Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
AZITBIZTONSÁGALAPVETŐFOGALMAIÉSSZEMLÉLETEDr. Beinschróth József
2018.05.10.
30MBAdat és Információvédelmi Mesteriskola
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tartalom
• Informatika,informatikairendszer• Azinformatikaibiztonságfelvetései• AzITbiztonságjelentősége• Következmények:költségek,veszteségek• Ellentmondószempontokérvényesülése• Fogalmak• Azinformatikaibiztonságösszetevői• Azinformatikairendszerfőbbelemei
2018.05.10. 2
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Információbevitel
Információtovábbítás
Információtárolás
Információfeldolgozás
Információmegjelenítés
Az informatika alapvető fogalmai
2018.05.10. 3
• Azinformatikaatudományéstechnikaazonterülete,amelyazinformációkkeletkezésének,kezelésénekésfelhasználásánakelméletével,gyakorlatimegvalósításávaléseszközrendszerévelfoglalkozik.
Azinformatika,
mintszakterület
• Távközlésiinformatika• Könyvtáriinformatika• Gazdaságiinformatika• ….
Speciálisinformatikaiterületek
• Eszközök,programok,adatok,valamintaműködtetőszemélyzetinformációsfunkciók,tevékenységekmegvalósításáralétrehozottrendszere.
Informatikairendszer
Az informatikai rendszerek alapvető funkciói
Informatika, informatikai rendszer
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 4
Divatvagyténylegsúlypontikérés?
Csaktechnológiaikérdés?
Létezikegyáltalán?
Milyenkárokozásoklehetségesek?
Milyenfenyegetésekkelkell számolnunk?
Milyenvalószínűségekkelkövetkeznekbe?
Tudjuk-e,hogymitkockáztatunk?
Ismerjükgyengepontjainkat?
Mérhetőabiztonság? Mittehetünk?
Lehetséges-emindenre előrefelkészülni?
Léteznekiránymutatások?
Az informatikai biztonság nem csupán technológiai kérdés!
Az informatikai biztonság felvetései
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 5
Informatikairobbanás
•Ahardver-szoftvertechnológia fejlődése,Internet,hatalmasadatbázisok,e-business…)(Mooretörvény:aszámítástechnikaikapacitás18hónaponkéntmegduplázódik-igengyorsváltozás!!!)
•Agazdálkodószervezetekinformatikátólvalófüggőségemegnőtt
•Azinformatikaikockázatüzletikockázattávált
•Amegfelelő technológiaalkalmazásaésaszabályozásnemfeltétlenülkövetteakockázatnövekedését
•…
Informatikaibiztonságikultúra
•Abiztonsági tudatosság nemmegfelelő•Abiztonságikövetelményeknemelfogadása
•Aveszélyérzethiánya•Hamis biztonsági tudat,akellőszakértelem hiánya,hanyagkezelés
•Felügyelet nélkül hagyottgépek,nemmegfelelőjelszóhasználat
•Hordozható gépeken értékesadatok tárolása
•Megfelelő mentések hiánya•Bizalmas információttartalmazó gépet szervizbevisznek,kölcsön adnak
•…
Szándékosvisszaélések
•Információ gyűjtés•Ajánlatok adatainak eladása•Fizetési lista illetéktelenolvasása
•Adatmódosítás•Fizetés növelés,bankiátutalás módosítás
•Más nevében történőmanipuláció
•Levélküldés, rendelésfeladásmás nevében
•Továbbjelentkezés másnevében
•Informatikaihadviselés,fehér-gallérosbűnözés,terrorizmus
•…
Az informatikai biztonság jelentősége
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 6
AzITrendszerfolyamatosésrendeltetésszerűműködése,akedvező
állapotfenntartásaüzletiérdek!
Az informatikai biztonság felvetései
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 7
• Aszolgáltatásokban,aműködésben,amegbízhatóságban,a hírnévben,azüzletieredményben….
Veszteségek
• Aprevencióésareakcióisköltséget jelent,deaprevencióolcsóbbéskalkulálható.(„Tűzoltók:Atüzeketmártudjukoltani,mostmár arrakoncentrálunk, hogynelegyenektüzek.”)
Költségek
• Nagyobbbiztonság-nagyobb költség, deazösszefüggésnemlineáris.
• Létezhetoptimum:kielégítőbiztonságelfogadhatóköltségekmellett– átfogóvizsgálat,szakértőiközreműködés szükséges
Biztonság-költségösszefüggés
• AzITrendszertüzemeltetőnekcsakveszteségeilehetnek, ígycéljaezekminimalizálásalehet!
Játékelméletimegközelítés
Következmények: költségek, veszteségek
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 8
A védelmi hatékonyság és a költségek összefüggnek
védelmi hatékonyság
költség
100 %
optimális pont
maradékkockázat
Forrás: Horváth, Lukács, Tuzson, Vasvári: Informatikai biztonsági rendszerek
Következmények:költségek,veszteségek
Következmények: költségek, veszteségek
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 9
A védelmemre fordítható erőforrások limitáltak
pénz-eszközök
biztonság
Elméleti profit
Következmények:költségek,veszteségek
Veszteségek (valószínűsíthetők)
Költségek (számíthatók)
optimális pont
Következmények: költségek, veszteségek
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 10
Forrás: Horváth, Lukács, Tuzson, Vasvári: Informatikai biztonsági rendszerek
Következmények:költségek,veszteségek
Következmények: költségek, veszteségek
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola11
?Funkcionalitás/
kényelemBiztonság
Anyagi erőforrások
Ellentmondó szempontokérvényesülése
Ellentmondó szempontok érvényesülése
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 12
Biztonság
• Zavartalan,ártalmashatástólmenteskedvezőállapot,megváltozásanemkizárható,dekisvalószínűségű–Üzleti,működésikövetelmény!(Üzletikövetelmények:minőség,megbízhatóság…)
• Abiztonságdinamikusállapot(folyamat)!(Erodál,magátólleromlik.)
• Minélkisebbaváltozásvalószínűsége,annálnagyobbabiztonságésfordítva.
• Abiztonságnemteremthetőmegpusztánáruésszolgáltatásmegvásárlásával,hanemannakmindenesetbenaszervezetéletébebeépülőfolyamatnakkelllennie.
• „Abiztonságazaveszély,amitnemérzékelünk.”• Abiztonságsérülhet,azerőforrásokattámadásfenyegeti.
Biztonság
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 13
• Agazdaságivagymásszervezetműködéséhezszükséges,azüzletikövetelményeknekmegfelelőgazdaságifeltételek,folyamatosbiztosítása
Gazdaságibiztonság
• Azintézmény technikai biztonsági feltételeinek biztosításaÜzembiztonság
• Aszervezetvagyonánakmegóvása,védelmeVagyonbiztonság
• Azinformatikaierőforrásokbizalmassága,sértetlensége,rendelkezésreállásaminimálisan fenyegetett,azazakedvezőállapotmegváltozásánakvalószínűségeigenkicsi
Informatikaibiztonság
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 14
• Azatulajdonság,amelyarravonatkozik,hogyazinformációtcsakazarrajogosultakismerhessékmeg,illetverendelkezhessenekafelhasználásáról.
• Korlátozottkevesekszámáramegismerhető• Abizalmasságakkorsérül,hailletéktelenhozzáférésvalósulmeg:kémkedés,kíváncsiságstb.történik
1.Bizalmasság(Confidentiality)
• Azeredetiállapotnakmegfelel,fizikailagéslogikailagteljesésbizonyítottanvagybizonyíthatóanazelvártforrásbólszármazik
• Asértetlenségakkorsérül,hanemvalósadatokjelennekmeg,ugyanakkorazthisszük,hogyvalósak
2.Sértetlenség(Integrity)
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 15
• Azeredetirendeltetésnekmegfelelőszolgáltatásoknyújtása,meghatározotthelyenésidőben,megfelelőperformanciával
• Arendelkezésreállásakkorsérül,haadatok,szolgáltatásoknem,vagycsakkorlátozottanelérhetők
• Arendelkezésreállástgyakrannemcsaküzletikövetelmény,hanemjogszabályírjaelő:• Pl.3/2005IHMrendeletaszolgáltatókról:nyilvánosésminősítetthitelesítésszolgáltatórendelkezésreállásamin.:99,9%(8,76óra),egyszerremax.:3óra.
3.Rendelkezésreállás(Availability)
• Hitelesség- Authencity• Letagadhatatlanság- Nonrepudation• Elszámoltathatóság(Számonkérhetőség)- Auditability• Garancia- Assuarance
Továbbirelevánsfogalmak
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 16Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 17
• Avédelemegyolyantevékenység,illetveolyantevékenységeksorozata,amelyarrairányul,hogymegteremtse,folyamatosanszintentartsaésfejlessze,valamintellenőrizzeaztadinamikusállapotot,amitbiztonságnakneveznek.
• Avédelemrevonatkozókövetelmények:zárt (mindenfenyegetésre),teljeskörű (mindenrendszerelemre),folytonos(időben),akockázatokkalarányos.
Védelem
• Olyanvédelem,amelybentárgyazinformációill.azadat• Alapvetőenkétfeladatmegoldásárakoncentrál:• azinformációelérhetőségénekbiztosítása,elvesztésének(megsemmisülésének),sérülésénekmegakadályozása
• azinformációilletéktelenkézbekerülésénekmegakadályozása
Informatikaivédelem
• Tárgyanemcsakazelektronikusantároltinformáció,hanemazösszestöbbi is(pl.papíralapú,tudásstb.)
Információvédelem
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 18
• Olyantényező,amelynekhatásáraill.bekövetkezésekorazITrendszerbennemkívántállapotjönlétre,azITrendszerbiztonságasérül.(Személy,dolog, esemény,ötlet,amelyatámadáslehetőségétképeziazerőforrás(ok)ra.)
• Fenyegetések(külső tényezők),sérülékenységek (belsőtényezők)
• Pl.tűz,földrengés, hardvermeghibásodás,vírusfertőzés,hackertámadás…
Veszélyforrás(negatívhatás,fenyegetőtényező)
• Egyveszélyforrásbólkiinduló, azerőforrásokbizalmassága,sértetlenségeill.rendelkezésreállásaellenirányulófolyamat.Támadás
• Olyanállapot,amelybenazerőforrásokbizalmassága,sértetlensége,rendelkezésreállásasérülhet.Fenyegetettség
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 19
• Azinformatikaierőforrásoknakazatulajdonsága,hogyvannakgyengepontjaik,afenyegetésekreérzékenyek.(Azeszközökelpusztítás(rendelkezésreállás)ésmódosítás(sértetlenség),ill.egyeseszközök(rejtjelezőeszköz)felfedés(bizalmasság)érzékenyek,ahálózatikapcsolatokbehatolásill.felfedés(bizalmasság)érzékenyek,aplatformok,rendszerszoftverekmegkerülés(bizalmasság)érzékenyek,azadatok,alkalmazásokfelfedés(bizalmasság)ill.módosítás(sértetlenség)érzékenyek,azemberekfelfedés(bizalmasság)érzékenyek.)
Sebezhetőség
• Afenyegetettségfelnemismerése.(Pl.:avédelmiintézkedések nemmegfelelőbetartása,amenedzserekköltségtakarékosságiigénye,avédelemfolyamatoskorszerűsítésénekelmaradása,nempublikáltbiztonságiesemények.)
Hamisbiztonságitudat
• Jogszabályok,belsőszabályok,elvárások,szokások,szakértelem,tudásáltalalkotottkörnyezet. (Nagyeltéréseklétezhetnekkülönböző szférákban.)• Banki-pénzügyiszféra• Kritikusinfrastruktúrák• Közoktatás…..
Biztonságikörnyezet
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 20
• Tények,elképzelések,utasításokemberivagytechnikaieszközökkel történőformalizáltábrázolásaismertetés,feldolgozásill.távközléscéljára(nemcsakarögzítettinformáció,hanemazemberibeszédis).
• (Információ????…adatokmentálisreprezentációja….)
Adat
• Jogikérdés:szinonimájaatitokvédelem(bizalmasság)• Tevékenység,amelyahatályosjogszabályokésegyébelőírásokalapjánmeghatározott,atitoktartáskörébetartozóadatok(államtitok,banktitok,üzletititokstb.)védelméreirányul.
Adatvédelem
• Megvalósításaműszaki,technikai,szervezési,szabályozásikérdésSzinonimájaazinformatikaibiztonság
• Állapot,amelybenazadatok, informatikaierőforrásokbizalmassága,sértetlensége,rendelkezésreállásaminimálisanfenyegetett.
Adatbiztonság
Fogalmak
Fogalmak
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 21
1. Azadatvédelema. Azadatokbizalmasságikérdéseivelfoglalkozik.__b. Azadatokrendelkezésreállásikérdéseivelfoglakozik.__c. Apreventívintézkedésekköltségévelfoglakozik.__d. Atechnológiaikövetelmények konkrétmegvalósításávalfoglakozik.__
2. Asocialengineeringakövetkezőtjelenti:a. Azadotttársadalominformatikaibiztonságiszintérevonatkozómérésieljárások.__b. Azemberihiszékenységkihasználásán alapulóvisszaélések.__c. Anemzetközikatonaistratégiákközvetlentársadalmihatásai.__d. Azinformatikaibiztonságbiztosításaszabályzatokalapján.__
3. Abiztonságrajellemzőkakövetkezők:a. Kedvezőállapot,amelynekmegváltozásanemkizárható,dekisvalószínűségű.__b. Hanincsfolyamatosanfejlesztve,önmagátólleromlik.__c. Többféletermékésszolgáltatásalkalmazásával,ill.igénybevételévelmegteremthető.__d. Amunkatársakoktatásávalésszabályzatokkalmegteremthető.__
4. Rendelkezésreállásiproblémaakövetkező:a. Azadatbázisból„eltűntek”azokarekordok,amelyekben aszületésiidőmezőben1980.szerepel.__b. Afelhasználók ismerikegymásjelszavát.__c. Azadathordozókselejtezésesoránnemalkalmaznakfizikaimegsemmisítést.__d. Ajelszavakattitkosítatlanul továbbítjákahálózaton.__
5. Azinformatikairendszerelemeiközétartoznakakövetkezők:a. Akábelezésinyomvonalakattartalmazórajzok.__b. Azauditjelentések.__c. Portaszolgálat.__d. Klímarendszer.__
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 22
• Hozzáférések• Rendelkezésreállás
Fizikaibiztonság
• Hozzáférések• Rendelkezésreállás
Logikaibiztonság
• Szervezetésműködésszabályozása• Humánbiztonság• Titokvédelem• Szerződésekharmadikfelekkel
Szervezeti-szervezésibiztonság
• Fejlesztésésbeszerzés• Átadás-átvétel• Üzemeltetés• Selejtezés
Életciklushozkapcsolódóbiztonságikérdések
Azinformatikaibiztonságösszetevői
Az informatikai biztonság összetevői
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 23
Infra-struktúra Hardver Adathor-
dozó
Dokumen-tumok Szoftver Adatok
Szemé-lyek Hálózat
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 24
• Terület(épület,objektum),arendszerelemeinekelhelyezéséreszolgálóhelyiségek(irodák,szerverszobák…)
• Hálózatok(kommunikáció)• Klímatizálás,víz,csatorna,szellőzés• Kommunikáció,telefon,áramellátás(szünetmentes,megerősített…)
• Tűzvédelmiberendezések• Belépés-ellenőrzőeszközök• Betörésvédelmiberendezések
Akörnyezeti
infra-struktúraelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 25
• Központihardver(szerver,mainframe gépek,rendszerkonzolok…)
• Felhasználói(desktop)gépek,felhasználóiterminálok• Hordozhatószámítógépek• Beviteliéskivitelieszközök• Tárolóeszközök,cserélhetőtárolóeszközök• Speciálisbiztonságiberendezések(token,chipkártya,ujjlenyomatleolvasó…)
Hardverelemek
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 26
• Hard diszk• Pendrive• Mágnesszalag/kazetta• Magneto-optikai diszk• (Floppy,cdrom,DVD)• Papír!
Adathordozóktípusszerint
• Biztonságimásolatok• Munkamásolatok• Archívadatokattartalmazóadathordozók• Felszabadítottadathordozók
Adathordozókjellegszerint
Az adathordozók újrafelhasználása
problematikus lehet !
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 27
• Szabályzatok,eljárásiutasítások,üzemeltetésielőírások
• Kezelési,felhasználásiutasítások(hardver,szoftver…)
• Auditjelentések,nyilvántartások,jegyzőkönyvek• Munkakörileírások• Működésifolyamatleírások• Egyébdokumentációk
Dokumen-tumok
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 28
• Operációsrendszerek(rendszerszoftverek)• Alkalmazások• Segédszoftverek(IDS*,vírusdetektáló,diagnosztikai,kriptográfiaialkalmazások…)
• Javítóprogramok,patch-ek• Hálózatiműködésttámogatószoftverek• Egyéb…
Szoftverelemek
Azinformatikairendszerfőbbelemei
* IDS (Intrusion Detection System)
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 29
• Adatokabevitelfolyamatában• Adatokafeldolgozásfolyamatában(központiegységben,alkalmazóiprogrammal)
• Tároltadatok(tartósanvagycsakafeldolgozásidejében)
• Adatokakivitelfolyamatában•Mentettadatok• Archiváltadatok
Adatok
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 30
• Felhasználók•Üzemeltetők• Fejlesztők•Őrzőésfelügyelőszemélyzet• Külsőmunkatársak•Hackerek…
Arendszerekkelkapcsolatba
kerülőszemélyek(humánfaktor)
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 31
•Hálózatiaktívelemek•Kábelezés,kábelrendezők•Wireless LAN,infrared,Bluetooth•Mobilinternet•VPN
Hálózatok(kommuni-káció)
Azinformatikairendszerfőbbelemei
Az informatikai rendszer főbb elemei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 32Azinformatikaibiztonságösszetevői
Bizalmasság Sértetlenség Rendelkezésreállás
Általánosiskola
Webáruház
Nagyvárosiönkormányzat
Országoshálózattalrendelkezőbank
Nagyvárosiközlekedési hálózat
Gyermekfalu
Kórház
Ingatlközvetítő
Autókereskedés
…
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.10. 33
Köszönöm a figyelmet!