A nemzeti fejlesztési és gazdasági miniszter utasításai
TITOKTARTÁSI NYILATKOZAT
6. Információbiztonsági eljárások
6.1. Biztonsági szintektõl függõ intézkedések és eljárások
6.1.1. Berendezések fizikai védelme, fizikai és környezeti biztonság
A Minisztérium épületében különbözõ biztonsági zónákat kell kialakítani annak érdekében, hogy az informatikai rendszer kritikussága és a benne kezelt adatok besorolása alapján az informatikai rendszer és környezete a besorolt rend-szerek, adatok megfelelõ fizikai és környezeti védelmét garantálni tudják. Az 5.2.1. pontban meghatározott osztályozási
szintek alapján a fizikai és környezeti biztonság a következõ biztonsági zónák és fizikai, illetve környezeti védelemi megoldások kialakításával valósítható meg.
Zóna követelmények 1. szintû biztonsági zóna (pl.: Normál iroda)
2. szintû biztonsági zóna (pl.: hálózati rendezõk)
3. szintû biztonsági zóna (pl.: Szerverszoba)
Építészeti, kialakítási követelmények
Falak – – Tömör falak kialakítása
szükséges.
Nyílászárók A hálózati rendezõk ajtajai
zárhatók.
Ablakok kialakítása nem le-hetséges, tömör fémajtó és beléptetõ rendszerrel törté-nõ nyitásszabályozás kialakítása szükséges.
Födém, padlószerkezet – – Álpadló, antisztatikus
bur-kolat kialakítása szükséges.
Hozzáférési, belépési követelmények Belépés, beléptetés
eszközei
– A hálózati rendezõkhöz
va-ló hozzáférés kulccsal törté-nik.
A helyiségekbe történõ be-lépés mágneskártyával tör-ténik.
A belépés engedélyeztetése, naplózása
Normál a Minisztérium te-rületére érvényes belépési engedélyeztetés szükséges.
Általános belépési követel-ményekhez kapcsolódó naplózások vonatkoznak rá.
A hálózati rendezõkhöz va-ló hozzáférés kulcsok felvé-telével és dokumentálásával lehetséges. Másolásvédett kulcsok használata szüksé-ges, a kulcsokból egy pél-dány a raktárért felelõs rendszergazdánál, egy pe-dig lepecsételt borítékban a biztonsági szolgálatnál.
A szerverszobához történõ hozzáférések engedélyezése az informatikai fõosztályve-zetõ és/vagy az információ-biztonsági megbízott hatásköre.
A beléptetõrendszer auto-matikus naplózásának ki-alakítását kell kialakítani.
Környezeti követelmények
Klimatizálás – Klimatizálás kialakítása
szükséges.
Redundáns klimatizálás ki-alakítása szükséges.
Páratartalom szabályozása
– A páratartalom
szabályozá-sa szükséges.
Hõmérséklet szabályozása – – Légkondicionálással a
hõ-mérséklet szabályozását meg kell oldani.
Áramellátás szabályozása – Az áramellátás szabályozá-sa szükséges.
Az áramellátás szabályozá-sa, és redundáns kialakítása szükséges.
Biztonsági követelmények
Tûzvédelem Kézi tûzoltó készülékek ki-helyezése szükséges a tûz-védelmi elõírásoknak megfelelõen.
Tûzjelzõ berendezés kiala-kítása és kézi tûzoltó készü-lékek elhelyezése
szükséges.
Automata tûzoltó berende-zés kialakítása és kézi tûz-oltó készülékek elhelyezése szükséges.
Árnyékolás védelem – Minimum 20 dB-es
csillapí-tás szükséges az elektromos és mágneses sugárzás ellen.
Minimum 40 dB-es csillapí-tás szükséges az elektro-mos, és mágneses sugárzás ellen.
Zóna követelmények 1. szintû biztonsági zóna (pl.: Normál iroda)
2. szintû biztonsági zóna (pl.: hálózati rendezõk)
3. szintû biztonsági zóna (pl.: Szerverszoba)
Riasztás – Riasztó eszközökkel és
csapdakialakítással kell el-látni, mely illetéktelen behatolás (betörés) és tûz esetén az informatikai fõosztályon jelez.
Biztonsági kamerák – – Videokamerás megfigyelõ
rendszer elhelyezése szük-séges a helyiségben és a he-lyiségbe történõ belépési pontokon.
A kialakított információbiztonsági zónákban történõ munkavégzésre, a zónát veszélyeztetõ fenyegetettségek függvényében, más-más informatikai biztonsági követel-mények tartoznak. Az 1. biztonsági zónába tartozó alap vé-delemmel ellátott zónán kívül a biztonsági zónákban törté-nõ munkavégzésre a következõ biztonsági szabályozások érvényesek.
A 2. szintû biztonsági zónába tartozó helyiségekben tör-ténõ munkavégzés:
– Az informatikai rendszer egyes elemeinek karbantar-tását, javíkarbantar-tását, szerelését csak olyan személyek végezhe-tik, akik titoktartási nyilatkozatot írtak alá, vagy a munka-végzõ személyt foglalkoztató vállalkozás – a megbízásából kiküldött személyre vonatkozóan is – titoktartási kötele-zettséget vállalt.
A 3-as biztonsági zónába tartozó helyiségekben történõ munkavégzés:
– A kiemelt biztonsági zónába tartozó helyiségbe csak a Minisztérium informatikai munkatársai léphetnek be. Az informatikai rendszer egyes elemeinek karbantartását, javí-tását, szerelését csak olyan személyek végezhetik, akik ti-toktartási nyilatkozatot írtak alá, vagy a munkavégzõ sze-mélyt foglalkoztató vállalkozás – a megbízásából kiküldött személyre vonatkozóan is – titoktartási kötelezettséget vál-lalt és a munkájukat csak és kizárólag a Minisztérium infor-matikai munkatársainak felügyelete mellett végezhetik.
6.1.1.1. Irodahelyiségek és informatikai eszközök biz-tonságának szavatolása
A Minisztérium informatikai területére vonatkozó egyéb fizikai védelmi intézkedések a következõk:
– Tûzvédelem szempontjából „D” kategóriába kell so-rolni, és EU-4 szabványnak megfelelõ tûzoltó készülékkel kell ellátni az irodahelységeket az OTSZ elõírásainak meg-felelõen, jelenlegi szabályozás szerint 600 m2, illetve szin-tenként egy egységgel.
– Az IT-helyiségek olyan ajtókkal legyenek ellátva, amelyek legalább 30 perces mûbizonylatolt tûzgátlással rendelkeznek.
– Az IT-helyiségeken belül automatikus és kézi tûzjel-zésadók kerüljenek telepítésre. A jeltûzjel-zésadók jelzéseit mind a helyiségen belül, mind a rendészetnél meg kell jeleníteni.
A jelzésadó eszközök, valamint a jeleket feldolgozó köz-pont feleljen meg az MSZ 9785, valamint az EN 54 szab-ványsorozatok elõírásainak, rendelkezzenek a hazai minõ-sítõ intézetek forgalombahozatali engedélyével. Az infor-matikai eszközöket mûködtetõ szervezeti egységekben a tûzvédelmet a Minisztérium Tûzvédelmi Szabályzata sza-bályozza.
– A számítógéptermeket, a szerverszobákat és a szü-netmentes energiaellátást szolgáló berendezések helyisé-geit klimatizálni kell, úgy, hogy az információtechnológiai eszközök környezeti hõmérséklete mûködés közben 15–22 C°, tárolási hõmérséklete 0–40 C° között maradjon, a relatív páratartalom pedig ne haladja meg a 40%-ot.
Ezekben a helyiségekben vagy legyen olyan tartalék klíma-berendezés, amely az addig mûködõ berendezés meghibá-sodásakor automatikusan beindul, vagy pedig olyan jelzõ-rendszert kell telepíteni, amely a klímaberendezés meghi-básodásakor a rendészetnél jelez. A klímaberendezés üze-meltetése és a tartalék klímára vagy a jelzõrendszerre vo-natkozó karbantartási szerzõdés megléte az informatikai üzemeltetésért felelõs szervezeti egység (a továbbiakban:
üzemeltetés) feladatkörébe tartozik.
Felhasználói számítógépekre és a kapcsolódó perifériák-ra vonatkozó elõírások:
– A felhasználó köteles az általa használt informatikai eszköz épségét, annak mûködõképes állapotát megõrizni.
Bármilyen állapot-, vagy mûködésbeli rendellenességet ta-pasztal, azt az informatikai fõosztálynak jeleznie kell.
– Tilos a felhasználó részérõl bármilyen illetéktelen be-avatkozás, ami a berendezés mûszaki állapotában, mûkö-désében valamilyen változást okozhat. Ide értendõ a beren-dezés szétszedése, átalakítása, vagy bármilyen szoftver te-lepítése.
Az információbiztonsági megbízott és az informatikai fõosztály rendszergazdái a saját azonosítójukkal és jelsza-vukkal jogosultak a felhasználók munkaállomásához hoz-záférni a felhasználók távolléte esetén is, ha beállítási,
kar-bantartási, ellenõrzési, szoftvertelepítési mûveleteket haj-tanak végre. A hozzáféréshez a felhasználók elõzetes hoz-zájárulása szükséges.
Hibajavítás esetén a felhasználó helpdesken keresztül jelzi a meghibásodást és az üzemeltetés ez alapján kezdi meg a hiba elhárítását.
Az informatikai környezet paramétereinek meg kell fe-lelni a KIB 25. ajánlás, 25/1-2. Informatikai Biztonság Irá-nyítási Követelmények kötetének 9. fejezetében foglal-taknak.