tóth béla 2015. - uni-obuda.hu
TRANSCRIPT
Tóth Béla
2015.
Óbudai Egyetem Neumann János Informatikai Kar
Név: Tóth Béla
Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma
Főállásban: Pénzügyi szektor IT Infrastruktúra és Kiszervezett Szolgáltatások Osztályvezető ING Bank N.V. Magyarországi Fióktelepe
Elérhetőségek: E-mail: [email protected] Személyesen: Minden péntek délután ÓE-NIK
2
Két hetente előadások a F.02 teremben. (Alkalmanként 2x45 perc)
Másik heteken két csoportban laborgyakorlat az 1.19 laborban. (Alkalmanként 2x45 perc)
Részvétel a Laborgyakorlatokon kötelező. Az elméleti előadásokon nagyon ajánlott. Pozitívabb hozzáállás = pozitívabb értékelés
Egy-egy zárthelyi dolgozat mindkét anyagból a 13. héten (május 8).
Pótlásra csak az egyik dolgozatból van lehetőség! Ennek időpontja a 14. héten lesz.
3
Törvényi előírások, szabályozások
Adatok, információ védelme
Szükség van módszertanra
Amit meg is kell valósítani
De milyen eszközökkel és milyen módokon lehetséges a megvalósítás?
4
Néhány példa nemzetközi törvényekre: • NATO Security Policy, [C-M(2002)49]
• Personnel Security Directive, [NATO AC/35-D/2000]
• Physical Security Directive, [NATO AC/35-D/2001]
• EU Council’s Security Regulations, [2001/264/EC]
• Sarbanes – Oxley (SOX) (USA törvény, de világszerte
használt, EU: Financial Services Action Plan)
• BASEL-II, Statement on Auditing Standards (SAS) 70 , International Auditing and Assurance Standards Board (IAASB), HIPAA
5
Magyar törvények:
• Adatvédelmi törvény (Avtv): a személyes adatok
védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény.
• 1999. évi LXXVI. törvény a szerzői jogról
• 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt
6
Példa iparági törvényre - pénzintézetnél:
• 1996. évi CXII. / "Hpt. 13. §" a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek módosításai, pl. 2004. évi XXII. tv.
• 2013. évi CCXXXVII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról
7
ITGI - IT Governance Institute ISACA - Information Systems Audit and
Control Association ISO / IEC - International Organization for
Standardization / International Electrotechnical Commission
CERT - Computer Emergency Response Team TIA – Telecommunications Industry
Association PSZÁF - Pénzügyi Szervezetek Állami
Felügyelete
8
COBIT - Control Objectives for Information Technology + Val IT (Value IT framework for IT-enabled business change and innovation) + Risk IT (Framework for identify, govern and effectively manage IT risk) szabványcsoport
CRM - CISA Review Technical Information Manual ISO 27002 International Standard ISO/IEC 17799 Information technology
— Security techniques — Code of practice for information security management Reference number: ISO/IEC 27002:2005(E)
ISO 27001 International Standard ISO/IEC 27001 Information technology - Security techniques - Information security management systems – Requirements Ref. number: ISO/IEC 27001:2005 (E)
ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security (Common Criteria)
CERT/CC ITIL Information Technology Infrastructure Library – Iparági legjobb
gyakorlatokat összefogó módszertan TIA-924 Data Center Standards Overview Magyar Szabvány MSZ ISO/IEC 12207:2000
9
Az információ megfelelőségének kritériumai • Bizalmasság – Confidentiality • Sértetlenség – Integrity • Rendelkezésre állás – Availability
A szakirodalomban gyakran nevezik ezt a hármast az angol elnevezések után CIA követelménynek.
Ezeken kívül még két argumentumot érdemes megvizsgálni az ajánlások alapján: • Funkcionalitás – Functionality • Dokumentáció – Documentation
10
A biztonságos környezet kialakításához elengedhetetlen a tervezés. • Fizikai tervezés
• Logikai tervezés
• Üzlet által definiált és elfogadott információ
besorolási kategóriák
• BIA – Business Impact Assessment
• Szükséges és elégséges védelem
11
Fizikai tervezés • Fizikai védelem • Hozzáférés védelem
• Beléptető rendszerek Chipkártyás és biometrikus azonosítás
• Redundancia • Áramellátás
• Hálózati ellátás
• DTAP architektúra • Külön rendszer a fejlesztési életciklus elemeihez
12
Logikai tervezés • PKI infrastruktúra
• Magas rendelkezésre állás
• Folyamatos felügyeleti lehetőségek
13
Frissítések
telepítése
Operációs rendszer megerősítése
Jogosultság kezelés
Funkcionális szeparáció
14
Nem csak a szerverek védelme fontos, hanem a végpontoké is. • Vírusok és kémprogramok
elleni védelem
• Tűzfal és behatolás védelem
• Eszközök és alkalmazások központi felügyelete
15
Kutatásokat végezhetünk: • A szabványokban és módszertanokban
• A szakirodalomban
• A cég meglévő belső szabályzatai között
• És természetesen az interneten
16
Az informatikai infrastruktúra felügyelete a biztonságos kialakítással kezdődik.
Tökéletes biztonság elérése lehetetlen, mégis a lehető legbiztonságosabbra kell törekedni.
Ehhez rendelkezésre állnak eszközök, melyek tovább fejlődnek és újabbak is jelennek meg válaszul az új fenyegetések feltűnésére.
17