Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.

Slides:



Advertisements
Hasonló előadás
>>0 >>1 >> 2 >> 3 >> 4 >> Gyülekeznek a felhők a felsőoktatás egén - avagy a cloud learning szárnyalása a kibertérben SERES – MISKOLCZI - FÓRIKA - LENGYEL.
Advertisements

Információbiztonság irányítása
Pintér Tamás.  Egyszerűen: ◦ tudás ◦ hatalom  Bővebben: ◦ Az információ latin eredetű szó, amely értesülést, hírt, üzenetet, tájékoztatást jelent.
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
A TESTÜLETI VEZETŐK ÉS TESTÜLETI TAGOK PROAKTIVITÁSÁNAK FEJLESZTÉSE (A FLOW ELMÉLET GYAKORLATI ALKALMAZÁSA A TESTÜLETI MUNKÁBAN) FLOW AKTIVITÁS EURÓPAI.
Az elektronikus közigazgatási rendszerek biztonsága
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
Humán rendszerek, közszféra
A Vállalkozásfejlesztési munkacsoport
Információbiztonság vs. informatikai biztonság?
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Gondolatok a barátságról
Nem számít!. Nem számít! Lezárás Lényegi Részei HATÁRIDŐ BEMUTATKOZÁS JÓ STRATÉGIA, ÉS TAKTIKA TERMÉKLÉTRA KIFOGÁSKEZELÉS.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Mára ugyancsak megtépázta az idő a sárkányok létezését, mivel kizárólag mesékben bukkannak fel. A 16 század elején, az emberek elkedztek hinni a sárkányok.
Szoftverminőség biztosítása
A belső kontroll rendszer hatékony működtetése
Biztosításfelügyeleti szakmai konzultáció
Szabványok és ajánlások az informatikai biztonság területén
Kit kérdezzen meg a felhasználó? Budapest, május 26.
Miért felügyeljük az ügyfélkörnyezetet? Tervezési segédlet Ügynök nélküli felügyelet A fontos ügyfelekről Riportok, trendek és amit ezekből tanulhatunk.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
Pénzintézetek és szolgáltatásaik kiber fenyegetettségei
Common Criteria szerinti értékelések lehetőségei Magyarországon
Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
Vezetéknélküli hálózatok biztonsága
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
Online értékesítés és marketing fogyasztóvédelmi szemmel Siklósi Máté.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
„Az igazi kérdés nem az, mennyit javultál tegnapi önmagadhoz képest, hanem, hogy milyen jól teszed a dolgod versenytársaidhoz képest.”
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Az igazgatás és az ápolás-szakfelügyelet kapcsolata
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Innováció a vezetésben – vezetés egy innovatív cégben Innovációs speci előadás december 12. Lévai Gábor.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
77/ Követelmények és a gyakorlat
avagy a zártság dilemmái
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Biztonság kábelek nélkül Magyar Dénes május 19.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
1 FOGYASZTÓVÉDELMI FÓRUM Tatabánya, március 25.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Biztonság és GDPR kancellar.hu
Országos Orvosi Rehabilitáció Intézet
Előadás másolata:

Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.

Az alapkérdés •A pénzintézetek folyamatosan, legtöbb esetben online működnek •Nagy zsákmányt nem fegyverrel, hanem informatikával lehet a pénzintézetektől szerezni •Egy pénzintézet rendszeréhez eleve ezres nagyságrendű dolgozó fér hozzá •És mégis, miért nincsenek tömegesen sikeres informatikai támadások a bankok ellen?

Fenyegetések

A válasz •A megoldás egyszerű, de mégis évek-évtizedek kellenek ahhoz, hogy sikerre vigyék •Az információbiztonság ugyanis alapvetően filozófia, ami mentalitásváltást követel meg •Meg kell oldani a (látszólag) megoldhatatlant: egyszerre lenni nyíltnak (kiszolgálni az üzletet) és zártnak (megvédeni az üzletet) •Ehhez meg kell teremteni az 5E (elmélet, előírások, eszközök, emberek, ellenfelek) harmóniáját

Elmélet •Közhelyek: •Ismerd meg az ellenséget, és ismerd meg önmagadat, így akár száz csatát is megvívhatsz vereség nélkül (Szun Ce) •A biztonság nem termék, hanem folyamat (Schneier) •Minden rendszer annyit ér, amennyit a leggyengébb láncszeme (ezt sokan mondták) •Nem jó az M&M’s védelem (Mitnick) •A közhelyeket a végtelenségig lehetne folytatni •A lényeg: nincs biztonság elmélet nélkül!

Elmélet •Amikor információbiztonságról beszélünk: •Az információ van a középpontban •Az információ bizalmasságát, sértetlenségét és rendelkezésre állását védjük (CIA elv) •Nem feltétlenül törekszünk a teljes védelemre, hanem kockázatarányosan védekezünk •Módszereink, védelmi intézkedéseink lehetnek adminisztratívak, logikaiak és fizikaiak •Melyeket megelőző, felderítő és javító módon használhatunk (PreDeCo elv) •A harmónia megteremtése ezek megértésén és következetes alkalmazásán múlik!

Elmélet •Egy pénzintézetnél kötelező a fenti elvek betartása •A tapasztalat azonban azt mutatja, hogy sok szervezetnél (pl. az államigazgatásban) még mindig nem él ez a szemlélet •Felejtsük el a „minél több tűzfal – annál nagyobb biztonság” ideológiáját! •De ha nem megy saját belátásra, akkor majd jön a kényszerítő erő!

Előírások •A Magyarországon működő szervezetek többsége azért szeretne információbiztonságot, mert valamilyen külső kényszer hatása alatt állnak •A külső kényszer lehet: •Jogszabály, •Felügyeleti szerv által kiadott szabály, •Anyavállalati előírás •Ezek általában szabványra támaszkodnak, így kimondható, hogy a világ jelenlegi elfogadott tudására épülnek

Előírások •A banki világban Magyarországon az alábbi előírások léteznek: •1996. évi CXII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról 13/B. § •1/2007. számú módszertani útmutató a pénzügyi szervezetek informatikai rendszerének védelméről •De egy bank lehet adatkezelő, kritikus információs infrastruktúra, banktitok gazdája, stb. •Összevetve a közvetve vagy közvetlenül vonatkozó jogszabályokat, előbukkan néhány megkerülhetetlen szabvány

Előírások Banki informatika EmberekAlkalmazásokInformációkInfrastruktúra Szabványok, ajánlások Cobit ISO OWASP, CMM NIST SP ajánlások Gyártói ajánlások Common Criteria Erőforrások Technológia Irányítás

Előírások Szabályzat Szabvány Alapbeállítások Eljárások Útmutatók

Eszközök •Ha egyértelműek és világosak az előírásaink, már „csak” meg kell valósítani a benne leírtakat •Ehhez viszont rendszert kell tervezni •Minél előbb gondolunk a biztonságra a tervezés során, annál olcsóbban lehet biztonságos rendszert létrehozni •Egy mai átlagos IT fejlesztés összköltségének 10-15% megy a biztonságra!!!

Eszközök

•Ne felejtsük el: az eszköz csak eszköz, nem cél! •Az eszközöket a kockázatok csökkentésére használjuk •Új eszköz = új kockázat! •Ne felejtsük, egy eszköz nem csak megelőz, de észrevesz és javít is (PreDeCo elv)! •Az eszközök együttesen alkotják a rendszert az előírásokkal és az azt betartó emberekkel •Gondos tervezés nélkül szétesik ez a kényes egyensúly

Eszközök •Egy pénzintézetnél a határvédelmi eszközök legalább annyira fontosak, mint •a naplózás, •a mentés, •a hibatűrés, •az IDS, •a jogosultságkezelés, •a kriptográfia •az erős autentikáció... •Még egyszer: nem az eszköz a lényeg, hanem az, hogy milyen kockázatot csökkent!

Emberek •Emberek nélkül nincs rendszer •Egy banki (vagy akármilyen) szervezetben informatikai szempontból három embertípus van: •Aki csinálja (informatikusok) •Aki felügyeli (menedzsment, területi vezetők) •Aki használja (minden felhasználó) •A három embetípus sok különböző fenyegetést jelent a rendszerre nézve •Az információbiztonsági felelősnek ezért mindenhez értenie kell! •Igazi multidiszciplináris területről beszélünk

Emberek

Ellenfelek •Ha minden nyugodtnak látszik, kezdjünk el gyanakodni! •Ahol pénz van, ott mindig megjelennek azok, akik szeretnék ezt a pénzt valahogy megszerezni •A biztonsági folyamat része az, hogy folyamatosan ellenőrizni kell a védelmi intézkedések hatékonyságát •Ezekkel az auditokkal lehet az ellenfeleket távol tartani •Egy szakember számára az egyik legfontosabb inspiráció az, hogy minél hamarabb felnőjön a támadóhoz

Összefoglalás •Amikor egy rendszer 7/24 üzemmódban működik, készüljünk fel a legrosszabra! •Ha ez a rendszer ráadásul az internetről is elérhető, szorozzuk meg kettővel a legrosszabbat! •100%-os biztonság nincs, ezt ne is várjuk el •Ami reálisan elvárható, hogy nagy baj ne történjen •Erre kell az információbiztonságnak készülnie

Köszönöm.