Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Hasonló dokumentumok
30 MB ÉLETCIKLUSHOZ ÉS IT RENDSZERELEMEKHEZ KAPCSOLÓDÓ VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Informatikai Biztonsági szabályzata

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

30 MB INFORMATIKAI PROJEKTELLENŐR

Adatbiztonság és adatvédelem

30 MB SZERVEZETI-SZERVEZÉSI VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK. Adat és Információvédelmi Mesteriskola.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Tudjuk-e védeni dokumentumainkat az e-irodában?

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonság fejlesztése önértékeléssel

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

INFORMATIKAI SZABÁLYZAT

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

ELEKTRONIKUS DOKUMENTUMTÁROLÁSI SZOLGÁLTATÁS (EDT)

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

ISO 9001 revízió Dokumentált információ

Információbiztonság irányítása

Bevezetés. Adatvédelmi célok

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

HITELES MÁSOLATKÉSZÍTÉSI REND

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

Az információbiztonság egy lehetséges taxonómiája

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

A MŰKÖDÉSFOLYTONOSSÁGOT FENYEGETŐ VESZÉLYFORRÁSOK (Informatikai rendszerekkel támogatott folyamatok veszélyeztetettsége)

Közigazgatási informatika tantárgyból

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Az Adatkezelő és milyen célból, hogyan, mennyi ideig kezeli az adataimat?

Hatósági ellenőrzés. Tűzvédelmi szabálytalanság

Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Verziószám: 2.0. Kiadás időpontja: Érvényes alkalmazás: MÁSOLATKÉSZÍTÉSI REND

Heizsitzauflage Classic

BALATONI REGIONÁLIS TÖRTÉNETI KUTATÓINTÉZET, KÖNYVTÁR és KÁLMÁN IMRE EMLÉKHÁZ. Mobil és hordozható eszközök használatára vonatkozó szabályzat

A GDPR számítástechnikai oldala a védőnői gyakorlatban

Rendkívüli felülvizsgálat és karbantartás

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Az informatikai katasztrófa elhárítás menete

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Magyar Tudományos Akadémia Agrártudományi Kutatóközpont

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

DW 9. előadás DW tervezése, DW-projekt

Megbízhatóság az informatikai rendszerekben

Adatvédelmi Szabályzat

30 MB INFORMATIKAI PROJEKTELLENŐR IT RENDSZEREK ÜZEMELTETÉSE ÉS BIZTONSÁGA DR. BEINSCHRÓTH JÓZSEF

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

TŰZVÉDELMI JEGYZŐKÖNYV

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Építési napló. e-napló)

Pécs Városi Költségvetési Központi Elszámoló Szervezet 7621 Pécs, Bercsényi u. 3. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT. Hatályos: április 1.

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

HITELINTÉZETEK SZÁMVITELI RENDSZEREINEK VIZSGÁLATI TAPASZTALATAI

Csetényi Közös Önkormányzati Hivatal INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A tűzvédelmi bírságok rendszere A kötelezően bírságolandó tételek sorszámát színes háttérrel emeltük ki! között

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

ADATKEZELÉSI TÁJÉKOZTATÓ

Írta: MTbiztonsag szeptember 28. szombat, 18:45 - Módosítás: április 05. szombat, 21:24

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

Személyes adatok védelmi alapelvei

Információ és kommunikáció

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Általános szerződési feltételek

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

A GDPR elmúlt egy éve

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Költséghatékony, papírmentes adminisztráció, E-ügyintézés NETWORKSHOP 2010 Konferencia

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

2012. ÉVI ELLENŐRZÉSI TERV

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

1. GYIK (Gyakran Ismételt Kérdések) ÉV rajzok ellenőrzésének lépései Jelszó problémák Kapcsolattartók fájlfeltöltése...

Nagykanizsai Szakképzési Centrum Cserháti Sándor Szakképző Iskolája és Kollégiuma

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Felhasználói Kézikönyv

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

INFORMATIKAI SZABÁLYZAT

A cloud szolgáltatási modell a közigazgatásban

Informatikai és Biztonsági Szabályzat. I. Bevezető rendelkezések

Tűzjelzés, Tűzriadó Terv, Biztonsági felülvizsgálatok

A Diamond Property Care Kft. iratkezelési szabályzata

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Az Informatikai Főosztály feladatai

A Számlaközpont Zrt. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Adatkezelési tájékoztató

Átírás:

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József CISA

Szervezeti és működési kérdésekhez kapcsolódó - A biztonsági szervezet hiánya, gyengeségei Általánosan jellemző Nincs integrált biztonsági szervezet A vagyon és adatbiztonság egymástól függetlenül működik ill. a funkciók összekeverednek Az adatvédelem és adatbiztonság szétválasztásának hiánya Biztonsági ellenőrzések hiánya Biztonsági szervezetek (tűzvédelmi, polgári védelmi hiánya, gyengesége Biztonsággal kapcsolatos dokumentumok hiánya: Biztonsági Stratégia, Biztonsági Politika, Biztonsági átvilágítás, Katasztrófaterv, IBSZ

Szervezeti és működési kérdésekhez kapcsolódó Szabályozások hiányosságai Szabályok be nem tartása A munkakörök és szakmai kompetencia nem teljesen függ össze A munkaköri leírás és a tényleges tevékenység nem egyezik meg Seggregation of duties Nem megfelelő oktatás

Szervezeti és működési kérdésekhez kapcsolódó Titokvédelmi hiányosságok, gyengeségek Nincsenek osztályozva titokvédelmi szempontból az adatok, alkalmazások, eszközök, helyiségek (Ha nincs meghatározva, hogy MIT kell védeni, nem lehet megmondani, hogy HOGYAN) A titokvédelmi munkatárs elhelyezkedése a szervezeti hierarchiában nem megfelelő (nem az elsőszámú vezető közvetlen alárendeltje) Iratkezelési hiányosságok Nincs szabályozva az elektronikus íratok kezelése, előállítása, megsemmisítése, archiválása (szemben a hagyományos papír alapú íratok kezelésével) Nincs megfelelő jogi szabályozás jelenleg

Szervezeti és működési kérdésekhez kapcsolódó Harmadik féllel kötött szerződések gyengeségei A szerződések nem tartalmaznak biztonsági garanciákat (fejlesztők, szállítók, karbantartók, üzemeltetők ) Outsourcing, SLA kockázatok A megbízó hatáskörén kívül eső biztonsági környezet A biztonsági követelmények érvényesítése, a számon kérhetőség biztosíthatósága A cég területén idegen szakemberek, hozzáférnek a rendszerhez. A biztonsági szabályzatok betartatása problematikus. Korlátozott felelősségvállalás az üzleti tevékenység megszakadására vonatkozóan a harmadik fél nem vállal garanciát -- vis maior

Szervezeti és működési kérdésekhez kapcsolódó A humán erőforrásokat fenyegető A humán erőforrások bizalmassága (személyes adatok, feladatkörök stb.), sértetlensége (sérülés), rendelkezésre állása (sérülés, betegség, haláleset, túszejtés, sztrájk stb.) sérülhet

Szervezeti és működési kérdésekhez kapcsolódó IDG felmérés 2004: Követhetetlen felhasználók - A dolgozók csaknem fele (46 százalék) ismeri el, hogy mások is hozzáférnek a laptopjukhoz mikor a munkahelyen kívül tartózkodnak, minden ötödiknek (22 százalék) pedig fogalma sincs arról, hogy tulajdonképpen ki és mire használja noteszgépét. Veszélyes letöltések - Az alkalmazottak 86 százaléka ismerte el, hogy a munkahelyen kívül a munkához nem kapcsolódó szoftvereket is le szokott tölteni a céges laptopra. Törvénysértés - Csupán tízből egy alkalmazott törődik azzal, hogy cégét megbüntethetik a szerzői jogok megsértéséért az illegális zene- vagy filmletöltések miatt - míg 15 százalék tart attól, hogy őt magát vonják felelősségre. Kapcsolt letöltések - 74 százalék ismeri el, hogy nem mindig olvassa el a letöltésre vonatkozó feltételeket és szabályokat, nem csoda hát, hogy a felhasználók 15 százaléka fedezett fel PC-jén olyan szoftvereket, amelyeket nem is akart letölteni. A felelősség terhe? - Meglepő módon, annak ellenére, hogy a felhasználók 42 százaléka elismeri a fájlcserélő hálózatok használatát, a felnőtteknek szóló illetve a hacker oldalak látogatását, 35 százalékuk úgy érzi, hogy a vállalat számítástechnikai osztálya felelős a laptop állapotáért, noha azt a dolgozó otthon is használja.

Szervezeti és működési kérdésekhez kapcsolódó A humán erőforrások képezte Nem megbízható, nem lojális munkaerő alkalmazása (erkölcsi bizonyítvány?, előző munkahely?, életvitel, pénzügyi zavar stb.) Nem megfelelően képzett, nem elegendő gyakorlattal rendelkező munkatárs alkalmazása Távozó dolgozók hozzáférései megmaradnak (belépő kártya, account, kulcs), a munkatársak nem kapnak értesítést a távozás tényéről. A biztonsági tudatosság hiánya

Veszélyforrások az IT rendszer életciklusában Fejlesztés/beszerzés A fejlesztési cél nem tartalmaz biztonsági követelményeket Nincs elkülönült fejlesztő rendszer (személyzet is!) A szállító nem ad megfelelő biztonsági garanciákat Elterjedt, szabványos szoftverek beszerzése Átadás/átvétel A biztonsági követelményrendszer ellenőrzése hiányzik Speciális hozzáférések (programozók spec. jogosultságai), hátsó ajtók megmaradnak

Veszélyforrások az IT rendszer életciklusában Üzemeltetés A biztonságkritikus munkakörök nincsenek szétválasztva Fejlesztések folynak az éles rendszeren A biztonsági események feltárása, értékelése nem történik meg Outsourcing igénybevétele Szabályozások hiányoznak Selejtezés Nincs jól szabályozott selejtezési rend (hardver szoftver - dokumentáció)

Az informatikai rendszer főbb elemei A környezeti infrastruktúra elemei Hardver elemek Adathordozók Dokumentumok Szoftver elemek Adatok Kommunikáció - hálózatok A rendszerekkel kapcsolatba kerülő személyek (humán faktor).

A környezeti infrastruktúra Terület (épület) A rendszer elemeinek elhelyezésére szolgáló helyiségek Átviteli vezetékek az épületben és az épületen kívüli területeken egyaránt Áramellátás Klimatizálás Víz, csatorna, szellőzés Telefon Belépés-ellenőrző eszközök Tűzvédelmi berendezések Betörésvédelmi berendezések

Veszélyforrások a környezeti infrastruktúra területén Nem védett átviteli vezetékek Közös kábelvezetések (tűz, szabotázs) Cégen kívüli személyek (látogatók, szerelők, szállítók stb.) bent tartózkodása Nem felügyelt munkálatok az épületekben, amelyeket külső személyek folytatnak (például ablaktisztítás, elektromos vagy telefonszerelés, építési munkálatok stb.) Cégen belüli személyek szükségtelen bent tartózkodása

Az informatikai berendezések nem védett helyzete (például a nyílt utcán, kerítés nélküli épületekben, a munkaidőn kívüli őrzés hiánya) A belépési biztonság hanyag kezelése A védelmi berendezések működési módjának vagy gyengeségeinek jogosulatlanok általi megismerése (például a vezetékek lefutása, riasztórendszerek kapcsolási vázlatai, különösen pedig a számítógép-vezérelt belépés-ellenőrzés)

Hardver elemek Felhasználói terminálok Beviteli és kiviteli eszközök Cserélhető tároló eszközök A hálózat aktív elemei Speciális biztonsági berendezések Rendszerkonzolok Központi hardver (szerver, mainframe gépek)

Veszélyforrások a hardver elemek területén Konstrukciós hibák Hibás alapelvek (neumann elv stb.) Tervezési hibák Kivitelezési hibák Meghibásodások Üzemeltetési hibák A készülékek csekély súlya, mérete (a lopás könnyen lehetséges) Érzékenység az elektromágneses sugárzással szemben Kompromittáló kisugárzás (például képernyőkről és rézkábelekről) lehetősége Tartozékok utánpótlásának szervezetlensége Ütésérzékenység Kürt anyag 7. oldal)

Adathordozók Biztonsági másolatok Munka másolatok Archív adatokat tartalmazó adathordozók Eredeti és felszabadított adathordozók

Veszélyforrások az adathordozók területén Nem védett tárolás Kapcsolható írásvédelem Mágneses érzékenység Szakaszos demagnetizálódás hosszabb tárolás esetén (elöregedés) Érzékenység a hőmérsékletre és a nedvességre stb. Nehezen ellenőrizhető

Dokumentumok Kezelési, felhasználási utasítások (hardver,szoftver) Üzemeltetési előírások Jegyzőkönyvek Egyéb dokumentációk

Veszélyforrások a dokumentumok területén: A dokumentumok hiányzó adminisztrációja Hiányzó változtatási szolgálat A felhasználói dokumentáció közvetlen elérhetésének hiánya a felhasználó számára Nem védett tárolás (tűz, lopás) Nem kellő gondosság a kiselejtezésnél vagy megsemmisítésnél Ellenőrizetlen sokszorosítási lehetőségek

Szoftverek Rendszerszoftverek Alkalmazások Egyéb szoftverek

Veszélyforrások a szoftver elemek területén Konstrukciós hibák Hibás alapelvek (neumann elv stb.) Tervezési hibák Kürt anyag 7. oldal Kivitelezési hibák Meghibásodások Üzemeltetési hibák A programok ellenőrzésének és átvételének hiánya Az új vagy változtatott szoftverek nem kielégítő minősítő eljárása (implementálási hiba) A logikai belépés ellenőrzésének hiánya Az események hiányzó jegyzőkönyvezése (például belépés, CPU-használat, file-ok megváltoztatása) A szoftver hibáinak vagy biztonsági réseinek ismertté válása A jelszavak olvashatósága Más felhasználókról való információszerzés

Lehetőség ismeretek szerzésére a meghívható távoli számítógépekről A jelszó-mechanizmus helytelen kezelése (rövid vagy könnyen kitalálható jelszavak, ritka vagy elhagyott változtatás stb.) Felhasználó-felismerés jelszó nélkül vagy közös jelszavakkal Az elavult vagy átmeneti állományok törlésének elmaradása A hozzáférési jogok helytelen odaítélése Szükségtelenül nagy hozzáférési jogok a felhasználók számára Vírusfertőzés Adathordozók ellenőrizetlen használata A "kilépés" elhagyása Távolról történő karbantartás Szoftver letöltése a hálózaton keresztül

Adatok Adatok a bevitel folyamatában Adatok a feldolgozás folyamatában (központi egységben, alkalmazói programmal) Tárolt adatok (tartósan vagy csak a feldolgozás idejében) Adatok a kivitel folyamatában

Veszélyforrások az adatok területén A beadott adatok hiányzó vagy nem kielégítő ellenőrzése Nem kielégítő védelmi berendezések Szoftverhiba Hiányzó hibakezelő eljárás a hardverben és a szoftverben Hiányzó újraindítás-előkészítés a hardverben és a szoftverben Szükségtelen hozzáférési jogok Az adatterületek törlésének hiánya az újrafelhasználás előtt Adathordozóra írás ellenőrző olvasás nélkül

Kommunikáció Hálózati adatok ellenőrizhető hálózatokon Hálózati adatok nem ellenőrizhető hálózatokon Hálózatvezérlő adatok ellenőrzött hálózatokon Hálózatvezérlő adatok nem ellenőrizhető hálózatokon

Veszélyforrások a kommunikáció területén Átviteli vonal károsodás, megszakadás Hibaforrások a hálózati szoftverben és hardverben A hálózati szoftver és hardver manipulálhatósága A hálózat- és az átvitelvezérlés manipulálhatósága Lehetőség az üzenetek lehallgatására Lehetőség az üzenetek meghamisítására Az adó és a fogadó hiányzó azonosítása és hitelesítése A jelszavak vagy titkos kulcsok nyílt szövegben való továbbítása Lehetőség az üzenetek ismételt lejátszására Valamely üzenet elküldésének vagy fogadásának hiányzó bizonyítása

Személyek Felhasználók Üzemeltetők Fejlesztők Őrző és felügyelő személyzet Segédszemélyzet Külső munkatársak Hackerek

Veszélyforrások a személyekhez kapcsolódóan A kiesés sokrétű lehetőségei (sérülés, betegség stb.) Nem kielégítő kiképzés A fenyegetettségi helyzet ismeretének hiánya A fenyegetettségi helyzet lebecsülése Előre nem látható viselkedés (motívumok, szándékok) Különböző szellemi képességek Hiányzó vagy hiányos ellenőrzés

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés