Katasztrófavédelem informatikai rendszere ZNEBK104102



Hasonló dokumentumok
Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

INFORMATIKAI BIZTONSÁG ALAPJAI

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Muha Lajos. Az információbiztonsági törvény értelmezése

Közigazgatási informatika tantárgyból

Tudjuk-e védeni dokumentumainkat az e-irodában?

Az informatikai katasztrófa elhárítás menete

30 MB INFORMATIKAI PROJEKTELLENŐR

2013. évi L. törvény ismertetése. Péter Szabolcs

INFORMATIKAI BIZTONSÁG ALAPJAI

Informatikai biztonsági elvárások

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Bevezetés az Informatikai biztonsághoz

AZ INFORMATIKAI BIZTONSÁG

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Megbízhatóság az informatikai rendszerekben

Informatikai Biztonsági szabályzata

2013 L. - tapasztalatok Antidotum 2015

INFORMATIKAI BIZTONSÁG ALAPJAI

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

A katasztrófavédelem megújított rendszere

Nemzetközi jogszabályi háttér I.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Az információbiztonság egy lehetséges taxonómiája

Információbiztonság irányítása

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Bevezetés. Adatvédelmi célok

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN. Structured Systems Analysis and Design Method

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Technológia az adatszivárgás ellen

Az informatikai biztonsági kockázatok elemzése

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

ÖNKORMÁNYZATOK HELYZETE ÉS

Az ISO es tanúsításunk tapasztalatai

INFORMATIKAI BIZTONSÁG ALAPJAI

DW 9. előadás DW tervezése, DW-projekt

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Kossa György elnök-vezérigazgató címzetes egyetemi docens Az OKF Iparbiztonsági Tanácsadó Testület Elnöke

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Katasztrófavédelmi Műveleti Tanszék Javaslatai a szakdolgozat címjegyzékéhez 2016/2017-es tanévre

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

SZAKDOLGOZAT TÉMAJEGYZÉK rendészeti igazgatási szak biztonsági szakirány:

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Katasztrófavédelem 2015 Budapest, Önkéntesek a katasztrófavédelemben

Az információbiztonság új utakon

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Üzletmenet folytonosság Üzletmenet? folytonosság?

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

INFORMATIKAI SZABÁLYZAT

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

A Bankok Bázel II megfelelésének informatikai validációja

KATASZTRÓFAVÉDELMI RENDSZEREK FEJLESZTÉSE KEHOP-1.6.0

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

ROBOTHADVISELÉS S 2010

Dr. Muha Lajos. Az L. törvény és következményei

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

INFORMATIKAI BIZTONSÁG ALAPJAI

Beszerzési és elosztási logisztika. Előadó: Telek Péter egy. adj. 2008/09. tanév I. félév GT5SZV

A minőség és a kockázat alapú gondolkodás kapcsolata

Követelmény meghatározás. Információrendszer fejlesztés módszertana, Dr. Molnár Bálint egyetemi docens 1

zigazgatás s az informatikai biztonság

Információbiztonság fejlesztése önértékeléssel

Közbiztonsági referensek képzése

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

AZ INFORMATIKAI BIZTONSÁG TERVEZÉSI KÉRDÉSEI

A kritikus infrastruktúrák védelme és az operatív erők tevékenységirányítása a honi katasztrófavédelemben, különös tekintettel az EU konformitásra

Headline Verdana Bold

Jogalkotási előzmények

Elektronikus Közigazgatás megvalósítása

3., A gépek biztonsági követelményei és megfelelőségének tanúsítása

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

ÉLELMISZERLÁNC-BIZTONSÁGI STRATÉGIA

Fókuszban az információbiztonság

Egészségügyi ágazati kataszterek fejlesztése

4. Prioritás: Információs társadalom- és gazdaságfejlesztés 4.3. intézkedés: Az e-közigazgatás fejlesztése & MITS e-önkormányzat KKP

A feladatsor első részében található 1-20-ig számozott vizsgakérdéseket ki kell nyomtatni, majd pontosan kettévágni. Ezek lesznek a húzótételek.

A Partner kártya és Multipont Programmal kapcsolatos csalások és visszaélések megelőzése, észlelése és kivizsgálása

Átírás:

Katasztrófavédelem informatikai rendszere ZNEBK104102 Tartalom 2. rész Védelmi rendszerek... 2 Az informatikai biztonság alapjai (IT biztonság)... 4 Az informatikai biztonság összetevői... 4 Az informatikai biztonság szabályozói... 5 Biztonsági értékelés... 6 Informatikai biztonság és a szervezet vezetése... 6 Az informatikai biztonság megteremtése... 8 Biztonsági osztályok... 10 Az IT fenyegetettség világa... 12 Irodalom jegyzék... 16 honlapok:... 16 Ellenőrző kérdések... 17

Közös normarendszerek: Korábban Mára Védelmi rendszerek pl. NATO, Európai Unió, ENSZ, Visegrádi Négyek, SEVESO irányelvek, Kiotó-i egyezmény, stb.) háborús fenyegetettségek katonai (egydimenziós biztonsági modell) szervezett bűnözés, terroristák, irreguláris aktivisták, fanatikus ellenzékiek fenyegetése terrorizmus elleni, nukleáris fenyegetettség elleni, katasztrófák elleni, stb. (többdimenziós biztonsági modell) 2001. szeptember 11 A kölcsönös tájékoztatásra irányuló igény és kötelezettség feltételei Az információk rendezett és kompatibilis adatbázisokban történő tárolása és kezelése, a veszélyek-veszélyforrások minél teljesebb körű feltérképezése, a veszélyek lehetőség szerinti jelzése-előjelzése a kor technológia szintjén működő rendszerekkel, egymással kompatibilis infokommunikációs rendszerek alkalmazása. A komplex katasztrófavédelem hármas tagozódású rendszere megelőzés védekezés rehabilitáció Katasztrófák (ill. katasztrófa jellegű események) következményeinek felszámolása jelenlévő erők-eszközök mozgatása, átcsoportosítása, tevékenységeik koordinálása, hatékony döntés-előkészítés korszerű műveletirányítás erőforrás-gazdálkodás (bevetés-irányítás) Napjainkban kiemelt igénye Oka: Eszköze Lényegi eleme a veszély- és katasztrófahelyzetek kezelésének, felszámolásának gyors és hatékony irányítási rendszerének kiépítése és működtetése. környezetszennyezés természeti és civilizációs katasztrófák biológiai-vegyi és kiber terror A modern Információ Technológiai (IT) infrastruktúrára épülő egységes tevékenységirányítási rendszer Az ágazatilag kialakult, különböző irányítás alatt álló védekezési rendszerek integrált működtetése. A jelző és riasztó infrastruktúrára épülő rendszereknek lehetővé kell tennie o A meglévő erőforrások optimális felhasználását o A reális kockázatvállalást biztosítania kell o a hatékony megelőzés és a tervszerű válaszintézkedések összhangját. Az informatikai infrastruktúrák a modern társadalmak általános infrastruktúrájának lényeges összetevőjévé váltak. 2

Kritikus infrastruktúrák Azok az infokommunikációs létesítmények, szolgáltatások és elemek, amelyek működésképtelenné válása vagy megsemmisülése jelentős hatással lenne az egészségre a biztonságra az állampolgárok gazdasági jólétére a közigazgatás hatékony működésére stb. Az infokommunikációs technológia nélkülözhetetlen sérülékeny (pl. Internet alapú támadások) A katasztrófavédelem rendszere Tűzoltóságok ügyeletei Katasztrófavédelmi megyei igazgatóságok ügyeletei Veszélyhelyzet kezelési központok Speciális adatok minimálisan bizalmas, sok esetben állampolgári jogokat érintő, nem ritkán szolgálati titkok Telefonon elérhető egységes segélyhívást fogadó szolgálat közigazgatás közrend, közbiztonság egészségügy tűzoltási, műszaki mentési tevékenység a katasztrófa-védelem közszolgáltatás 3

Az informatikai biztonság fogalma Az informatikai biztonság alapjai (IT biztonság) A védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Az informatikai biztonság célja: A szervezet számára fontos és értékes információ folyamatos rendelkezésre állása a jogosultak számára A szervezet számára fontos és értékes információ illetéktelenek kezébe való elkerülése. Az informatikai biztonság összetevői Kritikus nemzeti infrastruktúrákban alkalmazott informatikai rendszerek kormányzat kereskedelem szállítás energia kommunikáció Felkészülés a lehetséges információs támadásokra kutatás fejlesztés beszerzés képzett szakember képzett felhasználó Informatikai erőforrás menedzsment koncepciók (stratégiák) eljárások, módszerek hardver-szoftver Az informatikai biztonság alapkövetelményei 1. rendelkezésre állás, elérhetőség (az arra jogosultak számára) 2. sértetlenség (sértethetetlenség) 3. bizalmas kezelés (minősítésnek megfelelő szintű) 4. hitelesség 5. zárt védelem: olyan védelem, amely az összes releváns fenyegetést figyelembe veszi 6. teljes körű: a védelmi intézkedések a rendszer összes elemére kiterjednek 7. működőképesség, folytonosság: a védelem az időben változó körülmények és viszonyok ellenére is folyamatosan fennáll 8. kockázatokkal arányosság: egy kellően nagy intervallumban a védelem költségei arányosak a potenciális kárértékkel Szabályozás Informatikai rendszer tervezésre Informatikai rendszer bevezetésére Informatikai rendszer használatára Biztonsági intézkedések bevezetésére Biztonsági intézkedések betartatására (ellenőrzésére) (kockázatminimalizálás és egyenszilárdság) 4

Az informatikai biztonság szabályozói Nemzetközi szabályozók Hazai szabályozók A szervezetre vonatkozó szabályozók Nemzetközi szabályozók Orange Book TCSEC (Trusted Computer System Evaluation Criteria, Az USA Védelmi Minisztériumának informatikai biztonsági követelménygyűjteménye TCSEC csoportokra, azon belül osztályokra bontható. D csoport Minimális védelem. E csoportot a TCSEC hatástalannak, érdemtelennek tekinti az informatikai biztonság szempontjából. C csoport Szelektív és ellenőrzött védelem. o C1 osztály: korlátozott hozzáférés-védelem, a hozzáférési jogok megvonással szűkíthetőek o C2 osztály: nem szabályozott, de ellenőrzött hozzáférés-védelem, a hozzáférési jogok odaítélése egyedre/csoportra szabott B csoport Kötelező és ellenőrzött védelem. o B1 osztály: címkézett és kötelező hozzáférés-védelem, a hozzáférhető alanyokat és a hozzáférés tárgyait a hozzáférési mechanizmust szabályozó címkével látják el kötelező jelleggel o B2 osztály: strukturált hozzáférés védelem, az alanyok azonosítását és a hozzáférés ellenőrzését elkülönített referencia-monitorral végzik o B3 osztály: a védelmi területek elkülönülnek, a biztonsági felügyelő, operátor és a felhasználó biztonsági funkciói és jogai elkülönülnek egymástól, a biztonsági szempontból kritikus részek elválasztása már a rendszer tervezése során megtörténik A csoport Matematikailag bizonyítható előírások, specifikációk, melyek gyakorlati megvalósítása a nagyon nagymértékű ráfordítások miatt elenyésző mértékű. ITSEC - Information Technology Security Evaluation Criteria Az Európai Közösség által kiadott biztonsági ajánlás, mely kiindulási alapként a TCSEC-et tekintette. Az ITSEC az alábbiak leírását tartalmazza: megbízható informatikai rendszerek alapfunkciói, funkcionalitási (biztonsági) osztályok, védelmi mechanizmusok, minősítési kritériumok és minősítési fokozatok Alapfenyegetettségek, ami ellen az ITSEC hat Alapfunkciói: a bizalmasság elvesztése, a sértetlenség elvesztése és a rendelkezésre állás elvesztése 1. azonosítás (identifikáció) 2. hitelesítés (autentizálás) 3. jogosultság kiosztás (jogkezelés) 4. jogosultság ellenőrzés 5. bizonyíték biztosítás 5

6. újraindítási képesség 7. hibaáthidalás és a funkcionalitás biztosítása 8. átviteli biztonság Biztonsági osztályok D minimális védelem C korlátozott védelem B megbízható védelem A verifikált védelem Biztonsági szintek minősítési fokozatok Q0, Q1, Q2: olyan rendszerek, amelyek nem vagy csak kevés védelmet nyújtanak a külső támadások ellen, de a hibáktól védenek, Q3, Q4, Q5: olyan rendszerek, amelyek a jónak minősíthetőtől a kiválóig terjedő védelmet nyújtanak a támadások ellen, Q6, Q7: olyan védelemmel rendelkező rendszer, amely nem leküzdhetőnek minősíthető CTCPEC is the Canadian Trusted Computer Product Evaluation Criteria - FP Federal Criteria A TCSEC és az ITSEC egyesítése. Common Criteria for Information Technology Security Evaluation (CC) ISO szabványosítás http://www.commoncriteriaportal.org/ Hazai szabályozók Informatikai Tárcaközi Bizottság (ITB) kormányzati ajánlásai: 8. sz. Informatikai rendszerek biztonsági követelményei módszertani útmutató, http://www.itb.hu Célja: megismertetni a veszélyeket Informatikai Biztonsági Koncepció készítés (ITBK) alapjai kockázat elemzés védelmi intézkedések rendszertechnikai alapjai intézményi háttér kialakítása Az adatkezelésre vonatkozó szabályozók 1995. évi LXV. törvény az államtitokról és a szolgálati titokról 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1990. évi LXXXVI. törvény a tisztességtelen piaci magatartás tilalmáról 1991. évi LXIX. törvény a pénzintézetekről és a pénzintézeti tevékenységről (üzleti titok, Banktitok) 1990. évi XCI. törvény az adózás rendjéről (Adótitok) 1957. évi IV. törvény az államigazgatási eljárás általános szabályairól (szolgálati titok) stb., lásd : http://www.itb.hu/ajanlasok/a12/html/a12_10.htm A szervezetre vonatkozó szabályozók pl. honvédelmre NATO INFOSEC, COMPSEC, COMSEC Biztonsági értékelés Informatikai biztonság és a szervezet vezetése Információ erőforrás, a tevékenység eszköze és tárgya Anyagi folyamatok informatikai eszközök Interoperabilitás (szabványos v. közös ajánlásoknak megfelelő információ hozzáférés biztosítása) 6

Szervezet vezetőjének felelőssége: Az IT biztonság megteremtése, terveztetés, szabályozás, korlátozás A feladat behatárolása érintetett folyamatok és szervezeti egységek költségtervek határidők A résztvevők kijelölése informatikai vezető specialisták külső szakértők A résztvevők motiválása a feladat fontossága, bizalmassága előzetes tájékoztatás, véleménykérés A feltételek biztosítása szellemi, anyagi, technikai erőforrások tervezése, biztosítása A feladat indítása projekt terv alapján) A feladat ellenőrzése Döntés Jóváhagyás beszámoltatás Helyzetfelmérés Kiterjed pl.: Szervezeti szintekre személyes részvétel a felmerülő alternatívák között Az intézkedések átvezetése a feladat és a felelősség körök rögzítése az informatika részleg és a felhasználók közötti kommunikáció rögzítése Az informatika részleg humán erőforrás biztosítása feladat és felelősség körök rögzítése, dokumentálása Informatikai stratégia kidolgozása rendszergazdák, felhasználók képzése Az informatikai rendszer jogosultságok, hozzáférések naplózás tartalék rendszerek hibakezelés rendszer és felhasználói programok legalitása Adatok tárolása Archiválás bizalmas, minősített adatok tárolása, védelme, titkosítása 7

szabályozása hardver és szoftver eszközeinek biztosítása dokumentálása, nyilvántartása tesztelése Informatikai veszélyhelyzet kezelése katasztrófa terv Az informatikai biztonság megteremtése Biztonságpolitika A biztonság akkor kielégítő mértékű, ha a védelemre akkora összeget és oly módon fordítunk, hogy ezzel egyidejűleg a támadások kockázata (kárérték bekövetkezési gyakoriság) az elviselhető szint alá süllyed. Projektterv az informatikai biztonság megteremtésére előmunkálatok, a projekt kialakítása informatikai biztonsági koncepció kialakítása (IBK) a kezelt információk biztonságának igényszint meghatározása potenciális veszélyforrások feltárása kockázatok elemzése kockázat menedzselés (költség-haszon elelmzéssel) rendszerterv elkészítése (IBR) a rendszer megvalósítása o hardver/szoftver beszerzés o eszközök telepítése o szakállomány kiképzése o alkalmazók betanítása átállás az új rendszerre a rendszer használata o folyamatos naplózás o szúrópróba ellenőrzés utómunkálatok: jelentések esetleges módosítási javaslatok Rendszertervezés módszertanok SSADM (Structured Systems Analysis and Design Method) Megvalósíthatósági elemzés Követelmény-meghatározás Adatfolyam-modellezés Logikai adatmodellezés Rendszerszervezési alternatívák kialakítása Funkciómeghatározás Relációs adatelemzés Specifikációs prototípus-készítés Egyed-esemény modellezés Rendszertechnikai alternatívák kialakítása IT - Sicherheitshandbuch. KBSt A védelmi igény meghatározása 8

fenyegetettség elemzés kockázat elemzés informatikai biztonsági koncepció készítése informatikai rendszer kiválasztása biztonsági szoftver tervezése, illesztése informatikai biztonsági szabályzat készítése informatikai biztonsági követelmények átvezetése más szabályzatokon a rendszer bevezetése, üzemeltetése az működési mechanizmusok és az előírások betartatásának ellenőrzése informatikai biztonsági rendszer felülvizsgálata módosítások informatikai biztonsági rendszerben Egy informatikai rendszer alap fenyegetettségei a bizalmasság elvesztése, a sértetlenség elvesztése, a hitelesség elvesztése, a rendelkezésre állás elvesztése, a funkcionalitás elvesztése Információ védelem: a bizalmasság, a sértetlenség, a hitelesség védelme A megbízható működés: a rendelkezésre állás és a funkcionalitás biztosítását jelenti Fenyegetettségek Kár Anyagi, dologi, személyi károk Károk a szervezet, a politika és a társadalom területén Károk a törvények és előírások területén Károk a gazdaság területén Károk a tudomány területén 9

0: jelentéktelen kár 1: csekély kár Biztonsági osztályok közvetlen anyagi kár: egy embernappal állítható helyre nincs bizalomvesztés, a probléma a szervezeti egységen belül marad testi épség jelentéktelen sérülése egy-két személynél nem védett adat bizalmassága vagy hitelessége sérül közvetlen anyagi kár egy emberhónappal állítható helyre társadalmi-politikai hatás: kínos helyzet a szervezeten belül könnyű személyi sérülés egy-két személynél hivatali, belső (intézményi) szabályozással védett adat bizalmassága vagy hitelessége sérül 2: Közepes kár (alap) közvetlen anyagi kár egy emberévvel állítható helyre társadalmi-politikai hatás: bizalomvesztés a tárca középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel több könnyű vagy egy-két súlyos személyi sérülés személyes adatok bizalmassága vagy hitelessége sérül egyéb jogszabállyal védett (pl. üzleti, orvosi) titok bizalmassága vagy hitelessége sérül 3: Nagy kár (fokozott) közvetlen anyagi kár 1-10 emberévvel állítható helyre társadalmi-politikai hatás: bizalomvesztés a tárca felső vezetésében, a középvezetésen belül személyi konzekvenciák több súlyos személyi sérülés vagy tömeges könnyű sérülés szolgálati titok bizalmassága vagy hitelessége sérül szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül banktitok, közepes értékű üzleti titok bizalmassága vagy hitelessége sérül 4: Kiemelkedően nagy kár (kiemelt) katonai szolgálati titok bizalmassága vagy hitelessége sérül közvetlen anyagi kár 10-100 emberévvel állítható helyre társadalmi-politikai hatás: súlyos bizalomvesztés, a tárca felső vezetésén belül személyi konzekvenciák egy-két személy halála vagy tömeges sérülések államtitok bizalmassága vagy hitelessége sérül nagy tömegű szenzitív személyes adat bizalmassága vagy hitelessége sérül nagy értékű üzleti titok bizalmassága vagy hitelessége sérül Katasztrofális kár közvetlen anyagi kár több mint 100 emberévvel állítható helyre társadalmi-politikai hatás: súlyos bizalomvesztés, a kormányon belül személyi konzekvenciák tömeges halálesetek különösen fontos (nagy jelentőségű) államtitok bizalmassága vagy hitelessége sérül A védtelenség fokozatai Természetes védtelenség Potenciális védtelenség 10

Kihasználható védtelenség Nem kihasználható védtelenség Maradék védtelenség Természetes védtelenség Lehetővé teszi a visszaélést minimális felismeréssel képességgel képzettséggel eszközzel Potenciális védtelenség Létezése sejthető, de nem kezelt Kihasználható védtelenség Az adott környezetben kihasználható Nem kihasználható védtelenség Az adott környezetben sem kihasználható Maradék védtelenség Az adott környezetben nem kihasználható, de más környezetben igen 11

Az IT fenyegetettség világa Potenciális ellenség Elégedetlen alkalmazott Konkurencia Jogosulatlan alkalmazott Hackers Bűnözők Szervezett bűnözés Terroristák Ügynökségek Természeti katasztrófák Lehetséges motivációk Hozzáférés minősített, érzékeny vagy védett adatokhoz Megsérteni, vagy megfigyelni valamely művelet tárgyát Megsemmisíteni valamely művelet tárgyát Pénzt, terméket vagy szolgáltatást lopni Hozzáférni ingyen- valamely erőforráshoz Megbénítani valamit Alkalomszerű, nem kiszámítható motivációk Unalom Nem lehet felderíteni Revans Lehetséges támadások Lehallgatás Hálózati támadás Belső támadások HW/SW forgalmazás Fizikai behatolás Technológiai támadások Az informatikai rendszer elemeinek csoportosítása, azok gyenge pontjai és fenyegető tényezői 12

a környezeti infrastruktúra elemei, a hardver elemek, az adathordozók, a dokumentumok, a szoftver elemek, az adatok, a kommunikáció elemei, A rendszerelemekkel kapcsolatba kerülő személyek. Kockázat elemzés A potenciális károk szervezett azonosítása, és ellenlépések foganatosítása a veszteségek mérséklésére, elkerülésére. A kockázat elemzés vizsgálja a biztonságpolitikai előírások folyamatos betartását, és folyamatosan fejleszti az előírásokat. Biztonsági stratégia Védelmi célok meghatározása - törvényi környezet! Minimális követelmények meghatározása Információvédelem o az azonosítás és a hitelesítés folyamatának kialakítása o a hozzáférés rendszerének felépítése jogosultság kiosztás o a hozzáférés-ellenőrzés rendszerének megvalósítása jogosultság ellenőrzés, o a bizonyítékok rendszerének és folyamatának kialakítása Megbízható működés o a hiba áthidalás folyamatának kialakítása o az újraindítási képesség megvalósítása Biztonsági intézkedések megtervezése, katasztrófa-elhárítás Informatikai Biztonsági Szabályzat (IBSz) IT biztonság = Hálózati biztonság hardver eszközök Útválasztási (routing) és kapcsolási (switching) technológia Spam & Virus Blocker Adaptív biztonsági készülékek Szoftver eszközök Az operációs rendszer megválasztása (LINUX VISTA XP Windows 7 Legújabb frissítések és biztonsági szoftverek telepítése a rendszerre. Forgalomszűrés o Spam/Kémprogram/ eltávolító alkalmazás pl. detects and removes spyware. 4 fázisú procedura: o vírusok Az email cím vizsgálata (White/Black List) IP cím vizsgálata (Real-time Blackhole List) vírusmentesség vizsgála tartalom vizsgálat (Bayes-féle szűrés) Rezidens vírusok Közvetlenül fertőző vírusok: 13

Tűzfalak o Csomagszűrő tűzfalak o SOCKS tűzfalak o Proxy tűzfal o Dinamikus csomagszűrő tűzfal Behatolás érzékelés Felhasználó azonosító programok/rendszerek Adat és kommunikáció titkosítás Digitális aláírás: Az operációs rendszer és a víruskereső program frissítése Rendszerinformáció mentése Komplex hálózati biztonsági alkalmazások Belső és külső hálózati támadások ellen véd. Biztosítja minden kommunikáció bizalmas jellegét, bárhol és bármikor Ellenőrzi az információkhoz való hozzáférést azzal, hogy pontosan azonosítja a felhasználókat és rendszereiket. Megbízhatóbbá teszi a vállalatot Biztonsági technológiák előnye Az ügyfelek bizalma Mobilitás Fokozott termelékenység Csökkenő költségek Törvényi környezet 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1998. évi VI. törvény "Egyezmény az egyének védelméről a személyes adatok gépi feldolgozása során 1978. évi IV. törvény a Büntető Törvénykönyvről (Számítógépes csalás) Fájdalmas pontok Előírás Költség Komplikált A biztonság leggyengébb láncszeme, az ember - nem létezik olyan, hogy 100%-os biztonság! 14

Alapfogalmak és kapcsolataik Tanúsítás Certification Az informatikai rendszer biztonsági szolgáltatásainak és más védelmi mechanizmusainak átfogó, technikai és nem technikai szintű felülvizsgálata, az akkreditációs folyamat során, egyértelmű mérőszám meghatározása céljából, amely megmutatja, hogy a termék/implementált rendszer milyen mértékben fedi le a meghatározott biztonsági követelményeket. Akkreditáció Megfelelő kompetenciával rendelkező AUDITOR formális nyilatkozata, hogy a rendszer: Milyen biztonsági üzemmódban működik Milyen előre meghatározott védelmi mechanizmusokat használ A kimutatható védtelenségek esetén, egy jól definiált támadás hatására milyen ellenintézkedéseket foganatosít Milyenek az üzemeltetési feltételek Milyen hatással járnak más IT rendszerekkel történő összekapcsolások Mindezek elfogadható kockázati szinttel járnak-e (auditor felelősége) Megadja a vizsgálat időtartamát 15

Irodalom jegyzék SZERZŐ: Váncsa Julianna CÍM: Az informatikai biztonság alapjai KIADÓ: ZMNE jegyzet 2000 SZERZŐ: Csala Csetényi Tarlós CÍM: Informatika alapjai (3. rész) KIADÓ: Computerbooks, 2001 SZERZŐ: Muha Lajos - Bodlaki Ákos CÍM: Az informatikai biztonság KIADÓ: Pro-Sec, 2001 SZERZŐ: Bodlaki Ákos, Csikely Judit, Endrédi Gábor, Lajos Muha CÍM: Az informatikai biztonság kézikönyve KIADÓ: Verlag Dashöfer Ltd., 2000 SZERZŐ: Tatárka István CÍM: A katasztrófavédelem informatikai támogatásának megszervezése és eddigi eredményei. KIADÓ: Belügyi szemle, ISSN 1218-8956, 2004. (52. évf.), 7-8. sz., 162-171. p. SZERZŐ: Az Informatikai Tárcaközi Bizottság CÍM: Informatikai rendszerek biztonsági követelményei honlapok: Az Informatikai Tárcaközi Bizottság ajánlásai: http://www.itb.hu Hálózati biztonság: http://internet.lap.hu SSADM strukturált rendszerelmezési és tervezési módszer kézikönyv: http://www.inf.u-szeged.hu/projectdirs/bohusoktat/regi/vallanyagok/ssadm.pdf Letölthető szabályzat és utasítás minták: http://www.docca.hu Vonatkozó jogszabályok: http://www.itb.hu/ajanlasok/a12/html/a12_10.htm Kempelen Farkas Digitális Tankönyvtár (KFDT): http://www.tankonyvtar.hu/main.php 16

Ellenőrző kérdések 1. Milyen fenyegetettségekkel szemben kellett védekezni a védelmi rendszereknek korábban illetve kell ma? 2. Sorolja fel védelmi rendszerek kiépítésének és működtetésének főbb okait és eszközeit! 3. Mit kell biztosítania egy jelző és riasztó infrastruktúrára épülő rendszernek? 4. Soroljon fel kritikus infrastruktúrákat! 5. Mit takar az informatikai biztonság fogalma, mi az informatikai biztonság célja? 6. Definiálja az informatikai biztonság alapkövetelményeit! 7. Sorolja fel az informatikai biztonság hazai és nemzetközi szabályozóit! 8. Milyen biztonsági osztályokat határoz meg az TCSEC (jellemezze ezeket)? 9. Milyen biztonsági osztályokat határoz meg az ITSEC (jellemezze ezeket)? 10. Mire terjed ki egy szervezet vezetőjének felelőssége az IT biztonság területén? 11. Mire terjed ki egy megalapozott helyzetfelmérés? 12. Mi a kielégítő mértékű biztonság (biztonságpolitika)? 13. Sorolja fel egy informatikai rendszer alap fenyegetettségeit 14. Soroljon fel példákat egy informatikai rendszer biztonságát veszélyeztető fenyegetésekre! 15. Sorolja fel és jellemezze a biztonsági osztályokat a kár mértéke szerint! 16. Milyen motivációból és mik (kik) lehetnek egy IT rendszer potenciális ellenségei? 17. Melyek az IT biztonság (kiemelten hálózati biztonság) hardver eszközei? 18. Melyek az IT biztonság szoftver eszközei? 17

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés