30 MB ÉLETCIKLUSHOZ ÉS IT RENDSZERELEMEKHEZ KAPCSOLÓDÓ VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK

Hasonló dokumentumok
Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

30 MB INFORMATIKAI PROJEKTELLENŐR

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

DW 9. előadás DW tervezése, DW-projekt

HITELES MÁSOLATKÉSZÍTÉSI REND

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

BALATONI REGIONÁLIS TÖRTÉNETI KUTATÓINTÉZET, KÖNYVTÁR és KÁLMÁN IMRE EMLÉKHÁZ. Mobil és hordozható eszközök használatára vonatkozó szabályzat

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

KRÉTA Napló. KRÉTA Napló. Kunszentmártoni Általános Iskola és Alapfokú Művészeti Iskola. Működési Szabályzat

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Informatikai prevalidációs módszertan

ECDL Információ és kommunikáció

Tudjuk-e védeni dokumentumainkat az e-irodában?

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

Kunszentmártoni Általános Iskola és Alapfokú Művészeti Iskola. Működési Szabályzat

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Az információbiztonság egy lehetséges taxonómiája

Felhasználói Kézikönyv

Adatvédelmi Nyilatkozat A Vital Trade 4 You LTD. (székhely: 5 Ryelands Court Leominster HR6 8GG UK., cégjegyzékszám: , adószám: ,

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

Működési Szabályzat

@Napló Működési Elektronikus Osztálynapló és Ellenőrző könyv

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

Szoftverminőségbiztosítás

ISO 9001 revízió Dokumentált információ

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Gara Péter, senior technikai tanácsadó. Identity Management rendszerek

Új felállás a MAVIR diagnosztika területén. VII. Szigetelésdiagnosztikai Konferencia 2007 Siófok

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

Kiváló minôségû szolgáltatás, MKIK Védjegy. Az informatikai szolgáltatások tanúsítási követelményei

Bevezetés. Adatvédelmi célok

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Egészségügyi ágazati kataszterek fejlesztése

A Budapesti Értéktőzsde Részvénytársaság Igazgatóságának 110/2003. számú határozata

Jogi Behajtási Keretrendszer és moduljai üzemeltetése

Adatkezelési nyilatkozat

Információ menedzsment

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Adatkezelési nyilatkozat, szabályzat

ViCA. Virtuális Chipkártya Alkalmazás

Nagykanizsai Műszaki Szakképző Iskola és Kollégium Cserháti Működési Szabályzat

@Napló Működési Szabályzat

Informatikai Biztonsági szabályzata

Elektronikus Napló Szabályzat SALGÓTARJÁNI ÁLTALÁNOS ISKOLA PETŐFI SÁNDOR TAGISKOLÁJA KRÉTA ELEKTRONIKUS NAPLÓ SZABÁLYZAT 2018.

Magyar Tudományos Akadémia Agrártudományi Kutatóközpont

Számítógép kezelői - használói SZABÁLYZAT

Karbantartási és szervíz szerződés

Elektronikus számlázás. Czöndör Szabolcs

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

Az elektronikus napló működésének jogszabályi háttere A nevelési-oktatási intézmények működéséről szóló 20/2012. (VIII. 31.) EMMI rendelet az iskolák

INFORMATIKAI PROJEKTELLENŐR

Megbízhatóság az informatikai rendszerekben

Technológia az adatszivárgás ellen

Jogosultság-monitorozó rendszer kialakítása

A Sarkadi Általános Iskola SZABÁLYZATA

INFORMATIKAI SZABÁLYZAT

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

Építési napló. e-napló)

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Szoftverkezelési szabályzat

Funkciópont elemzés: elmélet és gyakorlat

J NEMZETGAZDASÁGI ÁG - INFORMÁCIÓ, KOMMUNIKÁCIÓ. 62 Információtechnológiai szolgáltatás Információtechnológiai szolgáltatás

Információ és kommunikáció

2. modul - Operációs rendszerek

Számítógépes munkakörnyezet II. Szoftver

Információbiztonság fejlesztése önértékeléssel

INFORMATIKAI SZABÁLYZAT

Adatbiztonság. Adatbiztonság, adatvédelem. IT elemei és környezete - veszélyforrások

A tananyag beosztása, informatika, szakközépiskola, 9. évfolyam 36

Intelligens biztonsági megoldások. Távfelügyelet

Kerekegyháza Város Polgármesteri Hivatal Informatikai Szabályzata

9. számú tanügy-igazgatási szabályzat. Osztálynapló - Napló

Adatvédelmi Nyilatkozat

zigazgatás s az informatikai biztonság

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

Leolvasói rendszer kialakításának koncepciója ipari mobil eszközökkel (ipari PDA-val)

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

ADATKEZELÉSI NYILATKOZAT.

Átírás:

30 MB Dombora Sándor ÉLETCIKLUSHOZ ÉS IT RENDSZERELEMEKHEZ KAPCSOLÓDÓ VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK 2018. 08. 22.

Tartalom Életciklushoz kapcsolódó veszélyforrások Fejlesztés, beszerzés Átadás-átvétel Üzemeltetés (Meghibásodás ) Selejtezés IT rendszerek elemeihez kapcsolódó veszélyforrások Infrastruktúra Hardver Adathordozó Dokumentumok Szoftver Adatok Személyek Hálózat 2018. 08. 22. 2

Az IT rendszer életciklusának első szakaszában preventív megközelítés szükséges A fejlesztéshez és beszerzés kapcsolódó veszélyforrások A fejlesztési cél nem tartalmaz biztonsági követelményeket Nincs elkülönült fejlesztő rendszer (személyzet is!) Nincs fejlesztési szabályzat Nincs megfelelő verziókövetési eljárás Nincs megfelelő tesztelési eljárásrend Nincs megfelelő tudással rendelkező rendszerszervező Az elkülönült fejlesztői rendszert nem védik megfelelően Nincs meghatározva a leszállítandó dokumentumok listája, tartalma és formája A teszteléshez éles rendszerből származó szenzitív adatokat hasznélnak A szállító nem ad megfelelő biztonsági garanciákat Elterjedt, szabványos szoftverek beszerzése 3

Védelmi intézkedések egyaránt szükségesek a fejlesztés és a beszerzés során Védelmi intézkedések szükségesek mind a fejlesztés tárgyát képező rendszerben, mind a fejlesztési környezetben Az intézkedések egyaránt szükségesek kész eszköz vásárlása és fejlesztési megbízás esetén A biztonsági követelményeket szerződésben kell rögzíteni. A fejlesztési célnak tartalmaznia kell a beépítendő védelmi intézkedéseket A fejlesztés alatt meg kell tervezni az átadás/átvétel menetét és a konkrét implementációt A fejlesztési környezetet az éles rendszertől minden szempontból (humán, fizikai, logikai) le kell választani A fejlesztési környezetben a biztonsági követelményeket érvényesíteni kell A fejlesztésnek minőségbiztosítás mellett kell folynia A fejlesztést korszerű fejlesztési módszertan alapján kell véghezvinni 4 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

Az átadás-átvétel az életciklus rövid, de kritikus szakasza Az átadás-átvételhez kapcsolódó veszélyforrások A biztonsági követelményrendszer ellenőrzése hiányzik, az átvételi teszt nem terjed ki a biztonsági követelmények ellenőrzésére Speciális hozzáférések (programozók spec. jogosultságai), hátsó ajtók megmaradnak A dokumentáció hiánya Csak mennyiségi átadás-átvétel történik Az átadás-átvétel formális, a szakmai ellenőrzést hozzá nem értő szakemberek végzik 5

El kell kerülni a fenyegetést tartalmazó termék üzembe állítását Bizonyítani szükséges, hogy a fejlesztési folyamatra és környezetre teljesültek a biztonsági követelmények Szállítói nyilatkozatok Fenyegetés mentességi nyilatkozat (az eszköz nem tartalmaz olyan elemet, amely fenyegeti a megbízó biztonságát adatvesztés, rendelkezésre állás, jogszabályok ) Jogtisztasági nyilatkozat A szállítás biztonsági ellenőrzése szükséges A forráskód tételes ellenőrzése?! A forráskód tárolásáról történő megegyezés (pl. közjegyző) A beépített védelmi intézkedések ellenőrzése Az előírt formai és tartalmi követelményeknek megfelelő dokumentációk átvétele A fejlesztők speciális jogosultságainak visszavonása 6 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

Az üzemeltetési szakaszban jelentkezik a legtöbb veszélyforrás Az üzemeltetéshez kapcsolódó veszélyforrások A biztonságkritikus munkakörök nincsenek szétválasztva Pl. fejlesztők üzemeltetnek Fejlesztések folynak az éles rendszeren A biztonsági események feltárása, értékelése nem történik meg Az outsourcing igénybevétele nem megfelelően kezelt Hiányoznak a biztonsági előírások A biztonsági előírásokat nem tartják/tartatják be Szabályozások hiányoznak 7

Az életciklus üzemeltetési szakaszában jelenik meg a legtöbb fenyegetés Az üzemeltetés a leghosszabb életciklus szakasz Szabályozott esemény és incidenskezelés (végrehajtható eljárásrendek) Szabályozott változáskezelés (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, a felhasználók értesítése, oktatása, naplózás) A hardver karbantartások, konfiguráció módosítások, szoftver követések szabályozottak és nem sérthetik a biztonsági követelményeket A hardver karbantartások, konfiguráció módosítások, szoftver követések végrehajtói korlátozott hozzáférési jogosultságokkal rendelkezhetnek Távoli üzemeltetési célú hozzáférések csak szigorú hozzáférés ellenőrzés és naplózás mellett engedhetők meg. A biztonsági eseményeket naplózni, a naplót értékelni kell. A biztonsági események újbóli előfordulását megakadályozó ellenintézkedések megtétele szükséges 8 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

A selejtezési szakaszban a bizalmasságot fenyegető veszélyforrásokat kell kezelni A selejtezéshez kapcsolódó veszélyforrások A selejtezés elmarad, az adathordozók továbbra is tárolva lesznek vagy a szemétbe kerülnek (papír is). A selejtezett adathordozókról az adatok visszaállíthatók. Nincs jól szabályozott selejtezési rend (hardver szoftver - dokumentáció) A selejtezett számítógépeket a kollegák ellenőrzés és törlés nélkül elvihetik A leselejtezett hardvert a cég felajánkja jótékonysági célra, adattörlés nélkül Adathordozók megsemmisítése jegyzőkönyv és felügyelet nélkül 9

A selejtezés az életciklus lezáró szakasza A selejtezés bizalmasság szempontjából lehet kritikus Szabályozott selejtezési eljárások (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, naplózás) Az adathordozók megfelelő megsemmisítése csak fizikai megsemmisítés lehet Égetés Zúzás A megsemmisítés tételes ellenőrzése és jegyzőkönyvezése szükséges A selejtezési tervet össze kell vetni az archiválási szempontokkal 10 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

Példa: selejtezési jegyzőkönyv részlet 11 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

Példa: selejtezési jegyzőkönyv részlet 12 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

Példa adathordozó megsemmisítés szolgáltatásra 13 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

A papíralapú dokumentáció megsemmisítése: iratmegsemmisítő 14 Életciklushoz kapcsolódó veszélyforrások elleni módszerek

A veszélyforrások közvetlenül az IT rendszer elemeihez kapcsolódnak az elemek hierarchikus rendbe sorolhatók (2) Forrás: Fleiner Rita: Az adatbázis biztonság szerepe és feladatai a kritikus infrastruktúra védelmében, PhD értekezés 15

A veszélyforrások közvetlenül az IT rendszer elemeihez kapcsolódnak az elemek hierarchikus rendbe sorolhatók (1) Forrás: Informatikai Tárcaközi Bizottság Ajánlásai: Informatikai rendszerek biztonsági követelményei, 12.sz. ajánlás 16

Minden rendszerelem fenyegetett: Infrastruktúra A környezeti infrastruktúra elemeihez kapcsolódó veszélyforrások Nem védett átviteli vezetékek Közös kábelvezetések (tűz, szabotázs) Cégen kívüli személyek (látogatók, szerelők, szállítók stb.) bent tartózkodása Nem felügyelt munkálatok az épületekben, amelyeket külső személyek folytatnak (például ablaktisztítás, elektromos vagy telefonszerelés, építési munkálatok stb.) Cégen belüli személyek szükségtelen bent tartózkodása Az informatikai berendezések nem védett helyzete (például a nyílt utcán, kerítés nélküli épületekben, a munkaidőn kívüli őrzés hiánya) A belépési biztonság hanyag kezelése A védelmi berendezések működési módjának vagy gyengeségeinek jogosulatlanok általi megismerése (például a vezetékek lefutása, riasztórendszerek kapcsolási vázlatai, különösen pedig a számítógép-vezérelt belépés-ellenőrzés) 17

Minden rendszerelem fenyegetett: Hardver Hardver elemekhez kapcsolódó veszélyforrások Konstrukciós hibák Hibás alapelvek (Neumann elv stb.) Tervezési hibák Kivitelezési hibák Meghibásodások Üzemeltetési hibák A készülékek csekély súlya, mérete (a lopás könnyen lehetséges) Érzékenység az elektromágneses sugárzással szemben Kompromittáló kisugárzás (például képernyőkről és rézkábelekről) lehetősége Tartozékok utánpótlásának szervezetlensége Ütésérzékenység 18

Minden rendszerelem fenyegetett: Adathordozók Adathordozókhoz kapcsolódó veszélyforrások Nem védett tárolás Kapcsolható írásvédelem Mágneses érzékenység Szakaszos demagnetizálódás hosszabb tárolás esetén (elöregedés) Érzékenység a hőmérsékletre és a nedvességre stb. Nehéz ellenőrizhetőség 19

Minden rendszerelem fenyegetett: Dokumentumok Dokumentumokhoz kapcsolódó veszélyforrások A dokumentumok hiányzó adminisztrációja Hiányzó változáskezelés (Change Management) A felhasználói dokumentáció közvetlen elérhetésének hiánya a felhasználó számára Nem védett tárolás (tűz, lopás) Nem kellő gondosság a kiselejtezésnél vagy megsemmisítésnél Ellenőrizetlen sokszorosítási lehetőségek 20

Minden rendszerelem fenyegetett: Szoftver Szoftver elemekhez kapcsolódó veszélyforrások Konstrukciós hibák Hibás alapelvek (Neumann elv stb.) Tervezési hibák Kivitelezési hibák Meghibásodások, implementálási,üzemeltetési hibák A programok átvételének és ellenőrzésének és hiánya, a változáskezelés elhagyása A logikai belépés ellenőrzésének nem megfelelősége Az események hiányzó naplózása (például belépés, újraindítás, CPU-használat, file-ok megváltoztatása, rendszeróra változtatás) A szoftver hibáinak vagy biztonsági réseinek ismertté válása A jelszavak nem megfelelő tárolása, olvashatósága, a jelszó-mechanizmus helytelen kezelése Az elavult vagy átmeneti állományok törlésének elmaradása A hozzáférési jogok helytelen odaítélése, nem szükséges hozzáférési jogok Fertőződés rosszindulatú programokkal, vírusokkal Távolról történő hozzáférés, karbantartás lehetősége 21

Minden rendszerelem fenyegetett: Adatok Adatokhoz kapcsolódó veszélyforrá-sok A beadott adatok hiányzó vagy nem kielégítő ellenőrzése Nem kielégítő védelmi berendezések Szoftverhiba Hiányzó hibakezelő eljárás a hardverben és a szoftverben Hiányzó újraindítás-előkészítés a hardverben és a szoftverben Szükségtelen hozzáférési jogok Az adatterületek törlésének hiánya az újrafelhasználás előtt Adathordozóra írás ellenőrző olvasás nélkül 22

Minden rendszerelem fenyegetett: Személyek A rendszerekkel kapcsolatba kerülő személyekhez kapcsolódó veszélyforrások A kiesés sokrétű lehetőségei (sérülés, betegség stb.) Nem megfelelő kompetencia A fenyegetettségi helyzet ismeretének hiánya, lebecsülése Előre nem látható viselkedés (motívumok, szándékok) Lojalitás hiánya Biztonságtudatosság hiánya Különböző személyiségek, szellemi képességek Hiányzó vagy hiányos ellenőrzés 23

Minden rendszerelem fenyegetett: Hálózat Hálózatokhoz (kommunikáció) kapcsolódó veszélyforrások Átviteli vonal károsodás, megszakadás Hibaforrások a hálózati szoftverben és hardverben A hálózati szoftver és hardver manipulálhatósága A hálózat- és az átvitelvezérlés manipulálhatósága Lehetőség az üzenetek lehallgatására Lehetőség az üzenetek meghamisítására Az adó és a fogadó hiányzó azonosítása és hitelesítése A jelszavak vagy titkos kulcsok nyílt szövegben való továbbítása Lehetőség az üzenetek ismételt lejátszására Valamely üzenet elküldésének vagy fogadásának hiányzó bizonyítása 24

Az okostelefon biztonsági szempontból a notebookhoz hasonló kockázatot jelent A mobil készülékek hatalmas evolúciós fejlődésen estek át. Ma már integrált kommunikációs eszközt és számítógépet jelentenek rendkívül kis méretben. Semmi nem indokolja, hogy a notebookoknál alacsonyabb biztonsági követelményeket érvényesítsünk rájuk. Az utóbbi időszak kedvenc IT biztonsági témája lett, minden szakmai fórum foglakozik vele ISACA 20. Jubileumi Konferencia: Krasznay Csaba: Mobil eszközök auditálásának kérdései. Hétpecsét Egyesület XLVI. Szakmai Fórum: Papp Péter: Csak Okosan! Az okostelefonok biztonsági kockázatai. 25

SIM kártya (ill. PIN kód) hiányában a telefonálás kivételével minden szolgáltatás elérhető! Operációs rendszer és az alkalmazások minden szolgáltatása A tárolt fájlok olvashatók A telepített alkalmazások futtathatók WIFI-n keresztül az internet elérhető A levelek olvashatók Web oldalak nézhetők Letöltések végrehajthatók 26

Az okostelefonokhoz kapcsolódó veszélyforrások (1) Rosszhiszemű felhasználás Rosszindulatú kód kerül rá Visszaélések, adatlopás, a tárolt adatokhoz illetéktelen hozzáférhet (megnézheti a leveleket, levelet írhat) A mobilon túl a notebookot is megfertőzheti, adatlopás, adatszivárgás mobil vírusvédelem : 1 050 000 találat Elromlik, megsemmisül Nem használható, a címlisták, adatok elvesznek 27

Hogyan kezelik a problémát a szervezetek: 28

Köszönöm a figyelmet! 2018. 08. 22. 29

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés