Az információbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe
Tartalom
2005
Az információbiztonság fogalma Az információbiztonsági irányítási rendszer (ISMS) fogalma Az ISMS bevezetése előnyei Az ISMS struktúrája (BS 7799 szerint)
Dr. Horváth Zsolt - Az információbiztonság alapjai
2
Az információ fogalma Adat = ismeretelem (Oxford szótár)
Információ = értelemmel bíró adat (MSZ EN ISO 9000:2001)
2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
3
A védelem aktualitása
Az információ ÉRTÉK Jó lépések, döntések, üzleti sikerek, stb. alapja Hiánya, nem megfelelősége, a bizalmasság sérülése komoly gondokat okozhat Fenyegetéseknek, veszélyeknek van kitéve
VÉDENI KELL!
2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
4
Információhordozók Személyes TelefonSzámítógép központok beszélgetések beszélgetések Dokumentumok papírok
munkahelyek, informatikai oszt. PC, WS, DSS
fóliák Microfish, Faxtekercsek, …
Laptop, Notebook Nyomtató, Hálózatok, fax, LAN Adathordozók telex, WAN teletex
2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
5
A védelem felállításának kérdései 1. 2. 3.
Mit kell védenünk? – a védendő értékek feltérképezése Mitől? – a külső / belső fenyegetettségek, kockázatok azonosítása Hogyan? – a fizikai / logikai védelem, szabályozók meghatározása
„NINCS TELJES BIZTONSÁG, CSAK OPTIMÁLIS, MÉG ELFOGADHATÓ BIZTONSÁGI SZINT” 2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
6
Az információ biztonsága jelentése Bizalmasság, Bizalmasság annak biztosítása, hogy az
információ csak az arra felhatalmazottak számára legyen elérhető.
Sértetlenség (integritás), az információk és a
feldolgozási módszerek teljességének és pontosságának megőrzése.
Rendelkezésre
állás, állás annak biztosítása, hogy a
felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.
2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
7
Veszélyforrások Megvesztegetés
Szakképzetlenség
Fizikai behatolás Üzemzavar Szakszerűtlen tervezés Szakszerűtlen üzemeltetés, karbantartás Beszerzési politika hiánya Dokumentációhiány, illetéktelen használat
2005
T á p á r a m e l l á t á s
Bosszúállás
Szabályzatlanság
Személyek (külső+belső) Épület, számítóközpont, szerverszoba Hardver+hálózat Rendszerszoftver Alkalm. sw.
Adat Doku Adath.
Dokum. Adath.
Dokum. Adathord. LégkondiTűz- és cionálás vagyonvédelem
Tűz, illetéktelen behatolás
Katasztrófa Vírus, illetéktelen szoftver installáció
V i l l á m v é d e l e m
Villámcsapás Illetéktelen rácsatlakozás Illetéktelen hozzáférés Illetéktelen használat, másolás
Túlmelegedés
Dr. Horváth Zsolt - Az információbiztonság alapjai
8
A lehetséges károk Közvetlen károk: Adatvesztés, az adatok visszaállításának költségei Rendszerleállás, kiesések az üzleti folyamatokban Hardver és szoftverkárok, helyreállítási költségek Vállalati információk illetéktelen kezekbe jutása Közvetett károk: Vevői bizalom megrendülése Vállalati imázs romlása Dolgozói elégedetlenség 2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
9
Az információbiztonság szintjei
2005
Ad hoc, „tűzoltás”, utólagos intézkedések Szigetmegoldások egyedi problémákra Bizonyos műszaki szabványoknak való megfelelés Logikusan átgondolt rendszer Információbiztonsági irányítás szabvány szerint ¾ Konkrét igényekre épül ¾ Átgondolt, megtervezett ¾ Teljes körű ¾ Felügyelt, kontrollált, auditált ¾ Az egyes témák foglalkozási mélysége megfelel a téma súlyának, jelentőségének Dr. Horváth Zsolt - Az információbiztonság alapjai
10
Az információbiztonsági irányítási rendszer előnyei ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ 2005
Felkészülve, a problémák előre láthatók. A költségek racionalizálhatók. Az informatikai beruházások megalapozottan indokolhatók. A folyamatok optimalizálása révén a hatékonyság fokozható. Gyorsabb reagálás a piaci változásokra. Nincsenek meglepetések, fel lehet készülni a külső / belső fenyegetettségekre, ha ismerjük őket. A projektek az előre meghatározott kereteken belül végződnek. A külső, illetve a belső szabályozóknak meg lehet felelni. A cégérték növekedik, az imázs és a hírnév megvédhető. Dr. Horváth Zsolt - Az információbiztonság alapjai
11
A rendszerépítés lépései 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 2005
Vezetői jóváhagyás a rendszer kialakítására Tanácsadó szervezet kiválasztása Projektszervezet létrehozása A feladatok ütemezése Oktatások Helyzetfelmérés Információbiztonsági politika meghatározása Információs érték és vagyonleltár Kockázatértékelés Szervezet, szabályok, dokumentáció kialakítása Próbaműködés indítása, rendszer bevezetése Dr. Horváth Zsolt - Az információbiztonság alapjai
12
A BS 7799 szabvány követelményei 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 2005
Információvédelmi politika Védelmi szervezet Az információvagyon osztályozása és kezelése Személyekkel kapcsolatos védelem Fizikai és a környezeti védelem Kommunikáció és működés irányítása Hozzáférés szabályozása Rendszerek fejlesztése és karbantartása Folyamatos működés biztosítása Megfelelőség Dr. Horváth Zsolt - Az információbiztonság alapjai
13
Az ISMS dokumentumai ¾az információbiztonsági politika, politika ¾az ISMS alkalmazhatósági nyilatkozata, nyilatkozata ¾a információbiztonsági irányítási kézikönyv, kézikönyv ¾a kockázat elemzési és kezelési eljárás szabályozása (ez lehet a kézikönyv integrált részei is), ¾ az üzleti folytonossági terv és a katasztrófa utáni visszaállítási terv (BCP = business continuity plan és a DRP = disaster recovery plan), ¾a szükséges folyamatok eljárási utasításai (ezek lehetnek a kézikönyv integrált részei is), ¾ egyéb szabályok vagy előírások, előírások ¾a szükséges feljegyzések és bizonylatok formanyomtatványai. formanyomtatványai 2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
14
KÖSZÖNÖM A FIGYELMET!
2005
Dr. Horváth Zsolt - Az információbiztonság alapjai
15