ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM. Schutzbach Mártonné. Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában

Hasonló dokumentumok
Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

Az informatikai biztonsági kockázatok elemzése

DOKTORI (PhD) ÉRTEKEZÉS SZERZŐI ISMERTETŐJE

Informatikai rendszerekkel támogatott folyamatok működésfolytonossági kérdései a védelmi szférában

Muha Lajos. Az információbiztonsági törvény értelmezése

Közigazgatási informatika tantárgyból

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

A szóbeli vizsgafeladatot ha a feladat indokolja a szaktanárok által összeállított mellékletek, segédanyagként felhasználható források egészítik ki.

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Az építészeti öregedéskezelés rendszere és alkalmazása

MINISZTERELNÖKI HIVATAL. Szóbeli vizsgatevékenység

Doktori (PhD) értekezés. szerzői ismertetése. Kálmán Zsolt r. alezredes és között

OPPONENSI VÉLEMÉNY. Nagy Gábor: A környezettudatos vállalati működés indikátorai és ösztönzői című PhD értekezéséről és annak téziseiről

A TUDOMÁNYOS PROBLÉMA MEGFOGALMAZÁSA

AZ ELLENŐRZÉS RENDSZERE ÉS ÁLTALÁNOS MÓDSZERTANA

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Számviteli szabályozás

Számviteli szabályozás

2 A JELENTÉS FELÉPÍTÉSE...2

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Térinformatikai támogatás a kistérségi döntés és erőforrás-gazdálkodásban

Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM Hadtudományi Doktori Iskola

Bevezető 11. A rész Az általános könyvvizsgálati és bankszámviteli előírások összefoglalása 13

Kockázatkezelés és biztosítás 1. konzultáció 2. rész

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

ÚJ ÉPÍTÉSI TECHNOLÓGIÁK ALKALMAZÁSA A MAGYAR HONVÉDSÉG BÉKETÁMOGATÓ MŰVELETEI KATONAI ÉPÍTÉSI GYAKORLATÁBAN

A KÉPZÉSI TERV FELÉPÍTÉSE

2013. évi L. törvény ismertetése. Péter Szabolcs

A pedagógiai kutatás metodológiai alapjai. Dr. Nyéki Lajos 2015

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Hitelintézeti Szemle Lektori útmutató

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Kockázatkezelés az egészségügyben

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a évi ellenőrzési munkaterv elfogadása tárgyában

XXVII. Magyar Minőség Hét Konferencia

PROJEKTAUDIT JELENTÉS - - -

5. modul: ARÁNYOSSÁG, SZÁZALÉKSZÁMÍTÁS

NKE Katasztrófavédelmi Intézet Iparbiztonsági Tanszék

Miskolci Egyetem GÉPÉSZMÉRNÖKI ÉS INFORMATIKAI KAR. Osztályozási fák, durva halmazok és alkalmazásaik. PhD értekezés

Bevezetés a kvantum informatikába és kommunikációba Féléves házi feladat (2013/2014. tavasz)

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

REGIONÁLIS INNOVÁCIÓ-POLITIKA

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

Biomatematika 2 Orvosi biometria

Az adatszolgáltatás technológiájának/algoritmusának vizsgálata, minőségi ajánlások

A BETEGBIZTONSÁG FEJLESZTÉSI LEHETŐSÉGEI. 40. Betegbiztonsági Fórum június 8.

PRO PUBLICO BONO PROJEKT MEGVALÓSÍTÁSI TAPASZTALATAI

Témaválasztás, kutatási kérdések, kutatásmódszertan

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

1 A SIKERES PROJEKT KOCKÁZATMENEDZ SMENT FŐ ELEMEI ÉS KULCSTÉNYEZŐI

MATEMATIKA - STATISZTIKA TANSZÉK

A pedagógia mint tudomány. Dr. Nyéki Lajos 2015

Független Szakértői Vélemény. Nyilvános Vételi Ajánlattal Kapcsolatban

[Biomatematika 2] Orvosi biometria

IDEGENNYELVŰ ÜGYVITELI ISMERETEK ÁGAZATON BELÜLI SPECIALIZÁCIÓ SZAKMAI ÉRETTSÉGI VIZSGA II. A VIZSGA LEÍRÁSA

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM. Siku László mérnök alezredes A KATONAI VÁLSÁGKEZELÉS ÚJSZERŰ MŰSZAKI TÁMOGATÁSI FELADATRENDSZERE TÉZISFÜZET

Összeállította Horváth László egyetemi tanár

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

11. modul: LINEÁRIS FÜGGVÉNYEK

A BELSŐ ELLENŐRZÉS ALAPJAI A BELSŐ ELLENŐZÉS GYAKORLATA

A minőségirányítási program végrehajtásának értékelése az adott évben végzett tevékenység bemutatása

DÖNTÉSTÁMOGATÓ TERÜLETI MODELLEZÉS A GYAKORLATBAN

2.3 A SZTENDERDEK 0-5. SZINTJEI. 0. szint. Készítették: Tókos Katalin Kálmán Orsolya Rapos Nóra Kotschy Andrásné Im

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Tartalékos szövetségek a NATO-ban

A válság és a különleges jogrend kapcsolata, különös tekintettel a NATO Válságreagálási Rendszerével összhangban álló Nemzeti Intézkedési Rendszerre

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

TÁMOP Koragyermekkori (0-7 év) kiemelt projekt

AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA SCHUTZBACH MÁRTONNÉ DR.

Tabajd Község Önkormányzata Képviselő-testületének december 9-i ülésére. 4. napirendi pont

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

ÉRETTSÉGI TÉTELCÍMEK 2018 Informatika

Szabályozói tőkeköltség-számítás a távközlési piacon december 31-re vonatkozóan

ÚJSZÁSZ VÁROS JEGYZŐJE 5052 ÚJSZÁSZ, SZABADSÁG TÉR 1. TEL/FAX: 56/

Bevezető Mi a statisztika? Mérés Csoportosítás

Jean Monnet támogatás egyesületeknek

A Magyar Nemzeti Vidéki Hálózat

Muha Lajos A MAGYAR KÖZTÁRSASÁG KRITIKUS INFORMÁCIÓS INRASTRUKTÚRÁINAK VÉDELME

SZAKDOLGOZATI TÉMAKÖRÖK

Információbiztonság fejlesztése önértékeléssel

A BALASSI BÁLINT MEGYEI KÖNYVTÁR BESZÁMOLÓJA A LÉPÉSEK A STRATÉGIAI TERVEZÉSTŐL A MINŐSÍTÉSIG II. CÍMŰ SZAKMAI TOVÁBBKÉPZÉS LEBONYOLÍTÁSÁRÓL

I. BESZÁLLÍTÓI TELJESÍTMÉNYEK ÉRTÉKELÉSE

6. A tantervek szerepe az oktatás tartalmi szabályozásában

10. modul: FÜGGVÉNYEK, FÜGGVÉNYTULAJDONSÁGOK

Szabályozók felülvizsgálata Ellenőrzési-mátrix

PIAC_ Nemzetközi Határozatkereső rendszer fejlesztése. Szakmai fórum február 29.

A társadalmi részvétel rendhagyó formái NYÍLT KORMÁNYZATI EGYÜTTMŰKÖDÉS

(ÁROP 1.A.2/A )

30 MB INFORMATIKAI PROJEKTELLENŐR

Krasznay Csaba ZMNE doktorandusz

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

A 9001:2015 a kockázatközpontú megközelítést követi

Standardfejlesztési tevékenység

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

Kenyeres István (Budapest Főváros Levéltára) Szabadkai Levéltári Nap Előadás-vázlat

KÉPZÉSI PROGRAM. 1. A képzési program «B» képzési kör SEE-REUSE

Dr. Imre László főjegyző

Átírás:

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM Schutzbach Mártonné Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában című doktori (PhD) értekezésének szerzői ismertetése Témavezető: Dr. Kun István a Gábor Dénes Főiskola főiskolai tanára Budapest, 2004

1. A tudományos probléma megfogalmazása Az információk megszerzésére irányuló tevékenység és a megszerzett információk védelme az emberi társadalmakkal együtt alakult ki. A számítógépek megjelenésével, majd a számítógépes hálózatok kialakulásával az információ megszerzése, feldolgozása, továbbítása, tárolása, védelme nagymértékben megváltozott. Az Egyesült Államokban már az 1970-es évek végén megkezdődött az informatikai biztonsági értékelés követelményrendszerének kidolgozása. A későbbiekben, több országban hasonló, nemzeti kiadványok jelentek meg, az informatikai hálózatok elterjedésével megfogalmazódott az igény a nemzetközi szinten egyeztetett követelmények kialakítására is. Magyarországon 1996-ban a Miniszterelnöki Hivatal az Informatikai Rendszerek Biztonsági Követelményei címmel egy hazai ajánlást tett közzé. Az informatikai rendszerek biztonságának megteremtése a gyors fejlődés, a fenyegető tényezők változása és a megfelelő biztonsági intézkedések bevezetése miatt nehéz feladat és mindig új problémákat vet fel. A 2001. szeptember 11-én történt Amerika elleni terrortámadás arra is rámutatott, hogy az informatikai vezetőknek és a rendszeradminisztrátoroknak fel kell készülniük a legváratlanabb eseményekre is. Az informatikai rendszerek egyre nagyobb mértékű alkalmazása az előnyök mellett új veszélyekkel és kockázatokkal jár a NATO szövetségi, a nemzeti és a védelmi szféra infrastruktúrára nézve is. A védelem megvalósítására, a biztonság megőrzésére a NATO rendszerekben többszintű védelmet kell alkalmazni a védendő rendszerek fontosságának megfelelően, és el kell fogadni azt a helyzetet, hogy nincs tökéletes biztonság. Az EU 2002/43-as határozatában szerepel, hogy az országok indítsanak információs és oktatási kampányokat, abból a célból, hogy a számítógépes hálózatok és információ védelmének ismereteit növeljék, támogassák az információbiztonság menedzsmentjének a nemzetközileg elfogadott szabványokon alapuló gyakorlati módszereit. Hazánk 2004-ben az Európai Unió tagja lesz. A biztonsággal foglalkozó szakembereknek vizsgálni kell, hogy az euroatlanti csatlakozásnak milyen hatása van a biztonsági követelményekre. Az előzőek figyelembevételével az alábbi következtetéseket vontam le: Az informatikai biztonság problémaköre előtérbe került, elvi és gyakorlati kérdései is a kutatások napirendjén van. Nemzetközi és hazai szinten is igény van az egyeztetett követelmények kialakítására. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 2

Az informatikai biztonság megteremtéséhez fel kell tárni a fenyegető tényezőket, hogy védekezni lehessen ellenük. A fenyegető tényezők sokszínűsége miatt a feltárást részletesen több oldalról megközelítve kell elvégezni. A tökéletes biztonság elérése illúziónak tűnik, így előtérbe kerül a kockázatelemzés, amelynek során meghatározandók a védendő adatok fontossága, értéke. A veszélyek figyelembevételével lehet dönteni a meghozandó intézkedésekről, a védelmi szintről, amely arányos a védendő értékkel. Eldöntendő, hogy az így visszamaradt kockázat elviselhető-e, a nem elviselhető maradvány-kockázat újabb biztonsági intézkedések meghozatalát teszi szükségessé. 2. Kutatási célok A téma választásakor értekezésem céljául tűztem ki a következőket: Olyan kockázatelemzési módszereket, módszertanokat tanulmányozok, hasonlítok össze, amelyeket már sikeresen alkalmaztak az informatikai rendszerek biztonságának elemzésénél, abból a meggondolásból, hogy az erősségek és a gyengeségek vizsgálatából hasznosítható következtetéseket vonhassak le a fő cél, a védelmi szféra informatikai rendszereinek vizsgálatára alkalmazható módszer, megvalósításához. Kidolgozok a védelmi szféra informatikai rendszereire alkalmazható kockázatelemzési módszertant, ami figyelembe veszi az eddigi hazai és nemzetközi tapasztalatokat, elvárásokat és a védelmi szféra sajátos helyzetét. Továbbá célom az informatikai biztonságot fenyegető tényezők teljesebb, több részletre kiterjedő feltárása és rendszerezése, mivel a kockázatelemzés sikeressége nagy mértékben függ a fenyegető tényezők ismeretétől. 3. Kutatási módszerek A kitűzött célok elérése érdekében a kutató munkám során az alábbi módszereket alkalmaztam: Tanulmányoztam a dolgozat témájával kapcsolatos hazai és nemzetközi szakirodalmat, a biztonságra vonatkozó főbb nemzetközi szabályozókat, a hatályos jogszabályokat. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 3

Konzultációt folytattam a Zrínyi Miklós Nemzetvédelmi Egyetem, a Gábor Dénes Főiskola, a Bolyai János Katonai Műszaki Főiskola, a Budapesti Műszaki és Gazdaságtudományi Egyetem, a Kürt Computer Rendszerház Rt., a Synergon Informatikai Rt., Takarékbank Rt., a Somogy Megyei Katasztrófavédelmi Igazgatóság, a Fővárosi Polgári Védelmi Igazgatóság biztonsági szakemberivel az informatikai biztonsággal kapcsolatos kérdésekről. Konferenciákon vettem részt, egy részről azért, hogy az informatikai biztonságról kialakított elképzeléseim minél nagyobb nyilvánosságot kapjanak és a véleményeket, megállapításokat a további munkámban figyelembe vegyem, másrészről a konferenciák megállapításait, irányzatait hasznosíthassam. Vizsgáltam a szakirodalomban előforduló, leggyakoribb kockázatelemzési módszereket, törvényszerűségeket tártam fel, levonható következtetéseket és hasznosítási lehetőségeket soroltam fel. Elemeztem a kockázatkezelésnél alkalmazott matematikai módszerek lehetőségeit. A védelmi szféra egy területének informatikai rendszerét vizsgáltam, és a kidolgozott kockázatelemzési módszer néhány lépését alkalmaztam. Értékeltem kutatásaim, tapasztalataim és megfigyeléseim eredményeit. 4. Az elvégzett vizsgálatok leírása (az értekezés felépítése) Az értekezésben a választott témát az alábbi fejezetekben dolgoztam fel: A bevezetésben a téma kidolgozásának motivációit soroltam fel, megfogalmaztam a célokat, az alkalmazott módszereket. Az első fejezetben az informatikai biztonság megteremtésének lehetőségével foglalkoztam, áttekintettem a biztonságra vonatkozó főbb nemzetközi szabályozókat, hatályos jogszabályokat, biztonsági szabványokat. Kiemeltem a védelmi szféra informatikai biztonságának sajátosságait. Vizsgáltam az informatikai rendszerek életciklusának hatását a biztonságra. A második fejezetben a kockázatelemzési módszerek vizsgálatával, összehasonlításával, elemzésével arra a kérdésre kerestem a választ, hogy a nagyszámú kockázatelemzési módszert hogyan lehet alkalmassá tenni, kiegészíteni, vagy ilyen eljárást kialakítani a védelmi szféra informatikai rendszereire történő alkalmazáshoz. Az összehasonlításban a CRAMM, az ITB 8. számú ajánlása, a Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 4

COBIT, a MARION és az IT-Grundschutzhandbuch szerepel. A kiválasztásnál a következő szempontokat vettem figyelembe: o Az informatikai biztonság témakörét hazánk uniós csatlakozása miatt célszerű az Európai Unió tagországaiban vizsgálni. o Az összes létező ajánlás, módszer, módszertan vizsgálata helyett a legismertebbeket választottam ki, így a francia MARION-t, a német IT- Grundschutzhandbuch-t, egy nemzetközi szervezet által létrehozott COBIT-ot, az angol CRAMM-et és végül, de egyáltalán nem utolsó sorban a ITB 8. számú ajánlást, mivel Magyarországon ezt az ajánlást minden informatikai biztonsággal foglalkozó szervezet ismeri és egészében vagy kiindulási alapként felhasználja. Felsoroltam a kiválasztott módszerek pozitívumait, negatívumait és összehasonlítottam őket a következő szempontok szerint: o Színvonal o Függetlenség o Minősíthetőség o Realizálhatóság o Alkalmazhatóság o Értékelési terjedelem o Eredmény-ábrázolás o Gazdaságosság o Aktualizálás o Felhasználóbarát tulajdonság A vizsgált módszerek összehasonlító szempontok szerinti értékelését grafikus megjelenítéssel tettem szemléletesebbé. Ebben a fejezetben a leggyakoribb veszélyelemző módszereket, a hibafa elemzést, az eseményfa elemzést, a hibamód és -hatás elemzést, a veszély- és működőképesség elemzést, a hibamód, -hatás és kritikusság elemzést is vizsgáltam, valamint szükségesnek láttam egy sajátos matematikai módszer, a fuzzy elmélet felhasználhatóságát is bemutatni a kockázatkezelésben. A fuzzy elméletnek az egyik célja olyan módszerek kifejlesztése, amelyekkel szabályokba foglalhatók és megoldhatók azok a problémák, melyek túl bonyolultak vagy nehezen megfogalmazhatók a hagyományos vizsgálati módszerek segítségével. A kockázatelemzésnél használt nem jól definiált fogalmaknál (pl.: kicsi, közepes, nagy) a megfelelő halmaz határait nem tudjuk egzakt módon meghatározni. Ebben az Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 5

esetben az elemek halmazhoz tartozása nem minden esetben dönthető el egyértelműen, így annak mértékét egy folytonos skála megfelelő értékével jelöltem. A fuzzy logikával támogatott kockázatelemzés előnyeit a következő pontokban foglaltam össze: o Lehetőség van a számszerű eredmények további felhasználására. o A rendszer egyszerű felépítésű, a szabálybázis felépítése könnyen érthető. o Precíz és pontatlanul definiált adatokat egyaránt tud kezelni. o Szemléletmódja közel áll az ember napi valóság-szemléletéhez. A harmadik fejezet módszertani útmutatót ad a védelmi szféra informatikai rendszereinek kockázatelemzéséhez. Kiemeltem azokat a legfontosabb okokat, amelyek megerősítették az elhatározásomat, hogy egy új módszertant dolgozzak ki a védelmi szféra informatikai rendszereinek vizsgálatára.. A fejezet tartalmazza a kockázatelemzés egyes lépéseinél használható eszközöket, amelyek a kapcsolattartást, az áttekinthetőséget, az informatikai rendszer, a szervezet megismerését, a fenyegető tényezők feltárását segítik. A kockázatelemzés elvégzését a rendelkezésemre álló szakirodalom, különösen a második fejezetben leírt elemzési módszerek tanulmányozása, összehasonlítása és a következtetések levonása után az alábbi öt lépésben tartom a legcélravezetőbbnek: (1) ÁLLAPOTFELMÉRÉS (a cél, a rendszer és az elvárások megismerése) (2) A VESZÉLYEK AZONOSÍTÁSA, FENYEGETŐ TÉNYEZŐK FELTÁRÁSA (3) NEGATÍV HATÁSOK, KÁROK BECSLÉSE, BEHATÁROLÁSA (4) A KÁROK GYAKORISÁGÁNAK MEGHATÁROZÁSA (5) A KOCKÁZATOK MEGHATÁROZÁSA Az öt lépéses módszertan előnyeit a jó áttekinthetőségben, a gyakorlati megvalósíthatóságban látom. Lényegesnek tartottam a kockázatelemzés egyes lépéseinek a gyakorlatban való megvalósíthatóságának bemutatását is. A kiválasztott szegmens a védelmi szféra egy részterülete, a Fővárosi Polgári Védelmi Igazgatóság informatikai rendszere. A fenyegető tényezők sokfélesége miatt rendszerezést, csoportosításokat készítettem, ennek során fokozottan figyelembe vettem a védelmi szféra informatikai rendszereit veszélyeztető tényezőket. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 6

Egy informatikai rendszer teljes körű kockázatelemzése nagy feladat, az áttekinthetőség miatt célszerű valamilyen felosztást végezni. A negyedik fejezetben az egyes részterületek közül a környezeti infrastruktúra, az alkalmazások, a rejtjelezés és a hálózatok sajátos kérdéseivel foglalkoztam. A környezeti infrastruktúra elemzése magában foglalja a számítóközpont épületének területét, magát az épületet, az épületben lévő helyiségeket, átviteli vezetékeket, klíma berendezéseket, vízszolgáltatást, világítást, telefonszolgáltatást, áramellátást és egyéb jellegzetességek elemzését. A szervezet a környezeti infrastruktúra egy-egy területét kiemelten fontosnak, külön elemzését is célszerűnek tarthatja. Az informatikai alkalmazások megfelelő szintű működése fontos területe az informatikai biztonságnak, ezért nagyobb részletességgel foglalkoztam az igényelt rendelkezésre állással, a becsült anyagi kárral, a meghibásodási valószínűségekkel, amelyek alapján a megfelelő pontértékekből a kockázat meghatározható. A rejtjelezés alapvető feladata algoritmikus eszközökkel biztosítani azt, hogy védett adatok csak az azok felhasználására kijelölt körben legyenek érthetők. Kiemeltem az alapvetően használatos kétféle rejtjelezési módszer, a szimmetrikus és az aszimmetrikus kulcsú, előnyeit és hátrányait. Foglalkoztam a nyilvános kulcsú rejtjelezés algoritmusai alapjául szolgáló matematikai problémákkal és felhasználásukkal. Megvizsgáltam a számítástechnikai rendszerek fejlődésének hatását a rejtjelezés biztonságára. Figyelembe vettem, hogy a gyakorlatban az adatok illetéktelenek kezébe jutásának általában rejtjelezés feltörhetőségén túl, sokkal inkább a kommunikációs csatorna nem megfelelő védelme vagy emberi tényezők, az adatkezelés nem megfelelően biztonságos szervezése az oka. Az egyre nagyobb hálózatok számos előnye mellett, a biztonságot érintő kockázati tényezők nagy mértékben növekedtek. Ez nem azt jelenti, hogy a jövő az egyedi gépeké, de a megfelelő biztonsági intézkedések nélkül létrehozott hálózati csatlakozás nem lebecsülendő veszélyeket rejthet. Ebben az alfejezetben rendszerösszeomlásokkal, csalásokkal, nagyobb hibákkal, támadások vizsgálatával, számítógépes vírusokkal, férgekkel, trójai programokkal foglalkoztam. Egy szervezet hálózatának biztonsága érdekében a gyakorlatban már bevált lépéseket lehet tenni, mint például biztonsági intézkedések meghozatala, biztonsági terv kialakítása, tűzfalak telepítése, betörésvédelmi rendszerek alkalmazása vagy a legfrissebb vírusirtó szoftverek használata. Az elemzés során a gyakorlatban már jól bevált lépések megvalósítását kell vizsgálni. A külső támadások vizsgálatánál, a kockázatelemzés Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 7

egyik segítője lehet az ethical hacking (etikus hackelés) eljárás. A hackelésből származó ismereteket jól képzett szakemberek vagy szakemberek csoportja a vizsgált szervezet érdekében tudja hasznosítani. Mivel a kockázatelemzési eljárás sikere nagy mértékben függ a fenyegető tényezők minél teljesebb körű feltárásától, annak érdekében, hogy ez a számbavétel ne legyen hiányos, a fenyegető tényezőket első megközelítésben humán, logikai, fizikai és környezeti tényezők csoportjába rendszereztem. Az informatikai rendszer egyes részterületeinek elemzésénél is kiemeltem azokat a veszélyes pontokat, helyzeteket, amelyeket az adott területen vizsgálni kell. A fenyegető tényezők rendszerezése egy-egy kiemelt részterület szerint is lehetséges. Az előbbi rendszerezéseken túl, elősegítheti a veszélyelemzést a veszélyeztető faktorok katalógusának felépítése. Ebből kiindulva is bemutattam a fenyegető tényezők rendszerét, öt szempont szerinti osztályozásban, ez a csoportosítás a felelősség kérdését is sugallja. Az utolsó fejezet tartalmazza az eredmények összegzését, következtetések levonását, az értekezés felhasználhatóságának elemzését, a további kutatási irányok felvetését. 5. Összegzett következtetések Az értekezés kutatási céljaként megjelölt kérdések részletes kifejtését és elemzését az egyes fejezetekben külön-külön elvégeztem. Az egyes kutatási célok elérésével kapcsolatosan az alábbi összegzett következtetéseket vontam le: Meghatároztam azokat az alapfogalmakat, amelyeket az értekezésemben használtam, áttekintettem az informatikai biztonság kialakítása során figyelembe veendő jogszabályokat, szabványokat és ajánlásokat, rendszereztem a biztonsági osztályokra vonatkozó egységes követelményeket. A védelmi szféra érdekeinek figyelembevételével kiválasztottam különböző kockázatelemző módszereket, amelyeknek a pozitívumait és negatívumait vizsgáltam, felállítottam egy összehasonlítási szempontrendszert és ennek segítségével értékeltem és összehasonlítottam a kiválasztott eljárásokat, az összehasonlítás eredményeit grafikonon szemléltettem. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 8

Elemeztem és összehasonlítottam a két leggyakoribb veszélyelemző módszer (a hibafa és eseményfa) megvalósíthatóságát. Összegeztem az informatikai rendszerek teljes életciklusán végigvezető veszélyelemzési folyamatokat. Kidolgoztam egy kockázatelemzési módszertani útmutatót a védelmi szféra informatikai rendszereinek kockázatelemzésére. Kialakítottam az informatikai biztonságot fenyegető tényezők rendszerét. Kiemeltem az informatikai rendszer egyes részterületeit, ráirányítottam a figyelmet az adott részterület biztonsági vizsgálatának releváns tényezőire. 6. Új tudományos eredmények Az informatikai rendszerek biztonságának kutatása során elért tudományos értékű eredménynek tekintem: 1) A kiválasztott kockázatelemzési módszertanok (COBIT, CRAMM, ITB 8. számú ajánlás, MARION, IT-Grundschutzhandbuch) összehasonlító elemzését. 2) A védelmi szféra informatikai rendszereinek kockázatelemzésére kidolgozott kockázatelemzési módszertant. 3) Az informatikai biztonságot fenyegető tényezők rendszerének kialakítását. 7. A kutatási eredmények felhasználhatósága, ajánlások A téma kidolgozásával hozzá kívántam járulni; az informatikai biztonság kérdéskörének elméleti és gyakorlati továbbfejlesztéséhez, a felsőfokú oktatásban használható informatikai védelmi infrastruktúrák továbbfejlesztéséhez, az informatikai rendszereket fenyegető támadások felismeréséhez, mivel ez a felismerés az első lépése a sikeres biztonsági rendszer kialakításának. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 9

Az értekezésem felhasználását javaslom: A kialakítás alatt álló válság- és konfliktuskezelés oktató és kutató központ informatikai rendszerének biztonsági elemzésénél. A válság- és konfliktuskezelés oktató és kutató központ oktatási segédleteinek kidolgozásánál. Az informatikai rendszereket fenyegető tényezők figyelemmel kísérésénél, ami segíti a veszélyhelyzetek megelőzését. Az általános módszertan a védelmi szféra informatikai rendszereinek kockázatkezelésénél közvetlenül vagy a változások figyelemmel kísérésével kisebb módosításokkal alkalmazható. Az eredményeim nemcsak a védelmi szféra működési területén hasznosíthatók, hanem pl. banki, kormányzati területeken is támogatják a felhasználót. A felsőfokú oktatásban, a kutatómunkában közvetlenül hasznosíthatók az összehasonlító elemzések. A kidolgozott veszélyelemzési módszerek alkalmazhatók megelőzési célból, a védelmi szféra informatikai rendszereit fenyegető veszélyek vizsgálatában. Schutzbach Mártonné: Az értekezés szerzői ismertetője magyar nyelven 10

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés