Katasztrófavédelem informatikai rendszere ZNEBK104102 2. rész Tartalom Védelmi rendszerek ............................................................................................................................................... 2 Az informatikai biztonság alapjai (IT biztonság) ...................................................................................................... 4 Az informatikai biztonság összetevői .................................................................................................................. 4 Az informatikai biztonság szabályozói ................................................................................................................ 5 Biztonsági értékelés ........................................................................................................................................... 6 Informatikai biztonság és a szervezet vezetése .................................................................................................. 6 Az informatikai biztonság megteremtése ........................................................................................................... 8 Biztonsági osztályok............................................................................................................................................. 10 Az IT fenyegetettség világa .................................................................................................................................. 12 Irodalom jegyzék ................................................................................................................................................. 16 honlapok: ........................................................................................................................................................ 16 Ellenőrző kérdések............................................................................................................................................... 17
Védelmi rendszerek Közös normarendszerek: pl. NATO, Európai Unió, ENSZ, Visegrádi Négyek, SEVESO irányelvek, Kiotó-i egyezmény, stb.) Korábban háborús fenyegetettségek katonai (egydimenziós biztonsági modell) Mára szervezett bűnözés, terroristák, irreguláris aktivisták, fanatikus ellenzékiek fenyegetése terrorizmus elleni, nukleáris fenyegetettség elleni, katasztrófák elleni, stb. (többdimenziós biztonsági modell) 2001. szeptember 11 A kölcsönös tájékoztatásra irányuló igény és kötelezettség feltételei Az információk rendezett és kompatibilis adatbázisokban történő tárolása és kezelése, a veszélyek-veszélyforrások minél teljesebb körű feltérképezése, a veszélyek lehetőség szerinti jelzése-előjelzése a kor technológia szintjén működő rendszerekkel, egymással kompatibilis infokommunikációs rendszerek alkalmazása.
A komplex katasztrófavédelem hármas tagozódású rendszere megelőzés védekezés rehabilitáció Katasztrófák (ill. katasztrófa jellegű események) következményeinek felszámolása jelenlévő erők-eszközök mozgatása, átcsoportosítása, tevékenységeik koordinálása, hatékony döntés-előkészítés korszerű műveletirányítás erőforrás-gazdálkodás (bevetés-irányítás) Napjainkban kiemelt igénye a veszély- és katasztrófahelyzetek kezelésének, felszámolásának gyors és hatékony irányítási rendszerének kiépítése és működtetése. Oka: környezetszennyezés természeti és civilizációs katasztrófák biológiai-vegyi és „kiber” terror Eszköze A modern Információ Technológiai (IT) infrastruktúrára épülő egységes tevékenységirányítási rendszer Lényegi eleme Az ágazatilag kialakult, különböző irányítás alatt álló védekezési rendszerek integrált működtetése. A jelző és riasztó infrastruktúrára épülő rendszereknek lehetővé kell tennie o A meglévő erőforrások optimális felhasználását o A reális kockázatvállalást biztosítania kell o a hatékony megelőzés és a tervszerű válaszintézkedések összhangját. Az informatikai infrastruktúrák a modern társadalmak általános infrastruktúrájának lényeges összetevőjévé váltak. 2
Kritikus infrastruktúrák Azok az infokommunikációs létesítmények, szolgáltatások és elemek, amelyek működésképtelenné válása vagy megsemmisülése jelentős hatással lenne az egészségre a biztonságra az állampolgárok gazdasági jólétére a közigazgatás hatékony működésére stb. Az infokommunikációs technológia nélkülözhetetlen sérülékeny (pl. Internet alapú támadások)
A katasztrófavédelem rendszere Tűzoltóságok ügyeletei Katasztrófavédelmi megyei igazgatóságok ügyeletei Veszélyhelyzet kezelési központok Speciális adatok minimálisan „bizalmas”, sok esetben állampolgári jogokat érintő, nem ritkán szolgálati titkok Telefonon elérhető egységes segélyhívást fogadó szolgálat közigazgatás közrend, közbiztonság egészségügy tűzoltási, műszaki mentési tevékenység a katasztrófa-védelem közszolgáltatás
3
Az informatikai biztonság alapjai (IT biztonság) Az informatikai biztonság fogalma A védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Az informatikai biztonság célja: A szervezet számára fontos és értékes információ folyamatos rendelkezésre állása a jogosultak számára A szervezet számára fontos és értékes információ illetéktelenek kezébe való elkerülése.
Az informatikai biztonság összetevői Kritikus nemzeti infrastruktúrákban alkalmazott informatikai rendszerek kormányzat kereskedelem szállítás energia kommunikáció Felkészülés a lehetséges információs támadásokra kutatás fejlesztés beszerzés képzett szakember képzett felhasználó Informatikai erőforrás menedzsment koncepciók (stratégiák) eljárások, módszerek hardver-szoftver
Az informatikai biztonság alapkövetelményei 1. rendelkezésre állás, elérhetőség (az arra jogosultak számára) 2. sértetlenség (sértethetetlenség) 3. 4. 5. 6.
bizalmas kezelés (minősítésnek megfelelő szintű) hitelesség zárt védelem: olyan védelem, amely az összes releváns fenyegetést figyelembe veszi teljes körű: a védelmi intézkedések a rendszer összes elemére kiterjednek
7. működőképesség, folytonosság: a védelem az időben változó körülmények és viszonyok ellenére is folyamatosan fennáll 8. kockázatokkal arányosság: egy kellően nagy intervallumban a védelem költségei arányosak a potenciális kárértékkel Szabályozás Informatikai rendszer tervezésre Informatikai rendszer bevezetésére Informatikai rendszer használatára Biztonsági intézkedések bevezetésére Biztonsági intézkedések betartatására (ellenőrzésére) (kockázatminimalizálás és egyenszilárdság)
4
Az informatikai biztonság szabályozói Nemzetközi szabályozók Hazai szabályozók A szervezetre vonatkozó szabályozók
Nemzetközi szabályozók Orange Book – TCSEC (Trusted Computer System Evaluation Criteria, Az USA Védelmi Minisztériumának informatikai biztonsági követelménygyűjteménye TCSEC csoportokra, azon belül osztályokra bontható. D csoport Minimális védelem. E csoportot a TCSEC hatástalannak, érdemtelennek tekinti az informatikai biztonság szempontjából. C csoport Szelektív és ellenőrzött védelem. o C1 osztály: korlátozott hozzáférés-védelem, a hozzáférési jogok megvonással szűkíthetőek o C2 osztály: nem szabályozott, de ellenőrzött hozzáférés-védelem, a hozzáférési jogok odaítélése egyedre/csoportra szabott B csoport Kötelező és ellenőrzött védelem. o B1 osztály: címkézett és kötelező hozzáférés-védelem, a hozzáférhető alanyokat és a hozzáférés tárgyait a hozzáférési mechanizmust szabályozó címkével látják el kötelező jelleggel o B2 osztály: strukturált hozzáférés védelem, az alanyok azonosítását és a hozzáférés ellenőrzését elkülönített referencia-monitorral végzik o B3 osztály: a védelmi területek elkülönülnek, a biztonsági felügyelő, operátor és a felhasználó biztonsági funkciói és jogai elkülönülnek egymástól, a biztonsági szempontból kritikus részek elválasztása már a rendszer tervezése során megtörténik A csoport Matematikailag bizonyítható előírások, specifikációk, melyek gyakorlati megvalósítása a nagyon nagymértékű ráfordítások miatt elenyésző mértékű. ITSEC - Information Technology Security Evaluation Criteria Az Európai Közösség által kiadott biztonsági ajánlás, mely kiindulási alapként a TCSEC-et tekintette. Az ITSEC az alábbiak leírását tartalmazza: megbízható informatikai rendszerek alapfunkciói, funkcionalitási (biztonsági) osztályok, védelmi mechanizmusok, minősítési kritériumok és minősítési fokozatok Alapfenyegetettségek, ami ellen az ITSEC hat a bizalmasság elvesztése, a sértetlenség elvesztése és a rendelkezésre állás elvesztése Alapfunkciói: 1. azonosítás (identifikáció) 2. hitelesítés (autentizálás) 3. jogosultság kiosztás (jogkezelés) 4. jogosultság ellenőrzés 5. bizonyíték biztosítás 5
6. újraindítási képesség 7. hibaáthidalás és a funkcionalitás biztosítása 8. átviteli biztonság Biztonsági osztályok D – minimális védelem C – korlátozott védelem B – megbízható védelem A – verifikált védelem Biztonsági szintek minősítési fokozatok Q0, Q1, Q2: olyan rendszerek, amelyek nem vagy csak kevés védelmet nyújtanak a külső támadások ellen, de a hibáktól védenek, Q3, Q4, Q5: olyan rendszerek, amelyek a jónak minősíthetőtől a kiválóig terjedő védelmet nyújtanak a támadások ellen, Q6, Q7: olyan védelemmel rendelkező rendszer, amely nem leküzdhetőnek minősíthető CTCPEC is the Canadian Trusted Computer Product Evaluation Criteria - FP Federal Criteria A TCSEC és az ITSEC egyesítése. Common Criteria for Information Technology Security Evaluation (CC) ISO szabványosítás http://www.commoncriteriaportal.org/
Hazai szabályozók Informatikai Tárcaközi Bizottság (ITB) kormányzati ajánlásai: 8. sz. Informatikai rendszerek biztonsági követelményei módszertani útmutató, http://www.itb.hu Célja: megismertetni a veszélyeket Informatikai Biztonsági Koncepció készítés (ITBK) alapjai kockázat elemzés védelmi intézkedések rendszertechnikai alapjai intézményi háttér kialakítása Az adatkezelésre vonatkozó szabályozók 1995. évi LXV. törvény az államtitokról és a szolgálati titokról 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1990. évi LXXXVI. törvény a tisztességtelen piaci magatartás tilalmáról 1991. évi LXIX. törvény a pénzintézetekről és a pénzintézeti tevékenységről (üzleti titok, Banktitok) 1990. évi XCI. törvény az adózás rendjéről (Adótitok) 1957. évi IV. törvény az államigazgatási eljárás általános szabályairól (szolgálati titok) stb., lásd : http://www.itb.hu/ajanlasok/a12/html/a12_10.htm A szervezetre vonatkozó szabályozók pl. honvédelmre NATO INFOSEC, COMPSEC, COMSEC
Biztonsági értékelés Informatikai biztonság és a szervezet vezetése Információ – erőforrás, a tevékenység eszköze és tárgya Anyagi folyamatok – informatikai eszközök Interoperabilitás (szabványos v. közös ajánlásoknak megfelelő információ hozzáférés biztosítása)
6
Szervezet vezetőjének felelőssége: Az IT biztonság megteremtése, terveztetés, szabályozás, korlátozás A feladat behatárolása érintetett folyamatok és szervezeti egységek költségtervek határidők A résztvevők kijelölése informatikai vezető specialisták külső szakértők A résztvevők motiválása a feladat fontossága, bizalmassága előzetes tájékoztatás, véleménykérés A feltételek biztosítása szellemi, anyagi, technikai erőforrások tervezése, biztosítása A feladat indítása projekt terv alapján) A feladat ellenőrzése beszámoltatás személyes részvétel Döntés a felmerülő alternatívák között Jóváhagyás Az intézkedések átvezetése
Helyzetfelmérés Kiterjed pl.: Szervezeti szintekre a feladat és a felelősség körök rögzítése az informatika részleg és a felhasználók közötti kommunikáció rögzítése Az informatika részleg humán erőforrás biztosítása feladat és felelősség körök rögzítése, dokumentálása Informatikai stratégia kidolgozása rendszergazdák, felhasználók képzése Az informatikai rendszer jogosultságok, hozzáférések naplózás tartalék rendszerek hibakezelés rendszer és felhasználói programok legalitása
Adatok tárolása bizalmas, minősített adatok tárolása, védelme, titkosítása Archiválás 7
szabályozása hardver és szoftver eszközeinek biztosítása dokumentálása, nyilvántartása „tesztelése” Informatikai veszélyhelyzet kezelése katasztrófa terv
Az informatikai biztonság megteremtése Biztonságpolitika A biztonság akkor kielégítő mértékű, ha a védelemre akkora összeget és oly módon fordítunk, hogy ezzel egyidejűleg a támadások kockázata (kárérték × bekövetkezési gyakoriság) az elviselhető szint alá süllyed.
Projektterv az informatikai biztonság megteremtésére előmunkálatok, a projekt kialakítása informatikai biztonsági koncepció kialakítása (IBK) a kezelt információk biztonságának igényszint meghatározása potenciális veszélyforrások feltárása kockázatok elemzése kockázat menedzselés (költség-haszon elelmzéssel) rendszerterv elkészítése (IBR) a rendszer megvalósítása o o o o
hardver/szoftver beszerzés eszközök telepítése szakállomány kiképzése alkalmazók betanítása
átállás az új rendszerre a rendszer használata o folyamatos naplózás o szúrópróba ellenőrzés utómunkálatok: jelentések esetleges módosítási javaslatok
Rendszertervezés módszertanok SSADM (Structured Systems Analysis and Design Method) Megvalósíthatósági elemzés Követelmény-meghatározás Adatfolyam-modellezés Logikai adatmodellezés Rendszerszervezési alternatívák kialakítása Funkciómeghatározás Relációs adatelemzés Specifikációs prototípus-készítés Egyed-esemény modellezés Rendszertechnikai alternatívák kialakítása IT - Sicherheitshandbuch. KBSt A védelmi igény meghatározása 8
fenyegetettség elemzés kockázat elemzés informatikai biztonsági koncepció készítése informatikai rendszer kiválasztása biztonsági szoftver tervezése, illesztése informatikai biztonsági szabályzat készítése informatikai biztonsági követelmények átvezetése más szabályzatokon a rendszer bevezetése, üzemeltetése az működési mechanizmusok és az előírások betartatásának ellenőrzése informatikai biztonsági rendszer felülvizsgálata módosítások informatikai biztonsági rendszerben
Egy informatikai rendszer alap fenyegetettségei a bizalmasság elvesztése, a sértetlenség elvesztése, a hitelesség elvesztése, a rendelkezésre állás elvesztése, a funkcionalitás elvesztése Információ védelem: a bizalmasság, a sértetlenség, a hitelesség védelme A megbízható működés: a rendelkezésre állás és a funkcionalitás biztosítását jelenti
Fenyegetettségek
Kár Anyagi, dologi, személyi károk Károk a szervezet, a politika és a társadalom területén Károk a törvények és előírások területén Károk a gazdaság területén Károk a tudomány területén
9
Biztonsági osztályok 0: jelentéktelen kár közvetlen anyagi kár: egy embernappal állítható helyre nincs bizalomvesztés, a probléma a szervezeti egységen belül marad testi épség jelentéktelen sérülése egy-két személynél nem védett adat bizalmassága vagy hitelessége sérül 1: csekély kár közvetlen anyagi kár egy emberhónappal állítható helyre társadalmi-politikai hatás: kínos helyzet a szervezeten belül könnyű személyi sérülés egy-két személynél hivatali, belső (intézményi) szabályozással védett adat bizalmassága vagy hitelessége sérül 2: Közepes kár (alap) közvetlen anyagi kár egy emberévvel állítható helyre társadalmi-politikai hatás: bizalomvesztés a tárca középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel több könnyű vagy egy-két súlyos személyi sérülés személyes adatok bizalmassága vagy hitelessége sérül egyéb jogszabállyal védett (pl. üzleti, orvosi) titok bizalmassága vagy hitelessége sérül 3: Nagy kár (fokozott) közvetlen anyagi kár 1-10 emberévvel állítható helyre társadalmi-politikai hatás: bizalomvesztés a tárca felső vezetésében, a középvezetésen belül személyi konzekvenciák több súlyos személyi sérülés vagy tömeges könnyű sérülés szolgálati titok bizalmassága vagy hitelessége sérül szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül banktitok, közepes értékű üzleti titok bizalmassága vagy hitelessége sérül 4: Kiemelkedően nagy kár (kiemelt) katonai szolgálati titok bizalmassága vagy hitelessége sérül közvetlen anyagi kár 10-100 emberévvel állítható helyre társadalmi-politikai hatás: súlyos bizalomvesztés, a tárca felső vezetésén belül személyi konzekvenciák egy-két személy halála vagy tömeges sérülések államtitok bizalmassága vagy hitelessége sérül nagy tömegű szenzitív személyes adat bizalmassága vagy hitelessége sérül nagy értékű üzleti titok bizalmassága vagy hitelessége sérül Katasztrofális kár közvetlen anyagi kár több mint 100 emberévvel állítható helyre társadalmi-politikai hatás: súlyos bizalomvesztés, a kormányon belül személyi konzekvenciák tömeges halálesetek különösen fontos (nagy jelentőségű) államtitok bizalmassága vagy hitelessége sérül
A védtelenség fokozatai Természetes védtelenség Potenciális védtelenség 10
Kihasználható védtelenség Nem kihasználható védtelenség Maradék védtelenség Természetes védtelenség Lehetővé teszi a visszaélést minimális felismeréssel képességgel képzettséggel eszközzel Potenciális védtelenség Létezése sejthető, de nem kezelt Kihasználható védtelenség Az adott környezetben kihasználható Nem kihasználható védtelenség Az adott környezetben sem kihasználható Maradék védtelenség Az adott környezetben nem kihasználható, de más környezetben igen
11
Az IT fenyegetettség világa
Potenciális „ellenség” Elégedetlen alkalmazott Konkurencia Jogosulatlan alkalmazott Hackers Bűnözők Szervezett bűnözés Terroristák Ügynökségek Természeti katasztrófák Lehetséges motivációk Hozzáférés minősített, érzékeny vagy védett adatokhoz Megsérteni, vagy megfigyelni valamely művelet tárgyát Megsemmisíteni valamely művelet tárgyát Pénzt, terméket vagy szolgáltatást lopni Hozzáférni –ingyen- valamely erőforráshoz Megbénítani valamit Alkalomszerű, nem kiszámítható motivációk Unalom Nem lehet felderíteni Revans Lehetséges támadások Lehallgatás Hálózati támadás Belső támadások HW/SW forgalmazás Fizikai behatolás Technológiai támadások Az informatikai rendszer elemeinek csoportosítása, azok gyenge pontjai és fenyegető tényezői 12
a környezeti infrastruktúra elemei, a hardver elemek, az adathordozók, a dokumentumok, a szoftver elemek, az adatok, a kommunikáció elemei, A rendszerelemekkel kapcsolatba kerülő személyek.
Kockázat elemzés A potenciális károk szervezett azonosítása, és ellenlépések foganatosítása a veszteségek mérséklésére, elkerülésére. A kockázat elemzés vizsgálja a biztonságpolitikai előírások folyamatos betartását, és folyamatosan fejleszti az előírásokat.
Biztonsági stratégia Védelmi célok meghatározása - törvényi környezet! Minimális követelmények meghatározása Információvédelem o az azonosítás és a hitelesítés folyamatának kialakítása o a hozzáférés rendszerének felépítése — jogosultság kiosztás o a hozzáférés-ellenőrzés rendszerének megvalósítása — jogosultság ellenőrzés, o a bizonyítékok rendszerének és folyamatának kialakítása Megbízható működés o a hiba áthidalás folyamatának kialakítása o az újraindítási képesség megvalósítása Biztonsági intézkedések megtervezése, katasztrófa-elhárítás Informatikai Biztonsági Szabályzat (IBSz)
IT biztonság = Hálózati biztonság hardver eszközök Útválasztási (routing) és kapcsolási (switching) technológia Spam & Virus Blocker Adaptív biztonsági készülékek Szoftver eszközök Az operációs rendszer megválasztása (LINUX – VISTA – XP – Windows 7 Legújabb frissítések és biztonsági szoftverek telepítése a rendszerre. Forgalomszűrés o Spam/Kémprogram/ eltávolító alkalmazás pl. detects and removes spyware. 4 fázisú procedura: Az email cím vizsgálata (White/Black List) IP cím vizsgálata (Real-time Blackhole List) vírusmentesség vizsgála tartalom vizsgálat (Bayes-féle szűrés) o vírusok Rezidens vírusok Közvetlenül fertőző vírusok:
13
Tűzfalak o Csomagszűrő tűzfalak o SOCKS tűzfalak o Proxy tűzfal o Dinamikus csomagszűrő tűzfal Behatolás érzékelés Felhasználó azonosító programok/rendszerek Adat és kommunikáció titkosítás Digitális aláírás: Az operációs rendszer és a víruskereső program frissítése Rendszerinformáció mentése Komplex hálózati biztonsági alkalmazások Belső és külső hálózati támadások ellen véd. Biztosítja minden kommunikáció bizalmas jellegét, bárhol és bármikor Ellenőrzi az információkhoz való hozzáférést azzal, hogy pontosan azonosítja a felhasználókat és rendszereiket. Megbízhatóbbá teszi a vállalatot Biztonsági technológiák előnye Az ügyfelek bizalma Mobilitás Fokozott termelékenység Csökkenő költségek
Törvényi környezet 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1998. évi VI. törvény "Egyezmény az egyének védelméről a személyes adatok gépi feldolgozása során” 1978. évi IV. törvény a Büntető Törvénykönyvről (Számítógépes csalás)
Fájdalmas pontok
Előírás Költség
Komplikált „A biztonság leggyengébb láncszeme, az ember” - „nem létezik olyan, hogy 100%-os biztonság!”
14
Alapfogalmak és kapcsolataik
Tanúsítás Certification Az informatikai rendszer biztonsági szolgáltatásainak és más védelmi mechanizmusainak átfogó, technikai és nem technikai szintű felülvizsgálata, az akkreditációs folyamat során, egyértelmű mérőszám meghatározása céljából, amely megmutatja, hogy a termék/implementált rendszer milyen mértékben fedi le a meghatározott biztonsági követelményeket. Akkreditáció Megfelelő kompetenciával rendelkező AUDITOR formális nyilatkozata, hogy a rendszer: Milyen biztonsági üzemmódban működik Milyen előre meghatározott védelmi mechanizmusokat használ A kimutatható védtelenségek esetén, egy jól definiált támadás hatására milyen ellenintézkedéseket foganatosít Milyenek az üzemeltetési feltételek Milyen hatással járnak más IT rendszerekkel történő összekapcsolások Mindezek elfogadható kockázati szinttel járnak-e (auditor felelősége) Megadja a vizsgálat időtartamát
15
Irodalom jegyzék SZERZŐ: Váncsa Julianna CÍM: Az informatikai biztonság alapjai KIADÓ: ZMNE jegyzet 2000 SZERZŐ: Csala – Csetényi – Tarlós CÍM: Informatika alapjai (3. rész) KIADÓ: Computerbooks, 2001 SZERZŐ: Muha Lajos - Bodlaki Ákos CÍM: Az informatikai biztonság KIADÓ: Pro-Sec, 2001 SZERZŐ: Bodlaki Ákos, Csikely Judit, Endrédi Gábor, Lajos Muha CÍM: Az informatikai biztonság kézikönyve KIADÓ: Verlag Dashöfer Ltd., 2000 SZERZŐ: Tatárka István CÍM: A katasztrófavédelem informatikai támogatásának megszervezése és eddigi eredményei. KIADÓ: Belügyi szemle, ISSN 1218-8956, 2004. (52. évf.), 7-8. sz., 162-171. p. SZERZŐ: Az Informatikai Tárcaközi Bizottság CÍM: Informatikai rendszerek biztonsági követelményei
honlapok: Az Informatikai Tárcaközi Bizottság ajánlásai: http://www.itb.hu Hálózati biztonság: http://internet.lap.hu SSADM strukturált rendszerelmezési és tervezési módszer kézikönyv: http://www.inf.u-szeged.hu/projectdirs/bohusoktat/regi/vallanyagok/SSADM.pdf Letölthető szabályzat és utasítás minták: http://www.docca.hu Vonatkozó jogszabályok: http://www.itb.hu/ajanlasok/a12/html/a12_10.htm Kempelen Farkas Digitális Tankönyvtár (KFDT): http://www.tankonyvtar.hu/main.php
16
Ellenőrző kérdések 1. Milyen fenyegetettségekkel szemben kellett védekezni a védelmi rendszereknek korábban illetve kell ma? 2. Sorolja fel védelmi rendszerek kiépítésének és működtetésének főbb okait és eszközeit! 3. Mit kell biztosítania egy jelző és riasztó infrastruktúrára épülő rendszernek? 4. Soroljon fel kritikus infrastruktúrákat! 5. Mit takar az informatikai biztonság fogalma, mi az informatikai biztonság célja? 6. Definiálja az informatikai biztonság alapkövetelményeit! 7. Sorolja fel az informatikai biztonság hazai és nemzetközi szabályozóit! 8. Milyen biztonsági osztályokat határoz meg az TCSEC (jellemezze ezeket)? 9. Milyen biztonsági osztályokat határoz meg az ITSEC (jellemezze ezeket)? 10. Mire terjed ki egy szervezet vezetőjének felelőssége az IT biztonság területén? 11. Mire terjed ki egy megalapozott helyzetfelmérés? 12. Mi a kielégítő mértékű biztonság (biztonságpolitika)? 13. Sorolja fel egy informatikai rendszer alap fenyegetettségeit 14. Soroljon fel példákat egy informatikai rendszer biztonságát veszélyeztető fenyegetésekre! 15. Sorolja fel és jellemezze a biztonsági osztályokat a kár mértéke szerint! 16. Milyen motivációból és mik (kik) lehetnek egy IT rendszer potenciális ellenségei? 17. Melyek az IT biztonság (kiemelten hálózati biztonság) hardver eszközei? 18. Melyek az IT biztonság szoftver eszközei?
17
