INFORMATIKAI BIZTONSÁGI ÚTMUTATÓK

8/3/2019 INFORMATIKAI BIZTONSGI TMUTATK

1/38

INFORMATIKAI BIZTONSGI TMUTATK, KONTROLLOK

S SZEREPK AZ ADATBZIS-BIZTONSG MEGVALSTSBAN

Absztrakt

Az informcik s az azokat kezel informatikai rendszerek, eszkzk a

szervezetek fontos erforrsai, biztonsguk valamennyi szervezet szmra

alapvet fontossg. Ennek megfelelen jelentsen megntt az informatikai

biztonsg megvalstsra irnyul tevkenysgek, eszkzk szerepe is. Ez

utbbiak kz tartoznak a biztonsgi tmutatk s kontrollok, amelyek abiztonsg

megvalstsnak, szablyozsnak s rtkelsnek fontos eszkzei. Jelen

publikci bemutatja a biztonsgi tmutatk fogalmt, rendeltetst, tpusait;

bemutatja a biztonsgi kontrollok fogalmt, rtelmezst, elemzicsoportostsuk

lehetsgeit; vgl elemzi az informatikai biztonsgi tmutatk, kontrollokhelyt,

szerept az informatikai biztonsg irnytsban, szablyozsban.

Information and the supporting IT systems, devices are important organizationalassets, their security is fundamental for all organizations. As a consequence the

role of security activities and means has significantly increased. Security

guidelines and controls are important means of implementation, regulation, and

evaluation of security. Recent publication presents the concept, purpose, and

types of security guidelines; presents the concept, and interpretation of security

controls, analyses their classifications; finally analyses the role of securityguidelines, controls in management and regulation of information (IT) security.

Kulcsszavak: informatikai biztonsg, adatbzis-biztonsg, informatikai biztonsgi

tmutat, informatikai biztonsgi kontroll ~ information (IT) security, database

security, information security guideline, information security control101

BEVEZETS

Az informcik s az azokat kezel folyamatok, rendszerek, eszkzk napjainkra


2/38

megkrdjelezhetetlenl valamennyi szervezet-tpus alapvet szervezetierforrsv vltak.

Ma mr kzhely, hogy az informcik s a kezelskben szerepet jtszerforrsok

biztonsga szinte egyarnt fontos a gazdlkod szervezetek, a kormnyzatiszfra, a vdelmi

szfra s gyakorlatilag minden szervezet szmra. Ennek megfelelen jelentsenmegntt az

informatikai biztonsg megteremtsre s fenntartsra irnyul tevkenysgeks az ezek

sorn felhasznlt eszkzk, mdszerek s eljrsok szerepe, jelentsge is.

Az informcik s az informatikai rendszerek, eszkzk biztonsgtsebezhetsgeiken

keresztl szmos fenyegets veszlyezteti. A fenyegetsek ellen klnbzmdokon s

eszkzkkel lehet vdekezni, azonban tkletes vdelem elvileg nem ltezik snem minden

vdelmi megolds "ri meg" a rfordtst. Az egyes fenyegetsekbekvetkezsk

valsznsge s vrhat kvetkezmnyeik alapjn eltr kockzatokatjelentenek a vdend

objektumok biztonsgra. A kockzatok azonostsa, elemzse s rtkelsealapjn lehet

kivlasztani a megfelel vdelmi rendszablyokat, intzkedseket (biztonsgikontrollokat).

Az informatikai s ezen bell az adatbzis-biztonsg megkvnt llapota teht

megfelelbiztonsgi kontrollok (folyamatok, eljrsok, szervezeti megoldsok, szoftver shardver

funkcik) segtsgvel rhet el s tarthat fent. Ezeket a kontrollokat meg kellhatrozni,

meg kell valstani, folyamatosan figyelemmel ksrni s szksg esetntovbbfejleszteni,

hogy a kitztt biztonsgi s ennek kvetkeztben szervezeti clkitzsek

megvalsuljanak.


3/38

Egy adott szervezet szmra az alkalmazand biztonsgi kontrollokmeghatrozst,

kivlasztst elmleti vizsglatok s bevlt gyakorlati tapasztalatok alapjnnemzetkzi s

nemzeti szakmai szervezetek, informatikai gyrtk ltal sszelltott kontroll-gyjtemnyek,

biztonsgi tmutatk segtik.

A biztonsgi tmutatk br sok kzlk nemzetkzi, nemzeti s szervezetiszint

szabvnyokban is megjelenik nevkbl kvetkezen

1

, alapveten nem ktelez erej

dokumentumok. Ennek ellenre felhasznlhatak az informatikai biztonsg, vagyvalamely

rszterlete szablyozsra is, meghatrozva pldul, hogy bizonyosszervezetek,

tevkenysgek, rendszerek, rendszerelemek esetben az adott tmutat melykontrolljait kell

ktelezen megvalstani. Ez ltalban nem egyedileg kerl meghatrozsra,hanem a

biztonsg alanyai egyb szempontok alapjn biztonsgi kategrikba(osztlyokba) kerlnek

besorolsra s a minimlisan megvalstand kontrollok ezekhez a kategrikhozvannak

rendelve. Vgl a segtsgnyjts s a szablyozs mellett az tmutatk, illetveaz azokban

foglalt kontrollok kiterjedten felhasznlsra kerlnek a biztonsgi megfelelsg-vizsglatok,

igazolsok, auditok sorn is.

A fentiek alapjn jelen publikci alapvet clja, hogy rendszerezze, bemutassaaz

informatikai biztonsgi tmutatk, kontrollok alapvet informciit smeghatrozza

szerepket az informatikai biztonsg megvalstsban. Ennek rdekben:


4/38

- bemutatja a biztonsgi tmutatk fogalmt, rendeltetst, tpusait, valaminta fbb

tmutatkat;

- bemutatja a biztonsgi kontrollok fogalmt, rtelmezst, elemzi csoportostsuk

lehetsgeit, helyket s szerepket az informatikai biztonsgmegvalstsban;

- elemzi az informatikai biztonsgi tmutatk, kontrollok helyt, szerept az

informatikai biztonsg irnytsban, szablyozsban, meghatrozza akapcsold

feladatokat.

1

Guideline = irnymutats, irnyelv.102

BIZTONSGI TMUTATK ALAPJAI

Az informatikai biztonsgi tmutatk s a kapcsold dokumentumok (ellenrzlistk) az

informatikai biztonsg kialaktst s fenntartst (az informatikai biztonsgiclkitzsek

megvalsulst) szolgl vdelmi megoldsok, rendszablyok s tevkenysgek

kialaktsnak, illetve ellenrzsnek alapvet eszkzei. A kvetkezkben abiztonsgi

tmutatkkal kapcsolatos alapvet krdseket sszegezzk s rendszerezzk,ezen bell:

bemutatjuk a biztonsgi tmutatk s e

llenrz listk fogalmt, rendeltetst;rendszerezzk az tmutatk, ellenrz listk felhasznlsnak lehetsgeit;

megvizsgljuk az tmutatk csoportostsnak lehetsgeit, fbb tpusaikat;

ismertetjk a jelentsebb informatikai biztonsgi tmutat kat;

vgl ismertetjk a jelentsebb adatbzis-biztonsgi tmutatkat.

Az els hrom krdsben a megllaptsokat ltalnos biztonsgimegkzeltsben

fogalmazzuk meg, de pldinkat az informatikai biztonsg terletrl vesszk.


5/38

A biztonsgi tmutatk s ellenrz listk krdseinek vizsglathoz elszrmeg kell

hatroznunk fogalmukat, rendeltetsket. Az tmutat (guide, guideline[s]) azltalnos

rtelmezs szerint egy nem ktelez rvny ajnls arra, hogy meghatrozottclkitzsek

elrse rdekben mit s hogyan kell megtenni. [1, 2] Ms megfogalmazsban aztmutat

egy adott cl elrshez megkvnt, javasolt, jnak tartott, bevlt eljrsok,tevkenysgek

lersa. Az tmutatk ltalban a trvnyekben, szabvnyokban, szablyozkbanelrtak

megvalstsnak javasolt, clszer mdjt tartalmazzk.

tmutatk az let sok terletn felhasznlsra kerlnek: felhasznli tmutatk

(kziknyvek) ismertetik, magyarzzk kszlkek hasznlatt; technikaitmutatk segtik

rendszerek, eszkzk teleptst, zemeltetst, karbantartst, javtst; orvosiszakmai

protokollok rjk le egy betegsg, vagy llapot kezelsnek tevkenysgeit.2

Tbb

szabvnygyi szervezet (pld. ISO, IEC, ITU, NIST

3

, stb.) bocst ki dokumentumokat

'tmutat' megnevezssel. Mg a szabvnyok megismtelhet, mrhet stesztelhet,

normatv technikai referenciaknt hasznlhat specifikcik, addig az tmutatkltalban

szabadabb rtelmezseket is lehetv tv irnymutatsok.

A biztonsgi tmutatk (security guideline) az tmutatk egyik csoportjtalkotjk,

amelyek rendeltetse biztonsgi clkitzsek megvalstst szolgl

megoldsok, eljrsok,


6/38

tevkenysgek meghatrozsa: "hogyan lehet elrni a biztonsgot". A biztonsgalatt a

tovbbiakban olyan llapotot rtnk, amelyben valaki/valami a lehetsgesfenyeget hatsok

ellen a megkvnt mrtkben vdett. A biztonsg kialaktshoz sfenntartshoz meg kell

hatrozni a biztonsgi clkitzseket, azonostani s rtkelni kell a biztonsgotveszlyeztet

kockzatokat, majd ezek alapjn meg kell hatrozni s valstani a vdelmiintzkedseket.

Szervezetek esetben a biztonsgi szablyozrendszer hrom szintre oszthat(az

informatikai biztonsg esetben pld. lsd a KIB 25/1. ajnlst [3, 46. o.]). Felsszinten a

biztonsgi politika s stratgia tallhat, amelyek megfogalmazzk az alapvetbiztonsgi

elveket, clkitzseket s felelssgi krket, illetve meghatrozzk a biztonsg

fejlesztsnek kzp (hossz) tv tervt. Kzps szinten tfog s rszterletiszablyzatok,

szablyozk, mg als szinten a konkrt feladat- s szerepkrkre vonatkozrszletes

biztonsgi eljrsok, feladatok (eljrsrend) tallhatak.

2

User's guide (manual), technical guide (manual), medical guide (protocol).

3

International Organization for Standardization, International ElectrotechnicalCommission, International

Telecommunication Union, National Institute of Standards and Technology[USA].103

A biztonsgi tmutatk a szervezetekben a kzpszint szablyozknak s azals szint

biztonsgi feladatoknak az tfog biztonsgi politika s biztonsgi clkitzsekalapjn


7/38

trtn kialaktst tmogatjk, segtik. Ennek megfelelen a biztonsgitmutatk ltalban

tbb szervezet szmra felhasznlhat mdon, azokon kvl kerlnekkidolgozsra. Emellett

sszetett szervezetrendszerekben (kzigazgats, hader, stb.) is szksg lehetbiztonsgi

tmutatk kidolgozsra az egyes szervezetek biztonsgi eljrsai, feladatai

meghatrozsnak tmogatshoz.

Az ellenrz lista (checklist) ltalnos rtelemben egy sszetett feladat elemi

tevkenysgeinek, lpseinek teljes krt tartalmaz lista, amelynekrendeltetse

emlkeztets, vgigvezets a vgrehajtand rszfeladatokon. Az egyes lpsekkztt

lehetnek fggsgek, egy lps vlasztstl, vagy eredmnytl fgghet, hogyegy msikat

(msikakat) vgre kell-e hajtani. Egy ellenrz lista sok esetben tnylegesen egyfennll

llapot rtkelsnek, ellenrzsnek lpseit tartalmazza.

A biztonsgi ellenrz listk (security checklist) a biztonsgi tmutatkban foglaltkonkrt

megoldsok, tevkenysgek megvalsulsnak ms megkzeltsben aztmutatban

foglaltaknak trtn megfelels ellenrzsre szolgl dokumentumok. Azinformatikai

biztonsgi terleten jelents szerepet jtszanak a biztonsgi konfigurcisellenrz listk

(security configuration checklist), amelyek adott informatikai termkek javasolt,biztonsgos

belltsait, valamint az alkalmazott adminisztrcis megoldsokat, eljrsokatellenrzik. [4,

2-1. o.] Az ellenrz listk a megfelelsg-vizsglat mellett termszetesenfelhasznlhatak a

belltsok vgrehajtsa sorn is s a hagyomnyos dokumentum-formtum

mellett


8/38

megvalsthatak automatizlt ellenrzst lehetv tv elektronikus (pld.szkript) formban

is.

A biztonsgi tmutatk, ellenrz listk felhasznlsnak lehetsgei hromnagy terletbe

sorolhatak. Ezek kz tartozik felhasznlsuk:

biztonsgi intzkedsek kivlasztsa, kialaktsa sorn;

biztonsgi szablyozsok hivatkozsi alapjaknt;

s biztonsgi kvetelmnyeknek trtn megfelels ellenrzse sorn.

A biztonsgi intzkedsek kivlasztsa, kialaktsa sorn trtn felhasznls

tekinthet azalapvet felhasznlsi mdnak. Ebbl a szempontbl a biztonsgi tmutatkelmletileg

megalapozott s a bevlt gyakorlatra pl ltalnos clkitzs- s megolds-gyjtemnyek.

Az tmutatk alapvet sszetevit a vdelmi megoldsok, intzkedsek(biztonsgi

kontrollok, amelyekkel rszletesebben a kvetkez pontban foglalkozunk)kpezik. Az egyes

sszetevk esetben a meghatrozs mellett szerepelhet a megvalsts javasoltmdja is.

Az tmutatkban a rendszerezettsg s a knnyebb kezelhetsg rdekben azegyes

sszetevk (kontrollok) jellemzen klnbz szempontok alapjn esetleg tbbszinten is

csoportokba vannak sorolva. Az egyes csoportok esetben megfogalmazsrakerl a bennk

foglalt sszetevk ltalnos clja, illetve e biztonsgi clkitzs rszletesebbindoklsa, elvei.

A szablyozs sorn trtn felhasznls az nll dnts alapjn trtnfelhasznlssal

szemben a kls elrsokhoz kapcsoldik. Ennek sorn egy szablyozs hatlyaal tartoz


9/38

szervezetek szmra meghatrozsra kerl, hogy mely vdelmi megoldsokat,intzkedseket

kell ktelez rvnnyel, vagy bizonyos felttelek fennllsnak fggvnyben

megvalstaniuk. A szablyozs trtnhet nemzeti, vagy szervezeti szinten(utbbi esetben

olyan sszetett szervezetrendszerek esetben, ahol az egyes szervezetek nllbiztonsgi

irnytsi rendszert mkdtetnek), de lehetsges unis, vagy szvetsgi keretekkztt is. A

felhasznlsnak ez a mdja tulajdonkppen egy tbbszint biztonsgi irnytsirendszert

jelent, amelyben a magasabb szint clkitzseket s ezek megvalstsra egyminimum

vdelmi intzkedsi "csomagot" hatroz meg, amelyet az alacsonyabb szint sajthatskrben

bvthet, finomthat.104

Az ellenrzs cljra trtn felhasznls a biztonsg irnytsnak msikalapvet

rszterlethez, egy szervezeten bell a biztonsg llapotnak ellenrzshez,fellvizsglathoz, illetve a meghatrozott kvetelmnyeknek trtn megfelels

rtkelshez kapcsoldik. Az ellenrzs, rtkels lehet szervezeten belli sazon kvli

(magasabb szint irnyt, vagy fggetlen minst szervezet rszrl). Abiztonsgi

tmutatkban foglaltak az ellenrzs, rtkels sorn etalonknt hasznlhatakfel annak

megtlshez, hogy a meghatrozott biztonsgi clkitzsekhez skockzatokhoz

megfelelek-e a megvalstott vdelmi intzkedsek s megfelel mdonkerltek-e

megvalstsra. A korbban emltett konfigurcis ellenrz listk alapvetrendeltetse (mr

nevk alapjn is) a biztonsg llapotnak ellenrzse.


10/38

A biztonsgi tmutatk, ellenrz listk osztlyozsa klnbz szempontokszerint

lehetsges. Ezek kzl a kvetkezkben rviden kettt mutatunk be:

az alkalmazsi terlet szerinti osztlyozs;

s a kidolgozk szerinti osztlyozs.

A biztonsgi tmutatk, ellenrz listk alkalmazsi terlet szerint egy terletegszre,

vagy egyes rszterleteire vonatkoz tpusokra osztlyozhatak. Ehhez azosztlyozshoz

termszetesen meg kell hatrozni az alapul vett szakterletet, ami lehet pldulinformatikai

biztonsg, termkbiztonsg, munkabiztonsg, stb. Szkebb vizsglati tmnkszempontjbl a

tovbbiakban alapterletnek az tfog informatikai biztonsgot tekintjk.

Az informatikai biztonsg rszterletei tbbflekppen kijellhetek s ennekmegfelelen

tbbfle rszterleti tmutatval is tallkozhatunk. Ilyenek pldul akvetkezek:

az informatika i rendszerek fbb sszetevi szerint: alkalmazs-, opercisrendszer,

adatbzis-, hlzat- s hardverbiztonsgi tmutatk;

a biztonsg sszetevi szerint: fizikai, szemlyi s dokumentum biztonsgi

tmutatk;

a vdelmi megoldsok szerint: fejleszts- , hozzfrs-, jelsz-, vagykriptogrfiai

biztonsgi tmutatk;

valamint az informatikai biztonsg adott alkalmazsi terletre kidolgozott az tfog

biztonsgi tmutatkat specializl, kiegszt tmutatk

4

is.

A biztonsgi tmutatk, ellenrz listk kidolgozk szerint tbb csoportraoszthatak, ami


11/38

egyben rendeltetsket, clkznsgket is meghatrozza. Az els csoportot anemzetkzi

szabvnyostsi s szakmai szervezetek ltal kidolgozott dokumentumok kpezik.Ezek a

legtfogbb mdon sszegzik a biztonsg kialaktshoz s fenntartshozszksges, jnak

tartott megoldsokat s az adott szervezetben kialaktott rendnek megfelelenidszakonknt

jra kiadsra, tdolgozsra kerlnek. Ma mr tulajdonkppen ezek kpezikminden biztonsgi

tmutat alapjt. A msodik csoportba a nemzeti szint dokumentumok (kztkszabvnyok)

tartoznak, amelyek egy adott nagyobb, fejlettebb orszg biztonsgiclkitzsei,

szablyozsai megvalstst tmogatjk. A harmadik csoportba az informatikaiipar

szervezetei, a gyrtk ltal kibocstott dokumentumok sorolhatak, amelyekegy-egy termk

(esetleg termkcsoport) biztonsgos alkalmazshoz kapcsoldan nyjtanak

tmutatst.

Vgl a negyedik csoportot a szervezeti szint dokumentumok alkotjk, amelyekltalban

sszetettebb szervezetrendszerekben, az sszetev szervezetek ltal trtnfelhasznlsra

kerlnek kidolgozsra.

A legfontosabb informatikai biztonsgi tmutatk kz az ISO/IEC 27000

szabvnysorozategyik eleme, az Informatikai Biztonsgi Frum biztonsgi ajnlsgyjtemnye saz Egyeslt

4

Az ISO 27000 szabvnycsaldban pldul kln csoportot kpeznek azgynevezett alkalmazsi terlet-specifikus tmutatk (jelenleg az egszsggyiISO 27799 s a tvkzlsi ISO 27011). [1, 12. o.]105


12/38

llamok Nemzeti Szabvnygyi s Technolgiai Intzete 800-askiadvnysorozatnak egyes

sszetevi tartoznak.

Az ISO/IEC 27000 szabvnysorozat az informatikai biztonsg menedzsmentjnek"legjobb

gyakorlatait" fogja ssze, melyet a Nemzetkzi Szabvnygyi Szervezet (ISO) sa

Nemzetkzi Elektrotechnikai Bizottsg (IEC) kzsen adott ki. A szabvnycsaldegyik

eleme az ISO/IEC 27002:2005 Az informatikai biztonsg irnytsi gyakorlatnak

kziknyve

5

[2], amely a szervezet teljes kr informatikai biztonsgnak megteremtshez

nyjt tmutatst biztonsgi intzkedsek, kontrollok felsorolsval.

A szabvny fejezetekbl (sections) ll, ezek elejn megtalljuk az aktulismegvalstand

biztonsgi clokat (objectives); a clok megvalstshoz szksges biztonsgi

intzkedseket, kontrollokat; a biztonsgi kontrollok megvalstsi tmutatjt

(implementation guidance) s egyb szksges informcikat. A biztonsgikontrollok

megfogalmazsa ltalnos szint, a gyakorlati megvalsts rszleteit aszervezetnek sajt

magnak kell kidolgoznia.

A szabvny felptse alapjn a vdelem megvalstsnak terletei a

kvetkezk:kockzatelemzs, szablyzati rendszer, biztonsgi szervezet, vagyontrgyakkezelse,

szemlyi biztonsg, fizikai s krnyezeti biztonsg, kommunikci s zemeltetsbiztonsga,

hozzfrs-ellenrzs, informatikai rendszerek beszerzse, fejlesztse skarbantartsa,

incidenskezels, zletmenet-folytonossg, jogszablyi megfelelsg.


13/38

A szabvnyt brmely szervezet felhasznlhatja a szervezeten belli informatikaibiztonsg

kialaktshoz, menedzselshez s javtshoz. A szabvny biztonsgikontrollok

gyjtemnynek tekinthet. A szervezetnek elszr kockzatelemzst kellvgeznie,

azonostania kell a szmra szksges biztonsgi elrsokat, kvetelmnyeket,majd ezek

alapjn fel kell ptenie a sajt biztonsgi programjt. Ezt a szabvnysegtsgvel meg tudja

tenni, a szabvnyban felsorolt biztonsgi kontrollok kivlasztsa s alkalmazsaltal.

Az Informatikai Biztonsgi Frum

6

(ISF) nev nonprofit informatikai biztonsgi szervezet

ktvente frissti az ingyenesen elrhet informatikai biztonsgiajnlsgyjtemnyt, az

Informatikai biztonsg legjobb gyakorlatainak szabvnyt

7

[21]. Az ISO/IEC 27002-hz hasonlan ennek a dokumentumnak is a clja aszervezeten belli informatikai biztonsg

megvalstsa s tmogatsa gyakorlati s mrhet biztonsgi intzkedsekfelsorolsn

keresztl. A szabvnyt kutatsok, nemzetkzi szervezetek tapasztalatai s msjelents

szabvnyok alapjn lltjk ssze elssorban nagy nemzeti s nemzetkziszervezetek

szmra, de deklarljk, hogy a szabvny tetszleges mret szervezet szmraalkalmas az

informatikai biztonsg megteremtshez s fenntartshoz. Az ISFajnlsgyjtemnye clul

tzi ki, hogy lefedje ms hasonl cl szabvnyok (pldul ISO/IEC 27002 sCOBIT)

kontroll gyjtemnyt.


14/38

A szabvny 6 f fejezetre (aspects), alfejezetekre (areas) s szekcikra (sections)oszlik fel.

Minden szekci egy specilis informatikai biztonsgi terletet fed le, tartalmazzaaz adott

biztonsgi elvet (principle), annak cljt (objective) s a cl elrshez szksgesbiztonsgi

intzkedseket, kontrollokat, gyakorlati lpseket (statements).

A szabvny a biztonsgi intzkedseket a kvetkez hat csoportba sorolja be:szmtgp

telepts, hlzatok, kritikus zleti alkalmazsok, felhasznli krnyezet,rendszerfejleszts s

biztonsgkezels.

Az Egyeslt llamok Nemzeti Szabvnygyi s Technolgiai Intzete (NIST) IT

laboratriuma ltal kiadott informatikai biztonsgi 800-as sorozat

8

[5] klnbz terletek

krdseivel foglalkoz dokumentumokbl, tmutatkbl ll. Az tmutatkfelptse

5

Code of practice for Information Security Management.

6

Information Security Forum.

7

The Standard of Good Practice for Information Security.

8

NIST Special Publications 800 Series.106

ismertet-ler jelleg, ebben eltrnek az elzleg ismertetett kt szabvnytl,amelyek

inkbb pontokba szedett, biztonsgi kontrollok gyjtemnyeknt jelennek meg.

Az Egyeslt llamok hadseregben az informatikai rendszerek klnbzsszetevire


15/38

vonatkoz informatikai biztonsgi ellenrzsi clokat, az alkalmazand vdelmi

rendszablyokat, eljrsokat biztonsgi belltsi (konfigurcis) tmutatkrgztik, melyeket

a Vdelmi Informatikai Rendszerek gynksge (DISA), valamint aNemzetbiztonsgi

gynksg kszt el s bocst ki.

A DISA ltal kidolgozott Biztonsgi Technikai Megvalstsi tmutatk (Security

Technical Implementation Guide, STIG) segdeszkzk a DoD informatikairendszerek

vdelme minsgnek nvelshez. Az egyes tmutatk az adott informatikairendszer

sszetev ismert biztonsgi komponenseit, srlkenysgeit s a DoDinformatikai vdelmi

politika ltal trgyalt, ezekhez kapcsold krdseket tartalmazzk.

A DISA tmutatkhoz, az azokban foglaltak ellenrzshez rendelkezsre llnak

biztonsgi ellenrz listk s a biztonsgi kszenltet ellenrz szkriptek.Mindkett

lnyegben azt ellenrzi, hogy a vizsglt rendszer (rendszer-sszetev) megfelel-e az

tmutatban elrt kvetelmnyeknek (ellenrzsi cloknak), vagyis megfelelenvan-e

teleptve s konfigurlva, illetve megfelelen van-e felgyelve, kezelve. Aztmutatk s az

ellenrz listk brki ltal ingyenesen letlthetk a szkriptek viszont belshasznlatra

kszltek [6, 7].

Az adatbzis-biztonsgi tmutatk az adatbzis rendszerek teleptsre,konfigurlsra,

zemeltetsre, illetve az adatbzis-kezel rendszer mkdsre kihat, azinformatikai

rendszer egyb sszetevire (opercis rendszer, hlzat, adatbzist elralkalmazsok)

vonatkoz biztonsgi kvetelmnyeket s biztonsgi kontrollokat tartalmazzk.


16/38

Adatbzis-biztonsgi tmutatk kszti kztt megtalljuk az adatbzis-kezelrendszerek

gyrtit, fejlesztit, klnbz informatikai biztonsghoz ktd szervezeteketilletve llami

szerveket. Pldaknt emlthetjk az Egyeslt llamok Vdelmi Minisztriumt, azAdatbzisbiztonsgi Konzorciumot, az Internet Biztonsg Kzpontjt, a SANSintzetet

9

, illetve az

adatbzis-kezel rendszerek fejlesztit, pldul az Oracle-t.

A dokumentumokat kt f csoportra oszthatjuk a bennk tallhat biztonsgi

kontrollok

ltalnos-rszletes jellege alapjn. Az egyik csoportot az ltalnos adatbzis-biztonsgi

tmutatk alkotjk (pldul [8, 9]), melyek az adatbzis-kezel rendszer tpustlfggetlenl

fogalmaznak meg biztonsgi kvetelmnyeket. A msik csoportot az adatbzis-kezel

rendszer tpushoz (esetleg mg verzijhoz is) kszlt tmutatk alkotjk,melyek ltalban

adatbzis ellenrz lista (database checklist) elnevezst viselik (pldul [10, 11,12]).

Termszetesen minl szorosabban ktdik az tmutat egy konkrt termkhez(azaz a gyrt

s a verziszm is adott), annl preczebb s konkrtabb ellenrzsi smegvalstsi

mdszereket, biztonsgi kontrollokat tartalmaz. Az ltalnosabbanmegfogalmazott tmutatk

elnye, hogy szlesebb kr szmra hasznosthatk, azonban alkalmazs esetna

felhasznltl nagyobb szakmai tudst vrnak el a kvetelmnyek konkrtmegvalstsnak

meghatrozsa folyamn.

Az adatbzis ellenrz listk fejezetekre osztva, tblzatos formbantartalmazzk a


17/38

biztonsgi kontrollok listjt. A tblzat egy sora egy biztonsgi kontrollttartalmaz, ami egy

konkrt biztonsgi kvetelmnyt, illetve annak megvalstsi s ellenrzsimdjt rja le. A

kvetelmny mellett gyakran tallunk annak biztonsgi szintjt ler osztlyozstis, ami azt

mutatja meg, hogy a kvetelmny be nem tartsa milyen mrtk biztonsgisrlst rejt

magban. Bizonyos szervezetek (pl. DoD, CIS) az ellenrzsi lista mellautomatikus

eszkzket, szkripteket is kifejlesztettek az ellenrzsek gyorsabbelvgezhetsge

9

Database Security Consortium, Center for Internet Security; SysAdmin, Audit,Networking, and Security

Institute.107

rdekben. A listkban tallhatunk utalst az ellenrzsi pontoknl arra

vonatkozlag, hogy azadott kvetelmny ellenrzst az automatikus eszkz elvgi-e.

BIZTONSGI KONTROLLOK ALAPJAI

A megfelel biztonsgi kontrollok az informatikai biztonsg kialaktsnak s

fenntartsnak, a biztonsg megkvnt (megkvetelt) szintje rtkelsnekalapvet eszkzei,

alapjt kpezik az informatikai biztonsgi irnyts (security management)

klnbz

mdszertanainak, keretrendszereinek (pld. COBIT

10

, ISO 27000 csald). A kvetkezkben a

biztonsgi kontrollokkal kapcsolatos alapvet krdseket sszegezzk srendszerezzk, ezen

bell:

bemutatjuk a biztonsgi kontrollok fogalmt, rendeltetst;


18/38

rendszerezzk a kontrollok csoportostsait, fbb tpusait;

elemezzk az informatikai biztonsgi kontrollok fogalmt, rtelmezst;

megvizsgljuk a kontrollok helyt, szerept az informati kai biztonsg

megvalstsban;

vgl ismertetjk az adatbzis-biztonsgi kontrollok fogalmt, csoportostsi

lehetsgeit.

A biztonsgi kontrollok fogalmnak, rendeltetsnek vizsglathoz elszr akontroll

fogalom tartalmt, rtelmezst kell rgztennk. A kontroll (control) kifejezsangolul

egyarnt jelent irnytst, illetve felgyeletet, ellenrzst, tbbes szmban pedigvezrl-,

irnyt-, szablyoz szerkezetet, berendezst. Tmnk szempontjbl a kontrollkifejezs a

(bels) ellenrzs terlethez kapcsoldan rtelmezend, amelynek szleskrben, ms

szablyozk, mdszertanok ltal is felhasznlt alapdokumentuma a COSO

11

Integrlt Bels

Kontroll Keretrendszere. [13]

A dokumentumban kt alapfogalom szerepel: a bels kontroll s a kontroll-tevkenysg. A

bels ellenrzs / bels kontroll (internal control): a szervezet vezeti smunkatrsai ltal

megvalstott sszetett folyamat, amelyet a szervezeti clkitzsekkelkapcsolatos kockzatok

meghatrozsra s sszer biztostkok kialaktsra hoztak ltre. [14, 65. o.] Akontroll

tevkenysg (control activity) pedig a kockzatok meghatrozsa s a szervezetcljainak

elrse rdekben kialaktott elv (elrs) s eljrs, amelyet egy tevkenysgkimenetele

bizonytalansgnak korltok kztt tartsra irnyul. [14, 59. o.]


19/38

A COSO dokumentum rtelmezsben teht a szervezeti clkitzsek elrstfenyeget

kockzatok kezelsre s megvalstsuk valsznsgnek nvelsre specilis

rendszablyokat, tevkenysgeket kell kialaktani, amelyek ms sszetevkkelegytt egy

sszetett folyamatot alkotnak. A tovbbiakban a kt fogalom kzl elssorban akontroll

tevkenysgre ptnk. Ez az rtelmezs szerepel a kockzatkezels alapelveitrgzt ISO

31000 nemzetkzi szabvnyban is, amely szerint a kontroll olyan intzkeds,amely mdostja

a kockzatot. [15, 6. o.]

A biztonsgi kontroll (security control) a szervezeti clkitzsek megvalsulstbiztost

kontrollok egyik, kiemelt szerepet jtsz tpusa, biztonsgi kockzatokelkerlst, elhrtst,

vagy minimlisra cskkentst szolgl vdelmi intzkeds (vintzkeds,ellenintzkeds).

A biztonsgi kontroll s a kontroll fogalmak megklnbztetse a biztonsgikockzat s a

kockzat fogalmak rtelmezstl fgg. Amennyiben a kockzatot bizonytalanesemnyek

hatshoz kapcsoljuk (ahol a hatsok lehetnek pozitvak s negatvak =lehetsgek s

10

Control Objectives for Information and Related Technology = informcis skapcsold technolgira

vonatkoz kontroll clkitzsek.

11

Committee of Sponsoring Organizations of the Treadway Commission = ATreadway Bizottsg Tmogat

Szervezeteinek Bizottsga (knyvvizsgl szervezetek nkntesegyttmkdse).108


20/38

fenyegetsek), a kt kontroll fogalom tartalma kztt nincs klnbsg. Ilyenrtelmezssel

tallkozhatunk az ISO 31000 szabvnyban. [15, 1. o.] Amennyiben viszont akockzatot a

negatv, kros hats esemnyek krre szktve rtelmezzk, akkor a ktfogalom rsz-egsz

viszonyban ll egymssal. Erre az rtelmezsre plnek az informatikaibiztonsgi

dokumentumok. [1, 4. o.; 16, 222. o.] A tovbbiakban mi is erre a szkebbrtelmezsre

ptnk.

A biztonsgi kontrollok osztlyozsa szmos klnbz szempont szerintlehetsges. Ezek

kzl a kvetkezkben a jelleg s a rendeltets szerinti osztlyozst mutatjuk be.

A biztonsgi kontrollok jelleg szerint tbbflekppen csoportosthatak, ahol a

csoportosts alapjt a megvalsts mdjai, eszkzei kpezik. A COSOkeretrendszer kt

tfog tpust klnbztet meg: elrsok ("mit kell tenni") s eljrsok (az

elrsokmegvalstsa). [13, 51. o.] Az ISO 27000 osztlyozsban adminisztratv,technikai, vezetsi

s jogi kontrollok szerepelnek meghatrozs nlkl. [1, 2. o.] A NISTdokumentumok hrom

tpust klnbztetnek meg: vezetsi, mkdsi s technikai kontrollok. A vezetsi

(menedzsment) kontrollok a biztonsg s a kockzatok kezelsre irnyulnak,mg a mkdsi

kontrollok az elsdlegesen emberek ltal, a technikai kontrollok pedig a technikaieszkzk

ltal megvalstott eljrsok. [17, B-9, B-6, B-8, B-11. o.]

Egy msik megkzelts szerint a biztonsgi kontrollok hrom tpust azadminisztratv, a

fizikai s a technikai (ms nven logikai) kontrollok alkotjk. Az adminisztratvkontrollok a


21/38

szervezeti erforrsok megvsra irnyul szervezeti elrsok, eljrsok sms

tevkenysgek. A fizikai kontrollok kz a fizikai hozzfrst, beavatkozstmegakadlyoz

technikai eszkzk, megoldsok tartoznak. Vgl a technikai kontrollok atechnikai

eszkzkben megvalstott logikai, eljrsi jelleg megoldsok. [18, 2., 18., 26.o.]

A biztonsgi kontrollok rendeltets szerint is csoportosthatak, ami egyben abiztonsgot

veszlyeztet (nem kvnt) esemny bekvetkezshez viszonytottmegvalsulsuk szerinti

csoportostst is jelent. Kt alapvet tpus gyakorlatilag minden dokumentumbanmegjelenik.

A megelz (preventive) kontrollok rendeltetse a nem kvnatos esemnyek,eredmnyek

megakadlyozsa, elkerlse azok bekvetkezse eltt. Az szlel, feltr(detective)

kontrollok rendeltetse a mr bekvetkezett nem szndkolt esemnyek,

eredmnyek

feltrsa, azonostsa, jelzse a bekvetkezs alatt vagy utn. [13, 120., 121. o.;14, 60., 68.

o.; 16, 220., 223. o.; 19, 20. o.]

Tbb alapvet dokumentumban szerepelnek a helyreigazt, helyesbt(corrective)

intzkedsek is, amelyek rendeltetse a bekvetkezett nem kvnatos

esemnyek kroshatsainak cskkentse, azonban definci nlkl s nem kontrollnak minstve.[16, 19] Ms

dokumentumokban tallkozhatunk az elrettent (deterrent) kontrollokfogalmval, amelyek

rendeltetse a nem kvnatos elssorban szndkos esemnyekbekvetkezsi

valsznsgnek cskkentse, valamint a helyrellt (recovery) kontrollok

fogalmval,


22/38

amelyek rendeltetse a biztonsgsrts eltti llapot visszalltsa. E kt utbbitpus a

megelz s a helyreigazt kontrollok altpusnak is tekinthet.

Az informatikai biztonsgi kontroll (information/IT security control) fogalmnak

rtelmezse szorosan kapcsoldik az informcibiztonsg s az informatikaibiztonsg

fogalmak viszonyhoz, rtelmezshez, ami mindmig eltr szakmaimegkzeltsek,

nzeteltrsek trgya. A kt fogalom s az alkalmazott kifejezsekmegklnbztetse a

relevns szabvnyokban, mdszertanokban sem egyrtelm

12

, ltalban csak a tartalom jelzi,

hogy az adott dokumentumban szerepl rtelmezs melyik megkzeltshez llkzelebb.

A tovbbiakban jelen publikciban arra a megkzeltsre ptnk(rszletesebben lsd

20), amely szerint az elbbi fogalom az informci s annak mindenmegnyilvnulsi formja

(emberek tudatban, hagyomnyos hordozn, informcis tevkenysgekettmogat

12

Br a vonatkoz ISO szabvnyok mindegyike (27000, 13335, 15408, 15443,18045, stb.) az 'Information

technology - Security techniques' szabvnycsoportban szerepel.109

eszkzkben) biztonsghoz, mg az utbbi az informatikai rendszerekben,eszkzkben

kezelt informcik s maguk a rendszerek, eszkzk biztonsghoz kapcsoldik.A biztonsgi

terleten, a gyakorlatban a kett egymstl valjban elvlaszthatatlan,nmagban egyik sem

jelent teljes kr megoldst.


23/38

A fentiek alapjn informatikai biztonsgi kontroll alatt az informatikai biztonsgi

kockzatok elkerlst, elhrtst, vagy minimlisra cskkentst szolglvdelmi

intzkedst (vintzkedst, ellenintzkedst) rtnk. Az informatikai biztonsgikockzat

(information/IT security risk) erforrsok, erforrscsoportok srlkenysgtkihasznl, a

szervezetnek krt okoz potencilis fenyegets [1, 4. o.], ahol erforrs minden,aminek

rtke van a szervezet szmra (informci, szoftver, hardver, szolgltatsok,emberek). [1, 2.

o.]

A korbban bemutatott jelleg s rendeltets mellett az informatikai biztonsgikontrollok

osztlyozsa az ltalnossg-rszletessg skln is lehetsges. Egy vdelmimegolds,

intzkeds, eszkz ugyanis tbbfle szinten meghatrozhat, pldul:

ISO 27002, 11.3.1: A felhasznlknak megfelel jelsz vlasztsi s hasznlati

gyakorlatot kell kvetnik. [2, 64. o.];

NIST 800-53, IA-5.1.a: Az informatikai rendszer megkvetel bizonyos jelsz-

sszetettsgi elrsokat. [17, F-58. o.];

CI4.5.3: biztostani kell, hogy a jelszavak hossza meghaladjon egy minimlis rtket,

klnbzzn a felhasznli azonosttl, ne tartalmazzon kettnl tbb azonos

karaktert egyms mellett s ne tartalmazzon kizrlag alfabetikus, vagykizrlag

numerikus karaktereket. [21, CI4.5 o.]

Az ltalnos kontrollok a jl bevlt gyakorlatra pl biztonsgi tmutatkhoz

kapcsoldnak, az egyes konkrt megoldsok ltalnostsait tartalmazzk. Ezekaz ltalnos

kontrollok (meghatrozsok) a klnbz szervezetekben, illetve klnbzbiztonsgi


24/38

clkitzsek esetn trtn felhasznlhatsg rdekben clszeren technolgia-s

megvalsts-fggetlenek. Mindez viszont szksgess teszi, hogy konkrtmegvalstsuk

esetn az tmutatban szerepl kontrollok rszletezsre, kiegsztsrekerljenek. Ennek

alapjai s rendje rszletesebben megtallhat a NIST 800-53 dokumentumban.[17, 7-8., 19-

25. o.]

Az ltalnos(abb) kontrollok testre szabst segti, ha azok eleve tartalmaznak a

szervezetek ltal meghatrozhat, vagy vlaszthat paramtereket (pld.

jelszavak minimlis

hossza, jelszvlts elrt gyakorisga, stb.). A rszletezs azonban enlkl ismegvalsthat

(pld. legyen minimlis jelsz-hossz elrs ~ a jelsz minimlis hossza legalbb 8karakter

legyen). Az ltalnos kontrollok kiegsztse (control enhancement) tovbbibiztonsgi

funkcik megvalstst, vagy a kontroll "erssgnek" nvelst szolglja. [17,B-12. o.]

Egy biztonsgi tmutat az egyes kontrollokhoz tbb kiegsztst is tartalmazhat,amelyek

kzl a konkrt biztonsgi kvetelmnyek fggvnyben lehet egyet, vagytbbet vlasztani.

Emellett kiegsztseket az adott szervezetek is megfogalmazhatnak.

Az informatikai biztonsgi kontrollok szerepe az informatikai biztonsg

megvalstsban

eszkzjelleg. A kontrollok a biztonsgi clkitzsek s a kockzatok elemzse,rtkelse

alapjn kerlnek meghatrozsra, majd megvalstsra. Rendeltetsk akockzatok s ezzel a

kros kvetkezmnyek bekvetkezsnek, illetve mrtknek cskkentse. Akontrollok

kapcsolatrendszert az informatikai biztonsg (illetve ltalban a biztonsg) ms


25/38

sszetevivel a kvetkez bra szemllteti.110

1. bra. Informatikai biztonsgi kontrollok helye, szerepe

13

Adatbzis-biztonsgi kontrollok alatt az adatok adatbzis rendszerekben trtntrolsval

kapcsolatos biztonsgi kockzatok elkerlst, elhrtst, vagy minimlisracskkentst

szolgl vdelmi intzkedseket rtjk.

Az adatbzis-biztonsgi kontrollok esetben is vgigkvethetk az elzlegbemutatott

csoportostsi lehetsgek. A technolgia- s megvalsts-fggetlen ltalnoskontrollokat az

ltalnos adatbzis-biztonsgi tmutatk tartalmazzk. A biztonsg gyakorlatimegvalstsa

sorn szksges az tmutatban szerepl kontrollok rszletezse, kiegsztse,testre szabsa.

Ennek a folyamatnak a vgtermke lehet egy olyan biztonsgi tmutat (vagyms nven

ellenrz lista), mely konkrt, specifiklt biztonsgi kontrollok gyjtemnyblll.

Termszetesen ebben az esetben a kontrollok fggnek az adatbzis-kezelrendszer tpustl,

verzijtl s a mkdsi krnyezet tulajdonsgaitl. Egy konkrt tpus sverzij

adatbzis-kezel rendszerhez adnak ki (gyrtk, illetve klnbz biztonsgiszervezetek)

ellenrz listkat, melyek a helyes telepts, konfigurls s mkdtetstechnikai s

mkdsi elemeit fogalmazzk meg. A COSO keretrendszer ltal meghatrozottelrsok

kategria az ltalnos adatbzis-biztonsgi tmutatk kontrolljaira jellemz, mga specifikus

adatbzis-biztonsgi ellenrz listk kontrolljai az eljrsok kategria al esnek.


26/38

Az 1. bra osztlyozst tekintve megllapthatjuk (pldul [9] alapjn), hogy azadatbzisbiztonsgi kontrollok tbbsge a megelz tpusba tartozik. Idesorolhatjuk a teljessg

ignye nlkl az adatbzis-kezel rendszer konfigurcis kontrolljait, a

hitelestssel

kapcsolatos kontrollokat, a hozzfrsi jogosultsgokat szablyoz kontrollokatvagy a

titkosts szablyozst biztost kontrollokat. szlel kontroll kategrijbatartozik a log

menedzsment s elemzs, illetve az illetktelen hozzfrsek megfigyelsnekkezelse.

Helyreigazt kontrollok krbe az adatbzismentst s helyrelltst szablyozkontrollok

tartoznak. Az elrettent kontrollok az adatbzis-biztonsgi tmutatkra nemjellemzek, az

elrettents feladatt adminisztrcis mdszerekkel, intzkedsekkel lehetsgeskezelni.

Az adatbzis-biztonsgi kontrollok rendeltets szerint besorolhatk a kvetkezhrom

kategriba: technikai kontrollnak az adatbzis-kezel rendszerben megvalstottbiztonsgi

13

Kszlt az ISO 15408 Vdelmi fogalmak s kapcsolatrendszerk brjnakfelhasznlsval s kiegsztsvel

[25, 12.o.].111

belltsokat, mkdsi kontrolloknak az adatbzis-kezel rendszermkdtetsvel,

zemeltetsvel kapcsolatos, emberek ltal megvalstott eljrsokat,adminisztratv

kontrollnak pedig a szervezeti erforrsokkal kapcsolatos szervezeti elrsokat,eljrsokat

rtjk.

BIZTONSGI TMUTATK S KONTROLLOK SZEREPE


27/38

A BIZTONSG MEGVALSTSBAN

A biztonsgi tmutatk, kontrollok mint korbban mr tbbszrmegfogalmaztuk

kiemelt szerepet jtszanak az informatikai biztonsg megvalstsban, ennekkeretben az

informatikai biztonsg irnytsban, valamint szablyozsban. Akvetkezkben a

biztonsgi tmutatk, kontrollok helyvel, szerepvel, felhasznlsvalkapcsolatos nhny

alapvet krdst vizsglunk meg, ezen bell:

elemezzk a biztonsgi tmutatk, kontrollok helyt s szerept az

informatikai

biztonsg irnytsban;

meghatrozzuk a biztonsgi tmutatk, kontrollok helyt s szerept az informatikai

biztonsg szablyozsban;

vgl krvonalazzuk az adatbzis-biztonsgi tmutatk, kontrollok felhasznlsnak,

kialaktsnak s tovbbfejlesztsnek rendjt, feladatait.

Az informatikai biztonsg eredmnyes s hatkony megvalstsa kialaktsa sfolyamatos

fenntartsa informatikai biztonsgi irnytsi rendszer mkdtetst ignyli,amelynek

alapvet feladatai kz a kvetkezk tartoznak:

az informatikai biztonsgi kvetelmnyek meghatrozsa;

az informatikai biztonsgi kockzatok feltrsa, r tkelse;

az informatikai biztonsgi kontrollok (vdelmi megoldsok, intzkedsek)

kivlasztsa s megvalstsa;

az informatikai biztonsg helyzetnek figyelemmel ksrse, szksg esetn a

kvetelmnyek mdostsa, a kockzatok jra rtkelse s a vdelmiintzkedsek

jbli meghatrozsa, tovbbfejlesztse s kiegsztse. [1, 10. o.]


28/38

Az informatikai biztonsgi tmutatk, kontrollok a kockzatok feltrsban,rtkelsben

(risk identification, analysis, evaluation) mr szerepet jtszanak. Az tmutatkkzvetve

jrulnak hozz a kockzatok feltrshoz azzal, hogy ltalnostott mdon aztmutat

alkalmazsi terletre vonatkozan teljes kren tartalmaznak klnbzszint kontrollclkitzseket, amelyek felhasznlsa segthet kockzatokfelismersben. Emellett a

kockzatok alapjt a vdend erforrsok srlkenysgei s az ezeketkihasznlni kpes

fenyegetsek mellett a mr ltez vdelmi megoldsok, intzkedsek(kontrollok) is kpezik.

Ezek ugyanis megszntethetik, vagy cskkenthetik az erforrsok eredendsrlkenysgt,

korltozhatjk a fenyegetsek kros hatsait, ezzel befolysolhatjk akockzatokat.

Az informatikai biztonsgi tmutatk, kontrollok a kockzatok kezelsben (risktreatment)

alapvet szerepet jtszanak. Ennek sorn a kontrollok az egyik legfontosabbmegoldst

kpezik. Amennyiben a dntshozk nem a kockzatok felvllalst, elkerlst,vagy

thrtst vlasztjk, a kockzatok cskkentsre megfelel vdelmiintzkedseket kell

alkalmazniuk. [3, 42. o.] A vdelmi intzkedsek (kontrollok) kivlasztsnakalapvet

tmogatst a biztonsgi tmutatk nyjtjk, amelyek a bevlt gyakorlat alapjnltalnosan

megfogalmazott biztonsgi clkitzseket megvalst kontrollokat biztostanakalapknt a

konkrt clkitzseket megvalst kontrollok meghatrozshoz.Termszetesen vdelmi 112

intzkedsek (kontrollok) tmutatk nlkl is meghatrozhatak, ez azonban a

gyakorlatmeglv tapasztalatainak, eredmnyeinek figyelmen kvl hagyst jelenti.


29/38

Az informatikai biztonsgi tmutatk, kontrollok a biztonsg helyzetnekrtkelsben is

felhasznlhatak. A szervezeti szint tmutatk, a bennk foglalt elrsokmegvalsulsnak

rtkelse referencia-alapot kpez a biztonsgi helyzet rtkelshez. Azltalnos (tbb

szervezetben is hasznosthat) tmutatk felhasznlsi lehetsge ktoldal.Egyrszt a

tapasztalatok alapjn frisstett tmutatk j kvetelmnyekre, sebezhetsgekres

megoldsokra hvhatjk fel az egyes szervezetek figyelmt, msrszt mivel abiztonsgi

helyzet folyamatos figyelemmel ksrse, illetve ennek klnbz megoldsaimaguk is

szerepelnek a kontrollok kztt konkrt tmutatst is tartalmaznak. Alegismertebb

tmutatk (kontroll-gyjtemnyek) mindegyikben megtallhatak afellvizsglatra,

rtkelsre irnyul kontrollok.

14

Az informatikai biztonsg szablyozsa ltalnos rtelemben az informatikaibiztonsghoz

kapcsold szablyok feladatok, felelssgi s hatskrk, elrsok skorltozsok meghatrozsa. Mint minden szablyozs, elssorban arendszeresen ismtld tevkenysgek

vgrehajtsnak eljrsi, szakmai, vagy technikai szablyait rgzti. A

szablyozs szintjttekintve lehet nemzetkzi, nemzeti, gazati (szakterleti), vagy szervezeti,emellett

megklnbztethetnk jogi s nszablyozst is. A szablyozshoz kapcsoldanfontos

szerepet jtszanak a szabvnyok is.

A biztonsgi tmutatk kzvetlen alkalmazsa nemzeti, gazati, vagy szervezetiszinten azt


30/38

jelenti, hogy az adott szablyoz a hatlya al tartoz szervezetek, szervezetielemek szmra

elrja kivlasztott tmutat(k)ban foglalt kontrollok, vagy azok egymeghatrozott rsznek

alkalmazst, megvalstst. Ezek az tmutatk nemzeti szinten a sajtfelgyelet

rdekben ltalban nemzeti szabvnyok, ajnlsok. Erre plda az Egyesltllamok

Szvetsgi Informcibiztonsgi Trvnye [22], amely a szvetsgi informatikairendszerekre

elrja a vonatkoz NIST dokumentumokban foglaltak alkalmazst. gazati(szakterleti)

szinten szintn tallkozhatunk kzvetlen hivatkozssal, pldul az ISO 27000szabvnycsald

egszsggyi informatikai tagja [23] az ISO 27002 tmutatra pt. Szervezetiszablyozsok

elrhatjk az alkalmazott rendszerekre, eszkzkre vonatkoz gyrti tmutatk

alkalmazst is.

A biztonsgi tmutatk kzvetett alkalmazsa esetben az adott szablyozkzvetlenl

nem hivatkozik tmutatra, ehelyett mintegy szakmai httranyagknt azabban (azokban)

foglaltak kerlnek felhasznlsra. Ennek sorn elssorban az tmutat(k)bantallhat

informatikai biztonsgi clkitzsek kontroll clkitzsek kerlnekfelhasznlsra,

mrlegelve az rintett terlet biztonsgi kockzatait s magas szint biztonsgiclkitzseit.

Ez a felhasznls egyarnt elfordulhat nemzeti, gazati s szervezeti szintszablyozsok

esetben.

A biztonsgi tmutatk minsgbiztostsi alkalmazsa a szablyozsbanelssorban bels

minsgellenrzsi s kls minsgtanstsi elrsokra pl. Az informatikaibiztonsg


31/38

terletn rgta lteznek minsgrtkelsi, tanstsi mdszertanok,szabvnyok, tmutatk.

Mg ezek korbban fggetlenek voltak a biztonsgi kontrollok gyjtemnyttartalmaz

tmutatktl, az ISO 27000 szabvnycsald esetben ez a kapcsolat mr kiplt,a kidolgozs

alatt ll szabvnyok egyike

15

kimondottan a biztonsgi kontrollokhoz kapcsoldik.

A biztonsgi tmutatk szablyozsi alkalmazsnak jellegzetes terletei kznemzeti

szinten mindenekeltt az e-kzigazgats, a vdelmi szfra s a kritikusinfrastruktra vdelem

tartozik. Jelents szablyozsi terlet a minstett adatok, illetve a szemlyesadatok vdelme

14

ISO 27002 [2]: 5.1.2, 6.1.8 s 15.2 kontrollok;

ISF SGOP [21]: SM3.5, SM7.1, CB5.4, CI5.5, NW4.5 s SD2.3 kontroll-csoportok(szekcik);

NIST 800-53 [17]: AU s CA kontroll-csaldok.

15

ISO 27008, Guidance for auditors on ISMS controls = tmutat ellenrkszmra a biztonsgi kontrollokhoz.113

is. Az gazati, szakterleti ezen bell mindenekeltt az infokommunikcisterleti

szablyozs alapvet jellemzje az nszablyozs, ltalban az ISO 27000szabvnycsaldnak

trtn megfelels. A pnzgyi szolgltatsokkal kapcsolatos magyarszablyozrendszer

pedig jelents mrtkben pt a COBIT mdszertanra. [24, 3. o.]

Az adatbzis-biztonsgi tmutatk felhasznlsa a fentiekkel sszhangban az

adatbzis


32/38

rendszerek biztonsgi kockzatainak feltrsban s kezelsben, az adatbzis-biztonsgi

kontrollok kivlasztsnak s alkalmazsnak folyamatban s a biztonsgiellenrzs,

biztonsgi audit folyamn lehetsges. Az adatbzis-biztonsgi tmutatktartalma kiterjed

tbbek kzt az adatbzis-kezel rendszer s mkdsi krnyezetnekbiztonsgos

belltsaira, az adatbzisok biztonsgos belltsaira, illetve a mkdsifolyamatok

biztonsgos kezelsre (pldul a felhasznlk menedzsmentjre, a hitelests,ments,

helyrellts, telepts s log elemzs folyamataira).

Jelenleg haznkban nemzeti szint adatbzis-biztonsgi szablyozs nem ltezik,a jvben

azonban az e-kzigazgats s a kritikus infrastruktra vdelem terletn szksglehet ennek

bevezetsre. A szerzk vlemnye szerint a jvben kialaktandi szablyozstrdemes

lenne a kvetkez tbbszint modell mentn felpteni.

A szablyozs egyik rszt kpezn a szervezet- s tevkenysg-fggetlenltalnos

adatbzis-biztonsgi tmutat, mely rendszablyok rendezett listja lenne. Azltalnos

adatbzis-biztonsgi tmutat keretszablyozst jelentene, az adatbzisrendszerek

zemeltetsre, teleptsre, konfigurlsra vonatkoz biztonsgi kontrollokatszervezet-,

tevkenysg- s termk-fggetlen mdon tartalmazn. A dokumentum mintakntszolglna a

szervezetek szmra a sajt adatbzis-biztonsgi tmutat elksztshez, melymr szervezet

s tevkenysg specifikusan tartalmazn a kvetelmnyeket, elrsokat. Aztmutat


33/38

nmagban nem egy ktelez erej jogszably lenne, helyt magyarviszonylatban a

Kzigazgatsi Informatikai Bizottsg ajnlsai kztt tudnnk elkpzelni.Hasznlatt viszont

meghatrozott szervezetek szmra egy kormnyrendelet elrendelhetn.

A szablyozs msik rsze szervezet specifikus dokumentumokbl llna. Aszablyozs

hatlya al es szervezetnek ki kellene dolgoznia a sajt ltalnos adatbzisbiztonsgi

tmutatjt az elz pontban lert tmutat adaptcijval. Ebben az adatbzisrendszerre

vonatkoz kvetelmnyeket sajt szervezetre vonatkoztatva kellenemegfogalmazni.

Tovbb a szervezetnek az ltalnos biztonsgi kvetelmnyeket t kellenefogalmaznia

konkrt biztonsgi kontrollok, ellenrzsi pontok halmazv, ami a sajtadatbzis-kezel

rendszerre s az aktulis mkdsi krnyezetre rvnyes, ez lenne a szervezetadatbzisbiztonsgi ellenrz listja. Ebbl a kt dokumentumbl plne fel a

szervezet adatbzisbiztonsgi szablyzata.

Az adatbzis-biztonsgi tmutatk felptsre a gyakorlatban klnbzpldkat

lthatunk. Egy ltalunk logikusnak vlt rendszerezs a biztonsgi kontrollokrendeltets

szerinti csoportostsra pl. Ezek alapjn megklnbztetjk a technikai, amkdsi s az

adminisztratv kontrollokat. Technikai kontrollnak az adatbzis-kezelrendszerben

megvalstott biztonsgi konfigurcis belltsokat, mkdsi kontrolloknak azadatbziskezel rendszer mkdtetsvel, zemeltetsvel kapcsolatoseljrsokat, adminisztratv

kontrollnak pedig a szervezeti erforrsokkal kapcsolatos elrsokat, eljrsokatrtjk.

SSZEGZS

Az informatikai biztonsgi tmutatk s a kapcsold dokumentumok (ellenrzlistk) az


34/38

informatikai biztonsg kialaktst s fenntartst szolgl vdelmi megoldsok,

rendszablyok s tevkenysgek kialaktsnak, illetve ellenrzsnek alapveteszkzei. Az

tmutatk f sszetevit a vdelmi megoldsok, intzkedsek, biztonsgikontrollok kpzik. 114

A szervezetek biztonsgi szablyozrendszere hrom szintre oszthat: felsszinten a

biztonsgi politika s stratgia, kzps szinten tfog s rszterletiszablyzatok, mg als

szinten a konkrt feladat- s szerepkrkre vonatkoz rszletes biztonsgieljrsok

tallhatak. A biztonsgi tmutatk a szervezetekben a kzpszintszablyozknak s az als

szint biztonsgi feladatoknak az tfog biztonsgi politika s biztonsgiclkitzsek alapjn

trtn kialaktst tmogatjk, segtik. A biztonsgi tmutatk ltalban tbbszervezet

szmra felhasznlhat mdon, azokon kvl kerlnek kidolgozsra.

A biztonsgi ellenrz listk a biztonsgi tmutatkban foglalt konkrtmegoldsok,

tevkenysgek megvalsulsnak ellenrzsre szolgl dokumentumok. Azinformatikai

biztonsgi terleten jelents szerepet jtszanak a biztonsgi konfigurcisellenrz listk,

amelyek adott informatikai termkek javasolt, biztonsgos belltsait, valamintaz

alkalmazott adminisztrcis megoldsokat, eljrsokat ellenrzik.

A biztonsgi tmutatk, ellenrz listk felhasznlsnak lehetsgei hromnagy terletbe

sorolhatak. (1) A biztonsgi intzkedsek kivlasztsa, kialaktsa sorn trtnfelhasznls

jelenti az alapvet felhasznlsi mdot, ahol a biztonsgi tmutatk elmletilegmegalapozott

s a bevlt gyakorlatra pl ltalnos clkitzs- s megolds-gyjtemnykntszolglnak.


35/38

(2) A szablyozs sorn trtn felhasznls kls elrsokhoz kapcsoldik.Ennek sorn a

szablyozs hatlya al tartoz szervezetek szmra elrjk, hogy mely vdelmi

megoldsokat, intzkedseket kell ktelez rvnnyel, vagy bizonyos felttelekfennllsnak

fggvnyben megvalstaniuk. (3) Az ellenrzs cljra trtn felhasznls abiztonsg

llapotnak ellenrzshez, fellvizsglathoz, illetve a meghatrozottkvetelmnyeknek

trtn megfelels rtkelshez kapcsoldik. A biztonsgi tmutatkbanfoglaltak az

ellenrzs, rtkels sorn etalonknt hasznlhatak fel annak megtlshez,hogy a

meghatrozott biztonsgi clkitzsekhez s kockzatokhoz megfelelek-e amegvalstott

vdelmi intzkedsek s megfelel mdon kerltek-e megvalstsra.

Az adatbzis-biztonsgi tmutatk az adatbzis rendszerek teleptsre,konfigurlsra,

zemeltetsre, illetve az adatbzis-kezel rendszer mkdsre kihat, azinformatikai

rendszer egyb sszetevire (opercis rendszer, hlzat, adatbzist elralkalmazsok)

vonatkoz biztonsgi kvetelmnyeket s biztonsgi kontrollokat tartalmazzk. A

dokumentumokat kt f csoportra oszthatjuk a bennk tallhat biztonsgikontrollok

ltalnos-rszletes jellege alapjn. Az egyik csoportot az ltalnos adatbzis-

biztonsgi

tmutatk alkotjk, melyek az adatbzis-kezel rendszer tpustl fggetlenlfogalmaznak

meg biztonsgi kvetelmnyeket. A msik csoportot az adatbzis-kezel rendszertpushoz

kszlt tmutatk alkotjk, melyek ltalban adatbzis ellenrz lista elnevezstviselik.

Az informatikai biztonsgi tmutatk sszetevit kpz biztonsgi kontrollok az


36/38

informatikai biztonsg kialaktsnak, fenntartsnak s rtkelsnek alapveteszkzei,

alapjt kpezik az informatikai biztonsgi irnyts klnbz mdszertannak.Informatikai

biztonsgi kontroll alatt az informatikai biztonsgi kockzatok elkerlst,elhrtst, vagy

minimlisra cskkentst szolgl vdelmi intzkedst (vintzkedst,ellenintzkedst)

rtnk. Az informatikai biztonsgi kontrollok a biztonsgi clkitzsek s akockzatok

elemzse, rtkelse alapjn kerlnek meghatrozsra, majd megvalstsra.Rendeltetsk a

kockzatok s ezzel a kros kvetkezmnyek bekvetkezsnek, illetvemrtknek

cskkentse.

Adatbzis-biztonsgi kontrollok alatt az adatok adatbzis rendszerekben trtntrolsval

kapcsolatos biztonsgi kockzatok elkerlst, elhrtst, vagy minimlisracskkentst

szolgl vdelmi intzkedseket rtjk.

Az ltalnos adatbzis-biztonsgi tmutatk technolgia- s megvalsts-fggetlen

ltalnos kontrollokat tartalmaznak. A biztonsg gyakorlati megvalstsa sornszksges az

tmutatban szerepl kontrollok rszletezse, kiegsztse, testre szabsa.Ennek a

folyamatnak a vgtermke lehet egy olyan biztonsgi tmutat vagy ms nvenellenrz 115

lista, mely konkrt, specifiklt biztonsgi kontrollok gyjtemnybl ll. Ekkor akontrollok

fggnek az adatbzis-kezel rendszer tpustl, verzijtl s a mkdsikrnyezet

tulajdonsgaitl.

A biztonsgi tmutatk, kontrollok szerepe az informatikai biztonsgmegvalstsban,


37/38

ennek keretben az informatikai biztonsg irnytsban, valamintszablyozsban kiemelt

jelleg. Az informatikai biztonsgi tmutatk, kontrollok szerepet jtszanak abiztonsgi

kockzatok feltrsban, rtkelsben. Az tmutatk kzvetve jrulnak hozz akockzatok

feltrshoz azzal, hogy tartalmaznak klnbz szint kontroll-clkitzseket,amelyek

felhasznlsa segthet a kockzatok felismersben. Az informatikai biztonsgitmutatk,

kontrollok a kockzatok kezelsben alapvet szerepet jtszanak. Ennek sorn akontrollok az

egyik legfontosabb megoldst kpezik. A vdelmi intzkedsek, kontrollokkivlasztsnak

alapvet tmogatst a biztonsgi tmutatk nyjtjk, amelyek a bevltgyakorlat alapjn

ltalnosan megfogalmazott biztonsgi clkitzseket megvalst kontrollokatbiztostanak

alapknt a konkrt clkitzseket megvalst kontrollok meghatrozshoz. Az

informatikai

biztonsgi tmutatk, kontrollok a biztonsg helyzetnek rtkelsben isfelhasznlhatak. A

szervezeti szint tmutatk, a bennk foglalt elrsok megvalsulsnakrtkelse

referencia-alapot kpez a biztonsgi helyzet rtkelshez.

Az adatbzis-biztonsgi tmutatk felhasznlsa az adatbzis rendszerek

biztonsgikockzatainak feltrsban s kezelsben, az adatbzis-biztonsgi kontrollokkivlasztsnak

s alkalmazsnak folyamatban s a biztonsgi ellenrzs, biztonsgi auditfolyamn

lehetsges. Az adatbzis-biztonsgi tmutatk tartalma kiterjed tbbek kzt azadatbziskezel rendszer s mkdsi krnyezetnek biztonsgos belltsaira,az adatbzisok

biztonsgos belltsaira, illetve a mkdsi folyamatok biztonsgos kezelsre(pldul a


38/38

felhasznlk menedzsmentjre, a hitelests, ments, helyrellts, telepts slog elemzs

folyamataira).

Jelenleg haznkban nemzeti szint adatbzis-biztonsgi szablyozs nem ltezik,a jvben

azonban az e-kzigazgats s a kritikus infrastruktra vdelem terletnszksges lehet

ennek bevezetsre.

Felhasznlt irodalom

[1] ISO/IEC 27000:2009 (E), I

Documents

INFORMATIKAI BIZTONSÁGI ÚTMUTATÓK