|
5. Szervezeti intézkedések
|
|
|
|
5.1. Információbiztonsági politikák
|
Intézkedés
A vezetőségnek információbiztonsági politikát és témaspecifikus politikákat kell meghatároznia, jóváhagynia, közzétenni, kommunikálni az érintett személyzettel és érdekelt felekkel, hogy megismerjék azokat, valamint tervezett időközönként és jelentős változások esetén ezeket át kell vizsgálnia.
|
IBSZ
|
Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika
|
|
5.2. Információbiztonsági szerepek és felelősségek
|
Intézkedés
Az információbiztonsági szerepeket és felelősségeket a szervezet
igényei szerint meg kell határozni és ki kell osztani.
|
Szervezeti ábra
|
|
|
5.3.Feladatkörök szétválasztása
|
Intézkedés
Az egymással ütköző kötelességeket és felelősségi területeket szét kell választani.
|
Szervezeti ábra
+munka köri leírások
|
|
|
5.4. Vezetői felelősségek
|
Intézkedés
A vezetőségnek meg kell követelnie minden személytől, hogy a szervezet bevezetett információbiztonsági politikája, témaspecifikus politikái és eljárásai szerint járjon el az információbiztonsági kérdésekben.
|
Munkaköri leírás
|
|
|
5.5. Kapcsolat a hatóságokkal
|
Intézkedés
A szervezetnek kapcsolatot kell kialakítania és fenntartania az illetékes hatóságokkal.
|
IBSZ
|
Incidenskezelési folyamat
|
|
5.6. Kapcsolat a szakmai csoportokkal
|
Intézkedés
A szervezetnek kapcsolatot kell kialakítania és fenntartania szakmai csoportokkal vagy más specializálódott biztonsági fórumokkal és szakmai egyesületekkel.
|
N/A
|
-
|
|
5.7. Fenyegetésfelismerő képesség
|
Intézkedés
Az információbiztonsági fenyegetésekkel kapcsolatos információkat össze kell gyűjteni és elemezni kell fenyegetést felismerő képesség kialakítása érdekében.
|
IBSZ
|
Az informatikai eszközök környezete, azok védelme
|
|
5.8. Információbiztonság a projektmenedzsmentben
|
Intézkedés
Az információbiztonságot be kell építeni a projektmenedzsmentbe.
|
IBSZ
Projektmanagment folyamatábra
|
Információ biztonság a projektmanagementben
|
|
5.9. Az információk és egyéb kapcsolódó vagyonelemek leltára
|
Intézkedés
Ki kell alakítani az információk és egyéb kapcsolódó vagyonelemek leltárát, benne megadva a vagyongazdákat, és azt karban kell tartani.
|
IBSZ, GLPI
|
Vagyonelemek kezelése
|
|
5.10. Az információk és egyéb kapcsolódó vagyonelemek elfogadható használata
|
Intézkedés
Azonosítani kell, dokumentálni kell és be kell vezetni az elfogadható használat szabályait, valamint az információk és egyéb kapcsolódó vagyonelemek kezelésének eljárásait.
|
IBSZ
IT-02SZ - Vagyonelemek kezelési szabályzata 3.0
|
Vagyonelemek kezelése
Információ biztonság és -átadás
IT-02SZ - Vagyonelemek kezelési szabályzata 3.0
|
|
5.11. A vagyonelemek visszaszolgáltatása
|
Intézkedés
A személyzetnek és más érdekelt feleknek vissza kell szolgáltatniuk a szervezet minden birtokukban lévő vagyonelemét munkaviszonyuk, szerződésük vagy megváltozása, vagy megszűnése esetén.
|
Vagyon elemek kezelési szabályzata
|
Vagyon elemek kezelési szabályzata 4. pont
|
|
5.12. Az információk osztályba sorolása
|
Intézkedés
Az információkat a szervezet információbiztonsági igényei szerint kell osztályba sorolni a bizalmasság, sértetlenség, rendelkezésre állás, valamint az érdekelt felek vonatkozó követelményei alapján.
|
IBSZ
|
Az Informatikai Biztonsági Szabályzat alkalmazásának módja
|
|
5.13. Az információk megjelölése
|
Intézkedés
Megfelelő eljárásokat kell kialakítani és bevezetni az információk megjelölésére a szervezet által elfogadott információ-osztályba sorolási módszerrel összhangban.
|
IBSZ
Külső dokumentum, IBSZben megemlítve, hogy hogy kell csinálni?
|
Az Informatikai Biztonsági Szabályzat alkalmazásának módja
|
|
5.14. Az információ átadása
|
Intézkedés
Információátadási szabályokat, eljárásokat vagy megállapodásokat kell bevezetni a szervezeten belüli, valamint a szervezet és más felek közötti információátadás minden típusára.
|
IBSZ
|
Intézkedési Terv az Információátadási Szabályokhoz és Eljárásokhoz
|
|
5.15. Hozzáférés-felügyelet
|
Intézkedés
Az információkhoz és egyéb kapcsolódó vagyonelemekhez való fizikai és logikai hozzáférés felügyeletére vonatkozó szabályokat az üzleti és információbiztonsági követelmények alapján kell megállapítani és bevezetni.
|
IBSZ
|
Fizikai Biztonsági Intézkedések
Hitelesítési információk
|
|
5.16. Személyes azonosítók kezelése
|
Intézkedés
A személyes azonosítókat a teljes életciklusuk alatt menedzselni kell.
|
N/A
|
|
|
5.17. Hitelesítési információk
|
Intézkedés
A hitelesítési információk kiosztását és kezelését egy menedzsmentfolyamattal kell felügyelni, beleértve a személyzetnek a hitelesítési információk megfelelő kezelésével kapcsolatos tanácsadást.
|
IBSZ
|
Hitelesítési információk
|
|
5.18. Hozzáférési jogosultságok
|
Intézkedés
Az információkhoz és egyéb kapcsolódó vagyonelemekhez való hozzáférési jogosultságokat a szervezet témaspecifikus politikáinak és hozzáférés-felügyeleti szabályainak megfelelően kell biztosítani, átvizsgálni, módosítani és visszavonni.
|
IBSZ
|
Hitelesítési információk
|
|
5.19. Információbiztonság a szállítói kapcsolatokban
|
Intézkedés
Folyamatokat és eljárásokat kell meghatározni és bevezetni a szállító termékeinek vagy szolgáltatásainak használatával kapcsolatos információbiztonsági kockázatok kezelésére.
|
IBSZ
|
Beszállítók
|
|
5.20. Információbiztonság kezelése a szállítói megállapodásokban
|
Intézkedés
A vonatkozó információbiztonsági követelményeket minden egyes szállítóra a szállítói kapcsolat típusa alapján kell meghatározni és elfogadni.
|
IBSZ
Titoktartási
|
Beszállítók
|
|
5.21. Az információbiztonság kezelése az információs és kommunikációs technológiai (IKT) szállítói láncban
|
Intézkedés
Az IKT-termékek és -szolgáltatások szállítói láncához kapcsolódó információbiztonsági kockázatok kezelésére folyamatokat és eljárásokat kell meghatározni és megvalósítani.
|
IBSZ
IT-01SZ-01E -
|
Beszállítók
|
|
5.22. A szállítói szolgáltatások figyelemmel kísérése, átvizsgálása és változásainak felügyelete
|
Intézkedés
A szervezetnek rendszeresen figyelemmel kell kísérnie, át kell vizsgálnia, értékelnie és kezelnie kell a változásokat a szállító információbiztonsági gyakorlatában és szolgáltatásnyújtásában.
|
IBSZ
|
Beszállítók
|
|
5.23. Felhőszolgáltatások használatára vonatkozó információbiztonság
|
Intézkedés
A felhőszolgáltatások megszerzésének, használatának, kezelésének és befejezésének folyamatait a szervezet információbiztonsági követelményeivel összhangban kell kialakítani.
|
IBSZ
|
Felhőszolgáltatások
Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika
|
|
5.24. Az információbiztonsági incidenskezelés tervezése és felkészülés
|
Intézkedés
A szervezetnek meg kell terveznie és fel kell készülnie az információbiztonsági incidensek kezelésére azzal, hogy meghatározza, kialakítja és kommunikálja az információbiztonsági incidenskezelési folyamatokat, szerepeket és felelősségeket.
|
IBSZ
|
Információbiztonsági Incidenskezelési Politika
|
|
5.25. Az információbiztonsági események felmérése és döntéshozatal
|
Intézkedés
A szervezetnek fel kell mérni az információbiztonsági eseményeket, és el kell döntenie, hogy azok információbiztonsági incidensnek minősülnek-e.
|
IBSZ
|
Információbiztonsági Incidenskezelési Politika
|
|
5.26. Válasz az információbiztonsági incidensekre
|
Intézkedés
Az információbiztonsági incidensekre dokumentált eljárások szerint kell reagálni.
|
IBSZ
|
Információbiztonsági Incidenskezelési Politika
|
|
5.27. Tanulás az információbiztonsági incidensekből
|
Intézkedés
Az információbiztonsági incidensekből szerzett ismereteket az információbiztonsági intézkedések megerősítésére és fejlesztésére kell felhasználni.
|
IBSZ
|
Információbiztonsági Incidenskezelési Politika
|
|
5.28. Bizonyítékok összegyűjtése
|
Intézkedés
A szervezetnek eljárásokat kell kidolgoznia és megvalósítania az információbiztonsági eseményekkel kapcsolatos bizonyítékok azonosítására, összegyűjtésére, megszerzésére és megőrzésére.
|
IBSZ
|
Bizonyítékok kezelése
|
|
5.29. Információbiztonság zavarok esetén
|
Intézkedés
A szervezetnek meg kell terveznie, hogyan tartsa megfelelő szinten az információbiztonságot zavarok idején.
|
IBSZ
BCP
|
|
|
5.30. IKT-felkészültség az üzletmenet- folytonossághoz
|
Intézkedés
Az IKT-készültséget az üzletmenet-folytonossági célok és az IKT- folytonossági követelmények alapján kell megtervezni, megvalósítani, karbantartani és tesztelni.
|
IBSZ
BCP
|
|
|
5.31. Jogi, törvényi, szabályozási és szerződéses követelmények
|
Intézkedés
Meg kell határozni, dokumentálni kell és naprakészen kell tartani az információbiztonságra vonatkozó jogi, törvényi, szabályozási és szerződéses követelményeket, valamint a szervezet e követelmények teljesítésére irányuló megközelítését.
|
Dokumentáció kezelési doksi
|
|
|
5.32. Szellemi tulajdonjogok
|
Intézkedés
A szervezetnek megfelelő eljárásokat kell megvalósítania a szellemi tulajdonjogok védelme érdekében.
|
IBSZ
Projektvezetési információ átadás dokumenum
|
Szellemi tulajdonjog védelme
|
|
5.33. A feljegyzések védelme
|
Intézkedés
A feljegyzéseket védeni kell az elvesztéstől, a megsemmisüléstől, a hamisítástól, a jogosulatlan hozzáféréstől és a jogosulatlan kiadástól.
|
Dokumentum kezelési szabályzat
IBSZ
|
Naplózás
|
|
5.34. A magánélet és a személyes azonosításra alkalmas adatok (PII) védelme
|
Intézkedés
A szervezetnek meg kell határoznia és teljesítenie kell a magánélet megőrzésére és a személyes adatok védelmére vonatkozó követelményeket a vonatkozó törvények és szabályozások, valamint a szerződéses követelmények szerint.
|
GDPR
|
Ügyvéd csinálja
|
|
5.35. Az információbiztonság független átvizsgálása
|
Intézkedés
A szervezet információbiztonság-irányítási megközelítését és megvalósítását független módon át kell vizsgálni tervezett időközönként vagy jelentős változások esetén, beleértve az embereket, a folyamatokat és a technológiákat.
|
Belső audit
|
Gyuri
|
|
5.36. Megfelelés az információbiztonsági politikáknak, szabályoknak és szabványoknak
|
Intézkedés
Rendszeresen át kell vizsgálni a szervezet információbiztonsági politikájának, a témaspecifikus politikáknak, a szabályoknak és a szabványoknak való megfelelést.
|
Kézikönyv
Belső Audit
|
Meg kell határozni a rendszeres karbantartás mellé ezt is
|
|
5.37. Dokumentált működési eljárások
|
Intézkedés
Az információfeldolgozó eszközök működtetési eljárásait dokumentálni kell, és elérhetővé kell tenni azon személyek számára, akiknek szüksége van rá.
|
IBSZ
Kézikönyv
Dokumentumkezelés
|
|
|
6. Emberekkel kapcsolatos intézkedések
|
|
|
|
6.1. Átvilágítás
|
Intézkedés
Minden, személyi állományba jelentkező esetén háttérellenőrzést kell végezni a szervezethez történő csatlakozás előtt és folyamatosan, figyelembe véve a vonatkozó törvényeket, szabályozásokat, etikai előírásokat, és ez legyen arányos az üzleti követelményekkel, a hozzáférhető információk osztályba sorolásával és az észlelt kockázatokkal.
|
HR-01-SZ- Humán erőforrás -gazdálkodás szabályozása – 4.4.1.
|
Julcsi/Feri
|
|
6.2. A munkaviszonnyal kapcsolatos feltételek és kikötések
|
Intézkedés
A munkaviszonyra vonatkozó szerződéses megállapodásokban rögzíteni kell a személyzet és a szervezet információbiztonsági felelősségét.
|
HR-01SZ- Humán erőforrás-gazdálkodás szabályozása
|
Julcsi/Feri
|
|
6.3. Az információbiztonság tudatosítása, oktatása és képzése
|
Intézkedés
A szervezet személyzetének és az érintett érdekelt feleknek megfelelő információbiztonsági tudatosságot, oktatást és képzést kell kapniuk, valamint rendszeresen frissíteni kell ismereteiket a szervezet információbiztonsági politikájáról, a témaspecifikus politikákról és eljárásokról a munkakörükhöz kapcsolódóan.
|
HR-01SZ- Humán erőforrás-gazdálkodás szabályozása -> 4.6.
|
|
|
6.4. Fegyelmi eljárás
|
Intézkedés
Fegyelmi eljárást kell kialakítani és kommunikálni az információbiztonsági politika megsértését elkövető személyzettel és más érintett érdekelt felekkel szembeni fellépés érdekében.
|
HR-05-SZ-Működési normák -> 19.
IBSZ ->10.
|
|
|
6.5. Felelősségek a munkaviszony megszűnésé vagy megváltozása után
|
Intézkedés
Meg kell határozni, érvényesíteni kell azokat az információbiztonsági felelősségeket és kötelezettségeket, amelyek a munkaviszony megszűnése vagy megváltozása után is érvényben maradnak, és közölni kell azokat az érintett személyzettel és más érdekelt felekkel.
|
HR-01SZ- Humán erőforrás-gazdálkodás szabályozása -> 4.10.
|
|
|
6.6. Bizalmassági vagy titoktartási megállapodások
|
Intézkedés
Meg kell határozni, dokumentálni kell, rendszeresen át kell vizsgálni és alá kell írni a szervezet információvédelmi igényeit tükröző bizalmassági vagy titoktartási megállapodásokat a személyzettel és más érdekelt felekkel.
|
Munkaszerződésbe megemlíeni vagy nyilatkozat
|
HR-05S - Titoktartási nyilatkozat
|
|
6.7. Távmunka
|
Intézkedés
Biztonsági intézkedéseket kell bevezetni, amikor a személyzet távolról, a szervezet telephelyén kívül dolgozik, a hozzáfért, feldolgozott vagy tárolt információk védelme érdekében.
|
IBSZ
|
Távoli Munkavégzés
|
|
6.8. Az információbiztonsági események jelentése
|
Intézkedés
A szervezetnek egy mechanizmust kell biztosítania a személyzet számára, hogy megfelelő csatornákon keresztül időben jelentse az észlelt vagy gyanított információbiztonsági eseményeket.
|
IBSZ
GLPI
|
Információbiztonsági Incidenskezelési Politika
|
|
7. Fizikai intézkedések
|
|
|
|
7.1. Fizikai biztonsági határok
|
Intézkedés
Biztonsági határokat kell meghatározni, és azokat úgy kell használni, hogy megvédjék az információkat és egyéb kapcsolódó vagyonelemeket tartalmazó területeket.
|
IBSZ
|
Fizikai Biztonsági Intézkedések
|
|
7.2. Fizikai belépés
|
Intézkedés
A biztonsági területeket megfelelő beléptetési intézkedésekkel és hozzáférési pontokkal kell védeni.
|
IBSZ
Kamera/ elektronikus megfigyelőrendszer alkalmazására vonatkozó szabályzat
|
Fizikai Biztonsági Intézkedések
|
|
7.3. Irodák, helyiségek és létesítmények védelme
|
Intézkedés
Az irodák, helyiségek és létesítmények fizikai biztonságát meg kell tervezni és azt meg kell valósítani.
|
IBSZ
Kamera/ elektronikus megfigyelőrendszer alkalmazására vonatkozó szabályzat
|
|
|
7.4. A fizikai biztonság figyelemmel kísérése
|
Intézkedés
Folyamatosan figyelemmel kell kísérni a telephelyeket az illetéktelen fizikai bejutás észlelése érdekében.
|
IBSZ
Kamera/ elektronikus megfigyelőrendszer alkalmazására vonatkozó szabályzat
|
Fizikai Biztonsági Intézkedések
|
|
7.5. Fizikai és környezeti fenyegetések elleni védelem
|
Intézkedés
Meg kell tervezni és be kell vezetni a fizikai és környezeti fenyegetésekkel, például természeti katasztrófákkal és az infrastruktúrát érintő egyéb, szándékos vagy nem szándékos fizikai fenyegetésekkel szembeni védelmet.
|
IBSZ
|
Fizikai Biztonsági Intézkedések
|
|
7.6. Munkavégzés biztonsági területeken
|
Intézkedés
A biztonsági területeken végzett munkavégzéshez biztonsági intézkedéseket kell megtervezni és azokat meg kell valósítani.
|
N/A
|
|
|
7.7. „Tiszta asztal és tiszta képernyő”
|
Intézkedés
Meg kell határozni és megfelelően érvényesíteni kell a papírokra és a cserélhető adathordozókra vonatkozó „tiszta asztal” szabályokat, valamint az információfeldolgozó eszközökre vonatkozó „tiszta képernyő” szabályokat.
|
Működési norma 8.2
|
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság
|
|
7.8. Berendezések elhelyezése és védelme
|
Intézkedés
A berendezéseket biztonságosan és védetten kell elhelyezni.
|
IBSZ 8.7
|
|
|
7.9. A vagyonelemek biztonsága a telephelyen kívül
|
Intézkedés
A telephelyen kívüli eszközöket védeni kell.
|
Vagyon elemek kezelése dokumentáció 10.
|
|
|
7.10. Adathordozók
|
Intézkedés
Az adathordozókat a beszerzés, használat, szállítás és ártalmatlanítás életciklusa során a szervezet osztályba sorolási rendszerének és kezelési követelményeinek megfelelően kell kezelni.
|
IBSZ
|
Adathordozók
|
|
7.11. Közműszolgáltatások
|
Intézkedés
Az információfeldolgozó eszközöket védeni kell az áramkimaradásoktól és a támogató közművek meghibásodása által okozott egyéb zavaroktól.
|
IBSZ 9.7
|
Közmű szolgáltatások
|
|
7.12. Kábelbiztonság
|
Intézkedés
A villamos energiát, adatot vagy támogató információs szolgáltatásokat szállító kábeleket védeni kell a lehallgatástól, a zavarástól és a károsodástól.
|
Vagyonelemek kezelési 11.
|
|
|
7.13. Berendezések karbantartása
|
Intézkedés
A berendezéseket megfelelően karban kell tartani az információk rendelkezésre állásának, sértetlenségének és bizalmasságának biztosítása érdekében.
|
Vagyonelemek kezelése
Karbantartási terv
|
|
|
7.14. Berendezések biztonságos eltávolítása vagy újra felhasználása
|
Intézkedés
Minden olyan berendezést, amely adattároló eszközt tartalmaz, ellenőrizni kell annak érdekében, hogy arról az összes érzékeny adatot és jogvédett szoftvert letörölték-e vagy biztonságosan felülírták-e az eltávolítás, vagy újra felhasználás előtt.
|
Vagyonelem kezelése 5.
|
|
|
8. Technológiai intézkedések
|
|
|
|
8.1. Felhasználói végponti eszközök
|
Intézkedés
A felhasználói végponti eszközökön tárolt, feldolgozott vagy azokon keresztül hozzáférhető információkat védeni kell.
|
IBSZ
|
Vírusvédelem
11.6
|
|
8.2. Kiemelt hozzáférési jogosultságok
|
Intézkedés
Korlátozni és menedzselni kell a kiemelt hozzáférési jogosultságok kiosztását és felhasználását.
|
IBSZ
IT-01N -Elérési jogosultság.xlsx
|
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság
|
|
8.3. Az információhoz való hozzáférés korlátozása
|
Intézkedés
Az információkhoz és az egyéb kapcsolódó eszközökhöz való hozzáférést korlátozni kell a hozzáférés-felügyeletre kialakított témaspecifikus politikával összhangban.
|
IBSZ
IT-01N -Elérési jogosultság.xlsx
|
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság
|
|
8.4. Hozzáférés a forráskódokhoz
|
Intézkedés
A forráskódhoz, a fejlesztői eszközökhöz és a szoftverkönyvtárokhoz való olvasási és írási hozzáférést megfelelően menedzselni kell.
|
N/A
|
|
|
8.5. Biztonságos hitelesítés
|
Intézkedéss
Biztonságos hitelesítési technológiákat és eljárásokat kell megvalósítani az információ-hozzáférési korlátozások és a hozzáférés-felügyelet témaspecifikus politikája alapján.
|
IBSZ 21.
|
|
|
8.6. Kapacitásmenedzsment
|
Intézkedés
Az erőforrások felhasználását figyelemmel kell kísérni és a jelenlegi és várható kapacitásigényekhez kell igazítani.
|
HR-01-SZ – Humán erőforrás-gazdálkodás szabályozása-> 4.13.
Vagyonelem
Projekt menedzsment eljárás
|
|
|
8.7. Védelem a rosszindulatú szoftverek ellen
|
Intézkedés
Meg kell valósítani a rosszindulatú szoftverek elleni védelmet, és támogatni kell a megfelelő felhasználói tudatosságot.
|
IBSZ
|
Szoftver védelem
Vírusvédelem
|
|
8.8. Műszaki sebezhetőségek felügyelete
|
Intézkedés
Meg kell szerezni az információkat a használatban lévő információs rendszerek műszaki sebezhetőségeiről, értékelni kell a szervezet kitettségét az ilyen sérülékenységeknek, és meg kell tenni a megfelelő intézkedéseket.
|
IBSZ 8.7
|
|
|
8.9. Konfigurációkezelés
|
Intézkedés
A hardver, a szoftver, a szolgáltatások és a hálózatok konfigurációit, beleértve a biztonsági konfigurációkat, létre kell hozni, dokumentálni kell, meg kell valósítani, felügyelni kell és át kell vizsgálni.
|
Vagyonelemkezekés
|
|
|
8.10. Információtörlés
|
Intézkedés
Az információs rendszerekben, eszközökben vagy bármely más adathordozón tárolt információkat törölni kell, ha már nincs szükség rájuk.
|
IBSZ
|
Felhőszolgáltatások Befejezése
IT-02SZ - Vagyonelemek kezelési szabályzata 3.95
|
|
8.11. Adatmaszkolás
|
Intézkedés
Az adatmaszkolást kell használni a szervezet témaspecifikus hozzáférés-felügyeleti és egyéb kapcsolódó témaspecifikus politikáival, valamint üzleti követelményeivel összhangban, figyelembe véve a vonatkozó jogszabályokat.
|
N/A
|
|
|
8.12. Az adatszivárgás megelőzése
|
Intézkedés
Adatszivárgás-megelőző intézkedéseket kell alkalmazni olyan rendszerekre, hálózatokra és minden más eszközre, amely érzékeny információkat dolgoz fel, tárol vagy továbbít.
|
IBSZ
|
|
|
8.13. Információmentés
|
Intézkedés
Az információk, a szoftverek és a rendszerek biztonsági másolatait karban kell tartani és rendszeresen tesztelni kell a biztonsági mentésre vonatkozó, elfogadott, témaspecifikus politikával összhangban.
|
IBSZ
|
Biztonsági mentések, file-ok védelme
|
|
8.14. Az információfeldolgozó eszközök redundanciája
|
Intézkedés
Az információfeldolgozó eszközöket a rendelkezésre állási követelmények teljesítéséhez elegendő redundanciával kell megvalósítani.
|
IT-02SZ - Vagyonelemek kezelési szabályzata
|
Biztonsági mentések, file-ok védelme
|
|
8.15. Naplózás
|
Intézkedés
A tevékenységeket, rendellenességeket, hibákat és egyéb lényeges eseményeket naplózni kell, valamint tárolni, védeni és elemezni kell.
|
IBSZ
|
Naplózás
|
|
8.16. Figyelemmel kísérési tevékenységek
|
Intézkedés
A hálózatokat, rendszereket és alkalmazásokat figyelemmel kell kísérni a rendellenes viselkedés szempontjából, és meg kell tenni a megfelelő intézkedéseket a lehetséges információbiztonsági események értékelésére.
|
IBSZ 17.4
Naplózás
|
|
|
8.17. Óraszinkronizálás
|
Intézkedés
A szervezet által használt információfeldolgozó rendszerek óráit szinkronizálni kell jóváhagyott időforrásokhoz.
|
IBSZ 22.
|
|
|
8.18. Kiemelt jogosultságú segédprogramok használata
|
Intézkedés
Az olyan segédprogramok használatát, amelyek képesek felülírni a rendszer- és alkalmazásszintű védelmi intézkedéseket, korlátozni kell, és szoros felügyelet alatt kell tartani.
|
N/A
|
|
|
8.19. Szoftvertelepítés az üzemelő rendszerekre
|
Intézkedés
Eljárásokat és intézkedéseket kell megvalósítani az üzemelő rendszerekre történő szoftvertelepítés biztonságos menedzselésére.
|
N/A
|
|
|
8.20. Hálózatok biztonsága
|
Intézkedés
A hálózatokat és a hálózati eszközöket védeni, kezelni és felügyelni kell a rendszerekben és az alkalmazásokban lévő információk védelme érdekében.
|
IBSZ
|
Vírusvédelem
IT-04SZ - Vírusvédelmi szabályzat
|
|
8.21. A hálózati szolgáltatások biztonsága
|
Intézkedés
A hálózati szolgáltatások biztonsági mechanizmusait, szolgáltatási szintjeit és szolgáltatási követelményeit azonosítani kell, be kell vezetni és figyelemmel kell kísérni.
|
IBSZ 18
Elérési mátrix
|
Internet hozzáféréssel kapcsolatos intézkedések
|
|
8.22. Hálózatok elkülönítése
|
Intézkedés
Az információs szolgáltatások, felhasználók és információs rendszerek csoportjait el kell különíteni a szervezet hálózataiban.
|
IBSZ 18
Elérési mátrix
|
Internet hozzáféréssel kapcsolatos intézkedések
|
|
8.23. Webszűrés
|
Intézkedés
A külső webhelyekhez való hozzáférést úgy kell kezelni, hogy csökkentsék a rosszindulatú tartalomnak való kitettséget.
|
ESET IBSZ
|
|
|
8.24. Titkosítás használata
|
Intézkedés
Meg kell határozni és be kell vezetni a titkosítás hatékony használatára vonatkozó szabályokat, beleértve a kriptográfiai kulcskezelést is.
|
N/A
|
|
|
8.25. Biztonságos fejlesztési életciklus
|
Intézkedés
Meg kell határozni és alkalmazni kell a szoftverek és rendszerek biztonságos fejlesztésére vonatkozó szabályokat.
|
N/A
|
|
|
8.26. Alkalmazásbiztonsági követelmények
|
Intézkedés
Az információbiztonsági követelményeket azonosítani kell, meg kell határozni és jóvá kell hagyni az alkalmazások fejlesztése vagy beszerzése során.
|
Vagyonelemek 7.2
|
|
|
8.27. Biztonságos rendszer- architektúra és mérnöki alapelvek
|
Intézkedés
A biztonságos rendszerek tervezésére alapelveket kell kialakítani, dokumentálni, fenntartani és alkalmazni az információs rendszer fejlesztési tevékenységeihez.
|
Vagyonelemek 5
|
|
|
8.28. Biztonságos kódolás
|
Intézkedés
A szoftverfejlesztés során biztonságos kódolási elveket kell alkalmazni.
|
N/A
|
|
|
8.29. A biztonság tesztelése a fejlesztés és elfogadás során
|
Intézkedés
A biztonsági tesztelési folyamatokat meg kell határozni és meg kell valósítani a fejlesztési életciklusban.
|
Vagyonelemek 5
|
|
|
8.30. Kiszervezett fejlesztés
|
Intézkedés
A szervezetnek irányítania kell, figyelemmel kell kísérnie és át kell vizsgálnia a kiszervezett rendszerfejlesztéssel kapcsolatos tevékenységeket.
|
N/A
|
|
|
8.31. A fejlesztési, tesztelési és üzemi környezetek elkülönítése
|
Intézkedés
A fejlesztési, a tesztelési és az üzemi környezetet el kell különíteni, és védetté kell tenni.
|
Vagyonelemek 5
|
|
|
8.32. Változáskezelés
|
Intézkedés
Az információfeldolgozó eszközök és információs rendszerek változásaira legyenek változáskezelési eljárások.
|
IBSZ
|
Biztonsági mentések, file-ok védelme
|
|
8.33. Tesztelési információk
|
Intézkedés
A tesztelési információkat megfelelően kell kiválasztani, védeni és kezelni kell.
|
N/A
|
|
|
8.34. Az információs rendszerek védelme az auditvizsgálatok alatt
|
Intézkedés
Az auditvizsgálatokat és a működő rendszerek átvizsgálását magában foglaló egyéb értékelési tevékenységeket meg kell tervezni, és ebben a vizsgálónak és az illetékes vezetőségnek meg kell állapodnia.
|
IBSZ
|
Az információs rendszerek védelme az auditvizsgálatok alatt
|
