Informatikai biztonság rendszerszemléletben

Az előadások a következő témára: "Informatikai biztonság rendszerszemléletben"— Előadás másolata:

1 Informatikai biztonság rendszerszemléletben
Pannon Egyetem MIK – KÜRT Zrt. Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor © 2007 KÜRT Computer

2 Szakmai tapasztalatok
Információs rendszerek, adatbázis kezelés Ügyviteli, üzleti rendszerek fejlesztése, BPR Nagy országos információs rendszerek kidolgozása (projekt menedzsment) Informatikai minőségbiztosítás (Bootstrap szakértő, ISO rendszerek kidolgozása) e-Business megoldások kidolgozása e-Learning alkalmazások (Leonardo da Vinci projektek) Informatikai biztonsági rendszerek (kockázatkezelés, integrált biztonsági alkalmazások)

3 1000 mérföld/gallon fogyasztás
25 dolláros autók 1000 mérföld/gallon fogyasztás Bill Gates, Microsoft

4 Napi kétszeri baleset történne ismeretlen okból
Új autót kellene vásárolni, ha a közlekedési jeleket újrafestik Minden új autónál újra kellene tanulni a vezetést Az autó rendszeresen, ismeretlen okból lemenne az útról Bizonyos manővereknél az autó megtagadná az utasítást Az autó rendszeresen, minden ok nélkül kizárná a vezetőjét A légzsák kioldás előtt megkérdezné: „Biztos benne?” Rodgers, General Motors

5 Miről lesz szó? Az informatikai biztonság
Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

6 Miről lesz szó? Az informatikai biztonság
Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

7 Két dolog biztos az életben
A halál Az adófizetés /Thomas Jefferson/ Az adatvesztés! /KÜRT/

8 Mi a helyzet manapság az informatikával?
Informatikai biztonság/bizonytalanság 5 ezer programsoronként legalább egy hiba Szoftver upgrade: Ismert hibákat ismeretlenekre cserélünk le.

9

10

11 Biztonságos rendszer? Murphy: „Ami elromolhat, az el is romlik.”
Nincs százszázalékos biztonsággal működő rendszer! Vajaskenyér,

12 Mi a helyzet manapság az informatikával?
Informatikai robbanás Világhálózat Elektronikus bank Elektronikus kereskedelem Hadviselési eszköz Fehérgalléros bűnözés Terrorizmus eszköze Programozott kártevők

13 Az informatikai rendszerek fenyegetettségei
kihathatnak: a környezeti infrastruktúrára a hardverekre a szoftverekre az adathordozókra az adatokra a kommunikációs csatornákra az emberekre a dokumentumokra

14 Az emberi tényező Motivációk haszonszerzés bosszú irigység sértettség
felindultság virtus tudatlanság képzetlenség alkalmatlanság ellenséges magatartás gondatlanság kényelem

15 A lehetséges károk Közvetlen károk
Adatvesztés, az adatok visszaállításának költségei Rendszerleállás, kiesések az üzleti folyamatokban Hardver és szoftverkárok, helyreállítási költségek Bizalmas információk illetéktelen kezekbe jutása Áttételes károk Ügyfelek bizalmának megrendülése Image romlása Dolgozói elégedetlenség pl UBS (U

16 Nem minden adatvesztés állítható helyre!
Nem menthető 22,6% Menthető 77,4% Forrás: KÜRT Computer,

17 Miről lesz szó? Az informatikai biztonság
Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

18 Az informatikai biztonság aktualitása és szükségessége
Az adatok egyre inkább elektronikus formában kerülnek tárolásra A szervezetek informatika nélkül működésképtelenek Az informatikai függőség egyre nagyobb Az informatikai rendszerek fenyegetettsége kritikus Létszükséglet a szolgáltatások folytonossága és az adatok bizalmas kezelése

19 Az informatikai biztonsági szabályozás fontossága
A szervezetekre és üzleti folyamataikra ható kockázati tényezők bekövetkezési valószínűsége és kárpotenciálja változó. A kockázati tényezők kiküszöbölése drága, és sokrétűségük miatt nem mindig lehetséges. Olyan megoldásra van tehát szükség, amely a kockázati tényezők azonosításával, hatásuk felmérésével adja meg a költséghatékony megoldást.

20 Az emberi tényező Informatikai KRESZ?
Néhány szép emberi tulajdonság látható a dián…… Példa: AST disztribúció idejéből származik… az ügyfél megköszönte, hogy ilyen csudálatos számítógépet szállítottak neki, amin még beépített pohártartó is van… Vagy az ügyfél füstöt érzett, felhívta a szerviz hot-line-t, mondták kapcsolja ki a gépet, még akkor is érezte, erre mondták neki, hogy menjen ki a szobából a folyosóra és nézzen körül. Ott volt tűz…

21 KOCKÁZATELEMZÉS Nincs százszázalékos biztonsággal működő rendszer!
Ha nincs 100%-os biztonság, mekkora az elfogadható? KOCKÁZATELEMZÉS Kívánatos, hogy legyen információm a rendszer működési biztonságáról. Ismernem kell a védendő “eszköz” értékét. Lényeges, hogy tudjam a biztonság növelésének a költségeit.

22 Mit kell védeni, mitől, és mindez mennyibe kerül?
eszközök (gépek, hálózatok, programok), input/output adatok és adatbázisok Mitől? külső és belső hatások (vírus, tűz, emberi mulasztás, szándékos károkozás, rendszerelem meghibásodás) Mennyibe kerül? költségek - peremfeltétel vagy célfüggvény

23 Mindent vagy semmit, esetleg van középút?
Ami értékesebb, az fokozott védelmet igényel. Az optimális biztonság szelektív. Meny- nyiért? Mit?

24 Biztonsági rés A biztonsági rés Biztonsági szint 100 %-os biztonság
Rögzített, elérendő biztonsági szint Biztonsági rés A biztonság pillanatnyi szintje Az IT biztonságára fordított összeg

25 Miről lesz szó? Az informatikai biztonság
Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

26 Terminológia – Informatikai biztonság
Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

27 Terminológia – Informatikai biztonság
Két fő terület Adatvédelem Adatbiztonság

28 Terminológia - Informatikai biztonság
Két fő terület Adatvédelem: Az informatikai rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Adatbiztonság: Az informatikai rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások.

29 Informatikai alapfenyegetettségek
Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk rendelkezésre állását, sértetlenségét, bizalmasságát, hitelességét, illetve az informatikai rendszer működőképességét veszélyeztetik.

30 Védendő rendszerelemek
Tárgyiasult elemcsoportok: környezeti infrastruktúra hardver adathordozók dokumentumok, iratok Logikai elemcsoportok: szoftver adatok kommunikáció Személyi elemcsoport: személyzet, felhasználók, ellenőrök

31 Hogyan védekezzünk? A biztonság nem teremthető meg pusztán áru és szolgáltatás megvásárlásával. A biztonság a szervezet életébe beépülő, folyamatosan ellenőrzött, karbantartott technológia. … A folyamatos karbantartás szükségességére hadd mutassak példát. …. Tessék, íme az emberi tényező!

32 Eljárások és utasítások
IT ELEM IT RENDSZER Beavatkozás Folyamat- ellenőrzés FOLYAMAT- SZABÁLYOZÁS Eljárások és utasítások ADAT ZAVARÓ TÉNYEZŐK A SZABÁLYOZOTT IT BIZTONSÁGI RENDSZER SÉMÁJA

33 Követelmények az IT biztonsági rendszerrel kapcsolatban
A vállalat működésének veszélyeztetését elfogadható mértékűre csökkenti A szükséges és elégséges jogosultságokat biztosítja Egyértelműen meghatározza a felhasználókat, a programokat és az adatállományokat A felhasználókat egyértelműen felelőssé tudja tenni a számítógépes eseményekért Lehetőséget teremt a visszaélési kísérletek azonosítására és a védekező lépések megtételére Ezek a mondatok fogalmazzák meg az általános, funkcionális ismérveit egy ibr-nek. Mondhatjuk, hogy triviálisak, és igazunk van. Van azonban egy sor olyan szempont, ami ebbe a sorba nem teljesen illeszkedik bele, illetve nem csak a funkciók szemszögéből támaszt igényeket.

34 Melyek a főbb elvárások?
Nemzetközi szabványi háttér A teljes IT rendszer szabályozása Moduláris felépítés Illeszkedés a vállalat meglévő struktúrájába ISO 9000 kompatibilitás Integrálhatóság rendszermenedzsment és workflow rendszerekbe Auditálhatóság

35 Nemzetközi szabványi háttér
Főbb elvárások Nemzetközi szabványi háttér British Standard BS 7799 (ISO 17799) Az ISACA (Information Systems Audit and Control Association) által kidolgozott COBIT (Control Objectives for Information and Related Technology) ajánlás IT Infrastructure Library (ITIL => MOF) Common Criteria 2.1 (ISO 15408) Information technology – Guidelines for the management of IT Security (ISO 13335) Az Informatikai Tárcaközi Bizottság 12. sz. ajánlása

36 A teljes informatikai rendszer szabályozása
Főbb elvárások A teljes informatikai rendszer szabályozása Fontos az átfogó, minden területre kiterjedő szabályozás Ez érvényes néhány, nem közvetlenül az informatikai rendszerhez tartozó területre is

37 Modularitás, testreszabhatóság
Főbb elvárások Modularitás, testreszabhatóság A rendszer egymáshoz kapcsolódó modulokból épül fel A rendszert felépítő modulok külön-külön is életképesek A rendszer egyéni igények szerint alakítható, bővíthető A moduláris felépítésnek hihetetlen előnyei vannak!

38 Illeszkedés a vállalat meglévő struktúrájába
Főbb elvárások Illeszkedés a vállalat meglévő struktúrájába Megfelelés a hatályos törvények előírásainak ISO 9000 szabvánnyal kompatibilis felépítés Többszintű irányítás lehetősége

39 Integrálhatóság, automatizálható működés
Főbb elvárások Integrálhatóság, automatizálható működés Workflow eszközök, pl.: SAP (workflow) Lotus Notes Rendszer-menedzsment eszközök, pl.: Tivoli Unicenter TNG BMC Patrol HP OpenView

40 Főbb elvárások Auditálhatóság
Megfelelés egy független, nemzetközi szabványokon alapuló audit követelményeinek (COBIT, BS7799) Bizonyos területeken kötelező! (pl.: PSZÁF)

41 Miről lesz szó? Az informatikai biztonság
Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

42 Az Informatikai Biztonsági Technológia (IBiT®)
Teljeskörű, kockázatelemzést és -kezelést tartalmazó, integrált rendszer, amely a cégek és intézmények teljes informatikai tevékenységét átfogja, szabályozza, előtérbe helyezve az adatvédelmi, adatbiztonsági és üzletmenet-folytonossági szempontokat. Nézzük meg a definíciót, amely röviden és tömören megfogalmazza az IT biztonsági rendszer lényegét, és emellett kiválóan emeli az előadás szárazságát. … teljes informatikai tevékenységét, sőt mint később látni fogjuk, ideális esetben nem csak a szigorúan vett informatikai elemeket kell ideérteni.

43 IBiT® projekt struktúra Biztonsági rés
Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Jelenlegi infrastruktúra fenntartása Vállalati és IT stratégia - Rendszerbővítés Rendszerterv A jövő üzleti folyamatainak kiszolgálása KÜRT Eszközkiválasztás A kívánt biztonsági szint elérése Megrendelő Pályáztatás Implementációs terv Az IBiT® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat-védelem Adat-biztonság IT rendszer folya-matok IT szervezeti folya- matok Audit elő-készítés Implemen-táció Szabályzat-rendszer kialakítása IBiT® bevezetés Oktatás/ Képzés © 2003 KÜRT Computer

44 Jelenlegi rendszer állapot-felmérése
IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése A jelenlegi IT rendszer felmérésének elemei A vállalat és a szervezeti felépítés megismerése Az IT szervezet megismerése és felmérése Az Informatikai Stratégia megismerése Az informatikai rendszer felmérése A vállalati adatstruktúra felmérése A vállalat backup rendszerének felmérése A vállalat vírusvédelmi rendszerének felmérése Az informatikai vészhelyzetkezelés felmérése

45 Jelenlegi rendszer állapot-felmérése
IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Az IT biztonságára fordított összeg Biztonsági szint 100 %-os biztonság Rögzített, elérendő biztonsági szint A biztonság pillanatnyi szintje Biztonsági rés A biztonsági rés

46 IBiT® projekt struktúra 9 8 6 7 5 3 4 2 1 Kockázati mátrix
Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Kockázati mátrix 9 8 6 7 5 3 4 2 1 Fontosság Erőforrás igény

47 IBiT® projekt struktúra Biztonsági rés
Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Jelenlegi infrastruktúra fenntartása Vállalati és IT stratégia - Rendszerbővítés Rendszerterv A jövő üzleti folyamatainak kiszolgálása KÜRT Eszközkiválasztás A kívánt biztonsági szint elérése Megrendelő Pályáztatás Implementációs terv Az IBiT® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat-védelem Adat-biztonság IT rendszer folya-matok IT szervezeti folya- matok Audit elő-készítés Implemen-táció Szabályzat-rendszer kialakítása IBiT® bevezetés Oktatás/ Képzés © 2003 KÜRT Computer

48 Keret/Frame A szabályozási rendszer felépítése
Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv Egy ilyen rendszer kialakításánál alapvető fontosságú szempont, hogy moduljai révén a vállalat minden olyan részét képes legyen lefedni, amelyek hatással lehetnek az IT biztonsági kérdésekre, és egyben megfelelnek a nemzetközi szabványokban és előírásokban foglaltaknak.

49 A szabályozási rendszer felépítése
Adatvédelem Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

50 A szabályozási rendszer felépítése Adatbiztonság
Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

51 A szabályozási rendszer felépítése
IT rendszer-folyamatok IT szervezeti-folyamatok Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

52 A szabályozási rendszer felépítése
Katasztrófa elhárítási terv Katasztrófa elhárítási terv Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Keret/Frame

53 A szabályozási rendszer felépítése
Audit előkészítés Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

54 A dokumentumrendszer felépítése
Kézikönyv Eljárások gyűjteménye Munka- és vizsgálati utasítások Bizonylati album

55 Végre megpihenhetünk?

56 Az informatikai biztonság körfolyamata
Bejáratott informatikai biztonsági rendszer Üzemeltetés, fenntartás Változások felmérése Hatékonyság-vizsgálat Módosítási igények meghatározása Új informatikai biztonsági rendszer kidolgozása

57 Összefoglalás A szervezetek, intézmények informatikai függősége egyre nő 100 %-os biztonság nem érhető el A felsővezetés támogatásának megnyerése nélkülözhetetlen Az adott cég számára optimális megoldás kialakítása Peremfeltételek és célfüggvények figyelembe vétele Megfelelő szabványok és módszertani háttér figyelembe vétele Homogén, moduláris és integrálható rendszer kialakítása Naplózás, dokumentálás és ellenőrzés kritikus jelentőségű Az informatikai biztonsági szabályozás egy körfolyamat

58 Várom a kérdéseiket! www.kurt.hu www.kurt.hu www.kurt.hu www.kurt.hu
© 2007 KÜRT Computer