Óbudai Egyetem Neumann János Informatikai Kar Tóth Béla 2015.
Név: Tóth Béla Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma Főállásban: Pénzügyi szektor IT Infrastruktúra és Kiszervezett Szolgáltatások Osztályvezető ING Bank N.V. Magyarországi Fióktelepe Elérhetőségek: E-mail: bela.toth@ingbank.com Személyesen: Minden péntek délután ÓE-NIK 2
Két hetente előadások a F.02 teremben. (Alkalmanként 2x45 perc) Másik heteken két csoportban laborgyakorlat az 1.19 laborban. (Alkalmanként 2x45 perc) Részvétel a Laborgyakorlatokon kötelező. Az elméleti előadásokon nagyon ajánlott. Pozitívabb hozzáállás = pozitívabb értékelés Egy-egy zárthelyi dolgozat mindkét anyagból a 13. héten (május 8). Pótlásra csak az egyik dolgozatból van lehetőség! Ennek időpontja a 14. héten lesz. 3
Törvényi előírások, szabályozások Adatok, információ védelme Szükség van módszertanra Amit meg is kell valósítani De milyen eszközökkel és milyen módokon lehetséges a megvalósítás? 4
Néhány példa nemzetközi törvényekre: NATO Security Policy, [C-M(2002)49] Personnel Security Directive, [NATO AC/35-D/2000] Physical Security Directive, [NATO AC/35-D/2001] EU Council s Security Regulations, [2001/264/EC] Sarbanes Oxley (SOX) (USA törvény, de világszerte használt, EU: Financial Services Action Plan) BASEL-II, Statement on Auditing Standards (SAS) 70, International Auditing and Assurance Standards Board (IAASB), HIPAA 5
Magyar törvények: Adatvédelmi törvény (Avtv): a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény. 1999. évi LXXVI. törvény a szerzői jogról 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt 6
Példa iparági törvényre - pénzintézetnél: 1996. évi CXII. / "Hpt. 13. " a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek módosításai, pl. 2004. évi XXII. tv. 2013. évi CCXXXVII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról 7
ITGI - IT Governance Institute ISACA - Information Systems Audit and Control Association ISO / IEC - International Organization for Standardization / International Electrotechnical Commission CERT - Computer Emergency Response Team TIA Telecommunications Industry Association PSZÁF - Pénzügyi Szervezetek Állami Felügyelete 8
COBIT - Control Objectives for Information Technology + Val IT (Value IT framework for IT-enabled business change and innovation) + Risk IT (Framework for identify, govern and effectively manage IT risk) szabványcsoport CRM - CISA Review Technical Information Manual ISO 27002 International Standard ISO/IEC 17799 Information technology Security techniques Code of practice for information security management Reference number: ISO/IEC 27002:2005(E) ISO 27001 International Standard ISO/IEC 27001 Information technology - Security techniques - Information security management systems Requirements Ref. number: ISO/IEC 27001:2005 (E) ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security (Common Criteria) CERT/CC ITIL Information Technology Infrastructure Library Iparági legjobb gyakorlatokat összefogó módszertan TIA-924 Data Center Standards Overview Magyar Szabvány MSZ ISO/IEC 12207:2000 9
Az információ megfelelőségének kritériumai Bizalmasság Confidentiality Sértetlenség Integrity Rendelkezésre állás Availability A szakirodalomban gyakran nevezik ezt a hármast az angol elnevezések után CIA követelménynek. Ezeken kívül még két argumentumot érdemes megvizsgálni az ajánlások alapján: Funkcionalitás Functionality Dokumentáció Documentation 10
A biztonságos környezet kialakításához elengedhetetlen a tervezés. Fizikai tervezés Logikai tervezés Üzlet által definiált és elfogadott információ besorolási kategóriák BIA Business Impact Assessment Szükséges és elégséges védelem 11
Fizikai tervezés Fizikai védelem Hozzáférés védelem Beléptető rendszerek Chipkártyás és biometrikus azonosítás Redundancia Áramellátás Hálózati ellátás DTAP architektúra Külön rendszer a fejlesztési életciklus elemeihez 12
Logikai tervezés PKI infrastruktúra Magas rendelkezésre állás Folyamatos felügyeleti lehetőségek 13
Frissítések telepítése Operációs rendszer megerősítése Jogosultság kezelés Funkcionális szeparáció 14
Nem csak a szerverek védelme fontos, hanem a végpontoké is. Vírusok és kémprogramok elleni védelem Tűzfal és behatolás védelem Eszközök és alkalmazások központi felügyelete 15
Kutatásokat végezhetünk: A szabványokban és módszertanokban A szakirodalomban A cég meglévő belső szabályzatai között És természetesen az interneten 16
Az informatikai infrastruktúra felügyelete a biztonságos kialakítással kezdődik. Tökéletes biztonság elérése lehetetlen, mégis a lehető legbiztonságosabbra kell törekedni. Ehhez rendelkezésre állnak eszközök, melyek tovább fejlődnek és újabbak is jelennek meg válaszul az új fenyegetések feltűnésére. 17