Informatikai biztonsági ellenőrzés
{
- az ellenőrzés részletes feladatai
Budai László IT Biztonságtechnikai üzletágvezető
Informatikai biztonsági ellenőrzés
{
- Bemutatkozás
www.nador.hu I Tel.: + 36 1 470-5000 I
[email protected]
Nádor Rendszerház Kft.
Alapítás: 1992 Magyar tulajdonosok Alkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd Ft
Forgalomi adatok 1993-2013 7000 6000 5000 4000 3000 2000 1000 0
Forgalom MFt
1993
1997
2001
2013
Nádor Rendszerház Kft. - üzletágak
IT eszközök
IT szolgáltatások
IT biztonság
Közbeszerzés
Szoftverfejlesztés
Vonalkód technika és RFID
Távközlés
Irodatechnika
Nádor Rendszerház Kft. - minősítések
MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer
MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer
MSZ EN ISO 14001:2009
Környezetirányítási rendszer
NATO Minősített Beszállító cím
Nádor Rendszerház Kft. – IT biztonság
Szolgáltatások
Audit Kockázatelemzés Szabályzatok és IBIR kialakítás ITIL v3 bevezetés Bevezetés és oktatás Ethical Hacking Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server)
Biztonsági hardening és monitoring Spam szűrő szolgáltatás IT biztonsági szakértői szolgáltatások
Megoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és kiértékelése Tűzfalak és behatolás jelző megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó megoldások Tempest eszközök Fájl szerverek, virtuális gépek védelme Hozzáférés kezelés / felügyelet
Informatikai biztonsági ellenőrzés
{
Vizsgálatok
www.nador.hu I Tel.: + 36 1 470-5000 I
[email protected]
Informatikai biztonsági ellenőrzés előkészítés
Ellenőrzés előkészítése
A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás)
Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet)
Dokumentációk bekérése
Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) Interjúkra, vizsgálatra való felkészülés
Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatása
Interjúk lefolytatása
Időpontok egyeztetése
Kérdőív alapján, Excel táblázat
Vizsgálatok lefolytatása
Szabályzatok vizsgálata
Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok) Logok vizsgálata
Adathozzáférések vizsgálata
Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatok
Informatikai Biztonsági Politika Informatikai Biztonsági Stratégia Informatikai Biztonsági Szabályzat Üzemeltetési Szabályzat Felhasználói Szabályzat Vírusvédelmi szabályzat Mentés és Archiválási Szabályzat BCP/DRP Szabályzat …..és amit még a szervezet mérete, folyamatai indokolnak (Kockázatkezelési Szabályzat, Hozzáférési Szabályzat, Adatvédelmi Szabályzat, stb.) Megfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelés
Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok
Web portálok vizsgálata (pl: Acunetics, Rapid7) Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) Blackbox Greybox Whitebox Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) – frissítések telepítésének ellenőrzése,
Adatbázis vizsgálatok, scriptek
WiFi és VPN vizsgálatok
Alkalmazás vizsgálatok
Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)
Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok Általánosságban:
Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) Reakció vizsgálata (idő, felkészültség, riasztási rendszer) Szoftver jogtisztaság Informatikával előre egyeztetett időpontban, meghatalmazással Kiemelt felhasználói jogosultság Rendszerösszeomlás elkerülése Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása Fejlesztés esetén tesztadatok (nem az éles adatokkal)
Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok
Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek Merevlemezen tárolt adatok felderítése
Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon – HASH!)
A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunk
Informatikai biztonsági ellenőrzés – Jelentéskésztés
Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer
A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra)
Kérdőív táblázat csatolása
Sérülékenységi vizsgálat során keletkezett riportok csatolása
Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók
Informatikai biztonsági ellenőrzés – Vizsgálatok ismétlése
Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)
A vizsgálat megismétlését is célszerű elvégezni. Delta riport.
Információbiztonság a közigazgatásban
{
2013. évi L. Törvény (Ibtv.)
www.nador.hu I Tel.: + 36 1 470-5000 I
[email protected]
2013. évi L. törvény (Ibtv.) - előzmények
1992 – Adatvédelmi törvény (1992. évi LXII. tv.) 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 – ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 – KIB 25 (IBIR) 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) 2012 – 2012. évi CLXVI. Törvény …….és a növekvő kiberfenyegetettség
2013. évi L. törvény – áttekintés
Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) „A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”
Hatályba lépett: 2013. július 01.
2013. évi L. törvény – áttekintés
Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.) Ellenőrzési/felügyeleti jog Információbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezető IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: 2013. augusztus 31. IBSZ (2013. szept.28. -> 2014. febr. 04.) Kockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.) Kiegészítések:
26/2013 KIM rendelet 73/2013 NFM rendelet 77/2013 NFM rendelet 233/2013 Korm. rendelet 301/2013 Korm. rendelet
Köszönöm a figyelmet
{
Kérdések - válaszok
Budai László IT Biztonságtechnikai üzletágvezető Telefon: + 36 – 1 470-5038 Mobil: + 36 – 20 – 483-9237 Email:
[email protected]
