ROBOTHADVISELÉS S 2010

Hasonló dokumentumok
ADATBÁZISOK BIZTONSÁGÁNAK KEZELÉSE A KÖZIGAZGATÁSBAN

Szabványok, ajánlások

Az informatikai biztonsági kockázatok elemzése

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

AZ ADATBÁZIS-BIZTONSÁG SZABÁLYOZÁSA ÉS MEGVALÓSÍTÁSA AZ EGYESÜLT ÁLLAMOK HADEREJÉBEN

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

AZ ADATBÁZIS-BIZTONSÁG SZABÁLYOZÁSÁNAK ALAPJAI A MAGYAR KÖZTÁRSASÁGBAN

Informatikai biztonsági elvárások

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Technológia az adatszivárgás ellen

TANÚSÍTVÁNY. Audi Hungaria Motor Kft.

Muha Lajos. Az információbiztonsági törvény értelmezése

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

Az ISO es tanúsításunk tapasztalatai

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

BIZTONSÁGI AUDIT. 13. óra

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Az információbiztonság egy lehetséges taxonómiája

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás

IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

Üzletmenet folytonosság Üzletmenet? folytonosság?

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott MultiSigno Standard aláíró alkalmazás komponens 1.

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

Magyar Szabad Szoftver Tárház. Erdei Csaba Mátó Péter

Microsoft SQL Server telepítése

30 MB INFORMATIKAI PROJEKTELLENŐR

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

zigazgatás s az informatikai biztonság

INFORMATIKAI RENDSZER FEJLESZTÉSE. TÁMOP D-12/1/KONV A Szolnoki Főiskola idegen nyelvi képzési rendszerének fejlesztése

Hitelesség az üzleti életben

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Jogosultság-monitorozó rendszer kialakítása

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

TANÚSÍTVÁNY. tanúsítja, hogy a Noreg Kft. által kifejlesztett és forgalmazott. e-sealer 1.0-es verzió. aláíró alkalmazás

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Vezeték nélküli hálózat

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Elektronikus Információs és Nyilvántartási Rendszer a Doktori Iskolák fiatal kutatói részére

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

INFORMATIKAI BIZTONSÁGI ÚTMUTATÓK, KONTROLLOK ÉS SZEREPÜK AZ ADATBÁZIS-BIZTONSÁG MEGVALÓSÍTÁSÁBAN

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Rendszerkezelési útmutató

1. Bevezető. 2. Sérülékenységek

IT üzemeltetés és IT biztonság a Takarékbankban

Megjegyzés vezeték nélküli LAN felhasználóknak

Enterprise User Security

Szolgáltatási szint megállapodás

Írásjogtól Rootig AIX-on

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Példa webáruház kialakítás rendszerdokumentáció

Valós idejű megoldások: Realtime ODS és Database In-Memory tapasztalatok

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

2013. évi L. törvény ismertetése. Péter Szabolcs

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

Informatikai biztonsági ellenőrzés

RENDSZER TANÚSÍTÁSI JELENTÉS HUNG-TJ-MIBÉTS

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

ADATBÁZIS-KEZELÉS - BEVEZETŐ - Tarcsi Ádám, ade@inf.elte.hu

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Windows 7. Szolgáltatás aktiválása

AZ INTEGRÁLT NYOMONKÖVETŐ RENDSZER BEMUTATÁSA (TÁMOP B) Kern Zoltán Közoktatási szakértő

Gyakorlati vizsgatevékenység A

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Az Informatikai Biztonsági Irányítási Rendszer

A Bankok Bázel II megfelelésének informatikai validációja

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Windows hálózati adminisztráció

Gyakorlati vizsgatevékenység B

Vectory telepítési útmutató

Tudatos kockázatmenedzsment vs. megfelelés

Köszönetnyilvánítás... xv Bevezetés az otthoni hálózatok használatába... xvii. A könyv jellegzetességei és jelölései... xxi Segítségkérés...

TELEPÍTÉSI ÉS FELHASZNÁLÓI ÚTMUTATÓ

Átírás:

ROBOTHADVISELÉS S 2010 ADATBÁZISOK BIZTONSÁGÁNAK KEZELÉSE A KÖZIGAZGATÁSBAN Fleiner Rita ZMNE KMDI doktorandusz hallgató Muha Lajos PhD, CISM tanszékvezet kvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék

Miért kell? Lényeges kérdés az adatbázis-biztonság megvalósítása és ennek szabályozása, támogatása. A KIB 25. és 28. ajánlások mellett szükség van az informatika egyes részterületeinek védelmét is elősegíteni, hasonlóan az USA DoD részletes szabályozó dokumentumokaihoz, különös tekintettel az Adatbázis-biztonság Technikai Megvalósítási Útmutatóra.

Hazai szabályoz lyozás A Magyar Informatikai Biztonsági Ajánlás, a KIB 25. és a 28. számú ajánlás nemzetközi szabványok alapján készült.

KIB 25. számú ajánlás MIBIK MIBÉTS IBIX MIBA:

MIBIK A Magyar Informatikai Biztonság Irányítási Keretrendszere (MIBIK) Az ISO 27000, az ISO/IEC TR 13335 szabványok, továbbá a Security within the North Atlantic Treaty Organisation és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata figyelembe vételével készült.

25/1-1. IBIR Az Informatikai Biztonsági Irányítási Rendszer a TVEB (PDCA = Plan-Do-Check- Act, Tervezés-Végrehajtás-Ellenőrzés- Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

25/1-2 IBIK Az Informatikai Biztonsági Irányítási Követelmények alapját az ISO/IEC 27002:2005, az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

25/1-3 IBIV Az Informatikai Biztonság Irányításának Vizsgálata c. vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS 7799-2:2002 szabvány, és az ehhez kapcsolódó PD 3001 PD 3005 munkadokumentumok képzik, továbbá az IFIP 199/200 (USA) előírások.

MIBÉTS Magyar Informatika Biztonság Értékelési és Tanúsítási Séma A Common Critéria egyezményhez (2003. október) való csatlakozás után kezdődött meg egy magyar lite CC kidolgozása

Adatbázis zis-biztonság? Az Informatikai Biztonsági Szabályzatokban lehetlenne helye az adatbázis-biztonságnak, de ehhez nincs segítség, Útmutató.

Az amerikai modell A USA DoD a haderő informatikai rendszerei adatbázisainak védelme érdekében adatbázis-biztonság megvalósítását szabályozó dokumentumokat dolgozott ki. A dokumentumok nyilvánosak és bármely szervezet számára hasznosíthatóak, így a civil szféra is profitál belőle.

Szabályozsi struktúra ra Az adatbázis-biztonsággal foglalkozó szabályozás egy nagyobb egységnek, az Informatikai Védelmi Direktívának és az erre épülő Informatikai Védelmi Megvalósítási Utasításnak a része.

Célok alapján! Meghatározzák az informatikai biztonság alapvető szintjét, a megvalósítandó vezetési célok együttese formájában. Az előírt vezetési célok a rendszerek működésbiztonsági kategóriáitól és bizalmassági szintjeitől függően kerülnek meghatározásra.

Működésbiztonság A működésbiztonsági kategória az informatikai rendszerek által kezelt információknak a DoD célkitűzéseinek, különösen a harci küldetéseknek megvalósításában betöltött jelentőségét tükrözi. A szabályozóban három működésbiztonsági kategória van meghatározva.

bizalmasság Az informatikai rendszerek elfogadható hozzáférési követelményeinek (személyi biztonsági ellenőrzések és háttérvizsgálatok, hozzáférési engedélyek, tudnia-kell szabályozások, összekapcsolási ellenőrzések és engedélyek) és felhasználói hozzáférési módszereinek (intranet, Internet, vezeték nélküli kapcsolat) meghatározására szolgál.

Biztonsági területek 1. Biztonság tervezése és konfigurálása 2. Azonosítás és hitelesítés 3. Alrendszer és eszközrendszer 4. Alrendszer határvédelem 5. Fizikai és környezeti biztonság 6. Személyi biztonság 7. Működésfolytonosság 8. Sebezhetőség és incidenskezelés

DBS Technikai Megvalósítási si Útmutató Az adatbázis-kezelő rendszerek biztonságára vonatkozóan nyújt általános útmutatást gyártófüggetlen és a DoD informatikai rendszerének részét képező adatbázis rendszerekre fogalmaz meg kötelezően betartandó biztonsági követelményeket.

Az adatbázis zis-biztonság g területei 1. Biztonság tervezése és konfigurálása 2. Azonosítás és hitelesítés 3. Alrendszer és eszközrendszer 4. Alrendszer határvédelme 5. Működésfolytonosság 6. Sebezhetőség és incidenskezelés.

Biztonsági szerepkörök 1. informatikai biztonsági menedzser 2. informatikai biztonsági munkatárs 3. adatbázis adminisztrátor 4. adatbázis-szerver operációs rendszer adminisztrátor

Sérülékenységi kategória 1. olyan sérülékenységet jelent, ami a támadónak közvetlen hozzáférést ad az adatbázis rendszerhez, ott superuser hozzáférést eredményez

Sérülékenységi kategória 2. olyan sérülékenységet jelent, ami olyan információt nyújt a támadó számára, ami nagy valószínűséggel az adatbázis rendszerhez történő hozzáférés megszerzéséhez vezethet

Sérülékenységi kategória 3. olyan sérülékenységet jelent, ami olyan információt nyújt a támadó számára, ami az adatbázis rendszer megsértésének lehetőségét hordozza magában.

Adatbázis zis-biztonsági Ellenőrz rző Lista GYÁRTÓ SPECIFIKUS! Az Útmutató általános követelményeihez az egyes adatbázis-kezelőrendszerektől (Oracle, MS SQL, DB2) függő, konkrét követelmények, továbbá egy platform független követelménylista.

Megvalósítás Az adatbázis rendszerek automatikusan megvalósítható biztonsági auditját szkriptek segítségével is támogatják. Csak a DoD szervei számára elérhetőek!

Javaslat A jelenleginél szigorúbb és részletesebb hazai központi szabályozás szükséges az informatika egyes részterületeinek védelme tekintetében (különös tekintettel a működés kritikus területeken), ezen belül az adatbázis rendszerek védelmére. Ehhez egy hazai Adatbázis Biztonsági Útmutatóra lenne szükség!

Adatbázis zis-kezelő rendszer Adatbázis-kezelő rendszer konfigurációs követelményei Operációs rendszer biztonsága Hálózati biztonság Adatbázist elérő alkalmazások biztonsági beállításai

Operáci ciós s rendszer biztonsága Adatbázis-kezelő rendszer program könyvtárának és fájljainak védelme Adatbázis adatfájljainak védelme Adatbázis rendszerrel kapcsolatos operációs rendszer szintű felhasználók beállításai

Listener védelme Port védelem Hálózati biztonság Az adatbázis-kezelő rendszer külső interfészeinek és ezeken áramló információknak a védelme Külső objektumok elérése és külső eljáráshívás Tükrözés, elosztott rendszerek, database link Távoli hozzáférés adminisztrációs feladatok elvégzésekor

Az adatbázisban tárolt t adatok biztonsága Adatbázis objektumok védelme hozzáférés szabályozással Adatbázis szerepkörök Adatok védelme rejtjelzéssel Hálózaton Adatbázisban

Adatbázis objektumok védelmev Általános elvek Objektum privilégiumok Rendszer privilégiumok

Adatbázis szerepkörök Adatbázis adminisztrátori szerepkör Alkalmazás fejlesztői szerepkör Adatbázis alkalmazás felhasználói szerepkör Adatbázis alkalmazás adminisztrátori szerepkör

Működtetési folyamatok, eljárások Ügyrendi, biztonsági és egyéb eljárások szabályzatok Adatbázis-kezelő rendszer telepítése és biztonsági frissítése Felhasználók azonosítása, hitelesítése, bejelentkezése Adatbázis audit, logelemzés Éles és teszt környezetek szétválasztása Adatbázismentés és helyreállítás

Adatbázis zis-kezelő telepítése, frissítése se Adatbázis-kezelő rendszer telepítésének és frissítésének tesztelése Az adatbázis-kezelő rendszer frissítése Az adatbázis-kezelő rendszer elkülönítése, a nem használt komponensek eltávolítása

Felhasználók k azonosítása, sa, hitelesítése se Adatbázis felhasználók Csoportos azonosítás és hitelesítés Egyéni azonosítás és hitelesítés Inaktív felhasználók Jelszavak tárolása és tulajdonságai Tokenekre és tanúsítványokra vonatkozó szabványok Adatbázis rendszerekbe történő belépések

Adatbázis audit, logelemzés Általános követelmények Az audit tartalma Audit nyomvonal, monitorozás, elemzés és jelentés

ROBOTHADVISELÉS S 2010 Köszönöm a figyelmet! Fleiner Rita Muha Lajos PhD, CISM

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés