Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Informatikai biztonsági ellenőrzés

Hasonló előadás


Az előadások a következő témára: "Informatikai biztonsági ellenőrzés"— Előadás másolata:

1 Informatikai biztonsági ellenőrzés
- az ellenőrzés részletes feladatai Budai László IT Biztonságtechnikai üzletágvezető

2 Informatikai biztonsági ellenőrzés
- Bemutatkozás I Tel.: I

3 Nádor Rendszerház Kft. Alapítás: 1992 Magyar tulajdonosok
Alkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd Ft

4 Nádor Rendszerház Kft. - üzletágak
IT eszközök IT szolgáltatások IT biztonság Közbeszerzés Szoftverfejlesztés Vonalkód technika és RFID Távközlés Irodatechnika

5 Nádor Rendszerház Kft. - minősítések
MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer MSZ EN ISO 14001:2009 Környezetirányítási rendszer NATO Minősített Beszállító cím

6 Nádor Rendszerház Kft. – IT biztonság
Szolgáltatások Audit Kockázatelemzés Szabályzatok és IBIR kialakítás ITIL v3 bevezetés Bevezetés és oktatás Ethical Hacking Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server) Biztonsági hardening és monitoring Spam szűrő szolgáltatás IT biztonsági szakértői szolgáltatások Megoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és kiértékelése Tűzfalak és behatolás jelző megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó megoldások Tempest eszközök Fájl szerverek, virtuális gépek védelme Hozzáférés kezelés / felügyelet

7 Informatikai biztonsági ellenőrzés
Vizsgálatok I Tel.: I

8 Informatikai biztonsági ellenőrzés - előkészítés
Ellenőrzés előkészítése A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás) Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet) Dokumentációk bekérése Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) Interjúkra, vizsgálatra való felkészülés

9 Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatása
Interjúk lefolytatása Időpontok egyeztetése Kérdőív alapján, Excel táblázat Vizsgálatok lefolytatása Szabályzatok vizsgálata Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok) Logok vizsgálata Adathozzáférések vizsgálata

10 Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatok
Informatikai Biztonsági Politika Informatikai Biztonsági Stratégia Informatikai Biztonsági Szabályzat Üzemeltetési Szabályzat Felhasználói Szabályzat Vírusvédelmi szabályzat Mentés és Archiválási Szabályzat BCP/DRP Szabályzat …..és amit még a szervezet mérete, folyamatai indokolnak (Kockázatkezelési Szabályzat, Hozzáférési Szabályzat, Adatvédelmi Szabályzat, stb.) Megfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelés

11 Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok
Web portálok vizsgálata (pl: Acunetics, Rapid7) Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) Blackbox Greybox Whitebox Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) – frissítések telepítésének ellenőrzése, Adatbázis vizsgálatok, scriptek WiFi és VPN vizsgálatok Alkalmazás vizsgálatok Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)

12 Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok
Általánosságban: Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) Reakció vizsgálata (idő, felkészültség, riasztási rendszer) Szoftver jogtisztaság Informatikával előre egyeztetett időpontban, meghatalmazással Kiemelt felhasználói jogosultság Rendszerösszeomlás elkerülése Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása Fejlesztés esetén tesztadatok (nem az éles adatokkal)

13 Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok
Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek Merevlemezen tárolt adatok felderítése Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon – HASH!) A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunk

14 Informatikai biztonsági ellenőrzés – Jelentéskésztés
Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra) Kérdőív táblázat csatolása Sérülékenységi vizsgálat során keletkezett riportok csatolása Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók

15 Informatikai biztonsági ellenőrzés – Vizsgálatok ismétlése
Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2) A vizsgálat megismétlését is célszerű elvégezni. Delta riport.

16 Információbiztonság a közigazgatásban
2013. évi L. Törvény (Ibtv.) I Tel.: I

17 2013. évi L. törvény (Ibtv.) - előzmények
1992 – Adatvédelmi törvény (1992. évi LXII. tv.) 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 – ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 – KIB 25 (IBIR) 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) 2012 – évi CLXVI. Törvény …….és a növekvő kiberfenyegetettség

18 2013. évi L. törvény – áttekintés
Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) „A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.” Hatályba lépett: július 01.

19 2013. évi L. törvény – áttekintés
Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – július 30.) Ellenőrzési/felügyeleti jog Információbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezető IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: augusztus 31. IBSZ (2013. szept.28. -> febr. 04.) Kockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.) Kiegészítések: 26/2013 KIM rendelet 73/2013 NFM rendelet 77/2013 NFM rendelet 233/2013 Korm. rendelet 301/2013 Korm. rendelet

20 Köszönöm a figyelmet Kérdések - válaszok Budai László
IT Biztonságtechnikai üzletágvezető Telefon: + 36 – Mobil: + 36 – 20 –


Letölteni ppt "Informatikai biztonsági ellenőrzés"

Hasonló előadás


Google Hirdetések