AZITBIZTONSÁGRELEVÁNSSZABVÁNYAI

Dombora Sándor

30MBAdat és Információvédelmi Mesteriskola

2018.06.14.

Tartalom

• Iránymutatásokszükségessége• Termékfókuszúszabványok

• TCSEC• ITSEC• Common Criteria (CC)

• MSZISO/IEC27001• MIBA• Információbiztonságotérintőtovábbiszabványok

22018.06.14.

Iránymutatások szükségessége

3

• AzérintettekrevonatkozóanbetartásukkötelezőJogszabályok

• Útmutatóbóléskövetelményekbőlállnak• Beváltgyakorlatokraépülnek• Aszervezetekönkéntvezetikbe• Bevezetésüktanúsítható,3.felekelfogadják

Szabványok

• Beváltgyakorlatokraépülnek• Aszervezetekönkéntvezetikbe• Bevezetésükbiztonságotéshatékonyságoteredményez

Ajánlások,Keretrendszerek

4

Adatvédelmijogszabályok

•Infotv.- 2011.éviCXII.Törvényazinformációsönrendelkezésijogrólésazinformációszabadságról

•GDPR- AzEurópaiParlamentésaTanács(EU)2016/679rendelete (2016.április27.)atermészetesszemélyeknekaszemélyesadatokkezelésetekintetében történővédelmérőlésazilyenadatokszabadáramlásáról,valaminta95/46/EKrendelethatályonkívülhelyezéséről

Információbiztonságijogszabályok

•Ibtv.- 2013.éviL.törvényazállamiésönkormányzatiszervekelektronikusinformációbiztonságáról

•41/2015.(VII.15.)BMrendeletazállami ésönkormányzatiszervekelektronikusinformációbiztonságárólszóló2013.éviL.törvénybenmeghatározotttechnológiaibiztonsági,valamintabiztonságosinformációseszközökre,termékekre,továbbáabiztonságiosztálybaésbiztonságiszintbesorolásravonatkozókövetelményekről

•2009.éviCLV.törvényaminősítettadatvédelméről

•…

Szakterületekrevonatkozójogszabályok

•Szakterületi jogszabályok,amelyekhatássalvannakazITbiztonságrais

•1991.éviLXIX.Törvényapénzintézetekrőlésapénzintézetitevékenységről

•2014.éviLXXXVIII.Törvényabiztosításitevékenységről

•SOX- agazdaságitársaságokévesbeszámolóinakellenőrzéseire ill.valódiságukravonatkozóan

•…

2018.06.14.

5

Termékfókuszúszabványok

• TCSEC– OrangeBookofDoD:1985

• ITSEC- EurópaiKözösség:1991

• CommaonCriteria– 3.1.Rev.52017április

ÁltalánosISOszabványok

• ISO/IEC27001–információbiztonságteljeskörűtanúsításához

• ISO31000–kockázatmenedzsment

• ISO22301– üzletmenetfolytonosságmenedzsment

• …

2018.06.14.

6

CobiT – ControlObjectivesforInformationandRelatedTechnology

• ISACA(InformationSystemsAuditandControlAssociation)

• Honlap:www.isaca.com,www.isaca.hu

• Nemcsakbiztonság,hanemfejlesztési,üzemeltetési,auditálási,kockázatelemzési,ITirányításikérdésekis

• JelenverziójaCobiT 5

ITIL– InformationTechnologyInfrastructure

Lirary

• OGC(OfficeofGovernmentCommerce)

• Honlap:www.itsmf.huweblap

• ITIL®,azITszolgáltatásmenedzsmentbeváltgyakorlata

• JelenverziójaITILV3• AzInformatikaszolgáltatásmenedzsmentszabványazISO/IEC20000

MIBA- MagyarInformatikaiBiztonsági

Ajánlások

• KÖZIGAZGATÁSIINFORMATIKAIBIZOTTSÁG25.számúAjánlása

• KészültaMiniszterelnökiHivatalmegbízásából

• Megjelenéséve:2008június

2018.06.14.

Miért építsünk szabványokra

7

• Nemkellújraésújrafeltalálniaspanyolviaszt,hiszenvannakkipróbáltagyakorlatbanműködőmegoldások

• Bevezetésükhatékonyságotésszabályozottműködésteredményez

Beváltgyakorlatraépülnek

• Azútmutatótámogatjaaszabványbevezetését

Útmutatóttartalmaznak

• Megfelelőség ellenőrzés• Megvalósulásellenőrzés• Tanúsíthatók– független,akkreditálttanúsítószervezetáltal

Ellenőrzésiszempontrendszerttartalmaznak

2018.06.14.

Termék fókuszú szabványok

8

Példák: A Microsoft Windows NT Workstation Version 4.0 ill. Windows NT Server Version 4.0 operációs rendszerek a TCSEC C2 biztonsági csoportba lettek besorolva 1999-ben.Sun Solaris 2.6 operációs rendszer az ITSEC E3 biztonsági csoportba lett besorolva 1999-ben.A Cisco Secure PIX Firewall a CC EAL4 biztonsági osztályba lett besorolva 2001-ben.

• AzITSECaTCSECfilozófiájátköveti,ITrendszereklogikaivédelmérefókuszálnak

• Funkcionálisésminősítésikövetelmények• Nemtárgyaljákazadminisztratív,szervezeti,személyiésfizikaikérdéseket–nemteljeskörűek

• ElsősorbanazITtermékekgyártóittámogatjákésnemazüzemeltetőket,atermékrekoncentrálnak,atermékrevonatkozókövetelményrendszertállítanakfel.Azüzemeltetőknekezagyakorlatbankevés.

• CC:Akövetelményekárnyaltabbak,lehetőségvankifejezettenbiztonságitermékek(pl.tűzfal)alaposabbbiztonságiminősítésére.

TCSEC,ITSEC,

CommonCriteria

2018.06.14.

A TCSEC egymásra épülő biztonsági csoportokat definiál

9

• Bizonyítottvédelem

Acsoport

• Kötelezőésellenőrzöttvédelem(B1,B2,B3)

Bcsoport

• Szelektívésellenőrzöttvédelem(C1,C2)

Ccsoport

• Minimálisvédelem(érdemtelenpl.MDOS)

Dcsoport

2018.06.14.

A TCSEC C csoportjának követelményei

10

• DAC(Discretionary AccessControl):Azobjektumoknaktulajdonosaivannak,atulajdonosokésprivilegizáltfelhasználókazobjektumokatmásokszámáramegoszthatják

• ID(Identification):Azonosíthatóésellenőrizhetőfelhasználók(nevek,jelszavak)

• Atermékjóldokumentáltlegyen(tartalom+forma)

C1:Korlátozottvédelem

• AC1osztálykövetelményei• Audit:biztonságieseményeknaplózása• Object reuse:Azobjektumoknemújrahasznosíthatók (Egyerőforrás- kazetta,printer,file- használatbavételkornetartalmazzonértelmezhető információt)

C2:Ellenőrzöttvédelem

2018.06.14.

A TCSEC D csoportjának követelményei

11

•C2osztálykövetelményei•MAC(Mandatory AccessControl):Azobjektumoknak ésszubjektumoknak címkéivannak,ahozzáférésazobjektuménál gyengébbcímkévelnemlehetséges

B1:Címkézettvédelem

•B1osztálykövetelményei• Trusted Path(biztonságos kommunikációs csatornaatávolifelhasználóésaszámítógépközött)

•DeviceLabel (eszközönkéntmeghatározott,hogymilyenérzékenyadatoktárolhatókrajta)

• Structured Protection (Arendszerjóldefiniáltformálismodellalapjánépülfel)

B2:Strukturáltvédelem

•B2osztálykövetelményei•Abiztonsággalkapcsolatoskódok áttekinthetők,jólelválaszthatókazop.rendszeregyébrészeitől

• Biztonságiadminisztrátoralkalmazása

B3:Biztonságitartományok

2018.06.14.

A TCSEC A csoportjának követelményei

12

• B2osztálykövetelményei• Formálismódszerek• Titkoscsatornaelemzéshez• Tervezésispecifikációhozésellenőrzéshez

• Megbízhatóterjesztés• Formálisfelsőszintűspecifikáció

A1:Bizonyítottvédelem

2018.06.14.

ITSEC

2018.06.14. 13

• Akülönbözőeurópaiországoksajátszabványokatdolgoztakki

• Agyártókánkegységeskövetelményrendszerrevoltszükségük

• ATCSECfőlegoperációsrendszerekrevoltalkalmazható

Szükségesség

• ATCSEC-hez hasonlóanhierarchikuskövetelményrendszer

• Hétértékelési szintethatározmegazértékelési célhelyességénekmegbízhatóságáravonatkozóan

• 10funkcióosztálythatározmeg,amelyekrendszerspecifikuskövetelményekettartalmaznak

Tulajdonságai

Az ITSEC értékelési szintjei

14

• Ezaszintnemmegfelelőbizonyosságotjelent

E0

• Azértékelésicélhoz• lenniekellbiztonságicélkitűzésnek• lenniekell informálisarchitektúratervleírásnak

• Afunkcionálisteszteknekaztkell jelezniük,hogyazértékelési célmegfelelabiztonságicélkitűzésének

E1

2018.06.14.

Az ITSEC értékelési szintjei

15

• Lenniekellinformálisleírásnakarészletestervezéshez.

• Afunkcionálisteszteléselvégzésénekbizonyítékátkikellértékelni.

• Lenniekellegykonfigurációskezelésirendszernekésegyjóváhagyottterjesztésieljárásnak.

E2- AzE1követelményeintúl

• Abiztonságifunkciókhoztartozóforráskódotéshardverábrákatkikellértékelni.

• Abiztonságifunkcióktesztelésénekbizonyítékaitkikellértékelni.

E3– AzE2követelményeintúl

2018.06.14.

Az ITSEC értékelési szintjei

2018.06.14. 16

• Lézeznie kellabiztonságicélttámogatóbiztonságipolitikaalapjáulszolgálóformálismodellnek.

• Abiztonságifunkciókat,aarchitektúraterveketésarészletesterveketféligformálismódonkellspecifikálni.

E4- AzE3követelményeintúl

• Arészletestervezésésaforráskódés/vagyhardverábrázolásközöttszorosmegfeleltetésnekkelllennie.

E5– AzE4követelményeintúl

Az ITSEC értékelési szintjei

2018.06.14. 17

• Abiztonságifunkciókatésazarchitektúraterveketformálismódonkellspecifikálniösszhangbanameghatározottbiztonságipolitikaalapjáulszolgálóformálismodellel.

E6- AzE5követelményeintúl

Az ITSEC biztonsági osztályai

2018.06.14. 18

• ATCSECbiztonságiosztályaibólszármaztatottbiztonságiosztályok

• Főképpenoperációsrendszerekrealkalmazhatók

F-C1,F-C2,F-B1,F-B2,F-B3

• Azadatokésprogramokintegritásánakbiztosításához.

• Pl.Adatbáziskezelőrendszerekesetében

F-IN

Az ITSEC biztonsági osztályai

2018.06.14. 19

• Magasrendelkezésreállásúrendszerekhez• Javasoltiparivezérlőegységekesetében

F-AV

• Adatokintegritásánakbiztosításaadatcsereesetében

F-DI

Az ITSEC biztonsági osztályai

2018.06.14. 20

• Azonértékelésicélokszámára,amelyeknekmaximálisbizalmasságotkellbiztosítaniadatcseresorán

• Pl.kriptográfiairendszerek

F-DC

• Olyanhálózatokhoz,amelyeknekmagasbizalmasságiésintegritásikövetelményeketkellbiztosítaniukazadatcseréksorán

• Pl.haazérzékenyinformációkatnembiztonságoshálózatokonkeresztülkellkicserélni.

F-DX

2018.06.14. 21

• AzITSECalapötletétköveti• 11funkcionálisosztálythatározmeg,amelyekben részleteiafunkcionáliskövetelményeket

• Azosztályokbanbelülcsaládokésazokonbelülkomponensek vannakamelyeketkülönjelölnek

• Akomponensekakövetelményekrevonatkozókifejezések

CCtulajdonságai

Common Criteria

A Common Criteriafunkcionális osztályai

2018.06.14. 22

FAU Security audit – Biztonsági audit

FCO Communication – Kommunikáció

FCS Cryptographic support – Kriptográfiai támogatás

FDP User data protection – Felhasználói adatok védelme

FIA Identification and authentication – Azonosítás és autentikáció

FMT Security management – Biztonság menedzsment

FPR Privacy – Adatvédelem (személyes adatok)

FPT Protection of the TSF (TOE Security Functions) - A biztonsági funkciók értékelési céljának védelme

FRU Resource utilisation – erőforrás gazdálkodás

FTA TOE access (Target of Evaluation) – értékelési célok hozzáférhetősége

FTP Trusted path/channels – Biztonságos csatornák

A Common Criteriaértékelési szintjei

2018.06.14. 23

EAL7 Formally verified design and tested – formálisan ellenőrzött tervezés és tesztelés

EAL6 Semiformally verified design and tested – félig formálisan ellenőrzött tervezés és tesztelés

EAL5 Semiformally designed and tested - félig formális tervezés és tesztelés

EAL4 Methodically designed, tested, and reviewed – módszeres tervezés, tesztelés és felülvizsgálat

EAL3 Methodically tested and checked – módszeresen tesztelt és ellenőrzött

EAL2 Structurally tested – strukturálisan tesztelt

EAL1 Functionally tested – funkcionálisan tesztelt

ISO/IEC 27000 szabványcsalád

2018.06.14. 24

• Azinformációbiztonsági irányításirendszerekkelkapcsolatos szabványokattartalmazza,melyekegyrészeelőkészítés,illetvekorszerűsítésalattáll,többségükazonbanmármegjelentésfolyamatoskorszerűsítésalattáll.

AzISO/IEC27000-esszabványcsalád

• Azegyesszabványoktöbbségemagyarszabványként,magyarnyelvennemlétezik.

Fordítás

• AszabványcsaládonbelülközpontihelyetfoglalelazISO/IEC27000ill.ISO/IEC27001szabvány.

• ISO27000:Aszabványcsaládáttekintését ésavalamennyiszabványraérvényesfogalomtárat tartalmazza

• ISO27001:Általánoskövetelmények

Központielemek

ISO/IEC 27000 szabványcsalád

2018.06.14. 25

ISO27000:Áttekintésésszótár

ISO27001:Követelmények

Útmutatók:ISO27002:Code practiceISO27003:Bevezetés

Audit:ISO27006:KövetelményekISMStanúsítóknakISO27007:ISMSauditálásútmutatóISO27008:ISkontrollauditútmutató

Biztonságiterületek,ágazatok:ISO27004:MérésISO27005:Kockázatmgmt.ISO27035:Incidensmgmt.ISO27031:Folytonosság

ISO27033-x:HálózatbiztonságISO27034-x:Alkalmazásbiztonság

ISO27033-x:TelekommunikációISO27034-x:ISMegészségügyben

Forrás: Móricz Pál, Szenzor Gazdaságkutató KFT

MSZ ISO/IEC 27001

2018.06.14. 26

•Teljeskőrűinformációbiztonságmegvalósításaszervezeten/szervezetiegységenbelül

Célja

•Kockázatfelméréséskockázatjavítás•Biztonságpolitika•Azinformációbiztonságszervezete•Vagyontárgyakkezelése•Emberierőforrásokbiztonsága•Fizikaiéskörnyezetibiztonság•Akommunikációésazüzemeltetésirányítása•Hozzáférésellenőrzés

•Információsrendszerekbeszerzése,fejlesztéseéskarbantartása•Azinformációbiztonságiincidensekkezelése•Aműködésfolytonosságánakirányítása•Megfelelőség

Felépítése

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 27

• Akockázatokfelmérése• Akockázatokértékelése• Akockázatokcsökkentése• Rendszerestevékenység!

Kockázatfelméréséskockázatjavítás

• Afelsővezetéselkötelezettségének kinyilvánításaazinformatikaibiztonságkialakításához

• Dokumentáltinformatikaibiztonságipolitika• Avállalatszámáralegfontosabbbiztonságielvek,szabványokéskövetelményekmeghatározása

• Azinformatikaibiztonságpontosmeghatározása,tárgya,keretei,abiztonságfontossága

Biztonságpolitika

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 28

• Szervezetkialakításaszükségesazirányítottinformatikaibiztonságmegvalósításához.(Vezetőifórum,aszervezetműködtetése,koordinációkialakítása,szerepkörök,felelősségekmeghatározása,szervezetiegyüttműködés,tanácsadás,függetlenfelülvizsgálatlétrehozása)

• Harmadikféllelkötöttszerződésekinformatikaibiztonságikövetelményei(titoktartásinyilatkozat,garanciákstb.)

• Azoutsourcing (kiszervezés,vállalkozásbaadás)biztonságiszempontjai(aszerződésnekkülönkellfoglalkozniaabiztonsággal)

• Segregation ofduties (feladatkörökszétválasztása)

Azinformációbiztonságszervezete

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 29

• Vagyonleltár• Afelelősségekmeghatározásaazinformatikaivagyonvédelmére,azadatgazdákkijelölése,aszervezetadatvagyonának(adatbázisok,alkalmazások,rendszerszoftverek,dokumentációkstb.)felmérése,nyilvántartásbavétele,felelősöknévjegyzékénekfelvétele

• Információosztályozásialapelvekéskategóriák,adatokbiztonságiosztályozása(nyilvános,belső,bizalmas,szigorúanbizalmasstb.)

• Azinformációminősítése,címkézése,kezelése

Vagyontárgyakkezelése

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 30

• Azalkalmazásfeltételei(belépéskor,azalkalmazásfolyamánill.kilépéskor)

• Munkakörileírásokbiztonságielőírásai(biztonságiszerepkörökmeghatározása,átvilágítás,adolgozóititoktartás,alkalmazásifeltételek:végzettség,tapasztalat,referenciák)

• Felhasználóioktatás(informatikaibiztonságioktatáséstraining)

• Biztonságieseményekésüzemzavarokkezelése(biztonságiesemények,veszélyekjelentése,rögzítése,atapasztalatokfeldolgozása,fegyelmieljárások)

Emberierőforrásokbiztonsága

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 31

• Védettésnemvédettterületekmeghatározása(beléptetésrendje,abeléptetésfizikaieszközei,amunkavégzésszabályainakrögzítése,avédelmirendszerek:beléptető,monitoringésriasztórendszerekkialakítása)

• Azinformatikaieszközökvédelme(elhelyezés,szünetmentesenergiaellátás,akábelezésbiztonsága,karbantartásiszabályok,védelemüzemiterületenkívül,hordozhatógépekbiztonsága,berendezésújrafelhasználásbiztonsága)

• Általánosvédelmielőírások(védekezésajogtalaneltulajdonításellen:üresíróasztalpolitika,üresképernyőpolitika,eszközkiszállításszabályozása)

Fizikaiéskörnyezetibiztonság

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 32

• Üzemeltetésieljárásokésfelelősségek(dokumentálás,változásokkövetése,fejlesztőiésüzemeltetőikörnyezetelkülönülése,fejlesztőiésüzemeltetőimunkakörökszétválasztása,üzemeltetéskülsőhelyszínen)

• Rendszerektervezéseésátvétele(üzemeltetéskapacitásánaktervezése)

• Vírusvédelem• Rendszerháztartásifeladatok(biztonságimásolatok,operátoriésrendszernaplókkészítése)

• Ahálózatvédelme• Adathordozókkezelésénekbiztonsága• Információésszoftvercsere

Akommunikációésazüzemeltetésirányítása

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 33

• Ahozzáféréseketmeghatározóüzletikövetelmények(mindenkinek csakannyijogosultságalehet,amennyiamunkájavégzéséhez szükséges)

• Afelhasználóihozzáférésekkezelése• Afelhasználófelelősségek (jelszóhasználatiszabályok,felügyeletnélkülhagyotteszközök)

• Hálózatihozzáférésellenőrzés• Hozzáférésijogosultságokazop.rendszerhez• Azalkalmazásokhozzáférésiszabályozása• Hozzáférésekésarendszerhasználatellenőrzése• Hordozhatóeszközökéstávmunka

Hozzáférésellenőrzés

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 34

• Rendszerekbiztonságikövetelményei(analízisésspecifikációk)

• Azalkalmazásirendszerekbiztonsága(beviteliésfeldolgozásikontrollok,kimenetihitelesítés)

• Kriptográfiaikontrollok(rejtjelezés,digitálisaláírás,letagadhatatlanság,kulcsokvédelme)

• Rendszerállományokbiztonságikövetelményei• Rendszerfejlesztésekéskarbantartásokbiztonsága

Informatikairendszerekbeszerzése,fejlesztéseéskarbantartása

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 35

• HelpDesk biztosításaésszabályozottjelentési folyamat• Azincidensekkezelése• Tanulásazinformációbiztonságiincidensekből• Bizonyítékokgyűjtése

Azinformációbiztonságiincidensekkezelése

• Aműködésfolytonosságfenntartásánakszempontjai• Akockázatokfelmérése• Működésfolytonosságitervek(BCP,DRP)*készítése ésbevezetése• Működésfolytonosságitervektesztelése, értékelése• Aműködésfolytonosságitervekkarbantartása,felülvizsgálata,oktatása,tárolása,tesztelése

Aműködésfolytonosságánakirányítása

MSZ ISO/IEC 27001 fejezetei

2018.06.14. 36

• Ajogikövetelményeknekésszabványoknakvalómegfelelés(azalkalmazhatójogszabályokmeghatározása,aszellemitulajdonvédelme,azadatvédelemésaszemélyesadatokvédelme,kriptográfiaiszabályokbetartása,jogkövetkezményűbizonyítékokrögzítése)

• Azinformációvédelmipolitikaésatechnikaimegfelelőségfelülvizsgálata

• Rendszerauditokműködése,védelme

Megfelelőség

Magyar Informatikai Biztonsági Ajánlások (MIBA)

2018.06.14. 37

• AMagyarInformatikaiBiztonságiAjánlások(MIBA)címűajánlássorozatfı célja,hogybiztonságos informatikairendszerekkialakításátésfenntartásátsegítseelő.

Célja

• AMagyarInformatikaiBiztonságiKeretrendszer (MIBIK)szervezetiszempontbólkezeliazinformatikaibiztonságkérdését.EzértaMIBIKabiztonságos informatikairendszerekirányításáért,menedzseléséértfelelősvezetőknek, illetveaszervezetegészérevonatkozókövetelményekteljesülésétértékelőszakembereknekszól.

• AMagyarInformatikaiBiztonságÉrtékelésiésTanúsításiSéma (MIBÉTS)technológiaiszempontból kezeliazinformatikaibiztonságkérdését.EzértaMIBÉTScélközönségeazinformatikairendszerkialakításáért,fejlesztéséértfelelősvezetők,valamintazinformatikaitermékekésrendszerekbiztonságiértékelésétéstanúsításátvégzőszakemberekköre.

• AzInformatikaiBiztonságiIránymutatóKisSzervezetekSzámára (IBIX)olyanszervezetekneknyújtsegítségetbiztonságos informatikairendszereikkialakításához,amelyeknemrendelkeznekjelentősebbinformatikairendszerrel,illetveehhezelkülönült informatikaiszemélyzettel.

Nemzetköziszabványokhozésajánlásokhozigazodvaháromrészbőláll

Forrás: MIBÉTS

Magyar Informatikai Biztonsági Keretrendszer (MIBIK)

2018.06.14. 38

• AMIBIKazISO/IEC27001:2005,ISO/IEC27002:2005ésazISO/IECTR13335 nemzetköziszabványokon,valamintazirányadóEUésNATOszabályozásonalapul.

• MIBIKrészeazInformatikaiBiztonságiIrányításiRendszer(IBIR),amelyaszervezetinformatikaibiztonságánaktervezésére,üzemeltetésére,ellenőrzéséreésjavításáravonatkozik.

• AMIBIKrészeazInformatikaiBiztonságIrányításiKövetelmények(IBIK),amelyazinformatikaibiztonságkezelésénekhatékonyabbátételéheznyújtsegítséget,lehetőségetteremtveakövetelményekésfeladatokszakmailagegységeskezelésére.

• AMIBIKrészeazInformatikaiBiztonságiIrányításVizsgálata(IBIV),amelyazinformatikaibiztonságellenőrzéséhezadmódszertanisegítséget.

Felépítése

Forrás: MIBÉTS

Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS)

2018.06.14. 39

• AzISO/IEC15408:2005ésISO/IEC18045:2005nemzetköziszabványokon,illetveanemzetközilegjobbgyakorlatokonésnemzetisémákonalapul.

• Keretetbiztosítarra,hogyazinformatikaitermékekésrendszerektekintetébenabiztonságifunkciókteljességeéshatásosságaértékelésre kerüljön.

• Értékelésimódszertanaalkalmasazoperációs rendszerek,hardverek,szoftver-alkalmazások,(pl.különbözőprogramnyelvekenmegírtkritikusalkalmazások)speciálisbiztonságiszempontjainakértékelésére.

• Megbízhatóharmadikfelekáltalvégzettbiztonságiellenőrzésésaudit egységesszempontrendszerétalkotja.

Felépítéseéscélja

Forrás: MIBÉTS

Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX)

2018.06.14. 40

• Segítségetnyújtsonazinformatikaibiztonságmegfelelőszintjénekkialakításáhozönkormányzatiésmásinformatikaiszempontbólkisméretűkörnyezetben.

• Javasolt azanyagazonszervezetekszámára,aholaszervezetméreténélfogvanemállrendelkezésrekülönemberiésegyéberőforrásazinformatikairendszerekbiztonságánakkialakításáraésüzemeltetésére,hanemezt„házonbelül”kellmegoldani.

Célja

Forrás: MIBÉTS

Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás

2018.06.14. 41

•AzInformatikaiBiztonságIrányításiRendszerlétrehozásaésműködtetéseaszervezetenbelül

• IBIRalkalmazása

Biztonságkiépítéseésfenntartása

•Védelmikövetelményekmegfogalmazása•InformatikaiBiztonságiSzabályzat(IBSZ)elkészítése,meglévőaktualizálása(érettségiszinttőlfüggően)

•IBIKalkalmazása

Újinformatikairendszerbevezetése

•védelmikövetelményekalapjánazalkalmazásbiztonság-kritikusságánakfelmérése•szükségeseténavédelmi (biztonsági)követelményeknekmegfelelő,értékeltéstanúsítotttermékekkiválasztása

•MIBÉTS1.számúmelléklet: Modellésfolyamatok

Újinformatikaitermékvagyrendszerkiválasztása

Forrás: MIBÉTS

Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás

2018.06.14. 42

• Amennyibennincsmegfelelőenértékelttermék,vagyatermékegyolyankomplexrendszerbenkerülalkalmazásra,melynekegységesértékeléseisszükséges,atermékvagyarendszertechnológiaiszempontú értékeltetéseéstanúsíttatása

• MIBÉTS2.számúmelléklet:Útmutatómegbízóknak

Biztonság-kritikusterméktechnológiaiszempontúértékelésetanúsítása

• Szervezetenkívülifeladat• Technológiaiszempontúértékelésbenéstanúsításbanérintettkülsőrésztvevők(fejlesztő,vizsgálólaboratórium,tanúsítószervezet)végrehajtjákazértékeléstéstanúsítást

• MIBÉTSajánlás:3.,4.és5.számú segédletek(Útmutatófejlesztőknek,Útmutatóértékelőknek,Értékelésimódszertan)

Biztonság-kritikustermékésrendszertechnológiaiszempontúértékeléseéstanúsítása

Forrás: MIBÉTS

Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás

2018.06.14. 43

• Abiztonságiszabályozókésatermékáltalteljesített(értékelt)biztonságifunkciókfeltételrendszerénekösszhangbahozása

• IBIKajánlás

Abeszerzetttermékekésrendszerekbiztonságosüzemeltetése

• Kockázatelemzés• Belsőellenőrzésekelvégzése• Külsőauditmegrendeléseéselfogadása• IBIVajánlás

Arendszerekésadatokminősítése,ahiányosságokmegállapítása

Forrás: MIBÉTS

Informatikairendszereküzemeltetéseésbiztonsága

MSZISO/IECTR13335-1:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.1.rész:Azinformatikaibiztonságfogalmaiésmodelljei

MSZISO/IECTR13335-2:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.2.rész:Azinformatikaibiztonságmenedzseléseéstervezése

MSZISO/IECTR13335-3:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.3.rész:Azinformatikaibiztonságmenedzselésénektechnikái

MSZISO/IECTR13335-4:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.4.rész:Abiztonságiellenintézkedésekmegválasztása

Azinformatikaibiztonságot érintőegyéb szabványok44

Informatikairendszereküzemeltetéseésbiztonsága

MSZISO/IECTR13335-5:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.5.rész:Ahálózatbiztonságmenedzselésiútmutatója

MSZISO/IEC13888-1:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.1.rész:Általánosismertetés

MSZISO/IEC13888-2:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.2.rész:Szimmetrikustechnikákonalapulómódszerek

MSZISO/IEC13888-3:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.3.rész:Aszimmetrikustechnikákonalapulómódszerek

Azinformatikaibiztonságot érintőegyéb szabványok45

Informatikairendszereküzemeltetéseésbiztonsága

…

MSZISO/IEC11770-1:2005 Informatika.Biztonságtechnika.Kulcsgondozás.1.rész:Keretrendszer

MSZISO/IEC9594-8:2004 Informatika.Nyíltrendszerekösszekapcsolása.Névtár:Anyilvánoskulcs- ésazattribútumtanúsítványkeretszabályai

MSZISO/IEC14888-1:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel.1.rész:Általánosismertetés

MSZISO/IEC14888-2:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel.2.rész:Azonosításalapúmódszerek

Azinformatikaibiztonságot érintőegyéb szabványok46

Informatikairendszereküzemeltetéseésbiztonsága

MSZISO/IEC14888-3:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel. 3.rész:Tanúsítványalapúmódszerek

MSZISO/IEC15945:2002 Informatika.Biztonságtechnika.Ajánlás/nemzetköziszabványbizalmiharmadikfél(TTP)digitálisaláírásokalkalmazásáttámogatószolgáltatásaira

Azinformatikaibiztonságot érintőegyéb szabványok47

2018.06.14. 48

Köszönöm a figyelmet!