Adat és Információvédelmi Mesteriskola 30 MB · • Beviteli és kiviteli eszközök • Tároló eszközök, cserélhető tároló eszközök • Speciális biztonsági berendezések

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola

AZITBIZTONSÁGALAPVETŐFOGALMAIÉSSZEMLÉLETEDr. Beinschróth József

2018.05.10.

30MBAdat és Információvédelmi Mesteriskola


Tartalom

• Informatika,informatikairendszer• Azinformatikaibiztonságfelvetései• AzITbiztonságjelentősége• Következmények:költségek,veszteségek• Ellentmondószempontokérvényesülése• Fogalmak• Azinformatikaibiztonságösszetevői• Azinformatikairendszerfőbbelemei

2018.05.10. 2


Információbevitel

Információtovábbítás

Információtárolás

Információfeldolgozás

Információmegjelenítés

Az informatika alapvető fogalmai

2018.05.10. 3

• Azinformatikaatudományéstechnikaazonterülete,amelyazinformációkkeletkezésének,kezelésénekésfelhasználásánakelméletével,gyakorlatimegvalósításávaléseszközrendszerévelfoglalkozik.

Azinformatika,

mintszakterület

• Távközlésiinformatika• Könyvtáriinformatika• Gazdaságiinformatika• ….

Speciálisinformatikaiterületek

• Eszközök,programok,adatok,valamintaműködtetőszemélyzetinformációsfunkciók,tevékenységekmegvalósításáralétrehozottrendszere.

Informatikairendszer

Az informatikai rendszerek alapvető funkciói

Informatika, informatikai rendszer

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 4

Divatvagyténylegsúlypontikérés?

Csaktechnológiaikérdés?

Létezikegyáltalán?

Milyenkárokozásoklehetségesek?

Milyenfenyegetésekkelkell számolnunk?

Milyenvalószínűségekkelkövetkeznekbe?

Tudjuk-e,hogymitkockáztatunk?

Ismerjükgyengepontjainkat?

Mérhetőabiztonság? Mittehetünk?

Lehetséges-emindenre előrefelkészülni?

Léteznekiránymutatások?

Az informatikai biztonság nem csupán technológiai kérdés!

Az informatikai biztonság felvetései


Informatikairobbanás

•Ahardver-szoftvertechnológia fejlődése,Internet,hatalmasadatbázisok,e-business…)(Mooretörvény:aszámítástechnikaikapacitás18hónaponkéntmegduplázódik-igengyorsváltozás!!!)

•Agazdálkodószervezetekinformatikátólvalófüggőségemegnőtt

•Azinformatikaikockázatüzletikockázattávált

•Amegfelelő technológiaalkalmazásaésaszabályozásnemfeltétlenülkövetteakockázatnövekedését

•…

Informatikaibiztonságikultúra

•Abiztonsági tudatosság nemmegfelelő•Abiztonságikövetelményeknemelfogadása

•Aveszélyérzethiánya•Hamis biztonsági tudat,akellőszakértelem hiánya,hanyagkezelés

•Felügyelet nélkül hagyottgépek,nemmegfelelőjelszóhasználat

•Hordozható gépeken értékesadatok tárolása

•Megfelelő mentések hiánya•Bizalmas információttartalmazó gépet szervizbevisznek,kölcsön adnak

•…

Szándékosvisszaélések

•Információ gyűjtés•Ajánlatok adatainak eladása•Fizetési lista illetéktelenolvasása

•Adatmódosítás•Fizetés növelés,bankiátutalás módosítás

•Más nevében történőmanipuláció

•Levélküldés, rendelésfeladásmás nevében

•Továbbjelentkezés másnevében

•Informatikaihadviselés,fehér-gallérosbűnözés,terrorizmus

•…

Az informatikai biztonság jelentősége


AzITrendszerfolyamatosésrendeltetésszerűműködése,akedvező

állapotfenntartásaüzletiérdek!

Az informatikai biztonság felvetései


• Aszolgáltatásokban,aműködésben,amegbízhatóságban,a hírnévben,azüzletieredményben….

Veszteségek

• Aprevencióésareakcióisköltséget jelent,deaprevencióolcsóbbéskalkulálható.(„Tűzoltók:Atüzeketmártudjukoltani,mostmár arrakoncentrálunk, hogynelegyenektüzek.”)

Költségek

• Nagyobbbiztonság-nagyobb költség, deazösszefüggésnemlineáris.

• Létezhetoptimum:kielégítőbiztonságelfogadhatóköltségekmellett– átfogóvizsgálat,szakértőiközreműködés szükséges

Biztonság-költségösszefüggés

• AzITrendszertüzemeltetőnekcsakveszteségeilehetnek, ígycéljaezekminimalizálásalehet!

Játékelméletimegközelítés

Következmények: költségek, veszteségek


A védelmi hatékonyság és a költségek összefüggnek

védelmi hatékonyság

költség

100 %

optimális pont

maradékkockázat

Forrás: Horváth, Lukács, Tuzson, Vasvári: Informatikai biztonsági rendszerek

Következmények:költségek,veszteségek



A védelmemre fordítható erőforrások limitáltak

pénz-eszközök

biztonság

Elméleti profit


Veszteségek (valószínűsíthetők)

Költségek (számíthatók)

optimális pont



Forrás: Horváth, Lukács, Tuzson, Vasvári: Informatikai biztonsági rendszerek



Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola11

?Funkcionalitás/

kényelemBiztonság

Anyagi erőforrások

Ellentmondó szempontokérvényesülése

Ellentmondó szempontok érvényesülése


Biztonság

• Zavartalan,ártalmashatástólmenteskedvezőállapot,megváltozásanemkizárható,dekisvalószínűségű–Üzleti,működésikövetelmény!(Üzletikövetelmények:minőség,megbízhatóság…)

• Abiztonságdinamikusállapot(folyamat)!(Erodál,magátólleromlik.)

• Minélkisebbaváltozásvalószínűsége,annálnagyobbabiztonságésfordítva.

• Abiztonságnemteremthetőmegpusztánáruésszolgáltatásmegvásárlásával,hanemannakmindenesetbenaszervezetéletébebeépülőfolyamatnakkelllennie.

• „Abiztonságazaveszély,amitnemérzékelünk.”• Abiztonságsérülhet,azerőforrásokattámadásfenyegeti.

Biztonság

Fogalmak

Fogalmak


• Agazdaságivagymásszervezetműködéséhezszükséges,azüzletikövetelményeknekmegfelelőgazdaságifeltételek,folyamatosbiztosítása

Gazdaságibiztonság

• Azintézmény technikai biztonsági feltételeinek biztosításaÜzembiztonság

• Aszervezetvagyonánakmegóvása,védelmeVagyonbiztonság

• Azinformatikaierőforrásokbizalmassága,sértetlensége,rendelkezésreállásaminimálisan fenyegetett,azazakedvezőállapotmegváltozásánakvalószínűségeigenkicsi

Informatikaibiztonság

Fogalmak

Fogalmak


• Azatulajdonság,amelyarravonatkozik,hogyazinformációtcsakazarrajogosultakismerhessékmeg,illetverendelkezhessenekafelhasználásáról.

• Korlátozottkevesekszámáramegismerhető• Abizalmasságakkorsérül,hailletéktelenhozzáférésvalósulmeg:kémkedés,kíváncsiságstb.történik

1.Bizalmasság(Confidentiality)

• Azeredetiállapotnakmegfelel,fizikailagéslogikailagteljesésbizonyítottanvagybizonyíthatóanazelvártforrásbólszármazik

• Asértetlenségakkorsérül,hanemvalósadatokjelennekmeg,ugyanakkorazthisszük,hogyvalósak

2.Sértetlenség(Integrity)

Fogalmak

Fogalmak


• Azeredetirendeltetésnekmegfelelőszolgáltatásoknyújtása,meghatározotthelyenésidőben,megfelelőperformanciával

• Arendelkezésreállásakkorsérül,haadatok,szolgáltatásoknem,vagycsakkorlátozottanelérhetők

• Arendelkezésreállástgyakrannemcsaküzletikövetelmény,hanemjogszabályírjaelő:• Pl.3/2005IHMrendeletaszolgáltatókról:nyilvánosésminősítetthitelesítésszolgáltatórendelkezésreállásamin.:99,9%(8,76óra),egyszerremax.:3óra.

3.Rendelkezésreállás(Availability)

• Hitelesség- Authencity• Letagadhatatlanság- Nonrepudation• Elszámoltathatóság(Számonkérhetőség)- Auditability• Garancia- Assuarance

Továbbirelevánsfogalmak

Fogalmak

Fogalmak

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 16Fogalmak

Fogalmak


• Avédelemegyolyantevékenység,illetveolyantevékenységeksorozata,amelyarrairányul,hogymegteremtse,folyamatosanszintentartsaésfejlessze,valamintellenőrizzeaztadinamikusállapotot,amitbiztonságnakneveznek.

• Avédelemrevonatkozókövetelmények:zárt (mindenfenyegetésre),teljeskörű (mindenrendszerelemre),folytonos(időben),akockázatokkalarányos.

Védelem

• Olyanvédelem,amelybentárgyazinformációill.azadat• Alapvetőenkétfeladatmegoldásárakoncentrál:• azinformációelérhetőségénekbiztosítása,elvesztésének(megsemmisülésének),sérülésénekmegakadályozása

• azinformációilletéktelenkézbekerülésénekmegakadályozása

Informatikaivédelem

• Tárgyanemcsakazelektronikusantároltinformáció,hanemazösszestöbbi is(pl.papíralapú,tudásstb.)

Információvédelem

Fogalmak

Fogalmak


• Olyantényező,amelynekhatásáraill.bekövetkezésekorazITrendszerbennemkívántállapotjönlétre,azITrendszerbiztonságasérül.(Személy,dolog, esemény,ötlet,amelyatámadáslehetőségétképeziazerőforrás(ok)ra.)

• Fenyegetések(külső tényezők),sérülékenységek (belsőtényezők)

• Pl.tűz,földrengés, hardvermeghibásodás,vírusfertőzés,hackertámadás…

Veszélyforrás(negatívhatás,fenyegetőtényező)

• Egyveszélyforrásbólkiinduló, azerőforrásokbizalmassága,sértetlenségeill.rendelkezésreállásaellenirányulófolyamat.Támadás

• Olyanállapot,amelybenazerőforrásokbizalmassága,sértetlensége,rendelkezésreállásasérülhet.Fenyegetettség

Fogalmak

Fogalmak


• Azinformatikaierőforrásoknakazatulajdonsága,hogyvannakgyengepontjaik,afenyegetésekreérzékenyek.(Azeszközökelpusztítás(rendelkezésreállás)ésmódosítás(sértetlenség),ill.egyeseszközök(rejtjelezőeszköz)felfedés(bizalmasság)érzékenyek,ahálózatikapcsolatokbehatolásill.felfedés(bizalmasság)érzékenyek,aplatformok,rendszerszoftverekmegkerülés(bizalmasság)érzékenyek,azadatok,alkalmazásokfelfedés(bizalmasság)ill.módosítás(sértetlenség)érzékenyek,azemberekfelfedés(bizalmasság)érzékenyek.)

Sebezhetőség

• Afenyegetettségfelnemismerése.(Pl.:avédelmiintézkedések nemmegfelelőbetartása,amenedzserekköltségtakarékosságiigénye,avédelemfolyamatoskorszerűsítésénekelmaradása,nempublikáltbiztonságiesemények.)

Hamisbiztonságitudat

• Jogszabályok,belsőszabályok,elvárások,szokások,szakértelem,tudásáltalalkotottkörnyezet. (Nagyeltéréseklétezhetnekkülönböző szférákban.)• Banki-pénzügyiszféra• Kritikusinfrastruktúrák• Közoktatás…..

Biztonságikörnyezet

Fogalmak

Fogalmak


• Tények,elképzelések,utasításokemberivagytechnikaieszközökkel történőformalizáltábrázolásaismertetés,feldolgozásill.távközléscéljára(nemcsakarögzítettinformáció,hanemazemberibeszédis).

• (Információ????…adatokmentálisreprezentációja….)

Adat

• Jogikérdés:szinonimájaatitokvédelem(bizalmasság)• Tevékenység,amelyahatályosjogszabályokésegyébelőírásokalapjánmeghatározott,atitoktartáskörébetartozóadatok(államtitok,banktitok,üzletititokstb.)védelméreirányul.

Adatvédelem

• Megvalósításaműszaki,technikai,szervezési,szabályozásikérdésSzinonimájaazinformatikaibiztonság

• Állapot,amelybenazadatok, informatikaierőforrásokbizalmassága,sértetlensége,rendelkezésreállásaminimálisanfenyegetett.

Adatbiztonság

Fogalmak

Fogalmak


1. Azadatvédelema. Azadatokbizalmasságikérdéseivelfoglalkozik.__b. Azadatokrendelkezésreállásikérdéseivelfoglakozik.__c. Apreventívintézkedésekköltségévelfoglakozik.__d. Atechnológiaikövetelmények konkrétmegvalósításávalfoglakozik.__

2. Asocialengineeringakövetkezőtjelenti:a. Azadotttársadalominformatikaibiztonságiszintérevonatkozómérésieljárások.__b. Azemberihiszékenységkihasználásán alapulóvisszaélések.__c. Anemzetközikatonaistratégiákközvetlentársadalmihatásai.__d. Azinformatikaibiztonságbiztosításaszabályzatokalapján.__

3. Abiztonságrajellemzőkakövetkezők:a. Kedvezőállapot,amelynekmegváltozásanemkizárható,dekisvalószínűségű.__b. Hanincsfolyamatosanfejlesztve,önmagátólleromlik.__c. Többféletermékésszolgáltatásalkalmazásával,ill.igénybevételévelmegteremthető.__d. Amunkatársakoktatásávalésszabályzatokkalmegteremthető.__

4. Rendelkezésreállásiproblémaakövetkező:a. Azadatbázisból„eltűntek”azokarekordok,amelyekben aszületésiidőmezőben1980.szerepel.__b. Afelhasználók ismerikegymásjelszavát.__c. Azadathordozókselejtezésesoránnemalkalmaznakfizikaimegsemmisítést.__d. Ajelszavakattitkosítatlanul továbbítjákahálózaton.__

5. Azinformatikairendszerelemeiközétartoznakakövetkezők:a. Akábelezésinyomvonalakattartalmazórajzok.__b. Azauditjelentések.__c. Portaszolgálat.__d. Klímarendszer.__


• Hozzáférések• Rendelkezésreállás

Fizikaibiztonság

• Hozzáférések• Rendelkezésreállás

Logikaibiztonság

• Szervezetésműködésszabályozása• Humánbiztonság• Titokvédelem• Szerződésekharmadikfelekkel

Szervezeti-szervezésibiztonság

• Fejlesztésésbeszerzés• Átadás-átvétel• Üzemeltetés• Selejtezés

Életciklushozkapcsolódóbiztonságikérdések

Azinformatikaibiztonságösszetevői

Az informatikai biztonság összetevői


Infra-struktúra Hardver Adathor-

dozó

Dokumen-tumok Szoftver Adatok

Szemé-lyek Hálózat

Azinformatikairendszerfőbbelemei

Az informatikai rendszer főbb elemei


• Terület(épület,objektum),arendszerelemeinekelhelyezéséreszolgálóhelyiségek(irodák,szerverszobák…)

• Hálózatok(kommunikáció)• Klímatizálás,víz,csatorna,szellőzés• Kommunikáció,telefon,áramellátás(szünetmentes,megerősített…)

• Tűzvédelmiberendezések• Belépés-ellenőrzőeszközök• Betörésvédelmiberendezések

Akörnyezeti

infra-struktúraelemei



• Központihardver(szerver,mainframe gépek,rendszerkonzolok…)

• Felhasználói(desktop)gépek,felhasználóiterminálok• Hordozhatószámítógépek• Beviteliéskivitelieszközök• Tárolóeszközök,cserélhetőtárolóeszközök• Speciálisbiztonságiberendezések(token,chipkártya,ujjlenyomatleolvasó…)

Hardverelemek




• Hard diszk• Pendrive• Mágnesszalag/kazetta• Magneto-optikai diszk• (Floppy,cdrom,DVD)• Papír!

Adathordozóktípusszerint

• Biztonságimásolatok• Munkamásolatok• Archívadatokattartalmazóadathordozók• Felszabadítottadathordozók

Adathordozókjellegszerint

Az adathordozók újrafelhasználása

problematikus lehet !




• Szabályzatok,eljárásiutasítások,üzemeltetésielőírások

• Kezelési,felhasználásiutasítások(hardver,szoftver…)

• Auditjelentések,nyilvántartások,jegyzőkönyvek• Munkakörileírások• Működésifolyamatleírások• Egyébdokumentációk

Dokumen-tumok




• Operációsrendszerek(rendszerszoftverek)• Alkalmazások• Segédszoftverek(IDS*,vírusdetektáló,diagnosztikai,kriptográfiaialkalmazások…)

• Javítóprogramok,patch-ek• Hálózatiműködésttámogatószoftverek• Egyéb…

Szoftverelemek


* IDS (Intrusion Detection System)



• Adatokabevitelfolyamatában• Adatokafeldolgozásfolyamatában(központiegységben,alkalmazóiprogrammal)

• Tároltadatok(tartósanvagycsakafeldolgozásidejében)

• Adatokakivitelfolyamatában•Mentettadatok• Archiváltadatok

Adatok




• Felhasználók•Üzemeltetők• Fejlesztők•Őrzőésfelügyelőszemélyzet• Külsőmunkatársak•Hackerek…

Arendszerekkelkapcsolatba

kerülőszemélyek(humánfaktor)




•Hálózatiaktívelemek•Kábelezés,kábelrendezők•Wireless LAN,infrared,Bluetooth•Mobilinternet•VPN

Hálózatok(kommuni-káció)



Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola 32Azinformatikaibiztonságösszetevői

Bizalmasság Sértetlenség Rendelkezésreállás

Általánosiskola

Webáruház

Nagyvárosiönkormányzat

Országoshálózattalrendelkezőbank

Nagyvárosiközlekedési hálózat

Gyermekfalu

Kórház

Ingatlközvetítő

Autókereskedés

…

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.10. 33

Köszönöm a figyelmet!

Documents

Adat és Információvédelmi Mesteriskola 30 MB · • Beviteli és kiviteli eszközök • Tároló eszközök, cserélhető tároló eszközök • Speciális biztonsági berendezések