AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security PackagePackage
Bevezetés az Informatikai biztonsághoz
2012 Szeptember 12.
„Tévedni emberi dolog, de ha igazán el akarsz rontani valamit, számítógépre van szükséged.” /Paul Ehrlich/
Mi a helyzet manapság az informatikával?
© 2004 KÜRT Computer
- Napi kétszeri baleset ismeretlen okból
- Új autót kell vásárolni, ha a közlekedési
jeleket újrafestik
- Minden új autónál újra kellene tanulni a
vezetést
- Az autó rendszeresen, ismeretlen okból
lemenne az útról
© 2004 KÜRT Computer
lemenne az útról
- Bizonyos manővereknél az autó
megtagadná az utasítást
- Az autó rendszeresen, minden ok nélkül
kizárná a vezetőjét
- A légzsák kioldás előtt megkérdezné:
„Biztos benne?”/Rodgers, General Motors/
• Eszközök
• Emberek
Mi az informatika?
© 2004 KÜRT Computer
• Emberek
• Folyamatok
A Társaság legbefolyásosabb szervezete!?
• Levelezés?
• Könyvelés?
• Bérszámfejtés?
Mi az informatika?
© 2004 KÜRT Computer
• Bérszámfejtés?
• Fájlkezelés?
• Internet-elérés?
• ….
© 2004 KÜRT Computer
Üzleti oldali elvárások
kiszolgáló
Az üzleti oldali megközelítés fontossága
© 2004 KÜRT Computer
kiszolgáló infrastruktúra
kapcsolódó erőforrások
Az üzletvitelt leghatékonyabban támogató
(automatizált) szolgáltatások biztosítása.
Az informatika feladata
© 2004 KÜRT Computer
(automatizált) szolgáltatások biztosítása.
• Cloud
• Mobil eszközök
(BYOD)
• Hadviselés (terror)
• Professzionális
bűnözés
Mi a helyzet manapság az informatikai biztonsággal ?
© 2004 KÜRT Computer
(BYOD)
• E-bank és
e-kereskedelem
• Social media – social
engineering
bűnözés
• Programozott kártevők
• Személyes adatok
védelme
• Az adatok egyre inkább elektronikus formában kerülnek
tárolásra
• A szervezetek informatika nélkül működésképtelenek
Az informatikai biztonság aktualitásai
© 2004 KÜRT Computer
• A szervezetek informatika nélkül működésképtelenek
• Az informatikai függőség egyre nagyobb
• Az informatikai rendszerek fenyegetettsége kritikus
• Létszükséglet a szolgáltatások folytonossága és az
adatok bizalmas kezelése
• Informatikai alapfenyegetettségnek azon fenyegető tényezők hatásösszegét nevezzük, amelyek az információk
– rendelkezésre állását;
– sértetlenségét;
Biztonság
© 2004 KÜRT Computer
– bizalmasságát;
– hitelességét;
• illetve az informatikai rendszer
– rendelkezésre állását;
– funkcionalitását
veszélyeztetik.
Biztonsági szint
100 %-os biztonság
Rögzített, elérendő biztonsági szint
Biztonsági rés
A biztonsági rés
© 2004 KÜRT Computer
Az IT biztonságra fordított összeg
A biztonság pillanatnyi szintje
Biztonsági rés
Okozott kár
Kockázati tényezők hatásai és bekövetkezési valószínűsége
© 2004 KÜRT Computer
Bekövetkezési valószínűség
Biztonsági szint
100 %-os biztonságKár költsége
Összes költség
Az optimális biztonsági szint
© 2004 KÜRT Computer
Az IT rendszerből származó költségek
Elérendő, optimális biztonsági szint
Biztonság költsége
Optimális költségszint
• A fejlődés mindig kockázatok felvállalásával jár.
A kockázat önmagában se nem jó, se nem rossz…!
Kockázatok és lehetőségek kapcsolata
© 2004 KÜRT Computer
•• KockázatkezelésKockázatkezelés: fenntartható egyensúly teremtése a
negatív következményekből származó károk és a
lehetséges előnyök között.
��ISO/IEC 27001ISO/IEC 27001
(Specification for Information Security Management Systems)
��CCOBIOBIT 4.1T 4.1
Nemzetközi szabványok, ajánlások
© 2004 KÜRT Computer
��CCOBIOBIT 4.1T 4.1
(Control Objectives for Information and Related Technology)
��ITIL 3ITIL 3
(IT Infrastructure Library)
ISO/IEC 27001 – értékelhető biztonság
• Statikus vizsgálati módszer az általános védelmi
intézkedések vizsgálatával. Pl.:
– Fizikai védelem
– Logikai védelem
© 2004 KÜRT Computer
– Logikai védelem
– Adatosztályozás
– Mentés és archiválás
– Külső kapcsolatok védelme
PDCA modell
© 2004 KÜRT Computer
• Hol vagyunk?
• Hova igyekszünk?
Biztonsági szint
100 %-os biztonságKár költsége
Összes költség
Kockázatkezelés I.
© 2004 KÜRT Computer
• Hova igyekszünk?
• Hogyan jutunk el oda?
Az IT rendszerből származó költségek
Elérendő, optimális biztonsági szint
Biztonság költsége
Optimális költségszint
• Hol vagyunk? (helyzetfelmérés)• jelenlegi szervezeti és működési
környezet,
Kockázatkezelés II.
© 2004 KÜRT Computer
• létező biztonsági stratégia,• kiemelkedő biztonsági feladatok,
gyenge pontok,• jelenlegi védelmi és biztonságtechnikai
elemek.
• Hova igyekszünk? (célkitűzések)• jövőbeni szervezeti és működési
környezet,
Kockázatkezelés III.
© 2004 KÜRT Computer
• új feladatok, esetleges átcsoportosítások,
• igényelt erőforrások, várható hatásaik,• elérhető eredmények.
Intézkedések
© 2004 KÜRT Computer
Intézkedések
© 2004 KÜRT Computer
© 2004 KÜRT Computer
• A Társaság vagy egy szervezetének folyamatos működésének biztosítása –BCP
Üzletmenet és üzemmenet folytonosság
© 2004 KÜRT Computer
BCP
• Az informatikai rendszer folyamatos működésének biztosítása – OCP
• Termelés folytonosság biztosítása – PCP
• Katasztrófa utáni működés helyreállítása -DRP
Összefoglalás
• Üzleti cél orientált vizsgálatok
• Folyamat központú szervezetek és munkavégzés
• Kockázatarányos (költség-optimális) védelem
© 2004 KÜRT Computer
• Ellenőrzés – visszacsatolás
Értékelés
Az elıadások értékelése CSAK elektronikus formában!
© 2004 KÜRT Computer
Top Related