Közreműködők továbbképzésének bemutatása

Hasonló dokumentumok
Éves továbbképzés az elektronikus információs rendszerek védelméért felelős vezető számára

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Testnevelési Egyetem VPN beállítása és használata

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Jogalkotási előzmények

Fábián Zoltán Hálózatok elmélet

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Megbízhatóság az informatikai rendszerekben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Sapientia Egyetem, Matematika-Informatika Tanszék.

Informatikai Biztonsági szabályzata

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

Dr. Muha Lajos. Az L. törvény és következményei

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Biztonság a glite-ban

Kétcsatornás autentikáció

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

KÖZSZOLGÁLATI ÉS VEZETŐKÉPZÉSEK IGÉNYBEVÉTELE TISZTVISELŐK SZÁMÁRA. Nemzeti Közszolgálati Egyetem Vezető- és Továbbképzési Intézet

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

Titkosítás NetWare környezetben

Adatkezelési nyilatkozat, szabályzat

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Adatkezelési nyilatkozat

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Alapszintű számítástechnikai ismeretek pedagógusoknak 30 óra. Továbbképzési tájékoztató 2017.

Bevezetés. Adatvédelmi célok

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

2013. évi L. törvény ismertetése. Péter Szabolcs

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

Elektronikus hitelesítés a gyakorlatban

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Az intézményi hálózathoz való hozzáférés szabályozása

Muha Lajos. Az információbiztonsági törvény értelmezése

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban

(appended picture) hát azért, mert a rendszerek sosem

Nemzetközi jogszabályi háttér I.

Webalkalmazás-biztonság. Kriptográfiai alapok

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

20 éve az informatikában

Kriptográfiai alapfogalmak

Információbiztonság fejlesztése önértékeléssel

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Közigazgatási informatika tantárgyból

5.1 Környezet Hálózati topológia

Az információbiztonság egy lehetséges taxonómiája

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

30 MB INFORMATIKAI PROJEKTELLENŐR


3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

A közigazgatási szakvizsga közszolgálati továbbképzési program tervezési sajátosságai

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Segédlet Hálózatok. Hálózatok 1. Mit nevezünk hálózatnak? A számítógép hálózat más-más helyeken lévő számítógépek összekapcsolását jelenti.

Tudjuk-e védeni dokumentumainkat az e-irodában?

elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN

IT biztonsági törvény hatása

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

HÁLÓZATBIZTONSÁG III. rész

Szabó Zoltán PKI termékmenedzser

Rendszám felismerő rendszer általános működési leírás

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Vezetéknélküli technológia

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

ELEKTRONIKUS ALÁÍRÁS E-JOG

Felhasználói kézikönyv

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

A közszolgálati továbbképzés és vezetőképzés programjainak követelményrendszere a (átmeneti) évi tervezéshez

Technológia az adatszivárgás ellen

A BorsodChem Csoport Etikai Vonal Szabályzata június

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások)

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

Mobil nyomtatás működési elv és megoldás választási kritériumok

Átírás:

Közreműködők továbbképzésének bemutatása Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem

Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe

A képzések célcsoportjai Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet az infobiztonsági képzéseket az NKE gondozásába helyezte. Célcsoportok: elektronikus információs rendszerek védelméért felelős vezetők, elektronikus információs rendszer biztonságáért felelős személyek, elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek. A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.

A tisztviselői képzések jogszabályi háttere A közszolgálati tisztviselőkről szóló 2011. évi CXCIX. Törvény 80-81. NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik). A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. Rendelet továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok 12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók, felkészítése, ellenőrzése, bizonylatok kezelése stb.)

A továbbképzés intézményrendszere KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring Irányítás, szabályozás KTK - követelmények - programok minősítése - névjegyzékek Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás NKE - Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése

Tisztviselők továbbképzési programjainak típusai Közszolgálati továbbképzési programok (csak az NKE nyújthatja) Vezetőképzési programok (csak az NKE nyújthatja) Szakmai és kompetenciafejlesztő továbbképzési programok Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓ- BIZTONSÁGI KÉPZÉSEK Belső továbbképzések (közigazgatási szervek)

Tisztviselők képzési kötelezettsége A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül - Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, - Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés, - középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: - 16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.

Információ-biztonsági képzések típusai Képzés célcsoportja elektronikus információs rendszerek védelméért felelős vezetők elektronikus információs rendszer biztonságáért felelős személyek Képzés célja, neve Képzés típusa Belépő képzés E- learning Éves továbbképzés EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés Éves továbbképzés E- learning Blended learning E- learning Óraszá m Tanulmán yi pontérték Képzés díja 8 8 8.000 Ft 8 8 8.000 Ft 320 48 149.000 Ft/félév 50 32 50.000 Ft Elektronikus információbiztonsá gi feladatok ellátásában résztvevő személyek Belépő képzés Éves továbbképzés E- learning E- learning 50 32 50.000 Ft 25 16 25.000 Ft

Képzések igénybevétele - tisztviselők A továbbképzési kormányrendelet hatálya alá tartozó jelentkezők (éves képzési tervvel rendelkező tisztviselők) számára a teljesítés feltétele: A megfelelő programot ha még nem történt meg fel kell venni az éves képzési tervbe (ezt a munkáltató tudja elvégezni), A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). A befizetéshez szükséges adatok megtalálhatóak a https://vtki.uni-nke.hu oldalon, a továbbképzések menüpont alatt, az elektronikus információbiztonsági képzések almenüben. Akik felvették a képzést a képzési tervbe, e-mailben kapnak jelzést arról, hogy meghirdetésre került a képzés (kivéve: EIV, ott közvetlenül kommunikálnak a szervezők az érintettekkel). Az e-learning típusú továbbképzési programokat a szorgalmi időszak során, 2014. júniustól kezdődően, fokozatosan hirdetjük meg. A tisztviselő kiválasztja a neki megfelelő kurzust (időszakot), és abban az időszakban hozzá fog férni a https://probono.uni-nke.hu oldalról az e-learning tananyaghoz. A hozzáférés előfeltétele hogy regisztrálva legyen a Probono (korábban TVP) oldalon. Sikeres teljesítés esetén a rendszer automatikusan legenerálja a tanúsítványt, amit letölthetnek a tisztviselők a Probono oldalról. Az EIV képzések megszervezése, meghirdetése NEM a Probono oldalon történik, ez ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.

Képzések igénybevétele nem tisztviselők A Továbbképzési rendelet személyi hatálya alá nem tartozó (nem közszolgálati tisztviselői jogviszonyban lévő) jelentkezők számára a képzések megkezdésének feltétele, hogy a jelentkező a munkáltató hozzájárulásával a továbbképzésre jelentkezzen (a jelentkezési lap letölthető a honlapról). A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). Ebben az esetben kérjük, a jelentkezési lapokkal és a befizetés igazolásával együtt jelezzék az NKE felé írásban, hogy mely tisztviselők képzési díját fizetik be. A befizetést igazoló szelvény másolatát, valamint azon tisztviselő(k) nevét, aki(k)nek a képzést befizették a következő címre kérjük postai úton eljuttatni: Vezető- és Továbbképzési Intézet, 1518 Budapest, Pf. 26.Kérjük, a küldeményen tüntessék fel: Elektronikus információbiztonsági képzésre jelentkezés. Ezt követően a jelentkezőknek be kell regisztrálnia a https://probono.uni-nke.hu oldalon nem tisztviselő szerepkörbe, majd regisztrációjuk jóváhagyása után kapnak hozzáférést az e-learning tananyaghoz. A tananyag elvégzése után szintén a Probono felületről tölthetik le a rendszer által generált tanúsítványt.

E-learning képzések módszertana

Az e-learning fogalomrendszere E-learning: olyan tanítási és tanulási forma, amiben a tananyag feldolgozásához, bemutatásához, a szemléltetéshez vagy akár a kommunikációhoz digitális médiumokat (például DVD, CD-ROM, Internet) használunk. Szinonimái: online tanulás, távtanulás, számítógéppel támogatott tanulás, multimédia alapú tanulás stb. Jellemzői: Rugalmas tanulási forma, a résztvevő akár otthon, önállóan, a saját időbeosztásuk szerint sajátíthatják el a tananyagot. A tananyagok az interneten keresztül érhetőek el (az infobiztonsági képzések tananyagai a https://probono.uni-nke.hu oldalon keresztül). A hagyományos oktatáshoz képest több szemléltetést (ábrák, képek, animációk, stb.) alkalmaz. A résztvevők munkáját képzéstől függően tutorok segíthetik (internetes válaszadás, fórumozás, feladatok kiadása, csoport mozgatása).

E-learning módszerek, tananyagtípusok Az e-learning tananyagoknak számos módszertana, megjelenítési formája létezik. Ezek önállóan, illetve egy adott tananyagon belül vegyesen is előfordulnak. Az NKE e- learning tananyagfejlesztései során alkalmazott főbb típusok: E-book: tördelt, kereshető szöveges anyag, amely a hagyományos tankönyvi tanulást előnybe részesítők körében a legszívesebben használt forma. Prezentáció jellegű tananyag: a prezentáció slide-jaihoz hasonló (azoknál rugalmasabb, nagyobb terjedelem strukturált bemutatására alkalmas) képernyőkből felépülő tananyag. Ilyen jellegűek az információbiztonsági e-learning tananyagok is. Videós tananyag: a képernyőn az oktató látható, aki egy egyetemi előadáshoz, egy jelenléti oktatáshoz hasonlóan elmondja a tananyagot. A megértést segítendő a háttérben futhat egy prezentáció. Ilyen esetben az időjárás-jelentéshez hasonló greenbox-technikával történik az előadás felvétele, majd a prezentációval való összeillesztése. Animációs tananyag: rajzfilmszerű megjelenítési mód, kiválóan alkalmas rövidebb kis történetek, jelenetek bemutatására.

A tananyag felépítése, főbb elemei A prezentációs típusú e-tananyagok elemei a következők: Törzsanyag: a tananyag legfontosabb információit tartalmazza, szöveges formában, valamint képek, ábrák stb. formájában. Szakanyag: a tananyaghoz készített írott jegyzet, ami gyakran az adott témakör mélyebb szintű bemutatására is alkalmas. Fogalomtár: a tananyagban előforduló fogalmak magyarázata. A törzsanyagból link segítségével előhívható a megfelelő fogalom magyarázata. Kinyitható/bezárható szövegdobozok: A törzsanyaghoz nem tartozó, de hasznos, érdekes többlet tudáselemek, amelyeket a felhasználó tud kinyitni, bezárni. Önellenőrző kérdések: a tananyag elsajátítását segítő kérdések, amelyekre a tanulási folyamat közben tud válaszolni a felhasználó. Nem azonos a vizsgával. Szakirodalom, hasznos linkek: közvetlenül nem a tananyaghoz tartozó, mélyebb ismeretek szerzését elősegítő hivatkozások. Záró teszt: vizsgakérdések gyűjteménye.

A tananyag követelményei A tananyagok sikeres teljesítéséhez a záró teszt kérdéseit kell az előírt %-os mértékben helyesen megválaszolni. A záró tesztet az e-learning keretrendszer véletlenszerűen állítja össze minden egyes vizsgázó számára egy nagyszámú kérdést és választ tartalmazó kérdésbankból. A főbb kérdéstípusok: Egyszerű választás, Többszörös választás, Sorba rendezés, Párosítás, Mondat kiegészítés. A záró tesztet három alkalommal lehet megkísérelni teljesíteni, a harmadik sikertelen próbálkozás után a képzés elvégzése eredménytelennek minősül.

A KÖZREMŰKÖDŐK KÉPZÉSÉNEK ÁTTEKINTÉSE 2014.05.30. 16

Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Jogalanyok széles körben Szervezeti biztonsági szint Információbizton -sági felügyelő Alapvető biztonsági elvárások Biztonsági vezető és felelős Kormányzati koordináció Biztonsági osztályba sorolás Szervezetek feldatai (Hatóság, NBF, CERT) Oktatás-kutatásfejlesztés Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozási indokok Várható eredmények

Információvédelem és menedzsment Az információbiztonság menedzsmentje során a biztonsági csapat munkájának operatív és szakmai irányítása mellett szükséges a fejlesztési és implementációs projektekben is részt venni a biztonsági szint fenntartása és biztosítása érdekében Ezért folyamatosan tájékozódni szükséges az aktuális és feltörekvő veszélyforrásokról. Fontos kialakítani annak a módját, hogy a munkatársak hogyan jelentik a biztonsági eseményeket. A biztonságtudatosságot tanfolyami keretek között az egész szervezeten belül növelni lehet.

IBIR A Plan-Do-Check-Act modell

Az információbiztonság szervezete Belső szervezet Cél: Az információbiztonság irányítása a szervezeten belül. A vezetés elkötelezettsége az információbiztonság ügye iránt Intézkedés: A vezetésnek világos iránymutatással, elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül. Az információbiztonság koordinálása Intézkedés: Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.

Az információbiztonság szervezete Az információbiztonsági felelősségi körök kijelölése Intézkedés: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni. Jogosultsági engedélyezési folyamat az információfeldolgozó eszközökre vonatkozóan Intézkedés: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére. Titoktartási megállapodások Intézkedés: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.

Az információbiztonság szervezete Kapcsolattartás a felhatalmazott szervezetekkel Intézkedés: Megfelelő kapcsolatokat kell fenntartani az illetékes felhatalmazott szervezetekkel. Kapcsolattartás speciális érdekcsoportokkal Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal. Az információbiztonság független átvizsgálása Intézkedés: A szervezetnek az információbiztonság kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.

Szerepkörök Biztonsági irányító testület - IS security steering committee: az IT biztonság stratégiai irányításáért felelős, az érintett vezetők bevonásával. Felsővezetés - Executive management: kiadja és karban tartatja a szabályzati rendszert, általános felelősséget visel a szervezet információs vagyontárgyaiért. Biztonsági tanácsadó testület - Security advisory group: a biztonsági tervek szakmai véleményezésével foglalkozó belső szervezet. Adatvédelmi felelős - Chief privacy officer (CPO): a személyes adatok védelméért felelős 2014.05.30. Corvinno Technology Transfer Center 23

Szerepkörök Információbiztonsági biztonsági vezető - Chief information security officer (CISO): az információs vagyontárgyak védelméért felelős operatív vezető. Folyamatgazda - Process owners: ellenőrzi, hogy a folyamatban a biztonsági intézkedések megvalósulnak. A adatgazda (data owner) felelős az információk üzleti felhasználásáért, konkrétan: A jogosultságok jóváhagyásáért A jogosultságok megváltoztatásáért A jogosultságok nyilvántartásáért A felhasználó felelős a szabályok betartásáért munkája során. Az adatok megőrzője (custodian) felelős az adatok tárolásáért és védelméért (IT feladat) 2014.05.30. Corvinno Technology Transfer Center 24

Szerepkörök Külső felek - External parties: információbiztonsági szolgáltatást nyújtó, szervezeten kívüli szereplők. Biztonsági adminisztrátor - Security administrator: üzemelteti a védelmi rendszereket a belső utasítások szerint, valamint ellenőrzi a jogosultságok megfelelő felhasználását. Biztonsági tanácsadók - Security specialists/advisors: szabályozással, tervezéssel kapcsolatos részfeladatokat ellátó külső felek Fejlesztők - IT developers: biztonsági intézkedéseket implementálnak az alkalmazásokba. Auditorok - IS auditors: független garanciát adnak a biztonsági intézkedések megfelelőségéről. 2014.05.30. Corvinno Technology Transfer Center 25

Tudatosság és képzés Egy szervezet nem tud biztonságosan működni, ha azok az emberek, akik az IT rendszereket használják és működtetik, nem ismerik szerepüket és felelősségüket a rendszerben, nem értik meg a szervezet IT biztonsági szabályzatát, gyakorlatát és eljárásait, nincs legalább alapvető képük a különböző menedzsment, üzemeltetési és technikai eljárásokról. A szerepkörtől függően három szintet különböztetünk meg: Tudatosság az összes felhasználónak, Képzés az összes IT-vel kapcsolatba kerülő felhasználónak a biztonsági alapokról, Oktatás az IT rendszerben felelősséggel rendelkező embereknek a gyakorlatról, különböző szinteken. Fenyegetések a tudatossággal és képzéssel kapcsolatban: A felhasználók nincsenek tudatában a veszélyeknek Az üzemeltetők nem ismerik az üzemeltetési jógyakorlatokat A felelősök nem tudják számon kérni az üzemeltetőktől a biztonságos működést

Tudatosság és képzés A COBIT szerint a következőkkel kell foglalkozni. Az oktatási igények meghatározása: Az előzőek alapján valamennyi alkalmazotti csoportnak ki kell dolgozni egy képzési tematikát. A képzés megszervezése: Minden oktatás más igényt támaszt. A megrendelőnek el kell tudnia dönteni, hogy milyen oktatást akar. A biztonsági alapelvekre és a tudatosságra irányuló képzés: A biztonsági alapokkal minden dolgozónak tisztában kell lennie. Ezt a tudást rendszeresen frissíteni kell. A képzés minimálisan tartalmazza az etikai szabályokat, a CIA sérülések elleni védelmet és a biztonságos felhasználást.

Személyzet A személyzeti biztonság a következő dolgokat érinti a NIST SP 800-53 alapján. Személyzeti biztonsági szabályzat és eljárások: Legyen egy olyan szabályzat, ami tartalmazza a felelősségeket, szerepköröket, stb. Legyen leírva, hogy az alkalmazottakkal milyen módon kell foglalkozni. Pozíció kategorizálás: Minden betöltött szerepkörhöz tartozzon egy kockázatelemzés, és a szerepkört ennek megfelelően kezeljék. A személyzet ellenőrzése Mielőtt valakinek hozzáférést adnak a rendszerhez, le kell ellenőrizni a személyt.

Személyzet Elbocsátás: Legyenek kidolgozott eljárások arra az esetre, ha valakit el kell bocsátani a szervezettől. Személy áthelyezése: Legyenek kidolgozott eljárások arra az esetre, ha valakit a szervezeten belül áthelyeznek. Felhasználási nyilatkozat: Minden alkalmazott írjon alá egy nyilatkozatot a rendszer használatáról. Tipikusan ilyen a titoktartási nyilatkozat.

Személyzet Külső felhasználók kezelése Alvállalkozók, megbízottak rendszerhez való hozzáférést sokkal alaposabban kell megvizsgálni, mint egy saját alkalmazottat. Büntetések: Bizonyos esetekben, pl. az információbiztonsági szabályzat megsértésekor az alkalmazottal szemben valamilyen büntetést célszerű foganatosítani. Ilyen lehet pl. a fizetésmegvonás.

Eljárások az elbocsátásnál A kulcsok, belépőkártyák visszakérése, amivel a fizikai hozzáférést lehet megakadályozni. A felhasználónevek, jelszavak törlése/letiltása, amivel a rendszerhez való hozzáférést lehet megakadályozni. Itt egyéni megállapodás köthető arról, hogy az elbocsátott személy milyen adatot vagy azonosítót vihet magával. A biztonsági személyzet és az érintett munkatársak értesítése az elbocsátásról. Az elbocsátott alkalmazott lehúzása a fizetési listáról. A cég tulajdonában álló eszközök (különösen informatikai) eszközök visszaszerzése.

Mi a hozzáférés-ellenőrzés? A hozzáférés-ellenőrzés (access control) olyan biztonsági mechanizmusok gyűjteménye, mely meghatározza, hogy a felhasználók mit tehetnek a rendszerben, azaz milyen erőforrásokhoz férhetnek hozzá, és milyen műveleteket hajthatnak végre. Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó milyen felhatalmazással férhet a rendszerhez, milyen alkalmazásokat futtathat, mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból. Két lépésből áll: azonosítás (identification) és hitelesítés (authentication). A hozzáférés-ellenőrzés része az elszámoltathatóság. Alapja a kockázatelemzés során elvégzett adatvagyon felmérés, és az ebből következő adatklasszifikáció.

Hozzáférés-védelem típusai A hozzáférés-védelem célja a szubjektumok objektumokhoz való hozzáférésének szabályozása, azaz a biztonsági szabályzatok érvényre juttatása. Alapvetően két típusa ismert: Kötelező hozzáférés-védelem (Mandatory Access Control) Tetszőleges hozzáférés-védelem (Discretionary Access Control) Tipikusan operációs rendszerekben találkozunk velük.

Kötelező hozzáférés-védelem Mandatory Access Control (Kötelező hozzáférés-védelem, előre meghatározott hozzáférés-ellenőrzés) Amikor egy rendszer mechanizmusa határozza meg az objektum hozzáférés szabályait, és egy egyedi felhasználó nem módosíthat ezen, a szabályozást mandatory access controlnak (MAC) nevezzük. Az operációs rendszer MAC-ot kényszerít ki. Sem a szubjektum, sem az objektum tulajdonosa nem határozhatja meg, hogy a hozzáférés engedélyezett legyen. Tipikusan egy rendszereljárás ellenőrzi a szubjektumhoz és az objektumhoz tartozó információkat, és ez alapján dől el, hogy a szubjektum hozzáférhet-e az objektumhoz. Szabályok írják le, hogy milyen feltételek mellett engedélyezett a hozzáférés.

Tetszőleges hozzáférés-védelem Discretionary Access Control (Belátáson alapuló hozzáférés-ellenőrzés, diszkrecionális védelmi stratégia, Tetszőleges hozzáférés-védelem, önkényes hozzáférés kontroll) Ha egy egyéni felhasználó beállíthatja a hozzáférési szabályokat egy objektumhoz való hozzáférés engedélyezésére vagy tiltására, akkor ezt az eljárást discretionary access controlnak (DAC) nevezzük. A DAC hozzáférési jogosultsága a szubjektum identitásán alapszik, és az objektum identitása is bele van számítva.

Honnan származnak a fenyegetések? Belső támadók Hitelesített felhasználók, akik olyan adatokhoz vagy erőforrásokhoz akarnak hozzáférni, ami sérti a legkevesebb jogosultság elvet. Lehet szándékos vagy vétlen támadás. Külső támadók: Nem hitelesített felhasználók, akik a hitelesítési eljárások megkerülésével férnek hozzá az adatokhoz. Hackerek, crackerek A legveszélyesebbek a belső támadók.

Védelmi intézkedések Fizikai: Belépőkártyák, Forgóvillák, Biztonsági őrök, stb. Logikai Jelszavak, Tűzfalak, Vírusirtók, stb. Adminisztratív Szabályok és eljárások, Biztonsági tudatosság-oktatás, Feladatok rotálása, stb.

Azonosítás Röviden: a szubjektum megnevezése. Kicsit bővebben: a rendszer entitásainak egyedi azonosítóval való ellátásának folyamata. Az elszámoltathatóság alapfeltétele az, hogy minden eseményt egy egyedi entitáshoz tudjunk kötni. Követelmények: Az azonosítás biztonságos és dokumentált folyamat. Az azonosítók formátuma belső szabványban van leírva. Az azonosító nem utalhat az entitás funkciójára (pl. beosztás). Egy azonosító nem osztható meg több entitás között. Az azonosító ellenőrzése egyszerű folyamat kell, hogy legyen. Az azonosító egyedi kell, hogy legyen.

Hitelesítés A hitelesítés az a folyamat, mely arra szolgál, hogy az entitás bizonyítsa az önmagáról állítottak valódiságát. A felhasználó bemutatja a rendszernek az azonosítóját, amit a rendszer hitelesít, mielőtt engedné hozzáférni a rendszerhez. Három típusa ismert: Tudás alapú, Tulajdon alapú, Tulajdonság alapú. A jó hitelesítés során a háromból legalább kettőt, egymástól függetlenül kell használni! Ez az erős autentikáció vagy többlépcsős hitelesítés. Ezek a leggyakoribb hozzáférés-ellenőrzési megelőző védelmi intézkedések.

Tudás alapú hitelesítés Minden olyan hitelesítés eljárás ide tartozik, amit a felhasználó tud. Tipikusan a jelszavak tartoznak ebbe a körbe. Néhány tanács a jelszóhasználathoz: A jelszavak élettartamát korlátozzuk! A jelszó ne legyen szótári alakú szó! A jelszó tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket! Minél hosszabb egy jelszó, annál jobb. Legyen legalább 8 karakter! Értékeljük a rendszer kritikusságát, és annak megfelelően más-más jelszavakat használjunk! Bizonyos számú hibás próbálkozás után a rendszer zárja ki a felhasználót!

Tudás alapú hitelesítés A jelszavak ellen háromféle tipikus támadást szoktak indítani. A jelszavak tárolási gyengeségét kihasználó támadások: A jelszavaknak jó esetben a lenyomatát tárolják A lenyomatképző függvények gyengeségei segítségével vissza lehet állítani az eredeti jelszót A jelszavak gyengeségeit kihasználó támadások Brute-force támadás Minden karakter végigpróbálását jelenti Social engineering Kérdezzük meg, hátha elmondják Az emberek hihetetlenül naivak és segítőkészek

Tulajdon alapú hitelesítés Azok a hitelesítési eljárások tartoznak ebbe a körbe, amelyek egy felhasználó birtokában levő eszközt vonnak be az autentikációba. Pl. egyszer használatos jelszavak out-ofband csatornákon: O(ne)T(ime)P(assword) jelszólista Mobiltelefonon érkező kód Tokenek Intelligens kártyák

Tokenek Két típusa használatos: szinkron, aszinkron. A szinkron tokeneken belül megkülönböztetünk: Számlálón alapuló tokent: a token és a szerver között van egy szinkronizált közös titkos kulcs, és egy belső számlálóval, ezek lenyomatából jön ki az OTP. Időn alapuló token: belső számláló helyett a szinkronizált időt használják fel. Az aszinkron tokenek kihívás-válasz (challengeresponse) alapon működnek. A szerver és a token közös kulcsot használ. A szerveren megjelenő kihívást beírva a tokenbe, megjelenik a válasz.

Intelligens kártyák Ebben a témakörben nem foglalkozunk a mágnescsíkos, a memóriachipes és közelítőkártyákkal. A legbiztonságosabbak a mikroprocesszorral ellátott kártyák. Ez az adattárolás mellett az adatok feldolgozására is képes. Kitűnően használható kriptográfiai műveletek támogatására. Gyakorlatilag nem nyerhető ki a rajta tárolt titkos információ.

Tulajdon alapú hitelesítés Legegyszerűbb támadás a lopás Az intelligens kártyák ellen több támadás ismert, azonban ezek költséghatékonysága megkérdőjelezhető Következtetések a kártya fogyasztásából A chip módosítása Optikai támadás a kártyák ellen Egyszerűbb a tulajdon és az azt feldolgozó eszköz közötti adatutat támadni.

Tulajdonság alapú hitelesítés A személyre jellemző biometrius tulajdonságok alapján történő hitelesítés. Ide tartozik többek között: Ujjlenyomat Retina Írisz Hang Tenyér Aláírás Arc Egyre több helyen használják ezt a technológiát.

Tulajdonság alapú hitelesítés Támadások a tulajdonság alapú hitelesítés ellen: Gumiujj Szkennelt ujjlenyomat Felvett hangminta

Biometrikus eljárások tulajdonságai Megfelelőség: Hibás visszautasítási ráta (False Reject Rate FRR): A rendszer hányszor utasít vissza jogosult felhasználót. Hibás elfogadási ráta (False Accept Rate FAR): A rendszer hányszor enged be nem jogosult felhasználót. Metszésponti hibaarány (Crossover Error Rate CER): A valódi hibaarány, amikor az FRR és a FAR megegyezik. Feldolgozási sebesség: Mennyi idő alatt képes a rendszer a beolvasott jellemzőt feldolgozni. Felhasználói elfogadás: Az adott technológiát mennyire fogadják el azok, akiknek alá kell vetniük magukat. Pl. mit szólnának egy DNS elemzésre vérvétellel?

Biometrikus eljárások tulajdonságai FAR FRR Hibák CER Érzékenység

Decentralizált modellek Sok felhasználó hozzáférését elvileg megoldottuk. De mi van akkor, ha egy felhasználó több rendszerhez szeretne hozzáférni ugyanazzal a hitelesítéssel? Ekkor használjuk az egyszeri belépés (single sign-on SSO) technológiát. Példa lehet erre az Ügyfélkapu, ahol egyszeri belépés után tudunk (elvileg) elérni további e-közigazgatási szolgáltatásokat további hitelesítés nélkül. SSO-t akkor éri meg használni, ha Sok belépési pont van, Nagyszámú munkaállomást kell kezelni, Sok alkalmazást használnak a szervezetben, A hozzáférés-ellenőrzés adminisztrációját egyszerűsíteni kell a hatékonyság érdekében.

Decentralizált modellek Az SSO előnyei: A felhasználóknak csak egyszer kell hitelesítenie magát. Nem kell több jelszót megjegyezni, így egyszerűbb erős jelszót kikényszeríteni. A jelszómenedzsment és a változáskezelés leegyszerűsödik. Könnyebb a felhasználói fiókok felfüggesztése. Az SSO hátrányai: Ha egyszer egy jelszó kitudódik, a támadó mindenhez hozzáfér. A heterogén környezetben nehéz a megvalósítása.

Tűzfalak Olyan eszközök, amelyek a hálózati forgalom szűrésére szolgálnak Egy ponton kontrolláljuk a forgalmat, szabályok alapján Több tűzfal típus, manapság kombinált megoldások

Tűzfal topológiák Két lábú tűzfal: külső és védett hálózat között Három lábú tűzfal: külső, DMZ és védett hálózat. (Fizikailag lehet több tűzfalból is!) Personal firewall: egy gépet védő tűzfal, magán a védendő gépen telepítve (tudja figyelni az egyes alkalmazásokat is!) Egyéb tűzfalak által megvalósított, nem forgalomszűrési funkciók: terheléselosztás, nagy rendelkezésre állás, NAT

DMZ DMZ: demilitarizált zóna A külső hálózat és a védett hálózat védelmi szintje között elhelyezkedő szegmens Ide helyezzük a külső szolgáltatásokat nyújtó gépeket Kompromittálódása esetén még mindig van egy védelmi vonal a belső hálózat felé DMZ és belső háló közötti forgalom erősen korlátozott Megvalósítás: 3 lábú tűzfallal, több tűzfallal

Távoli hozzáférés A távoli hozzáféréssel kapcsolatban az alábbi követelményeket kell figyelembe venni: Legyen megfelelő felhasználó és rendszerhitelesítés, Megfelelő hozzáférési jogosultságokat kell biztosítani az entitásoknak, Gondoskodni kell a bizalmas adatok védelméről, Legyen naplózva és auditálva a távoli hozzáférési tevékenység, Transzparens hozzáférés kell az erőforrásokhoz, Földrajzi helytől függetlenül meg kell oldani a hozzáférést, Az összes távoli felhasználó hozzáférését biztosítani kell, ha szükséges, Mindezt minimális költséggel kell megoldani. A távoli hozzáférés módjai: Telefonhálózaton keresztül, Dedikált (bérelt) vonalakon, Interneten keresztül.

Virtuális magánhálózatok (VPN) Olyan megoldások halmaza, melyek a szélessávú internetkapcsolatot felhasználva, a nyílt interneten keresztül kapcsolják össze a felhasználót és a vállalati hálózatot. A VPN biztosítja a bizalmasságot, az adat sértetlenségét és a hitelesítést. A szabvány támogatja gyakorlatilag minden protokoll összefogását és becsomagolását a forrásnál, továbbítását a 2. vagy 3. rétegen, és kicsomagolását a címzettnél. Három elterjedt formája van: Point-to-Point Tunneling Protocol (PPTP), IPSec, Layer 2 Tunneling Protocol (L2TP) over IPSec.

Internetes fenyegetések Passzív támadások Network analysis Eavesdropping Traffic analysis 2014.05.30. Corvinno Technology Transfer Center 57

Internetes fenyegetések 2014.05.30. Corvinno Technology Transfer Center 58

Rosszindulatú kódok Olyan szoftverek, melyek szándékosan úgy lettek megírva, hogy működésük közben betörjenek egy rendszerbe, áthágják a biztonsági szabályzatokat vagy kárt okozzanak. Rengeteg csoportosításuk van, talán a legegyszerűbb három alapvető csoportba osztani őket: Vírusok (virus): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozik. Önmagát sokszorosítja, de terjedni csak emberi segítséggel tud. Férgek (worm): Olyan kód, mely önmagában hordozza a károkozó tartalmat. Önmagát sokszorosítja, emberi beavatkozás nélkül tud terjedni (hálózaton). Trójaiak (trojan): Olyan kód, mely egy másik végrehajtható kódhoz csatlakozva hasznos funkcionalitást hitet el magáról. Önmagát nem sokszorosítja, terjedni általában más rosszindulatú kóddal szokott. 2014.05.30. Corvinno Technology Transfer Center 59

Behatolás-detektálás A leggyakoribb hozzáférés-ellenőrzési felderítő védelmi intézkedés a behatolásdetektáló rendszerek (IDS) használata. Ezek elve azon alapul, hogy a támadásokat különböző hálózati vagy erőforrásbeli jellemzők alapján észre lehet venni. Ezek a jellemzők a rendszer naplóállományaiból derülnek ki. Az IDS rendszerek tehát a rendszer naplóállományainak elemzéséből próbálnak támadásokat felismerni. Egy tipikus IDS három elemből áll: Szenzor Elemző Felhasználói felület

Behatolás-detektálás A hálózati IDS-ek (NIDS) az átviteli csatorna forgalmát monitorozzák valós időben. Passzív eszközök, így nem használják a csatorna erőforrásait. A rendszer a hálózati csomagok felépítését, tulajdonságait vizsgálja. Ha gyanús dolgot észlel, figyelmezteti az operátort. Általában önálló kliensen fut, így nem kell az éles környezetbe beavatkozni, viszont nehezen skálázható. A titkosított csomagokkal nem tud mit kezdeni, itt különböző trükkökre van szükség.

Behatolás-detektálás A kiszolgáló alapú IDS-ek (HIDS) egy kiszolgálóra telepített szenzortól gyűjtenek információkat. A szenzor ennek a kiszolgálónak a naplóállományait elemzi, és ebből próbál információkat szerezni. Ha több hoston van telepítve szenzor, akkor ezek adatait egy központi gépen lehet elemezni. Az IDS-ek három elv szerint képesek a támadásokat azonosítani: Szabályok alapján Statisztikai alapon Szignatúra alapon

Behatolás-detektálás A szabályalapú IDS-ek abból indulnak ki, hogy a támadások leírhatók egy szekvenciában, amik kompromittált állapotba vezetnek. Ilyen pl. a Snort, ami tipikus támadási formákat ismer fel. Ezek nem elég rugalmasak, de tipikus támadások kiszűrésére kiválóak. A statisztikai alapú IDS-ek a szabályalapú IDS-ek gyengeségét hivatottak kiküszöbölni. A naplóállományokat vizsgálják, és a normális menettől való eltéréseket próbálják megtalálni. Hátránya, hogy rengeteg, sokszor irreleváns adatot generál.

Behatolás-detektálás A szignatúra alapú IDS-ek a hálózati csomagokban található információkat vizsgálják. Hasonlóan a vírusirtókhoz, az ismert támadásokat próbálják azonosítani. Hátránya szintén az, hogy nem elég rugalmas. Az IDS-ek jelzéseire lehet manuálisan (adminisztrátori beavatkozás) és automatikusan (IPS-ek, tűzfalak) is reagálni. A technológia nagy hátránya, hogy rengeteg fals pozitív jelzés érkezik. De kiválóan alkalmasak ellenőrzési nyomok (audit trail) rögzítésére.

A kriptográfia célja Olyan matematikai algoritmusok, amelyek a CIA hármasból elsősorban a C bizalmasság és a I integritás megvalósítására szolgál A titkosítás hagyományosan (ahogy neve is mutatja) az illetéktelen hozzáférés ellen szolgált

Alapfogalmak Nyílt szöveg (cleartext) a titkosítatlan információ, nem csak az arra feljogosított számára értelmezhető Titkos szöveg (ciphertext) a titkosított információ, ebben a formájában értelmezhetetlen Kulcs olyan információ, amely segítségével a titkosítási műveletek elvégezhetők Algoritmus (módszer) - olyan eljárás, amely a nyílt és a titkos szöveg közötti konverziót (betitkosítás encryption; kititkosítás, megfejtés - decryption) végzi a kulcs segítségével

Titkosítás általában

Szimmetrikus és aszimmetrikus Ha a két kulcs ugyanaz szimmetrikus titkosítás titkos kulcsú titkosítás a kulcsnak titokban kell maradnia általában egyszerű, gyors algoritmusok Ha a két kulcs nem ugyanaz aszimmetrikus titkosítás nyílt kulcsú titkosítás az egyik kulcsnak nem kell titokban maradnia (lásd később) lassabb, bonyolultabb algoritmusok

Titkosítás Cél: a tárolt vagy átvitt információt elrejteni az illetéktelenek elől Két alapvető eljárás: blokkos a nyílt szöveget blokkonként (pl. 64 bit) titkosítjuk folyam (stream) a nyílt szöveget bitenként (pl. XOR) titkosítjuk. Visszacsatolt shiftregiszterrel blokkosból is lehet speciális eset: a kulcs mérete megegyezik a nyílt szövegével, bitenként XOR one time pad elvileg sem törhető

Titkosítás Blokktitkosító Folyamtitkosító

Alaptípusok Helyettesítéses titkosítás pl. Caesar: TITKOS -> ZOZLPD Keveréses TITKOS > OTSKIT Illetve ennek kombinációi, karakter, blokk vagy bit szinten

Kulcsszétosztás problémája Szimmetrikus titkosítás: gyors, egyszerű, de hogyan cserélünk kulcsokat? A küldőnek és a fogadónak (és csak nekik!) is birtokában kell lennie a kulcsnak Megbízható csatorna kell a kulcs átvitelére: személyesen, futár, stb. Nehezen működik tetszőleges felek között Nem skálázható

A megoldás: nyíltkulcsú titkosítás Kulcspár: titkos (privát) és nyilvános (publikus) Speciális algoritmus: amit a titkos kulccsal titkosítunk, csak a nyilvánossal fejthetjük meg amit a nyilvános kulccsal titkosítunk, csak a titkossal fejthetjük meg a nyilvános kulcsból nem következtethető ki a titkos A nyilvános kulcs nyilvánosságra hozható

Titkos átvitel A küld B-nek: B nyilvánosságra hozza nyilvános kulcsát A ezzel a kulccsal titkosítja az üzenetet és elküldi B-nek B a saját titkos kulcsával megfejti E lehallgatja az üzenetet, de neki nincs meg a titkos kulcs, nem tudja megfejteni! Kulcsszétosztás problémája megoldva: a nyilvános kulcs kiadható, a titkosra pedig csak a fogadónak van szüksége Másik irányú átvitelhez A kulcsára van szükség

Nyilvános kulcsú titkosítás

Gyakorlati megvalósítások A teljes üzenet titkosítása nem praktikus nyilvános aszimmetrikus módszerrel Generálunk egy véletlen kulcsot szimmetrikus eljáráshoz (session key) A két kommunikáló fél nyílt kulcsú eljárást használva megosztja a véletlen kulcsot A további kommunikáció szimmetrikus módszerrel történik Ilyen módszert használ pl. az SSL algoritmus is.

Forrás hitelesítése B üzenetet küld A-nak, és A szeretne meggyőződni, hogy tényleg B-től jött B titkosít saját titkos kulcsával A (és bárki más) az üzenetet megfejti B nyilvános kulcsával Az üzenet biztosan B-től származik, csak a titkos kulccsal lehet olyan üzenetet készíteni, amit a nyilvánossal lehet megfejteni F-nek nincs birtokában B titkos kulcsa, nem tud B nyilvános kulcsával megfejthető üzenetet generálni

Forrás hitelesítése

Példák Szimmetrikus DES double, triple-des IDEA RC5 AES (Rinjdael) Nyílt kulcsú RSA ElGamal Diffie-Hellman Elliptikus Görbék Hash SHA-1 MD5

Alkalmazások Tárolt adatok titkosítása, Azonosítás és hitelesítés (pl. TLS, Kerberos), Hálózati kommunikáció titkosítása (pl. SSL, VPN), Dokumentumok sértetlenségének biztosítása, Operációs rendszer sértetlenségének biztosítása, stb.

Mi is az elektronikus aláírás? Olyan elektronikus formában rendelkezésre álló adatot jelent, mely hozzá van csatolva vagy logikailag társítva van egy másik elektronikus adathoz és a hitelesítés funkcióját látja el. Ez jelentheti akár a digitalizált hagyományos aláírást is, de NEM ezt értjük alatta a gyakorlatban!!!

Mi is az elektronikus aláírás? Az elektronikus aláírás a gyakorlatban egy olyan digitális adat, mely: az aláírt dokumentum lenyomatát felhasználva, az aláíró titkos kulcsával kódolva jön létre, mely egy aláírás-létrehozó eszközön található, felhasználva az aláíró tanúsítványát, amiben a dekódoló nyilvános kulcs is megtalálható, melynek érvényessége a visszavonási listán található, valamint tartalmazhat egy időbélyegzőt, melyek a hitelesítés-szolgáltatótól szerezhetők be.

0011 0101 0010 0011 1010 0011 1110 1101 1011 1100 0011 0101 1101 1101 0011 0101 0010 0011 1010 0011 1110 0011 0101 0010 0011 1010 0011 1110 1101 1011 1100 0011 0101 1101 1101

A fizikai biztonság célja A fizikai biztonság célja létrehozni a a munkatársak a folyamatok és a vagyontárgyak egy olyan biztonságos környezetét amelyben a biztonsági kritériumok kockázat és értékarányosan fenntarthatók.

Osztályozás A fizikai biztonság hatáskörében kezelt rendszereket Statikus rendszerek fixen telepített objektumok, mint pl. épületek Mobil rendszerek helyváltoztatásra képes objektumok, mint pl. műszerkocsik (geofizika, média) Hordozható rendszerek amelyek üzemelhetnek statikus és mobil rendszeren belül, vagy a szabad ég alatt is. csoportokba osztjuk

Kihívások A fizikai biztonság kérdése azért is komplex, mivel az emberek (munkatárs is, támadó is) Látják a telepített kontrollokat Felmérhetik a lehetséges gyenge pontokat Bonyolult támadási stratégiákat dolgozhatnak ki Az információs rendszerek védelmi mechanizmusai alapvetően logikai védelmet biztosítanak így minden ellen védhetnek, csak a fizikai közelségben lévő támadó ellen nem.

Veszélyforrások csoportosítása Környezeti Földrengés, vihar, árvíz, földcsuszamlás, vulkánkitörés, tűzvész, extrém magas/alacsony hőmérséklet Szolgáltatás Kommunikációs csatornák sérülése, áramkimaradás, csőtörés (víz, gáz) Politikai események Sztrájkok, zavargások, kémkedés, terrorcselekmények Humán Robbantás, illetéktelen hozzáférés, felhasználói hiba, üzemeltetői hiba, szándékos károkozás, kártékony kód, környezetszennyezés (mérgezés)

Kockázatelemzés A létező veszélyforrásokat mind figyelembe venni, a kevésbé valószínűeket is. Olyan védelmi intézkedéseket kidolgozni, amelyek Hatékonyak Kockázat és kárérték arányosak A védelmi intézkedések kidolgozásakor az életvédelmi szempontnak elsődlegesnek kell lennie! (ld. üzletben bennégett vásárlók a lezárt vészkijáratok miatt)

Információvédelmi környezet Utak, járdák, parkok Kert, parkoló, járda Kapuk, ajtók, ablakok, tetőablakok, kiszolgáló nyílások Ügyféltér, privát, titokszoba

Kiszolgáló rendszerek Energiaellátás Vízellátás Szennyvíz és esővíz elvezetés Fűtés, hűtés és szellőztetés Milyen korlátokkal bír a rendszer/szolgáltató Erősáramú kábelezés, gyengeáramú kábelezés Mennyire hozzáférhetők a kábelek?

Elektromos ellátás zavarai Teljes áramkimaradás Pillanatnyi áramszünet Feszültségcsökkenés általában hálózati túlterhelés miatt Egy-két ciklusnyi vagy 1-2 mp-es feszültségcsökkenés (sag/dip) nagyobb fogyasztó elindulásakor, vagy szolgáltató oldali hibák miatt Feszültségtüske pillanatnyi feszültségnövekedés villámlás, erőmű vagy generátor elindul/leáll, oszlopdöntés, egyéb elektromos eszköz Bekapcsolási túláram pl. hűtő Elektrosztatikus kisülések

Interferencia Elektromágneses interferencia (EMI) Látható: pl. hullámzó képernyőjű monitorton Tapasztalható: pl. hibás programfutás, összeomlás, adatvesztés mégneses adathordozó esetén Rádiófrekvenciás interferencia (RFI) Olyan mint az EMI, de magasabb frekvencián Hallható: közép és hosszúhullámú rádióadók nyávogásaként, hangkártyákon alaplapzajként Tapasztalható: UTP kábelezés túl közel pl. fénycsőhöz

Biztonsági technológia és eszközök Eszközök (pl.) Rácsok, kapuk, zárak, megfigyelő eszközök, behatolás érzékelő eszközök, riasztók, generátorok, tűzoltó berendezések, zárható szekrények és széfek Folyamatok (pl.) Megelőző (beléptetés, azonosítás, karbantartás, fejlesztés) Beavatkozó (tettenérés, tűzoltás, igazoltatás) Követő (megfigyelés, bizonyítás, fejlesztés) Mindezek együtt biztosítják a folyamatos ügyvitelt, és az illegális tevékenység felfedését és kezelését.

Tűzvédelem Megelőző, észlelő és oltó kontrollokat különböztetünk meg Megelőzés Az épület helyiséget tűzvédelmi osztályokba besorolni A kockázatkezelés során besorolt kiemelt biztonsági szintű illetve nagy zónákat védeni Ilyen helyeken tűzálló falakat, ajtókat, burkolást alkalmazni Gyúlékony anyagokat (pl. csomagolóanyag) ne tároljunk a szerverszobában Rendszeres karbantartásokat elvégezni Mérgező gázokkal égő anyagokat (pl. mágnesszalag) tűzálló páncélszekrényben tárolni, lehetőleg off-site.

Tűzvédelem Észlelés Optikai füstérzékelők Kémiai füstérzékelők Hőérzékelők és ezek kombinációi Oltás Hordozható oltóberendezések A típus éghető szilárd anyagra B típus éghető folyadékra C típus elektromos környezetre

Tűzvédelem Automatikus oltás CO2 főleg automata környezetben jó Desztillált víz szerverszobában is jó Késleltetett indítást kell alkalmazni, hogy az emberek elhagyhassák a területet Vészleállító mechanizmust is be kell iktatni Karbantartás Tesztelés

Célok A fizikai kontrollok alkalmazásának célja, hogy Megakadályozza, vagy késleltesse az illegális tevékenységet Ha megtörténik a mielőbbi felfedését segítse, hogy a beavatkozás a legrövidebb idő alatt megtörténhessen. Ha a támadónak végetlen pénze és ideje van, bármin át tud hatolni nincs 100% biztonság, tudatosan vállalt kockázatok vannak. Az egyik leghatékonyabb módszer a behatolók életének megkeserítésére a héjszerkezetes védelmi modell alkalmazása.

A bizonyosság megszerzése Tesztek, gyakorlatok, szimulációk Sebezhetőségvizsgálat, penetrációs tesztek Ellenőrzőlisták Tervezett karbantartások

KÖSZÖNÖM A FIGYELMET!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés