Transcript IT biztonsági képzés

képzés
Közszolgálati
információbiztonsági felelős
Muha Lajos PhD, CISM
tanszékvezető főiskolai tanár
ZMNE BJKMK IHI Informatikai Tanszék
Muha Lajos: Informatikai biztonság
Miért kell?
Az élet minden területén egyre
bonyolultabb és nagy kiterjedésű
informatikai rendszerek alakulnak ki.
Az intézmények tevékenységét és
működését mind intenzívebben
támogatják informatikai alkalmazások.
Ezzel együtt emelkedik az informatikai
biztonság szerepe és jelentősége.
Muha Lajos: Informatikai biztonság
Szükséges?
• Felkészültünk
az
informatikai
rendszereinket
ért
támadások
megelőzésére, a károk enyhítésére, a
következmények felszámolására?
• Ehhez
vannak-e
felkészült
szakembereink, akik már a támadás előtt
– preventív módon – a megelőzéssel
foglalkoznak,
akik
képesek
a
kárfelszámolásra?
Muha Lajos: Informatikai biztonság
Miért kell?
AZ INFORMÁCIÓ:
• érték, vagyon,
• hatalom.
Muha Lajos: Informatikai biztonság
Ki (mi) fenyeget?
•
•
•
•
•
•
•
•
•
kiberterrorizmus (cyberterrorizm);
információs műveletek (információs hadviselés);
gazdasági hírszerzés;
ipari kémkedés;
hackerek, crackerek;
rosszindulatú, bosszúálló munkatársak;
képzetlen, hanyag, felelőtlen munkatársak;
természeti csapások;
műszaki hibák.
Muha Lajos: Informatikai biztonság
Az informatikai védelem
A
rendszerben
kezelt
adatok
bizalmasságának, sértetlenségének
és rendelkezésre állásának, valamint
a rendszer elemei sértetlenségének
és rendelkezésre állásának védelme.
Muha Lajos: Informatikai biztonság
Miért kell vele foglalkozni?
Muha Lajos: Informatikai biztonság
A védelem feladatai
1. megelőzés és
korai figyelmeztetés
2. észlelés
3. reagálás
4. incidens vagy krízis
menedzsment
Muha Lajos: Informatikai biztonság
Az informatikai
biztonsággal kapcsolatos
jogszabályok, szabványok
és ajánlások
Muha Lajos: Informatikai biztonság
E-közigazgatás
• 2004. évi CXL. törvény a közigazgatási
hatósági eljárás és szolgáltatás általános
szabályairól (Ket.)
• 2009. évi LX. törvény az elektronikus
közszolgáltatásról
• 2009. évi LXXVI. törvény a szolgáltatási
tevékenység megkezdésének és
folytatásának általános szabályairól
Muha Lajos: Informatikai biztonság
E-közigazgatás
• 222/2009. (X. 14.) Korm. rendelet az
elektronikus közszolgáltatás
működtetéséről
• 223/2009. (X. 14.) Korm. rendelet az
elektronikus közszolgáltatás
biztonságáról
Muha Lajos: Informatikai biztonság
Common Criteria
• A
Common Criteria (CC, Közös
Követelmények) az Európai Közösség,
valamint az amerikai és a kanadai
kormányok
támogatásával
került
kidolgozásra.
• A CC követelményrendszerének első
három
fejezetét
kitevő
„CC
2.0”
dokumentumot ISO/IEC 15408 számon
nemzetközi szabványként is kiadták.
Muha Lajos: Informatikai biztonság
ISO/IEC 270xx
• ISO/IEC 27000 – Szószedet és
terminológia (definíciók a sorozat összes
szabványához). Fejlesztés alatt.
• ISO/IEC 27001 – Az informatikai biztonság
irányítási rendszere (BS 7799-2:2002), a
szervezet auditálásához szükséges
(megfelelőségi) előírások. Az ISO/IEC
27001 szabványt 2005.10.14-én tették
közzé ISO/IEC 27001:2005 számon.
Muha Lajos: Informatikai biztonság
ISO/IEC 270xx
• ISO/IEC 27002 – Az ISO/IEC 17799:2005
szabvány utódja, azzal gyakorlatilag
megegyezik. Az informatikai biztonság
irányítása gyakorlati előírásait, ellenőrzési
célokat és a legjobb gyakorlatot (best
practice) írja le.
• ISO/IEC 27003 – Az ISO/IEC 27000
szabvány implementálásához szükséges
tanácsokat és útmutatókat fogja
tartalmazni. A szabvány még csak terv.
Muha Lajos: Informatikai biztonság
ISO/IEC 270xx
• ISO/IEC 27004 – Egy új szabvány lesz,
amely az informatikai biztonság mérésével
fog foglalkozni, abból a célból, hogy az
informatikai biztonság irányítási
rendszerének hatékonyságát mérni tudjuk.
ISO/IEC 27005 – Az informatikai biztonság
kockázatkezelésével foglalkozik. Az
ISO/IEC 13335-3 és 13335-4 szabványok
felülvizsgálatával készül. Fejlesztés alatt
áll.
Muha Lajos: Informatikai biztonság
ISO/IEC 270xx
• ISO/IEC 27006 – az ISO/IEC IEC 27001
szabványnak való megfelelést vizsgáló
szervezetek számára tartalmaz
követelményeket.
• ISO/IEC 27011 – informatikai
biztonságirányítási irányelvek a
telekommunikációnak. Jelenleg ez a
szabvány fejlesztés alatt áll.
Muha Lajos: Informatikai biztonság
KIB 25. számú ajánlás
• MIBIK
• MIBÉTS
• IBIX
Muha Lajos: Informatikai biztonság
MIBIK
A Magyar Informatikai Biztonság Irányítási
Keretrendszere (MIBIK)
Az ISO 27000, az ISO/IEC TR 13335
szabványok, továbbá a Security within the
North Atlantic Treaty Organisation és az
Európai Unió (Európai Unió Tanácsának
Biztonsági Szabályzata figyelembe vételével
készült.
Muha Lajos: Informatikai biztonság
25/1-1. IBIR
Az
Informatikai
Biztonsági
Irányítási
Rendszer a TVEB (PDCA = Plan-Do-CheckAct,
Tervezés-Végrehajtás-EllenőrzésBeavatkozás) modellen alapul. Ezek a
folyamatok lefedik a teljes tevékenységi
ciklust, megcélozva az effektív informatikai
biztonság
irányítását
egy
folytonos
fejlesztési programon keresztül.
Muha Lajos: Informatikai biztonság
25/1-2 IBIK
Az
Informatikai
Biztonsági
Irányítási
Követelmények
alapját
az
ISO/IEC
27002:2005, az ISO/IEC TR 13335
nemzetközi szabványok, továbbá a NATO
és az Európai Unió releváns szabályozásai
képezik.
Muha Lajos: Informatikai biztonság
25/1-3 IBIV
Az Informatikai Biztonság Irányításának
Vizsgálata c. vizsgálati módszertan alapját a
MeH ITB 8. számú ajánlás, a BS 77992:2002 szabvány, és az ehhez kapcsolódó
PD 3001 – PD 3005 munkadokumentumok
képzik, továbbá az IFIP 199/200 (USA)
előírások.
Muha Lajos: Informatikai biztonság
IBIV
Az összeállított kérdőívek lefedik az
Informatikai Biztonság Irányítási Rendszer
(IBIR, ISMS – Information Security
Management System) folyamatokat.
Segítségükkel
részletesen
meghatározhatjuk,
hogy
az
IBIK
követelményei
mennyiben
kerültek
megvalósításra. (Az intézkedések részletes
vizsgálata.)
Muha Lajos: Informatikai biztonság
MIBÉTS
Magyar Informatika Biztonság Értékelési és
Tanúsítási Séma
A Common Critéria egyezményhez (2003.
október) való csatlakozás után kezdődött
meg egy magyar „lite CC” kidolgozása
Muha Lajos: Informatikai biztonság
A képzés célja
A képzés célja olyan közszolgálati informatikai
biztonsági felelősök képzése, akik a képzést
követően alkalmassá válnak – a 223/2009
kormányrendelettel, továbbá a KIB 25. és 28.
számú ajánlásaival összhangban – a szervezet
informatikai biztonsági feladatainak tervezésére,
szervezésére és irányítására, továbbá a MIBIK
vagy az ISO/IEC 27001 szerinti auditálás, illetve
a MIBÉTS vagy a ISO/IEC15408 (CC) és
ISO/IEC 18045 (CEM) szerinti értékelés
előkészítésére
Muha Lajos: Informatikai biztonság
célcsoport
A közszolgálati informatikai
rendszerekben kijelölt
informatikai biztonsági
felelősök.
Muha Lajos: Informatikai biztonság
Megszerezhető kompetenciák
• A vonatkozó hazai és nemzetközi szabványok ismerete
• szervezeti biztonság, személyi biztonság, fizikai és
környezeti biztonság
• az eszközök biztonsági besorolása és ellenőrzése
• számítógépes hálózati szolgáltatások és az üzemeltetés
menedzsmentje
• hozzáférés menedzsment, fejlesztés és karbantartás,
biztonsági incidensek kezelése, működésfolytonosság
• jogszabályi megfelelőség
• a MIBIK vagy az ISO/IEC 27001 szerinti auditálás
• a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC 18045
(CEM) szerinti értékelés
Muha Lajos: Informatikai biztonság
követelmények
A továbbképzés befejezésekor a
résztvevőknek megalapozott
ismeretekkel kell rendelkezniük a
tematikában szereplő témaköröket
illetően, jártasságot kell szerezniük azok
elemzésében és az összefüggések
feltárásában.
Muha Lajos: Informatikai biztonság
követelmények
A képzés 80 %-án való részvétel szükséges
ahhoz, hogy a résztvevő jogosult legyen a
záróvizsgán részt venni, és hogy tanúsítványt
kapjon. Nincs tematikai egységenkénti
értékelés, csak a képzés végén a tananyag
egészéből kell írásbeli tesztvizsgát tenniük a
résztvevőknek.
Muha Lajos: Informatikai biztonság
Ellenőrzés-értékelés
A továbbképzési program elsajátításának
ellenőrzése egyfelől a konkrét témák
interaktív előadása és konzultációja
keretében, a szóbeli kérdésekre adott
válaszok alapján, másfelől záróvizsgán,
tesztfeladat-lap kitöltésével történik.
A záróvizsgán a megfelelő értékeléshez
legalább 60 %-os eredmény szükséges –
ezek az értékelés általános szempontjai.
Muha Lajos: Informatikai biztonság
Köszönöm a figyelmet!
Muha Lajos: Informatikai biztonság