Az informáci. nyezı. The information as a risk factor. Vállalatok tündöklése és bukása az információvédelem fényében. Dr. Horváth Zsolt vezetı auditor

Az információ mint kockázati tényezı Vállalatok tündöklése és bukása az információvédelem fényében

The information as a risk factor The rise and fall of companies in the light of information protection

Dr. Horváth Zsolt vezetı auditor Lead auditor Budapest, 2009. április 21.

Információbiztonsági incidensek a világban … • 2007 ısz – „PIN-kódot tessék, olcsón adjuk” Angliában két olyan CD „veszett el” az adóhivatal és a számvevıszék közti postázás során, amelyek körülbelül 25 millió brit állampolgár bizalmas adatait tartalmazták. Nemsokára számos weboldal kínálta a polgárok személyes adatait … • 2008. Január – Totális adatmegsemmisítésre készült a kirúgott IT alkalmazott. Fannie Mae amerikai jelzáloghitel-intézet egyik felmondott alkalmazottja bosszúvágyból egy szoftvert vitt be a rendszerbe, hogy 200801-31-én négyezer szerveren töröljön minden adatot. Szerencsére még idıben észrevették… • 2008. Január – a 14 ezer postafiókot törölt a szoftverhiba. Egy amerikai kábeltévé-szolgáltató 14 ezer ügyfelének teljes elektronikus postafiókja törlıdött egy szoftverhiba miatt - az elveszett leveleket ráadásul nem is tudják visszaállítani… • 2008. május – 4,5 millió személy adata veszett el. Az egyik amerikai bank adattároló kazetták gondatlan kezelése miatt 4,5 millió ügyfelének adatát vesztette el… 2009.04.02. 2/21

Dr. Horváth Zsolt - Az információ mint kockázati tényezı

… és incidensek itthon … • 2000. Január – Hackerek kétszer feltörték az Elender központi szervereit, felülírták a szolgáltató WEB-lapját, és közzétették mintegy 1900 ügyfél nevét és jelszavát. Az Elender web- és levelezési szolgáltatása megszőnt. • … • 2008. május – Kémprogramok a BKV számítógépein. Öt kémprogramot telepítettek a BKV informatikai rendszerére, ezzel a behatolók a hálózat minden eleméhez hozzáfértek. • 2008. szeptember – A Pannon Egyetem 2007/08-as évre kollégiumba jelentkezık személyi adatbázisa került nyilvánosságra. • 2009. február: Szoftverhiba volt az Ügyfélkapuban Lemondott a Kopint-Datorg vezérigazgatója • 2009. február – Újabb biztonsági incidens a Pannon Egyetemen Hallgatók, oktatók Neptun-kódja, jelszava (?), teljes neve, e-mail címe nyilvánosságra kerültek. 2009.04.02. 3/21


Adatok, információk védelme Az információ, mint kockázati tényezı Mennyire függ vállalatunk eredménye, sikere, léte az információink biztonságától, az IT rendszer mőködésétıl? Mi történik, ha például… • A konkurencia hozzájut üzleti, fejlesztési információinkhoz? • Médiákban megjelennek olyan adatok, amelyeket nem a nyilvánosságnak szántunk? • Megsemmisül, vagy megsérül a fontos üzleti, termelési vagy személyi adatokat tartalmazó számítógépes adatbázis? • Mőködésképtelenné válik a szerver és / vagy a hálózat? • Vírus kerül a számítógépes hálózatunkba? • A rendszergazda lelép a megváltoztatott jelszavával, esetleg …? • Stb… 2009.04.02. 4/21

Az információ érték Védeni kell!


Információk biztonsága sérülésének veszélyei (példák) • Bizalmas információk illetéktelen kezekbe kerülnek Üzleti veszteségek (tendereken üzletvesztés, piaci pozíció vesztése, …) • Ügyfél adatok illetéktelen kezekbe kerülése piacvesztés, jogsértés, kártérítési perek, … • Elektronikus dokumentumok, feljegyzések megsemmisülnek, elvesznek, hozzáférhetetlenné válnak Feljegyzések, igazolások, jegyzıkönyvek, stb. elvesznek • IT folyamattámogatás megszőnése, bizonytalanná válása Üzleti folyamatok leállhatnak, üzemszünet, leállás, … • E-mail, internet, belsı elektronikus csoportmunka használhatatlanná válik Alapvetı használt kommunikációt (külsı és belsı) blokkolhatja, meglévı információkhoz hozzájutást megakadályozza • Stb…

Az információ érték Védeni kell! 2009.04.02. 5/21


Megfelelés a törvényi elvárásoknak Jelenleg: alapvetı informatikai biztonsági jogszabályok: • •

195/2005. (IX. 22. ) Korm. rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról… 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeirıl

figyelembe veendı jogszabályok: • • •

1992. évi LXIII. törvény … az Adatvédelmi törvény (Avtv.) 2001. évi XXXV. törvény … az elektronikus aláírásról (Eat.) Közigazgatással kapcsolatos törvények….

Elıkészületben: Az informatikai biztonságról szóló törvény

2009.04.02. 6/21


Megfelelés a törvényi elvárásoknak Elıkészületben: Az informatikai biztonságról szóló törvény (jelenleg törvényjavaslat, elıkészületi fázisban) Hatálya kiterjed minden, a Magyar Köztársaság területén elérhetı • informatikai rendszerre és elektronikus szolgáltatásra • a fentiek mőködtetıire és üzemeltetıire • a fentiek használóira és igénybe vevıire Fıbb elemei: • A hatálya alá tartozók besorolása 5 szintbe. • Szintenként egyetemes informatikai biztonsági minimum követelmények • Rendelkezik az informatikai biztonság felügyeleti és irányítási rendszerérıl, hálózatbiztonsági központ mőködtetésérıl • 2011. január 1-tıl a személyi azonosítást tartalmazó elektronikus szolgáltatások, illetve az e-közszolgáltatások csak akkor mőködhetnek, ha informatikai biztonsági szempontból auditálva és regisztrálva vannak 2009.04.02. 7/21


Az információbiztonság aktualitása Az információbiztonság kérdése – az informatika rohamos elıretörésével – minden vállalatnál egyre égetıbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg elıször „meg nem égette magát” vele. vele Elvárások felhasználói oldalról: A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellı idıben és sértetlenül álljanak a rendelkezésre. Minden szervezetnél – akár tudomásul vesszük, akár nem, – van "információ-szivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentıs erkölcsi és anyagi károkat okoz(hat) a szervezetnek. Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. – Ebben a helyzetben segít rendet teremteni az információ-biztonsági irányítási rendszer! 2009.04.02. 8/21


Az információk megjelenési formái

beszélgetések telefonon papírok, dokumentumok

számítógépközpontok személyes beszélgetések számítógépes munkaállomások PC, WS, DSS

fóliák mikrofilmek, szalagok, faxtekercsek

2009.04.02. 9/21

laptop-ok, nyomtató, notebook-ok fax, hálózatok, mágneses teletex, adathordozók LAN, WAN telex


Adatok, információk védelme Az információ biztonsága jelenti: • Bizalmasságot (jogosulatlanok ne férhessenek hozzá) • Sértetlenséget (teljesség, hitelesség, pontosság) • Rendelkezésre állása (funkció, tartalom, idı, stb.)

2009.04.02. 10/21


Az információvédelem értelmezése Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni mőszaki és szervezési intézkedések és eljárások együttes rendszere. Két fı területe: – ADATBIZTONSÁG: Az információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. – ADATVÉDELEM: DELEM Az információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. 2009.04.02. 11/21


Információbiztonsági irányítási rendszer részei •

Információs vagyon fenyegetettségeinek átfogó kockázatelemzése

•

Védelmi intézkedések, sek eljárások megteremtése – különbözı területeken a különbözı fenyegetettségekre

•

Menedzsment rendszer – menedzsment elemek kiépítése (hasonló mint a MIR, KIR, IBIR, …)

2009.04.02. 12/21


Kockázatkezelés – de miért? • Biztos, hogy mindenre gondoltam – a kockázatkezelés nélkül is? • Egyenszilárdságú védelem – „Minden biztonsági lánc annyira erıs, mint a leggyengébb láncszeme!” – A veszélyeket, fenyegetettségüket a jelentıségüknek megfelelın kezeli – Költséghatékony védekezés, (védelmi beruházások megalapozottak)

• Elıre felkészülten, tervezetten és tudatosan védekezni a biztonsági incidensek / események ellen 2009.04.02. 13/21


Az információvédelmi eljárások szakmai területei • objektum, terület védelem, delem • személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektıl), • hagyományos (pl. papíralapú) adatok, módszerek, eszközök védelme, delme • informatikai védelem, delem (fizikai, logikai és szervezési), • elemi károk, természeti csapások elleni védelem (az információbiztonság szemszögébıl). 2009.04.02. 14/21


Az információbiztonsági irányítási rendszer szabványa(i) Ez tanúsítható! • ISO/IEC 27001:2005 Information technology – Security techniques – Information security management system – Requirements • ISO/IEC 27002:2005 (= ISO/IEC 17799:2005) Information technology – Security techniques – Code of practice security management • ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management 2009.04.02. 15/21


Gondolatok az ISO/IEC 27001-es szabványról

Menedzsmentrendszer és technikai követelmények együttese Integrálható a többi irányítási (menedzsment) rendszerrel Alkalmazási területe megválasztható (scope-olható) Kockázatelemzésre épít Alapvetıen a következı fıbb új elemeket/tevékenységeket adja: – – – – – – –

Menedzsmentrendszer kiegészítése az információbiztonsággal Információbiztonsági vagyonfelmérés és kockázatkezelés Védelmi követelmények meghatározása és folyamatos aktualizálása Védelmi intézkedések beleépítése a folyamatokba illetve önálló kiépítése Incidenskezelési folyamat mőködtetése Információbiztonsági szabályzat mőködtetése BCP / DRP készítése, mőködtetése

2009.04.02. 16/21


A (tanúsított) információbiztonsági irányítási rendszer elınyei • • • • • •

Felkészülve, a problémák elıre láthatók. A költségek racionalizálhatók. Az informatikai beruházások megalapozottan indokolhatók. A folyamatok optimalizálása révén a hatékonyság fokozható. Gyorsabb reagálás a piaci változásokra. Nincsenek meglepetések, sek fel lehet készülni a külsı / belsı fenyegetettségekre, ha ismerjük ıket. • A projektek az elıre meghatározott kereteken belül végzıdnek. • A külsı, illetve a belsı szabályozóknak meg lehet felelni. felelni • A cégérték növekedik, vekedik az imázs és a hírnév megvédhetı. 2009.04.02. 17/21


Egyensúlyok a rendszer kiépítésekor • A különbözı területek védelmi intézkedései között (összhang a védelmi célokkal, fenyegetettségekkel; egyenszilárdságú védelem) • Ugyanarra a védendı alrendszerre / rendszerelemre ható különbözı jellegő védelmi intézkedések között (fizikai – logikai – szervezési) • A menedzsment elemek és a technikai szabályozások között

2009.04.02. 18/21


Csapatmunkával lehet csak jól csinálni! • •

Csapatmunka kell … … a különbözı kompetenciák egyidejő biztosításához: – – –

•

• 2009.04.02. 19/21

projektvezetési kompetencia menedzsmentrendszer kiépítési kompetencia Informatikai / információbiztonsági kompetenciák

… a különbözı szakmai ismeretek magas szintő alkalmazására – szakemberek együttmőködése! … a tanácsadó és a rendszert bevezetı cég munkatársainak együttmőködésére!


Mekkora kockázatot vállalhat fel egy kiváló vállalat? • A sikeres, eredményes, kiváló vállalatok, akik sokat fordítanak a sikerért, a folyamatos fejlıdésért, eredményeik biztonságáért, megengedhetik-e maguknak, hogy • ne foglalkozzanak az információk biztonsága veszélyeinek üzleti kockázataival, • ne foglalkozzanak adataik, információik védelmével, • leragadjanak az informatikai védelemnél (csak elektronikus adatok védelme), szemben az információvédelemmel • ne rendszerben foglalkozzanak az információvédelemmel, • … • Tudják-e, mekkora kockázatot vállalnak fel ezzel? 2009.04.02. 20/21


Köszönöm megtisztelı figyelmüket! Dr. Horváth Zsolt Mobil: 30/299-8599 Email: [email protected] http://www.infobiz.hu 2009.04.02. 21/21


Az informáci. nyezı. The information as a risk factor. Vállalatok tündöklése és bukása az információvédelem fényében. Dr. Horváth Zsolt vezetı auditor

Recommend Documents