1.1.1. Biztonságért felelõs szervezet kialakítása
Feladat: A biztonságért felelõs szervezetnek a következõ munkaköri feladatok ellátá -sát kell megoldani (munkaköri leírás elkészítése vagy pontosítása révén):
biztonságért felelõs vezetõ– a hálózat informatikai biztonságáért, és ennek megfelelõen magáért a (csatlakozott szervezeti, illetve üzemeltetõi) Biztonsá-gi Szabályzat (BSz) meglétéért, tartalmáért felelõs személy
biztonsági felügyelõk– az adott Felhasználó Szervezet / VPN gazda szerve-zet Biztonsági Szabályzata (BSZ) betartásának ellenõrzéséért felelõs szemé-lyek
biztonsági szakértõk– a hálózat biztonságát célzó védelmi intézkedésekért, a káresemények elemzéséért, a BSZ naprakészen tartásáért felelõs személyek A megfelelõ személyek körültekintõ kiválasztása.
Eredmény: Biztonságért felelõs szervezet.
Felelõs: Hálózatgazda (a szabályok meglétéért, EDR-re vonatkozó tartalmáért és a szervezet kialakításáért).
Gyakoriság: A biztonsági elõírások hatálybalépésekor, ezt követõen szükség szerint (meg -felelõ munkatárs távozása stb.).
1.2. Feladatok és hatáskörök pontos meghatározása és dokumentálása
Feladat: Az EDR-rel kapcsolatban pontosan meg kell határozni, hogy mik a feladatok, kinek milyen felelõssége van, és milyen hatáskörrel bír. Mindezt írásban dokumentálni kell, és gondoskodni kell arról, hogy az EDR-rel kapcsolatba kerülõ minden szereplõ tisztában legyen a rá vonatkozó részekkel.
Eredmény: Feladatok és hatáskörök pontos leírása.
Felelõs: Hálózatgazda
Gyakoriság: A biztonsági elõírások hatálybalépésekor, majd ezt követõen legalább évente kell felülvizsgálni, illetve káresemény esetén azonnal.
1.3. Személyzet
1.3.1. Személyzet kiválasztása
Feladat: Mivel az EDR nemzetbiztonsági szempontból is jelentõséggel bír, ezért az azzal kapcsolatba kerülõ, annak tervezésében, üzemeltetésében, karbantartá -sában részt vevõ személyeket a fontos és bizalmas munkakörök betöltésére vonatkozó szervezeti elõírások alapján, illetve az erre vonatkozó jogszabá -lyoknak megfelelõen kell kiválasztani.
Külön figyelmet kell fordítani mindazokra, akik az EDR üzemeltetésében adminisztrátori jogosultságokkal rendelkeznek, az õ megbízhatóságuk ellenõr -zése kiemelten fontos feladat.
Eredmény: Körültekintõen kiválasztott, megbízható személyzet.
Felelõs: Hálózatgazda, Szolgáltató, Felhasználó Szervezetek, VPN gazda szervezet, VPN Központi Menedzser Szervezet
Gyakoriság: A biztonsági szabályok hatálybalépésekor, majd ezt követõen szükség szerint (munkatárs távozása stb.).
1.3.2. Személyzet képzése
Feladat: Feladatuk szerint csoportosítva el kell készíteni a személyi állomány képzé sét segítõ anyagokat és meg kell szervezni azok tervszerû és ellenõrzött vég -rehajtását.
A képzések során fokozott figyelmet kell fordítani biztonsági kérdésekre.
A képzések színvonalát és az elsajátított tudás szintjét ellenõrizni kell.
Eredmény: Képzett, a feladatait megfelelõen ellátni képes, a biztonsági elõírásokkal és teendõkkel tisztában lévõ személyi állomány.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: A biztonsági szabályok hatálybalépésekor, majd ezt követõen szükség szerint (új munkatárs belépése stb.), rendszeres ismeret-karbantartás.
1.3.3. Biztonsági elõírások betartásának ellenõrzése
Feladat: A Hálózatgazda (a biztonsági felügyeletet ellátó szervezeten keresztül) rend szeresen ellenõrizteti a biztonsági elõírások betartását, és megkapja a bizton -sági ellenõrzésekrõl, auditokról készített jelentéseket, amelyeket az érintett szervezetek az elõírt gyakorisággal hajtanak végre annak vizsgálatára, hogy a személyzet tisztában van-e a megfelelõ biztonsági elõírásokkal és be is tartja azokat.
Az ellenõrzéseket dokumentálni kell, a jegyzõkönyveket legalább 5 évig biz -tonságosan, lopástól és manipulációtól védett módon meg kell õrizni.
Eredmény: Betartott biztonsági elõírások.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Rendszeresen, az adott Szervezet sajátosságait szem elõtt tartva lehetõség szerint nem kiszámítható módon.
1.4. Eljárásrend
1.4.1. Védelmi intézkedések ellenõrzése és felülvizsgálata
Feladat: Az üzembiztonság érdekében tett védelmi intézkedéseket a biztonsági fel -ügyelõnek rendszeresen kell ellenõriznie és felülvizsgálnia.
Az ellenõrzéseket és felülvizsgálatokat dokumentálni kell, az ezt tartalmazó jegyzõkönyveket legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell õrizni.
A felülvizsgálat eredményeképp a felügyelõ a védelmi intézkedések módosí-tását kezdeményezheti.
Eredmény: Ellenõrzött, visszakövethetõ és naprakészen tartott védelmi intézkedések.
Felelõs: Hálózatgazda
Gyakoriság: Félévente, illetve káresemény esetén azonnal.
1.4.2. Káresemény kezelése
Feladat: Az üzembiztonság sérülése esetén a felfedezést követõen haladéktalanul meg kell kezdeni az elhárítást és a károk csökkentését (lásd alább a biztonsági események kezelésénél).
A káreseményeket elhárításuk után azonnal elemezniük kell az illetékes biz tonsági szervezeteknek (a Hálózatgazda által kijelölt biztonsági vezetõ irá -nyításával, a kijelölt biztonsági szakértõk végzik).
Az elemzést dokumentálni kell, a jegyzõkönyvet legalább 5 évig biztonságo -san, lopástól és manipulációtól védett módon meg kell õrizni.
Az elemzés eredményeképp a biztonsági szakértõk akciótervet dolgoznak ki a hasonló káresemények jövõbeni elkerülésének érdekében. Ebben javaslatot tehetnek a védelmi intézkedések és a felelõsségi körök megváltoztatására, ki -egészítésére.
Az akciótervet a biztonságért felelõs vezetõ hagyja jóvá, ezt követõen hala -déktalanul végre kell hajtani.
Eredmény: Elhárított és elemzett káresemény, a jövõbeli elõfordulás elkerülését célzó jó -váhagyott és végrehajtott akcióterv.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Káresemény esetén.
1.5. Csatlakozás biztonsági feltételei
Felhasználó / csatlakozandó szervezetek biztonsági szabályzata
Feladat: Minden Szervezetnek az EDR biztonsági irányelveivel összecsengõ, azt kiin dulási alapként kezelõ biztonsági szabályzatot kell kidolgozni, melyet a Há -lózatgazda szükség szerint észrevételez, a nem megfelelõség megállapítása esetén ismételten benyújtásra szólít fel. Ha a csatlakozott szervezet teljes biz -tonsági szabályzata nem adható ki véleményezésre, akkor az EDR-t érintõ részeket kell véleményezni.
Eredmény: Az EDR biztonsági vezetõje által véleményezett biztonsági szabályzat.
Felelõs: Felhasználó/csatlakozandó szervezet
Gyakoriság: Az IBSz kibocsátása után 3 hónapon belül, illetve a csatlakozás elõtt, a csat -lakozással hatályba léptetve.
1.6. Beszerzés Beszerzési politika
Feladat: A Hálózatgazdának felügyelnie kell a központosított közbeszerzés normatí -váinak, az EDR-rel kapcsolatos közbeszerzési eljárásoknak megfelelõségét a biztonsági, mûszaki és együttmûködési (interoperabilitás) szempontjából.
Ösztönözni kell az egységes beszerzési politika kialakítását, az EDRrel kap -csolatos minden (hardver, szoftver stb.) beszerzési feladatra. Természetesen a közbeszerzésre vonatkozó jogszabályok maximális figyelembevételével.
A beszerzési szabályokban lehetõség szerint maximálisan érvényesíteni kell az üzembiztonság fenntartását elõsegítõ szempontokat.
Amennyire ezt a közbeszerzés szabályai megengedik, törekedni kell arra, hogy az EDR eszközei minél egységesebbek legyenek.
Eredmény: Egységes beszerzési szabályok.
Felelõs: Hálózatgazda
Gyakoriság: Az IBSz hatálybalépésekor, illetve aktualizálni kell a külsõ tényezõk (pl. jog -szabályok stb.) megváltozásakor, illetve a piac lényeges változásakor.
1.7. ,,Katasztrófa utáni helyreállítási terv”
1.7.1. Katasztrófa utáni helyreállítási terv kidolgozása
Feladat: A Szolgáltatónak ki kell dolgoznia „Katasztrófa utáni helyreállítási tervet”, mely csökkenti a bekövetkezett esemény okozta károkat, segít fenntartani a mûködést, és hozzájárul az eredeti állapot (vagy a körülményekhez képes az ahhoz legközelebb álló állapot) visszaállításához.
Az egyes Szervezeteknek az EDR jelentõs szolgáltatás kiesésére, leállására ki kell dolgoznia „Szolgálat folyamatosságának biztosítására” tervet.
A „Katasztrófa utáni helyreállítási terv” részeként el kell készíteni a végre -hajtás feltételeit megteremtõ forgatókönyvet, amit jóváhagyás után gyakorol-tatni kell.
A „Katasztrófa utáni helyreállítási tervet” évente aktualizálni kell, és tükröz nie kell az idõközben beállt változásokat. Amennyiben szükséges, a forgató -könyvet aktualizálni kell és azt gyakoroltatni.
A „Katasztrófa utáni helyreállítási tervet” ismertetni kell az érintettekkel, és gondoskodni kell arról, hogy minden érintett tisztában legyen a rá háruló fel -adatokkal.
Eredmény: „Katasztrófa utáni helyreállítási terv”.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Az IBSz hatálybalépésekor, majd ezt követõen évente, illetve a körülmények lényegi megváltozása esetén kell aktualizálni.
1.8. Biztonsági osztályok
EDR eszközök biztonsági osztályokba történõ sorolása
Feladat: Az EDR, illetve az EDR üzemeltetéshez szükséges eszközöket az ITB ajánlásnak megfelelõen három biztonsági osztályba kell besorolnia a Szolgáltató -nak, illetve a Szervezeteknek a hozzájuk telepített, illetve kihelyezett
eszközökre. A biztonsági osztályokba történõ sorolás az ITB 12. ajánlásának 4.1. fejezetében leírt káreseményeknek megfelelõen meghatározott kárérték-osztályozás szerint kell megtörténnie. Annak alapján, hogy az adott eszköz kiesése vagy hibás mûködése mekkora hatást gyakorolna a „Szolgálat folya-matosságára”.
Az alábbi osztályokba kell sorolni az eszközöket:
= A – alapbiztonsági követelmények, ha az elem kiesése vagy hibás mûkö-dése maximum „2”, azaz legfeljebb közepes kárértékû eseményt okozhat.
= F – fokozott biztonsági követelmények, ha az elem kiesése vagy hibás mû-ködése maximum „3”, azaz legfeljebb nagy kárértékû eseményt okozhat.
= K – kiemelt biztonsági követelmények, ha az elem kiesése vagy hibás mû-ködése „4+”, azaz katasztrofális kárértékû eseményt okoz.
Eredmény: Biztonsági osztályok kialakítása.
Felelõs: Szolgáltató
Gyakoriság: Az IBSz hatálybalépésekor.
2. INFRASTRUKTÚRA
Alábbiakban az EDR fizikai védelmét biztosító infrastruktúra kialakítására és üzemeltetésére vonatkozó intézkedé -sek felsorolása található.
2.1. Általános intézkedések
Helyiségek biztonsági szempontú elkülönítése, besorolása
Feladat: Az EDR eszközeit tároló, valamint az üzemeltetéssel más módon kapcsolódó helyiségeket biztonsági szempontok alapján be kell sorolni.
1. Az EDR szolgáltató részérõl kihelyezett munkaállomásokat [diszpécser, helymeghatározást támogató (AVL) stb.], tároló helyiségeket minimum alap biztonsági fokozatúnak kell minõsíteni.
2. A rádióterminálok tárolására szolgáló helyiségeket minimum alap bizton-sági fokozatúnak kell minõsíteni.
3. Az egyes felhasználóknál, VPN rendszergazdáknál, a VPN-ek hatásköré-be tartozó területeken – logikai és fizikai értelemhatásköré-ben – EDR
szolgáltatásaihoz kapcsolódó, azokat felhasználó adatfeldolgozó és kezelõ informatikai rendszereket fokozott biztonsági fokozatúnak kell minõsíteni.
Az épületbe való bejutáson túl biztosítani kell, hogy az EDR üzemelést biz -tosító helyiségekbe (pl. kapcsolóközpont, diszpécser állomás, illetve egyéb EDR-hez kapcsolódó eszközöket tároló helyiségek) csak azok juthassanak be, akik jogosultak a belépésre.
Definiálni szükséges, hogy melyik helyiségek legyenek védettebbek, mint az épület egyéb helyiségei (pl. kapcsolóközpont).
Eredmény: Fizikailag elkülönített biztonsági zónák az EDR üzemelését biztosító épüle -tekben.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Az IBSz hatálybalépésekor.
A biztonsági szempontból elkülönített helyiségeken belüli közlekedés szabályozása
Feladat: Definiálni szükséges, hogy az egyes helyiségekbe (pl. kapcsolóközpont, illet -ve egyéb EDR-hez kapcsolódó eszközöket tároló helyiségek) ki léphet be.
Eredmény: A definiált biztonsági zónákba csak a jogosult embereknek, személyeknek van belépési lehetõsége.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: A rendszer kiépítésekor, illetve új helyiségek igénybevételekor.
2.1.1. Belépési jogosultságok kezelése
Feladat: Elõ kell írni az EDR-rel kapcsolatos berendezéseket tartalmazó körletekbe történõ belépési jogosultságok kezelésének módját. Meg kell határozni, hogy kinek adható ki belépési engedély, mikor módosulhat valakinek a hozzáféré se, illetve belépési jogosultság megszûnése esetén azonnali hatállyal intézke -dést kell tenni a jog megvonására.
Eredmény: Az EDR-rel kapcsolatos helyiségekbe csak a hozzáférésre jogosult emberek, személyek lépnek be.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Berendezést tartalmazó helyiség üzembe helyezésekor, illetve a jogosulti kör változásakor haladéktalanul.
2.1.2. EDR-rel kapcsolatos berendezéseket tartalmazó helyiségek fizikai védelme
Feladat: A Szolgáltatónak gondoskodnia kell arról, hogy az EDR eszközeinek helyet adó helyiségek, a szolgáltatási szerzõdéssel összhangban, (ideértve a klíma -berendezéseket és a szünetmentes tápellátást biztosító eszközöket is, illetve más EDR-rel kapcsolatos berendezéseket) fizikailag is védettek legyenek úgy, hogy mindennemû lopás, manipuláció, külsõ beavatkozás, támadás le-hetõség szerint elkerülhetõ, illetve legrosszabb esetben legalább észlelhetõ legyen.
A Szervezetek telephelyén elhelyezett berendezésekre az adott szervezet sza -bályozásával összhangban kell a részletes szabályokat meghatározni.
Eredmény: Fizikailag védett helyiségek, amelyek EDR-rel kapcsolatos berendezéseket tartalmaznak.
Felelõs: Az Szolgáltató telephelyén a Szolgáltató, a Hálózatgazda telephelyén lévõ helyiségek védelméért a Hálózatgazda a felelõs, a Szervezetek telephelyén lévõ helyiségek védelméért az illetékes Szervezet a felelõs.
Gyakoriság:
2.1.3. Belépési eszközök (pl. belépési kártya) használati szabályának elõírása
Feladat: Rögzíteni (valamennyi használóval ismertetni) kell a belépésre szolgáló esz -közök használati szabályait. Ezek a szabályok a következõk:
eszköz elvesztésének bejelentési kötelezettsége, eszköz másra való átruházásának tiltása, eszköz biztos helyen való õrzése, kilépéskor eszköz visszaadása.
A szabályokat a belépési eszköz használóival ismertetni kell.
Eredmény: Belépési eszközök rendeltetésének megfelelõ használata.
Felelõs: Hálózatgazda, Szolgáltató
Gyakoriság: Belépési eszköz kiadásakor.
2.2. A telephelyek helyiségein kívül található eszközök védelme 2.2.1. Eszközök védelme
Feladat: A bérelt szolgáltatások esetében a Szolgáltatónak a szerzõdés, a vonatkozó jogszabályok, a kötelezõ gondosság, illetve az egyéb biztonsági szabályozá -sok alapján kell eljárnia.
Eredmény: Az egyéb eszközök szerzõdésben, jogi eszközökkel biztosított és garantált védelme.
Felelõs: Hálózatgazda
Gyakoriság:
2.2.2. Diszpécser és egyéb munkaállomások (AVL) 2.2.2.1. Munkaállomásokra vonatkozó korlátozások
Feladat: A munkaállomások jogosultságait a szolgálati igényeknek megfelelõ mérték-re kell korlátozni.
Tiltani szükséges mindenféle program öncélú telepítését. Szoftvert csak a rendszergazda telepíthessen a gépekre, a Szolgáltató ezért felelõs munkatár -sának jóváhagyása után.
A munkaállomások vírusvédelmét üzemeltetõi szinten központilag meg kell oldani.
Azokra a munkaállomásokra, amit egy felhasználó használ csak, kizárólag az adminisztrátornak és a felhasználónak legyen belépési jogosultsága.
Eredmény: Jól ellenõrizhetõ munkaállomások.
Felelõs: Szolgáltató, Felhasználó Szervezetek
Gyakoriság: Új munkaállomás telepítése és üzembe helyezése.
2.2.2.2. Hálózati események felügyelete
Feladat: A Szolgáltató köteles folyamatos (7×24 órás) hálózati felügyeletet biztosí -tani.
A hálózat felügyelete magába foglalja a hálózathoz tartozó minden eszköz (amennyiben erre lehetõség van) folyamatos monitorozását, a különbözõ há-lózati események figyelemmel kísérését (pl. terhelések nyomon követése, esetleges kiesések felismerése stb.), azok naplózását, illetve szükség szerint beavatkozást.
Eredmény: Felügyelt hálózat.
Felelõs: Szolgáltató
Gyakoriság: Folyamatosan.
2.2.3. Események és rendkívüli események jelentése, kezelése Biztonsági események kezelése
Feladat: Üzembiztonságot befolyásoló esemény észlelése történhet a hálózat felügye-let által, ilfelügye-letve felhasználói bejelentésre.
Mindkét esetben haladéktalanul meg kell kezdeni az esemény hatásainak csökkentését és magának az eseménynek az elemzését.
Az elemzés eredményét dokumentálni kell, a jegyzõkönyvet legalább 5 évig biztonságosan, lopástól és manipulációtól védett módon meg kell õrizni.
Az elemzés eredményét felhasználva el kell dönteni, hogy milyen módon kell a hálózatba beavatkozni, az esemény kivédéséhez és az okozott kár minima-lizálásához. Ennek megfelelõen ki kell alakítani egy akciótervet.
A kialakított akciótervet végre kell hajtani folyamatosan ellenõrizve, hogy közben a hálózatban nem keletkezneke újabb biztonságot befolyásoló ese -mények.
Eredmény: Kezelt biztonsági események.
Felelõs: Szolgáltató
Gyakoriság: Biztonsági esemény bekövetkeztekor.
2.2.4. Kriptográfiai eszközökkel ellátott berendezések alkalmazása
Feladat: A kriptográfiai eszközökkel ellátott rádióterminálok alkalmazása iránti igényt a Hálózatgazdának kell bejelenteni. A Hálózatgazda továbbítja a krip -tográfiai modullal ellátott készülékek alkalmazásának igényét az illetékes szerv részére.
Eredmény: Engedélyezett kriptográfiai modullal ellátott eszközök.
Felelõs: Hálózatgazda
Gyakoriság: Engedély kérelmezés esetén.
2.2.5. Zavartatás mérés és intézkedések
A felhasználó szervezetek zavartatást észlelnek, akkor a Hálózatgazda a ren delkezésre álló erõforrások bevonásával, ideértve a Szolgáltató, a közigazga -tási és államigazga-tási szervezetek alkalmas eszközeit, elrendeli a hibaforrás feltárását.
Eredmény: A zavartatás elhárítása.
Felelõs: Hálózatgazda
Gyakoriság: Zavartatás bejelentése esetén.
2.2.6. Üzemvitel folyamatosságának biztosítása
Naprakész lista a telephely bérletét nyújtó szervezetek számára a mûszaki problémák kiküszöbölését végzõ Szolgáltató alkalmazottairól, alvállalkozók -ról.
A telephely bérletét nyújtó szervezetek részérõl naprakész lista a Szolgáltató felé az esemény esetén értesítendõ vagy intézkedésre jogosult személyekrõl.
Üzemvitel folyamatossági terv készítése.
Eredmény: Felkészülés az üzemzavarok elhárítása utáni folyamatos üzem biztosítására.
Felelõs: VPN gazda szervezet, VPN Központi Menedzser Szervezet, a Felhasználó szervezetek
Gyakoriság: Egyszer, napra készen tartás folyamatosan.
4. A belsõ biztonsági szabályokra vonatkozó egyéb elõírások