Informatikai biztonsági ellenőrzés

Átírás

1 Informatikai biztonsági ellenőrzés { - az ellenőrzés részletes feladatai Budai László IT Biztonságtechnikai üzletágvezető

2 Informatikai biztonsági ellenőrzés { - Bemutatkozás I Tel.: I info@nador.hu

3 Forgalom MFt Nádor Rendszerház Kft. Alapítás: 1992 Magyar tulajdonosok Alkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd Ft Forgalomi adatok

4 Nádor Rendszerház Kft. - üzletágak IT eszközök IT szolgáltatások IT biztonság Közbeszerzés Szoftverfejlesztés Vonalkód technika és RFID Távközlés Irodatechnika

5 Nádor Rendszerház Kft. - minősítések MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer MSZ EN ISO 14001:2009 Környezetirányítási rendszer NATO Minősített Beszállító cím

6 Nádor Rendszerház Kft. IT biztonság Szolgáltatások Audit Kockázatelemzés Szabályzatok és IBIR kialakítás ITIL v3 bevezetés Bevezetés és oktatás Ethical Hacking Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server) Biztonsági hardening és monitoring Spam szűrő szolgáltatás IT biztonsági szakértői szolgáltatások Megoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és kiértékelése Tűzfalak és behatolás jelző megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó megoldások Tempest eszközök Fájl szerverek, virtuális gépek védelme Hozzáférés kezelés / felügyelet

7 Informatikai biztonsági ellenőrzés { Vizsgálatok I Tel.: I info@nador.hu

8 Informatikai biztonsági ellenőrzés - előkészítés Ellenőrzés előkészítése A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás) Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet) Dokumentációk bekérése Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) Interjúkra, vizsgálatra való felkészülés

9 Informatikai biztonsági ellenőrzés interjúk és vizsgálatok lefolytatása Interjúk lefolytatása Időpontok egyeztetése Kérdőív alapján, Excel táblázat Vizsgálatok lefolytatása Szabályzatok vizsgálata Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok) Logok vizsgálata Adathozzáférések vizsgálata

10 Informatikai biztonsági ellenőrzés Szabályzatokra vonatkozó vizsgálatok Informatikai Biztonsági Politika Informatikai Biztonsági Stratégia Informatikai Biztonsági Szabályzat Üzemeltetési Szabályzat Felhasználói Szabályzat Vírusvédelmi szabályzat Mentés és Archiválási Szabályzat BCP/DRP Szabályzat..és amit még a szervezet mérete, folyamatai indokolnak (Kockázatkezelési Szabályzat, Hozzáférési Szabályzat, Adatvédelmi Szabályzat, stb.) Megfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelés

11 Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Web portálok vizsgálata (pl: Acunetics, Rapid7) Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) Blackbox Greybox Whitebox Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) frissítések telepítésének ellenőrzése, Adatbázis vizsgálatok, scriptek WiFi és VPN vizsgálatok Alkalmazás vizsgálatok Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)

12 Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Általánosságban: Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) Reakció vizsgálata (idő, felkészültség, riasztási rendszer) Szoftver jogtisztaság Informatikával előre egyeztetett időpontban, meghatalmazással Kiemelt felhasználói jogosultság Rendszerösszeomlás elkerülése Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása Fejlesztés esetén tesztadatok (nem az éles adatokkal)

13 Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek Merevlemezen tárolt adatok felderítése Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon HASH!) A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a hiteles anyagon vizsgálunk

14 Informatikai biztonsági ellenőrzés Jelentéskésztés Összefoglaló a feltárt problémákról Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra) Kérdőív táblázat csatolása Sérülékenységi vizsgálat során keletkezett riportok csatolása Javaslatok vizsgáló eszköz által adott javaslatok is felhasználhatók

15 Informatikai biztonsági ellenőrzés Vizsgálatok ismétlése Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2) A vizsgálat megismétlését is célszerű elvégezni. Delta riport.

16 Információbiztonság a közigazgatásban { évi L. Törvény (Ibtv.) I Tel.: I info@nador.hu

17 2013. évi L. törvény (Ibtv.) - előzmények 1992 Adatvédelmi törvény (1992. évi LXII. tv.) ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez 2005 PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) /2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 KIB 25 (IBIR) 2011 Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) évi CLXVI. Törvény.és a növekvő kiberfenyegetettség

18 2013. évi L. törvény áttekintés Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. Hatályba lépett: július 01.

19 2013. évi L. törvény áttekintés Hatóság létrehozása NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság 301/2013 Korm. Rendelet július 30.) Ellenőrzési/felügyeleti jog Információbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezető IBF kinevezés (2013. aug. 29.) tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: augusztus 31. IBSZ (2013. szept.28. -> febr. 04.) Kockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.) Kiegészítések: 26/2013 KIM rendelet 73/2013 NFM rendelet 77/2013 NFM rendelet 233/2013 Korm. rendelet 301/2013 Korm. rendelet

20 Köszönöm a figyelmet { Kérdések - válaszok Budai László IT Biztonságtechnikai üzletágvezető Telefon: Mobil: budai.laszlo@nador.hu