Adatbiztonság. Adatbiztonság, adatvédelem. IT elemei és környezete - veszélyforrások

Átírás

1 , adatvédelem Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. IT elemei és környezete - veszélyforrások Személyzet, felhasználók Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K

2 Áramkiesés vagy feszültségtüskék Vihar okozta károsodás Tűzvész vagy robbanás Hardver vagy szoftverhiba Árvíz vagy víz okozta károsodás Adatvesztések okai Földrengés Hálózat kiesése Emberi tényező Hűtőtechnika kiesése Egyéb 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 9,4% 8,2% 8,2% 6,7% 5,5% 4,5% 3,2% 2,3% 6,7% Forrás: Contingency Planning Research 45,3% Környezeti veszélyek Fizikai behatolás Villámcsapás Tűz Katasztrófa Üzemzavar Lopás Túlmelegedés Személyzet, felhasználók Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K Fizikai védelem természeti csapások tűz víz elemi kár következmények Számítógépek, adatbázisok tönkremennek védelem szabályok betartása, szabályzat körültekintő munkarend

3 Elektromos feszültség kimaradás, ingadozás elektromos hálózati problémák nem tervezett feszültség kimaradás következmény hardver hibák adatismétlés futási idő meghosszabbodása védelem szünetmentes áramforrás használata Hardver és hálózati veszélyek Szakszerűtlen üzemeltetés Karbantartás elmaradása Személyzet, felhasználók Illetéktelen rácsatlakozás Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K Hardver bizonytalanság alkatrészek meghibásodása sztohasztikus hibák szélsőséges körülmények következmények pontatlan számítás, befejezetlen műveletek védelem tesztelés rendszeres karbantartás szükséges adatmentések

4 Rendelkezésre állás Rendelkezésre állás szintje 90 % Kiesett idő 876 óra (36,5 nap) Magas elérhetőség 99 % 99,9 % 99,99 % 87,6 óra (3,65 nap) 8,76 óra 53 perc Folyamatos elérhetőség határa 99,999 % 5 perc 99,9999 % 30 másodperc 99,99999 % 3 másodperc Szoftver veszélyek Beszerzési politika hiánya Szerzői jog Illetéktelen hozzáférés Vírus Szakszerűtlen tervezés Jogosulatlan használat Személyzet, felhasználók Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K Szoftver bizonytalanság programok meghibásodása nem tökéletes felhasználói program nem pontos mentések visszatöltése vírusok terjedése, víruskár következmények pontatlan számítás, befejezetlen műveletek védelem program másolatok adatmentések vírusvédelem

5 Vírusok rosszindulatú programok, programozott fenyegetések terjedésűkhez szükség van emberi beavatkozásra aktiválásuk eseménytől, időtől függ különböző kárt okoznak futási idő növelése tárkapacitás lefoglalása adattörlés programmódosítás Vírusok terjedésük adathordozón adatátviteli csatornán Vírusvédelem vírusvédő programok felderítők védők (pajzsok) vírusirtók Vírustípusok programvírusok - exe, com állományokban makró vírusok dokumentumokkal terjednek boot szektor vírusok Férgek indításuk után emberi beavatkozás nélkül képesek terjedni trójai programok Spyware-ek polimorf vírusok Retrovírusok Mobil vírusok

6 Adathalászat phishing az az eljárás, amikor egy internetes csaló oldal egy jól ismert cég hivatalos oldalának láttatja magát és megpróbál bizonyos személyes adatokat, például azonosítót, jelszót, bankkártya-számot stb. illetéktelenül megszerezni Követelmény az adatfeldolgozás során a felhasználók szempontjából CIA Central Intelligence Agency Culinary Institute of America Confidentiality - bizalmasság Integrity - sértetlenség Availability - hozzáférhetőség Lásd: előző előadás Támadások típusai és előfordulási százalékuk V í r u s H á lü z a t i h o z z á f é r é s M o b il e s z k ö z e lt u la jd o n í t á s a S z o lg á lt a t á s m e g t a g a d á s a R e n d s z e r b e t ö r é s H o z z á f é r é s b e lü lr ő l I n f o r m á c ió e lt u la jd o n í t á s a S z a b o t á z s P é n z ü g y i c s a lá s T e le k o m m u n ik á c ió s c s a lá s T e le k o m m u n ik á c ió s h a llg a t ó z á s H a llg a t ó z á s a h á ló z a t o n

7 Személyzettől, felhasználóktól származó veszélyek Megvesztegetés Szakképzetlenség Bosszúállás Szabályozatlanság Személyzet, felhasználók Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K Felhasználói hibák véletlen hozzá nem értés képzetlenség felelőtlenség nemtörődömség tudatos szándékos károkozás rosszindulatú beavatkozás védelem munkaszerződés, munkaköri leírás, oktatás A károkozók megoszlása Alkalmazottak 82% Egyéb 1% Külső 17%

8 Költségek haszonszerzés, bosszú, irigység, sértettség, felindultság, virtus, Motivációk tudatlanság, képzetlenség, alkalmatlanság, ellenséges magatartás, gondatlanság. Dokumentumok, adathordozók veszélyei Illetéktelen másolás Személyzet, felhasználók Dokumentáció hiány Elektromágneses zaj Épület, szerverszoba Klimatechnika Villámvédelem Energia ellátás Tűz- és vagyonvédelem Hardver + hálózat Rendszerszoftver Dokumentációk Adathordozók Felhasználói szoftver A D A T O K Biztonságra fordított költségek és a kárköltségek viszonya Kárköltségek Biztonsági költségek Összes költség Biztonsági költségek

9 Adatvédelem Az adatvédelem adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Adatvédelem Az adatvédelem alapszabályai titoktartás adatok sérthetetlensége hozzáférhetőség elkülönítés felügyelet Jogi védelem évi LXIII. törvény alapelvei Az állampolgárnak döntési és cselekvési joga van a róla szóló információk felett, valamint joga van a közérdekű információk megismeréséhez. Ezeket a jogokat csak törvény korlátozhatja.

10 Adatvédelem adatok jogi védelme személyes adatok - az érintett személlyel kapcsolatba hozható adat különleges információk faji eredetre meggyőződésre egészségi állapotra előéletre vonatkozó személyes adatok közérdekű adatok állami, önkormányzati Adatvédelem Intézményen belüli adatcsoportok kritikus információk stratégiai tervek üzleti, gyártási titkok tulajdonosi információk pénzügyi piaci bizalmas információk fizetési listák Adatkezelés szabályozása Személyes adat kezelhető,, ha az érintett hozzájárul, a a törvt rvény elrendeli. Különleges adat kezelhető,, ha az érintett írásban hozzájárul, valamely külön k trv.. elrendeli.

11 Adatvédelmi biztos Az Országgyűlés választja, ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabály megtartását; kivizsgálja a hozzá érkezett bejelentéseket; gondoskodik az adatvédelmi nyilvántartás vezetéséről, Üzleti titok Üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldási mód vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke fűződik. Nagy tömegű személyes adatokat feldolgozó szervezetek KÖNYVH APEH OEP NYUFIG VPOP KSH Önkormányzatok Nemzetbiztonsági szolgálatok Honvédség Rendőrség Kamarák, egyesületek Munkahely Szolgáltatók

12 Adatvédelem illetéktelen hozzáférés kizárása jelszó védelem rejt-jelzés terminálok fizikai védelme