A közreműködők éves továbbképzésének bemutatása

Átírás

1 A közreműködők éves továbbképzésének bemutatása Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem

2 Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe

3 A képzések célcsoportjai Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet az infobiztonsági képzéseket az NKE gondozásába helyezte. Célcsoportok: elektronikus információs rendszerek védelméért felelős vezetők, elektronikus információs rendszer biztonságáért felelős személyek, elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek. A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.

4 A tisztviselői képzések jogszabályi háttere A közszolgálati tisztviselőkről szóló évi CXCIX. Törvény NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik). A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. Rendelet továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok 12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók, felkészítése, ellenőrzése, bizonylatok kezelése stb.)

5 A továbbképzés intézményrendszere KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring Irányítás, szabályozás KTK - követelmények - programok minősítése - névjegyzékek Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás NKE - Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése

6 Tisztviselők továbbképzési programjainak típusai Közszolgálati továbbképzési programok (csak az NKE nyújthatja) Vezetőképzési programok (csak az NKE nyújthatja) Szakmai és kompetenciafejlesztő továbbképzési programok Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓ- BIZTONSÁGI KÉPZÉSEK Belső továbbképzések (közigazgatási szervek)

7 Tisztviselők képzési kötelezettsége A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül - Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, - Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés, - középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: - 16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.

8 Információ-biztonsági képzések típusai Képzés célcsoportja elektronikus információs rendszerek védelméért felelős vezetők elektronikus információs rendszer biztonságáért felelős személyek Képzés célja, neve Képzés típusa Belépő képzés E- learning Éves továbbképzés EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés Éves továbbképzés E- learning Blended learning E- learning Óraszá m Tanulmán yi pontérték Képzés díja Ft Ft Ft/félév Ft Elektronikus információbiztonsá gi feladatok ellátásában résztvevő személyek Belépő képzés Éves továbbképzés E- learning E- learning Ft Ft

9 Képzések igénybevétele - tisztviselők A továbbképzési kormányrendelet hatálya alá tartozó jelentkezők (éves képzési tervvel rendelkező tisztviselők) számára a teljesítés feltétele: A megfelelő programot ha még nem történt meg fel kell venni az éves képzési tervbe (ezt a munkáltató tudja elvégezni), A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). A befizetéshez szükséges adatok megtalálhatóak a oldalon, a továbbképzések menüpont alatt, az elektronikus információbiztonsági képzések almenüben. Akik felvették a képzést a képzési tervbe, ben kapnak jelzést arról, hogy meghirdetésre került a képzés (kivéve: EIV, ott közvetlenül kommunikálnak a szervezők az érintettekkel). Az e-learning típusú továbbképzési programokat a szorgalmi időszak során, júniustól kezdődően, fokozatosan hirdetjük meg. A tisztviselő kiválasztja a neki megfelelő kurzust (időszakot), és abban az időszakban hozzá fog férni a oldalról az e-learning tananyaghoz. A hozzáférés előfeltétele hogy regisztrálva legyen a Probono (korábban TVP) oldalon. Sikeres teljesítés esetén a rendszer automatikusan legenerálja a tanúsítványt, amit letölthetnek a tisztviselők a Probono oldalról. Az EIV képzések megszervezése, meghirdetése NEM a Probono oldalon történik, ez ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.

10 Képzések igénybevétele nem tisztviselők A Továbbképzési rendelet személyi hatálya alá nem tartozó (nem közszolgálati tisztviselői jogviszonyban lévő) jelentkezők számára a képzések megkezdésének feltétele, hogy a jelentkező a munkáltató hozzájárulásával a továbbképzésre jelentkezzen (a jelentkezési lap letölthető a honlapról). A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). Ebben az esetben kérjük, a jelentkezési lapokkal és a befizetés igazolásával együtt jelezzék az NKE felé írásban, hogy mely tisztviselők képzési díját fizetik be. A befizetést igazoló szelvény másolatát, valamint azon tisztviselő(k) nevét, aki(k)nek a képzést befizették a következő címre kérjük postai úton eljuttatni: Vezető- és Továbbképzési Intézet, 1518 Budapest, Pf. 26.Kérjük, a küldeményen tüntessék fel: Elektronikus információbiztonsági képzésre jelentkezés. Ezt követően a jelentkezőknek be kell regisztrálnia a oldalon nem tisztviselő szerepkörbe, majd regisztrációjuk jóváhagyása után kapnak hozzáférést az e-learning tananyaghoz. A tananyag elvégzése után szintén a Probono felületről tölthetik le a rendszer által generált tanúsítványt.

11 E-learning képzések módszertana

12 Az e-learning fogalomrendszere E-learning: olyan tanítási és tanulási forma, amiben a tananyag feldolgozásához, bemutatásához, a szemléltetéshez vagy akár a kommunikációhoz digitális médiumokat (például DVD, CD-ROM, Internet) használunk. Szinonimái: online tanulás, távtanulás, számítógéppel támogatott tanulás, multimédia alapú tanulás stb. Jellemzői: Rugalmas tanulási forma, a résztvevő akár otthon, önállóan, a saját időbeosztásuk szerint sajátíthatják el a tananyagot. A tananyagok az interneten keresztül érhetőek el (az infobiztonsági képzések tananyagai a oldalon keresztül). A hagyományos oktatáshoz képest több szemléltetést (ábrák, képek, animációk, stb.) alkalmaz. A résztvevők munkáját képzéstől függően tutorok segíthetik (internetes válaszadás, fórumozás, feladatok kiadása, csoport mozgatása).

13 E-learning módszerek, tananyagtípusok Az e-learning tananyagoknak számos módszertana, megjelenítési formája létezik. Ezek önállóan, illetve egy adott tananyagon belül vegyesen is előfordulnak. Az NKE e- learning tananyagfejlesztései során alkalmazott főbb típusok: E-book: tördelt, kereshető szöveges anyag, amely a hagyományos tankönyvi tanulást előnybe részesítők körében a legszívesebben használt forma. Prezentáció jellegű tananyag: a prezentáció slide-jaihoz hasonló (azoknál rugalmasabb, nagyobb terjedelem strukturált bemutatására alkalmas) képernyőkből felépülő tananyag. Ilyen jellegűek az információbiztonsági e-learning tananyagok is. Videós tananyag: a képernyőn az oktató látható, aki egy egyetemi előadáshoz, egy jelenléti oktatáshoz hasonlóan elmondja a tananyagot. A megértést segítendő a háttérben futhat egy prezentáció. Ilyen esetben az időjárás-jelentéshez hasonló greenbox-technikával történik az előadás felvétele, majd a prezentációval való összeillesztése. Animációs tananyag: rajzfilmszerű megjelenítési mód, kiválóan alkalmas rövidebb kis történetek, jelenetek bemutatására.

14 A tananyag felépítése, főbb elemei A prezentációs típusú e-tananyagok elemei a következők: Törzsanyag: a tananyag legfontosabb információit tartalmazza, szöveges formában, valamint képek, ábrák stb. formájában. Szakanyag: a tananyaghoz készített írott jegyzet, ami gyakran az adott témakör mélyebb szintű bemutatására is alkalmas. Fogalomtár: a tananyagban előforduló fogalmak magyarázata. A törzsanyagból link segítségével előhívható a megfelelő fogalom magyarázata. Kinyitható/bezárható szövegdobozok: A törzsanyaghoz nem tartozó, de hasznos, érdekes többlet tudáselemek, amelyeket a felhasználó tud kinyitni, bezárni. Önellenőrző kérdések: a tananyag elsajátítását segítő kérdések, amelyekre a tanulási folyamat közben tud válaszolni a felhasználó. Nem azonos a vizsgával. Szakirodalom, hasznos linkek: közvetlenül nem a tananyaghoz tartozó, mélyebb ismeretek szerzését elősegítő hivatkozások. Záró teszt: vizsgakérdések gyűjteménye.

15 A tananyag követelményei A tananyagok sikeres teljesítéséhez a záró teszt kérdéseit kell az előírt %-os mértékben helyesen megválaszolni. A záró tesztet az e-learning keretrendszer véletlenszerűen állítja össze minden egyes vizsgázó számára egy nagyszámú kérdést és választ tartalmazó kérdésbankból. A főbb kérdéstípusok: Egyszerű választás, Többszörös választás, Sorba rendezés, Párosítás, Mondat kiegészítés. A záró tesztet három alkalommal lehet megkísérelni teljesíteni, a harmadik sikertelen próbálkozás után a képzés elvégzése eredménytelennek minősül.

16 A KÖZREMŰKÖDŐK ÉVES KÉPZÉSÉNEK ÁTTEKINTÉSE

17 Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Jogalanyok széles körben Szervezeti biztonsági szint Információbizton -sági felügyelő Alapvető biztonsági elvárások Biztonsági vezető és felelős Kormányzati koordináció Biztonsági osztályba sorolás Szervezetek feldatai (Hatóság, NBF, CERT) Oktatás-kutatásfejlesztés Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozási indokok Várható eredmények

18 FELHŐ INFRASTRUKTÚRÁK BIZTONSÁG KÉRDÉSEI

19 A felhő első pillantásra

20 Egy kis történelem Elnevezés: internet felhő ábra Szolgáltat ó Koncepcionális előzmények: VPN mint telco szolgáltatás (fekete doboz) Virtualizáció (virtuális szerverek) SOA architektúra elvek Informatikai közmű gondolat (már a 60-as években) Evolúciós előzmények: Szerver virtualizációs technológiák Datacenterek elterjedése Amazon adatközpontok felesleges kapacitás kihasználás, (AWS)

21 Definíció, jellemzők Cloud Computing: IT erőforrásoknak és kapacitásoknak szolgáltatás alapú; transzparens; a felhasználó számára a fizikai megvalósítástól és üzemeltetéstől független igénybevétele, amely: Megosztott erőforrásokon alapul; Biztonságos; On-demand jellegű igénybevétel és díjazás; Azonnali rugalmasság és skálázhatóság az igénybevett kapacitásokban; Többé-kevésbé önkiszolgáló rendszer, többé-kevésbé automatizált aktiválással; Közmű jelleg, standardizáltság.

22 Mi van a felhőben? IT erőforrások és kapacitások

23 Fogalmak, terminológia Megvalósul sulási si rétegek: r XaaS (.(. as a Service) Rendszer-felügyelet és adminisztráció

24 Cloud referencia modell

25 Szolgáltatás alapú IT ITIL v3 szerinti szolgáltatásmodell

26 Miben más a cloud? Hagyományos IT szolgáltatás: (pl. datacenter hosting, outsourcing, managed service providers) Cloud szolgáltatás: Technológia- és/vagy eszköz igénybevételi szolgáltatások Hosszútávú szerződéses keretek Statikus szerződési feltételek Egyedi, ügyfélhez igazodó, testre szabott környezetek Portfolió alapú, ondemand alapú kínálat (katalógus) Dinamikus szerződési feltételek Igénybevétel/használat alapú díjazás Standardizált, egységes, egyedi megoldásokat nem támogat

27 Hogyan működik? belső technológia Egyesített infrastruktúra konglomerátum (hw, sw, meta-os) Szolgáltatás-katalógus Self-service portal Cloud-maps: előre definiált templatek az elterjedt alkalmazási környezetek számára Orchestration: azonnali skálázhatóság, erőforrások és kapacitások on-demand vezérlése Vegyes op.r. támogatás Egységes monitorozás IT biztonsági szolgáltatások

28 Automatizmusok Self-service portal Szolgáltatás igénylés Autoprovisioning folyamat indítása Szolgáltatás-katalógus Igényelhető termékek, szolgáltatások listája Product layer (ár, SLA, kereskedelmi info) Service layer (szolg. Technikai összetétele) Resource layer (pl. server, VM, storage, etc.) Szolgáltatás aktiválás Automatizált igénylési és indulási folyamat Standardizált környezet azonnali indulása Szolgáltatás életciklus menedzsment

29 Kiépítettségi szintek (deployment model) Private cloud: egyetlen felhasználó szervezet számára történő üzemelés, külső v. belső helyszínen Public cloud: megosztott erőforrások, több önálló szervezet, pay-per-usage alapon (service provider) Hagyományo Public s Community (public zárt körben): üzleti partnerek, kormányzat, Private stb. Hibrid: vegyes cloud üzem egységes keretben, saját és cloud szolgáltatások együttélése

30 Túl a technológián az átállás kérdései T&T projektek, szervezeti keretek és szerepkörök, üzemeltetés változásai Tervezés, onboarding, átállás, menedzsment és irányítás Teljes körű alkalmazás-konszolidációs portfolió: hatékonyság, modernizáció, racionalizálás és átalakulás összekapcsolása Speciális célzott szolgáltatás AT2C (Application-to-Cloud): alkalmazás szintű átállás-elemzés, üzleti és technológiai átállási készültség felmérése újfajta IT működés, belső erőforrások és feladatok átalakulása: a hangsúly a technológiai területről logikai szintre tolódik

31 Ösztönzők és kihívások (pro és kontra) Motivációs tényezők: Beruházás nélküli erőforrás rendelkezésre állás, gyors indulás Megosztott, ezáltal optimális és hatékony erőforrás használat Gyors műszaki alkalmazkodás, architektúra váltás Rugalmas kapacitás-felhasználás és lekötés, pl ideiglenes feladatoknál: tesztelés, oktatás, fejlesztési környezet, kampány jellegű feldolgozások Zöld IT Leggyakoribb fenntartások: Cloud erősen standardizált jellege vs. egyedi elvárások az IT-vel szemben üzleti oldalról Jogi környezet, szabályozás, biztonság, adatkezelés Minden fenntartásra van jó megoldás, sőt!

32 A cloud biztonságával kockázatok Megosztott erőforrások miatti problémák Cloud szolgáltatás befejezése Cloud szolgáltató felvásárlása Szállítási lánc megszakadása Nem megfelelő törlés DDoS EDoS (Gazdasági DoS) Titkosító kulcs elvesztése Külső támadási próbálkozások Kompromittált szolgáltatási motor Nem megfelelő hardening Forrás: ENISA, Cloud Computing: Benefits, risks and recommendations for information security Üzemeltetési naplók sérülése Biztonsági naplók elvesztése Mentések elvesztése Nem jogosult fizikai hozzáférés Lopás Természeti katasztrófa

33 Elvárt védelmi intézkedések

34 Biztonsági előnyök A korábban felsorolt kockázatok közül néhány éppen hogy előnnyé konvertálható megfelelő tervezéssel (ld. DDoS példája) Összességében az alábbi biztonsági előnyök mutatkoznak a felhőre való áttérés esetében: Szabványos interfészek a menedzselt biztonsági szolgáltatások felé Az erőforrások gyors, intelligens skálázása Auditálás és bizonyítékgyűjtés Gyors, hatékony és hatásos frissítés és az elvárt biztonságos alapértelmezések beállítása Biztonság az SLA-ban, jobb kockázatmenedzsment Az erőforrások központosításából eredő előnyök Gyorsabb, olcsóbb, jobb de ehhez új nézőpontból kell a biztonságra tekinteni!

35 Felhőbiztonság vs. biztonság a felhőben A cloud egyik új hozadéka, hogy nem csak az üzleti folyamatokat támogató megoldások felhősödnek, hanem a biztonsági megoldások is. Jó példa erre a mobilbiztonság területe, ahol a gyártók a hagyományos szoftverek mellett párhuzamosan már cloud alapú megoldásokat is kínálnak, mert: Hirtelen kell megoldást nyújtani; Külön infrastruktúra telepítése nélkül; Új szakemberek alkalmazása nélkül. A biztonsági megoldások távoli kezelésével tehát költség takarítható meg, de legféltettebb titkaink kerülnek ki a kezeink közül (pl. naplóadatok). De az outsourcing esetében nem így volt korábban is? Csak a technológia más, a szemlélet és a szabályok változatlanok!

36 IRÁNYÍTÁSI RENDSZEREK ÉS MŰSZAKI VÉDELMI INTÉZKEDÉSEK Orbán Géza képzésmódszertani referens NKE VTKI 36

37 Irányítási rendszerek Irányítási rendszer Rendszer politika és célok megfogalmazásához, valamint célok eléréséhez Minőségirányítási rendszer (ISO 9001) Irányítási rendszer egy szervezet vezetésére és szabályozására, a minőség szempontjából

38 IBIR ISO/IEC Információbiztonság irányítási rendszer (IBIR) = Information Security Management System (ISMS) Irányítási rendszer egy szervezet vezetésére és szabályozására, a információbiztonság szempontjából PDCA-elv alapján folyamatos biztonsági fejlesztést vár el Folyamatszemléletű megközelítést alkalmaz Nem csak IT Át kell gondolnunk a biztonságot

39 ISO/IEC sorozat Előzmények: BS 7799, ISO/IEC Sorozat : most 32 tag ISO/IEC 27000: Alapelvek és szótár ISO/IEC 27001: IBIR szabvány ISO/IEC 27002: Útmutató ISO/IEC 27003: Kialakítási irányelvek ISO/IEC 27004: Metrikák és mérés ISO/IEC 27005: Kockázatkezelés ISO/IEC 27006: Tanúsító szervre vonatkozó köv. 39

40 ISO/IEC Plan-Do-Check-Act (PDCA) Folyamatok idő dimenzióban É r d e k e l t f e l e k ACT ISMS továbbfejlesztése IB követelmények elvárások PLAN ISMS megalapozása CHECK ISMS ellenőrzése DO ISMS megvalósítása, működtetése Menedzselt IB É r d e k e l t f e l e k 40

41 ISO/IEC PDCA lépések 4. ISMS tovább-fejlesztése 4.1 A feltárt hiányosságok alapján szükséges fejlesztések elvégzése 4.2 Megelőző/korrekciós intézkedések megvalósítása 4.3 A tanulságokból levezetett akciók 4.4 Az elért eredmények kommunikációja az érintett partnerek felé 4.5 Fejlesztés a védelmi célok elérése céljából ACT CHECK PLAN DO 1. ISMS megalapozása 1.1 ISMS definíció 1.2 ISMS politika 1.3 Kockázatkezelési mód definíció 1.4 Kockázatok azonosítása 1.5 Kockázatok értékelése 1.6 Kockázatkezelési opciók elemzése 1.7 Védelmi célok és intézkedések meghatározása 1.8 SoA kezdeti meghatározása 3. ISMS ellenőrzése 3.1 Monitoring eljárások elvégzése 3.2 ISMS hatékonyság rendszeres ellenőrzése 3.3 Lokális és elviselhető kockázatok áttekintése 3.4 Belső ISMS auditok 3.5 ISMS menedzsment általi rendszeres ellenőrzés 3.6 ISMS-t érintő akciók, események rögzítése 2. ISMS megvalósítása, működtetése 2.1 Kockázatkezelési terv kidolgozás 2.2 Kockázatkezelési terv megvalósítás 2.3 A védelmi intézkedések megvalósítása 2.4 Biztonságtudatosítási és tréning programok 2.5 IT erőforrások biztonság-menedzselése 2.6 IT erőforrások működtetése 2.7 Eljárások a bizt. események detektálására/reakciójára 41

42 Kockázatkezelés Kockázatokkal arányos védelem szükséges Ár-érték arány Elemi események értékelése (változó) Fenyegetés hatása (I) Bekövetkezési valószínűség (P) Kockázat súlyossága R=I*P Elviselhető kockázat: vezetői döntés 42

43 Kockázatkezelés ISO/IEC Kockázatkezelési keretrendszer 43

44 Törzsrész: általános IR A dokumentálás követelményei A dokumentumok kezelése A feljegyzések kezelése A vezetőség felelőssége A vezetőség elkötelezettsége Gazdálkodás az erőforrásokkal Gondoskodás az erőforrásokról Képzés, tudatosság és felkészültség Belső IBIR-auditok Az IBIR vezetőségi átvizsgálása Az IBIR fejlesztése Folyamatos fejlesztés Helyesbítő tevékenység Megelőző tevékenység 44

45 27001 specifikum Alkalmazhatósági nyilatkozat Statement of Applicability (SoA) A kizárt kontrollokat tartalmazza a kizárás indoklásával Opcionálisan az alkalmazott kontrollok megjelenési helyét (pl. vonatkozó szabályzat) hivatkozza be 45

46 Kontroll követelmények A következőkben az ISO/IEC 27001:2013 szabvány A mellékletében található kontrollkövetelményeket tekintjük át Csak ezekből lehet kizárni a SoA-ban

47 A.5 IB politika Információbiztonsági politika Az információbiztonsági politika dokumentuma Az információbiztonsági politika átvizsgálása 47

48 A.6 Az információbiztonság szervezete A.6.1 Belső szervezet IB szerepkörök és felelősségek Vezetője a CISO, mindig a felső vezetésnek kell jelentenie Feladatok szétválasztása Fejlesztés és üzemelteltetés Kapcsolat a felhatalmazott szervezetekkel Pl. CERT-ek, NEIH, NAIH, NMHH Kapcsolat speciális érdekcsoportokkal IB szakmai szervezetek IB a projektmenedzsmentben Projektek biztonsági felügyelete vö. műszaki ellenőr A.6.2. Mobileszközök és távmunka Mobileszköz-politika BYOD Távmunka VPN, Remote Desktop/Terminal Server, CITRIX 48

49 A.7 Emberi erőforrások biztonsága A.7.1 Az alkalmazás előtt Átvilágítás Megbízhatóság, szabályok betartása, befolyásolás (erőszakos, anyagi) Rendelkezésre állás: betegség, családi háttér, káros szenvedélyek Beszállítók értékelése, biztonsági szempontból is Az alkalmazás kikötései és feltételei Szakértelem és annak hiánya A.7.2 Az alkalmazás alatt A vezetőség felelősségei Rávezetés (rákényszerítés) a biztonságos működésre Információbiztonsági tudatosság, képzés, oktatás Social engineering: információszerzés az emberek kihasználásával Fegyelmi eljárás Minden incidens esetén le kell folytatni A.7.3 Az alkalmazás megszűnése vagy változtatása A megszüntetés felelősségei Folyamat A vagyontárgyak visszaszolgáltatása A hozzáférési jogok visszavonása 49

50 A.8 Vagyontárgyak kezelése A.8.1 Felelősség a vagyontárgyakért Vagyontárgyleltár A vagyontárgyak gazdája A vagyontárgyak elfogadható használata A vagyontárgyak visszaszolgáltatása A.8.2 Információ-osztályozás Osztályozási irányelvek Az információ megjelölése és kezelése Vagyontárgyak kezelése A.8.3 Adathordozók kezelése Az eltávolítható adathordozók kezelése Adathordozók selejtezése Biztonságos megsemmisítés: pl. többszörös törlés, demagnetizálás, darálás, égetés Fizikai média szállítása 50

51 A.9 Hozzáférés-ellenőrzés 1 A.9.1 Hozzáférés-ellenőrzés üzleti követelményei Hozzáférési politika Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz A.9.2 Felhasználói hozzáférés-menedzsment Felhasználók regisztrálása és törlése Azonosítás (authentication) kijátszása: más felhasználó megszemélyesítése Kitérő: jelszavak, azonosítás 3 faktora, biometria Felhasználói jogok kiosztása Eljárás kialakítása Előjogok kezelése Jogosultságok (authorization) kijátszása: meglévő jogosultságok kiterjesztése Felhasználók titkos azonosító adatainak kezelése Password complexity requirements Felhasználói hozzáférési jogosultságok átvizsgálása Hozzáférési jogosultságok visszavonása és változtatása 51

52 (Azonosítás faktorai) Tudásalapú azonosítás számítógépes környezet jellemző azonosítása PIN, jelszó, jelmondat probléma: feledékenység, Alzheimer kór szabadon többszörözhető Birtoklás alapú azonosítás vagyonvédelmi beléptetés jellemző azonosítása kártya, token otthon marad, elveszik Tulajdonság alapú azonosítás magasabb védelmi igény esetén jellemző biometrikus azonosítás: ujjnyomat, írisz, stb. A három faktor különböző kombinációi alkalmazhatók 52

53 A.9 Hozzáférés-ellenőrzés 2 A.9.3 Felhasználók felelőssége Felhasználók titkos azonosító adatainak használata Jelszóhasználat A.9.4 Rendszer és alkalmazás hozzáférés-vezérlés Információ-hozzáférés korlátozása Adatok és alkalmazás-funkciók védelme Biztonságos bejelentkezési eljárások Ctrl+Alt+Del Jelszókezelő rendszer Interaktív menedzsment, jelszóminőség Rendszergazdai segédprogramok használata DiskPart, MBR editor, Boot sequence, BIOS Forráskódhoz való hozzáférés 53

54 A.10 Kriptográfia A.10.1 Kriptográfia intézkedések A kriptográfiai intézkedések szabályzata Szabályozni kell Kulcsmenedzsment Védelem és érvényesség a teljes életciklusban 54

55 A.11 Fizikai és környezeti biztonság 1 A.11.1 Biztonsági területek Fizikai biztonsági határzóna Crime Prevention Through Environmental Design (CPTED) Fizikai belépési intézkedések Aktív jogosulatlan hozzáférés (behatolás) illetéktelen belépés korlátlan mozgás erőszakos behatolás őrizetlenül hagyás Passzív jogosulatlan hozzáférés (lehallgatás, megfigyelés) akusztikus, elektromágneses, optikai Irodák, helyiségek és berendezések védelme 55

56 A.11 Fizikai és környezeti biztonság 2 Védelem külső és környezeti fenyegetések ellen Tűz, robbanás Árvíz, belvíz, vízellátás meghibásodása Földrengés, rezgések (pl. villamos az utcán) Meteorológiai veszélyhelyzetek: villám, szélvihar Mérgező, korrozív, nukleáris anyagok Elektromágneses terek: interferenciát (EMI), meghibásodást okozhat, harcászati célra is alkalmazzák Munkavégzés biztonsági területen Szállítás és rakodási területek 56

57 A.11 Fizikai és környezeti biztonság 3 A.11.2 Berendezések Berendezések elhelyezése és védelme Légállapot: hőmérséklet, páratartalom Közműszolgáltatások Villamosenergia-ellátás: többszörös betáplálás, szünetmentes áramforrás lehet szükséges Távközlési, informatikai becsatlakozások: többszörös becsatlakozás, eszközök duplikálása lehet szükséges Kábelezés biztonsága Kábelcsatornák, alagutak: wiretap ellen 57

58 A.11 Fizikai és környezeti biztonság 4 A berendezés karbantartása Műszaki megbízhatóság: Elöregedés, meghibásodás, gyártási, szerelési hibák Vagyontárgy eltávolítása Előzetes engedélyezés kivitelhez Telephelyen kívül használt berendezés biztonsága A berendezés biztonságos megsemmisítése vagy újrahasználata Pl. plotter esete Felügyelet nélküli eszközök Tiszta asztal, tiszta képernyő szabályzat 58

59 A.12 Üzemeltetési biztonság 1 A.12.1 Üzemeltetési eljárások és felelősségek Dokumentált üzemeltetési eljárások Hardver- és szoftver-dokumentációk: Telepítési tervrajzok, leírások elkészítés, megőrzése, egyedi fejlesztésű szoftverek Változásmenedzsment Kapacitásmenedzsment Fejlesztési, tesztelési és üzemeltetési környezetek különválasztása A.12.2 Védelem a rosszindulatú kódok (malware) ellen Vírusok, rootkitek, férgek, kémprogramok, botnetek, logikai bombák, trójai falovak: Védelem elengedhetetlen! Vírus ÉS (!) kémprogram kereső A.12.3 Biztonsági mentés (backup) Teljes, inkrementális, differenciális 59

60 A.12 Üzemeltetési biztonság 2 A.12.4 Naplózás és monitoring Eseményes naplózása (event logging) Naplóinformációk védelme Adminisztrátori és operátori napló Órajelek szinkronozása A.12.5 Operációs rendszer kontrollja Szoftverinstalláció operációs rendszerre A.12.6 Műszaki sebezhetőség kezelése A műszaki sebezhetőségek ellenőrzése Vulnerability analysis Szoftvertelepítés korlátozása A.12.7 Információs rendszerek auditja Minimálisan zavarva az üzleti folyamatokat 60

61 A.13 Kommunikációbiztonság 1 A.13.1 Hálózatbiztonsági menedzsment Hálózati intézkedések Hálózati szolgáltatások biztonsága Hackertámadások az Internetről, védelem: tűzfal, IDS, IPS Hálózatok leválasztása (segregation) 61

62 A.13 Kommunikációbiztonság 2 A.13.2 Információcsere Információcserére vonatkozó szabályzatok és eljárások Megállapodások az információcserére Üzleti titkok védelme harmadik fél felé Elektronikus üzenetküldés ek védelme Titoktartási megállapodások NDA 62

63 A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 1 A.14.1 Információs rendszerek biztonsági követelményei Biztonsági követelmények elemzése és specifikációja Nyilvános hálózati alkalmazás-szolgáltatás védelme Alkalmazás-szolgáltatás tranzakcióinak védelme A.14.2 Biztonság a fejlesztési és támogató folyamatokban Biztonságos fejlesztési politika Változtatásszabályozási (change control) eljárások Alkalmazások műszaki átvizsgálása az üzemeltetési platform megváltoztatása után Szoftvercsomagok megváltoztatásának korlátozása 63

64 A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 2 Biztonságos rendszertervezési alapelvek Biztonságos fejlesztői környezet Kiszervezett fejlesztés Rendszer biztonsági tesztelés Fejlesztett rendszerre vonatkozóan Rendszer elfogadási tesztelés (System acceptance testing) A.14.3 Tesztadatok Tesztadatok védelme 64

65 A.15 Beszállítói kapcsolatok A.15.1 IB a beszállítói kapcsolatokban IB politika a beszállítói kapcsolatokban Biztonság a beszállítói megállapodásokban ICT supply chain A.15.2 Beszállítói szolgáltatás menedzsment Szállítói szolgáltatások monitoringja és ellenőrzése Változásmenedzsment a beszállítói szerződésekben 65

66 A.16 Az információbiztonsági incidensek kezelése A.16.1 Az információbiztonsági incidensek és fejlesztések kezelése Felelősségek és eljárások IB események jelentése IB gyengeségek jelentése Értékelés és döntés az IB eseményekről Reagálás az IB eseményekre Tanulságok az IB incidensekből Bizonyítékok gyűjtése 66

67 A.17 Üzletmenet-folytonosság menedzsment IB aspektusa A.17.1 IB folytonosság IB folytonosság-tervezés Üzletment-folytonossági terv (Business Continuity Plan, BCP) Katasztrófa-helyreállítási terv (Disaster Recovery Plan, DRP) IB folytonosság-bevezetés IB folytonosság ellenőrzése, átvizsgálása és értékelése A.17.2 Redundancia Információfeldolgozási képességek rendelkezésre állása 67

68 A.18 Megfelelőség A.18.1 Megfelelés a jogi és szerződéses követelményeknek Az alkalmazandó jogszabályok és szerződéses követelmények meghatározása Szerzői és kapcsolódó jogok (Szellemi tulajdonjogok, IPR) Feljegyzések védelme Adatvédelem és a személyes adatok védelme Ld évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról A kriptográfiai kontrollok szabályozása Ahol jogi korlátozás van rá A.18.2 IB átvizsgálás IB független átvizsgálása Megfelelés a biztonsági politikának és szabványoknak Műszaki megfelelőség-vizsgálat Pentesting 68