02 IT Biztonsági tanácsok

1,402 views
1,323 views

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,402
On SlideShare
0
From Embeds
0
Number of Embeds
296
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

02 IT Biztonsági tanácsok

  1. 1. IT biztonsági tanácsok
  2. 2. Az „ IT biztonság” az „ információbiztonságnak” csupán egy része, mégis az informatika elterjedésével az utóbbi időben egyre inkább előtérbe kerül. A következőkben arra mutatunk be néhány javaslatot, hogy – már az információbiztonsági irányítási rendszer bevezetését megelőzően is, – mire érdemes az IT biztonság területén odafigyelni, hogy sok bajt el tudjunk kerülni.
  3. 3. Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik . Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „meg nem égette magát” vele . Elvárások felhasználói oldalról: </li></ul><ul><ul><li>A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre . </li></ul></ul><ul><ul><li>Minden szervezetnél – akár tudomásul vesszük, akár nem, – van &quot;információ-szivárgás&quot;. Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek. </li></ul></ul>
  4. 4. IT alkalmazásának veszélyei (példák) <ul><li>Mi történik, ha … </li></ul><ul><li>… ha egy időre megbénul egy beüzemelt vállalatirányítási rendszer? </li></ul><ul><li>… összeomlik vagy hibás adatokat ad egy diagnosztikai berendezés elektronikája? </li></ul><ul><li>… leáll az automata gyártósor termelésirányító szoftvere? </li></ul><ul><li>… összeomlik egy önkormányzat vagy hatóság egyik (pl. levelező) szervere? </li></ul><ul><li>… ellopják az igazgató notebookját, rajta az összes üzleti adattal, az új tender bizalmas adataival? </li></ul><ul><li>… sértődötten mond fel a rendszergazda, és …? </li></ul><ul><li>… a felmondott (és netalán konkurenciához pártolt) fejlesztőink, mérnökeink (távoli) hálózati belépései az informatikai rendszerünkbe továbbra is élnek? </li></ul><ul><ul><ul><li> VESZÉLYEZTETI A TERMELÉST, A VÁLLALÁSOK TELJESÍTÉSÉT, AZ ÜZLETI ÉRDEKEKET, ÉS VÉGSŐ ESETBEN A VÁLLALAT LÉTÉT!!!!!! </li></ul></ul></ul>
  5. 5. Változó körülmények – új kockázatok <ul><li>Megváltozott a világ, új jelenségek, új kockázatok: </li></ul><ul><ul><li>IT dominancia, növekvő függőség </li></ul></ul><ul><ul><li>szaporodó e-megoldások, hálózat-érzékeny rendszerek </li></ul></ul><ul><ul><li>támadások, szándékos károkozás (vírus, betörések) </li></ul></ul><ul><ul><li>szoftver-érzékeny rendszerek szaporodása </li></ul></ul><ul><ul><li>fejlesztési projektek kudarcai </li></ul></ul><ul><ul><li>működő informatikai alkalmazások hibái </li></ul></ul><ul><ul><li>eszköz-meghibásodások (hardverhiba, szoftver-problémák) </li></ul></ul><ul><ul><li>virtuális vállalatok léte, Internet-függősége </li></ul></ul><ul><ul><li>szélsőséges időjárási viszonyok </li></ul></ul><ul><ul><li>terrorista támadások </li></ul></ul>
  6. 6. IT rendszerek fenyegetettségének okai <ul><li>technikai, technológiai problémák, meghibásodás </li></ul><ul><li>emberi mulasztás, vétett hibák </li></ul><ul><li>üzemeltetési problémák, alkalmazások hibás működése </li></ul><ul><li>környezeti, partner-rendszeri problémák </li></ul><ul><li>problémák a tervezésben, szoftverkiválasztásban </li></ul><ul><li>vírusok okozta károk </li></ul><ul><li>természeti csapás, áramkimaradás </li></ul><ul><li>betörés adatbázisokba, szoftver-rendszerek rongálása, Internetről érkező támadások </li></ul><ul><li>stb… </li></ul><ul><ul><li>Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell! </li></ul></ul>
  7. 7. Az információbiztonság jelentése <ul><li>Bizalmasság , annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. </li></ul><ul><li>Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. </li></ul><ul><li>Rendelkezésre állás , annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges . </li></ul>
  8. 8. Az információvédelem értelmezése <ul><li>Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. </li></ul><ul><li>Két fő területe: </li></ul><ul><ul><li>Az információs rendszerek adatvesztés elleni védelmét , az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. </li></ul></ul><ul><ul><li>Az információs rendszerek adataihoz való illetéktelen hozzáférést és beavatkozást meggátló szabályozások, folyamatok és megoldások. </li></ul></ul>
  9. 9. <ul><li>Már tervezéskor gondolkodjunk előre! </li></ul><ul><ul><li>Bővíthetőség (jelenlegi és jövőbeli kapacitás figyelembe vétele) </li></ul></ul><ul><ul><li>Biztonsági elvárások figyelembe vétele (jelenjenek meg a funkcionális követelmények között!) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése Ha egy informatikai rendszert kezdetekben a megfelelő biztonsági megoldások nélkül terveznek, majd így kezdenek el működtetni és a sikeres működést szinte menetrendszerűen követő visszaélések kényszerítik ki utólag a védelmek alkalmazását, akkor a legtöbbször már csak toldozás-foltozás jellegű megoldások adhatók, amelyek általában drágább és sokkal kevésbé hatásos eredményre vezetnek.
  10. 10. <ul><li>Figyeljünk oda az áramellátás stabilitására! </li></ul><ul><ul><li>Az áramellátás kimaradása vagy a megengedettnél nagyobb mértékű ingadozása menet közben leállíthatja a számítógépeket, néha károsodást okozva a hardverben és a futó programokban. </li></ul></ul><ul><ul><li>Szünetmentes áramellátás (legalább a kritikus funkciót ellátó számítógépek, pl. szerverek, mérésadatgyűjtők, stb. esetén.) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  11. 11. <ul><li>Legyen tartalékunk! </li></ul><ul><ul><li>Kulcsfontosságú berendezések fizikai meghibásodásakor az üzemelés folyamatosságának biztosítására. </li></ul></ul><ul><ul><li>Tartalék berendezések (hideg tartalék – meleg tartalék – forró tartalék) </li></ul></ul><ul><ul><li>Duplikált berendezések (tükrözések, RAID technikák, stb…) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése Murphy törvénye: „Ami elromolhat, az el is romlik.”
  12. 12. <ul><li>Mentsük az adatainkat! </li></ul><ul><ul><li>A számítógép merevlemezén tárolt fontos adatok visszaállíthatóságának biztosítása, azok sérülése vagy elvesztése esetére </li></ul></ul><ul><ul><li>Rendszeres mentések – külső, független adathordozóra. </li></ul></ul><ul><ul><li>Mentési stratégia, ciklus, rendszer, módszer – meghatározása, szabályozása és betartása. </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  13. 13. <ul><li>Archiváljunk! </li></ul><ul><ul><li>Már nem módosítható információk elérhetőségének, visszakereshetőségének hosszú távú biztosítása. </li></ul></ul><ul><ul><li>Adatok kiírása nem törölhető, hosszú életű adathordozóra, majd azok tárolása biztonságos helyen. </li></ul></ul><ul><ul><li>Nagyon fontos! Ne csak az adatokat archiváljuk, hanem az archivált adatok megjelenítésére képes rendszereket is!!! </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  14. 14. <ul><li>Rendszergazda szerepköre! </li></ul><ul><ul><li>rendszeradminisztrátori jelszó biztonsága. </li></ul></ul><ul><ul><li>rendszergazdai tevékenység szabályozása dokumentáltan </li></ul></ul><ul><ul><li>Rendszergazdai tevékenység kontrollingja, naplózása, stb…. </li></ul></ul><ul><ul><li>kapcsolódó felelősségek rögzítése munkaszerződésben </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  15. 15. <ul><li>Jelszavaink legyenek titkosak! </li></ul><ul><ul><li>Jelszavak használata kötelező . </li></ul></ul><ul><ul><li>Jelszavak titkossága . </li></ul></ul><ul><ul><li>Jelszóképzés szabályozása – nehezen kitalálható jelszavak </li></ul></ul><ul><ul><li>Jelszóhasználat szabályozása – jelszavak cseréje, … </li></ul></ul><ul><ul><li>Különböző rendszerekhez különböző jelszavakat.! </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  16. 16. <ul><li>Használjunk vírusölő programokat! </li></ul><ul><ul><li>Védekezés a különböző kártékony kódok (vírusok, férgek, kémprogramok, trójaiak, keyloggerek, rootkitek, stb.) ellen. </li></ul></ul><ul><ul><li>Minden gépen legalább egy vírusölő és legalább egy kémprogram-irtó program fusson állandóan . </li></ul></ul><ul><ul><li>Folyamatosan frissülő vírusadatbázis . </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  17. 17. <ul><li>Kapukat lezárni! </li></ul><ul><ul><li>Az interneten és külső kapcsolatokon megnyitott kapukat célszerű lezárni, és a rajtuk átmenő adatforgalmat ellenőrzés alatt tartani. </li></ul></ul><ul><ul><li>Tűzfalak használata, paraméterezése és működtetése. (hardveres és / vagy szoftveres) </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  18. 18. <ul><li>Titkosítsuk a bizalmas levelezést! </li></ul><ul><ul><li>A bizalmas információk e-mail-en keresztül történő küldése során azt nem tudjuk megakadályozni, hogy mások ne láthassák leveleinket. Azt viszont megakadályozhatjuk, hogy ne tudják elolvasni őket. </li></ul></ul><ul><ul><li>Kriptográfia (titkosító algoritmusok, kódolók-dekódolók, digitális aláírás, stb.) alkalmazása. </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  19. 19. <ul><li>Növeljük a tudatosságot! </li></ul><ul><ul><li>Fontos, hogy munkatársaink tisztában legyenek a veszélyekkel, és tudatosan védekezzenek ellenük! </li></ul></ul><ul><ul><li>Belső védelmi szabályok (pl. biztonsági házirend, információbiztonsági szabályzat, …) kialakítása, oktatása, betartása és ellenőrzése. </li></ul></ul><ul><ul><li>Védekezés a „ social engineering ” ellen is. </li></ul></ul><ul><ul><li>Belső oktatások, tréningek, tudatosító programok jelentősége! </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  20. 20. <ul><li>Köszönöm megtisztelő figyelmüket! </li></ul>

×