The ISO 27000 family (in Hungarian)
-
Upload
csaba-krasznay -
Category
Technology
-
view
1.434 -
download
2
description
Transcript of The ISO 27000 family (in Hungarian)
ISO 27000-es család
Krasznay Csaba
Bevezetés
Információbiztonsági Irányítási Rendszert (IBIR v. ISMS) létrehozni a fejlesztőnek és a megrendelőnek is fontos lehet.
A szabvány bemutatása során tehát két szempontot kell figyelembe venni: A megrendelő olyan szoftvert szeretne, ami
segít az IBIR követelményeinek megfelelni A fejlesztő olyan környezetet szeretne, ahol
nem kell félnie a kód kiszivárgásától, az adatvesztéstől, stb.
Ez utóbbit a Common Criteria is előírja
Mi az IBIR?
Az átfogó irányítási rendszernek az a része, amely – egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva – kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet.
Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat.
Mi az IBIR?
Az IBIR létrehozásának számos oka lehet: Törvénynek vagy szabályozásnak való megfelelés Az információ értéke olyan nagy, hogy nem lehet
védtelenül hagyni Külső nyomás (tulajdonosok, partnerek,
vásárlók) Ennél kevésbé nyilvánvaló okok is vannak:
Az információs rendszerek egyszerűbb kezelése Csökkenő költségek (bár ez elsőre nehezen
hihető)
Mi az IBIR?
IBIR-t bevezetni nem egyszerű, mert viszonylag sok idő kell ahhoz, hogy gördülékenyen
működjön (ld. ISO 9000) a bevezetés megakadhat a vállalaton belül
szervezeti változások miatt a támogatás, az anyagiak vagy az emberek kiesése miatt
A tapasztalat azt mutatja, hogy a nagyobb szervezeteknél szokott lenni IBIR-szerű szabályozás, ami viszont nem alkot összefüggő rendszert, hiányos lehet nem lehet tanúsítványt szerezni rá, ami bizonyos
esetekben fontos lehet.
A szabványról
Két részre bontható 1. rész : A Code of Practice for Information
Security Managementet (magyarul: Az informatikai biztonság menedzsmentjének gyakorlati kódexe)
2. rész: Specification for Information Security Management Systems. (Az informatikai biztonsági menedzsment rendszerének specifikációja)
Nemzetközileg elfogadott és széles körben elismert biztonsági szabvány
Definíció szerint „a legszéleskörűbb eljárások, melyek az információs biztonság legjobb gyakorlati megvalósítását szolgálják”.
A szabvány rövid története
Útmutató Követelmény
BS 7799-1:1995 BS 7799-2:1998
BS 7799-1:1999 BS 7799-2:1999
ISO/IEC 17799:2000 BS 7799-2:2002
ISO/IEC 17799:2005
ISO/IEC 27002:2005
MSZ ISO/IEC 17799:2006
ISO/IEC 27001:2005
MSZ ISO/IEC 27001:2006
ISO 27001
Nagyon rövid, mindössze 8 oldal a szabvány, a többi melléklet és szómagyarázat.
Leírja egy olyan modellt az IBIR-re, amivel azt elő lehet készíteni, meg lehet valósítani, működtetni lehet, ellenőrizni lehet, át lehet tekinteni, karban lehet tartani, és fejleszteni lehet.
Ez alapján tanúsítják az IBIR rendszereket.
ISO 27001
A Plan-Do-Check-Act modellt használja
ISO 27001
Tervezés (az ISMS kialakítása) Olyan IBIR-politika, -célok, -folyamatok és -eljárások kialakítása, amelyek lényegesek annak érdekében, hogy a kockázat kezelése és az információbiztonság fejlesztése a szervezet általános politikájával és céljaival összhangban lévő eredményeket tudjon felmutatni.
Végrehajtás (az ISMS bevezetése és működtetése)
Az IBIR-politika, -intézkedések, -folyamatok és -eljárások bevezetése és működtetése.
Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása)
A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az IBIR-politikával, -célokkal és a gyakorlati tapasztalatokkal összevetve, továbbá az eredmények jelentése a vezetésnek átvizsgálás céljából.
Beavatkozás (az ISMS fenntartása és fejlesztése)
Helyesbítő és megelőző tevékenységek végrehajtása a belső IBIR-átvizsgálás (audit) és vezetőségi átvizsgálás eredményei, illetve egyéb lényeges információk alapján az ISMS folyamatos fejlesztése érdekében.
ISO 27002
Jelentős változások történtek a szabvány megközelítésében
Korábban a CIA követelmények biztosítása volt a fókuszban
Az új szabvány az üzleti igényeket helyezi előtérbe Az információbiztonság az információ védelme a
széleskörű fenyegetésektől, hogy biztosítsák az üzleti folyamatok működésének folytonosságát, a lehető legkisebbre csökkentsék a kockázatot, és legnagyobbra növeljék a befektetési megtérülést és a működési lehetőségeket.
A védelem területei (ISO 27002 szerint)
Az ISMS kialakítása kockázatelemzéssel kezdődik!!! Szabályzati rendszer Biztonsági szervezet Vagyontárgyak kezelése Személyi biztonság Fizikai és környezeti biztonság Kommunikáció és üzemeltetés biztonsága Hozzáférés-ellenőrzés Információs rendszerek beszerzése, fejlesztése és
karbantartása Incidenskezelés Üzletmenet-folytonosság Megfelelőség
Az ISO 27000-es család további szabványai
A tervek szerint rövid időn belül kialakítják a szabvány teljes rendszerét
Ennek elemei a következők: 27000: IBIR alapok és szótár (stage 30.20) 27003: IBIR megvalósítási útmutató (még nem
kezdték el kialakítani) 27004: Az információbiztonság irányításának
mérése (stage 30.20) 27005: IBIR kockázatmenedzsment (stage 40.99) 27006: Az IBIR tanúsítást végző szervezetre
vonatkozó követelmények (megjelent: ISO/IEC 27006:2007)
Magyar vonatkozású hírek
Az ISO 27000-es család és a Common Criteria alapján készül a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás.
Ez valószínűleg a közigazgatás bizonyos részein kötelezően ajánlott lesz.
Tartalmazza az ISO 27001, ISO 27002 és ISO 27006 követelményeit is.
A készítők szándéka szerint sokkal gyakorlatiasabb lesz, mint a szabványszöveg.
Érdemes rá odafigyelni!
Az IBIR létrehozása
Az IBIR kialakítása előtt néhány fontos dolgot tisztázni kell: Az egész szervezetre érvényes legyen a
szabályozás, vagy csak egy részére? Az ISO 27002 mely elemeit akarjuk
szabályozni egyáltalán? Cél a tanúsítvány megszerzése? Ki vegyen részt a kialakításban a szervezet
részéről?
Az IBIR létrehozása
1. lépés: Tervezés Itt kell meghatározni az IBIR szabályait és céljait
Ezeknek összhangban kell lenniük az üzleti célokkal
Meg kell határozni az alkalmazási területét, a szabályzatát, a kockázatelemzés módszerét,
El kell végezni a kockázatelemzést Ez alapján azonosítani kell a kockázatokat, a
kockázatkezelés módszereit, valamint a védelmi intézkedéseket
Mindehhez meg kell szerezni a vezetés jóváhagyását és alkalmazhatósági nyilatkozatot kell tenni
A lehetséges védelmi intézkedések
A lehetséges védelmi intézkedések az ISO 27002-ből származnak.
Ez részletesen leírja, hogy az információbiztonság területén mit kell figyelembe venni.
A védelmi intézkedések felsorolásánál a már említett két nézőpontot alkalmazzuk: Mit tehetünk, ha fejlesztőként kell a saját
szervezetnél bevezetni a védelmi intézkedést? Mit tehetünk, ha szállítóként akarjuk támogatni
a partnerünket?
Biztonsági szabályzat
Információbiztonsági politika Cél: Vezetői iránymutatás és támogatás nyújtása az
információbiztonság a működés követelményeinek, valamint a vonatkozó törvényeknek és szabályozásnak megfelelően.
Az információbiztonsági szabályzat dokumentuma Intézkedés: A vezetésnek információbiztonsági
szabályzatot kell jóváhagynia, azt közzé kell tennie és ismertetnie kell valamennyi alkalmazottal és a megfelelő külső partnerekkel.
Az információbiztonsági szabályzat átvizsgálása Intézkedés: Az információbiztonsági szabályzatot
meghatározott időközönként, illetve lényeges változások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon.
Biztonsági szabályzat
Szoftveres támogatási lehetőség: A szabályzat egészét vagy egyes pontjait
folyamatosan, minden érintettnek közzétenni nehézkes.
A szöveg közzétételét segíthet az, ha szerepkörtől függően a szoftver folyamatosan emlékezteti a felhasználót a jogaira és kötelességeire.
A vezetőségi átvizsgáláshoz statisztikákat lehet nyújtani a későbbi védelmi intézkedések hatékonyságáról (pl. jelentett incidensek száma)
Az információbiztonság szervezete
Belső szervezet Cél: Az információbiztonság irányítása a szervezeten
belül. A vezetés elkötelezettsége az információbiztonság ügye
iránt Intézkedés: A vezetésnek világos iránymutatással,
elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül.
Az információbiztonság koordinálása Intézkedés: Az információbiztonsági tevékenységeket a
szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.
Az információbiztonság szervezete
Az információbiztonsági felelősségi körök kijelölése Intézkedés: Az információbiztonsággal összefüggő
valamennyi felelősségi kört egyértelműen meg kell határozni.
Jogosultsági engedélyezési folyamat az információ-feldolgozó eszközökre vonatkozóan Intézkedés: Folyamatot kell kialakítani és bevezetni
az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére.
Titoktartási megállapodások Intézkedés: Meg kell határozni, illetve
rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.
Az információbiztonság szervezete
Kapcsolattartás a felhatalmazott szervezetekkel Intézkedés: Megfelelő kapcsolatokat kell fenntartani
az illetékes felhatalmazott szervezetekkel. Kapcsolattartás speciális érdekcsoportokkal
Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal.
Az információbiztonság független átvizsgálása Intézkedés: A szervezetnek az információbiztonság
kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.
Az információbiztonság szervezete
Külső ügyfelek Cél: A szervezet külső felek, ügyfelek által
hozzáférhető, feldolgozott vagy részükre kommunikált, illetve általuk kezelt információk és információ-feldolgozó eszközök biztonságának fenntartása.
A külső ügyfelekkel összefüggő kockázatok azonosítása Intézkedés: Azonosítani kell a szervezet információit
és információ-feldolgozó eszközeit fenyegető kockázatokat, amelyek olyan működési folyamatokból származnak, amelyekben külső ügyfelek vesznek részt, ezekkel szemben megfelelő intézkedéseket kell hozni és érvényesíteni a hozzáférési jog megadása előtt.
Az információbiztonság szervezete
A biztonság kérdésének kezelése az ügyfelekkel való foglalkozás során Intézkedés: Foglalkozni kell valamennyi azonosított
biztonsági követelménnyel, mielőtt a szervezet hozzáférést biztosít információihoz, illetve vagyontárgyaihoz az ügyfelek számára.
A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban Intézkedés: A harmadik felekkel kötött
megállapodásoknak, beleértve a szervezet információihoz, illetve információfeldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információfeldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell.
Az információbiztonság szervezete
Szoftveres támogatási lehetőség: Az adatgazdák kijelölése ebben a fázisban
történik meg, ezt a jogosultságkezelésben kell a későbbiekben implementálni
A titoktartási szerződésben rögzített hozzáférési jogosultságokat és időket figyelembe kell venni
A hozzáféréssel kapcsolatos szabálysértésekről információt, statisztikát kell szolgáltatni
A megrendelőt folyamatosan értesíteni kell a szoftverben talált sérülékenységekről
Ebben a pontban határozhatják meg, hogy a szállítóval, mint harmadik féllel szemben milyen biztonsági követelmények vannak, amit vagy be kell tartani, vagy implementálni kell.
Vagyontárgyak kezelése
Felelősség a vagyontárgyakért Cél: Megfelelő védelem elérése és fenntartása a
szervezet vagyontárgyait illetően. Vagyonleltár
Intézkedés: Valamennyi vagyontárgyat egyértelműen azonosítani kell és valamennyi fontos vagyontárgyról leltárt kell felvenni és azt meg kell őrizni.
Vagyontárgyak kezelése
Vagyontárgyak tulajdonjoga Intézkedés: Valamennyi információt és az
információfeldolgozással összefüggő vagyontárgyat a szervezet meghatározott része kell birtokoljon.
Vagyontárgyak elfogadható használata Intézkedés: Szabályokat kell azonosítani,
dokumentálni és érvényesíteni az információk és az információfeldolgozással összefüggő vagyontárgyak elfogadható használatára vonatkozóan.
Vagyontárgyak kezelése
Információk osztályozása Cél: az információk megfelelő szintű védelmének
biztosítása Osztályozási elvek
Intézkedés: Az információkat értékük, a jogi előírások, a szervezet szempontjából képviselt érzékenységük és kritikusságuk szempontjából kell osztályozni.
Az információk jelölése és kezelése Intézkedés: Összhangban a szervezet által
elfogadott osztályozási rendszerrel, megfelelő eljárásokat kell kidolgozni és bevezetni az információk cimkézésére és kezelésére.
Vagyontárgyak kezelése
Szoftveres támogatási lehetőségek: Figyelembe kell venni, hogy a szállított
szoftver milyen biztonsági szintű vagyontárgynak minősül
Ezt a biztonsági szintet megfelelő címkézéssel kell biztosítani
A címkékkel ellátott információt a biztonsági szabályzat (pl. Bell-LaPadula, MAC, DAC) szerint kell kezelni.
Az emberi erőforrások biztonsága
Az alkalmazást megelőzően Cél: Annak biztosítása, hogy az alkalmazottak, a
szerződő felek és harmadik felek, mint felhasználók legyenek tisztában felelősségükkel, legyenek alkalmasak a nekik szánt feladatkörök betöltésére, valamint a lopásból, a csalásból, illetve az eszközökkel való visszaélésből származó kockázatok csökkentésére.
Feladat- és felelősségi körök Intézkedés : Az alkalmazottak, szerződő felek és
harmadik felek, mint felhasználók, biztonsággal összefüggő feladat- és felelősségi körét a szervezet információbiztonsági szabályzatával összhangban kell meghatározni és dokumentálni.
Az emberi erőforrások biztonsága
Átvilágítás Intézkedés: A vonatkozó törvényi, szabályozási és
etikai előírásoknak, az elérendő információ osztályozásának és az érzékelt kockázatoknak megfelelően, valamint a működés által megkívánt mértékben valamennyi állásra pályázó, szerződő vállalkozó, felhasználó harmadik fél tekintetében végzett igazoló háttérellenőrzések.
Alkalmazási kifejezések és feltételek Intézkedés: Szerződéses kötelezettségük
részeként, az alkalmazottaknak, szerződőknek és a felhasználó harmadik feleknek el kell fogadniuk és alá kell írniuk alkalmazási szerződésük feltételeit és kikötéseit, amelyeknek rögzíteniük kell az alkalmazottak és a szervezet információbiztonsággal kapcsolatos felelősségét.
Az emberi erőforrások biztonsága
Az alkalmazás időtartama alatt Cél: Annak biztosítása, hogy valamennyi
alkalmazott, szerződő vállalkozó és felhasználó harmadik fél legyen tudatában az információ biztonságát fenyegető veszélyeknek és nyugtalanító tényezőnek, saját felelősségének és kötelezettségeinek, továbbá, hogy legyenek felkészülve mindennapi munkájuk során a szervezet biztonsági politikájának támogatására, s az emberi hibából eredő kockázat csökkentésére.
A vállalatvezetés felelőssége Intézkedés: A vállalatvezetésnek meg kell
követelnie alkalmazottaitól, a szerződőktől és a felhasználó harmadik felektől, hogy a biztonságot a szervezet által meghatározott politikáknak és eljárásoknak megfelelően alkalmazzák.
Az emberi erőforrások biztonsága
Az információbiztonság tudatosítása, oktatás és képzés Intézkedés: A szervezet valamennyi
alkalmazottját és, ahol ez jelentőséggel bír, a szerződőket és a felhasználó harmadik feleit megfelelő, tudatosító képzésben kell részesíteni, és a munkaköri feladataiknak megfelelően a szervezeti szabályzatok és eljárások tekintetében rendszeresen friss ismeretanyaggal kell ellátni.
Fegyelmi eljárás Intézkedés: Hivatalos fegyelmi eljárást kell
lefolytatni a biztonsági előírásokat megsértő alkalmazottakkal szemben.
Az emberi erőforrások biztonsága
Az alkalmazás megszűnése, illetve megváltozása
Cél: annak biztosítása, hogy az alkalmazottak, szerződő és felhasználó harmadik felek szabályos módon váljanak meg egy szervezettől, illetve változtassanak munkahelyet.
Felelősségek az alkalmazás megszűnésekor Intézkedés: Egyértelműen meg kell határozni
és ki kell jelölni az alkalmazás megszüntetésekor, illetve megváltoztatásakor fennálló felelősségeket.
Az emberi erőforrások biztonsága
Vagyontárgyak visszaszolgáltatása Intézkedés: Valamennyi alkalmazottnak, a
szerződőknek és a felhasználó harmadik félnek vissza kell szolgáltatnia a szervezet valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik.
Hozzáférési jogok megszüntetése Intézkedés: Valamennyi alkalmazottnak, a
szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik, szerződésük, illetve megállapodásuk lejár, vagy azt módosulás esetén a változáshoz kell igazítani.
Az emberi erőforrások biztonsága
Szoftveres támogatási lehetőségek Az információbiztonsági képzést lehetőség
szerint támogatni kell a szállított alkalmazás biztonsági aspektusainak ismertetésével
Folyamatosan kell gyűjteni a szoftverben azokat a bizonyítékokat, melyek a szabálysértésekre utalnak
Egy felhasználó jogosultságait a lehető legkönnyebben és leghamarabb lehessen visszavonni.
Fizikai és környezeti biztonság
Területek védelme, biztosítása Cél: A szervezet helyiségeinek és információinak
védelme, a jogosulatlan, illetéktelen fizikai behatolás, károkozás és zavarkeltés megakadályozása.
Fizikai biztonsági határzóna Intézkedés: Azokon a területeken, ahol
információkat vagy információ-feldolgozó eszközöket tartanak, biztonsági határzónákat (lehatároló védfalakat, kártyával ellenőrzött beléptető kapukat, illetve személyzettel ellátott portaszolgálatot) kell alkalmazni e területek védelmére.
Fizikai és környezeti biztonság
Fizikai belépés ellenőrzése Intézkedés: A biztonsági területeket a belépés
megfelelő ellenőrzésével kell védeni, hogy e területekre csak a belépésre jogosultak juthassanak be.
Irodák, helyiségek és létesítmények védelme Intézkedés: Az irodák, helyiségek és létesítmények
fizikai védelmét ki kell alakítani és azt alkalmazni kell. Külső és környezeti veszélyekkel szembeni védelem
Intézkedés: Ki kell alakítani a tűzvész, áradás, földrengés, robbanás, polgári zavargás, valamint a természeti és ember által előidézett katasztrófák más formái által okozott károk elleni védelmet és azt alkalmazni kell.
Fizikai és környezeti biztonság
Munkavégzés biztonsági területeken Intézkedés: Ki kell alakítani és alkalmazni kell a
biztonsági területeken történő munkavégzésre vonatkozó fizikai védelmeket és irányelveket.
Közforgalmi bejutási pontok, szállítási és rakodási területek Intézkedés: A szállítási és rakodási területek belépési
pontjait, és egyéb olyan pontokat, amelyeken keresztül arra jogosulatlan egyének a helyiségekbe bejuthatnak, ellenőrizni kell, és lehetőség szerint, ezeket az illetéktelen hozzáférés megelőzése érdekében el kell különíteni az információ-feldolgozás létesítményeitől.
Fizikai és környezeti biztonság
Berendezések védelme Cél: A vagyontárgyak elvesztésének,
károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése.
Berendezések elhelyezése és védelme Intézkedés: A berendezéseket úgy kell elhelyezni,
illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége.
Közműszolgáltatások Intézkedés: A berendezéseket védeni kell a
közüzemi létesítményekben bekövetkező meghibásodások okozta áramkimaradásoktól és más kiesésektől.
Fizikai és környezeti biztonság
Kábelbiztonság Intézkedés: Az adatátvitelt bonyolító, illetve az
információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot védeni kell a lehallgatástól és a károsodástól.
Berendezések karbantartása Intézkedés: A berendezéseket előírásszerűen
karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.
Berendezések biztonsága a telephelyen kívül Intézkedés: A telephelyen kívüli berendezések
biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.
Fizikai és környezeti biztonság
Berendezések biztonságos selejtezése, illetve újrafelhasználása Intézkedés: Valamennyi olyan berendezést, amely
tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.
Vagyontárgyak eltávolítása Intézkedés: Berendezések, információk, illetve
szoftverek előzetes engedély nélkül nem vihetők ki a telephelyről.
Ezt a követelménytípust természetéből adódóan nem nagyon lehet szoftveresen támogatni.
Kommunikáció és üzemeltetés irányítása
Üzemeltetési eljárások és felelősségi körök Cél: Az információ-feldolgozó eszközök
előírásszerű és biztonságos üzemeltetésének biztosítása
Dokumentált üzemeltetési eljárások Intézkedés: Az üzemeltetési eljárásokat
dokumentálni kell és azokat karban kell tartani, és minden olyan felhasználó számára hozzáférhetővé kell tenni, akiknek arra szükségük van.
Változáskezelés Intézkedés: Az információ-feldolgozó eszközök és
rendszerek változtatásait szabályozni kell.
Kommunikáció és üzemeltetés irányítása
Feladatkörök, kötelezettségek elhatárolása Intézkedés: A feladatköröket és felelősségi
területeket szét kell választani a szervezet vagyontárgyai jogosulatlan, illetve nem szándékolt módosítása, illetve az azokkal való visszaélés lehetőségeinek csökkentése érdekében.
Fejlesztési, vizsgáló és üzemeltetési berendezések különválasztása Intézkedés: A fejlesztési, vizsgáló és üzemeltetési
berendezéseket egymástól külön kell választani az üzemelő rendszerekhez való jogosulatlan hozzáférés, illetve azok jogosulatlan módosítása kockázatainak csökkentése érdekében.
Kommunikáció és üzemeltetés irányítása
Harmadik felek szolgáltatásnyújtásának irányítása
Cél: Az információbiztonság és szolgáltatásnyújtás megfelelő szintjének bevezetése és fenntartása a harmadik felekkel kötött szolgáltatásnyújtási megállapodásokkal összhangban.
Szolgáltatásnyújtás Intézkedés: Biztosítani kell a harmadik felekkel
szolgáltatásnyújtására kötött megállapodásokban foglalt biztonsági intézkedések, szolgáltatás-meghatározások és szolgáltatásnyújtási szintek harmadik felek általi megvalósítását, működtetését és fenntartását.
Kommunikáció és üzemeltetés irányítása
Harmadik felek szolgáltatásainak figyelemmel kísérése és átvizsgálása Intézkedés: A harmadik felek által nyújtott
szolgáltatásokat, jelentéseket és feljegyzéseket rendszeresen figyelemmel kell kísérni és át kell vizsgálni, valamint rendszeres auditjukat is el kell végezni.
Harmadik felek szolgáltatásaival kapcsolatos változások kezelése Intézkedés: A szolgáltatások nyújtását, beleértve a
meglévő információbiztonsági szabályzatok, eljárások és ellenőrző intézkedések fenntartását és fejlesztését, érintő változásokat . az érintett működési rendszerek kritikusságára beleértve a folyamatokat és a kockázatok újraértékelését . kezelni kell.
Kommunikáció és üzemeltetés irányítása
Rendszertervezés és elfogadás Cél: A rendszerhibák kockázatának minimalizálása. Kapacitásmenedzselés
Intézkedés: A rendszer megkívánt teljesítőképességének biztosítása érdekében az erőforrások felhasználását figyelemmel kell kísérni, össze kell hangolni, valamint a jövőbeli kapacitásigényekre vonatkozóan előrejelzéseket kell készíteni.
Rendszerek elfogadása, átvétele Intézkedés: Ki kell alakítani az új információs
rendszerekre, a bővítésekre és az új változatokra vonatkozó elfogadási, átvételi kritériumokat és a fejlesztés során az átvétel előtt el kell végezni a rendszer(ek) megfelelő vizsgálatát.
Kommunikáció és üzemeltetés irányítása
Védelem a rosszindulatú és mobil kódok ellen Cél: A szoftver és az információ sértetlenségének
megóvása. Rosszindulatú kód elleni intézkedések
Intézkedés: A rosszindulatú kódok elleni védekezés érdekében észlelési, megelőzési és helyreállítási intézkedéseket kell megvalósítani, valamint a felhasználók részére megfelelő, tudatosító eljárásokat kell bevezetni.
Mobil kód elleni intézkedések Intézkedés: Ahol a mobil kód használata engedélyezett, a
konfigurációnak biztosítania kell, hogy az engedélyezett mobil kód az egyértelműen meghatározott biztonsági szabályzatnak megfelelően működjék, valamint a nem engedélyezett mobil kódot a használatból ki kell zárni.
Kommunikáció és üzemeltetés irányítása
Biztonsági mentés Cél: Az információk és az információ-feldolgozó
berendezések sértetlenségének és rendelkezésre állásának fenntartása.
Információk biztonsági mentése Intézkedés: Az információkról és a
szoftverekről biztonsági másolatokat kell készíteni és azokat rendszeresen vizsgálni kell a megállapított biztonsági mentési szabályzatnak megfelelően.
Kommunikáció és üzemeltetés irányítása
Hálózatbiztonság kezelése Cél: A hálózatokban lévő információk megóvásának és a
támogató infrastruktúra védelmének biztosítása. Hálózatok védelme
Intézkedések: A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani.
Hálózati szolgáltatások biztonsága Intézkedés: A biztonsági jellemzőket, a szolgáltatási
szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak.
Kommunikáció és üzemeltetés irányítása
Adathordozók kezelése Cél: Vagyontárgyak illetéktelen kiadásának,
módosításának, eltávolításának, vagy tönkretételének, valamint a működési tevékenységek megszakadásának megelőzése.
Az eltávolítható adathordozók kezelése Intézkedés: Az eltávolítható adathordozók
kezelésére megfelelő eljárásokat kell alkalmazni. Adathordozók selejtezése
Intézkedés: A feleslegessé vált adathordozókat hivatalos eljárásokkal védett módon és biztonságosan le kell selejtezni, vagy meg kell semmisíteni.
Kommunikáció és üzemeltetés irányítása
Információkezelési eljárások Intézkedés: Eljárásokat kell kialakítani az
információ kezelésére és tárolására, annak érdekében, hogy az ilyen információt a jogosulatlan feltárástól, vagy a visszaéléstől meg lehessen óvni.
Rendszerdokumentáció védelme Intézkedés: A rendszerdokumentációt védeni
kell a jogosulatlan hozzáféréstől.
Kommunikáció és üzemeltetés irányítása
Információcsere Cél: A szervezeten belül és bármilyen külső
entitással kicserélt információk és szoftverek biztonságának fenntartása.
Információcserére vonatkozó szabályzatok és eljárások Intézkedés: A cserét szabályzó hivatalos
irányelvek, eljárások és intézkedések legyenek készen a kommunikációs berendezések valamennyi típusának használatával megvalósuló információcsere védelme, biztonsága érdekében.
Megállapodások az információ- és szoftvercseréről Intézkedés: Megállapodásokat kell létrehozni a
szervezet és külső felek közötti információ- és szoftvercserére vonatkozóan.
Kommunikáció és üzemeltetés irányítása
Fizikai adathordozók szállítása Intézkedés: A szervezet fizikai határain túlra
történő szállításuk közben az információt tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, a visszaélésektől, illetve a megrongálástól.
Elektronikus üzenetek küldése/fogadása Intézkedés: Az elektronikus üzenetekben foglalt
információkat megfelelő módon védeni kell. Működési információs rendszerek
Intézkedés: Szabályzatokat és eljárásokat kell kidolgozni és bevezetni a működési információs rendszerek összeköttetésével kapcsolódó információk védelmére.
Kommunikáció és üzemeltetés irányítása
Elektronikus kereskedelmi szolgáltatások Cél: Az elektronikus kereskedelmi szolgáltatások
biztonságának és azok biztonságos használatának biztosítása. Elektronikus kereskedelem
Intézkedés: Az elektronikus kereskedelemben nyilvános hálózatokon áthaladó információkat meg kell óvni a tisztességtelen tevékenységtől, a szerződéses vitától, a jogosulatlan felfedéstől és módosítástól.
On-line tranzakciók Intézkedés: Az on-line tranzakciók információit védeni kell,
hogy megelőzhető legyen hiányos továbbításuk, téves kézbesítésük, az üzenetek jogosulatlan módosítása, jogosulatlan felfedése, az üzenetek jogosulatlan másolása, illetve megismétlése.
Nyilvánosan hozzáférhető információk Intézkedés: A nyilvánosan hozzáférhető rendszereken
elérhetővé tett információk épségét a jogosulatlan módosítás elkerülése érdekében meg kell védeni.
Kommunikáció és üzemeltetés irányítása
Figyelemmel követés (monitoring) Cél: A jogosulatlan információ-feldolgozó
tevékenységek észlelése. Audit naplózása
Intézkedés: A felhasználói tevékenységekről, kizárásokról, és az információbiztonsági eseményekről audit naplókat kell vezetni, és azokat meghatározott időtartamig meg kell őrizni a jövőbeli vizsgálatok és hozzáférés-ellenőrzés figyelése céljából.
Rendszerhasználat figyelése Intézkedés: Eljárásokat kell kialakítani az
információ-feldolgozó eszközök használatának figyelésére és a figyelemmel kísérés eredményeit rendszeresen át kell vizsgálni.
Kommunikáció és üzemeltetés irányítása
Naplóinformációk védelme Intézkedés: A naplózás berendezéseit és a naplóban
rögzített információkat meg kell védeni a szakszerűtlen kezeléstől és az illetéktelen hozzáféréstől.
Adminisztrátori és kezelői naplók Intézkedés: A rendszeradminisztrátori és
rendszerkezelői tevékenységeket naplózni kell. Hibák naplózása
Intézkedés: A hibákat naplózni és elemezni kell, és meg kell tenni a megfelelő beavatkozásokat.
Órajelek szinkronizálása Intézkedés: A szervezeten belül, illetve adott
biztonsági tartományban működő valamennyi érintett információ-feldolgozó rendszer órajelét szinkronizálni kell egy közösen megállapított pontos időforráshoz.
Kommunikáció és üzemeltetés irányítása
Szoftveres támogatási lehetőségek (szinte mindennel találkozni fogunk a CC-ben is): Megfelelő változáskezelést kell alkalmazni (pl.
verziószámokkal, dokumentumokkal) A követelményeknek megfelelő mérési adatokat
kell szolgáltatni (pl. a szükséges infrastruktúráról) Támogatni kell a víruskereső alkalmazások
működését A szoftverelemek védelmével (pl. DLL fájlok
integritásellenőrzése, adminisztrátori mód mellőzése) ki kell kerülni a kártékony kódok települését
Bármilyen külső fogadásánál kellő gondossággal kell eljárni (pl. frissítések digitális aláírása, ActiveX vezérlők védelme)
Kommunikáció és üzemeltetés irányítása
Saját vagy külső mentési megoldás támogatása vagy megvalósítása.
Titkosított hálózati adatcsatornák alkalmazása (pl. SSL)
Lehetőség szerint a cserélhető adathordozókra csak indokolt esetben lehessen információt kivinni.
A rendszer részletes rendszerdokumentációja ne legyen elérhető az interneten (kelljen hozzá pl. regisztráció)
Elektronikus aláírás és titkosítás használata a bizalmasság, sértetlenség és letagadhatatlanság biztosítására.
Kommunikáció és üzemeltetés irányítása
A tárolt és küldött e-mailek védelme. Az ismert sebezhetőségek kivédése az
adminisztratív és elszámolási rendszerekben, ahol az információ el van osztva a szervezet különböző részei között
VoIP beszélgetések rögzítése A naplóállományok védelme nem jogosult
felhasználóktól Címtárak használata a saját adatbázis helyett Az összes tranzakció rögzítése A címkézett információk kiszivárgásának
elkerülése
Kommunikáció és üzemeltetés irányítása
A naplóállományok tartalmazzák a felhasználó azonosítóját, a fő események időpontjait és részleteit, a belépési pontot, a sikeres és sikertelen erőforrás és adathozzáféréseket, a rendszerkonfiguráció változását, az adminisztrátori beavatkozásokat, a hozzáfért állományok listáját és a hozzáférés típusát, a hálózati címeket és protokollokat, a hozzáférési rendszer vészjelzéseit, és a védelmi rendszer ki-bekapcsolását.
Amennyiben nem lehetséges a naplóadatokat írni, a szoftver működését fel kell függeszteni
Hozzáférés-ellenőrzés
A hozzáférés-ellenőrzéshez fűződő működési követelmény
Cél: Az információkhoz való hozzáférés ellenőrzése. Hozzáférés-ellenőrzési szabályzat
Intézkedés: Dokumentált hozzáférés-ellenőrzési szabályzatot kell kialakítani és azt a hozzáférésre vonatkozó, működési és biztonsági követelmények alapján felül kell vizsgálni.
Felhasználói hozzáférés irányítása Cél: Az információs rendszerekhez való jogosult hozzáférés
biztosítása, illetve a jogosulatlan hozzáférés megakadályozása.
Felhasználók regisztrálása Intézkedés: Valamennyi információs rendszerhez és
szolgáltatáshoz való hozzáférés megadására és visszavonására hivatalos felhasználó regisztrálási és regisztráció megszüntetési eljárást kell alkalmazni.
Hozzáférés-ellenőrzés
Előjogok kezelése Intézkedés: Az előjogok kiosztását és használatát
korlátozni és ellenőrizni kell. Felhasználói jelszavak kezelése
Intézkedés: A jelszavak kiosztását hivatalos kezelési folyamattal kell ellenőrizni.
Felhasználói hozzáférési jogosultságok átvizsgálása Intézkedés: A vezetőségnek rendszeres
időközönként hivatalos folyamattal át kell vizsgálnia a felhasználói hozzáférési jogosultságokat.
Hozzáférés-ellenőrzés
Felhasználói felelősségek Cél: A jogosulatlan felhasználói hozzáférés, valamint az
információk és információ-feldolgozó eszközök megrongálásának, illetve eltulajdonításának megelőzése.
Jelszóhasználat Intézkedés: A felhasználóktól meg kell követelni, hogy a
jelszavak kiválasztásában és használatában a jó biztonság gyakorlatot kövessék.
Őrizetlenül hagyott felhasználói berendezések Intézkedés: A felhasználóknak biztosítaniuk kell az
őrizetlenül hagyott berendezések megfelelő védelmét. A „Tiszta asztal, tiszta képernyő” szabályzata
Intézkedés: Az iratok és eltávolítható adathordozók tekintetében a „tiszta asztal”, míg az információ-feldolgozó eszközök tekintetében a „tiszta képernyő” szabályzatát kell alkalmazni.
Hozzáférés-ellenőrzés
Hálózati szintű hozzáférés ellenőrzés Cél: A hálózatos szolgáltatásokhoz való jogosulatlan
hozzáférés megakadályozása Hálózati szolgáltatások használatára vonatkozó szabályzat
Intézkedés: A felhasználók csak azokhoz a szolgáltatásokhoz kaphassanak hozzáférést, amelyek használatára kifejezett jogosultságuk van.
Felhasználó hitelesítése külső csatlakozások esetén Intézkedés: A távoli felhasználók általi hozzáférés
ellenőrzésére megfelelő hitelesítési eljárásokat kell alkalmazni.
Berendezések azonosítása a hálózatokban Intézkedés: Az automatikus berendezésazonosítást úgy
kell tekinteni, mint a speciális helyekről és berendezésekről megvalósuló összeköttetések hitelesítési módját.
Hozzáférés-ellenőrzés
Távdiagnosztikai és konfigurációs portok védelme Intézkedés: A diagnosztikai és konfigurációs portokhoz való
fizikai és logikai hozzáférést ellenőrizni kell. Elkülönítés a hálózatokban
Intézkedés: Az információs szolgáltatások, a felhasználók és az információs rendszerek csoportjait el kell különíteni a hálózatokban.
Hálózathoz való csatlakozás ellenőrzése Intézkedés: Megosztott hálózatoknál, különösen azoknál,
amelyek a szervezet határain túlra nyúlnak, a hozzáférés-ellenőrzési szabályzattal és a működési alkalmazások követelményeivel összhangban, korlátozni kell a felhasználók hálózati csatlakozási képességeit
Hálózati útvonal ellenőrzése Intézkedés: A hálózatokban az útvonalellenőrzést kell
bevezetni annak biztosítására, hogy a számítógépes összeköttetések és az információáramlás ne sértsék a működési alkalmazásokra vonatkozó hozzáférés-ellenőrzési szabályzatot.
Hozzáférés-ellenőrzés
Operációs rendszer szintű hozzáférés-ellenőrzés
Cél: Az operációs rendszerekhez való jogosulatlan hozzáférés megelőzése
Biztonságos bejelentkezési eljárások Intézkedés: Az operációs rendszerekhez való
hozzáférést biztonságos bejelentkezési eljárásokkal kell ellenőrzés alatt tartani.
Felhasználó azonosítása és hitelesítése Intézkedés: Minden egyes felhasználónak saját
személyes és kizárólagos használatára szóló egyedi azonosítóval (felhasználó ID) kell rendelkeznie, és alkalmas hitelesítési technikát kell választani a felhasználó állítólagos azonosságának igazolására.
Hozzáférés-ellenőrzés
Jelszókezelő rendszer Intézkedés: A jelszavak kezelésére szolgáló
rendszereknek interaktív rendszereknek kell lenniük és jó minőségű jelszavakat kell biztosítaniuk.
Rendszer-segédprogramok használata Intézkedés: Korlátozni és szigorúan ellenőrizni kell a
rendszer segédprogramjainak használatát, amelyek alkalmasak lehetnek a rendszer- és alkalmazásellenőrzés megkerülésére.
Kapcsolati idő túllépése Intézkedés: Az inaktív összeköttetéseket meghatározott
időtartamú inaktivitás után bontani kell. Az összeköttetés idejének korlátozása
Intézkedés: A magas kockázatú alkalmazások kiegészítő biztonsága érdekében korlátozni kell az összeköttetés idejét.
Hozzáférés-ellenőrzés
Alkalmazás és információ szintű hozzáférés-ellenőrzés
Cél: Az alkalmazási rendszerekben tárolt információhoz való jogosulatlan hozzáférés megelőzése.
Információ hozzáférés korlátozása Intézkedés: Az információkhoz és az alkalmazási
rendszerek funkcióihoz való felhasználói és támogatószemélyzeti hozzáférést a kialakított hozzáférés-ellenőrzési szabályzattal összhangban korlátozni kell.
Érzékeny rendszerek elkülönítése Intézkedés: Az érzékeny rendszereknek egy erre
a célra létesített (elkülönített) számítógépes környezettel kell rendelkezniük.
Hozzáférés-ellenőrzés
Mobil számítógép használata és távmunka Cél: Az információbiztonság megőrzése mobil
számítógép használatra és távmunka végzésére szolgáló berendezések használata esetén
Mobil számítógép használata és kommunikáció Intézkedés: Hivatalos szabályzatnak kell hatályban
lennie és megfelelő biztonsági intézkedéseket kell elfogadni a mobil számítógép használatából és a mobil kommunikációs berendezések használatából eredő kockázatok elleni védekezés.
Távmunka Intézkedés: A távmunkában folytatott
tevékenységekre szabályzatot, üzemeltet ési terveket és eljárásokat kell kidolgozni és megvalósítani.
Hozzáférés-ellenőrzés
Szoftveres támogatási lehetőségek: A felhasználók egyedileg azonosíthatók
legyenek Legkisebb jogosultság elvének alkalmazása A jogosultságok úgy legyenek kiosztva, hogy a
feladatok szétválasztásának elve megvalósuljon Tartsák be a jelszavakra vonatkozó előírásokat Adott idejű inaktivitás után léptessék ki a
felhasználót Oldják meg a távoli felhasználók azonosítását
is (pl. tanúsítvánnyal) Követeljék meg a tűzfalak használatát
Hozzáférés-ellenőrzés
Ne látszódjon a jelszó begépeléskor Ne legyen segítség a jelszó kitalálásához Ne látszódjon, hogy a rossz jelszó
begépelésekor a felhasználó mit rontott el A sikertelen belépési kísérletek között
exponenciálisan növekvő idő teljen el Látszódjon az előző sikeres belépési kísérlet
ideje, és a sikertelen belépések száma A hálózaton ne küldjenek át jelszavakat (SSL
vagy hash használata javasolt)
Hozzáférés-ellenőrzés
Tegyék lehetővé a felhasználóknak a saját jelszavuk megváltoztatását
Ne engedjék a korábbi jelszavak használatát egy meghatározott ideig
A jelszavakat lenyomat formájában tárolják A felhasználók jogosultságait egyesével vagy
szerepkörönként lehessen állítani
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Információs rendszerek biztonsági követelményei Cél: Annak biztosítása, hogy a biztonság az információs
rendszerek szerves részét képezze. Biztonsági követelmények elemzése és meghatározása
Intézkedés: Az új információs rendszerekre, vagy a meglévő információs rendszerek bővítéseire vonatkozó működési követelményekben kell meghatározni a biztonsági intézkedések követelményeit.
Helyes információfeldolgozás az alkalmazásokban Cél: Az információs tévedések, az információk elvesztésének,
jogosulatlan módosításának, illetve az információkkal való visszaélések elkerülése az alkalmazásokban.
Bemenő adatok érvényesítési ellenőrzése Intézkedés: Az alkalmazások bemenő adatait érvényesíteni
kell annak érdekében, hogy azok helyesek és megfelelőek legyenek.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Belső feldolgozás ellenőrzése Intézkedés: Az alkalmazásokba érvényesítési
ellenőrzéseket kell beépíteni, hogy észlelni lehessen az információk feldolgozási hibákból, vagy szándékos cselekedetekből fakadó bármilyen sérülését.
Üzenetek sértetlensége Intézkedés: A hitelesség biztosítása és az
alkalmazásokban az üzenetek sértetlenségének védelme érdekében meg kell határozni az alkalmazásokat, valamint azonosítani kell és meg kell valósítani a megfelelő védelmeket.
Kimenő adatok ellenőrzése Intézkedés: Egy alkalmazásból kimenő adatokat
érvényesíteni kell annak érdekében, hogy a tárolt információk feldolgozása helyes és a körülményeknek megfelelő legyen.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Titkosítási intézkedések Cél: Az információ bizalmasságának, hitelességének,
valamint sértetlenségének védelme titkosítási eszközökkel.
Titkosítási eljárások használatára vonatkozó szabályzat Intézkedés: Az információk védelme érdekében ki
kell alakítani és alkalmazni kell a titkosítási eljárások használatára vonatkozó szabályzatot.
Kulcsirányítás Intézkedés: Kulcsirányítást kell alkalmazni, amely
támogatja a szervezetnél a titkosítási technikák használatát.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Rendszerfájlok biztonsága Cél: A rendszerfájlok biztonságának garantálása. Üzemelő szoftverek ellenőrzése
Intézkedés: Eljárásokat kell érvényesíteni a szoftvereknek az üzemelő rendszerekre történő telepítésének ellenőrzésére.
Rendszervizsgálat adatainak védelme Intézkedés: A vizsgálati adatokat gondosan kell
kiválasztani, valamint azokat védeni és ellenőrizni kell.
Programok forráskódjához való hozzáférés ellenőrzése Intézkedés: A programok forráskódjához való
hozzáférést korlátozni kell.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Biztonság a fejlesztési és támogató folyamatokban Cél: Az alkalmazási rendszerek szoftverei és információi
biztonságának fenntartása. Változás-szabályozási eljárások
Intézkedés: A változtatások megvalósítását hivatalos változás-szabályozási eljárások használatán keresztül, ellenőrzés alatt kell tartani.
Alkalmazások műszaki átvizsgálása az üzemelő rendszerek megváltoztatását követően Intézkedés: Amikor üzemelő rendszerekben történik
változtatás, a működés szempontjából kritikus alkalmazásokat át kell vizsgálni és le kell vizsgálni, annak biztosítása érdekében, hogy a változtatás ne legyen hátrányos hatással a szervezet működésére, illetve a biztonságra.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Szoftvercsomagok megváltoztatásának korlátozásai Intézkedés: A szoftvercsomagok módosítását
vissza kell szorítani, azt a szükséges változtatásokra kell korlátozni, és valamennyi változtatást szigorúan ellenőrizni kell.
Információk kiszivárgása Intézkedés: Meg kell előzni az információk
kiszivárgásának lehetőségeit. Kiszervezett szoftverfejlesztés
Intézkedés: A szervezetnek felül kell vizsgálnia figyelemmel kell kísérnie a kiszervezett szoftverfejlesztést.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Műszaki sebezhetőség kezelése Cél: A nyilvánosságra került műszaki
sebezhetőségek kiaknázásából származó kockázatok csökkentése.
A műszaki sebezhetőségek ellenőrzése Intézkedés: Az alkalmazásban lévő információs
rendszerek műszaki sebezhetőségeiről aktuális információkat kell beszerezni, elemezni kell a szervezetnek az ilyen sebezhetőségekkel szembeni kiszolgáltatottságát és megfelelő intézkedéseket kell hozni az ezzel járó kockázatok kezelésére.
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Szoftveres támogatási lehetőségek: Ez a pont elvégezhető az ISO 12207
előírásaival összhangban Használják az inputvalidáció jógyakorlatait
(pl. OWASP a webes alkalmazásoknál) A tárolt adatok sértetlenségét rendszeresen
ellenőrizni kell (pl. lenyomatok segítségével) Az adatokat csak előre meghatározott módon
lehessen módosítani, bővíteni vagy törölni Kivételkezelések az adott nyelv ajánlásainak
megfelelően
Információs rendszerek beszerzése, fejlesztése és
fenntartása
Védelem a puffertúlcsordulás ellen Failsafe működése Beépített kontrollok alkalmazása (pl. egyenlegek
ellenőrzése) Titkosítás használata az érzékeny vagy mobil
eszközön is jelenlevő adatokra A kriptográfiai kulcsok életciklusának
támogatása, amennyiben az szükséges Ne legyen felhasználók által elérhető fejlesztési
lehetőség a szoftverben (pl. makró) A forráskódok ne legyenek elérhetők a
felhasználók számára
Információs rendszerek beszerzése, fejlesztése és
fenntartása
A szoftverfejlesztő és a megrendelő között a szabvány szerint tisztázni kell a következő pontokat: licenc-szerződéseket, kód-tulajdonjogot és
szellemi tulajdonjogokat; a végzett munka minőségének és pontosságának a
tanúsítását; a harmadik fél hibája esetén szükséges
kötelezvényeket; hozzáférési jogokat az elvégzett munka
minőségének és pontosságának auditjához; szerződéses követelményeket a kód minőségi és
biztonsági funkcionalitására; telepítés előtt vizsgálatot a rosszindulatú és
beültetett kód felfedéséhez.
Információbiztonsági incidensek kezelése
Információbiztonsági események és gyengeségek jelentése
Cél: Annak biztosítása, hogy az információs rendszerekkel összefüggő információbiztonsági események és gyengeségek kommunikálása olyan módon történjék, ami időben lehetővé teszi a szükséges helyesbítő intézkedések megtételét.
Információbiztonsági események jelentése Intézkedés: Az információk biztonságát érintő
eseményeket megfelelő vezetői csatornákon keresztül a lehető leggyorsabban jelenteni kell.
Biztonsági gyenge pontok jelentése Intézkedés: Az információs rendszereket és
szolgáltatásokat használó valamennyi alkalmazottól, szerződő vállalkozótól és harmadik féltől meg kell követelni, hogy jegyezze fel és jelentse a rendszerekben, illetve szolgáltatásokban észlelt, vagy feltételezett bármiféle gyenge pontot.
Információbiztonsági incidensek kezelése
Információbiztonsági incidensek és javító fejlesztések kezelése
Cél: Annak biztosítása, hogy az információbiztonsággal összefüggő incidenseket következetes és hatékony megközelítéssel kezeljék.
Felelősségek és eljárások Intézkedés: Az információbiztonsági incidensekre
történő gyors, hatékony és szabályszerű válasz biztosítása érdekében rögzíteni kell a vezetői felelősségeket és eljárásokat.
Tanulságok levonása az információbiztonsági incidensekből Intézkedés: Olyan mechanizmusok legyenek, amelyek
lehetővé teszik az információbiztonsági incidensek és a hibás működések típusainak, mennyiségének és költségének számszerűsítését és figyelemmel kísérését.
Információbiztonsági incidensek kezelése
Bizonyítékok gyűjtése Intézkedés: Ha egy információbiztonsági
incidenst követően egy személlyel, vagy szervezettel szemben indított nyomon-követési beavatkozás (akár polgári, akár büntetőjogi) jogkövetkezménnyel jár, a bizonyítékokat a bizonyításra vonatkozó törvény(ek)ben lefektettek jogszabályoknak megfelelően kell gyűjteni, megőrizni és bemutatni.
Információbiztonsági incidensek kezelése
Szoftveres támogatási lehetőségek A szoftver támogassa a problémák
felderítését debug információk szolgáltatásával, melyhez csak kritikus esetben lehet hozzáférni
A szállító készítsen olyan dokumentációt, ami segíti a kivizsgáláshoz szükséges adatok kinyerését
Legyen olyan naplózási funkció, ami a szokásostól eltérő használat esetén riasztást küld
Működés folytonosságának irányítása
A működés folytonossága irányításának információbiztonsági szempontjai
Cél: A működési tevékenységek fennakadásainak kivédése, a kritikus működési folyamatok megvédése az információs rendszerek nagyobb meghibásodásainak hatásaitól, illetve a rendszerkatasztrófáktól, valamint azok időben történő újraindításának biztosítása.
Az információbiztonság belefoglalása a működésfolytonosság irányításának folyamatába Intézkedés: A szervezet működése folytonosságához
szükséges információbiztonsági követelményekkel foglalkozó, a szervezet egészét átható, irányított folyamatot kell kialakítani és fenntartani.
Működésfolytonosság és kockázatfelmérés Intézkedés: Azokat az eseményeket, amelyek a működési
folyamatok megszakadását okozhatják, azonosítani kell az ilyen megszakadások valószínűségével és hatásaival, valamint az információbiztonságot érintő következményeivel együtt.
Működés folytonosságának irányítása
Az információbiztonságot magukban foglaló folytonossági tervek kidolgozása és megvalósítása
Intézkedés: A kritikus működési folyamatok megszakadását, vagy meghibásodását követően a működés fenntartása illetve helyreállítása, valamint az információk elvárt szinten és időtávon belüli rendelkezésre állásának biztosítása érdekében terveket kell kidolgozni és megvalósítani.
A működés folytonosságának tervezési keretrendszere Intézkedés: Egységes keretrendszert kell fenntartani a
működésfolytonossági tervekhez annak biztosítása érdekében, hogy a tervek egymással összhangban legyenek, következetesen kezeljék az információbiztonsági követelményeket, és állapítsák meg a vizsgálatokra és fenntartásra vonatkozó prioritásokat.
Működésfolytonossági tervek vizsgálata, fenntartása és újraértékelése
Intézkedés: A működésfolytonossági terveket rendszeresen vizsgálni és frissíteni kell, hogy naprakészek és hatásosak legyenek.
Mivel ez elsősorban szervezeti, szabályozási kérdés, nem szükséges támogatást nyújtani a szoftverből
Követelményeknek való megfelelés
Jogi követelményeknek való megfelelés Cél: Bármilyen jogi, törvényben meghatározott, szabályozási,
vagy szerződéses kötelezettség, továbbá bármely biztonsági követelmény megsértésének elkerülése.
Az alkalmazandó jogszabályok megállapítása Intézkedés: Minden egyes információs rendszerre és
szervezetre egyértelműen meg kell határozni, dokumentálni kell és naprakészen kell tartani valamennyi vonatkozó, törvényben meghatározott, szabályozási és szerződéses kötelezettséget, valamint azt, hogy a szervezet miként tesz eleget e követelményeknek.
Szellemi tulajdonjogok (angol rövidítéssel: IPR) Intézkedés: Megfelelő eljárásokat kell bevezetni a
jogszabályi, szabályozási és szerződéses kötelezettségeknek való megfelelés biztosítására szellemi tulajdonjogokhoz esetleg köthető anyagok, valamint szellemi tulajdont képező szoftvertermékek felhasználása során.
Követelményeknek való megfelelés
Szervezeti feljegyzések védelme Intézkedés: A törvényben meghatározott, szabályozási,
szerződéses és működési követelményekkel összhangban a fontos feljegyzéseket meg kell óvni az elveszéstől, a megsemmisüléstől és a meghamisítástól.
Adatvédelem és a személyes adatok titkossága Intézkedés: A vonatkozó törvényi előírásokban,
jogszabályokban, és ahol alkalmazható, a szerződéses kikötésekben rögzített követelményeknek megfelelően biztosítani kell az adatok védelmét és bizalmasságát.
Információ-feldolgozó berendezésekkel való visszaélések megelőzése Intézkedés: Meg kell akadályozni, hogy a felhasználók az
információ-feldolgozó berendezéseket jogosulatlan célokra használják.
Titkosítási eljárások szabályozása Intézkedés: A titkosítási eljárásokat valamennyi vonatkozó
megállapodás, törvény és jogszabály betartásával kell alkalmazni.
Követelményeknek való megfelelés
Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség
Cél: Annak biztosítása, hogy a rendszerek megfelelnek a szervezet biztonsági politikáinak és szabványainak.
Megfelelés a biztonsági szabályzatoknak és szabványoknak Intézkedés: A vezetőknek biztosítaniuk kell, hogy
felelősségi területükön belül valamennyi biztonsági eljárást előírásszerűen, a biztonsági szabályzatoknak és szabványoknak való megfelelés elérésével hajtsanak végre.
Műszaki megfelelés ellenőrzése Intézkedés: Az információs rendszereket
rendszeresen ellenőrizni kell, hogy megfelelnek-e a biztonság megvalósítására vonatkozó szabványoknak.
Követelményeknek való megfelelés
Információs rendszerek auditálásának szempontjai
Cél: Az információs rendszerek átvizsgálási folyamata eredményességének maximalizálása és a folyamatot érő vagy az általa okozott zavarok minimalizálása.
Információs rendszerek auditjával kapcsolatos intézkedések Intézkedés: Az auditálásra és a működő rendszerek
ellenőrzéseit is magukban foglaló tevékenységekre vonatkozó követelményeket gondosan meg kell tervezni és azokat egyeztetni kell, hogy a működés megszakadásának kockázata minimális legyen.
Információs rendszerek auditeszközeinek védelme Intézkedés: Az információs rendszerek auditálására
szolgáló eszközöket védeni kell minden esetleges visszaéléstől, illetve rongálástól.
Követelményeknek való megfelelés
Szoftveres támogatás lehetőségei Világos licenszelési feltételek kialakítása Megfelelő másolásvédelmi megoldás
implementálása Az adott ország adatvédelmi törvényeinek
való megfelelés biztosítása Figyelembe kell venni más szabályok
előírásait (pl. PCI DSS) Külső fél bevonásával sérülékenység-
elemzést lehet végeztetni
Vissza az IBIR létrehozásához
2. lépés: Végrehajtás Az IBIR bevezetése és működtetése
Az IBIR bevezetésénél a szervezetnek Kockázatjavítási tervet kell készítenie Be kell vezetnie a védelmi intézkedéseket Mérni a hatékonyságot Biztonsági tudatossági oktatásokat kell tartania Irányítania kell az IBIR-t és ennek erőforrásait Az incidensek kezelését folyamatosan kézben
kell tartani
Vissza az IBIR létrehozásához
3. lépés: Ellenőrzés Az IBIR figyelemmel kísérése és átvizsgálása Nincs állandó biztonság, nincs változatlan
szervezet, ezért ezt a lépés nem szabad elhanyagolni!
A szervezetnek el kell végeznie: Az eljárások átnézését A hatékonysági mérések eredményeinek
értékelését A kockázatelemzés rendszeres időközönként Belső IBIR auditokat A biztonsági tervek frissítését
Vissza az IBIR létrehozásához
4. lépés: Beavatkozás Az ISMS fenntartása és fejlesztése
A szervezetnek a következő tevékenységeket kell végrehajtania: A 3. lépésben tett megállapítások megvalósítása A saját és más szervezeteknél felgyűlt
tapasztalatok alapján helyesbítő és megelőző lépéseket kell tennie
Az érintetteket tájékoztatnia kell a változásokról Biztosítani kell, hogy a fejlesztések célt érjenek
Dokumentálási követelmények
A szabvány tartalmazza, hogy milyen dokumentumokat kell létrehozni.
Amennyiben a szervezet tanúsítványt akar szerezni, a megfelelő dokumentációk elkészítése elengedhetetlenül fontos
A tanúsítás nagyrészt a dokumentumok átnézését jelenti.
Menedzsment követelmények
A szabvány számtalan menedzsment feladatot határoz meg
A vezetésnek ezért meg kell értenie, el kell fogadnia és támogatnia kell az IBIR kialakítását
A menedzsment támogatása nélkül nincs igazi értelme az IBIR bevezetésének