Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA Témavezető: Dr. Juhász István egyetemi adjunktus Készítette: Lőrincz Tímea gazdaságinformatikus (BSc) szak Debrecen 2010

KÖSZÖNETNYILVÁNÍTÁS Ezúton szeretnék köszönetet mondani témavezetőmnek, Dr. Juhász Istvánnak, hogy a vállalati biztonságpolitikára irányította figyelmemet, valamint tanácsaiért, útmutatásáért. Köszönöm hozzátartozóim türelmét, akik munkám során mellettem álltak.

TARTALOMJEGYZÉK BEVEZETÉS...5 I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG...8 II. RÉSZ: ALAPFOGALMAK...12 III. RÉSZ: SZABÁLYOZÁS...15 III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK... 15 III. 1. 1. TCSEC (Trusted Computer System Evaluation Criteria)... 15 III. 1. 2. ITSEC (Information Technology Security Evaluation Criteria)... 15 III. 1. 3. Common Criteria ( 15408 szabvány)... 16 III. 1. 4. COBIT (Control Objectives for Information and Related Technology)... 16 III. 1. 5. MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv)... 18 III. 1. 6. MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei)... 18 III. 1. 7. MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana)... 18 III. 1. 8. ITIL (Information Technology Infrastructure Library)... 18 III. 1. 9. 17799 (ISO 27002)... 19 III. 1. 10. ISO 27000 szabványcsalád... 19 III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR... 20 III. 2. 1. Adatvédelmi törvény... 20 III. 2. 2. Módosult a Büntető Törvénykönyv... 21 III. 2. 3. Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet... 21 III. 2. 4. Incidenskezelő szervezetek Magyarországon... 22 IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS...24 IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK... 24 IV. 1. 1. Szervezeti és működési veszélyforrások... 24 IV. 1. 2. Humán veszélyforrások... 25 IV. 1. 3. Természeti veszélyforrások... 25 IV. 1. 4. Fizikai veszélyforrások... 25 IV. 1. 5. Logikai veszélyforrások... 26 IV. 1. 6. Életciklushoz kapcsolódó veszélyforrások... 26 IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK... 26 IV. 2. 1. Szervezeti és működési veszélyforrások elleni védelem lehetőségei... 26 IV. 2. 2. Humán veszélyforrások elleni védelem... 27 IV. 2. 3. Természeti veszélyforrások elleni védelem... 28 IV. 2. 4. Fizikai veszélyforrások elleni védelem... 28 IV. 2. 5. Logikai veszélyforrások elleni védelem... 30 IV. 2. 6. Életciklushoz kapcsolódó veszélyforrások elleni védelem... 31 V. RÉSZ: SZERVEZETI SZABÁLYOZÁS KIALAKÍTÁSA...32 V. I. INFORMATIKAI BIZTONSÁGI KONCEPCIÓ... 32 V. II. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT... 34 3

VI. RÉSZ: ELLENŐRZÉS, AUDIT...35 ÖSSZEFOGLALÁS...38 IRODALOMJEGYZÉK...40 MELLÉKLETEK...43 4

BEVEZETÉS Valamennyi vállalat alapvető gazdasági érdeke az, hogy üzleti folyamatai lehetőleg zavarmentesen folyjanak. Ezeknek a folyamatoknak szinte nélkülözhetetlen támogatói az informatikai rendszerek. Ebből fakadóan nő az ilyen rendszerektől való függőség. Egy-egy informatikai incidens nemcsak közvetlenül okozhat komoly anyagi károkat, hanem pl. az ügyfelek bizalmának megrendülésével ügyfélvesztéshez, megrendelésvesztéshez vezethet. A minél eredményesebb vállalati működés érdekében tehát nagy hangsúlyt kell fektetni ezen rendszerek működőképességének megtartására, ami az informatikai biztonság, és a vállalat ezzel kapcsolatos politikájának kérdéskörére irányítja a figyelmet. Az informatikai rendszerekre egyre kevésbé jellemző az egymástól elszigetelten történő működés. Teret hódít az internet üzleti célú felhasználása, és az elektronikus üzletvitel, pl. a hatóságoknak elektronikusan történő adatszolgáltatás. Ez nagy biztonsági kihívást hordoz magában. A vállalat politikai, gazdasági környezete mindig fontos tényező a vállalat számára. Az utóbbi időszakban zajló gazdasági válság következtében a vállalatok arra kényszerülhetnek, hogy csökkentsék az informatikai biztonságra szánt kiadásaikat, amelytől azonban a biztonsági szakértők óva intenek. Egy ilyen döntés nem mindig bizonyulhat helyes döntésnek, figyelembe véve a következő két szempontot. Általánosan elterjedt nézet, hogy az informatikai incidensek nagy része a humán tényezővel hozható összefüggésbe. Belátható, hogy nehéz gazdasági helyzetben a nem vállalati alkalmazotti körből kikerülő számítógépes bűnözők is hajlamosabbak lehetnek illegális tettekre, és nem hagyható figyelmen kívül az alkalmazottak anyagi haszonszerzési vágyának, az elbocsájtás előtt álló vagy elbocsájtott alkalmazottak bosszújának lehetősége sem. A Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ és a VírusBuster Kft. együttműködésében a 2009. I. negyedévében tapasztalható IT biztonsági trendekről készített jelentésében szereplő, Magyar László, a Megatrend Informatikai Zrt. technikai tanácsadója által a 2009. évi IDC IT Security Roadshow-n ismertetett adatok szerint: az informatikával kapcsolatos anyagi károk 70 százaléka az adatbiztonság hiányából ered. Ez utóbbi kategórián belül az esetek 70 százalékában házon belülről okozták a kárt. Eme belső károkozóknak pedig a 70 százaléka jogosult felhasználónak bizonyult. Összesítve a számokat, 5

a jogosult hozzáféréssel rendelkező felhasználók károkozásának kockázati valószínűsége több mint 34 százalék. [VírusBuster, 2009.] Igencsak elgondolkodtató ugyancsak a fenti jelentésben szereplő azon kijelentés, hogy az IDC becslése szerint mintegy 50 ezer magyar kisvállalkozás még csak vírusellenőrzőt sem alkalmaz. A VírusBuster Kft. 2009. harmadik negyedévéről szóló jelentésében említést tesz az internetes csalások után nyomozó globális szervezet, az Anti-Phishing Working Group (APWG) 2009. első félévéről közzétett tapasztalatairól. Eszerint az év első felében a hamis vírusirtók száma 585%-kal, a pénzintézeti site-ok hozzáférési adatainak megszerzésére tervezett kártevők száma 186%-kal nőtt, és több mint 49000 adathalász website-ot vettek nyilvántartásba az APWG-nél, a fertőzött számítógépek száma pedig a tavalyi utolsó negyedévtől idén júniusig 66%-kal nőtt. Egyre inkább kiemelt biztonsági célpontokká válnak az okostelefonok operációs rendszerei is. [Kristóf, 2009. 11. 03.] Fontos tényezők a vállalati irányítás informatikai biztonsággal kapcsolatos vélekedése, a biztonságtudatosság kérdése, a biztonsági kockázatok becslése, a felelősség kérdése is. A Ponemon Intézet által 213 ügyvezető/vezérigazgató (CEO), informatikai vezető (CIO-t) és más felsővezetők körében az informatikai biztonsággal kapcsolatban végzett felmérésből az derült ki, hogy az ügyvezetők/vezérigazgatók másként ítélik meg a kockázatokat, mint vezetőtársaik. A megkérdezett CEO-k 48 százaléka úgy vélte, hogy hackerek csak ritkán próbálnak meg hozzáférni cégük adataihoz, a többi felsővezető mintegy 53 százaléka ezzel ellentétben úgy nyilatkozott, hogy minden nap, sőt minden órában támadják őket. A felmérés szerint az ügyvezetők/vezérigazgatók másként látják, ki a felelős a vállalat adatainak védelméért. A CEO-k több mint fele szerint az informatikai vezető (CIO) felelős az adatvédelemért, a többi főnök közül viszont csak 24 százalék vélte így. [Kristóf, 2009. 07. 17.] A biztonságpolitika fogalma azoknak az előírásoknak, rendeleteknek és törvényeknek az összességét foglalja magában, amelyek betartása lehetővé teszi a vállalat számára a céljai eléréséhez szükséges tevékenységek elvégzését azzal, hogy védelmi rendszerével biztosítja a folyamatos munkavégzés feltételeit. [Raffai, 1999.] Az informatikai biztonságpolitika a szervezet általános, globális védelmi stratégiájának szerves része, amelynek a középpontjában az információkat hordozó adatok és azok környezete: a tárolási és feldolgozási infrastruktúra 6

(hardver, szoftver), az adathordozók, a működtetés szabályai, dokumentumai, valamint az üzemeltetést, a rendszer kezelését végző munkatársak állnak. [Raffai 2006, 246. o.] Ennek értelmében dolgozatom célja, hogy áttekintse mindazokat az elveket, szempontokat, ajánlásokat, szabályozókat hiszen az informatikai biztonság kialakításának egyik fő hajtóereje a gazdasági érdek mellett a törvényi megfelelés kényszerítő ereje, szükséges lépéseket, amelyekre tekintettel kell lenni ahhoz, hogy a vállalat az üzletmenet-folytonosság biztosításának érdekében megfogalmazhassa az informatikai biztonsággal kapcsolatos politikáját. Szabályzatminta alkotása nem célom, ugyanis az üzleti folyamatok különbözőek, a rendszerek heterogének. Az adott vállalatnál szükséges szabályzat erősen függhet a szervezeti kultúrától, a stratégiától, a vállalati céloktól, a vállalati mérettől, külső környezettől és attól, a vállalat mely szektorban folytatja tevékenységét. A pénz- és hitelintézeti szférában, energiaszektorban, távközlés területén működő vállalatok számára érthető módon szigorúbbak az informatikai biztonsággal kapcsolatos törvényi előírások is. Az I. fejezetben ismertetem az üzletmenet-folytonosság kérdéskörét. A vállalatok jelentős része esetében nem fő tevékenységi kör az informatikai szolgáltatás, az informatikai rendszerek az üzleti folyamatok támogatóiként jelennek meg. Ahhoz, hogy ez a támogatás a lehető legnagyobb mértékben zavarmentes legyen, üzletmenet-folytonossági tervre van szükség, melynek részét képezik a megelőzési terv és intézkedések is, ezen belül a szabályzatok is. Ezt követően, az alapfogalmak áttekintése után, bemutatom azokat az előírásokat, ajánlásokat, amelyek figyelembe vétele szükséges ezen szabályzat megalkotásához. Ezt a különböző fenyegetettségek kategorizálása követi, hiszen az egyes kategóriákba tartozó fenyegetettségek elleni védekezés eltérő védelmi módszereket követel meg. Az informatikai biztonság kialakítására, fenntartására tett erőfeszítések szabályzatalkotás és megvalósítás nem lennének teljesek a folyamatos ellenőrzés megvalósítása nélkül, így az informatikai biztonsági koncepcióval és szabályzattal kapcsolatos fejezetet az audittal kapcsolatos fejezet követi. 7

I. RÉSZ: ÜZLETMENET-FOLYTONOSSÁG Azok a lépések, amelyek az üzletmenet folytonosságát szolgálják, arra irányulnak, hogy az üzleti folyamatokat támogató, kiszolgáló informatikai eszközök huzamosabb időszakon keresztül a legnagyobb funkcionalitással, a szervezet számára elfogadható legkisebb kiesési kockázati szinten működjenek. Ezt a folyamatot természetesen tervezni kell, mellyel növelhető a szervezet stabilitása, veszteségek minimalizálhatók, nőhet a váratlan üzemzavar, vagy katasztrófa esetén tett intézkedések, pl. visszaállítás hatékonysága. Az üzletmenet-folytonossági tervezés részét kell, hogy képezze a katasztrófa-elhárítási tervezés is. A fő cél az, hogy a tartalék informatikai és humán erőforrások megfelelő szintű rendelkezésre állását, mobilizálását tervezett műszaki és szervezési megoldásokkal és intézkedésekkel úgy biztosítsuk a kiesés idejére, hogy az informatikai szolgáltatások visszaállítása a szervezet által meghatározott sebezhetőségi résen belül megvalósuljon. [Muha-Bodlaki, 2001.] A tervezést célszerű projektszerűen végezni, melynek lépései a következők: 1. Helyzetfelmérés Ennek során meghatározandók az üzletmenet-folytonosság szempontjából kritikus folyamatok, és ezek zavarának lehetséges következményei, melyeket rangsorolni kell, továbbá a tartalékolási és visszaállítási megoldások. 2. Az üzletmenet-folytonossági terv elkészítése A kidolgozás folyamata három szakaszra osztható. a, megelőzési terv és intézkedések A megelőzési tervnek kell tartalmaznia azokat a szabályzatokat, amelyek betartatásával a problémák nagy része megelőzhető, lehetővé válik a visszaállítás. Ide tartoznak a rendszerszoftverek, a programrendszerek, az adatok előzetes mentése, biztonságos helyen tárolt adathordozókra másolása. Ide tartoznak a hardvereszközöket helyettesítő megoldások lehetőségének biztosítása, pl. duplikált berendezések, tartalékberendezések, hotsite-szerződések révén. Fontos részét képezi a tesztelési és tréningterv. [Raffai, 1999.] b, visszaállítási terv 8

Ennek célja az, hogy az informatikai incidensek bekövetkezése esetén a visszaállítás a lehető leggyorsabban történjen meg. A tervnek öt alapkérdésre kell választ adnia: ki, mit, mikor, hol, hogyan. [Muha-Bodlaki, 2001.] A katasztrófatervnek tartalmaznia kell a következőket: - a konkrét beosztások/pozíciók és személyek megfeleltetése - a katasztrófa szervezet felépítését, tagjai - elérhetőségek (telefonkönyv több elérhetőségi lehetőséggel) - a visszaállításban résztvevő operatív munkatársak (pl. szerverek rendszergazdái, speciális ismeretekkel rendelkező szakértők) - a visszaállításban résztvevő üzleti partnerek/hatóságok (mentők, tűzoltóság, rendőrség, polgári védelem, karbantartók, gyorsfutár szolgálat stb.) - értesítési utasítások - értesítési sorrend/lánc - időzítés (Kit mikor?) - az értesítés tartalma - teendők - követendő hierarchia - helyszín - helyszín/alternatív helyszín - erőforrások - akciótervek, szükséghelyzeti tervek - tesztelés, karbantartás, tárolás - oktatás Az informatikai katasztrófahelyzetek kezeléséhez kidolgozott egyes akciótervekhez felelősöket kell rendelni, akiknek az informatikai katasztrófa helyzet esetére előírt felelősségei szoros kapcsolatban kell, hogy legyenek a mindennapi tevékenységükkel. A katasztrófa menedzser a legfőbb operatív irányítója a visszaállítási és helyreállítási folyamatoknak. Feladatai a következők: - Döntés az informatikai katasztrófa helyet bekövetkezéséről, ennek kihirdetése. (Az informatikai katasztrófa helyzetek esetén végrehajtandó akciótervek végrehajtása 9

akkor kezdődik meg, amikor a katasztrófa menedzser deklarálta az informatikai katasztrófa helyzetet.) - Utasítást ad a kárfelmérési tevékenységek elvégzésére utasítja a megfelelő személyeknek. Tájékoztatást ad a válságtanácsnak. - Rendelkezik az egyes erőforrások felett. - Koordinálja a szükséges adminisztráció elvégzését. - Koordinálja az informatikai katasztrófa terv felülvizsgálatát. - Szervezi és irányítja az informatikai katasztrófa terv tesztelését. - Kapcsolatot tart a felső vezetéssel. - Minden olyan, az informatikai katasztrófa tervvel kapcsolatos feladat, amely nevesítetten nincs máshoz rendelve. - Jogosult a válságtanács összehívására, ha az egyes akcióterv felelősöktől, vagy a szakmai vezetőktől érkező jelentések alapján álláspontja szerint az akciótervekben rögzített munkafolyamatok működtetése az elvárt szinten nem lehetséges. - Informatikai katasztrófa helyzet esetén, a normál működésen használt erőforrásokon túlmenően a katasztrófa menedzser rendelkezésére állnak a következő többlet erőforrások. - meghatározott számítógép (rajta kell lennie az Informatikai katasztrófa terv aktuális változatának, jelszóval védve); - meghatározott gépjármű - a katasztrófa helyzet kezeléséhez kijelölt helyszínen, ill. alternatív gyülekezési helyszínen rendelkezésre álló vezetékes vagy vezeték nélküli hálózati/internet kapcsolat. [Beinschróth, 2009. 4. rész] A Symantec által 2007-ben nyilvánosságra hozta egy nemzetközi, 14 ország 900 IT menedzserének bevonásával elkészített felmérésének eredményét. Ennek során azt vizsgálták, hogyan készülnek fel a cégek egy előre nem látható, váratlan eseményre. A jelentés szerint az informatikai szervezetek közel felének már végeznie kellett informatikai katasztrófa utáni helyreállítást, azonban a legtöbb szervezet ezt az eljárását előtte nem próbálta ki, nem tesztelte átfogóan. A teljes körű katasztrófa utáni helyreállítást kipróbáló szervezetek felénél pedig ez a próba sikertelen volt. A katasztrófa utáni helyreállítási tervvel nem rendelkező szervezetek 44 százaléka már legalább egy problémát vagy katasztrófát, 26 százalékuk legalább kettőt, 11 10

százalékuk pedig legalább hármat élt át. A megkérdezett informatikai szakemberek 48 százaléka azt jelezte, hogy a próba technikai, emberi, vagy eljárásbeli probléma miatt nem sikerült. A próba sikertelenségének okaként a leggyakrabban a telepített technológiának a várakozásoktól elmaradó működését említették. A katasztrófa utáni helyreállítási terv készítésére a következők késztették a szervezeteket. 69 százalékuk a természeti katasztrófákat, 57 százalékuk a vírusok támadását, 31 százalékuk pedig a háborút és a terrorizmust nevezte meg okként. A válaszadók 67 százaléka a számítógéphibákat, 57 százaléka a számítógépeket kívülről fenyegető veszélyeket említette. A Symantec jelentése szerint a katasztrófa utáni tervvel rendelkező szervezeteknél a tervek rendszeresen végzett tesztjeinek 48%-a kudarcba fullad és nem sikerül a helyreállítás. A sikertelenségnek 3 fő oka lehet: technikai tényező (22%) emberi tényező (19%) a helyreállítás terv alkalmatlannak bizonyul (18%) A hibák igen magas előfordulási arányának arra kellene ösztönöznie a szervezeteket, hogy rendszeresen ellenőrizzék és korszerűsítsék terveiket. Pulai András, a Symantec magyarországi képviseletének adattárolási szakértője szerint a magyarországi vállalatok IT menedzserei az emberi tényezőt kezelik kiemelt kockázatként, ugyanis többnyire egy személy tudja, mit kell tenni egy esetleges katasztrófa bekövetkeztekor. Kiemelte, hogy a rendszer összeomlását célzó támadásoktól kevésbé kell tartani, hiszen egyre inkább az anyagi haszonszerzés motiválja őket, nekik is a rendszer működőképessége az érdekük. Tapasztalatai szerint azok a vállalatok fordítanak nagyobb figyelmet a katasztrófa utáni visszaállítás kérdésére, amelyeknél kiemelten fontos az IT rendszer szünet nélküli működése, pl. a pénzintézetek, telekommunikációs cégek, áramszolgáltatók és erőművek. [EuroAstra, 2007.] 3. Oktatás, tesztelés Az oktatás során lehetőség nyílik az üzleti folyamatok zavartalansága jelentőségnek tudatosítására is. [Muha-Bodlaki, 2001.] 11

II. RÉSZ: ALAPFOGALMAK A vállalatok informatikai rendszerei az információkat adat formájában kezelik. Az adat tények, elképzelések, utasítások emberi vagy technikai eszközökkel történő formalizált ábrázolása ismertetés, feldolgozás, illetve távközlés céljára. [Vasvári 2006, 3. o.] Egy másik megközelítésben: olyan szimbólum vagy jelsorozat, amely esetleges későbbi felhasználás céljából továbbításra és megőrzésre alkalmas formában rögzíti a működő környezet változásait, a meglévő állapotokat. Az adat az információ megjelenése, tények, állítások értelmezhető közlési formája. [Raffai 1999, 155. o.] A két definícióban közös, hogy az adatok rögzítése, tárolása valamilyen további cél érdekében történik. Ilyen művelet lehet az adatfeldolgozás, amely az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. [Dr. Freidler 2009, 47. o.] De mit nevezünk adatkezelésnek? Jogi értelemben az adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. [Dr. Freidler 2009, 39. o.] Az adatokkal kapcsolatban gyakran említett fogalmak az adatvédelem, adatbiztonság. Mi a két fogalom közötti legfőbb különbség? Az adatvédelem egyrészt a személyes és közérdekű adatok kezelésének a jogszabályokban, és az adott gazdasági szervezet szabályzataiban meghatározott korlátozása. [Vasvári, 2006.] Ettől igencsak eltér a jogi értelemben vett definíció, amely a személyes adatok védelméhez való jogot jelenti. [Freidler, 2009.] Személyes adat jogi értelemben bármely konkrét természetes személlyel kapcsolatba hozható adat, de az adatból levonható, az érintettre vonatkozó következtetés is. A személyes adat az adatkezelés során mindaddig megőrzi ezt a minőségét, amíg kapcsolata az érintettel rekonstruálható. [Freidler, 2009.] Amennyiben ez már nem áll fenn, statisztikai adatról beszélünk. Az adatbiztonság az adatok védelme a jogosulatlan hozzáférés, a módosítás, és a törlés, illetve a megsemmisítés ellen. Azaz az adatok bizalmasságának, rendelkezésre állásának, és 12

sértetlenségének védelme/védettsége,... [Vasvári 2006, 3. o.] Az adatalany védelme érdekében az adat védelmének műszaki, technikai eszköze. [Kohány Kőnig, 2008.] Jogi szempontból az adatbiztonság az adatkezelés védelmét jelenti. [Freidler, 2009.] Az adatbiztonság tehát az adatokat állítja a középpontba, míg az adatvédelem az embert, a személyiség védelmét. Általában véve a biztonság fogalmának meghatározása nem könnyű. Bármilyen szituációval hozzuk is összefüggésbe, a biztonsági intézkedések általában a káros események elkerülését, ezek bekövetkezési valószínűségének csökkentését, vagy a bekövetkezésükből fakadó károk minimalizálását szolgálják. A biztonság olyan kedvező állapot, amelyben minimális az erőforrások bizalmasságának, sértetlenségének és rendelkezésre állásának fenyegetettsége. [Vasvári, 2006.] A kedvező biztonsági állapot azt is jelenti, hogy a kockázatok vállalható mértékűek, azaz a fenyegetések bekövetkezési valószínűsége elfogadhatóan kicsi. Ugyanakkor nem zárható ki a veszélyforrások bekövetkezése sem. Ezért fontos látni, hogy 100%-os biztonság nem érhető el. [Vasvári Lengyel Valádi, 2006.] Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. [Muha Bodlaki 2001, 18. o.] A zártkörű védelem azt jelenti, hogy az összes releváns fenyegetést figyelembe vesszük. Teljes körű védelem akkor valósul meg, ha a védelmi intézkedések a rendszer összes elemére kiterjednek. A folytonos védelem kritériuma a megszakítás nélküli megvalósulás. A kockázattal arányos védelem esetén egy kellően hosszú időtartam alatt a védelmi költségek arányosak a becsült kárértékkel, azaz a védelemre akkora összeget fordítanak, hogy ezzel a kockázat a védendő számára még elviselhető, vagy annál kisebb. [Muha Bodlaki, 2001.] Valamennyi fenyegetettséggel szembeni teljes körű védelem megvalósítása ugyanis a védendő értéket elérő, akár meghaladó költségekkel járna. Azt az állapotot, amikor a biztonság a vállalatot, az üzleti tevékenységet teljesen átfogja, és minden ponton azonos erősségű, egyenszilárdságnak nevezzük. [Vasvári, 2006.] Az alapfenyegetettségnek is nevezett sértetlenség, a hitelesség, a bizalmasság, rendelkezésre állás és a funkcionalitás követelményét két nagy kategóriába szokás sorolni: 13

- az adatok által hordozott információk sértetlensége, hitelessége és bizalmassága elvesztésének megakadályozására szolgáló információvédelem; - az adatok és erőforrások rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását biztosító megbízható működés. A bizalmasság akkor valósul meg, ha gondoskodunk arról, hogy az információhoz csak az erre feljogosítottak férhessenek hozzá. Ha valaminek a forrása valóban a forrásként megjelölt hely, és a tartalma az eredeti, teljesül a hitelesség követelménye. Az információ akkor sértetlen, ha az eredeti állapotának megfelelő. [Vasvári, 2006.] A rendelkezésre állás az a valószínűség-érték, amely jelzi, hogy egy alkalmazás egy előre definiált időszakon belül az elvárásnak megfelelően rendelkezésre áll, amely állapotban a felhasználó a számítógépet használni tudja. [Raffai, 1999.] Az eddig ismertetett fogalmak fennállását különböző veszélyforrások különböző valószínűséggel, kockázattal fenyegetik. Veszélyforrásnak mindaz tekinthető, aminek bekövetkezésekor, támadás eredményeként a rendszer működésében nem kívánt állapot jön létre. Ezzel rokon a fenyegetés fogalma, amely a támadás lehetősége a támadás tárgyát képező erőforrásra. A kockázat mértékével fejezzük ki annak a valószínűségét, hogy egy fenyegetés támadás útján kárt okoz. Gyakorlatilag ugyanezt fejezi ki a bekövetkezési valószínűség is, amely az esélye annak, hogy egy esemény, például a veszélyforrás képezte fenyegetettség, támadás formájában bekövetkezzen. A kockázat azonosítása, és a lehetséges kár felbecsülése a kockázatelemzés során valósul meg. [Vasvári, 2006.] Informatikai katasztrófának nevezik az üzleti folyamatokat kiszolgáló információ-rendszer kiesését, az informatikai szolgáltatások megszakadását. [Vasvári, 2006.] Olyan véletlen esemény, amely megszünteti, vagy bizonyos időszakra megakadályozza a cég teljes egészének vagy egy részének folyamatos működését, és károkat, veszteségeket okoz. [Raffai 1999, 163. o.] Azon eljárássorozatot, amely alapján egy katasztrófa esetén a kritikus információkat feldolgozó folyamatok az elvárt időtartamon belül helyreállíthatók, informatikai katasztrófatervben rögzítik. [Raffai, 1999.] Ezen intézkedések a védettség elvárt szintjének elérése érdekében történnek. A védettség azt mutatja meg, hogy mennyire képes a rendszer megvédeni magát véletlen vagy szándékos külső támadásoktól. [Sommerville, 2007.] 14

III. RÉSZ: SZABÁLYOZÁS III. 1. NEMZETKÖZI ÉS HAZAI AJÁNLÁSOK, ÉS SZABVÁNYOK Az informatikai biztonság területén felmerült az igény a rendszerek biztonsági szintjének egységes elvek alapján, objektív módon történő összehasonlíthatóságára. Ezen igények első megnyilvánulásai a következő dokumentumok. III. 1. 1. TCSEC (Trusted Computer System Evaluation Criteria) Az USA-ban 1983-ban kibocsátott és nemzetközileg az egyik legfontosabb forrásnak tekintett, magyarul Biztonságos Számítógépes Rendszerek Értékelési Kritériumai elnevezést viselő, de Narancs Könyv -nek is nevezett dokumentum. 1983. évi verziója az USA-ban máig érvényben van. A rendszereket a TCSEC 4 biztonsági osztályba sorolja be: - D csoport: minimális védelem - C csoport: szelektív és ellenőrzött védelem - B csoport: kötelező és ellenőrzött védelem - A csoport: bizonyított védelem A kategóriákon belül növekvő számozás jelöli az egyre erősebb követelményeket. Az osztályokba sorolás a következő négy terület szerinti minősítés alapján történik: biztonsági stratégia (security policy), követhetőség (accountability), biztosítékok (assurance), dokumentálás (documentation). A D osztályba azon rendszerek kerülnek, amelyek a minősítés során nem tudtak a magasabb osztályok kritériumainak eleget tenni. A C osztályba olyan rendszerek sorolhatók, amelyekben a felhasználók szelektív védelmet tudnak előírni adatállományaikra. Emellett az egyes alosztályok további követelményeket írnak elő. A B osztályba sorolt rendszerekre jellemzőnek kell lennie a kötelező védelem bevezetésének, valamennyi adatot minősíteni kell biztonsági szempontból. Ez az osztály főleg a magasabb biztonsági követelményű rendszerekben, pl. bankok, biztosító társaságok esetén alkalmazandó. Az A osztály esetén a rendszerről tett biztonsági állításokat matematikailag is tudni kell bizonyítani. [Muha Bodlaki, 2001.] III. 1. 2. ITSEC (Information Technology Security Evaluation Criteria) A 80-as években erősödött az igény, hogy az Európai Közösség is rendelkezzen az informatikai biztonságra vonatkozó egységes szabályozással. A magyarul 15

Információtechnológia Biztonsági Értékelési Kritériumok elnevezésű dokumentumot 1991- ben adták ki, amely a TCSEC-t alapul véve készült. A TCSEC-vel azonos módon értelmezi a biztonsági osztályokat, de azon túlmenően is definiál biztonsági osztályokat. [Muha Bodlaki, 2001.] III. 1. 3. Common Criteria ( 15408 szabvány) Az informatikai termékek és rendszerek biztonsági értékelésének követelményrendszere, amely az EU, az amerikai és a kanadai kormány támogatásával került kidolgozásra. Létrehozásának az volt a célja, hogy feloldja a forrásul használt szabványok pl. a TCSEC és az ITSEC technikai különbségeit. 1.0 verzióját 1996-ban publikálták, melyet az MeH ITB 16. sz. ajánlásként adott ki. Segítséget nyújt a felhasználók számára abban, hogy eldönthessék: az ilyen minősítéssel ellátott termék biztonsági szintje megfelel-e számukra, és a megvalósítástól független struktúra, a védelmi profil (PP) alapján láthatják a termékkel szemben támasztott általános biztonsági követelményeket. Megmondja, hogy az értékelőknek milyen vizsgálatokat és melyik biztonsági elemeken kell végrehajtaniuk, de azt nem tartalmazza, hogy ezt milyen módon kell megtenni. Az IT biztonsági termékek kiértékelését a CC keretei között minősítési séma alapján, akkreditált laboratóriumok végzik. A laboratóriumi kiértékelő munka a Minősítő Hatóság felügyeletével történik. A Minősítő Hatóság a kiértékelés sikeres befejezésekor adja ki a hitelesítést. Az USA-ban a sémát NIAP -nak National Information Assurance Partnershipnevezik. Magyarországon MIBÉTS a neve (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma). [Jankovits Krasznay, 2005.] III. 1. 4. COBIT (Control Objectives for Information and Related Technology) Nyílt, az információ, az információtechnológia és az ezzel kapcsolatos kockázatok ellenőrzésére vonatkozó szabvány, melyet az ISACA (Information Systems Audit and Control Association) által létrehozott IT Governance Institute dolgozott ki. 4 területen tartalmaz általános, továbbá részletes kontroll irányelveket. A COBIT küldetése: Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek, és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják. [http://www.isaca.hu/isaca-huc/y_downloads/isaca_hu_cobit_41_hun_v13.pdf] 16

2009. 10. 27., 17. o.] A COBIT alapelveit a következő ábra mutatja: [http://www.isaca.hu/isaca-huc/y_downloads/isaca_hu_cobit_41_hun_v13.pdf 2009. 10. 27. 19. o.] A COBIT 4 egymással összefüggő szakterületét a következő ábra szemlélteti: [http://www.isaca.hu/isaca-huc/y_downloads/isaca_hu_cobit_41_hun_v13.pdf 2009.10.27. 22. o.] A szabványok egymáshoz való viszonyát a következő ábra mutatja: Összetett IT rendszerek COBIT 17799 Egyszerű termékek ITSEC/CC Technikai megközelítés Szervezeti megközelítés 17

[Jankovits Krasznay, 2005.] III. 1. 5. MeH ITB 8. sz. ajánlás (Informatikai biztonsági módszertani kézikönyv) A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága által 1994-ben kiadott ajánlás az informatikai biztonság kockázatelemzési módszertanát tartalmazza, mely segédletet nyújt az informatikai biztonsági koncepció, az informatikai biztonsági szabályzat elkészítéséhez. III. 1. 6. MeH ITB 12. sz. ajánlás (Informatikai rendszerek biztonsági követelményei) Az 1996-ban kiadott ajánlás az adminisztratív, a fizikai és a logikai védelem területeit öleli fel. Ismerteti a követelményrendszer helyét az informatikai biztonságpolitika, stratégia, a biztonsági vizsgálatok és a védelmi intézkedések viszonylatában, a követelményrendszer kiindulási alapját képező károsztályokat és biztonsági osztályokat definiál, valamint tartalmazza a biztonsági követelmények alapján kifejtett intézkedések gyűjteményét. Foglalkozik az informatikai rendszert vagy annak környezetét érintő katasztrófákkal, a zavarokkal, illetve a legjellemzőbb informatikai típusrendszerekre vonatkozó intézkedésekkel. III. 1. 7. MeH ITB 16. sz. ajánlás (Az informatikai termékek és rendszerek biztonsági értékelésének módszertana) Ismerteti a Common Criteria 1.0-ás verzióját és védelmi profil gyűjteményt tartalmaz. III. 1. 8. ITIL (Information Technology Infrastructure Library) Tapasztalatokon alapuló bevált megoldások gyűjteménye a következő információbiztonsági vonatkozású témakörökben: - konfiguráció-kezelés, - incidens-kezelés, - problémamenedzsment, - változáskezelés, - kiadás-menedzsment, - szolgáltatási szint menedzsment, - IT-szolgáltatások pénzügyi irányítása, - kapacitás menedzsment, - rendelkezésre állás menedzsment, - IT-szolgáltatás folytonosság menedzsment. [Freidler, 2009.] 18

III. 1. 9. 17799 (ISO 27002) A 2000-ben elfogadott szabvány a biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le. Leírja a biztonsági követelményeket, a megvalósítandó védelmi intézkedéseket, de nem foglalkozik a megfelelőségi és ellenőrzési követelményekkel. Tíz ellenőrzött területe: - biztonsági szabályzat - biztonsági szervezet - javak ellenőrzése és osztályozása - személyi biztonság - fizikai és környezeti biztonság - kommunikáció és műveleti menedzsment - hozzáférési jogosultság ellenőrzése - rendszerfejlesztés és karbantartás - az üzleti folytonosság menedzsmentje - megfelelőség [Muha Bodlaki, 2001.] III. 1. 10. ISO 27000 szabványcsalád ISO 27001 szabvány Az ISO 27000-es információbiztonsági menedzsment szabványcsalád követelményszabványa, amely a különböző információvédelmi területekhez célkitűzéseket, óvintézkedéseket fogalmaz meg. [Freidler, 2009.] ISO 27002 szabvány Ötletekkel szolgál az információvédelmi kontroll kialakítására, vagy fejlesztésére. ISO 27005 szabvány A kockázatmenedzsment kialakításához nyújt segítséget. Tervezett szabványok ISO 27003 szabvány Az információvédelmi irányítási rendszerek megvalósításához nyújt segítséget. ISO 27004 szabvány Az információvédelmi mérési módszerek kialakításához kíván segítséget nyújtani. ISO 27007 szabvány Az információvédelmi irányítási rendszerek auditálásához nyújt támpontot. ISO 27008 szabvány 19

Az információvédelmi irányítási rendszerek kontrolljainak auditálására vonatkozik. [Freidler, 2009.] Magyar informatikai biztonsági szabványok (a teljesség igénye nélkül) [Hun-CERT, 2009.] A további magyar informatikai biztonsági szabványokat az 1. sz. melléklet tartalmazza. III. 2. JOGI SZABÁLYOZÁS, INTÉZMÉNYI HÁTTÉR III. 2. 1. Adatvédelmi törvény Az 1992. évi LXIII. (adatvédelmi) törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz. A törvény hatálya nem terjed ki arra, ha a természetes személy saját személyes céljait szolgáló adatkezelést végez. A törvény definiálja többek között a személyes adat, különleges adat, bűnügyi személyes adat, adatkezelés, adattovábbítás fogalmát. Az adatkezelő, az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, megtenni azokat a technikai és szervezési intézkedéseket, kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok 20

technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. III. 2. 2. Módosult a Büntető Törvénykönyv A jogi szabályozás sajnos nehezen tud lépést tartani a számítógépes bűnözés újabb és újabb formáival. A törvény 300/C. [1] (1) bekezdése a számítógépes csalásról úgy rendelkezik, hogy aki jogtalan haszonszerzés végett, vagy kárt okozva valamely számítógépes adatfeldolgozás eredményét a program megváltoztatásával, törléssel, téves vagy hiányos adatok betáplálásával, illetve egyéb, meg nem engedett műveletek végzésével befolyásolja, 3 év szabadságvesztéssel büntetendő. 2009. augusztus 10-ével hatályba lépett a Büntető Törvénykönyv módosítása, melynek értelmében már bűncselekménynek minősül a jogtalan haszonszerzési célból való adatkezelés. Ezzel megtörténhet a felelősségre vonás azon esetekben, amikor spamben jogtalanul összeállított e-mail címeket, elérhetőségeket, személyes adatokat tartalmazó adatbázisokat kínálnak megvételre. [Adatvédelmi Biztos Hivatala, 2009.] III. 2. 3. Merre tart a törvényi szabályzás? Az informatikai biztonságról szóló törvénytervezet Előkészületben van az informatikai biztonságról szóló törvény, melynek fő részei a tervek szerint a következők: - egyetemes informatikai biztonsági minimumkövetelmények, - kritikus infrastruktúrák, - elektronikus szolgáltatások informatikai biztonsága, - az adattartalmak megismeréséhez kapcsolódó rendelkezések - alkalmazásszolgáltató központok, - a lakosság informatikai biztonsági kultúrájának emelését célzó, és a szolgáltatók tájékoztatási kötelezettségeit érintő rendelkezések, - az informatikai biztonsági felügyeleti és irányítási rendszere A törvény hatálya a tervek szerint ki fog terjedni minden, a Magyar Köztársaság területén elérhető informatikai rendszerre és elektronikus szolgáltatásra, a fentiek működtetőire és üzemeltetőire, használóira, igénybe vevőire (kivéve olyan területeket, pl. minősített 21

információkat, védett információkat kezelő rendszerek, külügyi, nemzetbiztonsági, katonai, bűnüldöző szervek rendszerei, amelyekre szigorúbb jogszabályokat írhatnak elő). A következő fogalmak kerülnének jogszabályi szinten bevezetésre: - egyetemes informatikai biztonsági minimumkövetelmények, - egyetemes informatikai biztonsági szintek, - informatikai támadást megvalósító hálózat. Egyes biztonsági szintek esetén kötelezővé válna a szolgáltatás auditja, és az NHH regisztrálná az auditált szolgáltatásokat. 2011-től csak regisztrált 1. és 2. szintű szolgáltatások működhetnének. Egyes szinteknél az üzemeltetőnek nem válna kötelezővé a szolgáltatás auditja, viszont biztosítania kellene az adatok biztonságát. A törvény bevezetné a személyiséglopás és a támadó informatikai hálózat fogalmát, rendelkezne az informatikai biztonság felügyeleti és irányítási rendszeréről. Az auditálásra jogosultak egy átmeneti időszakban (2009-2010.) egy kormányrendelet szerint kiválasztott auditáló cégek lennének, később pedig minden olyan informatikai biztonsági auditálással foglalkozó cég, amely ilyen irányú akkreditációval rendelkezik. [Dedinszky, 2009.] Az információbiztonsággal kapcsolatos egyéb jogszabályokat a 2. sz. melléklet tartalmazza. III. 2. 4. Incidenskezelő szervezetek Magyarországon Hazánkban az alábbi incidenskezelő szervezetek a következőképp támogatják a közigazgatási, a vállalkozói, és az akadémiai szféra informatikai biztonságát. PTA CERT-Hungary SZTAKI Hun-CERT NIIF CSIRT A PTA CERT-Hungary a magyar kormány - a Miniszterelnöki Hivatal Elektronikuskormányzat-központ felügyelete alatt álló - informatikai biztonsági incidenskezelő központja. Feladata a teljes magyar magán-, üzleti és állami szféra informatikai rendszereinek biztonsági támogatása. Kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében, egyben tudásközpont szerepét is betölti a magyar polgárok és informatikai szakemberek számára. A CERT-Hungary a következő szolgáltatásokat nyújtja: 22

jelzéseket, figyelmeztetéseket és értesítéseket továbbít biztonsági résekről, vírustámadásokról, behatolásokról, újonnan észlelt sérülékenységekről és behatoló eszközökről stb., és javaslatot tesz a problémák megoldására; a biztonság növelését célzó információkat szolgáltat, mint pl.: a központ elérhetősége, általános biztonsági útmutatók, segédletek, incidensekkel kapcsolatos statisztikák, trendek stb.; értékeli, elemzi a kapott incidensjelentéseket és reagál azokra (pl. a behatolók aktivitásának figyelésével, a hálózati forgalom szűrésével stb.); analizálja a hardver és szoftver sérülékenységeket, és megoldásokat dolgoz ki azok felfedésére és javítására; átvizsgálja a különböző támadásra használt rosszindulatú programokat, elemzi a működési mechanizmusukat és alkalmazásuk módjait, majd megoldásokat dolgoz ki detektálásukra, eltávolításukra és az ellenük való védekezésre; oktatási, képzési és továbbképzési tevékenységet folytat, hogy megismertesse a védett szervezetekkel a biztonsági problémákat, illetve a védekezési lehetőségeket és módszereket. A Hun-CERT az MTA SZTAKI-ban működő csoport, amely az Internet Szolgáltatók Tanácsának (ISZT) támogatásával jött létre és működik. Feladata, hogy az ISZT tagszervezeteinél előforduló információbiztonsági incidensek felderítésénél, elemzésénél és kezelésénél segítséget nyújtson. A Hun-CERT fontosnak tartja a biztonsági tudatosság növelését, amely elsősorban az ISZT tagok felhasználói számára biztosítja mindazon információkat, melyek alapján képessé válnak az Internet biztonságos használatára. Felhatalmazással bír az előforduló vagy előfordulással fenyegető mindennemű számítógépes biztonsági események közlésére a hazai Internet szolgáltatók felé. Az NIIF-CSIRT a Nemzeti Információs Infrastruktúra Fejlesztési Intézet (NIIF) számítógép biztonsági és incidenskezelő csoportja, amely a magyar felsőoktatás, kutató intézetek és közgyűjtemények szolgáltatója. Az NIIF-CSIRT segíti a számítógép és hálózati incidensek kezelését és koordinációját minden olyan esetben, amikor valamelyik NIIF tagintézmény érintett. Fontos, információbiztonsággal kapcsolatos információkat továbbít az NIIF tagintézményeinek, amelyek alapján az egyes intézmények növelhetik saját infokommunikációs rendszereik biztonságát. Az NIIF-CSIRT együttműködik a Hun-CERT-el -el és a kormányzati CERT -Hungary-val is. [Haig, 2007.] 23

IV. RÉSZ: AZ INFORMATIKAI RENDSZERT ÉRŐ FENYEGETÉSEK, VESZÉLYFORRÁSOK, ELLENÜK VALÓ VÉDEKEZÉS IV. 1. FENYEGETÉSEK, VESZÉLYFORRÁSOK Ahhoz, hogy egy rendszert megfelelő hatékonysággal védhessünk, elengedhetetlen a lehetséges fenyegetések körültekintő számbavétele, hiszen lehetőleg azonosítani kell, mi ellen kell védekeznünk. A támadások különböző formában valósulhatnak meg, pl.: illetéktelen hozzáférés az információkhoz, vagy megtévesztő adatok bevitele, úgy, hogy az ne feleljen meg a valóságnak, az adatbázis felhasználhatatlanná tétele, rosszindulatú szoftverek bevitele a rendszerbe, elektronikai zavarások, stb. A fenyegetéseket, veszélyeket a MeH ITB 12. ajánlása a következő ábrával szemlélteti: Szabályzatlanság Megvesztegetés Bosszúállás Szakképzetlenség Katasztrófa Fizikai behatolás Üzemzavar Szakszerűtlen tervezés Szakszerűtlen üzemeltetés, karbantartás Beszerzési politika hiánya Doku Adath. Dokum. Adath. Adathord. Légkondicionálás Dokumentációhiány, illetéktelen használat T áp á r a m el l á t á s Személyek (külső+belső) Épület, számítóközpont, szerverszoba Hardver+hálózat Rendszerszoftver Alkalm. sw. Adat Dokum. Tűz- és vagyonvédelem Tűz, illetéktelen behatolás V i l l á m v é d e l e m Túlmelegedés Vírus, illetéktelen szoftver installáció Villámcsapás Illetéktelen rácsatlakozás Illetéktelen hozzáférés Illetéktelen használat, másolás A különböző forrásból leselkedő veszélyek a következők szerint kategorizálhatók. (Forrás: pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt) IV. 1. 1. Szervezeti és működési veszélyforrások a biztonsági szervezet hiánya, vagy elégtelen kialakítása 24

a titokvédelmi és iratkezelési hiányosságok iratok tárolása, illetve megsemmisítése rendjének hiánya a harmadik felekkel kötött szerződésekből eredő veszélyforrások IV. 1. 2. Humán veszélyforrások a biztonsági környezeten belülről az adatbiztonsági és adatvédelmi rendszabályok be nem tartása, a veszély lekicsinylése hamis biztonságtudat, veszélyérzet hiánya maga a felhasználó fordul az informatikai biztonsági környezet valamely eleme ellen szándékos károkozás, bosszú a biztonsági környezeten kívülről hacker cracker, pl.: megtévesztés, zsarolás adathalászat IV. 1. 3. Természeti veszélyforrások Ebbe a kategóriába a természeti csapásokat, mint pl. árvíz, villámcsapás, földrengés soroljuk. IV. 1. 4. Fizikai veszélyforrások az eszközök fizikai eltulajdonítása, túlmelegedés, hálózati áramellátás kimaradása, annak biztosításának hiánya, hogy csak a hozzáférési jogosultsággal rendelkezők léphessenek be azokba a helyiségekbe, ahol az alkalmazások találhatók, elektromos, mágneses jelek sugárzása, kábelezés, elosztók, csatlakozók lehallgatása, a számítógép képernyőjének távolról történő megfigyelése, adathordozók avulása, elöregedés vagy kopás a levegő nedvességtartalmának jelentős változása, piszkolódás 25

IV. 1. 5. Logikai veszélyforrások hálózati betörés, gyenge jelszórendszer, a jelszavakhoz rendelt jogosultságok nem feladatfüggően vannak megkülönböztetve, nem biztosított a naplózás (ki, mikor, milyen műveletet végzett), rejtjelfejtés, nincs megfelelő mentési rendszer, rosszindulatú szoftverek IV. 1. 6. Életciklushoz kapcsolódó veszélyforrások - nincs elkülönített fejlesztő rendszer, - fejlesztéskor a biztonsági követelmények megfogalmazásának hiánya, - a rendszerek átvételekor a biztonsági követelmények ellenőrzésének hiánya, - nem megfelelő, nem szabályozott selejtezések IV. 2. VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK Forrás: [pezsgo.web.elte.hu/inf_ved/adatbizt1.ppt], [Beinschróth, 2008/2009.] IV. 2. 1. Szervezeti és működési veszélyforrások elleni védelem lehetőségei a biztonsági szervezet feladataiból fakadóan: a védelmi intézkedések meghatározása, betartatása, a biztonsági események kezelése követés, naprakészség biztosítása titokvédelem Az adatokat, alkalmazásokat, eszközöket és helyiségeket osztályozni, minősíteni kell. Az adatvédelmi osztályok: titkos (pl. államtitok, üzleti titok), bizalmas (pl. szolgálati titok, személyes adatok) belső használatra, nyilvános (alkalmazások és eszközök is). Az alkalmazások védelmi osztályozása: milyen osztályba tartozó adatokat kezel. Az eszközök védelmi osztályozása biztonságkritikusságuk alapján. A helyiségek védelmi osztályozása funkcióik alapján: zárt, kiemelten ellenőrzött, ellenőrzött, nyilvános. 26

Iratkezelési utasítás Tartalmaznia kell az iratok előállítására, feldolgozására, továbbítására, megsemmisítésére vonatkozó utasításokat is. Biztonsági alrendszer tervezés átvilágítási jelentés biztonsági politika katasztrófa terv biztonsági szabályzat Harmadik féllel kötött szerződések garanciák szükségesek a megbízó ellenőrzési jogosultságát el kell ismertetni outsourcing karbantartási, rendszerkövetési megbízás a szolgáltató alárendelése a megbízó biztonsági politikájának a szolgáltató jogosultságainak korlátozása, rögzítése ellenőrzési lehetőség biztosítása számonkérési, szankcionálási lehetőség biztosítása a biztonsági követelményeket szerződésben kell rögzíteni a fejlesztés alatt meg kell tervezni az átadás/átvétel menetét és a konkrét implementációt IV. 2. 2. Humán veszélyforrások elleni védelem Munkaviszony létesítésekor háttér ellenőrzés kell végezni, referenciákat, erkölcsi bizonyítványt kell bekérni, folyamatban levő bűnügyi eljárás ellenőrizni kell, titoktartási nyilatkozat (a munkaviszony megszüntetése utáni időszakra is), nyilatkozat a biztonsági követelmények ismeretéről, érdekütközési nyilatkozat (nincs olyan érdekeltsége, amely nem teszi lehetővé a tervezett munkakör betöltését), szakmai és emberi kompetencia vizsgálat Munkaviszony alatt karrier menedzsment lojalitás, kötődés kialakítása 27

munkaköri leírások naprakészsége szakmai továbbképzés egymást kizáró biztonságkritikus munkakörök figyelembe vétele Munkaviszony megszüntetésekor jogosultságok, accountok visszavonása, a felmondási időre legalább korlátozni kell megszüntetési interjú: nyilatkozat a vállalati dokumentumok és adathordozók visszaszolgáltatásáról, kilépés utáni titoktartásról vállalati tulajdon visszavonása (beléptető kártya, kulcsok is) a munkatársak értesítése a kilépés tényéről IV. 2. 3. Természeti veszélyforrások elleni védelem Leginkább országos szervezetek, szakhatóságok hatásköre. IV. 2. 4. Fizikai veszélyforrások elleni védelem Biztonsági intézkedések a hardver védelmében rendszeres megelőző karbantartás a különösen érzékeny összetevők megelőző cseréje a számítógépekbe és a hálózatba való bejutás módozatainak szabályozása a hardver eszközök, illetve szolgáltatásaik igénybevétele csak a felhasználó azonosítását és hitelesítését követően legyen lehetséges hosszabb inaktivitás esetén kényszerített kijelentkezés vagy a berendezés "blokkolása" (például képernyőzárolás) a fejlesztő és a végrehajtó számítógépek szigorú elhatárolása (felhasználói gépen nem folyhat szoftverfejlesztés). az alkalmazott rendszer valamennyi készülékéről, azok műszaki állapotváltozásairól és konfigurálásáról folyamatos nyilvántartás (műszaki törzslap) vezetése zárt elosztók [Jankovits, 2004.] tartalék eszközök jó minőségű eszközök klimatizálás szünetmentes áramellátás, aggretágor épületek mechanikai védelme /kerítések, rácsok, nyílászárók, zárak, stb./ 28

elektronikai jelzőrendszerek alkalmazása informatikai helységek tűzvédelme informatikai helységek villámvédelme kisugárzás és zavarvédelem mozgás-, hő- és füstérzékelő eszközök az illegális behatolás és tűz jelzésére csak a megfelelő jogosultsággal rendelkezők bejutásának biztosítása azon helyiségekbe, ahol az alkalmazások találhatók. Az ennek érdekében történő azonosítás a következő módokon valósítható meg. 1. Tulajdonságok, jellemzők alapján történő azonosítás alak hang írisz aláírás ujjlenyomat egyéb 2. Kódolt adatok alapján A, optikai módszer vonalkód mátrix optikai jelfelismerés optikai karakterfelismerés B, mágneses módszer mágnescsík C, félvezetős technika rádiófrekvenciás jeladó memóriakártya aktív memóriakártya [Ködmön, 1999.] 29

IV. 2. 5. Logikai veszélyforrások elleni védelem Autentikáció a belépni szándékozónak meg kell győznie a rendszert, hogy azonos azzal, akinek mondja magát többször használatos jelszó mit tudsz? egyszer használatos jelszó mi van a birtokodban? biometriai jelszó ki vagy? többszintű hozzáférés védelem: pl. az alkalmazás eléréséhez újabb azonosítás szükséges probléma: egy felhasználónak túl sok jelszót kell ismernie, ezért rögzíti őket jelszó és felhasználói azonosító soha nem kerülhet postai küldeménybe, még elektronikus levélbe sem Kriptográfia az adatokat titkosítva tároljuk vagy továbbítjuk primitív titkosítás: egyszerű karakterhelyettesítés vagy keverés one time pad: a kulcs azonos hosszúságú véletlen sorozat nem megfejthető, de használhatatlan kategóriái: szimmetrikus rejtjelezés, aszimmetrikus rejtjelezés digitális aláírás Határfelületi védelem a csatlakozási pontokon ellenőrizzük, naplózzuk a forgalmat: tűzfal (firewall) Mentések, visszaállítások jól definiált mentési eljárás: mit, milyen gyakran, inkrementális/teljes mentés, mikor, mire, hány példányban, mennyi ideig. A biztonsági másolatokat két példányban kell készíteni. Egyes ajánlások szerint különböző típusú adathordozóra, vagy azonos típusú adathordozók esetén különböző gyártótól származó adathordozókra. Körültekintően kell meghatározni ezen másolatok tárolási helyét (például nem alkalmas erre egy irodai nyitott polc, ahol minden munkatárs hozzáférhet). Lehetőleg egymástól elkülönítetten, tűzbiztos páncélszekrényben kell őket tárolni. Figyelembe kell venni ezen adathordozók fizikai elavulási idejét. Ellenőrizni szükséges az adatok ezen adathordozókról való visszatölthetőségét. 30