Embed Size (px)
DESCRIPTION
02.11. A biztonság általános értelmezése. A biztonság nem termék , hanem egy kedvező állapot. A biztonság állapot , melynek megváltozása nem valószinű, de megváltozása nem is zárható ki. Pl: jogbiztonság, üzembiztonság, vagyonbiztonság, informatikai biztonság stb. - PowerPoint PPT Presentation
Citation preview
02.11.
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező
állapot.A biztonság állapot, melynek megváltozása nem valószinű, de megváltozása nem is zárható ki.Pl: jogbiztonság, üzembiztonság, vagyonbiztonság, informatikai biztonság stb.
A biztonságmenedzsment ennek a kedvező állapotak a fenntartására tett intézkedések összessége
Tudatosan vállalat kockázok
A biztonság menedzsment során használt fogalmak
Értékek, erőforrások Fenyegetés, fenyegetettség (állapot) Sebezhetőségek, gyengeségek,
veszélyforrások Ellenintézkedések Kompromisszumok Maradék kockázat
Mi az IT biztonság?
Az informatikai erőforrások biztonsága Informatikai erőforrások a COBIT3 szerint:
emberek alkalmazások berendezések technológia adat
Üzleti követelmény
Az IT biztonság értelmezése 1. Informatikai biztonság elemei:
Bizalmaság (Confidentiality): azt jelenti, hogy valamit csak korlátozott számú kevesek ismerhetnek.
Sértetlenség (Integrity): azt jelenti, hogy valami az eredeti állapotnak megfelel, teljes.
Rendelkezésreállás (Availability): a rendszer olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (funkcionalitás), a meghatározott helyen és időben (elérhetőség).
Az IT biztonság értelmezése 2.
Informatikai erőforrások biztonsága: Hitelesség (Authenticity): az információ
forrása az, amit megjelölnek és tartalma eredeti.
Letagadhatatlanság (Non-repuditation): hiteles információ (bizonyíték) egy cselekvéssel kapcsolatban.
Védekezési területek
Fizikai védelem Logikai védelem Adminisztratív védelem
Intézkedési formák
Preventív Detektív Korrektív
Védekezési alapfogalmak
„Crystal-box” elv
Egy megoldás nem azért biztonságos, mert nem látható át, hanem mert megfelelõen van megtervezve, megcsinálva.
„Minimal privilage”
Mindenki csak ahoz férjen hozzá, amihez szükséges. „Leggyengébb láncszem”
A teljes rendszer erőssége a leggyengébb láncszem erősségétől függ
Üzleti folyamatok
Az IT biztonsággal kapcsolatos irányítási folyamatok Az IT biztonságirányítás Az IT kockázatmenedzsment Az IT biztonsági program menedzsment Az IT biztonság menedzsment A válaszmenedzsment
A biztonságmenedzsment öt kérdése(Bruce Schneier)Milyen értéket védünk?Milyen fenyegetések veszélyeztetik az erőforrásainkat?Hogyan csökkentik az ellenintézkedések a kockázatokat?Milyen új kockázatokat okoz a ellenintézkedés?Milyen költségeket és kompromisszumokat jelentenek az ellenintézkedések.
Mit védünk, mennyiért?
Védekezés csak annyit ér meg, mint maximum a védendõ érték. (Kockázattal súlyozott érték!)
Attack-tree:
Ajánlott irodalom
www.securityfocus.com BUGTRAQ VULNDEV
www.schneier.com http://www.schneier.com/paper-attacktrees-ddj-ft.html
www.ranum.com
Új szorgalmi feladat
Cél: vizsga védelme lehetséges támadásokkal szemben
Módszer: attack tree Részletek: költségek, valószínûség, speciális
igények, stb. Lehetõségek: bármi ami az eszedbe jut Idõ: pénz
Emlékeztető!
Jövő héten (02.18.) az előadás elmarad :(
