Közreműködők továbbképzésének bemutatása

Átírás

1 Közreműködők továbbképzésének bemutatása Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem

2 Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe

3 A képzések célcsoportjai Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet az infobiztonsági képzéseket az NKE gondozásába helyezte. Célcsoportok: elektronikus információs rendszerek védelméért felelős vezetők, elektronikus információs rendszer biztonságáért felelős személyek, elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek. A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.

4 A tisztviselői képzések jogszabályi háttere A közszolgálati tisztviselőkről szóló évi CXCIX. Törvény NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik). A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. Rendelet továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok 12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók, felkészítése, ellenőrzése, bizonylatok kezelése stb.)

5 A továbbképzés intézményrendszere KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring Irányítás, szabályozás KTK - követelmények - programok minősítése - névjegyzékek Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás NKE - Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése

6 Tisztviselők továbbképzési programjainak típusai Közszolgálati továbbképzési programok (csak az NKE nyújthatja) Vezetőképzési programok (csak az NKE nyújthatja) Szakmai és kompetenciafejlesztő továbbképzési programok Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓ- BIZTONSÁGI KÉPZÉSEK Belső továbbképzések (közigazgatási szervek)

7 Tisztviselők képzési kötelezettsége A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül - Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, - Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés, - középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: - 16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.

8 Információ-biztonsági képzések típusai Képzés célcsoportja elektronikus információs rendszerek védelméért felelős vezetők elektronikus információs rendszer biztonságáért felelős személyek Képzés célja, neve Képzés típusa Belépő képzés E- learning Éves továbbképzés EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés Éves továbbképzés E- learning Blended learning E- learning Óraszá m Tanulmán yi pontérték Képzés díja Ft Ft Ft/félév Ft Elektronikus információbiztonsá gi feladatok ellátásában résztvevő személyek Belépő képzés Éves továbbképzés E- learning E- learning Ft Ft

9 Képzések igénybevétele - tisztviselők A továbbképzési kormányrendelet hatálya alá tartozó jelentkezők (éves képzési tervvel rendelkező tisztviselők) számára a teljesítés feltétele: A megfelelő programot ha még nem történt meg fel kell venni az éves képzési tervbe (ezt a munkáltató tudja elvégezni), A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). A befizetéshez szükséges adatok megtalálhatóak a oldalon, a továbbképzések menüpont alatt, az elektronikus információbiztonsági képzések almenüben. Akik felvették a képzést a képzési tervbe, ben kapnak jelzést arról, hogy meghirdetésre került a képzés (kivéve: EIV, ott közvetlenül kommunikálnak a szervezők az érintettekkel). Az e-learning típusú továbbképzési programokat a szorgalmi időszak során, júniustól kezdődően, fokozatosan hirdetjük meg. A tisztviselő kiválasztja a neki megfelelő kurzust (időszakot), és abban az időszakban hozzá fog férni a oldalról az e-learning tananyaghoz. A hozzáférés előfeltétele hogy regisztrálva legyen a Probono (korábban TVP) oldalon. Sikeres teljesítés esetén a rendszer automatikusan legenerálja a tanúsítványt, amit letölthetnek a tisztviselők a Probono oldalról. Az EIV képzések megszervezése, meghirdetése NEM a Probono oldalon történik, ez ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.

10 Képzések igénybevétele nem tisztviselők A Továbbképzési rendelet személyi hatálya alá nem tartozó (nem közszolgálati tisztviselői jogviszonyban lévő) jelentkezők számára a képzések megkezdésének feltétele, hogy a jelentkező a munkáltató hozzájárulásával a továbbképzésre jelentkezzen (a jelentkezési lap letölthető a honlapról). A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). Ebben az esetben kérjük, a jelentkezési lapokkal és a befizetés igazolásával együtt jelezzék az NKE felé írásban, hogy mely tisztviselők képzési díját fizetik be. A befizetést igazoló szelvény másolatát, valamint azon tisztviselő(k) nevét, aki(k)nek a képzést befizették a következő címre kérjük postai úton eljuttatni: Vezető- és Továbbképzési Intézet, 1518 Budapest, Pf. 26.Kérjük, a küldeményen tüntessék fel: Elektronikus információbiztonsági képzésre jelentkezés. Ezt követően a jelentkezőknek be kell regisztrálnia a oldalon nem tisztviselő szerepkörbe, majd regisztrációjuk jóváhagyása után kapnak hozzáférést az e-learning tananyaghoz. A tananyag elvégzése után szintén a Probono felületről tölthetik le a rendszer által generált tanúsítványt.

11 E-learning képzések módszertana

12 Az e-learning fogalomrendszere E-learning: olyan tanítási és tanulási forma, amiben a tananyag feldolgozásához, bemutatásához, a szemléltetéshez vagy akár a kommunikációhoz digitális médiumokat (például DVD, CD-ROM, Internet) használunk. Szinonimái: online tanulás, távtanulás, számítógéppel támogatott tanulás, multimédia alapú tanulás stb. Jellemzői: Rugalmas tanulási forma, a résztvevő akár otthon, önállóan, a saját időbeosztásuk szerint sajátíthatják el a tananyagot. A tananyagok az interneten keresztül érhetőek el (az infobiztonsági képzések tananyagai a oldalon keresztül). A hagyományos oktatáshoz képest több szemléltetést (ábrák, képek, animációk, stb.) alkalmaz. A résztvevők munkáját képzéstől függően tutorok segíthetik (internetes válaszadás, fórumozás, feladatok kiadása, csoport mozgatása).

13 E-learning módszerek, tananyagtípusok Az e-learning tananyagoknak számos módszertana, megjelenítési formája létezik. Ezek önállóan, illetve egy adott tananyagon belül vegyesen is előfordulnak. Az NKE e- learning tananyagfejlesztései során alkalmazott főbb típusok: E-book: tördelt, kereshető szöveges anyag, amely a hagyományos tankönyvi tanulást előnybe részesítők körében a legszívesebben használt forma. Prezentáció jellegű tananyag: a prezentáció slide-jaihoz hasonló (azoknál rugalmasabb, nagyobb terjedelem strukturált bemutatására alkalmas) képernyőkből felépülő tananyag. Ilyen jellegűek az információbiztonsági e-learning tananyagok is. Videós tananyag: a képernyőn az oktató látható, aki egy egyetemi előadáshoz, egy jelenléti oktatáshoz hasonlóan elmondja a tananyagot. A megértést segítendő a háttérben futhat egy prezentáció. Ilyen esetben az időjárás-jelentéshez hasonló greenbox-technikával történik az előadás felvétele, majd a prezentációval való összeillesztése. Animációs tananyag: rajzfilmszerű megjelenítési mód, kiválóan alkalmas rövidebb kis történetek, jelenetek bemutatására.

14 A tananyag felépítése, főbb elemei A prezentációs típusú e-tananyagok elemei a következők: Törzsanyag: a tananyag legfontosabb információit tartalmazza, szöveges formában, valamint képek, ábrák stb. formájában. Szakanyag: a tananyaghoz készített írott jegyzet, ami gyakran az adott témakör mélyebb szintű bemutatására is alkalmas. Fogalomtár: a tananyagban előforduló fogalmak magyarázata. A törzsanyagból link segítségével előhívható a megfelelő fogalom magyarázata. Kinyitható/bezárható szövegdobozok: A törzsanyaghoz nem tartozó, de hasznos, érdekes többlet tudáselemek, amelyeket a felhasználó tud kinyitni, bezárni. Önellenőrző kérdések: a tananyag elsajátítását segítő kérdések, amelyekre a tanulási folyamat közben tud válaszolni a felhasználó. Nem azonos a vizsgával. Szakirodalom, hasznos linkek: közvetlenül nem a tananyaghoz tartozó, mélyebb ismeretek szerzését elősegítő hivatkozások. Záró teszt: vizsgakérdések gyűjteménye.

15 A tananyag követelményei A tananyagok sikeres teljesítéséhez a záró teszt kérdéseit kell az előírt %-os mértékben helyesen megválaszolni. A záró tesztet az e-learning keretrendszer véletlenszerűen állítja össze minden egyes vizsgázó számára egy nagyszámú kérdést és választ tartalmazó kérdésbankból. A főbb kérdéstípusok: Egyszerű választás, Többszörös választás, Sorba rendezés, Párosítás, Mondat kiegészítés. A záró tesztet három alkalommal lehet megkísérelni teljesíteni, a harmadik sikertelen próbálkozás után a képzés elvégzése eredménytelennek minősül.

16 A KÖZREMŰKÖDŐK KÉPZÉSÉNEK ÁTTEKINTÉSE

17 Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Jogalanyok széles körben Szervezeti biztonsági szint Információbizton -sági felügyelő Alapvető biztonsági elvárások Biztonsági vezető és felelős Kormányzati koordináció Biztonsági osztályba sorolás Szervezetek feldatai (Hatóság, NBF, CERT) Oktatás-kutatásfejlesztés Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozási indokok Várható eredmények

18 Információvédelem és menedzsment Az információbiztonság menedzsmentje során a biztonsági csapat munkájának operatív és szakmai irányítása mellett szükséges a fejlesztési és implementációs projektekben is részt venni a biztonsági szint fenntartása és biztosítása érdekében Ezért folyamatosan tájékozódni szükséges az aktuális és feltörekvő veszélyforrásokról. Fontos kialakítani annak a módját, hogy a munkatársak hogyan jelentik a biztonsági eseményeket. A biztonságtudatosságot tanfolyami keretek között az egész szervezeten belül növelni lehet.

19 IBIR A Plan-Do-Check-Act modell

20 Az információbiztonság szervezete Belső szervezet Cél: Az információbiztonság irányítása a szervezeten belül. A vezetés elkötelezettsége az információbiztonság ügye iránt Intézkedés: A vezetésnek világos iránymutatással, elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül. Az információbiztonság koordinálása Intézkedés: Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.

21 Az információbiztonság szervezete Az információbiztonsági felelősségi körök kijelölése Intézkedés: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni. Jogosultsági engedélyezési folyamat az információfeldolgozó eszközökre vonatkozóan Intézkedés: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére. Titoktartási megállapodások Intézkedés: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.

22 Az információbiztonság szervezete Kapcsolattartás a felhatalmazott szervezetekkel Intézkedés: Megfelelő kapcsolatokat kell fenntartani az illetékes felhatalmazott szervezetekkel. Kapcsolattartás speciális érdekcsoportokkal Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal. Az információbiztonság független átvizsgálása Intézkedés: A szervezetnek az információbiztonság kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.

23 Szerepkörök Biztonsági irányító testület - IS security steering committee: az IT biztonság stratégiai irányításáért felelős, az érintett vezetők bevonásával. Felsővezetés - Executive management: kiadja és karban tartatja a szabályzati rendszert, általános felelősséget visel a szervezet információs vagyontárgyaiért. Biztonsági tanácsadó testület - Security advisory group: a biztonsági tervek szakmai véleményezésével foglalkozó belső szervezet. Adatvédelmi felelős - Chief privacy officer (CPO): a személyes adatok védelméért felelős Corvinno Technology Transfer Center 23

24 Szerepkörök Információbiztonsági biztonsági vezető - Chief information security officer (CISO): az információs vagyontárgyak védelméért felelős operatív vezető. Folyamatgazda - Process owners: ellenőrzi, hogy a folyamatban a biztonsági intézkedések megvalósulnak. A adatgazda (data owner) felelős az információk üzleti felhasználásáért, konkrétan: A jogosultságok jóváhagyásáért A jogosultságok megváltoztatásáért A jogosultságok nyilvántartásáért A felhasználó felelős a szabályok betartásáért munkája során. Az adatok megőrzője (custodian) felelős az adatok tárolásáért és védelméért (IT feladat) Corvinno Technology Transfer Center 24

25 Szerepkörök Külső felek - External parties: információbiztonsági szolgáltatást nyújtó, szervezeten kívüli szereplők. Biztonsági adminisztrátor - Security administrator: üzemelteti a védelmi rendszereket a belső utasítások szerint, valamint ellenőrzi a jogosultságok megfelelő felhasználását. Biztonsági tanácsadók - Security specialists/advisors: szabályozással, tervezéssel kapcsolatos részfeladatokat ellátó külső felek Fejlesztők - IT developers: biztonsági intézkedéseket implementálnak az alkalmazásokba. Auditorok - IS auditors: független garanciát adnak a biztonsági intézkedések megfelelőségéről Corvinno Technology Transfer Center 25

26 Tudatosság és képzés Egy szervezet nem tud biztonságosan működni, ha azok az emberek, akik az IT rendszereket használják és működtetik, nem ismerik szerepüket és felelősségüket a rendszerben, nem értik meg a szervezet IT biztonsági szabályzatát, gyakorlatát és eljárásait, nincs legalább alapvető képük a különböző menedzsment, üzemeltetési és technikai eljárásokról. A szerepkörtől függően három szintet különböztetünk meg: Tudatosság az összes felhasználónak, Képzés az összes IT-vel kapcsolatba kerülő felhasználónak a biztonsági alapokról, Oktatás az IT rendszerben felelősséggel rendelkező embereknek a gyakorlatról, különböző szinteken. Fenyegetések a tudatossággal és képzéssel kapcsolatban: A felhasználók nincsenek tudatában a veszélyeknek Az üzemeltetők nem ismerik az üzemeltetési jógyakorlatokat A felelősök nem tudják számon kérni az üzemeltetőktől a biztonságos működést

27 Tudatosság és képzés A COBIT szerint a következőkkel kell foglalkozni. Az oktatási igények meghatározása: Az előzőek alapján valamennyi alkalmazotti csoportnak ki kell dolgozni egy képzési tematikát. A képzés megszervezése: Minden oktatás más igényt támaszt. A megrendelőnek el kell tudnia dönteni, hogy milyen oktatást akar. A biztonsági alapelvekre és a tudatosságra irányuló képzés: A biztonsági alapokkal minden dolgozónak tisztában kell lennie. Ezt a tudást rendszeresen frissíteni kell. A képzés minimálisan tartalmazza az etikai szabályokat, a CIA sérülések elleni védelmet és a biztonságos felhasználást.

28 Személyzet A személyzeti biztonság a következő dolgokat érinti a NIST SP alapján. Személyzeti biztonsági szabályzat és eljárások: Legyen egy olyan szabályzat, ami tartalmazza a felelősségeket, szerepköröket, stb. Legyen leírva, hogy az alkalmazottakkal milyen módon kell foglalkozni. Pozíció kategorizálás: Minden betöltött szerepkörhöz tartozzon egy kockázatelemzés, és a szerepkört ennek megfelelően kezeljék. A személyzet ellenőrzése Mielőtt valakinek hozzáférést adnak a rendszerhez, le kell ellenőrizni a személyt.

29 Személyzet Elbocsátás: Legyenek kidolgozott eljárások arra az esetre, ha valakit el kell bocsátani a szervezettől. Személy áthelyezése: Legyenek kidolgozott eljárások arra az esetre, ha valakit a szervezeten belül áthelyeznek. Felhasználási nyilatkozat: Minden alkalmazott írjon alá egy nyilatkozatot a rendszer használatáról. Tipikusan ilyen a titoktartási nyilatkozat.

30 Személyzet Külső felhasználók kezelése Alvállalkozók, megbízottak rendszerhez való hozzáférést sokkal alaposabban kell megvizsgálni, mint egy saját alkalmazottat. Büntetések: Bizonyos esetekben, pl. az információbiztonsági szabályzat megsértésekor az alkalmazottal szemben valamilyen büntetést célszerű foganatosítani. Ilyen lehet pl. a fizetésmegvonás.

31 Eljárások az elbocsátásnál A kulcsok, belépőkártyák visszakérése, amivel a fizikai hozzáférést lehet megakadályozni. A felhasználónevek, jelszavak törlése/letiltása, amivel a rendszerhez való hozzáférést lehet megakadályozni. Itt egyéni megállapodás köthető arról, hogy az elbocsátott személy milyen adatot vagy azonosítót vihet magával. A biztonsági személyzet és az érintett munkatársak értesítése az elbocsátásról. Az elbocsátott alkalmazott lehúzása a fizetési listáról. A cég tulajdonában álló eszközök (különösen informatikai) eszközök visszaszerzése.

32 Mi a hozzáférés-ellenőrzés? A hozzáférés-ellenőrzés (access control) olyan biztonsági mechanizmusok gyűjteménye, mely meghatározza, hogy a felhasználók mit tehetnek a rendszerben, azaz milyen erőforrásokhoz férhetnek hozzá, és milyen műveleteket hajthatnak végre. Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó milyen felhatalmazással férhet a rendszerhez, milyen alkalmazásokat futtathat, mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból. Két lépésből áll: azonosítás (identification) és hitelesítés (authentication). A hozzáférés-ellenőrzés része az elszámoltathatóság. Alapja a kockázatelemzés során elvégzett adatvagyon felmérés, és az ebből következő adatklasszifikáció.

33 Hozzáférés-védelem típusai A hozzáférés-védelem célja a szubjektumok objektumokhoz való hozzáférésének szabályozása, azaz a biztonsági szabályzatok érvényre juttatása. Alapvetően két típusa ismert: Kötelező hozzáférés-védelem (Mandatory Access Control) Tetszőleges hozzáférés-védelem (Discretionary Access Control) Tipikusan operációs rendszerekben találkozunk velük.

34 Kötelező hozzáférés-védelem Mandatory Access Control (Kötelező hozzáférés-védelem, előre meghatározott hozzáférés-ellenőrzés) Amikor egy rendszer mechanizmusa határozza meg az objektum hozzáférés szabályait, és egy egyedi felhasználó nem módosíthat ezen, a szabályozást mandatory access controlnak (MAC) nevezzük. Az operációs rendszer MAC-ot kényszerít ki. Sem a szubjektum, sem az objektum tulajdonosa nem határozhatja meg, hogy a hozzáférés engedélyezett legyen. Tipikusan egy rendszereljárás ellenőrzi a szubjektumhoz és az objektumhoz tartozó információkat, és ez alapján dől el, hogy a szubjektum hozzáférhet-e az objektumhoz. Szabályok írják le, hogy milyen feltételek mellett engedélyezett a hozzáférés.

35 Tetszőleges hozzáférés-védelem Discretionary Access Control (Belátáson alapuló hozzáférés-ellenőrzés, diszkrecionális védelmi stratégia, Tetszőleges hozzáférés-védelem, önkényes hozzáférés kontroll) Ha egy egyéni felhasználó beállíthatja a hozzáférési szabályokat egy objektumhoz való hozzáférés engedélyezésére vagy tiltására, akkor ezt az eljárást discretionary access controlnak (DAC) nevezzük. A DAC hozzáférési jogosultsága a szubjektum identitásán alapszik, és az objektum identitása is bele van számítva.

36 Honnan származnak a fenyegetések? Belső támadók Hitelesített felhasználók, akik olyan adatokhoz vagy erőforrásokhoz akarnak hozzáférni, ami sérti a legkevesebb jogosultság elvet. Lehet szándékos vagy vétlen támadás. Külső támadók: Nem hitelesített felhasználók, akik a hitelesítési eljárások megkerülésével férnek hozzá az adatokhoz. Hackerek, crackerek A legveszélyesebbek a belső támadók.

37 Védelmi intézkedések Fizikai: Belépőkártyák, Forgóvillák, Biztonsági őrök, stb. Logikai Jelszavak, Tűzfalak, Vírusirtók, stb. Adminisztratív Szabályok és eljárások, Biztonsági tudatosság-oktatás, Feladatok rotálása, stb.

38 Azonosítás Röviden: a szubjektum megnevezése. Kicsit bővebben: a rendszer entitásainak egyedi azonosítóval való ellátásának folyamata. Az elszámoltathatóság alapfeltétele az, hogy minden eseményt egy egyedi entitáshoz tudjunk kötni. Követelmények: Az azonosítás biztonságos és dokumentált folyamat. Az azonosítók formátuma belső szabványban van leírva. Az azonosító nem utalhat az entitás funkciójára (pl. beosztás). Egy azonosító nem osztható meg több entitás között. Az azonosító ellenőrzése egyszerű folyamat kell, hogy legyen. Az azonosító egyedi kell, hogy legyen.

39 Hitelesítés A hitelesítés az a folyamat, mely arra szolgál, hogy az entitás bizonyítsa az önmagáról állítottak valódiságát. A felhasználó bemutatja a rendszernek az azonosítóját, amit a rendszer hitelesít, mielőtt engedné hozzáférni a rendszerhez. Három típusa ismert: Tudás alapú, Tulajdon alapú, Tulajdonság alapú. A jó hitelesítés során a háromból legalább kettőt, egymástól függetlenül kell használni! Ez az erős autentikáció vagy többlépcsős hitelesítés. Ezek a leggyakoribb hozzáférés-ellenőrzési megelőző védelmi intézkedések.

40 Tudás alapú hitelesítés Minden olyan hitelesítés eljárás ide tartozik, amit a felhasználó tud. Tipikusan a jelszavak tartoznak ebbe a körbe. Néhány tanács a jelszóhasználathoz: A jelszavak élettartamát korlátozzuk! A jelszó ne legyen szótári alakú szó! A jelszó tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket! Minél hosszabb egy jelszó, annál jobb. Legyen legalább 8 karakter! Értékeljük a rendszer kritikusságát, és annak megfelelően más-más jelszavakat használjunk! Bizonyos számú hibás próbálkozás után a rendszer zárja ki a felhasználót!

41 Tudás alapú hitelesítés A jelszavak ellen háromféle tipikus támadást szoktak indítani. A jelszavak tárolási gyengeségét kihasználó támadások: A jelszavaknak jó esetben a lenyomatát tárolják A lenyomatképző függvények gyengeségei segítségével vissza lehet állítani az eredeti jelszót A jelszavak gyengeségeit kihasználó támadások Brute-force támadás Minden karakter végigpróbálását jelenti Social engineering Kérdezzük meg, hátha elmondják Az emberek hihetetlenül naivak és segítőkészek

42 Tulajdon alapú hitelesítés Azok a hitelesítési eljárások tartoznak ebbe a körbe, amelyek egy felhasználó birtokában levő eszközt vonnak be az autentikációba. Pl. egyszer használatos jelszavak out-ofband csatornákon: O(ne)T(ime)P(assword) jelszólista Mobiltelefonon érkező kód Tokenek Intelligens kártyák

43 Tokenek Két típusa használatos: szinkron, aszinkron. A szinkron tokeneken belül megkülönböztetünk: Számlálón alapuló tokent: a token és a szerver között van egy szinkronizált közös titkos kulcs, és egy belső számlálóval, ezek lenyomatából jön ki az OTP. Időn alapuló token: belső számláló helyett a szinkronizált időt használják fel. Az aszinkron tokenek kihívás-válasz (challengeresponse) alapon működnek. A szerver és a token közös kulcsot használ. A szerveren megjelenő kihívást beírva a tokenbe, megjelenik a válasz.

44 Intelligens kártyák Ebben a témakörben nem foglalkozunk a mágnescsíkos, a memóriachipes és közelítőkártyákkal. A legbiztonságosabbak a mikroprocesszorral ellátott kártyák. Ez az adattárolás mellett az adatok feldolgozására is képes. Kitűnően használható kriptográfiai műveletek támogatására. Gyakorlatilag nem nyerhető ki a rajta tárolt titkos információ.

45 Tulajdon alapú hitelesítés Legegyszerűbb támadás a lopás Az intelligens kártyák ellen több támadás ismert, azonban ezek költséghatékonysága megkérdőjelezhető Következtetések a kártya fogyasztásából A chip módosítása Optikai támadás a kártyák ellen Egyszerűbb a tulajdon és az azt feldolgozó eszköz közötti adatutat támadni.

46 Tulajdonság alapú hitelesítés A személyre jellemző biometrius tulajdonságok alapján történő hitelesítés. Ide tartozik többek között: Ujjlenyomat Retina Írisz Hang Tenyér Aláírás Arc Egyre több helyen használják ezt a technológiát.

47 Tulajdonság alapú hitelesítés Támadások a tulajdonság alapú hitelesítés ellen: Gumiujj Szkennelt ujjlenyomat Felvett hangminta

48 Biometrikus eljárások tulajdonságai Megfelelőség: Hibás visszautasítási ráta (False Reject Rate FRR): A rendszer hányszor utasít vissza jogosult felhasználót. Hibás elfogadási ráta (False Accept Rate FAR): A rendszer hányszor enged be nem jogosult felhasználót. Metszésponti hibaarány (Crossover Error Rate CER): A valódi hibaarány, amikor az FRR és a FAR megegyezik. Feldolgozási sebesség: Mennyi idő alatt képes a rendszer a beolvasott jellemzőt feldolgozni. Felhasználói elfogadás: Az adott technológiát mennyire fogadják el azok, akiknek alá kell vetniük magukat. Pl. mit szólnának egy DNS elemzésre vérvétellel?

49 Biometrikus eljárások tulajdonságai FAR FRR Hibák CER Érzékenység

50 Decentralizált modellek Sok felhasználó hozzáférését elvileg megoldottuk. De mi van akkor, ha egy felhasználó több rendszerhez szeretne hozzáférni ugyanazzal a hitelesítéssel? Ekkor használjuk az egyszeri belépés (single sign-on SSO) technológiát. Példa lehet erre az Ügyfélkapu, ahol egyszeri belépés után tudunk (elvileg) elérni további e-közigazgatási szolgáltatásokat további hitelesítés nélkül. SSO-t akkor éri meg használni, ha Sok belépési pont van, Nagyszámú munkaállomást kell kezelni, Sok alkalmazást használnak a szervezetben, A hozzáférés-ellenőrzés adminisztrációját egyszerűsíteni kell a hatékonyság érdekében.

51 Decentralizált modellek Az SSO előnyei: A felhasználóknak csak egyszer kell hitelesítenie magát. Nem kell több jelszót megjegyezni, így egyszerűbb erős jelszót kikényszeríteni. A jelszómenedzsment és a változáskezelés leegyszerűsödik. Könnyebb a felhasználói fiókok felfüggesztése. Az SSO hátrányai: Ha egyszer egy jelszó kitudódik, a támadó mindenhez hozzáfér. A heterogén környezetben nehéz a megvalósítása.

52 Tűzfalak Olyan eszközök, amelyek a hálózati forgalom szűrésére szolgálnak Egy ponton kontrolláljuk a forgalmat, szabályok alapján Több tűzfal típus, manapság kombinált megoldások

53 Tűzfal topológiák Két lábú tűzfal: külső és védett hálózat között Három lábú tűzfal: külső, DMZ és védett hálózat. (Fizikailag lehet több tűzfalból is!) Personal firewall: egy gépet védő tűzfal, magán a védendő gépen telepítve (tudja figyelni az egyes alkalmazásokat is!) Egyéb tűzfalak által megvalósított, nem forgalomszűrési funkciók: terheléselosztás, nagy rendelkezésre állás, NAT

54 DMZ DMZ: demilitarizált zóna A külső hálózat és a védett hálózat védelmi szintje között elhelyezkedő szegmens Ide helyezzük a külső szolgáltatásokat nyújtó gépeket Kompromittálódása esetén még mindig van egy védelmi vonal a belső hálózat felé DMZ és belső háló közötti forgalom erősen korlátozott Megvalósítás: 3 lábú tűzfallal, több tűzfallal

55 Távoli hozzáférés A távoli hozzáféréssel kapcsolatban az alábbi követelményeket kell figyelembe venni: Legyen megfelelő felhasználó és rendszerhitelesítés, Megfelelő hozzáférési jogosultságokat kell biztosítani az entitásoknak, Gondoskodni kell a bizalmas adatok védelméről, Legyen naplózva és auditálva a távoli hozzáférési tevékenység, Transzparens hozzáférés kell az erőforrásokhoz, Földrajzi helytől függetlenül meg kell oldani a hozzáférést, Az összes távoli felhasználó hozzáférését biztosítani kell, ha szükséges, Mindezt minimális költséggel kell megoldani. A távoli hozzáférés módjai: Telefonhálózaton keresztül, Dedikált (bérelt) vonalakon, Interneten keresztül.

56 Virtuális magánhálózatok (VPN) Olyan megoldások halmaza, melyek a szélessávú internetkapcsolatot felhasználva, a nyílt interneten keresztül kapcsolják össze a felhasználót és a vállalati hálózatot. A VPN biztosítja a bizalmasságot, az adat sértetlenségét és a hitelesítést. A szabvány támogatja gyakorlatilag minden protokoll összefogását és becsomagolását a forrásnál, továbbítását a 2. vagy 3. rétegen, és kicsomagolását a címzettnél. Három elterjedt formája van: Point-to-Point Tunneling Protocol (PPTP), IPSec, Layer 2 Tunneling Protocol (L2TP) over IPSec.

57 Internetes fenyegetések Passzív támadások Network analysis Eavesdropping Traffic analysis Corvinno Technology Transfer Center 57

58 Internetes fenyegetések Corvinno Technology Transfer Center 58

59 Rosszindulatú kódok Olyan szoftverek, melyek szándékosan úgy lettek megírva, hogy működésük közben betörjenek egy rendszerbe, áthágják a biztonsági szabályzatokat vagy kárt okozzanak. Rengeteg csoportosításuk van, talán a legegyszerűbb három alapvető csoportba osztani őket: Vírusok (virus): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozik. Önmagát sokszorosítja, de terjedni csak emberi segítséggel tud. Férgek (worm): Olyan kód, mely önmagában hordozza a károkozó tartalmat. Önmagát sokszorosítja, emberi beavatkozás nélkül tud terjedni (hálózaton). Trójaiak (trojan): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozva hasznos funkcionalitást hitet el magáról. Önmagát nem sokszorosítja, terjedni általában más rosszindulatú kóddal szokott Corvinno Technology Transfer Center 59

60 Behatolás-detektálás A leggyakoribb hozzáférés-ellenőrzési felderítő védelmi intézkedés a behatolásdetektáló rendszerek (IDS) használata. Ezek elve azon alapul, hogy a támadásokat különböző hálózati vagy erőforrásbeli jellemzők alapján észre lehet venni. Ezek a jellemzők a rendszer naplóállományaiból derülnek ki. Az IDS rendszerek tehát a rendszer naplóállományainak elemzéséből próbálnak támadásokat felismerni. Egy tipikus IDS három elemből áll: Szenzor Elemző Felhasználói felület

61 Behatolás-detektálás A hálózati IDS-ek (NIDS) az átviteli csatorna forgalmát monitorozzák valós időben. Passzív eszközök, így nem használják a csatorna erőforrásait. A rendszer a hálózati csomagok felépítését, tulajdonságait vizsgálja. Ha gyanús dolgot észlel, figyelmezteti az operátort. Általában önálló kliensen fut, így nem kell az éles környezetbe beavatkozni, viszont nehezen skálázható. A titkosított csomagokkal nem tud mit kezdeni, itt különböző trükkökre van szükség.

62 Behatolás-detektálás A kiszolgáló alapú IDS-ek (HIDS) egy kiszolgálóra telepített szenzortól gyűjtenek információkat. A szenzor ennek a kiszolgálónak a naplóállományait elemzi, és ebből próbál információkat szerezni. Ha több hoston van telepítve szenzor, akkor ezek adatait egy központi gépen lehet elemezni. Az IDS-ek három elv szerint képesek a támadásokat azonosítani: Szabályok alapján Statisztikai alapon Szignatúra alapon

63 Behatolás-detektálás A szabályalapú IDS-ek abból indulnak ki, hogy a támadások leírhatók egy szekvenciában, amik kompromittált állapotba vezetnek. Ilyen pl. a Snort, ami tipikus támadási formákat ismer fel. Ezek nem elég rugalmasak, de tipikus támadások kiszűrésére kiválóak. A statisztikai alapú IDS-ek a szabályalapú IDS-ek gyengeségét hivatottak kiküszöbölni. A naplóállományokat vizsgálják, és a normális menettől való eltéréseket próbálják megtalálni. Hátránya, hogy rengeteg, sokszor irreleváns adatot generál.

64 Behatolás-detektálás A szignatúra alapú IDS-ek a hálózati csomagokban található információkat vizsgálják. Hasonlóan a vírusirtókhoz, az ismert támadásokat próbálják azonosítani. Hátránya szintén az, hogy nem elég rugalmas. Az IDS-ek jelzéseire lehet manuálisan (adminisztrátori beavatkozás) és automatikusan (IPS-ek, tűzfalak) is reagálni. A technológia nagy hátránya, hogy rengeteg fals pozitív jelzés érkezik. De kiválóan alkalmasak ellenőrzési nyomok (audit trail) rögzítésére.

65 A kriptográfia célja Olyan matematikai algoritmusok, amelyek a CIA hármasból elsősorban a C bizalmasság és a I integritás megvalósítására szolgál A titkosítás hagyományosan (ahogy neve is mutatja) az illetéktelen hozzáférés ellen szolgált

66 Alapfogalmak Nyílt szöveg (cleartext) a titkosítatlan információ, nem csak az arra feljogosított számára értelmezhető Titkos szöveg (ciphertext) a titkosított információ, ebben a formájában értelmezhetetlen Kulcs olyan információ, amely segítségével a titkosítási műveletek elvégezhetők Algoritmus (módszer) - olyan eljárás, amely a nyílt és a titkos szöveg közötti konverziót (betitkosítás encryption; kititkosítás, megfejtés - decryption) végzi a kulcs segítségével

67 Titkosítás általában

68 Szimmetrikus és aszimmetrikus Ha a két kulcs ugyanaz szimmetrikus titkosítás titkos kulcsú titkosítás a kulcsnak titokban kell maradnia általában egyszerű, gyors algoritmusok Ha a két kulcs nem ugyanaz aszimmetrikus titkosítás nyílt kulcsú titkosítás az egyik kulcsnak nem kell titokban maradnia (lásd később) lassabb, bonyolultabb algoritmusok

69 Titkosítás Cél: a tárolt vagy átvitt információt elrejteni az illetéktelenek elől Két alapvető eljárás: blokkos a nyílt szöveget blokkonként (pl. 64 bit) titkosítjuk folyam (stream) a nyílt szöveget bitenként (pl. XOR) titkosítjuk. Visszacsatolt shiftregiszterrel blokkosból is lehet speciális eset: a kulcs mérete megegyezik a nyílt szövegével, bitenként XOR one time pad elvileg sem törhető

70 Titkosítás Blokktitkosító Folyamtitkosító

71 Alaptípusok Helyettesítéses titkosítás pl. Caesar: TITKOS -> ZOZLPD Keveréses TITKOS > OTSKIT Illetve ennek kombinációi, karakter, blokk vagy bit szinten

72 Kulcsszétosztás problémája Szimmetrikus titkosítás: gyors, egyszerű, de hogyan cserélünk kulcsokat? A küldőnek és a fogadónak (és csak nekik!) is birtokában kell lennie a kulcsnak Megbízható csatorna kell a kulcs átvitelére: személyesen, futár, stb. Nehezen működik tetszőleges felek között Nem skálázható

73 A megoldás: nyíltkulcsú titkosítás Kulcspár: titkos (privát) és nyilvános (publikus) Speciális algoritmus: amit a titkos kulccsal titkosítunk, csak a nyilvánossal fejthetjük meg amit a nyilvános kulccsal titkosítunk, csak a titkossal fejthetjük meg a nyilvános kulcsból nem következtethető ki a titkos A nyilvános kulcs nyilvánosságra hozható

74 Titkos átvitel A küld B-nek: B nyilvánosságra hozza nyilvános kulcsát A ezzel a kulccsal titkosítja az üzenetet és elküldi B-nek B a saját titkos kulcsával megfejti E lehallgatja az üzenetet, de neki nincs meg a titkos kulcs, nem tudja megfejteni! Kulcsszétosztás problémája megoldva: a nyilvános kulcs kiadható, a titkosra pedig csak a fogadónak van szüksége Másik irányú átvitelhez A kulcsára van szükség

75 Nyilvános kulcsú titkosítás

76 Gyakorlati megvalósítások A teljes üzenet titkosítása nem praktikus nyilvános aszimmetrikus módszerrel Generálunk egy véletlen kulcsot szimmetrikus eljáráshoz (session key) A két kommunikáló fél nyílt kulcsú eljárást használva megosztja a véletlen kulcsot A további kommunikáció szimmetrikus módszerrel történik Ilyen módszert használ pl. az SSL algoritmus is.

77 Forrás hitelesítése B üzenetet küld A-nak, és A szeretne meggyőződni, hogy tényleg B-től jött B titkosít saját titkos kulcsával A (és bárki más) az üzenetet megfejti B nyilvános kulcsával Az üzenet biztosan B-től származik, csak a titkos kulccsal lehet olyan üzenetet készíteni, amit a nyilvánossal lehet megfejteni F-nek nincs birtokában B titkos kulcsa, nem tud B nyilvános kulcsával megfejthető üzenetet generálni

78 Forrás hitelesítése

79 Példák Szimmetrikus DES double, triple-des IDEA RC5 AES (Rinjdael) Nyílt kulcsú RSA ElGamal Diffie-Hellman Elliptikus Görbék Hash SHA-1 MD5

80 Alkalmazások Tárolt adatok titkosítása, Azonosítás és hitelesítés (pl. TLS, Kerberos), Hálózati kommunikáció titkosítása (pl. SSL, VPN), Dokumentumok sértetlenségének biztosítása, Operációs rendszer sértetlenségének biztosítása, stb.

81 Mi is az elektronikus aláírás? Olyan elektronikus formában rendelkezésre álló adatot jelent, mely hozzá van csatolva vagy logikailag társítva van egy másik elektronikus adathoz és a hitelesítés funkcióját látja el. Ez jelentheti akár a digitalizált hagyományos aláírást is, de NEM ezt értjük alatta a gyakorlatban!!!

82 Mi is az elektronikus aláírás? Az elektronikus aláírás a gyakorlatban egy olyan digitális adat, mely: az aláírt dokumentum lenyomatát felhasználva, az aláíró titkos kulcsával kódolva jön létre, mely egy aláírás-létrehozó eszközön található, felhasználva az aláíró tanúsítványát, amiben a dekódoló nyilvános kulcs is megtalálható, melynek érvényessége a visszavonási listán található, valamint tartalmazhat egy időbélyegzőt, melyek a hitelesítés-szolgáltatótól szerezhetők be.

83

84 A fizikai biztonság célja A fizikai biztonság célja létrehozni a a munkatársak a folyamatok és a vagyontárgyak egy olyan biztonságos környezetét amelyben a biztonsági kritériumok kockázat és értékarányosan fenntarthatók.

85 Osztályozás A fizikai biztonság hatáskörében kezelt rendszereket Statikus rendszerek fixen telepített objektumok, mint pl. épületek Mobil rendszerek helyváltoztatásra képes objektumok, mint pl. műszerkocsik (geofizika, média) Hordozható rendszerek amelyek üzemelhetnek statikus és mobil rendszeren belül, vagy a szabad ég alatt is. csoportokba osztjuk

86 Kihívások A fizikai biztonság kérdése azért is komplex, mivel az emberek (munkatárs is, támadó is) Látják a telepített kontrollokat Felmérhetik a lehetséges gyenge pontokat Bonyolult támadási stratégiákat dolgozhatnak ki Az információs rendszerek védelmi mechanizmusai alapvetően logikai védelmet biztosítanak így minden ellen védhetnek, csak a fizikai közelségben lévő támadó ellen nem.

87 Veszélyforrások csoportosítása Környezeti Földrengés, vihar, árvíz, földcsuszamlás, vulkánkitörés, tűzvész, extrém magas/alacsony hőmérséklet Szolgáltatás Kommunikációs csatornák sérülése, áramkimaradás, csőtörés (víz, gáz) Politikai események Sztrájkok, zavargások, kémkedés, terrorcselekmények Humán Robbantás, illetéktelen hozzáférés, felhasználói hiba, üzemeltetői hiba, szándékos károkozás, kártékony kód, környezetszennyezés (mérgezés)

88 Kockázatelemzés A létező veszélyforrásokat mind figyelembe venni, a kevésbé valószínűeket is. Olyan védelmi intézkedéseket kidolgozni, amelyek Hatékonyak Kockázat és kárérték arányosak A védelmi intézkedések kidolgozásakor az életvédelmi szempontnak elsődlegesnek kell lennie! (ld. üzletben bennégett vásárlók a lezárt vészkijáratok miatt)

89 Információvédelmi környezet Utak, járdák, parkok Kert, parkoló, járda Kapuk, ajtók, ablakok, tetőablakok, kiszolgáló nyílások Ügyféltér, privát, titokszoba

90 Kiszolgáló rendszerek Energiaellátás Vízellátás Szennyvíz és esővíz elvezetés Fűtés, hűtés és szellőztetés Milyen korlátokkal bír a rendszer/szolgáltató Erősáramú kábelezés, gyengeáramú kábelezés Mennyire hozzáférhetők a kábelek?

91 Elektromos ellátás zavarai Teljes áramkimaradás Pillanatnyi áramszünet Feszültségcsökkenés általában hálózati túlterhelés miatt Egy-két ciklusnyi vagy 1-2 mp-es feszültségcsökkenés (sag/dip) nagyobb fogyasztó elindulásakor, vagy szolgáltató oldali hibák miatt Feszültségtüske pillanatnyi feszültségnövekedés villámlás, erőmű vagy generátor elindul/leáll, oszlopdöntés, egyéb elektromos eszköz Bekapcsolási túláram pl. hűtő Elektrosztatikus kisülések

92 Interferencia Elektromágneses interferencia (EMI) Látható: pl. hullámzó képernyőjű monitorton Tapasztalható: pl. hibás programfutás, összeomlás, adatvesztés mégneses adathordozó esetén Rádiófrekvenciás interferencia (RFI) Olyan mint az EMI, de magasabb frekvencián Hallható: közép és hosszúhullámú rádióadók nyávogásaként, hangkártyákon alaplapzajként Tapasztalható: UTP kábelezés túl közel pl. fénycsőhöz

93 Biztonsági technológia és eszközök Eszközök (pl.) Rácsok, kapuk, zárak, megfigyelő eszközök, behatolás érzékelő eszközök, riasztók, generátorok, tűzoltó berendezések, zárható szekrények és széfek Folyamatok (pl.) Megelőző (beléptetés, azonosítás, karbantartás, fejlesztés) Beavatkozó (tettenérés, tűzoltás, igazoltatás) Követő (megfigyelés, bizonyítás, fejlesztés) Mindezek együtt biztosítják a folyamatos ügyvitelt, és az illegális tevékenység felfedését és kezelését.

94 Tűzvédelem Megelőző, észlelő és oltó kontrollokat különböztetünk meg Megelőzés Az épület helyiséget tűzvédelmi osztályokba besorolni A kockázatkezelés során besorolt kiemelt biztonsági szintű illetve nagy zónákat védeni Ilyen helyeken tűzálló falakat, ajtókat, burkolást alkalmazni Gyúlékony anyagokat (pl. csomagolóanyag) ne tároljunk a szerverszobában Rendszeres karbantartásokat elvégezni Mérgező gázokkal égő anyagokat (pl. mágnesszalag) tűzálló páncélszekrényben tárolni, lehetőleg off-site.

95 Tűzvédelem Észlelés Optikai füstérzékelők Kémiai füstérzékelők Hőérzékelők és ezek kombinációi Oltás Hordozható oltóberendezések A típus éghető szilárd anyagra B típus éghető folyadékra C típus elektromos környezetre

96 Tűzvédelem Automatikus oltás CO2 főleg automata környezetben jó Desztillált víz szerverszobában is jó Késleltetett indítást kell alkalmazni, hogy az emberek elhagyhassák a területet Vészleállító mechanizmust is be kell iktatni Karbantartás Tesztelés

97 Célok A fizikai kontrollok alkalmazásának célja, hogy Megakadályozza, vagy késleltesse az illegális tevékenységet Ha megtörténik a mielőbbi felfedését segítse, hogy a beavatkozás a legrövidebb idő alatt megtörténhessen. Ha a támadónak végetlen pénze és ideje van, bármin át tud hatolni nincs 100% biztonság, tudatosan vállalt kockázatok vannak. Az egyik leghatékonyabb módszer a behatolók életének megkeserítésére a héjszerkezetes védelmi modell alkalmazása.

98 A bizonyosság megszerzése Tesztek, gyakorlatok, szimulációk Sebezhetőségvizsgálat, penetrációs tesztek Ellenőrzőlisták Tervezett karbantartások

99 KÖSZÖNÖM A FIGYELMET!