Tóth Béla

2015.

Óbudai Egyetem Neumann János Informatikai Kar

Név: Tóth Béla

Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma

Főállásban: Pénzügyi szektor IT Infrastruktúra és Kiszervezett Szolgáltatások Osztályvezető ING Bank N.V. Magyarországi Fióktelepe

Elérhetőségek: E-mail: bela.toth@ingbank.com Személyesen: Minden péntek délután ÓE-NIK

2

Két hetente előadások a F.02 teremben. (Alkalmanként 2x45 perc)

Másik heteken két csoportban laborgyakorlat az 1.19 laborban. (Alkalmanként 2x45 perc)

Részvétel a Laborgyakorlatokon kötelező. Az elméleti előadásokon nagyon ajánlott. Pozitívabb hozzáállás = pozitívabb értékelés

Egy-egy zárthelyi dolgozat mindkét anyagból a 13. héten (május 8).

Pótlásra csak az egyik dolgozatból van lehetőség! Ennek időpontja a 14. héten lesz.

3

Törvényi előírások, szabályozások

Adatok, információ védelme

Szükség van módszertanra

Amit meg is kell valósítani

De milyen eszközökkel és milyen módokon lehetséges a megvalósítás?

4

Néhány példa nemzetközi törvényekre: • NATO Security Policy, [C-M(2002)49]

• Personnel Security Directive, [NATO AC/35-D/2000]

• Physical Security Directive, [NATO AC/35-D/2001]

• EU Council’s Security Regulations, [2001/264/EC]

• Sarbanes – Oxley (SOX) (USA törvény, de világszerte

használt, EU: Financial Services Action Plan)

• BASEL-II, Statement on Auditing Standards (SAS) 70 , International Auditing and Assurance Standards Board (IAASB), HIPAA

5

Magyar törvények:

• Adatvédelmi törvény (Avtv): a személyes adatok

védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény.

• 1999. évi LXXVI. törvény a szerzői jogról

• 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt

6

Példa iparági törvényre - pénzintézetnél:

• 1996. évi CXII. / "Hpt. 13. §" a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek módosításai, pl. 2004. évi XXII. tv.

• 2013. évi CCXXXVII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról

7

ITGI - IT Governance Institute ISACA - Information Systems Audit and

Control Association ISO / IEC - International Organization for

Standardization / International Electrotechnical Commission

CERT - Computer Emergency Response Team TIA – Telecommunications Industry

Association PSZÁF - Pénzügyi Szervezetek Állami

Felügyelete

8

COBIT - Control Objectives for Information Technology + Val IT (Value IT framework for IT-enabled business change and innovation) + Risk IT (Framework for identify, govern and effectively manage IT risk) szabványcsoport

CRM - CISA Review Technical Information Manual ISO 27002 International Standard ISO/IEC 17799 Information technology

— Security techniques — Code of practice for information security management Reference number: ISO/IEC 27002:2005(E)

ISO 27001 International Standard ISO/IEC 27001 Information technology - Security techniques - Information security management systems – Requirements Ref. number: ISO/IEC 27001:2005 (E)

ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security (Common Criteria)

CERT/CC ITIL Information Technology Infrastructure Library – Iparági legjobb

gyakorlatokat összefogó módszertan TIA-924 Data Center Standards Overview Magyar Szabvány MSZ ISO/IEC 12207:2000

9

Az információ megfelelőségének kritériumai • Bizalmasság – Confidentiality • Sértetlenség – Integrity • Rendelkezésre állás – Availability

A szakirodalomban gyakran nevezik ezt a hármast az angol elnevezések után CIA követelménynek.

Ezeken kívül még két argumentumot érdemes megvizsgálni az ajánlások alapján: • Funkcionalitás – Functionality • Dokumentáció – Documentation

10

A biztonságos környezet kialakításához elengedhetetlen a tervezés. • Fizikai tervezés

• Logikai tervezés

• Üzlet által definiált és elfogadott információ

besorolási kategóriák

• BIA – Business Impact Assessment

• Szükséges és elégséges védelem

11

Fizikai tervezés • Fizikai védelem • Hozzáférés védelem

• Beléptető rendszerek Chipkártyás és biometrikus azonosítás

• Redundancia • Áramellátás

• Hálózati ellátás

• DTAP architektúra • Külön rendszer a fejlesztési életciklus elemeihez

12

Logikai tervezés • PKI infrastruktúra

• Magas rendelkezésre állás

• Folyamatos felügyeleti lehetőségek

13

Frissítések

telepítése

Operációs rendszer megerősítése

Jogosultság kezelés

Funkcionális szeparáció

14

Nem csak a szerverek védelme fontos, hanem a végpontoké is. • Vírusok és kémprogramok

elleni védelem

• Tűzfal és behatolás védelem

• Eszközök és alkalmazások központi felügyelete

15

Kutatásokat végezhetünk: • A szabványokban és módszertanokban

• A szakirodalomban

• A cég meglévő belső szabályzatai között

• És természetesen az interneten

16

Az informatikai infrastruktúra felügyelete a biztonságos kialakítással kezdődik.

Tökéletes biztonság elérése lehetetlen, mégis a lehető legbiztonságosabbra kell törekedni.

Ehhez rendelkezésre állnak eszközök, melyek tovább fejlődnek és újabbak is jelennek meg válaszul az új fenyegetések feltűnésére.

17