MeH ITB 12. számú ajánlás

A Wikipédiából, a szabad enciklopédiából
Jump to navigation Jump to search

A MeH ITB 12. számú ajánlás a Magyar Köztársaság Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága által 1996-ban kiadott ajánlása, mely az Informatikai Rendszerek Biztonsági Követelményei címen jelent meg.

A dokumentum lefedi az informatikai biztonság összes - adminisztratív, fizikai és logikai védelmi - területét. Használatával a működő, illetve a megvalósítás előtt álló informatikai rendszerek és környezetük fizikai, logikai és adminisztratív védelmi követelményei konkrétan megfogalmazhatóak és megvalósíthatóak.

Felépítés[szerkesztés]

Az ajánlás az információvédelem és a megbízható működés területekre 3-3 biztonsági osztály határoz meg, melynél az osztályba sorolás alapja az adott osztályban tárolandó adatok érzékenysége. A biztonsági követelmények az osztályok szerint egyre magasabb szintű biztonságot nyújtanak.

  • információvédelmi alapbiztonsági osztály (IV-A): személyes adatok, üzleti titkok, pénzügyi adatok, illetve az intézmény belső szabályozásában hozzáférés-korlátozás alá eső és a nyílt adatok feldolgozására, tárolására alkalmas rendszerek
  • információvédelmi fokozott biztonsági osztály (IV-F): szolgálati titok, valamint a nem minősített adatok közül a személyes adatok, a nagy tömegű személyes adatok, banktitkok, közepes értékű üzleti titkok feldolgozására, tárolására alkalmas rendszerek
  • információvédelmi kiemelt biztonsági osztály (IV-K): államtitok, katonai szolgálati titok, valamint a nem minősített adatok közül a nagy tömegű különleges személyi adatok és a nagy értékű üzleti titkok feldolgozására, tárolására alkalmas rendszerek
  • megbízható működési alapbiztonsági (MM-A) osztály: 95,5%-nál alacsonyabb rendelkezésre állású rendszerek
  • megbízható működési fokozott biztonsági (MM-F) osztály: 99,5%-nál alacsonyabb rendelkezésre állású rendszerek
  • megbízható működési kiemelt biztonsági (MM-K) osztály: 99,95%-nál magasabb rendelkezésre állású rendszerek

Intézkedési lista[szerkesztés]

Az ajánlást biztonsági osztályonként, a védelmi területek szerinti csoportosításban intézkedési lista formában adták ki. Az intézkedések az alábbi sorrendben kerültek kiadásra:

  • általános intézkedések
  • infrastruktúra
  • hardver, szoftver
  • adathordozók
  • dokumentációk
  • adatok
  • kommunikáció, osztott rendszerek
  • személyek

Kárérték szintek[szerkesztés]

0: jelentéktelen kár[szerkesztés]

  • közvetlen anyagi kár 10 000 Ft-ig
  • közvetett anyagi kár 1 embernappal állítható helyre
  • társadalmi-politikai hatás: nincs bizalomvesztés, a probléma a szervezeti egységen belül marad
  • testi épség jelentéktelen sérülése 1-2 embernél
  • nem védett adat bizalmassága vagy hitelessége sérül

1: csekély kár[szerkesztés]

  • közvetlen anyagi kár 100 000 Ft-ig
  • közvetett anyagi kár 1 emberhónappal állítható helyre
  • társadalmi-politikai hatás: kínos helyzet a szervezeten belül
  • könnyű személyi sérülés 1-2 embernél
  • hivatali, belső intézményi szabályozóval védett adat bizalmassága vagy hitelessége sérül

2: közepes kár[szerkesztés]

  • közvetlen anyagi kár 1 000 000 Ft-ig
  • közvetett anyagi kár 1 emberévvel állítható helyre
  • társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel, a káreseménnyel kapcsolatos információk, hírek, cikkek jelennek meg a nyilvános fórumokon, médiában, a szervezet jó hírneve sérül
  • több könnyű, vagy 1-2 súlyos emberi sérülés
  • személyes adatok bizalmassága vagy hitelessége sérül
  • egyéb jogszabállyal védett (üzleti, orvosi, stb.) titok bizalmassága vagy hitelessége sérül

3: nagy kár[szerkesztés]

  • közvetett anyagi kár 10 000 000 Ft-ig
  • közvetett anyagi kár 1-10 emberévvel állítható helyre
  • társadalmi-politikai hatás: bizalomvesztés a szervezet felső vezetésével szemben, a középvezetésben személyi konzekvenciák, a szervezet jó hírneve súlyosan sérül
  • több súlyos, vagy tömeges könnyű sérülés
  • szolgálati titok bizalmassága vagy hitelessége sérül
  • szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül
  • banktitok, közepes értékű üzleti titok bizalmassága vagy hitelessége sérül

4: kiemelkedően nagy kár[szerkesztés]

  • katonai, szolgálati titok bizalmassága vagy hitelessége sérül
  • közvetlen anyagi kár 100 000 000 Ft-ig
  • közvetett anyagi kár 10-100 emberévvel állítható helyre
  • társadalmi-politikai hatás: súlyos bizalomvesztés a szervezet felső vezetésével szemben, melyeket személyi konzekvenciák követnek, a szervezet működésbeli és/vagy gazdaságbeli helyzete súlyos veszélybe kerül
  • 1-2 ember halála, vagy tömeges sérülések
  • államtitok bizalmassága vagy hitelessége sérül
  • nagy tömegű szenzitív személyes adat bizalmassága vagy hitelessége sérül
  • nagy értékű üzleti titok bizalmassága vagy hitelessége sérül

4+: katasztrofális kár[szerkesztés]

  • közvetlen anyagi kár 100 000 000 Ft felett
  • közvetett anyagi kár több, mint 100 emberévvel állítható helyre
  • társadalmi-politikai hatás: súlyos bizalomvesztés a szervezet felső vezetésében és kormányzati szinten, személyi konzekvenciákkal
  • tömeges halálesetek
  • különösen fontos államtitok bizalmassága vagy hitelessége sérül

Korrekció[szerkesztés]

Minden konkrét kockázatelemzéses vizsgálat vagy adatérzékenység-elemzés vizsgálatnál első lépésként az adott vállalat jellemzőit feltérképezik, majd a kárértékszint-definíciókban lévő számértékeket a realitásoknak megfelelően korrigálhatják.

Irodalomjegyzék[szerkesztés]

Az Informatikai Tárcaközi Bizottság 12. sz. ajánlása: Informatikai rendszerek biztonsági követelményei