Informatikai biztonsági ellenőrzés { - az ellenőrzés részletes feladatai Budai László IT Biztonságtechnikai üzletágvezető
Informatikai biztonsági ellenőrzés { - Bemutatkozás www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu
Forgalom MFt Nádor Rendszerház Kft. Alapítás: 1992 Magyar tulajdonosok Alkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd Ft Forgalomi adatok 1993-2013 7000 6000 5000 4000 3000 2000 1000 0 1993 1997 2001 2013
Nádor Rendszerház Kft. - üzletágak IT eszközök IT szolgáltatások IT biztonság Közbeszerzés Szoftverfejlesztés Vonalkód technika és RFID Távközlés Irodatechnika
Nádor Rendszerház Kft. - minősítések MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer MSZ EN ISO 14001:2009 Környezetirányítási rendszer NATO Minősített Beszállító cím
Nádor Rendszerház Kft. IT biztonság Szolgáltatások Audit Kockázatelemzés Szabályzatok és IBIR kialakítás ITIL v3 bevezetés Bevezetés és oktatás Ethical Hacking Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server) Biztonsági hardening és monitoring Spam szűrő szolgáltatás IT biztonsági szakértői szolgáltatások Megoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és kiértékelése Tűzfalak és behatolás jelző megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó megoldások Tempest eszközök Fájl szerverek, virtuális gépek védelme Hozzáférés kezelés / felügyelet
Informatikai biztonsági ellenőrzés { Vizsgálatok www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu
Informatikai biztonsági ellenőrzés - előkészítés Ellenőrzés előkészítése A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás) Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet) Dokumentációk bekérése Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) Interjúkra, vizsgálatra való felkészülés
Informatikai biztonsági ellenőrzés interjúk és vizsgálatok lefolytatása Interjúk lefolytatása Időpontok egyeztetése Kérdőív alapján, Excel táblázat Vizsgálatok lefolytatása Szabályzatok vizsgálata Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok) Logok vizsgálata Adathozzáférések vizsgálata
Informatikai biztonsági ellenőrzés Szabályzatokra vonatkozó vizsgálatok Informatikai Biztonsági Politika Informatikai Biztonsági Stratégia Informatikai Biztonsági Szabályzat Üzemeltetési Szabályzat Felhasználói Szabályzat Vírusvédelmi szabályzat Mentés és Archiválási Szabályzat BCP/DRP Szabályzat..és amit még a szervezet mérete, folyamatai indokolnak (Kockázatkezelési Szabályzat, Hozzáférési Szabályzat, Adatvédelmi Szabályzat, stb.) Megfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelés
Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Web portálok vizsgálata (pl: Acunetics, Rapid7) Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) Blackbox Greybox Whitebox Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) frissítések telepítésének ellenőrzése, Adatbázis vizsgálatok, scriptek WiFi és VPN vizsgálatok Alkalmazás vizsgálatok Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)
Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Általánosságban: Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) Reakció vizsgálata (idő, felkészültség, riasztási rendszer) Szoftver jogtisztaság Informatikával előre egyeztetett időpontban, meghatalmazással Kiemelt felhasználói jogosultság Rendszerösszeomlás elkerülése Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása Fejlesztés esetén tesztadatok (nem az éles adatokkal)
Informatikai biztonsági ellenőrzés Rendszerekre vonatkozó vizsgálatok Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek Merevlemezen tárolt adatok felderítése Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon HASH!) A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a hiteles anyagon vizsgálunk
Informatikai biztonsági ellenőrzés Jelentéskésztés Összefoglaló a feltárt problémákról Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra) Kérdőív táblázat csatolása Sérülékenységi vizsgálat során keletkezett riportok csatolása Javaslatok vizsgáló eszköz által adott javaslatok is felhasználhatók
Informatikai biztonsági ellenőrzés Vizsgálatok ismétlése Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2) A vizsgálat megismétlését is célszerű elvégezni. Delta riport.
Információbiztonság a közigazgatásban { 2013. évi L. Törvény (Ibtv.) www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu
2013. évi L. törvény (Ibtv.) - előzmények 1992 Adatvédelmi törvény (1992. évi LXII. tv.) 1994 96 ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez 2005 PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) 2007 84/2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 KIB 25 (IBIR) 2011 Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) 2012 2012. évi CLXVI. Törvény.és a növekvő kiberfenyegetettség
2013. évi L. törvény áttekintés Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. Hatályba lépett: 2013. július 01.
2013. évi L. törvény áttekintés Hatóság létrehozása NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság 301/2013 Korm. Rendelet 2013. július 30.) Ellenőrzési/felügyeleti jog Információbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezető IBF kinevezés (2013. aug. 29.) tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: 2013. augusztus 31. IBSZ (2013. szept.28. -> 2014. febr. 04.) Kockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.) Kiegészítések: 26/2013 KIM rendelet 73/2013 NFM rendelet 77/2013 NFM rendelet 233/2013 Korm. rendelet 301/2013 Korm. rendelet
Köszönöm a figyelmet { Kérdések - válaszok Budai László IT Biztonságtechnikai üzletágvezető Telefon: + 36 1 470-5038 Mobil: + 36 20 483-9237 Email: budai.laszlo@nador.hu