Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarorsz...
Az alapkérdés <ul><li>A pénzintézetek folyamatosan, legtöbb esetben online működnek </li></ul><ul><li>Nagy zsákmányt nem f...
Fenyegetések
A válasz <ul><li>A megoldás egyszerű, de mégis évek-évtizedek kellenek ahhoz, hogy sikerre vigyék </li></ul><ul><li>Az inf...
Elmélet <ul><li>Közhelyek: </li></ul><ul><ul><li>Ismerd meg az ellenséget, és ismerd meg önmagadat, így akár száz csatát i...
Elmélet <ul><li>Amikor információbiztonságról beszélünk: </li></ul><ul><ul><li>Az információ van a középpontban </li></ul>...
Elmélet <ul><li>Egy pénzintézetnél kötelező a fenti elvek betartása </li></ul><ul><li>A tapasztalat azonban azt mutatja, h...
Előírások <ul><li>A Magyarországon működő szervezetek többsége azért szeretne információbiztonságot, mert valamilyen külső...
Előírások <ul><li>A banki világban Magyarországon az alábbi előírások léteznek: </li></ul><ul><ul><li>1996. évi CXII. Törv...
Előírások Banki informatika Emberek Alkalmazások Információk Infrastruktúra Szabványok, ajánlások Cobit ISO 27000 OWASP, C...
Előírások Szabályzat Szabvány Alapbeállítások Eljárások Útmutatók
Eszközök <ul><li>Ha egyértelműek és világosak az előírásaink, már „csak” meg kell valósítani a benne leírtakat </li></ul><...
Eszközök
Eszközök <ul><li>Ne felejtsük el: az eszköz csak eszköz, nem cél! </li></ul><ul><li>Az eszközöket a kockázatok csökkentésé...
Eszközök <ul><li>Egy pénzintézetnél a határvédelmi eszközök legalább annyira fontosak, mint </li></ul><ul><ul><li>a naplóz...
Emberek <ul><li>Emberek nélkül nincs rendszer </li></ul><ul><li>Egy banki (vagy akármilyen) szervezetben informatikai szem...
Emberek
Ellenfelek <ul><li>Ha minden nyugodtnak látszik, kezdjünk el gyanakodni! </li></ul><ul><li>Ahol pénz van, ott mindig megje...
Összefoglalás <ul><li>Amikor egy rendszer 7/24 üzemmódban működik, készüljünk fel a legrosszabra! </li></ul><ul><li>Ha ez ...
Köszönöm. [email_address]
Upcoming SlideShare
Loading in …5
×

On the net night and day - security in the virtual space (in Hungarian)

375 views
313 views

Published on

This presentation introduce what I call the philosophy of information security and lays on the Krasznay's 5E principal.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
375
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Belső támadók Külső támadók Alkalmazáshibák Üzemeltetési hibák Hardverhibák
  • bizalmasság: confidentiality sértetlenség: integrity rendelkezésre állás: availability megelőző: preventive felderítő: detective javító: corrective
  • Szabályzat (Policy): Tartalmazza a vezetőség jóváhagyását, a célokat, a mértékeket és a felelősségeket. Magasszintű leírás az információvédelmi filozófiáról. Technológia- és megoldásfüggetlen leírás. Szabványok (Standards): Kötelező tevékenységek, szabályok vagy szabályozások a szabályzatok támogatására. Univerzálisan használatos szabályokat fektet le. Alapbeállítások (Baselines): A biztonsági megoldások megvalósításának kötelező leírásai. Biztosítja az egyenszilárdságú védelmet a szervezetben. Eljárások (Procedures): Kimondják, hogy hogyan kell lépésről végrehajtani a működési környezetben a szabályzatokat, szabványokat és alapbeállításokat. Útmutatók (Guidelines): Olyan általános leírások, melyek a szabályzatok azon céljainak megvalósításához adnak keretrendszert, melyeket az eljárások nem fednek le. Nem kötelező, hanem szabadon választható ajánlásokat tartalmaz.
  • Jogász, mérnök, rendőr, rendszergazda, hacker, programozó
  • On the net night and day - security in the virtual space (in Hungarian)

    1. 1. Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
    2. 2. Az alapkérdés <ul><li>A pénzintézetek folyamatosan, legtöbb esetben online működnek </li></ul><ul><li>Nagy zsákmányt nem fegyverrel, hanem informatikával lehet a pénzintézetektől szerezni </li></ul><ul><li>Egy pénzintézet rendszeréhez eleve ezres nagyságrendű dolgozó fér hozzá </li></ul><ul><li>És mégis, miért nincsenek tömegesen sikeres informatikai támadások a bankok ellen? </li></ul>
    3. 3. Fenyegetések
    4. 4. A válasz <ul><li>A megoldás egyszerű, de mégis évek-évtizedek kellenek ahhoz, hogy sikerre vigyék </li></ul><ul><li>Az információbiztonság ugyanis alapvetően filozófia, ami mentalitásváltást követel meg </li></ul><ul><li>Meg kell oldani a (látszólag) megoldhatatlant: egyszerre lenni nyíltnak (kiszolgálni az üzletet) és zártnak (megvédeni az üzletet) </li></ul><ul><li>Ehhez meg kell teremteni az 5E (elmélet, előírások, eszközök, emberek, ellenfelek) harmóniáját </li></ul>
    5. 5. Elmélet <ul><li>Közhelyek: </li></ul><ul><ul><li>Ismerd meg az ellenséget, és ismerd meg önmagadat, így akár száz csatát is megvívhatsz vereség nélkül (Szun Ce) </li></ul></ul><ul><ul><li>A biztonság nem termék, hanem folyamat (Schneier) </li></ul></ul><ul><ul><li>Minden rendszer annyit ér, amennyit a leggyengébb láncszeme (ezt sokan mondták) </li></ul></ul><ul><ul><li>Nem jó az M&M’s védelem (Mitnick) </li></ul></ul><ul><li>A közhelyeket a végtelenségig lehetne folytatni </li></ul><ul><li>A lényeg: nincs biztonság elmélet nélkül! </li></ul>
    6. 6. Elmélet <ul><li>Amikor információbiztonságról beszélünk: </li></ul><ul><ul><li>Az információ van a középpontban </li></ul></ul><ul><ul><li>Az információ bizalmasságát, sértetlenségét és rendelkezésre állását védjük (CIA elv) </li></ul></ul><ul><ul><li>Nem feltétlenül törekszünk a teljes védelemre, hanem kockázatarányosan védekezünk </li></ul></ul><ul><ul><li>Módszereink, védelmi intézkedéseink lehetnek adminisztratívak, logikaiak és fizikaiak </li></ul></ul><ul><ul><li>Melyeket megelőző, felderítő és javító módon használhatunk (PreDeCo elv) </li></ul></ul><ul><li>A harmónia megteremtése ezek megértésén és következetes alkalmazásán múlik! </li></ul>
    7. 7. Elmélet <ul><li>Egy pénzintézetnél kötelező a fenti elvek betartása </li></ul><ul><li>A tapasztalat azonban azt mutatja, hogy sok szervezetnél (pl. az államigazgatásban) még mindig nem él ez a szemlélet </li></ul><ul><li>Felejtsük el a „minél több tűzfal – annál nagyobb biztonság” ideológiáját! </li></ul><ul><li>De ha nem megy saját belátásra, akkor majd jön a kényszerítő erő! </li></ul>
    8. 8. Előírások <ul><li>A Magyarországon működő szervezetek többsége azért szeretne információbiztonságot, mert valamilyen külső kényszer hatása alatt állnak </li></ul><ul><li>A külső kényszer lehet: </li></ul><ul><ul><li>Jogszabály, </li></ul></ul><ul><ul><li>Felügyeleti szerv által kiadott szabály, </li></ul></ul><ul><ul><li>Anyavállalati előírás </li></ul></ul><ul><li>Ezek általában szabványra támaszkodnak, így kimondható, hogy a világ jelenlegi elfogadott tudására épülnek </li></ul>
    9. 9. Előírások <ul><li>A banki világban Magyarországon az alábbi előírások léteznek: </li></ul><ul><ul><li>1996. évi CXII. Törvény a hitelintézetekről és a pénzügyi vállalkozásokról 13/B. § </li></ul></ul><ul><ul><li>1/2007. számú módszertani útmutató a pénzügyi szervezetek informatikai rendszerének védelméről </li></ul></ul><ul><li>De egy bank lehet adatkezelő, kritikus információs infrastruktúra, banktitok gazdája, stb. </li></ul><ul><li>Összevetve a közvetve vagy közvetlenül vonatkozó jogszabályokat, előbukkan néhány megkerülhetetlen szabvány </li></ul>
    10. 10. Előírások Banki informatika Emberek Alkalmazások Információk Infrastruktúra Szabványok, ajánlások Cobit ISO 27000 OWASP, CMM NIST SP ajánlások Gyártói ajánlások Common Criteria Erőforrások Technológia Irányítás
    11. 11. Előírások Szabályzat Szabvány Alapbeállítások Eljárások Útmutatók
    12. 12. Eszközök <ul><li>Ha egyértelműek és világosak az előírásaink, már „csak” meg kell valósítani a benne leírtakat </li></ul><ul><li>Ehhez viszont rendszert kell tervezni </li></ul><ul><li>Minél előbb gondolunk a biztonságra a tervezés során, annál olcsóbban lehet biztonságos rendszert létrehozni </li></ul><ul><li>Egy mai átlagos IT fejlesztés összköltségének 10-15% megy a biztonságra!!! </li></ul>
    13. 13. Eszközök
    14. 14. Eszközök <ul><li>Ne felejtsük el: az eszköz csak eszköz, nem cél! </li></ul><ul><li>Az eszközöket a kockázatok csökkentésére használjuk </li></ul><ul><li>Új eszköz = új kockázat! </li></ul><ul><li>Ne felejtsük, egy eszköz nem csak megelőz, de észrevesz és javít is (PreDeCo elv)! </li></ul><ul><li>Az eszközök együttesen alkotják a rendszert az előírásokkal és az azt betartó emberekkel </li></ul><ul><li>Gondos tervezés nélkül szétesik ez a kényes egyensúly </li></ul>
    15. 15. Eszközök <ul><li>Egy pénzintézetnél a határvédelmi eszközök legalább annyira fontosak, mint </li></ul><ul><ul><li>a naplózás, </li></ul></ul><ul><ul><li>a mentés, </li></ul></ul><ul><ul><li>a hibatűrés, </li></ul></ul><ul><ul><li>az IDS, </li></ul></ul><ul><ul><li>a jogosultságkezelés, </li></ul></ul><ul><ul><li>a kriptográfia </li></ul></ul><ul><ul><li>az erős autentikáció... </li></ul></ul><ul><li>Még egyszer: nem az eszköz a lényeg, hanem az, hogy milyen kockázatot csökkent! </li></ul>
    16. 16. Emberek <ul><li>Emberek nélkül nincs rendszer </li></ul><ul><li>Egy banki (vagy akármilyen) szervezetben informatikai szempontból három embertípus van: </li></ul><ul><ul><li>Aki csinálja (informatikusok) </li></ul></ul><ul><ul><li>Aki felügyeli (menedzsment, területi vezetők) </li></ul></ul><ul><ul><li>Aki használja (minden felhasználó) </li></ul></ul><ul><li>A három embetípus sok különböző fenyegetést jelent a rendszerre nézve </li></ul><ul><li>Az információbiztonsági felelősnek ezért mindenhez értenie kell! </li></ul><ul><li>Igazi multidiszciplináris területről beszélünk </li></ul>
    17. 17. Emberek
    18. 18. Ellenfelek <ul><li>Ha minden nyugodtnak látszik, kezdjünk el gyanakodni! </li></ul><ul><li>Ahol pénz van, ott mindig megjelennek azok, akik szeretnék ezt a pénzt valahogy megszerezni </li></ul><ul><li>A biztonsági folyamat része az, hogy folyamatosan ellenőrizni kell a védelmi intézkedések hatékonyságát </li></ul><ul><li>Ezekkel az auditokkal lehet az ellenfeleket távol tartani </li></ul><ul><li>Egy szakember számára az egyik legfontosabb inspiráció az, hogy minél hamarabb felnőjön a támadóhoz </li></ul>
    19. 19. Összefoglalás <ul><li>Amikor egy rendszer 7/24 üzemmódban működik, készüljünk fel a legrosszabra! </li></ul><ul><li>Ha ez a rendszer ráadásul az internetről is elérhető, szorozzuk meg kettővel a legrosszabbat! </li></ul><ul><li>100%-os biztonság nincs, ezt ne is várjuk el </li></ul><ul><li>Ami reálisan elvárható, hogy nagy baj ne történjen </li></ul><ul><li>Erre kell az információbiztonságnak készülnie </li></ul>
    20. 20. Köszönöm. [email_address]

    ×