folyamatokban

  • Cél: Az alkalmazási rendszerek szoftverei és információi biztonságának fenntartása.

  • Változás-szabályozási eljárások

    • Intézkedés: A változtatások megvalósítását hivatalos változás-szabályozási eljárások használatán keresztül, ellenőrzés alatt kell tartani.

  • Alkalmazások műszaki átvizsgálása az üzemelő rendszerek megváltoztatását követően

    • Intézkedés: Amikor üzemelő rendszerekben történik változtatás, a működés szempontjából kritikus alkalmazásokat át kell vizsgálni és le kell vizsgálni, annak biztosítása érdekében, hogy a változtatás ne legyen hátrányos hatással a szervezet működésére, illetve a biztonságra.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa5
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Szoftvercsomagok megváltoztatásának korlátozásai

    • Intézkedés: A szoftvercsomagok módosítását vissza kell szorítani, azt a szükséges változtatásokra kell korlátozni, és valamennyi változtatást szigorúan ellenőrizni kell.

  • Információk kiszivárgása

    • Intézkedés: Meg kell előzni az információk kiszivárgásának lehetőségeit.

  • Kiszervezett szoftverfejlesztés

    • Intézkedés: A szervezetnek felül kell vizsgálnia figyelemmel kell kísérnie a kiszervezett szoftverfejlesztést.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa6
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Műszaki sebezhetőség kezelése

  • Cél: A nyilvánosságra került műszaki sebezhetőségek kiaknázásából származó kockázatok csökkentése.

  • A műszaki sebezhetőségek ellenőrzése

    • Intézkedés: Az alkalmazásban lévő információs rendszerek műszaki sebezhetőségeiről aktuális információkat kell beszerezni, elemezni kell a szervezetnek az ilyen sebezhetőségekkel szembeni kiszolgáltatottságát és megfelelő intézkedéseket kell hozni az ezzel járó kockázatok kezelésére.


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa7
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Szoftveres támogatási lehetőségek:

    • Ez a pont elvégezhető az ISO 12207 előírásaival összhangban

    • Használják az inputvalidációjógyakorlatait (pl. OWASP a webes alkalmazásoknál)

    • A tárolt adatok sértetlenségét rendszeresen ellenőrizni kell (pl. lenyomatok segítségével)

    • Az adatokat csak előre meghatározott módon lehessen módosítani, bővíteni vagy törölni

    • Kivételkezelések az adott nyelv ajánlásainak megfelelően


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa8
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • Védelem a puffertúlcsordulás ellen

  • Failsafe működése

  • Beépített kontrollok alkalmazása (pl. egyenlegek ellenőrzése)

  • Titkosítás használata az érzékeny vagy mobil eszközön is jelenlevő adatokra

  • A kriptográfiai kulcsok életciklusának támogatása, amennyiben az szükséges

  • Ne legyen felhasználók által elérhető fejlesztési lehetőség a szoftverben (pl. makró)

  • A forráskódok ne legyenek elérhetők a felhasználók számára


Inform ci s rendszerek beszerz se fejleszt se s fenntart sa9
Információs rendszerek beszerzése, fejlesztése és fenntartása

  • A szoftverfejlesztő és a megrendelő között a szabvány szerint tisztázni kell a következő pontokat:

    • licenc-szerződéseket, kód-tulajdonjogot és szellemi tulajdonjogokat;

    • a végzett munka minőségének és pontosságának a tanúsítását;

    • a harmadik fél hibája esetén szükséges kötelezvényeket;

    • hozzáférési jogokat az elvégzett munka minőségének és pontosságának auditjához;

    • szerződéses követelményeket a kód minőségi és biztonsági funkcionalitására;

    • telepítés előtt vizsgálatot a rosszindulatú és beültetett kód felfedéséhez.


Inform ci biztons gi incidensek kezel se
Információbiztonsági incidensek kezelése fenntartása

  • Információbiztonsági események és gyengeségek jelentése

  • Cél: Annak biztosítása, hogy az információs rendszerekkel összefüggő információbiztonsági események és gyengeségek kommunikálása olyan módon történjék, ami időben lehetővé teszi a szükséges helyesbítő intézkedések megtételét.

  • Információbiztonsági események jelentése

    • Intézkedés: Az információk biztonságát érintő eseményeket megfelelő vezetői csatornákon keresztül a lehető leggyorsabban jelenteni kell.

  • Biztonsági gyenge pontok jelentése

    • Intézkedés: Az információs rendszereket és szolgáltatásokat használó valamennyi alkalmazottól, szerződő vállalkozótól és harmadik féltől meg kell követelni, hogy jegyezze fel és jelentse a rendszerekben, illetve szolgáltatásokban észlelt, vagy feltételezett bármiféle gyenge pontot.


Inform ci biztons gi incidensek kezel se1
Információbiztonsági incidensek kezelése fenntartása

  • Információbiztonsági incidensek és javító fejlesztések kezelése

  • Cél: Annak biztosítása, hogy az információbiztonsággal összefüggő incidenseket következetes és hatékony megközelítéssel kezeljék.

  • Felelősségek és eljárások

    • Intézkedés: Az információbiztonsági incidensekre történő gyors, hatékony és szabályszerű válasz biztosítása érdekében rögzíteni kell a vezetői felelősségeket és eljárásokat.

  • Tanulságok levonása az információbiztonsági incidensekből

    • Intézkedés: Olyan mechanizmusok legyenek, amelyek lehetővé teszik az információbiztonsági incidensek és a hibás működések típusainak, mennyiségének és költségének számszerűsítését és figyelemmel kísérését.


Inform ci biztons gi incidensek kezel se2
Információbiztonsági incidensek kezelése fenntartása

  • Bizonyítékok gyűjtése

    • Intézkedés: Ha egy információbiztonsági incidenst követően egy személlyel, vagy szervezettel szemben indított nyomon-követési beavatkozás (akár polgári, akár büntetőjogi) jogkövetkezménnyel jár, a bizonyítékokat a bizonyításra vonatkozó törvény(ek)ben lefektettek jogszabályoknak megfelelően kell gyűjteni, megőrizni és bemutatni.


Inform ci biztons gi incidensek kezel se3
Információbiztonsági incidensek kezelése fenntartása

  • Szoftveres támogatási lehetőségek

    • A szoftver támogassa a problémák felderítését debug információk szolgáltatásával, melyhez csak kritikus esetben lehet hozzáférni

    • A szállító készítsen olyan dokumentációt, ami segíti a kivizsgáláshoz szükséges adatok kinyerését

    • Legyen olyan naplózási funkció, ami a szokásostól eltérő használat esetén riasztást küld


M k d s folytonoss g nak ir ny t sa
Működés folytonosságának irányítása fenntartása

  • A működés folytonossága irányításának információbiztonsági szempontjai

  • Cél: A működési tevékenységek fennakadásainak kivédése, a kritikus működési folyamatok megvédése az információs rendszerek nagyobb meghibásodásainak hatásaitól, illetve a rendszerkatasztrófáktól, valamint azok időben történő újraindításának biztosítása.

  • Az információbiztonság belefoglalása a működésfolytonosság irányításának folyamatába

    • Intézkedés: A szervezet működése folytonosságához szükséges információbiztonsági követelményekkel foglalkozó, a szervezet egészét átható, irányított folyamatot kell kialakítani és fenntartani.

  • Működésfolytonosság és kockázatfelmérés

    • Intézkedés: Azokat az eseményeket, amelyek a működési folyamatok megszakadását okozhatják, azonosítani kell az ilyen megszakadások valószínűségével és hatásaival, valamint az információbiztonságot érintő következményeivel együtt.


M k d s folytonoss g nak ir ny t sa1
Működés folytonosságának irányítása fenntartása

  • Az információbiztonságot magukban foglaló folytonossági tervek kidolgozása és megvalósítása

    • Intézkedés: A kritikus működési folyamatok megszakadását, vagy meghibásodását követően a működés fenntartása illetve helyreállítása, valamint az információk elvárt szinten és időtávon belüli rendelkezésre állásának biztosítása érdekében terveket kell kidolgozni és megvalósítani.

  • A működés folytonosságának tervezési keretrendszere

    • Intézkedés: Egységes keretrendszert kell fenntartani a működésfolytonossági tervekhez annak biztosítása érdekében, hogy a tervek egymással összhangban legyenek, következetesen kezeljék az információbiztonsági követelményeket, és állapítsák meg a vizsgálatokra és fenntartásra vonatkozó prioritásokat.

  • Működésfolytonossági tervek vizsgálata, fenntartása és újraértékelése

    • Intézkedés: A működésfolytonossági terveket rendszeresen vizsgálni és frissíteni kell, hogy naprakészek és hatásosak legyenek.

  • Mivel ez elsősorban szervezeti, szabályozási kérdés, nem szükséges támogatást nyújtani a szoftverből


K vetelm nyeknek val megfelel s
Követelményeknek való megfelelés fenntartása

  • Jogi követelményeknek való megfelelés

  • Cél: Bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség, továbbá bármely biztonsági követelmény megsértésének elkerülése.

  • Az alkalmazandó jogszabályok megállapítása

    • Intézkedés: Minden egyes információs rendszerre és szervezetre egyértelműen meg kell határozni, dokumentálni kell és naprakészen kell tartani valamennyi vonatkozó, törvényben meghatározott, szabályozási és szerződéses kötelezettséget, valamint azt, hogy a szervezet miként tesz eleget e követelményeknek.

  • Szellemi tulajdonjogok (angol rövidítéssel: IPR)

    • Intézkedés: Megfelelő eljárásokat kell bevezetni a jogszabályi, szabályozási és szerződéses kötelezettségeknek való megfelelés biztosítására szellemi tulajdonjogokhoz esetleg köthető anyagok, valamint szellemi tulajdont képező szoftvertermékek felhasználása során.


K vetelm nyeknek val megfelel s1
Követelményeknek való megfelelés fenntartása

  • Szervezeti feljegyzések védelme

    • Intézkedés: A törvényben meghatározott, szabályozási, szerződéses és működési követelményekkel összhangban a fontos feljegyzéseket meg kell óvni az elveszéstől, a megsemmisüléstől és a meghamisítástól.

  • Adatvédelem és a személyes adatok titkossága

    • Intézkedés: A vonatkozó törvényi előírásokban, jogszabályokban, és ahol alkalmazható, a szerződéses kikötésekben rögzített követelményeknek megfelelően biztosítani kell az adatok védelmét és bizalmasságát.

  • Információ-feldolgozó berendezésekkel való visszaélések megelőzése

    • Intézkedés: Meg kell akadályozni, hogy a felhasználók az információ-feldolgozó berendezéseket jogosulatlan célokra használják.

  • Titkosítási eljárások szabályozása

    • Intézkedés: A titkosítási eljárásokat valamennyi vonatkozó megállapodás, törvény és jogszabály betartásával kell alkalmazni.


K vetelm nyeknek val megfelel s2
Követelményeknek való megfelelés fenntartása

  • Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség

  • Cél: Annak biztosítása, hogy a rendszerek megfelelnek a szervezet biztonsági politikáinak és szabványainak.

  • Megfelelés a biztonsági szabályzatoknak és szabványoknak

    • Intézkedés: A vezetőknek biztosítaniuk kell, hogy felelősségi területükön belül valamennyi biztonsági eljárást előírásszerűen, a biztonsági szabályzatoknak és szabványoknak való megfelelés elérésével hajtsanak végre.

  • Műszaki megfelelés ellenőrzése

    • Intézkedés: Az információs rendszereket rendszeresen ellenőrizni kell, hogy megfelelnek-e a biztonság megvalósítására vonatkozó szabványoknak.


K vetelm nyeknek val megfelel s3
Követelményeknek való megfelelés fenntartása

  • Információs rendszerek auditálásának szempontjai

  • Cél: Az információs rendszerek átvizsgálási folyamata eredményességének maximalizálása és a folyamatot érő vagy az általa okozott zavarok minimalizálása.

  • Információs rendszerek auditjával kapcsolatos intézkedések

    • Intézkedés: Az auditálásra és a működő rendszerek ellenőrzéseit is magukban foglaló tevékenységekre vonatkozó követelményeket gondosan meg kell tervezni és azokat egyeztetni kell, hogy a működés megszakadásának kockázata minimális legyen.

  • Információs rendszerek auditeszközeinek védelme

    • Intézkedés: Az információs rendszerek auditálására szolgáló eszközöket védeni kell minden esetleges visszaéléstől, illetve rongálástól.


K vetelm nyeknek val megfelel s4
Követelményeknek való megfelelés fenntartása

  • Szoftveres támogatás lehetőségei

    • Világos licenszelési feltételek kialakítása

    • Megfelelő másolásvédelmi megoldás implementálása

    • Az adott ország adatvédelmi törvényeinek való megfelelés biztosítása

    • Figyelembe kell venni más szabályok előírásait (pl. PCI DSS)

    • Külső fél bevonásával sérülékenység-elemzést lehet végeztetni


Vissza az ibir l trehoz s hoz
Vissza az IBIR létrehozásához fenntartása

  • 2. lépés: Végrehajtás

    • Az IBIR bevezetése és működtetése

  • Az IBIR bevezetésénél a szervezetnek

    • Kockázatjavítási tervet kell készítenie

    • Be kell vezetnie a védelmi intézkedéseket

    • Mérni a hatékonyságot

    • Biztonsági tudatossági oktatásokat kell tartania

    • Irányítania kell az IBIR-t és ennek erőforrásait

    • Az incidensek kezelését folyamatosan kézben kell tartani


Vissza az ibir l trehoz s hoz1
Vissza az IBIR létrehozásához fenntartása

  • 3. lépés: Ellenőrzés

    • Az IBIR figyelemmel kísérése és átvizsgálása

    • Nincs állandó biztonság, nincs változatlan szervezet, ezért ezt a lépés nem szabad elhanyagolni!

  • A szervezetnek el kell végeznie:

    • Az eljárások átnézését

    • A hatékonysági mérések eredményeinek értékelését

    • A kockázatelemzés rendszeres időközönként

    • Belső IBIR auditokat

    • A biztonsági tervek frissítését


Vissza az ibir l trehoz s hoz2
Vissza az IBIR létrehozásához fenntartása

  • 4. lépés: Beavatkozás

    • Az ISMS fenntartása és fejlesztése

  • A szervezetnek a következő tevékenységeket kell végrehajtania:

    • A 3. lépésben tett megállapítások megvalósítása

    • A saját és más szervezeteknél felgyűlt tapasztalatok alapján helyesbítő és megelőző lépéseket kell tennie

    • Az érintetteket tájékoztatnia kell a változásokról

    • Biztosítani kell, hogy a fejlesztések célt érjenek


Dokument l si k vetelm nyek
Dokumentálási követelmények fenntartása

  • A szabvány tartalmazza, hogy milyen dokumentumokat kell létrehozni.

  • Amennyiben a szervezet tanúsítványt akar szerezni, a megfelelő dokumentációk elkészítése elengedhetetlenül fontos

  • A tanúsítás nagyrészt a dokumentumok átnézését jelenti.


Menedzsment k vetelm nyek
Menedzsment követelmények fenntartása

  • A szabvány számtalan menedzsment feladatot határoz meg

  • A vezetésnek ezért meg kell értenie, el kell fogadnia és támogatnia kell az IBIR kialakítását

  • A menedzsment támogatása nélkül nincs igazi értelme az IBIR bevezetésének


ad