1 / 20

Informatikai biztonsági ellenőrzés

Informatikai biztonsági ellenőrzés. Budai László IT Biztonságtechnikai üzletágvezető. - az ellenőrzés részletes feladatai. Informatikai biztonsági ellenőrzés. - Bemutatkozás. www.nador.hu I Tel.: + 36 1 470-5000 I info @ nador.hu. Nádor Rendszerház Kft. Alapítás : 1992

meena
Télécharger la présentation

Informatikai biztonsági ellenőrzés

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai

  2. Informatikai biztonsági ellenőrzés - Bemutatkozás www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

  3. Nádor Rendszerház Kft. • Alapítás: 1992 • Magyar tulajdonosok • Alkalmazottak száma: több mint 60 fő • Éves árbevétel: 5,7 milliárd Ft

  4. Nádor Rendszerház Kft. - üzletágak • IT eszközök • IT szolgáltatások • IT biztonság • Közbeszerzés • Szoftverfejlesztés • Vonalkód technika és RFID • Távközlés • Irodatechnika

  5. Nádor Rendszerház Kft. - minősítések • MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer • MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer • MSZ EN ISO 14001:2009 • Környezetirányítási rendszer • NATO Minősített Beszállító cím

  6. Nádor Rendszerház Kft. – IT biztonság • Megoldások • Adatszivárgás elleni védelem • Vírus, Spam és URL szűrés • Naplóbejegyzések gyűjtése és kiértékelése • Tűzfalak és behatolás jelző megoldások • Felhasználói azonosítás • Mobileszköz védelem • Archiválás • Wifi hálózatok védelme • PKI rendszerekhez kapcsolódó megoldások • Tempest eszközök • Fájl szerverek, virtuális gépek védelme • Hozzáférés kezelés / felügyelet • Szolgáltatások • Audit • Kockázatelemzés • Szabályzatok és IBIR kialakítás • ITIL v3 bevezetés • Bevezetés és oktatás • EthicalHacking • Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server) • Biztonsági hardening és monitoring • Spam szűrő szolgáltatás • IT biztonsági szakértői szolgáltatások

  7. Informatikai biztonsági ellenőrzés Vizsgálatok www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

  8. Informatikai biztonsági ellenőrzés - előkészítés • Ellenőrzés előkészítése • A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás) • Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet) • Dokumentációk bekérése • Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) • Interjúkra, vizsgálatra való felkészülés

  9. Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatása • Interjúk lefolytatása • Időpontok egyeztetése • Kérdőív alapján, Excel táblázat • Vizsgálatok lefolytatása • Szabályzatok vizsgálata • Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) • Biztonsági incidensek felderítését célzó vizsgálatok (Forensicvizsgálatok) • Logok vizsgálata • Adathozzáférések vizsgálata

  10. Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatok • Informatikai Biztonsági Politika • Informatikai Biztonsági Stratégia • Informatikai Biztonsági Szabályzat • Üzemeltetési Szabályzat • Felhasználói Szabályzat • Vírusvédelmi szabályzat • Mentés és Archiválási Szabályzat • BCP/DRP Szabályzat • Megfelelés a törvényeknek, szabványoknak • Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) • DRP tesztelés

  11. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok • Web portálok vizsgálata (pl: Acunetics, Rapid7) • Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) • Blackbox • Greybox • Whitebox • Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfeeVulnerability Management) – frissítések telepítésének ellenőrzése, • Adatbázis vizsgálatok, scriptek • WiFi és VPN vizsgálatok • Alkalmazás vizsgálatok • Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)

  12. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok Általánosságban: • Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) • Reakció vizsgálata (idő, felkészültség, riasztási rendszer) • Szoftver jogtisztaság • Informatikával előre egyeztetett időpontban, meghatalmazással • Kiemelt felhasználói jogosultság • Rendszerösszeomlás elkerülése • Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, • Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása • Fejlesztés esetén tesztadatok (nem az éles adatokkal)

  13. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok • Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret • Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek • Merevlemezen tárolt adatok felderítése • Általánosságban: • A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon – HASH!) • A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunk

  14. Informatikai biztonsági ellenőrzés – Jelentéskésztés • Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer • A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra) • Kérdőív táblázat csatolása • Sérülékenységi vizsgálat során keletkezett riportok csatolása • Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók

  15. Informatikai biztonsági ellenőrzés – Vizsgálatok ismétlése • Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2) • A vizsgálat megismétlését is célszerű elvégezni. Delta riport.

  16. Információbiztonság a közigazgatásban 2013. évi L. Törvény (Ibtv.) www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

  17. 2013. évi L. törvény (Ibtv.) - előzmények • 1992 – Adatvédelmi törvény (1992. évi LXII. tv.) • 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) • 2004 – ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez • 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) • 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu • 2008 – KIB 25 (IBIR) • 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) • 2012 – 2012. évi CLXVI. Törvény • …….és a növekvő kiberfenyegetettség

  18. 2013. évi L. törvény – áttekintés • Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) • „A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.” • Hatályba lépett: 2013. július 01.

  19. 2013. évi L. törvény – áttekintés • Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.) • Ellenőrzési/felügyeleti jog • Információbiztonsági Felügyelő • Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, • Felelős az első számú vezető • IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem • Bejelentési kötelezettség: 2013. augusztus 31. • IBSZ (2013. szept.28. -> 2014. febr. 04.) • Kockázatok elemzés • Rendszer és szervezet besorolás (2014. július 01.) • Cselekvési terv (2014. szept. 30.) • Kiegészítések: • 26/2013 KIM rendelet • 73/2013 NFM rendelet • 77/2013 NFM rendelet • 233/2013 Korm. rendelet • 301/2013 Korm. rendelet

  20. Köszönöm a figyelmet Budai László IT Biztonságtechnikai üzletágvezető Telefon: + 36 – 1 470-5038 Mobil: + 36 – 20 – 483-9237 Email: budai.laszlo@nador.hu Kérdések - válaszok

More Related