{{

Informatikai biztonsági Informatikai biztonsági ellenőrzésellenőrzés

Budai László

IT Biztonságtechnikai üzletágvezető

- az ellenőrzés részletes feladatai- az ellenőrzés részletes feladatai

{{ - Bemutatkozás- Bemutatkozás

Informatikai Informatikai biztonsági ellenőrzésbiztonsági ellenőrzés

www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

Nádor Rendszerház Kft.Nádor Rendszerház Kft. Alapítás: 1992Alapítás: 1992 Magyar tulajdonosokMagyar tulajdonosok Alkalmazottak száma: több mint 60 főAlkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd FtÉves árbevétel: 5,7 milliárd Ft

Nádor Rendszerház Kft. - üzletágakNádor Rendszerház Kft. - üzletágak IT eszközökIT eszközök

IT szolgáltatások IT szolgáltatások

IT biztonság IT biztonság

KözbeszerzésKözbeszerzés

SzoftverfejlesztésSzoftverfejlesztés

Vonalkód technika és RFIDVonalkód technika és RFID

Távközlés Távközlés

Irodatechnika Irodatechnika

MSZ EN ISO 9001:2001 Minőségbiztosítási rendszerMSZ EN ISO 9001:2001 Minőségbiztosítási rendszer

MSZ EN ISO/IEC 27001:2006 Információbiztonsági MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszerrendszer

MSZ EN ISO 14001:2009MSZ EN ISO 14001:2009

Környezetirányítási rendszerKörnyezetirányítási rendszer

NATO Minősített Beszállító cím NATO Minősített Beszállító cím

Nádor Rendszerház Kft. - minősítésekNádor Rendszerház Kft. - minősítések

SzolgáltatásokSzolgáltatások AuditAudit KockázatelemzésKockázatelemzés Szabályzatok és IBIR kialakításSzabályzatok és IBIR kialakítás ITIL v3 bevezetésITIL v3 bevezetés Bevezetés és oktatásBevezetés és oktatás Ethical HackingEthical Hacking

Sérülékenység vizsgálatokSérülékenység vizsgálatok(WiFi, határvédelem, PC/Server)(WiFi, határvédelem, PC/Server)

Biztonsági hardening és Biztonsági hardening és monitoringmonitoring

Spam szűrő szolgáltatásSpam szűrő szolgáltatás IT biztonsági szakértői IT biztonsági szakértői

szolgáltatásokszolgáltatások

MegoldásokMegoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és

kiértékelése Tűzfalak és behatolás jelző

megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó

megoldások Tempest eszközök Fájl szerverek, virtuális gépek

védelme Hozzáférés kezelés / felügyelet

Nádor Rendszerház Kft. – IT biztonságNádor Rendszerház Kft. – IT biztonság

{{ VizsgálatokVizsgálatok

www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

Informatikai Informatikai biztonsági ellenőrzésbiztonsági ellenőrzés

Ellenőrzés előkészítéseEllenőrzés előkészítése

A vizsgálat fókuszának meghatározása (általános, kockázatot A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás)jelentő rendszer, alkalmazás)

Törvények, Szabványok összegyűjtéseTörvények, Szabványok összegyűjtése(ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm.

rendelet)rendelet)

Dokumentációk bekéréseDokumentációk bekérése

Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős)Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős)

Interjúkra, vizsgálatra való felkészülésInterjúkra, vizsgálatra való felkészülés

Informatikai biztonsági ellenőrzés - Informatikai biztonsági ellenőrzés - előkészítéselőkészítés

Interjúk lefolytatásaInterjúk lefolytatása

Időpontok egyeztetéseIdőpontok egyeztetése

Kérdőív alapján, Excel táblázat Kérdőív alapján, Excel táblázat

Vizsgálatok lefolytatásaVizsgálatok lefolytatása Szabályzatok vizsgálataSzabályzatok vizsgálata

Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi)Munkaállomás és szerverek, WiFi)

Biztonsági incidensek felderítését célzó vizsgálatok (Forensic Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok)vizsgálatok) Logok vizsgálataLogok vizsgálata

Adathozzáférések vizsgálataAdathozzáférések vizsgálata

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatásainterjúk és vizsgálatok lefolytatása

Informatikai Biztonsági Politika Informatikai Biztonsági Politika Informatikai Biztonsági StratégiaInformatikai Biztonsági Stratégia Informatikai Biztonsági SzabályzatInformatikai Biztonsági Szabályzat

Üzemeltetési SzabályzatÜzemeltetési Szabályzat Felhasználói SzabályzatFelhasználói Szabályzat Vírusvédelmi szabályzatVírusvédelmi szabályzat Mentés és Archiválási SzabályzatMentés és Archiválási Szabályzat BCP/DRP SzabályzatBCP/DRP Szabályzat

Megfelelés a törvényeknek, szabványoknakMegfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok,

multifunkciós eszközök háttértárolói, szerződések SLA-k)multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelésDRP tesztelés

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatokSzabályzatokra vonatkozó vizsgálatok

Web portálok vizsgálata (pl: Acunetics, Rapid7)Web portálok vizsgálata (pl: Acunetics, Rapid7)

Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack)Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) BlackboxBlackbox GreyboxGreybox WhiteboxWhitebox

Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) – frissítések telepítésének ellenőrzése, Vulnerability Management) – frissítések telepítésének ellenőrzése,

Adatbázis vizsgálatok, scriptekAdatbázis vizsgálatok, scriptek

WiFi és VPN vizsgálatokWiFi és VPN vizsgálatok

Alkalmazás vizsgálatokAlkalmazás vizsgálatok

Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok

Általánosságban:Általánosságban:

Vizsgálatok: fejlesztés után vagy meghatározott időközönként Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív)(preventív, detektív, korrektív)Reakció vizsgálata (idő, felkészültség, riasztási rendszer)Reakció vizsgálata (idő, felkészültség, riasztási rendszer)Szoftver jogtisztaságSzoftver jogtisztaságInformatikával előre egyeztetett időpontban, meghatalmazássalInformatikával előre egyeztetett időpontban, meghatalmazássalKiemelt felhasználói jogosultságKiemelt felhasználói jogosultságRendszerösszeomlás elkerüléseRendszerösszeomlás elkerüléseFeltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolásamajd a az audit jelentéshez csatolásaFejlesztés esetén tesztadatok (nem az éles adatokkal)Fejlesztés esetén tesztadatok (nem az éles adatokkal)

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok

Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeretspeciális tudás és rendszerismeret

Web böngészés, adatszivárgás felderítése, operációs rendszerben Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletekvégzett műveletek

Merevlemezen tárolt adatok felderítéseMerevlemezen tárolt adatok felderítése

Általánosságban:Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor

végzi, milyen eszközről, milyen adatfolyamon – HASH!)végzi, milyen eszközről, milyen adatfolyamon – HASH!)

A vizsgált rendszerről (merevelemez, logok) másolat készítése, A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunksosem a „hiteles” anyagon vizsgálunk

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok

Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszerhiányosság, sérülékeny rendszer

A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra)objektivitásra)

Kérdőív táblázat csatolásaKérdőív táblázat csatolása

Sérülékenységi vizsgálat során keletkezett riportok csatolásaSérülékenységi vizsgálat során keletkezett riportok csatolása

Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatókJavaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – JelentéskésztésJelentéskésztés

Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)

A vizsgálat megismétlését is célszerű elvégezni. Delta riport.A vizsgálat megismétlését is célszerű elvégezni. Delta riport.

Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Vizsgálatok ismétléseVizsgálatok ismétlése

{{ 2013. évi L. Törvény (Ibtv.)2013. évi L. Törvény (Ibtv.)

Információbiztonság Információbiztonság a közigazgatásbana közigazgatásban

www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

1992 – Adatvédelmi törvény (1992. évi LXII. tv.)1992 – Adatvédelmi törvény (1992. évi LXII. tv.) 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS)1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 – ÁSZ Módszertan az informatikai rendszerek 2004 – ÁSZ Módszertan az informatikai rendszerek

kontrolljainak ellenőrzéséhezkontrolljainak ellenőrzéséhez 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit,

Bszt, Öpt.)Bszt, Öpt.) 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 – KIB 25 (IBIR)2008 – KIB 25 (IBIR) 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.)2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) 2012 – 2012. évi CLXVI. Törvény 2012 – 2012. évi CLXVI. Törvény ………….és a növekvő kiberfenyegetettség.és a növekvő kiberfenyegetettség

2013. évi L. törvény (Ibtv.) - 2013. évi L. törvény (Ibtv.) - előzmények előzmények

2013. évi L. törvény – áttekintés 2013. évi L. törvény – áttekintés Az állami és önkormányzati szervek elektronikus Az állami és önkormányzati szervek elektronikus

információbiztonságáról (2013. április 15.) információbiztonságáról (2013. április 15.) „„A nemzet érdekében kiemelten fontos – napjaink információs A nemzet érdekében kiemelten fontos – napjaink információs

társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek rendszerelemek biztonságbiztonsága.” „Társadalmi elvárás az állam és a polgárai a.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk kezelt adatok és információk bizalmasságbizalmasságának, ának, sértetlenségsértetlenségének és ének és rendelkezésre állásrendelkezésre állásának, valamint ezek rendszerelemei ának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”védelme.”

Hatályba lépett: 2013. július 01.Hatályba lépett: 2013. július 01.

Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.)Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.)

Ellenőrzési/felügyeleti jogEllenőrzési/felügyeleti jog Információbiztonsági FelügyelőInformációbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok,

adatkezelést végzők, létfontosságú rendszereket üzemeltetők,adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezetőFelelős az első számú vezető IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati EgyetemIBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: 2013. augusztus 31.Bejelentési kötelezettség: 2013. augusztus 31. IBSZ (2013. szept.28. -> 2014. febr. 04.)IBSZ (2013. szept.28. -> 2014. febr. 04.) Kockázatok elemzésKockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.)Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.)Cselekvési terv (2014. szept. 30.) Kiegészítések:Kiegészítések:

26/2013 KIM rendelet26/2013 KIM rendelet 73/2013 NFM rendelet73/2013 NFM rendelet 77/2013 NFM rendelet77/2013 NFM rendelet 233/2013 Korm. rendelet233/2013 Korm. rendelet 301/2013 Korm. rendelet301/2013 Korm. rendelet

2013. évi L. törvény – áttekintés 2013. évi L. törvény – áttekintés

{{Köszönöm a figyelmetKöszönöm a figyelmet

Budai László

IT Biztonságtechnikai üzletágvezető

Telefon: + 36 – 1 470-5038

Mobil: + 36 – 20 – 483-9237

Email: budai.laszlo@nador.hu

Kérdések - válaszokKérdések - válaszok