Közreműködők továbbképzésének bemutatása

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Közreműködők továbbképzésének bemutatása"

Átírás

1 Közreműködők továbbképzésének bemutatása Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem

2 Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe

3 A képzések célcsoportjai Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet az infobiztonsági képzéseket az NKE gondozásába helyezte. Célcsoportok: elektronikus információs rendszerek védelméért felelős vezetők, elektronikus információs rendszer biztonságáért felelős személyek, elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek. A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.

4 A tisztviselői képzések jogszabályi háttere A közszolgálati tisztviselőkről szóló évi CXCIX. Törvény NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik). A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. Rendelet továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok 12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók, felkészítése, ellenőrzése, bizonylatok kezelése stb.)

5 A továbbképzés intézményrendszere KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring Irányítás, szabályozás KTK - követelmények - programok minősítése - névjegyzékek Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás NKE - Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése

6 Tisztviselők továbbképzési programjainak típusai Közszolgálati továbbképzési programok (csak az NKE nyújthatja) Vezetőképzési programok (csak az NKE nyújthatja) Szakmai és kompetenciafejlesztő továbbképzési programok Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓ- BIZTONSÁGI KÉPZÉSEK Belső továbbképzések (közigazgatási szervek)

7 Tisztviselők képzési kötelezettsége A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül - Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, - Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés, - középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: - 16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.

8 Információ-biztonsági képzések típusai Képzés célcsoportja elektronikus információs rendszerek védelméért felelős vezetők elektronikus információs rendszer biztonságáért felelős személyek Képzés célja, neve Képzés típusa Belépő képzés E- learning Éves továbbképzés EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés Éves továbbképzés E- learning Blended learning E- learning Óraszá m Tanulmán yi pontérték Képzés díja Ft Ft Ft/félév Ft Elektronikus információbiztonsá gi feladatok ellátásában résztvevő személyek Belépő képzés Éves továbbképzés E- learning E- learning Ft Ft

9 Képzések igénybevétele - tisztviselők A továbbképzési kormányrendelet hatálya alá tartozó jelentkezők (éves képzési tervvel rendelkező tisztviselők) számára a teljesítés feltétele: A megfelelő programot ha még nem történt meg fel kell venni az éves képzési tervbe (ezt a munkáltató tudja elvégezni), A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). A befizetéshez szükséges adatok megtalálhatóak a https://vtki.uni-nke.hu oldalon, a továbbképzések menüpont alatt, az elektronikus információbiztonsági képzések almenüben. Akik felvették a képzést a képzési tervbe, ben kapnak jelzést arról, hogy meghirdetésre került a képzés (kivéve: EIV, ott közvetlenül kommunikálnak a szervezők az érintettekkel). Az e-learning típusú továbbképzési programokat a szorgalmi időszak során, júniustól kezdődően, fokozatosan hirdetjük meg. A tisztviselő kiválasztja a neki megfelelő kurzust (időszakot), és abban az időszakban hozzá fog férni a https://probono.uni-nke.hu oldalról az e-learning tananyaghoz. A hozzáférés előfeltétele hogy regisztrálva legyen a Probono (korábban TVP) oldalon. Sikeres teljesítés esetén a rendszer automatikusan legenerálja a tanúsítványt, amit letölthetnek a tisztviselők a Probono oldalról. Az EIV képzések megszervezése, meghirdetése NEM a Probono oldalon történik, ez ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.

10 Képzések igénybevétele nem tisztviselők A Továbbképzési rendelet személyi hatálya alá nem tartozó (nem közszolgálati tisztviselői jogviszonyban lévő) jelentkezők számára a képzések megkezdésének feltétele, hogy a jelentkező a munkáltató hozzájárulásával a továbbképzésre jelentkezzen (a jelentkezési lap letölthető a honlapról). A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). Ebben az esetben kérjük, a jelentkezési lapokkal és a befizetés igazolásával együtt jelezzék az NKE felé írásban, hogy mely tisztviselők képzési díját fizetik be. A befizetést igazoló szelvény másolatát, valamint azon tisztviselő(k) nevét, aki(k)nek a képzést befizették a következő címre kérjük postai úton eljuttatni: Vezető- és Továbbképzési Intézet, 1518 Budapest, Pf. 26.Kérjük, a küldeményen tüntessék fel: Elektronikus információbiztonsági képzésre jelentkezés. Ezt követően a jelentkezőknek be kell regisztrálnia a https://probono.uni-nke.hu oldalon nem tisztviselő szerepkörbe, majd regisztrációjuk jóváhagyása után kapnak hozzáférést az e-learning tananyaghoz. A tananyag elvégzése után szintén a Probono felületről tölthetik le a rendszer által generált tanúsítványt.

11 E-learning képzések módszertana

12 Az e-learning fogalomrendszere E-learning: olyan tanítási és tanulási forma, amiben a tananyag feldolgozásához, bemutatásához, a szemléltetéshez vagy akár a kommunikációhoz digitális médiumokat (például DVD, CD-ROM, Internet) használunk. Szinonimái: online tanulás, távtanulás, számítógéppel támogatott tanulás, multimédia alapú tanulás stb. Jellemzői: Rugalmas tanulási forma, a résztvevő akár otthon, önállóan, a saját időbeosztásuk szerint sajátíthatják el a tananyagot. A tananyagok az interneten keresztül érhetőek el (az infobiztonsági képzések tananyagai a https://probono.uni-nke.hu oldalon keresztül). A hagyományos oktatáshoz képest több szemléltetést (ábrák, képek, animációk, stb.) alkalmaz. A résztvevők munkáját képzéstől függően tutorok segíthetik (internetes válaszadás, fórumozás, feladatok kiadása, csoport mozgatása).

13 E-learning módszerek, tananyagtípusok Az e-learning tananyagoknak számos módszertana, megjelenítési formája létezik. Ezek önállóan, illetve egy adott tananyagon belül vegyesen is előfordulnak. Az NKE e- learning tananyagfejlesztései során alkalmazott főbb típusok: E-book: tördelt, kereshető szöveges anyag, amely a hagyományos tankönyvi tanulást előnybe részesítők körében a legszívesebben használt forma. Prezentáció jellegű tananyag: a prezentáció slide-jaihoz hasonló (azoknál rugalmasabb, nagyobb terjedelem strukturált bemutatására alkalmas) képernyőkből felépülő tananyag. Ilyen jellegűek az információbiztonsági e-learning tananyagok is. Videós tananyag: a képernyőn az oktató látható, aki egy egyetemi előadáshoz, egy jelenléti oktatáshoz hasonlóan elmondja a tananyagot. A megértést segítendő a háttérben futhat egy prezentáció. Ilyen esetben az időjárás-jelentéshez hasonló greenbox-technikával történik az előadás felvétele, majd a prezentációval való összeillesztése. Animációs tananyag: rajzfilmszerű megjelenítési mód, kiválóan alkalmas rövidebb kis történetek, jelenetek bemutatására.

14 A tananyag felépítése, főbb elemei A prezentációs típusú e-tananyagok elemei a következők: Törzsanyag: a tananyag legfontosabb információit tartalmazza, szöveges formában, valamint képek, ábrák stb. formájában. Szakanyag: a tananyaghoz készített írott jegyzet, ami gyakran az adott témakör mélyebb szintű bemutatására is alkalmas. Fogalomtár: a tananyagban előforduló fogalmak magyarázata. A törzsanyagból link segítségével előhívható a megfelelő fogalom magyarázata. Kinyitható/bezárható szövegdobozok: A törzsanyaghoz nem tartozó, de hasznos, érdekes többlet tudáselemek, amelyeket a felhasználó tud kinyitni, bezárni. Önellenőrző kérdések: a tananyag elsajátítását segítő kérdések, amelyekre a tanulási folyamat közben tud válaszolni a felhasználó. Nem azonos a vizsgával. Szakirodalom, hasznos linkek: közvetlenül nem a tananyaghoz tartozó, mélyebb ismeretek szerzését elősegítő hivatkozások. Záró teszt: vizsgakérdések gyűjteménye.

15 A tananyag követelményei A tananyagok sikeres teljesítéséhez a záró teszt kérdéseit kell az előírt %-os mértékben helyesen megválaszolni. A záró tesztet az e-learning keretrendszer véletlenszerűen állítja össze minden egyes vizsgázó számára egy nagyszámú kérdést és választ tartalmazó kérdésbankból. A főbb kérdéstípusok: Egyszerű választás, Többszörös választás, Sorba rendezés, Párosítás, Mondat kiegészítés. A záró tesztet három alkalommal lehet megkísérelni teljesíteni, a harmadik sikertelen próbálkozás után a képzés elvégzése eredménytelennek minősül.

16 A KÖZREMŰKÖDŐK KÉPZÉSÉNEK ÁTTEKINTÉSE

17 Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Jogalanyok széles körben Szervezeti biztonsági szint Információbizton -sági felügyelő Alapvető biztonsági elvárások Biztonsági vezető és felelős Kormányzati koordináció Biztonsági osztályba sorolás Szervezetek feldatai (Hatóság, NBF, CERT) Oktatás-kutatásfejlesztés Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozási indokok Várható eredmények

18 Információvédelem és menedzsment Az információbiztonság menedzsmentje során a biztonsági csapat munkájának operatív és szakmai irányítása mellett szükséges a fejlesztési és implementációs projektekben is részt venni a biztonsági szint fenntartása és biztosítása érdekében Ezért folyamatosan tájékozódni szükséges az aktuális és feltörekvő veszélyforrásokról. Fontos kialakítani annak a módját, hogy a munkatársak hogyan jelentik a biztonsági eseményeket. A biztonságtudatosságot tanfolyami keretek között az egész szervezeten belül növelni lehet.

19 IBIR A Plan-Do-Check-Act modell

20 Az információbiztonság szervezete Belső szervezet Cél: Az információbiztonság irányítása a szervezeten belül. A vezetés elkötelezettsége az információbiztonság ügye iránt Intézkedés: A vezetésnek világos iránymutatással, elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül. Az információbiztonság koordinálása Intézkedés: Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.

21 Az információbiztonság szervezete Az információbiztonsági felelősségi körök kijelölése Intézkedés: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni. Jogosultsági engedélyezési folyamat az információfeldolgozó eszközökre vonatkozóan Intézkedés: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére. Titoktartási megállapodások Intézkedés: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.

22 Az információbiztonság szervezete Kapcsolattartás a felhatalmazott szervezetekkel Intézkedés: Megfelelő kapcsolatokat kell fenntartani az illetékes felhatalmazott szervezetekkel. Kapcsolattartás speciális érdekcsoportokkal Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal. Az információbiztonság független átvizsgálása Intézkedés: A szervezetnek az információbiztonság kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.

23 Szerepkörök Biztonsági irányító testület - IS security steering committee: az IT biztonság stratégiai irányításáért felelős, az érintett vezetők bevonásával. Felsővezetés - Executive management: kiadja és karban tartatja a szabályzati rendszert, általános felelősséget visel a szervezet információs vagyontárgyaiért. Biztonsági tanácsadó testület - Security advisory group: a biztonsági tervek szakmai véleményezésével foglalkozó belső szervezet. Adatvédelmi felelős - Chief privacy officer (CPO): a személyes adatok védelméért felelős Corvinno Technology Transfer Center 23

24 Szerepkörök Információbiztonsági biztonsági vezető - Chief information security officer (CISO): az információs vagyontárgyak védelméért felelős operatív vezető. Folyamatgazda - Process owners: ellenőrzi, hogy a folyamatban a biztonsági intézkedések megvalósulnak. A adatgazda (data owner) felelős az információk üzleti felhasználásáért, konkrétan: A jogosultságok jóváhagyásáért A jogosultságok megváltoztatásáért A jogosultságok nyilvántartásáért A felhasználó felelős a szabályok betartásáért munkája során. Az adatok megőrzője (custodian) felelős az adatok tárolásáért és védelméért (IT feladat) Corvinno Technology Transfer Center 24

25 Szerepkörök Külső felek - External parties: információbiztonsági szolgáltatást nyújtó, szervezeten kívüli szereplők. Biztonsági adminisztrátor - Security administrator: üzemelteti a védelmi rendszereket a belső utasítások szerint, valamint ellenőrzi a jogosultságok megfelelő felhasználását. Biztonsági tanácsadók - Security specialists/advisors: szabályozással, tervezéssel kapcsolatos részfeladatokat ellátó külső felek Fejlesztők - IT developers: biztonsági intézkedéseket implementálnak az alkalmazásokba. Auditorok - IS auditors: független garanciát adnak a biztonsági intézkedések megfelelőségéről Corvinno Technology Transfer Center 25

26 Tudatosság és képzés Egy szervezet nem tud biztonságosan működni, ha azok az emberek, akik az IT rendszereket használják és működtetik, nem ismerik szerepüket és felelősségüket a rendszerben, nem értik meg a szervezet IT biztonsági szabályzatát, gyakorlatát és eljárásait, nincs legalább alapvető képük a különböző menedzsment, üzemeltetési és technikai eljárásokról. A szerepkörtől függően három szintet különböztetünk meg: Tudatosság az összes felhasználónak, Képzés az összes IT-vel kapcsolatba kerülő felhasználónak a biztonsági alapokról, Oktatás az IT rendszerben felelősséggel rendelkező embereknek a gyakorlatról, különböző szinteken. Fenyegetések a tudatossággal és képzéssel kapcsolatban: A felhasználók nincsenek tudatában a veszélyeknek Az üzemeltetők nem ismerik az üzemeltetési jógyakorlatokat A felelősök nem tudják számon kérni az üzemeltetőktől a biztonságos működést

27 Tudatosság és képzés A COBIT szerint a következőkkel kell foglalkozni. Az oktatási igények meghatározása: Az előzőek alapján valamennyi alkalmazotti csoportnak ki kell dolgozni egy képzési tematikát. A képzés megszervezése: Minden oktatás más igényt támaszt. A megrendelőnek el kell tudnia dönteni, hogy milyen oktatást akar. A biztonsági alapelvekre és a tudatosságra irányuló képzés: A biztonsági alapokkal minden dolgozónak tisztában kell lennie. Ezt a tudást rendszeresen frissíteni kell. A képzés minimálisan tartalmazza az etikai szabályokat, a CIA sérülések elleni védelmet és a biztonságos felhasználást.

28 Személyzet A személyzeti biztonság a következő dolgokat érinti a NIST SP alapján. Személyzeti biztonsági szabályzat és eljárások: Legyen egy olyan szabályzat, ami tartalmazza a felelősségeket, szerepköröket, stb. Legyen leírva, hogy az alkalmazottakkal milyen módon kell foglalkozni. Pozíció kategorizálás: Minden betöltött szerepkörhöz tartozzon egy kockázatelemzés, és a szerepkört ennek megfelelően kezeljék. A személyzet ellenőrzése Mielőtt valakinek hozzáférést adnak a rendszerhez, le kell ellenőrizni a személyt.

29 Személyzet Elbocsátás: Legyenek kidolgozott eljárások arra az esetre, ha valakit el kell bocsátani a szervezettől. Személy áthelyezése: Legyenek kidolgozott eljárások arra az esetre, ha valakit a szervezeten belül áthelyeznek. Felhasználási nyilatkozat: Minden alkalmazott írjon alá egy nyilatkozatot a rendszer használatáról. Tipikusan ilyen a titoktartási nyilatkozat.

30 Személyzet Külső felhasználók kezelése Alvállalkozók, megbízottak rendszerhez való hozzáférést sokkal alaposabban kell megvizsgálni, mint egy saját alkalmazottat. Büntetések: Bizonyos esetekben, pl. az információbiztonsági szabályzat megsértésekor az alkalmazottal szemben valamilyen büntetést célszerű foganatosítani. Ilyen lehet pl. a fizetésmegvonás.

31 Eljárások az elbocsátásnál A kulcsok, belépőkártyák visszakérése, amivel a fizikai hozzáférést lehet megakadályozni. A felhasználónevek, jelszavak törlése/letiltása, amivel a rendszerhez való hozzáférést lehet megakadályozni. Itt egyéni megállapodás köthető arról, hogy az elbocsátott személy milyen adatot vagy azonosítót vihet magával. A biztonsági személyzet és az érintett munkatársak értesítése az elbocsátásról. Az elbocsátott alkalmazott lehúzása a fizetési listáról. A cég tulajdonában álló eszközök (különösen informatikai) eszközök visszaszerzése.

32 Mi a hozzáférés-ellenőrzés? A hozzáférés-ellenőrzés (access control) olyan biztonsági mechanizmusok gyűjteménye, mely meghatározza, hogy a felhasználók mit tehetnek a rendszerben, azaz milyen erőforrásokhoz férhetnek hozzá, és milyen műveleteket hajthatnak végre. Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó milyen felhatalmazással férhet a rendszerhez, milyen alkalmazásokat futtathat, mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból. Két lépésből áll: azonosítás (identification) és hitelesítés (authentication). A hozzáférés-ellenőrzés része az elszámoltathatóság. Alapja a kockázatelemzés során elvégzett adatvagyon felmérés, és az ebből következő adatklasszifikáció.

33 Hozzáférés-védelem típusai A hozzáférés-védelem célja a szubjektumok objektumokhoz való hozzáférésének szabályozása, azaz a biztonsági szabályzatok érvényre juttatása. Alapvetően két típusa ismert: Kötelező hozzáférés-védelem (Mandatory Access Control) Tetszőleges hozzáférés-védelem (Discretionary Access Control) Tipikusan operációs rendszerekben találkozunk velük.

34 Kötelező hozzáférés-védelem Mandatory Access Control (Kötelező hozzáférés-védelem, előre meghatározott hozzáférés-ellenőrzés) Amikor egy rendszer mechanizmusa határozza meg az objektum hozzáférés szabályait, és egy egyedi felhasználó nem módosíthat ezen, a szabályozást mandatory access controlnak (MAC) nevezzük. Az operációs rendszer MAC-ot kényszerít ki. Sem a szubjektum, sem az objektum tulajdonosa nem határozhatja meg, hogy a hozzáférés engedélyezett legyen. Tipikusan egy rendszereljárás ellenőrzi a szubjektumhoz és az objektumhoz tartozó információkat, és ez alapján dől el, hogy a szubjektum hozzáférhet-e az objektumhoz. Szabályok írják le, hogy milyen feltételek mellett engedélyezett a hozzáférés.

35 Tetszőleges hozzáférés-védelem Discretionary Access Control (Belátáson alapuló hozzáférés-ellenőrzés, diszkrecionális védelmi stratégia, Tetszőleges hozzáférés-védelem, önkényes hozzáférés kontroll) Ha egy egyéni felhasználó beállíthatja a hozzáférési szabályokat egy objektumhoz való hozzáférés engedélyezésére vagy tiltására, akkor ezt az eljárást discretionary access controlnak (DAC) nevezzük. A DAC hozzáférési jogosultsága a szubjektum identitásán alapszik, és az objektum identitása is bele van számítva.

36 Honnan származnak a fenyegetések? Belső támadók Hitelesített felhasználók, akik olyan adatokhoz vagy erőforrásokhoz akarnak hozzáférni, ami sérti a legkevesebb jogosultság elvet. Lehet szándékos vagy vétlen támadás. Külső támadók: Nem hitelesített felhasználók, akik a hitelesítési eljárások megkerülésével férnek hozzá az adatokhoz. Hackerek, crackerek A legveszélyesebbek a belső támadók.

37 Védelmi intézkedések Fizikai: Belépőkártyák, Forgóvillák, Biztonsági őrök, stb. Logikai Jelszavak, Tűzfalak, Vírusirtók, stb. Adminisztratív Szabályok és eljárások, Biztonsági tudatosság-oktatás, Feladatok rotálása, stb.

38 Azonosítás Röviden: a szubjektum megnevezése. Kicsit bővebben: a rendszer entitásainak egyedi azonosítóval való ellátásának folyamata. Az elszámoltathatóság alapfeltétele az, hogy minden eseményt egy egyedi entitáshoz tudjunk kötni. Követelmények: Az azonosítás biztonságos és dokumentált folyamat. Az azonosítók formátuma belső szabványban van leírva. Az azonosító nem utalhat az entitás funkciójára (pl. beosztás). Egy azonosító nem osztható meg több entitás között. Az azonosító ellenőrzése egyszerű folyamat kell, hogy legyen. Az azonosító egyedi kell, hogy legyen.

39 Hitelesítés A hitelesítés az a folyamat, mely arra szolgál, hogy az entitás bizonyítsa az önmagáról állítottak valódiságát. A felhasználó bemutatja a rendszernek az azonosítóját, amit a rendszer hitelesít, mielőtt engedné hozzáférni a rendszerhez. Három típusa ismert: Tudás alapú, Tulajdon alapú, Tulajdonság alapú. A jó hitelesítés során a háromból legalább kettőt, egymástól függetlenül kell használni! Ez az erős autentikáció vagy többlépcsős hitelesítés. Ezek a leggyakoribb hozzáférés-ellenőrzési megelőző védelmi intézkedések.

40 Tudás alapú hitelesítés Minden olyan hitelesítés eljárás ide tartozik, amit a felhasználó tud. Tipikusan a jelszavak tartoznak ebbe a körbe. Néhány tanács a jelszóhasználathoz: A jelszavak élettartamát korlátozzuk! A jelszó ne legyen szótári alakú szó! A jelszó tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket! Minél hosszabb egy jelszó, annál jobb. Legyen legalább 8 karakter! Értékeljük a rendszer kritikusságát, és annak megfelelően más-más jelszavakat használjunk! Bizonyos számú hibás próbálkozás után a rendszer zárja ki a felhasználót!

41 Tudás alapú hitelesítés A jelszavak ellen háromféle tipikus támadást szoktak indítani. A jelszavak tárolási gyengeségét kihasználó támadások: A jelszavaknak jó esetben a lenyomatát tárolják A lenyomatképző függvények gyengeségei segítségével vissza lehet állítani az eredeti jelszót A jelszavak gyengeségeit kihasználó támadások Brute-force támadás Minden karakter végigpróbálását jelenti Social engineering Kérdezzük meg, hátha elmondják Az emberek hihetetlenül naivak és segítőkészek

42 Tulajdon alapú hitelesítés Azok a hitelesítési eljárások tartoznak ebbe a körbe, amelyek egy felhasználó birtokában levő eszközt vonnak be az autentikációba. Pl. egyszer használatos jelszavak out-ofband csatornákon: O(ne)T(ime)P(assword) jelszólista Mobiltelefonon érkező kód Tokenek Intelligens kártyák

43 Tokenek Két típusa használatos: szinkron, aszinkron. A szinkron tokeneken belül megkülönböztetünk: Számlálón alapuló tokent: a token és a szerver között van egy szinkronizált közös titkos kulcs, és egy belső számlálóval, ezek lenyomatából jön ki az OTP. Időn alapuló token: belső számláló helyett a szinkronizált időt használják fel. Az aszinkron tokenek kihívás-válasz (challengeresponse) alapon működnek. A szerver és a token közös kulcsot használ. A szerveren megjelenő kihívást beírva a tokenbe, megjelenik a válasz.

44 Intelligens kártyák Ebben a témakörben nem foglalkozunk a mágnescsíkos, a memóriachipes és közelítőkártyákkal. A legbiztonságosabbak a mikroprocesszorral ellátott kártyák. Ez az adattárolás mellett az adatok feldolgozására is képes. Kitűnően használható kriptográfiai műveletek támogatására. Gyakorlatilag nem nyerhető ki a rajta tárolt titkos információ.

45 Tulajdon alapú hitelesítés Legegyszerűbb támadás a lopás Az intelligens kártyák ellen több támadás ismert, azonban ezek költséghatékonysága megkérdőjelezhető Következtetések a kártya fogyasztásából A chip módosítása Optikai támadás a kártyák ellen Egyszerűbb a tulajdon és az azt feldolgozó eszköz közötti adatutat támadni.

46 Tulajdonság alapú hitelesítés A személyre jellemző biometrius tulajdonságok alapján történő hitelesítés. Ide tartozik többek között: Ujjlenyomat Retina Írisz Hang Tenyér Aláírás Arc Egyre több helyen használják ezt a technológiát.

47 Tulajdonság alapú hitelesítés Támadások a tulajdonság alapú hitelesítés ellen: Gumiujj Szkennelt ujjlenyomat Felvett hangminta

48 Biometrikus eljárások tulajdonságai Megfelelőség: Hibás visszautasítási ráta (False Reject Rate FRR): A rendszer hányszor utasít vissza jogosult felhasználót. Hibás elfogadási ráta (False Accept Rate FAR): A rendszer hányszor enged be nem jogosult felhasználót. Metszésponti hibaarány (Crossover Error Rate CER): A valódi hibaarány, amikor az FRR és a FAR megegyezik. Feldolgozási sebesség: Mennyi idő alatt képes a rendszer a beolvasott jellemzőt feldolgozni. Felhasználói elfogadás: Az adott technológiát mennyire fogadják el azok, akiknek alá kell vetniük magukat. Pl. mit szólnának egy DNS elemzésre vérvétellel?

49 Biometrikus eljárások tulajdonságai FAR FRR Hibák CER Érzékenység

50 Decentralizált modellek Sok felhasználó hozzáférését elvileg megoldottuk. De mi van akkor, ha egy felhasználó több rendszerhez szeretne hozzáférni ugyanazzal a hitelesítéssel? Ekkor használjuk az egyszeri belépés (single sign-on SSO) technológiát. Példa lehet erre az Ügyfélkapu, ahol egyszeri belépés után tudunk (elvileg) elérni további e-közigazgatási szolgáltatásokat további hitelesítés nélkül. SSO-t akkor éri meg használni, ha Sok belépési pont van, Nagyszámú munkaállomást kell kezelni, Sok alkalmazást használnak a szervezetben, A hozzáférés-ellenőrzés adminisztrációját egyszerűsíteni kell a hatékonyság érdekében.

51 Decentralizált modellek Az SSO előnyei: A felhasználóknak csak egyszer kell hitelesítenie magát. Nem kell több jelszót megjegyezni, így egyszerűbb erős jelszót kikényszeríteni. A jelszómenedzsment és a változáskezelés leegyszerűsödik. Könnyebb a felhasználói fiókok felfüggesztése. Az SSO hátrányai: Ha egyszer egy jelszó kitudódik, a támadó mindenhez hozzáfér. A heterogén környezetben nehéz a megvalósítása.

52 Tűzfalak Olyan eszközök, amelyek a hálózati forgalom szűrésére szolgálnak Egy ponton kontrolláljuk a forgalmat, szabályok alapján Több tűzfal típus, manapság kombinált megoldások

53 Tűzfal topológiák Két lábú tűzfal: külső és védett hálózat között Három lábú tűzfal: külső, DMZ és védett hálózat. (Fizikailag lehet több tűzfalból is!) Personal firewall: egy gépet védő tűzfal, magán a védendő gépen telepítve (tudja figyelni az egyes alkalmazásokat is!) Egyéb tűzfalak által megvalósított, nem forgalomszűrési funkciók: terheléselosztás, nagy rendelkezésre állás, NAT

54 DMZ DMZ: demilitarizált zóna A külső hálózat és a védett hálózat védelmi szintje között elhelyezkedő szegmens Ide helyezzük a külső szolgáltatásokat nyújtó gépeket Kompromittálódása esetén még mindig van egy védelmi vonal a belső hálózat felé DMZ és belső háló közötti forgalom erősen korlátozott Megvalósítás: 3 lábú tűzfallal, több tűzfallal

55 Távoli hozzáférés A távoli hozzáféréssel kapcsolatban az alábbi követelményeket kell figyelembe venni: Legyen megfelelő felhasználó és rendszerhitelesítés, Megfelelő hozzáférési jogosultságokat kell biztosítani az entitásoknak, Gondoskodni kell a bizalmas adatok védelméről, Legyen naplózva és auditálva a távoli hozzáférési tevékenység, Transzparens hozzáférés kell az erőforrásokhoz, Földrajzi helytől függetlenül meg kell oldani a hozzáférést, Az összes távoli felhasználó hozzáférését biztosítani kell, ha szükséges, Mindezt minimális költséggel kell megoldani. A távoli hozzáférés módjai: Telefonhálózaton keresztül, Dedikált (bérelt) vonalakon, Interneten keresztül.

56 Virtuális magánhálózatok (VPN) Olyan megoldások halmaza, melyek a szélessávú internetkapcsolatot felhasználva, a nyílt interneten keresztül kapcsolják össze a felhasználót és a vállalati hálózatot. A VPN biztosítja a bizalmasságot, az adat sértetlenségét és a hitelesítést. A szabvány támogatja gyakorlatilag minden protokoll összefogását és becsomagolását a forrásnál, továbbítását a 2. vagy 3. rétegen, és kicsomagolását a címzettnél. Három elterjedt formája van: Point-to-Point Tunneling Protocol (PPTP), IPSec, Layer 2 Tunneling Protocol (L2TP) over IPSec.

57 Internetes fenyegetések Passzív támadások Network analysis Eavesdropping Traffic analysis Corvinno Technology Transfer Center 57

58 Internetes fenyegetések Corvinno Technology Transfer Center 58

59 Rosszindulatú kódok Olyan szoftverek, melyek szándékosan úgy lettek megírva, hogy működésük közben betörjenek egy rendszerbe, áthágják a biztonsági szabályzatokat vagy kárt okozzanak. Rengeteg csoportosításuk van, talán a legegyszerűbb három alapvető csoportba osztani őket: Vírusok (virus): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozik. Önmagát sokszorosítja, de terjedni csak emberi segítséggel tud. Férgek (worm): Olyan kód, mely önmagában hordozza a károkozó tartalmat. Önmagát sokszorosítja, emberi beavatkozás nélkül tud terjedni (hálózaton). Trójaiak (trojan): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozva hasznos funkcionalitást hitet el magáról. Önmagát nem sokszorosítja, terjedni általában más rosszindulatú kóddal szokott Corvinno Technology Transfer Center 59

60 Behatolás-detektálás A leggyakoribb hozzáférés-ellenőrzési felderítő védelmi intézkedés a behatolásdetektáló rendszerek (IDS) használata. Ezek elve azon alapul, hogy a támadásokat különböző hálózati vagy erőforrásbeli jellemzők alapján észre lehet venni. Ezek a jellemzők a rendszer naplóállományaiból derülnek ki. Az IDS rendszerek tehát a rendszer naplóállományainak elemzéséből próbálnak támadásokat felismerni. Egy tipikus IDS három elemből áll: Szenzor Elemző Felhasználói felület

61 Behatolás-detektálás A hálózati IDS-ek (NIDS) az átviteli csatorna forgalmát monitorozzák valós időben. Passzív eszközök, így nem használják a csatorna erőforrásait. A rendszer a hálózati csomagok felépítését, tulajdonságait vizsgálja. Ha gyanús dolgot észlel, figyelmezteti az operátort. Általában önálló kliensen fut, így nem kell az éles környezetbe beavatkozni, viszont nehezen skálázható. A titkosított csomagokkal nem tud mit kezdeni, itt különböző trükkökre van szükség.

62 Behatolás-detektálás A kiszolgáló alapú IDS-ek (HIDS) egy kiszolgálóra telepített szenzortól gyűjtenek információkat. A szenzor ennek a kiszolgálónak a naplóállományait elemzi, és ebből próbál információkat szerezni. Ha több hoston van telepítve szenzor, akkor ezek adatait egy központi gépen lehet elemezni. Az IDS-ek három elv szerint képesek a támadásokat azonosítani: Szabályok alapján Statisztikai alapon Szignatúra alapon

63 Behatolás-detektálás A szabályalapú IDS-ek abból indulnak ki, hogy a támadások leírhatók egy szekvenciában, amik kompromittált állapotba vezetnek. Ilyen pl. a Snort, ami tipikus támadási formákat ismer fel. Ezek nem elég rugalmasak, de tipikus támadások kiszűrésére kiválóak. A statisztikai alapú IDS-ek a szabályalapú IDS-ek gyengeségét hivatottak kiküszöbölni. A naplóállományokat vizsgálják, és a normális menettől való eltéréseket próbálják megtalálni. Hátránya, hogy rengeteg, sokszor irreleváns adatot generál.

64 Behatolás-detektálás A szignatúra alapú IDS-ek a hálózati csomagokban található információkat vizsgálják. Hasonlóan a vírusirtókhoz, az ismert támadásokat próbálják azonosítani. Hátránya szintén az, hogy nem elég rugalmas. Az IDS-ek jelzéseire lehet manuálisan (adminisztrátori beavatkozás) és automatikusan (IPS-ek, tűzfalak) is reagálni. A technológia nagy hátránya, hogy rengeteg fals pozitív jelzés érkezik. De kiválóan alkalmasak ellenőrzési nyomok (audit trail) rögzítésére.

65 A kriptográfia célja Olyan matematikai algoritmusok, amelyek a CIA hármasból elsősorban a C bizalmasság és a I integritás megvalósítására szolgál A titkosítás hagyományosan (ahogy neve is mutatja) az illetéktelen hozzáférés ellen szolgált

66 Alapfogalmak Nyílt szöveg (cleartext) a titkosítatlan információ, nem csak az arra feljogosított számára értelmezhető Titkos szöveg (ciphertext) a titkosított információ, ebben a formájában értelmezhetetlen Kulcs olyan információ, amely segítségével a titkosítási műveletek elvégezhetők Algoritmus (módszer) - olyan eljárás, amely a nyílt és a titkos szöveg közötti konverziót (betitkosítás encryption; kititkosítás, megfejtés - decryption) végzi a kulcs segítségével

67 Titkosítás általában

68 Szimmetrikus és aszimmetrikus Ha a két kulcs ugyanaz szimmetrikus titkosítás titkos kulcsú titkosítás a kulcsnak titokban kell maradnia általában egyszerű, gyors algoritmusok Ha a két kulcs nem ugyanaz aszimmetrikus titkosítás nyílt kulcsú titkosítás az egyik kulcsnak nem kell titokban maradnia (lásd később) lassabb, bonyolultabb algoritmusok

69 Titkosítás Cél: a tárolt vagy átvitt információt elrejteni az illetéktelenek elől Két alapvető eljárás: blokkos a nyílt szöveget blokkonként (pl. 64 bit) titkosítjuk folyam (stream) a nyílt szöveget bitenként (pl. XOR) titkosítjuk. Visszacsatolt shiftregiszterrel blokkosból is lehet speciális eset: a kulcs mérete megegyezik a nyílt szövegével, bitenként XOR one time pad elvileg sem törhető

70 Titkosítás Blokktitkosító Folyamtitkosító

71 Alaptípusok Helyettesítéses titkosítás pl. Caesar: TITKOS -> ZOZLPD Keveréses TITKOS > OTSKIT Illetve ennek kombinációi, karakter, blokk vagy bit szinten

72 Kulcsszétosztás problémája Szimmetrikus titkosítás: gyors, egyszerű, de hogyan cserélünk kulcsokat? A küldőnek és a fogadónak (és csak nekik!) is birtokában kell lennie a kulcsnak Megbízható csatorna kell a kulcs átvitelére: személyesen, futár, stb. Nehezen működik tetszőleges felek között Nem skálázható

73 A megoldás: nyíltkulcsú titkosítás Kulcspár: titkos (privát) és nyilvános (publikus) Speciális algoritmus: amit a titkos kulccsal titkosítunk, csak a nyilvánossal fejthetjük meg amit a nyilvános kulccsal titkosítunk, csak a titkossal fejthetjük meg a nyilvános kulcsból nem következtethető ki a titkos A nyilvános kulcs nyilvánosságra hozható

74 Titkos átvitel A küld B-nek: B nyilvánosságra hozza nyilvános kulcsát A ezzel a kulccsal titkosítja az üzenetet és elküldi B-nek B a saját titkos kulcsával megfejti E lehallgatja az üzenetet, de neki nincs meg a titkos kulcs, nem tudja megfejteni! Kulcsszétosztás problémája megoldva: a nyilvános kulcs kiadható, a titkosra pedig csak a fogadónak van szüksége Másik irányú átvitelhez A kulcsára van szükség

75 Nyilvános kulcsú titkosítás

76 Gyakorlati megvalósítások A teljes üzenet titkosítása nem praktikus nyilvános aszimmetrikus módszerrel Generálunk egy véletlen kulcsot szimmetrikus eljáráshoz (session key) A két kommunikáló fél nyílt kulcsú eljárást használva megosztja a véletlen kulcsot A további kommunikáció szimmetrikus módszerrel történik Ilyen módszert használ pl. az SSL algoritmus is.

77 Forrás hitelesítése B üzenetet küld A-nak, és A szeretne meggyőződni, hogy tényleg B-től jött B titkosít saját titkos kulcsával A (és bárki más) az üzenetet megfejti B nyilvános kulcsával Az üzenet biztosan B-től származik, csak a titkos kulccsal lehet olyan üzenetet készíteni, amit a nyilvánossal lehet megfejteni F-nek nincs birtokában B titkos kulcsa, nem tud B nyilvános kulcsával megfejthető üzenetet generálni

78 Forrás hitelesítése

79 Példák Szimmetrikus DES double, triple-des IDEA RC5 AES (Rinjdael) Nyílt kulcsú RSA ElGamal Diffie-Hellman Elliptikus Görbék Hash SHA-1 MD5

80 Alkalmazások Tárolt adatok titkosítása, Azonosítás és hitelesítés (pl. TLS, Kerberos), Hálózati kommunikáció titkosítása (pl. SSL, VPN), Dokumentumok sértetlenségének biztosítása, Operációs rendszer sértetlenségének biztosítása, stb.

81 Mi is az elektronikus aláírás? Olyan elektronikus formában rendelkezésre álló adatot jelent, mely hozzá van csatolva vagy logikailag társítva van egy másik elektronikus adathoz és a hitelesítés funkcióját látja el. Ez jelentheti akár a digitalizált hagyományos aláírást is, de NEM ezt értjük alatta a gyakorlatban!!!

82 Mi is az elektronikus aláírás? Az elektronikus aláírás a gyakorlatban egy olyan digitális adat, mely: az aláírt dokumentum lenyomatát felhasználva, az aláíró titkos kulcsával kódolva jön létre, mely egy aláírás-létrehozó eszközön található, felhasználva az aláíró tanúsítványát, amiben a dekódoló nyilvános kulcs is megtalálható, melynek érvényessége a visszavonási listán található, valamint tartalmazhat egy időbélyegzőt, melyek a hitelesítés-szolgáltatótól szerezhetők be.

83

84 A fizikai biztonság célja A fizikai biztonság célja létrehozni a a munkatársak a folyamatok és a vagyontárgyak egy olyan biztonságos környezetét amelyben a biztonsági kritériumok kockázat és értékarányosan fenntarthatók.

85 Osztályozás A fizikai biztonság hatáskörében kezelt rendszereket Statikus rendszerek fixen telepített objektumok, mint pl. épületek Mobil rendszerek helyváltoztatásra képes objektumok, mint pl. műszerkocsik (geofizika, média) Hordozható rendszerek amelyek üzemelhetnek statikus és mobil rendszeren belül, vagy a szabad ég alatt is. csoportokba osztjuk

86 Kihívások A fizikai biztonság kérdése azért is komplex, mivel az emberek (munkatárs is, támadó is) Látják a telepített kontrollokat Felmérhetik a lehetséges gyenge pontokat Bonyolult támadási stratégiákat dolgozhatnak ki Az információs rendszerek védelmi mechanizmusai alapvetően logikai védelmet biztosítanak így minden ellen védhetnek, csak a fizikai közelségben lévő támadó ellen nem.

87 Veszélyforrások csoportosítása Környezeti Földrengés, vihar, árvíz, földcsuszamlás, vulkánkitörés, tűzvész, extrém magas/alacsony hőmérséklet Szolgáltatás Kommunikációs csatornák sérülése, áramkimaradás, csőtörés (víz, gáz) Politikai események Sztrájkok, zavargások, kémkedés, terrorcselekmények Humán Robbantás, illetéktelen hozzáférés, felhasználói hiba, üzemeltetői hiba, szándékos károkozás, kártékony kód, környezetszennyezés (mérgezés)

88 Kockázatelemzés A létező veszélyforrásokat mind figyelembe venni, a kevésbé valószínűeket is. Olyan védelmi intézkedéseket kidolgozni, amelyek Hatékonyak Kockázat és kárérték arányosak A védelmi intézkedések kidolgozásakor az életvédelmi szempontnak elsődlegesnek kell lennie! (ld. üzletben bennégett vásárlók a lezárt vészkijáratok miatt)

89 Információvédelmi környezet Utak, járdák, parkok Kert, parkoló, járda Kapuk, ajtók, ablakok, tetőablakok, kiszolgáló nyílások Ügyféltér, privát, titokszoba

90 Kiszolgáló rendszerek Energiaellátás Vízellátás Szennyvíz és esővíz elvezetés Fűtés, hűtés és szellőztetés Milyen korlátokkal bír a rendszer/szolgáltató Erősáramú kábelezés, gyengeáramú kábelezés Mennyire hozzáférhetők a kábelek?

91 Elektromos ellátás zavarai Teljes áramkimaradás Pillanatnyi áramszünet Feszültségcsökkenés általában hálózati túlterhelés miatt Egy-két ciklusnyi vagy 1-2 mp-es feszültségcsökkenés (sag/dip) nagyobb fogyasztó elindulásakor, vagy szolgáltató oldali hibák miatt Feszültségtüske pillanatnyi feszültségnövekedés villámlás, erőmű vagy generátor elindul/leáll, oszlopdöntés, egyéb elektromos eszköz Bekapcsolási túláram pl. hűtő Elektrosztatikus kisülések

92 Interferencia Elektromágneses interferencia (EMI) Látható: pl. hullámzó képernyőjű monitorton Tapasztalható: pl. hibás programfutás, összeomlás, adatvesztés mégneses adathordozó esetén Rádiófrekvenciás interferencia (RFI) Olyan mint az EMI, de magasabb frekvencián Hallható: közép és hosszúhullámú rádióadók nyávogásaként, hangkártyákon alaplapzajként Tapasztalható: UTP kábelezés túl közel pl. fénycsőhöz

93 Biztonsági technológia és eszközök Eszközök (pl.) Rácsok, kapuk, zárak, megfigyelő eszközök, behatolás érzékelő eszközök, riasztók, generátorok, tűzoltó berendezések, zárható szekrények és széfek Folyamatok (pl.) Megelőző (beléptetés, azonosítás, karbantartás, fejlesztés) Beavatkozó (tettenérés, tűzoltás, igazoltatás) Követő (megfigyelés, bizonyítás, fejlesztés) Mindezek együtt biztosítják a folyamatos ügyvitelt, és az illegális tevékenység felfedését és kezelését.

94 Tűzvédelem Megelőző, észlelő és oltó kontrollokat különböztetünk meg Megelőzés Az épület helyiséget tűzvédelmi osztályokba besorolni A kockázatkezelés során besorolt kiemelt biztonsági szintű illetve nagy zónákat védeni Ilyen helyeken tűzálló falakat, ajtókat, burkolást alkalmazni Gyúlékony anyagokat (pl. csomagolóanyag) ne tároljunk a szerverszobában Rendszeres karbantartásokat elvégezni Mérgező gázokkal égő anyagokat (pl. mágnesszalag) tűzálló páncélszekrényben tárolni, lehetőleg off-site.

95 Tűzvédelem Észlelés Optikai füstérzékelők Kémiai füstérzékelők Hőérzékelők és ezek kombinációi Oltás Hordozható oltóberendezések A típus éghető szilárd anyagra B típus éghető folyadékra C típus elektromos környezetre

96 Tűzvédelem Automatikus oltás CO2 főleg automata környezetben jó Desztillált víz szerverszobában is jó Késleltetett indítást kell alkalmazni, hogy az emberek elhagyhassák a területet Vészleállító mechanizmust is be kell iktatni Karbantartás Tesztelés

97 Célok A fizikai kontrollok alkalmazásának célja, hogy Megakadályozza, vagy késleltesse az illegális tevékenységet Ha megtörténik a mielőbbi felfedését segítse, hogy a beavatkozás a legrövidebb idő alatt megtörténhessen. Ha a támadónak végetlen pénze és ideje van, bármin át tud hatolni nincs 100% biztonság, tudatosan vállalt kockázatok vannak. Az egyik leghatékonyabb módszer a behatolók életének megkeserítésére a héjszerkezetes védelmi modell alkalmazása.

98 A bizonyosság megszerzése Tesztek, gyakorlatok, szimulációk Sebezhetőségvizsgálat, penetrációs tesztek Ellenőrzőlisták Tervezett karbantartások

99 KÖSZÖNÖM A FIGYELMET!

Éves továbbképzés az elektronikus információs rendszerek védelméért felelős vezető számára

Éves továbbképzés az elektronikus információs rendszerek védelméért felelős vezető számára Éves továbbképzés az elektronikus információs rendszerek védelméért felelős vezető számára Dr. Bodó Attila Pál KIM Kormányiroda főosztályvezető-helyettes Nemzeti Közszolgálati Egyetem Az e-learning módszertana

Részletesebben

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN N 1. Informatikai eszközök az irodában PC, Notebook, Szerver A számítógép típusonként az informatikai feladatoknak megfelelően. Nyomtatók, faxok, scannerek, fénymásolók Írásos dokumentum előállító eszközök.

Részletesebben

IP alapú távközlés. Virtuális magánhálózatok (VPN)

IP alapú távközlés. Virtuális magánhálózatok (VPN) IP alapú távközlés Virtuális magánhálózatok (VPN) Jellemzők Virtual Private Network VPN Publikus hálózatokon is használható Több telephelyes cégek hálózatai biztonságosan összeköthetők Olcsóbb megoldás,

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

Jogalkotási előzmények

Jogalkotási előzmények Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes

Részletesebben

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek. Elektronikus aláírás Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Jogi háttér Hitelesít szervezetek. Miért van szükség elektronikus aláírásra? Elektronikus

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató Informatikai adatvédelem a gyakorlatban Dr. Kőrös Zsolt ügyvezető igazgató Az informatika térhódításának következményei Megnőtt az informatikától való függőség Az informatikai kockázat üzleti kockázattá

Részletesebben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint

Részletesebben

Biztonság a glite-ban

Biztonság a glite-ban Biztonság a glite-ban www.eu-egee.org INFSO-RI-222667 Mi a Grid biztonság? A Grid probléma lehetővé tenni koordinált erőforrás megosztást és probléma megoldást dinamikus több szervezeti egységből álló

Részletesebben

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A. JOGI INFORMATIKA A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A. A kutatás a TÁMOP 4.2.4.A/2-11-1-2012-0001 azonosító számú Nemzeti Kiválóság Program Hazai hallgatói, illetve

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

Kétcsatornás autentikáció

Kétcsatornás autentikáció Kétcsatornás autentikáció Az internet banking rendszerek biztonságának aktuális kérdései Gyimesi István, fejlesztési vezető, Cardinal Kft. Az előző részek tartalmából... E-Banking Summit 2012, Cardinal

Részletesebben

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2 VPN Virtual Private Network A virtuális magánhálózat az Interneten keresztül kiépített titkosított csatorna. http://computer.howstuffworks.com/vpn.htm Helyi hálózatok tervezése és üzemeltetése 1 Előnyei

Részletesebben

Titkosítás NetWare környezetben

Titkosítás NetWare környezetben 1 Nyílt kulcsú titkosítás titkos nyilvános nyilvános titkos kulcs kulcs kulcs kulcs Nyilvános, bárki által hozzáférhető csatorna Nyílt szöveg C k (m) Titkosított szöveg Titkosított szöveg D k (M) Nyílt

Részletesebben

KÖZSZOLGÁLATI ÉS VEZETŐKÉPZÉSEK IGÉNYBEVÉTELE TISZTVISELŐK SZÁMÁRA. Nemzeti Közszolgálati Egyetem Vezető- és Továbbképzési Intézet

KÖZSZOLGÁLATI ÉS VEZETŐKÉPZÉSEK IGÉNYBEVÉTELE TISZTVISELŐK SZÁMÁRA. Nemzeti Közszolgálati Egyetem Vezető- és Továbbképzési Intézet KÖZSZOLGÁLATI ÉS VEZETŐKÉPZÉSEK IGÉNYBEVÉTELE TISZTVISELŐK SZÁMÁRA Nemzeti Közszolgálati Egyetem Vezető- és Továbbképzési Intézet Közszolgálati és vezetőképzések igénybevétele A közszolgálati és vezetőképzési

Részletesebben

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok Alapfogalmak Biztonság Biztonsági támadások Biztonsági célok Biztonsági szolgáltatások Védelmi módszerek Hálózati fenyegetettség Biztonságos kommunikáció Kriptográfia SSL/TSL IPSec Támadási folyamatok

Részletesebben

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA Adat és információvédelem Informatikai biztonság Dr. Beinschróth József CISA Tematika Hol tartunk? Alapfogalmak, az IT biztonság problematikái Nemzetközi és hazai ajánlások Az IT rendszerek fenyegetettsége

Részletesebben

Elektronikus hitelesítés a gyakorlatban

Elektronikus hitelesítés a gyakorlatban Elektronikus hitelesítés a gyakorlatban Tapasztó Balázs Vezető termékmenedzser Matáv Üzleti Szolgáltatások Üzletág 2005. április 1. 1 Elektronikus hitelesítés a gyakorlatban 1. Az elektronikus aláírás

Részletesebben

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Pécs 2005 1. Tartalomjegyzék 1. TARTALOMJEGYZÉK... 2 2. BEVEZETÉS... 3 2.1. AZ Informatikai Védelmi Szabályzat célja... 3 2.2.

Részletesebben

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette: IT BIZTONSÁGTECHNIKA Tanúsítványok Készítette: Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP Tartalom Tanúsítvány fogalma:...3 Kategóriák:...3 X.509-es szabvány:...3 X.509 V3 tanúsítvány felépítése:...3

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

Közigazgatási informatika tantárgyból

Közigazgatási informatika tantárgyból Tantárgyi kérdések a záróvizsgára Közigazgatási informatika tantárgyból 1.) A közbeszerzés rendszere (alapelvek, elektronikus árlejtés, a nyílt eljárás és a 2 szakaszból álló eljárások) 2.) A közbeszerzés

Részletesebben

Webalkalmazás-biztonság. Kriptográfiai alapok

Webalkalmazás-biztonság. Kriptográfiai alapok Webalkalmazás-biztonság Kriptográfiai alapok Alapfogalmak, áttekintés üzenet (message): bizalmas információhalmaz nyílt szöveg (plain text): a titkosítatlan üzenet (bemenet) kriptoszöveg (ciphertext):

Részletesebben

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium. Jelen előterjesztés csak tervezet, amelynek közigazgatási egyeztetése folyamatban van. A minisztériumok közötti egyeztetés során az előterjesztés koncepcionális kérdései is jelentősen módosulhatnak, ezért

Részletesebben

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Nemeslaki András E-közszolgálat Fejlesztési Intézet Nemzeti Közszolgálati Egyetem Az IB továbbképzés és éves továbbképzés

Részletesebben

5.1 Környezet. 5.1.1 Hálózati topológia

5.1 Környezet. 5.1.1 Hálózati topológia 5. Biztonság A rendszer elsodleges célja a hallgatók vizsgáztatása, így nagy hangsúlyt kell fektetni a rendszert érinto biztonsági kérdésekre. Semmiképpen sem szabad arra számítani, hogy a muködo rendszert

Részletesebben

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu IT-Shield Mss Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu PAJZS a KiberviLág FELÉ Napjaink egyre nagyobb kihívásokkal küzdő üzleti informatikai világában

Részletesebben

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás) Az informatikai biztonság alapjai 5. Előadás (Jogi szabályozás) Ügyviteli védelem (Ismétlés) Szabályok rögzítése Szóban Írásban Ügyviteli védelem szintjei Stratégiai (Informatikai Biztonsági Koncepció)

Részletesebben

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu Az Internet elavult Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft wwwcardinalhu Cardinal Kft 2006 1 Elektronikus elérésre szükség van Internet híján betárcsázós ügyfélprogramok voltak:

Részletesebben

A közigazgatási szakvizsga közszolgálati továbbképzési program tervezési sajátosságai

A közigazgatási szakvizsga közszolgálati továbbképzési program tervezési sajátosságai 1. SZ. MELLÉKLET A MÓDSZERTANI ÚTMUTATÓ A 2015. ÉVI TOVÁBBKÉPZÉSI TERV ELKÉSZÍTÉSÉHEZ C. DOKUMENTUMHOZ A közigazgatási szakvizsga közszolgálati továbbképzési program tervezési sajátosságai Bevezetés A

Részletesebben

Információbiztonság fejlesztése önértékeléssel

Információbiztonság fejlesztése önértékeléssel Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011 Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső

Részletesebben

IT biztonsági törvény hatása

IT biztonsági törvény hatása IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

Az intézményi hálózathoz való hozzáférés szabályozása

Az intézményi hálózathoz való hozzáférés szabályozása Az intézményi hálózathoz való hozzáférés szabályozása Budai Károly karoly_budai@hu.ibm.com NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5. 2003 IBM Corporation Témakörök A jelenlegi helyzet,

Részletesebben

Rendszám felismerő rendszer általános működési leírás

Rendszám felismerő rendszer általános működési leírás Rendszám felismerő rendszer általános működési leírás Creativ Bartex Solution Kft. 2009. A rendszer funkciója A rendszer fő funkciója elsősorban parkolóházak gépkocsiforgalmának, ki és beléptetésének kényelmesebbé

Részletesebben

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba 1 Nemzetközi biztonsági trendek és hatásaik Kiberfenyegetések 56% azon szervezetek aránya, akik kibertámadás áldozatai voltak 2 Kiterjedt ellátási

Részletesebben

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus

Részletesebben

Felhasználói kézikönyv

Felhasználói kézikönyv Felhasználói kézikönyv Központi Jogosultsági Rendszer Nemzeti Szakképzési és Felnőttképzési Intézet 2010. július 23. Verziószám: 1.0 Végleges Tartalomjegyzék 1 Bevezető... 1 2 A Központi Jogosultsági Rendszer

Részletesebben

elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN

elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN Vörös Miklós Zrínyi Miklós Nemzetvédelmi Egyetem Távoktatási Koordinációs Központ AKI MA HOMOKBA DUGJA A FEJÉT, HOLNAP CSIKORGATJA

Részletesebben

Az információbiztonság egy lehetséges taxonómiája

Az információbiztonság egy lehetséges taxonómiája ROBOTHADVISELÉS S 8. Az információbiztonság egy lehetséges taxonómiája Muha Lajos PhD, CISM egyetemi docens ZMNE BJKMK IHI Informatikai Tanszék Előszó személyi védelem fizikai védelem INFORMÁCIÓVÉDELEM

Részletesebben

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ A magyar elektronikus közigazgatási rendszer biztonsági analízise Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ Tartalom A Közigazgatási Eljárási Törvény és végrehajtási rendeletei Fogalmak

Részletesebben

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com Biztonság és vezeték nélküli hálózat? Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com 1 Amiről szó lesz - tervezés Mi az a CVD? Hogyan készül Mire e használjuk áju Vezeték nélküli

Részletesebben

Szabó Zoltán PKI termékmenedzser szabo.zoltan@netlock.hu

Szabó Zoltán PKI termékmenedzser szabo.zoltan@netlock.hu Elektronikus számlázás Szabó Zoltán PKI termékmenedzser szabo.zoltan@netlock.hu TARTALOM A NetLock-ról röviden Magyarország első hitelesítés-szolgáltatója Az ealáírásról általában Hogyan, mivel, mit lehet

Részletesebben

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Elektronikusan hitelesített PDF dokumentumok ellenőrzése Elektronikusan hitelesített PDF dokumentumok ellenőrzése Adobe Reader beállítása és használata a hitelesített PDF dokumentumok ellenőrzéséhez A dokumentáció szabadon tovább terjeszthető, a legfrissebb

Részletesebben

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON 2013. 08. 12 Készítette: FGSZ Zrt. Informatika és Hírközlés Informatikai Szolgáltatások Folyamatirányítás Az FGSZ Zrt. elkötelezett az informatikai

Részletesebben

20 éve az informatikában

20 éve az informatikában Ki vagy? Felhasználók azonosítása elektronikus banki rendszerekben Gyimesi István, fejlesztési vezető, Cardinal Kft. Elektronikus bankolás Internet Banking/Mobil Banking/Ügyfélterminál alkalmazások három

Részletesebben

Technológia az adatszivárgás ellen

Technológia az adatszivárgás ellen 2008.12.15. Technológia az adatszivárgás ellen 2008. november 17. Fazekas Éva, Processorg Software 82 Kft. Áttekintés 1 A probléma 1. blé 2. Az elvárt eredmény 3. Megoldási lehetőségek 4. A technológia

Részletesebben

Tudjuk-e védeni dokumentumainkat az e-irodában?

Tudjuk-e védeni dokumentumainkat az e-irodában? CMC Minősítő vizsga Tudjuk-e védeni dokumentumainkat az e-irodában? 2004.02.10. Miről lesz szó? Mitvédjünk? Hogyan védjük a papírokat? Digitális dokumentumokvédelme A leggyengébb láncszem Védelem korlátai

Részletesebben

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom Tartalom Operációs rendszerek 12. Az operációs rendszerek biztonsági kérdései Simon Gyula A védelem célja A fenyegetés forrásai Belső biztonság Külső biztonság Felhasznált irodalom: Kóczy-Kondorosi (szerk.):

Részletesebben

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június A BorsodChem Csoport Etikai Vonal Szabályzata 2009. június 1. A SZABÁLYZAT CÉLJA Az Etikai Vonal működésének részletes leírása, a felelősség és hatáskörök egyértelmű rögzítése, a bejelentett panaszok

Részletesebben

Hálózatbiztonság 1 TCP/IP architektúra és az ISO/OSI rétegmodell ISO/OSI TCP/IP Gyakorlatias IP: Internet Protocol TCP: Transmission Control Protocol UDP: User Datagram Protocol LLC: Logical Link Control

Részletesebben

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások)

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások) Elektronikus banki szolgáltatások 2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások) Elektronikus csatornákon azonosítást követően, meghatározott jogosultság szerint nyújtott banki szolgáltatások

Részletesebben

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság Az adatfeldolgozás és adatátvitel biztonsága Automatikus adatazonosítás, adattovábbítás, adatbiztonság Az adatfeldolgozás biztonsága A védekezés célja Védelem a hamisítás és megszemélyesítés ellen Biztosított

Részletesebben

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON 2013. 10. 09 Készítette: FGSZ Zrt. Informatika és Hírközlés Informatikai Szolgáltatások Folyamatirányítás Az FGSZ Zrt. elkötelezett az informatikai

Részletesebben

A közszolgálati továbbképzés és vezetőképzés programjainak követelményrendszere a 2013. (átmeneti) évi tervezéshez

A közszolgálati továbbképzés és vezetőképzés programjainak követelményrendszere a 2013. (átmeneti) évi tervezéshez A közszolgálati továbbképzés és vezetőképzés programjainak követelményrendszere a 2013. (átmeneti) évi tervezéshez Nemzeti Közszolgálati Egyetem 2013. január 1 Bevezető A közszolgálati tisztviselők továbbképzéséről

Részletesebben

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket?

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket? E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket? Egy email szövegében elhelyezet információ annyira biztonságos, mintha ugyanazt az információt

Részletesebben

Elektronikus levelek. Az informatikai biztonság alapjai II.

Elektronikus levelek. Az informatikai biztonság alapjai II. Elektronikus levelek Az informatikai biztonság alapjai II. Készítette: Póserné Oláh Valéria poserne.valeria@nik.bmf.hu Miről lesz szó? Elektronikus levelek felépítése egyszerű szövegű levél felépítése

Részletesebben

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 15/2001.(VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és Hírközlési

Részletesebben

Vezetéknélküli technológia

Vezetéknélküli technológia Vezetéknélküli technológia WiFi (Wireless Fidelity) 802.11 szabványt IEEE definiálta protokollként, 1997 Az ISO/OSI modell 1-2 rétege A sebesség függ: helyszíni viszonyok, zavarok, a titkosítás ki/be kapcsolása

Részletesebben

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat ! # $%&'() Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat küldenek a banknak. A bank valahogy meggyzdik

Részletesebben

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd. Reseller Lengyelországban: VigilancePro All Rights Reserved, Copyright 2005 Hitachi Europe Ltd. Bevezetés Vigilance Pro Hálózati elemzés valós időben A Vigilance Pro szoftver egy egyedi megoldás, amely

Részletesebben

Az IBM megközelítése a végpont védelemhez

Az IBM megközelítése a végpont védelemhez Az IBM megközelítése a végpont védelemhez IBM PROFESSIONAL SECURITY SERVICES IT SECURITY Sérülékenység centrikus behatolás elhárító rendszer (IPS) Kliens tűzfal Anti-malware technológia VÉGPONT VÉDELEM

Részletesebben

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet 2007.10.07. Tartalomjegyzék Bevezetés Technikai háttér Web of trust GPG/PGP használata Kulcs aláírási est NIIF http://www.niif.hu 2 Történelem 1991:

Részletesebben

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági

Részletesebben

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt. Önkormányzati és SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49 info@scinetwork.hu www.scinetwork.hu kistérségi infokommunikációs kihívások Lengyel György projekt igazgató

Részletesebben

INFORMATIKAI SZABÁLYZAT

INFORMATIKAI SZABÁLYZAT INFORMATIKAI SZABÁLYZAT HATÁLYOS: 2011. MÁRCIUS 30.-TÓL 1 INFORMATIKAI SZABÁLYZAT Készült a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény és a szerzői

Részletesebben

1. tétel. A kommunikáció információelméleti modellje. Analóg és digitális mennyiségek. Az információ fogalma, egységei. Informatika érettségi (diák)

1. tétel. A kommunikáció információelméleti modellje. Analóg és digitális mennyiségek. Az információ fogalma, egységei. Informatika érettségi (diák) 1. tétel A kommunikáció információelméleti modellje. Analóg és digitális mennyiségek. Az információ fogalma, egységei Ismertesse a kommunikáció általános modelljét! Mutassa be egy példán a kommunikációs

Részletesebben

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22.

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22. 2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása Az óra rövid vázlata Nemzetközi együttműködések áttekintése A CAIDA céljai A CAIDA főbb kutatási irányai 2007-2010 között Internet

Részletesebben

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez MICROSEC Számítástechnikai Fejlesztő zrt. e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez Felhasználói útmutató https://online.e-szigno.hu/ 1 Tartalom 1. Bevezetés... 3 2. A rendszer használatának

Részletesebben

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata Előadó Rinyu Ferenc A biztonság üzemeltetés (állapot) elérése nem elsősorban technikai kérdés, sokkal inkább rendszerszintű

Részletesebben

Bejelentkezés az egyetemi hálózatba és a számítógépre

Bejelentkezés az egyetemi hálózatba és a számítógépre - 1 - Bejelentkezés az egyetemi hálózatba és a számítógépre 1. lépés: az Egyetem Novell hálózatába történő bejelentkezéskor az alábbi képernyő jelenik meg: az első sorban a felhasználónevet, a második

Részletesebben

Számítógép kezelői - használói SZABÁLYZAT

Számítógép kezelői - használói SZABÁLYZAT Számítógép kezelői - használói SZABÁLYZAT I. A SZABÁLYZAT CÉLJA, HATÁLYA A számítógép hálózat nagy anyagi és szellemi értéket képviselő rendszer. Felhasználóinak vállalniuk kell a használattal járó kötöttségeket

Részletesebben

Integrált biztonság. Integrated security. / Irodalomfeldolgozás / 2007.06.04. www.futurit.eu

Integrált biztonság. Integrated security. / Irodalomfeldolgozás / 2007.06.04. www.futurit.eu / Irodalomfeldolgozás / Integrated security www.futurit.eu BEVEZETÉS BIZTONSÁGI KOCKÁZATOK BIZTONSÁGI MÓDSZEREK, MÓDSZERTANOK SZENZOROK SZENZORHÁLÓZATOK ELÉRHETŐSÉGEK BEVEZETÉS 1/1. Biztonság: kárt okozni

Részletesebben

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE Felhasználói leírás E-HATÁROZAT 2012 - verzió 1.2 Érvényes: 2012. május 24-től. Azonosító: ehatarozat_ugyfél_ beallitasok_kezikonyv_felh_v1.2_20120524_tol 1/15 1 Tartalom

Részletesebben

www.njszt.hu, www.ecdl.hu Lukács Péter Pannon Egyetem, Keszthelyi vizsgaközpont

www.njszt.hu, www.ecdl.hu Lukács Péter Pannon Egyetem, Keszthelyi vizsgaközpont Lukács Péter Pannon Egyetem, Keszthelyi vizsgaközpont IT biztonság A modul célja: hogy a vizsgázó megértse az IKT (infokommunikációs technológiai) eszközök mindennapos biztonságos használatának, a biztonságos

Részletesebben

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1 A biztonságérzet a veszély érzékelésének hiánya 2 Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység

Részletesebben

REGISZTRÁCIÓ RÉGEBBI TANFOLYAMON RÉSZT VETT HALLGATÓK BEJELENTKEZÉS UTÁN JELENTKEZÉS TANFOLYAMRA GYAKRAN ISMÉTELT KÉRDÉSEK

REGISZTRÁCIÓ RÉGEBBI TANFOLYAMON RÉSZT VETT HALLGATÓK BEJELENTKEZÉS UTÁN JELENTKEZÉS TANFOLYAMRA GYAKRAN ISMÉTELT KÉRDÉSEK REGISZTRÁCIÓ RÉGEBBI TANFOLYAMON RÉSZT VETT HALLGATÓK BEJELENTKEZÉS UTÁN JELENTKEZÉS TANFOLYAMRA GYAKRAN ISMÉTELT KÉRDÉSEK REGISZTRÁCIÓ Regisztrációra akkor van szükség, ha még nem volt nálunk semmilyen

Részletesebben

Andrews Kft. A technológia megoldás szállító.

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu> Andrews Kft. A technológia megoldás szállító. Az Andrews bemutatása. 1999 derekán alakult az ALF tűzfal fejlesztésére. Csak magyar tulajdonosok. Tulajdonosok zömében mérnökök

Részletesebben

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Elektronikusan hitelesített PDF dokumentumok ellenőrzése Elektronikusan hitelesített PDF dokumentumok ellenőrzése Adobe Reader beállítása és használata a hitelesített PDF dokumentumok ellenőrzéséhez A dokumentáció szabadon tovább terjeszthető, a legfrissebb

Részletesebben

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő 2014.05.14.

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő 2014.05.14. A tűzfal mögötti adatvédelem Kalmár István ICT technológia szakértő 2014.05.14. Előszó a lánc erősségét a leggyengébb láncszem határozza meg! 2014.05.14. 2 Hálózati biztonsági kérdések Tűzfal Internet

Részletesebben

JOGSZABÁLYI KERETEK ÖSSZEFOGLALÁSA A közszolgálati tisztviselők továbbképzéséről

JOGSZABÁLYI KERETEK ÖSSZEFOGLALÁSA A közszolgálati tisztviselők továbbképzéséről JOGSZABÁLYI KERETEK ÖSSZEFOGLALÁSA A közszolgálati tisztviselők továbbképzéséről Jelen dokumentum az ÁROP-1.2.18/A-2013-2013-0012 azonosító számú Szervezetfejlesztési program az Országos Egészségbiztosítási

Részletesebben

Információbiztonság irányítása

Információbiztonság irányítása Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság

Részletesebben

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1. TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 15/2001.(VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és Hírközlési

Részletesebben

Cisco ISE megoldások. Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu

Cisco ISE megoldások. Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu Cisco ISE megoldások Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu TARTALOM 1 2 3 Motivációk Aggasztó kérdések, belépési pontok Régi és új típusú megoldások

Részletesebben

Távoktatási tananyagok. fejlesztése

Távoktatási tananyagok. fejlesztése Távoktatási tananyagok 1 fejlesztése se Kérdések 1. Miért választotta a tárgyat? 2. Mire akarja használni a megtanultakat? 2 A tárgyról Célja, bemutatni: a távoktatás módszerét, rendszerét, a tananyagfejlesztés

Részletesebben

Nagyméretű webes projektek a felhőben

Nagyméretű webes projektek a felhőben Nagyméretű webes projektek a felhőben Prém Dániel Tanszéki mérnök TÁMOP-4.2.1.B-11/2/KMR-0001 Résztvevők: Dr. Kozlovszky Miklós, Dr. Schubert Tamás, Dr. Póser Valéria, Ács Sándor, Prém Dániel Cloud-Computing

Részletesebben

Az ISO 27001-es tanúsításunk tapasztalatai

Az ISO 27001-es tanúsításunk tapasztalatai Az ISO 27001-es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft. 2012. május 11. Az ISO 27000-es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő

Részletesebben

Minőségkritériumok az elearning oktatásban

Minőségkritériumok az elearning oktatásban Minőségkritériumok az elearning oktatásban Krausz János - Oktatási vezető Képzési és Tudásmenedzsment Innovációs Kft 1107. Budapest, Kékvirág u. 2-4 Telefon: +36(1)431-1610 Fax: +36(1)431-1601 kti@ktionline.net

Részletesebben

Windows biztonsági problémák

Windows biztonsági problémák Windows biztonsági problémák Miskolci Egyetem Általános Informatikai Tanszék Miért a Windows? Mivel elterjedt, előszeretettel keresik a védelmi lyukakat könnyen lehet találni ezeket kihasználó programokat

Részletesebben

Microsoft SQL Server telepítése

Microsoft SQL Server telepítése Microsoft SQL Server telepítése Az SQL Server a Microsoft adatbázis kiszolgáló megoldása Windows operációs rendszerekre. Az SQL Server 1.0 verziója 1989-ben jelent meg, amelyet tizenegy további verzió

Részletesebben

The Leader for Exceptional Client Service. szolgáltatások

The Leader for Exceptional Client Service. szolgáltatások The Leader for Exceptional Client Service IT biztonsági szolgáltatások ACE + L A BDO VILÁGSZERTE A BDO a világ ötödik legnagyobb könyvelő, könyvvizsgáló, profeszszionális tanácsadó hálózata. A világ több

Részletesebben

Digitális aláíró program telepítése az ERA rendszeren

Digitális aláíró program telepítése az ERA rendszeren Digitális aláíró program telepítése az ERA rendszeren Az ERA felületen a digitális aláírásokat a Ponte webes digitális aláíró program (Ponte WDAP) segítségével lehet létrehozni, amely egy ActiveX alapú,

Részletesebben

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok Mosolygó Ferenc 2014. Október 2. Gyakorlati tapasztalatok 2 2013 Data Breach Investigation Report Verizon 67 % Az adatok 67%-át szerverekről

Részletesebben

A Nemzeti Elektronikus Információbiztonsági Hatóság

A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának

Részletesebben