Informatikai biztonság rendszerszemléletben Pannon Egyetem MIK – KÜRT Zrt. Informatikai biztonság rendszerszemléletben Előadó Dr. Remzső Tibor www.kurt.hu © 2007 KÜRT Computer

Szakmai tapasztalatok Információs rendszerek, adatbázis kezelés Ügyviteli, üzleti rendszerek fejlesztése, BPR Nagy országos információs rendszerek kidolgozása (projekt menedzsment) Informatikai minőségbiztosítás (Bootstrap szakértő, ISO rendszerek kidolgozása) e-Business megoldások kidolgozása e-Learning alkalmazások (Leonardo da Vinci projektek) Informatikai biztonsági rendszerek (kockázatkezelés, integrált biztonsági alkalmazások)

1000 mérföld/gallon fogyasztás 25 dolláros autók 1000 mérföld/gallon fogyasztás Bill Gates, Microsoft

Napi kétszeri baleset történne ismeretlen okból Új autót kellene vásárolni, ha a közlekedési jeleket újrafestik Minden új autónál újra kellene tanulni a vezetést Az autó rendszeresen, ismeretlen okból lemenne az útról Bizonyos manővereknél az autó megtagadná az utasítást Az autó rendszeresen, minden ok nélkül kizárná a vezetőjét A légzsák kioldás előtt megkérdezné: „Biztos benne?” Rodgers, General Motors

Miről lesz szó? Az informatikai biztonság Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

Miről lesz szó? Az informatikai biztonság Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

Két dolog biztos az életben A halál Az adófizetés /Thomas Jefferson/ Az adatvesztés! /KÜRT/

Mi a helyzet manapság az informatikával? Informatikai biztonság/bizonytalanság 5 ezer programsoronként legalább egy hiba Szoftver upgrade: Ismert hibákat ismeretlenekre cserélünk le.

Biztonságos rendszer? Murphy: „Ami elromolhat, az el is romlik.” Nincs százszázalékos biztonsággal működő rendszer! Vajaskenyér,

Mi a helyzet manapság az informatikával? Informatikai robbanás Világhálózat Elektronikus bank Elektronikus kereskedelem Hadviselési eszköz Fehérgalléros bűnözés Terrorizmus eszköze Programozott kártevők

Az informatikai rendszerek fenyegetettségei kihathatnak: a környezeti infrastruktúrára a hardverekre a szoftverekre az adathordozókra az adatokra a kommunikációs csatornákra az emberekre a dokumentumokra

Az emberi tényező Motivációk haszonszerzés bosszú irigység sértettség felindultság virtus tudatlanság képzetlenség alkalmatlanság ellenséges magatartás gondatlanság kényelem

A lehetséges károk Közvetlen károk Adatvesztés, az adatok visszaállításának költségei Rendszerleállás, kiesések az üzleti folyamatokban Hardver és szoftverkárok, helyreállítási költségek Bizalmas információk illetéktelen kezekbe jutása Áttételes károk Ügyfelek bizalmának megrendülése Image romlása Dolgozói elégedetlenség pl UBS (U

Nem minden adatvesztés állítható helyre! Nem menthető 22,6% Menthető 77,4% Forrás: KÜRT Computer, 1998-2002

Miről lesz szó? Az informatikai biztonság Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

Az informatikai biztonság aktualitása és szükségessége Az adatok egyre inkább elektronikus formában kerülnek tárolásra A szervezetek informatika nélkül működésképtelenek Az informatikai függőség egyre nagyobb Az informatikai rendszerek fenyegetettsége kritikus Létszükséglet a szolgáltatások folytonossága és az adatok bizalmas kezelése

Az informatikai biztonsági szabályozás fontossága A szervezetekre és üzleti folyamataikra ható kockázati tényezők bekövetkezési valószínűsége és kárpotenciálja változó. A kockázati tényezők kiküszöbölése drága, és sokrétűségük miatt nem mindig lehetséges. Olyan megoldásra van tehát szükség, amely a kockázati tényezők azonosításával, hatásuk felmérésével adja meg a költséghatékony megoldást.

Az emberi tényező Informatikai KRESZ? Néhány szép emberi tulajdonság látható a dián…… Példa: AST disztribúció idejéből származik… az ügyfél megköszönte, hogy ilyen csudálatos számítógépet szállítottak neki, amin még beépített pohártartó is van… Vagy az ügyfél füstöt érzett, felhívta a szerviz hot-line-t, mondták kapcsolja ki a gépet, még akkor is érezte, erre mondták neki, hogy menjen ki a szobából a folyosóra és nézzen körül. Ott volt tűz…

KOCKÁZATELEMZÉS Nincs százszázalékos biztonsággal működő rendszer! Ha nincs 100%-os biztonság, mekkora az elfogadható? KOCKÁZATELEMZÉS Kívánatos, hogy legyen információm a rendszer működési biztonságáról. Ismernem kell a védendő “eszköz” értékét. Lényeges, hogy tudjam a biztonság növelésének a költségeit.

Mit kell védeni, mitől, és mindez mennyibe kerül? eszközök (gépek, hálózatok, programok), input/output adatok és adatbázisok Mitől? külső és belső hatások (vírus, tűz, emberi mulasztás, szándékos károkozás, rendszerelem meghibásodás) Mennyibe kerül? költségek - peremfeltétel vagy célfüggvény

Mindent vagy semmit, esetleg van középút? Ami értékesebb, az fokozott védelmet igényel. Az optimális biztonság szelektív. Meny- nyiért? Mit?

Biztonsági rés A biztonsági rés Biztonsági szint 100 %-os biztonság Rögzített, elérendő biztonsági szint Biztonsági rés A biztonság pillanatnyi szintje Az IT biztonságára fordított összeg

Miről lesz szó? Az informatikai biztonság Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

Terminológia – Informatikai biztonság Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

Terminológia – Informatikai biztonság Két fő terület Adatvédelem Adatbiztonság

Terminológia - Informatikai biztonság Két fő terület Adatvédelem: Az informatikai rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Adatbiztonság: Az informatikai rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások.

Informatikai alapfenyegetettségek Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk rendelkezésre állását, sértetlenségét, bizalmasságát, hitelességét, illetve az informatikai rendszer működőképességét veszélyeztetik.

Védendő rendszerelemek Tárgyiasult elemcsoportok: környezeti infrastruktúra hardver adathordozók dokumentumok, iratok Logikai elemcsoportok: szoftver adatok kommunikáció Személyi elemcsoport: személyzet, felhasználók, ellenőrök

Hogyan védekezzünk? A biztonság nem teremthető meg pusztán áru és szolgáltatás megvásárlásával. A biztonság a szervezet életébe beépülő, folyamatosan ellenőrzött, karbantartott technológia. … A folyamatos karbantartás szükségességére hadd mutassak példát. …. Tessék, íme az emberi tényező!

Eljárások és utasítások IT ELEM IT RENDSZER Beavatkozás Folyamat- ellenőrzés FOLYAMAT- SZABÁLYOZÁS Eljárások és utasítások ADAT ZAVARÓ TÉNYEZŐK A SZABÁLYOZOTT IT BIZTONSÁGI RENDSZER SÉMÁJA

Követelmények az IT biztonsági rendszerrel kapcsolatban A vállalat működésének veszélyeztetését elfogadható mértékűre csökkenti A szükséges és elégséges jogosultságokat biztosítja Egyértelműen meghatározza a felhasználókat, a programokat és az adatállományokat A felhasználókat egyértelműen felelőssé tudja tenni a számítógépes eseményekért Lehetőséget teremt a visszaélési kísérletek azonosítására és a védekező lépések megtételére Ezek a mondatok fogalmazzák meg az általános, funkcionális ismérveit egy ibr-nek. Mondhatjuk, hogy triviálisak, és igazunk van. Van azonban egy sor olyan szempont, ami ebbe a sorba nem teljesen illeszkedik bele, illetve nem csak a funkciók szemszögéből támaszt igényeket.

Melyek a főbb elvárások? Nemzetközi szabványi háttér A teljes IT rendszer szabályozása Moduláris felépítés Illeszkedés a vállalat meglévő struktúrájába ISO 9000 kompatibilitás Integrálhatóság rendszermenedzsment és workflow rendszerekbe Auditálhatóság

Nemzetközi szabványi háttér Főbb elvárások Nemzetközi szabványi háttér British Standard BS 7799 (ISO 17799) Az ISACA (Information Systems Audit and Control Association) által kidolgozott COBIT (Control Objectives for Information and Related Technology) ajánlás IT Infrastructure Library (ITIL => MOF) Common Criteria 2.1 (ISO 15408) Information technology – Guidelines for the management of IT Security (ISO 13335) Az Informatikai Tárcaközi Bizottság 12. sz. ajánlása

A teljes informatikai rendszer szabályozása Főbb elvárások A teljes informatikai rendszer szabályozása Fontos az átfogó, minden területre kiterjedő szabályozás Ez érvényes néhány, nem közvetlenül az informatikai rendszerhez tartozó területre is

Modularitás, testreszabhatóság Főbb elvárások Modularitás, testreszabhatóság A rendszer egymáshoz kapcsolódó modulokból épül fel A rendszert felépítő modulok külön-külön is életképesek A rendszer egyéni igények szerint alakítható, bővíthető A moduláris felépítésnek hihetetlen előnyei vannak!

Illeszkedés a vállalat meglévő struktúrájába Főbb elvárások Illeszkedés a vállalat meglévő struktúrájába § Megfelelés a hatályos törvények előírásainak ISO 9000 szabvánnyal kompatibilis felépítés Többszintű irányítás lehetősége

Integrálhatóság, automatizálható működés Főbb elvárások Integrálhatóság, automatizálható működés Workflow eszközök, pl.: SAP (workflow) Lotus Notes Rendszer-menedzsment eszközök, pl.: Tivoli Unicenter TNG BMC Patrol HP OpenView

Főbb elvárások Auditálhatóság Megfelelés egy független, nemzetközi szabványokon alapuló audit követelményeinek (COBIT, BS7799) Bizonyos területeken kötelező! (pl.: PSZÁF)

Miről lesz szó? Az informatikai biztonság Miért van szükség informatikai biztonsági szabályozásra Az informatikai biztonsági szabályozás elméleti áttekintése Az informatikai biztonsági szabályozás gyakorlati megvalósítása

Az Informatikai Biztonsági Technológia (IBiT®) Teljeskörű, kockázatelemzést és -kezelést tartalmazó, integrált rendszer, amely a cégek és intézmények teljes informatikai tevékenységét átfogja, szabályozza, előtérbe helyezve az adatvédelmi, adatbiztonsági és üzletmenet-folytonossági szempontokat. Nézzük meg a definíciót, amely röviden és tömören megfogalmazza az IT biztonsági rendszer lényegét, és emellett kiválóan emeli az előadás szárazságát. … teljes informatikai tevékenységét, sőt mint később látni fogjuk, ideális esetben nem csak a szigorúan vett informatikai elemeket kell ideérteni.

IBiT® projekt struktúra Biztonsági rés Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Jelenlegi infrastruktúra fenntartása Vállalati és IT stratégia - Rendszerbővítés Rendszerterv A jövő üzleti folyamatainak kiszolgálása KÜRT Eszközkiválasztás A kívánt biztonsági szint elérése Megrendelő Pályáztatás Implementációs terv Az IBiT® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat-védelem Adat-biztonság IT rendszer folya-matok IT szervezeti folya- matok Audit elő-készítés Implemen-táció Szabályzat-rendszer kialakítása IBiT® bevezetés Oktatás/ Képzés © 2003 KÜRT Computer

Jelenlegi rendszer állapot-felmérése IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése A jelenlegi IT rendszer felmérésének elemei A vállalat és a szervezeti felépítés megismerése Az IT szervezet megismerése és felmérése Az Informatikai Stratégia megismerése Az informatikai rendszer felmérése A vállalati adatstruktúra felmérése A vállalat backup rendszerének felmérése A vállalat vírusvédelmi rendszerének felmérése Az informatikai vészhelyzetkezelés felmérése

Jelenlegi rendszer állapot-felmérése IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Az IT biztonságára fordított összeg Biztonsági szint 100 %-os biztonság Rögzített, elérendő biztonsági szint A biztonság pillanatnyi szintje Biztonsági rés A biztonsági rés

IBiT® projekt struktúra 9 8 6 7 5 3 4 2 1 Kockázati mátrix Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Kockázati mátrix 9 8 6 7 5 3 4 2 1 Fontosság Erőforrás igény

IBiT® projekt struktúra Biztonsági rés Az IT biztonságára fordított összeg Biztonsági szint Biztonsági rés IBiT® projekt struktúra Kocká-zat-elemzés Jelenlegi rendszer állapot-felmérése Jelentés készítés Kockázatkezelés, javaslatok kidolgozása Jelenlegi infrastruktúra fenntartása Vállalati és IT stratégia - Rendszerbővítés Rendszerterv A jövő üzleti folyamatainak kiszolgálása KÜRT Eszközkiválasztás A kívánt biztonsági szint elérése Megrendelő Pályáztatás Implementációs terv Az IBiT® moduljainak struktúrája Keret Katasztrófa elhárítási terv Adat-védelem Adat-biztonság IT rendszer folya-matok IT szervezeti folya- matok Audit elő-készítés Implemen-táció Szabályzat-rendszer kialakítása IBiT® bevezetés Oktatás/ Képzés © 2003 KÜRT Computer

Keret/Frame A szabályozási rendszer felépítése Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv Egy ilyen rendszer kialakításánál alapvető fontosságú szempont, hogy moduljai révén a vállalat minden olyan részét képes legyen lefedni, amelyek hatással lehetnek az IT biztonsági kérdésekre, és egyben megfelelnek a nemzetközi szabványokban és előírásokban foglaltaknak.

A szabályozási rendszer felépítése Adatvédelem Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

A szabályozási rendszer felépítése Adatbiztonság Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

A szabályozási rendszer felépítése IT rendszer-folyamatok IT szervezeti-folyamatok Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

A szabályozási rendszer felépítése Katasztrófa elhárítási terv Katasztrófa elhárítási terv Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Keret/Frame

A szabályozási rendszer felépítése Audit előkészítés Keret/Frame Adatvédelem Adatbiztonság IT rendszer-folyamatok IT szervezeti-folyamatok Audit előkészítés Katasztrófa elhárítási terv

A dokumentumrendszer felépítése Kézikönyv Eljárások gyűjteménye Munka- és vizsgálati utasítások Bizonylati album

Végre megpihenhetünk?

Az informatikai biztonság körfolyamata Bejáratott informatikai biztonsági rendszer Üzemeltetés, fenntartás Változások felmérése Hatékonyság-vizsgálat Módosítási igények meghatározása Új informatikai biztonsági rendszer kidolgozása

Összefoglalás A szervezetek, intézmények informatikai függősége egyre nő 100 %-os biztonság nem érhető el A felsővezetés támogatásának megnyerése nélkülözhetetlen Az adott cég számára optimális megoldás kialakítása Peremfeltételek és célfüggvények figyelembe vétele Megfelelő szabványok és módszertani háttér figyelembe vétele Homogén, moduláris és integrálható rendszer kialakítása Naplózás, dokumentálás és ellenőrzés kritikus jelentőségű Az informatikai biztonsági szabályozás egy körfolyamat

Várom a kérdéseiket! www.kurt.hu www.kurt.hu www.kurt.hu www.kurt.hu © 2007 KÜRT Computer