INFORMATIKAI BIZTONSÁGI ÚTMUTATÓK
-
Upload
merenyi-oszkar -
Category
Documents
-
view
225 -
download
0
Transcript of INFORMATIKAI BIZTONSÁGI ÚTMUTATÓK
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
1/38
INFORMATIKAI BIZTONSGI TMUTATK, KONTROLLOK
S SZEREPK AZ ADATBZIS-BIZTONSG MEGVALSTSBAN
Absztrakt
Az informcik s az azokat kezel informatikai rendszerek, eszkzk a
szervezetek fontos erforrsai, biztonsguk valamennyi szervezet szmra
alapvet fontossg. Ennek megfelelen jelentsen megntt az informatikai
biztonsg megvalstsra irnyul tevkenysgek, eszkzk szerepe is. Ez
utbbiak kz tartoznak a biztonsgi tmutatk s kontrollok, amelyek abiztonsg
megvalstsnak, szablyozsnak s rtkelsnek fontos eszkzei. Jelen
publikci bemutatja a biztonsgi tmutatk fogalmt, rendeltetst, tpusait;
bemutatja a biztonsgi kontrollok fogalmt, rtelmezst, elemzicsoportostsuk
lehetsgeit; vgl elemzi az informatikai biztonsgi tmutatk, kontrollokhelyt,
szerept az informatikai biztonsg irnytsban, szablyozsban.
Information and the supporting IT systems, devices are important organizationalassets, their security is fundamental for all organizations. As a consequence the
role of security activities and means has significantly increased. Security
guidelines and controls are important means of implementation, regulation, and
evaluation of security. Recent publication presents the concept, purpose, and
types of security guidelines; presents the concept, and interpretation of security
controls, analyses their classifications; finally analyses the role of securityguidelines, controls in management and regulation of information (IT) security.
Kulcsszavak: informatikai biztonsg, adatbzis-biztonsg, informatikai biztonsgi
tmutat, informatikai biztonsgi kontroll ~ information (IT) security, database
security, information security guideline, information security control101
BEVEZETS
Az informcik s az azokat kezel folyamatok, rendszerek, eszkzk napjainkra
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
2/38
megkrdjelezhetetlenl valamennyi szervezet-tpus alapvet szervezetierforrsv vltak.
Ma mr kzhely, hogy az informcik s a kezelskben szerepet jtszerforrsok
biztonsga szinte egyarnt fontos a gazdlkod szervezetek, a kormnyzatiszfra, a vdelmi
szfra s gyakorlatilag minden szervezet szmra. Ennek megfelelen jelentsenmegntt az
informatikai biztonsg megteremtsre s fenntartsra irnyul tevkenysgeks az ezek
sorn felhasznlt eszkzk, mdszerek s eljrsok szerepe, jelentsge is.
Az informcik s az informatikai rendszerek, eszkzk biztonsgtsebezhetsgeiken
keresztl szmos fenyegets veszlyezteti. A fenyegetsek ellen klnbzmdokon s
eszkzkkel lehet vdekezni, azonban tkletes vdelem elvileg nem ltezik snem minden
vdelmi megolds "ri meg" a rfordtst. Az egyes fenyegetsekbekvetkezsk
valsznsge s vrhat kvetkezmnyeik alapjn eltr kockzatokatjelentenek a vdend
objektumok biztonsgra. A kockzatok azonostsa, elemzse s rtkelsealapjn lehet
kivlasztani a megfelel vdelmi rendszablyokat, intzkedseket (biztonsgikontrollokat).
Az informatikai s ezen bell az adatbzis-biztonsg megkvnt llapota teht
megfelelbiztonsgi kontrollok (folyamatok, eljrsok, szervezeti megoldsok, szoftver shardver
funkcik) segtsgvel rhet el s tarthat fent. Ezeket a kontrollokat meg kellhatrozni,
meg kell valstani, folyamatosan figyelemmel ksrni s szksg esetntovbbfejleszteni,
hogy a kitztt biztonsgi s ennek kvetkeztben szervezeti clkitzsek
megvalsuljanak.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
3/38
Egy adott szervezet szmra az alkalmazand biztonsgi kontrollokmeghatrozst,
kivlasztst elmleti vizsglatok s bevlt gyakorlati tapasztalatok alapjnnemzetkzi s
nemzeti szakmai szervezetek, informatikai gyrtk ltal sszelltott kontroll-gyjtemnyek,
biztonsgi tmutatk segtik.
A biztonsgi tmutatk br sok kzlk nemzetkzi, nemzeti s szervezetiszint
szabvnyokban is megjelenik nevkbl kvetkezen
1
, alapveten nem ktelez erej
dokumentumok. Ennek ellenre felhasznlhatak az informatikai biztonsg, vagyvalamely
rszterlete szablyozsra is, meghatrozva pldul, hogy bizonyosszervezetek,
tevkenysgek, rendszerek, rendszerelemek esetben az adott tmutat melykontrolljait kell
ktelezen megvalstani. Ez ltalban nem egyedileg kerl meghatrozsra,hanem a
biztonsg alanyai egyb szempontok alapjn biztonsgi kategrikba(osztlyokba) kerlnek
besorolsra s a minimlisan megvalstand kontrollok ezekhez a kategrikhozvannak
rendelve. Vgl a segtsgnyjts s a szablyozs mellett az tmutatk, illetveaz azokban
foglalt kontrollok kiterjedten felhasznlsra kerlnek a biztonsgi megfelelsg-vizsglatok,
igazolsok, auditok sorn is.
A fentiek alapjn jelen publikci alapvet clja, hogy rendszerezze, bemutassaaz
informatikai biztonsgi tmutatk, kontrollok alapvet informciit smeghatrozza
szerepket az informatikai biztonsg megvalstsban. Ennek rdekben:
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
4/38
- bemutatja a biztonsgi tmutatk fogalmt, rendeltetst, tpusait, valaminta fbb
tmutatkat;
- bemutatja a biztonsgi kontrollok fogalmt, rtelmezst, elemzi csoportostsuk
lehetsgeit, helyket s szerepket az informatikai biztonsgmegvalstsban;
- elemzi az informatikai biztonsgi tmutatk, kontrollok helyt, szerept az
informatikai biztonsg irnytsban, szablyozsban, meghatrozza akapcsold
feladatokat.
1
Guideline = irnymutats, irnyelv.102
BIZTONSGI TMUTATK ALAPJAI
Az informatikai biztonsgi tmutatk s a kapcsold dokumentumok (ellenrzlistk) az
informatikai biztonsg kialaktst s fenntartst (az informatikai biztonsgiclkitzsek
megvalsulst) szolgl vdelmi megoldsok, rendszablyok s tevkenysgek
kialaktsnak, illetve ellenrzsnek alapvet eszkzei. A kvetkezkben abiztonsgi
tmutatkkal kapcsolatos alapvet krdseket sszegezzk s rendszerezzk,ezen bell:
bemutatjuk a biztonsgi tmutatk s e
llenrz listk fogalmt, rendeltetst;rendszerezzk az tmutatk, ellenrz listk felhasznlsnak lehetsgeit;
megvizsgljuk az tmutatk csoportostsnak lehetsgeit, fbb tpusaikat;
ismertetjk a jelentsebb informatikai biztonsgi tmutat kat;
vgl ismertetjk a jelentsebb adatbzis-biztonsgi tmutatkat.
Az els hrom krdsben a megllaptsokat ltalnos biztonsgimegkzeltsben
fogalmazzuk meg, de pldinkat az informatikai biztonsg terletrl vesszk.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
5/38
A biztonsgi tmutatk s ellenrz listk krdseinek vizsglathoz elszrmeg kell
hatroznunk fogalmukat, rendeltetsket. Az tmutat (guide, guideline[s]) azltalnos
rtelmezs szerint egy nem ktelez rvny ajnls arra, hogy meghatrozottclkitzsek
elrse rdekben mit s hogyan kell megtenni. [1, 2] Ms megfogalmazsban aztmutat
egy adott cl elrshez megkvnt, javasolt, jnak tartott, bevlt eljrsok,tevkenysgek
lersa. Az tmutatk ltalban a trvnyekben, szabvnyokban, szablyozkbanelrtak
megvalstsnak javasolt, clszer mdjt tartalmazzk.
tmutatk az let sok terletn felhasznlsra kerlnek: felhasznli tmutatk
(kziknyvek) ismertetik, magyarzzk kszlkek hasznlatt; technikaitmutatk segtik
rendszerek, eszkzk teleptst, zemeltetst, karbantartst, javtst; orvosiszakmai
protokollok rjk le egy betegsg, vagy llapot kezelsnek tevkenysgeit.2
Tbb
szabvnygyi szervezet (pld. ISO, IEC, ITU, NIST
3
, stb.) bocst ki dokumentumokat
'tmutat' megnevezssel. Mg a szabvnyok megismtelhet, mrhet stesztelhet,
normatv technikai referenciaknt hasznlhat specifikcik, addig az tmutatkltalban
szabadabb rtelmezseket is lehetv tv irnymutatsok.
A biztonsgi tmutatk (security guideline) az tmutatk egyik csoportjtalkotjk,
amelyek rendeltetse biztonsgi clkitzsek megvalstst szolgl
megoldsok, eljrsok,
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
6/38
tevkenysgek meghatrozsa: "hogyan lehet elrni a biztonsgot". A biztonsgalatt a
tovbbiakban olyan llapotot rtnk, amelyben valaki/valami a lehetsgesfenyeget hatsok
ellen a megkvnt mrtkben vdett. A biztonsg kialaktshoz sfenntartshoz meg kell
hatrozni a biztonsgi clkitzseket, azonostani s rtkelni kell a biztonsgotveszlyeztet
kockzatokat, majd ezek alapjn meg kell hatrozni s valstani a vdelmiintzkedseket.
Szervezetek esetben a biztonsgi szablyozrendszer hrom szintre oszthat(az
informatikai biztonsg esetben pld. lsd a KIB 25/1. ajnlst [3, 46. o.]). Felsszinten a
biztonsgi politika s stratgia tallhat, amelyek megfogalmazzk az alapvetbiztonsgi
elveket, clkitzseket s felelssgi krket, illetve meghatrozzk a biztonsg
fejlesztsnek kzp (hossz) tv tervt. Kzps szinten tfog s rszterletiszablyzatok,
szablyozk, mg als szinten a konkrt feladat- s szerepkrkre vonatkozrszletes
biztonsgi eljrsok, feladatok (eljrsrend) tallhatak.
2
User's guide (manual), technical guide (manual), medical guide (protocol).
3
International Organization for Standardization, International ElectrotechnicalCommission, International
Telecommunication Union, National Institute of Standards and Technology[USA].103
A biztonsgi tmutatk a szervezetekben a kzpszint szablyozknak s azals szint
biztonsgi feladatoknak az tfog biztonsgi politika s biztonsgi clkitzsekalapjn
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
7/38
trtn kialaktst tmogatjk, segtik. Ennek megfelelen a biztonsgitmutatk ltalban
tbb szervezet szmra felhasznlhat mdon, azokon kvl kerlnekkidolgozsra. Emellett
sszetett szervezetrendszerekben (kzigazgats, hader, stb.) is szksg lehetbiztonsgi
tmutatk kidolgozsra az egyes szervezetek biztonsgi eljrsai, feladatai
meghatrozsnak tmogatshoz.
Az ellenrz lista (checklist) ltalnos rtelemben egy sszetett feladat elemi
tevkenysgeinek, lpseinek teljes krt tartalmaz lista, amelynekrendeltetse
emlkeztets, vgigvezets a vgrehajtand rszfeladatokon. Az egyes lpsekkztt
lehetnek fggsgek, egy lps vlasztstl, vagy eredmnytl fgghet, hogyegy msikat
(msikakat) vgre kell-e hajtani. Egy ellenrz lista sok esetben tnylegesen egyfennll
llapot rtkelsnek, ellenrzsnek lpseit tartalmazza.
A biztonsgi ellenrz listk (security checklist) a biztonsgi tmutatkban foglaltkonkrt
megoldsok, tevkenysgek megvalsulsnak ms megkzeltsben aztmutatban
foglaltaknak trtn megfelels ellenrzsre szolgl dokumentumok. Azinformatikai
biztonsgi terleten jelents szerepet jtszanak a biztonsgi konfigurcisellenrz listk
(security configuration checklist), amelyek adott informatikai termkek javasolt,biztonsgos
belltsait, valamint az alkalmazott adminisztrcis megoldsokat, eljrsokatellenrzik. [4,
2-1. o.] Az ellenrz listk a megfelelsg-vizsglat mellett termszetesenfelhasznlhatak a
belltsok vgrehajtsa sorn is s a hagyomnyos dokumentum-formtum
mellett
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
8/38
megvalsthatak automatizlt ellenrzst lehetv tv elektronikus (pld.szkript) formban
is.
A biztonsgi tmutatk, ellenrz listk felhasznlsnak lehetsgei hromnagy terletbe
sorolhatak. Ezek kz tartozik felhasznlsuk:
biztonsgi intzkedsek kivlasztsa, kialaktsa sorn;
biztonsgi szablyozsok hivatkozsi alapjaknt;
s biztonsgi kvetelmnyeknek trtn megfelels ellenrzse sorn.
A biztonsgi intzkedsek kivlasztsa, kialaktsa sorn trtn felhasznls
tekinthet azalapvet felhasznlsi mdnak. Ebbl a szempontbl a biztonsgi tmutatkelmletileg
megalapozott s a bevlt gyakorlatra pl ltalnos clkitzs- s megolds-gyjtemnyek.
Az tmutatk alapvet sszetevit a vdelmi megoldsok, intzkedsek(biztonsgi
kontrollok, amelyekkel rszletesebben a kvetkez pontban foglalkozunk)kpezik. Az egyes
sszetevk esetben a meghatrozs mellett szerepelhet a megvalsts javasoltmdja is.
Az tmutatkban a rendszerezettsg s a knnyebb kezelhetsg rdekben azegyes
sszetevk (kontrollok) jellemzen klnbz szempontok alapjn esetleg tbbszinten is
csoportokba vannak sorolva. Az egyes csoportok esetben megfogalmazsrakerl a bennk
foglalt sszetevk ltalnos clja, illetve e biztonsgi clkitzs rszletesebbindoklsa, elvei.
A szablyozs sorn trtn felhasznls az nll dnts alapjn trtnfelhasznlssal
szemben a kls elrsokhoz kapcsoldik. Ennek sorn egy szablyozs hatlyaal tartoz
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
9/38
szervezetek szmra meghatrozsra kerl, hogy mely vdelmi megoldsokat,intzkedseket
kell ktelez rvnnyel, vagy bizonyos felttelek fennllsnak fggvnyben
megvalstaniuk. A szablyozs trtnhet nemzeti, vagy szervezeti szinten(utbbi esetben
olyan sszetett szervezetrendszerek esetben, ahol az egyes szervezetek nllbiztonsgi
irnytsi rendszert mkdtetnek), de lehetsges unis, vagy szvetsgi keretekkztt is. A
felhasznlsnak ez a mdja tulajdonkppen egy tbbszint biztonsgi irnytsirendszert
jelent, amelyben a magasabb szint clkitzseket s ezek megvalstsra egyminimum
vdelmi intzkedsi "csomagot" hatroz meg, amelyet az alacsonyabb szint sajthatskrben
bvthet, finomthat.104
Az ellenrzs cljra trtn felhasznls a biztonsg irnytsnak msikalapvet
rszterlethez, egy szervezeten bell a biztonsg llapotnak ellenrzshez,fellvizsglathoz, illetve a meghatrozott kvetelmnyeknek trtn megfelels
rtkelshez kapcsoldik. Az ellenrzs, rtkels lehet szervezeten belli sazon kvli
(magasabb szint irnyt, vagy fggetlen minst szervezet rszrl). Abiztonsgi
tmutatkban foglaltak az ellenrzs, rtkels sorn etalonknt hasznlhatakfel annak
megtlshez, hogy a meghatrozott biztonsgi clkitzsekhez skockzatokhoz
megfelelek-e a megvalstott vdelmi intzkedsek s megfelel mdonkerltek-e
megvalstsra. A korbban emltett konfigurcis ellenrz listk alapvetrendeltetse (mr
nevk alapjn is) a biztonsg llapotnak ellenrzse.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
10/38
A biztonsgi tmutatk, ellenrz listk osztlyozsa klnbz szempontokszerint
lehetsges. Ezek kzl a kvetkezkben rviden kettt mutatunk be:
az alkalmazsi terlet szerinti osztlyozs;
s a kidolgozk szerinti osztlyozs.
A biztonsgi tmutatk, ellenrz listk alkalmazsi terlet szerint egy terletegszre,
vagy egyes rszterleteire vonatkoz tpusokra osztlyozhatak. Ehhez azosztlyozshoz
termszetesen meg kell hatrozni az alapul vett szakterletet, ami lehet pldulinformatikai
biztonsg, termkbiztonsg, munkabiztonsg, stb. Szkebb vizsglati tmnkszempontjbl a
tovbbiakban alapterletnek az tfog informatikai biztonsgot tekintjk.
Az informatikai biztonsg rszterletei tbbflekppen kijellhetek s ennekmegfelelen
tbbfle rszterleti tmutatval is tallkozhatunk. Ilyenek pldul akvetkezek:
az informatika i rendszerek fbb sszetevi szerint: alkalmazs-, opercisrendszer,
adatbzis-, hlzat- s hardverbiztonsgi tmutatk;
a biztonsg sszetevi szerint: fizikai, szemlyi s dokumentum biztonsgi
tmutatk;
a vdelmi megoldsok szerint: fejleszts- , hozzfrs-, jelsz-, vagykriptogrfiai
biztonsgi tmutatk;
valamint az informatikai biztonsg adott alkalmazsi terletre kidolgozott az tfog
biztonsgi tmutatkat specializl, kiegszt tmutatk
4
is.
A biztonsgi tmutatk, ellenrz listk kidolgozk szerint tbb csoportraoszthatak, ami
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
11/38
egyben rendeltetsket, clkznsgket is meghatrozza. Az els csoportot anemzetkzi
szabvnyostsi s szakmai szervezetek ltal kidolgozott dokumentumok kpezik.Ezek a
legtfogbb mdon sszegzik a biztonsg kialaktshoz s fenntartshozszksges, jnak
tartott megoldsokat s az adott szervezetben kialaktott rendnek megfelelenidszakonknt
jra kiadsra, tdolgozsra kerlnek. Ma mr tulajdonkppen ezek kpezikminden biztonsgi
tmutat alapjt. A msodik csoportba a nemzeti szint dokumentumok (kztkszabvnyok)
tartoznak, amelyek egy adott nagyobb, fejlettebb orszg biztonsgiclkitzsei,
szablyozsai megvalstst tmogatjk. A harmadik csoportba az informatikaiipar
szervezetei, a gyrtk ltal kibocstott dokumentumok sorolhatak, amelyekegy-egy termk
(esetleg termkcsoport) biztonsgos alkalmazshoz kapcsoldan nyjtanak
tmutatst.
Vgl a negyedik csoportot a szervezeti szint dokumentumok alkotjk, amelyekltalban
sszetettebb szervezetrendszerekben, az sszetev szervezetek ltal trtnfelhasznlsra
kerlnek kidolgozsra.
A legfontosabb informatikai biztonsgi tmutatk kz az ISO/IEC 27000
szabvnysorozategyik eleme, az Informatikai Biztonsgi Frum biztonsgi ajnlsgyjtemnye saz Egyeslt
4
Az ISO 27000 szabvnycsaldban pldul kln csoportot kpeznek azgynevezett alkalmazsi terlet-specifikus tmutatk (jelenleg az egszsggyiISO 27799 s a tvkzlsi ISO 27011). [1, 12. o.]105
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
12/38
llamok Nemzeti Szabvnygyi s Technolgiai Intzete 800-askiadvnysorozatnak egyes
sszetevi tartoznak.
Az ISO/IEC 27000 szabvnysorozat az informatikai biztonsg menedzsmentjnek"legjobb
gyakorlatait" fogja ssze, melyet a Nemzetkzi Szabvnygyi Szervezet (ISO) sa
Nemzetkzi Elektrotechnikai Bizottsg (IEC) kzsen adott ki. A szabvnycsaldegyik
eleme az ISO/IEC 27002:2005 Az informatikai biztonsg irnytsi gyakorlatnak
kziknyve
5
[2], amely a szervezet teljes kr informatikai biztonsgnak megteremtshez
nyjt tmutatst biztonsgi intzkedsek, kontrollok felsorolsval.
A szabvny fejezetekbl (sections) ll, ezek elejn megtalljuk az aktulismegvalstand
biztonsgi clokat (objectives); a clok megvalstshoz szksges biztonsgi
intzkedseket, kontrollokat; a biztonsgi kontrollok megvalstsi tmutatjt
(implementation guidance) s egyb szksges informcikat. A biztonsgikontrollok
megfogalmazsa ltalnos szint, a gyakorlati megvalsts rszleteit aszervezetnek sajt
magnak kell kidolgoznia.
A szabvny felptse alapjn a vdelem megvalstsnak terletei a
kvetkezk:kockzatelemzs, szablyzati rendszer, biztonsgi szervezet, vagyontrgyakkezelse,
szemlyi biztonsg, fizikai s krnyezeti biztonsg, kommunikci s zemeltetsbiztonsga,
hozzfrs-ellenrzs, informatikai rendszerek beszerzse, fejlesztse skarbantartsa,
incidenskezels, zletmenet-folytonossg, jogszablyi megfelelsg.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
13/38
A szabvnyt brmely szervezet felhasznlhatja a szervezeten belli informatikaibiztonsg
kialaktshoz, menedzselshez s javtshoz. A szabvny biztonsgikontrollok
gyjtemnynek tekinthet. A szervezetnek elszr kockzatelemzst kellvgeznie,
azonostania kell a szmra szksges biztonsgi elrsokat, kvetelmnyeket,majd ezek
alapjn fel kell ptenie a sajt biztonsgi programjt. Ezt a szabvnysegtsgvel meg tudja
tenni, a szabvnyban felsorolt biztonsgi kontrollok kivlasztsa s alkalmazsaltal.
Az Informatikai Biztonsgi Frum
6
(ISF) nev nonprofit informatikai biztonsgi szervezet
ktvente frissti az ingyenesen elrhet informatikai biztonsgiajnlsgyjtemnyt, az
Informatikai biztonsg legjobb gyakorlatainak szabvnyt
7
[21]. Az ISO/IEC 27002-hz hasonlan ennek a dokumentumnak is a clja aszervezeten belli informatikai biztonsg
megvalstsa s tmogatsa gyakorlati s mrhet biztonsgi intzkedsekfelsorolsn
keresztl. A szabvnyt kutatsok, nemzetkzi szervezetek tapasztalatai s msjelents
szabvnyok alapjn lltjk ssze elssorban nagy nemzeti s nemzetkziszervezetek
szmra, de deklarljk, hogy a szabvny tetszleges mret szervezet szmraalkalmas az
informatikai biztonsg megteremtshez s fenntartshoz. Az ISFajnlsgyjtemnye clul
tzi ki, hogy lefedje ms hasonl cl szabvnyok (pldul ISO/IEC 27002 sCOBIT)
kontroll gyjtemnyt.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
14/38
A szabvny 6 f fejezetre (aspects), alfejezetekre (areas) s szekcikra (sections)oszlik fel.
Minden szekci egy specilis informatikai biztonsgi terletet fed le, tartalmazzaaz adott
biztonsgi elvet (principle), annak cljt (objective) s a cl elrshez szksgesbiztonsgi
intzkedseket, kontrollokat, gyakorlati lpseket (statements).
A szabvny a biztonsgi intzkedseket a kvetkez hat csoportba sorolja be:szmtgp
telepts, hlzatok, kritikus zleti alkalmazsok, felhasznli krnyezet,rendszerfejleszts s
biztonsgkezels.
Az Egyeslt llamok Nemzeti Szabvnygyi s Technolgiai Intzete (NIST) IT
laboratriuma ltal kiadott informatikai biztonsgi 800-as sorozat
8
[5] klnbz terletek
krdseivel foglalkoz dokumentumokbl, tmutatkbl ll. Az tmutatkfelptse
5
Code of practice for Information Security Management.
6
Information Security Forum.
7
The Standard of Good Practice for Information Security.
8
NIST Special Publications 800 Series.106
ismertet-ler jelleg, ebben eltrnek az elzleg ismertetett kt szabvnytl,amelyek
inkbb pontokba szedett, biztonsgi kontrollok gyjtemnyeknt jelennek meg.
Az Egyeslt llamok hadseregben az informatikai rendszerek klnbzsszetevire
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
15/38
vonatkoz informatikai biztonsgi ellenrzsi clokat, az alkalmazand vdelmi
rendszablyokat, eljrsokat biztonsgi belltsi (konfigurcis) tmutatkrgztik, melyeket
a Vdelmi Informatikai Rendszerek gynksge (DISA), valamint aNemzetbiztonsgi
gynksg kszt el s bocst ki.
A DISA ltal kidolgozott Biztonsgi Technikai Megvalstsi tmutatk (Security
Technical Implementation Guide, STIG) segdeszkzk a DoD informatikairendszerek
vdelme minsgnek nvelshez. Az egyes tmutatk az adott informatikairendszer
sszetev ismert biztonsgi komponenseit, srlkenysgeit s a DoDinformatikai vdelmi
politika ltal trgyalt, ezekhez kapcsold krdseket tartalmazzk.
A DISA tmutatkhoz, az azokban foglaltak ellenrzshez rendelkezsre llnak
biztonsgi ellenrz listk s a biztonsgi kszenltet ellenrz szkriptek.Mindkett
lnyegben azt ellenrzi, hogy a vizsglt rendszer (rendszer-sszetev) megfelel-e az
tmutatban elrt kvetelmnyeknek (ellenrzsi cloknak), vagyis megfelelenvan-e
teleptve s konfigurlva, illetve megfelelen van-e felgyelve, kezelve. Aztmutatk s az
ellenrz listk brki ltal ingyenesen letlthetk a szkriptek viszont belshasznlatra
kszltek [6, 7].
Az adatbzis-biztonsgi tmutatk az adatbzis rendszerek teleptsre,konfigurlsra,
zemeltetsre, illetve az adatbzis-kezel rendszer mkdsre kihat, azinformatikai
rendszer egyb sszetevire (opercis rendszer, hlzat, adatbzist elralkalmazsok)
vonatkoz biztonsgi kvetelmnyeket s biztonsgi kontrollokat tartalmazzk.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
16/38
Adatbzis-biztonsgi tmutatk kszti kztt megtalljuk az adatbzis-kezelrendszerek
gyrtit, fejlesztit, klnbz informatikai biztonsghoz ktd szervezeteketilletve llami
szerveket. Pldaknt emlthetjk az Egyeslt llamok Vdelmi Minisztriumt, azAdatbzisbiztonsgi Konzorciumot, az Internet Biztonsg Kzpontjt, a SANSintzetet
9
, illetve az
adatbzis-kezel rendszerek fejlesztit, pldul az Oracle-t.
A dokumentumokat kt f csoportra oszthatjuk a bennk tallhat biztonsgi
kontrollok
ltalnos-rszletes jellege alapjn. Az egyik csoportot az ltalnos adatbzis-biztonsgi
tmutatk alkotjk (pldul [8, 9]), melyek az adatbzis-kezel rendszer tpustlfggetlenl
fogalmaznak meg biztonsgi kvetelmnyeket. A msik csoportot az adatbzis-kezel
rendszer tpushoz (esetleg mg verzijhoz is) kszlt tmutatk alkotjk,melyek ltalban
adatbzis ellenrz lista (database checklist) elnevezst viselik (pldul [10, 11,12]).
Termszetesen minl szorosabban ktdik az tmutat egy konkrt termkhez(azaz a gyrt
s a verziszm is adott), annl preczebb s konkrtabb ellenrzsi smegvalstsi
mdszereket, biztonsgi kontrollokat tartalmaz. Az ltalnosabbanmegfogalmazott tmutatk
elnye, hogy szlesebb kr szmra hasznosthatk, azonban alkalmazs esetna
felhasznltl nagyobb szakmai tudst vrnak el a kvetelmnyek konkrtmegvalstsnak
meghatrozsa folyamn.
Az adatbzis ellenrz listk fejezetekre osztva, tblzatos formbantartalmazzk a
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
17/38
biztonsgi kontrollok listjt. A tblzat egy sora egy biztonsgi kontrollttartalmaz, ami egy
konkrt biztonsgi kvetelmnyt, illetve annak megvalstsi s ellenrzsimdjt rja le. A
kvetelmny mellett gyakran tallunk annak biztonsgi szintjt ler osztlyozstis, ami azt
mutatja meg, hogy a kvetelmny be nem tartsa milyen mrtk biztonsgisrlst rejt
magban. Bizonyos szervezetek (pl. DoD, CIS) az ellenrzsi lista mellautomatikus
eszkzket, szkripteket is kifejlesztettek az ellenrzsek gyorsabbelvgezhetsge
9
Database Security Consortium, Center for Internet Security; SysAdmin, Audit,Networking, and Security
Institute.107
rdekben. A listkban tallhatunk utalst az ellenrzsi pontoknl arra
vonatkozlag, hogy azadott kvetelmny ellenrzst az automatikus eszkz elvgi-e.
BIZTONSGI KONTROLLOK ALAPJAI
A megfelel biztonsgi kontrollok az informatikai biztonsg kialaktsnak s
fenntartsnak, a biztonsg megkvnt (megkvetelt) szintje rtkelsnekalapvet eszkzei,
alapjt kpezik az informatikai biztonsgi irnyts (security management)
klnbz
mdszertanainak, keretrendszereinek (pld. COBIT
10
, ISO 27000 csald). A kvetkezkben a
biztonsgi kontrollokkal kapcsolatos alapvet krdseket sszegezzk srendszerezzk, ezen
bell:
bemutatjuk a biztonsgi kontrollok fogalmt, rendeltetst;
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
18/38
rendszerezzk a kontrollok csoportostsait, fbb tpusait;
elemezzk az informatikai biztonsgi kontrollok fogalmt, rtelmezst;
megvizsgljuk a kontrollok helyt, szerept az informati kai biztonsg
megvalstsban;
vgl ismertetjk az adatbzis-biztonsgi kontrollok fogalmt, csoportostsi
lehetsgeit.
A biztonsgi kontrollok fogalmnak, rendeltetsnek vizsglathoz elszr akontroll
fogalom tartalmt, rtelmezst kell rgztennk. A kontroll (control) kifejezsangolul
egyarnt jelent irnytst, illetve felgyeletet, ellenrzst, tbbes szmban pedigvezrl-,
irnyt-, szablyoz szerkezetet, berendezst. Tmnk szempontjbl a kontrollkifejezs a
(bels) ellenrzs terlethez kapcsoldan rtelmezend, amelynek szleskrben, ms
szablyozk, mdszertanok ltal is felhasznlt alapdokumentuma a COSO
11
Integrlt Bels
Kontroll Keretrendszere. [13]
A dokumentumban kt alapfogalom szerepel: a bels kontroll s a kontroll-tevkenysg. A
bels ellenrzs / bels kontroll (internal control): a szervezet vezeti smunkatrsai ltal
megvalstott sszetett folyamat, amelyet a szervezeti clkitzsekkelkapcsolatos kockzatok
meghatrozsra s sszer biztostkok kialaktsra hoztak ltre. [14, 65. o.] Akontroll
tevkenysg (control activity) pedig a kockzatok meghatrozsa s a szervezetcljainak
elrse rdekben kialaktott elv (elrs) s eljrs, amelyet egy tevkenysgkimenetele
bizonytalansgnak korltok kztt tartsra irnyul. [14, 59. o.]
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
19/38
A COSO dokumentum rtelmezsben teht a szervezeti clkitzsek elrstfenyeget
kockzatok kezelsre s megvalstsuk valsznsgnek nvelsre specilis
rendszablyokat, tevkenysgeket kell kialaktani, amelyek ms sszetevkkelegytt egy
sszetett folyamatot alkotnak. A tovbbiakban a kt fogalom kzl elssorban akontroll
tevkenysgre ptnk. Ez az rtelmezs szerepel a kockzatkezels alapelveitrgzt ISO
31000 nemzetkzi szabvnyban is, amely szerint a kontroll olyan intzkeds,amely mdostja
a kockzatot. [15, 6. o.]
A biztonsgi kontroll (security control) a szervezeti clkitzsek megvalsulstbiztost
kontrollok egyik, kiemelt szerepet jtsz tpusa, biztonsgi kockzatokelkerlst, elhrtst,
vagy minimlisra cskkentst szolgl vdelmi intzkeds (vintzkeds,ellenintzkeds).
A biztonsgi kontroll s a kontroll fogalmak megklnbztetse a biztonsgikockzat s a
kockzat fogalmak rtelmezstl fgg. Amennyiben a kockzatot bizonytalanesemnyek
hatshoz kapcsoljuk (ahol a hatsok lehetnek pozitvak s negatvak =lehetsgek s
10
Control Objectives for Information and Related Technology = informcis skapcsold technolgira
vonatkoz kontroll clkitzsek.
11
Committee of Sponsoring Organizations of the Treadway Commission = ATreadway Bizottsg Tmogat
Szervezeteinek Bizottsga (knyvvizsgl szervezetek nkntesegyttmkdse).108
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
20/38
fenyegetsek), a kt kontroll fogalom tartalma kztt nincs klnbsg. Ilyenrtelmezssel
tallkozhatunk az ISO 31000 szabvnyban. [15, 1. o.] Amennyiben viszont akockzatot a
negatv, kros hats esemnyek krre szktve rtelmezzk, akkor a ktfogalom rsz-egsz
viszonyban ll egymssal. Erre az rtelmezsre plnek az informatikaibiztonsgi
dokumentumok. [1, 4. o.; 16, 222. o.] A tovbbiakban mi is erre a szkebbrtelmezsre
ptnk.
A biztonsgi kontrollok osztlyozsa szmos klnbz szempont szerintlehetsges. Ezek
kzl a kvetkezkben a jelleg s a rendeltets szerinti osztlyozst mutatjuk be.
A biztonsgi kontrollok jelleg szerint tbbflekppen csoportosthatak, ahol a
csoportosts alapjt a megvalsts mdjai, eszkzei kpezik. A COSOkeretrendszer kt
tfog tpust klnbztet meg: elrsok ("mit kell tenni") s eljrsok (az
elrsokmegvalstsa). [13, 51. o.] Az ISO 27000 osztlyozsban adminisztratv,technikai, vezetsi
s jogi kontrollok szerepelnek meghatrozs nlkl. [1, 2. o.] A NISTdokumentumok hrom
tpust klnbztetnek meg: vezetsi, mkdsi s technikai kontrollok. A vezetsi
(menedzsment) kontrollok a biztonsg s a kockzatok kezelsre irnyulnak,mg a mkdsi
kontrollok az elsdlegesen emberek ltal, a technikai kontrollok pedig a technikaieszkzk
ltal megvalstott eljrsok. [17, B-9, B-6, B-8, B-11. o.]
Egy msik megkzelts szerint a biztonsgi kontrollok hrom tpust azadminisztratv, a
fizikai s a technikai (ms nven logikai) kontrollok alkotjk. Az adminisztratvkontrollok a
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
21/38
szervezeti erforrsok megvsra irnyul szervezeti elrsok, eljrsok sms
tevkenysgek. A fizikai kontrollok kz a fizikai hozzfrst, beavatkozstmegakadlyoz
technikai eszkzk, megoldsok tartoznak. Vgl a technikai kontrollok atechnikai
eszkzkben megvalstott logikai, eljrsi jelleg megoldsok. [18, 2., 18., 26.o.]
A biztonsgi kontrollok rendeltets szerint is csoportosthatak, ami egyben abiztonsgot
veszlyeztet (nem kvnt) esemny bekvetkezshez viszonytottmegvalsulsuk szerinti
csoportostst is jelent. Kt alapvet tpus gyakorlatilag minden dokumentumbanmegjelenik.
A megelz (preventive) kontrollok rendeltetse a nem kvnatos esemnyek,eredmnyek
megakadlyozsa, elkerlse azok bekvetkezse eltt. Az szlel, feltr(detective)
kontrollok rendeltetse a mr bekvetkezett nem szndkolt esemnyek,
eredmnyek
feltrsa, azonostsa, jelzse a bekvetkezs alatt vagy utn. [13, 120., 121. o.;14, 60., 68.
o.; 16, 220., 223. o.; 19, 20. o.]
Tbb alapvet dokumentumban szerepelnek a helyreigazt, helyesbt(corrective)
intzkedsek is, amelyek rendeltetse a bekvetkezett nem kvnatos
esemnyek kroshatsainak cskkentse, azonban definci nlkl s nem kontrollnak minstve.[16, 19] Ms
dokumentumokban tallkozhatunk az elrettent (deterrent) kontrollokfogalmval, amelyek
rendeltetse a nem kvnatos elssorban szndkos esemnyekbekvetkezsi
valsznsgnek cskkentse, valamint a helyrellt (recovery) kontrollok
fogalmval,
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
22/38
amelyek rendeltetse a biztonsgsrts eltti llapot visszalltsa. E kt utbbitpus a
megelz s a helyreigazt kontrollok altpusnak is tekinthet.
Az informatikai biztonsgi kontroll (information/IT security control) fogalmnak
rtelmezse szorosan kapcsoldik az informcibiztonsg s az informatikaibiztonsg
fogalmak viszonyhoz, rtelmezshez, ami mindmig eltr szakmaimegkzeltsek,
nzeteltrsek trgya. A kt fogalom s az alkalmazott kifejezsekmegklnbztetse a
relevns szabvnyokban, mdszertanokban sem egyrtelm
12
, ltalban csak a tartalom jelzi,
hogy az adott dokumentumban szerepl rtelmezs melyik megkzeltshez llkzelebb.
A tovbbiakban jelen publikciban arra a megkzeltsre ptnk(rszletesebben lsd
20), amely szerint az elbbi fogalom az informci s annak mindenmegnyilvnulsi formja
(emberek tudatban, hagyomnyos hordozn, informcis tevkenysgekettmogat
12
Br a vonatkoz ISO szabvnyok mindegyike (27000, 13335, 15408, 15443,18045, stb.) az 'Information
technology - Security techniques' szabvnycsoportban szerepel.109
eszkzkben) biztonsghoz, mg az utbbi az informatikai rendszerekben,eszkzkben
kezelt informcik s maguk a rendszerek, eszkzk biztonsghoz kapcsoldik.A biztonsgi
terleten, a gyakorlatban a kett egymstl valjban elvlaszthatatlan,nmagban egyik sem
jelent teljes kr megoldst.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
23/38
A fentiek alapjn informatikai biztonsgi kontroll alatt az informatikai biztonsgi
kockzatok elkerlst, elhrtst, vagy minimlisra cskkentst szolglvdelmi
intzkedst (vintzkedst, ellenintzkedst) rtnk. Az informatikai biztonsgikockzat
(information/IT security risk) erforrsok, erforrscsoportok srlkenysgtkihasznl, a
szervezetnek krt okoz potencilis fenyegets [1, 4. o.], ahol erforrs minden,aminek
rtke van a szervezet szmra (informci, szoftver, hardver, szolgltatsok,emberek). [1, 2.
o.]
A korbban bemutatott jelleg s rendeltets mellett az informatikai biztonsgikontrollok
osztlyozsa az ltalnossg-rszletessg skln is lehetsges. Egy vdelmimegolds,
intzkeds, eszkz ugyanis tbbfle szinten meghatrozhat, pldul:
ISO 27002, 11.3.1: A felhasznlknak megfelel jelsz vlasztsi s hasznlati
gyakorlatot kell kvetnik. [2, 64. o.];
NIST 800-53, IA-5.1.a: Az informatikai rendszer megkvetel bizonyos jelsz-
sszetettsgi elrsokat. [17, F-58. o.];
CI4.5.3: biztostani kell, hogy a jelszavak hossza meghaladjon egy minimlis rtket,
klnbzzn a felhasznli azonosttl, ne tartalmazzon kettnl tbb azonos
karaktert egyms mellett s ne tartalmazzon kizrlag alfabetikus, vagykizrlag
numerikus karaktereket. [21, CI4.5 o.]
Az ltalnos kontrollok a jl bevlt gyakorlatra pl biztonsgi tmutatkhoz
kapcsoldnak, az egyes konkrt megoldsok ltalnostsait tartalmazzk. Ezekaz ltalnos
kontrollok (meghatrozsok) a klnbz szervezetekben, illetve klnbzbiztonsgi
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
24/38
clkitzsek esetn trtn felhasznlhatsg rdekben clszeren technolgia-s
megvalsts-fggetlenek. Mindez viszont szksgess teszi, hogy konkrtmegvalstsuk
esetn az tmutatban szerepl kontrollok rszletezsre, kiegsztsrekerljenek. Ennek
alapjai s rendje rszletesebben megtallhat a NIST 800-53 dokumentumban.[17, 7-8., 19-
25. o.]
Az ltalnos(abb) kontrollok testre szabst segti, ha azok eleve tartalmaznak a
szervezetek ltal meghatrozhat, vagy vlaszthat paramtereket (pld.
jelszavak minimlis
hossza, jelszvlts elrt gyakorisga, stb.). A rszletezs azonban enlkl ismegvalsthat
(pld. legyen minimlis jelsz-hossz elrs ~ a jelsz minimlis hossza legalbb 8karakter
legyen). Az ltalnos kontrollok kiegsztse (control enhancement) tovbbibiztonsgi
funkcik megvalstst, vagy a kontroll "erssgnek" nvelst szolglja. [17,B-12. o.]
Egy biztonsgi tmutat az egyes kontrollokhoz tbb kiegsztst is tartalmazhat,amelyek
kzl a konkrt biztonsgi kvetelmnyek fggvnyben lehet egyet, vagytbbet vlasztani.
Emellett kiegsztseket az adott szervezetek is megfogalmazhatnak.
Az informatikai biztonsgi kontrollok szerepe az informatikai biztonsg
megvalstsban
eszkzjelleg. A kontrollok a biztonsgi clkitzsek s a kockzatok elemzse,rtkelse
alapjn kerlnek meghatrozsra, majd megvalstsra. Rendeltetsk akockzatok s ezzel a
kros kvetkezmnyek bekvetkezsnek, illetve mrtknek cskkentse. Akontrollok
kapcsolatrendszert az informatikai biztonsg (illetve ltalban a biztonsg) ms
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
25/38
sszetevivel a kvetkez bra szemllteti.110
1. bra. Informatikai biztonsgi kontrollok helye, szerepe
13
Adatbzis-biztonsgi kontrollok alatt az adatok adatbzis rendszerekben trtntrolsval
kapcsolatos biztonsgi kockzatok elkerlst, elhrtst, vagy minimlisracskkentst
szolgl vdelmi intzkedseket rtjk.
Az adatbzis-biztonsgi kontrollok esetben is vgigkvethetk az elzlegbemutatott
csoportostsi lehetsgek. A technolgia- s megvalsts-fggetlen ltalnoskontrollokat az
ltalnos adatbzis-biztonsgi tmutatk tartalmazzk. A biztonsg gyakorlatimegvalstsa
sorn szksges az tmutatban szerepl kontrollok rszletezse, kiegsztse,testre szabsa.
Ennek a folyamatnak a vgtermke lehet egy olyan biztonsgi tmutat (vagyms nven
ellenrz lista), mely konkrt, specifiklt biztonsgi kontrollok gyjtemnyblll.
Termszetesen ebben az esetben a kontrollok fggnek az adatbzis-kezelrendszer tpustl,
verzijtl s a mkdsi krnyezet tulajdonsgaitl. Egy konkrt tpus sverzij
adatbzis-kezel rendszerhez adnak ki (gyrtk, illetve klnbz biztonsgiszervezetek)
ellenrz listkat, melyek a helyes telepts, konfigurls s mkdtetstechnikai s
mkdsi elemeit fogalmazzk meg. A COSO keretrendszer ltal meghatrozottelrsok
kategria az ltalnos adatbzis-biztonsgi tmutatk kontrolljaira jellemz, mga specifikus
adatbzis-biztonsgi ellenrz listk kontrolljai az eljrsok kategria al esnek.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
26/38
Az 1. bra osztlyozst tekintve megllapthatjuk (pldul [9] alapjn), hogy azadatbzisbiztonsgi kontrollok tbbsge a megelz tpusba tartozik. Idesorolhatjuk a teljessg
ignye nlkl az adatbzis-kezel rendszer konfigurcis kontrolljait, a
hitelestssel
kapcsolatos kontrollokat, a hozzfrsi jogosultsgokat szablyoz kontrollokatvagy a
titkosts szablyozst biztost kontrollokat. szlel kontroll kategrijbatartozik a log
menedzsment s elemzs, illetve az illetktelen hozzfrsek megfigyelsnekkezelse.
Helyreigazt kontrollok krbe az adatbzismentst s helyrelltst szablyozkontrollok
tartoznak. Az elrettent kontrollok az adatbzis-biztonsgi tmutatkra nemjellemzek, az
elrettents feladatt adminisztrcis mdszerekkel, intzkedsekkel lehetsgeskezelni.
Az adatbzis-biztonsgi kontrollok rendeltets szerint besorolhatk a kvetkezhrom
kategriba: technikai kontrollnak az adatbzis-kezel rendszerben megvalstottbiztonsgi
13
Kszlt az ISO 15408 Vdelmi fogalmak s kapcsolatrendszerk brjnakfelhasznlsval s kiegsztsvel
[25, 12.o.].111
belltsokat, mkdsi kontrolloknak az adatbzis-kezel rendszermkdtetsvel,
zemeltetsvel kapcsolatos, emberek ltal megvalstott eljrsokat,adminisztratv
kontrollnak pedig a szervezeti erforrsokkal kapcsolatos szervezeti elrsokat,eljrsokat
rtjk.
BIZTONSGI TMUTATK S KONTROLLOK SZEREPE
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
27/38
A BIZTONSG MEGVALSTSBAN
A biztonsgi tmutatk, kontrollok mint korbban mr tbbszrmegfogalmaztuk
kiemelt szerepet jtszanak az informatikai biztonsg megvalstsban, ennekkeretben az
informatikai biztonsg irnytsban, valamint szablyozsban. Akvetkezkben a
biztonsgi tmutatk, kontrollok helyvel, szerepvel, felhasznlsvalkapcsolatos nhny
alapvet krdst vizsglunk meg, ezen bell:
elemezzk a biztonsgi tmutatk, kontrollok helyt s szerept az
informatikai
biztonsg irnytsban;
meghatrozzuk a biztonsgi tmutatk, kontrollok helyt s szerept az informatikai
biztonsg szablyozsban;
vgl krvonalazzuk az adatbzis-biztonsgi tmutatk, kontrollok felhasznlsnak,
kialaktsnak s tovbbfejlesztsnek rendjt, feladatait.
Az informatikai biztonsg eredmnyes s hatkony megvalstsa kialaktsa sfolyamatos
fenntartsa informatikai biztonsgi irnytsi rendszer mkdtetst ignyli,amelynek
alapvet feladatai kz a kvetkezk tartoznak:
az informatikai biztonsgi kvetelmnyek meghatrozsa;
az informatikai biztonsgi kockzatok feltrsa, r tkelse;
az informatikai biztonsgi kontrollok (vdelmi megoldsok, intzkedsek)
kivlasztsa s megvalstsa;
az informatikai biztonsg helyzetnek figyelemmel ksrse, szksg esetn a
kvetelmnyek mdostsa, a kockzatok jra rtkelse s a vdelmiintzkedsek
jbli meghatrozsa, tovbbfejlesztse s kiegsztse. [1, 10. o.]
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
28/38
Az informatikai biztonsgi tmutatk, kontrollok a kockzatok feltrsban,rtkelsben
(risk identification, analysis, evaluation) mr szerepet jtszanak. Az tmutatkkzvetve
jrulnak hozz a kockzatok feltrshoz azzal, hogy ltalnostott mdon aztmutat
alkalmazsi terletre vonatkozan teljes kren tartalmaznak klnbzszint kontrollclkitzseket, amelyek felhasznlsa segthet kockzatokfelismersben. Emellett a
kockzatok alapjt a vdend erforrsok srlkenysgei s az ezeketkihasznlni kpes
fenyegetsek mellett a mr ltez vdelmi megoldsok, intzkedsek(kontrollok) is kpezik.
Ezek ugyanis megszntethetik, vagy cskkenthetik az erforrsok eredendsrlkenysgt,
korltozhatjk a fenyegetsek kros hatsait, ezzel befolysolhatjk akockzatokat.
Az informatikai biztonsgi tmutatk, kontrollok a kockzatok kezelsben (risktreatment)
alapvet szerepet jtszanak. Ennek sorn a kontrollok az egyik legfontosabbmegoldst
kpezik. Amennyiben a dntshozk nem a kockzatok felvllalst, elkerlst,vagy
thrtst vlasztjk, a kockzatok cskkentsre megfelel vdelmiintzkedseket kell
alkalmazniuk. [3, 42. o.] A vdelmi intzkedsek (kontrollok) kivlasztsnakalapvet
tmogatst a biztonsgi tmutatk nyjtjk, amelyek a bevlt gyakorlat alapjnltalnosan
megfogalmazott biztonsgi clkitzseket megvalst kontrollokat biztostanakalapknt a
konkrt clkitzseket megvalst kontrollok meghatrozshoz.Termszetesen vdelmi 112
intzkedsek (kontrollok) tmutatk nlkl is meghatrozhatak, ez azonban a
gyakorlatmeglv tapasztalatainak, eredmnyeinek figyelmen kvl hagyst jelenti.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
29/38
Az informatikai biztonsgi tmutatk, kontrollok a biztonsg helyzetnekrtkelsben is
felhasznlhatak. A szervezeti szint tmutatk, a bennk foglalt elrsokmegvalsulsnak
rtkelse referencia-alapot kpez a biztonsgi helyzet rtkelshez. Azltalnos (tbb
szervezetben is hasznosthat) tmutatk felhasznlsi lehetsge ktoldal.Egyrszt a
tapasztalatok alapjn frisstett tmutatk j kvetelmnyekre, sebezhetsgekres
megoldsokra hvhatjk fel az egyes szervezetek figyelmt, msrszt mivel abiztonsgi
helyzet folyamatos figyelemmel ksrse, illetve ennek klnbz megoldsaimaguk is
szerepelnek a kontrollok kztt konkrt tmutatst is tartalmaznak. Alegismertebb
tmutatk (kontroll-gyjtemnyek) mindegyikben megtallhatak afellvizsglatra,
rtkelsre irnyul kontrollok.
14
Az informatikai biztonsg szablyozsa ltalnos rtelemben az informatikaibiztonsghoz
kapcsold szablyok feladatok, felelssgi s hatskrk, elrsok skorltozsok meghatrozsa. Mint minden szablyozs, elssorban arendszeresen ismtld tevkenysgek
vgrehajtsnak eljrsi, szakmai, vagy technikai szablyait rgzti. A
szablyozs szintjttekintve lehet nemzetkzi, nemzeti, gazati (szakterleti), vagy szervezeti,emellett
megklnbztethetnk jogi s nszablyozst is. A szablyozshoz kapcsoldanfontos
szerepet jtszanak a szabvnyok is.
A biztonsgi tmutatk kzvetlen alkalmazsa nemzeti, gazati, vagy szervezetiszinten azt
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
30/38
jelenti, hogy az adott szablyoz a hatlya al tartoz szervezetek, szervezetielemek szmra
elrja kivlasztott tmutat(k)ban foglalt kontrollok, vagy azok egymeghatrozott rsznek
alkalmazst, megvalstst. Ezek az tmutatk nemzeti szinten a sajtfelgyelet
rdekben ltalban nemzeti szabvnyok, ajnlsok. Erre plda az Egyesltllamok
Szvetsgi Informcibiztonsgi Trvnye [22], amely a szvetsgi informatikairendszerekre
elrja a vonatkoz NIST dokumentumokban foglaltak alkalmazst. gazati(szakterleti)
szinten szintn tallkozhatunk kzvetlen hivatkozssal, pldul az ISO 27000szabvnycsald
egszsggyi informatikai tagja [23] az ISO 27002 tmutatra pt. Szervezetiszablyozsok
elrhatjk az alkalmazott rendszerekre, eszkzkre vonatkoz gyrti tmutatk
alkalmazst is.
A biztonsgi tmutatk kzvetett alkalmazsa esetben az adott szablyozkzvetlenl
nem hivatkozik tmutatra, ehelyett mintegy szakmai httranyagknt azabban (azokban)
foglaltak kerlnek felhasznlsra. Ennek sorn elssorban az tmutat(k)bantallhat
informatikai biztonsgi clkitzsek kontroll clkitzsek kerlnekfelhasznlsra,
mrlegelve az rintett terlet biztonsgi kockzatait s magas szint biztonsgiclkitzseit.
Ez a felhasznls egyarnt elfordulhat nemzeti, gazati s szervezeti szintszablyozsok
esetben.
A biztonsgi tmutatk minsgbiztostsi alkalmazsa a szablyozsbanelssorban bels
minsgellenrzsi s kls minsgtanstsi elrsokra pl. Az informatikaibiztonsg
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
31/38
terletn rgta lteznek minsgrtkelsi, tanstsi mdszertanok,szabvnyok, tmutatk.
Mg ezek korbban fggetlenek voltak a biztonsgi kontrollok gyjtemnyttartalmaz
tmutatktl, az ISO 27000 szabvnycsald esetben ez a kapcsolat mr kiplt,a kidolgozs
alatt ll szabvnyok egyike
15
kimondottan a biztonsgi kontrollokhoz kapcsoldik.
A biztonsgi tmutatk szablyozsi alkalmazsnak jellegzetes terletei kznemzeti
szinten mindenekeltt az e-kzigazgats, a vdelmi szfra s a kritikusinfrastruktra vdelem
tartozik. Jelents szablyozsi terlet a minstett adatok, illetve a szemlyesadatok vdelme
14
ISO 27002 [2]: 5.1.2, 6.1.8 s 15.2 kontrollok;
ISF SGOP [21]: SM3.5, SM7.1, CB5.4, CI5.5, NW4.5 s SD2.3 kontroll-csoportok(szekcik);
NIST 800-53 [17]: AU s CA kontroll-csaldok.
15
ISO 27008, Guidance for auditors on ISMS controls = tmutat ellenrkszmra a biztonsgi kontrollokhoz.113
is. Az gazati, szakterleti ezen bell mindenekeltt az infokommunikcisterleti
szablyozs alapvet jellemzje az nszablyozs, ltalban az ISO 27000szabvnycsaldnak
trtn megfelels. A pnzgyi szolgltatsokkal kapcsolatos magyarszablyozrendszer
pedig jelents mrtkben pt a COBIT mdszertanra. [24, 3. o.]
Az adatbzis-biztonsgi tmutatk felhasznlsa a fentiekkel sszhangban az
adatbzis
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
32/38
rendszerek biztonsgi kockzatainak feltrsban s kezelsben, az adatbzis-biztonsgi
kontrollok kivlasztsnak s alkalmazsnak folyamatban s a biztonsgiellenrzs,
biztonsgi audit folyamn lehetsges. Az adatbzis-biztonsgi tmutatktartalma kiterjed
tbbek kzt az adatbzis-kezel rendszer s mkdsi krnyezetnekbiztonsgos
belltsaira, az adatbzisok biztonsgos belltsaira, illetve a mkdsifolyamatok
biztonsgos kezelsre (pldul a felhasznlk menedzsmentjre, a hitelests,ments,
helyrellts, telepts s log elemzs folyamataira).
Jelenleg haznkban nemzeti szint adatbzis-biztonsgi szablyozs nem ltezik,a jvben
azonban az e-kzigazgats s a kritikus infrastruktra vdelem terletn szksglehet ennek
bevezetsre. A szerzk vlemnye szerint a jvben kialaktandi szablyozstrdemes
lenne a kvetkez tbbszint modell mentn felpteni.
A szablyozs egyik rszt kpezn a szervezet- s tevkenysg-fggetlenltalnos
adatbzis-biztonsgi tmutat, mely rendszablyok rendezett listja lenne. Azltalnos
adatbzis-biztonsgi tmutat keretszablyozst jelentene, az adatbzisrendszerek
zemeltetsre, teleptsre, konfigurlsra vonatkoz biztonsgi kontrollokatszervezet-,
tevkenysg- s termk-fggetlen mdon tartalmazn. A dokumentum mintakntszolglna a
szervezetek szmra a sajt adatbzis-biztonsgi tmutat elksztshez, melymr szervezet
s tevkenysg specifikusan tartalmazn a kvetelmnyeket, elrsokat. Aztmutat
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
33/38
nmagban nem egy ktelez erej jogszably lenne, helyt magyarviszonylatban a
Kzigazgatsi Informatikai Bizottsg ajnlsai kztt tudnnk elkpzelni.Hasznlatt viszont
meghatrozott szervezetek szmra egy kormnyrendelet elrendelhetn.
A szablyozs msik rsze szervezet specifikus dokumentumokbl llna. Aszablyozs
hatlya al es szervezetnek ki kellene dolgoznia a sajt ltalnos adatbzisbiztonsgi
tmutatjt az elz pontban lert tmutat adaptcijval. Ebben az adatbzisrendszerre
vonatkoz kvetelmnyeket sajt szervezetre vonatkoztatva kellenemegfogalmazni.
Tovbb a szervezetnek az ltalnos biztonsgi kvetelmnyeket t kellenefogalmaznia
konkrt biztonsgi kontrollok, ellenrzsi pontok halmazv, ami a sajtadatbzis-kezel
rendszerre s az aktulis mkdsi krnyezetre rvnyes, ez lenne a szervezetadatbzisbiztonsgi ellenrz listja. Ebbl a kt dokumentumbl plne fel a
szervezet adatbzisbiztonsgi szablyzata.
Az adatbzis-biztonsgi tmutatk felptsre a gyakorlatban klnbzpldkat
lthatunk. Egy ltalunk logikusnak vlt rendszerezs a biztonsgi kontrollokrendeltets
szerinti csoportostsra pl. Ezek alapjn megklnbztetjk a technikai, amkdsi s az
adminisztratv kontrollokat. Technikai kontrollnak az adatbzis-kezelrendszerben
megvalstott biztonsgi konfigurcis belltsokat, mkdsi kontrolloknak azadatbziskezel rendszer mkdtetsvel, zemeltetsvel kapcsolatoseljrsokat, adminisztratv
kontrollnak pedig a szervezeti erforrsokkal kapcsolatos elrsokat, eljrsokatrtjk.
SSZEGZS
Az informatikai biztonsgi tmutatk s a kapcsold dokumentumok (ellenrzlistk) az
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
34/38
informatikai biztonsg kialaktst s fenntartst szolgl vdelmi megoldsok,
rendszablyok s tevkenysgek kialaktsnak, illetve ellenrzsnek alapveteszkzei. Az
tmutatk f sszetevit a vdelmi megoldsok, intzkedsek, biztonsgikontrollok kpzik. 114
A szervezetek biztonsgi szablyozrendszere hrom szintre oszthat: felsszinten a
biztonsgi politika s stratgia, kzps szinten tfog s rszterletiszablyzatok, mg als
szinten a konkrt feladat- s szerepkrkre vonatkoz rszletes biztonsgieljrsok
tallhatak. A biztonsgi tmutatk a szervezetekben a kzpszintszablyozknak s az als
szint biztonsgi feladatoknak az tfog biztonsgi politika s biztonsgiclkitzsek alapjn
trtn kialaktst tmogatjk, segtik. A biztonsgi tmutatk ltalban tbbszervezet
szmra felhasznlhat mdon, azokon kvl kerlnek kidolgozsra.
A biztonsgi ellenrz listk a biztonsgi tmutatkban foglalt konkrtmegoldsok,
tevkenysgek megvalsulsnak ellenrzsre szolgl dokumentumok. Azinformatikai
biztonsgi terleten jelents szerepet jtszanak a biztonsgi konfigurcisellenrz listk,
amelyek adott informatikai termkek javasolt, biztonsgos belltsait, valamintaz
alkalmazott adminisztrcis megoldsokat, eljrsokat ellenrzik.
A biztonsgi tmutatk, ellenrz listk felhasznlsnak lehetsgei hromnagy terletbe
sorolhatak. (1) A biztonsgi intzkedsek kivlasztsa, kialaktsa sorn trtnfelhasznls
jelenti az alapvet felhasznlsi mdot, ahol a biztonsgi tmutatk elmletilegmegalapozott
s a bevlt gyakorlatra pl ltalnos clkitzs- s megolds-gyjtemnykntszolglnak.
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
35/38
(2) A szablyozs sorn trtn felhasznls kls elrsokhoz kapcsoldik.Ennek sorn a
szablyozs hatlya al tartoz szervezetek szmra elrjk, hogy mely vdelmi
megoldsokat, intzkedseket kell ktelez rvnnyel, vagy bizonyos felttelekfennllsnak
fggvnyben megvalstaniuk. (3) Az ellenrzs cljra trtn felhasznls abiztonsg
llapotnak ellenrzshez, fellvizsglathoz, illetve a meghatrozottkvetelmnyeknek
trtn megfelels rtkelshez kapcsoldik. A biztonsgi tmutatkbanfoglaltak az
ellenrzs, rtkels sorn etalonknt hasznlhatak fel annak megtlshez,hogy a
meghatrozott biztonsgi clkitzsekhez s kockzatokhoz megfelelek-e amegvalstott
vdelmi intzkedsek s megfelel mdon kerltek-e megvalstsra.
Az adatbzis-biztonsgi tmutatk az adatbzis rendszerek teleptsre,konfigurlsra,
zemeltetsre, illetve az adatbzis-kezel rendszer mkdsre kihat, azinformatikai
rendszer egyb sszetevire (opercis rendszer, hlzat, adatbzist elralkalmazsok)
vonatkoz biztonsgi kvetelmnyeket s biztonsgi kontrollokat tartalmazzk. A
dokumentumokat kt f csoportra oszthatjuk a bennk tallhat biztonsgikontrollok
ltalnos-rszletes jellege alapjn. Az egyik csoportot az ltalnos adatbzis-
biztonsgi
tmutatk alkotjk, melyek az adatbzis-kezel rendszer tpustl fggetlenlfogalmaznak
meg biztonsgi kvetelmnyeket. A msik csoportot az adatbzis-kezel rendszertpushoz
kszlt tmutatk alkotjk, melyek ltalban adatbzis ellenrz lista elnevezstviselik.
Az informatikai biztonsgi tmutatk sszetevit kpz biztonsgi kontrollok az
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
36/38
informatikai biztonsg kialaktsnak, fenntartsnak s rtkelsnek alapveteszkzei,
alapjt kpezik az informatikai biztonsgi irnyts klnbz mdszertannak.Informatikai
biztonsgi kontroll alatt az informatikai biztonsgi kockzatok elkerlst,elhrtst, vagy
minimlisra cskkentst szolgl vdelmi intzkedst (vintzkedst,ellenintzkedst)
rtnk. Az informatikai biztonsgi kontrollok a biztonsgi clkitzsek s akockzatok
elemzse, rtkelse alapjn kerlnek meghatrozsra, majd megvalstsra.Rendeltetsk a
kockzatok s ezzel a kros kvetkezmnyek bekvetkezsnek, illetvemrtknek
cskkentse.
Adatbzis-biztonsgi kontrollok alatt az adatok adatbzis rendszerekben trtntrolsval
kapcsolatos biztonsgi kockzatok elkerlst, elhrtst, vagy minimlisracskkentst
szolgl vdelmi intzkedseket rtjk.
Az ltalnos adatbzis-biztonsgi tmutatk technolgia- s megvalsts-fggetlen
ltalnos kontrollokat tartalmaznak. A biztonsg gyakorlati megvalstsa sornszksges az
tmutatban szerepl kontrollok rszletezse, kiegsztse, testre szabsa.Ennek a
folyamatnak a vgtermke lehet egy olyan biztonsgi tmutat vagy ms nvenellenrz 115
lista, mely konkrt, specifiklt biztonsgi kontrollok gyjtemnybl ll. Ekkor akontrollok
fggnek az adatbzis-kezel rendszer tpustl, verzijtl s a mkdsikrnyezet
tulajdonsgaitl.
A biztonsgi tmutatk, kontrollok szerepe az informatikai biztonsgmegvalstsban,
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
37/38
ennek keretben az informatikai biztonsg irnytsban, valamintszablyozsban kiemelt
jelleg. Az informatikai biztonsgi tmutatk, kontrollok szerepet jtszanak abiztonsgi
kockzatok feltrsban, rtkelsben. Az tmutatk kzvetve jrulnak hozz akockzatok
feltrshoz azzal, hogy tartalmaznak klnbz szint kontroll-clkitzseket,amelyek
felhasznlsa segthet a kockzatok felismersben. Az informatikai biztonsgitmutatk,
kontrollok a kockzatok kezelsben alapvet szerepet jtszanak. Ennek sorn akontrollok az
egyik legfontosabb megoldst kpezik. A vdelmi intzkedsek, kontrollokkivlasztsnak
alapvet tmogatst a biztonsgi tmutatk nyjtjk, amelyek a bevltgyakorlat alapjn
ltalnosan megfogalmazott biztonsgi clkitzseket megvalst kontrollokatbiztostanak
alapknt a konkrt clkitzseket megvalst kontrollok meghatrozshoz. Az
informatikai
biztonsgi tmutatk, kontrollok a biztonsg helyzetnek rtkelsben isfelhasznlhatak. A
szervezeti szint tmutatk, a bennk foglalt elrsok megvalsulsnakrtkelse
referencia-alapot kpez a biztonsgi helyzet rtkelshez.
Az adatbzis-biztonsgi tmutatk felhasznlsa az adatbzis rendszerek
biztonsgikockzatainak feltrsban s kezelsben, az adatbzis-biztonsgi kontrollokkivlasztsnak
s alkalmazsnak folyamatban s a biztonsgi ellenrzs, biztonsgi auditfolyamn
lehetsges. Az adatbzis-biztonsgi tmutatk tartalma kiterjed tbbek kzt azadatbziskezel rendszer s mkdsi krnyezetnek biztonsgos belltsaira,az adatbzisok
biztonsgos belltsaira, illetve a mkdsi folyamatok biztonsgos kezelsre(pldul a
-
8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK
38/38
felhasznlk menedzsmentjre, a hitelests, ments, helyrellts, telepts slog elemzs
folyamataira).
Jelenleg haznkban nemzeti szint adatbzis-biztonsgi szablyozs nem ltezik,a jvben
azonban az e-kzigazgats s a kritikus infrastruktra vdelem terletnszksges lehet
ennek bevezetsre.
Felhasznlt irodalom
[1] ISO/IEC 27000:2009 (E), I