SZÁMÍTÓGÉP-HÁLÓZAT AUDIT



Hasonló dokumentumok
IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK

Kereskedelmi, Szolgáltató és Tanácsadó Kft.

TARTALOM. Bekezdések Bevezetés A jelen Nemzetközi Könyvvizsgálati Standard hatóköre 1 Hatálybalépés időpontja 2 Cél 3 Fogalmak 4 Követelmények

Számítógépes Hálózatok ősz 2006

Organizáció. Számítógépes Hálózatok ősz Tartalom. Vizsga. Web-oldal

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

RÉSZ IPARI TERMELÕ-SZOLGÁLTATÓ TEVÉKENYSÉG ELLENÕRZÉSE A

A KÖNYVVIZSGÁLAT ALAPJAI

Az EBDH fõbb jellemzõi és irányítási rendszere

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

IT ellenőrzés feladata válság idején

GYÁRTÓ VÁLLALAT VEVŐI AUDITJA

24. oldal

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Stratégiai menedzsment nemzetközi benchmark elemzés

A CAN mint ipari kommunikációs protokoll CAN as industrial communication protocol

Magyar Repülőszövetség Siklórepülő szakág ELJÁRÁSI UTASÍTÁS. Oldalszám: 5. Melléklet: 2. Változat : 2. ME-821 BELSŐ AUDITOK

240. témaszámú nemzetközi könyvvizsgálati standard A könyvvizsgáló csalással összefüggő felelőssége a pénzügyi kimutatások könyvvizsgálatánál

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

Vizin Eszter 1 : A könyvvizsgálat minőségellenőrzésének nemzetközi gyakorlata

Belső kontroll kézikönyv

Tantárgyi programok 1. Informatikai projektmenedzsment A projektmenedzsment alapjai (a projektek típusai, életciklus, szervezet, ütemezés,

FÖLDÜGYI INFORMATIKAI RENDSZEREK A BIZTONSÁGI SZABVÁNYOK TÜKRÉBEN

Információbiztonság minden szinten, az alkalmazás-fejlesztéstől az auditálásig.

BELSŐ AUDIT FÓKUSZAI - ÚJ MÓDSZER A FOLYAMATOK FELÜGYELETÉRE

BIZTONSÁGI AUDIT. 13. óra

Szabványok, ajánlások

! $ $ % &" " '(!" # )( & $ * "$+," *-. &'#0$(0*" &! # & 0$ $-!#& "! "$ "( ). $ *"*/! $ * *"!%.$ :;!<7= $ # ( / /!. /! # *!!$ * -.+ "&**! $.

IV. Évfolyam 2. szám június. László Zsuzsanna Budapesti Műszaki Főiskola laszlozsuzsu@gmail.com REJTJELBIZTONSÁG.

Tételvázlatok a vállalkozási mérlegképes könyvelõi komplex szakmai vizsgához

Belső audit fókuszai - új módszer a folyamatok felügyeletére Bognárné Laposa Ilona, Tompa Lászlóné (Zala Megyei Kórház)

Kereskedelmi és Hitelbank Zrt. Bázel II - 3. pillér szerinti közzététel. Kockázati jelentés as pénzügyi év

A távmunka és a távdolgozók jellemzői

A Magyar Honvédség hírrendszerének továbbfejlesztése

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Az emberi tényező vizsgálata az információbiztonság, a személyés vagyonvédelem, valamint az épületkiürítés területein

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1

FÜGGETLEN KÖNYVVIZSGÁLÓI JELENTÉS

PROJEKTVÁZLAT 1. ELŐADÁS ÁTTEKINTÉSE 8. ea.: Projekttervezés V.

A Nyugat-dunántúli Regionális Fejlesztési Ügynökség

Üzleti kockázat minimalizálás és a biztonsági menedzsment korszerűsítése McAfee Total Protection for Enterprise-al

Minőségirányítási kézikönyv

IT biztonság és szerepe az információbiztonság területén

EMLÉKEZTETŐ. 1. Májusi rendezvény értékelése

OKOS VÁROS FOGALMA, KONCEPCIÓJA, LEHETSÉGES ÉRTÉKELÉSI MÓDSZEREI

Fábos Róbert okl. mk. őrnagy, adjunktus. Doktori (PhD) értekezés TERVEZET. Témavezető: Dr. habil. Horváth Attila alezredes CSc. Budapest 2013.

VI. DÖNTÉSHOZATAL KÉZIKÖNYVE

Informatikai Biztonsági Tanúsítási Szervezet. 2/14. sz. Megfelelőségi Tanúsítvány

BBTE Rektori Hivatal Str. M. Kogălniceanu/ Farkas utca 1. Kolozsvár, RO Tel.: , Fax:

Ellenőrzési és könyvvizsgálati esettanulmányok

Pánczél Zoltán / Lyukvadászok szabálykönyve

DESZTINÁCIÓ MENEDZSMENT MODUL

INFORMATIKAI BIZTONSÁG ALAPJAI

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

FELVÉTELI TÁJÉKOZTATÓ. a 2012/2013. tanévre. Szakirányú továbbképzések. (levelező és esti tagozat)

ÉVES ELLENŐRZÉSI. belső ellenőrzésről

Az önkéntes professzionális haderõ humánpolitikai mûködésének matematikai modellje

SEGÉDLET A PÁRTOK GAZDÁLKODÁSA TÖRVÉNYESSÉGÉNEK PÉNZÜGYI SZABÁLYSZERŰSÉGI ELLENŐRZÉSÉHEZ


1 A tárgyalandó témakör tárgyilagos és tényszerű bemutatása

ellenõrzés rendszere és módszerei Szerkesztette Kovács Árpád

MINŐSÍTÉS. igazolja, hogy. a Neumann János Digitális Könyvtár és Multimédia Központ Kht. által integrált

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

Audit{l{si folyamat az infekciókontrollban

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

IT trendek és lehetőségek. Puskás Norbert

Cégismerteto. Ez így kicsit tömören hangzik, nézzük meg részletesebben, mivel is foglalkozunk!

A évi integritásfelmérések céljai, módszertana és eredményei

Minőségmenedzsment. 1. Minőséggel kapcsolatos alapfogalmak. Minőségmenedzsment - Török Zoltán BKF és BKF SZKI

Monor Város Önkormányzata PÁLYÁZATI ÚTMUTATÓ. a Monor integrált városközpont-fejlesztése városrehabilitációs projekt

Mérnök informatikus (BSc) alapszak levelező tagozat (BIL) / BSc in Engineering Information Technology (Part Time)

VÁROSI KÖZLEKEDÉSMENEDZSMENT INTEGRÁLT TELEMATIKAI RENDSZERREL. Abstract

KIBERVESZÉLY ÉS A MAGYAR HONVÉDSÉG

Az elektronikus közszolgáltatások biztonságáról

Bognárné Laposa Ilona Zala Megyei Kórház ápolási igazgató egészségügyi MIR auditor

A SZERVEZETTERVEZÉS ÉS MENEDZSMENT KONTROLL ALPROJEKT ZÁRÓTANULMÁNYA

Ingatlanvagyon értékelés

Budapest XXI. Kerület Csepel Önkormányzata PÁLYÁZATI ÚTMUTATÓ

irányításban Teljesítménymérés

A belső kontrollrendszer szabályszerűségének ellenőrzése a hivatalnál

Nagyhalász Város Önkormányzata PÁLYÁZATI ÚTMUTATÓ. az ÉAOP-5.1./A azonosítószámú Nagyhalász szociális célú

MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV

Bevezetés. A protokollok összehasonlítása. Célpontválasztás

MISKOLCI EGYETEM Gazdaságtudományi Kar Üzleti Információgazdálkodási és Módszertani Intézet Számvitel Intézeti Tanszék KÖNYVVIZSGÁLAT. Dr.

SARM. Veszteségek minimalizálása visszaélés-felderítéssel. Csizmadia Attila CISA

Klinikai audit jó nemzetközi gyakorlata. Dr. Mogyorósy Gábor (Debreceni Egyetem, Klinikai Központ, Gyermekgyógyászati Intézet)

MEGFELELŐSÉG SZABÁLYOZÁS

NYITOTT ÖNKORMÁNYZAT AZ ÁLLAMPOLGÁROKÉRT

GÉPÉSZMÉRNÖKI ÉS INFORMATIKAI KAR KOMPETENCIA FELMÉRÉSÉNEK KIÉRTÉKELÉSE TÁMOP /1

Az ELEKTRA Hungaria közlekedési kártyarendszer továbbfejlesztése

ÖSSZEFOGLALÓ ELLENŐRZÉSI JELENTÉS A ÉVI BELSŐ ELLENŐRZÉSI TEVÉKENYSÉGRŐL

ATM GERINCHÁLÓZAT AZ ELTE-N

SeaLog digitális nyomelemző rendszer

Nemzeti Alaptanterv Informatika műveltségterület Munkaanyag március

Metaadatbázis Gyógynövény felvásárlás

I-Audit Pénzügyi Ellenőrző és Tanácsadó Kft Kaposvár Aranyhárs u. 12.

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

MŰKÖDÉSI SZABÁLYZATA (Tanúsítási Kézikönyv)

Átírás:

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Előadás nyomdakész anyaga SZÁMÍTÓGÉ-HÁLÓZAT AUDIT, illesi.zsolt@proteus.hu roteus Consulting Kft. ABSTRACT Nowadays Information and Communication Technology (ICT) plays quite important role in the daily routine of commercial, public administrative and private world. Expansion of networks in terms of both intellectual and regional domains, and number of users, the convergence of information and telecommunication and media technology, new criminal techniques and counter-measures surfaced. In this cat-and-mouse race computer networks play a central role as a target or facilitator. Besides technical and organisational measures, little mention is made of audit. In the presentation I will summarise the characteristics of auditing, define IT and computer network audit, its role and employment in security, and highlight possible computer network audit approaches, methods and techniques. BEVEZETÉS Manapság az infokommunikáció (ICT) jelentős szerepet játszik a gazdasági szervezetek, az államigazgatási szervek és a magánszemélyek mindennapjaiban. A hálózatok területi térhódítása (mind területi, mind intellektuális értelemben), a felhasználók számának növelése, a távközlés, információ- és médiatechnológia konvergencia fejlődése újabb számítógépes bűncselekményeket és védelmi intézkedéseket hoz a felszínre. Ebben a macska-egér játékban a hálózatok célpontként és segédeszközként is központi szerepet játszanak. A hálózatbiztonság technikai és szervezési intézkedései mellett kevés szó esik az ellenőrzésről (audit). Az előadásban összefoglalom az ellenőrzés jellemzőit, definiálom az informatikai és a számítógép hálózat ellenőrzés fogalmát, szerepét és helyét a védelemben, ismertetem a számítógép hálózatok ellenőrzésének lehetséges megközelítéseit, módszereit és technikáit. Az alábbi írásban ismertetem az ellenőrzés fogalmi elemeit, majd ezen ismérvek alapján bemutatom, hogy miképp minősíthető több ellenőrzés (minősítés, behatolási teszt és igazságügyi szakértés), illetve felvázolom az ellenőrzés prioritásait meghatározó tényezőket a számítógép-hálózat auditálás három különböző megközelítése esetén. Kulcsszavak: ellenőrzés, audit, számítógép-hálózat 1/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT ELLENŐRZÉS A számítógép-hálózatok biztonságával és védelmével kapcsolatban rengeteg szó esik a fizikai, logikai, szervezési intézkedésekről, technikákról és technológiákról. A megelőző, felfedező, javító kontrollok között csak viszonylag kevés szó esik az ellenőrzésről, Azonban érdemes erre a kevésbé ismert és használt felfedező kontrollra is figyelmet szentelni, mivel fontos helyet foglal el a rendszertervezés, bevezetés és üzemeltetés életciklusában, mivel ellenőrzés célja valamilyen követelmények és tények összevetése, és ezek alapján az eltérések okainak értékelése. Az ellenőrzés tevékenység összefoglalását a következő ábra foglalja össze: 1. ábra Ellenőrzési tevékenység ([1.] 28. oldal) Az ellenőrzés legfőbb jellemzői a(z) ellenőrzés időpontja, lépései, tartalma, fajtája, tárgya és terjedelme, megbízó, gyakoriság, részletessége, módszere. [1.] Az ellenőrzés időpontja a megfigyelt eseményekhez képest értelmezhető, így végrehajtható valamilyen esemény előtt (előzetes vizsgálat) közben, vagy azzal párhuzamosan (egyidejű), vagy után (utólagos ellenőrzés). A számítógép-hálózatok esetében mindhárom fenti ellenőrzési megközelítés értelmezhető, vagy a védelmi intézkedések kiadásának, végrehajtásának, vagy valamilyen hálózati incidens bekövetkeztének függvényében. Az ellenőrzés lépései a vizsgálat menetéhez kapcsolódnak: helyzet megértése, adatgyűjtés (obtaining and understanding) kontrollmechanizmusok értékelése (evaluation), megfelelőség értékelése (compliance testing), megfelelőség felmérése (substantive testing), Az ellenőrzés lépéseinek sajátos céljai és sajátos termékei lehetnek, és az egymás után következő lépések egyre nagyobb garanciát jelentenek a vizsgálat eredményeinek 2/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT megalapozottságát illetően. Az ellenőrzés lépéseinek kapcsolatát egymással (valamint az utóellenőrzéssel) és az audit jelentéssel a 2. ábra szemlélteti. 2. ábra Az ellenőrzés menete és termékei ([2.] alapján szerkesztette ) A számítógép-hálózatok vizsgálata során elképzelhető, hogy idő vagy költség megfontolások, vagy egyéb menedzsment döntések alapján csak a lépések egy részét hajtja végre az auditor, így kevesebb idő alatt, kisebb költséggel, de alacsonyabb garanciaszint mellett szolgáltat eredményeket. Az ellenőrzés tartalma arra utal, hogy az ellenőr milyen szakmai szempontok szerint hajtja végre a vizsgálatot. Könyvvizsgálói szempontból ez a tartalom vagy pénzügyigazdasági, vagy szakmai, de általánosító értelmezés szerint a pénzügyi-gazdasági is csak egy szakma, így tartalom sokkal részletezőbben értelmezhető, az ellenőrzés tehát lehet pénzügyi-gazdasági, informatikai, minőségügyi, környezetvédelmi stb. A számítógéphálózatok esetében a szakmai tartalom az információ-technológiához, az informatikairányítási folyamatokhoz kapcsolódik. Az ellenőrzés fajtája határozza meg, hogy terméket, eljárást vagy rendszert vizsgál-e az auditor. A számítógép-hálózat auditnál mindhárom ellenőrzési fajta előfordulhat, hisz az ellenőr vizsgálhat egy-egy hálózati komponenst, vizsgálhat egy hálózati szegmenst vagy alrendszert, illetve vizsgálhatja a hálózat üzemeltetésének folyamatát, valamint hálózatnak és a hálózat üzemeltetésnek a szervezetbe ágyazottságát. Az ellenőrzés tárgya és terjedelme az ellenőrzés fajtájához kapcsolódó jellemző és azt határozza meg, hogy a vizsgálat hogyan határolható el attól a rendszertől (szervezeti, technikai és egyéb értelemben), amelyben a vizsgálat történik. Az ellenőrzés tárgya és terjedelme alapján lehet átfogó ellenőrzés, amely egy terület egészét értékeli, s amelynek célja a vizsgált terület komplex értékelése, célvizsgálat, amely valamilyen határozott cél (részfeladat, konkrét kérdés, esemény stb.) egy szervezeten (vagy szervezeti egységen) belül, 3/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT témavizsgálat, amely azonos tartalmú és jellegű feladat végrehajtását értékeli rendszerint több szervezeti egységnél vagy szervezetnél, utóellenőrzés, amely egy korábbi ellenőrzés eredményinek utólagos értékelését végzi, és a fő célja a javítóintézkedések bevezetésének és azok hatásának elemzése. Az ellenőrzés szempontjából lényeges megbízójának és az ellenőrnek a kapcsolata. Így megkülönböztethető külső ellenőrzés, ahol az ellenőr független a szervezet belső működésétől/ vezetésétől, illetve belső ellenőrzést, ahol az ellenőr része a szervezetnek, amelyet ellenőriz, így a teljes függetlenség nem valósulhat meg. Az ellenőrzés gyakoriság Az ellenőrzés részletessége az ellenőrzésbe bevont események, személyek, tárgyak, bizonylatok stb. vizsgálati terjedelmét határozza meg. Az ellenőrzés a részletesség szerint lehet tételes ellenőrzés, amely során az ellenőr valamennyi mintát (esemény, személy, tárgy stb.) egyenként megvizsgál, próba szerű, amely során az ellenőr a lehetséges vizsgálati mintának csak egy részét vizsgálja véletlenszerűen (szúrópróbaszerűen) kiválasztott minták alapján, mintavételes, amely során az ellenőr a lehetséges vizsgálati mintának valamilyen részhalmazát vizsgálja tételesen. A számítógép-hálózat audit során bár mindhárom részletességű vizsgálat számításba jöhet, de az idő és költség és erőforrás korlátok miatt rendszerint csak próba szerű vagy mintavételes vizsgálatra van lehetőség. Kétféle módszerrel lehet az ellenőrzés során eredményre jutni: vagy a több forrásból származó ellenőrzési adatokat (bizonylat, okmány, naplóállomány) összehasonlítva (találkozó ellenőrzés), vagy a rendelkezésre álló adatok, tények és információk összevetése és elemző értékelése alapján (összefüggésekre alapozott ellenőrzés). Számítógép-hálózat audit során mindkét módszer alkalmazható, azonban az összefüggésekre alapozott ellenőrzésnél az ellenőr ismeretei és gyakorlata jelentősen befolyásolhatja az eredmények minőségét, így ezt a fajta vizsgálatot célszerű specialistával végeztetni. [1.] A fentiek alapján három olyan ellenőrzési formának az értékelését és összehasonlítását végeztem el, amelyek jellemzőek a számítógép-hálózatokra. Ezek a minősítés, a behatolási teszt, és az igazságügyi szakértés. A minősítés során az ellenőr (minősítő) valamely szabványnak való megfelelőséget vizsgálja például a hálózat egy-egy eleme esetében (pl. tűzfal biztonsági minősítés az ISO15408 szerint), a szervezet számítógép-hálózat üzemeltetésére (ISO 9001 szerint). A vizsgálat alapjául szolgáló módszerek és eljárások rögzítettek, az ellenőr ezeknek a szigorú szabályoknak megfelelően végzi el a tevékenységét. A behatolási teszt (penetration test) során az ellenőr (penetration tester, ethical hacker) a számítógép-hálózat komponenseinek vagy az azt működtető szervezet hibáit és sebezhetőségét kihasználva próbálja felderíteni a célpontot, illetve bejutni a védett hálózatba, jogtalanul használni a védett erőforrásokat, adatokat, továbbá részlegesen vagy teljesen működésképtelenné tenni a hálózatot vagy annak komponenseit. Az igazságügyi szakértés során az ellenőr (eseti szakértő, bejegyzett igazságügyi szakértő vagy szakértői szervezet) valamilyen jogszabályba ütköző, vagy polgári peres ügyekben valamely jogkérdés eldöntése érdekében valamilyen eset vagy állapot elemzését, szakértői értékelésesét végzi el a kirendelő határozat vagy megbízás alapján. Az 1., a 2. és a 3. táblázat ezeknek az ellenőrzéseknek az értékelését ismerteti. 4/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont követő csak befejezett lépés lényegi minősítési módszer (szabvány) függvénye fajtája [bármilyen] minősítési módszer (szabvány) függvénye tárgy és terjedelem témavizsgálat minősítési módszer (szabvány) függvénye megbízó külső akkreditált auditor (cég vagy személy) gyakoriság egyszeri vagy minősítési módszer (szabvány) függvénye rendszeres részletesség [bármilyen] minősítési módszer (szabvány) függvénye módszere [bármilyen] minősítési módszer (szabvány) függvénye 1. táblázat Minősítés ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont [bármilyen] megbízási szerződés alapján lépés lényegi fajtája [bármilyen] megbízási szerződés alapján tárgy és terjedelem célvizsgálat megbízási szerződés alapján megbízó külső gyakoriság egyszeri részletesség tételes megbízási szerződés alapján módszere [bármilyen] megbízási szerződés alapján 2. táblázat Behatolási teszt (enetration test) ÁLTALÁNOS JELLEMZŐ MINŐSÍTÉS MEGJEGYZÉS időpont követő főleg polgári vagy büntető ügyben lépés lényegi jogeset függvényében változik fajtája [bármilyen] minősítési módszer (szabvány) függvénye tárgy és terjedelem célvizsgálat kirendelő/ megbízó határozatban rögzített megbízó külső külső: állam vagy jogalany auditor/szakértő (p. és Be.) gyakoriság egyszeri részletesség tételes módszere [bármilyen] probléma függő 3. táblázat Igazságügyi szakértés Természetesen a számítógép-hálózat ellenőrzésének világára nem csak ez a három ellenőrzési típus jellemző, de az itt nem kategorizált auditok a megbízás egyedi jellegéből következően esetlegesek és nem osztályozhatók. 5/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Az ellenőrzés fajtái, típusai és csoportosítási jellemzői mellett az ellenőrzés során jelentős szerepet játszanak az ellenőrzési alapelvek. Ezek minden ellenőrzésre érvényesek és minden ellenőrnek szem előtt kell tartania ezeket. Az ellenőrzés alapelvei a következők: függetlenség, tisztesség, tárgyilagosság, szakértelem és kellő gondosság, titoktartás, hivatáshoz méltó magatartás, szakmai standardok. SZÁMÍTÓGÉ-HÁLÓZATOK BIZTONSÁGI ELLENŐRZÉSÉNEK MEGHATÁROZÁSA Az auditálás tervezése során az egyik probléma az, hogy miként lehet a vizsgálati területet felosztani olyan részterületekre, melyek lehetővé teszik az ellenőrzés felosztását olyan alterületekre, amelyek még önmagukban is értelmes egységeket alkotnak és segítik a strukturált megközelítést. A következő fejezetekben javaslatot teszek a számítógép-hálózat audit terület felosztására, figyelemmel a számítógép-hálózatokkal kapcsolatos jelenlegi elképzelésekre. A felosztásban elsődlegesnek () jelöltem azokat a területeket, amelyek közvetlenül kapcsolódnak a számítógép-hálózatokhoz, másodlagosnak (S) jelöltem azokat a területeket, amelyek csak kisebb mértékben vagy csak közvetve kapcsolódnak a számítógép-hálózatokhoz. Rétegelt megközelítés 1: Hibrid TC/I referencia modell alapján Ennek a vizsgálatnak az alapja a Tanenbaum által leírt hibrid TC/I hivatkozási modell ([3.] 64. oldal), amely az ISO-OSI referencia modell és a TC/I referencia modell házasításából jött létre. Az audit az egyes rétegek vizsgálata azoknak az eszközöknek, protokolloknak és technológiáknak a vizsgálatát jelenti, amelyek jellemzően valamely réteghez kötődnek (pl. kábelezés az 1. réteghez, a hálózati kapcsolók a 2. réteghez, az útválasztók a 3. réteghez). Ezt szemlélteti a 4. táblázat: RÉTEG Alkalmazási réteg (5-7) Szállítási réteg (4) Hálózati réteg (3) Adatkapcsolati réteg (2) Fizikai réteg (1) RIORITÁS S S 4. táblázat Audit prioritások hibrid TC/I modell alapú vizsgálat esetén Rétegelt megközelítés 2: C/I/A hármas alapján A számítógép-hálózat ellenőrzése rendszerint biztonsági auditot jelent, ezért célszerű az egyes hálózati eszközöket is megvizsgálni, hogy az egyes hálózati eszközök és szolgáltatások melyik biztonsági követelmények (bizalmasság, sértetlenség és rendelkezésre állás) kielégítésében játszanak szerepet. Erre a felosztásra mutat példát az 5. táblázat: 6/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT HÁLÓZATI KOMONENS BIZALMASSÁG SÉRTETLENSÉG RENDELKEZÉSRE ÁLLÁS (A) (C) (I) alkalmazási kontroll backup adattitkosítási szolgáltatások digitális aláírás, hash hibatűrő szolgáltatások tűzfal szolgáltatások S honey pot (csali, könnyű préda) S S S betörésvédelmi rendszerek (IDS) S S naplók S S S hálózati hitelesítési szolgáltatások hálózatmenedzsment eszközök hálózati biztonsági protokollok S 5. táblázat Audit prioritások C/I/A hármas alapú vizsgálat esetén Rétegelt megközelítés 4: Munka-tényező alapján A hálózatbiztonság tervezés, illetve a betörési kísérletei rávilágítottak arra, hogy a támadó szempontjából a számítógép-hálózatok egyes komponenseinek támadása és védelme nem egyenszilárd, vannak a hálózatnak megbízható és nehezen kompromittálható elemei, és vannak sérülékenyebb, könnyebben leküzdhető elemei [4.]. Ennek a modellnek megfelelő audit felosztást szemlélteti a 6. táblázat: HÁLÓZATI ZÓNA határvédelem () hálózat () gazdagép/ host (S) alkalmazás (S) adat (S) KONTROL tűzfal hálózati vírusvédelmi rendszer VN titkosítás betörésvédelmi és betörés megelőző rendszerek (IDS/IS) sebezhetőség vizsgálat hálózati hozzáférés-védelem hozzáférés-védelem/ felhasználó hitelesítés gazdagép alapú IDS gazdagép sebezhetőség vizsgálat (VA) hálózati hozzáférés-védelem vírusvédelmi rendszer hozzáférés-védelem/ felhasználó hitelesítés alkalmazás védelmi rendszere hozzáférés-védelem/ felhasználó hitelesítés adatbevitel hitelesítés titkosítás hozzáférés-védelem/ felhasználó hitelesítés 6. táblázat Audit prioritások Munka-tényező alapú vizsgálat esetén 7/8. oldal

SZÁMÍTÓGÉ-HÁLÓZAT AUDIT Felhasznált irodalom [1.] Vörös László: Az ellenőrzés rendszere és módszertana erfekt, Budapest, 2002. [2.] CobiT3 Auditálási Útmutató Az Információ-Technológia Irányításához, Kontrolljához és Ellenőrzéséhez, IT Governance Institute, Budapest, 2000. [3.] Andrew S. Tanenbaum: Számítógép-hálózatok, anem rentice-hall, Budapest, 1999. [4.] Mitchell Ashley: Layered Network Security 2006: A best-practices approach, StillSecure, www.stillsecure.com/docs/stillsecure_layeredsecurity.pdf, 2006. (2008-04-06) 8/8. oldal

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés