az informatikai biztonsÁg speciÁlis...
TRANSCRIPT
AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security PackagePackage
Bevezetés az Informatikai biztonsághoz
2012 Szeptember 12.
„Tévedni emberi dolog, de ha igazán el akarsz rontani valamit, számítógépre van szükséged.” /Paul Ehrlich/
Mi a helyzet manapság az informatikával?
© 2004 KÜRT Computer
- Napi kétszeri baleset ismeretlen okból
- Új autót kell vásárolni, ha a közlekedési
jeleket újrafestik
- Minden új autónál újra kellene tanulni a
vezetést
- Az autó rendszeresen, ismeretlen okból
lemenne az útról
© 2004 KÜRT Computer
lemenne az útról
- Bizonyos manővereknél az autó
megtagadná az utasítást
- Az autó rendszeresen, minden ok nélkül
kizárná a vezetőjét
- A légzsák kioldás előtt megkérdezné:
„Biztos benne?”/Rodgers, General Motors/
• Eszközök
• Emberek
Mi az informatika?
© 2004 KÜRT Computer
• Emberek
• Folyamatok
A Társaság legbefolyásosabb szervezete!?
• Levelezés?
• Könyvelés?
• Bérszámfejtés?
Mi az informatika?
© 2004 KÜRT Computer
• Bérszámfejtés?
• Fájlkezelés?
• Internet-elérés?
• ….
© 2004 KÜRT Computer
Üzleti oldali elvárások
kiszolgáló
Az üzleti oldali megközelítés fontossága
© 2004 KÜRT Computer
kiszolgáló infrastruktúra
kapcsolódó erőforrások
Az üzletvitelt leghatékonyabban támogató
(automatizált) szolgáltatások biztosítása.
Az informatika feladata
© 2004 KÜRT Computer
(automatizált) szolgáltatások biztosítása.
• Cloud
• Mobil eszközök
(BYOD)
• Hadviselés (terror)
• Professzionális
bűnözés
Mi a helyzet manapság az informatikai biztonsággal ?
© 2004 KÜRT Computer
(BYOD)
• E-bank és
e-kereskedelem
• Social media – social
engineering
bűnözés
• Programozott kártevők
• Személyes adatok
védelme
• Az adatok egyre inkább elektronikus formában kerülnek
tárolásra
• A szervezetek informatika nélkül működésképtelenek
Az informatikai biztonság aktualitásai
© 2004 KÜRT Computer
• A szervezetek informatika nélkül működésképtelenek
• Az informatikai függőség egyre nagyobb
• Az informatikai rendszerek fenyegetettsége kritikus
• Létszükséglet a szolgáltatások folytonossága és az
adatok bizalmas kezelése
• Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk
– rendelkezésre állását;
– sértetlenségét;
Biztonság
© 2004 KÜRT Computer
– bizalmasságát;
– hitelességét;
• illetve az informatikai rendszer
– rendelkezésre állását;
– funkcionalitását
veszélyeztetik.
Biztonsági szint
100 %-os biztonság
Rögzített, elérendő biztonsági szint
Biztonsági rés
A biztonsági rés
© 2004 KÜRT Computer
Az IT biztonságra fordított összeg
A biztonság pillanatnyi szintje
Biztonsági rés
Okozott kár
Kockázati tényezők hatásai és bekövetkezési valószínűsége
© 2004 KÜRT Computer
Bekövetkezési valószínűség
Biztonsági szint
100 %-os biztonságKár költsége
Összes költség
Az optimális biztonsági szint
© 2004 KÜRT Computer
Az IT rendszerből származó költségek
Elérendő, optimális biztonsági szint
Biztonság költsége
Optimális költségszint
• A fejlődés mindig kockázatok felvállalásával jár.
A kockázat önmagában se nem jó, se nem rossz…!
Kockázatok és lehetőségek kapcsolata
© 2004 KÜRT Computer
•• KockázatkezelésKockázatkezelés: fenntartható egyensúly teremtése a
negatív következményekből származó károk és a
lehetséges előnyök között.
��ISO/IEC 27001ISO/IEC 27001
(Specification for Information Security Management Systems)
��CCOBIOBIT 4.1T 4.1
Nemzetközi szabványok, ajánlások
© 2004 KÜRT Computer
��CCOBIOBIT 4.1T 4.1
(Control Objectives for Information and Related Technology)
��ITIL 3ITIL 3
(IT Infrastructure Library)
ISO/IEC 27001 – értékelhető biztonság
• Statikus vizsgálati módszer az általános védelmi
intézkedések vizsgálatával. Pl.:
– Fizikai védelem
– Logikai védelem
© 2004 KÜRT Computer
– Logikai védelem
– Adatosztályozás
– Mentés és archiválás
– Külső kapcsolatok védelme
PDCA modell
© 2004 KÜRT Computer
• Hol vagyunk?
• Hova igyekszünk?
Biztonsági szint
100 %-os biztonságKár költsége
Összes költség
Kockázatkezelés I.
© 2004 KÜRT Computer
• Hova igyekszünk?
• Hogyan jutunk el oda?
Az IT rendszerből származó költségek
Elérendő, optimális biztonsági szint
Biztonság költsége
Optimális költségszint
• Hol vagyunk? (helyzetfelmérés)• jelenlegi szervezeti és működési
környezet,
Kockázatkezelés II.
© 2004 KÜRT Computer
• létező biztonsági stratégia,• kiemelkedő biztonsági feladatok,
gyenge pontok,• jelenlegi védelmi és biztonságtechnikai
elemek.
• Hova igyekszünk? (célkitűzések)• jövőbeni szervezeti és működési
környezet,
Kockázatkezelés III.
© 2004 KÜRT Computer
• új feladatok, esetleges átcsoportosítások,
• igényelt erőforrások, várható hatásaik,• elérhető eredmények.
Intézkedések
© 2004 KÜRT Computer
Intézkedések
© 2004 KÜRT Computer
© 2004 KÜRT Computer
• A Társaság vagy egy szervezetének folyamatos működésének biztosítása –BCP
Üzletmenet és üzemmenet folytonosság
© 2004 KÜRT Computer
BCP
• Az informatikai rendszer folyamatos működésének biztosítása – OCP
• Termelés folytonosság biztosítása – PCP
• Katasztrófa utáni működés helyreállítása -DRP
Összefoglalás
• Üzleti cél orientált vizsgálatok
• Folyamat központú szervezetek és munkavégzés
• Kockázatarányos (költség-optimális) védelem
© 2004 KÜRT Computer
• Ellenőrzés – visszacsatolás
Értékelés
Az elıadások értékelése CSAK elektronikus formában!
© 2004 KÜRT Computer