Testing the system: ethical hacking and penetration testing (in Hungarian)
Infobiz isms alapok
1. Az információbiztonság
alapjai
Bevezetés az információbiztonság
és információbiztonsági irányítási
rendszer alapfogalmaiba és
szükségességébe
2. Tartalom
Az információbiztonság fogalma
Az információbiztonsági irányítási
rendszer (ISMS) fogalma
Az ISMS bevezetése előnyei
Az ISMS struktúrája (BS 7799 szerint)
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 2
3. Az információ fogalma
Adat = ismeretelem
(Oxford szótár)
Információ = értelemmel bíró adat
(MSZ EN ISO 9000:2001)
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 3
4. A védelem aktualitása
Az információ ÉRTÉK
Jó lépések, döntések, üzleti sikerek, stb. alapja
Hiánya, nem megfelelősége, a bizalmasság sérülése komoly
gondokat okozhat
Fenyegetéseknek, veszélyeknek van kitéve
VÉDENI KELL!
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 4
5. Információhordozók
Telefon- Személyes
Számítógép központok
beszélgetések beszélgetések
Dokumentumok munkahelyek,
papírok informatikai oszt.
fóliák PC, WS, DSS
Microfish,
Faxtekercsek, Laptop,
… Notebook
Nyomtató, Hálózatok,
fax, Adathordozók LAN
telex, WAN
teletex
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 5
6. A védelem felállításának kérdései
1. Mit kell védenünk? – a védendő értékek feltérképezése
2. Mitől? – a külső / belső fenyegetettségek, kockázatok
azonosítása
3. Hogyan? – a fizikai / logikai védelem, szabályozók
meghatározása
„NINCS TELJES BIZTONSÁG, CSAK OPTIMÁLIS, MÉG
ELFOGADHATÓ BIZTONSÁGI SZINT”
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 6
7. Az információ biztonsága jelentése
Bizalmasság, annak biztosítása, hogy az
Bizalmasság
információ csak az arra felhatalmazottak számára
legyen elérhető.
Sértetlenség (integritás), az információk és a
feldolgozási módszerek teljességének és
pontosságának megőrzése.
Rendelkezésre állás, annak biztosítása, hogy a
állás
felhatalmazott felhasználók mindig hozzáférjenek az
információkhoz és a kapcsolódó értékekhez, amikor
szükséges.
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 7
8. Veszélyforrások
Megveszte- Szakképzet- Szabályzat-
getés lenség Bosszúállás Katasztrófa
lanság
Fizikai Vírus, illeték-
behatolás Személyek (külső+belső) telen szoftver
Épület, számítóközpont, installáció
Üzemzavar T szerverszoba V
á Hardver+hálózat i Villámcsapás
p l
Szakszerűtlen á Rendszerszoftver l
tervezés r Alkalm. sw. á Illetéktelen
a m
m rácsatlakozás
v
Szakszerűtlen e Adat é
üzemeltetés, l d
Doku Adath.
l e Illetéktelen
karbantartás á Dokum. Adath. l hozzáférés
t Dokum. Adathord. e
Beszerzési á m
s Tűz- és Légkondi-
politika hiánya vagyonvédelem cionálás Illetéktelen
használat,
másolás
Dokumentáció-
hiány, illetékte-
len használat Tűz, illetéktelen behatolás Túlmelegedés
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 8
9. A lehetséges károk
Közvetlen károk:
Adatvesztés, az adatok visszaállításának költségei
Rendszerleállás, kiesések az üzleti folyamatokban
Hardver és szoftverkárok, helyreállítási költségek
Vállalati információk illetéktelen kezekbe jutása
Közvetett károk:
Vevői bizalom megrendülése
Vállalati imázs romlása
Dolgozói elégedetlenség
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 9
10. Az információbiztonság szintjei
Ad hoc, „tűzoltás”, utólagos intézkedések
Szigetmegoldások egyedi problémákra
Bizonyos műszaki szabványoknak való megfelelés
Logikusan átgondolt rendszer
Információbiztonsági irányítás szabvány szerint
Konkrét igényekre épül
Átgondolt, megtervezett
Teljes körű
Felügyelt, kontrollált, auditált
Az egyes témák foglalkozási mélysége
megfelel a téma súlyának, jelentőségének
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 10
11. Az információbiztonsági
irányítási rendszer előnyei
Felkészülve, a problémák előre láthatók.
A költségek racionalizálhatók.
Az informatikai beruházások megalapozottan indokolhatók.
A folyamatok optimalizálása révén a hatékonyság fokozható.
Gyorsabb reagálás a piaci változásokra.
Nincsenek meglepetések, fel lehet készülni a külső / belső
fenyegetettségekre, ha ismerjük őket.
A projektek az előre meghatározott kereteken belül végződnek.
A külső, illetve a belső szabályozóknak meg lehet felelni.
A cégérték növekedik, az imázs és a hírnév megvédhető.
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 11
12. A rendszerépítés lépései
1. Vezetői jóváhagyás a rendszer kialakítására
2. Tanácsadó szervezet kiválasztása
3. Projektszervezet létrehozása
4. A feladatok ütemezése
5. Oktatások
6. Helyzetfelmérés
7. Információbiztonsági politika meghatározása
8. Információs érték és vagyonleltár
9. Kockázatértékelés
10. Szervezet, szabályok, dokumentáció kialakítása
11. Próbaműködés indítása, rendszer bevezetése
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 12
13. A BS 7799 szabvány követelményei
1. Információvédelmi politika
2. Védelmi szervezet
3. Az információvagyon osztályozása és kezelése
4. Személyekkel kapcsolatos védelem
5. Fizikai és a környezeti védelem
6. Kommunikáció és működés irányítása
7. Hozzáférés szabályozása
8. Rendszerek fejlesztése és karbantartása
9. Folyamatos működés biztosítása
10. Megfelelőség
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 13
14. Az ISMS dokumentumai
az információbiztonsági politika,
politika
az ISMS alkalmazhatósági nyilatkozata,
nyilatkozata
a információbiztonsági irányítási kézikönyv,
kézikönyv
a kockázat elemzési és kezelési eljárás szabályozása (ez lehet a
kézikönyv integrált részei is),
az üzleti folytonossági terv és a katasztrófa utáni visszaállítási terv
(BCP = business continuity plan és a DRP = disaster recovery plan),
a szükséges folyamatok eljárási utasításai (ezek lehetnek a
kézikönyv integrált részei is),
egyéb szabályok vagy előírások,
előírások
a szükséges feljegyzések és bizonylatok formanyomtatványai.
formanyomtatványai
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 14
15. KÖSZÖNÖM A
FIGYELMET!
2005 Dr. Horváth Zsolt - Az információbiztonság alapjai 15