IT biztonsági tanácsok Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu
Az IT biztonság az információbiztonságnak csupán egy része, mégis az informatika elterjedésével az utóbbi időben egyre inkább előtérbe kerül. A következőkben arra mutatunk be néhány javaslatot, hogy már az információbiztonsági irányítási rendszer bevezetését megelőzően is, mire érdemes az IT biztonság területén odafigyelni, hogy sok bajt el tudjunk kerülni. Dr. HorváthZsolt - IT biztonsági tanácsok 2
Az informáci cióbiztonság g aktualitása Az információbiztonság kérdése az informatika rohamos előretörésével minden vállalatnál egyre égetőbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először meg nem égette magát vele. Elvárások felhasználói oldalról: A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre. Minden szervezetnél akár tudomásul vesszük, akár nem, van "információszivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek. Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. Ebben a helyzetben segít rendet teremteni az információ-biztonsági irányítási rendszer! Dr. HorváthZsolt - IT biztonsági tanácsok 3
IT alkalmazásának veszélyei Mi történik, ha (péld ldák) ha egy időre megbénul egy beüzemelt vállalatirányítási rendszer? összeomlik vagy hibás adatokat ad egy diagnosztikai berendezés elektronikája? leáll a nagykohó hőszabályzó automatikája, vagy pl. az automata gyártósor termelésirányító szoftvere? összeomlik egy önkormányzat vagy hatóság egyik (pl. levelező) szervere? ellopják az igazgató notebookját, rajta az összes üzleti adattal, az új tender bizalmas adataival? sértődötten mond fel a rendszergazda, és? a felmondott (és netalán konkurenciához pártolt) fejlesztőink, mérnökeink (távoli) hálózati belépései az informatikai rendszerünkbe továbbra is élnek? VESZÉLYEZTETI LYEZTETI A TERMELÉST, A VÁLLALV LLALÁSOK TELJESÍTÉSÉT, T, AZ ÜZLETI ÉRDEKEKET, ÉS S VÉGSV GSŐ ESETBEN A VÁLLALAT V LÉTÉT!!!!!! L T!!!!!! Dr. HorváthZsolt - IT biztonsági tanácsok 4
Változó körülmények új j kockázatok Megváltozott a világ, új jelenségek, új kockázatok: IT dominancia, növekvő függőség szaporodó e-megoldások, hálózat-érzékeny rendszerek támadások, szándékos károkozás (vírus, betörések) szoftver-érzékeny rendszerek szaporodása fejlesztési projektek kudarcai működő informatikai alkalmazások hibái eszköz-meghibásodások (hardverhiba, szoftverproblémák) virtuális vállalatok léte, Internet-függősége szélsőséges időjárási viszonyok terrorista támadások Dr. HorváthZsolt - IT biztonsági tanácsok 5
IT rendszerek fenyegetettségének nek okai technikai, technológiai problémák, meghibásodás emberi mulasztás, vétett hibák üzemeltetési problémák, alkalmazások hibás működése környezeti, partner-rendszeri problémák problémák a tervezésben, szoftverkiválasztásban vírusok okozta károk természeti csapás, áramkimaradás betörés adatbázisokba, szoftver-rendszerek rongálása, Internetről érkező támadások stb Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell! Dr. HorváthZsolt - IT biztonsági tanácsok 6
Az informáci cióbiztonság g jelentése Bizalmasság, annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás állás, annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges. Dr. HorváthZsolt - IT biztonsági tanácsok 7
Az informáci cióvédelem értelmezése Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Két fő területe: Az információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Az információs rendszerek adataihoz való illetéktelen hozzáférést és beavatkozást meggátló szabályozások, folyamatok és megoldások. Dr. HorváthZsolt - IT biztonsági tanácsok 8
Az IT rendszer üzembiztonsága 1. Már tervezéskor gondolkodjunk előre! Bővíthetőség (jelenlegi és jövőbeli kapacitás figyelembe vétele) Biztonsági elvárások figyelembe vétele (jelenjenek meg a funkcionális követelmények között!) Ha egy informatikai rendszert kezdetekben a megfelelő biztonsági megoldások nélkül terveznek, majd így kezdenek el működtetni és a sikeres működést szinte menetrendszerűen követő visszaélések kényszerítik ki utólag a védelmek alkalmazását, akkor a legtöbbször már csak toldozás-foltozás jellegű megoldások adhatók, amelyek általában drágább és sokkal kevésbé hatásos eredményre vezetnek. Dr. HorváthZsolt - IT biztonsági tanácsok 9
Az IT rendszer üzembiztonsága 2. Figyeljünk oda az áramellátás stabilitására! Az áramellátás kimaradása vagy a megengedettnél nagyobb mértékű ingadozása menet közben leállíthatja a számítógépeket, néha károsodást okozva a hardverben és a futó programokban. Szünetmentes áramellátás (legalább a kritikus funkciót ellátó számítógépek, pl. szerverek, mérésadatgyűjtők, stb. esetén.) Dr. HorváthZsolt - IT biztonsági tanácsok 10
Az IT rendszer üzembiztonsága 3. Legyen tartalékunk! Murphy törvénye: Ami elromolhat, az el is romlik. Kulcsfontosságú berendezések fizikai meghibásodásakor az üzemelés folyamatosságának biztosítására. Tartalék berendezések (hideg tartalék meleg tartalék forró tartalék) Duplikált berendezések (tükrözések, RAID technikák, stb ) Dr. HorváthZsolt - IT biztonsági tanácsok 11
Az IT rendszer üzembiztonsága 4. Mentsük az adatainkat! A számítógép merevlemezén tárolt fontos adatok visszaállíthatóságának biztosítása, azok sérülése vagy elvesztése esetére Rendszeres mentések külső, független adathordozóra. Mentési stratégia, ciklus, rendszer, módszer meghatározása, szabályozása és betartása. Dr. HorváthZsolt - IT biztonsági tanácsok 12
Az IT rendszer üzembiztonsága 5. Archiváljunk! Már nem módosítható információk elérhetőségének, visszakereshetőségének hosszú távú biztosítása. Adatok kiírása nem törölhető, hosszú életű adathordozóra, majd azok tárolása biztonságos helyen. Nagyon fontos! Ne csak az adatokat archiváljuk, hanem az archivált adatok megjelenítésére képes rendszereket is!!! Dr. HorváthZsolt - IT biztonsági tanácsok 13
A nem kívánt k beavatkozás 6. Rendszergazda szerepköre! rendszeradminisztrátori jelszó biztonsága. rendszergazdai tevékenység szabályozása dokumentáltan Rendszergazdai tevékenység kontrollingja, naplózása, stb. kapcsolódó felelősségek rögzítése munkaszerződésben Dr. HorváthZsolt - IT biztonsági tanácsok 14
A nem kívánt k beavatkozás 7. Jelszavaink legyenek titkosak! Jelszavak használata kötelező. Jelszavak titkossága. Jelszóképzés szabályozása nehezen kitalálható jelszavak Jelszóhasználat szabályozása jelszavak cseréje, Különböző rendszerekhez különböző jelszavakat.! Dr. HorváthZsolt - IT biztonsági tanácsok 15
A nem kívánt k beavatkozás 8. Használjunk vírusölő programokat! Védekezés a különböző kártékony kódok (vírusok, férgek, kémprogramok, trójaiak, keyloggerek, rootkitek, stb.) ellen. Minden gépen legalább egy vírusölő és legalább egy kémprogram-irtó program fusson állandóan. Folyamatosan frissülő vírusadatbázis. Dr. HorváthZsolt - IT biztonsági tanácsok 16
A nem kívánt k beavatkozás 9. Kapukat lezárni! Az interneten és külső kapcsolatokon megnyitott kapukat célszerű lezárni, és a rajtuk átmenő adatforgalmat ellenőrzés alatt tartani. Tűzfalak használata, paraméterezése és működtetése. (hardveres és / vagy szoftveres) Dr. HorváthZsolt - IT biztonsági tanácsok 17
A nem kívánt k beavatkozás 10. Titkosítsuk a bizalmas levelezést! A bizalmas információk e-mail-en keresztül történő küldése során azt nem tudjuk megakadályozni, hogy mások ne láthassák leveleinket. Azt viszont megakadályozhatjuk, hogy ne tudják elolvasni őket. Kriptográfia (titkosító algoritmusok, kódolókdekódolók, digitális aláírás, stb.) alkalmazása. Dr. HorváthZsolt - IT biztonsági tanácsok 18
A nem kívánt k beavatkozás 11. Növeljük a tudatosságot! Fontos, hogy munkatársaink tisztában legyenek a veszélyekkel, és tudatosan védekezzenek ellenük! Belső védelmi szabályok (pl. biztonsági házirend, információbiztonsági szabályzat, ) kialakítása, oktatása, betartása és ellenőrzése. Védekezés a social engineering ellen is. Belső oktatások, tréningek, tudatosító programok jelentősége! Dr. HorváthZsolt - IT biztonsági tanácsok 19
Köszönöm megtisztelő figyelmüket! Dr. HorváthZsolt - IT biztonsági tanácsok 20