Informatikai Tárcaközi Bizottság ajánlásai

Informatikai rendszerek biztonsági követelményei

Az állam- és közigazgatás területén egyre bonyolultabb és nagy kiterjedésû informatikai rendszerek alakulnak ki. Az intézmények tevékenységét és mûködését mind intenzívebben támogatják informatikai alkalmazások. Ezzel együtt emelkedik az informatikai biztonság szerepe és jelentõsége.

1995-ben a minisztériumokban lefolytatott informatikai biztonsági vizsgálatok után kezdõdött meg az informatikai rendszereinek biztonsági követelményeinek kidolgozása, amelynek az a célja, hogy az intézmények vezetésének és területen dolgozó szakértõknek információt nyújtson az egységes elveken nyugvó, az európai ajánlásokhoz igazodó, az informatikai biztonsággal kapcsolatos követelményekrõl és ajánlás szinten biztosítsa a hazai elõírásokat a szervezetek informatikai biztonságának megteremtéséhez.

Ez a dokumentum az Informatikai Tárcaközi Bizottság 1996. április 2-ai ülésén ajánlásként elfogadott informatikai biztonsági követelményeket tartalmazza. Az informatikai biztonság érvényre juttatásához a módszer összhangban van az informatikai stratégiai tervezés ajánlásaival, nevezetesen az Informatikai Tárcaközi Bizottság által korábban közzétett 2., 3., 4., és 5. sz. ajánlásokkal és az Informatikai Biztonsági Módszertani Kézikönyvvel címmel kiadott 8. sz. ajánlással. Ez az ajánlás tájékoztatást ad az intézmény (szervezet) vezetésének az informatikai biztonsággal kapcsolatos követelményekrõl és célja a szervezetek az egységes elveken nyugvó, az európai ajánlásokhoz igazodó informatikai biztonságának megteremtéséhez a hazai elõírások biztosítása. Az ajánlás szerinti megközelítés a közigazgatás egész területén javasolt.

Az I. fejezet a követelményrendszer helyét írja le az informatikai biztonságpolitika, stratégia, a biztonsági vizsgálatok és a védelmi intézkedések viszonylatában. Az informatikai biztonság fogalmának definiálása és egy rövid biztonsági modell leírás mutatja be azt az alapvetõ szemléletet, amelyet a dokumentum a késõbbiekben követ a követelményrendszer kialakításánál. A modell "középpontjában" a védendõ alapérték (amely esetünkben az adatok által hordozott információ) áll, amelyet az érték környezetét alkotó rendszerelemek vesznek körül. Általában a támadások a rendszerelemekre hatnak közvetlenül és az ezeken megvalósított védelem által realizált védelmi képességektõl függõen veszélyetetett a védendõ érték. A megvalósított védelemnek zártnak, teljes körûnek, a kockázatokkal arányosnak és idõben folyamatosan biztosítottnak kell lennie.

Egy szervezetnél az informatikai biztonsági rendszer kialakításának kezdeti fázisában kialakítandó a szervezet és az informatikai biztonság viszonyának elveit megfogalmazó biztonság politika, valamint védelmi rendszerre vonatkozó jövõkép és annak megvalósítási útját leíró biztonsági stratégia. Ezen dokumentumok képezik a kiindulási alapot a késõbbiekben a fizikai, a logikai és az adminisztratív védelmi rendszer tervezésének és megvalósításának.

A fejezet utolsó részében definiálásra kerülnek a konkrét fenyegetéseket általánosabban megfogalmazó alapfenyegetések:

• a bizalmasság elvesztése,
• a sértetlenség elvesztése,
• a hitelesség elvesztése,
• a rendelkezésre állás elvesztése,
• a funkcionalitás elvesztése.

Ezek elhárítása az általános védelmi célokként értelmezendõ.

Az alapfenyegetések figyelembe vételével az informatikai biztonsági követelmények felállítása két alapterületen törtét meg, az informatikai rendszerek információvédelme, illetve megbízható mûködése területein. Az információvédelem alapvetõen a bizalmasság, a sértetlenség és a hitelesség elvesztése elleni védelmet, a megbízható mûködés a rendelkezésre állás és a funkcionalitás elvesztése elleni védelmet foglalja magába.

A II. fejezet a követelményrendszert írja le, amelynek összeállításához kiindulási alapot képez a károsztályok és ennek alapján az adatokra vonatkozó biztonsági osztályok definiálása. A követelmények a következõ biztonsági osztályok szerint lettek csoportosítva:

• alap,
• fokozott,
• kiemelt.

Az informatikai biztonsági követelményrendszer kialakításánál az ide vonatkozó hazai jogszabályokat és a nemzetközi ajánlásokat - elsõ sorban az Európai Közösség (EK) ajánlásait - vettük figyelembe. A biztonsági osztályok definíciója után a nemzetközi ajánlások rövid áttekintése következik. Az EK által kiadott ITSEC ajánlásokon túlmenõen bizonyos szempontok figyelembe lettek véve az USA TCSEC, valamint az X/Open ajánlásokból is. A 12. sz. ajánlás és az ITSEC, illetve a TCSEC biztonsági osztályai között szoros megfelelés van, de a hazai viszonyok miatt kevesebb osztály került a jelenlegi verzióban meghatározásra.

Összefüggés a TCSEC, az ITSEC és a 12. sz. ajánlás biztonsági osztályai között
TCSEC	ITSEC	12. sz. ajánlás
B3	F-B3
B2	F-B2	KIEMELT
B1	F-B1	FOKOZOTT
C2	F-C2	ALAP
C1	F-C1

A nemzetközi és a hazai informatikai biztonsági osztályok definíciója közötti összhang nagy jelentõsséggel bír a biztonsági követelmények és az informatikai rendszerek és termékek késõbb bevezetendõ biztonsági minõsítésének harmonizálása szempontjából.

A fejezet további részében a követelmények részletes megfogalmazása olvasható a következõ struktúra szerint csoportosítva:

• információvédelem
  • alap biztonsági osztály (IV-A)
  • fokozott biztonsági osztály (IV-F)
  • kiemelt biztonsági osztály (IV-K)
• megbízható mûködés
  • alap biztonsági osztály (MM-A)
  • fokozott biztonsági osztály (MM-F)
  • kiemelt biztonsági osztály (MM-K)

Az információvédelem és a megbízható mûködés védelmi területek minden osztályában a következõ rendszerelem csoportok szerint lettek a követelmények rendszerezve:

• infrastruktúra,
• hardver,
• szoftver,
• adathordozók,
• dokumentumok és dokumentáció,
• adatok,
• kommunikáció, osztott rendszerek,
• személyek.

A III. fejezet a biztonsági követelmények alapján kifejtett intézkedések gyûjteményét tartalmazza, amelyek közül egy fontos adminisztratív védelmi intézkedést, az Informatikai Biztonsági Szabályzat (IBSz) kialakításának követelményeit és szempontjait is tárgyalja. Az intézkedések alapszintje két felfogásban is tárgyalásra kerül:

• alapvetõ intézkedések biztonsági szintenként,
• minimálisan érvényesítendõ általános intézkedések.

A továbbiakban az informatikai rendszert "körülvevõ" infrastruktúrára és magára az informatikai rendszerre vonatkozó biztonsági intézkedések lettek összeállítva. Az informatikai rendszert érintõ intézkedések három szempontból lettek összegyûjtve:

• általános intézkedések, amelyek az informatikai rendszer egészét átfogják,
• rendszerelemek szerint csoportosított intézkedések,
• intézkedések az adatfeldolgozás egyes fázisai (bevitel, tárolás, feldolgozás, adatátvitel, kiadás) szerint.

Külön pontok foglalkoznak az informatikai rendszert vagy annak környezetét érintõ katasztrófákra, a teljes rendszer mûködését megbénító zavarokra, illetve a legjellemzõbb informatikai típus-rendszerekre vonatkozó intézkedésekkel.

Az ITB 12. sz. ajánlását a A) függeléket képezõ szószedet és a B) függelékben összegyûjtött, az informatikai biztonságot érintõ jogszabály részletek zárják le.

Az Informatikai Rendszerek Biztonsági Követelményei c. ajánlás alkalmazása az államigazgatási szerveken kívül a közigazgatás területén is ajánlott. Az ajánlás az államigazgatási szervek informatikai rendszereinek felelõs vezetõi részére, valamint az információbiztonsággal napi szinten foglalkozó szakemberek részére egyaránt meghatározó követelményeket tartalmaz. Az ajánlásban megfogalmazott követelményrendszer helyi adaptálásához, a szükséges belsõ szabályzás kialakításához is megfelelõ szintû útmutatást tartalmaz.

Az ajánlás nem csak a közigazgatás területén hasznosítható, de mindazoknak hasznos információkkal szolgál, segítséget jelent, akik informatikai rendszereket fejlesztenek vagy üzemeltetnek, továbbá felelõs vezetõk az informatika vagy a biztonság területén.

Az Informatikai Rendszerek Biztonsági Követelményei c. ajánlás megrendelhetõ:

Kopint-Datorg
Ára:3200Ft+Áfa

Bevezetés

I. A BIZTONSÁGPOLITIKA ÉS A BIZTONSÁGI STRATÉGIA
1. AZ INFORMATIKAI BIZTONSÁG FOGALMA, TARTALMA ÉS HATÁRAI
	1.1. Az informatikai biztonság és a társdiszciplínák 
2. A BIZTONSÁGPOLITIKA MEGHATÁROZÁSA 
3. A BIZTONSÁGI STRATÉGIA MEGHATÁROZÁSA 
	3.1. Az informatikai rendszerek védelmi célkitűzései 
	3.2. Az érvényesítési területek kiválasztása és elhatárolása 
	3.3. Tervezési módszerek
	3.4. Minimális biztonsági követelmények meghatározása
	3.5. Biztonsági szabályzatok és előírások

II. INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYEK
4. A BIZTONSÁGI OSZTÁLYOK KIALAKÍTÁSÁNAK ALAPELVEI
	4.1. A biztonsági osztályok meghatározása. 
	4.2. Összefüggések az ajánlás és a nemzetközi dokumentumok által definiált biztonsági osztályok között
	4.3. Összekapcsolás osztott rendszerekben 
	4.4. A követelmények kialakításánál figyelembe vett szempontok
5. KÖVETELMÉNYEK AZ INFORMÁCIÓVÉDELEM TERÉN 
	5.1. Az adatok minősítése 
	5.2. Információbiztonsági osztályozás az információvédelem szempontjából 
	5.3. Az IV-A osztály
	5.4. Az IV-F osztály
	5.5. Az IV-K osztály
6. KÖVETELMÉNYEK A MEGBÍZHATÓ MŰKÖDÉS TERÉN 
	6.1. Információbiztonsági osztályozás a megbízható működés szempontjából 
	6.2. Az MM-A osztály
	6.3. Az MM-F osztály
	6.4. Az MM-K osztály

III. VÉDELMI INTÉZKEDÉSEK
7. BEVEZETÉS
8. IBSZ TERVEZET
	8.1. Általános rész 
	8.2. Intézkedések
		8.2.2. Minimálisan érvényesítendő általános intézkedések
		8.2.3. Intézkedések az informatikai rendszer környezetével kapcsolatban
		8.2.4. Intézkedések az informatikai rendszerrel kapcsolatban
		8.2.5. Intézkedések vészhelyzet-megelőzéssel kapcsolatban
		8.2.6. Intézkedések informatikai típusrendszerekkel (mintarendszerekkel) kapcsolatban

A) FÜGGELÉK: SZÓSZEDET
B) FÜGGELÉK: JOGSZABÁLYI MEGHATÁROZÁSOK AZ ADAT- ÉS TITOKVÉDELEM TERÜLETÉN