Informatikai biztonsági ellenőrzés
description
Transcript of Informatikai biztonsági ellenőrzés
{{
Informatikai biztonsági Informatikai biztonsági ellenőrzésellenőrzés
Budai László
IT Biztonságtechnikai üzletágvezető
- az ellenőrzés részletes feladatai- az ellenőrzés részletes feladatai
{{ - Bemutatkozás- Bemutatkozás
Informatikai Informatikai biztonsági ellenőrzésbiztonsági ellenőrzés
www.nador.hu I Tel.: + 36 1 470-5000 I [email protected]
Nádor Rendszerház Kft.Nádor Rendszerház Kft. Alapítás: 1992Alapítás: 1992 Magyar tulajdonosokMagyar tulajdonosok Alkalmazottak száma: több mint 60 főAlkalmazottak száma: több mint 60 fő Éves árbevétel: 5,7 milliárd FtÉves árbevétel: 5,7 milliárd Ft
Nádor Rendszerház Kft. - üzletágakNádor Rendszerház Kft. - üzletágak IT eszközökIT eszközök
IT szolgáltatások IT szolgáltatások
IT biztonság IT biztonság
KözbeszerzésKözbeszerzés
SzoftverfejlesztésSzoftverfejlesztés
Vonalkód technika és RFIDVonalkód technika és RFID
Távközlés Távközlés
Irodatechnika Irodatechnika
MSZ EN ISO 9001:2001 Minőségbiztosítási rendszerMSZ EN ISO 9001:2001 Minőségbiztosítási rendszer
MSZ EN ISO/IEC 27001:2006 Információbiztonsági MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszerrendszer
MSZ EN ISO 14001:2009MSZ EN ISO 14001:2009
Környezetirányítási rendszerKörnyezetirányítási rendszer
NATO Minősített Beszállító cím NATO Minősített Beszállító cím
Nádor Rendszerház Kft. - minősítésekNádor Rendszerház Kft. - minősítések
SzolgáltatásokSzolgáltatások AuditAudit KockázatelemzésKockázatelemzés Szabályzatok és IBIR kialakításSzabályzatok és IBIR kialakítás ITIL v3 bevezetésITIL v3 bevezetés Bevezetés és oktatásBevezetés és oktatás Ethical HackingEthical Hacking
Sérülékenység vizsgálatokSérülékenység vizsgálatok(WiFi, határvédelem, PC/Server)(WiFi, határvédelem, PC/Server)
Biztonsági hardening és Biztonsági hardening és monitoringmonitoring
Spam szűrő szolgáltatásSpam szűrő szolgáltatás IT biztonsági szakértői IT biztonsági szakértői
szolgáltatásokszolgáltatások
MegoldásokMegoldások Adatszivárgás elleni védelem Vírus, Spam és URL szűrés Naplóbejegyzések gyűjtése és
kiértékelése Tűzfalak és behatolás jelző
megoldások Felhasználói azonosítás Mobileszköz védelem Archiválás Wifi hálózatok védelme PKI rendszerekhez kapcsolódó
megoldások Tempest eszközök Fájl szerverek, virtuális gépek
védelme Hozzáférés kezelés / felügyelet
Nádor Rendszerház Kft. – IT biztonságNádor Rendszerház Kft. – IT biztonság
{{ VizsgálatokVizsgálatok
www.nador.hu I Tel.: + 36 1 470-5000 I [email protected]
Informatikai Informatikai biztonsági ellenőrzésbiztonsági ellenőrzés
Ellenőrzés előkészítéseEllenőrzés előkészítése
A vizsgálat fókuszának meghatározása (általános, kockázatot A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás)jelentő rendszer, alkalmazás)
Törvények, Szabványok összegyűjtéseTörvények, Szabványok összegyűjtése(ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm.
rendelet)rendelet)
Dokumentációk bekéréseDokumentációk bekérése
Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős)Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős)
Interjúkra, vizsgálatra való felkészülésInterjúkra, vizsgálatra való felkészülés
Informatikai biztonsági ellenőrzés - Informatikai biztonsági ellenőrzés - előkészítéselőkészítés
Interjúk lefolytatásaInterjúk lefolytatása
Időpontok egyeztetéseIdőpontok egyeztetése
Kérdőív alapján, Excel táblázat Kérdőív alapján, Excel táblázat
Vizsgálatok lefolytatásaVizsgálatok lefolytatása Szabályzatok vizsgálataSzabályzatok vizsgálata
Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi)Munkaállomás és szerverek, WiFi)
Biztonsági incidensek felderítését célzó vizsgálatok (Forensic Biztonsági incidensek felderítését célzó vizsgálatok (Forensic vizsgálatok)vizsgálatok) Logok vizsgálataLogok vizsgálata
Adathozzáférések vizsgálataAdathozzáférések vizsgálata
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatásainterjúk és vizsgálatok lefolytatása
Informatikai Biztonsági Politika Informatikai Biztonsági Politika Informatikai Biztonsági StratégiaInformatikai Biztonsági Stratégia Informatikai Biztonsági SzabályzatInformatikai Biztonsági Szabályzat
Üzemeltetési SzabályzatÜzemeltetési Szabályzat Felhasználói SzabályzatFelhasználói Szabályzat Vírusvédelmi szabályzatVírusvédelmi szabályzat Mentés és Archiválási SzabályzatMentés és Archiválási Szabályzat BCP/DRP SzabályzatBCP/DRP Szabályzat
Megfelelés a törvényeknek, szabványoknakMegfelelés a törvényeknek, szabványoknak Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok,
multifunkciós eszközök háttértárolói, szerződések SLA-k)multifunkciós eszközök háttértárolói, szerződések SLA-k) DRP tesztelésDRP tesztelés
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatokSzabályzatokra vonatkozó vizsgálatok
Web portálok vizsgálata (pl: Acunetics, Rapid7)Web portálok vizsgálata (pl: Acunetics, Rapid7)
Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack)Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) BlackboxBlackbox GreyboxGreybox WhiteboxWhitebox
Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfee Vulnerability Management) – frissítések telepítésének ellenőrzése, Vulnerability Management) – frissítések telepítésének ellenőrzése,
Adatbázis vizsgálatok, scriptekAdatbázis vizsgálatok, scriptek
WiFi és VPN vizsgálatokWiFi és VPN vizsgálatok
Alkalmazás vizsgálatokAlkalmazás vizsgálatok
Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok
Általánosságban:Általánosságban:
Vizsgálatok: fejlesztés után vagy meghatározott időközönként Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív)(preventív, detektív, korrektív)Reakció vizsgálata (idő, felkészültség, riasztási rendszer)Reakció vizsgálata (idő, felkészültség, riasztási rendszer)Szoftver jogtisztaságSzoftver jogtisztaságInformatikával előre egyeztetett időpontban, meghatalmazássalInformatikával előre egyeztetett időpontban, meghatalmazássalKiemelt felhasználói jogosultságKiemelt felhasználói jogosultságRendszerösszeomlás elkerüléseRendszerösszeomlás elkerüléseFeltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, előre meg kell határozni, Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolásamajd a az audit jelentéshez csatolásaFejlesztés esetén tesztadatok (nem az éles adatokkal)Fejlesztés esetén tesztadatok (nem az éles adatokkal)
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok
Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeretspeciális tudás és rendszerismeret
Web böngészés, adatszivárgás felderítése, operációs rendszerben Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletekvégzett műveletek
Merevlemezen tárolt adatok felderítéseMerevlemezen tárolt adatok felderítése
Általánosságban:Általánosságban: A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor
végzi, milyen eszközről, milyen adatfolyamon – HASH!)végzi, milyen eszközről, milyen adatfolyamon – HASH!)
A vizsgált rendszerről (merevelemez, logok) másolat készítése, A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunksosem a „hiteles” anyagon vizsgálunk
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatokRendszerekre vonatkozó vizsgálatok
Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszerhiányosság, sérülékeny rendszer
A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra)objektivitásra)
Kérdőív táblázat csatolásaKérdőív táblázat csatolása
Sérülékenységi vizsgálat során keletkezett riportok csatolásaSérülékenységi vizsgálat során keletkezett riportok csatolása
Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatókJavaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – JelentéskésztésJelentéskésztés
Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2)
A vizsgálat megismétlését is célszerű elvégezni. Delta riport.A vizsgálat megismétlését is célszerű elvégezni. Delta riport.
Informatikai biztonsági ellenőrzés – Informatikai biztonsági ellenőrzés – Vizsgálatok ismétléseVizsgálatok ismétlése
{{ 2013. évi L. Törvény (Ibtv.)2013. évi L. Törvény (Ibtv.)
Információbiztonság Információbiztonság a közigazgatásbana közigazgatásban
www.nador.hu I Tel.: + 36 1 470-5000 I [email protected]
1992 – Adatvédelmi törvény (1992. évi LXII. tv.)1992 – Adatvédelmi törvény (1992. évi LXII. tv.) 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS)1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) 2004 – ÁSZ Módszertan az informatikai rendszerek 2004 – ÁSZ Módszertan az informatikai rendszerek
kontrolljainak ellenőrzéséhezkontrolljainak ellenőrzéséhez 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit,
Bszt, Öpt.)Bszt, Öpt.) 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu 2008 – KIB 25 (IBIR)2008 – KIB 25 (IBIR) 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.)2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) 2012 – 2012. évi CLXVI. Törvény 2012 – 2012. évi CLXVI. Törvény ………….és a növekvő kiberfenyegetettség.és a növekvő kiberfenyegetettség
2013. évi L. törvény (Ibtv.) - 2013. évi L. törvény (Ibtv.) - előzmények előzmények
2013. évi L. törvény – áttekintés 2013. évi L. törvény – áttekintés Az állami és önkormányzati szervek elektronikus Az állami és önkormányzati szervek elektronikus
információbiztonságáról (2013. április 15.) információbiztonságáról (2013. április 15.) „„A nemzet érdekében kiemelten fontos – napjaink információs A nemzet érdekében kiemelten fontos – napjaink információs
társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek rendszerelemek biztonságbiztonsága.” „Társadalmi elvárás az állam és a polgárai a.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk kezelt adatok és információk bizalmasságbizalmasságának, ának, sértetlenségsértetlenségének és ének és rendelkezésre állásrendelkezésre állásának, valamint ezek rendszerelemei ának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”védelme.”
Hatályba lépett: 2013. július 01.Hatályba lépett: 2013. július 01.
Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.)Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.)
Ellenőrzési/felügyeleti jogEllenőrzési/felügyeleti jog Információbiztonsági FelügyelőInformációbiztonsági Felügyelő Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok,
adatkezelést végzők, létfontosságú rendszereket üzemeltetők,adatkezelést végzők, létfontosságú rendszereket üzemeltetők, Felelős az első számú vezetőFelelős az első számú vezető IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati EgyetemIBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem Bejelentési kötelezettség: 2013. augusztus 31.Bejelentési kötelezettség: 2013. augusztus 31. IBSZ (2013. szept.28. -> 2014. febr. 04.)IBSZ (2013. szept.28. -> 2014. febr. 04.) Kockázatok elemzésKockázatok elemzés Rendszer és szervezet besorolás (2014. július 01.)Rendszer és szervezet besorolás (2014. július 01.) Cselekvési terv (2014. szept. 30.)Cselekvési terv (2014. szept. 30.) Kiegészítések:Kiegészítések:
26/2013 KIM rendelet26/2013 KIM rendelet 73/2013 NFM rendelet73/2013 NFM rendelet 77/2013 NFM rendelet77/2013 NFM rendelet 233/2013 Korm. rendelet233/2013 Korm. rendelet 301/2013 Korm. rendelet301/2013 Korm. rendelet
2013. évi L. törvény – áttekintés 2013. évi L. törvény – áttekintés
{{Köszönöm a figyelmetKöszönöm a figyelmet
Budai László
IT Biztonságtechnikai üzletágvezető
Telefon: + 36 – 1 470-5038
Mobil: + 36 – 20 – 483-9237
Email: [email protected]
Kérdések - válaszokKérdések - válaszok