VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
SCHUTZBACH MÁRTONNÉ
AZ INFORMATIKAI BIZTONSÁGOT FENYEGETŐ TÉNYEZŐK A 21. században az informatikai rendszerek az élet szinte minden területén közvetlenül vagy közvetve éreztetik hatásukat. Az információk, adatok, adatbázisok értéket képviselnek, elvesztésük vagy illetéktelen kézbe jutásuk felbecsülhetetlen károkat okozhat. A számítógépes hálózatok alkalmazásával ezek az értékek fokozottan veszélyeztetettek, így alapvető fontosságúvá vált az informatikai rendszerek kockázatokkal arányos védelme. A különböző informatikai biztonsággal foglalkozó cégek nyilvánosságra hozott vizsgálatai, felmérései statisztikai betekintést nyújtanak a szervezetek informatikai biztonsági helyzetébe. A KPMG a világ egyik legnagyobb professzionális tanácsadó társasága, nemzetközi információbiztonsági felmérésében olyan cégeket vizsgált, amelyeknek éves forgalma meghaladta az ötvenmillió dollárt. Vizsgálatuk szerint a vállalatok költségvetésük tíz százalékát fordítják biztonságra, de általában nem vizsgálják, hogy ez a befektetés megtérül-e. Az említett cégeknek csak harmincöt százaléka tudja mérni és értékelni saját informatikai biztonsági mutatóit. Az amerikai Riptech biztonsági szolgáltatásokat nyújtó cég olyan adatbiztonsággal kapcsolatos felmérést tett közzé, amit huszonöt országban és háromszáz vállalatnál végzett. A 2001 második félévében készült vizsgálatok szerint az adott időszakban külső feltörési kísérletek hetvenkilenc százalékkal növekedtek. A cégek negyvenhárom százalékánál történt olyan támadás, ami a megfelelő védelem nélkül eredményes lett volna. A feltörési kísérletek harminckilenc százaléka konkrét cég ellen irányult. A legtöbb támadás, átlagban naponta hétszáz, az energia- és villamos-, a high tech, a média és szórakoztató ipari vállalatokat érte. Magyarországon a GKI Gazdaságkutató Rt., a Webigen Rt. és a Sun Microsystems Magyarország tett közzé egy biztonsággal kapcsolatos felmérést. Eszerint a megkérdezett cégek: ♦ hetven százalékánál a vírusellenőrzés rendszeres; ♦ biztonsági másolatokat ötvenkét százalék készít; ♦ tizenhat százalék használ tűzfalprogramot vagy programokat; ♦ tíz százalék alkalmaz különböző titkosítási módszereket. 155
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
A Magyarországon ismertté vált betöréseket általában nem az adatszerzés motiválja, hanem elsősorban az informatikai tudás kipróbálása, elég példaként felidézni a Nemzetbiztonsági Hivatal honlapjára való illetéktelen bejutást. A támadók a cég hírnevében okoznak kárt azzal, hogy be tudnak jutni a honlapra, és ezt közzé is teszik. Hazánkban 1995 óta folyamatosan emelkedik a számítógépes bűncselekmények száma, hét évvel ezelőtt húsz ilyen esetet tartottak nyilván, 2000-ben közel 400 számítógépes csalást és bankkártyával való visszaélést regisztrált a bűnügyi statisztika. A hazai vállalatok ma azt tartják a legbiztonságosabbnak, ha az adatbázisukat nem helyezik az internetre. A versenyképesség növelése érdekében mégis szükség van, hogy egy cég adatbázisa az ügyfelek számára is elérhető legyen, így a biztonság problémája egyre jobban előtérbe kerül. A katonai, a nemzetbiztonsági, kormányzati és pénzügyi szervezetek gépei és hálózatai nem kapcsolódhatnak a nyilvánosan elérhető hálózatokhoz, így csökkenthető a kockázati tényező. Az internet veszélyforrás; a National Computer Security Association 1998-as felmérése szerint a hálózati betörések az internethez kapcsolódó cégeknél 28%, az internethez nem kapcsolódó cégeknél 4%.
A KOCKÁZATELEMZÉS A biztonságos informatikai rendszerek megteremtésének egyik területe az informatikai kockázatelemzés. A kockázatelemzés a rendelkezésre álló információ módszeres felhasználása, amely az informatikai rendszerekben a veszélyek azonosítására, a lehetséges károk gyakoriságának és kárértékének meghatározására irányul. A kockázatanalízis eredménye felhasználható a kockázat elviselhetőségének kiértékeléséhez, a kockázatcsökkentéshez szükséges intézkedések kiválasztásához, a kockázatot előidéző gyenge láncszemek azonosításához és kiszűréséhez. A kockázatelemzés folyamatának a kockázatkezelés rendszerében való elhelyezkedését az 1. sz. táblázat szemlélteti. [6] TANULMÁNYOMBAN A KOCKÁZATELEMZÉS LEGNAGYOBB FIGYELMET KÍVÁNÓ RÉSZÉVEL, A FENYEGETŐ TÉNYEZŐKKEL FOGLALKOZOM. Meg kell ismerni a veszélyeket ahhoz, hogy védekezni lehessen ellenük. A független fenyegető tényezők közel teljes körű feltárásával lehet eljutni a kockázat kiszámításához. A közel teljes körű feltárás azt jelenti, hogy a fenyegető tényezők halmaza általában nem fedi le a teljes eseményteret, de arra kell törekedni, hogy ezeket a tényezőket mind teljesebben írjuk le [8]. A teljes valószínűség tételét alkalmazva kapjuk a kockázat becslését: 156
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
P=P(A1)P(K|A1)+P(A2)P(K|A2)+ … +P(An)P(K|An)
(1)
ahol: P(Ai) ≠ 0 ; i=1, 2, … , n; P — a kockázat valószínűsége; P(Ai) — az i. fenyegető tényező bekövetkezésének a valószínűsége; P(K|Ai) — az i. fenyegető tényező bekövetkezésekor keletkező kár, veszteség. 1. sz. táblázat KOCKÁZATKEZELÉS KOCKÁZATÉRTÉKELÉS KOCKÁZATELEMZÉS ♦
♦ ♦
♦ ♦ ♦
az elemzést szükségessé tevő problémák felsorolása, a rendszer meghatározása, ahol az elemzés történik, jogszabályok, szervezeti információk tanulmányozása; veszélyazonosítás, FENYEGETŐ TÉNYEZŐK FELTÁRÁSA; kockázatbecslés: — gyakoriságelemzés; — következményelemzés; — kockázatszámítás; — a bizonytalanság meghatározása. az elemzés ellenőrzése; dokumentálás; az elemzés naprakésszé tétele. A KOCKÁZAT KIÉRTÉKELÉSE
♦ ♦
döntés az elviselhető vagy nem elviselhető kockázatról; a választási lehetőségek elemzése.
KOCKÁZATSZABÁLYOZÁS ♦ ♦ ♦
döntéshozatal; végrehajtás; monitoring.
157
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
Ha az (1) összefüggést a következő alakba írjuk: n
P=
∑ P( A ) P( K| A ) i
i
i =1
akkor jól látható, hogy a kéttényezős szorzatok nagyságát a tényezők nagyságának csökkentésével befolyásolhatjuk: vagy a bekövetkezési valószínűséget, vagy a bekövetkező kár mértékét csökkentjük. Ezt az elemzést kvantitatív (mennyiségi) elemzésnek nevezzük, számszerűsíti a kockázati valószínűségeket, a következmények a számszerű adatok alapján matematikai módszerekkel kiértékelhetők. A kvalitatív (minőségi) kockázatelemzés ezzel szemben nem valószínűségeket, biztonsági mérőszámokat ad, hanem súlyossági és kockázati szinteket állapít meg. A kvázi-kvantitatív kockázatelemzést akkor alkalmazzák, ha a valószínűség és a következmények számszerűen nem ismertek, ebben az esetben becsült számszerű adatokkal dolgoznak. Nyugat-Európában és Észak-Amerikában fokozatosan előtérbe kerül a kvantitatív kockázatelemzés, Magyarországon ma még a kvalitatív informatikai kockázatelemzés az elterjedtebb. Az informatikai biztonság megteremtéséhez elengedhetetlen a veszélyforrások feltárása, majd ezután lehetséges az ismert veszélyek elhárítása. Veszélyforrás a rendszerben jelentkező minden olyan tényező, amely a rendszer által kezelt adatok, illetve információk bizalmasságára, sértetlenségére, hitelességére vagy rendelkezésre állására veszélyt vagy ártalmat jelenthet, illetve a rendszernek és a rendszer elemeinek működőképességét fenyegetheti.
AZ INFORMATIKAI BIZTONSÁGOT FENYEGETŐ TÉNYEZŐK TÍPUSAI A fenyegető tényezők sokfélesége miatt célszerű valamilyen csoportosítást alkalmazni, de az egyes csoportok hatása összeadódhat, erősítheti egymást, tehát nem lehet az egyes csoportok hatását mechanikusan külön-külön figyelembe venni. [2]
Humán tényezők A humán veszélyforrás azt jelenti, hogy a hiba, a káresemény emberi tevékenység következményeként lép fel. 158
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
Az angol nyelvű szakirodalomban 7-E néven találkozunk az informatikai biztonságot fenyegető legfontosabb humán tényezőkkel. 1. Ego (személyiség); 2. Eavesdropping (lehallgatás); 3. Enmity (ellenségeskedés); 4. Espionage (kémkedés); 5. Embezzlement (sikkasztás); 6. Extortion (zsarolás). Egyre gyakoribb jelenség, hogy az elkövetők zsarolásra használják fel a tudomásukra jutott információkat, s az érintettek igen gyakran fizetnek is, mert drágábbnak tartják a jó hírüket; 7. Error (hiba). A hét tényező mindegyike az emberhez kapcsolódik, így az informatikai biztonság hatékonyságát nagymértékben növelheti az emberi oldalra történő odafigyelés. Az ember által okozott károkat célszerű két csoportra osztani: ♦ Nem szándékos károkozás, aminek az okai nagyon szerteágazóak, de a leggyakrabban előfordulók a következők lehetnek: — gondatlanság; — személyes vagy munkahelyi problémák miatt kialakult figyelmetlenség; — szabványok, belső előírások, szabályok ismeretének hiánya; — képzetlenség, alkalmatlanság, hozzá nem értés; — a belső előírások, munkaköri leírások figyelmen kívül hagyása; — nem megfelelő előírások, szabályok, rosszul szabályozott munkafolyamat; — a valós veszélyek fel nem ismerése, felelőtlenség; — a túl bonyolult munka vagy túl egyhangú munka miatti tévesztések; — hibás munkavégzés, hanyagság, az előírások megszegése kényelmi okokból; — az ellenőrzések hiánya. ♦ Tudatos károkozás: az említett 7E-ből hat ezzel az esettel foglalkozik. A kockázatelemzés során a vizsgált szervezet minden egyes munkakörét megnézik veszélyeztetettség szerint. Az egyes munkakörökben veszélyforrás lehet az alkoholizmus, a drogfüggőség, a játékszenvedély, a zsarolhatóság. Az informatikai biztonságot vizsgáló cégek statisztikái szerint a betörések 80%-át a szervezetek saját alkalmazottai követik el. A sértődött vagy elbocsátott emberek rendszerismeretükkel nagy károkat okozhatnak. Az okok szerteágazóak lehetnek: irigység, sértettség, bosszú, vandál pusztítási vágy, rosszindulat, hirtelen felindulás, hírszerzés és ipari kémkedés támogatása, információszerzés anyagi vagy egyéb előnyökért. 159
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
Potenciális veszélyforrás a versenytársak agresszív érdekérvényesítése; beépített emberek, új állással kecsegtetett, titkos adatokat kiadó kutatók, lefizetett takarító személyzet információi segíthetnek egyes cégeket a konkurenciával szembeni éles versenyben. A probléma nagyságát mutatja, hogy 2001. november 24-én az Európa Tanács kezdeményezésére 47 ország írt alá egy olyan közös nyilatkozatot, amely közös fellépést szorgalmaz a számítógépes bűnözés ellen. Az informatikai rendszerek biztonságát nemzetközi előírások (nem szabványok) alapján minősítik. Az Amerikai Védelmi Minisztérium skálája szerint, a nem katonai alkalmazásoknál a legmagasabb minőségi fokozatot B1-el jelölik. A B1-gyel minősített rendszerek biztonságos működésének szinte egyetlen veszélyforrása maradt, és ez a személyzet.
Logikai tényezők Veszélyeztetik a bizalmasságot, a sértetlenséget, a rendelkezésre állást: [1] ♦ az informatikai rendszerbe történő jogosulatlan belépés, információk vagy programok jogosulatlan módosítása, rombolása, felhasználása; ♦ a feladó és címzett azonosítása; ♦ a felhasználó szerverének, címének azonosítása; ♦ a rendszer működésének megzavarása; információ lehallgatás, adatváltoztatás, adatátirányítás (adatok más címre küldése), adatfogadás megtagadása; ♦ vírus, giliszta, trójai programok, logikai bomba rendszerbe juttatása. A számítógépes vírusok által okozott károk nagyok és növekvő tendenciát mutatnak (1999-ben 12 milliárd dollár, 2000-ben 17 milliárd dollár, 2001ben 19 milliárd dollár volt az okozott kár és a helyreállítás költsége); ♦ karbantartási és fejlesztési tevékenységek során elkövetett biztonsági és egyéb hibák. Előfordul, hogy az intézmények külső céget bíznak meg a hardver- és a szoftverkarbantartással, archiválással, auditálással. A leggyakoribb veszélyforrások: [7] Nagyobb a veszély, ha a rendszert nem egy szűk csoport használja, hanem egyik oldalról nyitott a rendszer például az ügyfelek, külső felhasználók számára. Az otthoni munka, amely során a dolgozók részben vagy egészben otthon végzik el feladataikat, fokozhatja a veszélyeket. Az informatikai eszközök működésben levő hardverei körül elektromágneses mező van, az elektromágneses sugárzás érzékeny vevőkészülékekkel felfogható és dekódolható. Ha a számítógépterem árnyékolatlan vagy nem folytonos az árnyékolás, akkor a lehallgathatóság, a kívülről megzavarható adatbázis és a rendszer károsodása vagy légköri zavarok fenyegetik a rendszert. Ha a kommunikációs hálózat (pl. telefonvonal) lehallgatható, úgy az informatikai rendszer teljesen ki van szolgáltatva a támadásoknak. 160
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
A jelszókkal kapcsolatban: [4] a nem megfelelő, túl könnyű, más biztonsági módszerekkel nem kombinált jelszó, ha a használatban emberi hibák sokasága lép fel (hanyagság, a jelszó felírása vagy más személynek való kiadása), ha lehallgatható vagy titkosítatlanul van tárolva a rendszerben, ha a jelszavak kilistázhatók valamilyen módszerrel, ha megfelelő időnként nem változtatatják, módosítják azokat. Az adatvesztés elkerülését naplózással segítik, ez is egy veszélyforrás, mert a napló tartalmát is védeni kell. A titkosításból adódó problémák: olyan titkosító algoritmus alkalmazása, amit már feltörtek vagy életciklusa utolsó szakaszában van. A titkosító algoritmusok általában jól kidolgozottak és nem könnyen fejthetők, a veszélyt a kulcsok kiosztása vagy tárolása jelenti.
Fizikai tényezők [9] A jogosulatlan hozzáférés, mint veszélyforrás két részre bontható. A külső támadás, amikor a támadók célja az informatikai eszközök megszerzése vagy tönkretétele. A belső támadás, ha a szervezet dolgozói az informatikai eszközöket, szolgáltatásokat jogosulatlanul használják. Az eszközök rendelkezésre állása sérül, ha az épület (ahol az informatikai eszközök vannak) fizikai védelme nem megfelelő; ajtók, ablakok, tűzfalak, vezetékek, elektromos és távbeszélő eszközök elhelyezése nem szabványszerű és nem az előírt minőségű, vagy ha az épületben működési zavar lép fel, mint az áramellátó rendszerek, biztonsági rendszerek meghibásodása.
Környezeti tényezők ♦
♦ ♦ ♦ ♦ ♦ ♦ ♦
Magyarországon a leggyakoribb környezeti veszélyforrás a villámcsapás, illetve a villámcsapásból eredő másodlagos túlfeszültség, ami kárt okozhat az elektromos rendszerekben, az áramellátásban, a számítógép-hálózatokban; az árvíz és belvíz elsősorban az épületekben tesz kárt, és így fokozza a veszélyt. Árvizek 809 települést kiemelten veszélyeztetnek Magyarországon; a földrengések, tűzhányó kitörések nálunk nem, de más országokban számottevő veszélyforrást jelenthetnek; egyéb pusztító katasztrófák: tűzvész, szélvihar stb. Magyarország közepesen katasztrófaveszélyes terület; műszaki zavarok, amelyek különböző súlyosságú és időtartamú informatikai rendszer és szolgáltatás kiesést idézhetnek elő; nedvesség (csőrepedés, billentyűzetre ömlő folyadék, páralecsapódás); napsütés, szélsőséges hőmérsékletingadozás; por, füst, agresszív gőzök (dohányzás); 161
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK ♦ ♦ ♦
♦ ♦ ♦
túlzott járműforgalom; elektromos kisülések; elektromos hálózat zavarai (rossz földelés, áramingadozás, áramkimaradás). A Contingency Planning Research cég adatai szerint az elveszett adatok csaknem feléért felelősek a tápellátás problémái; statikus elektromosság; mechanikai sérülések; rágcsálók, ízeltlábúak (vezetékek átrágása, érintkezési zavarok, rövidzárlat).
Kölcsönhatások vizsgálata Az egyes területek egymással kapcsolatban vannak, az összefüggésekből adódó veszélyforrásokat is vizsgálni kell. Az emberi tényezőnek kiemelt jelentősége van, a veszélyforrások nagy része az ember tudatos vagy véletlen tevékenységével kapcsolatos. AZ INFORMATIKAI RENDSZER BIZTONSÁGI SZINTJÉT A LEGGYENGÉBB LÁNCSZEM HATÁROZZA MEG.
AZ INFORMATIKAI BIZTONSÁGOT FENYEGETŐ TÉNYEZŐK FELTÁRÁSÁNAK LEHETŐSÉGEI Hogyan lehet a veszélyforrásokról információt szerezni?: [10] ♦ szabványok, munkahelyi belső szabályzatok, technológiai utasítások vagy leírások betartásának vizsgálatával. Az alapfolyamatokra (adatvédelem és adatbiztonság) vonatkozó szabályzatok egyértelműen rögzítik a kezelőszemélyzet tevékenységi körét, jogosultságait, felelősségét, ellenőrzési rendszerét. A rendszerfolyamatokra (IT rendszer és IT szervezeti folyamatok) vonatkozó szabályzatok írják elő a kezelőszemélyzet adatokkal való kapcsoltba kerülésének minimumát és maximumát; ♦ más munkahelyek közzétett adatainak, tapasztalatainak, gyakori szakmai szokásoknak a tanulmányozásával; ♦ a munkavállalók vagy képviselőik tapasztalatainak értékelésével; ♦ tudományos és műszaki irodalom állandó figyelésével; ♦ a munkatevékenység, munkafolyamatok, technológiák, munkaeszközök, munkamódszerek közvetlen megfigyelésével; ♦ a már szükségtelen adatok tárolásának, megsemmisítésének ellenőrzésével (gondoljunk csak a Postabank irataira, amelyeket egy nyilvános szemétlerakó-helyen találtak meg); 162
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY ♦ ♦ ♦
♦
♦ ♦
♦ ♦ ♦ ♦
♦
♦
beléptető rendszerek vizsgálatával; biztonsági érzékelők (behatolás, lopás, betörés, füst, tűz stb.) figyelésével; helyszíni vizsgálatokkal és mérésekkel, amely során a következőket figyelik: — illetéktelenek az informatikai rendszer közelében; — a tárolt adatokról történő biztonsági másolat példányszáma és tárolási helye; — a különlegesen fontos berendezések tárolása; — a hálózat fizikai védelme (kiemelten nagy a veszély költözködés vagy tatarozás esetén); — az új dolgozók és a takarító személyzet oktatása; — dohányzás a számítógépes környezetben; — a levegő páratartalma; — műszálas anyagok alkalmazása; — EPH (egyen-potenciálra hozás), megfelelő földelés, megbízható szünetmentes áramforrás, túlfeszültség ellen védő berendezések és ezek karbantartása, ellenőrzése. hálózatfigyelő programok használatával is feltárhatók különböző veszélyforrások (gyenge jelszavak, puffer-túlcsordulások, korlátlan FTP hozzáférés, jelszó nélkül használható szolgáltatások, nyitott TCP vagy UDP portok, a nem biztonságos szolgáltatások stb.); a tűzfalak tájékoztatásának vizsgálatával megtudhatjuk, hogy milyen gyanús eseményeket észlelt és hogyan hárította el ezeket; meg kell vizsgálni, hogy csak a szükséges szolgáltatások vannak-e engedélyezve, fontos a szolgáltatásban megjelenő adatok szükséges és elégséges mennyisége; minősített adatok esetén az alapadatokat és biztonsági másolatokat más földrajzi helyen tárolják-e? az adatok, adatállományok rejtjelezettek-e a megfelelő rejtjelezési eljárással? adathozzáférések ellenőrzése. Rögzítették-e a hozzáférési jogosultságot? az adatforgalom naplózásával kapcsolatban: az adatok naplózása megfelel-e a törvényi szabályozásnak, az adatvédelemnek? Meg van-e oldva a naplózott anyagok tárolása? a betörés felderítésére leggyakrabban a naplófájlokat és a különböző betörésvédelmi rendszereket alkalmazzák, így esetleg idejében megtudhatók a betörési kísérletek vagy a sikeres akciók; a felhasználói szintek ellenőrzése: kinek van rendszergazdaként joga belépni a rendszerbe, milyen csoport milyen jogosultságot használhat, a rosszul beállított felhasználói jogok; 163
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
a legújabb programokat használják-e, telepítik-e a programkészítő hibajavításait; ♦ a vírusirtó és trójai faló észlelő programok ellenőrzik-e az elektronikus levelezést? ♦ a biztonság megteremtésének egyik új módszere a távfelügyeleti szolgáltatások igénybevétele, ami lehetővé teszi, hogy a számítástechnikai hálózatok egy külső monitoring-rendszer segítségével folyamatosan kontroll alatt álljanak. Ez a megfigyelő rendszer rögzíti az informatikai rendszer ellen irányuló különböző hacker támadásokat és vírusfertőzéseket; ♦ ethical hackingnek nevezhetnénk azt az új internetes biztonságtechnikai szolgáltatást, amelynek a segítségével színészek nem informatikai úton, hanem az ember hibáinak kihasználásával szimulálnak hacker-támadást. A szimuláció során a kísérletet végzők arra kíváncsiak, hogy a megtámadott szervezet munkatársaival való beszélgetések alkalmával mennyi műszaki információhoz lehet hozzájutni, amihez esetleg rossz szándékú támadó is hozzájuthat. Annak érdekében, hogy a veszélyforrás feltárása áttekinthető legyen, célszerű különböző csoportosításokat, táblázatokat használni. ♦
2. sz. táblázat
egyéb
személyek
kommunikáció
adatok
dokumentumok
adathordozók
szoftver
hardver
infrastruktúra
A VESZÉLYFORRÁSOK CSOPORTOSÍTÁSA
Példaként nézzük meg az infrastruktúrával kapcsolatos veszélyforrások feltárásának kezdeti, nagyvonalú behatárolását, ami a későbbiekben tovább szűkíthető (lásd 3. sz. táblázat). A szoftverrel kapcsolatos veszélyforrások vizsgálatánál kiemelendők az operációs rendszerek (UNIX, LINUX, Windows NT stb.) gyenge pontjai. A behatolások általában jelszavas támadások, a hálózatokkal kapcsolatos vagy az alkalmazásokon keresztül végrehajtott támadások. A veszélyforrások azonosítása után következik a veszélyek behatárolása: meg kell becsülni a veszély bekövetkezésének valószínűségét és a lehetséges veszteségeket (lásd 4. sz. táblázat). 164
Telefonvonalak
Tároló helyiségek Áramellátás
Központi géptermek Helyi szabályok, Fizikai, építészeti A belépés, vonatkozó előírások megvalósítás hozzáférés rendje betartása A rendelkezésre állást, a megbízható működést vizsgáljuk ebben a pontban, szerviz szerződéseket, hibaelhárítási képességet.
A szervezet Informatikai Biztonsági Szabályzatában vagy más szervezeti szabályzatban foglaltak teljesülésének vizsgálata.
Intelligens beléptető rendszerek létezése. A belépés rendje és a hozzáférési jogosultságok összhangja.
A különböző biztonsági osztályoknál a falvastagságra, a nyílászárókra, a jelzőrendszerekre, a kisugárzás és besugárzás elleni védelemre meghatározott előírások vannak.
A számítógépet tartalmazó helyiségek
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
3. sz. táblázat
Infrastruktúrával kapcsolatos veszélyforrások Hatékonyság
165
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
4. sz. táblázat
alacsony
közepes
nagy
kis
----------------------
+++++++++++++
+++++++++++++
közepes
----------------------
+++++++++++++
+++++++++++++
nagy
Veszteség
Valószínűség
+++++++++++++
+++++++++++++
***************
--------------------------
+++++++++++++++
*****************
Nem fontos veszély
Fontos veszély
Nagyon fontos veszély
A táblázatból kiolvasható, hogy a nagy valószínűség és nagy veszteség nagyon fontos veszélyt, a közepes valószínűség bármilyen veszteségnél fontos veszélyt, míg az alacsony valószínűség kis és közepes veszteség mellett nem fontos veszélyt jelent.
ÖSSZEGZÉS A veszélyforrások és a veszélyek behatárolása nem oldja meg az informatikai biztonság kérdését, de a veszélyek ismeretének hiánya maga is kockázati tényező. Az első ábra rendszerében a fenyegető tényezők feltárása egy nagyon kicsi, de lényeges része a kockázatkezelésnek. Dolgozatom célja ennek a fontos résznek több oldalról való megközelítése volt. Tanulmányoztam az informatikai biztonsággal foglalkozó cégek nyilvánosságra hozott statisztikáit, ezek alapján az informatikai rendszerek biztonságát fenyegető tényezőkre vonatkozóan levonhatók bizonyos következtetések. A fenyegető tényezők közé sorolhatjuk a véletlen eseményeket, a külső tényezők általi behatásokat és olyan körülményeket, amelyek általában magának az 166
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
informatikának a sajátosságaiból adódnak. A gyenge pontok feltárását mégis az emberi tényezőkkel érdemes kezdeni, legnagyobb veszélyforrás maga az ember. A legnagyobb veszélyt mégsem a külső betörések jelentik, a számítógépes bűncselekmények több mint háromnegyed részét belülről támogatva követik el. Egy adott rendszer informatikai biztonságának kockázatelemzésénél a felsorolt fenyegető tényezőket érdemes figyelembe venni, csoportosítani és az adott feladatra alkalmazni, mivel nincs olyan nyilvánosságra hozott elemzés, amit száz százalékosan átvehetnénk. Egy konkrét rendszer elemzése, tekintettel arra, hogy az adott rendszer gyengeségeit, támadható pontjait, biztonsági hiányosságait összefoglalva tartalmazzák, bizalmas vagy titkos kategóriába esik, így nem szerezhetünk róla elegendő információt. A kockázatkezeléssel megbízott, külső cégek tevékenysége jelentős kutatói és fejlesztői munka eredménye, emiatt érthető, hogy az elemzés módszertanát nem hozzák nyilvánosságra. FELHASZNÁLT IRODALOM [1] Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó Kft. & T. Bt., Budapest, 2002. [2] DIETZ GUSZTÁVNÉ DR. PAP MÁRTA: Adatvédelem, adatbiztonság. NOVORG, Budapest, 1995. [3] Informatikai rendszerek biztonsági követelményei. ITB 12. számú ajánlás. Miniszterelnöki Hivatal, Informatikai Koordinációs Iroda, 1996. [4] KÖDMÖN JÓZSEF: Kriptográfia, az informatikai biztonság alapjai. Computerbooks, Budapest, 1999/2000. [5] KYAS, OTHMAR: Számítógépes hálózatok biztonságtechnikája. Kossuth Kiadó, 2000. [6] Műszaki Biztonsági Főfelügyelet: „Seveso 2” Füzetek, 3. sz. füzet, Technológiai rendszerek kockázatelemzése, MBF, Budapest, 2001. [7] NORTON, P.–STOCKMAN, M.: A hálózati biztonság alapjairól. Kiskapu Kft., 2000. [8] OBÁDOVICS J. GYULA: Valószínűségszámítás és matematikai statisztika. Scolar Kiadó, Budapest, 1995. [9] OMMF (Országos Munkabiztonsági és Munkaügyi Főfelügyelőség) Útmutatás a munkahelyi kockázatértékeléshez. www.munkavedelem.hu. [10] TÓTH TIBOR: Minőségmenedzsment és informatika. Műszaki könyvkiadó, Budapest, 1999.
167
