Az adatbiztonság fizikai biztonsági vetülete

Slides:



Advertisements
Hasonló előadás
Termelési folyamatok folytonossága
Advertisements

A vagyonvédelemtől a katasztrófavédelemig.
Információbiztonság irányítása
Az elektronikus közigazgatási rendszerek biztonsága
Jövő Internet technológiák és alkalmazások kutatása Magyarországon A Magyar Tudomány Hónapja Jövő Internet technológiák és alkalmazások kutatása Magyarországon.
A BIZTONSÁGTECHNIKA ALAPJAI
katasztrófa-veszélyeztetettsége Dr. Tóth Ferenc tű. dandártábornok
Információbiztonság vs. informatikai biztonság?
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
CEP® Clean Energy & Passive House Expo CEP® Clean Energy & Passive House Expo II. Országos Villanyszerelő Konferencia Meglévő ingatlanok smartosításának.
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Verfasser · weitere Angaben
© Copyright IBM Corporation 2005 Kockázatfelmérés (első szintű)  az adatközpontok létesítésében többéves jártassággal rendelkező szakemberek segítségével.
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
Szoftverminőség biztosítása
Magyar Információs Társadalom Stratégia (MITS) – egészségügyi és szociális vonatkozások: Az Egészségügyi és Szociális Ágazati Információs Stratégia (MITS-ESZ)
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Biztosításfelügyeleti szakmai konzultáció
Szabványok és ajánlások az informatikai biztonság területén
Vezetői Információs Rendszer Kialakítása a Szegedi Tudományegyetemen Eredmények - Tapasztalatok Vilmányi Márton.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
1 Informatikai Szakképzési Portál Adatbázis kezelés Alapfogalmak.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
A számítógépes adatbiztonság és adatvédelem
Kormányzati lépések a közigazgatási korrupció csökkentéséhez Horváth Viktor főosztályvezető.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Ipari katasztrófáknyomában 6. előadás1 Mélységi védelem Célok: Eszközök meghibásodása és emberi hibák esetén bekövetkező meghibásodások kompenzálása A.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Biztonságos ország – biztonságos szolgáltató
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Közigazgatás- technológiai kérdések Dr. Budai Balázs Benjámin.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Tűzfal (firewall).
77/ Követelmények és a gyakorlat
Back office a közigazgatásban Dr. Budai Balázs Benjámin.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Adatbiztonság egy évszázadig Vinczéné Géczy Gabriella Országos Nyugdíjbiztosítási Főigazgatóság.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Úton az elektronikus levéltár felé
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Előadás másolata:

Az adatbiztonság fizikai biztonsági vetülete Balogh Tamás – Persecutor Kft.

Tematika Informatikai fizikai biztonság Nemzetközi és hazai ajánlások a témában Mit jelenthet az etikus hackelés a fizikai biztonság területén?

Információvédelem egy lehetséges módszertana Elektronikus információvédelem Fizikai védelem Személyi védelem Elhárítás és hírszerzés Dokumentum védelem

A fizikai biztonság vonatkozásában Megközelítés Bizalmasság Sértetlenség Rendelkezésre állás ... A fizikai biztonság vonatkozásában

Informatikai fizikai biztonság - passzív tűzvédelem - páratartalom szabályozás - vízbetörés elleni védelem - betörés/illetéktelen hozzáférés elleni védelem - vandalizmus elleni védelem - EMC védelem - porvédelem - robbanás, terrorveszély elleni védelem Technikai biztonság biztonságos energiaellátás és elosztás géptermi és technikai területek hűtése, extrém hűtése automatikus üzemfelügyelet aktív tűzvédelem kábelmenedzsment kommunikációs hálózat fizikai biztonsága Logikai biztonság hozzáférés szabályozás Integrált elektronikus védelmi (behatolás, beléptető és CCTV) rendszerek védelmi rendszerek log elemzése fizikai és IT környezet változáskezelés karbantartás és hibaelhárítás menedzsment

A „Támadó” kockázatelemzése A „Támadó”, céljai ismeretében ugyanúgy végez kockázatelemzést, mint a védekező fél. A hagyományos (fizikai) támadás azonosítási kockázata ugyan jellemzően magasabb, mint a szoftveres támadásé, azonban a szükséges felkészültség, illetve a potenciálisan okozható kár figyelembe vételével már nem mellőzhető széles körben. Ugyanis: a legtöbb számítógépterem közterületről akár célzottan is támadható viszonylag kevés információ birtokában, a támadást sok esetben már kézi szerszámokkal, eszközökkel is végre lehet hajtani, a számítógéptermi fizikai kiszolgáló infrastruktúra (pl.: transzformátor, klíma kültéri egységek, diesel, stb.) pótlási és javítási ideje akár heteket is igénybe vehet!

Nemzetközi és hazai számítógéptermi ajánlások Hazai ajánlások KIB 28 Követelménytár – Tervezés IT Biztonsági Szempontból (ez tartalmazza viszonylag részletesen a fizikai biztonsági követelményeket) Nemzetközi ajánlások ANSI TIA/EIA 942 (amerikai ajánlás) BITKOM (német BSI ajánlás) TÜV IT (kész géptermek osztályozása) ANSI TIA/EIA 942

Ajánlások használhatósága A nemzetközi ajánlások alapvetően a rendelkezésre állási elvárások (technikai biztonság) mentén sorolják osztályba a védelmi követelményeket, ami azonban sosem lehet teljes körű (bizalmasság, sértetlenség osztályozott figyelembe vétele hiányzik). A géptermi ajánlások nem követik le az új informatikai architektúrák (virtuális szerver, private cloud stb.) megjelenésének hatását. Az ajánlások nem adnak útmutatást a különböző IT biztonsági területek kockázat alapú súlyozására (erre vonatkozóan a best practice is erősen hiányzik) Nincs egyértelmű útmutatás arra vonatkozóan, hogy az informatikai fizikai biztonság melyik szervezeti egységhez tartozik (kockázatkezelés, budget stb. oldalról) A magyar adoptáció adós marad a biztonsági osztály szerinti részletes differenciálással.

Etikus hackelés és a fizikai biztonság IT fizikai biztonsági események: jellemzően alacsony valószínűségű események jellemzően magas potenciális kárérték jellemzi nehezen szimulálhatóak magas a „heves reakció” esélye és addícionális kárértéke potenciálisan veszélybe kerülhet a szimulációt végző személy jogilag még nehezebben kezelhető, mivel a fizikai biztonsági események közelebb állnak a törvénykezés értelmezéséhez. Az etikus hackelés eszköze az IT fizikai biztonság területén általános gyakorlatként csak erősen korlátozottan alkalmazható. Jelentősége elsősorban a kiemelt biztonsági besorolás esetén van.

Etikus hackelés és a fizikai biztonság A informatikai fizikai biztonság eszközei között a közigazgatásban az etikus hacking helyett az alábbi eszközök alkalmazását javasoljuk: szabványosság, ajánlási megfelelőség érvényesítése beszerzéseknél, fejlesztéseknél, működési kockázatelemzésnél rendszeres és szabályozott éles havária tesztelés a kritikus rendszerelemekre nézve az informatikai rendszer módosításával automatikusan és szabályozottan együtt végzett fizikai kiszolgáló infrastruktúrára vonatkozó változáskezelés átfogó, biztonsági szempontú audit.

Néhány informatikai fizikai biztonsági esemény felvételről…

Amikor a lehetetlennek vélt esemény mégis megtörténik… A nem megfelelően méretezett és megvalósított géptermi határoló szerkezetre fordított összeg ablakon kidobott pénz, mivel valójában nem csökkenti a kockázatokat.

Cloud computing…

Vízbetörés…

Köszönöm a figyelmet! 15