Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

{ Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai.

Hasonló előadás


Az előadások a következő témára: "{ Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai."— Előadás másolata:

1 { Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai

2 { - Bemutatkozás Informatikai biztonsági ellenőrzés I Tel.: I

3 Nádor Rendszerház Kft.  Alapítás: 1992  Magyar tulajdonosok  Alkalmazottak száma: több mint 60 fő  Éves árbevétel: 5,7 milliárd Ft

4 Nádor Rendszerház Kft. - üzletágak  IT eszközök  IT szolgáltatások  IT biztonság  Közbeszerzés  Szoftverfejlesztés  Vonalkód technika és RFID  Távközlés  Irodatechnika

5  MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer  MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer  MSZ EN ISO 14001:2009  Környezetirányítási rendszer  NATO Minősített Beszállító cím Nádor Rendszerház Kft. - minősítések

6  Szolgáltatások  Audit  Kockázatelemzés  Szabályzatok és IBIR kialakítás  ITIL v3 bevezetés  Bevezetés és oktatás  Ethical Hacking  Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server)  Biztonsági hardening és monitoring  Spam szűrő szolgáltatás  IT biztonsági szakértői szolgáltatások  Megoldások   Adatszivárgás elleni védelem   Vírus, Spam és URL szűrés   Naplóbejegyzések gyűjtése és kiértékelése   Tűzfalak és behatolás jelző megoldások   Felhasználói azonosítás   Mobileszköz védelem   Archiválás   Wifi hálózatok védelme   PKI rendszerekhez kapcsolódó megoldások   Tempest eszközök   Fájl szerverek, virtuális gépek védelme   Hozzáférés kezelés / felügyelet Nádor Rendszerház Kft. – IT biztonság

7 { Vizsgálatok I Tel.: I Informatikai biztonsági ellenőrzés

8  Ellenőrzés előkészítése  A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás)  Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet)  Dokumentációk bekérése  Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős)  Interjúkra, vizsgálatra való felkészülés Informatikai biztonsági ellenőrzés - előkészítés

9  Interjúk lefolytatása  Időpontok egyeztetése  Kérdőív alapján, Excel táblázat  Vizsgálatok lefolytatása  Szabályzatok vizsgálata  Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi)  Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok)  Logok vizsgálata  Adathozzáférések vizsgálata Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatása

10  Informatikai Biztonsági Politika  Informatikai Biztonsági Stratégia  Informatikai Biztonsági Szabályzat  Üzemeltetési Szabályzat  Felhasználói Szabályzat  Vírusvédelmi szabályzat  Mentés és Archiválási Szabályzat  BCP/DRP Szabályzat  …..és amit még a szervezet mérete, folyamatai indokolnak (Kockázatkezelési Szabályzat, Hozzáférési Szabályzat, Adatvédelmi Szabályzat, stb.)  Megfelelés a törvényeknek, szabványoknak  Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k)  DRP tesztelés Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatok

11  Web portálok vizsgálata (pl: Acunetics, Rapid7)  Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack)  Blackbox  Greybox  Whitebox  Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) – frissítések telepítésének ellenőrzése,  Adatbázis vizsgálatok, scriptek  WiFi és VPN vizsgálatok  Alkalmazás vizsgálatok  Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal) Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok

12 Általánosságban:  Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív)  Reakció vizsgálata (idő, felkészültség, riasztási rendszer)  Szoftver jogtisztaság  Informatikával előre egyeztetett időpontban, meghatalmazással  Kiemelt felhasználói jogosultság  Rendszerösszeomlás elkerülése  Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni,  Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása  Fejlesztés esetén tesztadatok (nem az éles adatokkal) Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok

13  Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret  Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek  Merevlemezen tárolt adatok felderítése  Általánosságban:  A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon – HASH!)  A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunk Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok

14  Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer  A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra)  Kérdőív táblázat csatolása  Sérülékenységi vizsgálat során keletkezett riportok csatolása  Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók Informatikai biztonsági ellenőrzés – Jelentéskésztés

15  Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)  A vizsgálat megismétlését is célszerű elvégezni. Delta riport. Informatikai biztonsági ellenőrzés – Vizsgálatok ismétlése

16 { évi L. Törvény (Ibtv.) Információbiztonság a közigazgatásban I Tel.: I

17  1992 – Adatvédelmi törvény (1992. évi LXII. tv.)  1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS)  2004 – ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez  2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.)  2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu  2008 – KIB 25 (IBIR)  2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.)  2012 – évi CLXVI. Törvény  …….és a növekvő kiberfenyegetettség évi L. törvény (Ibtv.) - előzmények

18 2013. évi L. törvény – áttekintés  Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.)  „A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”  Hatályba lépett: július 01.

19  Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – július 30.)  Ellenőrzési/felügyeleti jog  Információbiztonsági Felügyelő  Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők,  Felelős az első számú vezető  IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem  Bejelentési kötelezettség: augusztus 31.  IBSZ (2013. szept.28. -> febr. 04.)  Kockázatok elemzés  Rendszer és szervezet besorolás (2014. július 01.)  Cselekvési terv (2014. szept. 30.)  Kiegészítések:  26/2013 KIM rendelet  73/2013 NFM rendelet  77/2013 NFM rendelet  233/2013 Korm. rendelet  301/2013 Korm. rendelet évi L. törvény – áttekintés

20 { Köszönöm a figyelmet Budai László IT Biztonságtechnikai üzletágvezető Telefon: + 36 – Mobil: + 36 – 20 – Kérdések - válaszok


Letölteni ppt "{ Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai."

Hasonló előadás


Google Hirdetések