Biztonsági szintektõl független intézkedések és eljárások

6.2.1. Vírusvédelem

A vírusvédelem célja a Minisztérium informatikai rend-szerének rosszindulatú/kártékony programok elleni védel-mének biztosítása. A védelem kialakítása során jelentkezõ biztonsági elõírások két szinten jelentkeznek (felhasználói és rendszergazdai szinten).

6.2.1.1. Aktív védelem

A vírusvédelmi rendszer fõ komponense az aktív (tárre-zidens, valósidejû) védelem, mely a számítógép mûködése során állandóan dolgozik. Feladata a felhasználói munka során igénybe vett állományok (programok, adatok, doku-mentumok) közvetlenül a használat elõtti vírusellenõrzé-se. Az aktív védelem kikapcsolása tilos!

Amennyiben a felhasználó a víruskeresõ program lefut-tatása során vírust észlel, fel kell jegyeznie a vírus nevét, a fertõzött file nevét, a munkaállomása számát, és ezeket az adatokat jelenteni kell a HelpDesk felé, aki gondoskodik a vírus további terjedésének megakadályozásáról, és – amennyiben a felhasználói gépen futó program automa-tikusan nem törölte – a vírus szakszerû kiirtásáról.

Az aktív védelem a rendszergazda által bármely okból történt kikapcsolása esetén a passzív védelem kiemelt je-lentõségû, ezért a rendszergazda felelõssége a vírusvéde-lem megoldása (akár pl. hálózati kábel kihúzása stb.).

6.2.1.2. Elektronikus levelezés vírusvédelme

Az elektronikus levelezés a vírusok továbbításának leg-gyorsabb és leggyakoribb módja, ezért erre külön figyel-met kell fordítani.

Ha a levél vagy a csatolt állomány fertõzött, arról a ví-ruskeresõ szoftver értesíti a felhasználót és a rendszergaz-dát. Ha az aktív védelem képes volt a fertõzés

eltávolításá-ra, akkor – a felhasználó rendszergazdával történõ egyez-tetése után – a munka megkezdhetõ. Ha az aktív védelem nem képes a fertõzés eltávolítására, akkor a víruskeresõ rendszer a fertõzött állományt karanténba helyezi.

Az e-mailben ok nélkül, váratlanul vagy a levél szöve-gében nem indokoltan érkezett állomány esetében a mel-léklet tartalmának személyes (pl. telefonos) vagy e-mail-ben történõ ellenõrzése szükséges. Ha a küldõ nem szán-dékosan mellékelt az e-mailhez állományt, akkor semmi esetre sem szabad megnyitni. Ilyen esetben a rendszergaz-da értesítése szükséges.

6.2.1.3. Passzív védelem (offline ellenõrzés)

A passzív védelem feladata a teljes állományrendszer átvizsgálása, tekintet nélkül az állományok használatba vételére. A víruskeresõ rendszer frissítése esetén naponta el kell végezni.

A munkaállomásokon a víruskeresõ programokat úgy kell beállítani, hogy hetente egyszer (az elsõ bejelentke-zéskor) megtörténjen az automatikus és kikényszerített ví-rusteszt futtatása. A tesztek eredményét automatikusan el-lenõrizhetõ logfile(ok)ba kell rögzíteni. A rendszerbe kí-vülrõl bekerülõ adatokat (akár floppyn, pendrive-on beér-kezõ, akár az internetrõl letöltött adatról van szó) felhasz-nálás elõtt vírusellenõrzésnek kell alávetni. A víruskeresõ programok munkaállomásokon történõ lefuttatása a fel-használó feladata és felelõssége.

A passzív védelem futása több idõt is igénybe vehet, mi-vel sok állomány ellenõrzését végzi. A víruskeresést meg-szakítani tilos.

A passzív védelem különösen fontos akkor, ha az aktív védelem valamilyen okból deaktivált. Az újbóli aktiválá-sig a passzív védelem használata a felhasználó feladata és felelõssége, aki köteles minden, a rendszerbe bekerülõ adat (pl. floppylemez, CD-ROM, Pendrive, e-mail mellék-let) ellenõrzését a passzív védelmi rendszerrel azonnal, a felhasználás elõtt elvégeztetni.

6.2.1.4. Telepítés

A víruskeresõ rendszerek konkrét telepítésnek megszer-vezése, a telepítés automatizálása a rendszergazdák fel-adata, ennek eredményeképpen minden külsõ adat fogadá-sára alkalmas munkaállomáson rendszeresen frissített ví-rusfigyelõ és -törlõ programnak kell mûködnie.

Az újonnan rendszerbe állított, illetve újratelepített szá-mítógépeken gondoskodni kell a víruskeresõ rendszer azonnali telepítésérõl. Megfelelõen friss vírusvédelmi rendszer nélkül szervert és munkaállomást üzembe állítani tilos!

Az alkalmazott víruskeresõ rendszernek képesnek kell lennie, hogy a hálózaton keresztül központosítva felügyel-hetõ változatokat telepítsen. A telepítéskor gondoskodni kell róla, hogy a hálózati adminisztráció során egyértelmû-en megkülönböztethetõk legyegyértelmû-enek a különbözõ gépektõl érkezõ adatok (üzenetek, jelentések, vírusminták stb.).

A rendszergazda feladata a központosított menedzselés vagy elõkészítetlen telepítõkészlet hiányában telepítéskor a szükséges konfiguráció beállítása, illetve lehetõség sze-rint gondoskodni arról, hogy a felhasználók önhatalmúlag ne csökkenthessék a vírusvédelmi rendszer mûködésének hatékonyságát.

A központi gépeken és a tûzfalon a vírusvédelem prog-ramjait úgy kell installálni, hogy minden file-megnyitás, futtatható file indítása, és file-írási mûveletet automatiku-san ellenõrizzenek. Az ellenõrzés felfüggesztése tilos.

6.2.1.5. Frissítések

A víruskeresõ rendszerek frissítése két vonalon zajlik: a vírusadatbázisoknak, illetve maguknak a víruskeresõ mo-toroknak a frissítése. Általánosan a vírusadatbázisok fris-sítése lényegesen gyakoribb.

A víruskeresõ programok frissítéseit (vírusinformációs adatfájlok és motorok) célszerû az interneten keresztül el-végezni. A hálózat tehermentesítése érdekében belsõ, a Minisztériumra vonatkozó frissítési szerkezetet kell kiala-kítani:

A víruskeresõ programok frissítését, valamint a kliens eszközökre történõ replikációt úgy kell beállítani, hogy az automatikusan, naponta legalább egyszer megtörténjen.

Ennek technikai kidolgozása az informatikai fõosztályve-zetõ felelõssége rendszer szintû beállítása pedig a rend-szergazda feladata.

A víruskeresõ rendszert fejlesztõ cégektõl érkezõ fi-gyelmeztetésekre reagálva indokolt esetben az azonnali kiegészítõ vírusadatbázis-frissítés szükséges.

A vírusvédelemmel kapcsolatos valamennyi frissítést (vírusadatbázis, biztonsági frissítések, keresõmotor stb.) az üzemeltetésért felelõs rendszergazda végzi.

6.2.2. Elektronikus levelezés biztonsága

A Minisztériumnak joga van az e-mail forgalom archi-válására és indokolt esetben, az információbiztonsági igazgató engedélyével betekintésre kivételes és indokolt esetben (fegyelmi eljárás, biztonsági incidens). Az eljárást dokumentálni szükséges az indokok, a hozzáférések idõ-pontjának és a megtekintett postafiókok és érintett felhasz-nálók feltüntetésével.

Az elektronikus levelek személyes adatokat is tartal-mazhatnak, ezért az e-mail adatbázisok védelmét a szemé-lyi adatokra vonatkozó szabályok alapján kell kialakítani.

A felhasználói postafiókból e-mailek kimentése a háló-zati személyes meghajtón kívül bármilyen jellegû adathor-dozóra szakállamtitkári, vagy annál magasabb beosztású vezetõ írásos engedélyével lehetséges. A felmondási ide-jüket töltõ Minisztériumi munkatársak felhasználói posta-fiókjából e-mailek kimentése a hálózati személyes meg-hajtón kívül bármilyen jellegû adathordozóra szakállam-titkári, vagy annál magasabb beosztású vezetõ, valamint az Információbiztonsági Igazgató együttes írásos engedé-lyével lehetséges.

Az elektronikus levelezésnél tartalomszûrést kell al-kalmazni, amely minimálisan a vírusszûrésre ki kell ter-jedjen.

– Az elektronikus levelezés kialakításának szem-pontjai:

= megfelelõ felhasználó azonosítás,

= felhasználónkénti tár méret korlátozás,

= távoli elérés esetén titkosítás alkalmazása,

= távoli elérés esetén az egyes csatornák felhaszná-lónkénti korlátozása.

6.2.2.1. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban

– A munkavégzéssel kapcsolatosan már nem használ-ható leveleket rendszeresen el kell távolítani a felhaszná-lók postafiókjából.

– A levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például az angol nyelven írt, nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket hala-déktalanul törölni kell. Ha a felhasználó bizonytalan a le-véllel kapcsolatos teendõt illetõen, segítséget a rendszer-gazdától kérhet.

– A felhasználóknak tilos láncleveleket készíteni és to-vábbítani. Tilos továbbá más felhasználóktól, illetve külsõ hálózatról kapott támadó, vagy „szemét” („junk”) jellegû, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez a rendszergazda nyújthat segítséget.

– A tárterületek védelmének érdekében a Minisztérium informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhetõ módon törté-nõ elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl, csak egy példányban legyen tárol-va a rendszerben.

– A felhasználóknak tilos a Minisztérium nevében olyan e-mailt küldeni, csatolt fájlt megjelentetni elektro-nikus hirdetõtáblákon vagy egyéb fórumokon, melyek:

= a Minisztérium hírnevét, vagy az ügyfelekkel való kapcsolatát ronthatják, illetve a Minisztérium ügy-feleinek érdekét sérthetik,

= törvényt, illetve a Minisztérium belsõ szabályza-tait sértik,

= a Minisztérium bizonyos területekre vonatkozó ál-láspontját képviselik, fejezik ki,

= szerzõi jogokat sérthetnek,

= vírusokkal fertõzhetnek meg bármely hálózatot.

6.2.3. Internet-szolgáltatás szabályozása

A Minisztérium informatikai rendszerét fenyegetõ ve-szélyek száma nõ az internetre való kapcsolódással. Az így keletkezõ veszélyforrások kiküszöbölése a szükséges technikai feltételek megteremtésével és az elõírások betar-tásával lehetséges. Az internet felhasználása csak a

Mi-nisztérium ügymenetének érdekének megfelelõen kialakí-tott és betarkialakí-tott szabályok alapján történhet.

Az internet-szolgáltatás minõségének szinten tartása és a minisztériumi érdekek biztosítása céljából, a rendszer-gazda az informatikai fõosztályvezetõ engedélyével bizo-nyos korlátozásokkal élhet.

A korlátozások a következõkre térhetnek ki:

– Bizonyos file-típusok letöltésének korlátozása, – Alapvetõ etikai normákat sértõ oldalak látogatásának tiltása,

– Illetve a látogatható weboldalak körének behatárolá-sa és a maximális file letöltési méret korlátozábehatárolá-sa.

Adott szervezeti egység vezetõje – amennyiben ezt in-dokoltnak tartja – letilthatja a szervezeti egységhez tartozó munkatársak internet-hozzáférését. Ezt a szervezeti egy-ség vezetõje írásban kérheti az informatikai fõosztályveze-tõtõl.

A Minisztérium munkatársai csak az Informatikai Fõ-osztály által engedélyezett internet kijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon tör-ténõ internetelérés létesítése az azt kialakító munkavállaló felelõsségre vonását eredményezi.

Az informatikai rendszer biztonsága érdekében az inter-netfelhasználók által meglátogatott oldalak a rendszergaz-dák által folyamatosan naplózásra kerülnek. A naplók szi-gorúan titkosak, azokat az adatvédelmi elõírásoknak meg-felelõen kell kezelni.

Felhasználók internethasználatára vonatkozó általános szabályok:

– Csak a munkavégzéshez, szakmai tájékozottság bõ-vítéshez információt, segítséget nyújtó oldalak látogat-hatók.

– Mindig szem elõtt kell tartani a Minisztérium érdekeit és a törvényi s a belsõ szabályok által szabott határokat.

– A Minisztérium munkatársai nem tölthetnek fel egyé-nileg a Minisztériummal kapcsolatos adatot az internetre,

– Az internetrõl csak a munkavégzéshez szükséges adat-állományok, táblázatok, programok tölthetõk le, a hálózatra csatlakoztatott gépre, vagy a szerverre való telepítés elõtt az internetrõl letöltött fájlt egyéni vírusellenõrzés alá kell vetni.

Amennyiben a felhasználó a vírusellenõrzést nem tudja le-folytatni, köteles értesíteni a rendszergazdát.

6.2.4. Szoftvereszközök használatának szabályozása Az informatikai biztonság teljes körû megvalósításához hozzájárul a jogtiszta szoftverek és a szoftvereszközök jogszerû használata, valamint szoftverek biztonságos ke-zelése.

A Minisztérium szoftvereinek nyilvántartása érdekében szoftverleltárt kell létrehozni. A szoftverleltár kialakítását erre a célra szolgáló szoftver és rendszeres szoftver-audit segítségével kell megvalósítani.

A rendszeres szoftver-vizsgálat során ellenõrizni kell:

– A használatban lévõ szoftverek rendelkeznek-e li-cence-szel,

– A megvásárolt licencek számának a használt szoftve-rek mennyiségével arányban kell lenniük

– A használt szoftverek verziószámát.

– A ténylegesen használt szoftverek megegyeznek-e a szoftverleltárban foglaltakkal.

A szoftver-vizsgálat lebonyolítása az informatikai fõ-osztályvezetõ felelõssége és a rendszergazdák feladata, amit évente egyszer kell elvégezni. A szoftver-vizsgálat eredményei alapján frissíteni kell a szoftverleltárt. A szoft-verleltár frissítése az üzemeltetés feladata az informatikai fõosztályvezetõ, és az információbiztonsági igazgató kez-deményezésére.

A szoftvereszközök telepítésére és használatára vonat-kozó általános szabályok:

– A Minisztérium munkaállomásaira csak eredménye-sen tesztelt szoftverek telepíthetõk. A telepítést minden esetben a rendszergazda végzi.

– Tilos a munkaállomásokra licence-szel nem rendel-kezõ a kereskedelmi forgalomban beszerezhetõ, vagy nem Minisztérium által fejlesztett szoftvert telepíteni.

– A Minisztérium által vásárolt és kifejlesztett szoftve-rek (és a hozzájuk tartozó dokumentumok) másolása és át-adása harmadik félnek tilos, hacsak megfelelõ licencszer-zõdés ezt külön nem szabályozza.

– A felhasználók csak a rendszergazdák által telepített szoftvereket használhatják,

– A felhasználók rendelkezésére bocsátott hardver- és szoftvereszközök a Minisztérium, vagy az üzemeltetés tu-lajdonát képezik, amelyek ellenõrzését az információbiz-tonsági igazgató bejelentés nélkül bármikor kezdemé-nyezheti.

6.2.4.1. Tûzfalakkal kapcsolatos szabályozások A tûzfalak biztonsági beállításainak meg kell felelniük az alábbi elvárásoknak és a feladatok elvégzését biztosíta-ni kell:

– A tûzfal rendszer naplóinak elemzése (napi szinten).

– A tûzfalak beállításainak és naplóállományainak mentése (naponta).

– A beállított szabályok mûködésének tesztelése.

– A tûzfalak szabályainak felülvizsgálata (éves szintû felülvizsgálat minimálisan javasolt).

– A tûzfal rendszer kialakításának felülvizsgálata (mi-nimum évente, illetve az infrastruktúrában történt fejlesz-tések alkalmával javasolt elvégezni).

– Meg kell határozni a normál mûködéstõl eltérõ ese-mények, hibák kezelésének felelõsségeit, eljárásait, annak érdekében, hogy a visszaállás a leggyorsabban végrehajt-ható legyen.

– A tûzfal rendszerrel kapcsolatosan dokumentálni kell az alábbiakat.

– A tûzfalon felismerhetõ biztonsági incidenseket, azok megszüntetésére tett intézkedéseket.

– Mûködési incidenseket, azok megszüntetésére tett in-tézkedéseket.

– A tûzfalak frissítéseinek (biztonsági frissítések, ver-ziófrissítések) végrehajtását.

6.2.5. Betörésvédelem, betörésdetektálás

A Minisztérium informatikai hálózatába történõ belépé-seket betörésdetektáló és védelmi szoftverek alkalmazásá-val kell védeni az illetéktelen behatolástól. (IDS/IPS)

A betörésvédelmi és betörésdetektáló rendszerek tech-nikai kialakítása a hálózatüzemeltetésért felelõs szolgál-tató feladata.

A technikai kialakítás során a betörésvédelmi rendszert úgy kell kialakítani, hogy a betörési kísérletek naplózása megoldott legyen. Továbbá ki kell alakítania betörésvé-delmi rendszerhez kapcsolódó riasztási rendszert, mely egy esetleges sikeres betörési kísérlet esetén az üzemelte-tésért felelõs szolgáltató kijelölt rendszergazdájának auto-matikus riasztást generál.

Egy sikeres behatolási kísérlet esetén a rendszergazda köteles az információbiztonsági vezetõt és az Informatikai Fõosztály vezetõjét is értesíteni.

6.2.6. Távoli hozzáférés, wireless kapcsolat szabályo-zása

A Minisztérium informatikai rendszerének távoli eléré-sét csak és kizárólag az egyedi engedélyezési eljáráson át-esett authentikáció, illetve a szerzõdésben meghatározott feltételekkel külsõ személyek (a rendszerjavításához, kar-bantartáshoz) használhatják a rendszerek besorolásának függvényében.

A távoli hozzáférés kialakítása az alábbi technikai meg-oldási módot használva lehetséges:

1. WebMail szolgáltatás – OWA-elérésen keresztül 2. VPN-kapcsolat

Az interneten keresztül felépített VPN-kapcsolatnál az IP-alapú kommunikáció titkosított adatcsatorna kialakítá-sán keresztül zajlik.

3. Extranet kapcsolat

4. Hardver alapú authentikációs eszközök

Mindegyik kapcsolat kialakítása esetén a rendszer beál-lításai által gondoskodni kell az egyértelmû felhasználói azonosításról és authentikációról, a naplózásról, illetve a kapcsolatok megfelelõ tûzfalas védelmérõl. Emellett szük-séges hardver authentikációs eszköz igénylése, illetõleg használata a megfelelõ biztonsági szint elérése érdekében a kapcsolódó munkautasítás szerint.

6.2.7. Mobil IT-tevékenység, hordozható informati-kai eszközök

A laptopok használatával kapcsolatban a következõ biz-tonsági paraméterek betartása kötelezõ:

– A Minisztérium tulajdonát képezõ hordozható sze-mélyi számítógépeket a Minisztérium területén kívül csak az arra felhatalmazott személyek használhatják.

– A mobil eszközök átvételéhez átadás-átvételi doku-mentumokat kell készíteni.

– Valamennyi a Minisztérium tulajdonát képezõ hor-dozható személyi számítógépet rendszeres szoftver-, adat-és biztonsági ellenõrzadat-éseknek kell alávetni.

A személyi számítógépeket és az ahhoz kapcsolódó szá-mítástechnikai berendezéseket szállító személyek:

– Kötelesek a számítógépet a szállítás idejére lehetõleg minél kevésbé szem elõtt lévõ módon elhelyezni.

– Tilos a számítógépet a gépjármûben hagyni.

– Repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell szállítani.

– Azokban az esetekben, amikor az eszközöket nem a Minisztérium tulajdonában lévõ telephelyen (szálloda, la-kás) kell hagyni, fokozott figyelmet kell szentelni a jogo-sulatlan hozzáférés, az adatok esetleges módosítása, meg-rongálása, vagy ellopása elleni védelemnek.

– Tilos az engedély nélküli átruházása vagy adatainak közlése.

– Megfelelõ védelem nélkül idegen hálózathoz csatla-kozni.

– Tilos a gépet bármilyen indokolatlan veszélynek ki-tenni vagy nem rendeltetésszerûen használni.

A Minisztérium titkos adataiból csak azon adatokat sza-bad hordozható személyi számítógépen tárolni

– Mely adatokról központi biztonsági mentés készül.

– Biztosítani lehet a törvényileg, jogszabályilag, belsõ szabályzattal elõírt adatbiztonságot és adatvédelmet.

– A hordozható eszközön is megoldott a titkosított tá-rolás lehetõsége.

A mobil eszközök biztonsági beállításait, illetve háttér-tárolóinak tartalmát rendszergazdáknak és az információ-biztonsági megbízottnak legalább negyedévenként ellen-õriznie kell. Az ellenõrzés során fokozott figyelmet kell szentelni a következõknek:

– Az adott eszközön a biztonsági beállítások, vírusvé-delmi és egyéb biztonsági eszközök beállításai megfelel-nek-e az elõírtaknak.

– Az állományok lokális tárolására vonatkozó szabá-lyok betartásra kerülnek-e.

– Az eszközön fellelhetõ naplóállományokban nincs-e nyoma rendellenes mûveleteknek, jogosulatlan haszná-latnak.

6.2.8. Papír alapú dokumentumokat elõállító hálóza-ti eszközök kezelése

A dokumentumok elõállítására alkalmas eszközök (nyomtató, plotter, fax) használatára az egyéb informatikai eszközökre vonatkozó szabályozások érvényesek. A fel-használók számára tiltott tevékenységek a Minisztérium adatait nyomtatott formában megjelenítõ eszközök esetén is hatályosak.

A BS7799 szabvány által elõírt felhasználói felelõssé-gek iratok esetén érvényesek.

– Õrizetlenül hagyott felhasználói információk és do-kumentumok

– Tiszta-asztal politika

7. Informatikai rendszerek fejlesztése és

In document III. Utasítások, jogi iránymutatások (Pldal 159-163)