Számítástechnikai audit emlékeztető összefoglalás Dr. Kondorosi Károly Dr. Molnár Imre
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/2
Az audit igénye • Biztonsági problémák hatása • Kollektív felelősség • Megoldás: Audit – Átvilágítás és felmérés – Szabályzatok, ajánlások és előírások teljesülésének mértékében – Külső és Belső – Felmérő-javasló és Ellenőrző-hitelesítő – Legfelső vezetői támogatással Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/3
1
Szabályzatok, ajánlások • Nincs egységes szabvány (még) • Tapasztalatok gyűjteménye • 90-es évek termékei – CC (93 ... 96) – COBIT (96, 98, 2000,...) – BS 7799 • -1 (95, 98, 99) (ISO 2000) • -2 (99, 2002) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/4
Common Criteria • CC – Minden további ajánlás alapja – Műszaki szemléletű (vs. Üzleti szemléletű)
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/5
CC története Kanada 1983
USA
Németország
DTIEC
1989 Rainbow Series
1991
1993
Anglia
Franciaország
TCSEC ZSIEC
SCSSI
ITSEC
CTCPEC
1996
Dr. Molnár Imre
FC
Common Criteria
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/6
2
CC - modell • IT rendszer biztonságát veszélyeztető fenyegetettségek • + ezek kivédésére szánt biztonsági funkciók • = Struktúrális összegzés: Protection Profile, PP • 3 célcsoport: • fejlesztők: - PP alapján termékspecifikus Biztonsági Rendszerterv készül • felhasználók, - termékválasztást segíti • értékelők (auditorok): Common Evaluation Criteria
– (vs. COBIT: vezetők, felhasználók, auditorok) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/7
CC – modell • Nem része a CC-nek: • (megoldottnak tekintett) – Környezet biztonsági kérdések • elhelyezés, beléptetés, tűzvédelem, stb.
– Szervezet biztonsági kérdések • jogosultságok, feladatkörök összeférhetősége, stb.
– Jogi és adminisztratív kérdések – Spec.biztonsági mechanizmusok (pl. kriptográfiai rendszerek) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/8
CC – biztonsági koncepció Tulajdonos
Előír
Értékeli Minimalizálni akarja
Ellenintézkedések
Csökkentik Befolyásolják
Tud róla
Csökkenthető
Sebezhetőségek
Veszélyforrások Eredményeznek Okoznak
Veszélyek
Vezetnek
Kockázat
Növelik
Érinti Érintik
Vagyontárgyak
Károsíthatják
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/9
3
CC – értékelési koncepció Garancia-biztosítási technikák Előállít
Értékelés
Biztosítja
Tulajdonos Igényli
Tanúskodik
Garancia
Bizalom, bizonyosság Miszerint
Ellenintézkedések Minimalizálják
Kockázat Érinti
Dr. Molnár Imre
Vagyontárgyak
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/10
CC – garancia szintek 1. 2. 3. 4.
szint: funkcionálisan tesztelt szint: strukturálisan tesztelt szint: módszeresen tesztelt és ellenőrzött szint: tervszerűen tervezett, tesztelt és áttekintett 5. szint: félformálisan tervezett és tesztelt 6. szint: félformálisan igazoltan tervezett és tesztelt 7. szint: formálisan igazolt és tesztelt Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/11
COBIT • Control Objectives for Information and Related Technology • Ajánlás: • Information Systems Audit and Control Association (ISACA) – www.isaca.org
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/12
4
COBIT – – – – – – –
Üzleti szemléletű Komplex vizsgálat (teljes környezet) Alapjai: nagygépes pénzügyi rendszerek ISACA nemzetközi szervezet Szakértői hitelesítés: CISA minősítés Elterjedt: US, CDN, F, D, .... Magyarországon elsősorban a pénzügyi szektorban • (PSZÁF)
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/13
COBIT – a cél – Cél: • Üzleti célok megvalósításának biztosítása • Az IT eszközök felhasználásával
– Üzleti eredmények = Felső vezetői szemlélet – Felső vezetők = Enterprise Governance – Ennek mintájára – IT Governance • A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise’s goals by adding value while balancing risk versus return over IT and its processes.
– Az IT nem kiszolgálója, hanem része az üzleti stratégiának Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/14
COBIT – a modell
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/15
5
BS 7799 • 7799-1 Code of Practice = ISO 17799 – Nem ad implementációs javaslatot
• 7799-2 = Inf.Sec.Mnmt.Sys – 7799-2:99 - ISMS – build – 7799-2:02 - ISMS – operate and maintain
• BS 7799-2 megfelelőség = ISMS hitelesítése • Akkreditált szervezet hitelesíthet (pl. UKAS Group E) • Elterjedt: UK, NL, Asia/Pacific Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/16
Audit – szabványosítás • Nincs egységes szabvány: – ISO/IEC 17799 • US, CDN, F, D ellenzi • UK, NL, Asia-Pacific támogatja
– COBIT • Elterjedt az egész világon, elsősorban pénzintézeteknél
• Vannak azonban: – általános elvárások és normák Æ etika Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/17
Auditori etika • Etika: – – – – –
Bizalmas kezelés Lojalitás a megbízóhoz Előírások szerinti működés, továbbképzés Függetlenség Tárgyilagosság
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/18
6
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/19
Kockázat • A biztonsági rés Æ „megéri-e?” • Kockázati elemek: – – – – – –
Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk)
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/20
Kockázatelemzés • Teljes kockázat= hatás * valószínűség | minden fenyegetettségre
• Kvalitatív és Kvantitatív elemzés • Védelmi intézkedések (controls) – Megelőző – Felderítő – Javító Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/21
7
A kockázatelemzés lépései • 1.- vagyontárgyak és potenciális fenyegetettségük felmérése – hatásvizsgálat (assets, threats, impacts) • 2. Meglévő védelmi intézkedések vizsgálata (controls) • 3. További védelmi intézkedések bevezetésének lehetősége és hatása • 4. Intézkedések prioritás vizsgálata – Leghatékonyabb és leghatásosabb kiválasztása Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/22
A kockázatelemzés lépései • A kiválasztás szempontjai: – Bevezetési költség vs. Kockázat csökkentés értéke – A vezetőség által elfogadottnak tekintett kockázat szintje – A támogatott kockázat csökkentő módszer: • Valószínűség csökkentése, teljes kiküszöbölés, hatás csökkentés, biztosítás, stb. Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/23
A választott módszer • Számos kockázatelemzési módszer létezik • Nem a módszer a döntő • Fontosabb: – Kritikus szemlélet – Üzleti célú megközelítés – A lényeges kockázatok felismerése és értékelése – Az ésszerű ellenintézkedések kiválasztása Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/24
8
Védelmi intézkedések • A nem kívánatos események – elhárítása, vagy – észrevétele és azok hatásának kijavítása – Egyedi védelem és globális védelem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/25
Az informatikai biztonság célja Olyan állapot elérése, amelyben – a kockázatok – megvalósítható és értékarányos védelmi intézkedésekkel – elviselhető mértékűre csökkenthetők. Az üzleti célok elérhetőségének biztosítása a vezetőség által kívánt mértékben Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/26
Információ az üzleti célokért • Tehát: Információ – az üzleti célok szolgálatában Æ ezért üzleti elvárások vannak: – Minőségi követelmények – Felhasználási követelmények – Biztonsági követelmények
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/27
9
A Cobit üzleti szemlélete • Szokásos üzleti elvárások
• COBIT kritériumok
• Minőség
• • • • • • •
• Felhasználhatóság • Biztonság
Dr. Molnár Imre
Hatásosság (effectiveness) Hatékonyság (efficiency) Bizalmasság (confidentiality) Sértetlenség (integrity) Elérhetőség (availability) Megfelelőség (compliance) Valósághűség (reliability)
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/28
COBIT – a modell Erőforrások (adat, alkalmazás, technológia, környezet, emberek)
Üzleti események Dr. Molnár Imre
IT folyamatok
Üzleti kritériumok
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/29
COBIT - domains • Üzleti fogalmak és ne auditori zsargon – – – –
Tervezés és Szervezet Beszerzés és Használatbavétel Üzemeltetés és Szolgáltatások Ellenőrzés
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/30
10
Cobit család
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/31
Cobit család • Magas szintű = Framework – 4 domain – 34 folyamat
• Részletes = Detailed Control Objectives – 3-30 részletes intézkedés folyamatonként – összesen 318
• Audit = Audit Guidelines – ellenőrzési javaslatok a 34 folyamatra
• Vezetői segítség = Management Guidelines – Célok és mutatók a 34 folyamathoz Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/32
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/33
11
Vezetői garancia • Elfogadható biztosíték a vezetőknek, hogy az intézkedési célok megvalósultak • Hol vannak gyenge pontok? • Hogyan lehet a fennmaradó hibákat korrigálni? Æ válasz: audit Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/34
A kockázat alapú audit • A probléma megközelítési mód alapján: • Legelterjedtebb módszer – Mivel cél a védelmi intézkedések ellenőrzése – Kockázat oldaláról megközelítve egyszerűbb Æ költség-előny analízis végezhető Æ vezetői döntésekhez segítség Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/35
Az audit folyamata • • • • • •
Áttekintés és tervezés Az ellenintézkedések megismerése Megfelelőségi teszt (Compliance testing) Lényegi teszt (Substantive testing) Értékelés Beszámoló
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/36
12
A tesztek • ASSESSING COMPLIANCE – The audit steps to be performed to ensure that the control measures established are working as prescribed, consistently and continuously and to conclude on the appropriateness of the control environment.
COBIT
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/37
A tesztek • SUBSTANTIATING THE RISK – The audit steps to be performed to substantiate the risk of the control objective not being met by using analytical techniques and/or consulting alternative sources. The objective is to support the opinion and to ‘shock’ management into action. Auditors have to be creative in finding and presenting this often sensitive and confidential information.
COBIT Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/38
Az értékelés • Bizonyítékok gyűjtése – Beszélgetés, kérdőív, mintavétel, – Számítógépes támogatás
• A bizonyíték értékelése – materiality • Beszámoló és Exit Interview • CAR és Follow up
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/39
13
A bizonyítékok • Minden, ami meghatározza az audit eredményét. • Fontos: a bizonyíték megbízhatósága – Az információforrás függetlensége • Pl. Külső igazoló levél
– Az információforrás képesítése, gyakorlata • Nem mindegy, hogy ki mondja...
– Tárgyilagosság, egyértelműség • Ne kelljen magyarázni...
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/40
A mintavételezés • Ok: idő- és költség csökkentés • A vizsgálandó elemek részhalmaza alapján nyilatkozik a teljes halmaz jellemzőiről. • Típusai: – Statisztikai vagy Nem-statisztikai – Tulajdonság szerinti (attribute) vagy érték szerinti (variable)
• Van viszont: mintavételi kockázat – (sampling risk) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/41
A mintavételezés – A mintavétel folyamata: • A teszt céljának meghatározása • A tesztelendő teljes halmaz kijelölése • A mintavételezési módszer meghatározása – Attribute vs. Variable
• A minta méretének meghatározása • A mintavétel • Értékelés az audit céljai szerint
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/42
14
Az audit eredménye • Csak akkor hatásos, ha ezután történik valami. • Æ vezetőknek elő kell írni • Corrective Actions Report (CAR)
• Ennek folyamatát nyomon kell követni – Audit Follow Up
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/43
A folyamatos audit • Normál működés közben állandó ellenőrzés • Előny: azonnali intézkedés lehetősége • Banki rendszerekben gyakori
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/44
COBIT Audit Guidelines
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/45
15
COBIT Audit Guidelines • Audit cél – Folyamatok
• Kockázatok – Üzleti – Örökölt – „benne rejlő”
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/46
COBIT Audit Guidelines • Generic Audit Guidelines • • • •
Dr. Molnár Imre
Obtaining Understanding Evaluating the Controls Assessing Compliance Substantiating the Risk
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/47
COBIT Audit Guidelines Detailed Audit Guidelines „Van-e arra biztosíték, hogy az üzleti célok elérhetők?” 1. Nem tekintendő komplett audit tervnek 2. Nem foglalkozik CAAT-tal 3. Általános, ezért kiegészítendő az adott üzletágra jellemző sajátosságokkal „obtaining understanding” alapján Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/48
16
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/49
Az IT és a vállalat
• Az IT nem kiszolgálója, hanem része az üzleti stratégiának • Æ megfelelő stratégiai tervezés szükséges • Hosszú távú (3-5 év) és rövid távú (1 év) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/50
Az irányelvek és ügymenet
Cég irányelvek - Corporate Policy Szervezeti egységek saját irányelvei – top-down vagy bottom-up származtatás
Cég ügymenet - Procedures Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/51
17
Az emberi tényező • Mire figyeljen az auditor? • Az okok • Fontos: tehát: Az emberi környezet ellenőrzése.
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/52
A szervezet auditja • Átnézendő dokumentumok: – – – – – –
IT stratégia, költségvetés, Steering Committee jegyzőkönyvek HR irányelvek, ügymenet, alkalmazotti kézikönyv Szervezeti felépítés, függőségi viszonyok Munkaköri leírások ( Feladat-elkülönítés !! ) Működtetési eljárások – felelősség meghatározás – Rendszerfejlesztési és változtatási eljárások – Biztonsági irányelvek és védelmi intézkedések (bizalmas)
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/53
A szervezet auditja • Különösen fontos: – – – – – – – – –
PO4: Define the IT Organisation and Relationship – 15 PO6: Communicate Management Aims and Directions - 11 PO7: Manage Human Resources - 8 AI4: Develop and Maintain Procedures - 4 AI6: Manage Changes – 8 DS4: Ensure Continuous Services - 13 DS7: Educate and Train Users – 3 DS13: Manage Operations – 8 M1: Monitor the Processes - 4
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/54
18
A vezetői felelősség • „Meddig kell elmennünk és vajon az előnyök igazolják-e a költségeket?” • „Mi az intézkedések helyes mértéke, amely a cég üzleti céljait támogatja? • Válasz: COBIT Management Guidelines – – – –
Dr. Molnár Imre
Hogyan állunk a többiekhez képest? – Maturity model Mik a jó teljesítmény jellemzői? -- KPI Mi a fontos és mi kevésbé fontos? -- CSF Valóban teljesülnek-e a céljaink? -- KGI
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/55
A vezetői felelősség • „CSF’s are the most important things you need to do based on the choices made in the Maturity Model, whilst monitoring through KPIs whether you will likely reach the goals set by the KGIs” COBIT Management Guidelines
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/56
Érettségi szintek • 0 Non-Existent. Fel sem ismert problémák. • 1 Initial. Felismert problémák, de csak ad-hoc módszerek egyéni esetekben. A vezetés szervezetlen.
• 2 Repeatable. Különböző személyek által végzett, független folyamatok. A felelősség az egyéneké, és a cég függ az egyéntől.
• 3 Defined. Szabványosított, dokumentált és betanított, de nem
ellenőrzött és nem számonkért egyszerű folyamatok, melyek csak a meglévő szokásokat rögzítik.
• 4 Managed. Lehetséges a folyamatok ellenőrzése és intézkedések történnek eltérés esetén, de nincs automatizmus.
• 5 Optimised. Integrált és automatizált folyamatok a legjobbnak elismert módszer szerint. Gyors alkalmazkodás a változó igényekhez. Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/57
19
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/58
Az infrastruktúra auditja • • • •
Beszerzés Működtetés, karbantartás Kapacitás tervezés Változás kezelés
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/59
Infrastruktúra auditja • Stratégiai és taktikai tervezés – üzleti célok érdekében, lehetőségek és várt eredmények összhangja (PO2, PO3)
• Fejlesztés – költségkereten belül, elvárások szerint (PO5, AI1, AI2, AI3)
• Üzemeltetés és karbantartás – folyamatos rendelkezésre állás, technológiai szint (AI6, DS3, DS9, DS10, DS13) Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/60
20
Az infrastruktúra auditja Biztonság Ellenőrzés lehetősége (M1) szabályozott és dokumentált nyomon követhető
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/61
Az infrastruktúra auditja • Audit szempontból különösen fontos: – – – – – – –
Felügyelet nélküli működés Input és Output Service Level Erőforrás használat Változás kezelés Minőségbiztosítás Service Desk-Help desk
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/62
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/63
21
Adat = vagyontárgy • Information Asset • Fontosabb, mint az infrastruktúra (eszközök) • Information security Æ Information assurance • Integerity , Confidentality, Availability • sértetlenség, bizalmasság, rendelkezésre állás
• Nem minden adatot kell védeni, csak azt, amit értékesnek tartunk. Æ kockázatelemzés
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/64
Adatok védelme • Az adat vagy az adattárolón van, vagy mozog a tárolók között. • Vizsgálni kell: – A logikai hozzáférés biztonsága – tervezése, megvalósítása és felügyelete
– A hálózati infrastruktúra biztonsága – A fizikai hozzáférés biztonsága
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/65
Biztonsági irányelvek • Security Policy – Vezetői támogatás – Csak a szükségeshez való hozzáférés elve • „need to know, need to do”
– Törvényi előírások betartása – Tudatosítás • • • • Dr. Molnár Imre
Előírások írásbeli terjesztése – bizalmas részletek nélkül Oktatás, folyamatos tájékoztatás (hírlevél, stb.) Az előírások látható betartása Biztonsági demo, teszt, stb. Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/66
22
Hozzáférési jogok • Adat tulajdonos – megfelelő vezető Feladat elkülönítés jogok
• Biztonsági ügyintéző
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/67
Hozzáférési utak • • • • •
Operátori terminál Online munkahely Batch feldolgozás Dial-up Telecom hálózat (wan, internet, ..)
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/68
Tipikus fenyegetettség • • • • • • •
Adatmanipuláció bevitel során Adatmanipuláció kerekítéssel, csonkítással Alkalmazásba épített „hátsó ajtó” használata Trójai program Vírus, féreg, logikai bomba (zsarolás) Shut down, Denial of Service támadás Piggybacking, Wire-tapping, Asynchron támadás, Man-in-the-Middle
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/69
23
A valóság • FBI tanulmány, 2001: • • • • • •
A biztonsági problémák évente duplázódnak A támadások 64%-a pénzügyi veszteséget okozott A támadások 70%-a az Internetet használja .... 35% privát internet használat munkaidőben Az esetek 90%-ban érkezik legalább heti egy „spam” email • Az alkalmazottak 30%-a bizalmas adatot is küld ki emailen Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/70
Védelmi eszközök Hozzáférés
Azonosítás
Fenyegetettség
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/71
Védelmi eszközök • User Admin, SSO, PKI eszközök • Access Control eszközök – Identification – azonosítás – bejelentkező név – Authentication – hitelesítés – valóban ő az? • • • • Dr. Molnár Imre
Valami, amit csak ő tud: jelszó,.... Valami, ami csak nála van: kártya, token, ... Valami, ami csak rá jellemző: biometrics.. Vagy ezek kombinációja. Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/72
24
Védelmi eszközök • A jelszó biztonsága – – – – –
5-8 karakter (biztonság-elfelejthetőség) Kisbetű, nagybetű, szám Nem kitalálható Nem ismételhető Kötelező csere
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/73
Védelmi eszközök • • • • •
Tűzfal VPN Antivirus Behatolás védelem – Intrusion Detection Tartalomszűrés – Content Inspection
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/74
Védelmi eszközök - audit • Policy Compliance – Automatikus fenyegetettség vizsgálat
• Audit – Működés biztonsági nyomkövetése
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/75
25
Védelmi eszközök – PKI (küld)
DES
Titkos kód
Küldő Privat Azonosítás és letagadhatatlanság
CA
Fogadó Public Bizalmasság
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/76
Védelmi eszközök – PKI (fogad)
? =
DES
Küldő titkos Fogadó privat Bizalmasság
CA
Küldő public Azonosítás és letagadhatatlanság
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/77
Hasznos intézkedések • Hozzáférési szintek meghatározása – Need to know, need to do
• • • •
Automatikus logoff Automatikus deaktiválás Hozzáférési minták elemzése – szokatlan? Adat minősítés (US National Institute of Standards and Technology): – – – –
Dr. Molnár Imre
Sensitive – érzékeny (pl. Jelszó, kódolási paraméterek,..) Confidential – bizalmas (forráskód, ...) Privat – személyes (ügyféladatok, ...) Public – nyilvános (web tartalom,...) Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/78
26
PC használat • A PC a legnagyobb veszélyforrás – Logikai védelem: jelszó, titkosítás, stb. – Fizikai védelem: lopásvédelem, ...
• Jó megoldás lehet a fizikai elhelyezés védelme is – ha lehetséges
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/79
Audit – Fontos tanulmányozni: • • • • • • • • •
Dr. Molnár Imre
Hozzáférési utak Irányelvek, eljárások és azok betartása Biztonság tudatossága Adat tulajdonviszonyok Hozzáférési log Azonosítási eljárás (jelszó, token,...) Jogosultság-megsértési jegyzőkönyvek és következmények Biztonsági kerülőutak lehetősége …. Stb.
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/80
Környezeti veszélyek – – – – – –
Víz, Tűz, Természeti katasztrófa Áramkimaradás Légkondicionálás hibája Betörés, szabotázs, bombariadó, ....
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/81
27
Az adat védelme - folyamatok • Legfontosabb folyamatok: – – – – – – –
PO2: Defining the Information Architecture DS4: Ensure Continuous Service DS5: Ensuring System Security DS7: Educate and Train Users DS12: Managing Facilities M1: Monitor the Process M2: Assess Internal Control Adequacy
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/82
Témakörök • • • • • • •
Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/83
Folyamatos üzem • Disaster Recovery • Business Continuity Planning – IT környezet – Személyzet és anyagok – Létesítmények és berendezések
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/84
28
Elhárítási terv • Stratégiai dokumentum • Külső helyszínen tárolandó – (pl. Döntéshozók lakása, stb.)
• Legfelső vezetés (üzleti vezetés) hatásköre
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/85
Terv részei • Emergency Directory (elérhetőség) – – – – – – – – –
Értesítendő személyek, döntéshozók Katasztrófakezelő team-vezetők Hw/sw szállítók Szolgáltatók Hálózat/telecom adminisztrátorok Off-site media tárolók Biztosítási ügyintézők Tartalék létesítmények gazdái Stb.
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/86
Terv részei • • • • • • • •
Szükséges eszközök, anyagok listája Feladatok és Felelősök Rendszerek fontossági rangsora A kritikus visszaállítási határidők Adatfeldolgozási összefüggések Feldolgozási prioritások Hálózati lehetőségek Biztosítási kérdések
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/87
29
Környezeti alternativák • Hot-site • • • •
Csak a személyzetre és éles adatokra van szükség Bérelhető – különböző lehetőségek Pl. Használható többlet erőforrásként is Általában max. néhány hétig használható
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/88
Környezeti alternativák • Warm site • Létesítmény, kapcsolatok, perifériák vannak • Drága eszközök (pl. Számítógép, programok) hiányoznak • Néhány nap/hét kell a beüzemeléshez
• Cold site • Csak alap infrastruktúra (pl. Épület, elektromos és kommunikációs kábelezés) • Jó néhány hét kell a beüzemeléshez. Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/89
Környezeti alternativák • Duplikált feldogozás • • • •
Dr. Molnár Imre
Ne legyen ugyanolyan katasztrófának kitéve Kompatibilitásra folyamatosan vigyázni kell Erőforrás tartalékot folyamatosan figyelni kell Rendszeresen tesztelni kell
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/90
30
Környezeti alternativák • Kölcsönösségi megállapodás • Hasonló környezetű cégek között • Különösen egyedi környezet esetén • Hátrányai: – A használati jog sokszor nem érvényesíthető – A konfiguráció változása problémát okoz – Kapacitás hiány léphet fel
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/91
Backup – Mentések elvégzése • • • •
Periodikusan A szükséges intervallumban Automatikus rendszerek előnyben !! Speciális támogatás (pl. Online, open-file,..)
– Mentések tárolása • • • • •
Dr. Molnár Imre
Off-site tárolás biztonsága (személy és természet) Pontos leltár (mozgásokról is) Ne legyen „reklámozva” Ne legyen ugyanannak a katasztrófának kitéve A media szállítása is biztosítandó !!
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/92
Backup • Nem csak adatok, hanem: – Alapszoftver, könyvtárak, stb. – Dokumentációk, kézikönyvek • • • • • Dr. Molnár Imre
Operating Procedures System and Program Documentation Special Procedures Input Source Documents, Output Documents Business Continutiy Plan Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/93
31
A teszt • Olyan időben, amikor nem okozhat zavart • Teszteli – A terv aktualitását és teljességét – A személyzet teljesítményét – Méri a backup környezet megfelelőségét
• Gyakorlatot ad és tudatosít
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/94
A terv karbantartása • Rendszeres felülvizsgálat – – – –
Pl. Szervezeti változások hatása Pl. Új alkalmazások hatása Pl. Üzleti stratégia változásának hatása Pl. A környezet (hw, sw, hálózat) változása
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/95
A BCP auditja • • • • •
A terv vizsgálata Korábbi végrehajtási tesztek eredménye Backup tárak vizsgálata Kulcs-emberek kikérdezése Alternatív feldolgozás lehetősége – Szerződések
• Biztosítási lefedettség vizsgálata Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/96
32
A BCP folyamatok • • • • • • • • • • • • •
PO1 – Define a Strategic IT Plan PO2 – Defining the Information Architecture PO3 – Determine the Technological Direction PO5 – Manage the IT Investments PO9 – Assess Risks PO10 – Managing Projects PO11 – Managing Quality AI1 – Identify Solutions AI2 – Acquire and Maintain Application Software AI4 – Develop and Maintain IT Procedures AI5 – Install and Accredit Systems AI6 – Manage Changes DS4 – Ensure Continuous Services
Dr. Molnár Imre
Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.
E1/97
Köszönöm
33