Kezdőlap - Nemzeti Biztonsági Felügyelet



[szervezet fejléce, logója]Jóváhagyom:[dátum][aláírás]szervezet vezet?je[SZERVEZET_NEVE][munkaállomás_neve]Rendszerbiztonsági K?vetelmények(Megjegyzés: a mintadokumentum tartalma csak javaslat a szabályzatra vonatkozóan. A konkrét tartalom függ a szervezett?l, fizikai k?rnyezett?l és a rendszer m?k?dését?l. A sárgával jel?lt részeket át kell írni.)Dátum[aláírás]Biztonsági vezet?A rendszer leírásaBevezetésA dokumentum a [szervezet megnevezése] min?sített adatot feldolgozó rendszerére vonatkozó biztonsági k?vetelményeket tartalmazza, amelyek betartása a m?k?dtetés során k?telez?. A Rendszerbiztonsági K?vetelmények (a továbbiakban: RBK) az alábbi dokumentumok alapján kerültek meghatározásra:2009. évi CLV t?rvény a min?sített adat védelmér?l (Mavtv.), 90/2010. számú Kormányrendelet a Nemzeti Biztonsági Felügyelt m?k?désének, valamint a min?sített adat kezelésének rendjér?l, 161/2010. számú Kormányrendelet a min?sített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól.Továbbá a rendszer üzemeltetésénél, felügyeleténél figyelembe kell venni a szervezet Biztonsági Szabályzatát és Vészhelyzeti tervét. Az RBK célja, hogy azonosítsa és definiálja az érintett rendszer biztonsági k?rnyezetét, a biztonsági k?vetelményeket és azok teljesítésére hozott intézkedéseket a rendszeren tárolt és feldolgozott min?sített információk védelme érdekében.A rendszer ismertetéseTeljes neve: [pl. szervezet neve min?sített munkaállomás]A rendszer els? használatba vételének tervezett dátuma: A rendszer létének ténye, a kapcsolódó üzemeltet?i és felhasználói dokumentáció nem min?sített. A rendszer a [szervezet] feladatainak végrehajtása érdekében helyben készült vagy adathordozón más szervezett?l kapott min?sített adatok feldolgozását biztosítja ?Bizalmas!”/”Titkos!”/?Szigorúan tikos!” min?sítési szintig. ?tlagos irodai felhasználáshoz nyújt biztonságos k?rnyezetet és adatfeldolgozási lehet?séget a szervezet kijel?lt és felhatalmazott felhasználói részére, más elektronikus információkezel? rendszerhez nem csatlakozik. A rendszer kereskedelmi forgalomban kapható programok alkalmazásával m?k?dik.A rendszer elemei a [szervezet] székhelyén a [cím] alatt, [konkrét elhelyezés] helyiségben kerültek elhelyezésre. A számítógéphez k?zvetlenül csatlakoztatott nyomtató tartozik. A rendszer hardver és szoftver biztonsági tulajdonságai garantálják, hogy biztosítsa a dedikált hozzáférést kizárólag az arra jogosultak részére. A rendszer bejelentkezési eljárással biztosítja, hogy az egyes felhasználók egyénileg felel?sek a tetteikért és a biztonsággal ?sszefügg? események ellen?rzéséért, a rendszer biztonsági tulajdonságai és a rendszeren tárolt min?sített információk védve legyenek a jogosulatlan hozzáférést?l, módosítástól vagy rongálástól. A kapcsolódó adminisztratív szabályok, a rendszer felépítése, beállításai biztosítják a visszakereshet?ség és a személyhez k?tés k?vetelményeinek teljesítését.A Rendszer Biztonsági K?vetelményeket felül kell vizsgálni és aktualizálni kell, a rendszer ismételt engedélyezésének esetén, illetve ha a rendszer alapelemei, vagy eljárásai megváltoznak. A rendszerhez a szervezet vezet?jének d?ntése alapján kijel?lt felhasználók férhetnek hozzá. Minden felhasználó rendelkezik az általuk hozzáférhet? rendszereken kezelt adatok legmagasabb min?sítési szintjének megfelel? személyi biztonsági tanúsítvánnyal. A rendszeren a felhasználók által kezelt adatok elkül?nítése biztosított.Hardver és szoftver k?rnyezet A rendszer felépítése: A kompromittáló kisugárzás elleni védelem érdekében egy TEMPEST funkciókkal rendelkez? egyedi számítógép került telepítésre. A TEMPEST tanúsítványt kiadó szervezet:Tanúsítvány dátuma: A rendszeren alkalmazott operációs rendszer: [pl.:] Windows 10 ProAz alapkonfigurációban telepített szoftverek listája: [pl: ]Adobe Acrobat ReaderMS Office [vírusvédelmi szoftver]stb.Felügyelet A rendszer m?k?dését a Nemzeti Biztonsági Felügyelet (a továbbiakban: NBF) engedélyezi, amely az információbiztonság meger?sítése, fenntartása vagy helyreállítása érdekében a rendszer üzemelését további feltételek teljesítéséhez k?theti, ideiglenesen vagy véglegesen korlátozhatja vagy szüneteltetheti, illetve a rendszerengedélyt visszavonhatja. A rendszer helyi biztonsági felügyeletét a szervezet kijel?lt biztonsági vezet?je látja el. Az üzemeltetésért felel?s rendszeradminisztrátort és a rendszerbiztonsági felügyel?t a [szervezet vezet?je] írásban kijel?lte. Mindkét felel?s rendelkezik az általuk hozzáférhet? rendszereken kezelt adatok legmagasabb min?sítési szintjének megfelel? személyi biztonsági tanúsítvánnyal.A rendszer üzemeltetésében és felügyeletében résztvev?k: Biztonsági engedélyez? hatóság: Nemzeti Biztonsági FelügyeletA rendszer tervezéséért, fejlesztéséért felel?s szervezet:?zemeltet? szervezet:A rendszer üzembe helyezésekor kijel?lt felel?s?k:rendszerbiztonsági felügyel?:rendszeradminisztrátor:Az aktuális felel?s?k listáját az ?zemeltetés-biztonsági szabályzat (a továbbiakban: ?BSZ) tartalmazza.A telepítési hely leírása: A rendszer elemei a 2.1 pontban leírt helyszínen lettek telepítve. Megk?zelítése [k?zúton, t?megk?zlekedéssel, stb.] a határáig ellen?rzés nélkül lehetséges. A szomszédos objektumokban [pl. magánvállalkozások, külf?ldi cégek, állami szervezetek, ?nkormányzati épületek, használaton kívüli terület/épület, stb.] található(k). A k?rnyezetben ellenséges tevékenységet folytató, ellenérdekelt, üzleti vetélytárs stb. szervezet nem ismert. A helyszínen biztonsági ?rség és reagáló er?k m?k?dnek.A terület zárt, megfelel? mechanikai védelemmel ellátott és felügyelt, a bejáratnál a be- és kiléptetés ellen?rz?tt, a személyek egyéni azonosítással léphetnek be. A területen elektronikai jelz?rendszer m?k?dik. Számítástechnikai eszk?z?k kivitele írásos engedélyhez k?t?tt. A jogosultsággal nem rendelkez? személyek azonosítással, ellen?rzés után, kísér?vel léphetnek be, személyes csomagjaikat, illetve a gépjárm?veket a helyszíni biztonsági ?rség ellen?rzi.?pület, irodák, telepítési helyszínek:Az épületekbe, helyiségekbe a ki-, belépés az I., II. osztályú területnek és az adminisztratív zónának megfelel? szabályok szerint t?rténik. Elektronikus beléptet? rendszer üzemel, amelynek felügyeletét a biztonsági ?rség látja el, a ki- és belépések adatai visszakereshet?ek, id?k?z?nként mentésre kerülnek és a biztonsági vezet? intézkedése szerint [hol?] tárolják. Az I. és II. osztályú biztonsági területnek min?sül? helyiségekben a belépésre jogosult személyekr?l lista áll rendelkezésre. A jogosultsággal nem rendelkez? belép?k (karbantartók, takarítók, ellen?rz?k, stb.) mozgását nyilvántartják. Adathordozók, kép- és hangr?gzítésre alkalmas eszk?z?k, mobiltelefonok bevitelét a helyiségekbe megtiltották.A telepítési hely grafikus vázlatát a … számú melléklet tartalmazza.Elektronikus biztonsági k?rnyezet A kompromittáló kisugárzás elleni védelmet a referenciaként jel?lt normák el?írásai szerint kialakított helyi k?rnyezet és az ugyanezen szabályozók szerint a legmagasabb min?sítési szintnek megfelel? rendszer elemek alkalmazása biztosítja, azaz a megfelel? kisugárzás védelemmel ellátott informatikai elemek kerültek telepítétonsági k?vetelményekHardverelemek biztonságaA rendszer engedélyezett hardver elemeinek részletes felsorolását (egyedi azonosító szám szerinti azonosítás/tételes felsorolás) az ?zemeltetés-biztonsági Szabályzat melléklete tartalmazza.A számítógép burkolatának megbontása tilos. Ennek érdekében a berendezés elemeit címkékkel ragasztották le, amelyek sértetlenségét a felhasználó k?teles a munka megkezdése el?tt ellen?rizni.SzoftverbiztonságA rendszer engedélyezett telepített szoftvereinek listáját (megnevezés, verziószám) a szabályzat 2. sz. melléklete tartalmazza.A számítógép alaplapi biztonsági (BIOS) beállításainál az alábbi szabályokat kell érvényesíteni:jelszóvédelem alkalmazása k?telez?, a jelszót kül?n iktatásba vett borítékban, felirattal ellátva kell elzártan tárolni.tiltani kell a használaton kívüli perifériákat,bootolás csak az els?dleges merevlemezr?l lehetséges. Az operációs rendszeren az alábbi biztonsági beállításokat kell alkalmazni: bejelentkezés a CTRL-ALT-DEL billenty? kombináció alkalmazásával lehetséges;a felhasználói név beírása k?telez?, az utolsó bejelentkezett felhasználót nem jelenítheti meg;bejelentkezéskor figyelmeztet? üzenet jelenjen meg, amely jelzi, hogy a felhasználó min?sített adatokhoz fér hozzá, a rendszer minden tevékenységet naplóz, a jogosulatlan felhasználás felel?sségre vonást eredményez;jelszavas képerny?védelemmel kell rendelkeznie;a t?r?lt állományok nem kerülhetnek a lomtárba;vendég fiókot le kell tiltani. Adatcsere k?vetelményekA rendszer m?k?dése során más rendszerekkel t?rtén? adatcsere az alábbi esetekben lehetséges: operációs rendszer frissítése offline módszerrel (rendszeradminisztrátor);vírusadatbázis frissítése offline módszerrel (rendszeradminisztrátor);felhasználói adatok be- és kivitele a biztonsági vezet? engedélyével, a rendszerbiztonsági felügyel? felügyelete mellett. A rendszeradminisztrátor hajtja végre, az ?BSZ mellékletei k?z?tt található nyomtatvány felhasználásával.Az adatcsere során alkalmazott adathordozók (pendrive, CD/DVD lemez, stb.) rosszindulatú programok miatti ellen?rzése minden esetben k?telez?. A felhasználói adatcsere engedélyeztetését és dokumentálását az ?BSZ mellékletében található nyomtatványon kell végrehajtani és a végrehajtást a karbantartási naplóban kell r?gzítonsági üzemmódA rendszerszint? hozzáféréssel rendelkez? személyek feladatukból adódóan hozzáférhetnek a rendszerben tárolt, feldolgozott információhoz. Minden felhasználói szint? hozzáféréssel rendelkez? személy kizárólag a saját munkájához, tevékenységéhez kapcsolódó adatokat érheti el. Kockázatmenedzsment?ltalános elemzésA rendszer biztonságát érint?, egyedi módszertan alapján tervezett kockázatelemzés a rendszer vonatkozásában nem került végrehajtásra. [amennyiben igen, annak eredményét kül?n dokumentumban kell r?gzíteni és itt csak hivatkozni rá] A rendszer elleni támadások lehetséges célja az, hogy:beazonosítsák az információ kezelés helyszínét,akadályozzák az üzemeltetést,megrongálják az eszk?z?ket,megszerezzék, vagy szándékosan megváltoztassák a feldolgozott információ tartalmát.A rendszer elleni támadások k?vetkezménye lehet:a titkosság elvesztése (a rendszerbe t?rtén? jogosulatlan belépéssel a munkaállomáson feldolgozott vagy kezelt adatok felfedése).a sértetlenség elvesztése (a rendszer információinak jogosulatlan módosítása miatt a rendszer forrásainak hibás m?k?dése vagy a rendszeren kezelt információk valódiságának megsz?nése).a rendelkezésre állás elvesztése (a jogosult bejelentkezés megtagadása vagy a rendszer szolgáltatásainak hozzáférhetetlenné tétele).A rendszer biztonságának kialakításakor figyelembe vett veszélyforrások és az ellenük hozott intézkedések:nem szándékos humán veszélyforrás: gondatlanság, személyes vagy munkahelyi problémák miatt kialakult figyelmetlenség, a szabályok ismeretének hiánya, képzetlenség, alkalmatlanság, túl bonyolult munkafolyamat, ellen?rzések hiánya, személyi változások, struktúraváltozás. Intézkedés: folyamatos ellen?rzés, képzés, világos feladatszabás, tisztázott munkak?r?k és felel?sségek, probléma-jelzés és kezelés rendszerének kialakítása, kilép? munkatársak elszámoltatása.tudatos károkozás: személyes sért?d?ttség, egyéni anyagi, természetbeni el?nyszerzés, versenytársak tevékenysége, hírszerzési tevékenység. Intézkedés: személyi biztonsági tanúsítványok, titoktartási nyilatkozatok naprakészen tartása, büntet?jogi k?vetkezmények ismertetése, folyamatos ellen?rzérmáció bizalmasságának, sértetlenségének, rendelkezésre állásának veszélyeztetése: jogosulatlan belépés, hozzáférés, információ vagy programok jogosulatlan módosítása, t?rlése, felhasználása, a rendszer m?k?désének megzavarása, információ megszerzése, kinyerése a rendszerb?l, rosszindulatú programok bejuttatása a rendszerbe, saját fejlesztés?, nem megfelel?en tesztelt szoftver használata, idegen hardverelem beépítése, nem egységes hardvermárkák alkalmazása, feladó és címzett azonosságának megváltoztatása, azonosítása, kisugárzott információ visszanyerése. Intézkedés: megfelel? fizikai k?rnyezet kialakítása, szabályozott hozzáférés, azonosítási rendszer kialakítása, rendszerfelügyelet kialakítása, biztonsági mentések, jogosultsági rend kialakítása, hardverelemek megbontás elleni védelme, adatcsere korlátozása és felügyelete, naplózási funkciók alkalmazása, naplófájlok védelme, jogtiszta és felügyelt operációs rendszer és alkalmazói programok használata, naprakész vírusvédelem, alacsony kisugárzású eszk?z?k alkalmazása vagy a k?rnyezet árnyékolása, sz?rt elektromos hálózat.k?rnyezeti károk: villámcsapás okozta túlfeszültség, áramellátási zavarok, t?zeset, beázás, cs?t?rés, f?ldrengés, h?mérsékletingadozás, por, füst, mechanikai sérülések, járulékos hatások. Intézkedés: villám- és túlfeszültség elleni védelem, szünetmentes tápellátás, biztonsági mentések és naplófájlok elkül?nített tárolása.Rendszer-specifikus fenyegetések, sérülékenységek és kockázatokA … rendszer esetében az általános kockázatokon túl az alábbi, táblázatba foglalt sebezhet?séggel kell számolnunk:Fenyegetések, sebezhet?ségek, kockázatok ?sszesítéseFenyegetés azonosításaBek?vetkezés valószín?ségeSebezhet?ségKockázat mértékeA min?sített adatokat feldolgozó számítógép eltulajdonítása (merevlemez nélkül)AlacsonyAlacsonyAlacsonyA min?sített adatokat tároló merevlemez eltulajdonításaAlacsonyNagyon MagasMagasA min?sített adatokat tartalmazó adathordozó (CD/DVD, pendrive, stb.) eltulajdonításaK?zepesMagasMagasFelhasználói hozzáférés jogtalan átadásaMagasMagasMagasNyomtatott min?sített anyag elt?nése a dokumentum kezelési szabályok be nem tartása miattK?zepesNagyon MagasMagasBiztonsági intézkedésekA rendszeren alkalmazandó részletes üzemeltetés biztonsági eljárásokat az ?BSZ tartalmazza, amely meghatározza a biztonsági felel?sségeket és a biztonságért felel?s személyek feladatait is.A komoly kockázati tényez?ket azoknak a legf?bb és legvalószín?bb fenyegetéseknek az eredményei jelentik, amelyek a rendszer legsebezhet?bb elemeit fenyegetik. A rendszerre vonatkozó fenyegetések és kockázatok elhárításához szükséges ellenintézkedések alapelvei a k?vetkez?k:Hozzáférés-ellen?rzés: A biztonsági k?rnyezet fizikai határai és a rendszer védelmi funkciói garantálják a felhasználók, adatok, szoftverek fizikai és logikai hozzáférés-ellen?rzését.Azonosítás és hitelesítés: Minden, a belépést megkísérl? felhasználót, és a rendszeren végrehajtott m?veleteket azonosítani és hitelesíteni kell.Elszámoltatás, tevékenységek ellen?rzése: A rendszernek automatikusan kell r?gzítenie minden adatot a felhasználók tevékenységér?l, az adatkezelésr?l és a rendszer konfigurációjáról, illetve annak változásárótonsági ellen?rzések: A személyzet, a dokumentáció, a szoftver, az adatok és a felszerelés fizikai és ügyrendi ellen?rzése.Sértetlenség és rendelkezésre állás ellen?rzése: A rendelkezésre állás ellen?rzése biztosítja, hogy a jogosult belépések, illetve jogosult felhasználók részére a rendszer szolgáltatásai minden esetben a rendelkezésre álljanak. .A sértetlenség ellen?rzésével kell biztosítani, hogy ne szenvedjen csorbát az információ teljessége, állaga és értelme, illetve a rendszer m?k?dése ne veszítsen megbízhatóságából, funkcióiból, pontosságából.Jogi k?vetkezmények: A rendszer kezel?inek és felhasználóinak tisztában kell lenniük annak a jelent?ségével, hogy min?sített adattal dolgoznak a rendszeren, és a biztonsági eljárásoktól eltér? viselkedés felfedésre kerül, és felel?sségre vonással járhat.Visszamaradó kockázatok: Azonosított kockázatok, amelyeket a kockázatkezelés során felismertek, de a teljes kiküsz?b?lésük a k?ltség/haszon elemzés alapján nem kifizet?d?, és a rendszer m?k?dése szempontjából pedig nem kritikusak (elfogadható kockázat). A rendszeren feldolgozott min?sített adatok védelme érdekében az alábbi biztonsági intézkedéseket kell betartani.Hozzáférések felügyelete:Csak az el?írásoknak megfelel?, azonosított és arra felhatalmazott személyeknek lehet hozzáférése a munkaállomáshoz. A hozzáférési ellen?rzés az alábbiak szerint valósul meg:A konfiguráció és az alapszint a rendszer biztonsági felügyelete által meghatározott.A rendszerszint? hozzáférést biztosító jelszavakat erre felhatalmazott személy k?zpontilag ?rzi.A rendszerre megengedett hozzáférési címek csak azok, amelyeket a rendszer biztonsági felügyel? jóváhagyott.A hozzáféréssel rendelkez? személyek egyértelm?en azonosíthatók.A hozzáférések kialakításánál érvényesül a szükséges ismeret elve.A rendszer hozzáférés ellen?rzése szempontjából a kockázatok és a biztonsági intézkedések a k?vetkez?k:Biztonsági alapelv: a rendszeren kezelt információhoz való hozzáférés azokra a személyekre korlátozódik, akik rendelkeznek érvényes, az általuk hozzáférhet? legmagasabb min?sítési szint?, személyi biztonsági tanúsítvánnyal, és szükségük van az adott információk ismeretére.Kockázat: Kockázatot jelent, hogy valamely személy megfelel? az általuk hozzáférhet? legmagasabb min?sítési szint? személyi biztonsági tanúsítvány nélkül, és/vagy anélkül, hogy szükséges lenne ismernie az adott információt, direkt vagy véletlenül jogosulatlan hozzáférést szerez az információhoz vagy a rendszerhez.Bevezetett intézkedések: Minden rendszer szint? hozzáférési jogosultsággal rendelkez? személy megfelel? az általuk hozzáférhet? legmagasabb min?sítési szint? személyi biztonsági tanúsítvánnyal rendelkezik,Minden felhasználó megfelel? felhasználói engedéllyel rendelkezik, és felel?s a rendszer helyes kezeléséért,A rendszeradminisztrátornak minden rendszer információhoz van hozzáférése, de nincs hozzáférése a rendszeren kezelt valamennyi információhoz,A rendszer szint? hozzáféréssel rendelkez? további személyeknek nincs teljes k?r? hozzáférésük a rendszeren kezelt információkhoz,A rendszer alapbeállításainak megváltoztatása, a konfiguráció módosításainak végrehajtása során a felhatalmazott személyek felügyelet alatt állnak,Jogosultsággal nem rendelkez? személyek csak felügyelet alatt léphetnek be a helyi biztonsági k?rnyezetbe (kíséret),A karbantartó/takarító személyzet nem min?sül felhatalmazott személynek, Az általános biztonsági k?rnyezet ellen?rzési rendszere megfelel? hozzáférés ellen?rzést tesz lehet?vé,A helyi biztonsági k?rnyezet biztonsági rendszere hatásos védelmet nyújt a jogosulatlan behatolás ellen,A helyi biztonsági k?rnyezet belépési jogosultság minden esetben ellen?rz?tt (zár az ajtókon, kulcsok, belép? kártyák, ?r?k, hozzáférési listák),A perifériák és a munkaállomás fizikailag védettek (pecsétek, biztonsági tárolók),Az üzemeltetéshez kapcsolódó szolgáltatások és eszk?z?k fizikai védelme biztosított (pl. légkondicionálás, elektromos ellátás),Az általános biztonsági k?rnyezetben minden min?sített adat, a min?sítésének megfelel? védelmet kapja,A rendszeren belül a felhasználó egyértelm?en és megbízhatóan azonosítható,Minden felhasználó részére egyedi biztonsági beállítások szerint t?rténik a hozzáférés engedélyezése,Adattároló újrafelhasználása a rendszerben a maradványadatok felülírásával t?rténik,Adatok címkézése, újramin?sítése ellen?rz?tten t?rténik,Kompromittáló kisugárzás elleni védelem jóváhagyott eszk?z?k használatával biztosított.Felhasználók azonosítása, hitelesítéseA tényleges személyazonosság megállapítása, a hitelesítés szempontjából a kockázatok és a biztonsági intézkedések az alábbiak:Kockázat: Egyes személyek más személyek azonosítóival beléphetnek a rendszerbe, hogy olyan információhoz szerezzenek hozzáférést, amelyek megismerésére nincs engedélyük; vagy nyilvántartást igényl? eljárást hajtanak végre anélkül, hogy a tényleges nyilvántartás megt?rténne. Hibák okozásakor a felhasználók arra hivatkozhatnak, hogy nem ?k hibáztak, hanem a nevükben valaki más k?vette el azokat.Bevezetett intézkedések: Minden, a helyi biztonsági k?rnyezetbe belép? személy egyéni azonosító kártyával rendelkezik,Minden, a helyi biztonsági k?rnyezetbe belép? személyt a helyi biztonsági k?rnyezetben lev? személyek azonosíthatnak,A belépések naplózhatók,Jelszavak, a kiadott személyi azonosító eszk?z?k használata k?telez?,Az alkalmazott jelszavak er?ssége a k?rnyezeti fenyegetettséggel, ill. a megvédend? információk bizalmassági szintjével arányban áll.Elszámoltathatóság biztosításaAz elszámoltathatóság szempontjából a kockázatok és a biztonsági intézkedések a k?vetkez?k:Biztonsági alapelv: Meg kell k?vetelni a min?sített információk létrehozásának és hozzáférésének nyilvántartását, amihez szükséges, hogy:Visszamen?leg is áttekinthet?k legyenek a biztonsági pozícióban lév? személyek speciális jogai, Lehet?ség legyen a tevékenységekért felel?s személy egyértelm? azonosítására. Kockázat: Azok a személyek, akik jogosultak arra, hogy bizonyos információkhoz hozzáférjenek hivatalos k?telességük teljesítése során, esetleg visszaélhetnek ezzel a joggal:A hivatalosan számukra szükséges tudnivalókat meghaladó információhoz való hozzáféréssel,Egyéb biztonságot érint? m?veletek végrehajtásával (pl. jogosulatlan másolatok készítése), A rendszer biztonsági k?vetelményeinek megszegésével, vagy a tevékenységek megfelel? adminisztrálásának mell?zésével.Bevezetett intézkedések: Napló használata k?telez?, amelyekben egyedileg tartják nyilván a helyi biztonsági k?rnyezetbe való belépést olyan személyek estében, akiknek belépése csak kivételesen engedélyezett (látogatók, karbantartó személyzet, stb.),A rendszerhez k?zvetlen hozzáféréssel rendelkez? személyek tevékenységének nyilvántartása nyilvántartó k?nyv vezetésével t?rténik,A rendszer és az alkalmazások dokumentációihoz való hozzáférésr?l nyilvántartást vezetése,Fizikai és ügyviteli eljárások (pl. szúrópróba szer? ellen?rzés a kilépéskor, vagy biztonsági kamerás megfigyelés) biztosítják, hogy, az anyagokat jogosulatlanul ne lehessen kivinni a helyi biztonsági k?rnyezetb?l,A dokumentum nyilvántartási eljárással egyértelm?en és beazonosíthatóan nyomon k?vethet?k a helyi biztonsági k?rnyezetben készített, ide megküld?tt, ill. az innen továbbított papíralapú dokumentumok, mikrofilmek, számítógépes adattároló média, hardver eszk?z?k, Min?sített nyomtatások nyilvántartása a nyilvántartási szabályok szerint t?rténik (pl. mit nyomtatott, hol, mikor, hány oldalt),Dokumentum/nyomtatott anyag el?írásszer? címkézése, védelme és megsemmisítése a nyilvántartási szabályok szerint t?rténik,A hozzáférési jogok nyilvántartása egységes nyomtatványon t?rténik (létrehozás, olvasás, továbbítás, nyomtatás, t?rlés és futtatás lehet?ségének biztosítása),Rendszer szint? m?veletekr?l kül?n nyilvántartások készülnek (pl. jelszó létrehozása, új biztonsági szoftver létrehozása),A nyilvántartási információk archiválása szabátonsági ellen?rzésekAz ellen?rzésre vonatkozóan a kockázatok és a biztonsági intézkedések a k?vetkez?k:Biztonsági alapelv: a rendszer biztonságának tényleges megsértését vagy ennek kísérletét fel kell tárni. A rendszerbiztonság felügyel?jének havonta kell ?sszegy?jtenie és átvizsgálnia az alábbi minimálisan szükséges adatokat: A konfiguráció változásai,Sikeres/sikertelen hozzáférési kísérletek, A szolgáltatások jogosulatlan felhasználására tett kísérletek, A dátum/id? forrás beállításának változtatásai.Kockázat: azokat a tevékenységeket, amelyekkel szándékosan vagy véletlenül megsértik a biztonságot, vagy a biztonság megsértéséhez vezetnek, esetleg nem észlelik, és nem teszik meg a további kísérletek vagy tényleges veszélyeztetés megel?zéséhez vagy megakadályozásához szükséges intézkedéseket.Bevezetett intézkedések: A normál üzemben és vészhelyzetben alkalmazandó biztonsági eljárásokat és intézkedéseket a biztonsági megbízott és a rendszer biztonsági felügyel? évente rendszeresen, vagy a k?rülmények esetleges változása esetén, soron kívül felülvizsgálja abból a szempontból, hogy továbbra is alkalmasak legyenek a rendszer és a rendszeren kezelt információk védelmére,Behatolást észlel? és megel?z? rendszerek állapotának rendszeres ellen?rzése és karbantartására intézkedtek,A fizikai biztonság megsértését jelentik a biztonsági vezet?nek,Az elektronikus információ biztonságának megsértését jelentik a rendszer biztonsági felügyel?nek,A hardver, számítógépes adathordozók és min?sített információt tartalmazó dokumentumok fizikai eltávolítása ellen?rz?tten t?rténhet,Sikeres és sikertelen belépési kísérletekr?l kül?n nyilvántartás készül,Az információ kezelésével kapcsolatos események nyilvántartása a naplófájlokban t?rténik (objektumlétrehozás, nyomtatás, módosítás, t?rlés, adatcsere hordozható adattároló eszk?z?kkel, stb.), a naplófájlokat a helyi rendszer biztonsági felügyel? rendszeresen ellen?rzi,?j szoftver konfiguráció használatba vétele csak az NBF jóváhagyásával, a konfiguráció ellen?rzése és tesztelése után t?rténik,Rendszerfájlok módosításáról, t?rlésér?l kül?n nyilvántartás készül,Naplófájlok/ellen?rzési nyilvántartások elemzése és vizsgálata a helyi rendszer biztonsági felügyel? feladata,A min?sített információt feldolgozó hardver illetéktelen módosítására vagy jogosulatlan használatára irányuló kísérletek felderítése (szemrevételezéssel) a napi ellen?rzés útján valamennyi felhasználó, a heti ellen?rzés a rendszer szint? felhasználók részére k?telez?, A rendszerbiztonsági felügyel? a jogosulatlan tevékenységeket heti rendszerességgel, a váratlan eseményeket annak bek?vetkezésekor elemzi, és az ilyen eseményekr?l valamint az elemzés eredményér?l tájékoztatja a biztonsági vezet?t.A rendszer sértetlensége és rendelkezésre állásaSértetlenségA hozzáférés ellen?rzés egyik célja az információ sértetlenségének és teljességének vizsgálata, meggy?z?dés a rendszer épségér?l, integritásáról. A rendszerben a sértetlenséggel kapcsolatos k?vetelmények teljesítése érdekében a rendszer biztonsági felügyel? gondoskodik arról, hogy: A rendszerben tárolt információkat rendszeresen lementsék, ennek gyakoriságát meg kell határozni.Az operációs rendszer sértetlenségét ellen?rizzék a naplók vizsgálata útján.Az illegális és rosszindulatú szoftver telepítés elkerülésére – ha szükséges –kiegészít? ügyrendi eljárásokat vezessenek be.Rendelkezésre állásA rendszer és szolgáltatásainak elérhet?sége alapvet? jelent?ség?, a rendelkezés állás k?vetelménye: munkaid?ben, kül?nleges esetben azon túl is. A rendszerben a rendelkezésre állással szembeni elvárásokat a k?vetkez?k biztosítják:Hardveres üzemeltetési er?források hozzárendelése (nagy megbízhatóságú alkatrészek, redundáns elemek, tartalék, nagykapacitású tárolók, szünetmentes áramforrások). Nem tervezett hardvercserék esetére vonatkozó támogatási szerz?dések megléte.Szoftveres er?források telepítése (biztonságos és felhasználóbarát kezel?felületek).Humán er?források biztosítása (megfelel? méret? és képzettség? támogató informatikai szervezet, ügyfélszolgálat, ügyelet, készenlét, beavatkozási id?k meghatározása). Az informatikai állomány rendelkezik a képességeit és k?telességeit r?gzít? munkak?ri leírással.Jogi k?vetkezményekBiztonsági alapelv: A felel?sségek meghatározásával, személyhez k?tésével egyértelm?vé kell tenni a szabályok betartásának k?telezettségét, a szabálysért? magatartások szankcionálását.Kockázat: Akadályozhatja a felel?sségre vonást, ha az illegális cselekedetet elk?vet? személy arra hivatkozhat, hogy nem volt tisztában a min?sített adatot kezel? rendszer természetével, a bevezetett eljárásokkal.Bevezetett intézkedések: a szabályzatok megsértésének k?vetkezményeit az érintetteknek ismerniük kell, és ki kell oktatni ?ket a rendszer alkalmazására. Az ?BSZ tartalmát minden hozzáféréssel rendelkez? személy írásban tudomásul veszi.Visszamaradó kockázatok A vizsgálat során nem azonosítottak visszamaradó kockázatot. [Amennyiben igen, azt, illetve annak kezelését részletezni kell]Konfiguráció menedzsment:részletes hardver- és szoftvernyilvántartás (rendszer és hálózati ábrákkal) rendelkezésre áll és folyamatosan naprakészen tartják. (pl. ?BSZ mellékleteként).a szerverek, helyi hálózati elemek, hordozható eszk?z?k és munkaállomások nyilvántartási szabályait meghatározták. a hardver- és szoftverkonfiguráció rendszeres ellen?rzését a rendszer-biztonsági felügyel? részére el?írták, annak érdekében, hogy csak engedélyezett eszk?z?ket lehessen használni.hardver- és szoftvernyilvántartást vezetnek a berendezések és a kábelek felcímkézésével. az operációs rendszer biztonsági beállításait és a biztonsági funkciókat csak korlátozott számú, bevizsgált és engedéllyel rendelkez? üzemeltet? és biztonsági személyzet változtathatja meg. az operációs rendszer naprakészen tartása a legújabb biztonsági javításokkal, frissítésekkel biztosított. a rendszer és a hálózat konfigurációján végrehajtott változások el?tt azok biztonságra gyakorolt hatása, k?vetkezménye vizsgálat tárgyát képezik.Az alábbi táblázat tartalmazza a rendszert érint? változások esetén végrehajtandó teend?ket: Változás:NBF engedélyeNBF tájékoztatásaBiztonsági vezet? engedélyeR?gzítés a rendszer dokumentációban, karbantartási naplóbanMin?sítési szint és adatforrásXAdatkezelési engedély (rendszerengedélyt érint?)XRendszerbiztonsági felügyel? személye XXAdminisztrátor személye XXHelyszínXXHelyiség berendezéseXXHelyiségben más rendszerekXXHelyiségben bútorzatX?BSZ átdolgozásaXRBK átdolgozásaXFelhasználók hozzáadása, t?rléseXMunkaállomások, szerverek számaXXRendszer kapcsolat (küls? vagy más rendszer, létesítés, megszüntetés)XXF?darab (monitor, alaplap, számítógépház, nyomtató, szkenner)XXX?j (korábban nem engedélyezett) nyomtatási képességXXRészegység (videokártya, optikai meghajtó, egér, billenty?zet, mobil rack)XXAlapvet? szoftver (Operációs rendszer, biztonsági szoftver, vírusvédelem)XXXTovábbi szoftverXXXKüls? adathordozó használataXHelyszíni javításXXJavításba adás (TEMPEST is)XXXKüls? adathordozó hozzárendelése, megszüntetéseXXVírusadatbázis frissítésXOp. rendszer és szoftver frissítés, karbantartásXEllen?rzésellen?rzési terv készítése, amely visszajelzést biztosít arról, hogy a hozzáférések, személyhez k?tés, sértetlenség, rendelkezésre állás és a biztonsági menedzsment m?k?dése az el?írtaknak megfelel?en m?k?dik. az ellen?rzéseket az ellen?rzési naplóban kell dokumentálni.az ellen?rzések eredményeit feldolgozzák, a tett intézkedések nyomon k?vethet?ek. Biztonsági oktatás:Az ?BSZ meghatározza a felhasználók felkészítésének módját, gyakoriságát. A rendszer használatára való feljogosítást megel?z?en a felhasználókat oktatásban kell részesíteni, amelynek megt?rténtét a felhasználók aláírásukkal ismerik el. Az oktatáson a felhasználók legalább az alábbi tárgyban szerezzenek jártasságot:a rendszerhez való hozzáférés megszerzésének k?vetelményei,a rendszeren (az adott személy részére) hozzáférhet? információk k?re,a fizikai és logikai hozzáférés szabályai,információ min?sítésének szabályai,nyomtatás és dokumentumkezelés rendje,a felhasználó által elvégezhet? ellen?rzések,biztonsági események k?telez? jelentése,hibák jelentése,jelszókezelés,felhasználói felel?sség, eljárási és jogi szankciók,biztonsági személyek és dokumentációk elérhet?sége.Az oktatások végrehajtását dokumentálni kell. Biztonsági események kezelése és jelentéseAz olyan eseményeket, melyek befolyással lehetnek a kezelt min?sített adatok bizalmasságára, sértetlenségére vagy rendelkezésre állására, biztonsági eseményként kell figyelembe venni, kivizsgálásukat a biztonsági vezet? végzi, a feladatba bevonja a rendszerbiztonsági felügyel?t. Bizalmas, vagy annál magasabb min?sítési szint? adatot érint? eseményr?l az NBF-et értesíteni kell. A feltételezett vagy valós titoksértéssel is járó biztonsági eseményeket – Bizalmas, vagy annál magasabb min?sítési szint esetén – haladéktalanul jelenteni kell a Nemzeti Biztonsági Felügyeletnek a lehetséges károk megel?zése illetve cs?kkentése érdekében.Engedélyezés, kivonás:engedély megújításának az eseteiA rendszer m?k?déséhez szükséges engedélyezési eljárások (adatkezelési engedély, rendszerengedély kiadása) során a jogszabályi feltételeken túl figyelembe kell venni a Nemzeti Biztonsági Felügyelet, mint engedélyez? hatóság által meghatározott további k?vetelményeket is.Az alábbi módosulások ismételt engedélyezést eredményeznek: a rendszeren tárolt információk k?rének és min?sítésének tervezett változása, amelyek a biztonsági intézkedések változását is eredményezik,a rendszert érint? biztonsági k?vetelmények változása jogszabályváltozás, vagy a nemzeti biztonsági politika vagy egyéb irányelvek módosítása k?vetkeztében,a rendszert érint? fenyegetések és sebezhet?ségek széls?séges változása,a rendszeren használt alkalmazások k?zül az operációs rendszer vagy valamely biztonsági (biztonságot er?sít?) szoftver továbbfejlesztése, kiterjesztése vagy módosítása (a hibajavító kiegészítések kivételével), az ilyen szoftverek jóváhagyásának módosulása,jelent?s változások a rendszert magába foglaló létesítmény fizikai kiépítésében, vagy az ?BSZ-ben,a biztonság, a rendszerintegritás megsértése, vagy olyan esemény bek?vetkezése, mely rávilágít a rendszer biztonságának réseire, gyenge pontjaira, a Nemzeti Biztonsági Felügyelet által lefolytatott hatósági ellen?rzés eredményeként.Rendszerb?l való kivonás, megsemmisítésA teljes rendszer m?k?désének végleges beszüntetésekor, vagy egyes elemeinek a rendszerb?l való kivonásakor intézkedni kell az alábbiakra:A tárolt elektronikus dokumentumok min?sítésének felülvizsgálatára, a saját készítés? dokumentumok min?sítésének módosítására,A változatlan vagy módosított min?sítéssel meg?rzend? elektronikus dokumentumok archiválására,A meg?rzésre nem tervezett (megsemmisíthet?) dokumentumok adattároló eszk?zeinek biztonságos t?rlésére illetve fizikai megsemmisítésére,A szervezet adatkezelési engedélyének visszavonása esetén az elektronikusan archivált min?sített dokumentumok átadására a Nemzeti Biztonsági Felügyelet rendelkezése szerinti szervezetnek.Mellékletek:A – A rendszer biztonsági személyeiB – a telepítési helyszín grafikus vázlataKelt, rendszerbiztonsági felügyel?Készült: 4 eredeti példánybanEgy példány: … lapKapják: 1. sz. pld.: Irattár 2. sz. pld.: Biztonsági Vezet? 3. sz. pld.: Rendszerbiztonsági felügyel? 4. sz. pld.: rendszeradminisztrátor 5. sz. pld: NBF ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download