Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában

Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában

Dr. Univ. Szenes Katalin CISA, CISM, CGEIT, CISSP, PhD Óbudai Egyetem Neumann János Informatikai Kar [email protected]

Dr. Szenes

1

Miről lesz itt szó? audit / biztonság Î kormányzás kormányzás Í audit / biztonság informatikai biztonsági és ellenőrzési módszerek, módszertanok, ötletek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására a biztonság / audit alapdefinícióinak stratégiai szintre emelése A vállalati információrendszer biztonságának követelményeit ma már piaci érvényesülés biztonság szempontjából érdemes vizsgálni

• •

a rendszerszervezés kulcsszerepe pl. módszereinek alkalmazása egyfajta megfelelőség elérésének vizsgálatára

• •

stratégia meghatározása ) osztályozás ) adat

? tulajdonos )

...

a működés 3 pillére: szervezet z szabályozás z technika

Dr. Szenes

2

1

miért tanuljak informatikai ellenőrzést - biztonságot? én nem is biztos, hogy biztonsági munkatárs, vagy ellenőr leszek, de: Informatikusként ma már nemcsak pénzintézeteknél, nagyválalatoknál, de az ezeket kiszolgáló vállalkozásoknál is elvárják, hogy kapcsolatot tudjon tartani az informatikai ellenőrökkel, meg tudjon felelni számonkérésüknek. Ma Magyarországon is egyre jobban kiépül ez a szakterület, így egyre több szakembert keresnek ebbe a pozícióba, kisebb gyakorlattal is. Képesnek kell lenni tehát a best practice követésére.

• • •

Cél: a hallgatókat felkészíteni arra, hogy o a nagyvállalatok, o a pénzintézetek, o az államigazgatás o az ezeknek dolgozó vállalkozások informatikai feladatainak megoldása során meg tudjanak felelni az informatikai ellenőrök elvárásainak, azonosítani tudják az informatikai biztonsági feladatokast, és képesek legyenek támogatni ezek megoldását

• • •

és: a stratégiai célok támogatása ! Dr. Szenes

3

mi ez a CISA, CISM, CGEIT, CISSP? www.isaca.org www.isc2.org www.coso.org

az USA-ban alapított ISACA-tól, az Information Systems Audit and Control Association-tól: CISA – Certified Information Systems Auditor, CISM - Certified Information Security Manager, CGEIT - Certified in Governance Enterprise IT

az ISC2-től, a szintén amerikai International Information Systems Security Certification Consortium-tól: CISSP - Certified Information Security Professional

Dr. Szenes

4

2

COSO - az ISACA módszertan egy fontos kapcsolata Committee of Sponsoring Organisations of the Treadway Commission 1985-ben alakult, a pénzügyi jelentésekkel kapcsolatos csalások nemzeti bizottságának (National Commission on Fraudulent Financial Reporting) támogatására. Ezt a bizottságot röviden gyakran csak "Treadway bizottságnak" nevezik, első elnökéről, James C. Treadway, Jr.-ról. A Treadway bizottság a magánszektor kezdeményezésére alakult. Annak alapján készít ajánlásokat a tőzsdei társaságok, azok auditorai, a SEC, és más szabályozó szervezetek, és oktatási intézmények részére is, hogy tanulmányozzák a csaló pénzügyi jelentések sajátosságait. idézet innen:

Dr. Szenes

5

egyéb fontos források NIST: National Institute of Standards and Technology, USA, Department Commerce o guides, o policies, o security notices, o information quality standards, ... from the nanoscale, and neutron research to the manufacturing and transportation nist.gov NASA - https://www.nasa.gov - National Aeronautics and Space Administration o nemzetközi űrállomások o utazás a Marsra o a Föld o technológiák, stb. a hackerek időnként összekeverik: NSA, NASA, NIST

Dr. Szenes

6

3

egyéb fontos források PCII DSS: Payment Card Industry (PCI) Data Security Standard célok: o biztonságos hálózatok és rendszerek építése és karbantartása o a kártyatulajdonos adatainak védelme o sérülékenységkezelési program fenntartása o erős hozzáférés ellenőrzési intézkedések o a hálózatok rendszeres felügyelete és tesztelése o informatikai biztonsági irányelvek

http://www.pcisecuritystandards.org 2014.12. 05.

Dr. Szenes

7

egyéb fontos források SO/IEC = International Organization for Standardization / International Electrotechnical Commission

ISO/IEC 17799: Information technology – Code of practice for information security management Reference number: ISO/IEC 17799:2000(E) Copyright © ISO/IEC 2000 ős: CCITT, BSI 7799, ISO 177999, ISO 27001,2 sok ISO szabvány, pl.: ISO/IEC 38500:2008 vállalat kormányzása - a vállalatot irányító és felügyelő rendszer

Dr. Szenes

8

4

mitől divat félni? - APT egy régi, 2008-as NIST definíció, ami már sajnos nincs meg, de jó (nem pontosan szószerint): az APT - Advanced Persistent Threat: egy olyan fenyegetés, amely o összetett tapasztalatot, és jelentős erőforrásokat használ fel; o annak érdekében, hogy a célszervezet IT struktúrájában megvesse a lábát, o több támadási vektort használ egyszerre, pl. informatikai, fizikai, becsapásos, ... o és, ezt felhasználva ƒ információt szerezzen, ƒ vagy: a szervezet céljai elérését veszélyeztesse ƒ vagy: megbízója számára megkönnyítse az ő - hasonló - céljainak elérését o o o

tartósan / ismételten tevékenykedik alkalmazkodik a megtámadott védelmi erőfeszítéseihez, azért, hogy megmaradjon vele a kapcsolata céljai eléréséhez

Dr. Szenes

9

APT példák - már 1980 körül: a Kakukktojás Cuckoo’s Egg: Markus Hess, német egyetemi hallgató o a Csillagok Háborúja c. katonai program hálózatába tört be, o a KGB-nek adta el a szervzett infot Clifford Stoll (Lawrence Berkeley National Laboratory) véletlenül vette észre csapdát állított: egy hamis szerződéssel a német hatóságok találták meg, 1990-ben került börtönbe Clifford Stoll könyve: The Tracking a Spy Through the Maze of Computer Espionage Doubleday, USA, 1989

Dr. Szenes

10

5

Gozi: APT példa - 2007, 2013 2007: terjedés: .pdf anyagokkal o bankokban - személyes bankolási info elfogása, módosítása böngésző forgalomba beáll o hosting szolgáltatás a Gozi anonim szétosztására Î célpontok: o több, mint egymillió számítógép: USA, Anglia, Németország, Lengyelország, Franciaország, Finnország, Olaszország o NASA rendszerek Nikita Kuzmin és társai, bűnözőknek adták el 2013-as új verzió: o a merevlemez master boot recordját fertőzi úgy, hogy o formattálás, installálás nem segít

Dr. Szenes

11

mi az ok? gondatlan munkából elhanyagolt infrastruktúrából eredő veszélyek ! o logikai – hozzáférési veszélyek ƒ jogosulatlan használat / feltárás / módosítás ƒ véletlen / rosszindulatú kár / veszteség ƒ Meg nem felelés ‰ legjobb szakmai gyakorlat – v. legalább? józan ész ‰ törvényneknak szabályozás o környezeti veszélyek (fizikai biztonság is)

Dr. Szenes

12

6

az infrastuktúra részei

fontos: az infrastruktúrális elemek (és státuszuk) nyilvántartása: minden értelmes szinten o o o o o o o

számítógép - és egyáltalán: a fizikai szint (kuka) operációs rendszer adatbázis alkalmazás hálózati elemek Í ez számítógép! védelmi berendezés elemek Í ez is! üzleti céleszközök – „automaták”

Dr. Szenes

13

megoldás: az intézményi irányítás továbbfejlesztése egy - remélhetőleg - helyesebb irányba (a biztonsági / ellenőrzési módszertanokból vett ötletekkel)

Dr. Szenes

14

7

javaslat az intézményi kormányzás definíciójára Az intézmény kormányzása: annak piaci versenyképességét szolgáló irányítása, a környezethez lehető legjobban alkalmazkodó stratégia alapján,

• • •

amelynek meghatározása, és rendszeres karbantartása

• •

az első számú vezető felelőssége ez a "hivatalos" definíciók javítása és kiterjesztése

Dr. Szenes

15

az informatikai kormányzás definíciójára az intézmény (vállalat, közintézmény, akármi) sikeres informatikai kormányzása: a sikeres vállalati kormányzás egyik szükséges feltétele az IT (részleg + tevékenységek +

... )

olyan irányítása, amely a vállalati kormányzást a felső vezetés szándékai szerint szolgálja

• •

ez a "hivatalos" definíciók javítása és kiterjesztése

Dr. Szenes

16

8

a COBIT információ kritériumai (1998-2007), és az ISO szabványok kvetelményei ISO-val közös: bizalmasság - confidentiality integritás, sértetlenség - integrity rendelkezésre állás - availability a célnak való megfelelés - célravezető információ - effectiveness eredményesség - efficiency külső követelményeknek való megfelelés - compliance megbízhatóság - reliability COBIT átfogó folyamatmodellje az informatikai tevékenységeket 4 tartományra osztja: tervezés és szervezet - PO beszerzés és megvalósítás - AI kiszállítás és támogatás - DS felügyelet és értékelés - ME Dr. Szenes

17

COBIT 5 - különbségek de a COBIT erőforrások voltak: alkalmazás, infrastruktúra, emberi erőforrás az alap erőforrások, ún. enabler-ek a COBIT 5-ben már: o alapelvek, irányelvek, és munkakeretek o folyamatok o szervezeti struktúrák o szolgáltatások, infrastruktúra és alkalmazások o emberi erőforrás, képességek és kompetenciák a tartományok is összetettebbek ezekhez a jellemző célok - értékteremtés o haszon realizálás o kockázatoptimalizálás, o erőforrás optimalizálás

Dr. Szenes

18

9

a COBIT - ISO információ kritériumok javítása és kiterjesztése 1. csoport jellemzi: 0 az intézményi kormányzás minőségét 0 a működési kiválóságot

• • • • •

a hatékonysággal, az intézkedések célravezető jellegével, a külső és belső előírásoknak való megfeleléssel, a kockázatkezelés kiválóságával, a renddel

példák a rend alkotóelemeire: dokumentáltság változáskezelés üzletmenet folytonosság tervezés / spec.: informatikai stb.

• • • •

Dr. Szenes

19

a COBIT - ISO információ kritériumok javítása és kiterjesztése 2. csoport jellemzi: a vagyontárgyak kezelésének kiválóságát evergreen - örökzöld CCITT, BSI 7799, ISO 177999, ISO 27001,2 ISACA CISA Review Manual, COBIT a vagyontárgy rendelkezésre állásának foka o előre jelezhető mértékben o mérhető mértékben integritásának, és bizalmasságának megőrzése

• • •

Dr. Szenes

20

10

az intézményi működés alappillér rendszere szervezet, szabályozás, technika cél: annak érdekében, hogy a módszertanom felhasználója Ä mind a legjobb szakmai gyakorlat receptjeiben, mind saját tapasztalataiban könnyebben azonosíthassa és rendezhesse, hogy a működés mely területén van teendő, Ä mely területén kell valamilyen részcélt kitűzni, ez a teendő / részcél a működés milyen részén fog változtatni, Ä a működés mely eszközeivel, fejlesztettem ki az intézményi működés a három olyan dimenzióját

Dr. Szenes

21

1, pillér: szervezet követelmények rendelkezésre állás integritás bizalmasság hozzáférésvédelem jogi, hatósági megfelelés funkcionalitás legjobb szakmai gyakorlat

szervezeti egységek legfelső vezetés informatika fizikai, logikai IT biztonság (független kell legyen!) belső ellenőrzés jogi részleg külső audit

segítség: IT irányító bizottság kockázatkezelési segédszervezet a követelményekből: munkaköri leírás, szerepkörök, kötelességelhatárolás

Dr. Szenes

22

11

2. pillér: szabályozás pl. a szokásos biztonsági vonatkozású szabályzatok, de nemcsak ezek! Informatikai biztonsági útmutató Informatikai biztonsági szabályzat vírusvédelmi szabályzat internetezési szabályzat levelezési szabályzat informatikai üzleti folytonossági terv és katasztrófaterv ! dokumentációs rend mentés, archiválás (fizikai) biztonsági szabályzat vigyázat: mi az, hogy politika ?!

Dr. Szenes

23

3. pillér: technika feladat: az intézményi hálózaton közlekedő információ rendeltetési helyre juttatása + jogosulatlan használatának megakadályozása technikai megoldás(i elemek): o o

o

Dr. Szenes

az intézmény méretének és feladatainak megfelelő hálózati topológia kialakítása védelmi berendezések alkalmazása – beavatkozás, figyelés ‰ tűzfal ‰ behatolásvédelem: hálózati, és / ill. rezidens szenzorok tevékenységek nyomkövetése - naplózás

24

12

egy , a hagyományosaknál pontosabb definíció a kockázatra

cél: a stratégiai célok szolgálata proaktív megközelítés a defenzív helyett

A vagyonelemi kockázat, definíció szerint, egy olyan, skálázható érték, amelyet egy adott intézményi vagyontárgyhoz rendelünk, és amely egyenesen arányos a vagyonelem stratégiai / üzleti értékével annak valószínűségével, hogy bekövetkezik egy olyan esemény, amely veszélyezteti azt, hogy a vagyonelem az üzleti folyamat rendelkezésére álljon, az előírt mértékben a vagyonelem (a vizsgálat időpontjában feltárt / feltárható) sérülékenysége mértékével.

Dr. Szenes

25

törvények - hatóságok - előírások Általános: néhai adatvédelmi törvény (Avtv) - helyette ma már bírságoló hatóság 1999. évi LXXVI. törvény a szerzői jogról 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt ... Példa iparági törvényre - pénzintézetnél: 1996. évi CXII. / "Hpt. 13. §" a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek "módosítása": 2004. évi XXII. tv. majd - még mindig 1996. évi CXII. de: 2010. júniustól 13/ A  13/ E. § sőt: új információbiztonsági törvény 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáró + kormányrendelet Dr. Szenes

26

13

egy adalék: Nemzeti Adatvédelmi és Információszabadság Hatóság

http://www.naih.hu/

"2012 január elsején létrejött a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A független, csak a törvénynek alárendelt Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése." "Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény értelmében a NAIH a korábbi adatvédelmi feladatkörökön túlmenően a bírságolási jogot is magába foglaló hatósági jogkörrel is rendelkezik. Az új hatóság létrehozása az Alaptörvényben rögzített szervezeti változások sorába illeszkedik."

Dr. Szenes

27

törvények - hatóságok - előírások Példa EU törvényekre: NATO Security Policy, [C-M(2002)49] Personnel Security Directive, [NATO AC/35-D/2000] Physical Security Directive, [NATO AC/35-D/2001] EU Council’s Security Regulations, [2001/264/EC] stb. ld.: Minősített adatot kezelő elektronikus rendszerek biztonsága a NATO-ban és az Európai Unióban (ld. Dashöfer Informatikai biztonsági kézikönyvünk) érdekesség: még 2012-ben is irigylik az USA-ban: 95/46/EC European Data Protection

Dr. Szenes

28

14

Támogató szabványok, módszertanok, irodalom - I CISA, CISM tudás – CISA Review Technical Information Manual ed.: Information Systems Audit and Control Association Rolling Meadows, Illinois, USA Szenes: member of the Quality Assurance Team, 1999- napjainkig, a CRM 2011 kivételével COBIT® és kapcsolódó anyagok (Control Objectives for Information Technology) Copyright © IT Governance Institute® COBIT -1998, COBIT 3 - 2000, COBIT 4 ill.4.0 - 2005, COBIT 4.1 - 2007 és: megint új COBIT-ot fejlesztettünk

Dr. Szenes

29

Támogató szabványok, módszertanok, irodalom - II

a megint új COBIT néhány könyve: kezdet: COBIT5_Design_Exposure_18: 2010. március 2011: COBIT 5.0 Vol. I – The Framework” and “COBIT 5.0 Vol. IIa – Process Reference Guide © 2011 ISACA, working paper 2012: Enabling Processes - COBIT 5 An ISACA Framework Copyright © 2012 ISACA. All rights reserved. Szenes: Expert Reviewer of the Subject Matter Expert Team

Dr. Szenes

30

15

Támogató szabványok, módszertanok, irodalom - III ISO/IEC = International Organization for Standardization / International Electrotechnical Commission family 7799 - 27000 2001, 27002 1. verziók: következő:

2005. 2013.

ISO/IEC 15408 Information technology — Security techniques — Evaluation criteria for IT security (Common Criteria) (ITCSEC, majd ITSEC, majd CC)

STB.!

Dr. Szenes

31

szakirodalom Szenes Katalin - fejezetek Az Informatikai biztonság kézikönyvéből Verlag Dashöfer, Budapest z Informatikai biztonsági megfontolások a Sarbanes - Oxley törvény ürügyén (A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságú alkalmazás felügyeletének kérdései) 22. aktualizálás, 2006. október z A szolgáltatás - orientált architektúrák biztonsági kérdései 23. aktualizálás, 2006. december z A COBIT 4.0 és 4.1 újdonságai 27. aktualizálás, 2007. november z A számítógéphálózatok biztonságának felülvizsgálata 28. aktualizálás, 2008. február stb.

Dr. Szenes

32

16

szakirodalom

egy magyar nyelvű cikk: Szenes Katalin: Informatikai biztonsági módszerek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására Minőség és Megbízhatóság; nemzeti minőségpolitikai szakfolyóirat kiadja: az European Organization for Quality (EOQ) Magyar Nemzeti Bizottsága alapítási nyilvt.sz.: B/SZI/1993. HU ISSN0580-4485 a kiadásért felel: dr. Molnár Pál, az EOQ MNB elnöke XLVI. évf. 2012. / 5. sz., 252-257. old.

Dr. Szenes

33

Magyar szakmai szervezetek

•

• • •

az European Organization for Quality - EOQ Magyar Nemzeti Bizottság Informatikai Szakbizottsága www.eoq.hu EOQ szakfolyóirat: Minőség és megbízhatóság a Hírközlési és Informatikai Tudományos Egyesület Számítástechnikai Szakosztálya www.hte.hu az (ISC)2 Hungary Chapter www.isc2.org az ISACA Magyar Fejezete www.isacahu.com

Dr. Szenes

34

17