SZERVEZET Felelõsségi körök

In document A GAZDASÁGI ÉS KÖZLEKEDÉSI MINISZTÉRIUM HIVATALOS LAPJA (Pldal 23-29)

1.1.1. Biztonságért felelõs szervezet kialakítása

Feladat: A biztonságért felelõs szervezetnek a következõ munkaköri feladatok ellátá -sát kell megoldani (munkaköri leírás elkészítése vagy pontosítása révén):

biztonságért felelõs vezetõ– a hálózat informatikai biztonságáért, és ennek megfelelõen magáért a (csatlakozott szervezeti, illetve üzemeltetõi) Biztonsá-gi Szabályzat (BSz) meglétéért, tartalmáért felelõs személy

biztonsági felügyelõk– az adott Felhasználó Szervezet / VPN gazda szerve-zet Biztonsági Szabályzata (BSZ) betartásának ellenõrzéséért felelõs szemé-lyek

biztonsági szakértõk– a hálózat biztonságát célzó védelmi intézkedésekért, a káresemények elemzéséért, a BSZ naprakészen tartásáért felelõs személyek A megfelelõ személyek körültekintõ kiválasztása.

Eredmény: Biztonságért felelõs szervezet.

Felelõs: Hálózatgazda (a szabályok meglétéért, EDR-re vonatkozó tartalmáért és a szervezet kialakításáért).

Gyakoriság: A biztonsági elõírások hatálybalépésekor, ezt követõen szükség szerint (meg -felelõ munkatárs távozása stb.).

1.2. Feladatok és hatáskörök pontos meghatározása és dokumentálása

Feladat: Az EDR-rel kapcsolatban pontosan meg kell határozni, hogy mik a feladatok, kinek milyen felelõssége van, és milyen hatáskörrel bír. Mindezt írásban dokumentálni kell, és gondoskodni kell arról, hogy az EDR-rel kapcsolatba kerülõ minden szereplõ tisztában legyen a rá vonatkozó részekkel.

Eredmény: Feladatok és hatáskörök pontos leírása.

Felelõs: Hálózatgazda

Gyakoriság: A biztonsági elõírások hatálybalépésekor, majd ezt követõen legalább évente kell felülvizsgálni, illetve káresemény esetén azonnal.

1.3. Személyzet

1.3.1. Személyzet kiválasztása

Feladat: Mivel az EDR nemzetbiztonsági szempontból is jelentõséggel bír, ezért az azzal kapcsolatba kerülõ, annak tervezésében, üzemeltetésében, karbantartá -sában részt vevõ személyeket a fontos és bizalmas munkakörök betöltésére vonatkozó szervezeti elõírások alapján, illetve az erre vonatkozó jogszabá -lyoknak megfelelõen kell kiválasztani.

Külön figyelmet kell fordítani mindazokra, akik az EDR üzemeltetésében adminisztrátori jogosultságokkal rendelkeznek, az õ megbízhatóságuk ellenõr -zése kiemelten fontos feladat.

Eredmény: Körültekintõen kiválasztott, megbízható személyzet.

Felelõs: Hálózatgazda, Szolgáltató, Felhasználó Szervezetek, VPN gazda szervezet, VPN Központi Menedzser Szervezet

Gyakoriság: A biztonsági szabályok hatálybalépésekor, majd ezt követõen szükség szerint (munkatárs távozása stb.).

1.3.2. Személyzet képzése

Feladat: Feladatuk szerint csoportosítva el kell készíteni a személyi állomány képzé sét segítõ anyagokat és meg kell szervezni azok tervszerû és ellenõrzött vég -rehajtását.

A képzések során fokozott figyelmet kell fordítani biztonsági kérdésekre.

A képzések színvonalát és az elsajátított tudás szintjét ellenõrizni kell.

Eredmény: Képzett, a feladatait megfelelõen ellátni képes, a biztonsági elõírásokkal és teendõkkel tisztában lévõ személyi állomány.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: A biztonsági szabályok hatálybalépésekor, majd ezt követõen szükség szerint (új munkatárs belépése stb.), rendszeres ismeret-karbantartás.

1.3.3. Biztonsági elõírások betartásának ellenõrzése

Feladat: A Hálózatgazda (a biztonsági felügyeletet ellátó szervezeten keresztül) rend szeresen ellenõrizteti a biztonsági elõírások betartását, és megkapja a bizton -sági ellenõrzésekrõl, auditokról készített jelentéseket, amelyeket az érintett szervezetek az elõírt gyakorisággal hajtanak végre annak vizsgálatára, hogy a személyzet tisztában van-e a megfelelõ biztonsági elõírásokkal és be is tartja azokat.

Az ellenõrzéseket dokumentálni kell, a jegyzõkönyveket legalább 5 évig biz -tonságosan, lopástól és manipulációtól védett módon meg kell õrizni.

Eredmény: Betartott biztonsági elõírások.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Rendszeresen, az adott Szervezet sajátosságait szem elõtt tartva lehetõség szerint nem kiszámítható módon.

1.4. Eljárásrend

1.4.1. Védelmi intézkedések ellenõrzése és felülvizsgálata

Feladat: Az üzembiztonság érdekében tett védelmi intézkedéseket a biztonsági fel -ügyelõnek rendszeresen kell ellenõriznie és felülvizsgálnia.

Az ellenõrzéseket és felülvizsgálatokat dokumentálni kell, az ezt tartalmazó jegyzõkönyveket legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell õrizni.

A felülvizsgálat eredményeképp a felügyelõ a védelmi intézkedések módosí-tását kezdeményezheti.

Eredmény: Ellenõrzött, visszakövethetõ és naprakészen tartott védelmi intézkedések.

Felelõs: Hálózatgazda

Gyakoriság: Félévente, illetve káresemény esetén azonnal.

1.4.2. Káresemény kezelése

Feladat: Az üzembiztonság sérülése esetén a felfedezést követõen haladéktalanul meg kell kezdeni az elhárítást és a károk csökkentését (lásd alább a biztonsági események kezelésénél).

A káreseményeket elhárításuk után azonnal elemezniük kell az illetékes biz tonsági szervezeteknek (a Hálózatgazda által kijelölt biztonsági vezetõ irá -nyításával, a kijelölt biztonsági szakértõk végzik).

Az elemzést dokumentálni kell, a jegyzõkönyvet legalább 5 évig biztonságo -san, lopástól és manipulációtól védett módon meg kell õrizni.

Az elemzés eredményeképp a biztonsági szakértõk akciótervet dolgoznak ki a hasonló káresemények jövõbeni elkerülésének érdekében. Ebben javaslatot tehetnek a védelmi intézkedések és a felelõsségi körök megváltoztatására, ki -egészítésére.

Az akciótervet a biztonságért felelõs vezetõ hagyja jóvá, ezt követõen hala -déktalanul végre kell hajtani.

Eredmény: Elhárított és elemzett káresemény, a jövõbeli elõfordulás elkerülését célzó jó -váhagyott és végrehajtott akcióterv.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Káresemény esetén.

1.5. Csatlakozás biztonsági feltételei

Felhasználó / csatlakozandó szervezetek biztonsági szabályzata

Feladat: Minden Szervezetnek az EDR biztonsági irányelveivel összecsengõ, azt kiin dulási alapként kezelõ biztonsági szabályzatot kell kidolgozni, melyet a Há -lózatgazda szükség szerint észrevételez, a nem megfelelõség megállapítása esetén ismételten benyújtásra szólít fel. Ha a csatlakozott szervezet teljes biz -tonsági szabályzata nem adható ki véleményezésre, akkor az EDR-t érintõ részeket kell véleményezni.

Eredmény: Az EDR biztonsági vezetõje által véleményezett biztonsági szabályzat.

Felelõs: Felhasználó/csatlakozandó szervezet

Gyakoriság: Az IBSz kibocsátása után 3 hónapon belül, illetve a csatlakozás elõtt, a csat -lakozással hatályba léptetve.

1.6. Beszerzés Beszerzési politika

Feladat: A Hálózatgazdának felügyelnie kell a központosított közbeszerzés normatí -váinak, az EDR-rel kapcsolatos közbeszerzési eljárásoknak megfelelõségét a biztonsági, mûszaki és együttmûködési (interoperabilitás) szempontjából.

Ösztönözni kell az egységes beszerzési politika kialakítását, az EDRrel kap -csolatos minden (hardver, szoftver stb.) beszerzési feladatra. Természetesen a közbeszerzésre vonatkozó jogszabályok maximális figyelembevételével.

A beszerzési szabályokban lehetõség szerint maximálisan érvényesíteni kell az üzembiztonság fenntartását elõsegítõ szempontokat.

Amennyire ezt a közbeszerzés szabályai megengedik, törekedni kell arra, hogy az EDR eszközei minél egységesebbek legyenek.

Eredmény: Egységes beszerzési szabályok.

Felelõs: Hálózatgazda

Gyakoriság: Az IBSz hatálybalépésekor, illetve aktualizálni kell a külsõ tényezõk (pl. jog -szabályok stb.) megváltozásakor, illetve a piac lényeges változásakor.

1.7. ,,Katasztrófa utáni helyreállítási terv”

1.7.1. Katasztrófa utáni helyreállítási terv kidolgozása

Feladat: A Szolgáltatónak ki kell dolgoznia „Katasztrófa utáni helyreállítási tervet”, mely csökkenti a bekövetkezett esemény okozta károkat, segít fenntartani a mûködést, és hozzájárul az eredeti állapot (vagy a körülményekhez képes az ahhoz legközelebb álló állapot) visszaállításához.

Az egyes Szervezeteknek az EDR jelentõs szolgáltatás kiesésére, leállására ki kell dolgoznia „Szolgálat folyamatosságának biztosítására” tervet.

A „Katasztrófa utáni helyreállítási terv” részeként el kell készíteni a végre -hajtás feltételeit megteremtõ forgatókönyvet, amit jóváhagyás után gyakorol-tatni kell.

A „Katasztrófa utáni helyreállítási tervet” évente aktualizálni kell, és tükröz nie kell az idõközben beállt változásokat. Amennyiben szükséges, a forgató -könyvet aktualizálni kell és azt gyakoroltatni.

A „Katasztrófa utáni helyreállítási tervet” ismertetni kell az érintettekkel, és gondoskodni kell arról, hogy minden érintett tisztában legyen a rá háruló fel -adatokkal.

Eredmény: „Katasztrófa utáni helyreállítási terv”.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Az IBSz hatálybalépésekor, majd ezt követõen évente, illetve a körülmények lényegi megváltozása esetén kell aktualizálni.

1.8. Biztonsági osztályok

EDR eszközök biztonsági osztályokba történõ sorolása

Feladat: Az EDR, illetve az EDR üzemeltetéshez szükséges eszközöket az ITB ajánlásnak megfelelõen három biztonsági osztályba kell besorolnia a Szolgáltató -nak, illetve a Szervezeteknek a hozzájuk telepített, illetve kihelyezett

eszközökre. A biztonsági osztályokba történõ sorolás az ITB 12. ajánlásának 4.1. fejezetében leírt káreseményeknek megfelelõen meghatározott kárérték-osztályozás szerint kell megtörténnie. Annak alapján, hogy az adott eszköz kiesése vagy hibás mûködése mekkora hatást gyakorolna a „Szolgálat folya-matosságára”.

Az alábbi osztályokba kell sorolni az eszközöket:

= A – alapbiztonsági követelmények, ha az elem kiesése vagy hibás mûkö-dése maximum „2”, azaz legfeljebb közepes kárértékû eseményt okozhat.

= F – fokozott biztonsági követelmények, ha az elem kiesése vagy hibás mû-ködése maximum „3”, azaz legfeljebb nagy kárértékû eseményt okozhat.

= K – kiemelt biztonsági követelmények, ha az elem kiesése vagy hibás mû-ködése „4+”, azaz katasztrofális kárértékû eseményt okoz.

Eredmény: Biztonsági osztályok kialakítása.

Felelõs: Szolgáltató

Gyakoriság: Az IBSz hatálybalépésekor.

2. INFRASTRUKTÚRA

Alábbiakban az EDR fizikai védelmét biztosító infrastruktúra kialakítására és üzemeltetésére vonatkozó intézkedé -sek felsorolása található.

2.1. Általános intézkedések

Helyiségek biztonsági szempontú elkülönítése, besorolása

Feladat: Az EDR eszközeit tároló, valamint az üzemeltetéssel más módon kapcsolódó helyiségeket biztonsági szempontok alapján be kell sorolni.

1. Az EDR szolgáltató részérõl kihelyezett munkaállomásokat [diszpécser, helymeghatározást támogató (AVL) stb.], tároló helyiségeket minimum alap biztonsági fokozatúnak kell minõsíteni.

2. A rádióterminálok tárolására szolgáló helyiségeket minimum alap bizton-sági fokozatúnak kell minõsíteni.

3. Az egyes felhasználóknál, VPN rendszergazdáknál, a VPN-ek hatásköré-be tartozó területeken – logikai és fizikai értelemhatásköré-ben – EDR

szolgáltatásaihoz kapcsolódó, azokat felhasználó adatfeldolgozó és kezelõ informatikai rendszereket fokozott biztonsági fokozatúnak kell minõsíteni.

Az épületbe való bejutáson túl biztosítani kell, hogy az EDR üzemelést biz -tosító helyiségekbe (pl. kapcsolóközpont, diszpécser állomás, illetve egyéb EDR-hez kapcsolódó eszközöket tároló helyiségek) csak azok juthassanak be, akik jogosultak a belépésre.

Definiálni szükséges, hogy melyik helyiségek legyenek védettebbek, mint az épület egyéb helyiségei (pl. kapcsolóközpont).

Eredmény: Fizikailag elkülönített biztonsági zónák az EDR üzemelését biztosító épüle -tekben.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Az IBSz hatálybalépésekor.

A biztonsági szempontból elkülönített helyiségeken belüli közlekedés szabályozása

Feladat: Definiálni szükséges, hogy az egyes helyiségekbe (pl. kapcsolóközpont, illet -ve egyéb EDR-hez kapcsolódó eszközöket tároló helyiségek) ki léphet be.

Eredmény: A definiált biztonsági zónákba csak a jogosult embereknek, személyeknek van belépési lehetõsége.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: A rendszer kiépítésekor, illetve új helyiségek igénybevételekor.

2.1.1. Belépési jogosultságok kezelése

Feladat: Elõ kell írni az EDR-rel kapcsolatos berendezéseket tartalmazó körletekbe történõ belépési jogosultságok kezelésének módját. Meg kell határozni, hogy kinek adható ki belépési engedély, mikor módosulhat valakinek a hozzáféré se, illetve belépési jogosultság megszûnése esetén azonnali hatállyal intézke -dést kell tenni a jog megvonására.

Eredmény: Az EDR-rel kapcsolatos helyiségekbe csak a hozzáférésre jogosult emberek, személyek lépnek be.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Berendezést tartalmazó helyiség üzembe helyezésekor, illetve a jogosulti kör változásakor haladéktalanul.

2.1.2. EDR-rel kapcsolatos berendezéseket tartalmazó helyiségek fizikai védelme

Feladat: A Szolgáltatónak gondoskodnia kell arról, hogy az EDR eszközeinek helyet adó helyiségek, a szolgáltatási szerzõdéssel összhangban, (ideértve a klíma -berendezéseket és a szünetmentes tápellátást biztosító eszközöket is, illetve más EDR-rel kapcsolatos berendezéseket) fizikailag is védettek legyenek úgy, hogy mindennemû lopás, manipuláció, külsõ beavatkozás, támadás le-hetõség szerint elkerülhetõ, illetve legrosszabb esetben legalább észlelhetõ legyen.

A Szervezetek telephelyén elhelyezett berendezésekre az adott szervezet sza -bályozásával összhangban kell a részletes szabályokat meghatározni.

Eredmény: Fizikailag védett helyiségek, amelyek EDR-rel kapcsolatos berendezéseket tartalmaznak.

Felelõs: Az Szolgáltató telephelyén a Szolgáltató, a Hálózatgazda telephelyén lévõ helyiségek védelméért a Hálózatgazda a felelõs, a Szervezetek telephelyén lévõ helyiségek védelméért az illetékes Szervezet a felelõs.

Gyakoriság:

2.1.3. Belépési eszközök (pl. belépési kártya) használati szabályának elõírása

Feladat: Rögzíteni (valamennyi használóval ismertetni) kell a belépésre szolgáló esz -közök használati szabályait. Ezek a szabályok a következõk:

eszköz elvesztésének bejelentési kötelezettsége, eszköz másra való átruházásának tiltása, eszköz biztos helyen való õrzése, kilépéskor eszköz visszaadása.

A szabályokat a belépési eszköz használóival ismertetni kell.

Eredmény: Belépési eszközök rendeltetésének megfelelõ használata.

Felelõs: Hálózatgazda, Szolgáltató

Gyakoriság: Belépési eszköz kiadásakor.

2.2. A telephelyek helyiségein kívül található eszközök védelme 2.2.1. Eszközök védelme

Feladat: A bérelt szolgáltatások esetében a Szolgáltatónak a szerzõdés, a vonatkozó jogszabályok, a kötelezõ gondosság, illetve az egyéb biztonsági szabályozá -sok alapján kell eljárnia.

Eredmény: Az egyéb eszközök szerzõdésben, jogi eszközökkel biztosított és garantált védelme.

Felelõs: Hálózatgazda

Gyakoriság:

2.2.2. Diszpécser és egyéb munkaállomások (AVL) 2.2.2.1. Munkaállomásokra vonatkozó korlátozások

Feladat: A munkaállomások jogosultságait a szolgálati igényeknek megfelelõ mérték-re kell korlátozni.

Tiltani szükséges mindenféle program öncélú telepítését. Szoftvert csak a rendszergazda telepíthessen a gépekre, a Szolgáltató ezért felelõs munkatár -sának jóváhagyása után.

A munkaállomások vírusvédelmét üzemeltetõi szinten központilag meg kell oldani.

Azokra a munkaállomásokra, amit egy felhasználó használ csak, kizárólag az adminisztrátornak és a felhasználónak legyen belépési jogosultsága.

Eredmény: Jól ellenõrizhetõ munkaállomások.

Felelõs: Szolgáltató, Felhasználó Szervezetek

Gyakoriság: Új munkaállomás telepítése és üzembe helyezése.

2.2.2.2. Hálózati események felügyelete

Feladat: A Szolgáltató köteles folyamatos (7×24 órás) hálózati felügyeletet biztosí -tani.

A hálózat felügyelete magába foglalja a hálózathoz tartozó minden eszköz (amennyiben erre lehetõség van) folyamatos monitorozását, a különbözõ há-lózati események figyelemmel kísérését (pl. terhelések nyomon követése, esetleges kiesések felismerése stb.), azok naplózását, illetve szükség szerint beavatkozást.

Eredmény: Felügyelt hálózat.

Felelõs: Szolgáltató

Gyakoriság: Folyamatosan.

2.2.3. Események és rendkívüli események jelentése, kezelése Biztonsági események kezelése

Feladat: Üzembiztonságot befolyásoló esemény észlelése történhet a hálózat felügye-let által, ilfelügye-letve felhasználói bejelentésre.

Mindkét esetben haladéktalanul meg kell kezdeni az esemény hatásainak csökkentését és magának az eseménynek az elemzését.

Az elemzés eredményét dokumentálni kell, a jegyzõkönyvet legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell õrizni.

Az elemzés eredményét felhasználva el kell dönteni, hogy milyen módon kell a hálózatba beavatkozni, az esemény kivédéséhez és az okozott kár minima-lizálásához. Ennek megfelelõen ki kell alakítani egy akciótervet.

A kialakított akciótervet végre kell hajtani folyamatosan ellenõrizve, hogy közben a hálózatban nem keletkezneke újabb biztonságot befolyásoló ese -mények.

Eredmény: Kezelt biztonsági események.

Felelõs: Szolgáltató

Gyakoriság: Biztonsági esemény bekövetkeztekor.

2.2.4. Kriptográfiai eszközökkel ellátott berendezések alkalmazása

Feladat: A kriptográfiai eszközökkel ellátott rádióterminálok alkalmazása iránti igényt a Hálózatgazdának kell bejelenteni. A Hálózatgazda továbbítja a krip -tográfiai modullal ellátott készülékek alkalmazásának igényét az illetékes szerv részére.

Eredmény: Engedélyezett kriptográfiai modullal ellátott eszközök.

Felelõs: Hálózatgazda

Gyakoriság: Engedély kérelmezés esetén.

2.2.5. Zavartatás mérés és intézkedések

A felhasználó szervezetek zavartatást észlelnek, akkor a Hálózatgazda a ren delkezésre álló erõforrások bevonásával, ideértve a Szolgáltató, a közigazga -tási és államigazga-tási szervezetek alkalmas eszközeit, elrendeli a hibaforrás feltárását.

Eredmény: A zavartatás elhárítása.

Felelõs: Hálózatgazda

Gyakoriság: Zavartatás bejelentése esetén.

2.2.6. Üzemvitel folyamatosságának biztosítása

Naprakész lista a telephely bérletét nyújtó szervezetek számára a mûszaki problémák kiküszöbölését végzõ Szolgáltató alkalmazottairól, alvállalkozók -ról.

A telephely bérletét nyújtó szervezetek részérõl naprakész lista a Szolgáltató felé az esemény esetén értesítendõ vagy intézkedésre jogosult személyekrõl.

Üzemvitel folyamatossági terv készítése.

Eredmény: Felkészülés az üzemzavarok elhárítása utáni folyamatos üzem biztosítására.

Felelõs: VPN gazda szervezet, VPN Központi Menedzser Szervezet, a Felhasználó szervezetek

Gyakoriság: Egyszer, napra készen tartás folyamatosan.

4. A belsõ biztonsági szabályokra vonatkozó egyéb elõírások

In document A GAZDASÁGI ÉS KÖZLEKEDÉSI MINISZTÉRIUM HIVATALOS LAPJA (Pldal 23-29)