Az informáci ció mint kockázati tényezt nyezı Vállalatok tündöklése és bukása az információvédelem fényében The information as a risk factor The rise and fall of companies in the light of information protection Dr. Horváth Zsolt vezetı auditor Lead auditor Budapest, 2009. április 21.
2007 ısz PIN-kódot tessék, olcsón n adjuk Angliában két olyan CD veszett el az adóhivatal és a számvevıszék közti postázás során, amelyek körülbelül 25 millió brit állampolgár bizalmas adatait tartalmazták. Nemsokára számos weboldal kínálta a polgárok személyes adatait 2008. Január Totális adatmegsemmisítésre sre készk szült a kirúgott IT alkalmazott. Fannie Mae amerikai jelzáloghitel-intézet egyik felmondott alkalmazottja bosszúvágyból egy szoftvert vitt be a rendszerbe, hogy 2008-01-31-én négyezer szerveren töröljön minden adatot. Szerencsére még idıben észrevették 2008. Január a 14 ezer postafiókot törölt t a szoftverhiba. Egy amerikai kábeltévé-szolgáltató 14 ezer ügyfelének teljes elektronikus postafiókja törlıdött egy szoftverhiba miatt - az elveszett leveleket ráadásul nem is tudják visszaállítani 2008. május m 4,5 millió személy adata veszett el. Az egyik amerikai bank adattároló kazetták gondatlan kezelése miatt 4,5 millió ügyfelének adatát vesztette el 2/21 Információbiztonsági incidensek a világban
és incidensek itthon 2000. Január Hackerek kétszer feltörték az Elender központi szervereit, felülírták a szolgáltató WEB-lapját, és közzétették mintegy 1900 ügyfél nevét és jelszavát. Az Elender web- és s levelezési szolgáltat ltatása megszőnt. 2008. május Kémprogramok a BKV számítógépein. Öt kémprogramot telepítettek a BKV informatikai rendszerére, ezzel a behatolók a hálózat minden eleméhez hozzáfértek. 2008. szeptember A Pannon Egyetem 2007/08-as évre kollégiumba jelentkezık személyi adatbázisa került nyilvánosságra. 2009. február: Szoftverhiba volt az Ügyfélkapuban Lemondott a Kopint-Datorg vezérigazgatója 2009. február Újabb biztonsági incidens a Pannon Egyetemen Hallgatók, oktatók Neptun-kódja, jelszava (?), teljes neve, e-mail címe nyilvánosságra kerültek. 3/21
Adatok, információk védelme Az informáci ció,, mint kockázati tényezt nyezı Mennyire függ f vállalatunk v eredménye, sikere, léte l az informáci cióink ink biztonságától, az IT rendszer mőködésétıl? Mi törtt rténik, ha példp ldául A konkurencia hozzájut üzleti, fejlesztési információinkhoz? Médiákban megjelennek olyan adatok, amelyeket nem a nyilvánosságnak szántunk? Megsemmisül, vagy megsérül a fontos üzleti, termelési vagy személyi adatokat tartalmazó számítógépes adatbázis? Mőködésképtelenné válik a szerver és / vagy a hálózat? Vírus kerül a számítógépes hálózatunkba? A rendszergazda lelép a megváltoztatott jelszavával, esetleg? Stb 4/21 Az informáci ció érték Védeni kell!
Információk biztonsága sérülésének veszélyei (példák) Bizalmas információk illetéktelen kezekbe kerülnek Üzleti veszteségek (tendereken üzletvesztés, piaci pozíció vesztése, ) Ügyfél adatok illetéktelen kezekbe kerülése piacvesztés, jogsértés, kártérítési perek, Elektronikus dokumentumok, feljegyzések megsemmisülnek, elvesznek, hozzáférhetetlenné válnak Feljegyzések, igazolások, jegyzıkönyvek, stb. elvesznek IT folyamattámogatás megszőnése, bizonytalanná válása Üzleti folyamatok leállhatnak, üzemszünet, leállás, E-mail, internet, belsı elektronikus csoportmunka használhatatlanná válik Alapvetı használt kommunikációt (külsı és belsı) blokkolhatja, meglévı információkhoz hozzájutást megakadályozza Stb 5/21 Az informáci ció érték Védeni kell!
Megfelelés a törvényi elvárásoknak Jelenleg: alapvetı informatikai biztonsági jogszabályok: 195/2005. (IX. 22. ) Korm. rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl figyelembe veendı jogszabályok: 1992. évi LXIII. törvény az Adatvédelmi törvény (Avtv.) 2001. évi XXXV. törvény az elektronikus aláírásról (Eat.) Közigazgatással kapcsolatos törvt rvények. Elıkész születben: Az informatikai biztonságról szóló törvény 6/21
Megfelelés a törvényi elvárásoknak Elıkészületben: Az informatikai biztonságról szóló törvény (jelenleg törvényjavaslat, elıkészületi fázisban) Hatálya kiterjed minden, a Magyar KöztK ztársaság g terület letén n elérhet rhetı informatikai rendszerre és s elektronikus szolgáltat ltatásra a fentiek mőködtetm dtetıire és üzemeltetıire a fentiek használóira és s igénybe vevıire Fıbb elemei: A hatálya alá tartozók besorolása 5 szintbe. Szintenként egyetemes informatikai biztonsági minimum követelmények Rendelkezik az informatikai biztonság g felügyeleti és s irány nyítási rendszerérıl, hálózatbiztonsági központ mőködtetésérıl 2011. január 1-tıl a személyi azonosítást tartalmazó elektronikus szolgáltatások, illetve az e-közszolgáltatások csak akkor mőködhetnek, ha informatikai biztonsági szempontból auditálva és regisztrálva vannak 7/21
Az információbiztonság aktualitása Az információbiztonság kérdése az informatika rohamos elıretörésével minden vállalatnál egyre égetıbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg g elısz ször meg nem égette magát vele. Elvárások felhasználói oldalról: A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellı idıben és sértetlenül álljanak a rendelkezésre. Minden szervezetnél akár tudomásul vesszük, akár nem, van "információ-szivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentıs erkölcsi és anyagi károkat okoz(hat) a szervezetnek. Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. Ebben a helyzetben segít rendet teremteni az 8/21 informáci ció-biztonsági irány nyítási rendszer!
Az információk megjelenési formái papírok, dokumentumok fóliák beszélgetések telefonon személyes beszélgetések számítógépközpontok számítógépes munkaállomások PC, WS, DSS mikrofilmek, szalagok, faxtekercsek nyomtató, fax, teletex, telex mágneses adathordozók hálózatok, LAN, WAN laptop-ok, notebook-ok 9/21
Adatok, információk védelme Az informáci ció biztonsága jelenti: Bizalmasságot (jogosulatlanok ne férhessenek hozzá) Sértetlenséget (teljesség, hitelesség, pontosság) Rendelkezésre állása (funkció, tartalom, idı, stb.) 10/21
Az információvédelem értelmezése Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni mőszaki és szervezési intézkedések és eljárások együttes rendszere. Két t fıf területe: ADATBIZTONSÁG: Az információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. ADATVÉDELEM DELEM: Az információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. 11/21
Információbiztonsági irányítási rendszer részei Információs vagyon fenyegetettségeinek átfogó kockázatelemz zatelemzése Védelmi intézked zkedések, eljárások megteremtése különbözı területeken a különbözı fenyegetettségekre Menedzsment rendszer Menedzsment rendszer menedzsment elemek kiépítése (hasonló mint a MIR, KIR, IBIR, ) 12/21
Kockázatkezelés de miért? Biztos, hogy mindenre gondoltam a kockázatkezelés nélkül is? Egyenszilárds rdságú védelem Minden biztonsági lánc annyira erıs, mint a leggyengébb láncszeme! A veszélyeket, fenyegetettségüket a jelentıségüknek megfelelın kezeli Költséghatékony védekezés, (védelmi beruházások megalapozottak) Elıre felkész szülten, tervezetten és s tudatosan védekezni a biztonsági incidensek / események ellen 13/21
Az információvédelmi eljárások szakmai területei objektum, terület védelemv delem, személy védelemv (rendszerben a személy védelme, vagy a rendszer védelme személyektıl), hagyományos (pl. papíralapú) adatok, módszerek, eszközök k védelmev delme, informatikai védelemv delem, (fizikai, logikai és szervezési), elemi károk, k természeti csapások sok elleni védelem (az információbiztonság szemszögébıl). 14/21
Az információbiztonsági irányítási rendszer szabványa(i) Ez tanúsíthat tható! ISO/IEC 27001:2005 Information technology Security techniques Information security management system Requirements ISO/IEC 27002:2005 (= ISO/IEC 17799:2005) Information technology Security techniques Code of practice security management ISO/IEC 27005:2008 Information technology Security techniques Information security risk management 15/21
Gondolatok az ISO/IEC 27001-es szabványról Menedzsmentrendszer és technikai követelmények együttese Integrálható a többi irányítási (menedzsment) rendszerrel Alkalmazási területe megválasztható (scope-olható) Kockázatelemzésre épít Alapvetıen a következı fıbb új elemeket/tevékenységeket adja: Menedzsmentrendszer kiegészítése az információbiztonsággal Információbiztonsági vagyonfelmérés és kockázatkezelés Védelmi követelmények meghatározása és folyamatos aktualizálása Védelmi intézkedések beleépítése a folyamatokba illetve önálló kiépítése Incidenskezelési folyamat mőködtetése Információbiztonsági szabályzat mőködtetése BCP / DRP készítése, mőködtetése 16/21
A (tanúsított) információbiztonsági irányítási rendszer elınyei Felkészülve, a problémák k elıre láthatl thatók. A költségek racionalizálhat lhatók. Az informatikai beruházások megalapozottan indokolhatók. A folyamatok optimalizálása révén a hatékonys konyság g fokozható. Gyorsabb reagálás a piaci változásokra. Nincsenek meglepetések sek, fel lehet készülni a külsı / belsı fenyegetettségekre, ha ismerjük ıket. A projektek az elıre meghatározott kereteken belül végzıdnek. A külsı, illetve a belsı szabályoz lyozóknak meg lehet felelni. A cégérték k növekedikn vekedik, az imázs és a hírnév megvédhetı. 17/21
Egyensúlyok a rendszer kiépítésekor A különbk nbözı területek védelmi v intézked zkedései között (összhang a védelmi célokkal, fenyegetettségekkel; egyenszilárdságú védelem) Ugyanarra a védendv dendı alrendszerre / rendszerelemre ható különbözı jellegő védelmi intézked zkedések közöttk (fizikai logikai szervezési) A menedzsment elemek és a technikai szabályoz lyozások között 18/21
Csapatmunkával lehet csak jól csinálni! Csapatmunka kell a különbözı kompetenciák egyidejő biztosításához: projektvezetési kompetencia menedzsmentrendszer kiépítési kompetencia Informatikai / információbiztonsági kompetenciák a különbözı szakmai ismeretek magas szintő alkalmazására szakemberek együttmőködése! a tanácsadó és a rendszert bevezetı cég munkatársainak együttmőködésére! 19/21
20/21 Mekkora kockázatot vállalhat fel egy kiváló vállalat? A sikeres, eredményes, kiváló vállalatok, akik sokat fordítanak a sikerért, a folyamatos fejlıdésért, eredményeik biztonságáért, megengedhetik-e e maguknak, hogy ne foglalkozzanak az információk biztonsága veszélyeinek üzleti kockázataival, ne foglalkozzanak adataik, információik védelmével, leragadjanak az informatikai védelemnél (csak elektronikus adatok védelme), szemben az információvédelemmel ne rendszerben foglalkozzanak az információvédelemmel, Tudják-e, mekkora kockázatot vállalnak v fel ezzel?
Köszönöm m megtisztelı figyelmüket! Dr. Horváth Zsolt Mobil: 30/299-8599 Email: horvathzs@infobiz.hu http://www.infobiz.hu 21/21