Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?

KiadtaDonát Szilágyi Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?"— Előadás másolata:

1 Krasznay Csaba ZMNE doktorandusz

2  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?  Válasz: mert e-közigazgatási rendszerek esetén nemzeti kritikus információs infrastruktúrákról beszélünk  Okok (prioritási sorrendben): ◦ Belső visszaélések ◦ Külső, nem szervezett támadások elkerülése (hackertámadások) ◦ Külső, anyagi motivációból elkövetett támadások (szervezett alvilág) ◦ Külső, ideológiai alapon nyugvó támadások (kiberterrorizmus) ◦ Külső, országok közötti konfliktusok miatti támadások (kiberhadviselés)

3  Elmondható, hogy az államigazgatás felismerte a fejlesztés biztonságának fontosságát.  A mozgásteret a szabályrendszer nagyjából kijelöli.  Az ördög azonban a részletekben rejlik!  Fejlődő területről van szó, nem csak hazánkban, hanem külföldön is!  A következőkben a legégetőbb problémákról lesz szó.

4 Microsoft SDL OWASP CLASP NIST SP 800-64

5 MegrendelőSzállító Irányítási és fejlesztői szakértelem TervezésMegvalósításTesztelés Követelmények meghatározása InformációátadásEllenőrzésElfogadás Minőségbiztosító

6  Az EKOP-on belüli alkalmazásfejlesztésekben a biztonság kiemelt szerepet kapott  A projektek elindulása után azonban sokszor felmerültek azok a hatásköri kérdések, melyekre a pályázat nem tért ki.  Így elsősorban az, hogy kinek a feladata az alkalmazáshoz kapcsolódó kockázatelemzés elkészítése, a biztonsági besorolások elvégzése.  Általánosságban elmondható, hogy nem pontosan tisztázott, hogy a kiírás/tervezés során milyen alapdokumentumokat kell átadnia a megrendelőnek, melyekből a fejlesztő már konkrét biztonsági rendszert tud tervezni.

7  A biztonságos alkalmazásfejlesztés annyira új tudományterület, hogy nagyon kevés szakember foglalkozik a fejlesztőcégeknél ezzel a témával.  A fejlesztő és a megrendelő/minőségbiztosító közötti láncban két biztonsággal foglalkozó szerepkört hasznos beilleszteni: ◦ a security architektet, akinek a feladata az adott technológiai platformra magas szinten meghatározni a biztonsági követelményeket (technológiai tudás) ◦ a belső biztonsági auditort, aki a szabályozási követelmények teljesülését és a megfelelő fejlesztési folyamatokat követeli meg (auditori tudás).

8  A biztonsági minőségbiztosító hasznos segítséget jelent mind a megrendelő, mint a szállító oldal részére.  Nem tisztázott azonban, hogy hatásköre meddig terjed ki, azaz mekkora belelátása lehet a fejlesztési folyamatokba.  Érezhetően nincs egységesen elfogadott auditori gyakorlat, melynek kialakulása gördülékenyebbé tehetné az átadás/átvételi folyamatokat.

9  A KIB 28. ajánlás az egyes biztonsági szintekhez pontosan meghatározza a funkcionális követelményeket.  Ezek azonban eléggé magas szintűek ahhoz, hogy konkrét esetben (pl. mit naplózzon a rendszer) ne lehessen egyértelmű választ adni.  A gyakorlatban az látható, hogy elsősorban az authentikációs, authorizációs és naplózási kérdésekre valamilyen egységes ajánlást kell kidolgozni  Kicsit távolabbról nézve, a KIB 28. ajánláskötetet egy olyan élő halmazzá kell tenni, melyben folyamatosan jelenhetnek meg jógyakorlatok vagy műszaki ajánlások, melyek a jelenlegi rendszert kiegészítik.  Ugyanez mondható el a fejlesztési folyamatokra is, pl. a sebezhetőségvizsgálat egységes módszertanának kidolgozása még várat magára.

10  Az EKOP projektek egy része előírta a CC EAL4 megfelelést.  Ezen szabvány sikeres alkalmazásához azonban számos peremfeltétel hiányzik, így annak eldöntése ◦ hogy az ISO szabvány, vagy a magyar értelmezésnek megfelelő MIBÉTS az irányadó, ◦ pontosan milyen tartalmi és formai követelmények fogadhatók el, ◦ milyen könnyítésekkel lehet esetlegesen élni, stb.  Nagyon hiányzik a rendszerből egy olyan „vének tanácsa” jellegű testület, melyhez értelmezési kérdésekkel lehet foglalkozni.  Ennek hiánya okozza azt a paradoxont, hogy ugyanabból a szabványból dolgozva a különböző minőségbiztosítók különböző következtetéseket vonnak le.

11  Egy út elején járunk, ahol nagyon fontos a visszacsatolás, a további kutatás.  A biztonságot már tervezési fázisban be kell „építeni” a rendszerbe, ezért nyilvánvaló problémákat a lehető leghamarabb meg kell oldani!  Vegyük tudomásul: a rendszerfejlesztés teljes költségének 10-20%-a biztonsági jellegű kell, hogy legyen.

12 E-mail: csaba@krasznay.hu Web: www.krasznay.hu

Letölteni ppt "Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?"

Hasonló előadás

A rendvédelmi szervek helye a kibervédelemben

A rendvédelmi szervek helye a kibervédelemben
Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.

Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
Projekt vezetés és kontroll – Mi történik a gépházban?

Projekt vezetés és kontroll – Mi történik a gépházban?
Az artista sem ugrik védőháló nélkül avagy miben segíthet a jog ?

Az artista sem ugrik védőháló nélkül avagy miben segíthet a jog ?
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.

Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
European Conformity Check Vállalkozásfejlesztési Tanácsadó Intézet

European Conformity Check Vállalkozásfejlesztési Tanácsadó Intézet
Mobil e-ügyintézési rendszer kifejlesztése

Mobil e-ügyintézési rendszer kifejlesztése
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása

Az Ibtv. civil-szakmai támogatása
Rendszertervezés GIMP.

Rendszertervezés GIMP.
A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem.

A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem.
AZ MSZ SZABVÁNYSOROZAT SZÜKSÉGESSÉGE

AZ MSZ SZABVÁNYSOROZAT SZÜKSÉGESSÉGE
A PROJEKT, A VÁLLALKOZÁSI SZERZŐDÉS SZEMSZÖGÉBŐL dr. Naszádos Krisztina NKKB Ügyvédi Iroda 2010.

A PROJEKT, A VÁLLALKOZÁSI SZERZŐDÉS SZEMSZÖGÉBŐL dr. Naszádos Krisztina NKKB Ügyvédi Iroda 2010.
A MIBÉTS szerinti értékelőlaborok

A MIBÉTS szerinti értékelőlaborok
Kecskemét, 2004. április 2O.Készítette: Ramháb Mária A kistelepülési könyvtári ellátás korszerűsítésének lehetőségei Informatikai és Könyvtári Szövetség.

Kecskemét, április 2O.Készítette: Ramháb Mária A kistelepülési könyvtári ellátás korszerűsítésének lehetőségei Informatikai és Könyvtári Szövetség.
EU támogatások és a kapcsolódó közbeszerzések tapasztalatai

EU támogatások és a kapcsolódó közbeszerzések tapasztalatai
INFORMÁCIÓRENDSZEREK FEJLESZTÉSÉNEK IRÁNYÍTÁSA.. Alkalmazás - projekt Alkalmazás - a vállalat tökéletesítésére irányuló új munkamódszer projekt - az új.

INFORMÁCIÓRENDSZEREK FEJLESZTÉSÉNEK IRÁNYÍTÁSA.. Alkalmazás - projekt Alkalmazás - a vállalat tökéletesítésére irányuló új munkamódszer projekt - az új.
MINŐSÉGMENEDZSMENT 3. előadás

MINŐSÉGMENEDZSMENT 3. előadás
A projektmenedzsment funkciói és területei

A projektmenedzsment funkciói és területei
1 2014.07.17. DISSZEMINÁCIÓ Eredmények, ismeretek megosztása.

DISSZEMINÁCIÓ Eredmények, ismeretek megosztása.

Hasonló előadás

Google Hirdetések