ÁROP-2.2.21-2013
A közreműködők éves továbbképzésének bemutatása Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem
Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe
A képzések célcsoportjai ÁROP-2.2.21-2013
•
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet az infobiztonsági képzéseket az NKE gondozásába helyezte.
•
Célcsoportok: – elektronikus információs rendszerek védelméért felelős vezetők, – elektronikus információs rendszer biztonságáért felelős személyek, – elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek.
•
A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.
A tisztviselői képzések jogszabályi háttere
ÁROP-2.2.21-2013
•
A közszolgálati tisztviselőkről szóló 2011. évi CXCIX. Törvény 80-81.§ – NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, – a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik).
•
A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. Rendelet – továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok
•
12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról – Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók, felkészítése, ellenőrzése, bizonylatok kezelése stb.)
A továbbképzés intézményrendszere ÁROP-2.2.21-2013
KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring
Irányítás, szabályozás
- követelmények - programok minősítése - névjegyzékek
Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása
KTK
NKE
Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás
- Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése
Tisztviselők továbbképzési programjainak típusai Közszolgálati továbbképzési programok (csak az NKE nyújthatja)
Vezetőképzési programok (csak az NKE nyújthatja)
Szakmai és kompetenciafejlesztő továbbképzési programok
Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓBIZTONSÁGI KÉPZÉSEK
Belső továbbképzések (közigazgatási szervek)
Tisztviselők képzési kötelezettsége ÁROP-2.2.21-2013
• • • •
A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül -
-
Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés,
középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: -
16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.
Információ-biztonsági képzések típusai ÁROP-2.2.21-2013
Képzés célcsoportja
Képzés célja, neve
Képzés típusa
Óraszá m
Tanulmán yi pontérték
Képzés díja
elektronikus információs rendszerek védelméért felelős vezetők
Belépő képzés
Elearning
8
8
8.000 Ft
elektronikus információs rendszer biztonságáért felelős személyek Elektronikus információbiztonsá gi feladatok ellátásában résztvevő személyek
Éves továbbképzés
Elearning
8
8
8.000 Ft
EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés
Blended learning
320
48
149.000 Ft/félév
Éves továbbképzés
Elearning
50
32
50.000 Ft
Belépő képzés
Elearning
50
32
50.000 Ft
Éves továbbképzés
Elearning
25
16
25.000 Ft
Képzések igénybevétele - tisztviselők ÁROP-2.2.21-2013
A továbbképzési kormányrendelet hatálya alá tartozó jelentkezők (éves képzési tervvel rendelkező tisztviselők) számára a teljesítés feltétele: •A megfelelő programot – ha még nem történt meg – fel kell venni az éves képzési tervbe (ezt a munkáltató tudja elvégezni), •A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). A befizetéshez szükséges adatok megtalálhatóak a https://vtki.uni-nke.hu oldalon, a továbbképzések menüpont alatt, az elektronikus információbiztonsági képzések almenüben. Akik felvették a képzést a képzési tervbe, e-mailben kapnak jelzést arról, hogy meghirdetésre került a képzés (kivéve: EIV, ott közvetlenül kommunikálnak a szervezők az érintettekkel). Az e-learning típusú továbbképzési programokat a szorgalmi időszak során, 2014. júniustól kezdődően, fokozatosan hirdetjük meg. A tisztviselő kiválasztja a neki megfelelő kurzust (időszakot), és abban az időszakban hozzá fog férni a https://probono.uni-nke.hu oldalról az e-learning tananyaghoz. A hozzáférés előfeltétele hogy regisztrálva legyen a Probono (korábban TVP) oldalon. Sikeres teljesítés esetén a rendszer automatikusan legenerálja a tanúsítványt, amit letölthetnek a tisztviselők a Probono oldalról. Az EIV képzések megszervezése, meghirdetése NEM a Probono oldalon történik, ez ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.
Képzések igénybevétele – nem tisztviselők ÁROP-2.2.21-2013
A Továbbképzési rendelet személyi hatálya alá nem tartozó (nem közszolgálati tisztviselői jogviszonyban lévő) jelentkezők számára a képzések megkezdésének feltétele, hogy •a jelentkező – a munkáltató hozzájárulásával – a továbbképzésre jelentkezzen (a jelentkezési lap letölthető a honlapról). •A továbbképzés díja a képzés megkezdéséig átutalással befizetésre kerüljön (a képzés díját a továbbképzési programjegyzék tartalmazza). Egy munkáltató több tisztviselő képzési díját is befizetheti (amennyiben a tisztviselők azonos képzésre jelentkeznek). Ebben az esetben kérjük, a jelentkezési lapokkal és a befizetés igazolásával együtt jelezzék az NKE felé írásban, hogy mely tisztviselők képzési díját fizetik be. A befizetést igazoló szelvény másolatát, valamint azon tisztviselő(k) nevét, aki(k)nek a képzést befizették a következő címre kérjük postai úton eljuttatni: Vezető- és Továbbképzési Intézet, 1518 Budapest, Pf. 26.Kérjük, a küldeményen tüntessék fel: „Elektronikus információbiztonsági képzésre jelentkezés”. Ezt követően a jelentkezőknek be kell regisztrálnia a https://probono.uni-nke.hu oldalon nem tisztviselő szerepkörbe, majd regisztrációjuk jóváhagyása után kapnak hozzáférést az e-learning tananyaghoz. A tananyag elvégzése után szintén a Probono felületről tölthetik le a rendszer által generált tanúsítványt.
ÁROP-2.2.21-2013
E-learning képzések módszertana
Az e-learning fogalomrendszere
ÁROP-2.2.21-2013
• E-learning: olyan tanítási és tanulási forma, amiben a tananyag feldolgozásához, bemutatásához, a szemléltetéshez vagy akár a kommunikációhoz digitális médiumokat (például DVD, CD-ROM, Internet) használunk. • Szinonimái: online tanulás, távtanulás, számítógéppel támogatott tanulás, multimédia alapú tanulás stb. • Jellemzői: • • • •
Rugalmas tanulási forma, a résztvevő akár otthon, önállóan, a saját időbeosztásuk szerint sajátíthatják el a tananyagot. A tananyagok az interneten keresztül érhetőek el (az infobiztonsági képzések tananyagai a https://probono.uni-nke.hu oldalon keresztül). A hagyományos oktatáshoz képest több szemléltetést (ábrák, képek, animációk, stb.) alkalmaz. A résztvevők munkáját – képzéstől függően – tutorok segíthetik (internetes válaszadás, fórumozás, feladatok kiadása, csoport mozgatása).
E-learning módszerek, tananyagtípusok
ÁROP-2.2.21-2013
Az e-learning tananyagoknak számos módszertana, megjelenítési formája létezik. Ezek önállóan, illetve egy adott tananyagon belül vegyesen is előfordulnak. Az NKE elearning tananyagfejlesztései során alkalmazott főbb típusok: •E-book: tördelt, kereshető szöveges anyag, amely a hagyományos tankönyvi tanulást előnybe részesítők körében a legszívesebben használt forma. •Prezentáció jellegű tananyag: a prezentáció slide-jaihoz hasonló (azoknál rugalmasabb, nagyobb terjedelem strukturált bemutatására alkalmas) képernyőkből felépülő tananyag. Ilyen jellegűek az információbiztonsági e-learning tananyagok is. •Videós tananyag: a képernyőn az oktató látható, aki – egy egyetemi előadáshoz, egy jelenléti oktatáshoz hasonlóan – elmondja a tananyagot. A megértést segítendő a háttérben futhat egy prezentáció. Ilyen esetben az időjárás-jelentéshez hasonló greenbox-technikával történik az előadás felvétele, majd a prezentációval való összeillesztése. •Animációs tananyag: rajzfilmszerű megjelenítési mód, kiválóan alkalmas rövidebb kis történetek, jelenetek bemutatására.
A tananyag felépítése, főbb elemei
ÁROP-2.2.21-2013
A prezentációs típusú e-tananyagok elemei a következők: •Törzsanyag: a tananyag legfontosabb információit tartalmazza, szöveges formában, valamint képek, ábrák stb. formájában. •Szakanyag: a tananyaghoz készített írott jegyzet, ami gyakran az adott témakör mélyebb szintű bemutatására is alkalmas. •Fogalomtár: a tananyagban előforduló fogalmak magyarázata. A törzsanyagból link segítségével előhívható a megfelelő fogalom magyarázata. •Kinyitható/bezárható szövegdobozok: A törzsanyaghoz nem tartozó, de hasznos, érdekes többlet tudáselemek, amelyeket a felhasználó tud kinyitni, bezárni. •Önellenőrző kérdések: a tananyag elsajátítását segítő kérdések, amelyekre a tanulási folyamat közben tud válaszolni a felhasználó. Nem azonos a vizsgával. •Szakirodalom, hasznos linkek: közvetlenül nem a tananyaghoz tartozó, mélyebb ismeretek szerzését elősegítő hivatkozások. •Záró teszt: vizsgakérdések gyűjteménye.
A tananyag követelményei ÁROP-2.2.21-2013
• A tananyagok sikeres teljesítéséhez a záró teszt kérdéseit kell az előírt %-os mértékben helyesen megválaszolni. • A záró tesztet az e-learning keretrendszer véletlenszerűen állítja össze minden egyes vizsgázó számára egy nagyszámú kérdést és választ tartalmazó kérdésbankból. • A főbb kérdéstípusok: • • • • •
Egyszerű választás, Többszörös választás, Sorba rendezés, Párosítás, Mondat kiegészítés.
• A záró tesztet három alkalommal lehet megkísérelni teljesíteni, a harmadik sikertelen próbálkozás után a képzés elvégzése eredménytelennek minősül.
A KÖZREMŰKÖDŐK ÉVES KÉPZÉSÉNEK ÁTTEKINTÉSE 2014.05.30.
16
Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások
Jogalanyok széles körben
Szabályozatlan KII pl. KI tv. kibervédelem nélkül
Szervezeti biztonsági szint
Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem
Információbizton -sági felügyelő
Szabályozási indokok
Alapvető biztonsági elvárások
Biztonsági osztályba sorolás
Biztonsági vezető és felelős
Szervezetek feldatai (Hatóság, NBF, CERT)
Kormányzati koordináció
Oktatás-kutatásfejlesztés
• Tervezhető védelmi felkészülés • Ellenőrzési és azonnali beavatkozási lehetőség • Számonkérhetőség • Kibervédelmi szabályozás alapja • Infobiztonsági kultúra elterjedése Várható eredmények
FELHŐ INFRASTRUKTÚRÁK BIZTONSÁG KÉRDÉSEI 2014.05.30.
18
A felhő első pillantásra
ÁROP-2.2.21-2013
Egy kis „történelem”
ÁROP-2.2.21-2013
Szolgáltat Szolgáltat Elnevezés: internet „felhő” ábra óó Koncepcionális előzmények: VPN mint telco szolgáltatás (fekete doboz) Virtualizáció (virtuális szerverek) SOA architektúra elvek Informatikai közmű gondolat (már a 60-as években) Evolúciós előzmények: Szerver virtualizációs technológiák Datacenterek elterjedése Amazon adatközpontok „felesleges” kapacitás kihasználás, (AWS) ……
Definíció, jellemzők
ÁROP-2.2.21-2013
• Cloud Computing: IT erőforrásoknak és kapacitásoknak – szolgáltatás alapú; – transzparens; – a felhasználó számára a fizikai megvalósítástól és üzemeltetéstől független igénybevétele, amely: • Megosztott erőforrásokon alapul; • Biztonságos; • On-demand jellegű igénybevétel és díjazás; • Azonnali rugalmasság és skálázhatóság az igénybevett kapacitásokban; • Többé-kevésbé önkiszolgáló rendszer, többé-kevésbé automatizált aktiválással; • Közmű jelleg, standardizáltság.
Mi van a felhőben? „IT erőforrások és kapacitások”
ÁROP-2.2.21-2013
Fogalmak, terminológia •
Megvalósulási rétegek: XaaS (…. as a Service)
ÁROP-2.2.21-2013
Rendszer-felügyelet és adminisztráció
Cloud referencia modell
ÁROP-2.2.21-2013
Szolgáltatás alapú IT
ITIL v3 szerinti szolgáltatásmodell
ÁROP-2.2.21-2013
Miben más a cloud? Hagyományos IT szolgáltatás: (pl. datacenter hosting, outsourcing, managed service providers)
Cloud szolgáltatás:
•
Technológia- és/vagy eszköz igénybevételi szolgáltatások
•
Portfolió alapú, ondemand alapú kínálat (katalógus)
•
Hosszútávú szerződéses keretek Statikus szerződési feltételek
•
Dinamikus szerződési feltételek Igénybevétel/használat alapú díjazás
Egyedi, ügyfélhez igazodó, testre szabott környezetek
•
• •
•
Standardizált, egységes, egyedi megoldásokat nem támogat
ÁROP-2.2.21-2013
Hogyan működik? – belső technológia
ÁROP-2.2.21-2013
• • • • • • • •
Egyesített infrastruktúra konglomerátum (hw, sw, meta-OS) Szolgáltatás-katalógus Self-service portal Cloud-maps: előre definiált templatek az elterjedt alkalmazási környezetek számára Orchestration: azonnali skálázhatóság, erőforrások és kapacitások on-demand vezérlése Vegyes op.r. támogatás Egységes monitorozás IT biztonsági szolgáltatások
Automatizmusok • Self-service portal • Szolgáltatás igénylés • Autoprovisioning folyamat indítása
• Szolgáltatás-katalógus • • • •
Igényelhető termékek, szolgáltatások listája Product layer (ár, SLA, kereskedelmi info) Service layer (szolg. Technikai összetétele) Resource layer (pl. server, VM, storage, etc.)
• Szolgáltatás aktiválás • Automatizált igénylési és indulási folyamat • Standardizált környezet „azonnali” indulása • Szolgáltatás életciklus menedzsment
ÁROP-2.2.21-2013
Kiépítettségi szintek (deployment model)
ÁROP-2.2.21-2013
• Private cloud: – egyetlen felhasználó szervezet számára történő üzemelés, – külső v. belső helyszínen • Public cloud: – megosztott erőforrások, – több önálló szervezet, – pay-per-usage alapon (service provider) • Community (public zárt körben): üzleti partnerek, kormányzat, stb. • Hibrid: vegyes cloud üzem egységes keretben, saját és cloud szolgáltatások együttélése Hagyományo s
Private
Public
Túl a technológián – az átállás kérdései
ÁROP-2.2.21-2013
• T&T projektek, szervezeti keretek és szerepkörök, üzemeltetés változásai • Tervezés, onboarding, átállás, menedzsment és irányítás • Teljes körű alkalmazás-konszolidációs portfolió: hatékonyság, modernizáció, racionalizálás és átalakulás összekapcsolása • Speciális célzott szolgáltatás AT2C (Application-to-Cloud): alkalmazás szintű átállás-elemzés, üzleti és technológiai átállási készültség felmérése • újfajta IT működés, belső erőforrások és feladatok átalakulása: a hangsúly a technológiai területről logikai szintre tolódik
Ösztönzők és kihívások (pro és kontra)
ÁROP-2.2.21-2013
• Motivációs tényezők: – – – –
Beruházás nélküli erőforrás rendelkezésre állás, gyors indulás Megosztott, ezáltal optimális és hatékony erőforrás használat Gyors műszaki alkalmazkodás, architektúra váltás Rugalmas kapacitás-felhasználás és –lekötés, pl ideiglenes feladatoknál: tesztelés, oktatás, fejlesztési környezet, kampány jellegű feldolgozások – Zöld IT
• Leggyakoribb fenntartások: – Cloud erősen standardizált jellege vs. egyedi elvárások az IT-vel szemben üzleti oldalról – Jogi környezet, szabályozás, biztonság, adatkezelés
• Minden fenntartásra van jó megoldás, sőt!
A cloud biztonságával kockázatok
ÁROP-2.2.21-2013
• Megosztott erőforrások miatti problémák
• Cloud szolgáltatás befejezése • Cloud szolgáltató felvásárlása • Szállítási lánc megszakadása • • • • • • •
Nem megfelelő törlés DDoS EDoS (Gazdasági DoS) Titkosító kulcs elvesztése Külső támadási próbálkozások Kompromittált szolgáltatási motor Nem megfelelő hardening
• Üzemeltetési naplók sérülése • Biztonsági naplók elvesztése • Mentések elvesztése • Nem jogosult fizikai hozzáférés • Lopás • Természeti katasztrófa Forrás: ENISA, Cloud Computing: Benefits, risks and recommendations for information security
Elvárt védelmi intézkedések
ÁROP-2.2.21-2013
Biztonsági előnyök
ÁROP-2.2.21-2013
• A korábban felsorolt kockázatok közül néhány éppen hogy előnnyé konvertálható megfelelő tervezéssel (ld. DDoS példája) • Összességében az alábbi biztonsági előnyök mutatkoznak a felhőre való áttérés esetében: – Szabványos interfészek a menedzselt biztonsági szolgáltatások felé – Az erőforrások gyors, intelligens skálázása – Auditálás és bizonyítékgyűjtés – Gyors, hatékony és hatásos frissítés és az elvárt biztonságos alapértelmezések beállítása – Biztonság az SLA-ban, jobb kockázatmenedzsment – Az erőforrások központosításából eredő előnyök • Gyorsabb, olcsóbb, jobb – de ehhez új nézőpontból kell a biztonságra tekinteni!
Felhőbiztonság vs. biztonság a felhőben
ÁROP-2.2.21-2013
• A cloud egyik új hozadéka, hogy nem csak az üzleti folyamatokat támogató megoldások felhősödnek, hanem a biztonsági megoldások is. • Jó példa erre a mobilbiztonság területe, ahol a gyártók a hagyományos szoftverek mellett párhuzamosan már cloud alapú megoldásokat is kínálnak, mert: – Hirtelen kell megoldást nyújtani; – Külön infrastruktúra telepítése nélkül; – Új szakemberek alkalmazása nélkül. • A biztonsági megoldások távoli kezelésével tehát költség takarítható meg, de legféltettebb titkaink kerülnek ki a kezeink közül (pl. naplóadatok). • De az outsourcing esetében nem így volt korábban is? • Csak a technológia más, a szemlélet és a szabályok változatlanok!
IRÁNYÍTÁSI RENDSZEREK ÉS MŰSZAKI VÉDELMI INTÉZKEDÉSEK 2014.05.30.
Orbán Géza képzésmódszertani referens NKE VTKI
36
Irányítási rendszerek ÁROP-2.2.21-2013
Irányítási rendszer –Rendszer politika és célok megfogalmazásához, valamint célok eléréséhez Minőségirányítási rendszer (ISO 9001) –Irányítási rendszer egy szervezet vezetésére és szabályozására, a minőség szempontjából
IBIR
ÁROP-2.2.21-2013
ISO/IEC 27001 Információbiztonság irányítási rendszer (IBIR) = –Information Security Management System (ISMS) Irányítási rendszer egy szervezet vezetésére és szabályozására, a információbiztonság szempontjából PDCA-elv alapján folyamatos biztonsági fejlesztést vár el Folyamatszemléletű megközelítést alkalmaz Nem csak IT Át kell gondolnunk a biztonságot
ISO/IEC 27000 sorozat
ÁROP-2.2.21-2013
• Előzmények: BS 7799, ISO/IEC 17799 • Sorozat : most 32 tag – – – – – – –
ISO/IEC 27000: Alapelvek és szótár ISO/IEC 27001: IBIR szabvány ISO/IEC 27002: Útmutató ISO/IEC 27003: Kialakítási irányelvek ISO/IEC 27004: Metrikák és mérés ISO/IEC 27005: Kockázatkezelés ISO/IEC 27006: Tanúsító szervre vonatkozó köv. 39
ISO/IEC 27001 Plan-Do-Check-Act (PDCA) Folyamatok idő dimenzióban
É r d e k e l t f e l e k
PLAN ISMS megalapozása
DO ISMS megvalósítása, működtetése
ACT ISMS továbbfejlesztése
IB követelmények elvárások
Menedzselt IB CHECK ISMS ellenőrzése
É r d e k e l t f e l e k 40
ISO/IEC 27001 PDCA lépések 4. ISMS tovább-fejlesztése 4.1 A feltárt hiányosságok alapján szükséges fejlesztések elvégzése 4.2 Megelőző/korrekciós intézkedések megvalósítása 4.3 A tanulságokból levezetett akciók
1. ISMS megalapozása
PLAN
1.1 ISMS definíció 1.2 ISMS politika
ACT
4.4 Az elért eredmények kommunikációja az érintett partnerek felé 4.5 Fejlesztés a védelmi célok elérése céljából
DO CHECK
1.3 Kockázatkezelési mód definíció 1.4 Kockázatok azonosítása 1.5 Kockázatok értékelése 1.6 Kockázatkezelési opciók elemzése 1.7 Védelmi célok és intézkedések meghatározása 1.8 SoA kezdeti meghatározása
3. ISMS ellenőrzése
2. ISMS megvalósítása, működtetése
3.1 Monitoring eljárások elvégzése
2.1 Kockázatkezelési terv kidolgozás
3.2 ISMS hatékonyság rendszeres ellenőrzése 3.3 Lokális és elviselhető kockázatok áttekintése
2.2 Kockázatkezelési terv megvalósítás 2.3 A védelmi intézkedések megvalósítása 2.4 Biztonságtudatosítási és tréning programok
3.4 Belső ISMS auditok
2.5 IT erőforrások biztonság-menedzselése
3.5 ISMS menedzsment általi rendszeres ellenőrzés
2.6 IT erőforrások működtetése
3.6 ISMS-t érintő akciók, események rögzítése
2.7 Eljárások a bizt. események detektálására/reakciójára 41
Kockázatkezelés
ÁROP-2.2.21-2013
• Kockázatokkal arányos védelem szükséges • Ár-érték arány • Elemi események értékelése (változó) – Fenyegetés hatása (I) – Bekövetkezési valószínűség (P) – Kockázat súlyossága R=I*P
• Elviselhető kockázat: vezetői döntés
42
Kockázatkezelés
ÁROP-2.2.21-2013
ISO/IEC 27005 Kockázatkezelési keretrendszer
43
Törzsrész: általános IR
ÁROP-2.2.21-2013
• A dokumentálás követelményei – A dokumentumok kezelése – A feljegyzések kezelése
• A vezetőség felelőssége – A vezetőség elkötelezettsége – Gazdálkodás az erőforrásokkal • Gondoskodás az erőforrásokról • Képzés, tudatosság és felkészültség
• Belső IBIR-auditok • Az IBIR vezetőségi átvizsgálása • Az IBIR fejlesztése – Folyamatos fejlesztés – Helyesbítő tevékenység – Megelőző tevékenység 44
27001 specifikum
ÁROP-2.2.21-2013
• Alkalmazhatósági nyilatkozat Statement of Applicability (SoA) – A kizárt kontrollokat tartalmazza a kizárás indoklásával – Opcionálisan az alkalmazott kontrollok megjelenési helyét (pl. vonatkozó szabályzat) hivatkozza be
45
Kontroll követelmények
ÁROP-2.2.21-2013
• A következőkben az ISO/IEC 27001:2013 szabvány A mellékletében található kontrollkövetelményeket tekintjük át • Csak ezekből lehet kizárni a SoA-ban
A.5 IB politika
ÁROP-2.2.21-2013
• Információbiztonsági politika – Az információbiztonsági politika dokumentuma – Az információbiztonsági politika átvizsgálása
47
A.6 Az információbiztonság szervezete
ÁROP-2.2.21-2013
• A.6.1 Belső szervezet – IB szerepkörök és felelősségek • Vezetője a CISO, mindig a felső vezetésnek kell jelentenie
– Feladatok szétválasztása • Fejlesztés és üzemelteltetés
– Kapcsolat a felhatalmazott szervezetekkel • Pl. CERT-ek, NEIH, NAIH, NMHH
– Kapcsolat speciális érdekcsoportokkal • IB szakmai szervezetek
– IB a projektmenedzsmentben • Projektek biztonsági felügyelete vö. műszaki ellenőr
• A.6.2. Mobileszközök és távmunka – Mobileszköz-politika • BYOD
– Távmunka • VPN, Remote Desktop/Terminal Server, CITRIX 48
A.7 Emberi erőforrások biztonsága •
ÁROP-2.2.21-2013
A.7.1 Az alkalmazás előtt – Átvilágítás • • •
Megbízhatóság, szabályok betartása, befolyásolás (erőszakos, anyagi) Rendelkezésre állás: betegség, családi háttér, káros szenvedélyek Beszállítók értékelése, biztonsági szempontból is
– Az alkalmazás kikötései és feltételei •
•
Szakértelem és annak hiánya
A.7.2 Az alkalmazás alatt – A vezetőség felelősségei •
Rávezetés (rákényszerítés) a biztonságos működésre
– Információbiztonsági tudatosság, képzés, oktatás •
Social engineering: információszerzés az emberek kihasználásával
– Fegyelmi eljárás •
•
Minden incidens esetén le kell folytatni
A.7.3 Az alkalmazás megszűnése vagy változtatása – A megszüntetés felelősségei • • •
Folyamat A vagyontárgyak visszaszolgáltatása A hozzáférési jogok visszavonása
49
A.8 Vagyontárgyak kezelése ÁROP-2.2.21-2013
• A.8.1 Felelősség a vagyontárgyakért – – – –
Vagyontárgyleltár A vagyontárgyak gazdája A vagyontárgyak elfogadható használata A vagyontárgyak visszaszolgáltatása
• A.8.2 Információ-osztályozás – Osztályozási irányelvek – Az információ megjelölése és kezelése – Vagyontárgyak kezelése
• A.8.3 Adathordozók kezelése – Az eltávolítható adathordozók kezelése – Adathordozók selejtezése • Biztonságos megsemmisítés: pl. többszörös törlés, demagnetizálás, darálás, 50 égetés
– Fizikai média szállítása
A.9 Hozzáférés-ellenőrzés 1 ÁROP-2.2.21-2013
• A.9.1 Hozzáférés-ellenőrzés üzleti követelményei – Hozzáférési politika – Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz
• A.9.2 Felhasználói hozzáférés-menedzsment – Felhasználók regisztrálása és törlése • Azonosítás (authentication) kijátszása: más felhasználó megszemélyesítése • Kitérő: jelszavak, azonosítás 3 faktora, biometria
– Felhasználói jogok kiosztása • Eljárás kialakítása
– Előjogok kezelése • Jogosultságok (authorization) kijátszása: meglévő jogosultságok kiterjesztése
– Felhasználók titkos azonosító adatainak kezelése • Password complexity requirements
– Felhasználói hozzáférési jogosultságok átvizsgálása – Hozzáférési jogosultságok visszavonása és változtatása
51
(Azonosítás faktorai)
ÁROP-2.2.21-2013
• Tudásalapú azonosítás – – – –
számítógépes környezet jellemző azonosítása PIN, jelszó, jelmondat probléma: feledékenység, Alzheimer kór szabadon többszörözhető
• Birtoklás alapú azonosítás – vagyonvédelmi beléptetés jellemző azonosítása – kártya, token – otthon marad, elveszik
• Tulajdonság alapú azonosítás – magasabb védelmi igény esetén jellemző – biometrikus azonosítás: ujjnyomat, írisz, stb.
• A három faktor különböző kombinációi alkalmazhatók
52
A.9 Hozzáférés-ellenőrzés 2 ÁROP-2.2.21-2013
• A.9.3 Felhasználók felelőssége – Felhasználók titkos azonosító adatainak használata • Jelszóhasználat
• A.9.4 Rendszer és alkalmazás hozzáférés-vezérlés – Információ-hozzáférés korlátozása • Adatok és alkalmazás-funkciók védelme
– Biztonságos bejelentkezési eljárások • Ctrl+Alt+Del
– Jelszókezelő rendszer • Interaktív menedzsment, jelszóminőség
– Rendszergazdai segédprogramok használata • DiskPart, MBR editor, Boot sequence, BIOS
– Forráskódhoz való hozzáférés
53
A.10 Kriptográfia
ÁROP-2.2.21-2013
• A.10.1 Kriptográfia intézkedések – A kriptográfiai intézkedések szabályzata • Szabályozni kell
– Kulcsmenedzsment • Védelem és érvényesség a teljes életciklusban
54
A.11 Fizikai és környezeti biztonság 1
ÁROP-2.2.21-2013
• A.11.1 Biztonsági területek – Fizikai biztonsági határzóna • Crime Prevention Through Environmental Design (CPTED)
– Fizikai belépési intézkedések • Aktív jogosulatlan hozzáférés (behatolás) – – – –
illetéktelen belépés korlátlan mozgás erőszakos behatolás őrizetlenül hagyás
• Passzív jogosulatlan hozzáférés (lehallgatás, megfigyelés) – akusztikus, elektromágneses, optikai
– Irodák, helyiségek és berendezések védelme 55
A.11 Fizikai és környezeti biztonság 2
ÁROP-2.2.21-2013
– Védelem külső és környezeti fenyegetések ellen • • • • • •
Tűz, robbanás Árvíz, belvíz, vízellátás meghibásodása Földrengés, rezgések (pl. villamos az utcán) Meteorológiai veszélyhelyzetek: villám, szélvihar Mérgező, korrozív, nukleáris anyagok Elektromágneses terek: interferenciát (EMI), meghibásodást okozhat, harcászati célra is alkalmazzák
– Munkavégzés biztonsági területen – Szállítás és rakodási területek
56
A.11 Fizikai és környezeti biztonság 3
ÁROP-2.2.21-2013
• A.11.2 Berendezések – Berendezések elhelyezése és védelme • Légállapot: hőmérséklet, páratartalom
– Közműszolgáltatások • Villamosenergia-ellátás: többszörös betáplálás, szünetmentes áramforrás lehet szükséges • Távközlési, informatikai becsatlakozások: többszörös becsatlakozás, eszközök duplikálása lehet szükséges
– Kábelezés biztonsága • Kábelcsatornák, alagutak: wiretap ellen
57
A.11 Fizikai és környezeti biztonság 4
ÁROP-2.2.21-2013
– A berendezés karbantartása • Műszaki megbízhatóság: Elöregedés, meghibásodás, gyártási, szerelési hibák
– Vagyontárgy eltávolítása • Előzetes engedélyezés kivitelhez
– Telephelyen kívül használt berendezés biztonsága – A berendezés biztonságos megsemmisítése vagy újrahasználata • Pl. plotter esete
– Felügyelet nélküli eszközök – Tiszta asztal, tiszta képernyő szabályzat 58
A.12 Üzemeltetési biztonság 1
ÁROP-2.2.21-2013
• A.12.1 Üzemeltetési eljárások és felelősségek – Dokumentált üzemeltetési eljárások • Hardver- és szoftver-dokumentációk: Telepítési tervrajzok, leírások elkészítés, megőrzése, egyedi fejlesztésű szoftverek
– Változásmenedzsment – Kapacitásmenedzsment – Fejlesztési, tesztelési és üzemeltetési környezetek különválasztása
• A.12.2 Védelem a rosszindulatú kódok (malware) ellen • Vírusok, rootkitek, férgek, kémprogramok, botnetek, logikai bombák, trójai falovak: Védelem elengedhetetlen! Vírus ÉS (!) kémprogram kereső
• A.12.3 Biztonsági mentés (backup) • Teljes, inkrementális, differenciális
59
A.12 Üzemeltetési biztonság 2
ÁROP-2.2.21-2013
• A.12.4 Naplózás és monitoring – – – –
Eseményes naplózása (event logging) Naplóinformációk védelme Adminisztrátori és operátori napló Órajelek szinkronozása
• A.12.5 Operációs rendszer kontrollja – Szoftverinstalláció operációs rendszerre
• A.12.6 Műszaki sebezhetőség kezelése – A műszaki sebezhetőségek ellenőrzése • Vulnerability analysis
– Szoftvertelepítés korlátozása
• A.12.7 Információs rendszerek auditja • Minimálisan zavarva az üzleti folyamatokat
60
A.13 Kommunikációbiztonság 1 ÁROP-2.2.21-2013
• A.13.1 Hálózatbiztonsági menedzsment – Hálózati intézkedések – Hálózati szolgáltatások biztonsága • Hackertámadások az Internetről, védelem: tűzfal, IDS, IPS
– Hálózatok leválasztása (segregation)
61
A.13 Kommunikációbiztonság 2 ÁROP-2.2.21-2013
• A.13.2 Információcsere – Információcserére vonatkozó szabályzatok és eljárások – Megállapodások az információcserére • Üzleti titkok védelme harmadik fél felé
– Elektronikus üzenetküldés • E-mailek védelme
– Titoktartási megállapodások • NDA
62
A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 1
ÁROP-2.2.21-2013
• A.14.1 Információs rendszerek biztonsági követelményei – Biztonsági követelmények elemzése és specifikációja – Nyilvános hálózati alkalmazás-szolgáltatás védelme – Alkalmazás-szolgáltatás tranzakcióinak védelme
• A.14.2 Biztonság a fejlesztési és támogató folyamatokban – Biztonságos fejlesztési politika – Változtatásszabályozási (change control) eljárások – Alkalmazások műszaki átvizsgálása az üzemeltetési platform megváltoztatása után – Szoftvercsomagok megváltoztatásának korlátozása
63
A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 2
ÁROP-2.2.21-2013
– Biztonságos rendszertervezési alapelvek – Biztonságos fejlesztői környezet – Kiszervezett fejlesztés – Rendszer biztonsági tesztelés • Fejlesztett rendszerre vonatkozóan
– Rendszer elfogadási tesztelés (System acceptance testing)
• A.14.3 Tesztadatok – Tesztadatok védelme 64
A.15 Beszállítói kapcsolatok
ÁROP-2.2.21-2013
• A.15.1 IB a beszállítói kapcsolatokban – IB politika a beszállítói kapcsolatokban – Biztonság a beszállítói megállapodásokban – ICT supply chain
• A.15.2 Beszállítói szolgáltatás menedzsment – Szállítói szolgáltatások monitoringja és ellenőrzése – Változásmenedzsment a beszállítói szerződésekben
65
A.16 Az információbiztonsági incidensek kezelése
ÁROP-2.2.21-2013
• A.16.1 Az információbiztonsági incidensek és fejlesztések kezelése – Felelősségek és eljárások – IB események jelentése – IB gyengeségek jelentése – Értékelés és döntés az IB eseményekről – Reagálás az IB eseményekre – Tanulságok az IB incidensekből – Bizonyítékok gyűjtése
66
A.17 Üzletmenet-folytonosság menedzsment IB aspektusa
ÁROP-2.2.21-2013
• A.17.1 IB folytonosság – IB folytonosság-tervezés • Üzletment-folytonossági terv (Business Continuity Plan, BCP) • Katasztrófa-helyreállítási terv (Disaster Recovery Plan, DRP)
– IB folytonosság-bevezetés – IB folytonosság ellenőrzése, átvizsgálása és értékelése
• A.17.2 Redundancia – Információfeldolgozási képességek rendelkezésre állása
67
A.18 Megfelelőség
ÁROP-2.2.21-2013
• A.18.1 Megfelelés a jogi és szerződéses követelményeknek – Az alkalmazandó jogszabályok és szerződéses követelmények meghatározása – Szerzői és kapcsolódó jogok (Szellemi tulajdonjogok, IPR) – Feljegyzések védelme – Adatvédelem és a személyes adatok védelme • Ld. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
– A kriptográfiai kontrollok szabályozása • Ahol jogi korlátozás van rá
• A.18.2 IB átvizsgálás – IB független átvizsgálása – Megfelelés a biztonsági politikának és szabványoknak – Műszaki megfelelőség-vizsgálat • Pentesting
68
Ellenőrzés formái
ÁROP-2.2.21-2013
• Vizsgálat – Egy jellemző megfigyelése
• Audit – Tervezett ellenőrzés, meghatározott hatókörrel
• Tanúsítás és minősítés – Normatívának való megfelelés igazolása
• Akkreditáció – Nemzeti akkreditáló szerv általi képességvizsgálat
• Kijelölés (notifikáció) – Állami szerv felhatalmaz valamilyen tevékenység végzésére
69
Az ellenőrzés eszközei
ÁROP-2.2.21-2013
• • • • •
Interjú Megfigyelés Információ bekérése Dokumentumok vizsgálata Technikai berendezések által rögzített adatok ellenőrzése • Feladatlap kitöltése • Folyamat ellenőrzések 70
Audit típusok • • • • • • • • • • •
ÁROP-2.2.21-2013
IT audit: általános fogalom Jogszabályi megfelelés ellenőrzése (compliance audit) Könyvvizsgálói audit Minőségügyi audit Külső audit Beszállítói audit Belső audit Folyamatszintű audit FEUVE Kockázatértékelés Fejlesztési projektek auditja
71
Tanúsítás: a biztonság bizonyítása • Irányítási rendszerek tanúsítása • ISO/IEC 17021:2011 követelményei alapján • Pártatlanság, függetlenség követelménye, összeférhetetlenség • Auditorokra vonatkozó követelmények • Audit és tanúsítás folyamatára vonatkozó követelmények
• Az akkreditáló igazolja a tanúsító képességeit • A neves tanúsító által kiállított tanúsítvány garanciát nyújt 72
Az auditok fajtái 1st party audit / Belső audit
2nd party audit /
Audit megrendelője a szervezet maga
Auditorok jellemzően a belső munkatársak
Saját megfelelőségüket vizsgálják
Megrendelő végzi a beszállítónál, függő viszony
Általában vállalati szabványok alapján
Külső, független harmadik fél végzi
Általában nemzetközi szabvány alapján
Tanúsító audit mindig ilyen
Szállítói audit
3rd party audit / Külső audit
73
Információbiztonság mérése
ÁROP-2.2.21-2013
Kérdés: milyen biztonsági szintet realizál az előkészítési fázis végére elkészült ISMS? • Meg kell „mérni”! • Mit akarunk mérni? Mennyire hatékony az ISMS biztonsági kockázatok csökkentésében, ahhoz a kívánatos szinthez képest, amely szükséges a biztonságos üzleti folyamatokhoz?
• Ehhez mit kell mérni? – A szervezetnél kezelt adatok érzékenységi szintjéből kiindulva a bizalmasság, hitelesség, sértetlenséghez kapcsolódó kockázati szinteket (IB modell) – Rendelkezésre állás
Azaz minden rendszerelemre (IB modell) meg kell mérni a ISO/IEC 27002 szerint kialakított védelmi intézkedések hatékonyságát 74
74
Az irányítási rendszerek auditálására vonatkozó szabványok Régi általános audit szabvány: MSZ EN ISO 19011:2003 Útmutató minőségirányítási és/vagy környezetközpontú irányítási rendszerek auditjához (ISO 19011:2002) Új belső audit szabvány: ISO 19011:2011 Guidelines for auditing management systems Új tanúsító auditokra vonatkozó szabvány: MSZ EN ISO/IEC 17021:2011 Irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények (ISO/IEC 17021:2011)
75
Milyen a jó információbiztonsági auditor? Általános ismeretek és készségek Informatikával kapcsolatos ismeretek, tapasztalatok
Auditori képzettség és gyakorlat
Információ biztonsággal kapcsolatos ismeretek, tapasztalatok
Végzettség Munkatapasztalat Személyiségjegyek
76
Audittevékenységek Az Azaudit auditindítása indítása(6.2.-6.3) (6.2.-6.3) • •Az auditcsoport vezetõjének kijelölése Az auditcsoport vezetõjének kijelölése
• •Az Azaudit auditcéljának, céljának,területének területénekés és kritériumainak a meghatározása kritériumainak a meghatározása • •Az Azaudit auditvégrehajthatóságának végrehajthatóságának meghatározása meghatározása • •Az Azauditcsoport auditcsoportösszeállítása összeállítása • •AAkezdeti kezdetikapcsolat kapcsolatfelvétele felvétele az auditálandó szervezettel az auditálandó szervezettel
AAdokumentumok dokumentumokátvizsgálásának átvizsgálásának végrehajtása végrehajtása(6.4) (6.4)
AAhelyszíni helyszíniaudittevékenységek audittevékenységek végrehajtása végrehajtása(6.4.) (6.4.)
•A •Anyitóértekezlet nyitóértekezletlevezetése levezetése •Kapcsolattartás az •Kapcsolattartás azaudit auditsorán során •A kísérõk és a megfigyelõk •A kísérõk és a megfigyelõkszerepe szerepeés ésfeladatai feladatai •Információgyûjtés •Információgyûjtésés ésigazolás igazolás •Az •Azaudit auditmegállapításainak megállapításainak megfogalmazása megfogalmazása •Az •Azaudit auditkövetkeztetéseinek következtetéseinekösszeállítása összeállítása •A záróértekezlet levezetése •A záróértekezlet levezetése
Az Azauditjelentés auditjelentéselkészítése, elkészítése, jóváhagyása és szétosztása jóváhagyása és szétosztása(6.5.) (6.5.)
•Az •Azauditjelentés auditjelentéselkészítése elkészítése •Az auditjelentés jóváhagyása •Az auditjelentés jóváhagyásaés ésszétosztása szétosztása
Előkészületek Előkészületekaahelyszíni helyszíni audittevékenységekhez audittevékenységekhez(6.4.) (6.4.) • •Auditterv készítése Auditterv készítése
• •AAmunka munkakiadása kiadásaaz azauditcsoportnak auditcsoportnak • A munkadokumentumok elõkészítése • A munkadokumentumok elõkészítése
Az Azaudit auditbefejezése befejezése(6.6.) (6.6.) 77 Az Azauditból auditbólkövetkező következőteendők teendők végrehajtása (6.7.) végrehajtása (6.7.)
77
Kommunikáció & beszéd
ÁROP-2.2.21-2013
Aranyszabályok A beszélgetés során • egyszerre csak egy kérdésről tárgyaljunk, • szakmai megbeszélést folytassunk, • teremtsünk szakmai tekintélyt (ha van miből) természetes módon, nagyképűség nélkül, • hagyjuk a másikat beszélni, • a kérdést tegyük fel másképp fogalmazva is, • ismételjük meg a partner válaszát saját szavainkkal is, • ha tévedünk, ismerjük azonnal el, • valamennyi résztvevőt vonjuk be, de egyszerre csak egy személlyel tárgyaljunk, • ugyanazt kérdezzük meg több kompetens interjú alanytól is, • ugyanazt (nem szakmai részletkérdést) kérdezzük meg kompetens beosztottól és vezetőtől is, • kerüljük a vitát, • ne tegyünk szemrehányást.
78
Interjúkészítés A helyszínen feltett kérdés legyen: • • • • •
egyszerű érthető célratörő, pontos nyitott végső esetben alternatív
ne legyen: • • •
agresszív szuggeráló gúnyos
Aranyszabályok az interjúk, helyszíni vizsgálatokra 1. Nézzük az ügyfél/vevő szemével a tevékenységeket és azok eredményeit, valamint a biztonsági követelményeket is! 2. A lényeges dolgokra koncentráljunk! 3. Az okokat, ne az okozót keressük! 4. A partnereknek érezniük kell, hogy az audit tevékenység a szervezet javát szolgálja!
79
ÁROP-2.2.21-2013
KÖSZÖNÖM A FIGYELMET!
