05 ISMS alapok

2,627 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,627
On SlideShare
0
From Embeds
0
Number of Embeds
712
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

05 ISMS alapok

  1. 1. Az információbiztonság és információvédelem alapjai
  2. 2. <ul><li>Az információbiztonság aktualitása </li></ul><ul><li>Az információ fogalma </li></ul><ul><li>A fenyegetettségekről, veszélyekről </li></ul><ul><li>Az információbiztonság fogalma </li></ul><ul><li>Az információvédelmi irányítási rendszer (ISMS) fogalma </li></ul><ul><li>Az ISMS bevezetése előnyei </li></ul>Tartalom
  3. 3. Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik . Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „ meg nem égette magát ” vele . </li></ul>
  4. 4. Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik . Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „ meg nem égette magát ” vele . </li></ul><ul><li>Elvárások felhasználói oldalról: </li></ul><ul><ul><li>A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre . </li></ul></ul>
  5. 5. Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik . Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „ meg nem égette magát ” vele . </li></ul><ul><li>Elvárások felhasználói oldalról: </li></ul><ul><ul><li>A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre . </li></ul></ul><ul><ul><li>Minden szervezetnél – akár tudomásul vesszük, akár nem, – van &quot;információ-szivárgás&quot;. Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek. </li></ul></ul>
  6. 6. Az információbiztonság aktualitása <ul><li>Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. </li></ul><ul><li>Ebben a helyzetben segít rendet teremteni az információ-biztonsági irányítási rendszer ! </li></ul>
  7. 7. Az ISMS jelentése <ul><li>ISMS = I nformation S ecurity M anagement S ystem </li></ul><ul><li>(angol) </li></ul><ul><li>IBIR = i nformáció b iztonsági i rányítási r endszer </li></ul><ul><li>IVIR = i nformáció v édelmi i rányítási r endszer </li></ul><ul><li>(magyar) </li></ul>
  8. 8. Az információ fogalma <ul><li>Adat = ismeretelem </li></ul><ul><li>(Oxford szótár) </li></ul><ul><li>Információ = értelemmel bíró adat </li></ul><ul><li>IVIR = i nformáció v édelmi i rányítási r endszer </li></ul><ul><li>(MSZ EN ISO 9000:2001) </li></ul>
  9. 9. A védelem aktualitása <ul><li>Az információ ÉRTÉK </li></ul><ul><li>Jó lépések, döntések, üzleti sikerek, stb. alapja </li></ul><ul><li>Hiánya, nem megfelelősége, a bizalmasság sérülése komoly gondokat okozhat </li></ul><ul><li>Fenyegetéseknek, veszélyeknek van kitéve </li></ul><ul><li>VÉDENI KELL ! </li></ul>
  10. 10. Az információ – mindig kötött az információhordozóhoz Számítógép központok Személyes beszélgetések Telefon- beszélgetések Dokumentumok papírok fóliák Nyomtató, fax, telex, teletex Adathordozók Laptop, Notebook PC, WS, DSS munkahelyek, informatikai oszt. Hálózatok, LAN WAN Microfish, Faxtekercsek, …
  11. 11. Veszélyforrások (Ábra forrása: MEH ITB 12. sz. ajánlása)
  12. 12. Példák súlyos üzemzavart előidéző okokra <ul><li>Tűz, víz, strukturális károsodás, </li></ul><ul><li>Szabotázs, lopás, </li></ul><ul><li>Robbanás, baleseti károsodás, </li></ul><ul><li>Ipari tevékenység, </li></ul><ul><li>Hardver, szoftver, hálózati hiba, </li></ul><ul><li>Adatvesztés, </li></ul><ul><li>Hozzáférés vesztés, </li></ul><ul><li>Környezeti berendezés hibája </li></ul>Korai felismerés – problémakezelés szerepe!
  13. 13. Információs rendszerek felépítése Emberi erőforrás Szoftver Hardver Rendszer
  14. 14. A leggyengébb láncszem – az emberi tényező TAPASZTALAT : A legtöbb biztonsági incidens emberi tényezőre vezethető vissza, azok közül is a legtöbb belső emberi tényezőre!
  15. 15. A leggyengébb láncszem – az emberi tényező <ul><li>Motivációk </li></ul><ul><li>Haszonszerzés </li></ul><ul><li>Bosszú </li></ul><ul><li>Irigység </li></ul><ul><li>Sértettség </li></ul><ul><li>Felindultság </li></ul><ul><li>Virtus </li></ul>TAPASZTALAT: A legtöbb biztonsági incidens emberi tényezőre vezethető vissza, azok közül is a legtöbb belső emberi tényezőre!
  16. 16. A leggyengébb láncszem – az emberi tényező <ul><li>Motivációk </li></ul><ul><li>Haszonszerzés </li></ul><ul><li>Bosszú </li></ul><ul><li>Irigység </li></ul><ul><li>Sértettség </li></ul><ul><li>Felindultság </li></ul><ul><li>Virtus </li></ul><ul><li>Egyéb okok: </li></ul><ul><li>Tudatlanság </li></ul><ul><li>Képzetlenség </li></ul><ul><li>Alkalmatlanság </li></ul><ul><li>Ellenséges magatartás </li></ul><ul><li>Gondatlanság </li></ul><ul><li>Kényelem </li></ul>TAPASZTALAT: A legtöbb biztonsági incidens emberi tényezőre vezethető vissza, azok közül is a legtöbb belső emberi tényezőre!
  17. 17. Social engineering <ul><li>A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni. </li></ul>Pszichológia eszközök között szerepelnek: - bizalomépítés, - együttérzés, - megfélemlítés vagy - a bűntudat kihasználása
  18. 18. A lehetséges károk információbiztonsági incidensek következtében <ul><li>Közvetlen károk: </li></ul><ul><li>Adatvesztés, az adatok visszaállításának költségei </li></ul><ul><li>Rendszerleállás, kiesések az üzleti folyamatokban </li></ul><ul><li>Hardver és szoftverkárok, helyreállítási költségek </li></ul><ul><li>Vállalati információk illetéktelen kezekbe jutása </li></ul>
  19. 19. <ul><li>Közvetlen károk: </li></ul><ul><li>Adatvesztés, az adatok visszaállításának költségei </li></ul><ul><li>Rendszerleállás, kiesések az üzleti folyamatokban </li></ul><ul><li>Hardver és szoftverkárok, helyreállítási költségek </li></ul><ul><li>Vállalati információk illetéktelen kezekbe jutása </li></ul><ul><li>Közvetett károk: </li></ul><ul><li>Vevői bizalom megrendülése </li></ul><ul><li>Vállalati imázs romlása </li></ul><ul><li>Dolgozói elégedetlenség </li></ul>A lehetséges károk információbiztonsági incidensek következtében
  20. 20. Az információ biztonsága jelentése <ul><li>Bizalmasság , annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. </li></ul><ul><li>Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. </li></ul><ul><li>Rendelkezésre állás , annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges . </li></ul>
  21. 21. Az információbiztonság értelmezése <ul><li>Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. </li></ul>
  22. 22. Az információbiztonság értelmezése <ul><li>Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. </li></ul><ul><li>Két fő területe: </li></ul><ul><ul><li>Adatvédelem : Az informatikai rendszerek adatvesztés elleni védelmét , az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. </li></ul></ul><ul><ul><li>Adatbiztonság : Az informatikai rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. </li></ul></ul>
  23. 23. A védelem felállításának kérdései <ul><li>Mit kell védenünk? – a védendő értékek feltérképezése </li></ul><ul><li>Mitől? – a külső / belső fenyegetettségek, kockázatok azonosítása </li></ul><ul><li>Hogyan? – a fizikai / logikai védelem, szabályozók meghatározása </li></ul><ul><li>„ Nincs teljes biztonság, csak optimális, még elfogadható biztonsági szint” </li></ul>
  24. 24. Mit is jelent az, hogy kockázat ? Kockázat = Információhiány Kockázati érték = bekövetkezési valószínűség * kárérték 
  25. 25. A kockázatkezelés folyamata Tapasztalatok Amilyen hamar lehet! Kockázat azonosítása Kockázat értékelése Kockázatok priorizálása Kockázatok minimalizálása Kockázatok felügyelete
  26. 26. Az információvédelem megvalósításának szakmai területei <ul><li>Az információvédelmi intézkedések a következő szakmai területek munkáját foglalják magába: </li></ul><ul><li>objektum, terület védelem, </li></ul><ul><li>személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől), </li></ul><ul><li>adatok, módszerek, eszközök védelme, </li></ul><ul><li>informatikai védelem, (fizikai, logikai és szervezési) </li></ul><ul><li>elemi károk, természeti csapások elleni védelem (az információ-biztonság szemszögéből). </li></ul>
  27. 27. A BS 7799 szabványok története Tervezett: ISO/IEC 27002:200x ISO/IEC 17799-1:2005 MSZ ISO/IEC 17799-1:2006 ISO/IEC 27001:2005 MSZ ISO/IEC 27001:2006 BS 7799-1:2002 BS 7799-2:2002 MSZE 17799-2:2004 BS 7799-1:1999 ISO/IEC 17799:2000 MSZ ISO/IEC 17799-1:2002 BS 7799-2:1999 Követelmények értelmezése Tanúsítási rendszerszabvány
  28. 28. Az információbiztonság szintjei <ul><li>Ad hoc, „ tűzoltás ”, utólagos intézkedések </li></ul><ul><li>Szigetmegoldások egyedi problémákra </li></ul><ul><li>Bizonyos műszaki szabványoknak való megfelelés </li></ul><ul><li>Logikusan átgondolt rendszer </li></ul><ul><li>Információbiztonsági irányítás szabvány szerint </li></ul><ul><ul><ul><li>Konkrét igényekre épül </li></ul></ul></ul><ul><ul><ul><li>Átgondolt, megtervezett </li></ul></ul></ul><ul><ul><ul><li>Teljes körű </li></ul></ul></ul><ul><ul><ul><li>Felügyelt, kontrollált, auditált </li></ul></ul></ul><ul><ul><ul><li>Az egyes témák foglalkozási mélysége megfelel a téma súlyának, jelentőségének </li></ul></ul></ul>
  29. 29. A rendszerépítés lépései <ul><li>Vezetői jóváhagyás a rendszer kialakítására </li></ul><ul><li>Tanácsadó szervezet kiválasztása </li></ul><ul><li>Projektszervezet létrehozása </li></ul><ul><li>A feladatok ütemezése </li></ul><ul><li>Oktatások (rendszerépítésben résztvevők képzése) </li></ul><ul><li>Helyzetfelmérés </li></ul><ul><li>Információbiztonsági politika meghatározása </li></ul><ul><li>Információs értékek és vagyonleltár </li></ul><ul><li>Kockázatértékelés </li></ul><ul><li>Szervezet, szabályok, dokumentáció kialakítása </li></ul><ul><li>Próbaműködés indítása, rendszer bevezetése </li></ul>
  30. 30. Az információbiztonsági irányítási rendszer előnyei <ul><li>Felkészülve, a problémák előre láthatók. </li></ul><ul><li>A költségek racionalizálhatók. </li></ul><ul><li>Az informatikai beruházások megalapozottan indokolhatók. </li></ul><ul><li>A folyamatok optimalizálása révén a hatékonyság fokozható. </li></ul><ul><li>Gyorsabb reagálás a piaci változásokra. </li></ul><ul><li>Nincsenek meglepetések, fel lehet készülni a külső / belső fenyegetettségekre, ha ismerjük őket. </li></ul><ul><li>A projektek az előre meghatározott kereteken belül végződnek. </li></ul><ul><li>A külső, illetve a belső szabályozóknak meg lehet felelni. </li></ul><ul><li>A cégérték növekedik, az imázs és a hírnév megvédhető. </li></ul><ul><li>… </li></ul>
  31. 31. <ul><li>KÖSZÖNÖM A FIGYELMET! </li></ul>

×