Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Egy működő vállalati komplex biztonsági rendszer felépítése, működése Jakab Péter, CISM igazgató MKB Bank ZRt. Bankbiztonság Tel: +36 1 268-7569 fax:

Hasonló előadás


Az előadások a következő témára: "Egy működő vállalati komplex biztonsági rendszer felépítése, működése Jakab Péter, CISM igazgató MKB Bank ZRt. Bankbiztonság Tel: +36 1 268-7569 fax:"— Előadás másolata:

1

2 Egy működő vállalati komplex biztonsági rendszer felépítése, működése Jakab Péter, CISM igazgató MKB Bank ZRt. Bankbiztonság Tel: fax:

3 Komplex vállalati biztonság • Fizikai biztonság, objektum védelem • Információbiztonság • Üzletbiztonság • Humán biztonság • Incidens kezelés és üzletmenet folytonosság Az egyes részterületek szoros ö sszefüggésben vannak 2 • A biztonság a vállalati működés egyik lényegi eleme – egy bank esetében az üzleti kondíciókkal egyenrangú • A bankbiztonság komplex fogalom

4 Információbiztonság alapfenyegetettségei • bizalmassága – Az információt más is megismerheti, mint akinek szánták. • sértetlensége – Az információ átadása során megváltozhat. • hitelessége – Az információ forrása nem biztos, hogy valóban az, akinek feltünteti magát. • rendelkezésre állása, funkcionalitása – Az információ kellő időben nem hozzáférhető. 3 Elveszhet, sérülhet az IT rendszer, ill. az általa kezelt adatok:

5 Néhány lehetséges fenyegetettség

6 IT tendenciák banki rendszerekben • Információk koncentráltsága és értékük rohamosan nő. • Szinte minden pénzintézeti információ védendő. • Egyre komolyabb érdekek fűződnek az információk megszerzéséhez, rosszindulatú manipulálásához. • Szolgáltatás-kiesések hatása egyre súlyosabb. • Időkritikus operációk, szolgáltatások a jellemzők • Magas rendelkezésre állási igény munkaidőn kívül is – kritikus helyreállítási idők rövidek • Pénzintézetek nyitásának hatása: – IT rendszerek támadási felületei nőnek (hálózati kapcsolatok) – Elektronikus szolgáltatások megjelenése, bővülése növeli a kockázatokat. – Kockázatosabb szolgáltatások – Valódi 7x24 rendelkezésre állás A technológia fejlődése a támadókat is segíti. • A hitelintézetek IT függése nagyon magas és egyre nő: az IT kritikus sikertényező. 5

7 A komplex biztonság néhány kulcs eleme • Rendszeres kockázatelemzés • Szabályozott, dokumentált környezet • Megbízható fizikai környezet • Megbízható azonosítás minden szinten • Megbízható kommunikációs csatornák • Hozzáférés adminisztráció és kontroll • Határvédelem • Titkosítás szerepe • Adatszivárgás megelőzés és kontroll • Naplózás és logelemzés („early warning”) • Ellenőrzés (eseti, rendszeres, folyamatba épített) – Belső – Külső – Penetration teszt • Humán védelem – Alkalmazott kiválasztás – Alkalmazás alatti ellenőrzés – Oktatás 6

8 7 Információbiztonság és szabályozott környezet • Üzletpolitika • Biztonságpolitika • Biztonsági Stratégia • Magas szintű belső szabályozások • Alacsony szintű belső szabályozások IT elemek

9 Szabályozott környezet • Jogszabályok • Ellenőrző szervek és bankcsoporti irányelvek, ajánlások • Trusted Computer Evaluation Criteria (TSEC) • Information Technology Security Evaluation Criteria (ITSEC) • ISO Common Criteria (CC) • ISO Guidelines for the management of IT Security • COBIT • ITB ajánlások • BS 7799 • MSZ ISO/IEC • MSZ ISO/IEC • ITIL • OWASP 8 • Legfontosabb dokumentumok – Biztonságpolitika • Informatikai biztonságpolitika • egyéb biztonságpolitikák – Biztonsági Stratégia • Informatikai biztonsági stratégia • Egyéb biztonsági stratégiák – Informatikai Biztonsági Szabályzat (IBSZ) – Üzletmenetfolytonossági és Katasztrófa-helyreállítási Terv (DCP-DRP) – Titokvédelmi Szabályzat – IT Üzemeltetési rend – IT Fejlesztési szabályzat

10 A BIZTONSÁGI SZERVEZET • Elnök-vezérigazgató és helyettese • Bankbiztonsági Igazgatóság – Objektumvédelmi Osztály – Információbiztonsági Osztály – Üzletbiztonsági Osztály • Banki alkalmazottak • Külső szervezetek • Elnök-vezérigazgató és helyettese • Bankbiztonsági Igazgatóság – Objektumvédelmi Osztály – Információbiztonsági Osztály – Üzletbiztonsági Osztály • Banki alkalmazottak • Külső szervezetek

11 Az információbiztonság fizikai elemei

12 Információs rendszer fizikai, környezeti védelme •Befogadó épület (és számítógépterem) épületgépészete •Behatolásvédelem (technikai és élőerős) •Beléptetés (személyek, gépjárművek, biztonsági zóna rendszer) •Videó felügyelet •Légkondicionálás •Tűzvédelem •Tűzbiztos adathordozó tárolás •Szünetmentes áramellátás •Sugárzott és vezetett zavarvédelem •Túláram és túlfeszültségvédelem •Elektrosztatikus védelem •Rezgésvédelem és csillapítás 11

13 Az információbiztonság logikai elemei

14 • Webhelyrongálás • Szerveroldali parancsállományokkal való visszaélés • Kliens támadása (azonosítók megszerzése, adatforgalom megszerzése titkosítás előtt, gép memóriájában maradt adatok felhasználása) • Kockázatos ügyfélmagatartás kihasználása – jelszókezelés, idegenkedés a tokenektől, gyenge biztonsági színvonalú színvonalú PC védelem (patch, vírus, spam, spy,firewall, ) • Rosszul megírt alkalmazások (gyenge bemenetszűrés, SQL injekció, XSS, beégetett és tárolt jelszavak, gyenge kriptográfiai algoritmusok) • A köztestár-túlcsordulások kiaknázása (buffer overflow) • Szolgáltatás megtagadtató – (DOS, DDOS) – sávszélesség, erőforrás elfogyasztása • Közvetítéses támadás (MITM) • Rosszindulatú programkód használata • Rendszergazdai készlet (rootkit) telepítése • Hátsóajtó program (backdoor) • …. 13 adatbázis server Web server Szokásos, legjellemzőbb támadások

15 Az információbiztonság logikai elemei • Tűzfalak • Behatolás érzékelő rendszerek (IDS/IPS) • Virtuális magán hálózat (VPN) • Autentikációs rendszerek • Titkosítás • PKI rendszer • Tartalomszűrés (vírus, spam, bizalmas információ, tiltott tartalom, spyware, belső házirend, stb.) • Vírusvédelem • Sérülékenység elemzés • Mentési/archiválási rendszerek • Naplóelemzés, riasztás • Rendszer felügyelet • Központi jogosultságkezelő rendszer • Adatszivárgást megelőző rendszer (DLS)

16 MBVE március High Low password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions GUI automated probes/scans Denial of Service www attacks Tools Attackers IntruderKnowledge AttackSophistication “stealth” / advanced scanning techniques burglaries A támadások összetettsége szemben a támadók technikai tudásával sniffers packet spoofing network mgmt. diagnostics sweepers Staged Attack Cross-Site Scripting

17 A sérülékenységi ablak 16

18 Központi felhasználói adminisztrációs rendszer

19 User-dminisztrációs nomogram D11

20 Törzstábla Rendszerek Tevékenységek szakterületenként D11

21 TITOKVÉDELEM • A Bankban bizalmasan kezelendő adatok – államtitok, szolgálati titok – bank-, értékpapír-, pénztártitok – személyiségi jogokhoz kapcsolódó adatok – üzleti titok • a Bankban szinte minden adat védendő • A információ szolgáltatásnál és ügyintézésnél a személy azonosítása rendkívül fontos • Adatminősítés (szubjektivitást csökkenteni) • A minősítéstől függő kezelési alternatívákat a lehető legjobban automatizálni TOP SECRET

22 Adatszivárgás megelőzése • Fizikai körülmények – Helyiségek fizikai védelme – Dokumentumok fizikai védelme – Clean desk policy – Hulladék kezelés • IT lehetőségek – Képernyő szűrők és zárak – Tartalom szűrések (web, levelezés) – I/O eszközök korlátozása és ellenőrzése – File forgalom és hozzáférés ellenőrzés – Titkosítás korlátozása és kiterjesztése • Külsősök kezelése End point security

23 Biztonság tudatosság növelése • Jól szabályozott biztonsági környezet • Oktatások (esettanulmányokkal, számonkéréssel) – Fizikai biztonság (biztonsági berendezések, erőszakos cselekmények, értékkezelés, biztonsági zóna rendszer) – IT biztonság (jogosultsági rendszer, jelszókezelés, incidens kezelés, BCP-DRP, számítógépkezelés) – Adat és titokvédelem (titokfajták és kezelési módjaik) – Üzletbiztonság (jogsértő cselekmények, okmány védelem, aláírás vizsgálat, ügyfélazonosítás, esettanulmányok) – Social Engineering (az emberek természetes, bizalomra való hajlamának kihasználása )

24 Az információbiztonság humán elemei

25 Humánvédelem és információbiztonság • 1. Physical 2. Data Link 3. Network 4. Transport 5. Session 6. Presentation 7. Application Human 9. Politics 10. Religion „Kibővített OSI” modell

26 Humánvédelem és információbiztonság Humán kockázatok • Humán kockázatnak minősülnek azok az alkalmazottaknál fennálló személyi körülmények – különösen a negatív személyiségjegyek, konfliktusokkal terhelt környezeti vagy élethelyzetekből származó fenyegetettségek, életviteli és mentális problémák – amelyek fennállása önmagában nem, de az adott, fokozott kockázatú, bizalmi elvre is építő munkakörökben végzett munkavégzéssel összefüggésben fenyegetettséget jelenthetnek a Bank számára.

27 Humánvédelem és információbiztonság • Felvétel előtti ellenőrzés – Alkalmazási feltételek szigorítása • Alkalmazás alatti ellenőrzés – Folyamatba épített ellenőrzések – Tranzakció elemzés – Vezetői felelősség 26

28 Humán kockázati térkép • Fokozott kockázatú munkakörök: – akinek a felügyelete alatt nagyösszegű készpénz van, – aki döntéseivel alakítója a bank belső szabályrendszerének, – aki szerepel a bank döntési hatásköri listájában, – aki szakterületvezető, vagy annál magasabb beosztású, – aki üzleti döntések előkészítésének érdemi ügyintézője, – aki közvetlen ügyfélkapcsolatokban kockázati banki termékek döntés előkészítésének, vagy magának a döntések meghozatalának érdemi részese. – IT szakterület magasan privilegizált felhasználói – bankbiztonsági szakterület munkatársai

29 Felvételi eljárás humán biztonsági elemei • Megbízható azonosítás • Jelentkezéshez szükséges dokumentumok – Bizonyítványok, szakmai képzettséget igazoló tanúsítványok – Önéletrajz – Véleményezett működési bizonyítvány – Erkölcsi bizonyítvány – Bűnelkövetői nyilvántartás – Vagyonnyilatkozat – Egyéb biztonsági nyilatkozatok • Biztonsági kérdőív

30 Speciális ellenőrzések felvétel előtt • Szolgáltatott adatok ellenőrzése (tényszerűség és konzisztencia) • Interjú – személyes benyomások • Pszichológiai tesztek • Grafológiai tesztek • Környezettanulmány • Mire figyelünk: – befolyásolhatóság – stabilitás – zsarolásra alkalmas körülmények, élethelyzetek (kényszerek, függőségek) – a valós tények elferdítésének, eltitkolásának, megmásításának hajlama – stressztűrés – motiváció, lojalitás céghez, emberhez – kockázatvállalás, konfliktuskezelés, tolerancia – felelősségtudat, elkötelezettség

31 Tipikus belső visszaélések • Sikkasztás • Lopás • Csalás • Korrupció – Befolyással üzérkedés – Hűtlen kezelés • Titoksértő adatszolgáltatás • IT - Tranzakció manipulációk • Bennfentes információk felhasználása • Szinte mindegyiknek van IT vonatkozása (megelőzés, detektálás)

32 Alkalmazás alatti kontroll • Figyelmeztető jelek – NEM BIZONYOSSÁG! – Kiegyensúlyozatlan életvitel,rendezetlen lakáshelyzet – Rendszeres pénzzavar, kölcsönök, illetve ezen problémák gyors megszűnése – Túlzott költekezés vagy spórolás, túlzott anyagi teher vállalása – Indoklás nélküli fizetés nélküli szabadság – Vezetői kérés nélküli, indokolatlan munkaidő előtti vagy utáni munkavégzés – A munkavégzés információigényét meghaladó érdeklődés – Burkolt vagy nyílt törekvés más munkatársak azonosító adatainak megszerzésére (jelszavak, kódok, felhasználói nevek, stb.) – Indokolatlan IT aktivitás adott rendszerekben – Rendszeres külső, baráti vagy ismeretségi körhöz tartozó látogatók – Biztonsági előírások gyakori, szándékos megsértése. – Stb.

33 Alkalmazás alatti kontroll • Ellenőrizhető: – Számlaforgalom • Nagyösszegű tranzakciók (relatív érték) • Bankon belüli számlamozgások • Nagyösszegű készpénzfelvételek, vagy befizetések • Rendszeres, esetleg nagy összegű valutakonverziók • Bankkártya használat • Tőzsdei tranzakciók – Munkavégzés • Teljesítmény • Szabálykövető magatartás • Dokumentációk • Panaszok száma, természetük

34 Speciális lehetőségek • Menedzselt IT felhasználói adminisztráció • Összeférhetetlenségi vétó mátrix • IT logok, hozzáférés kontroll • Wishper box valamilyen implementációja • Bankbiztonság speciális szerepe: – Bizalom – „szolgálunk és védünk” – Zéró tolerancia – Nem marad semmi kivizsgálatlanul, nem lehet elvarratlan szál – A jog v. szabálysértésnek jól kommunikált következménye van – Bizalmi elv - nem lehet minden „pofon” mellé „rendőrt” állítani – A kockázatok gyakran olcsón és hatékonyan kezelhetők

35 Információbiztonság és BCM

36 BCP-DRP • BCP - Az Üzletmenetfolytonossági Terv az adott szervezet működési folyamatainak zavartalan fenntartásához szükséges feladatok összessége, mely: – számba veszi az egyes folyamatok lehetséges fenyegetettségeit, – a fenyegetettségek bekövetkezési valószínűségét, – a folyamat kieséséből származó esetleges károkat – a fentieken alapuló kockázatelemzés eredményeképpen határozza meg a szervezet funkcionalitásának fenntartásához szükséges eljárásokat • DRP -A Katasztrófahelyreállítási Terv az Üzletmenetfolytonossági Terven alapul. Azon intézkedési terveket és feladatokat tartalmazza, melyeket abban az esetben kell végrehajtani, ha szervezet működése szempontjából kritikus folyamatok, illetve az azokat támogató erőforrások olyan mértékig sérültek, hogy a kritikus folyamatok nem tarthatók fenn, vagy a szervezet funkcionalitása szempontjából elviselhetetlen mértékig korlátozottak. 35 Üzletihatás elemzés - BIA

37 Üzletmenet-folytonosság fenntartás folyamata 100% 0% folyamatok működés 100% 0% Esemény 100% 0% folyamatok működés Aktiválás Ellenőrzés

38 Miért kell ez egyáltalán? • Működési kockázatok csökkentése • Pénzügyi veszteségek csökkentése • Image, jó hírnév megóvása • Megfelelni az ügyfelek és üzletfelek elvárásainak • Külső szabályozásnak való megfelelés

39 A BCP-DRP szükségessége költségkorlát időkorlát

40 A BCP projekt menete • IT biztonsági átvilágítás (célszerű elem) • Üzleti hatáselemzés (BIA) • A BCP kidolgozása • Bevezetés • Tesztelés • Oktatás • Karbantartás

41 BCM projekt kockázatai • A projekt kiterjedésének meghatározása • Változó környezet (szervezet, IT) • Belső erőforrás hiány • Tévhitek: • Jelentős belsős közreműködés nélkül megoldható • Egyszeri aktus és utána alig van feladat vele (erőforrások) • BCM az IT szakterület feladata • Mechanikus kockázatértékelés lehetséges • Vezetői döntések információhiányos környezetben, kockázatok alábecslése • Felső vezetői elkötelezettség közvetítése • Tesztelés és oktatás nélkül: kidobott pénz • Karbantartás nélkül: hamis biztonságérzet

42 Üzleti hatáselemzés (BIA) • Folyamat- és kockázatelemzés • A folyamat kiesésének hatásai – pénzügyi – működési – jogi – hírnév • Eredmény: – folyamatok prioritása – kritikus folyamatok és rendszerek – folyamatok függőségei, kapcsolatai – maximálisan megengedhető kiesési idők – alternatívák az üzleti folyamatokra

43 Az MKB Bank Zrt. BCM projekt számai • BCP-DRP elkészítése/karbantartása -Szervezet:1400 fős -Szakértői ráfordítás:3-4 emberév / 1 emberév -Tanácsadók száma:18/4 -Szervezet részéről:kb. 60/30 -Átfutási idő:kb. 7 hónap/ 2 hónap -Interjúk száma:200/60 -Felmért üzleti folyamatok:264/40 -Költség (mFt)45/30 (beruházások nélkül)

44 Üzleti hatáselemzés (példa diagram)

45 ÉRTÉKELÉSI KATEGÓRIÁK

46 FOLYAMATOK KIESÉSE HATÁSAINAK ÉRTÉKELÉSE (részlet)

47 MAGAS PRIORÍTÁSU FOLYAMATOK ÉS EGYÉB FOLYAMATOK FÜGGÉSE (részlet)

48 MAGAS PRIORÍTÁSU FOLYAMATOK ÉS EGYÉB ALKALAMAZÁSOK FÜGGÉSE (részlet)

49 MAGAS PRIORÍTÁSU FOLYAMATOK ÉS EGYÉB ERŐFORRÁSOK FÜGGÉSE (részlet)

50 MAGAS PRIORÍTÁSU FOLYAMATOK SZOLGÁLTATOKTÓL VALÓ FÜGGÉSE

51 BIA űrlap egy egyszerű banki folyamatról

52 Akciótervekkel érintett folyamatok

53 BCP-DRP bevezetés • A BCP elkészítése az első lépés csak!! • Feltételek megteremtése – Szervezet – Szabályozási környezet – Fejlesztések – Oktatás – Karbantartás

54 BCP-DRP – szervezeti feladatok • Kríziskezelő szervezet létrehozása – Állandó és ideiglenes tagok – Döntési mechanizmus kialakítása – Logisztikai feltételek megteremetése – Szabályozott környezet megteremtése

55 Komplex vállalati biztonság • Fizikai biztonság, objektum védelem • Információbiztonság • Üzletbiztonság • Humán biztonság • Incidens kezelés és üzletmenet folytonosság Az egyes részterületek szoros összefüggenek és kifejezett szinergiák vannak az egyes területek között. 54 • A biztonság a vállalati működés egyik lényegi eleme – egy bank esetében az üzleti kondíciókkal egyenrangú • A (bank)biztonság komplex fogalom

56 KÉRDÉSEK


Letölteni ppt "Egy működő vállalati komplex biztonsági rendszer felépítése, működése Jakab Péter, CISM igazgató MKB Bank ZRt. Bankbiztonság Tel: +36 1 268-7569 fax:"

Hasonló előadás


Google Hirdetések