ITB Ajanlasok
Miniszterelnöki Hivatal
Informatikai Koordinációs Iroda

Informatikai Tárcaközi Bizottság ajánlásai

Informatikai biztonsági módszertani kézikönyv

8. sz. ajánlás
Budapest, 1994


A közigazgatás korszerûsítésérôl szóló 1026/1992. (V.12.) Korm. határozat a közigazgatási informatika fejlesztésével összefüggô konkrét feladatokat fogalmazott meg. Ehhez kapcsolódóan a központi államigazgatási szervek informatikai fejlesztéseinek koordinálásáról szóló 1039/1993. (V.21.) Korm. határozat a következôket írja elô:

"Az informatika területén az Európai Közösség elôírásaihoz igazodó kormányzati ajánlásokat kell kibocsátani, amelyek az államigazgatási informatikai fejlesztéseknél irányadók. Az ajánlásoknak biztosítaniuk kell a "nyílt rendszer" elv érvényesítését, informatikai stratégiai tervek készítését, a tervezéshez minôségjavító módszerek bevezetését, a biztonsági és adatvédelmi követelmények fokozott érvényrejuttatását, a beszerzések megalapozottságának javítását.

Felelôs: Informatikai Tárcaközi Bizottság elnöke."

A kormányhatározatban elôírtak alapján az Informatikai Tárcaközi Bizottság által elfogadott kormányzati ajánlásokat a Miniszterelnöki Hivatal Informatikai Koordinációs Irodája teszi közzé.

Ez a dokumentum az Informatikai Tárcaközi Bizottság 1994. március 31-i ülésén a mellékletekkel együtt ajánlásként elfogadott informatikai biztonsági módszer útmutatóját tartalmazza. Az informatikai biztonság érvényrejuttatásához a módszer összhangban van az informatikai stratégiai tervezés ajánlásaival, nevezetesen az Informatikai Tárcaközi Bizottság által korábban közzétett 2., 3., 4., és 5. sz. ajánlásokkal. Az intézmény-szervezet informatikai biztonsági koncepcióját létrehozó projektjét célszerû összekapcsolni az informatikai stratégiai tervezés projektjének végrehajtási ciklusával, figyelembe véve a jelen ajánlásból is kitûnô kölcsönös egymásra utaltságot. A kézikönyv tájékoztatja az intézmény-szervezet vezetôségét az informatikai biztonság megteremtésének legfontosabb elemeirôl és célja felkészíteni a szervezetet az informatikai biztonsági koncepciójának kialakítására. A biztonsággal kapcsolatos legfontosabb tudnivalók, valamint az informatikai biztonság és a szervezet összbiztonsága közötti összefüggések meghatározó elemei a kézikönyvhöz csatolt mellékletekben találhatók meg. Az ajánlás szerinti megközelítés a közigazgatás egész területén javasolt.

Készült a brit kormány informatikai központja és az északrajna-vesztfáliai kormány informatikai központja kormányzati informatikai biztonsági dokumentumainak ("CRAMM -CCTA Risk Analysis and Management Method" és az "Informationtechnik Sicherheitshandbuch - KBSt 1991") általuk engedélyezett felhasználásával, valamint az Európai Közösség informatikai ajánlásai és a hazai jogszabályok alapján.

Miniszterelnöki Hivatal Informatikai Koordinációs Iroda

1994. május

A dokumentum letöltése Word for Windows formátumban: a8.doc (456 kB), 1. melléklet (72 kB), 2. melléklet (112 kB), 3. melléklet (120 kB), 4. melléklet (424 kB), 5. melléklet tartalomjegyzéke (41 kB).
Tömörítve: a8.zip (384 kB).


ITB Ajanlasok

Tartalomjegyzék


	Tájékoztató összefoglalás
	Bevezetés

	1.	VEZETÔI TÁJÉKOZTATÓ
	1.1.	Az informatikai biztonság jelentôsége a kormányzati munkában
	1.2.	Az informatikai biztonság helye az informatikai stratégiában
	1.3.	Az informatikai stratégiai tervezési ciklus és a biztonság kapcsolata
	1.4.	Vezetôi feladatok az informatikai biztonsági projektben

	2.	PROJEKTVEZETÉSI SEGÉDLET AZ INFORMATIKAI BIZTONSÁGI KONCEPCIÓ (IBK) KIALAKÍTÁSÁHOZ
	2.1.	Az IBK kialakításának alapjai
	2.2.	Az IBK kialakítási eljárás tagolása
	2.3.	A megvalósításban szükséges részvételrôl
	2.4.	Az eljárás szakaszainak és lépéseinek részletes bemutatása
	2.5.	Az IBK kialakítási projekt lezárása

	3.	VÉGREHAJTÁSI SEGÉDLET AZ INFORMATIKAI BIZTONSÁGI KONCEPCIÓ (IBK) KIALAKÍTÁSÁHOZ
	3.1.	Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései
	3.2.	Kárkövetkezmények és azok értékelési rendszere
	3.3.	Az informatikai rendszer elemeinek csoportosítása, azok gyenge pontjai és fenyegetô tényezôi
	3.4.	Az elemcsoportok veszély-szempontú összefüggései
	3.5.	Az informatikai biztonsági intézkedések kidolgozásának szempontjai
	3.6.	Biztonsági intézkedések
	3.7.	Az informatikai biztonsági koncepció tartalmi felépítése
	3.8.	Az IBK kialakítása során alkalmazható nyomtatvány-minták

	4.	ÚTMUTATÓ AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT (IBSZ) ELKÉSZÍTÉSÉHEZ
	4.1.	Az IBSZ helye és szerepe a szervezet szabályzati rendszerében
	4.2.	Az IBSZ készítésével kapcsolatos alapelvek
	4.3.	Az IBSZ szerkezete, tartalma

	5.	JOGSZABÁLYOK ÉS SZAKIRODALMI KITEKINTÉS
	5.1.	Vonatkozó hazai jogszabályok
	5.2.	Tájékoztató jogszabályok
	5.3.	Szabványok, ajánlások
	5.4.	Tájékoztató irodalom

	6.	ÉRTELMEZÔ TÁRGYMUTATÓ

1. melléklet:
Informatikai biztonság és a szervezet összbiztonságának összefüggései

Ezen melléklet az informatikai biztonság igényeit és az azokkal kapcsolatos feladatokat tágabb megközelítésbôl, a szervezet összbiztonságának tükrében elemzi. Az Informatikai Biztonsági Módszertani Kézikönyv (IBMK) egy általános szervezeti struktúrát feltételez és annak alapján tárgyalja az informatikai biztonságot. A szervezet összbiztonsági megközelítése szerint viszont, aminek csupán egyetlen eleme az informatika, további védelmi szükségleteket is figyelembe kell venni, amelyek tágabb értelmû összefüggéseit kívánja szemléltetni ez a melléklet. Ezek közül néhány az IBMK-ban is tárgyalásra került.

ITB Ajanlasok




	1. Alapvetések
	1.1. Az országos hatáskörû kormányzati szervek alapfunkciója
	1.2. A kormányzati szervezeti-intézményi rendszer tagjainak helyzete
	1.3. A kormányzati szervek szervezeti felépítése
	1.4. A kormányzati szervek alapvetô feladatkörei
	1.5. A kormányzati tevékenység alaptermészete
	1.6. Biztonsági alapfogalmak
	2. Intézményi-szervezeti védelmi szükséglet
	3. Az intézményi-szervezeti védelmi-biztonsági alapfunkciók
	4. A védelmi-biztonsági alapfunkciók realizálásának alapelemei
	5. Alapvetô biztonságvédelmi fejlesztési feladatok
	Összefoglalás
	1. számú függelék: Objektumvédelem funkcionális megközelítésben
	2. számú függelék: Tájékoztatási kötelezettség - titoktartási kötelezettség jogszabályi háttere
	3. számú függelék: Munkavállalói, közalkalmazotti kötelezettségek jogszabályi háttere

2. melléklet:
Szemelvények az Európai Unió (Európai Közösség) informatikai biztonsági irányelveinek megfelelô nemzetközi ajánlásokból és szabványokból

Ebben a mellékletben az informatikai rendszerelemek hardver, szoftver és kommunikációs igényeinek (követelményeinek) kielégítése érdekében a módszertani kézikönyvben megállapítottakhoz és az Európai Közösség irányelveihez és ajánlásaihoz illeszkedve összefoglaljuk a nyílt rendszerekhez alkalmazható ITSEC (Information Technology Security Evaluation Criteria) ajánlás, valamint az ISO OSI 7498-2 nyílt rendszerek biztonsági architektúra modell (X.800) szabvány legfontosabb fogalmait és tudnivalóit. Az utóbbit a Magyar Szabványügyi Hivatal ezévében jelentette meg. Meg kell jegyezni, hogy az ITSEC követelményrendszere alkalmazhatóságának feltételei Magyarországon nem adottak, nem léteznek azok a hatóságok, intézmények, amelyek ellenôrzik a biztonsági elôírások meglétét és jóváhagyják, igazolják azok teljesülését. Mégis célszerû megismerkedni ezen követelményrendszerrel, mert a rendszertervezôk, beszerzôk, üzemeltetôk, felügyelôk átfogó képet kaphatnak a biztonsági csoportosításokról, a biztonsági eljárások érvényrejuttatásáról és így fokozatosan, a módszertani lépéseket felhasználva, kiépíthetôvé válnak a biztonságos informatikai rendszerek.

Általánosságban elmondható, hogy az ITSEC fôleg az informatikai rendszer operációs rendszerére írja le biztonsági funkcióit, míg az X.800 a hálózatba (nyílt rendszerbe) kapcsolhatóság biztonsági jellemzôit határozza meg, így ezek a módszertani anyagok szorosan kiegészítik egymást és megteremtik az alapját a nyílt rendszerekben a biztonsági követelmények érvényrejuttatásának.

ITB Ajanlasok




	1.	Az informatikai hardver és szoftver rendszerelemek kiválasztása az ITSEC szerint
	1.1.	Bevezetés
	1.2.	Az ITSEC jelentôsége és felépítése
	1.3.	A megbízható informatikai rendszerek alapfunkciói
	1.4.	Funkcionalitási osztályok, biztonsági szintek
	1.5.	Védelmi mechanizmusok, az ITSEC szerinti védelmi eljárások
	1.6.	Minôsítési követelmények (kritériumok)
	1.7.	A biztonság minôsítési fokozatok
	1.8.	Viszony a funkcionalitás és a minôsítés között
	1.9.	A minôsítés és a minôsítés tanúsítvány
	1.10	A funkcionalitási osztály és a minôsítési fokozat meghatározása
	1.11	Rendszerkiválasztás

	2.	A biztonságtechnikai szolgálatok és mechanizmusok általános leírása az ISO-OSI 7498-2 (X.800)-ban
	2.1.	Az OSI ISO 7498-2 szabvány (X.800) szerinti fogalommeghatározások
	2.2.	Az X.800 áttekintése
	2.3.	A biztonsági szolgálatok és mechanizmusok összefüggéseinek bemutatása

3. melléklet:
Kriptográfiai alapismeretek és biztonsági összefüggései

A "Kriptográfiai alapismeretek és biztonsági összefüggései" címû melléklet áttekintô ismereteket kíván nyújtani a rejtjelezés és a hitelesítés védelmi eljárások megvalósíthatóságának és érvényesíthetôségének megértéséhez. Képet ad arról, milyen kapcsolatok állnak fenn több védelmi eljárás és mechanizmus között.

ITB Ajanlasok




	1.	A kriptográfiáról általában

	2.	Kriptográfiai szolgáltatások
	2.1.	Hitelesítés
	2.2.	Partnerazonosítás
	2.3.	Digitális aláírás, idôpecsét
	2.4.	Hozzáférésvédelem

	3.	A kriptográfia matematikai apparátusa és elvei
	3.1.	Az algoritmus
	3.2.	Kulcsmenedzsment
	3.3.	Kriptoprotokoll
	3.4.	Nyilvános kulcsú rendszerek (PKS)
	3.5.	Tárolt adatok kulcsrendszerei

	4.	A számítógépes rendszerek kriptográfiai architektúrái.
	4.1.	A kriptográfiai alapeszköz
	4.2.	Stand-alone védelem
	4.3.	Telekommunikációs védelmek
	4.4.	Lokális hálózat (LAN) védelme
	4.5.	Vegyes (nyílt-rejtjelezett) kriptográfiai rendszerek
	4.6.	Tárolt adatok kriptográfiai védelme
	4.7.	Adathordozók kriptográfiai védelme

4. melléklet:
Elektronikus adatcsere és biztonsági jellemzôi

Az "Elektronikus adatcsere és biztonsági jellemzôi" címû melléklet a kormányzatban közeljövôben elterjesztésre kerülô elektronikus adatcsere legfontosabb fogalmaival és biztonsági jellemzôivel foglalkozik, szorosan illeszkedve az "Informatikai Biztonsági Módszertani Kézikönyv" alkalmazás-szempontú funkcionális csoportosításaihoz, valamint a nyílt rendszerek közötti biztonsági architektúra modell X.800 szabványhoz, annak alkalmazásba vételéhez.

ITB Ajanlasok




	Bevezetés

	1. rész: Alapfogalmak
	1.1.	A biztonság alapfogalmai
	1.2.	Elektronikus adatcsere (Electronic Data Interchange, EDI)

	2. rész: Elektronikus adatcsere
	Bevezetés
	2.1.	Elektronikus adatcsere
	2.2.	EDI és OSI
	2.3.	EDI szabványosítási helyzetkép
	2.4.	EDI-vel kapcsolatos kormányzati ajánlások

	3. rész:Az Elektronikus adatcsere alkalmazása
	Bevezetés
	3.1.	Az elemzési módszer bemutatása
	3.2.	Ismert szabványok osztályozása
	3.3.	Felhasználói igény elemzési példa
	3.4.	A megvalósítás lehetôségei

	4. rész Az elektronikus adatcsere biztonsága
	Bevezetés
	4.1.	Biztonsági szolgáltatások
	4.2.	Szolgáltatásokhoz köthetô biztonsági mechanizmusok
	4.3.	Átfogó összbiztonsági mechanizmusok
	4.4.	Biztonságmenedzselés OSI értelmezése
	4.5.	Az OSI és rétegei
	4.6.	A biztonsági rétegezés elvei
	4.7.	Biztonsági szolgáltatások és mechanizmusok rétegenkénti eloszlása
	4.8.	Néhány protokoll biztonsági modellje
	4.9.	GOSIP biztonsági szolgáltatások rétegenkénti elosztása
	4.10.	Elosztott Biztonsági Rendszer (Distributed Secure System - DSS)

	5. rész Az elektronikus adatcsere kormányzati alkalmazásának elterjeszthetôsége
	Bevezetés
	5.1.	Az EDI kormányzati bevezetésének idôszerûsége
	5.2.	Jogi problémák
	5.3.	Példa elektronikus adatcsere alkalmazására

	Összegezés
	Rövidítésjegyzék
	Felhasznált irodalom
	Felhasznált szabványok

5. melléklet:
Adatvédelmi jogszabálygyűjtemény

 E mellékletnek csak a tartalomjegyzéke kerül közlésre, mivel az abban felsorolt jogszabályok a megfelelő jogforrásokból elérhetők.

ITB Ajanlasok