IT biztonsági tanácsok
© Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu
Az „IT biztonság” az „információbiztonságnak” csupán egy része, mégis az informatika elterjedésével az utóbbi időben egyre inkább előtérbe kerül. A következőkben arra mutatunk be néhány javaslatot, hogy – már az információbiztonsági irányítási rendszer bevezetését megelőzően is, – mire érdemes az IT biztonság területén odafigyelni, hogy sok bajt el tudjunk kerülni.
2007
Dr. HorváthZsolt - IT biztonsági tanácsok
2
Az információbiztonság aktualitása Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „meg nem égette magát” vele. Elvárások felhasználói oldalról: A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre. Minden szervezetnél – akár tudomásul vesszük, akár nem, – van "információszivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek. Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. – Ebben a helyzetben segít rendet teremteni az információ-biztonsági irányítási rendszer! rendszer 2007
Dr. HorváthZsolt - IT biztonsági tanácsok
3
IT alkalmazásának veszélyei (példák)
Mi történik, ha … … ha egy időre megbénul egy beüzemelt vállalatirányítási rendszer? … összeomlik vagy hibás adatokat ad egy diagnosztikai berendezés elektronikája? … leáll a nagykohó hőszabályzó automatikája, vagy pl. az automata gyártósor termelésirányító szoftvere? … összeomlik egy önkormányzat vagy hatóság egyik (pl. levelező) szervere? … ellopják az igazgató notebookját, rajta az összes üzleti adattal, az új tender bizalmas adataival? … sértődötten mond fel a rendszergazda, és …? … a felmondott (és netalán konkurenciához pártolt) fejlesztőink, mérnökeink (távoli) hálózati belépései az informatikai rendszerünkbe továbbra is élnek? Æ VESZÉLYEZTETI A TERMELÉST, A VÁLLALÁSOK
TELJESÍTÉSÉT, AZ ÜZLETI ÉRDEKEKET, ÉS VÉGSŐ ESETBEN A VÁLLALAT LÉTÉT!!!!!! 2007
Dr. HorváthZsolt - IT biztonsági tanácsok
4
Változó körülmények – új kockázatok Megváltozott a világ, új jelenségek, új kockázatok: IT dominancia, növekvő függőség szaporodó e-megoldások, hálózat-érzékeny rendszerek támadások, szándékos károkozás (vírus, betörések) szoftver-érzékeny rendszerek szaporodása fejlesztési projektek kudarcai működő informatikai alkalmazások hibái eszköz-meghibásodások (hardverhiba, szoftverproblémák) virtuális vállalatok léte, Internet-függősége szélsőséges időjárási viszonyok terrorista támadások 2007
Dr. HorváthZsolt - IT biztonsági tanácsok
5
IT rendszerek fenyegetettségének okai technikai, technológiai problémák, meghibásodás emberi mulasztás, vétett hibák üzemeltetési problémák, alkalmazások hibás működése környezeti, partner-rendszeri problémák problémák a tervezésben, szoftverkiválasztásban vírusok okozta károk természeti csapás, áramkimaradás betörés adatbázisokba, szoftver-rendszerek rongálása, Internetről érkező támadások stb…
Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell! 2007
Dr. HorváthZsolt - IT biztonsági tanácsok
6
Az információbiztonság jelentése Bizalmasság, Bizalmasság annak biztosítása, hogy az információ csak az
arra felhatalmazottak számára legyen elérhető. Sértetlenség (integritás), az információk és a feldolgozási
módszerek teljességének és pontosságának megőrzése. Rendelkezésre állás, állás annak biztosítása, hogy a
felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.
2007
Dr. HorváthZsolt - IT biztonsági tanácsok
7
Az információvédelem értelmezése Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Két fő területe:
2007
Az információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. Az információs rendszerek adataihoz való illetéktelen hozzáférést és beavatkozást meggátló szabályozások, folyamatok és megoldások.
Dr. HorváthZsolt - IT biztonsági tanácsok
8
Az IT rendszer üzembiztonsága kockázatainak csökkentése 1. Már tervezéskor gondolkodjunk előre!
Bővíthetőség (jelenlegi és jövőbeli kapacitás figyelembe vétele) Biztonsági elvárások figyelembe vétele (jelenjenek meg a funkcionális követelmények között!) Ha egy informatikai rendszert kezdetekben a megfelelő biztonsági megoldások nélkül terveznek, majd így kezdenek el működtetni és a sikeres működést szinte menetrendszerűen követő visszaélések kényszerítik ki utólag a védelmek alkalmazását, akkor a legtöbbször már csak toldozás-foltozás jellegű megoldások adhatók, amelyek általában drágább és sokkal kevésbé hatásos eredményre vezetnek.
2007
Dr. HorváthZsolt - IT biztonsági tanácsok
9
Az IT rendszer üzembiztonsága kockázatainak csökkentése
2. Figyeljünk oda az áramellátás stabilitására!
2007
Az áramellátás kimaradása vagy a megengedettnél nagyobb mértékű ingadozása menet közben leállíthatja a számítógépeket, néha károsodást okozva a hardverben és a futó programokban. Szünetmentes áramellátás (legalább a kritikus funkciót ellátó számítógépek, pl. szerverek, mérésadatgyűjtők, stb. esetén.)
Dr. HorváthZsolt - IT biztonsági tanácsok
10
Az IT rendszer üzembiztonsága kockázatainak csökkentése Murphy törvénye: „Ami elromolhat, az el is romlik.”
3. Legyen tartalékunk!
2007
Kulcsfontosságú berendezések fizikai meghibásodásakor az üzemelés folyamatosságának biztosítására. Tartalék berendezések (hideg tartalék – meleg tartalék – forró tartalék) Duplikált berendezések (tükrözések, RAID technikák, stb…)
Dr. HorváthZsolt - IT biztonsági tanácsok
11
Az IT rendszer üzembiztonsága kockázatainak csökkentése 4. Mentsük az adatainkat!
2007
A számítógép merevlemezén tárolt fontos adatok visszaállíthatóságának biztosítása, azok sérülése vagy elvesztése esetére Rendszeres mentések – külső, független adathordozóra. Mentési stratégia, ciklus, rendszer, módszer – meghatározása, szabályozása és betartása.
Dr. HorváthZsolt - IT biztonsági tanácsok
12
Az IT rendszer üzembiztonsága kockázatainak csökkentése
5. Archiváljunk!
2007
Már nem módosítható információk elérhetőségének, visszakereshetőségének hosszú távú biztosítása. Adatok kiírása nem törölhető, hosszú életű adathordozóra, majd azok tárolása biztonságos helyen. Nagyon fontos! Ne csak az adatokat archiváljuk, hanem az archivált adatok megjelenítésére képes rendszereket is!!! Dr. HorváthZsolt - IT biztonsági tanácsok
13
A nem kívánt beavatkozás kockázatainak csökkentése 6. Rendszergazda szerepköre!
2007
rendszeradminisztrátori jelszó biztonsága. rendszergazdai tevékenység szabályozása dokumentáltan Rendszergazdai tevékenység kontrollingja, naplózása, stb…. kapcsolódó felelősségek rögzítése munkaszerződésben
Dr. HorváthZsolt - IT biztonsági tanácsok
14
A nem kívánt beavatkozás kockázatainak csökkentése 7. Jelszavaink legyenek titkosak!
2007
Jelszavak használata kötelező. Jelszavak titkossága. Jelszóképzés szabályozása – nehezen kitalálható jelszavak Jelszóhasználat szabályozása – jelszavak cseréje, … Különböző rendszerekhez különböző jelszavakat.!
Dr. HorváthZsolt - IT biztonsági tanácsok
15
A nem kívánt beavatkozás kockázatainak csökkentése 8. Használjunk vírusölő programokat!
2007
Védekezés a különböző kártékony kódok (vírusok, férgek, kémprogramok, trójaiak, keyloggerek, rootkitek, stb.) ellen. Minden gépen legalább egy vírusölő és legalább egy kémprogram-irtó program fusson állandóan. Folyamatosan frissülő vírusadatbázis.
Dr. HorváthZsolt - IT biztonsági tanácsok
16
A nem kívánt beavatkozás kockázatainak csökkentése 9. Kapukat lezárni!
2007
Az interneten és külső kapcsolatokon megnyitott kapukat célszerű lezárni, és a rajtuk átmenő adatforgalmat ellenőrzés alatt tartani. Tűzfalak használata, paraméterezése és működtetése. (hardveres és / vagy szoftveres)
Dr. HorváthZsolt - IT biztonsági tanácsok
17
A nem kívánt beavatkozás kockázatainak csökkentése 10. Titkosítsuk a bizalmas levelezést!
2007
A bizalmas információk e-mail-en keresztül történő küldése során azt nem tudjuk megakadályozni, hogy mások ne láthassák leveleinket. Azt viszont megakadályozhatjuk, hogy ne tudják elolvasni őket. Kriptográfia (titkosító algoritmusok, kódolókdekódolók, digitális aláírás, stb.) alkalmazása.
Dr. HorváthZsolt - IT biztonsági tanácsok
18
A nem kívánt beavatkozás kockázatainak csökkentése 11. Növeljük a tudatosságot!
2007
Fontos, hogy munkatársaink tisztában legyenek a veszélyekkel, és tudatosan védekezzenek ellenük! Belső védelmi szabályok (pl. biztonsági házirend, információbiztonsági szabályzat, …) kialakítása, oktatása, betartása és ellenőrzése. Védekezés a „social engineering” ellen is. Belső oktatások, tréningek, tudatosító programok jelentősége!
Dr. HorváthZsolt - IT biztonsági tanácsok
19
Köszönöm megtisztelő figyelmüket!
2007
Dr. HorváthZsolt - IT biztonsági tanácsok
20
