Információvédelmi alapbiztonsági osztály

Linkek hozzáadása
A Wikipédiából, a szabad enciklopédiából

Az információbiztonsági alapbiztonsági osztály a személyes adatok, üzleti titkok, pénzügyi adatok, illetve a szervezet belső szabályozásában hozzáférés-korlátozás alá eső (például egyes feladatok végrehajtása érdekében bizalmas) és a nyílt adatok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya.

Minimális követelmények[szerkesztés]

  • az azonosítás és hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni
  • a felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmasnak kell lennie
  • biztosíthatónak kell lennie a felhasználók időszakos vagy végleges tiltásának
  • a természetes személyek mellett a folyamatokat és az egyéb eszközöket is a felhasználók közé kell sorolni
  • jelszókezelési szabályok:
    • a munkaállomásokon a hitelesítés során beírt jelszó ne legyen olvasható szöveg formában
    • a jelszó és a felhasználói azonosító még elektronikus levelezésben sem kerülhet egy küldeménybe
    • a jelszó minden felhasználó számára, bármikor szabadon megváltoztathatónak kell lennie
  • felhasználói jelszavakkal szemben támasztott követelmények:
    • minimális jelszóhossz megadása
    • jelszó egyedisége (történeti tárolás)
    • központi jelszómagadás utáni első bejelentkezéskor kötelező jelszócsere
    • a jelszó minimális és maximális élettartalmának megadása
    • a jelszó zárolása
    • a jelszóképzés szabályainak meghatározása
  • a rendszer hozzáférés szempontjából érdekes erőforrásaihoz (pl. processzor) olyan egyedi azonosítót kell rendelni, amely a hozzáférési jogosultság meghatározásának alapjául szolgál
  • a rendszer felhasználóihoz hozzáférési jogokat kell rendelni
  • a hozzáférés jogosultság menedzselésénél a szabad belátás szerint esetenként kialakított hozzáférés-vezérlés (DAC) elvét kell alkalmazni az alábbi hozzáférési jogokkal:
    • olvasási jog
    • írási jog
    • törlési jog
  • a rendszer alkalmas legyen a hozzáférési jogok egyedi vagy csoportszinten való megkülönböztetésére és szabályozására
  • a rendszer objektumaihoz egyedi, illetve csoporttulajdonságokat kell rendelni az objektum létesítésekor
  • a hozzáférési-események bekövetkezésekor jogosultság-ellenőrzést kell végrehajtani
  • a jogosultsági rendszer támogassa a jogok módosítását, átadását másik személynek, törlését, és átmeneti korlátozását; új jogosultság adását, meglévő jog törlését vagy felfüggesztését csak a jogosított rendszeradminisztrátor végezhesse
  • a jogosulatlan hozzáférési kísérleteket rendszernaplóban kell rögzíteni, melyet rendszeresen értékelni kell
  • online tranzakció jogosultságát minden eseten ellenőrizni kell
  • a rendszeradminisztrátorok jogosultsági rendszerének kialakításakor speciális figyelmet kell fordítani a rendszerparancsok és adatállományok használatának szigorú és pontosan körülhatárolt szabályozására
  • olyan naplózási és regisztrálási rendszert kell kialakítani, hogy utólagosan meg lehessen állapítani az informatikai rendszerben bekövetkezett fontosabb eseményeket
  • a rendszernek szelektíven rögzítenie kell minden egyes felhasználó vagy felhasználói csoport által végzett műveletet, minimálisan regisztrálandó események:
    • rendszerindítások, leállások, leállítások
    • rendszeróra-állítások
    • be/kijelentkezések
    • programleállások
    • azonosítási és hitelesítési mechanizmus használata
    • hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz
    • azonosítóval ellátott erőforrás azonosítása vagy törlése
    • felhatalmazott személyek műveletei, amelyek érintik a rendszer biztonságát
  • a biztonsági naplót minimum havonta egyszer ellenőrizni és archiválni kell
  • meg kell határozni, hogy a biztonsági napló mely eseményet kell jegyzőkönyvezni, szankcionálni, és hogy melyek ezek a szankciók
  • a biztonsági naplóhoz és az archívumokhoz csak az arra felhatalmazott személy férhet hozzá
  • az informatikai rendszer üzemeltetéséről üzemeltetési naplót kell vezetni, melyet folyamatosan ellenőrizni kell
  • illetéktelen hozzáférés illetve visszaélés esetére intézkedési tervet kell kidolgozni
  • egy rendszeren belül a különböző adattípusokat annyira el kell különíteni , hogy megállapítható legyen a hozzáférések jogosultsága
  • ki kell alakítani a biztonság belső ellenőrzésének rendszerét, meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét

Infrastruktúra[szerkesztés]

  • a védendő helyiséget minden oldalról legalább 6 cm vastagságú tömör téglafal szilárdsági mutatóival egyenértékű falszerkezetnek kell határolnia
  • az ajtószerkezetek reteszhúzás ellen védve vannak, az ajtók és ablakok ráccsal nem védett üvegei legalább 6 cm vastagságúak
  • felügyelet hiányában az ajtókat kulccsal vagy beléptetőrendszerrel kell működtetni

Hardver és szoftver[szerkesztés]

  • a számítástechnikai eszközökre a MABISZ ajánlásait kell alkalmazni
  • a PC-s munkaállomásoknál a felhasználói jelszóhasználat biztosítva, míg a külső adathordozó használata tiltható legyen
  • a külső adathordozóról való rendszerindítást technikai eszközökkel meg kell akadályozni
  • a rendszer egészére kiterjedő, folyamatos vírusvédelmet kell alkalmazni
  • a szoftverben megvalósított védelmet az operációs - illetve a felhasználói rendszer gyengítése nélkül kell használni
  • össze kell állítani, és elérhető helyen kell tárolni a számítástechnikai eszközöket használni jogosultak névsorát, illetve feladataikat
  • a programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kell kezelni

Irodalomjegyzék[szerkesztés]

  • Muha Lajos-Bodlaki Ákos: Az informatikai biztonság, 2003, Budapest, PRO-SEC Kft., ISBN 9638602260
A lap eredeti címe: „https://hu.wikipedia.org/w/index.php?title=Információvédelmi_alapbiztonsági_osztály&oldid=19665156