Hálózati biztonág Szabályozások

VPN Virtual Private Network  Virtuális magán-hálózatok  A megbízhatóság kiterjesztése a fizikai zónán kivülre Cél:  Hitelesítés  Bizalmasság  Integritás

VPN technológiák Miért van rá szükség?  SSL, TLS nem megoldás? Host – Host, illetve Net-Net kapcsolat  Nem felhasználó függő Elterjedtebb protokolok:  IPSec VPN (IETF szabvány)  PPTP/L2TP  „SSL VPN”

SSL VPN Biztonságos távoli hozzáférés, egyszerűen! Böngészön keresztül használható  SSL/TLS technológiával védett  JAVA, ActiveX alapokra épülő megoldás  Alkalmazások elérése böngészőn keresztül Másik SSL VPN megoldás  IPSec-hez hasonló megoldás SSL-be ágyazva pl: OpenVPN

További távoli hozzáférések Szerverek terminál elérése  Secure Shell => SSH  Terminál Szerver => Remote Desktop (RDP)  Citrix MetaFrame ICA  Régebben: telnet, rlogin, remote-X

Szabályozások Törvényi szabályozások  SOX, GLBA, FIPS Iparági/ágazati szabályozások  PCI, Basel II, BS7799 Belső kontrolok Nemzetközi standard-ok  TCSEC, ITSEC, CC, ITIL, COBIT „Elméleti tanszék”  Különböző szervezetek ajánlásai best practice

Audit Szervezet működésének ellenőrzése  pénzügyi, biztonsági, IT, jogi stb. szempontból  Törvényi előírás, pl: könyv-vizsgáló Szabályok betartatásának vizsgálata Folyamatos ellenőrzés évről-évre Külső-belső audit Big five – big four

A SoX-ról általában Hivatalosan: „Public Company Accounting Reform and Investor Protection Act of 2002” Elõzmények:  Securities and Exchange Act  Foreign Corrupt Practices Act  Gramm-Leach-Bliley Act Enron, WorldCom botrányok után Célja: a pénzügyi jelentések átláthatóságának, megbízhatóságának nõvelése, valamint a befektetõk „megnyugtatása”  Büntetõjogi felelõség a menedzsment részérõl!  Külön külsõ SoX auditor!

SoX és az IT kapcsolata: 404 „Management assesment of internal controls”  Biztosítani kell a belsõ kontrolok mûködését a pénzügyi jelentésekkel kapcsolatban  Riportolni kell a belsõ kontrolok megbízhatóságát, megfelelõ mûködését minden évben Felügyeleti szervek:  Public Company Accounting Oversight Board  United States Securities and Exchange Commission (SEC) Bármilyen módszertan használható!  Hivatalos ajánlás: COSO (FCPA alapján)

SEC: Definition of Internal Control transactions are executed in accordance with management's general or specific authorization transactions are recorded as necessary to maintain accountability for assets access to assets is permitted only in accordance with management's general or specific authorization the recorded accountability for assets is compared with the existing assets at reasonable intervals

Control Objectives PCAOB general controls:  Program Development  Program Changes  Computer Configurations  Access to programs and data A cél nem a „risk-free” környezet kialakítása, hanem a „risk” folyamatos csökkentése COSO által definiált területek:  Control Enviroment, Risk Assessment, Control Activities, Information and Communications, Monitoring

Programok, eszközök TCSEC – ITSEC – Common Criteria  DoD Orange Book D, C, B, A szintek  CC Evaluation Assurance Level 1-7 Protection Profile, Security Target alapján FIPS (Federal Information Processing Standard)  pl: FIPS-140 cryptográfia modulokról

(El)ismert szervezetek ISACA  Information Systems Audit and Control Association  CISA/CISM viszgák  COBIT ISC2  International Information Systems Security Certification Consortium  CISSP