AZITBIZTONSÁGRELEVÁNSSZABVÁNYAI
Dombora Sándor
30MBAdat és Információvédelmi Mesteriskola
2018.06.14.
Tartalom
• Iránymutatásokszükségessége• Termékfókuszúszabványok
• TCSEC• ITSEC• Common Criteria (CC)
• MSZISO/IEC27001• MIBA• Információbiztonságotérintőtovábbiszabványok
22018.06.14.
Iránymutatások szükségessége
3
• AzérintettekrevonatkozóanbetartásukkötelezőJogszabályok
• Útmutatóbóléskövetelményekbőlállnak• Beváltgyakorlatokraépülnek• Aszervezetekönkéntvezetikbe• Bevezetésüktanúsítható,3.felekelfogadják
Szabványok
• Beváltgyakorlatokraépülnek• Aszervezetekönkéntvezetikbe• Bevezetésükbiztonságotéshatékonyságoteredményez
Ajánlások,Keretrendszerek
4
Adatvédelmijogszabályok
•Infotv.- 2011.éviCXII.Törvényazinformációsönrendelkezésijogrólésazinformációszabadságról
•GDPR- AzEurópaiParlamentésaTanács(EU)2016/679rendelete (2016.április27.)atermészetesszemélyeknekaszemélyesadatokkezelésetekintetében történővédelmérőlésazilyenadatokszabadáramlásáról,valaminta95/46/EKrendelethatályonkívülhelyezéséről
Információbiztonságijogszabályok
•Ibtv.- 2013.éviL.törvényazállamiésönkormányzatiszervekelektronikusinformációbiztonságáról
•41/2015.(VII.15.)BMrendeletazállami ésönkormányzatiszervekelektronikusinformációbiztonságárólszóló2013.éviL.törvénybenmeghatározotttechnológiaibiztonsági,valamintabiztonságosinformációseszközökre,termékekre,továbbáabiztonságiosztálybaésbiztonságiszintbesorolásravonatkozókövetelményekről
•2009.éviCLV.törvényaminősítettadatvédelméről
•…
Szakterületekrevonatkozójogszabályok
•Szakterületi jogszabályok,amelyekhatássalvannakazITbiztonságrais
•1991.éviLXIX.Törvényapénzintézetekrőlésapénzintézetitevékenységről
•2014.éviLXXXVIII.Törvényabiztosításitevékenységről
•SOX- agazdaságitársaságokévesbeszámolóinakellenőrzéseire ill.valódiságukravonatkozóan
•…
2018.06.14.
5
Termékfókuszúszabványok
• TCSEC– OrangeBookofDoD:1985
• ITSEC- EurópaiKözösség:1991
• CommaonCriteria– 3.1.Rev.52017április
ÁltalánosISOszabványok
• ISO/IEC27001–információbiztonságteljeskörűtanúsításához
• ISO31000–kockázatmenedzsment
• ISO22301– üzletmenetfolytonosságmenedzsment
• …
2018.06.14.
6
CobiT – ControlObjectivesforInformationandRelatedTechnology
• ISACA(InformationSystemsAuditandControlAssociation)
• Honlap:www.isaca.com,www.isaca.hu
• Nemcsakbiztonság,hanemfejlesztési,üzemeltetési,auditálási,kockázatelemzési,ITirányításikérdésekis
• JelenverziójaCobiT 5
ITIL– InformationTechnologyInfrastructure
Lirary
• OGC(OfficeofGovernmentCommerce)
• Honlap:www.itsmf.huweblap
• ITIL®,azITszolgáltatásmenedzsmentbeváltgyakorlata
• JelenverziójaITILV3• AzInformatikaszolgáltatásmenedzsmentszabványazISO/IEC20000
MIBA- MagyarInformatikaiBiztonsági
Ajánlások
• KÖZIGAZGATÁSIINFORMATIKAIBIZOTTSÁG25.számúAjánlása
• KészültaMiniszterelnökiHivatalmegbízásából
• Megjelenéséve:2008június
2018.06.14.
Miért építsünk szabványokra
7
• Nemkellújraésújrafeltalálniaspanyolviaszt,hiszenvannakkipróbáltagyakorlatbanműködőmegoldások
• Bevezetésükhatékonyságotésszabályozottműködésteredményez
Beváltgyakorlatraépülnek
• Azútmutatótámogatjaaszabványbevezetését
Útmutatóttartalmaznak
• Megfelelőség ellenőrzés• Megvalósulásellenőrzés• Tanúsíthatók– független,akkreditálttanúsítószervezetáltal
Ellenőrzésiszempontrendszerttartalmaznak
2018.06.14.
Termék fókuszú szabványok
8
Példák: A Microsoft Windows NT Workstation Version 4.0 ill. Windows NT Server Version 4.0 operációs rendszerek a TCSEC C2 biztonsági csoportba lettek besorolva 1999-ben.Sun Solaris 2.6 operációs rendszer az ITSEC E3 biztonsági csoportba lett besorolva 1999-ben.A Cisco Secure PIX Firewall a CC EAL4 biztonsági osztályba lett besorolva 2001-ben.
• AzITSECaTCSECfilozófiájátköveti,ITrendszereklogikaivédelmérefókuszálnak
• Funkcionálisésminősítésikövetelmények• Nemtárgyaljákazadminisztratív,szervezeti,személyiésfizikaikérdéseket–nemteljeskörűek
• ElsősorbanazITtermékekgyártóittámogatjákésnemazüzemeltetőket,atermékrekoncentrálnak,atermékrevonatkozókövetelményrendszertállítanakfel.Azüzemeltetőknekezagyakorlatbankevés.
• CC:Akövetelményekárnyaltabbak,lehetőségvankifejezettenbiztonságitermékek(pl.tűzfal)alaposabbbiztonságiminősítésére.
TCSEC,ITSEC,
CommonCriteria
2018.06.14.
A TCSEC egymásra épülő biztonsági csoportokat definiál
9
• Bizonyítottvédelem
Acsoport
• Kötelezőésellenőrzöttvédelem(B1,B2,B3)
Bcsoport
• Szelektívésellenőrzöttvédelem(C1,C2)
Ccsoport
• Minimálisvédelem(érdemtelenpl.MDOS)
Dcsoport
2018.06.14.
A TCSEC C csoportjának követelményei
10
• DAC(Discretionary AccessControl):Azobjektumoknaktulajdonosaivannak,atulajdonosokésprivilegizáltfelhasználókazobjektumokatmásokszámáramegoszthatják
• ID(Identification):Azonosíthatóésellenőrizhetőfelhasználók(nevek,jelszavak)
• Atermékjóldokumentáltlegyen(tartalom+forma)
C1:Korlátozottvédelem
• AC1osztálykövetelményei• Audit:biztonságieseményeknaplózása• Object reuse:Azobjektumoknemújrahasznosíthatók (Egyerőforrás- kazetta,printer,file- használatbavételkornetartalmazzonértelmezhető információt)
C2:Ellenőrzöttvédelem
2018.06.14.
A TCSEC D csoportjának követelményei
11
•C2osztálykövetelményei•MAC(Mandatory AccessControl):Azobjektumoknak ésszubjektumoknak címkéivannak,ahozzáférésazobjektuménál gyengébbcímkévelnemlehetséges
B1:Címkézettvédelem
•B1osztálykövetelményei• Trusted Path(biztonságos kommunikációs csatornaatávolifelhasználóésaszámítógépközött)
•DeviceLabel (eszközönkéntmeghatározott,hogymilyenérzékenyadatoktárolhatókrajta)
• Structured Protection (Arendszerjóldefiniáltformálismodellalapjánépülfel)
B2:Strukturáltvédelem
•B2osztálykövetelményei•Abiztonsággalkapcsolatoskódok áttekinthetők,jólelválaszthatókazop.rendszeregyébrészeitől
• Biztonságiadminisztrátoralkalmazása
B3:Biztonságitartományok
2018.06.14.
A TCSEC A csoportjának követelményei
12
• B2osztálykövetelményei• Formálismódszerek• Titkoscsatornaelemzéshez• Tervezésispecifikációhozésellenőrzéshez
• Megbízhatóterjesztés• Formálisfelsőszintűspecifikáció
A1:Bizonyítottvédelem
2018.06.14.
ITSEC
2018.06.14. 13
• Akülönbözőeurópaiországoksajátszabványokatdolgoztakki
• Agyártókánkegységeskövetelményrendszerrevoltszükségük
• ATCSECfőlegoperációsrendszerekrevoltalkalmazható
Szükségesség
• ATCSEC-hez hasonlóanhierarchikuskövetelményrendszer
• Hétértékelési szintethatározmegazértékelési célhelyességénekmegbízhatóságáravonatkozóan
• 10funkcióosztálythatározmeg,amelyekrendszerspecifikuskövetelményekettartalmaznak
Tulajdonságai
Az ITSEC értékelési szintjei
14
• Ezaszintnemmegfelelőbizonyosságotjelent
E0
• Azértékelésicélhoz• lenniekellbiztonságicélkitűzésnek• lenniekell informálisarchitektúratervleírásnak
• Afunkcionálisteszteknekaztkell jelezniük,hogyazértékelési célmegfelelabiztonságicélkitűzésének
E1
2018.06.14.
Az ITSEC értékelési szintjei
15
• Lenniekellinformálisleírásnakarészletestervezéshez.
• Afunkcionálisteszteléselvégzésénekbizonyítékátkikellértékelni.
• Lenniekellegykonfigurációskezelésirendszernekésegyjóváhagyottterjesztésieljárásnak.
E2- AzE1követelményeintúl
• Abiztonságifunkciókhoztartozóforráskódotéshardverábrákatkikellértékelni.
• Abiztonságifunkcióktesztelésénekbizonyítékaitkikellértékelni.
E3– AzE2követelményeintúl
2018.06.14.
Az ITSEC értékelési szintjei
2018.06.14. 16
• Lézeznie kellabiztonságicélttámogatóbiztonságipolitikaalapjáulszolgálóformálismodellnek.
• Abiztonságifunkciókat,aarchitektúraterveketésarészletesterveketféligformálismódonkellspecifikálni.
E4- AzE3követelményeintúl
• Arészletestervezésésaforráskódés/vagyhardverábrázolásközöttszorosmegfeleltetésnekkelllennie.
E5– AzE4követelményeintúl
Az ITSEC értékelési szintjei
2018.06.14. 17
• Abiztonságifunkciókatésazarchitektúraterveketformálismódonkellspecifikálniösszhangbanameghatározottbiztonságipolitikaalapjáulszolgálóformálismodellel.
E6- AzE5követelményeintúl
Az ITSEC biztonsági osztályai
2018.06.14. 18
• ATCSECbiztonságiosztályaibólszármaztatottbiztonságiosztályok
• Főképpenoperációsrendszerekrealkalmazhatók
F-C1,F-C2,F-B1,F-B2,F-B3
• Azadatokésprogramokintegritásánakbiztosításához.
• Pl.Adatbáziskezelőrendszerekesetében
F-IN
Az ITSEC biztonsági osztályai
2018.06.14. 19
• Magasrendelkezésreállásúrendszerekhez• Javasoltiparivezérlőegységekesetében
F-AV
• Adatokintegritásánakbiztosításaadatcsereesetében
F-DI
Az ITSEC biztonsági osztályai
2018.06.14. 20
• Azonértékelésicélokszámára,amelyeknekmaximálisbizalmasságotkellbiztosítaniadatcseresorán
• Pl.kriptográfiairendszerek
F-DC
• Olyanhálózatokhoz,amelyeknekmagasbizalmasságiésintegritásikövetelményeketkellbiztosítaniukazadatcseréksorán
• Pl.haazérzékenyinformációkatnembiztonságoshálózatokonkeresztülkellkicserélni.
F-DX
2018.06.14. 21
• AzITSECalapötletétköveti• 11funkcionálisosztálythatározmeg,amelyekben részleteiafunkcionáliskövetelményeket
• Azosztályokbanbelülcsaládokésazokonbelülkomponensek vannakamelyeketkülönjelölnek
• Akomponensekakövetelményekrevonatkozókifejezések
CCtulajdonságai
Common Criteria
A Common Criteriafunkcionális osztályai
2018.06.14. 22
FAU Security audit – Biztonsági audit
FCO Communication – Kommunikáció
FCS Cryptographic support – Kriptográfiai támogatás
FDP User data protection – Felhasználói adatok védelme
FIA Identification and authentication – Azonosítás és autentikáció
FMT Security management – Biztonság menedzsment
FPR Privacy – Adatvédelem (személyes adatok)
FPT Protection of the TSF (TOE Security Functions) - A biztonsági funkciók értékelési céljának védelme
FRU Resource utilisation – erőforrás gazdálkodás
FTA TOE access (Target of Evaluation) – értékelési célok hozzáférhetősége
FTP Trusted path/channels – Biztonságos csatornák
A Common Criteriaértékelési szintjei
2018.06.14. 23
EAL7 Formally verified design and tested – formálisan ellenőrzött tervezés és tesztelés
EAL6 Semiformally verified design and tested – félig formálisan ellenőrzött tervezés és tesztelés
EAL5 Semiformally designed and tested - félig formális tervezés és tesztelés
EAL4 Methodically designed, tested, and reviewed – módszeres tervezés, tesztelés és felülvizsgálat
EAL3 Methodically tested and checked – módszeresen tesztelt és ellenőrzött
EAL2 Structurally tested – strukturálisan tesztelt
EAL1 Functionally tested – funkcionálisan tesztelt
ISO/IEC 27000 szabványcsalád
2018.06.14. 24
• Azinformációbiztonsági irányításirendszerekkelkapcsolatos szabványokattartalmazza,melyekegyrészeelőkészítés,illetvekorszerűsítésalattáll,többségükazonbanmármegjelentésfolyamatoskorszerűsítésalattáll.
AzISO/IEC27000-esszabványcsalád
• Azegyesszabványoktöbbségemagyarszabványként,magyarnyelvennemlétezik.
Fordítás
• AszabványcsaládonbelülközpontihelyetfoglalelazISO/IEC27000ill.ISO/IEC27001szabvány.
• ISO27000:Aszabványcsaládáttekintését ésavalamennyiszabványraérvényesfogalomtárat tartalmazza
• ISO27001:Általánoskövetelmények
Központielemek
ISO/IEC 27000 szabványcsalád
2018.06.14. 25
ISO27000:Áttekintésésszótár
ISO27001:Követelmények
Útmutatók:ISO27002:Code practiceISO27003:Bevezetés
Audit:ISO27006:KövetelményekISMStanúsítóknakISO27007:ISMSauditálásútmutatóISO27008:ISkontrollauditútmutató
Biztonságiterületek,ágazatok:ISO27004:MérésISO27005:Kockázatmgmt.ISO27035:Incidensmgmt.ISO27031:Folytonosság
ISO27033-x:HálózatbiztonságISO27034-x:Alkalmazásbiztonság
ISO27033-x:TelekommunikációISO27034-x:ISMegészségügyben
Forrás: Móricz Pál, Szenzor Gazdaságkutató KFT
MSZ ISO/IEC 27001
2018.06.14. 26
•Teljeskőrűinformációbiztonságmegvalósításaszervezeten/szervezetiegységenbelül
Célja
•Kockázatfelméréséskockázatjavítás•Biztonságpolitika•Azinformációbiztonságszervezete•Vagyontárgyakkezelése•Emberierőforrásokbiztonsága•Fizikaiéskörnyezetibiztonság•Akommunikációésazüzemeltetésirányítása•Hozzáférésellenőrzés
•Információsrendszerekbeszerzése,fejlesztéseéskarbantartása•Azinformációbiztonságiincidensekkezelése•Aműködésfolytonosságánakirányítása•Megfelelőség
Felépítése
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 27
• Akockázatokfelmérése• Akockázatokértékelése• Akockázatokcsökkentése• Rendszerestevékenység!
Kockázatfelméréséskockázatjavítás
• Afelsővezetéselkötelezettségének kinyilvánításaazinformatikaibiztonságkialakításához
• Dokumentáltinformatikaibiztonságipolitika• Avállalatszámáralegfontosabbbiztonságielvek,szabványokéskövetelményekmeghatározása
• Azinformatikaibiztonságpontosmeghatározása,tárgya,keretei,abiztonságfontossága
Biztonságpolitika
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 28
• Szervezetkialakításaszükségesazirányítottinformatikaibiztonságmegvalósításához.(Vezetőifórum,aszervezetműködtetése,koordinációkialakítása,szerepkörök,felelősségekmeghatározása,szervezetiegyüttműködés,tanácsadás,függetlenfelülvizsgálatlétrehozása)
• Harmadikféllelkötöttszerződésekinformatikaibiztonságikövetelményei(titoktartásinyilatkozat,garanciákstb.)
• Azoutsourcing (kiszervezés,vállalkozásbaadás)biztonságiszempontjai(aszerződésnekkülönkellfoglalkozniaabiztonsággal)
• Segregation ofduties (feladatkörökszétválasztása)
Azinformációbiztonságszervezete
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 29
• Vagyonleltár• Afelelősségekmeghatározásaazinformatikaivagyonvédelmére,azadatgazdákkijelölése,aszervezetadatvagyonának(adatbázisok,alkalmazások,rendszerszoftverek,dokumentációkstb.)felmérése,nyilvántartásbavétele,felelősöknévjegyzékénekfelvétele
• Információosztályozásialapelvekéskategóriák,adatokbiztonságiosztályozása(nyilvános,belső,bizalmas,szigorúanbizalmasstb.)
• Azinformációminősítése,címkézése,kezelése
Vagyontárgyakkezelése
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 30
• Azalkalmazásfeltételei(belépéskor,azalkalmazásfolyamánill.kilépéskor)
• Munkakörileírásokbiztonságielőírásai(biztonságiszerepkörökmeghatározása,átvilágítás,adolgozóititoktartás,alkalmazásifeltételek:végzettség,tapasztalat,referenciák)
• Felhasználóioktatás(informatikaibiztonságioktatáséstraining)
• Biztonságieseményekésüzemzavarokkezelése(biztonságiesemények,veszélyekjelentése,rögzítése,atapasztalatokfeldolgozása,fegyelmieljárások)
Emberierőforrásokbiztonsága
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 31
• Védettésnemvédettterületekmeghatározása(beléptetésrendje,abeléptetésfizikaieszközei,amunkavégzésszabályainakrögzítése,avédelmirendszerek:beléptető,monitoringésriasztórendszerekkialakítása)
• Azinformatikaieszközökvédelme(elhelyezés,szünetmentesenergiaellátás,akábelezésbiztonsága,karbantartásiszabályok,védelemüzemiterületenkívül,hordozhatógépekbiztonsága,berendezésújrafelhasználásbiztonsága)
• Általánosvédelmielőírások(védekezésajogtalaneltulajdonításellen:üresíróasztalpolitika,üresképernyőpolitika,eszközkiszállításszabályozása)
Fizikaiéskörnyezetibiztonság
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 32
• Üzemeltetésieljárásokésfelelősségek(dokumentálás,változásokkövetése,fejlesztőiésüzemeltetőikörnyezetelkülönülése,fejlesztőiésüzemeltetőimunkakörökszétválasztása,üzemeltetéskülsőhelyszínen)
• Rendszerektervezéseésátvétele(üzemeltetéskapacitásánaktervezése)
• Vírusvédelem• Rendszerháztartásifeladatok(biztonságimásolatok,operátoriésrendszernaplókkészítése)
• Ahálózatvédelme• Adathordozókkezelésénekbiztonsága• Információésszoftvercsere
Akommunikációésazüzemeltetésirányítása
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 33
• Ahozzáféréseketmeghatározóüzletikövetelmények(mindenkinek csakannyijogosultságalehet,amennyiamunkájavégzéséhez szükséges)
• Afelhasználóihozzáférésekkezelése• Afelhasználófelelősségek (jelszóhasználatiszabályok,felügyeletnélkülhagyotteszközök)
• Hálózatihozzáférésellenőrzés• Hozzáférésijogosultságokazop.rendszerhez• Azalkalmazásokhozzáférésiszabályozása• Hozzáférésekésarendszerhasználatellenőrzése• Hordozhatóeszközökéstávmunka
Hozzáférésellenőrzés
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 34
• Rendszerekbiztonságikövetelményei(analízisésspecifikációk)
• Azalkalmazásirendszerekbiztonsága(beviteliésfeldolgozásikontrollok,kimenetihitelesítés)
• Kriptográfiaikontrollok(rejtjelezés,digitálisaláírás,letagadhatatlanság,kulcsokvédelme)
• Rendszerállományokbiztonságikövetelményei• Rendszerfejlesztésekéskarbantartásokbiztonsága
Informatikairendszerekbeszerzése,fejlesztéseéskarbantartása
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 35
• HelpDesk biztosításaésszabályozottjelentési folyamat• Azincidensekkezelése• Tanulásazinformációbiztonságiincidensekből• Bizonyítékokgyűjtése
Azinformációbiztonságiincidensekkezelése
• Aműködésfolytonosságfenntartásánakszempontjai• Akockázatokfelmérése• Működésfolytonosságitervek(BCP,DRP)*készítése ésbevezetése• Működésfolytonosságitervektesztelése, értékelése• Aműködésfolytonosságitervekkarbantartása,felülvizsgálata,oktatása,tárolása,tesztelése
Aműködésfolytonosságánakirányítása
MSZ ISO/IEC 27001 fejezetei
2018.06.14. 36
• Ajogikövetelményeknekésszabványoknakvalómegfelelés(azalkalmazhatójogszabályokmeghatározása,aszellemitulajdonvédelme,azadatvédelemésaszemélyesadatokvédelme,kriptográfiaiszabályokbetartása,jogkövetkezményűbizonyítékokrögzítése)
• Azinformációvédelmipolitikaésatechnikaimegfelelőségfelülvizsgálata
• Rendszerauditokműködése,védelme
Megfelelőség
Magyar Informatikai Biztonsági Ajánlások (MIBA)
2018.06.14. 37
• AMagyarInformatikaiBiztonságiAjánlások(MIBA)címűajánlássorozatfı célja,hogybiztonságos informatikairendszerekkialakításátésfenntartásátsegítseelő.
Célja
• AMagyarInformatikaiBiztonságiKeretrendszer (MIBIK)szervezetiszempontbólkezeliazinformatikaibiztonságkérdését.EzértaMIBIKabiztonságos informatikairendszerekirányításáért,menedzseléséértfelelősvezetőknek, illetveaszervezetegészérevonatkozókövetelményekteljesülésétértékelőszakembereknekszól.
• AMagyarInformatikaiBiztonságÉrtékelésiésTanúsításiSéma (MIBÉTS)technológiaiszempontból kezeliazinformatikaibiztonságkérdését.EzértaMIBÉTScélközönségeazinformatikairendszerkialakításáért,fejlesztéséértfelelősvezetők,valamintazinformatikaitermékekésrendszerekbiztonságiértékelésétéstanúsításátvégzőszakemberekköre.
• AzInformatikaiBiztonságiIránymutatóKisSzervezetekSzámára (IBIX)olyanszervezetekneknyújtsegítségetbiztonságos informatikairendszereikkialakításához,amelyeknemrendelkeznekjelentősebbinformatikairendszerrel,illetveehhezelkülönült informatikaiszemélyzettel.
Nemzetköziszabványokhozésajánlásokhozigazodvaháromrészbőláll
Forrás: MIBÉTS
Magyar Informatikai Biztonsági Keretrendszer (MIBIK)
2018.06.14. 38
• AMIBIKazISO/IEC27001:2005,ISO/IEC27002:2005ésazISO/IECTR13335 nemzetköziszabványokon,valamintazirányadóEUésNATOszabályozásonalapul.
• MIBIKrészeazInformatikaiBiztonságiIrányításiRendszer(IBIR),amelyaszervezetinformatikaibiztonságánaktervezésére,üzemeltetésére,ellenőrzéséreésjavításáravonatkozik.
• AMIBIKrészeazInformatikaiBiztonságIrányításiKövetelmények(IBIK),amelyazinformatikaibiztonságkezelésénekhatékonyabbátételéheznyújtsegítséget,lehetőségetteremtveakövetelményekésfeladatokszakmailagegységeskezelésére.
• AMIBIKrészeazInformatikaiBiztonságiIrányításVizsgálata(IBIV),amelyazinformatikaibiztonságellenőrzéséhezadmódszertanisegítséget.
Felépítése
Forrás: MIBÉTS
Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS)
2018.06.14. 39
• AzISO/IEC15408:2005ésISO/IEC18045:2005nemzetköziszabványokon,illetveanemzetközilegjobbgyakorlatokonésnemzetisémákonalapul.
• Keretetbiztosítarra,hogyazinformatikaitermékekésrendszerektekintetébenabiztonságifunkciókteljességeéshatásosságaértékelésre kerüljön.
• Értékelésimódszertanaalkalmasazoperációs rendszerek,hardverek,szoftver-alkalmazások,(pl.különbözőprogramnyelvekenmegírtkritikusalkalmazások)speciálisbiztonságiszempontjainakértékelésére.
• Megbízhatóharmadikfelekáltalvégzettbiztonságiellenőrzésésaudit egységesszempontrendszerétalkotja.
Felépítéseéscélja
Forrás: MIBÉTS
Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX)
2018.06.14. 40
• Segítségetnyújtsonazinformatikaibiztonságmegfelelőszintjénekkialakításáhozönkormányzatiésmásinformatikaiszempontbólkisméretűkörnyezetben.
• Javasolt azanyagazonszervezetekszámára,aholaszervezetméreténélfogvanemállrendelkezésrekülönemberiésegyéberőforrásazinformatikairendszerekbiztonságánakkialakításáraésüzemeltetésére,hanemezt„házonbelül”kellmegoldani.
Célja
Forrás: MIBÉTS
Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás
2018.06.14. 41
•AzInformatikaiBiztonságIrányításiRendszerlétrehozásaésműködtetéseaszervezetenbelül
• IBIRalkalmazása
Biztonságkiépítéseésfenntartása
•Védelmikövetelményekmegfogalmazása•InformatikaiBiztonságiSzabályzat(IBSZ)elkészítése,meglévőaktualizálása(érettségiszinttőlfüggően)
•IBIKalkalmazása
Újinformatikairendszerbevezetése
•védelmikövetelményekalapjánazalkalmazásbiztonság-kritikusságánakfelmérése•szükségeseténavédelmi (biztonsági)követelményeknekmegfelelő,értékeltéstanúsítotttermékekkiválasztása
•MIBÉTS1.számúmelléklet: Modellésfolyamatok
Újinformatikaitermékvagyrendszerkiválasztása
Forrás: MIBÉTS
Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás
2018.06.14. 42
• Amennyibennincsmegfelelőenértékelttermék,vagyatermékegyolyankomplexrendszerbenkerülalkalmazásra,melynekegységesértékeléseisszükséges,atermékvagyarendszertechnológiaiszempontú értékeltetéseéstanúsíttatása
• MIBÉTS2.számúmelléklet:Útmutatómegbízóknak
Biztonság-kritikusterméktechnológiaiszempontúértékelésetanúsítása
• Szervezetenkívülifeladat• Technológiaiszempontúértékelésbenéstanúsításbanérintettkülsőrésztvevők(fejlesztő,vizsgálólaboratórium,tanúsítószervezet)végrehajtjákazértékeléstéstanúsítást
• MIBÉTSajánlás:3.,4.és5.számú segédletek(Útmutatófejlesztőknek,Útmutatóértékelőknek,Értékelésimódszertan)
Biztonság-kritikustermékésrendszertechnológiaiszempontúértékeléseéstanúsítása
Forrás: MIBÉTS
Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás
2018.06.14. 43
• Abiztonságiszabályozókésatermékáltalteljesített(értékelt)biztonságifunkciókfeltételrendszerénekösszhangbahozása
• IBIKajánlás
Abeszerzetttermékekésrendszerekbiztonságosüzemeltetése
• Kockázatelemzés• Belsőellenőrzésekelvégzése• Külsőauditmegrendeléseéselfogadása• IBIVajánlás
Arendszerekésadatokminősítése,ahiányosságokmegállapítása
Forrás: MIBÉTS
Informatikairendszereküzemeltetéseésbiztonsága
MSZISO/IECTR13335-1:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.1.rész:Azinformatikaibiztonságfogalmaiésmodelljei
MSZISO/IECTR13335-2:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.2.rész:Azinformatikaibiztonságmenedzseléseéstervezése
MSZISO/IECTR13335-3:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.3.rész:Azinformatikaibiztonságmenedzselésénektechnikái
MSZISO/IECTR13335-4:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.4.rész:Abiztonságiellenintézkedésekmegválasztása
Azinformatikaibiztonságot érintőegyéb szabványok44
Informatikairendszereküzemeltetéseésbiztonsága
MSZISO/IECTR13335-5:2004 Informatika.Azinformatikaibiztonságmenedzselésénekirányelvei.5.rész:Ahálózatbiztonságmenedzselésiútmutatója
MSZISO/IEC13888-1:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.1.rész:Általánosismertetés
MSZISO/IEC13888-2:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.2.rész:Szimmetrikustechnikákonalapulómódszerek
MSZISO/IEC13888-3:2001 Információtechnika.Biztonságtechnika.Letagadhatatlanság.3.rész:Aszimmetrikustechnikákonalapulómódszerek
Azinformatikaibiztonságot érintőegyéb szabványok45
Informatikairendszereküzemeltetéseésbiztonsága
…
MSZISO/IEC11770-1:2005 Informatika.Biztonságtechnika.Kulcsgondozás.1.rész:Keretrendszer
MSZISO/IEC9594-8:2004 Informatika.Nyíltrendszerekösszekapcsolása.Névtár:Anyilvánoskulcs- ésazattribútumtanúsítványkeretszabályai
MSZISO/IEC14888-1:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel.1.rész:Általánosismertetés
MSZISO/IEC14888-2:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel.2.rész:Azonosításalapúmódszerek
Azinformatikaibiztonságot érintőegyéb szabványok46
Informatikairendszereküzemeltetéseésbiztonsága
MSZISO/IEC14888-3:2001 Információtechnika.Biztonságtechnika.Digitálisaláírásokfüggelékkel. 3.rész:Tanúsítványalapúmódszerek
MSZISO/IEC15945:2002 Informatika.Biztonságtechnika.Ajánlás/nemzetköziszabványbizalmiharmadikfél(TTP)digitálisaláírásokalkalmazásáttámogatószolgáltatásaira
Azinformatikaibiztonságot érintőegyéb szabványok47
2018.06.14. 48
Köszönöm a figyelmet!