Óbudai Egyetem Neumann János Informatikai Kar
Tóth Béla 2015.
Név: Tóth Béla Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma Főállásban: Pénzügyi szektor IT Infrastruktúra és Kiszervezett Szolgáltatások Osztályvezető ING Bank N.V. Magyarországi Fióktelepe Elérhetőségek: E-mail:
[email protected] Személyesen: Minden péntek délután ÓE-NIK 2
Két hetente előadások a F.02 teremben. (Alkalmanként 2x45 perc)
Másik heteken két csoportban laborgyakorlat az 1.19 laborban. (Alkalmanként 2x45 perc)
Részvétel a Laborgyakorlatokon kötelező. Az elméleti előadásokon nagyon ajánlott. Pozitívabb hozzáállás = pozitívabb értékelés
Egy-egy zárthelyi dolgozat mindkét anyagból a 13. héten (május 8).
Pótlásra csak az egyik dolgozatból van lehetőség! Ennek időpontja a 14. héten lesz.
3
Törvényi előírások, szabályozások
Adatok, információ védelme
Szükség van módszertanra
Amit meg is kell valósítani
De milyen eszközökkel és milyen módokon lehetséges a megvalósítás?
4
Néhány példa nemzetközi törvényekre: • NATO Security Policy, [C-M(2002)49]
• Personnel Security Directive, [NATO AC/35-D/2000]
• Physical Security Directive, [NATO AC/35-D/2001] • EU Council’s Security Regulations, [2001/264/EC]
• Sarbanes – Oxley (SOX) (USA törvény, de világszerte használt, EU: Financial Services Action Plan) • BASEL-II, Statement on Auditing Standards (SAS) 70 , International Auditing and Assurance Standards Board (IAASB), HIPAA
5
Magyar törvények: • Adatvédelmi törvény (Avtv): a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény. • 1999. évi LXXVI. törvény a szerzői jogról • 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt
6
Példa iparági törvényre - pénzintézetnél: • 1996. évi CXII. / "Hpt. 13. §" a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek módosításai, pl. 2004. évi XXII. tv. • 2013. évi CCXXXVII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról
7
ITGI - IT Governance Institute ISACA - Information Systems Audit and Control Association ISO / IEC - International Organization for Standardization / International Electrotechnical Commission CERT - Computer Emergency Response Team TIA – Telecommunications Industry Association PSZÁF - Pénzügyi Szervezetek Állami Felügyelete 8
COBIT - Control Objectives for Information Technology + Val IT (Value IT framework for IT-enabled business change and innovation) + Risk IT (Framework for identify, govern and effectively manage IT risk) szabványcsoport CRM - CISA Review Technical Information Manual ISO 27002 International Standard ISO/IEC 17799 Information technology — Security techniques — Code of practice for information security management Reference number: ISO/IEC 27002:2005(E) ISO 27001 International Standard ISO/IEC 27001 Information technology - Security techniques - Information security management systems – Requirements Ref. number: ISO/IEC 27001:2005 (E) ISO/IEC 15408 Information technology - Security techniques Evaluation criteria for IT security (Common Criteria) CERT/CC ITIL Information Technology Infrastructure Library – Iparági legjobb gyakorlatokat összefogó módszertan TIA-924 Data Center Standards Overview Magyar Szabvány MSZ ISO/IEC 12207:2000
9
Az információ megfelelőségének kritériumai • Bizalmasság – Confidentiality • Sértetlenség – Integrity • Rendelkezésre állás – Availability
A szakirodalomban gyakran nevezik ezt a hármast az angol elnevezések után CIA követelménynek.
Ezeken kívül még két argumentumot érdemes megvizsgálni az ajánlások alapján: • Funkcionalitás – Functionality • Dokumentáció – Documentation
10
A biztonságos környezet kialakításához elengedhetetlen a tervezés. • Fizikai tervezés
• Logikai tervezés • Üzlet által definiált és elfogadott információ besorolási kategóriák • BIA – Business Impact Assessment
• Szükséges és elégséges védelem
11
Fizikai tervezés • Fizikai védelem
• Hozzáférés védelem • Beléptető rendszerek Chipkártyás és biometrikus azonosítás
• Redundancia
• Áramellátás • Hálózati ellátás
• DTAP architektúra
• Külön rendszer a fejlesztési életciklus elemeihez
12
Logikai tervezés • PKI infrastruktúra • Magas rendelkezésre állás • Folyamatos felügyeleti lehetőségek
13
Frissítések telepítése
Operációs rendszer megerősítése
Jogosultság kezelés
Funkcionális szeparáció
14
Nem csak a szerverek védelme fontos, hanem a végpontoké is. • Vírusok és kémprogramok elleni védelem • Tűzfal és behatolás védelem • Eszközök és alkalmazások központi felügyelete
15
Kutatásokat végezhetünk: • A szabványokban és módszertanokban • A szakirodalomban • A cég meglévő belső szabályzatai között • És természetesen az interneten
16
Az informatikai infrastruktúra felügyelete a biztonságos kialakítással kezdődik. Tökéletes biztonság elérése lehetetlen, mégis a lehető legbiztonságosabbra kell törekedni. Ehhez rendelkezésre állnak eszközök, melyek tovább fejlődnek és újabbak is jelennek meg válaszul az új fenyegetések feltűnésére.
17