Az információbiztonság kérdései az e-közigazgatásban Szerző Dátum Az információbiztonság kérdései az e-közigazgatásban Mottó : „Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint.” Cím
Alapfogalmak tisztázása Kialakulás és fejlődés áttekintése Tartalomjegyzék Alapfogalmak tisztázása Kialakulás és fejlődés áttekintése Szabványosítási környezet Jogszabályi környezet Információbiztonsági Irányítási Rendszer (ISMS) Dokumentálás Információs vagyon felmérése Kockázatkezelés Terület és berendezések védelme Elektronikus és nem elektronikus adatok kezelése Hozzáférés-ellenőrzés Kommunikáció Üzemeltetés Szolgáltatások folytonosságának biztosítása Információtechnológia megoldások Siemens megoldások Összefoglalás Átgondolandó tanácsok 04.04.2017
Alapfogalmak tisztázása/1 Információ = értelemmel bíró adat Információ = adatok tudatos kezelése Információ = érték Információs vagyon = szervezet vagyonának része: adatok, tudás, IT-rendszerek,adathordozók, kommunikáció, személyzet Adat = értelmezhető, de nem értelmezett ismeretelem Adathordozó = adatok strukturált feldolgozására, megőrzésére és tárolására alkalmas fizikai/kémiai/biológiai anyag/rendszer Adatvédelem = adatvesztés elleni védelem, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Adatbiztonság = illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. 04.04.2017
Alapfogalmak tisztázása/2 IT biztonság = rendelkezésre állás + technológia kezelés Biztonsági/védelmi szint = tudatos kockázat vállalás Veszélyforrás = biztonsági szint negatív változását okozó tényező Kockázat = információhiány Kockázati érték = bekövetkezési valószínűség * kárérték Védelmi politika = célok, stratégia, elkötelezettség, eszközök meghatározása ISMS = Information Security Management System IBIR = Információbiztonsági Irányítási Rendszer IVIR = Információvédelmi Irányítási Rendszer 04.04.2017
Alapfogalmak tisztázása/3 Információbiztonság Bizalmasság, annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás, annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges. 04.04.2017
Alapfogalmak tisztázása/4 Számítógép központok Személyes beszélgetések Telefon- beszélgetések Dokumentumok papírok Fóliák, előadások Nyomtató, Szkanner, Fax, Telex, Teletext Adathordozók Laptop, Notebook, PDA PC, WS, DSS Munkahelyek, Informatikai oszt. Hálózatok, LAN WAN MAN Intranet, Internet Flash Card Microfish, Faxtekercsek, … Információhordozók Digitális kamera 04.04.2017
Alapfogalmak tisztázása/5 Veszélyforrások Forrás: Informatikai Tárcaközi Bizottság 12. sz. ajánlása: Informatikai rendszerek biztonsági követelményei, Miniszterelnöki Hivatal, Budapest, 1996, 1.0. verzió 04.04.2017
Az emberi tényező – a leggyengébb láncszem Motivációk: Haszonszerzés Bosszú Irigység Sértettség Felindultság Virtus Egyéb okok: Tudatlanság Képzetlenség Alkalmatlanság Ellenséges magatartás Gondatlanság Kényelem A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni. 04.04.2017
Példák súlyos üzemzavart előidéző okokra Tűz, víz, strukturális károsodás, Szabotázs, lopás, Robbanás, baleseti károsodás, Ipari tevékenység, Hardver, szoftver, hálózati hiba, Adatvesztés, Hozzáférés vesztés, Környezeti berendezés hibája 04.04.2017
Kialakulás és fejlődés áttekintése/1 1960-70: Kötegelt feldolgozású rendszereknél az információ védelme a minősített dokumentumok kezeléséhez használt hagyományos módszerek kiterjesztésével történt 1970: Új dimenziót hoz be az erőforrás-megosztásra képes (pl. time- sharing) rendszerek megjelenése - egyszerre több felhasználó, több program férhet hozzá az információkhoz 1972: Az első követelményrendszerek nyílt, többszintű, megbízható számítástechnikai rendszerek létrehozására 1979: Program megbízható számítógéprendszerek elterjedésének elősegítésére – a védelem értékelésének fokozatos előtérbe kerülése 1980: Az életciklus-szemlélet megjelenése az informatikai rendszerek védelmében 04.04.2017
Kialakulás és fejlődés áttekintése/2 1983-85: Számítógéprendszerek védelmének értékelési szempontjai - más néven az „Orange Book” (TCSEC) megjelenése az USA-ban, Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, National Compute Security Center 1990-93: A biztonságértékelés nemzeti megközelítéseinek elburjánzása Information Technology Security Evaluation Criteria, ITSEC, EU, 1991 Canadian Trusted Computer Product Evaluation Criteria, CTCPEC, Canada, 1993,Federal Criteria, USA, 1993 1995-99: Brit szabvány az információvédelem irányítására Information Security Management Systems, BS 7799, Part 1- Code of Practice (1995), Part 2 – Specification (1999) 04.04.2017
Kialakulás és fejlődés áttekintése/3 2003-5: Nemzetközi megállapodás az IT rendszerek és termékek közös értékelési szempontjaiban – Common Criteria Evaluation criteria for IT Security, ISO/IEC 15408 Parts 1-3 szükséges műszaki tulajdonságok egyoldalú „kinyilatkoztatása” (TCSEC) helyett rugalmasabb megközelítés (Security Target – biztonsági előirányzat) 2000-5: Nemzetközi megállapodás az információvédelem irányítási rendszerében Information Security Management Systems, ISO/IEC 17799 (Guidelines, 2000- 2005), ISO/IEC 27001 (Requirements, 2005) 2004-5: Nemzetközi megállapodás az IT-szolgáltatás irányítási rendszerében IT Service Management, ISO/IEC 20000, Part 1-2, 2005 04.04.2017
Szabványosítási környezet ISO 27001 ISMS ISO 27004 ISMS mérés ISO/IEC 20000 ITIL ISO 13335-2 IS Kockázatkezelés Forrás: Krauth Péter: Információbiztonsági szabványok fejlődése az elmúlt időszakban (avagy az 17799-s esete a 13335-el), MMT előadása, Budapest, 2003.05.29 04.04.2017
Jogszabályi környezet/1 Jogszabályok céljai a következők: Az információnak, mint vagyoni értéknek a megőrzése. Az ismerettel rendelkező körön kívüli jogosulatlan előnyhöz jutás megakadályozása. A ismerettel rendelkező vagy azon kívül eső körből eredő titoksértés elkövetésének feltárása, megállapítása. A titoksértő személyek leleplezése valamint a cselekmények szankcionálása, munka- és büntetőjogi eszközökkel. Az információbiztonság kérdésköre számos ponton kapcsolódik a joghoz és az etikához, illetve sérthet meg jogi és/vagy etikai szabályokat: Gondatlanság; Szándékos rongálás; Illetéktelen hozzáférés, elérés; Számítógépes bűnözés; Elektronikus adatcsere; Aláírás-hitelesség, elektronikus aláírás; Szerzői érdekek. 04.04.2017
Jogszabályi környezet/2 1992. évi LXIII. Tv.: a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1992. évi LXVI. Tv.: az állampolgárok személyi adatainak és lakcímének nyilvántartásáról, egységes szerkezetben a végrehajtásáról szóló 146/1993. (X. 26.) Korm. rendelettel 1995. évi CXIX. Tv.: a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről 1995. évi LXV. Tv.: az államtitokról és a szolgálati titokról 1995. évi LXVI. Tv.: Köziratok, köz- és magánlevéltári anyagok védelme 1996. évi LVII. TV.: a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról 1996. évi CXII. Tv.: banktitok 1996. évi CXI. Tv.: értékpapírtitok 1997. évi XLVII. Tv.: az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 1998. évi VI. Tv.: az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről 04.04.2017
Jogszabályi környezet/3 1999. évi LXXXIV. Tv.: a közúti közlekedési nyilvántartásról 1999. évi LXXII. Tv.: a polgárok személyi adatainak kezelésével összefüggő egyes törvények módosításáról 1999. évi LXXVI. Tv.: a szerzői jog védelméről 2001. évi XXXV. Tv.: az elektronikus aláírásról 2001. évi CVIII. TV.: az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 2003. évi C. Tv.: az elektronikus hírközlésről 2004. évi CXL. Törvény KET 17§, 172§ f. 2004. Évi XXII. Tv.: befektetők és befektetések védelme A biztonsági okmányok védelmének rendjéről szóló 86/1998. (VI.14.) Kormány rendelet, amely a vállalkozói igazolvánnyal bővítette a jogosultságokat igazoló okmányok körét. Az Internettel összefüggő adatkezelések egyes kérdéseiről szóló adatvédelmi biztos ajánlásai. 04.04.2017
Jogszabályi környezet/4 Büntetőjog (Btk) információbiztonsággal foglalkozó fejezetei: Visszaélés személyes adattal – 177/A. § Visszaélés közérdekű adattal – 177/B. § Magántitok jogosulatlan megismerése – 178/A. § Üzleti titok megsértése – 300. § Banktitok megsértése – 300/A-B. § Számítástechnikai rendszer és adatok elleni bűncselekmény 300/C. § 04.04.2017
Jogszabályi környezet/5 Adatvédelmi törvény - Alapelvek Célhoz kötöttség Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához: elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Adatminőség felvétele és kezelésük tisztességes és törvényes; pontosak, teljesek és ha szükséges időszerűek; tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Adatvédelem – adatbiztonság Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. (Az adatkezelés minden szereplőjének!) 04.04.2017
Jogszabályi környezet/6 A személyes adat fogalma Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel kapcsolatba hozható adat, illetve az adatból levonható, az érintettre vonatkozó következtetés. Az adat személyes jellege addig állapítható meg, amíg kapcsolata az érintettel helyreállítható. A személyt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. 04.04.2017
Jogszabályi környezet/7 Mi minősül adatkezelésnek? Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége. Adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése,valamint az adatok további felhasználásának megakadályozása. Adatfeldolgozás: technikai műveletek végrehajtása az adatokon. 04.04.2017
Jogszabályi környezet/8 A különleges adatok faji eredet, nemzeti és etnikai kisebbséghez tartozás, politikai vélemény vagy pártállás, vallásos vagy más világnézeti meggyőződés az érdek-képviseleti szervezeti tagság egészségi állapot, a kóros szenvedélyre, a szexuális élet, bűnügyi személyes adat 04.04.2017
Jogszabályi környezet/9 A jogosulatlan adatkezelés Tájékoztatást kérhet személyes adatai kezeléséről. Kérheti személyes adatainak helyesbítését, törlését. (Jogszabályban elrendelt adatkezelések esetén nem áll az érintett rendelkezésére.) Az adatvédelmi nyilvántartásba betekinthet, (feljegyzést készíthet és kivonatot kérhet). Tiltakozhat személyes adatának kezelése ellen. Bírósághoz fordulhat. Kártérítést követelhet. 04.04.2017
Jogszabályi környezet/10 Adatvédelmi felelős Nagy állami, pénzügyi, távközlési adatkezelőknél kötelező. Feladatai: 1) közreműködik adatkezelés kialakításában; 2) ellenőrzi szabályok betartását; 3) kivizsgálja az adatkezelési panaszokat; 4) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot; 5) vezeti a belső adatvédelmi nyilvántartást; 6) adatvédelmi oktatások tervezése, végrehajtása, felügyelete. 04.04.2017
Információbiztonsági Irányítási Rendszer (ISMS) Információvédelmi politika Védelmi szervezet Az információvagyon osztályozása és kezelése Személyekkel kapcsolatos védelem Fizikai és a környezeti védelem Kommunikáció és működés irányítása Hozzáférés szabályozása Rendszerek fejlesztése és karbantartása Folyamatos működés biztosítása Megfelelőség 04.04.2017
Információbiztonsági Irányítási Rendszerek dokumentációja az információbiztonsági (vagy információvédelmi) politika, az ISMS alkalmazhatósági nyilatkozata, a információbiztonsági (vagy információvédelmi) irányítási kézikönyv, a kockázat elemzési és kezelési eljárás szabályozása (ez lehet a kézikönyv integrált részei is), az üzleti folytonossági terv és a katasztrófa utáni visszaállítási terv (BCP = business continuity plan és a DRP = disaster recovery plan), a szükséges folyamatok eljárási utasításai (ezek lehetnek a kézikönyv integrált részei is), egyéb szabályok vagy előírások, a szükséges feljegyzések és bizonylatok formanyomtatványai. 04.04.2017
Információs vagyonleltár elkészítése/1 Csoportmunkában közösen felmérik és értékelik az egyes vagyontárgyakat. A főbb lépések a következők: Vagyonleltár felvétele (minden számba vehető, fontos, információs vagyontárgy rendszerezett felsorolása) Osztályozási irányelvek meghatározása (ez jelenti az adott információ érzékenységét – kritikusságát, így ez szabja meg a szükséges védelmi szintet is; eldöntés üzleti elvek, fontosság alapján; osztályokhoz rendelhetők védelmi szintek, szabályok, …) Vagyonleltár elemeinek (vagyontárgyaknak) besorolása a definiált osztályokba Ezek alapján határozhatóak meg, mely vagyontárgyakra kell a kockázatkezelés során összpontosítani! 04.04.2017
Információs vagyonleltár elkészítése/2 Vagyonelemek feltérképezésének módja: Folyamatok szerinti megközelítés Kiindulási alap a vállalat folyamatainak feltérképezése, és az ahhoz kapcsolódó információk, adathordozók és adatfeldolgozó és továbbító berendezések kigyűjtése. Telephely / szervezet szerinti megközelítés Kiindulási alap a vállalat telephelyei, helyiségei (pl. szervezeti egységek működési helye szerint), és az ott található IT és nem IT alapú adathordozók és információk kigyűjtése. Adat alapú megközelítés Kiindulási alap a vállalat adatainak, adatbázisainak összegyűjtése, majd az azokhoz kapcsolódó adathordozók, eszközök és hozzáférések kigyűjtése. 04.04.2017
Kockázati érték = bekövetkezési valószínűség * kárérték Kockázatkezelés Kockázati érték = bekövetkezési valószínűség * kárérték Célja = a bekövetkezési valószínűség csökkentése és/vagy a veszélyforrás kiküszöbölése és/vagy az okozott kár nagyságának korlátozása, csökkentése". Módszertana = nincs egy egységes jól kiforrt módszer Folyamata = az ábra mutatja Tapasztalatok Amilyen hamar lehet! Kockázat azonosítása Kockázat értékelése Kockázatok priorizálása Kockázatok minimalizálása Kockázatok felügyelete 04.04.2017
Kockázatkezelés – példa módszertanra/1 04.04.2017
Kockázatkezelés – példa módszertanra/2 04.04.2017
Kockázatkezelés – példa folyamatra/3 1. csoport 2. csoport Szintetizáló csoport Információs vagyon 04.04.2017
Terület és berendezések védelme Információ lehet: nyílt belső használatra titkos Zóna lehet: I-es II-es III-as Beléptető rendszerek: technikai (ellenőrzésű) személyi (ellenőrzésű) és a kettőjük kombinációit. A technikai beléptető rendszerek drága a kiépítésük, szervizelésük és üzemeltetésük érzékenyek, egyéb technikai feltételek meglétére (áramkimaradás, kábelek biztonsága) megtéveszthető nem fárad, és következetes/rugalmatlan A személyi ellenőrzésű beléptető rendszerek megtéveszthető, de képes korrekcióra fáradékony rugalmas/nem következetes 04.04.2017
Hozzáférés-ellenőrzés szabályozása és módszerei Szabályozott kereteket teremtsen: Információk- Hálózatok- Alkalmazások- Fájlok- Programok –hozzáféréséhez A hozzáférési szabályokat, jogokat miden felhasználóra és felhasználói csoportra egyértelműen meg kell adni! A hozzáférés-ellenőrzéseket (logikai, fizikai) együttesen kell átgondolni! Cél a felhasználók egyértelmű, minden kétséget kizáró azonosítása! Módszerei: Tudás” – alapú módszerek, Birtok” – alapú módszerek, Biometria” – alapú módszerek. Naplózni kell: Felhasználói tevékenységeket Meghibásodásokat Változtatásokat Előny Hátrány Támadás Tudás alapú Egyszerű, olcsó Kitalálható Lehallgatás Birtok alapú Erős védelem Másolható, elveszthető Hamisítás Biometrikus Embert azonosít Drága, megtéveszthető Visszajátszás,csonkítás 04.04.2017
Információbiztonsági informatikai megoldások Adat titkosítás (Public Key Infrastructure) Elektronikus aláírás (PKI) Felhasználó azonosítás (PKI) Biometrikus azonosítás Intelligens beléptető rendszerek Intelligens riasztó rendszerek Intelligens felügyelő és figyelő rendszerek SMART CARD alkalmazása 04.04.2017
Információbiztonsági informatikai megoldások - PKI Symmetric Cryptography: Asymmetric Cryptography: A B Secret Key‘ A‘ Secret Key ‚B‘ Secret Key ‚A‘ Secret Key ‚B‘ Data-Integrity (Signatur / MAC) with Secret Key Algorithm: DES, Triple-DES, IDEA (64 - 128 Bit) RC4, RC5 Message Secret Key ‚A‘ (Private Key A) Encryption with Public Key B Algorithm: RSA, DSA, elliptic Curves Secret Key ‚B‘ (Private Key B) Decryption with Private Key B Encryption Public Key A with Private Key A Data-Integrity (Signature) only with Private Key Public (Public Key A, B) 04.04.2017
Információbiztonsági informatikai megoldások – PKI folyamata Public (Public Key A, B) Secret (Private Key A) Hashing Encrypt Message Session Key DES / T-DES Digital Signatur Private Key Sender Public Key Receiver m Plain Message Network Secure Message Smart Card Certifi- cate Secure Direc- tory Trust Center Sender “A” Receiver „B“ 04.04.2017
Információbiztonsági informatikai megoldások – PKI infrastruktúra End-to-End Security 2 1 3 4 Identification/ Authentication Transport-Encryption Content-Encryption Anti-Virus 5 6 8 7 Virtuell Privat Network / VPN Single-Sign-On Firewalls Public Key Infrastruktur / PKI Intrusion Detection 9 User Network Wireline Wireless Internet GSM/ GPRS WLAN WAP WLAN- AP Back End Front End Appli- cation Server Web/ Portal Server DB Server Legacy Systems Intranet DMZ IDS RAS/ Radius FW 04.04.2017
Információbiztonsági Siemens megoldások – IS projekt Organisation Technology Security Policy Organizational- / Systems Concept (Infrastructure, Applications, Roll out, Services) Risk- Scenario Business Scenario Rules Steps towards secure business processes Scenario & Risk Analysis I&C Security Analysis Risk Management Strategy Operation Monitoring Reviews Transfer Road Map Imple- mentation Business Processes 04.04.2017
Információbiztonsági Siemens megoldások – CIE, Olaszország Directory LDAP System ID card Authentication (Keypair generation, chip on-board) Data of the Citizans SSCE Certification Authority (CA) Crytpo Chip supplier Optical Band IPZS Smart Card Mgmt Italian State Mint Munici- palities Belügyminisztérium 04.04.2017
Információbiztonsági Siemens megoldások – CIE, Olaszország The Challenge Protection against forging of official documents. Secure public and e-business transactions Enable e-government services Enable business reengineering of public services The Solution Customer Benefits National PKI infratructure Smart card-based ID-card Hybrid card: Chip and laser stripe for photography and fingerprint (20 Mbytes) Platform for comprehensive new electronic public services 3 Mio. cards today; 40 Mio. 2007 Increased „passive“ security; protection against document forging Increased „active“ security: secure identification of the citizens Secure e-government applications Basic for new public services and comprehensive reengineering of existing public processes. 04.04.2017
Információbiztonsági Siemens megoldások – SIEMENS The Challenge Siemens AG 190 countries, 500 Sites; 420.000 Employees Convincing all involved parties worldwide Integration of a variety of different applications worldwide The Solution Customer Benefits Central Trust Center Service; automated operation Decentralised smart card issuing resp. „soft“ certificates Smart Card contains contactless chip and magnetic stripe (migration strategy) first roll out: 1999 today: 270,000 cards/certificates Secure PKI-services are worldwide available Secure business processes throughout the company Platform for further applications for the employees and business partner „End-to-end“-secure processes on the highest security level 04.04.2017
Információbiztonság és -védelem Összefoglalás Információbiztonság és -védelem 04.04.2017
Átgondolandó tanácsok Biztonságot utólag „adni” egy rendszerhez drágább és kevésbé hatásos, mint kezdetektől a rendszerrel együtt tervezni Nincs 100 %-os biztonság (lásd a mottót) Biztonsági lyukak voltak, vannak és lesznek … A hamis biztonságérzet vagy a túlzott veszélyérzet egyaránt káros Jobb megelőzni, mint javítani Az algoritmikus komplexitás valódi akadályt jelent Elméletben megoldhatatlan problémára a gyakorlatban működő megoldás létezhet A jelszavak titkosságát feltételezni illúzió A redundancia nem feltétlenül növeli a megbízhatóságot Ne küldj tovább sok címzettnek kéretlen levelet! Egy rendszer mindig annyira erős, mint a leggyengébb láncszeme Mindenki célpont az Interneten Megalapozott kriptográfia erős védelmet nyújt – a megalapozatlan bizonytalant 04.04.2017
Kérdezz - felelek http://www.siemens.com http://www.bs7799.hu http://www.itb.hu/ http://www.biztostu.hu/ 04.04.2017
Köszönöm a figyelmet! Veress András andras.veress@siemens.com Az előadás letölthető: www.siemens.hu/akademia Veress András andras.veress@siemens.com http://www.pse.siemens.hu 04.04.2017