Az Információbiztonsági irányítási rendszer alapjai

Az Információbiztonsági irányítási rendszer alapjai

jegyzet (V.03. / 2015-10-04)

Készítette: © Dr. Horváth Zsolt László

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Tartalomjegyzék Tartalomjegyzék ...................................................................................................................2 0 Bevezetés ......................................................................................................................7 0.1 A tárgy keretei ..........................................................................................................7 0.2 Miről lesz szó ebben a tárgyban? .............................................................................7 1 Bevezetés az információbiztonságba ..........................................................................8 1.1 Általános információbiztonsági veszélyek .................................................................8 1.1.1 Az információ lélektana................................................................................................8 1.1.2 Az otthoni számítógépezés, internetezés veszélyei........................................................8 1.1.3 Korunk jellemzői...........................................................................................................8 1.2 Az információ biztonsága .........................................................................................9 1.2.1 Az információbiztonság fogalma ..................................................................................9 1.2.2 Az adathordozók ..........................................................................................................9 1.2.3 Adatszivárgás lehetséges helyei, formái - PÉLDÁK ........................................................9 1.2.4 A social engingeenering ............................................................................................. 11 1.3 Az információvédelem ............................................................................................11 1.3.1 Az információvédelem célja ........................................................................................ 11 1.3.2 A biztonság különböző szintjei.................................................................................... 12 1.4 Az információvédelmi eljárások megvalósítási területei ..........................................12 1.4.1 Objektum, terület védelem ......................................................................................... 12 1.4.2 Személy védelem........................................................................................................ 13 1.4.3 Hagyományos adatok, adathordozók védelme ........................................................... 13 1.4.4 Informatikai védelem ................................................................................................. 13 1.4.5 Természeti /társadalmi katasztrófahelyzetek elleni védelem ...................................... 14 1.5 Ellenőrző kérdések .................................................................................................14 2 Az IBIR, mint menedzsmentrendszer ........................................................................15 2.1 Az információbiztonsági irányítási rendszer (IBIR) ..................................................15 2.1.1 Fogalom meghatározások .......................................................................................... 15 2.1.2 Az IBIR lényegi részei .................................................................................................. 15 2.1.3 Az IBIR szabványai ..................................................................................................... 15 2.2 Általános menedzsmentrendszer (irányítási rendszer) áttekintés ...........................16 2.2.1 Menedzsmentrendszerek jellemzői ............................................................................. 16 2.2.2 Új, egységes szabványstruktúra a menedzsmentrendszerekre .................................... 17 2.3 Az IBIR bevezetése, működtetése és folyamatos fejlesztése .................................18 2.3.1 Az IBIR bevezetésének kulcselemei ............................................................................. 18 2.3.2 IBIR tervezése és bevezetése ...................................................................................... 19 2.3.3 IBIR működtetése, ellenőrzése és fejlesztése ............................................................... 20 2.4 Az IBIR szervezete .................................................................................................20 2.4.1 Szerepkörök IBIR szervezetben ................................................................................... 20 2.4.2 Információbiztonsági szervezet struktúrája ................................................................ 21 2.4.3 Fórumok .................................................................................................................... 21 2.4.4 Követelmények külsősöknek ....................................................................................... 22 2.5 Az IBIR dokumentálása ..........................................................................................22 2.5.1 Az IBIR dokumentumai ............................................................................................... 22 2.5.2 Információbiztonsági stratégia (IBS) ........................................................................... 23 2.5.3 Az információ-biztonsági politika ............................................................................... 23 2.5.4 Alkalmazhatósági Nyilatkozat (Statement of applicability) ......................................... 23

© Dr. Horváth Zsolt László

2

Jegyzet

3

4

5

6

IBIR alapjai V.03. (2015-10-04) 2.5.5 Az információbiztonság folyamatszabályozásának főbb területei ............................... 24 2.5.6 A felhasználói információbiztonság szabályok ............................................................ 24 2.5.7 Az IBIR működésének igazoló feljegyzései (példák) ..................................................... 25 2.6 Ellenőrző kérdések .................................................................................................25 Információbiztonsággal kapcsolatos jogszabályi követelmények ..........................26 3.1 Információbiztonsággal kapcsolatos jogi szabályozási területek .............................26 3.2 Adatkezelési jogszabályok követelményei ..............................................................26 3.2.1 Közokiratok, közlevéltárak iratai védelme .................................................................. 26 3.2.2 Közérdekű adatok nyilvánossága – Személyes adatok védelme .................................. 27 3.2.3 Üzleti titok védelme ................................................................................................... 29 3.2.4 Nemzeti minősített adat védelme............................................................................... 30 3.3 Információbiztonság megsértésének büntetése ......................................................31 3.4 Ellenőrző kérdések .................................................................................................32 A védendő vagyon és az információbiztonsági kockázatok ....................................33 4.1 Az adatvagyon és az (információs) vagyon fogalma ...............................................33 4.2 A vagyonelemek kategóriái és fenyegetései ...........................................................33 4.2.1 Vagyonelem kategóriákra példák ............................................................................... 33 4.2.2 (Információs) vagyonelemek tulajdonságai ................................................................ 34 4.2.3 A fenyegetések csoportosítása ................................................................................... 34 4.3 Információs vagyonleltár felvétele ..........................................................................34 4.4 Vagyonelemek feltérképezésének módja ...............................................................35 4.5 A kockázatok értékelésének és kezelésének általános életciklusa .........................36 4.6 Információbiztonság kockázatelemzési módszerei .................................................36 4.6.1 IT biztonsági kockázatelemzési módszerek (ISO/IEC TR 13335-3:1998) ....................... 36 4.6.2 Kockázatbecslési módszerek (ISO/IEC 27005:2008) ..................................................... 37 4.6.3 A CRAMM támadási modell ....................................................................................... 37 4.6.4 Az információbiztonsági általános kockázatelemzés lépések ...................................... 38 4.7 A skálázások ..........................................................................................................38 4.7.1 Kárérték becslése ....................................................................................................... 39 4.7.2 Bekövetkezési valószínűség becslése .......................................................................... 40 4.8 A kockázatok értékelésének módjai........................................................................41 4.9 Kockázatok kezelése ..............................................................................................41 4.10 Kockázatok értékelésének megismétlése ...............................................................42 4.11 Ellenőrző kérdések .................................................................................................43 A terület- és objektumvédelem ..................................................................................44 5.1 Áttekintés a terület- és objektumvédelemről ...........................................................44 5.2 Védelem területek funkciói az információbiztonság során .......................................44 5.2.1 Általános szempontok ................................................................................................ 44 5.2.2 Fizikai biztonsági határzónák kialakítása .................................................................... 45 5.2.3 Fizikai beléptetés felügyelete ..................................................................................... 46 5.2.4 Irodák, helyiségek és eszközök védelme...................................................................... 46 5.2.5 Munkavégzés biztonsági területeken.......................................................................... 46 5.2.6 Szállítási és rakodási területek.................................................................................... 46 5.3 Védelmi eszközök, módszerek ...............................................................................47 5.3.1 Beléptető rendszerek.................................................................................................. 47 5.3.2 Behatolás elleni és mozgás ellenőrző eszközök ........................................................... 48 5.4 Ellenőrző kérdések .................................................................................................48 A személyvédelem és a humán biztonság ................................................................49


3

Jegyzet

IBIR alapjai V.03. (2015-10-04) 6.1 Általános gondolatok ..............................................................................................49 6.2 Social engineering ..................................................................................................49 6.2.1 A Social Engineering fogalma, jellemzése ................................................................... 49 6.2.2 A Social Engineering eszközei ..................................................................................... 50 6.2.3 Védekezési módszerek................................................................................................ 51 6.3 A személyügyi munka (HR) ....................................................................................51 6.3.1 Előzetes átvilágítás szempontjai: ................................................................................ 51 6.3.2 Szempontok – a munkavállalói szerződések biztonsági aspektusaival kapcsolatban ... 52 6.3.3 Szempontok – az IB tudatosító (képzési) programhoz ................................................. 52 6.3.4 Szempontok – a munkaviszony megszüntetésekor vagy megváltoztatásakor.............. 52 6.4 Ellenőrző kérdések .................................................................................................53 7 Dokumentumok, iratok védelme ................................................................................54 7.1 Dokumentumok és iratok kezelésének általános alapelvei .....................................54 7.1.1 A vállalati dokumentumkezelésről általánosan ........................................................... 54 7.1.2 Az iratkezelés ............................................................................................................. 54 7.1.3 Iratok a fizikai és elektronikus térben ......................................................................... 55 7.2 Dokumentumok, iratok osztályozása, és kapcsolódó biztonsági elvárások .............56 7.2.1 Iratok osztályozása, minősítése .................................................................................. 56 7.2.2 Példák osztályba sorolás értelmezésére...................................................................... 57 7.2.3 Példák az egyes biztonsági osztályú dokumentumok kezelési irányelveire .................. 58 7.2.4 Irattári működési követelmények irányelvei – példák.................................................. 59 7.3 Ellenőrző kérdések .................................................................................................60 8 Az informatikai fizikai biztonság ................................................................................61 8.1 Az informatikai üzemeltetéssel szembeni elvárások ...............................................61 8.1.1 Az IT üzemeltetés általános elvárásai ......................................................................... 61 8.1.2 Az IT üzemeltetés fizikai biztonsága kérdéskörei ......................................................... 61 8.2 A berendezések elhelyezése és védelme ...............................................................62 8.3 A rendszerüzem védelme .......................................................................................63 8.3.1 Légkondicionálás ....................................................................................................... 63 8.3.2 Kábelbiztonság .......................................................................................................... 63 8.3.3 Szünetmentes áramellátás (UPS)................................................................................ 64 8.3.4 Külső tényezők elleni védelem: tűzvédelem ................................................................ 64 8.3.5 Közműszolgáltatások védelme ................................................................................... 64 8.4 Karbantartás...........................................................................................................64 8.5 A berendezések biztonságos selejtezése vagy újrafelhasználása ..........................65 8.6 Berendezések és vagyonelemek eltávolítása .........................................................66 8.7 Berendezések és vagyonelemek biztonsága a telephelyen kívül............................66 8.8 Felügyelet nélkül hagyott felhasználói berendezések .............................................66 8.9 Ellenőrző kérdések .................................................................................................66 9 Az informatikai üzemeltetés és kommunikáció biztonsága .....................................68 9.1 Az informatikai infrastruktúra üzemeltetésének szabályozása ................................68 9.2 Az üzemelő szoftverek felügyelete .........................................................................68 9.3 A műszaki sebezhetőségek felügyelete ..................................................................69 9.4 Védelem a rosszindulatú szoftverek ellen ...............................................................69 9.5 Naplózás, monitoring ..............................................................................................70 9.6 Mentések szabályozása .........................................................................................71 9.6.1 Adatmentési módszerek ............................................................................................. 71 9.6.2 RAID technikák - üzemmódok ..................................................................................... 72


4

Jegyzet

IBIR alapjai V.03. (2015-10-04) 9.6.3 Archiválás .................................................................................................................. 72 9.7 Titkosítási intézkedések .........................................................................................72 9.7.1 Kriptográfia ............................................................................................................... 73 9.7.2 A digitális aláírás........................................................................................................ 74 9.8 A hozzáférés-felügyelettel kapcsolatos üzleti követelmények .................................75 9.8.1 A felhasználói hozzáférések kezelése .......................................................................... 75 9.8.2 Felhasználói felelősségek ........................................................................................... 75 9.8.3 Rendszer- és alkalmazás-hozzáférés felügyelete ......................................................... 76 9.9 A hálózatbiztonság .................................................................................................76 9.9.1 Hálózatok veszélyei és védekezési módszerek ............................................................. 76 9.9.2 Tűzfalak ..................................................................................................................... 77 9.10 Információátvitel .....................................................................................................77 9.11 Ellenőrző kérdések .................................................................................................78 10 Információs rendszerek biztonsági követelményei ..................................................79 10.1 Információs rendszerek biztonsági követelményei ..................................................79 10.1.1 Információbiztonsági követelmények elemzése és meghatározása ............................. 79 10.1.2 Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások biztonsága ...................... 80 10.1.3 Az alkalmazás-szolgáltatások tranzakcióinak védelme ............................................... 80 10.2 Biztonság a szoftver-fejlesztési és -támogatási folyamatokban ..............................80 10.2.1 Szabály a biztonságos fejlesztésre .............................................................................. 80 10.2.2 Rendszerek változásfelügyeleti eljárásai ..................................................................... 81 10.2.3 Az alkalmazások műszaki vizsgálata a működtető környezet változásai után ............. 81 10.2.4 Szoftvercsomagok változtatásainak korlátozása ........................................................ 81 10.2.5 Biztonságos rendszerek tervezési elvei ....................................................................... 81 10.2.6 Biztonságos fejlesztési környezet................................................................................ 81 10.2.7 Kiszervezett fejlesztés................................................................................................. 82 10.2.8 A rendszer biztonsági tesztelése ................................................................................. 82 10.2.9 A rendszer elfogadási tesztelése ................................................................................. 82 10.2.10 Tesztadatok védelme ................................................................................................. 82 10.3 Ellenőrző kérdések .................................................................................................83 11 Incidenskezelés és az üzletmenet folytonossági követelmények ...........................84 11.1 Az információbiztonsági incidens fogalma ..............................................................84 11.2 Az információbiztonsági incidenskezelés folyamata ...............................................85 11.3 Tanulás az incidensekből .......................................................................................86 11.4 Az üzletmenet folytonosság és a katasztrófa-elhárítás kérdései .............................86 11.5 Az üzletmenet folytonosság és a katasztrófa-elhárítás működése ..........................88 11.6 A BCP-DRP alkalmazás típusai..............................................................................88 11.7 A BCP-DRP tervek készítésének lépései ...............................................................89 11.7.1 Az „informatikai” megközelítés .................................................................................. 89 11.7.2 Az „üzleti” megközelítés ............................................................................................. 90 11.8 Ellenőrző kérdések .................................................................................................91 12 Dolgozókra vonatkozó biztonsági előírások .............................................................92 12.1 A munkahelyi munkával összefüggő információbiztonsági veszélyek .....................92 12.1.1 Irodai munkahely használat ....................................................................................... 92 12.1.2 Tiszta asztal – tiszta képernyő politika........................................................................ 93 12.1.3 Fax használata ........................................................................................................... 93 12.1.4 IT eszközök használata ............................................................................................... 93 12.1.5 Hordozható mobil eszközök használata ...................................................................... 94


5

Jegyzet

IBIR alapjai V.03. (2015-10-04) 12.1.6 Adathordozók használata .......................................................................................... 94 12.1.7 A vállalati hálózat használata .................................................................................... 95 12.1.8 Hálózati alkalmazások használata.............................................................................. 95 12.1.9 Jelszóhasználat .......................................................................................................... 95 12.1.10 Elektronikus levelezés................................................................................................. 96 12.1.11 Internethasználat....................................................................................................... 96 12.1.12 Külső szereplőkkel való együttműködés ...................................................................... 96 12.2 Biztonság munkahelyen kívül – szempontok ..........................................................97 12.3 Eljárás incidensek esetén .......................................................................................97 12.4 Vírusvédelem - veszélyek.......................................................................................98 12.5 Ellenőrző kérdések .................................................................................................99 1. Melléklet. Az ISO/IEC 27000-s szabványcsoport szabványai ....................................100 2. Melléklet: Az egyes vagyonelem kategóriák tipikus fenyegetési példái ................... 102


6

Jegyzet

IBIR alapjai V.03. (2015-10-04)

0 Bevezetés 0.1 A tárgy keretei -

Szabadon választható tárgy, tárgyra való jelentkezési előfeltétel nélkül

-

A kurzus egy féléves. itt: 12 előadás, előadásokon elméleti anyag – elsősorban a vállalatoknál az információbiztonság átfogó szervezése, védelme tárgyköréből, példákkal

-

Vizsga – írásbeli vizsga a vizsgaidőszakban o

6 db kifejtős kérdés, kérdésenként 5 pont

o

Értékelés:     

1: 0 – 17 pont (< 60 %), 2: 18 – 20 pont (60%-tól), 3: 21 – 23 pont (70 %-tól), 4: 24 – 26 pont (80 %-tól), 5: 27 – 30 pont (90 %-tól)

-

Vizsgán való részvétel feltétele: előadásokon min. 70 %-os részvétel (azaz az elméleti 12 előadásból max. 4 hiányzás lehet)

-

Előadások törzsanyaga elérhető jegyzetben! Előadásokon további példák, magyarázatok.

-

Jegyzet: www.uni-obuda.hu/users/horvath.zsolt.laszlo ftp site-on.

-

Előadó érhetőségei: o o o o

Név: Dr. Horváth Zsolt László, ÓE KVK MAI E-Mail: [email protected] Tel: +36 70 4198599 Munkahely: KVK Tavaszmező u. „C” épület, 410-es szoba

0.2 Miről lesz szó ebben a tárgyban? A tantárgy célja: az információbiztonsági irányítási rendszer (IBIR) fogalmáról, céljáról, jelentőségéről, területei és működtetési követelményeiről egy részletes áttekintés nyújtása. Az előadások a következő témaköröket tárgyalják: • • • • • • • • • • • • •

Bevezetés az információbiztonság is az IBIR jelentőségébe, alapjaiba és a vonatkozó szabványkapcsolatok bemutatása Az IBIR, mint menedzsment-rendszer irányítási követelményei, szervezeti működtetése Megfelelés a jogszabályi követelményeknek A védendő vagyon meghatározása és az információbiztonsági kockázatok A terület- és objektumvédelem eszköztára A személyvédelem és a humán biztonság eszközei Papíralapú iratok védelme Az informatikai fizikai biztonság kérdései Az informatikai üzemeltetés és kommunikáció biztonsági kérdései Információs rendszerek biztonsági követelményei Incidenskezelés követelményei Üzletmenet-folytonossági követelmények A dolgozókra vonatkozó biztonsági szabályok


7

Jegyzet

IBIR alapjai V.03. (2015-10-04)

1 Bevezetés az információbiztonságba 1.1 Általános információbiztonsági veszélyek 1.1.1 Az információ lélektana -

Az ellopott információ nem hiányzik, az ellopás ténye (általában) nem látszik, nem vehető észre. Amikor észrevesszük, akkor már visszaéltek vele, és kárunk keletkezett. Apró lényegtelen információ önmagában még ha nem is veszélyes, de sokból összerakható teljes kép már igen! Sokszor nem vesszük észre, hogy ártatlanul milyen információkat „fecsegünk ki”! …

1.1.2 Az otthoni számítógépezés, internetezés veszélyei -

-

-

Adatvesztések – (mentések hiánya, karbantartás) Személyes adatok ellopása – (számítógép nem megfelelő védelme, közzététel közösségi oldalakon, felhő szolgáltatások biztonsági gyengeségei, …) Személyiséglopás, lopás – (bankkártya adatok, más személyes azonosító adatok, személyes információk ellopása – számítógép vagy felhő szolgáltató feltörésével, közösségi oldali információkkal, …) Jogi veszélyek: o Nevünkben erőforrásaink használata (számítógépünk meghackelése, „zombigéppé” alakítása és …) o Mi válunk közvetítővé – „lánclevelek kérdése”… Mobil eszközök (okostelefonok, stb.) védelmi hiányai, veszélyei Stb…

… és ugyanezek – csak sokszor fokozottabb mértékben jelennek meg a vállalatok életében is:

1.1.3 Korunk jellemzői A vállalatok működésének környezetét ma jellemzi: -

-

Erős informatikai támogatás o Adatfeldolgozás már csak számítástechnikával, minden IT-alapon o Folyamatok mögött work-flow-k, adatbázisok, … o Kiszervezett informatika … o IT támogatás versenyelőny – de nélküle megáll az élet  Új kiszolgáltatottságok: a szolgáltatóknak, az IT működés / szolgáltatás hibáinak, az IT bűnözés fenyegetettségeinek … Mobilitás – a kommunikáció új útja o Felhő alapú adattárolás, szolgáltatás o Mobil-eszközök (telefonok, tabletek, stb…) o Közösségi oldalak – az üzleti életben is o Internet világa, beépülése az üzletbe  Új fajta módszerek – és új veszélyek

Az információszolgáltatás jelentőségének növekedése © Dr. Horváth Zsolt László

8

Jegyzet -

-

IBIR alapjai V.03. (2015-10-04)

Sokkal erősebb függés az információszolgáltatástól o Ha nem működik, leáll az élet (meddig lehet?) o Ha hibásan működik, akkor a folyamatokban … ? o Ha jogosulatlanok hozzáférnek adatainkhoz, akkor? Információ – mint erőforrás – jelentősége megnövekedett: o Mind a rendelkezésre állás o Mind a pontosság (adatminőség) o Mind a bizalmasság tekintetében.

 INFORMÁCIÓBIZTONSÁG ÜZLETI JELENTŐSÉGE NŐ

1.2 Az információ biztonsága 1.2.1 Az információbiztonság fogalma Információ = (számomra értelmes) tartalommal bíró adat Információhordozó – ezen keresztül létezik az információ, és ezen keresztül sérülhet a biztonsága is! Információ biztonsága = -

az információ bizalmassága az információ sértetlensége az információ rendelkezésre állása

(C – confidentality) (I – integrity) (A – avialability)

1.2.2 Az adathordozók Az adatok mindig valamilyen adathordozón fordulnak elő. Ezért az adatok csoportosítása – az adatvédelem kialakítása szempontjából, – a különböző adathordozó-kategóriához kötött adatokon keresztül valósul meg. (Persze az adatvédelemnél – ahogy később meglátjuk, ennél sokkal többről van szó.) Adathordozók kategorizálása szerint: -

IT alapú adathordozók biztonsága (informatikai rendszer biztonsága – üzemeltetésben, felhasználók kezelésében, …) Papír (és hagyományos) adathordozók biztonsága (adminisztrációs folyamatok, iratkezelés és tárolás, TÜK, …) Személyek, mint adathordozók biztonsága (social engineering, emberi tényező, szándékos és szándékolatlan esetek, …)

1.2.3 Adatszivárgás lehetséges helyei, formái - PÉLDÁK NEM-Informatika: Hol is van adat? -

-

Milyen adathordozón: o Papíron – szerződések, tervek, jelentések, kimutatások, nyilatkozatok, munkaanyagok, piszkozatok, stb. Kinél: o Minden alkalmazottnál Hol (milyen helyiségben): o Munkavégzés helyszínén – irodákban, titkárságokon, …


9

Jegyzet

IBIR alapjai V.03. (2015-10-04) o o o

Közös használatú helyiségekben – tárgyalók, előadók, … Iratmegőrzés, tárolás - irattárak Külső (munkavégzési) helyszíneken – ügyfélnél, konferenciák helyszínén, szállodákban, (otthon ?), …

NEM-Informatika: Adatszivárgás – hol lehet? -

Hogyan lehet hozzáférni az adatokhoz? Illetéktelen … o o o

… bejutás a helyiségbe, ahol az iratok vannak, … hozzáférése az iratokhoz (mert elöl, szabadon vannak, üvegszekrényben láthatóak és nincsenek elzárva, vagy szekrényekben nem elzártak, ..) … lemásolhatja (mert hozzáfér a másolóhoz, vagy valaki ott dolgozó kérésre megteszi neki, …)

Illetékes (pl. saját dolgozó) … o

… hozzáfér az adathoz, de illetéktelenül, jogosulatlanul használja fel, visszaél vele.

Informatika: Hol is van adat? o o o o o o o

Szervereken – adatbázisban Szervereken – önálló fájlok könyvtár-struktúrákban PC-ken / Notebookokon Mobil eszközkön (iPhone, iPad, okostelefon, …) Kimentve (egyénileg) külső elektronikus adathordozókon (DVD / DAT / USB Flash / …) Központi mentésekben, archív állományokban, … (backup site-ok, stb…) ... és kinn a szolgáltatói „felhőben”

Informatika: Adatszivárgás – hol lehet? -

Hogyan lehet hozzáférni az adatokhoz? Illetéktelen … o o o o o o o

… bejutás a szerverterembe … hozzáférés a számítógépekhez / notebookokhoz … hozzáférés a mentésekhez … hozzáférés a külső / mobil adathordozókhoz … bejutás az interneten / külső hálózaton át (hacking, virus, spyware, maleware, trojan, spam, hoax, …) … hozzáférés a WiFi-hez … no és ki fér hozzá a felhőben tárolt adatokhoz?

Adatszivárgás – hol lehet … még? -

Hogyan lehet hozzáférni az adatokhoz? Illetéktelen … hozzáférés / felhasználás „illetékes” által! Belső ember (munkatárs) kiadja: o o o

… mert nem tudja, hogy nem lehet … mert megtévesztették, azt hitte ki kell adnia … mert megfenyegették / megzsarolták


10

Jegyzet


… bosszúból (mert pl. sértettnek érzi magát!) … csak hogy megmutassa, hogy milyen rossz a rendszer … stb …

1.2.4 A social engingeenering Meghatározás: Az emberek pszichológiai manipulációja és megtévesztése, amelynek során a támadó a befolyásolás, rábeszélés és a meggyőzés módszerével, kihasználva a jellegzetes emberi viselkedési formákat és reakciókat, ráveszi az áldozatot, arra hogy az együttműködjön vele. Olyan információt adjon ki, amely felhasználható a kiválasztott informatikai rendszerek – technológiai eszközök alkalmazásával vagy anélküli- megtámadására és kompromittálására. A megtévesztés „tudománya”. Az emberek hiszékenységét, naivitását használja ki információk (titkok) megszerzésére. A leggyengébb láncszem (még mindig ) az EMBER! Védekezés ellene: -

tudjam, hogy mely információ minősül titoknak, vagy „alkalmazzam” az általános irányelveket --- azaz ülök a számon. ismerjem föl a (főbb) technikákat.

1.3 Az információvédelem 1.3.1 Az információvédelem célja A szervezetek információellátásában zavarokra vezető gyengepontok és veszélyek meghatározása után olyan védintézkedések meghozatala és megvalósítása, amelyek a fellépő kockázatok kezelésével és egyéb követelmények teljesítésével az információellátás folyamatos működését, és az információszivárgás megakadályozását biztosítják összhangban a szervezet biztonsági és üzleti céljaival. Az információvédelem megtérülése (avagy az információbiztonság vagy annak hiányának költségei:


11

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Milyen legyen a jó információvédelem? -

kockázatarányos védelem egyenszilárdságú védelem teljes körű védelem szükséges és elégséges információ elve információbiztonság szemléletének beépülése minden tevékenységbe, adatkezelése … és könnyen kezelhető és érthető

1.3.2 A biztonság különböző szintjei

1.4 Az információvédelmi eljárások megvalósítási területei -

objektum, terület védelem – Védi az adatokhoz, adathordozókhoz és azok területeihez való fizikai hozzáférést . személy védelem – Rendszerben a személy, mint információhordozó védelme, valamint a rendszer védelme az emberi jellegű támadásoktól, visszaélésektől. hagyományos adatok, adathordozók védelme – Pl. papíralapú információk (titkos ügyiratkezelés, …), analóg berendezések védelme. informatikai védelem – Az informatikai rendszerben tárolt adatok védelme. elemi károk, természeti /társadalmi katasztrófahelyzetek elleni védelem – Az információbiztonság szemszögéből, az üzletmenet – üzemmenet folytonosságának fenntartása.

1.4.1 Objektum, terület védelem CÉL: Védelem azokra a területekre való illetéktelen bejutás és ott-tartózkodás ellen, ahol bizalmas / érzékeny adatok, azok adathordozói vagy az azokhoz való hozzáférést biztosító eszközök vannak. ESZKÖZÖK: Az őrzés-védelmi szakma eszköztára -

Belső zónák, biztonsági területek kijelölése és az ottani biztonsági szint előírása Élőerős őrzés-védelem (beléptetési kontroll, eszközök kontrollja) Beléptető rendszerek, személyi azonosítás Megfigyelő- és kamera rendszerek Belső biztonsági szabályrendszer kidolgozása (rendészetnek, alkalmazottaknak, vendégeknek)


12

Jegyzet

IBIR alapjai V.03. (2015-10-04)

1.4.2 Személy védelem Rendszerben a személy, mint információhordozó védelme: -

-

Kockázatok: o Csúcsvezetők, kulcsemberek személyi biztonsága o Személy távollétekor az információk, illetve bizonyos jogosultságok rendelkezésre állásának hiánya o Felejtés, tévesztés esetén az információk pontosságának (sértetlenségének) vagy rendelkezésre állásának hiánya Helyettesítési rend, delegálás; Fontos információk dokumentálása, központi helyen, jogosultaknak elérhető módon;

Rendszerben a személytől, mint fenyegetettségtől való védelem: -

A „HUMÁN BIZTONSÁG” része. A rendszer védelme az emberi jellegű támadásoktól, vissza-élésektől. Lehetséges eljárások, módszerek: o Felvételi folyamat során o Alkalmazás során o Munkakör megváltozásakor o Távozáskor o Titoktartás az alkalmazás alatt és után is

1.4.3 Hagyományos adatok, adathordozók védelme Kockázatok jogosulatlan hozzáférés esetén: -

Adatszivárgás (és ezzel való visszaélés) Adatvesztés vagy adatmódosítás Lehetséges eljárások, módszerek: o Adatok, iratok besorolása érzékenységi/biztonsági kategóriákba; o Adatok, iratok kezelési eljárásai o Irattárak, dokumentációtárak működésének szabályozása o Belső biztonsági szabályok o „Tiszta asztal – tiszta képernyő politika” elve

1.4.4 Informatikai védelem -

-

Ez az ún. „informatikai biztonság” területe. CÉL: Az informatikai eszközökön, rendszereken és adathordozókon tárolt adatok, információk védelme, biztonságának megőrzése. Kockázatok - lehetséges kárra, következményre példa: o Informatika nem működik, leáll (támogatott folyamat leáll) o Adatvesztés (teljes vagy részleges, végleges vagy időleges) o Adathibázás o Adatszivárgás (és visszaélés vele) Az informatikai védelem területei: o Informatikai kapacitások menedzselése o HelpDesk szolgáltatás o Adatmentések és archiválások o Jogosultságok kezelése és menedzselése


13

Jegyzet

-

IBIR alapjai V.03. (2015-10-04)

o Fizikai működtetés feltételei o Vírusvédelem o Hálózati határvédelem o Internethasználat és elektronikus levelezés korlátozása o Események naplózása, kiértékelése o … A védelem MINDENKIRE vonatkozik, aki használja az informatikát! Szabályozások: o o

o

Informatikai üzemeltetési szabályzatok – előírások az üzemeltetőknek a megbízható és biztonságos üzemeltetésért Informatikai biztonsági szabályzatok (az Információbiztonsági szabályzatok részeként) – előírások a felhasználóknak a bizalmasság és a biztonság betartásáért Partnerekkel kötött szerződésekben a biztonságra vonatkozó követelmények – előírások a partnereknek a bizalmasság és biztonság betartásáért

1.4.5 Természeti /társadalmi katasztrófahelyzetek elleni védelem -

CÉL: A szervezet működőképességének mihamarabbi visszaállítása, az okozott károk/veszteségek minimalizálása. Kockázatok: o Természeti katasztrófahelyzetek o Társadalmi katasztrófahelyzetek o Belső balesetek, káresetek miatti kulcsterületek, kulcsfolyamatok vagy eszközök leállása, üzemszüneti állapota, működésképtelensége

1.5 Ellenőrző kérdések -

Mit jelent az információbiztonság fogalma? Mutassa be azokat a főbb szempontokat, ami miatt az információbiztonság fontos (lehet) a vállalatok számára! Milyen különböző adathordozó kategóriákat ismer? Mutasson példát mindegyikre! Mutassa meg, hogy milyen adatszivárgási lehetőségek fordulhat elő egy vállalat életében! Mit jelent az információvédelem fogalma, és melyek (milyen alapelvek) a jó információvédelem jellemzői? Mutassa be az információvédelem megvalósításának öt gyakorlati területét, és jellemezze röviden azokat!


14

Jegyzet

IBIR alapjai V.03. (2015-10-04)

2 Az IBIR, mint menedzsmentrendszer 2.1 Az információbiztonsági irányítási rendszer (IBIR) 2.1.1 Fogalom meghatározások Az információvédelem fogalma alatt értjük az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszerét. Az információvédelem célja, hogy az adatok bizalmasságának, rendelkezésre állásának vagy sértetlenségének veszélyeztetése következtében létrejövő bármilyen, a vállalat működésére ható fenyegetést, károkozást elkerüljön. Irányítási rendszer (menedzsmentrendszer): Rendszer politika és célok megfogalmazásához, valamint a célok eléréséhez. MEGJEGYZÉS: Egy szervezet irányítási rendszere különböző irányítási rendszereket tartalmazhat, például minőségirányítási rendszert, pénzügyi irányítási rendszert vagy környezetközpontú irányítási rendszert. (MSZ EN ISO 9000:2005) Az információ-biztonsági irányítási rendszer egy olyan irányítási rendszer, amely egy szervezeti-működési kockázatokat figyelembe vevő megközelítésre alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, karbantartja és fejleszti az információvédelmet.

2.1.2 Az IBIR lényegi részei 1. Információs vagyon fenyegetettségeinek átfogó kockázatelemzése 2. Védelmi intézkedések, eljárások megteremtése – különböző területeken a különböző fenyegetettségekre 3. Menedzsment rendszer – menedzsment elemek kiépítése, működtetése (hasonló mint a minőségirányítási rendszer, környezetvédelmi irányítási rendszer, stb.)

2.1.3 Az IBIR szabványai ISO/IEC 27001:2013 Information technology – Security techniques – Information security management system – Requirements … és magyar kiadásban:

MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika Követelmények

Az

információbiztonság

irányítási

rendszerei.

Ez a szabvány tartalmazza az információbiztonsági irányítási rendszer (tanúsítható) szabványkövetelményeit a rendszer kiépítésével, működtetésével és fejlesztésével szemben. Gondolatok az ISO 27001-es szabványról -

Menedzsmentrendszer és technikai követelmények együttese Integrálható a többi irányítási (menedzsment) rendszerrel Alkalmazási területe megválasztható (scope-olható) Kockázatelemzésre épít


15

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Alapvetően a következő főbb új elemeket/tevékenységeket adja: o Menedzsmentrendszer kiegészítése az információbiztonsággal o Információbiztonsági vagyonfelmérés és kockázatkezelés o Védelmi követelmények meghatározása és folyamatos aktualizálása o Védelmi intézkedések beleépítése a folyamatokba illetve önálló kiépítése o Incidenskezelési folyamat működtetése o Információbiztonsági szabályzat működtetése o Üzletmenet-folytonossági terv (információbiztonsági vonatkozású) készítése, működtetése

Az ISO/IEC 27000-es szabványcsoport még számtalan szabványt tartalmaz az információbiztonsági irányítás egyes részterületeivel kapcsolatban. Ezek felsorolása megtalálható az 1. sz. mellékletben.

2.2 Általános menedzsmentrendszer (irányítási rendszer) áttekintés 2.2.1 Menedzsmentrendszerek jellemzői Átfogó menedzsmentrendszerek (irányítási rendszerek) pl.: -

minőségirányítási rendszer (MSZ EN ISO 9001:2009); környezetközpontú irányítási rendszer (MSZ EN ISO 14001:2005); információbiztonsági irányítási rendszer (MSZ ISO/IEC 27001:2014); munkahelyi egészségvédelmi és biztonsági irányítási rendszerek (MSZ 28001:2008). stb …

Irányítási rendszerek (menedzsmentrendszerek) általános jellemzői: -

Vállalati stratégia (politika és célok) Menedzsmentrendszer témájának megfelelő szempontrendszer beintegrálása, figyelése, előtérbe hozása Vállalat működése tervezett, szabályozott, kontrollált Tevékenységekre – folyamatokba rendezve – dokumentált végrehajtási utasítások Erőforrások figyelése, kezelése, biztosítása Hibák figyelése, javítás, tanulás Folyamatos javítás, fejlesztés


16

Jegyzet

IBIR alapjai V.03. (2015-10-04)

PDCA az irányítási rendszerekben

Irányítási rendszerek közös elemei: -

külső elvárások összegyűjtése, meghatározása érvényességi terület meghatározása politika és célok definiálása irányítási rendszer kialakítása PDCA elv általános alkalmazása folyamatok meghatározása és menedzselése vezetőség felelőssége definiált hatáskörök, felelősségek, feladatok egyértelmű definiálása dokumentálási kötelezettség (minimum: szabályozó és igazoló dokumentációk szükségessége) oktatás, képzés szerepe belső ellenőrző mechanizmusok (rendszer: auditok, önértékelések, stb…; folyamatok: ellenőrző mérések, …) vezetőségi átvizsgálás funkciója folyamatos fejlesztés szerepe

2.2.2 Új, egységes szabványstruktúra a menedzsmentrendszerekre A Nemzetközi Szabványosítási Szervezet (ISO) 2012-ben kiadott egy új, egységes követelmény-struktúrát minden újonnan megjelenő / megújuló ISO rendszerszabványra. Ez a koncepció (struktúra) az ún. HLS (high level structure), amit minden új vagy újonnan kiadásra kerülő ISo menedzsmentrendszer szabványnak be kell tartania. Alapvető követelményei: -

Egységes tartalomjegyzék és követelmény minden egyes ISO irányítási rendszerszabványban. Mindegyik szabvány menedzsment elemei ebben a HLS-ben, a saját szabványra értelmezve jelennek meg.


17

Jegyzet -

IBIR alapjai V.03. (2015-10-04) Mindegyik szabvány egyedi, speciális területének követelményei vagy a szabványtörzsben (kiegészítésként, ha beilleszthető oda), vagy önálló mellékletként beillesztve kerül beépítésre.

A HLS tartalmi struktúrája: 1. Alkalmazási terület 2. Rendelkező hivatkozások 3. Szakkifejezések és meghatározások 4. A szervezet környezete 5. Vezetés 6. Tervezés 7. Támogatás 8. Működtetés 9. Teljesítményértékelés 10. Fejlesztés Az IBIR és a MIR tervezet szabvány-verziók összehasonlítása (megfelelve a HLS-nek):

2.3 Az IBIR bevezetése, működtetése és folyamatos fejlesztése 2.3.1 Az IBIR bevezetésének kulcselemei Tapasztalat, hogy az IBIR bevezetése akkor lehet eredményes, sikeres, hogyha a bevezetés a következő szempontokat érdemben és komolyan figyelembe veszi: -

az „üzleti” célokon alapuljon a politika, célok, tevékenységek, összhang a szervezeti kultúrával, a vezetés elkötelezettsége, támogatása, követelmények, kockázatelemzés, és menedzselés megértése, minden vezető és alkalmazott bevonása, útmutatók eljuttatása minden érintetthez (külsőkhöz is),


18

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

megfelelő képzés, oktatás (pl. e-learning!), átfogó és kiegyensúlyozott mérési rendszer a végrehajtás kiértékelésére és fejlesztés javaslatok jelzésére.

2.3.2 IBIR tervezése és bevezetése 1. Alkalmazási terület és politika meghatározása     

Megfelelés a (külső és belső) elvárásoknak Vezetőség szerepe, elkötelezettsége, támogatása Illeszkedés a vállalati stratégiához, üzleti politikához, … Illeszkedés a cégkultúrához Mit akarunk védeni, mit akarunk elkerülni … és mennyire

2. A szervezeti keretek és erőforrások tisztázása   

IBIR szervezetének meghatározása – cégszervezeten belül Feladatok, felelősségek, hatáskörök és erőforrások tisztázása Szükséges képzések

3. A védendő (információs) vagyon felmérése    

Vagyonfelmérés módszertani meghatározása (minek a mentén: folyamatok, IT infrastruktúra, stb… / mit nézünk / hogyan osztályozunk – értékrend és skálázás ) Vagyonelemek és jellemzőinek, felelőseinek meghatározása Vagyonelemek osztályozása Vagyonelemekre vonatkozó működési / biztonsági szabályok

4. Fenyegetettségek felvétele 

Vagyonelemek jellemző / lehetséges veszélyeinek, fenyegetettségeinek, azok lehetséges következményeinek számba vétele

5. Információbiztonsági kockázatok becslése, értékelése   

Kockázat értékelés módszertani meghatározása osztályozunk – értékrend és skálázás ) Kockázatok azonosítása, kockázati értékek becslése Elfogadható kockázati szint meghatározása

(mit

nézünk

/

hogyan

6. Védelmi intézkedések meghatározása 

Illeszkedve a rendszerenként

működő

rendszerekhez,

struktúrákhoz

–

külön-külön

7. Védelmi intézkedések és IBIR folyamatok dokumentálása  

 

IBIR dokumentálása / meglévő működési szabályozók kiegészítése IBIR szempontjaival Új és módosított folyamatok kialakítása és dokumentálása a cég működő folyamatmenedzsment rendszerén beül (Új folyamatok pl.: kockázatkezelés, BCP-DRP tervezés, incidenskezelés, IBIR hatékonyságának mérései, …) Biztonsági szabályzatok megalkotás / aktualizálása a felelősi rendszeren keresztül (együttműködve az érintett üzemelőkkel) Áttekintés az Alkalmazhatósági nyilatkozaton keresztül


19

Jegyzet

IBIR alapjai V.03. (2015-10-04)

8. Állománynak oktatás, tudatosítás   

Cél: Az IBIR eljárásainak, előírásainak megismerése, annak való megfelelni tudás és az információbiztonsági tudatosság kialakítása Célcsoportonként eltérő tananyag Beépülés a cég belső oktatási rendszerébe, programjába

9. Életbe léptetés

2.3.3 IBIR működtetése, ellenőrzése és fejlesztése  Folyamatos fenntartás és működtetés    

Működtetés a cég folyamatmenedzsment rendszerén keresztül Felelősségi rend a szervezeti struktúrában meghatározva Ellenőrzések, megfigyelések, naplózások folyamatos működése, kontrollja Folyamatos szinten tartó, biztonságtudatosító képzések

 IBIR folyamatos mérése     

Biztonsági intézkedések működésének kontrollingja Események és incidensek figyelése, naplózása, kiértékelése Log-állomány elemzések és értékelések Alkalmas mutatószámrendszer képzése és figyelése, elemzése IBIR belső auditálása

 Folyamatos fejlesztés    

Ismételt (aktualizált) kockázatelemzés alapján új intézkedési tervek Új trendek, elvárások, incidensek nyomán új és erősebb védelmi intézkedések Illeszkedés vezetőségi, stratégiai célokhoz. Dokumentáció-követés!

2.4 Az IBIR szervezete Célja: Az IBIR működtetése életciklusának (PDCA) feladatainak ellátása, felelősségeinek biztosítása a vállalat szervezeti felépítésén belül. IBIR eredményes működtetésének kulcseleme a vezetői elkötelezettség. Vezetőségi elfogadás, akarat, támogatás nélkül nem lehetséges rendszert kiépíteni, működtetni.

2.4.1 Szerepkörök IBIR szervezetben Alapvető szerepkörök az IBIR működtetés feladatainak elvégzésére: -

Legfelső vezető (vezérigazgató, ügyvezető igazgató, …) Információbiztonsági vezető (felső vezetőség megbízottja) Biztonsági területek, információvédelmi folyamatok felelősei, végrehajtói Szervezeti egységek vezetői, információ-biztonsági megbízottai Információbiztonsági auditorok

Felső vezetői feladatok az IBIR bevetésekor: -

célok kitűzése, a feladat behatárolása,


20

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

résztvevők kijelölése, a résztvevők motiválása, feltételek biztosítása, a feladat indítása, ellenőrzés, alternatívák közötti döntés, jóváhagyás, az intézkedések átvezetése a többi rendszerelemen.

Az információbiztonsági vezető szerepköre: -

Más rendszerek hasonló funkcióihoz képest speciális helyzetben van: nem lehet polihisztor. Szerepe: koordináló, ellenőrző, szervező. Feladata: a szabvány követelményeinek „átalakítása” a saját szervezetnél végrehajtható feladatokká. Szakmailag ő irányítja az IBIR működését, feladatai és felelősségei: o az IBIR-rel szembeni (külső és belső) elvárásoknak való megfelelés; o az információbiztonság működése napi feladatainak irányítása; o az egész szervezetben az információbiztonsági irányelvek és szabályok betartatásának kontrollja, o az információbiztonság szakmai területei munkájának koordinálása; o az információbiztonsági fejlesztéséket irányítása; o incidenskezelési folyamat (csoport) munkája; o információbiztonsági belső auditálása; o az IBIR működése hatékonyságának figyelése és értékelése; o jelentések és fejlesztési javaslatok a felső vezetőségnek.

2.4.2 Információbiztonsági szervezet struktúrája Javasolt információbiztonsági szervezet -

-

Mátrix szervezet Integrált irányítási rendszer esetén: az Integrált irányítási rendszere keretén belül Az információbiztonság egyes területeinek, folyamatainak (pl. minősített adatok védelme, TÜK, fizikai védelem területei, informatikai védelem területei, stb.) működtetését az adott folyamatok folyamatfelelősei irányítják. Az információbiztonsági elveknek, folyamatoknak és eljárásoknak működtetését minden szervezeti egységben egy Információbiztonsági megbízott (IB megbízott) fogja össze és koordinálja.

2.4.3 Fórumok Vezetői értekezlet -

A legfőbb színtere annak, hogy a vezetés az információbiztonságot, mint menedzsment eszközt tudja használni. A szervezet rendeltetésszerű ügyeiben információbiztonsági szűrő. Információbiztonsági szemszögből a koncepcionális döntések színtere: o a követelményeknek való megfelelést értékelik,


21

Jegyzet

IBIR alapjai V.03. (2015-10-04) o o

meghatározzák a célokat, feladatokat, jóváhagyják a szükséges adminisztratív és anyagi igényeket.

Információbiztonsági értekezlet Itt történik az Információbiztonsági vezető vezetésével, és a szakmai területek képviselőinek (vezetőinek) és szervezeti egységek IB felelőseinek (vezetőinek) részvételével: -

a szabvány és a vezetés követelményeinek „lefordítása” a szakmai területek számára végrehajtható feladatokká, a területi átfedéseket is figyelembe vevő szabályozók kidolgozása, felelősségek meghatározása. Az információbiztonsági rendszer eljárásai, folyamatai működtetésének, problémáinak közös szervezeti irányítása és fóruma.

2.4.4 Követelmények külsősöknek Nem a szervezet állományába tartozókkal kapcsolatos kérdések (megbízó, alvállalkozó, stb.) -

Szerződésben nyilatkozik, hogy ismeri, elfogadja a szabályozást. Ellenőrzés, hogy rendelkezik-e a betartáshoz szükséges feltételekkel. Megállapodás, hogy milyen eseményre milyen erkölcsi, anyagi ellentételezéssel áll helyt.

2.5 Az IBIR dokumentálása 2.5.1 Az IBIR dokumentumai Az IBIR működtetése során a komplett szabályozó dokumentumstruktúra kiépítésére nincs egy általános formai követelmény. A működés támogatására a célok meghatározottak, de magát a szabályozó dokumentáció struktúráját, részletezettségét minden szervezet a saját igényei, viszonyai alapján saját magának testre szabva készítheti el. Az IBIR szabályozandó működése a következő struktúrát fedi le: Az IBIR működtetésének a részei -

-

-

IBIR menedzsment folyamatok működtetése o Az iratok, dokumentumok és feljegyzések kezelésének folyamata o Belső képzések folyamata o Belső audit folyamata o Vezetőségi átvizsgálás folyamata o Folyamatos fejlesztés, megelőzés és helyesbítés folyamata IBIR saját (biztonságot irányító) folyamatainak működtetése o Információbiztonsági vagyonleltár és kockázati profil karbantartása o Információbiztonsági monitoring o Információbiztonsági incidenskezelés o IT BCP/DRP tervek készítése, karbantartása és működtetése Információbiztonsági (nem folyamat-alapú) szabályrendszer Információbiztonsági szempontok érvényesítése a szervezet működési folyamataiban o A folyamatok adatkezelésének megfelelése o Változások követése a vagyonleltárban és a kockázati profilban


22

Jegyzet o

IBIR alapjai V.03. (2015-10-04) Egyes szakterületek speciális információbiztonsági szempontjai

Az IBIR főbb dokumentumai a következők. -

-

Információbiztonsági stratégia Információbiztonsági politika, és éves IB-fejlesztési célok az információbiztonsági (vagy információvédelmi) szabályozás / kézikönyv, az IBIR alkalmazhatósági nyilatkozata, a szükséges folyamatok eljárási utasításai (ezek lehetnek a kézikönyv integrált részei is), o IBIR menedzselés folyamatainak szabályozása o IB saját folyamatainak szabályozása (pl.kockázat elemzési és kezelési eljárás szabályozása, IT BCP és IT DRP, IB-monitoring, …) egyéb folyamatszabályozások információbiztonsági kiegészítése egyéb (biztonsági) szabályok vagy előírások, a szükséges feljegyzések és bizonylatok formanyomtatványai.

2.5.2 Információbiztonsági stratégia (IBS) Egyike a fontos vállalati rész-stratégiáknak. Rendszeres karbantartást igényel. Az IBS készítési lépései: 1. Jövőkép (vízió) kidolgozása (hová akarunk eljutni?) 2. A jelenlegi helyzet értékelése (honnan indulunk) 3. A preferált útvonal meghatározása (kulcsprojektek azonosítása)

2.5.3 Az információ-biztonsági politika A vezetőség általános elkötelezettségét fejezi ki egy rövid (ca. 0,5 – 1,5 oldalas nyilatkozatban), amiben alapvetően a következő kérdésekre ad vélaszt: -

-

-

-

Mit is akarunk ezzel? – Keretet ad a védelmi célok kitűzéséhez, kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban. Minek is kell megfelelni? – Figyelembe veszi a működési, jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket. Illeszkedés a vállalati stratégiába. – Igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az IBIR létrehozása és fenntartása történni fog. Milyen szempontok alapján működjön az IBIR? – Meghatározza azokat az alapelveket (szempontokat, értékrendet), amelyek alapján működtetjük az információvédelmet és az IBIR-t. Továbbá keretet ad az IBIR kialakításához, fenntartásához és folyamatos továbbfejlesztéséhez. A Vezetés elkötelezett döntése ez! – Jóváhagyásra kerül a vezetés által.

2.5.4 Alkalmazhatósági Nyilatkozat (Statement of applicability) A szervezetnél az információvédelmi irányítási rendszerre vonatkozó és az alkalmazható szabályozási célokat és szabályozásokat leíró dokumentum, amely a kockázat értékelési és kockázat kezelési folyamatok eredményein és következtetésein alapul. © Dr. Horváth Zsolt László

23

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Az ISO/IEC 27001 szabvány szerinti IBIR kötelező dokumentuma. Az auditon (a megfelelés ellenőrzésének) referencia-dokumentuma. Alapja: az ISO/IEC 27001 szabvány „A” melléklete alapján elfogadott ÉS a már működő és a kockázatok kezelése alapján meghatározott új védelmi intézkedések együttesen.

2.5.5 Az információbiztonság folyamatszabályozásának főbb területei -

IBIR menedzselés folyamatainak szabályozása o o o o o o o

-

IB saját folyamatainak szabályozása o o o

-

IB vagyonleltár felvétel, kockázat értékelés és kockázat kezelés Incidenskezelés IB monitoring

Egyéb – jellemzően saját IT szempontokkal kiegészítendő – működési folyamatok o o o o o o

-

Dokumentumok és feljegyzések kezelés IB stratégia / politika / célok tervezése és követése IB képzés és tudatosítás Belső audit Vezetőségi átvizsgálás Folyamatos fejlesztés …

Humán erőforrás menedzsment (felvétel, munkaügy, humán biztonság, …) Beszerzés (pályáztatás, szerződéskötés és együttműködés alvállalkozókkal, kiszervezett szolgáltatások igénybe vétele) IT tervezés és üzemeltetés Iktatás és iratkezelés Kommunikáció …

Bármely folyamatnál – az adatkezelési és a változáskezelési szempontok figyelembe vétele

2.5.6 A felhasználói információbiztonság szabályok -

Információbiztonság részletes szabályai munkavégzés során o o o o o o o o

-

irodai iratkezelés és a fax használata (asztali és mobil) számítógépek használata adathordozók használata az informatikai hálózat használata hálózati alkalmazások használata jelszóhasználat elektronikus levelezés internethasználat

Biztonsági problémák kezelése o o

eljárás incidensek esetén vírusvédelem


24

Jegyzet -

Külső partnerekkel való együttműködés

-

Információbiztonsági szabályok a munkavégzésen kívül

IBIR alapjai V.03. (2015-10-04)

2.5.7 Az IBIR működésének igazoló feljegyzései (példák) -

Vezetői értekezletek emlékeztetői; Belső illetve külső (pl. felügyeleti hatóság) felülvizsgálatok jegyzőkönyvei; SYS logok ill. log-elemzési statisztikák; HelpDesk jegyek; Incidens-napló; Szerverterem belépési napló; Tesztelési jegyzőkönyvek (BCP, DRP!); Oktatások jelenléti ívei; Stb. …


Melyek a különböző irányítási rendszerek (menedzsmentrendszerek) közös elemei? Mit jelent a PDCA-elv az IBIR működtetésében? Mutassa be az információbiztonsági irányítási rendszer bevezetésének főbb lépéseit! Mutassa meg, hogy az IBIR működtetéséhez milyen információbiztonsági szerepkörökre van szükség, és mi ezeknek a jellemző feladatuk! Mi az IBIR-ben az információbiztonsági vezetőnek a feladata, szerepe? Milyen fórumokon (értekezleteken) történnek az IBIR működését befolyásoló, jelentős megbeszélések, döntések, és mik ezek a témák? Melyek az információbiztonsági irányítási rendszer működésének főbb dokumentumai? Mi az „Alkalmazhatósági Nyilatkozat”, és mit kell tartalmaznia? Az információbiztonság folyamatszabályozása milyen főbb területekre oszlik, és hol (milyen szabályozásokban) jelenik meg? Milyen munkatársakra vonatkozó tudnivalók tartoz(hat)nak bele a felhasználói információbiztonsági szabályzatba?


25

Jegyzet

IBIR alapjai V.03. (2015-10-04)

3 Információbiztonsággal kapcsolatos jogszabályi követelmények 3.1 Információbiztonsággal kapcsolatos jogi szabályozási területek Különböző minősítésű / kategóriájú adatok védelme, kezelése: -

Közokiratok, közlevéltárak iratai védelme Közérdekű adatok nyilvánossága Személyes adatok védelme Üzleti titok védelme Nemzeti minősített adat (régi neve: államtitok) védelme stb.

Adatkezelés biztonságával kapcsolatos önálló területek szabályozása -

Államérdekben titkos adatok védelme (Nemzeti minősített adatok kezelése) Nemzeti adatvagyon védelme Nemzeti kritikus infrastruktúra védelme Elektronikus közszolgáltatás biztonsága Nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága Elektronikus aláírás (digitális aláírás) Elektronikus kereskedelem, közbeszerzés, hírközlés, reklámtevékenység, információszabadság, … szabályai stb.

3.2 Adatkezelési jogszabályok követelményei 3.2.1 Közokiratok, közlevéltárak iratai védelme 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről Törvény célja: … irattári anyagok szakszerű kezelése, és személyes adatok illetve minősített adatok védelme Előírásokat tartalmaz az irattári, levéltári kezelés biztonságára vonatkozólag. Törvény struktúrája: -

-

-

ÁLTALÁNOS RENDELKEZÉSEK o Az irattári és a levéltári anyag védelmének általános szabályai o A levéltári anyag védelmének irányítása A KÖZIRAT o A köziratok kezelése és védelme o Az iratkezelési szabályzatok kiadása o … A KÖZLEVÉLTÁR A KÖZLEVÉLTÁR ANYAGÁNAK HASZNÁLATA A MAGÁNLEVÉLTÁRI ANYAG VÉDELME


26

Jegyzet

IBIR alapjai V.03. (2015-10-04)

3.2.2 Közérdekű adatok nyilvánossága – Személyes adatok védelme 2011. évi CXII törvény információszabadságról;

az

információs

önrendelkezési

jogról

és

az

Célja: személyes adatok biztonsága és a közérdekű adatok nyilvánossága Meghatározza -

a személyes adatok és a közérdekű adatok fogalmát, és körét az adatkezelés, adatfeldolgozás fogalmát a személyes adatok kezelésének, védelmének módját és alapelveit, az adatvédelmi felelős feladatkörét

Fogalommagyarázat (3. §) 1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy; 2. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés; 3. különleges adat: a. a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 10. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; 11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; 17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik; Az adatkezelés elvei (4. §) -

Célhoz kötöttség: o kizárólag meghatározott célból o az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas o csak a cél megvalósulásához szükséges mértékben és ideig


27

Jegyzet -

-

IBIR alapjai V.03. (2015-10-04)

Kapcsolat helyreállíthatósága: o személyes adat mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható Adatok pontossága, teljessége: o biztosítani kell az adatok pontosságát, teljességét és naprakészségét

Az adatkezelés jogalapja (5. §) -

-

Személyes adat akkor kezelhető, ha o az érintett hozzájárul, o kötelező adatkezelés (azt törvény vagy pl. önkormányzati rendelet elrendeli) Különleges adat akkor kezelhető, ha o az érintett írásban hozzájárul, o azokat törvény elrendeli.

Az adatbiztonság követelménye (7. §) -

-

-

az érintettek magánszférája védelmének biztosítása gondoskodás az adatok biztonságáról, az ehhez szükséges technikai és szervezési intézkedések és eljárási szabályok kialakítása. az adatok védelme különösen o a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, o a véletlen megsemmisülés és sérülés, o az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen a különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme személyes adatok automatizált feldolgozása során adatbiztonsági követelmények: o a jogosulatlan adatbevitel megakadályozása o jogosulatlan személyek általi használatának megakadályozása o annak ellenőrizhetősége és megállapíthatósága, hogy • a személyes adatokat mely szerveknek továbbították vagy továbbíthatják • mely személyes adatokat, mikor és ki vitte be o a telepített rendszerek üzemzavar esetén történő helyreállíthatósága o jelentés a fellépő hibákról Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Adatfeldolgozás (10. §) -

Az adatfeldolgozónak a kötelezettségeit az adatkezelő határozza meg, az általa adott utasítások jogszerűségéért ő felel. Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.


28

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Az adatfeldolgozó o tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe, o az adatkezelést érintő érdemi döntést nem hozhat, o a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, o saját céljára adatfeldolgozást nem végezhet, o a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Közérdekű adatok (III-IV. fejezetek) -

-

A közérdekű adatok megismerése: o Közfeladatot ellátó szervnek lehetővé kell tennie, hogy a (kezelésében lévő) közérdekű adatokat bárki, igény szerint megismerhesse. o Közfeladatot ellátó szervek közérdekű adatainak listája az 1. mellékletben. o Közérdekű vagy közérdekből nyilvános adat nem ismerhető meg, ha … pl. nemzeti minősített adat, üzleti titok (PTK…), egyéb érdeket sért. (felsorolva) o Közérdekű adat megismerésének igénye és teljesítése – folyamatának szabályai (benyújtás / teljesítés-elutasítás / formája / költségtérítése…) o Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni. A közérdekű adatok közzététele: o A (közzétételi listákon meghatározott) kötelezően közzéteendő közérdekű adatok – elektronikus (interneten történő) közzététele.

3.2.3 Üzleti titok védelme 2013. évi V. törvény a Polgári Törvénykönyvről Törvénynek csak azon fejezeteit nézzük, amely az üzleti titokról és annak védelméről szól: 2:47. § [Az üzleti titokhoz való jog. Know-how (védett ismeret)] (1) Üzleti titok -

a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.

(2) Az üzleti titokkal azonos védelemben részesül -

az azonosításra alkalmas módon rögzített, vagyoni értéket képviselő műszaki, gazdasági vagy szervezési ismeret, tapasztalat vagy ezek összeállítása (e törvény alkalmazásában: védett ismeret),


29

Jegyzet -

IBIR alapjai V.03. (2015-10-04) ha a jóhiszeműség és tisztesség elvét sértő módon szerzik meg, hasznosítják, közlik mással vagy hozzák nyilvánosságra.

E védelemre nem lehet hivatkozni azzal szemben, aki a védett ismerethez vagy az azt lényegében helyettesítő hasonló ismerethez a) a jogosulttól független fejlesztéssel vagy b) jogszerűen megszerzett termék vagy jogszerűen igénybevett szolgáltatás vizsgálata és elemzése útján jutott hozzá. (3) Az üzleti titok megsértésére nem lehet hivatkozni azzal szemben, aki az üzleti titkot vagy a védett ismeretet harmadik személytől kereskedelmi forgalomban jóhiszeműen és ellenérték fejében szerezte meg.

3.2.4 Nemzeti minősített adat védelme 2009. évi CLV. törvény a minősített adat védelméről Törvény célja: … meghatározza a minősített adat létrejöttével és kezelésével kapcsolatos alapvető rendelkezéseket, a minősítési eljárás és a nemzeti minősített adat felülvizsgálatának rendjét, a minősített adat védelmének általános szabályait … Törvény szabályozott területei: -

Általános rendelkezések A minősítők és a minősítési eljárás szabályai A minősített adat biztonságára vonatkozó általános szabályok A minősített adat védelmét ellátó szervezetek és személyek

Meghatározza -

a minősített adat fogalmát és kategóriát, a minősített adat védelmének általános szabályait, a minősítési eljárás és a nemzeti minősített adat felülvizsgálatának rendjét, a minősített adat védelmét ellátó szervekkel és személyekkel szembeni elvárásokat!

Nemzeti minősített adat 4 kategóriája: „Szigorúan titkos”, „Titkos”, „Bizalmas” és „Korlátozott hozzáférésű” Kulcsfogalmak: személyi biztonsági tanúsítvány, telephely biztonsági rendszerengedély elektronikus adatkezelő rendszerekre


tanúsítvány,

30

Jegyzet

IBIR alapjai V.03. (2015-10-04)

A minősítési szintek értelmezése

3.3 Információbiztonság megsértésének büntetése 2012. évi C. törvény a Büntető törvénykönyvről (BTK) Büntetendő cselekmények – a következő paragrafusok alapján: -

Titok megsértése: o Magántitok megsértése – 223. § o Levéltitok megsértése – 224. § o Igazságszolgáltatással összefüggő titoksértés – 280. § o Gazdasági titok megsértése – 413. § o Üzleti titok megsértése – 418. §

-

Információs rendszer felhasználásával elkövetett csalás – 375. § o

o

o

(1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. (2)-(3)-(4) … a büntetés több, ha a csalás által okozott kár nagyobb (jelentős, nagy, különösen jelentős), illetve ha bűnszövetkezetben vagy üzletszerűen követik el … (5) Az (1)–(4) bekezdés szerint büntetendő, aki hamis, hamisított vagy jogosulatlanul megszerzett elektronikus készpénz-helyettesítő fizetési eszköz felhasználásával vagy az ilyen eszközzel történő fizetés elfogadásával okoz kárt.


31

Jegyzet -

IBIR alapjai V.03. (2015-10-04) Tiltott adatszerzés és információs rendszerek elleni bűncselekmények – 423424. §

423. § (1) Aki a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, d) vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2)-(3) … a büntetés több, ha ez több rendszert érint, ha közérdekű üzem ellen elkövetett … 424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha – mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna – tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását. (3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító.


Mit jelent a személyes és a különleges adat fogalma? Mondjon rá példákat! Mit jelent az adatkezelő és az adatfeldolgozó fogalma, és mi a kapcsolat köztük? Mondjon rá példákat! Mikor kezelhető személyes adat, és mik a kezelésének az alapelvei? Személyes adatok kezelésekor milyen főbb adatbiztonsági alapelveket kell az adatkezelő szervezetnek betartania, biztosítani tudnia? Milyen követelmények vonatkoznak az adatfeldolgozó munkájára az adatok biztonsága vonatkozásában? Mi minősül a Polgári törvénykönyv (Ptk.) szerint üzleti titoknak? Mikor nem lehet a Polgári törvénykönyv (Ptk.) az üzleti titok megsértésére hivatkozni? Milyen szintjei vannak a nemzeti minősített adatok besorolásának a „2009. évi CLV. törvény a minősített adat védelméről” értelmében? Milyen informatikai bűncselekmények büntethetőek a Büntető törvénykönyv (Btk.) szerint?


32

Jegyzet

IBIR alapjai V.03. (2015-10-04)

4 A védendő vagyon és az információbiztonsági kockázatok 4.1 Az adatvagyon és az (információs) vagyon fogalma Az ADATVAGYON tartalmazza a vállalat védendő adatait, információit. Az (INFORMÁCIÓS) VAGYON nem csak magukat a védendő adatokat foglalja magába, hanem az azokat tartalmazó adathordozókat, az adat átalakító, továbbító , és feldolgozó eszközöket, rendszereket (és azok dokumentációit), amelyeken keresztül az adatok elérhetők, illetve biztonságuk sérülhet. Tágabb értelemben az információs vagyonba beleértendők azok a kommunikációs és védelmi rendszerek is, amelyek az adatvagyon biztonságát hivatottak (közvetve vagy közvetlenül) védeni.

4.2 A vagyonelemek kategóriái és fenyegetései 4.2.1 Vagyonelem kategóriákra példák -

Környezeti infrastruktúra Hardver Adathordozó Dokumentum Szoftver Adat Kommunikáció Személyzet

Példák a lehetséges fenyegetettségekre:

(Ábra forrása: MEH ITB 12. sz. ajánlása)


33

Jegyzet

IBIR alapjai V.03. (2015-10-04)

4.2.2 (Információs) vagyonelemek tulajdonságai Fontosság: Az egyes vagyontárgy elemek értékelése / osztályozása azt jelenti, hogy ha az a vagyontárgy (az adott fenyegetettség bekövetkezte miatt) sérül, akkor annak hatása, azaz az okozott kár a vonatkozó (ahhoz kapcsolódó) információ biztonságának sérülésén keresztül mekkora a cég számára. Ez az alapja a biztonsági osztályba sorolásnak. Bizalmasság: tipikusan az adatok/információk esetén, példa kategóriák: • • • • • •

Publikus (nyílt, nyilvános) Belső használatra Bizalmas Szigorúan bizalmas (titkos) Üzleti titok Nemzeti minősített adat (államtitok)

4.2.3 A fenyegetések csoportosítása A fenyegetések csoportosítása az eredetük jellege, azaz veszélyforrások eredete alapján:     

Szervezeti veszélyforrás (Sz) Természeti veszélyforrás (T) Fizikai veszélyforrás (F) Logikai veszélyforrás (L) Humán veszélyforrás (H)

A fenyegetések csoportosítás a védendő vagyontárgyak szerint:        

Környezeti infrastruktúra fenyegetései; Informatikai eszközök/hardverek fenyegetései; Informatikai adathordozók fenyegetései; Papíralapú dokumentumok fenyegetései; Informatikai rendszerek/szoftverek fenyegetései; Adatok fenyegetései; Kommunikáció fenyegetései; Személyzet fenyegetései.

Az 2. sz. mellékletben példák találhatók az egyes vagyonelem kategóriákra ható jellemző fenyegetésekre.

4.3 Információs vagyonleltár felvétele Csoportmunkában közösen felmérik és értékelik az egyes vagyontárgyakat. A főbb lépések a következők:


34

Jegyzet •

IBIR alapjai V.03. (2015-10-04) Osztályozási irányelvek meghatározása (ez jelenti az adott információ érzékenységét – kritikusságát, így ez szabja meg a szükséges védelmi szintet is; eldöntés üzleti elvek, fontosság alapján; osztályokhoz rendelhetők védelmi szintek, szabályok, …)

•

Vagyonleltár felvétele (minden számba vehető, fontos, információs vagyontárgy rendszerezett felsorolása)

•

Vagyonleltár elemeinek (vagyontárgyaknak) besorolása a definiált osztályokba

•

Vagyonleltár elemei felelőseinek, működésének felmérése, meghatározása. Működésük megismerése szükséges, – hogy tudjuk a jelentőségét, illetve – hogy szabályozni lehessen azok működését.

Vagyonelemek felelősei, folyamatai Az egyes vagyonelemek felelősségének kijelölése, működésük szabályozott folyamatainak definiálása: •

Adatokhoz (adatbázisokhoz), információkhoz – ADATGAZDA meghatározása!

•

Adatfeldolgozó, továbbító folyamatai, felelősei!

•

Dokumentumok életciklusának, kezelésének szabályozott folyamata!

•

Hardver/szoftver eszközök, IT üzemeltetésének szabályozott folyamata, felelősök (rendszergazdák) kijelölésével!

•

Beléptetés, telephely biztonságának szabályozott módja, felelősei!

•

…

és

tároló

eszközök

kezelésének

szabályozott

4.4 Vagyonelemek feltérképezésének módja •

•

•

Folyamatok szerinti megközelítés –

Kiindulási alap a vállalat folyamatainak feltérképezése, és az ahhoz kapcsolódó információk, adathordozók és adatfeldolgozó és továbbító berendezések kigyűjtése.

–

Célszerű akkor, ha pl. a minőségirányítási, vagy egyéb folyamatmenedzsment rendszerrel együtt vizsgáljuk.

–

Lehetséges vizsgálati mód: folyamatok feltérképezése közben az információs vagyon, és kritikus eszközök együtt történő feltérképezése is.

Telephely / szervezet szerinti megközelítés –

Kiindulási alap a vállalat telephelyei, helyiségei (pl. szervezeti egységek működési helye szerint), és az ott található IT és nem IT alapú adathordozók és információk kigyűjtése.

–

Célszerű akkor, ha pl. nagy a szervezeti ábra, széttagolt a szervezet, stb...

–

Lehetséges vizsgálati mód: szervezeti egységenként összegyűjteni információs vagyontárgy kategóriánként a szervezeti egységben található információs vagyontárgyakat – hozzá nézve a felelősöket és kapcsolódó folyamatokat.

Adat alapú megközelítés –

Kiindulási alap a vállalat adatainak, adatbázisainak összegyűjtése, majd az azokhoz kapcsolódó adathordozók, eszközök és hozzáférések kigyűjtése.


35

Jegyzet – –

IBIR alapjai V.03. (2015-10-04) Célszerű akkor, ha pl. az informatikai rendszer kockázatait kell csak vizsgálni, az a jellemző. (Pl. informatikai szolgáltatók lehetnek) Lehetséges vizsgálati mód: az informatikai rendszer adatbázisainak, információs rendszereinek feltérképezése.

adatstruktúrájának,

4.5 A kockázatok értékelésének és kezelésének általános életciklusa

A védelem felállításának általános kérdései -

Mit kell védeni? (Mi a kár-hatás, kár-jelleg?) Mitől kell védeni? (Mi történhet? Hol történhet?) Mennyire valószínű, hogy ez bekövetkezik? Mennyire fáj? (Mekkora lesz a baj?) Fontossági sorrend? (Kockázati érték szerinti sorrend felállítása!) Hogyan védjem?

4.6 Információbiztonság kockázatelemzési módszerei 4.6.1 IT biztonsági kockázatelemzési módszerek (ISO/IEC TR 13335-3:1998) 1. Alapvető megközelítés -

Minden informatikai rendszerre azonos alapszinten, szabványos ellenintézkedések Előny: gyors, egyszerű Hátrány: különböző rendszerek eltérő érzékenységét nem veszi figyelembe, változások menedzselése

2. Informális megközelítés -

Értékelők tapasztalata alapján mondja meg a kockázatokat, és javasolt ellenintézkedéseket Előny: gyors, kevés erőforrás szükséges Hátrány: nem pontos, kimaradhatnak elemek, szubjektív, ellenintézkedések hatékonysága nem igazolható, …


36

Jegyzet

IBIR alapjai V.03. (2015-10-04)

3. Részletes kockázatelemzés -

Minden rendszer / vagyonelem minden fenyegetettségére részletes kockázatbecslés alapján Előny: ez a legpontosabb Hátrány: nagy idő- és ráfordítás igény

4. Kombinált megközelítés -

-

Az alapvető megközelítés és a részletes elemzés kombinációja, az adott rendszer súlyától függ a választás. (Lehetséges kezdeti alapvető megközelítés, majd az érzékeny, kérdéses rendszerekre a részletes kockázatelemzés elvégzése.) Előny: költséghatékony, ahol fontos, ott kellően részletes és pontos Hátrány: becslési hiba miatt elmaradhat itt-ott a részletes elemzés

4.6.2 Kockázatbecslési módszerek (ISO/IEC 27005:2008) Vagyonelemek, fenyegetettségek, azonosítása, majd azokra: •

ellenintézkedések

és

sérülékenységek

Kvalitatív módszerek -

•

meglévő

Skálázás szövegesen megfogalmazva (pl. kicsi, közepes, nagy) Skála-értékek definíciója különböző leírásokkal, jellemzésekkel adott Előny: különböző, nem összemérhető hatások, értékelő személyzet könnyebben megérti

Kvantitatív módszerek -

Skálázás numerikus értékekkel Skála-értékek számítási modell alapján Hátrány: erősen számítási modell és tapasztalat-függő, új kockázatok kezelése nehéz

4.6.3 A CRAMM támadási modell A CRAMM módszertan: a Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és kezelési módszertan – CCTA Risk Analysis and Management Method)

A CRAMM támadási modell azt szimbolizálja, hogy alapvetően három dolog kell a biztonsági esemény bekövetkezéséhez (a támadáshoz): © Dr. Horváth Zsolt László

37

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

fenyegetés, sebezhetőség, amin keresztül a fenyegetés kifejti a hatását (amin keresztül a támadás megindítható), ez lehet magában a védelemben is, cél, amiben/amivel kárt lehet okozni.

A modell lényege, hogy a vagyonelemek sebezhetőségeit kihasználják a fenyegetések, amelyek a vagyonelemeken hatnak, és az így létrejött biztonsági események az azokon a vagyonelemeken keresztül elérhető adatok biztonságának (C–I–A-tulajdonságának) elvesztésén vagy sérülésén keresztül okoznak kárt a vállalatnak. Ennek megfelelően a káresemény bekövetkezési valószínűsége a megtámadott vagyonelem adott fenyegetés elleni sebezhetőségének mértékétől függ, a kárérték nagysága pedig az érintett adat biztonságának sérülése következtében a vállalatnak okozott kár mértéke.

4.6.4 Az információbiztonsági általános kockázatelemzés lépések Az információbiztonsági kockázatelemzés általános lépései a következők: -

-

A védendő vagyonelemek meghatározása, osztályozása; A fenyegető, veszélyeztető tényezők kigyűjtése; A vagyonelemek (fenyegetésekkel szembeni) jelenlegi védelmi intézkedéseinek meghatározása (sebezhetőség mértéke); A veszélyhelyzetek, fenyegetések bekövetkezési valószínűségének becslése; Az egyes vagyonelemeken a lehetséges fenyegetettségek bekövetkezésekor az információs C–I–A kritériuma sérülése által okozott kárérték meghatározása (a meglévő működési körülmények, biztonsági intézkedések mellett); A fenyegetések általi kockázatok meghatározása; Nem elfogadható kockázatok esetén – javaslat kidolgozása intézkedés meghatározására, kiválasztására a kockázatok csökkentésére;

4.7 A skálázások Az értékelések előtt szükséges tisztázni, hogy milyen „skálán” értékeljük a bekövetkezési valószínűséget, a bekövetkező kárértéket, és ezek nyomán a kockázatot. Mindegyik értékelés esetén az objektív értékeléshez szükséges előre meghatározni a skálák értéktartományát, illetve az egyes értékek értelmezését is, hogy utána az egyes értékelések során (lehetőleg) egyértelműen lehessen a becsléseket elvégezni. Ennek azért van kiemelt jelentősége, mert a későbbi fenyegetések és hatásainak becslésénél nagyon különböző jellegű kárhatások is előfordulhatnak, amiket nehéz egymáshoz hasonlítani. A legtöbb esetben mind a bekövetkezési valószínűséget, mind a kár nagyságát csak verbálisan lehet jellemezni, és konkrét, folytonos értékkel bíró mérőszámot nem lehet hozzá rendelni. A skálák felvételére sokféle lehetőség van, sokféle használható, és sokszor nincs abszolút megoldás. Szempontok a kialakításhoz: -

Fontos előre megállapodni, megegyezni – az egyes értékelő területeknek, résztvevőknek egymás között. Skálák értékeit értelmezni kell, célszerű verbálisan („Mit jelent a …?”) Használható legyen az adott csoportnak! (később lehessen könnyen becsülni az alapján) Későbbi viták elkerülése… Példák: o Relatív kategóriák (kicsi – nagy – …)


38

Jegyzet o o

IBIR alapjai V.03. (2015-10-04) Konkrét értékhatárok (intervallumok) Alternatív események, (verbális becslés)

4.7.1 Kárérték becslése Kárérték – az adott vagyonelem biztonsága (C–I–A tulajdonsága) elvesztésének vagy sérülésének esetén a vállalat számára keletkező kár nagysága. -

Ez lehet alapvetően a vagyonelemhez rendelt. Ez lehet az adott vagyonelem vonatkozásában – különböző fenyegetések bekövetkezésekor – különböző, amennyiben más és más az adott fenyegetés bekövetkezésének a hatása. (Hatás lehet különböző: pl. a (C–I–A) más részén hat, más káresemény következhet be, …)  Ekkor vagyonelem-veszélyforrás páronként különkülön kell értékelni a kárértéket is.

Az egyes bekövetkező káresemények csoportosíthatók a káresemények jellege – ún. kárjelleg – alapján, és ezekre a kárjellegekre meghatározhatóak külön-külön a bekövetkezett káresemények súlyossága. Ilyen kárjellegek lehetnek (példák): -

Kárérték (pénzben kifejezve) Minősített dokumentum bizalmassága sérül Kínos helyzet a vállalat számára Testi épség / személyi biztonság veszélye Személyiségi jogok sérülnek …

A lehetséges károk becslésére egy egységes, összemérhető kárérték skálát kell definiálni - minden kárjelleg esetére. Példák – kárérték becsléshez kárjellegenként egy 1…5-ös skálán: -

Kárérték (pénzben kifejezve): 1. 2. 3. 4. 5.

-

Minősített dokumentumok bizalmassága sérül: 1. 2. 3. 4. 5.

-

 10.000 Ft  100.000 Ft  1.000.000 Ft  10.000.000 Ft > 10.000.000 Ft

Nyilvános dokumentum Titkos – csak belső használatra szánt irat Titkos – bizalmas irat Titkos irat – szolgálati, hivatali titok Szigorúan titkos irat (pl. államtitok)

Kínos helyzet a vállalat számára: 1. A kínos helyzet az érintett osztály keretein belül marad, a nyilvánosság nem szerez róla tudomást. 2. A szervezeten belül más osztályok is tudomást szereznek az ügyről. 3. Helyi újságok, rádióadások, rövidebb TV hírek hívják fel a nyilvánosság figyelmét a "kínos helyzetre".


39

Jegyzet

IBIR alapjai V.03. (2015-10-04) 4. A széles körű, rosszindulatú hírverés eléri a nemzeti sajtót, rádiót, TV-t. Az üggyel kapcsolatban kérdések, interpellációk várhatók a parlamentben. 5. A széles körű, rosszindulatú hírverés a minisztert lemondásra szólítja fel. A közvélemény felzúdulása, polgári nyugtalanság, sztrájkok várhatók.

-

Testi épség / személyi biztonság veszélye: 1. 2. 3. 4. 5.

-

Nincs sérülés vagy balesetveszély. Egy személy könnyebb sérülése. Egy (nem több) személy komolyabb sérülése, több ember könnyebb sérülése. Egy személy súlyos sérülése vagy halála, több ember súlyos sérülése. Több ember súlyos sérülése vagy halála.

Személyiségi jogok sérülnek: 1. Kisebb kényelmetlenség egy személy számára (pl. a személy által magánjellegűnek tekintett adat felfedése, további következmények nélkül). 2. Komoly kényelmetlenség egy személy számára (pl. pénzügyi információ kiadása). 3. Tartós kényelmetlenség egy személy számára (pl. egészségügyi adatok kiadása), vagy kisebb kényelmetlenség több ember számára (komoly következmény nélkül). 4. Polgári peres eljáráshoz vezető jogsértés – egy személy részéről, vagy komoly kényelmetlenség több személy számára. 5. Titkos, bizalmas személyi adatokat tartalmazó adatbázisok nyilvánosságra kerülése – számos polgári peres és egyéb büntető eljárás indulhat a vállalat ellen.

4.7.2 Bekövetkezési valószínűség becslése Igen nehéz, bizonytalan dolog (kevés információ, kevés a tapasztalat!) Bizonyos esetekben a sérülékenységet (milyen szintű szakértői tudás kell a védelem feltöréséhez, illetve milyen gyenge vagy erős a már meglévő, jelenlegi védelem) vizsgálják helyette. Példák egységesen egy 1…5-ös skálán: -

Gyakoriság: 1. 2. 3. 4. 5.

-

Évente maximum egy Havonta maximum egy Hetente maximum egy Naponta maximum egy Naponta többször, akár óránként is

Sérülékenység: 1. 2. 3. 4. 5.

Profi támadót igénylő gyengeség Csak programozói, szakértői tudással kihasználható Átlagos felhasználó által, instrukciók alapján kihasználható Átlagos felhasználó által kihasználható Automatizált eszközzel végrehajtható


40

Jegyzet

IBIR alapjai V.03. (2015-10-04)

4.8 A kockázatok értékelésének módjai Kockázati érték = bekövetkezési valószínűség * kárérték

•

Lehet számolni (szorzat: folyamatos értékek esetén),

•

Lehet számolni (szorzat: skálák alapján) Gyakoriság

Kárérték

•

1

2

3

4

5

1

1

2

3

4

5

2

2

4

6

8

10

3

3

6

9

13

15

4

4

8

12

16

20

5

5

10 15

20

25

Lehet becsülni – „kockázati mátrix” alapján Példa:

Kockázat elemzése és értékelése táblázatosan (példa):

Kár becslése külön történik a következő kategóriákra: -

C – (confidentiality) bizalmasság I – (integrity) sértetlenség A – (availability) rendelkezésre állás

4.9 Kockázatok kezelése Meg kell határozni az „elfogadott kockázati szintet” Minden nem elfogadható szintű kockázatra döntés: -

a kockázat elfogadásáról (felvállalásáról)


41

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

a kockázat áthárításáról a kockázat csökkentéséről egy elfogadható szintre – definiált intézkedéssel vagy intézkedési tervről a hiba bekövetkezésének esetére

Kockázatkezelési terv tartalmazza: -

Az intézkedések felsorolását és bemutatását Intézkedések melyik kockázatokat csökkentik Áttekintést a maradványkockázatokról A maradványkockázatok elfogadását

 Kapcsolat a kockázatok és az intézkedések között Lehetséges intézkedések meghatározása (Hogyan kell védenünk”) -

Lehetséges védelmi intézkedések, alternatívák felsorolása, számba vétele (pl. táblázatosan) Védelmi intézkedésenként becsülhetők a költségei (egyszeri beruházási, valamint a folytonos üzemeltetési) Védelmi intézkedésenként becsülhető az okozott hatás  ezáltal becsülhető a kockázati értékben a nyereség Védelmi intézkedés kiválasztása – a megelőző döntés-előkészítő információk alapján – a felső vezetőség joga, feladata és felelőssége.

4.10 Kockázatok értékelésének megismétlése Miért szükséges? -

Változnak a körülmények, fenyegetettségek (tavalyi erős védelem mára már gyenge) Új rendszereket – rendszerelemeket vezettünk be Komolyabb incidensek történtek …

Mikor szükséges? -

Rendszeres ciklikussággal (évente legalább egyszer) Rendszerbeli változásokkor Megtörtént biztonsági incidensek, esetek tapasztalatainak levonása után

Hogyan csináljuk? -

Régi kockázatértékelés eredményeinek felhasználásával Először teljesség vizsgálata (minden vagyontárgy) Fontosság / kárérték eredmények felül bírálata Új elemek részletes vizsgálata (mint az első értékelésnél!) Az eltelt időben újonnan bevezetett / megváltozott intézkedések, folyamatok figyelembe vétele Veszélyforrások hatásának, bekövetkezési valószínűsége eredményeinek felül bírálata (a változások figyelembe vétele) Kockázati értékek számítása, elfogadható kockázati szint meghatározása Új intézkedések meghatározása (kockázatkezelési terv aktualizálása)


42

Jegyzet

IBIR alapjai V.03. (2015-10-04)


Mit jelent az adatvagyon és az információs vagyon fogalma? Mondjon mindegyikre példákat! Az információbiztonsági kockázatelemzés során mit jelentenek az ún. „vagyonelemkategóriák”? Milyen főbb vagyonelem-kategóriákat ismer? Miért fontos a vagyonelemek felelősségeinek és működésének a szabályozása? Mutassa be és jellemezze röviden a vagyonelemek feltérképezési módjait! Hogyan lehet az információbiztonsági fenyegetéseket csoportosítani? Mutasson példát az egyik csoportosítási módra! Mutassa be az „informális kockázatértékelési és kezelési eljárás” alapelvét! Mit jelentenek a kvantitatív és a kvalitatív kockázatértékelési módszerek? Mutasson egy-egy példát mindegyikre! Mutassa be a CRAMM féle információbiztonsági kockázatelemzési módszer (CRAMM támadási modell) lényegét! Mutassa be a kockázatok értékelésének és kezelésének általános életciklusát, és az egyes lépések feladatait! Mutassa be, hogy milyen szempontok alapján lehet a kockázatok értékelésekor a kárértékeket skálázni! Mutasson ezekre példákat! Mutassa be, hogy hogyan csoportosíthatók a kockázatkezelési intézkedések! Mondjon mindegyik csoportra legalább 1-1 példát! Miért és mikor szükséges a kockázatok értékelését megismételni?


43

Jegyzet

IBIR alapjai V.03. (2015-10-04)

5 A terület- és objektumvédelem 5.1 Áttekintés a terület- és objektumvédelemről Cél: Az illetéktelenek (jogosulatlanok) általi fizikai hozzáférés megakadályozása az iratokhoz, dokumentumokhoz, elektronikus adathordozókhoz, elektronikus adathozzáférést biztosító eszközökhöz, berendezésekhez, illetve minden olyan eszközhöz, személyhez, munka- és eljárási módszerhez, amelyen keresztül a védendő információk biztonsága sérülhet, hogy ez által megakadályozzuk az adatszivárgást, illetéktelen adatmódosítást vagy adattörlést, illetve az informatikai rendszer üzemében bármilyen lehetséges károkozást. Általános gondolatok -

-

Az egyik legellentmondásosabb része az információbiztonságnak: o az „információbiztonság előtt” is létezett, o elfogadjuk, hogy a feladatokat szakemberre kell bízni, o mégis a megszokásaink vezetnek. Bármilyen információ védelmének az első vonala. Jól szabályozva megoldja más védelmi területek feladatainak nagy részét (más területek védelme olcsóbb lehet). Építeni lehet/kell a szabályozást arra, hogy kihasználjuk – az átlaggal szemben – a megszokásokat (pl. “belépni tilos” tábla), de készülni kell az átlagtól való eltérés esetére is.

A terület- és objektumvédelem jelentése -

A területek, objektumok és berendezések (HW) védelme alapvetően a fizikai védelem megvalósítását és működtetését jelenti. Az (információs) vagyontárgyak közvetlen környezetének fizikai védelmét jelenti. Kiemelt jelentőségű az IT rendszer központi (szerver) részének védelme. Védelem – első sorban – ezen vagyontárgyakhoz való illetéktelen hozzáféréstől, ami kiterjed a zónánkénti védelem kialakítására is.

5.2 Védelem területek funkciói az információbiztonság során 5.2.1 Általános szempontok Az (információs) vagyonelemek védelmének első vonala. Mitől védünk? -

a területre való (illetéktelen) bejutástól – a belépési pontokon; a területre való bejutástól – a határ felületeken; az (illetéktelen) benntartózkodástól (mozgástól, tevékenységtől) a területen belül;

az egész területre, illetve külön-külön zónánként (a követelmény szintnek megfelelően). A védelmi kontrollok: -

beléptetési kontroll, riasztás,


44

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

térfigyelés, és ezek közötti kommunikáció.

A védelem feladatai: -

Biztonsági zónák kialakítása. Beléptetés ellenőrzése (zónahatáron beléptetési pontok használata). Behatolás elleni eszközök (teljes zónahatár védelme). Mozgás ellenőrző eszközök (benntartózkodás, munkavégzés kontrollja).

5.2.2 Fizikai biztonsági határzónák kialakítása Példa biztonsági zónák kialakítására

Általános szempontok: -

Biztonsági határzónák egyértelmű megállapítása – az ottani vagyontárgyak és a kockázat-értékelés eredményei függvényében Épület vagy IT feldolgozó eszköz határzónája ép, fizikailag lehatárolt, zárt Határzónák védelme (hozzáférés csak jogosultaknak), személyzetnek ehhez lehatárolt terület kialakítása Fizikai korlátos a jogosulatlan behatolás ellen Biztonsági zónában a tűzvédelmi ajtókra riasztóberendezések Behatolás-jelző rendszerek alkalmazása Információ feldolgozó eszközök fizikai elválasztása (elkülönítése) – amit a szervezet illetve 3. felek kezelnek

Gyakorlati megvalósításhoz további szempontok: -

-

A védendő információk érzékenysége szerint: o Publikus, belső használatra, bizalmas, szigorúan bizalmas; Földrajzi elhelyezkedés figyelembevétele: o Természeti csapások által fenyegetett területek mellőzése; o Jó megközelíthetőség; o Zárt felületek kialakíthatósága; o Veszélyt jelentő épületek figyelembevétele. Védendő információs vagyonok (nyomtatók, faxok, fénymásolók) elhelyezkedése; Területek funkciója (szerverszoba, irodák, irattárak, tárgyalók, stb.) figyelembe vétele, kihasználása; A rendelkezésre álló ill. tervezett védelmi eszközök és módszerek figyelembe vételével;


45

Jegyzet -

IBIR alapjai V.03. (2015-10-04) Védelmi vonalak kialakítása: első – belépés; második – nyomon követés; A zónahatárokat, belépési pontokat egyértelműen jelölni kell. (Látványosan inkább csak az 1-es és 2-es esetén – a 3-asnak “kitüntetett” szerepe van)

5.2.3 Fizikai beléptetés felügyelete Szempontok: -

Látogatók belépésének és távozásának naplózása, engedélyekhez ellenőrzése Érzékeny információk kezelésének helyén csak az arra jogosított, szükséges személyeknek legyen belépési joga A fizikai elektronikus log-állományok (audit-naplók) karbantartása és figyelése Mindenkinek látható azonosító (kitűző) viselési kötelezettsége Harmadik szolgáltatást nyújtó felek korlátozott jogosultsága, a szükséges mértékig Biztonsági területek hozzáférési jogainak időszakos felülvizsgálata, szükségtelenek törlése

5.2.4 Irodák, helyiségek és eszközök védelme Szempontok: -

A kulcsfontosságú berendezéseket helyezzék el úgy, hogy elkerüljék a nyilvános hozzáférést Épületek ne legyenek hivalkodók és a legkevesebb jelét adják céljuknak Épületekben folyó adatfeldolgozás kívülről ne legyen észlelhető, látható, hallható (pl. elektromágneses kitakarás, …) Telefonkönyvek, belső telefonjegyzékek ne legyenek közvetlenül elérhetőek a nagyközönségnek

5.2.5 Munkavégzés biztonsági területeken Szempontok: -

a személyzet csak annyira legyen tudatában egy biztonsági terület létezésének, vagy az ott folyó tevékenységeknek, amennyire szükséges felügyelet nélküli munkavégzést a biztonsági területeken kerüljék mind biztonsági okból, mind azért, hogy megelőzzék a rosszindulatú tevékenységek lehetőségét; az üres biztonsági területeket fizikailag zárják le és időszakosan ellenőrizzék; fényképező, video, audio vagy más felvevő készülékek, mint kamerák mobil berendezésekben, csak akkor engedhetők meg, ha jogosítva vannak

5.2.6 Szállítási és rakodási területek Szempontok: -

A hozzáférést egy szállítási és tárolási területhez az épületen kívülről korlátozzák az azonosított és jogosított személyzetre; A szállítási és tárolási területet úgy tervezzék, hogy a szállítmányokat le lehessen rakni anélkül, hogy a szállító személyzet hozzá tudjon férni az épület más részeihez; A szállítási és tárolási terület külső ajtói legyenek biztosítva, amikor a belső ajtókat kinyitják;


46

Jegyzet -

IBIR alapjai V.03. (2015-10-04) A beérkező anyagot ellenőrizzék a lehetséges fenyegetések miatt mielőtt az anyagot a szállítási és tárolási területről a felhasználási ponthoz szállítják; A beérkező anyagot vegyék jegyzékbe a vagyontárgy kezelési eljárásokkal összhangban a helyszínre való beérkezéskor; A beérkező és a kimenő szállítmányokat, ha lehet, fizikailag válasszák el. A beérkező anyagot ellenőrizzék le, hogy útközben nem történt-e illetéktelen beavatkozás. Ilyen illetéktelen beavatkozás észlelését azonnal jelenteni kell a biztonsági személyzetnek.

5.3 Védelmi eszközök, módszerek 5.3.1 Beléptető rendszerek Beléptető rendszerek lehetnek használatban: -

technikai (ellenőrzésű); személyi (ellenőrzésű); és a kettő kombinációi.

A technikai és a személyi beléptető ellenőrző rendszerek összehasonlítása: -

-

A technikai beléptető rendszerek tulajdonságai: o drága a kiépítésük, szervizelésük és üzemeltetésük; o érzékenyek, egyéb technikai feltételek meglétére (áram-kimaradás, kábelek biztonsága); o megtéveszthető; o nem fárad, következetes és rugalmatlan. A személyi ellenőrzésű beléptető rendszerek tulajdonságai: o megtéveszthető, de képes korrekcióra; o fáradékony; o rugalmas, nem következetes.

A technikai beléptető rendszerek jellemzése: -

Célja: a szervezet kialakított biztonsági zónái számára biztosítja a szabályozott és folyamatosan ellenőrzött személyi és gépjármű forgalmat. Módszerek: tudás alapú (pl. pin kód), birtok alapú (pl. belépő kártya), biometrikus (pl. ujjlenyomat, írisz, hang) Megbízhatóbb védelem: két különböző típusú rendszer együttes használata. Naplózni kell: a tevékenységeket, meghibásodásokat, változtatásokat, incidenseket.

A technikai beléptető rendszerek alapvető típusainak összevetése:


47

Jegyzet

IBIR alapjai V.03. (2015-10-04)

5.3.2 Behatolás elleni és mozgás ellenőrző eszközök Célja: a behatolás tényének azonnali észlelése, jelzése nem pedig a behatolás megakadályozása; Mit véd: kerület (kerítést), felület (ablakot, falat), területet (helységet); Példák behatolás védelemi és mozgás ellenőrző eszközökre: -

Mozgás érzékelők; Szeizmikus érzékelők; Üvegtörés érzékelők; Videó rendszerek; Bontásvédettség; Támadásjelzők; Stb.

Az eszközöket a kívánt biztonsági szint eléréséhez akár kombinálva is lehet használni.


-

Mi a terület- és objektumvédelem célja az IBIR működésén belül, és mik a fő feladatai? Mutassa be a fizikai biztonsági határzónák kialakításának főbb szempontjait, alapelveit! Milyen biztonsági szempontokra kell odafigyelni normál irodákban illetve kiemelt biztonsági területeken történő munkavégzés biztonsági szabályainak kialakításakor? Milyen biztonsági szempontokra kell odafigyelni szállítási és rakodási területeken való munkavégzés biztonsági szabályainak kialakításakor? Hasonlítsa össze a technikai és a személyi ellenőrzésű beléptető rendszerek jellemző tulajdonságait! Mutassa be a technikai beléptető rendszerek – a személyek azonosításának különböző működési elvei szerinti – csoportosítást, és az egyes csoportok összehasonlítását (előny – hátrány – egy konkrét megvalósítási példa csoportonként)! Mi a behatolás elleni és mozgásérzékelő eszközök használatának célja? Mondjon példát ilyen eszközökre és alkalmazásukra!


48

Jegyzet

IBIR alapjai V.03. (2015-10-04)

6 A személyvédelem és a humán biztonság 6.1 Általános gondolatok Személy védelem célja: -

-

a humán tényezőre (személyi okokra) visszavezethető fenyegetésekkel szembeni védelem (pl. külső támadások, adatlopások, hackelés, social engineering, belső adatkiadás, pletyka, stb.) a humán erőforrások rendelkezésre állásának, megfelelésének biztonsága.

Még mindig az humán faktor (emberi tényező) a legtöbb biztonsági rendszer leggyengébb láncszeme. Az emberi természetből adódó kockázatok lehetséges okai (példák): Motivációk (Offenzív) -

Haszonszerzés Bosszú Irigység Sértettség Felindultság Virtus

Defenzív: -

Tudatlanság Képzetlenség Alkalmatlanság Ellenséges magatartás Gondatlanság Kényelem

6.2 Social engineering 6.2.1 A Social Engineering fogalma, jellemzése A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni. (Kevin Mitnick) Pszichológia eszközök között szerepelnek: -

bizalomépítés, együttérzés, megfélemlítés vagy a bűntudat kihasználása

Miért - Motiváció? -

megszemélyesítés, identitáslopás (identity theft) adathalászati célú e-mailek, web oldalak (phishing, pharming) adatszerzési célú telefonhívások, SMS-ek (vishing, smishing)


49

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

céges IT rendszerek támadásának előkészítése (spear phishing) üzleti hírszerzés, kémkedés, információszerzés közösségi profilok, e-mail fiókok feltörése (hacking, cracking) pénzügyi, bankkártyás és biztosítási csalások (fraud) kéretlen elektronikus reklámlevelek és hirdetések (spam), lánclevelekben terjesztett valótlan ajánlatok (hoax) hamis személyi okmányok készítése, személyi igazolvány, útlevél, jogosítvány, társadalombiztosítási papírok stb. lejáratás, hírnév rombolás, „karaktergyilkosság” (deface) megvesztegetés, zsarolás (blackmailing)

6.2.2 A Social Engineering eszközei Telefonálás Jellemzői: - A leggyakrabb technika - Könnyen, olcsón kivitelezhető – a lebukás minimális veszélyével (hangtorzítás, nyilvános fülkék, eldobható mobilok, stb.) Veszélyei - Nem tudhatjuk, ki van a vonal másik végén. - Elegendő, egy kellemesen csengő hang, jó modor, a vállalati kultúra ismerete. - Könnyű védekezni ellene. „Snailmail” – hagyományos posta -

-

A technika lényege, hogy a vállalatok postacímére jól kidolgozott, professzionális látszatot keltő sok esetben a nyeremény lehetőségével kecsegtető adatlapokat küldenek. (sorsolási játékban való részvétel, stb.) Az emberek hajlamosak bedőlni mindennek ami le van írva, úgyhogy gyakran sikerül ilyen technikákkal használható információhoz jutni.

Internet (e-mail, távoli adminisztráció, stb.) -

Vírusok, „Spyware” alkalmazások a felhasználó gépére juttatása e-mailek, vagy más módszerek segítségével. Ezek után: A távoli adminisztrációs trükk Billentyűfigyelés Dokumentumok átvizsgálása Böngészők gyorsítótárának elemzése Kapcsolat idegenekkel az interneten … Stb.

A szemetesláda az információk kincsesbányája -

A szemetesláda az információk kincses ládája Használatához nem kell semmilyen technikai tudás A Felhasználók megsemmisítés nélkül dobják azokat a dokumentumokat a szemetesbe. Pl.: Banki bizonylatok, számlák


50

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Hálózati leírások, szerviznaplók Vállalati belső telefonkönyvek Védekezni kidolgozott politikával lehet Lezárt szemetesek, csak már nem használható iratot szabad kidobni, stb.

Irodai kémkedés -

kihallgatás, kilesés (shoulder surfing) megtévesztés, megszemélyesítése, …

Védekezés: - „Clear Desk Policy” kialakítása és kikényszerítése - Tilos a fontos- dokumentumokat, szerződéseket, iratokat felügyelet nélkül hagyni az irodában! - A számítógépeket felügyelet nélkül tilos bejelentkezett állapotban bekapcsolva hagyni! Valamint rengeteg új apró IT eszköz ... adatlopáshoz Stb…

6.2.3 Védekezési módszerek -

Tájékoztatás, biztonságtudatossági oktatások. Biztonsági kultúra kialakítása. ( a cég „humán tűzfala” mi vagyunk!) „BYOD” (=Bring Your Own Device) eszközök használatának szabályzása, korlátozása. Kételkedés és egy kis paranoia soha nem árt… Kérdezzünk, ellenőrizzük a forrást és a személyazonosságot! Sehol ne adjuk meg a felhasználónevünket + jelszavunkat, PIN kódunkat, bankkártya adatainkat, TAJ, adó stb. számunkat. Ne kattintsunk rá „ész nélkül” az e-mailekben, üzenetekben szereplő linkekre. Ne nyissunk meg ismeretlen forrásból származó fájlokat, mellékleteket. Ne csatlakoztassunk ellenőrzés nélkül mobil adathordozókat. A privát eszközeinket se használjuk „rendszergazdai” fiókkal. Kerüljük a nyilvános, nyílt Wi-Fi hozzáférési pontok használatát. a privát adatok és céges adatok elkülönítése o Használjunk külön privát és céges célú e-mail címeket, jelszavakat. o Használjuk körültekintően a közösségi oldalakat.

6.3 A személyügyi munka (HR) Főbb szempontok: -

a leendő munkatársak előzetes vizsgálata munkaszerződésben (stb.) a titoktartási és biztonsági követelményekre való kitérés a „munkakapcsolat” megszűnése alkalmából (!) foganatosítandó rendszabályok a munkakapcsolat megszűnése utáni követelmények meghatározása

6.3.1 Előzetes átvilágítás szempontjai: -

Megfelelő jellegű referenciák rendelkezésre állása


51

Jegyzet -

IBIR alapjai V.03. (2015-10-04) A jelentkező önéletrajza teljességének és pontosságának ellenőrzése A szakmai és tudományos képesítések állításának igazolása Független személyazonosság igazolása Részletesebb ellenőrzések, mint pl. hitel-felülvizsgálat v. bűnügyi nyilvántartás ellenőrzése

Különösen érzékeny munkakörök esetén még: -

A biztonsági szerepkörhöz szükséges alkalmasság és szakértelem megléte Szerepkörre való megbízhatóság

6.3.2 Szempontok – a munkavállalói szerződések biztonsági aspektusaival kapcsolatban -

Titoktartási nyilatkozatok – az információkhoz való hozzáférés előtt Az alkalmazottak jogainak és felelősségeinek tisztázása A kezelt információk biztonsági osztályozásának megfelelő kezelési szabályaihoz kapcsolódó előírások Külső felek információi kezelésének felelősségei A szabályok be nem tartásának következményei (retorzió-szabályok)

6.3.3 Szempontok – az IB tudatosító (képzési) programhoz -

Többféle tudatosító program, kommunikációs forma, eszköz használható Képzések megismétlése ciklikusan, tudatosság éberen tartása Nemcsak a „mit” és „hogyan”, hanem fontos a „miért” is > megértés jelentősége Témák, amikre kiterjedjen: o Vezetői elkötelezettség (az IB iránt az egész szervezetben) o Az IB-politika, szabályok és előírások megismertetése, amit alkalmazniuk kell o Felelősségi kérdések, mindenkinek a saját elszámoltathatósága o Az alapvető betartandó biztonsági eljárások és szabályok o További információk honnan nyerhetők a témában

6.3.4 Szempontok – a munkaviszony megszüntetésekor vagy megváltoztatásakor -

A változáskor kommunikálni kell a folyamatos biztonsági és jogi követelményeket, titoktartást, és egyéb kapcsolódó folytatólagos követelményt. A munkaviszony megszűnése utáni felelősségeket (pl. titoktartási) a szerződésnek tartalmaznia kell! A munkaviszony megváltozásakor a felelősség-változásokat úgy kell kezelni, mintha egy-egy megszűntet és egy újat kezelnénk. A munkaviszony megszűnésekor azonnal vissza kell szolgáltatni minden céges eszközt és tulajdont. A munkaviszony megszüntetésekor azonnal meg kell szüntetni minden – az adott munkavállalóhoz kapcsolódó – lokális és hálózati accountot, hozzáférést. Amennyiben a távozó munkavállaló közös használatú jelszavak birtokában volt, úgy azokat a jelszavakat haladéktalanul le kell cserélni.


52

Jegyzet

IBIR alapjai V.03. (2015-10-04)


Mit jelent a „social engineering”? Mutasson rá példát! Mutassa be a „social engineering” legjellemzőbb támadási technikáit, eszközeit! Melyek a „social engineering” féle támadások elleni védekezés lehetőségei, módszerei? Mutasson példákat! Mutassa be, milyen főbb biztonsági szempontokra kell odafigyelni a személyügyi munka során a munkatársak felvételekor, alkalmazásakor és elbocsátásakor!


53

Jegyzet

IBIR alapjai V.03. (2015-10-04)

7 Dokumentumok, iratok védelme Noha itt (ebben a fejezetben) elsősorban a papíralapú iratok biztonsági elveit és módszereit tárgyaljuk, de az elektronikus formátumú iratokkal szembeni elvárásoknak is ugyanezen követelményeknek kell megfelelniük… Általánosan ide értendők még … -

papíralapú iratok (írás, fénykép, rajz, stb.) “analóg” rögzítési formátumú adatok (film, hangszalag, lemez, stb.)

Ezek kezelésére is kibővítve érvényesek ugyanazok az irányelvek!

7.1 Dokumentumok és iratok kezelésének általános alapelvei 7.1.1 A vállalati dokumentumkezelésről általánosan Dokumentációk előfordulási formátuma Jelenleg egy szervezetben az adatok lehetséges tárolási módja: -

csak papíralapú, papír és elektronikus (értsd számítógépes) formátumú, csak elektronikus formátumú.

Az utolsó kategória lesz a jövő útja, de ma még az első kettő az elterjedtebb. A papíralapú dokumentáció használatának főbb jellegzetességei -

van kialakult hagyománya, szabályai, a gyakorlatban nehézkesebb (drágább a kezelése, több helyet foglal mint a számítógépes), kiforrottabbak a kezelési szabályok (jogilag elfogadottabb, aláírható) erősek a megszokások (a szó elszáll, az írás megmarad; nem tudok olvasni, lapozni a képernyőn, …)

7.1.2 Az iratkezelés Gyűjtőfogalomként iratkezelésnek hívjuk a (papíralapú) dokumentumok esetén használt összes eljárást, úgymint: -

az iratok osztályozása, besorolása, a besorolás szerinti eljárásrendek.

Irat és iratkezeléssel kapcsolatos alapfogalmak -

-

Iratnak minősül: minden olyan írott szöveg, számadatsor, térkép, tervrajz és vázlat, mely valamely szerv működésével, illetve személy tevékenységével kapcsolatban bármilyen anyagon, alakban, formában, bármely eszköz felhasználásával és bármely eljárással keletkezett, kivéve a megjelentetés szándékával készült újságot, folyóiratot, vagy könyvjellegű kéziratokat. Iratkezelés: az irat készítése, nyilvántartása, rendszerezése és a selejtezhetőség szempontjából történő válogatása, szakszerű és biztonságos megőrzése, használatra bocsátása illetve levéltárba adás tevékenysége.


54

Jegyzet -

-

IBIR alapjai V.03. (2015-10-04) Iktatás: az iratnyilvántartás alapvető része, amelynek során az érkezett, vagy a saját keletkezésű iratot iktatószámmal látják el, illetve a számítógépes iktatás esetén kitöltik az iktató képernyő rovatait. Irattár: megfelelően kialakított és felszerelt, az irattári anyag szakszerű és biztonságos őrzésére alkalmas helyiség. Levéltár: a maradandó értékű iratok tartós megőrzésének, levéltári feldolgozásának és rendeltetésszerű használatának biztosítása céljából létesített szervezeti egység.

Iratok életciklusa -

Az iktatást megelőző tevékenységek pl. beérkezett iratok átvétele, érkeztetése, elosztása, ill. iratok keletkezése, használata (piszkozat, munkaanyag, …) Az iratok nyilvántartásba vétele (IKTATÁS – iktatókönyvben és/vagy elektronikusan) Ügyiratok intézése, használata (folyamatokban), iratok továbbítása a megfelelő személyekhez Irattárba helyezés, irattári kezelés, selejtezés

7.1.3 Iratok a fizikai és elektronikus térben Ugyanazok az iratok előfordul(hat)nak egyszerre papíron is, és elektronikus adathordozón is. Az átmenet a két formátum között számtalan helyen és módon megvalósulhat, emiatt a kétféle módon tárolt adatok biztonsági követelményeinek azonosnak kell lennie, illetve a két tér (fizikai tér és elektronikus tér) közötti átjárásnak kontrolláltnak és az adott biztonsági szintnek megfelelőnek kell lennie.


55

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Az elektronikus dokumentumok biztonságának összetevői Tipikus irodai környezetben a dokumentum biztonság három alapvető problémakör kezelését jelenti: -

-

Az elektronikus dokumentum tárolása: az elektronikus dokumentumokhoz való hozzáférés (hálózati tárolóeszközök, verziókövetés, titkosítás, hozzáférési jogok adminisztrációja). Az elektronikus dokumentumok közlekedése: ki/beviteli csatornák (elektronikus adathordozók, E-Mail, Internet, fax, nyomtatók, stb.) Az elektronikus dokumentumok fizikai térbe kerülés (kinyomtatás) utáni követése.

7.2 Dokumentumok, iratok osztályozása, és kapcsolódó biztonsági elvárások 7.2.1 Iratok osztályozása, minősítése A dokumentumok, iratok besorolásnál érzékenységéből kell kiindulni!

az

azokon

lévő,

védendő

információk

Osztályozási példák: -

Nyilvános (nyílt), publikus információk Csak belső felhasználásra engedélyezett információk Bizalmas információk Szigorúan bizalmas információk

A gyakorlatban ez az osztályozási rendszer terjedt el nagyon sok helyen. Természetesen lehet használni ettől eltérő, más besorolási rendszert is. A szervezetnek a definiált besorolási kategóriákhoz dokumentált szabályozásban meg kell határoznia az iratok teljes életciklusa alatt a kezelés módját, szabályait. A folyamat (az iratkezelés) akkor lesz a gyakorlatban használható, ha a besorolási kategóriák mellé létrehozzuk a megfelelő eljárási rendet is. Azaz kidolgozzuk a: -

hozzáférési jogosultságok, a készítés, használat, a szállítás, a tárolás, a selejtezés, megsemmisítés, az iratok formai, alaki

szabályait. Alkalmazási irányelvek Általában törekedni kell, hogy: -

az iratkezelés szabályai egyszerűek, jól érthetőek legyenek, ezek a kategória elvek, szabályozási elvek alkalmazhatóak információbiztonság más területein is, pl.: o zónák kialakítása, o papíralapú adatok, o egyéb formátumú adatok,


legyenek

az

56

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

o digitális formátumú adatok. szintén szükséges a retorziós szabályok átgondolása pl. van retorzió arra az esetre, ha valaki elveszít egy titkos iratot, de nincs arra, ha valaki megtalálja és jogtalanul felhasználja (eladja egy újságnak).

7.2.2 Példák osztályba sorolás értelmezésére Csak belső használatra engedélyezett információk: a szervezeten belüli, munkavégzéssel és adminisztratív tevékenységekkel kapcsolatos, minden munkavállalót érintő általános, belső ismerteket tartalmazó információk. Bizalmas információk: a szervezeten belüli munkavégzéshez kapcsolódó információk. Ezeknél érvényesül a „szükséges és elégséges információ elve”, azaz minden információ csak azoknak a munkatársaknak és olyan mértékig álljon rendelkezésre, ami a munkakörük ellátásához szükséges és elégséges. Szigorúan bizalmas információk: a szervezeten belüli munkavégzéshez kapcsolódó olyan információk, amelyek illetéktelenek általi megismerése komoly károkat okozhat a társaságnak. Ezeket a folyamatokon belül is szigorú titokvédelmi eljárásrenddel kell őrizni. Bizalmas / szigorúan bizalmas dokumentumok, iratok lehetnek: -

személyes adatok üzleti adatok (üzleti titkok) államtitkok >> ma már nemzeti minősített adat stb.

Példák személyes adatokra: -

Címek Telefonszámok Társadalom Biztosítási azonosító Vezetői engedély szám SZIG. szám Bankszámlák Hitelkártya adatok Egészségügyi információk Belső alkalmazotti információk Stb.

Különleges (személyes) adatok például: -

Egészségi állapotra von. adatok Nemzeti, etnikai kisebbséghez tartozás Vallási vagy világnézeti meggyőződés Politikai nézet Szexuális életre vonatkozó adat Stb.

A személyes adatok kezelését a 2011. évi CXI. törvény szabályozza, és védelmét az biztosítja.


57

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Példák üzleti adatokra / üzleti titokra -

-

A szervezet pénzügyi adatai (amelyekre a törvények nem írnak elő közzétételi kötelezettséget), üzleti stratégiák, jövőbeni üzleti tervek. Üzleti titkok, kutatási és fejlesztési információk, szabadalmi tervek, technológiai leírások. Az ügyfelek vagy az üzleti partnerek üzleti kapcsolat során összegyűjtött személyes és céges információk. Az alkalmazottak személyes adatai: fizetési adatok (kivéve, ha a szervezet közszerv), fegyelmi feljegyzések, előző munkahelyek, egészségügyi és büntetési előzmények. Stb.

7.2.3 Példák az egyes biztonsági osztályú dokumentumok kezelési irányelveire Csak belső használatra engedélyezett információk kezelésének irányelvei -

-

Értelmezés a kategóriára: belső telefonkönyv, belső munkarenddel, szabadságolással, beszerzési igénnyel, stb. kapcsolatos, illetve egyéb belső közös használatú munkahelyi információk. A belső használatú információkra alapvetően vonatkozik a titoktartási követelmény, cégen kívülieknek nem adható tovább. Papíron, belső anyagokon közzétéve – „csak házon belül” publikus. – Házon belül nincsenek külön szabályok. Elektronikusan belső közös szervereken, intraneten, stb. megtalálható információk. – Házon belül nincsenek külön hozzáférési korlátok.

Bizalmas információk kezelésének irányelvei -

-

Értelmezés a kategóriára: munkavégzéshez (munkakörhöz) szorosan kapcsolódó munkahelyi információk. A titoktartás itt is vonatkozik! Papíralapú iratok kezelésre vonatkozó információbiztonsági irányelvek: o A munkaanyagokat, feljegyzéseket, és a még irattárazás előtti életciklusban lévő dokumentumokat, jegyzeteket (piszkozatokat is) a munkahelyen zárt fiókban / szekrényben kell tárolni. o Iratokhoz (eredeti / másolat) való hozzáférést, betekintést biztosítani, illetve másolatot adni csak a szükséges folyamat mentén, annak részeként és az ott szabályozottan meghatározott jogosult személyeknek lehet. o A már szükségtelenné vált dokumentumokat, feljegyzéseket, jegyzeteket (piszkozatokat is), másolatokat szemétkosárba kidobni tilos, iratmegsemmisítővel be kell darálni. o Az eredeti iratok tárolása szabályozottan működő irattárakban. Elektronikus formátumú iratok kezelésre vonatkozó információbiztonsági irányelvek: o Számítógép rövidebb idejű elhagyásakor a számítógépes munkahely zárolása, hosszabb idejű elhagyásakor kikapcsolása. o Jelszavas képernyővédő használata. o Jogosultságok, hozzáférések szabályozása.


58

Jegyzet

IBIR alapjai V.03. (2015-10-04) o o o o o o o

Jelszókezelési szabályok. Clear desk policy (asztalon és számítógépes asztalon egyaránt. Az adatokat tartalmazó fájlokat / adathordozókat folyamatosan felügyelet alatt kell tartani. Mobil eszközön csak titkosított formában tárolhatók adatok. Adatkommunikáció csak titkosított formában történhet. Alkalmazói használat naplózása, logfájlok archiválása. A biztonsági napló rendszeres (pl. heti, havi) ellenőrzése;

Szigorúan bizalmas információk kezelésének irányelvei -

Értelmezés a kategóriára: munkavégzéshez (munkakörhöz) szorosan kapcsolódó munkahelyi információk. A titoktartás itt fokozottan vonatkozik!

A bizalmas információk kezelésének irányelvein túlmenően: -

-

Papíralapú iratok kezelésre vonatkozó információbiztonsági irányelvek: o Kinyomtatott munkapéldányok, papír alapú jegyzetek csak a jogosultak számára használhatóak – illetéktelenek távollétében, használaton kívül azokat a jogosultak által kezelt páncélszekrényben / lemezszekrényben elzártan kell tartani, vagy iratmegsemmisítővel megsemmisíteni. o „Üzleti titok” vagy „Szigorúan bizalmas” adatérzékenységi kategóriába tartozó eredeti iratok esetén az iraton, illetve az azt magába foglaló dosszién jelölni kell az „Üzleti titok” vagy „Szigorúan bizalmas” minősítést. Elektronikus formátumú iratok kezelésre vonatkozó információbiztonsági irányelvek: o Az „Üzleti titok” vagy „Szigorúan bizalmas” minősítésű adatokat tartalmazó informatikai infrastruktúra csak védett gépteremben, vagy fizikailag védett objektumon belül, külön biztonsági ajtóval lezárt helyiségben helyezhető el. A belépés a gépterembe regisztrált módon intelligens beléptető rendszeren keresztül valósuljon meg. o Minden adattárolás és kommunikáció csak titkosítva történhet. o A ki- és bejelentkezéseket, valamint a felhasználói tevékenység rekonstruálhatóságához nélkülözhetetlen adatokat naplózni kell. o A biztonsági napló (log fájlok) napi gyakoriságú ellenőrzése és archiválása. o El kell különíteni a rendszer-adminisztrátor, az operátor és a biztonsági felügyelő szerepkörét.

Titkos Ügyiratkezelés (TÜK) rendje -

-

A titkos ügykezelés alá vont dokumentumok körét és azok kezelési rendjét az adott szervezet általában vagy az információvédelmi, esetleg minőségügyi dokumentumokban, vagy igazgatói utasításokban külön is rögzíti. Az állami intézményekre, minisztériumokra, stb., ahol nemzeti minősített adat kezelése történik, ott azok kezelésére a 2009. évi CLV. törvény vonatkozik.

7.2.4 Irattári működési követelmények irányelvei – példák -

Az irattárak fizikai és épületgépészeti védelme, tűzvédelme szabályozott és biztosított legyen.


59

Jegyzet -

-

IBIR alapjai V.03. (2015-10-04) Az iratok tárolására szolgáló polcrendszer kialakításakor figyelni kell az alapvető biztonsági és használhatósági szempontokra, mint pl. polcok teherbírása, legalsó és legfelső polc elhelyezkedése, magassága, polcsorok távolsága, polcok rögzítése, stb. Az iratok elrendezése (polcrendszereken) rendezett, átlátható és jól azonosítható legyen. Az irattárakban elhelyezkedő iratokról létezzen egy mindig aktuális nyilvántartás. Az irattárakba való belépés szabályozott és ellenőrzött legyen. Az iratokhoz való hozzáférés (olvasás, másolás, kölcsönzés) szabályozott, ellenőrzött és naplózott legyen.

Szigorúan bizalmas iratok esetén továbbá: -

-

Az eredeti iratok fizikailag védett objektumon belül, speciálisan erre a célra elkülönített biztonságos irattári helyiségben helyezhetők csak el. Az irattárakban kizárólag az irattár felelőse kereshet ki iratot, és – a megfelelő jogosultság igazolása után – ő adhat át iratot betekintésre, vagy végez egyéb irattári szolgáltatást. Az adatokhoz tartozó iratokhoz való hozzáférés esetén az iratok átadása (még csak betekintési cél esetén is) – a jogosultak számára – csak kézzel aláírt átvételi igazolással történik.


-

-

Mutasson példát a papíralapú és elektronikus) iratok biztonsági osztályozására, és jellemezze a főbb osztályokat! Egy vállalatnál a „belső használatú”, a „bizalmas” és a „szigorúan titkos” biztonsági besorolási kategóriákat vezették be. Mutassa meg példákon, hogy a vállalat mely iratait hogyan sorolná be ezekbe a kategóriákba! Az iratok, dokumentumok kezelésének életciklusa milyen tevékenységekből, lépésekből áll? Mutassa meg, hogy milyen információbiztonsági szempontok szabályozására kell itt figyelemmel lenni! Melyek az elektronikus dokumentumok tárolására, közlekedésére illetve fizikai térbe kerülésére vonatkozó, szabályozandó információbiztonsági témakörök? Mutassa meg a vállalati munkahelyeken a dokumentumok fizikai és elektronikus terében való áramlásának, közlekedésének módjait! Mutassa meg, milyen biztonsági intézkedéseket határozna meg egy vállalatnál a „bizalmas” minősítésű papíralapú és elektronikus iratok kezelésére! Mutassa meg, milyen biztonsági intézkedéseket határozna meg egy vállalatnál a „szigorúan bizalmas” (titkos!) minősítésű papíralapú és elektronikus iratok kezelésére! Mutasson példákat egy irattár működtetésének biztonsági szabályaira, ha ott csak bizalmas, illetve bizalmas és szigorúan bizalmas iratokat is kezelnek?


60

Jegyzet

IBIR alapjai V.03. (2015-10-04)

8 Az informatikai fizikai biztonság 8.1 Az informatikai üzemeltetéssel szembeni elvárások 8.1.1 Az IT üzemeltetés általános elvárásai -

-

Üzemeltetés lássa el az üzlet (felhasználók) számára a kívánt funkcionalitásokat Üzemeltetés legyen folyamatos és megbízható (garanciák) – kulcsszavak: fizikai biztonság, logikai biztonság, rendelkezésre állás, kapacitás-gazdálkodás, karbantartás, visszaállíthatóság, adatbiztonság és adatvédelem, biztonsági – üzemeltetői és felhasználói – szabályzatok, stb. Üzemeltetés biztosítsa a kezelt adatok biztonságát (CIA, vs. Adatbiztonság és adatvédelem) Üzemeltetés biztosítson különleges helyzetekre (katasztrófa-helyzetekre) üzletmenetfolytonosságot, illetve megfelelő és biztonságos visszaállítást (BCP/DRP)

IT biztonsági követelmények kire / mire vonatkozzanak? -

-

Mindenkire, aki használja / kezeli az védendő informatikát! Mindenkire, aki hozzáfér a védendő IT infrastruktúra bármely részéhez! Ember oldalról: o Szabályok rendszergazdáknak (üzemeltetőknek) o Szabályok külső/belső munkatársaknak (felhasználóknak) o Korlátok, tiltások idegeneknek IT infrastruktúra oldalról: o Szerver és hálózat oldali működés o Kliens oldali működés o Mobil eszközök és adathordozók működése

IT biztonsági követelmények alapvetően mit szabályozzanak? -

Fizikai hozzáférés az IT infrastruktúrát tartalmazó helyiségekbe Az IT infrastruktúra elemek megbízható, folyamatos üzemeltetése Változások előtt azok megfelelő ellenőrzése, kezelése Hiba, üzemszünet esetén minél gyorsabb visszaállítás, problémakezelés Az adatvesztés elkerülése (mentési rend kialakítása, szabályozása) Védelem külső támadások ellen A teljes hálózat és hálózati forgalom kontroll alatt tartása Jogosultságok és hozzáférések (authentikáció) szabályozása és kontrollja Eszközökhöz felhasználói biztonsági szabályok

FIGYELEM! Minden eszköznek az üzemeltetésért az felel, akinek azon rendszergazdai jogosultsága van!

8.1.2 Az IT üzemeltetés fizikai biztonsága kérdéskörei -

Berendezések elhelyezése és védelme Rendszerüzem védelme o Klimatizálás – légkondicionálás o Kábelezés biztonsága


61

Jegyzet

-

IBIR alapjai V.03. (2015-10-04)

o Elektromágneses ki- és besugárzás védelem o Szünetmentes áramellátás o Külső tényezők elleni védelem Karbantartás Selejtezés és újrafelhasználás Vagyonelemek eltávolítása Berendezések telephelyen kívüli védelme Őrizetlenül hagyott felhasználói berendezések

8.2 A berendezések elhelyezése és védelme Szempontok: -

-

-

-

A berendezést úgy helyezzék el, hogy a szükségtelen hozzáférés a munkaterülethez a legkisebb legyen. Az információ feldolgozó eszközt, amely érzékeny adatokat kezel, úgy helyezzék el és a látószöget úgy korlátozzák, hogy csökkentsék annak a kockázatát, hogy az információt használatuk alatt jogosulatlan személyek lássák. Tároló berendezéseket biztosítani kell a jogosulatlan hozzáférések elkerülésére. A külön védelmet igénylő tételeket szigeteljék el, hogy csökkentsék a megkívánt védelem általános szintjét. Irányelveket alkossanak az információ feldolgozó eszköz közelében való étkezés, ivás és dohányzás esetére; Intézkedéseket fogadjanak el, hogy a legkisebbre szorítsák a lehetséges fizikai fenyegetések kockázatát, mint pl. a lopás, tűz, robbanás, füst, víz (vagy vízszolgáltatás meghibásodása), por, rezgés, vegyi hatások, villamos szolgáltatás zavara, kommunikációs zavar, elektromágneses sugárzás és értelmetlen rombolás; A környezeti körülményeket, mint a hőmérséklet és légnedvesség, kövessék figyelemmel olyan feltételek szempontjából, amelyek hátrányosan befolyásolhatják az információ feldolgozó eszköz működését; Villámvédelmet alkalmazzanak minden épületen, és villámvédelmi levezetőszűrőket szereljenek fel minden bemenő energia- és hírközlési vezetékhez; Az érzékeny információ feldolgozó eszközt védjék, hogy a sugárzás következtében való információ-szivárgás kockázatát a legkisebbre korlátozzák.

Földrajzi elhelyezkedés és épületkialakítás Az informatikai rendszerek kialakításához feltételek: -

központi,

üzemeltető

részeinek

(szervertermek,

…)

Természeti csapások által fenyegetett földrajzi területek mellőzése Jó megközelíthetőség Zárt felületek kialakítása A közelben ne legyen potenciális veszélyt rejtő építmény

Fizikai biztonság / védelem a környezetben Az eszközök elhelyezésének megakadályozása


fizikai

biztonsága,

illetéktelen

általi

hozzáférés

62

Jegyzet

IBIR alapjai V.03. (2015-10-04) Célja: A vállalat biztonsági zónái számára biztosítja a szabályozott és ellenőrzött személy és gépjárműforgalmat Módszerek: -

Beléptetés ellenőrzés (élőerős, technikai) Behatolás elleni védelem Benntartózkodás kontrollja Naplózások

A hatékony működéshez még…. -

Fel kell mérni a kockázatokat Ki kell jelölni a biztonsági zónákat A kritikus adatokat a Biztonsági zónákban kell elhelyezni! A zónákhoz –a felmért kockázatok alapján – biztosítani kell megfelelő szintű objektumvédelmet.

8.3 A rendszerüzem védelme Cél: az adatok hozzáférési kockázatának mérséklése, valamint az adatok és eszközök állagának és alkalmazhatóságának megőrzése Eszközök -

Klimatizálás – légkoncionálás Kábelezés biztonsága Elektromágneses ki- és besugárzás védelem Szünetmentes áramellátás Külső tényezők elleni védelem (tűz, víz, stb.)

8.3.1 Légkondicionálás Szempontok: -

Jelentős hűtőkapacitás tervezése már a normál üzemre is Teljes értékű redundancia álljon rendelkezésre Hőcserélők elhelyezése – rezgés, zaj, stb. Szünetmentes tápellátás (a légkondicionálás számára!) Páratartalom kondicionálás

8.3.2 Kábelbiztonság Szempontok: -

Az információ-feldolgozó eszközbe vezető energia- és távközlési vezetékek lehetőleg legyenek földbe süllyesztve vagy megfelelő alternatív módon védve. Az erősáramú vezetékek/kábelek a távközlési vezetékektől legyenek elhatárolva, hogy megakadályozzák a zavarást. Az érzékeny vagy kritikus rendszerek esetén további megfontolandó intézkedések: 1. Védett vezeték felszerelése és zárható helyiségek vagy csatlakozódobozok az ellenőrzési és végpontokon; 2. Elektromágneses árnyékolás alkalmazása a vezetékek védelmére;


63

Jegyzet

IBIR alapjai V.03. (2015-10-04) 3. Műszaki pásztázás és fizikai ellenőrzés kezdeményezése a vezetékekhez csatolt jogosulatlan berendezések felderítésére; 4. Ellenőrzött hozzáférés betoldási panelekhez és vezetékterekhez

8.3.3 Szünetmentes áramellátás (UPS) Cél: a folyamatos üzem vagy legalább a teljesen kontrollált leállás biztosítása Problémák -

rövidebb-hosszabb áramkimaradás feszültség-ingadozás, jeltorzulás (frekvencia-eltérés).

Megoldások -

Többirányú betáplálás Szünetmentes áramellátás (UPS) főbb típusok: akkumulátoros, generátor (ált. Diezel alapú) Fontos szempont: méretezés fontossága, nulla átkapcsolási idő.

8.3.4 Külső tényezők elleni védelem: tűzvédelem Eszközök -

-

Füstáramlás alapú érzékelők elhelyezése Intelligens tűzoltó, jelző rendszerek o Áramtalanítás o Klíma és légtechnika lezárása Automatikus oltóberendezések o Gáz alapú o Vízköd alapú o …

8.3.5 Közműszolgáltatások védelme Szempontok: -

Megfelelés a berendezések gyártói specifikációinak és a helyi jogszabályi követelményeknek Rendszeresen felül kell vizsgálni kapacitás szempontjából, hogy megfelelnek-e a növekedő üzleti igényeknek és illeszkednek-e a többi közműszolgáltatáshoz Rendszeresen felül kell vizsgálni a funkcionális megfelelő működésüket Szükség esetén – hibás működéskor riasztási funkció Szükség esetén – több különböző útvonalú csatornán a tájékoztatás

8.4 Karbantartás Karbantartással nagymértékben lehet javítani az üzembiztonságot, ami kihatással van az információbiztonságra is.


64

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Szempontok: -

-

A berendezést a szállító által ajánlott szervizelési időközönként és előírások szerint tartsák karban; Csak jogosított karbantartási személyzet végezhet javításokat és szervizelhet berendezést; Minden gyanított vagy tényleges hibáról, valamint megelőző és javító karbantartásról készült feljegyzést őrizzenek meg; Megfelelő intézkedéseket vezessenek be, ha a berendezést karbantartásra jegyezték elő, figyelembe véve, hogy a karbantartást a helyszíni személyzet végzi-e vagy a szervezeten kívüli; ha szükséges, az érzékeny információt el kell távolítani a berendezésből vagy a karbantartó személyzetet megfelelően kell kiválasztani; A biztosítási kötvények által kirótt minden követelményt teljesítsék. A karbantartás utáni üzembe helyezés előtt a berendezésen meg kell bizonyosodni arról, hogy nem történt-e beavatkozás illetve nincs-e hibás funkció.

8.5 A berendezések biztonságos selejtezése vagy újrafelhasználása Selejtezés alkalmával a berendezések és tartozékaik “elveszítik” anyagi értéküket, de információbiztonsági értékük megmarad(hat)! Fontos tehát a selejtezési szabályok kialakítása, betartása – az információk bizalmassága megőrzésének figyelembe vételével. Szempontok: -

-

-

-

A berendezés minden részét, amely tároló adathordozót tartalmaz, ellenőrizzék, hogy biztosítva legyen minden érzékeny adat és engedélyezett szoftver eltávolítása vagy biztonságos felülírása az eltávolítás vagy újrafelhasználás előtt. Az érzékeny információt tartalmazó eszközöket vagy az információt fizikailag semmisítsék meg, töröljék vagy írják felül olyan technikákat használva, hogy az eredeti információt helyrehozhatatlanná tegye, jobban, mintha a szabványos törlési vagy formázási funkciót használnák. Érzékeny adatokat tartalmazó, károsodott berendezések igényelhetnek kockázatfelmérést annak meghatározására, hogy az egyes tételeket fizikailag megsemmisítsék, ahelyett hogy javításra küldenék vagy eldobnák. A merevlemezek törlésének biztonságának növelésére, a teljes merevlemez titkosítás csökkenti a bizalmas információk hozzáférhetőségének kockázatát, amíg a berendezést használhatatlanná vagy újra hasznosíthatóvá teszik, feltéve ha: o A titkosítási folyamat eléggé erős lefedi a teljes merevlemezt; o a titkosítási kulcsok elég hosszúak, hogy ellenálljanak egy brute-force támadásnak; o a titkosítási kulcsok maguk is biztonságosan tároltak (pl. soha nem tarolhatóak saját magán az érintett lemezen).


65

Jegyzet

IBIR alapjai V.03. (2015-10-04)

8.6 Berendezések és vagyonelemek eltávolítása Szempontok: -

-

Egyértelműen azonosítani kell azokat az alkalmazottakat, szerződő feleket és használó harmadik felet, akinek jogosultsága van, hogy engedélyezze a vagyontárgyak elvitelét a helyszínről; A berendezés elvitelére időkorlátot kell kitűzni, és visszaadásakor ellenőrizzék megfelelőség szempontjából; Ahol szükséges és helyénvaló, a berendezést, mint eltávolítottat jegyezzék fel, és jegyezzék fel akkor is, amikor visszakerült. A személyazonosságát, szerepkörét illetve hovatartozását azoknak a személyeknek, akik kezelik vagy felhasználják a vagyontárgyakat, fel kell jegyezni, és ezt a dokumentációt a berendezésekkel, információkkal, szoftverekkel együtt vissza kell juttatni.

8.7 Berendezések és vagyonelemek biztonsága a telephelyen kívül Szempontok: -

-

-

A helyiségekből kivitt berendezés és adathordozó nem hagyható őrizetlenül nyilvános helyeken. (A hordozható számítógépeket utazáskor kézipoggyászként vigyék, és ha lehet, elrejtve.) A gyártó utasításait a berendezés védelmére vonatkozóan mindenkor vegyék figyelembe, pl. erős elektromágneses tér hatása elleni védelem; Az otthoni munkavégzés intézkedéseit kockázatfelméréssel és megfelelő intézkedéseket alkalmazva határozzák meg, ahogy helyénvaló, pl. zárható iktatófülkék, tisztaasztal-szabályzat, hozzáférési szabályozás számítógépeknél és biztonságos adatközlés az irodához; Amikor telephelyen kívül több személy vagy szervezet szállítja a berendezést, akkor folyamatosan naplózni kell a szállítási láncban legalább a szervezetek nevét, akik felelősek a berendezésért.

8.8 Felügyelet nélkül hagyott felhasználói berendezések Szempontok: -

-

Minden felhasználóban tudatosítsák a felügyelet nélküli berendezés védelmére szolgáló biztonsági követelményeket és eljárásokat, valamint saját felelősségüket az ilyen védelem bevezetésében. Aktív kapcsolatok lezárása a használat után, hacsak alkalmas blokkoló mechanizmussal nem biztosítható (pl. jelszóval védett képernyővédő) Az alkalmazásokból és a hálózati szolgáltatásokból kilépés, ha már nem szükségesek. A számítógépek és a mobil eszközök védelme jogosulatlan felhasználástól, pl. billentyűzárral vagy más egyenértékű védelmi módszerrel.


Mutassa meg az informatikai infrastruktúra fizikai üzemeltetése során szabályozandó főbb területeket (témaköröket), és jellemezze röviden azokat!


66

Jegyzet -

-

IBIR alapjai V.03. (2015-10-04) Melyek a berendezések elhelyezésének és védelmének fő biztonsági szempontjai? Szervertermek légkondicionálásának kialakításakor milyen szempontokra kell odafigyelni? Mondjon példákat adott követelménynek megfelelő kialakítási módra! Szervertermek szünetmentes áramellátásának kialakításakor milyen szempontokra kell odafigyelni? Mondjon példákat adott követelménynek megfelelő kialakítási módra! Az informatikai infrastruktúra karbantartásának melyek az alapvető információbiztonsági szempontjai? Mire kell figyelni informatikai eszközök selejtezésekor, vagy újrafelhasználásakor? Milyen biztonsági szabályokat mondana ilyen esetekre? Mire kell figyelni informatikai eszközök telephelyen kívüli használatakor? Milyen biztonsági szabályokat mondana ilyen esetekre? Melyek a munkahelyeken a felügyelet nélkül hagyott informatikai eszközök információbiztonsági veszélyei? Hogyan védekezne ezek ellen?


67

Jegyzet

IBIR alapjai V.03. (2015-10-04)

9 Az informatikai üzemeltetés és kommunikáció biztonsága 9.1 Az informatikai infrastruktúra üzemeltetésének szabályozása Cél: Biztosítani az információ-feldolgozó eszközök helyes és biztonságos üzemelését Hogyan: -

Dokumentált üzemeltetési eljárások kialakítása (és felelősségek egyértelmű rögzítése) Változáskezelési eljárások Kapacitáskezelési eljárások A fejlesztési, a tesztelési és az üzemi környezetek elkülönítése

Szempontok: -

-

Részletes szabályzat a következő üzemeltetési feladatokra: Installáció, konfigurációs beállítások, mentés, információ feldolgozás (automatikus és manuális), beütemezési követelmények, támogatási és gyártói kapcsolatok, felügyeleti eljárások( monitorozás), stb. Változáskezelés, kapacitáskezelés – lehetőleg ITIL alapon

Az IT üzemeltetési eljárások (példa) A következő feladatok, információk egyértelmű és dokumentált meghatározása: -

-

-

az üzemeltetett IT infrastruktúra elemek és informatikai alkalmazások felsorolása, és a velük szemben támasztott működési (rendelkezésre állási) követelmények meghatározása; az üzemeltetés során ellátandó egyes konkrét feladatok, (úgymint a rendszeres és ütemezett feladatok, folyamatos tevékenységek, illetve szükséges eseti tevékenységek,) mint a rendszergazdai feladatkör állandó részei; a karbantartás során ellátandó rendszeres karbantartási tevékenységek, illetve az eseti hibajavító tevékenységek; az üzemeltetést illetve a karbantartást ellátó személyzet rendelkezésre állási kötelezettsége, jogosultságai és felelőssége; az üzemeltetési dokumentáció vezetése, változások esetén azok aktualizálása; az IT infrastruktúra hardver- és szoftver- eszközei nyilvántartása; az IT üzemeltetés illetve az információbiztonság tekintetében a jelentéstételi kötelezettségek.

9.2 Az üzemelő szoftverek felügyelete Cél: Biztosítani az üzemelő rendszerek sértetlenségét Hogyan: -

Szoftverek telepítésének szabályozása az üzemelő rendszerekre

Szempontok: -

Az installációkat illetve a szoftverek módosítását megfelelően kell szabályozni.


68

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Csak szakképzett személyzet installálhat, módosíthat Konfiguráció menedzsment (ITIL) Gondoskodni kell a már nem használt alkalmazások mentésekről (adatokkal együtt) és ki kell alakítani a visszaállítási stratégiát (rollback) A tevékenységeket felügyelet alatt kell tartani és naplózni kell

9.3 A műszaki sebezhetőségek felügyelete Cél: Megelőzni a műszaki sebezhetőségek kihasználását Hogyan: -

Műszaki sebezhetőségek felügyelete Korlátozások a szoftvertelepítésre

Szempontok: -

Rendszeres sebezhetőségi vizsgálatok (Vulnerability Management) Patch-menedzsment Csak azt telepíteni ami megengedett, és jóváhagyott a vezetőség által A nem jóváhagyott és bevizsgált szoftverek könnyen tartalmazhatnak rejtett sebezhetőségeket, hibákat, amik könnyen vezethetnek katasztrófához

9.4 Védelem a rosszindulatú szoftverek ellen Cél: Biztosítani, hogy az információk és az információ-feldolgozó eszközök védettek legyenek a rosszindulatú szoftverek ellen Hogyan: -

Intézkedések a rosszindulatú szoftverek ellen

Szempontok: -

Szabályozni a nem megengedett szoftverek futtatását valamint detektálni azokat (whitelisting) Szabályzatok a nem megengedett tartalmak tiltására és azok detektálására (blacklisting) A sebezhetőségek kezelése (csökkentése, detektálása) Patch management Vírusirtó / Malware alkalmazások használata – rendszeres frissítése, stb. BCP létrehozása – malware támadások esetére Eljárások, hogy a megfelelő személyzet részére álljon rendelkezésre információ az új sérülékenységekről, vírusokról, stb. (levelezési listák, weboldalak, stb.)

Vírusvédelem -

Vírus: speciális – önmagát reprodukálni képes - számítógépes program, melyek egyetlen célja a terjeszkedés és az ártás, illetve más programok tönkretétele. Mára a vírusok gyakorlatilag kihaltak! A „vírus” elnevezést a köznyelv átvette, de az elvileg helytelen! Helyettük vannak:


69

Jegyzet

-

IBIR alapjai V.03. (2015-10-04) o férgek – A Unix rendszerek biztonsági rését kihasználó programok. Céljuk általában az információszerzés (pl. jelszótáblák, tűzfal). Nem irtották őket, hanem javították az operációs rendszer hibáit így nem terjedtek el. A programféreg szaporodik, de nem igényel hordozót. o trójai programok – Olyan program, ami látszólag hasznosat vagy érdekeset csinál, de káros, nem kívánt mellékfunkciókat is végrehajt mellette. A trójai programok nem szaporodnak. o rootkitek – Rootkit alatt bizonyos szoftvereszközöket értünk, melyek segítségével egy hacker könnyen visszatérhet a "tett színhelyére", ha már korábban beférkőzött a rendszerbe, hogy bizalmas adatokat gyűjtsön a fertőzött számítógépről. A rootkiteket legtöbbször úgy helyezik el, hogy a rendszerfájlokat fertőzik meg, amik továbbra is ellátják feladataikat, de már bennük van az ártó kód. o kémprogramok – Kémprogramnak (angolul spyware) nevezzük az olyan, főleg az interneten terjedő számítógépes programok összességét, amelyek célja, hogy törvénytelen úton megszerezzék a megfertőzött számítógép felhasználójának személyes adatait. o reklámprogram – Reklámprogramnak (angolul: adware) nevezzük az olyan, interneten terjedő számítógépes programok összességét, amelyek célja, hogy egy terméket, számítógépes programot, annak készítőjét vagy egy céget reklámozzanak. Bár sok reklámprogram egyben kémprogram is (angolul: spyware), azonban mégis fontos a megkülönböztetés. A kémprogram minden esetben igyekszik elrejtőzni a felhasználó elől, működése során különféle károkat okoz, ezek miatt a legtöbb országban törvénytelen a használatuk. o stb. Ezek gyűjtő neve: malware (ártó, rosszindulatú program) Védekezés: o átgondolt fájl kezelési politika o dedikált vírusirtó szerverek o vírusdefiníciós fájlok napi frissítése o tűzfal szabályok o stb.

9.5 Naplózás, monitoring Cél: Nyilvántartani az eseményeket, és létrehozni bizonyítékokat Hogyan: -

Eseménynaplózás Naplóinformációk védelme Adminisztrátori és operátori naplók védelme Óraszinkronizálás

Szempontok: -

Naplózás: Felhasználói azonosítók, rendszerhasználat, pontos dátumok és időpontok, sikeres és sikertelen próbálkozások, beállítások megváltoztatása, előjogok kezelése, a rendszerek segédprogramjainak és az alkalmazások használata, elért fájlok, stb.


70

Jegyzet -

IBIR alapjai V.03. (2015-10-04) Detektálni kell, ha a naplózott üzenetek típusa megváltozik, valamint, ha a naplófájlok tartalmát megváltoztatják, illetve azokat törlik. A rendszergazdai tevékenységeket naplózni kell, illetve a naplókat védeni kell, továbbá rendszeres időközönként át kell vizsgálni.

9.6 Mentések szabályozása Cél: Védekezni az adatvesztés ellen Hogyan: -

Információk mentési működtetése

és

archiválási

rendjének

kidolgozása,

szabályozása,

Biztonsági mentések tervezése -

-

Mit? – Elektronikusan tárolt adatokat (ami fontos!) Mitől? o Meghibásodások elleni védelem (hardver, rosszul működő szoftver, fájlrendszer) o Emberi hibák (véletlen törlések, képzetlenség, stb.) o Szándékos rongálás, szabotázs, stb. Hogyan? – Adatmentés – tárolt információkról történő biztonsági másolat, arra az esetre mikor az eredeti forrásadatok megsérülnek vagy elvesznek!

9.6.1 Adatmentési módszerek Teljes mentés (Full backup) -

A rendszerben található minden adat válogatás nélkül mentésre kerül Előnyök / hátrányok: o Egyszerű beállítás + o Egyszerű visszaállítás + o Sok erőforrást igényel (memória, tárolókapacitás, stb.) – o Nem gyakran változó adatoknál felesleges erőforrás felhasználás (pazarlás) – o Időigényes –

Inkrementális mentés (Incremental backup) -

-

Nem kerül mentésre minden adat. Azok az adatok kerülnek mentésre, amelyek a legutolsó teljes mentés óta változtak. Fajtái: o Kummulatív mentés  Utolsó teljes mentés óta megváltozott adatok kerülnek mentésre.  Egy megváltozott adategység minden kumulatív mentés esetén mentésre kerül egészen a következő teljes mentésig. o Differenciális mentés  Csak az utolsó inkrementális mentés óta megváltozott adatok kerülnek mentésre  A differenciális mentések óta bekövetkezett változásokat menti el  A visszaállításhoz az összes differenciális mentésre szükség van! Előnyök / hátrányok:


71

Jegyzet


erőforrás hatékony + gyorsan kivitelezhető + Nehezebb és időigényesebb visszaállíthatóság –

Részleges mentés (Partial backup) „Zéró napi” mentés (Zero day backup)

9.6.2 RAID technikák - üzemmódok RAID (Redundant Array of Independent Disks) Több kiskapacitású diszk rendszerbefoglalásával egy nagykapacitású önálló logikai egység megalkotása. CÉL: Kapacitás, teljesítmény és a BIZTONSÁG növelése! Leggyakoribb RAID technikák - üzemmódok RAID 0 (Redundancia nélküli diszkfüzér) o o o

Jó kapacitás, jó teljesítmény Egy lemez meghibásodása az egész rendszert használhatatlanná teszi Alkalmazása: „szuperszámítógépes” környezet!

RAID 1 (Tükrözés) o o

Cél nem a teljesítmény, hanem az adatbiztonság 2X annyi merevlemez szükséges mint normál esetben (minden adat duplán, 2 példányban tárolódik)

RAID 5 o o o o o

Paritásadatok nem sávokra, hanem blokkokra osztódnak A paritásblokkok el vannak osztva a lemezek között Az elosztott redundáns információ miatt nagyon jó a teljesítménye Nagy adatmennyiségnél ez az optimális választás! Kis adatmennyiségnél esetleg a paritás kiszámítása lehet jelentős

9.6.3 Archiválás Cél: Az adatok egy korábbi állapotának (már nem használt) eltárolása, hogy az adatok visszakereshetőek maradjanak. Archiválás általában un. off-line médiumra történik (CD-R, DVD-R, DAT, stb.) Nagyon fontos! Ne csak az adatokat megjelenítésére képes rendszereket is!

archiváljuk,

hanem az archivált adatok

9.7 Titkosítási intézkedések Cél: Alkalmas és hatásos titkosítást biztosítani, hogy védeni lehessen az információk bizalmasságát, hitelességét és/vagy sértetlenségét Hogyan: -

Szabály a titkosítási intézkedések tételére


72

Jegyzet

-

IBIR alapjai V.03. (2015-10-04)

o Üzenetek, állományok titkosítása o Adathordozók, eszközök titkosítása Kulcskezelés szabályozása

Néhány alapelv: -

Épüljön üzleti szempontokra, kockázatértékelésre – hogy mit kell titkosítani Mobil eszközökön lévő információk Kulcsgondozás életciklusa

9.7.1 Kriptográfia A kriptográfia tudományága algoritmikus (matematikai) módszereket ad adatvédelmi problémák megoldására. Kriptográfiai rendszerek -

-

Szimmetrikus rendszerek (egy kulcsos rendszerek): o Előnyök: gyorsaság o Hátrányok: ugyanaz a kulcs a kódoláshoz és a dekódoláshoz, ezért nehéz elterjeszteni a nyilvános hálózatokon. Aszimmetrikus rendszerek (nyilvános kulcsú rendszerek)

Nyilvános kulcsú titkosítás (PKI) -

Kettő szorosan összefüggő kulcs (kulcspár) kell hozzá. Nyilvános kulcs  Üzenetet lehet kódolni vele, szabadon terjeszthető a nyilvános hálózatokon. Privát (Titkos) kulcs  Az üzenet visszafejtésére alkalmas. Ezt titkosan kell kezelni!


73

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Példa:

Nyilvános kulcsú rendszerek -

-

Előnyök: o Nagyon nagy biztonság o Jól alkalmazható akár nyilvános hálózatokon is o Tetszőleges, választható kulcshosszúság (128-1024bit) a védelem szintjének megfelelően o Megoldott a hitelesség, időpecsét illetve a sértetlenség is! Hátrányok: o Körülményesebb mint a szimmetrikus módszerek

9.7.2 A digitális aláírás A rejtjelező algoritmusokon alapuló protokollok közé tartozik. Itt is rejtjelezés történik, de nem az üzenet tartalmát (szövegét), hanem csak az abból nyert ún. lenyomatot (hash, message digest) titkosítjuk. A lenyomat előállításánál olyan algoritmusokat alkalmazunk, amelyekre igaz az, hogy egy lenyomat és a hozzá tartozó szöveg gyakorlatilag egyértelműen megfeleltethetők egymásnak, azaz akár egyetlen betű változtatásával is teljesen más lenyomat képződik a


74

Jegyzet

IBIR alapjai V.03. (2015-10-04) szövegről. (Tehát ha valaki illetéktelen próbál módosítani a szövegen, az kiderül a lenyomat változásából). Ez biztosítja a sértetlenséget.

9.8 A hozzáférés-felügyelettel kapcsolatos üzleti követelmények Cél: Korlátozni a hozzáférést az információkhoz és az információ-feldolgozó eszközökhöz Hogyan: -

Szabály a hozzáférés-felügyeletre Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz Követelmények – mind logikai, mind fizikai hozzáférésekre Hozzáférések kezelésére dokumentált szabályozás kell Hozzáférések: együtt a hálózati és alkalmazás hozzáférések Alapelvek: o „szükséges és elégséges …”, o biztonsági osztálynak megfelelő, o szabályozásban szerepek elkülönítése: hozzáférés kérelem – jóváhagyás – biztosítás, hozzáférések rendszeres felülvizsgálata, …

9.8.1 A felhasználói hozzáférések kezelése Cél: Biztosítani a hozzáférést az arra jogosult felhasználók számára, és megelőzni a jogosulatlan hozzáférést a rendszerekhez és szolgáltatásokhoz Hogyan: -

Felhasználók regisztrálása és törlése Felhasználói hozzáférés biztosítása Kiemelt hozzáférési jogok kezelése A felhasználók titkos hitelesítési információinak kezelése A felhasználói hozzáférési jogok átvizsgálása A hozzáférési jogok visszavonása vagy módosítása

9.8.2 Felhasználói felelősségek Cél: Számon kérhetővé tenni a felhasználókat a saját hitelesítési információik (jelszavaik) védelméért Hogyan: -

Titkos hitelesítési információk (jelszavak) használata


75

Jegyzet

IBIR alapjai V.03. (2015-10-04)

9.8.3 Rendszer- és alkalmazás-hozzáférés felügyelete Cél: Megelőzni a jogosulatlan hozzáférést rendszerekhez és alkalmazásokhoz Hogyan: -

Információhoz való hozzáférés korlátozása Biztonságos bejelentkezési eljárások Jelszókezelő rendszer kialakítása, üzemeltetése Kiemelt jogokkal bíró segédprogramok használata A programok forráskódjához való hozzáférés felügyelete

9.9 A hálózatbiztonság Cél: Biztosítani a hálózatokban lévő információk és az azokat támogató információfeldolgozó eszközök védelmét Hogyan: -

Hálózati intézkedések (hálózatok, rendszerek, alkalmazások azonosítása, hálózati csatlakozások korlátozása, megfelelő naplózás és monitoring) A hálózati szolgáltatások biztonsága (hálózati szolgáltatások azonosítása, titkosítás, hálózati védelem – tűzfalak, routerek, IDS, IPS, korlátozások, …) Elkülönítés a hálózatokban (csoportok, szolgáltatások, rendszerek elkülönítése, domain kezelés, VPN, VLAN DMZ, stb. üzemeltetése)

Hálózatok csoportosításának szempontjai -

Topológia Sebesség LAN, MAN, WAN, Wi-Fi

9.9.1 Hálózatok veszélyei és védekezési módszerek Támadások, veszélyek az Interneten -

Direkt (a szervezet hálózatába kötött számítógépek ellen) o A rendszer ismert és nem ismert szoftver „bugjainak” kihasználása Indirekt (a hálózati forgalom ellen) o Lehallgatás („eavesdropping”) o Megszakítás / a forgalom teljes blokkolása o Módosítás („man int he middle”) o Hamisítás

A hálózatokat fenyegető leggyakoribb veszélyek: -

Jogosulatlan hozzáférések Belső támadások (amire a CIO a legkevésbé gondol….) Külső támadások (hackerek, spyware, malware, backdoor, …) Vírusok (DOA, flooding) Stb.


76

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Hálózatbiztonság kezelése – védekezés -

-

-

Megfelelő szintű felhasználó azonosítással, akár egyidejűleg többel is. o Felhasználók hitelesítése o Berendezések azonosítása a hálózatokban o A távdiagnosztikai portok, a nem használt hálózati portok védelme, tiltása Belső hálózati elkülönítések, szegmensek kialakítása, védelme (DMZ) Tűzfalak kialakítása (hardveres, szoftveres vagy mindkettő!) IDS (Intrusion Detection Systems) o Hálózati útvonalak ellenőrzése (whois, nslookup) o Kapcsolati idők korlátozása (inaktív kapcsolat gyanús lehet  BONTÁS) Folyamatos naplózás, naplóelemzés Biztonsági auditok (penetration tests, …) Stb.

9.9.2 Tűzfalak Szoftver / Hardver technika, amellyel megvédhetjük hálózatunkat Alapvető funkciók -

Forgalom, alkalmazások, portok, blokkolása A privát hálózatban lévő értékek védelme Naplózás (log) a folyamatokról Képes elrejteni a betöréshez fontos információkat (hálózati topológia, stb.) Megfelelő tűzfal szabályok (policies) beállítása, működtetése

Tűzfalak típusai -

-

Csomagszűrő átjárók (Packet Filters) Alkalmazási átjárók (Application Gateways) o Proxy-k o Nagyon jó hatásfokú működés  megfelelő biztonság Behatolás érzékelők (IDS) o 24/365 monitorozó funkció, képes a behatolási kísérleteket detektálni, és blokkolni.

9.10 Információátvitel Cél: Fenntartani a szervezeten belüli és a külső felek általi információátvitel biztonságát Hogyan: -

Szabályok és eljárások az információátvitelre – követelmények meghatározása, irányelvek, szükség esetén titkosítás, hitelesítés, … Megállapodások az információátvitelre – partneri megállapodások része Elektronikus üzenetküldés – E-Mail biztonsága Bizalmas vagy titkossági megállapodások – partneri megállapodások része


77

Jegyzet

IBIR alapjai V.03. (2015-10-04)


Melyek az informatikai infrastruktúra üzemeltetésének fő feladatai? (rendszergazdai feladatok, tevékenységek) Mit jelentenek a szoftverek műszaki sebezhetőségei? Milyen információbiztonsági veszélyt jelentenek ezek, és mik a védekezés főbb szempontjai? Milyen kártékony szoftver (malware) típusokat ismer? Mondjon ezekre példákat! Melyek a kártékony programok elleni védekezés lehetséges módszerei, eljárásai? Mi a rendszergazdai naplózás, monitoring tevékenység tárgya, célja? Hasonlítsa össze a teljes mentés és az inkrementális mentés jellemzőit! Mit jelent a RAID fogalma? Hasonlítsa össze a RAID 0 és a RAID 1 féle technikákat és alkalmazási területeit! Mi a különbség az archiválás és mentés között? Milyen szempontokra kell archiváláskor odafigyelni? Hasonlítsa össze a szimmetrikus és az aszimmetrikus kriptográfiai rendszereket és főbb jellemzőiket! Mutassa be a felhasználói hozzáférések kezelésének főbb feladatait, és jellemezze őket! Mutassa be az informatikai hálózatok leggyakoribb fenyegetéseit és védekezési módszereket azok ellen! Melyek a tűzfalak alapvető típusai és funkciói?


78

Jegyzet

IBIR alapjai V.03. (2015-10-04)

10 Információs rendszerek biztonsági követelményei 10.1 Információs rendszerek biztonsági követelményei Cél: Biztosítani, hogy az információbiztonság szerves része legyen az információs rendszereknek a teljes életciklus során. Ez kiterjed az olyan információs rendszerekkel kapcsolatos követelményekre is, amelyek nyilvános hálózatokon keresztül nyújtanak szolgáltatásokat Hogyan: -

Információbiztonsági követelmények elemzése és meghatározása Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások biztonsága Az alkalmazás-szolgáltatások tranzakcióinak védelme

10.1.1 Információbiztonsági követelmények elemzése és meghatározása Az információbiztonsággal kapcsolatos követelményeket tartalmazniuk kell az új információs rendszerekre vagy a már létező információs rendszerek továbbfejlesztésére vonatkozó követelményeknek. Hogyan: -

Követelmények meghatározása Felhasználók azonosítása Naplózás és monitoring Megfelelési kritériumok meghatározása Elektronikus aláírás

Szempontok: -

Az alapvető biztonsági követelmények előírása új rendszerek beszerzése esetére, valamint meglévő rendszerek fejlesztésekor! A követelmények tükrözzék az információs vagyontárgyak értékét és a lehetséges működési kárt, amely a biztonság sérülésének vagy hiányának következménye lehet. Az információbiztonság követelményeit már a projektek kezdeti szakaszaiba építsék be! Előre gondolkodással sok pénzt és időt lehet megtakarítani! Termékvásárláskor vizsgálják meg, hogy az megfelel a kívánt biztonsági követelményeknek! A kockázatokat ennek megfelelően módosítsák! Új informatikai rendszerek, illetve informatikai infrastruktúra rendszerelemek üzembe helyezését megelőzően: o az új eszközzel vagy rendszerrel szemben elvárt biztonsági, műszaki (funkcionális), valamint a jelenlegi és lehetséges jövőbeli kapacitásra vonatkozó igények dokumentált meghatározása; o az új eszköz vagy rendszer átvételének, kipróbálásának és üzembe helyezésének dokumentálása, amely igazolja az előírt követelményeknek való megfelelést, valamint tartalmazza a rendszergazda számára az üzemeltetési feladatokat és dokumentációt.


79

Jegyzet

IBIR alapjai V.03. (2015-10-04)

10.1.2 Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások biztonsága Az alkalmazásszolgáltatások által nyilvános hálózatokon keresztül átvitt információkat védeni kell a tisztességtelen tevékenységektől, a szerződéses vitáktól, a jogosulatlan közzétételtől és módosítástól. Hogyan: -

Azonosítás és hitelesítés meghatározása Felhasználók megfelelő tájékoztatása Titkosítási (PKI) eljárások meghatározása Naplózás és monitoring

10.1.3 Az alkalmazás-szolgáltatások tranzakcióinak védelme Az alkalmazásszolgáltatások tranzakciói által kezelt információkat védeni kell, hogy meg lehessen előzni a hiányos adatátvitelt, a félreirányítást, a jogosulatlan üzenetmódosítást, a jogosulatlan közzétételt, a jogosulatlan üzenetismétlést vagy -újraküldést. Hogyan: -

Titkosítási eljárások meghatározása és alkalmazása Tranzakciók részletes adatainak tárolása belső szervereken, amelyek az internetről nem érhetőek el Elektronikus aláírás alkalmazása

10.2 Biztonság a szoftver-fejlesztési és -támogatási folyamatokban Cél: Biztosítani, hogy az információbiztonságot az információs rendszerek fejlesztési életciklusába betervezzék és megvalósítsák Hogyan: -

Szabály a biztonságos fejlesztésre Rendszerek változásfelügyeleti eljárásai Az alkalmazások műszaki vizsgálata a működtető környezet változásai után Szoftvercsomagok változtatásainak korlátozása Biztonságos rendszerek tervezési elvei Biztonságos fejlesztési környezet Kiszervezett fejlesztés A rendszer biztonsági tesztelése A rendszer elfogadási tesztelése

10.2.1 Szabály a biztonságos fejlesztésre A szoftverek és rendszerek fejlesztésére szabályokat kell kialakítani és alkalmazni a fejlesztések során a szervezetben. Hogyan: -

Biztonságos termék és/vagy szolgáltatás; Biztonságos előállítási folyamatok; Teljes életciklusra;


80

Jegyzet

IBIR alapjai V.03. (2015-10-04)

10.2.2 Rendszerek változásfelügyeleti eljárásai A fejlesztési életciklus során végrehajtandó rendszer-változtatásokat felügyelni kell egy formális változásfelügyeleti eljárással. Hogyan: -

Változáskezelési eljárás meghatározása és alkalmazása; Azonosítás és nyomon követhetőség; Naplózás és monitoring;

10.2.3 Az alkalmazások műszaki vizsgálata a működtető környezet változásai után Ha megváltoztatják a működtető környezetet, akkor az üzletkritikus alkalmazásokat meg kell vizsgálni és tesztelni kell annak érdekében, hogy annak ne legyen kedvezőtlen hatása a szervezet működésére és biztonságára. Hogyan: -

Felülvizsgálati eljárások meghatározása és alkalmazása; Tesztelési eljárások meghatározása és alkalmazása; Biztonsági kockázatok kezelése;

10.2.4 Szoftvercsomagok változtatásainak korlátozása A szoftvercsomagok módosításait lehetőleg el kell kerülni, korlátozni kell az elengedhetetlen változtatásokra, és minden változtatást szigorúan felügyelni kell. Hogyan: -

Felülvizsgálati eljárások meghatározása és alkalmazása; Tesztelési eljárások meghatározása és alkalmazása; Azonosítás és nyomon követhetőség biztosítása;

10.2.5 Biztonságos rendszerek tervezési elvei A biztonságos rendszerek tervezésére elveket kell kialakítani, dokumentálni, fenntartani és alkalmazni az információs rendszerek megvalósítása során. Hogyan: -

Biztonsági irányelvek meghatározása, dokumentálása és alkalmazása Biztonsági követelmények alkalmazása minden tervezési szinten, minden (architektúra)rétegben Új technológiák meghatározása és elemzése biztonsági kockázatokra (fenyegetések, támadási minták ellenőrzése is) Ugyanezen elvek alkalmazása – szerződéseken keresztül – a kiszervezett tevékenységeknél is

10.2.6 Biztonságos fejlesztési környezet A szervezeteknek a rendszerfejlesztési és -integrációs tevékenységek számára olyan biztonságos fejlesztési környezeteket kell létrehozniuk és megfelelően védeniük, amelyek lefedik a rendszerfejlesztés teljes életciklusát. © Dr. Horváth Zsolt László

81

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Hogyan: -

Biztonsági beszélyek meghatározása és azonosítása; Biztonsági kockázatok kezelése; Jogosultságok kezelése; Mentések és archiválások kezelése; Redundanciák meghatározása és alkalmazása;

10.2.7 Kiszervezett fejlesztés A szervezetnek felügyelnie kell és megfigyelés alatt rendszerfejlesztési tevékenységet.

kell tartani a

kiszervezett

Hogyan: -

Szerződéses keretek tartalma; Szerzői jogok szabályozása; Biztonsági követelmények meghatározása; Elfogadási, átvételi kritériumok;

10.2.8 A rendszer biztonsági tesztelése El kell végezni a biztonsági funkciók tesztelését a fejlesztés során. Hogyan: -

Eljárások biztonság tesztelésére meghatározása és alkalmazása; Naplózás és nyomon követés;

10.2.9 A rendszer elfogadási tesztelése Elfogadási tesztprogramokat és ehhez kapcsolódó kritériumokat kell létrehozni az új információs rendszerekre, a továbbfejlesztésekre és az új verziókra. Hogyan: -

Elfogadási, átvételi kritériumok; Eljárások meghatározása és alkalmazása átvételi tesztelésre; Naplózás és nyomon követés;

10.2.10

Tesztadatok védelme

Cél: Biztosítani a tesztelésre használt adatok védelmét. Hogyan: -

Környezetek szétválasztása; Jogosultságok kezelése; Adatok meghatározása; Éles adatok konvertálása és anonimizálása; Naplózás és nyomon követés;


82

Jegyzet

IBIR alapjai V.03. (2015-10-04)


-

Információs rendszerek tervezésekor, beszerzésekor illetve beüzemelésekor milyen információbiztonsági szempontokra kell odafigyelni? Nyilvános hálózatokon keresztül nyújtott illetve igénybe vett informatikai szolgáltatásoknak melyek a fő veszélyei, és milyen szempontokra kell odafigyelni a védelem kialakításakor? Milyen információbiztonsági szempontokat célszerű a szoftverfejlesztés szabályozása során figyelembe venni? Melyek a szoftverek tesztelésének információbiztonsági veszélyei? Hogyan védekezhetünk ellene?


83

Jegyzet

IBIR alapjai V.03. (2015-10-04)

11 Incidenskezelés és az üzletmenet folytonossági követelmények 11.1 Az információbiztonsági incidens fogalma Mi is az információbiztonsági (IS-) incidens? Minden olyan váratlan, nem kívánt esemény, amely az üzleti tevékenység ill. az információbiztonság veszélybe kerülését eredményezheti. Példák: -

Szolgáltatás, berendezés, létesítmény használhatatlansága Illetéktelen adatgyűjtés és/vagy hozzáférés Rendszer-meghibásodás és –túlterheltség Szoftver- ill. hardverkomponens meghibásodása Ellenőrizetlen rendszerváltoztatások Fizikai biztonsági rendszerek feltörése Meg nem felelés politikának és útmutatásoknak Emberi tévedések

Az incidenskezelés szükségessége -

-

IBIR védelmi intézkedések megvalósítása után is maradnak gyenge pontok A nem megfelelő felkészülés ezek kezelésére: o csökkenti az eredményességét a tényleges válasznak o növeli a hatást az érintett üzleti területekre Tervezett és szervezett megközelítés: o incidensek észlelésére, bejelentésére és értékelésére o alkalmas védelmi intézkedések beindítására  a hatás megszüntetésére (eredeti állapot visszaállítása)  a hatás csökkentésére  a bekövetkezés megelőzésére o tanulásra és megelőző védelmi intézkedések bevezetésére


84

Jegyzet

IBIR alapjai V.03. (2015-10-04)

11.2 Az információbiztonsági incidenskezelés folyamata

Ábra forrása: Krauth Péter EOQ MNB továbbképzési oktatási anyaga

Az incidenskezelési folyamatban az egyes funkcionális csoportok funkciója: -

-

Működéstámogató csoport o Ügyfélszolgálat: bejelentések fogadása IS-incidensek megoldó csoportja (ISIRT) o a szervezet megfelelően képzett és megbízható tagjaiból válogatott olyan csapat, amely o az IS-incidenseket teljes életciklusuk során kezeli. Külső szakértőkkel ki lehet bővíteni ezt a csoportot, pl.: o más cégek IS-incidensmegoldó csoportjai (ISIRT) o valamilyen ismert/elismert számítógépes incidensmegoldó csoport, vagy o számítógépes sürgősségi megoldó csoport (CERT)

A megoldó csoport feladatai: -

A megoldó csoport vezetőjének feladatai o azonnali döntéshozatal az incidensek kezelése tekintetében; o az incidensek kivizsgálásával a legalkalmasabb személy megbízása a csoportból; o az IS-incidensekkel kapcsolatos összes információ biztonságos megőrzése további elemzés és esetleges jogi bizonyíthatóság céljából; o a szervezet szokásos működésétől elkülönülő beszámolás a felső vezetésnek; o megoldás utáni vizsgálat tartása kellően súlyos incidensek után.


85

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

A megoldó csoport tagjainak feladatai o IS-incidensek értékelése során  tudják, hogy mikor és kinek kell továbbadni az incidenst  dokumentált változáskezelési folyamatot kövessenek minden intézkedésnél, ha szükség van változtatásra o Szükséges intézkedések megvalósításának kezdeményezése o Az érintett objektumok védett üzemi állapotba való visszaállítása, hogy ne lehessenek kitéve ugyanannak a támadásnak o Közbenső jelentés készítése, ha a vállalt megoldási időt nem lehet tartani

11.3 Tanulás az incidensekből Átvizsgálás és tanulás lépései: -

-

-

További szakértői elemzések lefolytatása IS-incidenstrendek és –minták elemzése o IS-incidens adatbázis alapján o Külső (kormányzati/kereskedelmi) CERT-ek információi alapján IS-tesztelés, sebezhetőségi elemzés o gyengepontok azonosítása érdekében Tanulságok levonása ajánlások formájában o új vagy megváltozott követelményekre IS-intézkedéseknél o változtatásokra az IS-incidenskezelési folyamatban, és annak dokumentációjában o változtatásokra az IS-esemény/incidens adatbázisban Az elemzések eredményét és a levont tanulságokat rendszeresen a szervezet ISfóruma elé kell tárni

Tanulás IS incidensekből, javítások és fejlesztések: -

-

Kockázatelemzés és –kezelés javítása o Új veszélyek és gyengepontok azonosítása Védelem javítása o új védelmi intézkedések bevezetése vagy o a meglévő intézkedések megváltoztatása o változtatások az IT-infrastruktúrán Folyamat javítása o változtatások az IS-politikákon o az incidenskezelési folyamat dokumentációjának aktualizálása o megváltoztatott tevékenységek bevezetése  Szükséges képzés megvalósítása  Szükséges eszközök létrehozása, tesztelése

11.4 Az üzletmenet folytonosság és a katasztrófa-elhárítás kérdései Mikor van szükség BCP-re és DRP-re? -

Minden esetben, ahol az üzleti folyamatok ilyen irányú támogatása nélkül az alaptevékenység ellátása sérülhet. Speciális esetekben: o Törvényi szabályozás elvárja;


86

Jegyzet


Nagy összegű biztosítási szerződések miatt; Vevő elvárása; Külföldi anyavállalat elvárása.

Lehetséges veszélyforrások üzletmenet veszélyeztetésére (példák) -

-

Külső tényezők: o Környezeti tényezők (vihar, villámcsapás, árvíz, földrengés, …) o Balesetek (repülő, vonat, gépkocsi, veszélyes anyagok, ..) o Közmű kimaradások (elektromos áram, telefon, ..) o Erőszakos cselekmények (polgári elégedetlenség, sztrájk, terrorista támadás, rendszerbetörés, …) Belső tényezők: o Infrastruktúra hibák (szerver, adattárház, …) o Balesetek (tűz, vízkár, elektromos hiba, …) o Rosszindulatú cselekmények (elégedetlen alkalmazott, vállalati szabotázs, …)

Alapfogalmak Üzletmenet folytonossági terv – Business Continuity Plan (BCP): Azon intézkedések rendszerezett, tervezett együttese, amelyekkel a vállalat, a katasztrófa bekövetkezése után a lehető leghamarabb az üzleti folyamatok leglényegesebb elemeit újra működtetni tudja. Katasztrófa elhárítási terv – Disaster Recovary Plan (DRP): Azon intézkedések rendszerezett, tervezett együttese, amelyekkel a vállalat, a katasztrófa bekövetkezése utáni szűkített üzleti folyamatok működésből az eredeti, teljes működést visszaállíthatja. (Igazából „katasztrófa utáni visszaállítási terv” jobb név lenne!) Katasztrófa (informatikai / információs katasztrófa): vagy súlyos vészhelyzet az, amikor az informatikai / információs rendszer normális működésében olyan hosszú ideig fennakadás van, aminek hatására az üzleti folyamatokban helyreállíthatatlan, elviselhetetlen károk keletkezhetnek. Sebezhetőségi ablak: Az az időintervallum, ameddig a vállalat az üzleti folyamatai leállását helyrehozhatatlan, elviselhetetlen következmények nélkül tolerálni képes.


87

Jegyzet

IBIR alapjai V.03. (2015-10-04)

11.5 Az üzletmenet folytonosság és a katasztrófa-elhárítás működése

Felkészülés (normál működés) -

A katasztrófa bekövetkezése előtt Folyamatos monitoring

Válasz -

A katasztrófa közvetlen bekövetkezése után a helyzet stabilizálásáig terjedő időszak Tevékenységek, amivel eljutunk a minimális vagy csökkentett működés biztosításáig (BCP tevékenységek)

Átmeneti (csökkentett) működés -

Minimális szolgáltatások biztosítása, csökkentett kapacitással és funkcionalitással Tevékenységek, amelyekkel visszaállítjuk az eredeti működést (DRP tevékenységek)

Normális működés újra -

Folyamatos monitoring

11.6 A BCP-DRP alkalmazás típusai Az „informatikai” megközelítés -

Konkrét (IT-)rendszerek visszaállítására készül fel IT rendszerelemeket véd Példák: o Kritikus szerverek adatainak + adatbázisainak visszaállítása mentésből


88

Jegyzet o

IBIR alapjai V.03. (2015-10-04) Szerverszoba helyett más, új helyen kritikus szerverek felépítése, installálása, és kommunikáció biztosítása a működtetéshez, …

A „felhasználói” vagy „üzleti” megközelítés -

Konkrét eseményekre (katasztrófa-helyzetekre) készül fel Üzleti folyamatokat véd Példák: o Természeti katasztrófa – árvíz elönti a földszinti és pincehelyiségeket, vagy leég valamelyik emelet, … o Közlekedési sztrájk – dolgozók nem tudják felvenni a munkát, …

11.7 A BCP-DRP tervek készítésének lépései 11.7.1 Az „informatikai” megközelítés BCP-DRP lépések konkrét (IT-)rendszerek visszaállítására: 1. Kritikus (IT-)rendszerek azonosítása -

IT-rendszerek azonosítása IT szolgáltatások számba vétele Üzleti oldal követelményei az IT szolgáltatásokkal szemben Elvárások az IT-rendszerekkel szemben Kritikus IT-rendszer meghatározása

2. Kritikus rendszerek kockázatai Kérdések: -

Mi történhet? Milyen kárt okozhat? (Mennyire fontos / veszélyes?) Mi az oka? Melyen valószínűséggel következhet be? Mennyi a megengedett időkiesés? Hogyan kezeli ezt a normális (IT-/ információ-) biztonsági rendszer? (Kezeli-e?)

3. Kritikus rendszer kiesése esetére eljárás megtervezése -

Cél: Stratégia (és konkrét eljárás) kialakítása: Adott kritikus rendszer visszaállítása (definiált időn belül) Adott kritikus rendszer funkciójának (szolgáltatásának) helyettesítése / kiváltása (részlegesen vagy teljesen) Adott kritikus rendszer újra felépítése, üzembe helyezése máshol (definiált időn belül) …

Stratégiai meggondolások: -

Hiba okának meghatározása, korrekciója Hibától függetlenül azonnali helyettesítés Eszközök, módszerek: Mentések Redundáns működtetés, virtualizáció Tartalékok (hideg, meleg, forró, …)


89

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Áttelepülés Alternatív szolgáltatóval rendelkezésre állási megbízás …

4. Eljárás kipróbálása / tesztelése -

Cél: Tudni, hogy élesben is valóban működőképes-e? Kötelező követelmény Tervezni – végrehajtani – dokumentálni – tanulni belőle Tesztek fajtái 1. „laborban” – azaz előre tudottan, rákészülten 2. „élesben” – azaz (a végrehajtók számára) váratlanul, felkészületlenül

5. Oktatás Oktatás célja: -

minden érintett azonnal tudja, mit kell tenni szervezettség, előkészítettség Értesítési számok (kit kell hívni !) ismerete, működése Felkészülési, cselekvési, visszaállítási, … tervek ismerete

6. Bevezetés -

kihirdetés, életbe léptetés

7. Karbantartás -

Rendszeres felülvizsgálat PDCA ciklusban Üzleti elvárásoknak megfelelés Jogszabályi követelményeknek megfelelés Tervek működésének megfelelése (alkalmassága) Mikor felülvizsgálni: események, ciklikusság

11.7.2 Az „üzleti” megközelítés A BCP-DRP kidolgozása lépései (üzleti megközelítés esetében) 1. IT rendszer biztonsági átvilágítása 2. Üzleti folyamatok átvizsgálása Folyamatonként minimum a következő információk feltérképezése: -

Szervezeti egység; Helyszín; Üzleti partner; Sebezhetőségi ablak; Kieséskori kárérték; Szükséges emberi erőforrás; Dokumentumok; Adat, adatbázis; Szoftverek, szoftverrendszerek; Hardver elemek;


90

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Speciális berendezések; Egyéb.

3. Üzleti hatáselemzés -

Folyamatok kockázatainak vizsgálata Folyamatok kiesése hatásainak vizsgálata (pénzügyi, működési, jogi, társadalmi, környezeti, hírnév, …) Elvárt eredmény: Folyamatok priorizálása; Kritikus folyamatok és rendszerek azonosítása; Folyamatok közti összefüggések, kapcsolatok feltérképezése; Maximálisan megengedhető kiesési idő meghatározása; Intézkedések, üzleti folyamatokban alternatívák felállítása.

4. A BCP és DRP kidolgozása (IT része ennek) 5. Tesztelés 6. Oktatás 7. Bevezetés 8. Karbantartás


Mit jelent az információbiztonsági incidens fogalma? Mutasson rá példákat! Mutassa be az incidenskezelési eljárás alapelvét, és főbb lépéseit! Mutassa be az incidensmegoldó csoport vezetőjének és tagjainak a feladatait! Mutassa be, hogy milyen eszközökkel, folyamatokkal történik az incidensekből való utólagos tanulás, fejlesztés! Mutassa be a BCP és DRP fogalmát, alkalmazásának célját! Mutassa be a BCP-DRP terv alkalmazásának lépéseit egy (informatikai) katasztrófahelyzet esetén! Mutassa be a BCP-DRP terv készítésének főbb lépéseit!


91

Jegyzet

IBIR alapjai V.03. (2015-10-04)

12 Dolgozókra vonatkozó biztonsági előírások Felhasználói IBSZ tartalma Felhasználói szabályozandó témakörök -

-

Biztonság betartása munkahelyen o Irodai munkahely használata o Fax használata o IT eszközök használata o Hordozható (mobil) eszközök használata o Adathordozók használata o A vállalati hálózat használata o Hálózati alkalmazások használata o Jelszó használat használata o Elektronikus levelezés használata o Internet használata o Külső szereplőkkel való együttműködés Munkahelyen kívüli biztonság Biztonsági események esetén o Eljárás incidens esetén o Vírusvédelem

12.1 A munkahelyi munkával összefüggő információbiztonsági veszélyek 12.1.1 Irodai munkahely használat A vállalati információk illetéktelen kezekbe jutva komoly károkat okozhatnak. Az információk szivárgása minden olyan adathordozó nem megfelelő vagy óvatlan használatával lehetséges, amelyeken adatok előfordulnak. Ezek lehetnek informatikai rendszerek és eszközök, de a papírokra (dokumentumokra, iratokra és egyéb skiccekre, jegyzetekre) feljegyzett információk is tartalmazhatnak ugyanúgy érzékeny információkat. A munkahelyen a munkavégzés során alapvetően folyamatosan mindenki ezekkel a vállalati információkkal dolgozik. Az információkat tartalmazó papírok jellemzően elöl, a számítógépek bekapcsolva vannak. Még az élőszóban elmondottak is jelenthetnek veszélyt, ha azt az adott információra jogosulatlanok is hallhatják azt. Ez nagy kockázatot jelent olyan szempontból, hogy a munkahelyünkön megforduló illetéktelenek (külsősök, de akár cégcsoporthoz tartozó munkatársak, akik az adott információra nem jogosultak) jogosulatlanul hozzáférhetnek érzékeny információkhoz, és esetlegesen visszaélve azzal kárt okozhatnak vele. A szabályozás célja az irodai munkahelyen történő munkavégzés során a vállalati információk és adatok bizalmasságának megőrzése. Irodai munkahely használat szabályozásának szempontjai -

Munkahely és munkakör kialakításakor szempont: az ott kezelt információk érzékenysége Biztonságra törekvő viselkedés Adathordozók és dokumentációk biztonságos kezelése


92

Jegyzet -

IBIR alapjai V.03. (2015-10-04)

Tiszta asztal, tiszta képernyő politika Szoftverek biztonságos beszerzése és telepítése Tárgyalók használati rendje

12.1.2 Tiszta asztal – tiszta képernyő politika A munkahely rövid idejű elhagyásakor jellemzően mindenki úgy hagyja a munkahelyét, hogy oda hamarosan visszatérve folytathassa a munkát, ott és úgy, ahol abbahagyta. A munkavégzés során az elöl levő papírok, iratok, az őrizetlenül bekapcsolva hagyott számítógép mind-mind információ-hozzáférési lehetőséget biztosít a véletlenül (vagy a környezetet ismerve szándékosan) arra „csellengő” idegeneknek, az adott információ szempontjából illetékteleneknek. Amikor a sok munka, kapkodás miatt feltornyosulnak a feladatok, sokszor úgy kezdjük a következő feladatot, hogy a megelőző munkák iratait elöl hagytuk, vagy a számítógépben azok fájljait nem zártuk be. (Arról már nem is beszélve, hogy az egymásra halmozódott sok irat közül az éppen szükségeset sokszor csak hosszú keresgélés után vagy nem is mindig sikerül megtalálni.) Információbiztonsági szempontból ezek mind folyamatosan kockázatot jelentenek. A szabályozás célja a munkavégzés során használt / kezelt / feldolgozott adatok biztonságának javítása azáltal, hogy tudatosan odafigyelve mindig csak a munkavégzéshez éppen szükséges adathordozók, adatok vannak elöl – mind az asztalon, mind a „számítógépes asztalon”.

12.1.3 Fax használata A telefax-szolgáltatást széles körben alkalmazzák. A telefax szolgáltatás a nyilvános távközlési (telefon) hálózaton keresztül, jellemzően papír alapú információk kommunikációját jelenti. A telefax szolgáltatás kockázatai is innen erednek. Példák: -

-

Gépelési hibából fennáll a fax rossz helyre való elküldésének veszélye , amit ilyenkor sokszor csak utólag észlelünk. Bizalmas információk átküldésekor fennáll annak veszélye, hogy az átküldött üzenetet nem (vagy nemcsak) a kívánt célszemély kapja meg a másik oldalon, hanem más is hozzáférhet. A távközlési vonalak lehallgathatósága miatt a nem titkosítva küldött faxon bizalmassága sem garantálható. A belső merevlemezes fax (és multifunkcionális) berendezések merevlemezei tárolják az üzeneteket.

A szabályozás célja a telefax szolgáltatás igénybe vételének információbiztonsági kockázatai – mind az önálló faxberendezések, mind a multifunkcionális nyomtató-lapolvasófax berendezések használata esetén – megfelelő mértékben csökkenthetők legyenek.

12.1.4 IT eszközök használata A munkahelyi számítógépeket és egyéb informatikai eszközöket (önálló és hálózatra kapcsolt asztali számítógépek, monitorok, nyomtatók, lapolvasók és multifunkcionális készülékek, stb.) az Informatikai részleg (IT üzemeltető) üzemelteti. Ezek megbízható és biztonságos üzemeltetése csak akkor lehetséges, hogyha egymással összhangban mind az informatikai rendszer üzemeltetői, mind a felhasználói betartják a rájuk vonatkozó biztonsági szabályokat.


93

Jegyzet

IBIR alapjai V.03. (2015-10-04) Nagyon fontos alapelv, hogy az üzemeltetők csak akkor tudják a rájuk bízott eszközök üzemeltetésének biztonságát garantálni, hogyha minden az üzemeltetéssel kapcsolatos beállítást és feladatot ők és csak ők látnak el, és a felhasználók pedig csak és kizárólag a munkavégzéshez szükséges alkalmazói feladatokat látják el, az üzemeltetők által biztosított beállításoknak megfelelően. Az IT üzemeltető által biztosított beállítások a következő szabályoknak megfelelő működést támogatják, illetve lehetőség szerint kikényszerítik. A szabályozás célja a munkahelyi számítógépek biztonságos és megbízható működésének fenntartása, és a számítógépeken tárolt illetve kezelt adatok biztonságának megőrzése.

12.1.5 Hordozható mobil eszközök használata A notebookok (és egyéb hordozható számítógépek) használatának fokozott kockázatai (példák, a teljesség igénye nélkül): -

-

-

A notebookok kikerülve a vállalat területéről könnyebben ellophatók vagy elveszíthetők. Ezáltal nemcsak az eszköz fizikai értéke vész el, hanem az azokon tárolt adatok, információk is. (Ha nincs rendszeres mentés, akkor visszahozhatatlan adatoknak mondhatunk búcsút. Ha a notebookon lévő adatok megfelelő titkosítása nem történt meg, akkor illetéktelenek könnyen hozzáférhetnek a rajta lévő adatainkhoz.) Rendezvényeken való használat esetén a kijelzőn lévő adatokat könnyen mások is olvashatják, illetve az őrizetlenül bekapcsolva hagyott berendezésekhez mások is hozzáférhetnek, hogy lemásoljanak vagy feltegyenek valamit. Otthoni használat esetén mind a magán célú, vagy családi használat fokozott vírusveszélyt jelenthet. Ez alapvetően tiltott. Külső hálózathoz (pl. otthoni, szállodai internet, partner általi hálózat, …) való csatlakoztatás esetén fokozott a vírus, hackertámadás és egyéb külső támadás veszélye. Ugyanez igaz, amikor mások általi külső adathordozókat kapcsolunk a notebookra.

A szabályozás célja a munkahelyi mobil számítógépek biztonságos és megbízható működésének fenntartása, és az ezeken tárolt illetve kezelt adatok biztonságának megőrzése.

12.1.6 Adathordozók használata Az adatok tárolására és rugalmas mozgatására egyre inkább elterjedtek a különféle külső elektronikus adathordozók (USB pendrive, flash drive-ok, külső merevlemezek, optikai lemezek, stb.). Ez az információk tárolásában és hordozásában hatalmas szabadságot biztosít, ugyanakkor rengeteg fenyegetettséget és kockázatot is jelent. Például: -

Az adathordozók kis méretével és könnyű szállíthatóságával nehezebben nyomon követhetők a bizalmas adatok útja. Az adathordozók elvesztésével / ellopásával bizalmas adatok illetéktelen kezekbe kerülhetnek. Adathordozók vírusfertőzésének veszélye is nagyobb, és így azokon keresztül a vírusok vagy egyéb sebezhetőségek a vállalati informatikai rendszerekbe, hálózatokba jutásának kockázata is megnő.


94

Jegyzet -

IBIR alapjai V.03. (2015-10-04) A külső adathordozókra történő mentések esetén a külső adathordozók ugyanazokat az érzékeny információkat tartalmazzák, így azok nem megfelelő védelme esetén azok adatszivárgási kockázata jelentősen megnő(het).

A szabályozás célja az adathordozók használatával kapcsolatos információbiztonsági kockázatok csökkentése.

12.1.7 A vállalati hálózat használata Az IT üzemeltető által üzemeltetett informatikai rendszerek és infrastruktúra részét képezik az infrastruktúra munkahelyi eszközein (számítógépek, munkahelyeken lévő egyéb informatikai berendezések és a rajtuk futó szoftverek) túlmenően a vállalat hálózata és hálózati alkalmazásai is. Ezek megbízható és biztonságos üzemeltetésére ugyanazok a célok, elvárások és alapelvek érvényesek, mint amik a számítógépek üzemeltetésére leírtak. A szabályozás célja az IT üzemeltető által üzemeltetett informatikai hálózatok biztonságos üzemeltetési feltételeinek felhasználó oldali biztosítása, és ez által a mindennapi munkavégzés során keletkező adatok elhelyezésének, elérésének biztosítása a szervezetek részére kialakított hálózati könyvtárakban, illetve a munkavégzéshez használt informatikai alkalmazásokban.

12.1.8 Hálózati alkalmazások használata A vállalati alkalmazások (pl. SAP, ARIS, stb.) hálózati használata során alapvető feltétel, hogy mindenki csak azokhoz az alkalmazásokhoz és adatokhoz férhessen hozzá, és olyan jogosultsággal (írási, olvasási, módosítási, törlési, … jogosultságok), amely a munkavégzéséhez feltétlenül szükséges. Ez megköveteli az egyének pontos azonosítását, valamint az egyénekhez rendelt jogosultságok pontos menedzselését és betartását. Az munkakörökhöz rendelt jogosultságok meghatározása a kapcsolódó folyamatok és adatbázisok felelőseinek a feladata, ezek hozzárendelése az egyénekhez pedig az dolgozók szervezeti vezetőié. Az egyéneknek az alkalmazásokhoz való jogosultsági hozzárendelésének és – igényeknek megfelelő aktuális – beállításának pontos nyilvántartása nagyon fontos a kontroll, a munkafeltételek biztosítása és a visszaélési lehetőségek elkerülése szempontjából. A szabályozás célja -

a használt alkalmazások jogszerű használata; a felhasználói jogosultságok nyilvántartásának naprakészen tartása; az információk megfelelő integritásának biztosítása.

12.1.9 Jelszóhasználat Minden informatikai alkalmazás illetve rendszer, ami több felhasználót különböztet meg, a felhasználókat az egyéni azonosítójuk és hozzátartozó jelszavuk alapján azonosítja. Mindenkit, aki érvényes, illetve hiteles azonosító/jelszó párost használ, a rendszer jogos felhasználónak tekint. Eszerint engedélyezi neki azokat a jogosultságokat, amelyek a számára beállítottak, és az ő nevéhez naplózza az általa kezdeményezett tranzakciókat. Ezért minden egyes felhasználónak a saját azonosítója és jelszava olyan, mint egy egyéni kulcs az adott rendszerhez. Ha ezt a kulcsot más is megismeri, akkor ő a kulcs eredeti tulajdonosának a nevében tehet bármit a rendszerben, annak tudtával vagy tudta nélkül. Ezért egy jelszónak a jogosultak körén kívüli ismertté válása kiszámíthatatlan kockázatot jelent – a jogosulatlanul történő információk szerzésén vagy módosításán és az azokkal való visszaéléseken keresztül. (A jelszó illetéktelen megszerzése azért is sokkal veszélyesebb egy valódi kulcs megszerzésénél, mert egyrészt nem kötődik fizikai eszközhöz, így © Dr. Horváth Zsolt László

95

Jegyzet

IBIR alapjai V.03. (2015-10-04) tetszőlegesen másolható, másrészt a vele való visszaélés hatásait sokkal nehezebb észlelni, de ugyanakkor sokkal összetettebb és súlyosabb károkat okozhat.) A szabályozás célja azoknak az intézkedéseknek és szabályoknak az összefoglalása, amelyek következetes betartásával ez a kockázat a csökkenthető..

12.1.10

Elektronikus levelezés

Az E-Mail (elektronikus levelezés) használata egy sor kockázattal jár: -

A levelek véletlen megváltoztatása vagy elosztása tévedés vagy hanyagság miatt. A levelek jogosulatlan felhasználása, feldolgozása vagy továbbadása. A levelek meghamisítása, megszakítása vagy nem kívánt nyilvánosságra hozatala. Jogosulatlan személyek hozzáférése az átviteli, elosztó és kiosztó rendszerhez, és a bennük tárolt levelekhez. Számítógépes vírusok vagy más károsító programok nem kívánt bejuttatása és terjesztése. Spam-ek és egyéb levélszemetek blokkolhatják a levelező rendszert és a postaládánkat. Kéretlen lánclevelekkel szintén túltelíthetjük a levelező rendszereket, postaládákat, illetve akaratlanul is vírusokat terjeszthetünk.

A szabályozás célja az e-mail széleskörű és biztonságos felhasználásának lehetővé tétele a munkavégzés számára.

12.1.11

Internethasználat

Az Interneten általánosan elterjedt használata számos kockázatot rejt magában: -

-

-

-

Sajnos az Internet mára telített a rosszindulatú programokkal (vírusok, féregprogramok, kémprogramok, rootkitek, stb.), amelyek sokszor észrevétlenül töltődnek le az internetet használó gépekre, megfertőzve azt, majdan esetleg az egész szervezeti hálózatot. A szervezeti információk könnyen és ellenőrizhetetlenül kifolyhatnak az Interneten keresztül. (Pl. amennyiben a munkatársak vitafórumokon vesznek részt, előfordulhat, hogy gondatlanul vagy szándékosan bizalmas információk kerülnek kiadásra.) Amennyiben az Internet gazdag szoftver-ajánlata gondatlanul kerül alkalmazásra, fennáll annak a lehetősége, hogy vírusok és más káros szoftverek kerülnek behurcolásra. Az, hogy egy információ, szellemi termék az Interneten szabadon fellelhető és megszerezhető, még nem jelenti azt, hogy publikus és/vagy a használata jogszerű is. A különféle programok, információk letöltésével gyakran jóhiszeműen ugyan, de megszeghetjük a törvényt, mely adott esetben szankciókat is vonhat maga után. A munkatársak törvényszegése miatt bizonyos körülmények között a vállalat is felelőssé tehető.

A szabályozás célja az internet széleskörű és biztonságos felhasználásának biztosítása a munkavégzés számára.

12.1.12

Külső szereplőkkel való együttműködés

Külső szereplőnek (partnernek) minősül minden olyan intézmény, vállalat, vállalkozás vagy egyén, aki valamely formában (hatóságként, társadalmi szervezetként, szolgáltatóként,


96

Jegyzet

IBIR alapjai V.03. (2015-10-04) alvállalkozóként, ügyfélként, stb.) együttműködik a vállalattal, aki beszállít a vállalatnak, illetve akinek szállít valamit az vállalat. Ezen külső partnerek valamilyen módon jogviszonyban vannak a vállalattal, és ezen keresztül hozzáfér(het)nek a vállalat bizonyos információihoz és/vagy információs rendszereihez. Ez nem kívánt kockázatokat rejt(het) magában, amelyeket kezelni kell. A szabályozás célja azoknak a szabályoknak, irányelveknek az összefoglalása, amelyekkel a külső partnerek számára biztosított információhoz való hozzáférések információbiztonsági kockázatai kezelhetők, illetve csökkenthetők.

12.2 Biztonság munkahelyen kívül – szempontok Veszélyek -

A munkahelyen kívüli kommunikáció során – akár véletlenül is – számos munkahelyi információ kiszivároghat. (Példa: social engineering)

Alapelvek, módszerek: -

Biztonságtudatosság növelése, figyelem felhívása a veszélyekre Munkahelyi információk bármilyen kiadásának tiltása Magán célú internethasználat során munkahellyel kapcsolatos közzétételének tiltása Munkahelyi jogosultságok, jelszavak, accountok használatának tiltása Odafigyelni a „véletlen” pletykákra, fecsegésre is Munkaviszony megszüntetése után is …

információ

12.3 Eljárás incidensek esetén Hivatalos eljárás erre a vállalat incidenskezelési eljárása Munkatársaknak karbantartása)

gyanú

esetén

azonnal

jelenteni(értesítési

listák,

elérhetőségek

IT rendszert érintő esetbe rendszerből azonnal kilépni Példák incidensekre vagy azok lehetőségeire -

vírusfertőzés gyanúja áll fenn, adatszivárgást, vagy arra utaló jeleket észlelt, hackertámadást észlelt, a számítógépe felett (indokolatlanul) mások vették át az irányítást, hozzáférhetetlenné vált az informatikai rendszer, hozzáférési lehetőséget észlelt olyan adatokhoz, amelyek kezelésében nem illetékes, védtelen és érzékeny adatokat tartalmazó adathordozót talált, a munkavégzés során felhasznált vagy rögzített adatokban bekövetkező megmagyarázhatatlan változást tapasztalt, az informatikai rendszer szokatlan működését vagy jelentős lassulását észlelte, szabályszegésre, informatikai biztonsági veszélyre, vagy hibára utaló körülményt észlelt, hardver vagy szoftver hibát észlelt, stb.


97

Jegyzet

IBIR alapjai V.03. (2015-10-04)

12.4 Vírusvédelem - veszélyek A "számítógép-vírus" gyűjtőfogalom valamennyi olyan program vagy programrész számára, amelyek képesek szaporodni és terjedni, illetve (közvetett vagy közvetlen) különböző káros illetve nem-kívánt funkcióval rendelkeznek. Általában az IT üzemeltető feladata a vállalat számítógépeit rendszeresen frissített vírusvédelmi rendszerrel védeni. Ez a védelem kiterjed a szerverek, munkaállomások valamint a teljes Internet- és elektronikus levélforgalom folyamatos ellenőrzésére. Új vírus megjelenése esetén azonban még így is előfordulhat fertőzés. A vírusokra, vírusszerű működésekre utaló jelek felhasználók által időben történő felismerése részét képezi a vírusvédelemnek és a károk megelőzésének. A szabályozás célja a felhasználók számára azon biztonsági szabályok ismertetése és betartatása, ami – a vállalat és az IT üzemeltető vírusellenes intézkedései mellett – az általa üzemeltetett informatikai hálózat és eszközök vírusfertőzés veszélyeinek kockázatát minimalizálja. Vírusvédelem - irányelvek -

-

Megelőző intézkedések: o Központilag beállított vírusvédelmi rendszer hatástalanításának tiltása; o Automatikus frissítések engedélyezése, beállítása; o Új adathordozó géphez kapcsolásakor vírusellenőrzés o Stb. Vírus (vagy gyanúja) észlelése esetén: o Rendszergazda (IT üzemeltető) értesítése o Rendszer használatával leállás o Rendszer-állapotának meg nem változtatása o …

kikapcsolásának,

Vírusfertőzésre utaló jelek -

-

Az alkalmazás vagy a számítógép el sem indul. Váratlanul a megszokottnál érezhetően és tartósan lassabb a rendszerműködés. Az elindított alkalmazás hibát jelez. Fájlmásolást követően a másolt fájl hossza különbözik az eredetitől. A szabad memória látványosan kevesebb, mint amennyinek lennie kellene. Ismeretlen program terheli tartósan a számítógép processzorát – a gép lelassul. A futó alkalmazás(ok) és a számítógép nem reagál a leütött billentyűkre, más jelenik meg a monitoron, mint amit beírunk, rendszer funkciók nem elérhetők vagy váratlanul új funkciók jelennek meg, illetve a megszokottól eltérnek a képernyő képek. Képernyőn vagy nyomtatott papíron megjelenő szokatlan felirat jelenik meg. Váratlanul szokatlan hang vagy zene szól a hangszóróból. Váratlanul változik a fájl(ok), program(ok) mérete, nem várt mértékben lecsökken a merevlemez szabadkapacitása. Egy használt program nem érhető el a felhasználó számára Egy fájl sérültté, olvashatatlanná, módosíthatatlanná, futtathatatlanná válik. Egy program, vagy fájl váratlanul eltűnik. Ismeretlen fájl vagy program megjelenik.


98

Jegyzet

IBIR alapjai V.03. (2015-10-04)


-

Mi a felhasználói információbiztonsági szabályzat célja, és milyen területeket kell szabályoznia? (Soroljon fel a területek közül legalább 6-ot!) Mit jelent a „tiszta asztal – tiszta képernyő politika” (clear desk policy)? Mutassa meg az irodai munkaszobák, tárgyalók, előadó termek használatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa meg a fax használatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa meg az informatikai mobil eszközök és adathordozók használatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa meg a vállalati hálózat és hálózati alkalmazások használatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa be a jelszavak képzésének és kezelésének a főbb irányelveit! Mutassa meg az elektronikus levelezés és az internet használatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa meg a távmunka és az otthoni munkavégzés gyakorlatának főbb veszélyeit, és a lehetséges védekezési módokat! Mutassa meg, hogy a vállalati adatok védelme érdekében milyen szempontokra kell a munkatársaknak odafigyelniük a munkahelyen kívül viselkedéskor, kommunikációban, illetve internet használatkor! Mutasson példákat a számítógépes vírusfertőzésre utaló, gyanús jelekre?


99

Jegyzet

IBIR alapjai V.03. (2015-10-04)

1. Melléklet. Az ISO/IEC 27000-s szabványcsoport szabványai Az IBIR-re vonatkozó (ISO/IEC 27000-s) szabványcsoport többi része (informatív tájékoztató): •

ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary

•

ISO/IEC 27001:2013 Information technology – Security techniques – Information security management system – Requirements

•

ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice security management

•

ISO/IEC 27003:2010 Information technology – Security techniques – Information security management system implementation guidance

•

ISO/IEC 27004:2009 Information technology – Security techniques – Information security management – Measurement

•

ISO/IEC 27005:2011Information technology – Security techniques – Information security risk management

•

ISO/IEC 27006:2011 Information technology – Security techniques – Requirements for bodies providing audit and certification of management systems information security management

•

ISO/IEC 27007:2011 Information technology – Security techniques – Guidelines for information security management systems auditing

•

ISO/IEC 27008:2011 Information technology – Security techniques – Guidelines for auditors on information security controls

•

ISO/IEC 27010:2012 Information technology – Security techniques – Information security management for inter-sector and inter-organizational communications

•

ISO/IEC 27011:2008 Information technology – Security techniques – Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

•

ISO/IEC 27013:2012 Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

•

ISO/IEC 27014:2013 Information technology – Security techniques – Governance of information security

•

ISO/IEC TR 27015:2012 Information technology – Security techniques – Information security management guidelines for financial services

•

ISO/IEC TR 27016:2014 Information technology – Security techniques – Information security management -- Organizational economics

•

ISO/IEC TR 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

•

ISO/IEC TR 27019:2013 Information technology – Security techniques – Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

•

ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity


100

Jegyzet •

IBIR alapjai V.03. (2015-10-04) ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for cybersecurity

•

ISO/IEC 27033-1:2009 Information technology – Security techniques – Network security – Part 1: Overview and concepts

•

ISO/IEC 27033-2:2012 Information technology – Security techniques – Network security – Part 2: Guidelines for the design and implementation of network security

•

ISO/IEC 27033-3:2010 Information technology – Security techniques – Network security – Part 3: Threats, design techniques and control issues

•

ISO/IEC 27033-4:2014 Information technology – Security techniques – Network security – Part 4: Securing communications between networks using security gateways

•

ISO/IEC 27033-5:2013 Information technology – Security techniques – Network security – Part 5: Securing communications across networks using Virtual Private Networks (VPNs)

•

ISO/IEC 27034-1:2011 Information technology – Security techniques – Application security – Part 1: Overview and concepts

•

ISO/IEC 27035:2011 Information technology -- Security techniques -- Information security incident management

•

ISO/IEC 27036-1:2014 Information technology – Security techniques – Information security for supplier relationships – Part 1: Overview and concepts

•

ISO/IEC 27036-2:2014 Information technology – Security techniques – Information security for supplier relationships – Part 2: Requirements

•

ISO/IEC 27036-3:2013 Information technology – Security techniques – Information security for supplier relationships – Part 3: Guidelines for information and communication technology supply chain security

•

ISO/IEC 27037:2012 Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence

•

ISO/IEC 27038:2014 Information technology – Security techniques – Specification for digital redaction

•

ISO/IEC 27039:20154 Information technology – Security techniques – deployment and operations of intrusion detection systems (IDPS)

•

ISO/IEC 27040:20154 Information technology – Security techniques – security

•

…


Selection, Storage

101

Jegyzet

IBIR alapjai V.03. (2015-10-04)

2. Melléklet: Az egyes vagyonelem kategóriák tipikus fenyegetési példái Az 2. melléklet példáihoz felhasznált irodalom: Informatikai Tárcaközi Bizottság 8. sz. ajánlása: Informatikai biztonsági módszertani kézikönyv (Budapest, 1994). Használat során kiindulási csekklistának ajánlott használni, a konkrét felmérések során mindig a konkrét helyzetből, az ottani konkrét viszonyokból kell kiindulni.

Az egyes vagyonelem kategóriák jellemző (és gyakoribb) alap-fenyegetettségei a következők: Környezeti infrastruktúra fenyegetettségei 

Vis maior":  Természeti katasztrófák (földrengés, áradás, orkán, villámcsapás, …)  Egyéb szerencsétlenség (robbanás, repülőgép lezuhanás, …)  Sztrájk, háborús cselekmények, …  Személyek által kifejtett erőszak (robbantásos merénylet, fegyveres behatolás, gyújtogatás, sav, vandalizmus, betörés, …)



A közműellátás zavarai vagy kiesése a következő területeken:  Áramellátás  Vízellátás



Ellenőrizetlen belépés az épületekbe, helyiségekbe, ellátó és védelmi berendezésekhez, vezetékekhez  A szervezeten kívüli személyek tartózkodása az üzemi területen (látogatók, szállítók)  A szervezeten kívüli személyek által végzett munkálatok (takarítás, elektromos szerelés, telefonszerelés, kábelfektetés, kisegítő berendezések karbantartása, festési munkálatok, építési munkálatok, informatikai komponensek karbantartása és üzembe helyezése, …)



Ellátó és védelmi berendezések technikai hibája vagy kiesése:  Vészhelyzet  Tűzeset (például rövidzárlat miatt)  Vízbetörés (például csőtörés miatt)

Hardverek (IT eszközök) fenyegetettségei 

Műszaki jellegű hibák, rendellenességek:  Spontán (külső behatások nélküli) hiba vagy kiesés (elöregedés vagy kopás, mechanikai zavarok, tervezési és elkészítési hiányosságok, túlterheltség, …)  Környezeti hatások (feszültségcsökkenések, a levegő nedvességtartalmának változása, piszkolódás, elektromágneses zavaró sugárzás, elektrosztatikus feltöltődés, …)  Szoftver által kiváltott hibák a hardverben



Személyekkel összefüggő fenyegetés:  Hiba a kezelés, a karbantartás vagy a konfigurálás során (írásvédelem- vagy modem be-/kikapcsolása, …)  Hamis (hibás, fertőzött, …) adathordozók  Manipulációk (célzott funkció-változtatás, toldások cseréje, …)  Erőszakos cselekmény (készülékek károsítása roncsolása, vagy ellopása)


102

Jegyzet



IBIR alapjai V.03. (2015-10-04)  A bevitel / kiadás elolvasása (nyomtatóról – papír, képernyőről – pl. jelszavak, bizalmas adatok, …)

Egyéb fenyegető tényezők:  Kiesések a hiányzó tartozékok miatt (például nyomtatópapír, festékszalagok)  Az elektromágneses kisugárzás kiértékelése (pl. képernyő)  Az akusztikus kisugárzás kiértékelése (pl. nyomtató)

Szoftverek (IT rendszerek) fenyegetettségei 

Szoftverhiba:  Hiba az (alkalmazói vagy rendszer-) szoftverben  Ismert hibák figyelmen kívül hagyása



Jogosulatlan bejutás az IT rendszerbe a kezelői helyről vagy a hálózatról:  A bejutás ellenőrzésének hiánya  A bejutás ellenőrzésének megtévesztése vagy áthidalása  A felhasználó figyelmetlensége



Nemkívánatos hozzáférés az alábbiak révén:  Szükségtelen hozzáférési jogok (más felhasználók programjaihoz és adataihoz vagy rendszerprogramokhoz és rendszeradatokhoz)  A hozzáférési jogokkal való visszaélés



Szoftver ellenőrizetlen bevitele:  Az üzemi rendszer ellenőrizetlen feltöltése  Idegen alkalmazói programok importja  A felhasználó programfejlesztése



Vírusveszély:  Ismeretlen vagy nem megbízható eredetű programok használata  Interneten, e-mailen: vírus, féreg, trójai, spam, spyware, …



Kezelési hiba vagy visszaélés a kezelési funkciókkal:  Karbantartási hiba vagy visszaélés a karbantartási funkciókkal, helytelen karbantartási funkciók (távoli karbantartás a hálózaton keresztül)  Szoftver sérülése hardver hibák alapján  Jogosulatlan információnyerés a közösen használt üzemi eszközök révén

Adathordozók fenyegetettségei 

A rendelkezésre állást és működőképességet fenyegető tényezők:  Lopás  Szándékos megkárosítás  Károsodás külső események miatt (tűz, víz)  Károsodás helytelen kezelés, tárolás miatt  Elöregedés miatti használhatatlanság  Károsodás környezeti körülmények miatt (hőmérséklet, nedvesség stb.)  Már nem fellelhető adathordozók  Hibásan legyártott adathordozók (fizikai íráshiba)  Használhatatlanság a hiányzó kódoló, illetve dekódoló berendezések miatt  Használhatatlanság az inkompatibilis formátum miatt



A sértetlenséget fenyegető tényezők:  Hiányzó vagy nem kielégítő jelölés  A jelölés meghamisítása  Ismeretlen vagy kétséges eredetű adathordozók használata


103

Jegyzet

IBIR alapjai V.03. (2015-10-04)



A bizalmasságot fenyegető tényezők  Kiadás újrafelhasználásra vagy megsem-misítésre előzetes törlés vagy átírás nélkül  Lopás



Fenyegető tényezők az adathordozók kezelésével összefüggésben:  Ellenőrizetlen hozzájutás az adathordozókhoz  A szervezet tulajdonát képező adathordozók privát célú használata  Privát adathordozók szolgálati használata  Ellenőrizetlen másolás

Dokumentumok fenyegetettségei 

A rendelkezésre állást, működőképességet fenyegető tényezők:  Dokumentumok, kézikönyvek stb. teljes hiánya (nincs megírva, nem vették meg vagy elhagyták)  Lopás  Átmeneti eltávolítás vagy kikölcsönzés  Elvesztés  Elkeveredés (ismeretlen tárolási hely)  Olvashatatlanság (kézirat, kifakult másolatok)  Az adott dokumentum ismeretlen volta



A sértetlenséget fenyegető tényezők:  A teljesség hiánya  Hibák a leírásokban  Hiányzó aktualitás (hiányoznak a változtatások, nem vezették át azokat)  Jogosulatlanok által bevezetett változtatások  Jogosulatlanok által történt kicserélés



A bizalmasságot fenyegető tényezők:  Lopás  Jogosulatlan tudomásra jutás  Gondatlanság a kiselejtezés vagy megsemmisítés során (papírdaráló, szemétszállítás, …)  Jogosulatlan sokszorosítás

Adatok fenyegetettségei    

Hardver hibák által keletkező adatvesztések, károsodások, eltérések. A szoftver által okozott adatvesztések, károsodások, eltérések (hibás vagy manipulált alkalmazói, illetve rendszerprogramok által). Adathordozók által okozott adatvesztések, károsodások, eltérések. Emberek által okozott fenyegető tényezők:  Hibás manuális adatbeadás / változtatás  Hibás futtatásvezérlés vagy kezelés (hibás utasítás vagy paraméter stb.)  Manuális program- vagy rendszermegszakítás  Jogosultak általi törlés / változtatás (tévedésből / szándékosan)  Jogosulatlanok általi törlés / változtatás (szükségtelen hozzáférési jogosultságok)  Kiadások meghamisítása  A bevitelek / kiadások elolvasása  Adatok jogosulatlan másolása  A fizikailag nem törölt adatterületek (tároló, adathordozók)


104

Jegyzet

IBIR alapjai V.03. (2015-10-04)

Kommunikáció fenyegetettségei 

A hálózatok elleni fenyegetések:  A többletérték szolgáltatások bizonytalan üzemeltetése a közüzemi hálózatokban  Zavaró befolyások (átviteli hibák)  Szabotázs / erőszakos cselekmény  Fájlszerver kiesése, hibája a helyi hálózatban  Nem várt forgalmazási csúcsok  Célzott terhelési támadások  Hálózati hardverek / szoftverek manipulálása, hibái  Manipuláció (aktív vagy passzív rácsatlakozás)  Jogosulatlanok bejutása a hálózatba nem ellenőrizhető csatlakozások révén  Jogosulatlanok bejutása a hálózatba technikai manipulációk révén



Az átvitelben résztvevő adatokat (üzeneteket) fenyegető tényezők:  Az üzenetek lehallgatása, megváltoztatása, elvesztése  A vezetékek kompromittáló sugárzásának kihasználása



A kapcsolódásokat fenyegető tényezők (kommunikációs kapcsolatok):  Az üzenetek hibás helyre vezetése  Üzenetek helytelen sorrendje a fogadónál  A kapcsolat felépítésének lehallgatása  A kapcsolat felépítése meghamisított azonossággal  Az üzenet tartalmának meghamisítása  A kommunikációs kapcsolatok kikutatása (forgalmazás-elemzés), a kommunikációs partnerek névtelenségének veszélyeztetése

Személyek fenyegetettségei 

Szándéktalan hibás viselkedés:  Személyes vagy munkahelyi stresszhelyzetek, fáradság miatt  Tudatlanságból (hiányzó vagy hiányos kiképzés)  A munkafolyamat hibás szabályozása miatt  Az előírások ismeretének hiánya miatt  Az előírások figyelmen kívül hagyása (kényelmesség, akadályoztatás, figyelmetlenség, gondatlanság) miatt  Hiányos biztonságtudat miatt (ismeret hiánya, megszokás)  Túl komplikált (hibákra érzékeny) kezelés miatt  A hiányzó ellenőrzés miatt (virtus)



Kiesések:  Előre látható események (felmondás, áthelyezés, szabadság)  Előre nem látható események (halál, betegség, baleset, sztrájk)  Munkahelyi eredetű károk (sérülés vagy betegség)



Belső ismeretek továbbadása harmadik személyeknek:  Gyanútlanul, nagyvonalúságból  Bűnözési szándékkal



Szándékos hibás viselkedés (önállóan vagy együttműködésben):  Harmadik személyek nyomására (fenyegetés, zsarolás, megvesztegetés)  Belső késztetésre (meggazdagodás, bosszú, frusztráció, sértettség, felindultság)


105

Az Információbiztonsági irányítási rendszer alapjai

Recommend Documents