MeH ITB 12. számú ajánlás

A MeH ITB 12. számú ajánlás a Magyar Köztársaság Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága által 1996-ban kiadott ajánlása, mely az Informatikai Rendszerek Biztonsági Követelményei címen jelent meg.

A dokumentum lefedi az informatikai biztonság összes - adminisztratív, fizikai és logikai védelmi - területét. Használatával a működő, illetve a megvalósítás előtt álló informatikai rendszerek és környezetük fizikai, logikai és adminisztratív védelmi követelményei konkrétan megfogalmazhatóak és megvalósíthatóak.

Az ajánlás az információvédelem és a megbízható működés területekre 3-3 biztonsági osztály határoz meg, melynél az osztályba sorolás alapja az adott osztályban tárolandó adatok érzékenysége. A biztonsági követelmények az osztályok szerint egyre magasabb szintű biztonságot nyújtanak.

• információvédelmi alapbiztonsági osztály (IV-A): személyes adatok, üzleti titkok, pénzügyi adatok, illetve az intézmény belső szabályozásában hozzáférés-korlátozás alá eső és a nyílt adatok feldolgozására, tárolására alkalmas rendszerek
• információvédelmi fokozott biztonsági osztály (IV-F): szolgálati titok, valamint a nem minősített adatok közül a személyes adatok, a nagy tömegű személyes adatok, banktitkok, közepes értékű üzleti titkok feldolgozására, tárolására alkalmas rendszerek
• információvédelmi kiemelt biztonsági osztály (IV-K): államtitok, katonai szolgálati titok, valamint a nem minősített adatok közül a nagy tömegű különleges személyi adatok és a nagy értékű üzleti titkok feldolgozására, tárolására alkalmas rendszerek
• megbízható működési alapbiztonsági (MM-A) osztály: 95,5%-nál alacsonyabb rendelkezésre állású rendszerek
• megbízható működési fokozott biztonsági (MM-F) osztály: 99,5%-nál alacsonyabb rendelkezésre állású rendszerek
• megbízható működési kiemelt biztonsági (MM-K) osztály: 99,95%-nál magasabb rendelkezésre állású rendszerek

Az ajánlást biztonsági osztályonként, a védelmi területek szerinti csoportosításban intézkedési lista formában adták ki. Az intézkedések az alábbi sorrendben kerültek kiadásra:

• általános intézkedések
• infrastruktúra
• hardver, szoftver
• adathordozók
• dokumentációk
• adatok
• kommunikáció, osztott rendszerek
• személyek

• közvetlen anyagi kár 10 000 Ft-ig
• közvetett anyagi kár 1 embernappal állítható helyre
• társadalmi-politikai hatás: nincs bizalomvesztés, a probléma a szervezeti egységen belül marad
• testi épség jelentéktelen sérülése 1-2 embernél
• nem védett adat bizalmassága vagy hitelessége sérül

• közvetlen anyagi kár 100 000 Ft-ig
• közvetett anyagi kár 1 emberhónappal állítható helyre
• társadalmi-politikai hatás: kínos helyzet a szervezeten belül
• könnyű személyi sérülés 1-2 embernél
• hivatali, belső intézményi szabályozóval védett adat bizalmassága vagy hitelessége sérül

• közvetlen anyagi kár 1 000 000 Ft-ig
• közvetett anyagi kár 1 emberévvel állítható helyre
• társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel, a káreseménnyel kapcsolatos információk, hírek, cikkek jelennek meg a nyilvános fórumokon, médiában, a szervezet jó hírneve sérül
• több könnyű, vagy 1-2 súlyos emberi sérülés
• személyes adatok bizalmassága vagy hitelessége sérül
• egyéb jogszabállyal védett (üzleti, orvosi, stb.) titok bizalmassága vagy hitelessége sérül

• közvetett anyagi kár 10 000 000 Ft-ig
• közvetett anyagi kár 1-10 emberévvel állítható helyre
• társadalmi-politikai hatás: bizalomvesztés a szervezet felső vezetésével szemben, a középvezetésben személyi konzekvenciák, a szervezet jó hírneve súlyosan sérül
• több súlyos, vagy tömeges könnyű sérülés
• szolgálati titok bizalmassága vagy hitelessége sérül
• szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül
• banktitok, közepes értékű üzleti titok bizalmassága vagy hitelessége sérül

• katonai, szolgálati titok bizalmassága vagy hitelessége sérül
• közvetlen anyagi kár 100 000 000 Ft-ig
• közvetett anyagi kár 10-100 emberévvel állítható helyre
• társadalmi-politikai hatás: súlyos bizalomvesztés a szervezet felső vezetésével szemben, melyeket személyi konzekvenciák követnek, a szervezet működésbeli és/vagy gazdaságbeli helyzete súlyos veszélybe kerül
• 1-2 ember halála, vagy tömeges sérülések
• államtitok bizalmassága vagy hitelessége sérül
• nagy tömegű szenzitív személyes adat bizalmassága vagy hitelessége sérül
• nagy értékű üzleti titok bizalmassága vagy hitelessége sérül

• közvetlen anyagi kár 100 000 000 Ft felett
• közvetett anyagi kár több, mint 100 emberévvel állítható helyre
• társadalmi-politikai hatás: súlyos bizalomvesztés a szervezet felső vezetésében és kormányzati szinten, személyi konzekvenciákkal
• tömeges halálesetek
• különösen fontos államtitok bizalmassága vagy hitelessége sérül

Minden konkrét kockázatelemzéses vizsgálat vagy adatérzékenység-elemzés vizsgálatnál első lépésként az adott vállalat jellemzőit feltérképezik, majd a kárértékszint-definíciókban lévő számértékeket a realitásoknak megfelelően korrigálhatják.

• Muha Lajos-Bodlaki Ákos: Az informatikai biztonság, 2003, Budapest, PRO-SEC Kft., ISBN 9638602260

Az Informatikai Tárcaközi Bizottság 12. sz. ajánlása: Informatikai rendszerek biztonsági követelményei