„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" YYYY. MM. DD Előadás címe TÁMOP-4.1.1.C-12/1/KONV-2012-0005 projekt.

Slides:



Advertisements
Hasonló előadás
Vírusok, kémek és egyéb kártevők
Advertisements

„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Hálózati és Internet ismeretek
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Információbiztonság vs. informatikai biztonság?
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Vírusok, férgek, trójai programok
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
10 állítás a gyerekek internethasználatáról
Számítógépvírusok.
A diákat jészítette: Matthew Will
Az Informatikai biztonság alapjai
6. Előadás Merevítő rendszerek típusok, szerepük a tervezésben
Darupályák tervezésének alapjai
Bevezetés az ebXML-be Forrás: An Introduction to ebXML ebXML and Web Services Practical Considerations In Implementing Web Services Romin IraniRomin Irani.
2004. március eEgészség – Digitális Aláírás Workshop 2004 Március Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,
Szabványok és ajánlások az informatikai biztonság területén
Hálózatkezelési újdonságok Windows 7 / R2
szakmérnök hallgatók számára
Mobil eszközök biztonsági problémái
, levelezés … kérdések - válaszok Takács Béla 2008.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
2006. május 15P2P hálózatok 1 Fóliák a vizsgára: 1. előadás  Bevezető: 11-16, 21,  Usenet: előadás:  Bevezető: 3-8  Napster: 
2006. Peer-to-Peer (P2P) hálózatok Távközlési és Médiainformatikai Tanszék.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Informatika - 1. alkalom Jogi informatika - alapok
Hálózatok.
Szoftverjog és etika, adatvédelem
Malware Elsőfajú malware: vírusok, programférgek, trójai- és backdoor programok, logikai bombák; Másodfajú malware: kémprogramok, betárcsázók, adware,
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
Ingyenes,Multi funkcionális tűzfal szoftver
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
Kártevők a számítógépünkön Vírusok, programférgek és társaik.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Risiko Management System bei maxon motor hungary
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Adatbiztonság, adatvédelem, kockázatelemzés
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Tűzfal (firewall).
avagy a zártság dilemmái
1 Határtalan határvédelem Illés Márton
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
Biztonság kábelek nélkül Magyar Dénes május 19.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Az ISO szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
MALWARE Készítette: Borsi Rebeka. MI AZ A MALWARE? Angol mozaikszó → MALicious + softWARE Mindig adatcserével jönnek Típusai: trójai, vírus, féreg, kémprogram,
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Vírusok. Számítógépes vírusok 1. Számítógépvírus fogalma: Olyan speciális, önmagát szaporítani képes program, amely más programokba beépülve különböző.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az Informatikai biztonság alapjai
Kiberbiztonság adatdiódával
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
GDPR és a szikla 1. személyes felelősség megvalósítása
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" YYYY. MM. DD Előadás címe TÁMOP C-12/1/KONV projekt „Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése Szerző: Dr. Németh L. Zoltán TÁMOP C-12/1/KONV projekt

Dr. Németh L. Zoltán 1. Előadás2. Előadás Kockázatmenedzsment

Az informatikai biztonság alapvető céljai 3 1. C = Confidentiality (bizalmasság) Csak azok érhessék el az információt, akik arra jogosultak. Pl. titkosított adattovábbítás és tárolás. 2. I = Integrity (sértetlenség) Védelem az adatok jogosulatlan módosítása ellen, pl. beszúrás, törlés, helyettesítés. Pl. adatbáziskezelés, pénzügyi tranzakciók lebonyolítása. 3. A = Availability (rendelkezésre állás) Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl. webserver, naplózás. E három legalapvetőbb cél elérése és fenntartása jelenti az informatikai biztonságot. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Az informatikai biztonság területeinek csoportosítása 4 Fizikai védelem: zárak, beléptető rendszerek, tűzjelző rendszerek, biztonsági kamerák és őrök stb. Logikai védelem: titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, stb. Adminisztratív védelem: kockázatmenedzsment, biztonsági szabályzatok, szabványok és ajánlások, törvényi szabályozás. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Néhány példa biztonsági kontrollra 5 1. Biztonsági szabályzatok 2. Biztonsági mentések 3. Vészhelyreállítási tervek 4. Titkosítás 5. Elektronikus aláírás 6. Tűzfalak 7. Zárak 8. Beléptető rendszerek 9. Vírusírtók 10. Többfaktoros hitelesítés, stb. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

A biztonságmenedzsment alapfogalmai 6 Informatikai értékek (Information Assets) Biztonsági szabályzat (Security Policy) Incidens (Incident) – Katasztrófa (Disaster) Fenyegetés (Threat) Sérülékenység (Vulnerability) Kockázat (Risk) Kihasználás (Exploit) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Assets (értékek) 7 IT biztonság szempontjából az értékek csoportosítása: Hardver Szoftver Adat Az informatikai biztonság feladata ezek C: bizalmasságának (Confidentiality), I: sértetlenségének (Integrity) és A: rendelkezésre állásának (Avilability) biztosítása. A személyek és egyéb vagyontárgyak védelmét nem szoktuk idesorolni, bár alapvető, és néha ütközik az IT biztonsággal. Pl. Fail-safe vs. Fail-open beléptető rendszer. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Biztonsági szabályzat I. 8 Azt definiálja, hogy mit jelent, hogy egy rendszer, szervezet vagy bármi más biztonságos. Azaz az elvárt biztonságos működés megfogalmazása. Lehet implicit vagy explicit, azaz nincs feltétlenül írásba foglalva. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Biztonsági szabályzat II. 9 Követelményeket fogalmaz meg, mind a rendszerelemekkel mind a védelmi mechanizmusokkal szemben. BETARTATHATÓSÁGRA (Enforcement) ELLENTMONDÁSMENTESSÉGRE (Consistency), és TELJESSÉGRE (Completness) kell törekedni, ha - különösen az utóbbi - nehéz is. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Felső szintű szabályzat – alszabályzatok (subpolicies) 10 Felső szintű szabályzat : általános. Pl: ISO Security Policy TemplateISO Security Policy Template „9.1. Critical or sensitive information processing facilities will be housed in secure areas.” Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Felső szintű szabályzat – alszabályzatok (subpolicies) 11 Alszabályzatok (Subpolicies) : konkrét rendelkezések. Pl: SANS Information Security Policy TemplatesSANS Information Security Policy Templates Automatically Forwarded Policy: „Unless approved by an employee's manager InfoSec, will not be automatically forwarded to an external destination… ” Nem szabad csak az alszabályzatokban elveszni! Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Biztonsági esemény (Incident) 12 Biztonsági incidens a biztonsági szabályzat megsértése vagy a védelmi kontrollok kijátszása (vagy annak kísérlete). Lehet egyszeri vagy sorozatos alkalom (akár éveken át). Lehet automatikus: pl. vírustámadás, manuális: pl. alkalmazott általi adatlopás. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Biztonsági esemény (Incident) 13 Mindig rosszindulatú, emberre visszavezethető. Ezzel szemben biztonsági esemény lehet még, természeti katasztrófa, meghibásodás, hanyagság, vagy akár vétlen károkozás is. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kockázat (Risk) 14 Minden, olyan esemény lehetősége, amely a biztonságot veszélyezteti. Általános, pl. hackertámadás, vagy természeti katasztrófa. Általában nem zárható ki teljesen. „Ha biztonságos számítógépet akarsz, akkor húzd le az internetről, kapcsold ki, öntsd 1 köbméter betonba, s ásd el 100m mélyre. ” Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kockázat (Risk) 15 Összetevői: fenyegetés (Threat) és sérülékenység (Vulnerability). Jellemzői: valószínűség (Probability) és (ki)hatás (Impact). Mindezek széles skálán mozoghatnak. A kockázatelemzés általában nem egyszerű feladat. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

A kockázatok egyszerűsített értékelése 16 magas közepesmagas nagyon magas közepes alacsonyközepesmagas alacsony elenyészőalacsonyközepes alacsonyközepesmagas Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment valószínűség kihatás (Impact)

Sérülékenység (Vulnerability) I. 17 Biztonsági rés, a rendszer olyan gyengesége (sőt legtöbbször hibája ) mely incidensre vagy katasztrófára ad lehetőséget. Elég, hogy lehetőséget ad, nem kell hozzá, hogy azt ki is használják. Ez már konkrét, sokszor orvosolható. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Sérülékenység (Vulnerability) II. 18 Pl. egy az alkalmazás egy konkrét szubrutinja puffer túlcsordulásra ( Buffer Overflow ) ad lehetőséget. Ez akkor is sérülékenység, ha senki nem tört még be rajta keresztül, vagy csak az alkalmazás megbénítására ( Denial of Sevice, DoS ) lehet használni. Persze a súlyossága egészen más … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

0-day sérülékenységek I. 19 Olvasd: Zéró-day = olyan hiba, melyre a gyártó még nem adott ki javítást. Különösen nagy veszélyt jelenthetnek, elterejdtségüktől és kihasználhatóságuktól függően. Hogyan lehet felfedezni őket? Pl.: Fuzzing Hogyan védekezhetünk akkor ellenük? Pl.: rétegzett védelemmel. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

0-day sérülékenységek II. 20 Az etikus hackerek először a gyártót értesítik, ha ilyenre bukkannak. A nem etikus hackerek kihasználják őket, vagy a feketepiacon kereskednek velük. A biztonság értékelésekor számolni kell a létezésükkel. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Fenyegetés (Threat) I. 21 Veszély, azaz olyan személy vagy körülmények együttese, mely biztonsági esemény okozója lehet. Katasztrófa (árvíz, tűz, elhagyott biztonsági mentés) vagy támadó (pl. hacker kívülről, belső alkalmazott, vagy robot). Legalább olyan fontos ismerni, mint a sérülékenységeket, pl.: milyen erős, mi a motivációja? Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Fenyegetés (Threat) II. 22 APT = Advanced Persistent Threat (magas szintű állandó fenyegetés) -> pl. kormányok titkosszolgálatai Stuxnet féreg az iráni atomlétesítmények ellen szept. Duqu (a Crysys Lab elemezte) május Flame … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Fenyegetések típusai I. 23 Külső fenyegetések (External Threats): A támadónak nincs semmilyen hozzáférése a rendszer belső erőforrásihoz, csak a kívülről publikusan elérhető információkat, szolgáltatásokat látja. Pl. idegen hacker. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Fenyegetések típusai II. 24 Belső fenyegetések (Internal Threats): A támadó hozzáfér bizonyos belső erőforrásokhoz, pl. tipikusan egy felhasználói fiókhoz, belső hálózathoz vagy csupán a biztonsági eljárások gyakorlatához. A támadó célja lehet jogosultságának kiterjesztése (Privilage Escalation), azaz, hogy privilegizált accunthoz is hozzáférést szerezzen. Pl: alkalmazottak, korábbi – rossz esetben sértődött – alkalmazottak, szerződéses partnerek. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kihasználás (Exploitation) 25 Az a folyamat, amelyben egy fenyegetés ki is használja a sérülékenységet. Ez lehet manuális vagy automatikus (ekkor eszköz hajtja végre). Az etikus hackerek is írnak exploitokat, hogy ezzel bizonyítsák, demonstrálják a sérülékenységeket. Mert, addig nem hisznek nekik… (Sajnos, néha még utána se …) Ez a Proof of Concept ( PoC ), azaz a bizonyíték a hibára. Risk Vunerability Exploit Incident Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Malware I. 26 Mal icious Soft ware = Rosszindulatú kód, szoftver Vírus (általában fájlhoz kötődő kártevő) Féreg (a vírussal szemben önállóan terjed) Trójai (más hasznos programnak adja ki magát) Rootkit (a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök, melyek pl. hátsóajtót / Backdoor / nyitnak a támadónak.) Kémprogram (Spyware) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Malware II. 27 Ransomware (váltságdíjat követelő program) Aggresszív reklámprogram (Adware) Billentyűzetfigyelő (Keylogger) Betárcsázó (Dialer) Bot (támadó által irányított zombi-gépek hálózatának ( botnet ) kliens programja). Célja, pl.: további malwerek terjesztése (akár megrendelésre is!) kémkedés spam (levélszemét) küldése DDoS (Distributed Denial of Service) támadás számítások (jelszótörés, BitCoin bányászat, stb.) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) 28 Olyan eszköz, cselekedet, eljárás vagy technika, mely megszünteti vagy csökkenti a sérülékenységeket. Más elnevezések: Defense, Safeguard, Countermeasure Pl.: tűzfal (Firewall), biztonsági mentés (Security Backup), biztonság-tudatossági képzés (Security Awarness Training), titkosítás (Encryption), stb. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) 29 Általában a sérülékenységeket, és az általuk hordozott kockázatot teljesen megszüntetni nem lehet. Ezért a jelszó: csillapítani (mitigate), csillapítani, csillapítani … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kockázatelemzés és belőle fakadó biztonsági döntések 30 A kockázatok mindennaposak. De, például mindig bezárod-e a lakásod/szobád ajtaját? a kocsid ajtaját? Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment A hétköznapi életben sokszor nagy magabiztossággal, szinte észrevétlenül hozunk kockázatelemzésen alapuló döntéseket.

Kockázatelemzés és belőle fakadó biztonsági döntések 31 Milyen alapon hozzuk döntéseinket? Szabály alapú (Rule-based) döntések Ha nem tartod be a biztonsági szabályzatot, elbocsáthatnak. Relatív döntések Mivel a szomszédom/barátom/mindenki más zárva tartja a kertkaput, én is. Racionális, tényeken alapuló döntések Felmérve a kockázatot, nem zárom be a kocsim ajtaját, mert úgy is itt vagyunk kint a barátom udvarán. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kockázatelemzés 32 A IT biztonsági kockázatelemzés, sok szempontból hasonló a mindennapi és az üzleti kockázatelemzéshez. Számos kidolgozott különböző módszertan van rá. Lehet quantitatív: számszerűsíthető mindent számokra fordít le, vagy qualitatív: nem számszerűsíthető prioritásokat fogalmaz meg. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Kockázatelemzés 33 Ugyanakkor az informatika területén messze nincs annyi adat és tapasztalat, mint pl. az életbiztosításokhoz. A fenyegetések és sérülékenységek gyorsan változnak. Vitatott, hogy mennyi időt, energiát kell/érdemes kockázatelemzésre fordítani. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

A védekezés folyamata Értékek azonosítása, (Identication of Assets) 2. Kockázatelemzés (Risks Analysis) 3. A biztonsági szabályzat meghatározása 4. A védelmi mechanizmusok implementálása 5. A védelem monitorozása 6. Helyreállítás támadások után (Recovery) S a tapasztalatok fényében kezdhetjük az egészet elölről. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Összefoglalás %-os biztonság nincs. Csillapítani, csillapítani, csillapítani… Mindig kockázatarányos védelemre van szükség. A kockázatok felmérése után mérlegelni, egyensúlyozni kell: a biztonsági szint, az erőforrások (nem csak pénz!) és a használhatóság között. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Összefoglalás II. 36 Az igazán jó védelem a lehetőségekről kell, hogy szóljon, nem csak a lehetséges támadások, kockázatok tekintetében, hanem az alkalmazható védelmi mechanizmusokat illetően is. Számos megoldás van vagy összerakható, Ami nehézzé teszi a védekezést: egyenszilárdságra kell törekedni (láncszemek), a kockázatok és a rendszer dinamikus változása. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Hivatkozások W. A. Conklin, G. White, D. Williams, Ch. Cothren, R. Davis, CompTIA Security+ All-in-One Exam Guide, McGraw-Hill Osborne, B. D. Payne, W. K. Edwards, A Brief Introduction to Usable Security intro-usable-security.pdf. intro-usable-security.pdf 3. Richard E. Smith, Elementary Information Security, Jones & Bartlett Learning, Virrasztó Tamás, Titkosítás és adatrejtés: Biztonságos kommunikáció és algoritmikus adatvédelem, NetAcademia Kft., Budapest, Information Security and Risk Management in Context, Washington University, Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment