IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

Átírás

1 30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

2 Tartalom Alapvetések Követelmények a szerver szobára A jelentés Veszélyforrások értékelése Azonnali intézkedések Jogszabályok

3 Alapvetések A helyzetfeltárás jellemzői (1) Cél Az aktuális állapot és feltételek rögzítése a releváns ajánlások előírásainak alapján. A gyengeségek és kockázatok feltárása (a kockázatelemzés előkészítése) Feltételek Jogszabályi feltételek Üzleti elvárások Szervezet és működés Humán politika Informatikai erőforrások (Már megtett intézkedések) (Baseline) 3

4 Alapvetések A helyzetfeltárás jellemzői (2) Módszer Szemlék (Előre definiált szempontok alapján) Bejárások Interjúk (Előre előkészített kérdések - félig strukturált interjú, nyitott kérdések) Dokumentum tanulmányozások Eredmény Helyzetfeltárási jelentés 4

5 Alapvetések A helyzetfeltárás során az aktuális állapotot és számos szempontot kell figyelembe kell venni Jogszabályi feltételek, belső szabályok, szerződési kötelezettségek Üzleti elvárások, szolgáltatási szintek Működési folyamatok Informatikai szervezet, humán politika Informatikai erőforrások Meglevő védelmi intézkedések, korábbi auditok eredményei 5

6 Követelmények a szerver szobára Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (1) Fizikai környezet Melyek az elhelyezkedés jellemzői (a közelben van-e repülőtér, vasút, veszélyes anyaggal dolgozó üzem, benzinkút, folyó stb.) A közelben vannak-e éghető anyagok (pl. papírraktár)? Milyen a megközelíthetőség (telephely, épület, emelet stb.) és védelmek (sorompó, portaszolgálat stb.)? Alternatív megközelítési lehetőség van-e? Melyek a bejutási lehetőség korlátai (mechanikai védelmek: ajtó kivitele, rács, zár, kulcs, beléptető kártya, kód, élőerős védelem stb.)? Bejutási lehetőség kerülő úton (szellőző, ablak, vészkijárat stb.) lehetséges-e? A környezetben riasztó, infra érzékelő rendszerek, ZTV (zártláncú TV rendszer) stb. vannak-e telepítve? Vannak-e jelzések a telephelyen, amelyek alapján idegenek eljuthatnak a szerverszobához? 6

7 Követelmények Alapvetések a szerver szobára Milyen a megfelelő szerver szoba? (2) Építészeti/ épületgépészeti kialakítás Melyek a kialakítás jellemzői (álmennyezet, álpadló (antisztatikus), ablak, falak)? Épületgépészet jelenléte (vízvezeték, szennyvíz, szellőzőcső) megtalálható-e? Hogyan történik a megfelelő légállapot biztosítása (szellőzés, klíma független klíma rendszerek, áramszünet utáni újraindulás, külső kapcsolhatóság)? Hogyan történik az esetleges magas hőmérséklet érzékelése és a szükséges riasztás? Megvalósul-e a füst és tűzérzékelés (érzékelő, automatikus oltás, riasztás), ill. a nedvességérzékelés? A dohányzás tiltott-e, ill. a tiltás betartása ellenőrzött-e? 7

8 Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (3) Belső rend/ berendezések Jellemző-e a zsúfoltság, azonosíthatóak-e a berendezések? Idegen anyagok (raktár céljára történő használat) ill. éghető anyagok megtalálhatók-e (tipikusan nagy mennyiségű papír)? Idegen (harmadik félhez tartozó) berendezések vannak-e elhelyezve? Előfordulhat-e rágcsálók megjelenése a szerverszobában? Hogyan valósul meg a szünetmentes táplálás? (Milyen rendszer, mennyi ideig elegendő?) Milyen a kábelezés kialakítása (strukturált kábelezés, kábelrendezők)? Milyen az erősáramú betáplálás kialakítása (kábelezés, aljazok normál, megerősített, szünetmentes) Hogyan valósul meg az EMC (elektromágneses kompatibilitás), árnyékolás, földelő rendszer? 8

9 Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (4) Munkavégzés/ szabályozás Folyamatos munkavégzés, folyamatos jelenlét megvalósule? Idegenek felügyelet nélkül tartózkodhatnak-e a szerverszobában (takarítók, upgrade-et végző külső munkatársak stb.)? Szabályozott-e a szerverszoba üzemeltetés, létezik-e szerver szoba üzemeltetési szabályzat beléptetés rendje, belépések naplózása, takarítás, üzemzavarok kezelése, tevékenységek szabályozása, idegen tevékenységek felügyelet stb. Tiltott e a szerverszobában az étkezés ill. italfogyasztás, spec. eszközök (pl. hőlégfúvó) használata? A berendezések tisztítása, takarítás rovar és rágcsálóirtás hogyan történik? Hogyan kerülnek be az új berendezések a szerverszobába? A bekerülés előtt van-e ellenőrzés? Szabályozott-e a fényképezés, videofelvétel készítés? 9

10 Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (5) Tartalékok, redundanciák A mentések megvalósítása, tárolásuk hogyan történik? Hogyan, mennyi idő alatt vehetők használatba a tartalék eszközök és berendezések? Milyen összetevők vannak redundánsan kialakítva? Alternatív szerver szoba, alternatív berendezések. Az összes kritikus berendezés egyetlen helyiségben van? Megvalósul-e georedundancia?. 10

11 A jelentés Példa helyzetfeltárási jelentés szerkezetére A szerkezet kialakítása során célszerű standardot követni Biztonsági politika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés-ellenőrzés Az információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása Megfelelőség ISO27001 korábbi változat szerkezete 11

12 ACTIVITY Esettanulmány feldolgozás 1. Teljesség 2. Hiányosságok 3. Vitatható megállapítások 4. Korrekciók 5. Módosítási javaslatok 6. Kiegészítési javaslatok

13 Veszélyforrások értékelése Veszélyforrás analízis: első lépcsős szűrés Cél Annak meghatározása, hogy az általánosan ismert veszélyforrások az adott szervezet esetén relevánsnak tekinthetők-e Találhatók-e megfelelő védelmi intézkedések (kontrollok) az egyes veszélyforrásokhoz? A védelmi intézkedések gyakorlata összhangban van-e az előírásokkal? (Korábbi audit következményei) Módszer Az alábbiak összevetése a Best practice alapján Az általánosan ismert veszélyforrások A helyzetfeltárási jelentésben szereplő tények Eredmény Az egyes veszélyforrások részletes elemzését tartalmazó veszély-forrás analízis dokumentum amely megadja a szervezet szempontjából tényleges fenyegetést jelentő veszélyforrásokat ill. lehetséges hatásaikat. 13

14 Veszélyforrások értékelése Veszélyforrás analízis: a releváns veszélyforrások meghatározása Fizikai és logikai veszélyforrások Szervezeti, működési és humán veszélyforrások Az életciklushoz kapcsolódó veszélyforrások Környezeti (árvíz, földrengés, robbanás ) Jogosulatlan fizikai és logikai hozzáférések (illetéktelen behatolás, hibás jelszóhasználati rendszer.) Berendezések fizikai meghibásodása Hiányzó szabályozások, ellenőrzések, hibás szerződések Nem megfelelő biztonsági szervezet Nem kellően lojális, nem megfelelően képzett munkatársak Nincs elkülönült fejlesztő rendszer A rendszerek átvételekor a biztonsági követelményrendszer ellenőrzése hiányzik Nem szabályozott, nem megfelelő selejtezések Megvalósított védelmi intézkedések és egyéb feltételek A szervezet szempontjából tényleges fenyegetést jelentő veszélyforrások és lehetséges hatásaik rögzítése 14 A megvalósított védelmi intézkedések és egyéb feltételek a bekövetkezési valószínűséget, illetve a hatást, az okozott kárt csökkentik!

15 Azonnali intézkedések Indokolt esetben: Javaslat azonnali intézkedésekre Opcionális javaslat A helyzetfeltárás ill. a veszélyforrás analízis eredményeitől függően opcionálisan javaslat azonnal végrehajtható védelmi intézkedésekre Azonnal védelmi intézkedés: Nem igényel hosszadalmas ill. részletes terveket Erőforrási-igénye nem számottevő Gyakorlatilag azonnal végrehajtható (Példa: a mentések szerverszobán kívüli tárolásának előírása) 15

16 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Helyzetfeltárást a szervezet életében csak egyszer kell végrehajtani. b. A veszélyforrás analízis minden szervezet esetén azonos eredményt ad, a szabványok tartalmazzák. c. A helyzetfeltárás elvégezhető a releváns dokumentumok alapos tanulmányozásával. 16

17 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység

18 Jogszabályok Jogszabályok Vegyünk elő egy OVI táblát és töltögessük! 18

19 Köszönöm a figyelmet!