AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI

Hungarian Cyber Security PackagePackage

Bevezetés az Informatikai biztonsághoz

2012 Szeptember 12.

„Tévedni emberi dolog, de ha igazán el akarsz rontani valamit, számítógépre van szükséged.” /Paul Ehrlich/

Mi a helyzet manapság az informatikával?

© 2004 KÜRT Computer

- Napi kétszeri baleset ismeretlen okból

- Új autót kell vásárolni, ha a közlekedési

jeleket újrafestik

- Minden új autónál újra kellene tanulni a

vezetést

- Az autó rendszeresen, ismeretlen okból

lemenne az útról

© 2004 KÜRT Computer

lemenne az útról

- Bizonyos manővereknél az autó

megtagadná az utasítást

- Az autó rendszeresen, minden ok nélkül

kizárná a vezetőjét

- A légzsák kioldás előtt megkérdezné:

„Biztos benne?”/Rodgers, General Motors/

• Eszközök

• Emberek

Mi az informatika?

© 2004 KÜRT Computer

• Emberek

• Folyamatok

A Társaság legbefolyásosabb szervezete!?

• Levelezés?

• Könyvelés?

• Bérszámfejtés?

Mi az informatika?

© 2004 KÜRT Computer

• Bérszámfejtés?

• Fájlkezelés?

• Internet-elérés?

• ….

© 2004 KÜRT Computer

Üzleti oldali elvárások

kiszolgáló

Az üzleti oldali megközelítés fontossága

© 2004 KÜRT Computer

kiszolgáló infrastruktúra

kapcsolódó erőforrások

Az üzletvitelt leghatékonyabban támogató

(automatizált) szolgáltatások biztosítása.

Az informatika feladata

© 2004 KÜRT Computer

(automatizált) szolgáltatások biztosítása.

• Cloud

• Mobil eszközök

(BYOD)

• Hadviselés (terror)

• Professzionális

bűnözés

Mi a helyzet manapság az informatikai biztonsággal ?

© 2004 KÜRT Computer

(BYOD)

• E-bank és

e-kereskedelem

• Social media – social

engineering

bűnözés

• Programozott kártevők

• Személyes adatok

védelme

• Az adatok egyre inkább elektronikus formában kerülnek

tárolásra

• A szervezetek informatika nélkül működésképtelenek

Az informatikai biztonság aktualitásai

© 2004 KÜRT Computer

• A szervezetek informatika nélkül működésképtelenek

• Az informatikai függőség egyre nagyobb

• Az informatikai rendszerek fenyegetettsége kritikus

• Létszükséglet a szolgáltatások folytonossága és az

adatok bizalmas kezelése

• Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk

– rendelkezésre állását;

– sértetlenségét;

Biztonság

© 2004 KÜRT Computer

– bizalmasságát;

– hitelességét;

• illetve az informatikai rendszer

– rendelkezésre állását;

– funkcionalitását

veszélyeztetik.

Biztonsági szint

100 %-os biztonság

Rögzített, elérendő biztonsági szint

Biztonsági rés

A biztonsági rés

© 2004 KÜRT Computer

Az IT biztonságra fordított összeg

A biztonság pillanatnyi szintje

Biztonsági rés

Okozott kár

Kockázati tényezők hatásai és bekövetkezési valószínűsége

© 2004 KÜRT Computer

Bekövetkezési valószínűség

Biztonsági szint

100 %-os biztonságKár költsége

Összes költség

Az optimális biztonsági szint

© 2004 KÜRT Computer

Az IT rendszerből származó költségek

Elérendő, optimális biztonsági szint

Biztonság költsége

Optimális költségszint

• A fejlődés mindig kockázatok felvállalásával jár.

A kockázat önmagában se nem jó, se nem rossz…!

Kockázatok és lehetőségek kapcsolata

© 2004 KÜRT Computer

•• KockázatkezelésKockázatkezelés: fenntartható egyensúly teremtése a

negatív következményekből származó károk és a

lehetséges előnyök között.

��ISO/IEC 27001ISO/IEC 27001

(Specification for Information Security Management Systems)

��CCOBIOBIT 4.1T 4.1

Nemzetközi szabványok, ajánlások

© 2004 KÜRT Computer

��CCOBIOBIT 4.1T 4.1

(Control Objectives for Information and Related Technology)

��ITIL 3ITIL 3

(IT Infrastructure Library)

ISO/IEC 27001 – értékelhető biztonság

• Statikus vizsgálati módszer az általános védelmi

intézkedések vizsgálatával. Pl.:

– Fizikai védelem

– Logikai védelem

© 2004 KÜRT Computer

– Logikai védelem

– Adatosztályozás

– Mentés és archiválás

– Külső kapcsolatok védelme

PDCA modell

© 2004 KÜRT Computer

• Hol vagyunk?

• Hova igyekszünk?

Biztonsági szint

100 %-os biztonságKár költsége

Összes költség

Kockázatkezelés I.

© 2004 KÜRT Computer

• Hova igyekszünk?

• Hogyan jutunk el oda?

Az IT rendszerből származó költségek

Elérendő, optimális biztonsági szint

Biztonság költsége

Optimális költségszint

• Hol vagyunk? (helyzetfelmérés)• jelenlegi szervezeti és működési

környezet,

Kockázatkezelés II.

© 2004 KÜRT Computer

• létező biztonsági stratégia,• kiemelkedő biztonsági feladatok,

gyenge pontok,• jelenlegi védelmi és biztonságtechnikai

elemek.

• Hova igyekszünk? (célkitűzések)• jövőbeni szervezeti és működési

környezet,

Kockázatkezelés III.

© 2004 KÜRT Computer

• új feladatok, esetleges átcsoportosítások,

• igényelt erőforrások, várható hatásaik,• elérhető eredmények.

Intézkedések

© 2004 KÜRT Computer

Intézkedések

© 2004 KÜRT Computer

© 2004 KÜRT Computer

• A Társaság vagy egy szervezetének folyamatos működésének biztosítása –BCP

Üzletmenet és üzemmenet folytonosság

© 2004 KÜRT Computer

BCP

• Az informatikai rendszer folyamatos működésének biztosítása – OCP

• Termelés folytonosság biztosítása – PCP

• Katasztrófa utáni működés helyreállítása -DRP

Összefoglalás

• Üzleti cél orientált vizsgálatok

• Folyamat központú szervezetek és munkavégzés

• Kockázatarányos (költség-optimális) védelem

© 2004 KÜRT Computer

• Ellenőrzés – visszacsatolás

Köszönöm a figyelmet!

© 2004 KÜRT Computer

laszlo.kurti@kurt.hu

www.kurt.hu

Értékelés

Az elıadások értékelése CSAK elektronikus formában!

© 2004 KÜRT Computer