Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Pannon Egyetem MIK – KÜRT Zrt. © 2007 KÜRT Computer www.kurt.hu Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor.

Hasonló előadás


Az előadások a következő témára: "Pannon Egyetem MIK – KÜRT Zrt. © 2007 KÜRT Computer www.kurt.hu Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor."— Előadás másolata:

1 Pannon Egyetem MIK – KÜRT Zrt. © 2007 KÜRT Computer Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor

2 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Szakmai tapasztalatok Információs rendszerek, adatbázis kezelés Ügyviteli, üzleti rendszerek fejlesztése, BPR Nagy országos információs rendszerek kidolgozása (projekt menedzsment) Informatikai minőségbiztosítás (Bootstrap szakértő, ISO rendszerek kidolgozása) e-Business megoldások kidolgozása e-Learning alkalmazások (Leonardo da Vinci projektek) Informatikai biztonsági rendszerek (kockázatkezelés, integrált biztonsági alkalmazások)

3 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer 25 dolláros autók 1000 mérföld/gallon fogyasztás 25 dolláros autók 1000 mérföld/gallon fogyasztás Bill Gates, Microsoft

4 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Napi kétszeri baleset történne ismeretlen okból Új autót kellene vásárolni, ha a közlekedési jeleket újrafestik Minden új autónál újra kellene tanulni a vezetést Az autó rendszeresen, ismeretlen okból lemenne az útról Bizonyos manővereknél az autó megtagadná az utasítást Az autó rendszeresen, minden ok nélkül kizárná a vezetőjét A légzsák kioldás előtt megkérdezné: „Biztos benne?” Napi kétszeri baleset történne ismeretlen okból Új autót kellene vásárolni, ha a közlekedési jeleket újrafestik Minden új autónál újra kellene tanulni a vezetést Az autó rendszeresen, ismeretlen okból lemenne az útról Bizonyos manővereknél az autó megtagadná az utasítást Az autó rendszeresen, minden ok nélkül kizárná a vezetőjét A légzsák kioldás előtt megkérdezné: „Biztos benne?” Rodgers, General Motors

5 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Miről lesz szó? Az informatikai biztonsági szabályozás gyakorlati megvalósítása Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonság

6 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Miről lesz szó? Az informatikai biztonsági szabályozás gyakorlati megvalósítása Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonság

7 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Két dolog biztos az életben A halál Az adófizetés /Thomas Jefferson/ Az adatvesztés! /KÜRT/

8 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Informatikai biztonság/bizonytalanság 5 ezer programsoronként legalább egy hiba Szoftver upgrade: Ismert hibákat ismeretlenekre cserélünk le. Mi a helyzet manapság az informatikával?

9 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer

10 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer

11 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Murphy: „Ami elromolhat, az el is romlik.” Nincs százszázalékos biztonsággal működő rendszer!

12 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Informatikai robbanás Világhálózat Elektronikus bank Elektronikus kereskedelem Hadviselési eszköz Fehérgalléros bűnözés Terrorizmus eszköze Programozott kártevők Mi a helyzet manapság az informatikával?

13 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az informatikai rendszerek fenyegetettségei kihathatnak: a környezeti infrastruktúrára a hardverekre a szoftverekre az adathordozókra az adatokra a kommunikációs csatornákra az emberekre a dokumentumokra

14 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer haszonszerzés bosszú irigység sértettség felindultság virtus tudatlanság képzetlenség alkalmatlanság ellenséges magatartás gondatlanság kényelem Az emberi tényező Motivációk

15 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Közvetlen károk - Adatvesztés, az adatok visszaállításának költségei - Rendszerleállás, kiesések az üzleti folyamatokban - Hardver és szoftverkárok, helyreállítási költségek - Bizalmas információk illetéktelen kezekbe jutása Áttételes károk - Ügyfelek bizalmának megrendülése - Image romlása - Dolgozói elégedetlenség A lehetséges károk

16 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Forrás: KÜRT Computer, Nem menthető 22,6% Menthető 77,4% Nem minden adatvesztés állítható helyre!

17 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Miről lesz szó? Az informatikai biztonsági szabályozás gyakorlati megvalósítása Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonság

18 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az adatok egyre inkább elektronikus formában kerülnek tárolásra A szervezetek informatika nélkül működésképtelenek Az informatikai függőség egyre nagyobb Az informatikai rendszerek fenyegetettsége kritikus Létszükséglet a szolgáltatások folytonossága és az adatok bizalmas kezelése Az informatikai biztonság aktualitása és szükségessége

19 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az informatikai biztonsági szabályozás fontossága A szervezetekre és üzleti folyamataikra ható kockázati tényezők bekövetkezési valószínűsége és kárpotenciálja változó. A kockázati tényezők kiküszöbölése drága, és sokrétűségük miatt nem mindig lehetséges. Olyan megoldásra van tehát szükség, amely a kockázati tényezők azonosításával, hatásuk felmérésével adja meg a költséghatékony megoldást.

20 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az emberi tényező Informatikai KRESZ?

21 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Ha nincs 100%-os biztonság, mekkora az elfogadható? Kívánatos, hogy legyen információm a rendszer működési biztonságáról. Ismernem kell a védendő “eszköz” értékét. Lényeges, hogy tudjam a biztonság növelésének a költségeit. KOCKÁZATELEMZÉS Nincs százszázalékos biztonsággal működő rendszer!

22 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Mit? eszközök (gépek, hálózatok, programok), input/output adatok és adatbázisok Mitől? külső és belső hatások (vírus, tűz, emberi mulasztás, szándékos károkozás, rendszerelem meghibásodás) Mennyibe kerül? költségek - peremfeltétel vagy célfüggvény Mit kell védeni, mitől, és mindez mennyibe kerül?

23 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Mindent vagy semmit, esetleg van középút? Ami értékesebb, az fokozott védelmet igényel. Ami értékesebb, az fokozott védelmet igényel. Az optimális biztonság szelektív. Az optimális biztonság szelektív. Meny- nyiért? Mit?

24 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer A biztonsági rés Az IT biztonságára fordított összeg Biztonsági szint 100 %-os biztonság Rögzített, elérendő biztonsági szint A biztonság pillanatnyi szintje Biztonsági rés

25 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Miről lesz szó? Az informatikai biztonsági szabályozás gyakorlati megvalósítása Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonság

26 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Terminológia – Informatikai biztonság

27 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Két fő terület Adatvédelem Adatbiztonság Terminológia – Informatikai biztonság

28 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatbiztonság: Az informatikai rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. Terminológia - Informatikai biztonság Két fő terület Adatvédelem: Az informatikai rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások.

29 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Informatikai alapfenyegetettségek Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk rendelkezésre állását, sértetlenségét, bizalmasságát, hitelességét, illetve az informatikai rendszer működőképességét veszélyeztetik.

30 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Védendő rendszerelemek Tárgyiasult elemcsoportok: környezeti infrastruktúra hardver adathordozók dokumentumok, iratok Logikai elemcsoportok: szoftver adatok kommunikáció Személyi elemcsoport: személyzet, felhasználók, ellenőrök

31 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer A biztonság nem teremthető meg pusztán áru és szolgáltatás megvásárlásával. A biztonság a szervezet életébe beépülő, folyamatosan ellenőrzött, karbantartott technológia. Hogyan védekezzünk?

32 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer IT ELEM IT RENDSZER Beavatkozás Folyamat-ellenőrzés FOLYAMAT-SZABÁLYOZÁS Eljárások és utasítások ADATADAT ZAVARÓTÉNYEZŐK ZAVARÓTÉNYEZŐK A SZABÁLYOZOTT IT BIZTONSÁGI RENDSZER SÉMÁJA A SZABÁLYOZOTT IT BIZTONSÁGI RENDSZER SÉMÁJA

33 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Követelmények az IT biztonsági rendszerrel kapcsolatban A vállalat működésének veszélyeztetését elfogadható mértékűre csökkenti A szükséges és elégséges jogosultságokat biztosítja Egyértelműen meghatározza a felhasználókat, a programokat és az adatállományokat A felhasználókat egyértelműen felelőssé tudja tenni a számítógépes eseményekért Lehetőséget teremt a visszaélési kísérletek azonosítására és a védekező lépések megtételére

34 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Nemzetközi szabványi háttér A teljes IT rendszer szabályozása Moduláris felépítés Illeszkedés a vállalat meglévő struktúrájába ISO 9000 kompatibilitás Integrálhatóság rendszermenedzsment és workflow rendszerekbe Auditálhatóság Melyek a főbb elvárások?

35 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer British Standard BS 7799 (ISO 17799) Az ISACA (Information Systems Audit and Control Association) által kidolgozott COBIT (Control Objectives for Information and Related Technology) ajánlás IT Infrastructure Library (ITIL => MOF) Common Criteria 2.1 (ISO 15408) Information technology – Guidelines for the management of IT Security (ISO 13335) Az Informatikai Tárcaközi Bizottság 12. sz. ajánlása Főbb elvárások Nemzetközi szabványi háttér

36 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Fontos az átfogó, minden területre kiterjedő szabályozás Ez érvényes néhány, nem közvetlenül az informatikai rendszerhez tartozó területre is Főbb elvárások A teljes informatikai rendszer szabályozása

37 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer A rendszer egymáshoz kapcsolódó modulokból épül fel A rendszert felépítő modulok külön-külön is életképesek A rendszer egyéni igények szerint alakítható, bővíthető Főbb elvárások Modularitás, testreszabhatóság

38 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Megfelelés a hatályos törvények előírásainak § ISO 9000 szabvánnyal kompatibilis felépítés Többszintű irányítás lehetősége Főbb elvárások Illeszkedés a vállalat meglévő struktúrájába

39 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Workflow eszközök, pl.: SAP (workflow) Lotus Notes Rendszer-menedzsment eszközök, pl.: Tivoli Unicenter TNG BMC Patrol HP OpenView Főbb elvárások Integrálhatóság, automatizálható működés

40 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Megfelelés egy független, nemzetközi szabványokon alapuló audit követelményeinek (COBIT, BS7799) Bizonyos területeken kötelező! (pl.: PSZÁF) Főbb elvárások Auditálhatóság

41 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Miről lesz szó? Az informatikai biztonsági szabályozás gyakorlati megvalósítása Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonság

42 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Teljeskörű, kockázatelemzést és -kezelést tartalmazó, integrált rendszer, amely a cégek és intézmények teljes informatikai tevékenységét átfogja, szabályozza, előtérbe helyezve az adatvédelmi, adatbiztonsági és üzletmenet- folytonossági szempontokat. Az Informatikai Biztonsági Technológia (IBiT ® )

43 © 2003 KÜRT Computer Kocká- zat- elemzés Jelenlegi rendszer állapot- felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Rendszerterv Vállalati és IT stratégia - Rendszerbővítés Jelenlegi infrastruktúra fenntartása A jövő üzleti folyamatainak kiszolgálása A kívánt biztonsági szint elérése Eszközkiválasztás Pályáztatás Megrendelő KÜRT Implementációs terv Implemen- táció Szabályzat- rendszer kialakítása Oktatás/ Képzés Az IBiT ® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat- védelem Adat- biztonság IT rendszer folya- matok IT szervezeti folya- matok Audit elő- készítés Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT ® projekt struktúra IBiT ® bevezetés

44 Kocká- zat- elemzés Jelenlegi rendszer állapot- felmérése IBiT ® projekt struktúra A vállalat és a szervezeti felépítés megismerése Az IT szervezet megismerése és felmérése Az Informatikai Stratégia megismerése Az informatikai rendszer felmérése A vállalati adatstruktúra felmérése A vállalat backup rendszerének felmérése A vállalat vírusvédelmi rendszerének felmérése Az informatikai vészhelyzetkezelés felmérése A jelenlegi IT rendszer felmérésének elemei

45 Jelenlegi rendszer állapot- felmérése IBiT ® projekt struktúra Az IT biztonságára fordított összeg Biztonsági szint 100 %-os biztonság Rögzített, elérendő biztonsági szint A biztonság pillanatnyi szintje Biztonsági rés A biztonsági rés Kocká- zat- elemzés

46 Jelenlegi rendszer állapot- felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT ® projekt struktúra Kockázati mátrix Fontosság Erőforrás igény

47 © 2003 KÜRT Computer Kocká- zat- elemzés Jelenlegi rendszer állapot- felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Rendszerterv Vállalati és IT stratégia - Rendszerbővítés Jelenlegi infrastruktúra fenntartása A jövő üzleti folyamatainak kiszolgálása A kívánt biztonsági szint elérése Eszközkiválasztás Pályáztatás Megrendelő KÜRT Implementációs terv Implemen- táció Szabályzat- rendszer kialakítása Oktatás/ Képzés Az IBiT ® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat- védelem Adat- biztonság IT rendszer folya- matok IT szervezeti folya- matok Audit elő- készítés Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT ® projekt struktúra IBiT ® bevezetés

48 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv Keret/Frame A szabályozási rendszer felépítése

49 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv Adatvédelem A szabályozási rendszer felépítése

50 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv Adatbiztonság A szabályozási rendszer felépítése

51 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv IT rendszer- folyamatok IT szervezeti- folyamatok A szabályozási rendszer felépítése

52 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Katasztrófa elhárítási terv Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv A szabályozási rendszer felépítése

53 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Adatvédelem Adatbiztonság IT rendszer- folyamatok IT szervezeti- folyamatok Audit előkészítés Keret/Frame Katasztrófa elhárítási terv Audit előkészítés A szabályozási rendszer felépítése

54 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer KézikönyvKézikönyv Eljárások gyűjteménye Munka- és vizsgálati utasítások Bizonylati album A dokumentumrendszer felépítése

55 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Végre megpihenhetünk?

56 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Az informatikai biztonság körfolyamata Üzemeltetés, fenntartás Új informatikai biztonsági rendszer kidolgozása Változások felmérése Bejáratott informatikai biztonsági rendszer Módosítási igények meghatározása Hatékonyság- vizsgálat

57 Informatikai biztonság rendszerszemléletben © 2007 KÜRT Computer Összefoglalás A szervezetek, intézmények informatikai függősége egyre nő 100 %-os biztonság nem érhető el A felsővezetés támogatásának megnyerése nélkülözhetetlen Az adott cég számára optimális megoldás kialakítása Peremfeltételek és célfüggvények figyelembe vétele Megfelelő szabványok és módszertani háttér figyelembe vétele Homogén, moduláris és integrálható rendszer kialakítása Naplózás, dokumentálás és ellenőrzés kritikus jelentőségű Az informatikai biztonsági szabályozás egy körfolyamat

58 Várom a kérdéseiket! © 2007 KÜRT Computer


Letölteni ppt "Pannon Egyetem MIK – KÜRT Zrt. © 2007 KÜRT Computer www.kurt.hu Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor."

Hasonló előadás


Google Hirdetések