Szolgáltatásaink S og s az ITBT-ben be
Antidotum 2010 IT Biztonságtechnikai i á i i konferencia f i , 2010. 2010 feb. f 24
TMSI Kft
Tőzsér Zoltán CISA, MCP, CSM
[email protected] @
Á ki ő Áttekintő • A kö környezett • Saját j szolgáltatásaink g • Néhány részlet, ötlet
A törvények ö é k • • • • •
„Adatvédelem” – 85 találat „Adatbiztonság” – 20 találat „Adatkezelés” – 82 találat „Információbiztonság Információbiztonság” – 19 találat Néhány „népszerűbb” példa: – 1992. évi LXIII. trv. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról – 2008. évi XLVIII. trv. A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (megj: e-mail!) – 1995. 199 évi é i LXV. trv. Az A államtitokról á i ó és é a szolgálati á i titokról i ó – 2004. évi CXL. trv. A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól – 2003. 2003 évi é i C. C trv. t A Az elektronikus l kt ik hírközlésről hí kö lé ől – 2001. évi CVIII. trv. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
•
•
BTK
300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. – (2) Aki • a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, tesz • b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. – (3) Aki jogtalan haszonszerzés végett • a) a számítástechnikai rendszerbe adatot bevisz, az abban tárolt, feldolgozott, kezelt vagy továbbított adatot megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy • b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését akadályozza, • és ezzel kárt okoz, bűntettet követ el, és három évig terjedő szabadságvesztéssel büntetendő. – (4) A (3) bekezdésben meghatározott bűncselekmény büntetése • a) egy évtől öt évig terjedő szabadságvesztés, ha a bűncselekmény jelentős kárt okoz, • b)) két évtől nyolc y évigg terjedő j szabadságvesztés, g , ha a bűncselekményy különösen nagy gy kárt okoz,, • c) öt évtől tíz évig terjedő szabadságvesztés, ha a bűncselekmény különösen jelentős kárt okoz. 138/A. § ... c) jelentős, ha kétmillió forintot meghalad, de ötvenmillió forintot nem halad meg, – d) különösen nagy, ha ötvenmillió forintot meghalad, de ötszázmillió forintot nem halad meg, – e) különösen jelentős, ha ötszázmillió forintot meghalad.
167. § Aki mást méltányolható okból származó erős felindulásban megöl, bűntettet követ el, és két évtől nyolc évig terjedő szabadságvesztéssel büntetendő
S ját szolgáltatásaink Saját l ált tá i k • • • • • • •
Információbiztonsági politika, stratégia kialakítása Információbiztonsági Szabályzat készítése Adat édelmi és Adatbiztonsági Adatvédelmi Adatbi tonsági Szabályzat S abál at készítése kés ítése Informatikai katasztrófa elhárítási terv készítése (DRP) Üzlet Folytonossági y g Terv készítése ((BCP)) Információbiztonsági kockázatfelmérés, -elemzés és –értékelés (RA) Információbiztonsági rendszer kialakítása és megfelelőség értékelésre f lké í é felkészítés • Biztonsági rendszer működési tanácsadás • Biztonsági követelmények meghatározása és ezek beépítése az információs rendszerek, infrastruktúra fejlesztésébe
BCP DRP BCP,
K ká Kockázat Kockázat = Veszély x Valószínűség
Elké lh ő (é Elképzelhető (ésszerű?) ű?) kkockázatok ká k • • • • • • • • •
Elemi kár (tűz, árvíz, csőtörés, villámcsapás, ...) Közszolgáltatás kiesése (víz, villany, telekomunikáció,...) Hardverhiba (szerver, hálózati elemek,...) Betörés Házkutatás (rendőrségi, pl. BSA „felkérésére”) Rosszindulatú alkalmazott Adatszivárgás Hack, deface, stb. Egyéb emberi tényezők...
Cél k Célok • Minimalizálja a katasztrófa pénzügyi, jogi, • • • • •
szabályozási kitettségét Egészségi és életvédelmi Védi a szervezet értékeit Biztosítja az alkalmazottak felkészülését Minimalizálja a katasztrófa hatását Csökkenti a kiesés valószínűségét!
Kérdések • • • • • • • •
Mire terjedjen ki? Mekkora az informatikától való függőség, kitettség? Saját IT eszközök saját helyen, vagy külső szolgáltató eszköze? Meddig tudnak működni az informatikai eszközök nélkül? A szervezet mely részeit érinti és milyen mértékben? Milyen y adatszolgáltatási g kötelezettségek g vannak? Mekkora a külső függőség az Önök informatikai rendszerétől? Állampolgári-céges-intézményi kapcsolatok, kapcsolódások amelyeket gy kiesés érinthet egy • Forintosítani! – – – –
A kieső időt A keletkezett kárt Az újraindítás költségeit (HW, SW, adatok visszaállítása, munka) Presztízsveszteség, személyi hatások, konzekvenciák
M lé ő alapok Meglévő l k • • • • • •
Szervezeti-működési szabályzat Informatikai szabályzat Tű édelmi terv Tűzvédelmi ter Menekülési útvonal, kiürítési terv Elérhetőségek, g , belső „telefonkönyv” „ y Informatikai dokumentációk – Beállítások – Naplózások – Mentési-visszatöltési terv • Krízis-management, Krízis management kommunikációs szabályok • ...
Tartalom • Alapelvek, stratégiák, keretek • A különleges helyezeteket kezelő csapat(ok) meghatározása • Szolgálatási szintek meghatározása
•
• • • • • •
– Belső/külső – Szükséges reagálási idők, Működési szintek meghatározása – Kritikus – Csökkentett Üzleti folyamatok kategorizálása (tevékenység, tartalma, leírása, csatornái,...) Katasztrófa f kezelése k l A rendeltetésszerű működés visszaállítása A katasztrófaterv oktatása A katasztrófaterv tesztelése A katasztrófaterv karbantartása
E őf á k Erőforrások • Emberi – Külső – Belső
• • • •
Anyagi Technikai Építmények, helységek Függőségek
K Kommunikáció iká ió • • • •
Külső (PR) Belső (technikai lehetőségek, lehetőségek alternatívák) Adatszolgáltatási kötelezettség Állandóan aktuális elérhetőségi lista! – On-line On line elérhetősége elérhetősége, – Papíralapú elérhetősége – Felelőse
Té i Tréning • Az alapvető, kritikus személyzet – – – – –
Elérhetősége Létszáma Ké Képzettsége é Gyakorlata, rutinja Stressztűrő képessége
Al Alternatívák í ák • Könnyen elérhető tartalékok: – Kritikus IT eszközök (szerverek (szerverek, nyomtató nyomtató, hálózati eszközök, stb.) – Helyszín (épület, (épület helység) – Kommunikációs csatorna (internet elérés!) – Infrastruktúra (áram, víz, fűtés, stb.) – Szakemberek
Kérdések ? Tőzsér Zoltán
[email protected] Tel.: (+36)-1-484-0045 Fax.: (+36)-1-267-0964
