Upload
phuc
View
37
Download
1
Embed Size (px)
DESCRIPTION
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM Bolyai János Katonai Műszaki Kar Információs Műveletek és Elektronikai Hadviselés Tanszék. AZ INFORMÁCIÓBIZTONSÁG SZABÁLYZÓI ÉS SZERVEZETI KERETEI. Az előadás az MTA Bolyai János Kutatási Ösztöndíj támogatásával készült. - PowerPoint PPT Presentation
Citation preview
2007. NOVEMBER 27.
AZ INFORMÁCIÓBIZTONSÁG AZ INFORMÁCIÓBIZTONSÁG SZABÁLYZÓI ÉS SZERVEZETI SZABÁLYZÓI ÉS SZERVEZETI
KERETEIKERETEI
Dr. Haig Zsolt mk. alezredes, egyetemi docensHM: 29-343 [email protected]
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
Az előadás azMTA Bolyai János Kutatási Ösztöndíj
támogatásával készült
2007. NOVEMBER 27.
Fő kérdések:
1. Törvényi és jogszabályi törekvések
2. Szabványok és szervezetek
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
2007. NOVEMBER 27.
• Egyesült Államok: Bush elnök már 2001 október 26-án aláírta az "USA Patriot Act" törvényt:
- elektronikus megfigyelés minden formájának lehetővé tétele,
- a CIA és az FBI közötti információcsere mértékének növelése,
- az internetszolgáltatók szorosabb együttműködése a rendőrséggel,
- e-mailek eredetének, címzettjének és időpontjának hozzáférhetővé tétele,
- beleolvasni csak bírói engedéllyel.
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
TÖRVÉNYI ÉS JOGSZABÁLYI TÖREKVÉSEK
2007. NOVEMBER 27.
• Kanada: 2001 októberében törvényben tette lehetővé az állampolgárok számítógépeinek és telefonbeszélgetéseinek (elsősorban mobil) lehallgatását. Megnyitotta a légiforgalmi adatbázist a hatóságok részére.
• Nagy-Britanniában az internetszolgáltatók visszatarthatnak adatokat rendőrségi célokra.
• Franciaországban a törvény szerint a távközlési és internetszolgáltatóknak egy évig meg kell őrizniük a lehallgatott beszélgetéseket és a levélforgalmat, és meg kell könnyíteniük a kódolt levelek elolvasását is.
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
TÖRVÉNYI ÉS JOGSZABÁLYI TÖREKVÉSEK
2007. NOVEMBER 27.
• Németországban nyilván kell tartani az ismert cyberbűnözőket.
• Az Európai Unió követelményé tette a cybertámadások terrorista cselekményhez hasonlatos büntethetőségét.
• A diktatórikusabb berendezkedésű államok, mint pl. Kína terrorista fenyegetésre való hivatkozással megnövelték az Internet elnyomását.
Számos keresőt pl. Google, Altavista letiltott.
• Polgárjogi szervezetek részéről nagy ellenállás a különböző törvényekkel jogszabályokkal szemben (szólásszabadság, emberi jogok, privátszféra.) Ugyanakkor a közvélemény kutatások szerint az emberek többsége toleráns a megnövekedett felügyelettel, biztonsági szigorításokkal szemben.
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
TÖRVÉNYI ÉS JOGSZABÁLYI TÖREKVÉSEK
2007. NOVEMBER 27.
• Common Criteria (ISO/IEC 15408) Common Criteria for Information Technology Security Evaluation, version 2.0 szabvány elsősorban technikai jellegű, főleg az informatikai termékek gyártóinak ad támogatást. Nagyon részletes és megbízható követelményeket, eljárásokat biztosít az informatikai eszközök biztonsági minősítésére.
• A Magyar Szabványügyi Testület 2002. évben magyar szabványként kiadta „Az informatikai biztonságértékelés közös szempontjai” címen az ISO/IEC 15408 szabványt.
• ISO/IEC TR 13335 Guidelines for the Management of IT Security (GMITS) Segédlet az informatikai biztonság irányításához
• ITIL: IT Infrastructure Library (Az informatikai szolgáltatás módszertana)
• COBIT: Control Objectives for Information and Related Technology (Az Informatikai Irányítási és Ellenőrzési Módszertan)
Forrás: Muha Lajos PhD értekezés
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
SZABVÁNYOK ÉS AJÁNLÁSOK
2007. NOVEMBER 27.
• ISO/IEC 27000 (BS 7799, ISO/IEC 17799)
• ISO/IEC 27000 – Szószedet és terminológia (definíciók a sorozat összes szabványához). Jelenleg ez a szabvány fejlesztés alatt áll.
• ISO/IEC 27001 – Az informatikai biztonság irányítási rendszere (BS 7799-2:2002), a szervezet auditálásához szükséges (megfelelőségi) előírások. Az ISO/IEC 27001 szabványt 2005. 10. 14 –én tették közzé ISO/IEC 27001:2005 számon.
• ISO/IEC 27002 – Az ISO/IEC 17799:2005 szabvány utódja, azzal gyakorlatilag megegyezik. Az informatikai biztonság irányítása gyakorlati előírásait, ellenőrzési célokat és a legjobb gyakorlatot (best practice) írja le.
• ISO/IEC 27003 – Az ISO/IEC 27000 szabvány implementálásához szükséges tanácsokat és útmutatókat fogja tartalmazni. Jelenleg ez a szabvány még csak terv formájában létezik.
Forrás: Muha Lajos PhD értekezés
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
SZABVÁNYOK ÉS AJÁNLÁSOK
2007. NOVEMBER 27.
• ISO/IEC 27004 – Egy új szabvány lesz, amely az informatikai biztonság mérésével fog foglalkozni, abból a célból, hogy az informatikai biztonság irányítási rendszerének hatékonyságát mérni tudjuk. Jelenleg előkészületben van az ISO/IEC 27004 szabvány, amely az Informatika – Informatikai biztonság irányítási mérések előzetes címen fut.
• ISO/IEC 27005 – Az informatikai biztonság kockázatkezelésével foglalkozik. Az ISO/IEC 13335-3:1998 és az ISO/IEC 13335‑4 :2000 szabványok felülvizsgálatával készül. Jelenleg ez a szabvány fejlesztés alatt áll.
• ISO/IEC 27006 – az ISO/IEC 27001 szabványnak való megfelelést vizsgáló szervezetek számára tartalmaz követelményeket. 2007. február 13-án tették közzé.
• ISO/IEC 27011 – informatikai biztonság irányítási irányelvek a távközlés számára. Jelenleg ez a szabvány fejlesztés alatt áll. ISO/IEC 27001:2005 (BS 7799-2)
Forrás: Muha Lajos PhD értekezés
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
SZABVÁNYOK ÉS AJÁNLÁSOK
2007. NOVEMBER 27.
• Európai Hálózat- és Informatikai Biztonsági Ügynökség (European Network and Information Security Agency - ENISA)
• Számítógépes Vészhelyzeti Reagáló Csoportok (Computer Emergency Response Team - CERT)
• Számítógépes Biztonsági Incidens Reagáló Csoportok (Computer Security Incident Response Team - CSIRT);
• International Watch and Warning Network (IWWN)
• TF-CSIRT: az Európában működő CERT szervezetek közös szervezete,
• Forum of Incident Response Teams (FIRST)
• European Government CERTs (EGC) Jelenleg 9 ország tagja (UK, Finnország, Svájc, Magyarország stb.)
• Számítógépes Bűnügyi Egységek (Computer Crime Unit - CCU)
INFORMÁCIÓBIZTONSÁGI SZERVEZETEK
Nemzetközi szervezetek:
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
Szerteágazó és egymással szoros kapcsolatot fenntartó szervezetek
2007. NOVEMBER 27.
• Franciaország - DCSSI (Direction centrale de la sécurité des systèmes d'information) Központi Információbiztonsági Igazgatóság, a Védelmi Minisztérium alárendeltségében. Incidenskezelő szerve a CERTA.
• Nagy-Britannia – CESG (Communications-Electronics Security Group) Távközlési Elektronikai Biztonsági Csoport, mely a kormány nemzeti információbiztonsági technológiai ügynöksége. Incidenskezelő szerve a GovCertUK
• Németország – BSI (Bundesamt für Sicherheit in der Informationstechnik) Szövetségi Informatikai Biztonság Hivatal, mely a német kormány központi információbiztonsági szervezete. Incidenskezelő szerve a CERT-Bund
• Magyarország – NIIF CSIRT; PTA CERT-Hungary; (SZTAKI Hun-CERT)
Kormányzati szervezetek:
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
INFORMÁCIÓBIZTONSÁGI SZERVEZETEK
2007. NOVEMBER 27.
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
Közös feladatok, funkciók:
• támadások elemzése
• információcsere
• adatbázis létrehozása és folyamatos frissítése
• együttműködés
• intézkedések kidolgozása az incidensek kezelésére
• K+F együttműködés
INFORMÁCIÓBIZTONSÁGI SZERVEZETEK
2007. NOVEMBER 27.
ÖSSZEGZÉS
ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMBolyai János Katonai Műszaki Kar
Információs Műveletek ésElektronikai Hadviselés Tanszék
• Az információbiztonság megvalósítása csak nemzeti és nemzetközi szinten összehangolt, koordinált tevékenységként, törvényi és jogszabályi keretek között képzelhető el.
• Egyes esetekben ez együtt jár a szabadságjogok bizonyos fokú korlátozásával is.
• Kormányzati, nemzetközi és non-profit szervezetek szerepe jelentős.