Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
IT biztonsági tanácsok
Az „ IT biztonság”  az „ információbiztonságnak”  csupán egy része, mégis az informatika elterjedésével az utóbbi időben e...
Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése  – az informatika rohamos előretörésével – minde...
IT alkalmazásának veszélyei (példák) <ul><li>Mi történik, ha … </li></ul><ul><li>…  ha egy időre megbénul egy beüzemelt vá...
Változó körülmények – új kockázatok <ul><li>Megváltozott a világ, új jelenségek, új kockázatok: </li></ul><ul><ul><li>IT d...
IT rendszerek fenyegetettségének okai <ul><li>technikai, technológiai problémák, meghibásodás </li></ul><ul><li>emberi mul...
Az információbiztonság jelentése <ul><li>Bizalmasság ,  annak biztosítása, hogy az információ csak az arra felhatalmazotta...
Az információvédelem értelmezése <ul><li>Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkr...
<ul><li>Már tervezéskor gondolkodjunk előre! </li></ul><ul><ul><li>Bővíthetőség   (jelenlegi és jövőbeli kapacitás figyele...
<ul><li>Figyeljünk oda az áramellátás stabilitására! </li></ul><ul><ul><li>Az áramellátás kimaradása vagy a megengedettnél...
<ul><li>Legyen tartalékunk! </li></ul><ul><ul><li>Kulcsfontosságú berendezések fizikai meghibásodásakor az üzemelés folyam...
<ul><li>Mentsük az adatainkat! </li></ul><ul><ul><li>A számítógép merevlemezén tárolt fontos adatok visszaállíthatóságának...
<ul><li>Archiváljunk! </li></ul><ul><ul><li>Már nem módosítható információk elérhetőségének, visszakereshetőségének hosszú...
<ul><li>Rendszergazda szerepköre! </li></ul><ul><ul><li>rendszeradminisztrátori jelszó  biztonsága.  </li></ul></ul><ul><u...
<ul><li>Jelszavaink legyenek titkosak! </li></ul><ul><ul><li>Jelszavak használata kötelező . </li></ul></ul><ul><ul><li>Je...
<ul><li>Használjunk vírusölő programokat! </li></ul><ul><ul><li>Védekezés a különböző kártékony kódok  (vírusok, férgek, k...
<ul><li>Kapukat lezárni! </li></ul><ul><ul><li>Az interneten és külső kapcsolatokon megnyitott kapukat célszerű lezárni, é...
<ul><li>Titkosítsuk a bizalmas levelezést! </li></ul><ul><ul><li>A bizalmas információk e-mail-en keresztül történő küldés...
<ul><li>Növeljük a tudatosságot! </li></ul><ul><ul><li>Fontos, hogy munkatársaink tisztában legyenek a veszélyekkel, és tu...
<ul><li>Köszönöm megtisztelő figyelmüket! </li></ul>
Upcoming SlideShare
Loading in …5
×

02 IT Biztonsági tanácsok

1,602 views

Published on

Published in: Technology, Education
  • Be the first to comment

  • Be the first to like this

02 IT Biztonsági tanácsok

  1. 1. IT biztonsági tanácsok
  2. 2. Az „ IT biztonság” az „ információbiztonságnak” csupán egy része, mégis az informatika elterjedésével az utóbbi időben egyre inkább előtérbe kerül. A következőkben arra mutatunk be néhány javaslatot, hogy – már az információbiztonsági irányítási rendszer bevezetését megelőzően is, – mire érdemes az IT biztonság területén odafigyelni, hogy sok bajt el tudjunk kerülni.
  3. 3. Az információbiztonság aktualitása <ul><li>Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik . Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először „meg nem égette magát” vele . Elvárások felhasználói oldalról: </li></ul><ul><ul><li>A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre . </li></ul></ul><ul><ul><li>Minden szervezetnél – akár tudomásul vesszük, akár nem, – van &quot;információ-szivárgás&quot;. Megnyilvánulási formái széles spektrumban jelentkeznek. Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek. </li></ul></ul>
  4. 4. IT alkalmazásának veszélyei (példák) <ul><li>Mi történik, ha … </li></ul><ul><li>… ha egy időre megbénul egy beüzemelt vállalatirányítási rendszer? </li></ul><ul><li>… összeomlik vagy hibás adatokat ad egy diagnosztikai berendezés elektronikája? </li></ul><ul><li>… leáll az automata gyártósor termelésirányító szoftvere? </li></ul><ul><li>… összeomlik egy önkormányzat vagy hatóság egyik (pl. levelező) szervere? </li></ul><ul><li>… ellopják az igazgató notebookját, rajta az összes üzleti adattal, az új tender bizalmas adataival? </li></ul><ul><li>… sértődötten mond fel a rendszergazda, és …? </li></ul><ul><li>… a felmondott (és netalán konkurenciához pártolt) fejlesztőink, mérnökeink (távoli) hálózati belépései az informatikai rendszerünkbe továbbra is élnek? </li></ul><ul><ul><ul><li> VESZÉLYEZTETI A TERMELÉST, A VÁLLALÁSOK TELJESÍTÉSÉT, AZ ÜZLETI ÉRDEKEKET, ÉS VÉGSŐ ESETBEN A VÁLLALAT LÉTÉT!!!!!! </li></ul></ul></ul>
  5. 5. Változó körülmények – új kockázatok <ul><li>Megváltozott a világ, új jelenségek, új kockázatok: </li></ul><ul><ul><li>IT dominancia, növekvő függőség </li></ul></ul><ul><ul><li>szaporodó e-megoldások, hálózat-érzékeny rendszerek </li></ul></ul><ul><ul><li>támadások, szándékos károkozás (vírus, betörések) </li></ul></ul><ul><ul><li>szoftver-érzékeny rendszerek szaporodása </li></ul></ul><ul><ul><li>fejlesztési projektek kudarcai </li></ul></ul><ul><ul><li>működő informatikai alkalmazások hibái </li></ul></ul><ul><ul><li>eszköz-meghibásodások (hardverhiba, szoftver-problémák) </li></ul></ul><ul><ul><li>virtuális vállalatok léte, Internet-függősége </li></ul></ul><ul><ul><li>szélsőséges időjárási viszonyok </li></ul></ul><ul><ul><li>terrorista támadások </li></ul></ul>
  6. 6. IT rendszerek fenyegetettségének okai <ul><li>technikai, technológiai problémák, meghibásodás </li></ul><ul><li>emberi mulasztás, vétett hibák </li></ul><ul><li>üzemeltetési problémák, alkalmazások hibás működése </li></ul><ul><li>környezeti, partner-rendszeri problémák </li></ul><ul><li>problémák a tervezésben, szoftverkiválasztásban </li></ul><ul><li>vírusok okozta károk </li></ul><ul><li>természeti csapás, áramkimaradás </li></ul><ul><li>betörés adatbázisokba, szoftver-rendszerek rongálása, Internetről érkező támadások </li></ul><ul><li>stb… </li></ul><ul><ul><li>Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell! </li></ul></ul>
  7. 7. Az információbiztonság jelentése <ul><li>Bizalmasság , annak biztosítása, hogy az információ csak az arra felhatalmazottak számára legyen elérhető. </li></ul><ul><li>Sértetlenség (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzése. </li></ul><ul><li>Rendelkezésre állás , annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges . </li></ul>
  8. 8. Az információvédelem értelmezése <ul><li>Az adatok sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. </li></ul><ul><li>Két fő területe: </li></ul><ul><ul><li>Az információs rendszerek adatvesztés elleni védelmét , az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. </li></ul></ul><ul><ul><li>Az információs rendszerek adataihoz való illetéktelen hozzáférést és beavatkozást meggátló szabályozások, folyamatok és megoldások. </li></ul></ul>
  9. 9. <ul><li>Már tervezéskor gondolkodjunk előre! </li></ul><ul><ul><li>Bővíthetőség (jelenlegi és jövőbeli kapacitás figyelembe vétele) </li></ul></ul><ul><ul><li>Biztonsági elvárások figyelembe vétele (jelenjenek meg a funkcionális követelmények között!) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése Ha egy informatikai rendszert kezdetekben a megfelelő biztonsági megoldások nélkül terveznek, majd így kezdenek el működtetni és a sikeres működést szinte menetrendszerűen követő visszaélések kényszerítik ki utólag a védelmek alkalmazását, akkor a legtöbbször már csak toldozás-foltozás jellegű megoldások adhatók, amelyek általában drágább és sokkal kevésbé hatásos eredményre vezetnek.
  10. 10. <ul><li>Figyeljünk oda az áramellátás stabilitására! </li></ul><ul><ul><li>Az áramellátás kimaradása vagy a megengedettnél nagyobb mértékű ingadozása menet közben leállíthatja a számítógépeket, néha károsodást okozva a hardverben és a futó programokban. </li></ul></ul><ul><ul><li>Szünetmentes áramellátás (legalább a kritikus funkciót ellátó számítógépek, pl. szerverek, mérésadatgyűjtők, stb. esetén.) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  11. 11. <ul><li>Legyen tartalékunk! </li></ul><ul><ul><li>Kulcsfontosságú berendezések fizikai meghibásodásakor az üzemelés folyamatosságának biztosítására. </li></ul></ul><ul><ul><li>Tartalék berendezések (hideg tartalék – meleg tartalék – forró tartalék) </li></ul></ul><ul><ul><li>Duplikált berendezések (tükrözések, RAID technikák, stb…) </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése Murphy törvénye: „Ami elromolhat, az el is romlik.”
  12. 12. <ul><li>Mentsük az adatainkat! </li></ul><ul><ul><li>A számítógép merevlemezén tárolt fontos adatok visszaállíthatóságának biztosítása, azok sérülése vagy elvesztése esetére </li></ul></ul><ul><ul><li>Rendszeres mentések – külső, független adathordozóra. </li></ul></ul><ul><ul><li>Mentési stratégia, ciklus, rendszer, módszer – meghatározása, szabályozása és betartása. </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  13. 13. <ul><li>Archiváljunk! </li></ul><ul><ul><li>Már nem módosítható információk elérhetőségének, visszakereshetőségének hosszú távú biztosítása. </li></ul></ul><ul><ul><li>Adatok kiírása nem törölhető, hosszú életű adathordozóra, majd azok tárolása biztonságos helyen. </li></ul></ul><ul><ul><li>Nagyon fontos! Ne csak az adatokat archiváljuk, hanem az archivált adatok megjelenítésére képes rendszereket is!!! </li></ul></ul>Az IT rendszer üzembiztonsága kockázatainak csökkentése
  14. 14. <ul><li>Rendszergazda szerepköre! </li></ul><ul><ul><li>rendszeradminisztrátori jelszó biztonsága. </li></ul></ul><ul><ul><li>rendszergazdai tevékenység szabályozása dokumentáltan </li></ul></ul><ul><ul><li>Rendszergazdai tevékenység kontrollingja, naplózása, stb…. </li></ul></ul><ul><ul><li>kapcsolódó felelősségek rögzítése munkaszerződésben </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  15. 15. <ul><li>Jelszavaink legyenek titkosak! </li></ul><ul><ul><li>Jelszavak használata kötelező . </li></ul></ul><ul><ul><li>Jelszavak titkossága . </li></ul></ul><ul><ul><li>Jelszóképzés szabályozása – nehezen kitalálható jelszavak </li></ul></ul><ul><ul><li>Jelszóhasználat szabályozása – jelszavak cseréje, … </li></ul></ul><ul><ul><li>Különböző rendszerekhez különböző jelszavakat.! </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  16. 16. <ul><li>Használjunk vírusölő programokat! </li></ul><ul><ul><li>Védekezés a különböző kártékony kódok (vírusok, férgek, kémprogramok, trójaiak, keyloggerek, rootkitek, stb.) ellen. </li></ul></ul><ul><ul><li>Minden gépen legalább egy vírusölő és legalább egy kémprogram-irtó program fusson állandóan . </li></ul></ul><ul><ul><li>Folyamatosan frissülő vírusadatbázis . </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  17. 17. <ul><li>Kapukat lezárni! </li></ul><ul><ul><li>Az interneten és külső kapcsolatokon megnyitott kapukat célszerű lezárni, és a rajtuk átmenő adatforgalmat ellenőrzés alatt tartani. </li></ul></ul><ul><ul><li>Tűzfalak használata, paraméterezése és működtetése. (hardveres és / vagy szoftveres) </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  18. 18. <ul><li>Titkosítsuk a bizalmas levelezést! </li></ul><ul><ul><li>A bizalmas információk e-mail-en keresztül történő küldése során azt nem tudjuk megakadályozni, hogy mások ne láthassák leveleinket. Azt viszont megakadályozhatjuk, hogy ne tudják elolvasni őket. </li></ul></ul><ul><ul><li>Kriptográfia (titkosító algoritmusok, kódolók-dekódolók, digitális aláírás, stb.) alkalmazása. </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  19. 19. <ul><li>Növeljük a tudatosságot! </li></ul><ul><ul><li>Fontos, hogy munkatársaink tisztában legyenek a veszélyekkel, és tudatosan védekezzenek ellenük! </li></ul></ul><ul><ul><li>Belső védelmi szabályok (pl. biztonsági házirend, információbiztonsági szabályzat, …) kialakítása, oktatása, betartása és ellenőrzése. </li></ul></ul><ul><ul><li>Védekezés a „ social engineering ” ellen is. </li></ul></ul><ul><ul><li>Belső oktatások, tréningek, tudatosító programok jelentősége! </li></ul></ul>A nem kívánt beavatkozás kockázatainak csökkentése
  20. 20. <ul><li>Köszönöm megtisztelő figyelmüket! </li></ul>

×