IT Biztonság Érthetően

o o oo o o o o o o
o o o o o o o o o
o
o
o
o
o
o o o o o oo o o o o o o
o
o
o
o
o
o o o o o o o
oo o o oo o o o o o
o o o o o o o o o
o
o
o o o o oo o o o o
o o o o o o o o o
o
o
o
oo o oo o oo o o o o
o o o o o o o o o
KIF
nemk
csa
KZRTHETEN
AZ IT BIZTONSGRL
Informci s IT biztonsgi kultra

fejlesztse a kzigazgatsban
KZRTHETEN (nem csak)

AZ IT BIZTONSGRL
Jelen tjkoztat kiadvny clja, hogy elsegtse a biztonsgtudatos

szervezeti kultra fejlesztst a kzigazgatsban dolgozk szmra.
Ezt az alapvet elektronikus informcibiztonsgi kockzatok bemutatsval, megelzsk s kezelsk ismertetsvel teszi a felhasznlk,
az informatikusok s a vezetk nzpontjbl!
szerz: Horvth Gergely Krisztin, CISA CISM

Budapest, 2013
Tartalomjegyzk
Ajnls...........................................................................................................................................................6
Bevezets...................................................................................................................................................... 7
Informatikai biztonsg napjainkban............................................................................................................ 7
A tjkoztat clja.........................................................................................................................................8
Segtsg az IT biztonsg megismershez.................................................................................................8
A tjkoztat felptse................................................................................................................................9
Alapvet biztonsg..................................................................................................................................... 11
IT biztonsgi krds - felelek....................................................................................................................... 11
Mi a biztonsg?....................................................................................................................................... 11
Mirt fontos az IT s az informcibiztonsg?....................................................................................13
Vdelmi rendszerek tbb szint vdelem........................................................................................ 16
Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme.................................................17
Informcibiztonsg: llami s nkormnyzati elektronikus informci,
s infrastruktrk jogszablyi vdelme................................................................................................ 18
Informcis rendszerek elemei ........................................................................................................... 19
Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti?..................................................21
Mindenki ugyangy ltja a biztonsg fontossgt?............................................................................ 22
Milyen a biztonsgtudatos szervezet?................................................................................................. 23
Megelzs mdszerei: ismeretszerzs, tudatosts ..........................................................................24
Megelzs mdszerei: adatments..................................................................................................... 25
Megelzs mdszerei: felhasznlk szmtgpeinek vdelme.......................................................26
Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa.............................................................. 27
Mi a felhasznlk felelssge?............................................................................................................. 27
Biztonsgi kultra megvalstsnak alapelvei........................................................................................29
1) Tudatosts elve.................................................................................................................................29
2) Felelssg elve...................................................................................................................................29
3) Vlaszintzkedsek elve....................................................................................................................30
A BIZTONSG RAJTAD MLIK!
4) Etika elve............................................................................................................................................30
5) Demokrcia elve................................................................................................................................30
6) Kockzatfelmrs elve......................................................................................................................30
7) Biztonsgtervezs s vgrehajts elve..............................................................................................31
8) Biztonsgmenedzsment elve............................................................................................................31
9) jrartkels elve...............................................................................................................................31
Szmtgpes visszalsek....................................................................................................................... 36
Veszlyek: jogosulatlan adathozzfrs, mdosts................................................................................ 38
Veszlyek: jelszavak feltrse.................................................................................................................... 40
Veszlyek: kretlen levelek (spam)............................................................................................................ 42
Veszlyek: hamis lnclevelek (hoax)..........................................................................................................44
Veszlyek: vrusok.......................................................................................................................................46
Veszlyek: freg (worm).............................................................................................................................48
Veszlyek: trjaik......................................................................................................................................... 50
Veszlyek: rootkit-ek (rendszermagot fertz krtev)............................................................................ 52
Veszlyek: zombihlzat (botnet).............................................................................................................. 54
Veszlyek: reklmprogramok (adware)..................................................................................................... 56
Veszlyek: kmprogramok (spyware), krtev programok (malware).................................................... 58
Veszlyek: hamis szoftverek (rogue software, scareware)...................................................................... 60
Veszlyek: adathalszat (phising)..............................................................................................................62
Veszlyek: fertz honlapok.......................................................................................................................64
Veszlyek: adatforgalom eltrtse (Man-in-the-middle).........................................................................66
Fizikai visszalsek....................................................................................................................................68
Veszlyek: jelszavak ellesse (observing passwords attack)...................................................................69
Veszlyek: megtvesztsen alapul csalsok (Social engineering).........................................................71
Veszlyek: IT szemlyisglops (megszemlyests eltulajdontsa informcis rendszerekben).......73
Veszlyek: eszkzk s adathordozk eltulajdontsa..............................................................................75
Veszlyek: szemtbe dobott informci (kukabvrkods)....................................................................79
Veszlyek: szemlyes / hivatali adatok megosztsa kzssgi hlzatokon..........................................81
Biztonsgos irodai alkalmazsok............................................................................................................. 83
A szemlyes adatok trlse a dokumentumokbl................................................................................... 83
A dokumentumok jelszavas vdelme........................................................................................................86
A dokumentumok titkostsa..................................................................................................................... 87
Outlook hasznlat biztonsgi kockzatai.................................................................................................88
Eszkzk kztti adatszinkronizls kockzatai...................................................................................... 91
Vezetk nlkli internet (WiFi) hasznlat kockzatai...............................................................................92
Biztonsgos zemeltets.......................................................................................................................... 93
Veszlyek: tlterhelses tmads (DoS, DDoS).......................................................................................94
Veszlyek: hlzati letapogats (network / port scanning).....................................................................96
Veszlyek: tvoli adminisztrtor eszkzk................................................................................................98
Veszlyek: adatveszts..............................................................................................................................100
Veszlyek: rendszerfrisstsek hibi, hinya............................................................................................ 102
Biztonsgtudatos vezets....................................................................................................................... 104
Biztonsgirnyts kvetelmnyei........................................................................................................... 104
Informcibiztonsg irnytsa.......................................................................................................... 104
Informcis kockzatkezels s megfelels az elrsoknak............................................................105
Informcibiztonsgi program kidolgozsa s megvalstsa........................................................106
Informcibiztonsgi rendkvli esemnykezels.............................................................................106
Szemlyes pldamutats ......................................................................................................................... 107
Tjkoztats, bels szervezeti kultra fejlesztse...................................................................................108
A kockzatkezels..................................................................................................................................... 110
Megfelels az elrsoknak....................................................................................................................... 112
Szervezetek felels irnytsa s a biztonsgirnyts............................................................................ 112
Biztonsgi szablyozsi s kontroll rendszer.......................................................................................... 113
Biztonsgi monitoring...............................................................................................................................114
Adatgazdai szerep, Adatok biztonsgi osztlyozsa.............................................................................. 115
Folyamatos mkds biztostsa.............................................................................................................116
Bels ellenrzs szerepe IT audit s tancsads................................................................................. 117
Kiszervezs.................................................................................................................................................118
Munkagy szerepe............................................................................................................................... 120
Az emberi tnyez............................................................................................................................... 120
Alkalmazst megelz tvilgts....................................................................................................... 121
Felelssgek sztvlasztsa s egyb humn kockzat cskkentsi mdszerek............................ 121
Biztonsgtudatos viselkedst elismer motivcis rendszer...........................................................122
Biztonsgot veszlyeztet tevkenysgek kvetkezetes szankcionls............................................123
1. Mellklet: Jogszablyok...................................................................................................................... 124
2. Mellklet: Tovbbi informcik..........................................................................................................127
3. Mellklet: Hogyan mondjuk magyarul............................................................................................. 130
Rvidtsek jegyzke................................................................................................................................. 133
Irodalomjegyzk........................................................................................................................................ 135
Ajnls
A KIF ELNKNEK AJNLSA AZ OLVASKHOZ
A kiadvnyt kidolgoz projekt gazdjaknt, a Kormnyzati Informatikai Fejlesztsi gynksg elnkeknt kszntm nket!
A hazai kzigazgats fejlesztse a mkdst s a szervezetek egyttmkdst tmogat eszkzknt,
s az llampolgroknak nyjtott szolgltatsok csatornjaknt is tekint az informcis s kommunikcis technolgikra.
Ugyanakkor kzszfrn bell is egyre tbbszr kell szembeslnnk azzal, hogy az adatok nincsenek
biztonsgban. Ezek az esetek sokszor informatikai hinyossgokra, illetve a biztonsgtudatossg hinyra vezethetek vissza. Az informatikai ismeretek hinyossgai kockzatot jelentenek a kzigazgats minden szintjn. A kockzatok a szervezeteken bell a felhasznlk tudsszintjvel, s jogosultsgaik mrtkvel arnyosak: a kockzatok a hamis lnclevelek tovbbkldstl kezdve a jelszavak
tadsn keresztl akr az idegen llamok informciszerzsnek lehetv ttelig terjednek.
Az emberi tnyez okozta kockzat rendkvli informcibiztonsgi esemnyek cskkentsre az egyik
leggazdasgosabb s igazoltan hatkony mdszer a felhasznlk munkakri s felelssgi szintjnek
megfelel tovbbkpzs, s biztonsgi felkszts. A felhasznlk hinyos biztonsgtudatossgbl
ered veszlyeket teht a kzigazgatsban dolgozk felksztsvel, j esllyel, meg is elzhetjk. Az
llamreform Operatv Program ltal finanszrozott ROP 1.1.17 projekt egyik lnyeges eleme jelen
tmutat, mely nem kevesebbre vllalkozik, mint hogy mindenki szmra rthetv teszi az informci s IT biztonsgi alapismereteket, s gyakorlati javaslatot ad a legjellemzbb esetek kezelsre.
Remnyeink szerint minden kzigazgatsban dolgoz kollga szmtgpre eljut ez a tjkoztat, s
hasznos olvasmnyknt lapozzk fel, ha segtsgre van szksgk a helyes dntsek meghozshoz
az elektronikus informci biztonsg terletn.
Kiadvnyunk olvasshoz kvnok hasznos idtltst!
Szijrt Zoltn
Elnk
Bevezets
A TJKOZTAT CLJNAK S FELPTSNEK BEMUTATSA
Informatikai biztonsg napjainkban

A felhasznlk szempontjbl jellemz, hogy az j kszlkeket, webes szolgltatsokat egyre tbben veszik ignybe az letk egyre tbb terletn. A npszer kszlkek (tblagpek, okostelefonok)
knnytik az letnket, ehhez azonban tbb klnbz szolgltats szemlyes informcik adatait
szinkronizljk akr nhny perces gyakorisggal. Ennek a knyelemnek az a kvetkezmnye, hogy a
magn s a munkavgzssel sszefgg adatok keverednek, s a biztonsguk is srlhet.
A vilghln elrhet szolgltatsok fejldsvel, a kzssgi funkcik rendkvl dinamikus trnyersvel sszefggsben a biztonsgi kockzatok szmossga s a hatsuk mrtke is n. Ma mr
termszetes sokunknak olyan szemlyes adatok megadsa akr nyilvnos weboldalakon is, amelyet
korbban csak kzeli ismerseinkkel, munkatrsainkkal osztottunk meg. Egyes szolgltatsok vilgszint npszersgvel, millis felhasznli szmukkal egy szoftver hiba, vrus vagy krtev program
krokozsnak mrtke nagysgrendekkel nhet.
Hazai informcibiztonsgi felmrsek (ISACA-HU, 2011) eredmnybl lthat, hogy a magyarorszgi helyzet sem jobb. Az informcibiztonsgi stratgia fontossgt rszben felismertk a hazai
trsasgok, de kevs konkrt lpst tettek a megvalsts rdekben ugyanakkor cskkent a terletre
fordthat forrs.
A kzigazgatson belli tapasztalatok azt mutatjk, hogy megkezddtt a szksges szablyozsok
kiadsa jogszablyi szinten, a szakmai irnyts s felgyelet intzmnyrendszernek kialaktsa s
felkszlnek a szakemberek tovbbkpzsre is. A kzeljv feladata lesz ezek megvalstsa, s
a keretek tartalommal val feltltse az egyes szervezetek szintjn. Nem egy v alatt fogja elrni a
legtbb szervezet a szksges biztonsgi szintet, mert a jogszably lehetv teszi annak fokozatos
teljestst, ugyanakkor a fokozottabban vdend rendszerekre szigorbb kvetelmnyeket tmaszt,
gy azok vdelme prioritst lvez.
A tjkoztat clja
A kiadvny az Eurpai Uni tmogatsval az llamreform Operatv Program finanszrozsval az
ROP 1.1.17 plyzatnak megfelelen kszlt el. Jelen tjkoztat kiadvny clja, hogy elsegtse az
elektronikus informci biztonsgi kultra fejlesztst a kzigazgatsban.
A cl elrst a tmakr alapvet informciinak jl felptett szerkezetben, kzrthet nyelvezettel
val kzz adsval trekszik elrni a kzigazgats dolgozi szmra munkavgzsk jellemzbb
lethelyzeteit figyelembe vve. Ezltal az Olvas magabiztosan lesz kpes felismerni az informatikai
biztonsgi kockzatokat a legjabb mszaki eszkzk esetn is (pl. okostelefonok), s megfelel
megoldsokat vlaszthat az elkerlskre, illetve ha mr bekvetkezett, akkor a baj cskkentsre.
Ennek megfelelen az Olvas megismerheti a biztonsg alapelveit, az informcibiztonsgi kockzatok sajtossgait, a kerlend felhasznli szoksokat, s a javasolt kockzatkezelsi mdszereket az
tlagos felhasznlk, az informatikusok s a vezetk szemszgbl.
Segtsg az IT biztonsg megismershez

A kedves Olvas els ltsra meglepdhetett azon, hogy a tjkoztat anyag ilyen vastag, taln els
gondolata az volt, hogy mirt is lenne ilyen sok informcira szksge az IT biztonsgrl. Sajnos
az elmlt msfl vtizedben egyre ntt az informatika s a vilghl veszlyeinek szma, s sszetettsge, s ntt az ltaluk okozott kr mrtke. Kiemelkeden fontos teht a krok megelzse. A
tapasztalat azt mutatja, hogy a leghatkonyabb fegyver az internetes bnzs elleni harcban a tuds:
tudni, hogy milyen veszlyek vannak, tudni, hogy mit tehetnk az ellen, hogy krosultak legynk, s
mit kell tenni, ha mgis bekvetkezik. A biztonsg rajtunk mlik!
A kiadvnyunk azrt kszlt, hogy segtse az Olvast, hogy felvrtezze magt. Btortjuk r, hogy
ismerkedjen a tmakrrel, s az rdekldsnek s tudsszintjnek megfelel rszeket ismerje meg
elszr, majd ha szksgt rzi vegye el jra, lapozza fel s hasznlja a tudst a sajt maga s
munkahelye rdekben! Idelis esetben ez a kiadvny egy bels biztonsgtudatostsi program kiegsztseknt, bels kpzssel egybektve jut el az Olvashoz, ahol kzvetlen lehetsg van az egyni
tapasztalatok megosztsra s a felmerlt krdsek megvlaszolsra. Javasoljuk, hogy ha krdse
merl fel a kiadvnyban olvasottakkal kapcsolatban keresse meg a munkahelye biztonsgi vezetjt,
vagy informcibiztonsgi vezetjt. k azok, akik hitelesen a munkahelyt veszlyeztet kockzatok
ismeretben tudnak segteni nnek a megfelel vlaszok megadsban.
Egy lehetsges feldolgozsa az anyagnak:

az elektronikus informcibiztonsgban nem jrtas kollegk szmra az Alapvet biztonsg fejezetek megismerse els olvassra, majd a tbbi veszlyforrsok ttekintst, hogy tfog kpet
kapjanak. Fontos mg az irodai informatikai eszkzk s programok biztonsgos hasznlata.
az elektronikus informcibiztonsgban jrtas kollegk szmra Bevezets gyors ttekintst
javasoljuk az a tartalomjegyzk alapjn az esetleg nem ismert tmk tolvasst, majd a szmukra relevns veszlyek megelzsk, s elhrtsuk mdszereinek megismerst s gyakorlati
megvalstst.
az elektronikus informcibiztonsg kialaktsrt s mkdtetsrt felels informatikusok
szmra az ltalnos informcik mellett a Biztonsgos zemeltets fejezet megismerse, majd
a 2. mellkletben szerepl tovbbi informciforrsok egyni vagy csoportos feldolgozsa s akr
bels ajnlsok kialaktsa.
a munkahelyeken vezet beosztsban lev munkatrsak szmra a Biztonsgtudatos vezets
fejezet megismerse s a napi gyakorlatba tltetse tovbb az 1. mellkletben felsorolt jogszablyok alkalmazsa a sajt szervezetre.
az elektronikus informcibiztonsg irnytsrt felels vezetk szmra a teljes kiadvny megismerse, a kiadvny s mellkleteiben hivatkozott informciforrsok felhasznlsval munkahelyi biztonsgtudatost program indtsa, illetve fellvizsglata.
A tjkoztat felptse
A dokumentum felptse egysges szerkezetet kvet. A fejezetek rvid szveges sszefoglalst tartalmaznak, majd tmnknt 1-2 oldal terjedelemben a bemutatott krdsek lnyeges jellemzit, kockzatait mutatja be kzrthet egyszerstsek segtsgvel. Ezen bell meghatrozzk a problmt,
pldkkal szemlltetik, s megadjk a lehetsges megelzs, illetve vdekezs mdszereit.
A megrtst jellemz kpek, brk segtik. A dokumentumban val tjkozdst, illetve a kockzattal
rintett terletek egyrtelm azonosthatsgt, s a kockzatok mrett vezrl brk/piktogrammok
(vizulis vezrl elemekkel elltott grafikai elemek) biztostjk.
Tovbb tartalmaz hivatkozsokat tovbbi szakmai anyagokra, melyek bvebben trgyaljk a krdst.
Ezrt az informatikai biztonsgi ismeretek alapismerete nlkl s kzpszint ismeretvel is jl forgathat olvasmny. Az a kedves Olvas, aki nemzetkzi informatikai biztonsgi szakvizsgra kszl,
azrt ne csak ezt a kiadvnyt hasznlja, ott biztosan mlyebb ismeretekrl kell szmot adni.
A kiadvny kapcsn felmerlt krdsekre adott vlaszokbl egy tudsbzist (GYIK) ptnk, s terveink szerint vente frisstjk a tjkoztatt is az aktulis kockzatok bemutatsval.
Az adott oldal cme (oldalminta)
Veszly bemutatsa (Mirl beszlnk?)
Jellemz hatsa: Alacsony, Kzepes, Magas
Mit veszlyeztet:
(a felhasznl, a rendszermkds,
az informcibiztonsg,
s a nemzetbiztonsg tern)
Illusztrci / kp
Pldk, rdekessgek:
Veszly megelzse:
Veszly elhrtsa: (Mit tegynk, ha bekvetkezik?)

Tovbbi informci: hivatkozsok
10
Alapvet biztonsg
AZ INFORMCIBIZTONSG ALAPELVEINEK BEMUTATSA
IT biztonsgi krds - felelek

Mi a biztonsg?
Az informcibiztonsg krdseit taglal mdia megjelensek s publikcik sok esetben nem szabatosan fogalmaznak, esetenknt teljesen helytelenl hasznljk, keverik a fogalmakat, ami akadlyozza a tma pontos megrtst. A kvetkezkben treksznk a fogalmak kzrthet mdon val
tisztzsra.
Kezdjk taln a leggyakoribb tvedssel! Az adatvdelem s az adatbiztonsg NEM szinonimi egymsnak! Adatvdelem alatt a szemlyes s rzkeny adatok jogszablyi (Avtv.) vdelmt rti a jogalkot, adatbiztonsg alatt pedig a szmtgpes rendszerekben trolt, feldolgozott, vagy tovbbtott
adatok biztonsgnak fenntartsra kell gondolnunk.
A biztonsg maga pedig egy a szervezet szmra kedvez llapot, melynek megvltozsa nem valszn, de nem is kizrt. Azaz egy lakkrnyezet akkor biztonsgos pldul, ha nyugodtan stlhatunk haza az utcn nappal s jjel egyarnt, nem kell folyton azt figyelnnk, hogy honnan r minket
tmads.
mass
ke
sr
al
el
e
Biz
nd
Re
ll
Adat
s
Srtetlensg
11
Az informatikai biztonsg az informatikai rendszer olyan kedvez llapota, amelyben a kezelt adatok
bizalmassga (confidentiality), srtetlensge (integrity) s rendelkezsre llsa (availability) biztostott (CIA elv), valamint a rendszer elemeinek biztonsga szempontjbl zrt, teljes kr, folytonos s
a kockzatokkal arnyos. Ahol
bizalmassg: csak az arra jogosultak ismerhetik meg az informcit;
srtetlensg: az informci tartalma s formja az elvrttal megegyezik, belertve az is, hogy az
elvrt forrsbl szrmazik (hitelessg), igazolhat, hogy megtrtnt (letagadhatatlansg), egyrtelmen azonosthat az informcival kapcsolatos mveletek vgzje (elszmoltathatsg),
tovbb rendeltetsnek megfelelen hasznlhat;
rendelkezsre lls: az a tnyleges llapot, amikor egy informatikai rendszer szolgltatsai az arra
jogosultak szmra egy meghatrozott idben rendelkezsre llnak s a rendszer mkdkpessge sem tmenetileg, sem pedig tartsan nincs akadlyozva;
zrtsg: az sszes relevns veszlyt (fenyegetst) figyelembe veszi;
teljes krsg: a rendszer minden elemre kiterjed a vdelem;
folytonossg: idben folyamatosan megvalsul a vdelem;
kockzatokkal arnyossg: a rendszer vrhat mkdsnek idtartamban a vdelem kltsge
arnyban van a lehetsges krral.
Az informcibiztonsg tgabb fogalom, mint az IT biztonsg. Belertjk az informci minden
nem csak elektronikus megjelensi formjnak, az informcis szolgltatsoknak s az ezeket biztost informcis rendszereknek a vdelmt.
12
Mirt fontos az IT s az informcibiztonsg?

Az informatika korbban elkpzelhetetlen mdon knnytheti meg a felhasznlk lett, pldul kapcsolatot tarthatunk tvol lev szeretteinkkel, s a kzszfrban is szles krben elrhetv teszi a
kzigazgats szolgltatsait. Ugyanakkor, az informatika korbban elkpzelhetetlen mdon veszlyeztetheti az letnket (pl. szmtgpes jtkfggsg, adatlop krtevprogramok), a szervezetek
biztonsgt (pl. adatszivrgs), s teheti srlkenny akr a ltfontossg infrastruktra elemeket
(pl. DoS tmads1).
Az informcibiztonsg helyzete sajtos, egyszerre van jelen egy szervezet minden terletn, st, a
feltteleinek megfelel kialaktsa s mkdtetse jval tlmutat az informci biztonsgos kezelsn. A szervezet minden erforrsnak, az embereknek, az eszkzknek, az informcis rendszereknek, s ms vagyontrgyaknak a szablyozst, viselkedst, hasznlatt, ellenrzst jelenti. Irnytsa a fels vezets felelssge.
Az informcival szemben elvrs, hogy a megfelel idben, pontosan, s naprakszen lljon rendelkezsre, de csak azok szmra, akik jogosultak megismerni azt. Ez az informci minden formjra
igaz, azaz a szban, a papron, s az elektronikus formban trolt, kezelt, feldolgozott s tovbbtott
formira egyarnt.
ltalban az informatiktl egyszeren csak azt vrja el mindenki, hogy mkdjn. Azt mr nehezebb
meghatrozni, hogy pontosan ki mit rt ezen, de abban egyetrthetnk, hogy ne kelljen (tl sokat)
vrni a vlaszra, ha valamit krdeznk, s a rendszer vlasza a feltett krdsre reagljon, pontos s
hiteles legyen.
Ezeket az elvrsokat szakszeren a COBIT2 az informatikai irnyts ISACA ltal kidolgozott de
facto nemzetkzi szabvnya gy hatrozza meg:
Eredmnyessg az zleti folyamat szempontjbl jelentsggel br, idben helyes, ellentmondsmentes s hasznlhat.
Hatkonysg optimlisan (legtermelkenyebben s leggazdasgosabban) hasznlhat fel.
Bizalmassg engedly nlkli nem hozhat nyilvnossgra.
1
A szolgltatsmegtagadsos (Denial of Service vagy DoS) tmads egy meghatrozott alkalmazs, opercis rendszer ismert gyengesgeit, vagy valamilyen specilis protokoll tulajdonsgait (gyengit) tmadja meg. Clja, hogy az alkalmazs, vagy rendszer elrsre
feljogostott felhasznlkat megakadlyozza a szmukra fontos informcik, a szmtgp-rendszer vagy akr a szmtgp-hlzat
elrsben.
Az ISACA, mely az informcirendszer ellenrk, az informcibiztonsgi, informatikai irnytsi s informatikai kockzatkezelsi

szakemberek nemzetkzi szervezete az informatikai irnyts, kockzatkezels, informcibiztonsg irnyts s informatikai ellenrzs j gyakorlatait magba foglal keretrendszer. A mdszertan elssorban a szakmai vezetknek ad segtsget ahhoz, hogy felmrhessk s elfogadhat szintre cskkenthessk azokat a kockzatokat, amelyeket az informatika zleti folyamatokba plse jelent.
Irnymutatsokat tartalmaz egy kontroll rendszer kialaktshoz s annak a folyamatos mkdtetshez.
13
Srtetlensg a vllalati rtkek s elvrsok szerinti pontossg, teljessg, s rvnyessg.

Rendelkezsre lls az informci s szolgltatsnak kpessge akkor ll rendelkezsre, amikor az zleti folyamatnak szksge van r most, s a jvben.
Megfelelsg trvnyeket, jogszablyokat, szablyozsokat s szerzdses megllapodsokat
(elrt zleti kvetelmnyeket) betartva ll el az informci.
Megbzhatsg a vllalkozs mkdtetse s a pnzgyi megbzhatsgi, s irnytsi ktelezettsgek teljestse rdekben szksges informcit kapja a szervezet vezetse.
Sajnlatos, hogy a biztonsgos mkds ignye gyakorta csak a biztonsg ltszatnak a megteremtst jelenti, nem a vals biztonsgot. A szakemberek trekszenek r, hogy objektv mdon hatrozzk meg a biztonsg mrtkt s llapott. A laikusok szmra a biztonsg bizalmi krds. Gyakran megesik, hogy nem biztonsgos rendszerben bznak az emberek, a biztonsgosban pedig nem.
A biztonsg egy szervezet vezetje szmra is gyakran nehezen eladhat terlet, hiszen meglte
nem pontosan rzkelhet, mr csak a biztonsg hinya az, amelyet tapasztalhatunk.
Mirt nehz valban biztonsgos mkdst kialaktani? Ahhoz, hogy egy szervezet, vagy egy informcis rendszer biztonsgt meg tudjuk teremteni, pontosan ismernnk kell a rendszer cljt s
relevns kockzatok mrtkt, s azzal arnyos vdelmi rendszert kell kialaktani.
14
Informcibiztonsg: fizikai, logikai s humn biztonsg
Nemzetkzi szabvnyok (ISO 27000 szabvnycsoport) hatrozzk meg az integrlt informcibiztonsgi rendszerekkel kapcsolatos kvetelmnyeket, amelynek jelents eleme az IT biztonsg, de az
informatikai rendszerektl fggetlenl pldul papron trolt informcik vdelmt lefedi.
Az MSZ ISO/IEC 27001 clja, hogy modellknt szolgljon informcibiztonsgi irnytsi rendszerek
(ISMS) kialaktshoz, megvalstshoz, mkdtetshez, figyelemmel kisrshez, tvizsglshoz, fenntartshoz s fejlesztshez. Tovbb tartalmazza a szervezet informcibiztonsgi irnytsi
rendszernek kls szakrt ltali ellenrzsnek kvetelmnyeit, s lehetv teszi a tansthatsgot.
Az MSZ ISO/IEC 27002 az informcibiztonsg menedzsmentjnek gyakorlati kdexe. A korbbi
informatikai biztonsgi ajnlsoktl eltren, a biztonsgi kvetelmnyeket s intzkedseket a szervezet zleti cljaibl s stratgijbl vezeti le szervezeti szint, informatikai biztonsgmenedzsment
kzpont szemlletben. Az ISO 27002, a minsgbiztostsra vonatkoz ISO 9000-es szabvnyokhoz hasonlan, a teljes kr informatikai biztonsg megteremtshez szksges szervezsi, szablyozsi szempontrendszert adja meg.
A szabvny a vdelmi intzkedseket az albbi logikai csoportokba szervezi:

kockzatelemzs;
biztonsgpolitika, szablyzati rendszer;
biztonsgi szervezet;
vagyontrgyak kezelse;
szemlyi biztonsg;
fizikai s krnyezeti biztonsg;
kommunikci s zemeltets biztonsga;
hozzfrs-ellenrzs;
informcis rendszerek beszerzse, fejlesztse s karbantartsa;
incidenskezels;
zletmenet-folytonossg;
megfelelsg.
15
Vdelmi rendszerek tbb szint vdelem

Hagyomnyosan a biztonsgot a hatrok ers vdelmvel valstottk meg. Gondolhatunk itt egy vrrokkal krlvett magas sziklafallal krbevett erdtmnyre, melybe egy felhzhat pall segtsgvel
egyetlen kapun keresztl lehet bejutni, amelyet marcona rsg vd.
Napjainkban is fontos rsze a vdelemnek a fizikai vdelem, amelynek fbb rszei a kvetkezk:

mechanikai vdelem;
elektronikai jelzrendszer;
lers vdelem;
belptet rendszer;
biztonsgi kamera rendszer;
villm s tlfeszltsg vdelem;
tzvdelem.
Az informatikai biztonsg alapveten fgg az informcis rendszerek elemeibl integrlt komplex

rendszerek biztonsgi megfelelsgtl, s az informcis rendszereket mkdtet szervezet folyamatainak rettsgtl, a szakemberek, s az irnytst vgzk szakkpzettsgtl, s a bels kontroll
rendszer minsgtl. Az informcibiztonsgot a tgabb s szkebb krnyezetre szabva kell kialaktani, megvalstani, mkdtetni s fejleszteni.
16
Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme

Magyarorszgon az llami s nkormnyzati szervek adatok, s ezeket tartalmaz dokumentumok sokasgt kezelik. Ezek rszben nem nyilvnos, vagy fokozottan vdett minstett adatok, rszben pedig brki
ltal korltlanul megismerhet kzrdek adatok, informcik. Ezek lehetnek termszetes szemlyre
vonatkoz, az adott szervezet vagy ms szervezet mkdsre vonatkoz. Az adatok kezelst, gyjtst,
tovbbtst jogszablyok hatrozzk meg. A hazai adatvdelmi szablyozs egyike a legszigorbbaknak
nemzetkzi szinten, alapjait az informcis nrendelkezsi jogrl s az informciszabadsgrl szl
2011. vi CXII. trvny fekteti le.
Fokozottan fontos ez a jogi vdelem az llam irnyt, szablyoz, ellenrz szerepnek megnvekedse, valamint az informatika szolgltatsok szles kr bevezetse miatt, amely kiterjedt, de clhoz kttt adatgyjtssel s kezelssel jr egytt. A szemlyes adatok vdelmt nem csak az llami
adatkezels szempontjbl kell biztostani, hiszen a vllalatok, vllalkozsok szmra is komoly piaci
rtke van pldul egy elektronikus levlcmnek, vagy pontos felhasznli s vsrlsi szoksainknak.
A szemlyes adatoknak egy szkebb kre az olyan rzkeny adatok, amelynek srlse a magnszfrt
komolyan rinti, klnleges adatnak minsl s szigorbb vdelem alatt ll. Ilyen pldul a nemzeti
kisebbsghez tartozsra, a politikai prtllsra, szexulis letre -vonatkoz adat, a bngyi szemlyes
adat s az egszsggyi llapotra vonatkoz adat.
Adatkezelsnek tekintend az adatokon vgzett brmely mvelet, belertve az adatok gyjtse, rgztse, rendszerezse, trolsa, mdostsa, felhasznlsa, tovbbtsa, nyilvnossgra hozatala,
szinkronizlsa, sszekapcsolsa, zrolsa, trlse s megsemmistse, valamint az adatok tovbbi
felhasznlsnak megakadlyozsa. A szemlyes adatok kezelse trvnyi felhatalmazs, vagy az
rintett klnleges adatok esetn rsos hozzjrulsa esetn lehetsges kizrlag egyrtelmen
meghatrozott cl rdekben felhasznlni.
Az adatvdelmi jogszablyok betartst hatsg, a Nemzeti Adatvdelmi s Informciszabadsg
Hatsg felgyeli s a jogszablyok be nem tartsa esetn komoly brsgot szabhat ki, illetve fel is
fggesztetheti az adatkezelst.
A minstett adatok vdelmnek intzmnyrendszert, a nemzeti s klfldi minstett adatok vdelmnek egysges felgyelett, s a minstett adatok kezelsnek hatsgi engedlyezst a Nemzeti
Biztonsgi Felgyelet (NBF) ltja el a Kzigazgatsi s Igazsggyi Minisztrium szervezeti keretben. Az NBF egyik szervezeti egysge feladata a kzszfra informcis rendszereinek kiberbiztonsgi
vizsglata is.
17
Informcibiztonsg: llami s nkormnyzati elektronikus informci, s infrastruktrk jogszablyi vdelme

A ltfontossg infrastruktra vdelmre vonatkoz jogszablyok 2008-2013 kztt lptek hatlyba.
Ezek olyan ltfontossg fizikai s informcis-technolgiai berendezsek s -hlzatok, szolgltatsok s eszkzk vdelmt rintik, amelyek sszeomlsa vagy megsemmistse slyos kvetkezmnyekkel jrhat a polgrok egszsge, vdelme, biztonsga s gazdasgi jlte, illetve a kormnyok
hatkony mkdse szempontjbl.
Magyarorszg Nemzeti Kiberbiztonsgi Stratgijrl szl 1139/2013. Korm. hatrozata meghatrozza Magyarorszg kibertrre vonatkoz rtkrendjt, jvkpt s cljait, s elre vetette a dinamikusan vltoz kibertr ignyeihez s az ez ltal generlt feladatokhoz alkalmazkodni kpes kormnyzati kpessgeket biztost kormnyzati struktra kiptst.
A stratgia gyakorlati megvalsulst hivatott biztostani mg a 2013 prilisban elfogadott, az llami
s nkormnyzati rendszerek elektronikus informcibiztonsgrl szl 2013. vi L. trvny (a tovbbiakban: Ibtv). A trvny fellltja a szksges intzmnyrendszert a nemzeti vagyon rszt kpez
nemzeti elektronikus adatvagyon, illetve a ltfontossg informcis rendszerek s rendszerelemek
biztonsga alapfelttelei megteremtshez.
Az intzmnyrendszer rsze a Nemzeti Biztonsgi Felgyelet j szakhatsgi feladata, amely keretben a biztonsgi incidensek megelzst, a srlkenysgek s hibs mkdsi belltsok felkutatst vgzi, tovbb javaslatot tesz azok elhrtsra, valamint kzremkdik a biztonsgi incidensek
mszaki vizsglatban.
Az Ibtv. s vgrehajtsi rendeletei ltrehoztk a Nemzeti Elektronikus Informcibiztonsgi Hatsgot (tovbbiakban: NEIH) s szakhatsgi feladatokkal elltsval ruhzzk fel az elektronikus
informcibiztonsg terletn. A Hatsg f feladata, hogy felgyelje a kltsgvetsi szervek informcitechnolgiai, adatkezel- s feldolgoz tevkenysgt s az informcitechnolgiai fejlesztsi
projektekben az informcibiztonsgi kvetelmnyek teljeslst. Tovbb engedlyezi az rintett
szervezetek ltal az Eurpai Uni tagllamaiban trtn elektronikus informcis rendszer zemeltetst, s ellenrzi az rintett szervezetek ltal az Eurpai Uni tagllamain kvl trtn elektronikus
informcis rendszerzemeltetst.
18
Informcis rendszerek elemei

Az informatikai irnyts nemzetkzi de facto sztenderdje a Cobit az informcis rendszerek
elemeit ngy csoportba sorolja: informci, infrastruktra, alkalmazi rendszer, s emberi erforrs.
Az infrastruktra s az alkalmazi rendszerek ismertetse kzrtheten:
hardver:
szerver (tbb felhasznl munkjt segt kzponti szmtgp);
munkalloms/PC (egy felhasznl munkjt segt asztali szmtgp);
hordozhat szmtgp/laptop/notebook (a PC hordozhat vltozata, sajt akkumultorrl
rkig zemel);
mobiltelefon (kezdetben telefonlsra, ma mr fnykpezsre s szmtgpezsre is alkalmas kszlk, kzi szmtgp);
tblagp (a hordozhat szmtgpeket egyszerbb, billentyzet nlkli rintkpernys
vltozata, kzi szmtgp);
adathordoz, adattrol egysg (szmtgpen feldolgozhat llomnyok, dokumentumok,
fnykpek, adatbzisok trolsra, s visszaolvassra alkalmas eszkz);
adatbeviteli (input) eszkzk: billentyzet, digitalizl tbla, stb.;
adatkimeneti (output) eszkzk: nyomtat, kperny, stb.;
szoftver:
opercis rendszer (a szmtgpek hardver eszkzeit mkdtet programok);
virtualizci (egy fizikai szmtgpen tbb logikai szmtgp egyidej mkdtetst lehetv tev szoftverrendszer);
adatbzis kezel (az alkalmazsok ltal hasznlt adatok trolst, strukturlt elhvst, s
azokkal klnbz mveleteket vgz szoftver);
hlzat:
aktv hlzati eszkzk (hlzati adatforgalmat vezrl s ellenrz miniszmtgpek,
melyek mkdse az zemeltetk ltal mdosthat);
passzv hlzati eszkzk (hlzati eszkzk, amelyek az elre beljk rgztett feladatokat
vgzik);
hlzat biztonsgi eszkzk (pl. tzfalak, hlzati betrs detektlk, tartalomszrk, ltalban olyan egyedi clra felksztett szmtgpek, amelyek egy elvrt biztonsgi funkcit
valstanak meg);
dokumentci:
az informatikai rendszerre vonatkoz lersok, tmutatk, kziknyvek, tervek;
alkalmazi rendszerek:
az alkalmazi rendszerek egy adott gyvitelt, vagy egyb tevkenysget tmogat funkcik,
vagy funkcicsoportok vgrehajtsra fejlesztett szmtgpes eljrsok, olyan szoftverek, amelyek az opercis rendszer segtsgvel mkdnek, gyakran adatbzis-kezelt is
hasznlnak.
19
Informci:
olyan tny, amelynek megismersekor olyan tudsra tesznk szert, amelynek addig nem voltunk
birtokban. Az informci teht rtelmezett adat.
Fontosabb informatikai fogalmak:
URL: egy weboldal cmnek megnevezse, amely alapjn a cmtr a technikai cmet (IP cm)
megtallja, egy cmen egybknt tbb honlap is mkdhet. Az a haszna, hogy knnyen megjegyezhetjk egy honlap elrhetsgt. Van olyan tmadsi mdszer, ahol a cmtr tmadsn
keresztl egy vals, s jogszer URL-t egy krtev IP cmre irnyt. Ha https-sel kezddik, akkor
titkostott kapcsolatot hasznl. Figyeljnk r, hogy pontosan rjuk le a cmet, mert krtev honlapokra is kilyukadhatunk.
QR-kd3: lteznek olyan URL rvidt szolgltatsok, amelyekkel knnyen felrhat lesz egy
hosszabb cm is. Ezeket jabban a segtik a QR kdok is, amelyek ktdimenzis vonalkdok, s
amelyeket tbbek kztt okostelefonokkal val hasznlat sorn vehetnk ignybe.
Nevt az angol Quick Response rvidtsbl kapta (gyors vlasz), amely a gyors visszafejtsi sebessgre, s ebbl addan a gyors
vlaszad kpessgre utal. A QR kd a hagyomnyos vonalkdhoz kpest tbb szzszor annyi adatot kpes kezelni.
20
Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti?

A megnvekedett s egyre komplexebb vl informcis rendszerek elleni tmadsokra val reagls mr rgta nem csupn mszaki krds, hanem egy olyan problma, amivel a fels vezetsnek
komolyan szembe kell nznie! A vezetnek kell meghatrozni azokat a clokat, a clok megvalstsnak irnyelveit, s a feladatok vgrehajtst vgz szervezetet, amelyek eredmnyesen biztosthatjk
az elvrt biztonsgi szintet.
nmagban nem vezet eredmnyre, ha az informcibiztonsgot klnbz biztonsgi intzkedsek letbe lptetsvel vagy valamely szabvny adaptlsval kvnjuk megteremteni. A szervezet clkitzseinek elrst szolgl, gazdasgos informcibiztonsg sokkal inkbb a bevlt szervezetirnytsi gyakorlatok alkalmazsval rhet el. Az informcibiztonsgi funkci teht minden szervezet
bels irnytsi s kontroll rendszernek rsze kell, hogy legyen.
Az zleti vilg mdszertanai (pl. COBIT, BMIS4) ehhez hozzteszik mg azt is, hogy az informcibiztonsg irnytst s menedzselst a szervezetek cljainak elrse rdekben, a kockzatokkal arnyban lev mdon, a rendkvli biztonsgi esemnyeket megelzve, feltrva, helyesbtve kell vgezni.
Az ISACA hromvente felmri vilgszerte, hogy milyen tevkenysgeket vgeznek az informcibiztonsgi szakemberek, s ehhez milyen szaktudsra van szksg. A felmrs eredmnyeit kzzteszi,
s ennek alapjn frissti az Informcibiztonsgi Vezet Tanstvny (CISM) vizsgakvetelmnyeit is.
A kvetkez ngy f terletet tartalmazza jelenleg a vizsga:
1. Informcibiztonsg irnytsa a szervezet cljaival, ktelez s vllalt feladataival, a szervezetet veszlyeztet tnyezkkel s a biztonsgra fordthat erforrsokkal sszhangban lev irnytsi rendszert kell az informcibiztonsgi terleten is kialaktani.
2. Informcis kockzatkezels s megfelels a jogszablyokban elrt s a szervezet vezetje
ltal elfogadott szinten kell tartani az informcis rendszereket veszlyeztet kockzatokat.
3. Informcibiztonsgi program kidolgozsa s megvalstsa az informcibiztonsgi stratgival sszhangban kell kialaktani s megvalstani az informcibiztonsgi programot.
4. Informcibiztonsgi rendkvli esemnykezels a szervezetet r krok cskkentse rdekben
tervezett mdon kell az informcibiztonsgi esemnyeket s kvetkezmnyeik helyrelltst kezelni.
Az informcibiztonsg irnytsi feladatokkal kapcsolatos ISACA ajnlsok a Biztonsgtudatos vezets fejezetbe kerltek beptsre.
BMIS Business model for information security, az ISACA holisztikus informcibiztonsg menedzsment mdszertana, mely
beplt a COBIT 5 keretrendszerbe.
21
Mindenki ugyangy ltja a biztonsg fontossgt?

A biztonsg szubjektv fogalom, hiszen az emberek nem csak korukra, nemkre, szakmai htterkre
nzve klnbznek egymstl, hanem alapvet szemlyisgjegyeik is eltrek. Egy munkahelyi kultra az egyik ember szmra idelis, s a munkra serkent lehet, de elkpzelhet, hogy a msik
ember szmra ugyanez a munkakrnyezet nehz, vagy akr elviselhetetlen.
A szemlyisg tulajdonsgai a krnyezeti hatsokra adott, az agyunkbl kiindul tudatos, s tudatalatti vlaszokat hatrozzk meg. A tulajdonsgokbl ll ssze a szemlyisgtpus. Karl Jung szemlyisgtpus elmlete jl szemllteti az egynek klnbzsgt. Ngy ellenttprt hatrozott meg,
amelyeket egy-egy betvel jelli, gy alkotva ngybets rvidtseket. Ezek varicii sszesen 16 tpust
adnak. Ezek kzl leginkbb az ENTJ kpes a biztonsgi kultra kvetsre, azonban kpzssel fejleszthet ms szemlyisg esetben is ez a kpessg.
Az ENTJ szemlyisgek kifejezetten ignylik, hogy egy szablyozott, minden vlasztsi lehetsgre
vlaszt ad szablyrendszer ktttsgei kztt, rendszeresen ismtld, kiszmthat tevkenysgeket vgezzen (pl. termels, adatfeldolgozs), ahol a csoportvezetje rendszeresen ellenrzi a munkjt s visszajelzst ad. Ez a helyzet bnt, frusztrl s elviselhetetlen lesz ISPF szemlyisgek
szmra, akik inkbb olyan problmk megoldsval szeretnek foglalkozni (pl. marketing, termkfejleszts), amelyekkel nem tallkoztak korbban. Szmukra az idelis munkakrnyezet a tgan meghatrozott szablyok kztt, rugalmas munkaidben trtn foglalkoztats jelenti, hogy akkor dolgozhassanak, amikor ihletk van, mert akkor lesznek eredmnyesebbek. Nyilvnval, hogy mindkt
kollega munkjra szksge lehet a szervezetnek.
A megfelel biztonsgi kontroll rendszer kialaktshoz s fenntartshoz fontos a munkavllalk
klnbz szemlyisgnek felismerse, s az ehhez illeszked intzkedsek meghatrozsa. Srl
ugyanis a szervezet biztonsga, ha az egynek nem elrsszeren vgzik feladatukat, egy adott biztonsgi esemnyre nem megfelelen reaglnak.
22
Vasvri Gyrgy5 szerint az albbi krdsek segtik eldnteni, hogy hol tart a biztonsgi kultra kialaktsa, s ezeken a terleteken mit szksges fejleszteni:
1. Tudjk-e, indokoltnak tartjk-e jogaikat, ktelezettsgeiket?
2. Tevkenysgk sorn azok szerint jrnak-e el?
3. Felismerik-e a vdelmi intzkedsek szksgessgt, van-e veszlyrzetk?
4. Felismerik-e, s eltlik-e azokat, akik a biztonsgi szablyokat megsrtik, a vdelmi intzkedseket nem rendeltetsszeren hajtjk vgre?
5. Vllaljk, hogy hatst gyakorolnak a biztonsgi kvetelmnyeket tudatosan vagy vletlenl,
emberi gyengesgk miatt, rszben illetve egszben megsrt kollgkra?
6. Felismerik-e, akarjk-e felismerni a nem erklcss, etikus magatartst tanstkat?
7. Biztonsgi tudatossguk rvn konstruktv rszesv vlnak-e a szervezeti egysg, csoport
szubkultrjnak?
Milyen a biztonsgtudatos szervezet?

A szervezet biztonsgrt vllalt felelssg, a szervezet vezetse ltal meghatrozott biztonsgi szintnek, mint kvetelmnynek elfogadsa s a hinya kvetkezmnyeinek elismerse, valamint a biztonsgi
szempontbl erklcss, etikus magatartsi kultra egyttesen jellemzi a biztonsg tudatos szervezetet.
Egy szervezetnl akkor j a biztonsgi kultra, ha a munkatrsak ismerik jogaikat s ktelezettsgeiket, s
rvnyestik is azokat. Azoknak a munkatrsaknak, akik tudatlansgbl, hanyagsgbl, vagy szndkosan
nem biztonsgtudatosan viselkednek, ismtelt biztonsgtudatossgi oktatson kell rszt vennik, illetve el is
marasztalhatjk ket. A biztonsgi kultrt teht az egynek biztonsgtudatos magatartsa alaktja ki, ahol
kialakult, ott a munkatrsak tudjk, mi veszlyeztet(het)i a biztonsgot, s ennek megfelelen cselekszenek is.
Az egszsges veszlyrzetnl annyiban klnbzik a biztonsgtudatossg, hogy nem csak felismerjk, hogy a biztonsgi elvrsoktl eltr viselkeds veszlybe sorolhat minket, vagy a szervezetet,
hanem azt is, hogy ilyen helyzetben mit tegynk, s mit ne tegynk.
A biztonsgtudatossgra kls (pl. jogszablyok, szabvnyok, politikai hatsok, piaci hatsok, termszeti hatsok, egynek krnyezetnek) s bels tnyezk (pl.: szablyzatok, a kzvetlen vezets
utastsai, humnpolitika, az ellenrzs) egyarnt hatssal vannak.
Azrt fontos a vllalati kultra rszv tenni a biztonsgot, mert a szervezeti kultra befolysolja az
egynek hovatartozs tudatt, helyzett, szerept a szervezetben. Teht a biztonsgi kultra, s a
5
Vasvri Gyrgy: Vllalati biztonsgirnyts Informatikai biztonsgmenedzsment, Info-Szakknyv Bt., 2007.
23
szintjnek fenntartsa, vagy emelse nmagban is vdelmi intzkeds. Clszer a biztonsgi kultra
szintjt vente rtkelni.
A biztonsgtudatossg megjelenhet vllalati szoksokban (pl. minden rtekezlet utn a fali tblt
letrljk), a bels kommunikciban hasznlt nyelvezetben, s szimblumok alkalmazsban.
A biztonsgtudatossg hinyban a szervezet nem ismeri fel megfelelen a rendkvli biztonsgi
esemnyeket, s nem kpes felmrni azok kvetkezmnyeit. Ez azt eredmnyezheti, hogy a szervezet
nem lesz kpes a ktelez s vllalt feladatai elltsra.
Megelzs mdszerei: ismeretszerzs, tudatosts

Alapvet s ms lehetsgekhez kpest olcsbb mdszer az, ha felksztjk a felhasznlkat, szervezetnk munkatrsait arra, hogy felelsen, a biztonsgot veszlyeztet tnyezk ismeretben vgezzk munkjukat. Tovbb legyenek felksztve azoknak az eszkzknek s informcis rendszereknek
a hasznlatra, amelyek szksgesek a munkjukhoz, gy is cskkentve az emberi hibkbl fakad
biztonsgi esemnyeket. Ennek eredmnyessgt tudja fokozni, ha ezeket az ismereteket jl rthet
formban, szakemberek ltal sszelltott megbzhat informcikra ptve, s a felnttkpzs s
szervezetfejleszts korszer eszkzeit felhasznlva adjuk t munkatrsainknak.
Jelen tjkoztat anyag is rsze annak a folyamatnak, amelynek eredmnyekppen a kzszfrban
dolgoz munkatrsak alapvet ismereteket szerezhetnek, megismerve ez ltal az informatika hasznlatnak veszlyeit, gy felkszlhetnek a kockzatok elkerlsre, vagy a bekvetkezett kockzatok
felismersre, s a krok cskkentsre.
Az informatikai biztonsgi tudatosts eredmnyes megvalstsa komplex, szemlyre szabott szervezeti kultrafejlesztsi program, melynek rsze az adott szervezetet rint kockzatok felmrse,
a kockzatkezelsi stratgia meghatrozsa, az informatikai biztonsgi szablyozs kiadsa, s a
felhasznlktl elvrt viselkedsi szablyok meghatrozsa. A szksges informcik birtokban
vgezhet el a biztonsgtudatostsi program szemlyre szabsa, majd a dolgozk felelssgi s felkszltsgi szintjnek legmegfelelbb kpzsi, tudstadsi formk meghatrozsa, a tuds tadsa,
visszaellenrzse.
24
Megelzs mdszerei: adatments
A legkzenfekvbb megolds, amely biztostja az elektronikus informcik megsemmisls elleni

vdelmt az, ha tbbszrzzk ket. Le kell msolni rendszeresen, s az eredeti helytl eltr biztonsgos helyen kell trolni az informcis rendszerekben s adathordozkon (kls merevlemez,
DVD stb.) trolt adatokat.
A msolatok meglte vd a rendszerek s adathordozk meghibsodsa, a vletlen adattrls vagy
mdosts, s a szndkos krokozs ellen is. A msolsra alkalmazott mszaki megoldsoktl, az
adatok visszalltsra hasznlt eljrsoktl fgg, hogy milyen gyorsan lehet visszalltani az adatokat.
A mentsek gyakorisga pedig azt hatrozza meg, hogy kt ments kztt elvileg mennyi adat veszhet el.
Fontos felhvni a figyelmet, hogy adott szervezeten bell az informatikai rszleg vgzi az adatok mentst, ezrt ltalban szksgtelen, st biztonsgi szempontbl kifejezetten veszlyes, gyakran tiltott
is a munkavgzs sorn ksztett dokumentumok, iratok, levelezs sajt adathordozn val trolsa, szervezeten kvlre hordozsa. Mirt van ez? ltalban egy olcs kismret adathordozt (pl.
memriakrtyt, USB-memrit) hasznlnak erre a munkatrsak, amelyen titkosts nlkl troljk
az adatokat. Belthat, hogy ez knnyen nyomtalanul eltnhet. Veszett mr el pldul hordozhat
adathordozn tbb milli adz adata, s krhzban kezelt betegek adatai, s nem nyilvnos elterjesztsek munkaanyaga. Gondoljuk vgig, hogy a magunkkal hordott adatok milyen krt okozhatnak
illetktelen kezekben!
A szervezetnk adatait teht csak akkor tegyk sajt adathordoznkra, ha meggyzdtnk arrl, hogy
a szablyok megengedik, s felttlen szksges. Ebben az esetben mindig titkostsuk az adatokat
(pldul az ingyenes Truecrypt programmal).
25
Megelzs mdszerei: felhasznlk szmtgpeinek vdelme
A kzszfrban dolgoz munkatrsak a szemlyes tulajdonukban lev szmtgpek tekintetben

felelsek azok vdelmrt. Ez fokozottan fontos abban az esetben, ha ezeket a szmtgpeket a
hivatali kommunikcira, illetve munkavgzsre is ignybe veszik. Minden felhasznltl elvrhat,
hogy az alapvet vdelmi intzkedsek belltst s mkdtetst kpes legyen elvgezni. Ide soroljuk a rendszerszoftverek frisstst (Windows esetn pldul automatikusan elvgzi a rendszer, ha
bekapcsoljuk), vrus s krtev vdelmi szoftverek mkdtetst (ingyenesen letlthetek szles kr
dokumentci s teleptsi utasts ll rendelkezsre), s szoftveres tzfal mkdtetst (Windows
rendszer rsze, de ingyenes egyb tzfalak is elrhetek).
Abban az esetben, ha fokozni szeretnnk a szmtgpeink vdelmt hasznlhatunk kln virtulis gpet pldul a hivatali munkra, illetve telepthetnk gynevezett homokozt (sandbox), amely
megakadlyozza, hogy programok, klnsen bngszk, a rendszer belltsait megvltoztathassk.
Ezek megfelel belltsa mr kzpszint felhasznli ismereteket felttelez.
A kzszfra szervezetei ltal hasznlt szmtgpeiknek vdelmt a szervezet informatikai rszlege,
vagy egy kls szolgltat mkdteti. Ebben az esetben a felhasznlk felelssge annyi, hogy ezeket
a vdelmi rendszereket ne kapcsoljk ki, illetve jelezzk, ha nem, vagy hibsan mkdnek. Specilis
eset, ha szemlyes tulajdon szmtgpet a hivatal bels hlzatn kvn egy munkatrs hasznlni.
Ilyenkor ltalban szksges, hogy a hivatal ltal meghatrozott informatikai belltsokat alkalmazzk a gpen a megfelel biztonsg rdekben. Ha ehhez a munkatrs nem jrul hozz, akkor ltalban maximum internet kapcsolatot fog kapni a bels hlzaton, semmi mshoz nem frhet hozz.
Fontos eszkz a szmtgpek fizikai vdelme is. ltalban a szervezetek bels szablyzatban tiltjk,
hogy felgyelet, vagy megfelel vdelem nlkl hagyjuk a hordozhat szmtgpeket. Pldul egy
gpjrm utasterben ne hagyjunk szmtgpet. A csomagtart sem biztost megfelel vdelmet,
mert a tolvajoknak megvannak az eszkzeik, amellyekkel kifigyelik, hogy van-e szmtgp a gpkocsiban. A szmtgpes eszkzk hasznlatt a szervezetek ltalban a Felhasznli szablyzatban,
illetve az Informatikai biztonsgi szablyzatban szablyozzk.
26
Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa

Mit is rtnk rendkvli IT biztonsgi esemny (IT biztonsgi incidens) alatt? Az informatikai rendszer
vdelmi llapotban bellt illetktelen vltozs, amelynek hatsra az informatikai rendszerben kezelt
informci bizalmassga, srtetlensge, hitelessge, funkcionalitsa, rendelkezsre llsa megsrl,
vagy a srlsk kockzata megn. Ilyen esemny lehet pldul adathalszok tmadsa, vagy akr az
ramellts megsznse.
Szervezeti szinten bels szablyzatban kell definilni (pl. IT Biztonsgi Szablyzat, Katasztrfa Terv)
az informatikai zemeltetsi s informatikai biztonsgi feladatokat s azok felelst, valamint a
vonatkoz folyamatokat, eljrsokat. J gyakorlat, hogy egy kzponti helyen kezelik az ignyeket, s
a rendkvli esemnyeket, mert gy kzpontilag nyilvntartott, s nyomon kvethet a kezelsk. Az
informatikai rendszerek felhasznlinak a feladata ltalban ezzel kapcsolatban az, hogy idben bejelentsk a szokatlan mkdst, illetve mkds megszakadst.
A rendkvli IT biztonsgi esemny kivizsglsa ltalban helyben kezddik. Megnzik, hogy volt-e
mr hasonl eset, van-e elkerl megolds, illetve megolds az IT biztonsgi esemnyre. Ahol informatikai szolgltatk vesznek ignybe rszben, vagy teljes mrtkben ott a kiszervezett szolgltatsokra ezt vagy a szolgltat vgzi, vagy egyttmkdnek vele.
Amennyiben csals, vagy kls tmads gyanja merl fel, akkor a biztonsgi terlet is bekapcsoldik az esemny vizsglatba. Szksg esetn a hatsgok segtsgt is lehet krni, ha olyan jelleg a
biztonsgi rendkvli esemny.
Az ismert srlkenysgek azonostsban kormnyzati szinten a kormnyzati s gazati CERT6ekhez kell fordulni.
Mi a felhasznlk felelssge?
A szervezetben a munkatrsak s szerzdses dolgozk szmra ktelez a jogszablyok s a szervezet bels szablyzatainak s a vezeti utastsoknak a betartsa.
ltalban az informcis rendszerek felhasznlitl elvrt viselkedsi normkat felhasznli szablyzatban, vagy ms szablyzatok rszeknt hatrozzk meg. Alapveten azt tartalmazza, hogy a
6
CERT hlzatbiztonsgi kzpontok, amelyek f feladata a hlzatbiztonsgi incidensek kezelse, az llami szfra vagy egyes gazatok informatikai rendszereinek hlzatbiztonsgi tmogatsa. A CERT-ek megfelel technikai httrrel rendelkeznek ahhoz, hogy
idben reagljanak s kezeljenek minden hlzatbiztonsgra s ltfontossg informcis infrastruktrra veszlyes esemnyt. A
bejelentett esemnyeket a kzpontok bizalmasan vezetik.
27
rendszereket kizrlag munkavgzs cljra, a munkavgzshez szksges mrtkben lehet hasznlni. Gyakran kitr a szablyozs arra is, hogy a rendszerek s a szervezet biztonsga rdekben az
informatikai rendszer mkdst, s a felhasznlk tevkenysgt a szervezet figyelemmel ksri.
A Kzigazgatsi s Igazsggyi Minisztrium ltal kiadott etikai kdex tervezet (ZLD KNYV
az llami szerveknl rvnyestend etikai kvetelmnyekrl) s a Magyar Kormnytisztviseli Kar
ltal a kzszolglati tisztviselkrl szl 2011. vi CXCIX. trvny felhatalmazsa alapjn kiadott
Hivatsetikai Kdex7 tovbbi tmutatst nyjt a klnbz szablyzatokban egyrtelmen nem meghatrozott elvrsok tekintetben.
http://mkk.org.hu/node/102
28
Biztonsgi kultra megvalstsnak alapelvei

Az OECD8 az informcis rendszerek s hlzatok biztonsgra vonatkoz tmutatban9 kilenc alapelvet hatrozott meg a biztonsgi kultra sikeres megvalstsa rdekben. Ezek az elvek a felhasznlkra, a vezetkre, s a szakpolitika szintjre egyarnt eredmnyesen alkalmazhatak. Termszetesen
minden szinten az egyni szerepeknek megfelelen vltozik a felelssg. Az alapelvek kvetse segt
az informcik megszerzsben, tudatostsban, a szksges kpessgek elsajttsban. Az alapelvek egymst erstik, ezrt mindegyiket indokolt figyelembe venni a biztonsgi kultra alaktsa
sorn! Az OECD felhvja mg a figyelmet arra, hogy egyenslyt kell teremteni a demokratikus trsadalom rtkei s a biztonsg kztt.
1) Tudatosts elve
Meg kell rtennk s tudatostanunk, hogy az informcis rendszerek s hlzatok hasznt csak
gy lvezhetjk, veszlyeiket csak gy kerlhetjk el, ha a biztonsgi kockzatok tudatban hasznljuk ket.
Az els vdelmi vonal teht az informatikai kockzatok s a rendelkezsre ll vdelmi lehetsgek
tudatostsa. A kockzatok bels s kls irnybl is felmerlhetnek. Ez azt jelenti, hogy egy felhasznli, vagy zemeltetsi hiba veszlyeztetheti a sajt, illetve a vele kapcsolatban lev rendszerek
s hlzatok biztonsgt. Az integrlt rendszerek megfelel biztonsga rdekben az rintetteknek
ismernik kell a rendszerk felptst, a hlzatokban elfoglalt helyt, s a biztonsg rdekben
alkalmazhat intzkedseket.
2) Felelssg elve
A felhasznlk, az zemeltetk, a fejlesztk s a tulajdonosok is felelsek az informcis rendszerek s hlzatok biztonsgrt. A rendszerek biztonsga fgg a velk sszekttetsben lev helyi
s globlis rendszerek biztonsgtl. Ahhoz, hogy a biztonsgot fenn tudjuk tartani, minden rintettnek tudatban kell lennie sajt felelssgvel, s ezt szmon kell tudni rajta krni.
Minden szervezetnek rendszeresen fell kell vizsglnia sajt szablyzatait, gyakorlatait, intzkedseit
s eljrsait, s rtkelnie kell, hogy ezek megfelelek-e. Minden rintettnek, aki rszt vesz informatikai termkek s szolgltatsok fejlesztsben, tervezsben s szlltsban, foglalkoznia kell a
rendszerek s hlzatok biztonsgval s a szksges tjkoztatst idben meg kell tennie. Ennek
eredmnyeknt a felhasznlk jobban megrtik a termkek s szolgltatsok biztonsgi vonatkozsait s a sajt felelssgket a biztonsggal kapcsolatban.
8
OECD: Organisation for Economic Co-operation and Development - Gazdasgi Egyttmkdsi s Fejlesztsi Szervezet
Guidelines for the Security of Information Systems and Networks, OECD, 2002.
29
3) Vlaszintzkedsek elve
Az rintetteknek kell idben, egymssal egyttmkdve kell a vratlan biztonsgi esemnyeket
megelzni, szlelni, illetve az ezekre vonatkoz megfelel vlaszintzkedsek megtenni.
Felismerve az informcis rendszerek s hlzatok sszekapcsoldst, s a gyors s szleskr
krokozs lehetsgt, az rintetteknek idben s egyttmkdve kell a vratlan biztonsgi esemnyeket kezelni. Szksg szerint meg kell osztaniuk egymssal a fenyegetsekkel s sebezhetsgekkel
kapcsolatos informcikat, s gyors s hatkony eljrsokat kell alkalmazniuk, hogy egyttmkdve
megelzzk, szleljk, illetve reagljanak a vratlan biztonsgi esemnyekre. Ahol lehetsges, ez akr
hatrokon keresztli informcicservel s egyttmkdssel is jrhat.
4) Etika elve
Az rintetteknek tiszteletben kell tartaniuk msok jogos rdekeit.
Tekintettel arra, hogy az informcis rendszerek s hlzatok alkalmazsa tszvi a trsadalmunkat,
az egyneknek fel kell ismernik, hogy cselekedeteik vagy azok hinya adott esetben kros hatssal is
lehetnek a tbbi felhasznlra. Az etikus viselkeds ezrt ltfontossg, az rintetteknek trekednik
kell arra, hogy a j gyakorlatokat kialaktsk s alkalmazzk, a biztonsg ignyt elfogadjk, s msok
jogos rdekeit tiszteljk.
5) Demokrcia elve
Az informcis rendszerek s hlzatok biztonsgt megvalst megoldsoknak a demokratikus
trsadalmak alapvet rtkeivel sszefrhetnek kell lennik.
A gondolatok s eszmk cserjnek szabadsgt, az informci szabad ramlst, a szemlyes adatok megfelel vdelmt, a nyitottsgot s az tlthatsgot indokolatlan mrtkben nem szabad
korltozni.
6) Kockzatfelmrs elve
A biztonsg tervezse s megvalstsa sorn a relevns lnyeges kockzatokat fel kell mrni.
A kockzatfelmrs azonostja a fenyegetseket s a sebezhetsgeket, kitrve a legfbb bels s
kls tnyezkre, gymint a technolgia, a fizikai s emberi tnyezk, politikai irnyelvek s harmadik
szemly ltal nyjtott biztonsgi szolgltatsok. A kockzatfelmrs lehetv teszi az elfogadhat
szervezeti kockzati szint meghatrozst, s segtsget nyjt az informcis rendszerek s hlzatok
biztonsgt fenntart megfelel szablyozsok kialaktsban a megvdend informci jellegvel s
30
fontossgval arnyban. Tekintettel az informcis rendszerek sszekapcsolsra, a kockzatfelmrsnek ki kell trni a msoktl szrmaz, vagy a msok rszre okozhat hatsokra.
7) Biztonsgtervezs s vgrehajts elve
Az rintetteknek a biztonsgot az informcis rendszerek s hlzatok kialaktsa sorn lnyeges
szempontknt kell kezelni, s megvalstani.
A rendszereket, hlzatokat s irnyelveket az optimlis biztonsg megvalstsra kell megtervezni,
alkalmazni s koordinlni. Megfelel vintzkedseket kell tervezni s elfogadni annak rdekben,
hogy az azonostott fenyegetsekbl s sebezhetsgekbl szrmaz potencilis krokat elkerljk,
vagy cskkentsk. A szervezet rendszereiben s hlzataiban tallhat informci rtkvel arnyos
mszaki, s nem mszaki vintzkedsekre van szksg. A biztonsgot az sszes termk, szolgltats, rendszer s hlzat alapvet elemv, valamint a rendszertervezs s az architektra szerves
rszv kell tenni. Az tlagos felhasznlk szmra ez leginkbb sajt ignyeik meghatrozsra, a
termkek s szolgltatsok kivlasztsra terjed ki.
8) Biztonsgmenedzsment elve
Az rintetteknek minden szempontra kiterjed mdon kell a biztonsgmenedzsment feladatokat
vgeznik.
A biztonsgmenedzsmentnek kockzatfelmrsen kell alapulnia, fellelve az rintettek tevkenysgnek s mkdsnek minden vonatkozst. A rendkvli esemnyek megelzsre, feltrsra, s
velk kapcsolatos vlaszintzkedsekre, rendszer helyrelltsra, karbantartsra, fellvizsglatra s
ellenrzsre vonatkoz elremutat vlaszokat kell adnia a kialakul fenyegetsekre vonatkozan. Az
informcis rendszerek s hlzatok biztonsgval kapcsolatos irnyelveket, gyakorlatokat, intzkedseket s eljrsokat ssze kell hangolni az sszefgg biztonsgi rendszer kialaktsa rdekben.
A biztonsgmenedzsmentre vonatkoz kvetelmnyek fggenek az rintettsg szintjtl, az rintett
szereptl, a szban forg kockzatoktl s rendszerkvetelmnyektl.
9) jrartkels elve
Az rintetteknek az informcis rendszerek s hlzatok biztonsgt fell kell vizsglniuk s jra
kell rtkelnik. A biztonsgi irnyelvekben, gyakorlatokban, intzkedsekben s eljrsokban
szksges mdostsokat el kell vgeznik.
Folyamatosan jelennek meg j s vltoz fenyegetsek, s sebezhetsgek. Az rintetteknek a biztonsg minden aspektust folyamatosan fell kell vizsglniuk, t kell rtkelnik s vltoztatniuk kell,
hogy a felmerl kockzatokat kezelhessk.
31
A biztonsgi kultra fejlesztse

A biztonsgtudatossgot, s a kzssgek biztonsgi kultrjnak fejlesztst az egynek, csaldok,
kiskzssgek, szervezetek szintjn s orszgos szinten is lehet, s clszer is fejleszteni. Az ismereteket vgl az egyneknek kell megtanulniuk, de kevs ember kpes arra, hogy magtl megtallja,
megrtse s meg is jegyezze ezeket az ismereteket. Szksgesek olyan kztes csatornk, segt szervezetek s segdeszkzk, amelyek minden embernek a szmra szksges tudst a szmra megemszthet formban juttatja el. A haznkban is elterjedt pldkat rviden ismertetjk.
Biztonsgtudatostst segt szervezetek a trsadalom klnbz szintjein fejtik ki tevkenysgeiket:
A kormnyzati szervezetek ssztrsadalmi s kzigazgatsi szinten is vgeznek ilyen tevkenysget: szakpolitikai s hatsgi szinten a Nemzeti Fejlesztsi Minisztrium s a minisztrium szervezetbe tartoz Nemzeti Elektronikus Informcibiztonsgi Hatsg (a tovbbiakban: NEIH),
hatsgi szinten a Nemzeti Biztonsgi Felgyelet (a tovbbiakban: NBF), rendvdelemi szinten
az Orszgos Rendr Fkapitnysg s az Orszgos Katasztrfavdelmi Figazgatsg.
A trsadalmi szervezetek inkbb trsadalmi szinten s oktatsi intzmnyekben aktvak: Inftr
Egyeslet az informatika trsadalmi hasznossgt kvnja segteni, a Safer Internet hangslyozza
a gyerekek felksztst az internet biztonsgos, s felels hasznlatra.
A szakmai szervezetek rszt vesznek a trsadalmi biztonsgtudatostsban, de inkbb a kzigazgatsi szervezetek s gazdasgi trsasgok biztonsgi kultrjnak fejlesztshez biztostjk
a tudatostst vgz szakemberek felksztst, a tudatosts mdszereit s segdeszkzket:
informatikai ellenrk, biztonsgi szakemberek s vezetk (ISACA Magyarorszg Egyeslet),
hlzatbiztonsgi s infrastruktra vdelmi szakemberek (KIBEV nkntes Kibervdelmi
sszefogs), szmtstechnikai szakemberek (Neumann Jnos Szmtgp-tudomnyi Trsasg), elektronikus alrs szakrtk (Magyar Elektronikus Alrs Szvetsg), informatikai igazsggyi szakrtk.
A gazdasgi trsasgok egy rsze a sajt szervezetn belli biztonsgtudatostson tl trsadalmi szinten is vgez tudatostst. Ilyenek pldul a tvkzlsi szolgltatk, akik a szolgltatsbiztonsg nvelse, s a trsadalmi felelssgvllals cljbl segtik az informcibiztonsg
tudatostst (pl. UPC reklmok).
Biztonsgtudatostst segt csatornk:
hrleveleket biztonsgtudatostsi cllal kzigazgatsi s szakmai szervezetek is kzztesznek,
illetve bels felhasznlsra nagyobb szervezetek is ksztenek;
tjkoztat honlapokat minden tpus szervezet alkalmaz, ezek segtik a strukturlt informci
tadst s egyszeren frissthet a tartalmuk;
kzssgi hlzaton lev informcis csatornkat szles krben hasznlnak ismerettadsra,
gy a szakmai kzssgek biztonsgtudatostst is segtik (pl. Linkedin csoport, Youtube lista);
32
kzssgi tjkoztat programokat ltalban llami tmogats mellett a trsadalmi s szakmai

szervezetek tartjk (eMagyarorszg pontok, kzssgi hzak, iskolk);
szervezeteken belli kpzseket a szervezet vezetse utastsra s tmogatsval szerveznek,
a szervezet mrettl s a rendelkezsre ll forrsok mrtktl fggen kzpontilag, illetve
helyileg ksztett segdeszkzket alkalmazva.
Biztonsgtudatostst segt segdeszkzk:
tjkoztat brosrk: ltalban egy tmt 1-10 oldalban kzrtheten, sznes grafikai elemekkel
illusztrl tjkoztat anyagok;
krdvek, s egyszer jtkok: sztnsen segtik a figyelem felkeltst, az ismeretek jtkos
megszerzst. Nveli a jtkok ltal elrt clkznsg mrett, ha nem csak a jtk rmrt
lehet jtszani, hanem egyedi djakat is lehet nyerni;
figyelemfelhv vide klipek: ltalban 1-5 perc hossz dramatizlt filmanyagok, amelyek egy
biztonsgi kockzatot, vagy azok helyes kezelst mutatjk be;
tvoktats (eLearning): ltalban egy adott szervezeten bell, a szervezetre szabott mdon vgzik, amely segtsgvel az egyes felhasznl sajt tempjban vgezhet az ismeretszerzs, s
mrhetv vlik az ismeretek tadsnak eredmnyessge;
iskolai oktats: ltalban ltalnos s kzpiskolai szinten iskolai klnrkat szerveznek, az
intzmny sajt felkrsre, vagy biztonsgtudatostst vgz trsadalmi s szakmai szervezetek
kezdemnyezse alapjn;
ktelez kpzsek szervezse: definilt clcsoport szmra, az elrend kpzsi szint szerint
vltoz idtartalm oktats, amely vgn a rsztvevk szmot adnak tudsukrl, a kpz intzmny pedig a kpzs elvgzsrl igazolst llt ki;
konferencik: eltr clkznsg, az ltalnostl a mly szakmai ismeretek tadsnak, informcik kicserlsnek s megvitatsnak fruma;
az ellenrzsek: biztostjk, hogy a szablyok ltal elrt, s a vezets ltal elvrt gyakorlatok hinya kiderljn a vezets szmra, akik a megfelel szankcikat alkalmazzk a szablyszegkkel
szemben. A szankcionls eszkzei fontosak a biztonsg megvalstsa sorn, mert ez az eszkz
azok szmra, akiket az oktats s a pozitv motivcis eszkzk sem voltak kpesek rvenni a
kvnt gyakorlatok szerinti munkavgzsre;
rendkvli esemnyek kirtkelse s a kvetkeztsekrl tjkoztats ksztse: segti a biztonsg irnti figyelem fenntartst, s megelzheti a rendkvli esemnyek ismtelt elfordulst.
A kzigazgatsi tevkenysget vgz szervezeteknl a biztonsgtudatostst clszer egy felptett
szervezeten belli kpzsi s tjkoztat program formjban megvalstani, azonban fontos pteni a ms csatornkon elrhet tovbbi kpzsi s tjkoztat anyagokra, mivel ezek fokozhatjk a
program eredmnyessgt, s gazdasgossgt is. Jelen tjkoztat is szmos hivatkozst tartalmaz
tovbbi ismeretszerzsi lehetsgekre.
33
Egy vagy tbb kls szervezettel val kzvetlen egyttmkds szintn segtheti a szervezeten belli
szakemberek munkjt:
Az adott gazat ms szervezeteivel kzsen szervezhetnek biztonsgtudatost programot, tarthatnak biztonsgtudatostst segt szakmai napot, rendezvnyeket.
Az Alkotmnyvdelmi Hivatal biztonsgtudatost programjban val rszvtel kiegszthet a
szervezet bels tudatost programjt.
Az ltalnos informcibiztonsgi tjkoztat honlapok anyagt felhasznlhatjuk a bels tjkoztat anyagok kialaktsa sorn (ha szksges a felhasznlsi engedlyt megkrve).
Informatikai szolgltatkkal egyttmkdve a kzigazgatsi szervezetek leszmolhatnak zombi
hlzatokkal.
Egyetemi s kutat cgekkel egyttmkdve gyorsabban trhatnak fel eddig nem ismert tmadsi formkat, s a kiber fegyvereket.
A kzpiskolai tanrok s a felsoktats oktatinak felksztse, a kpzk kpzse, kzptvon
hozzjrul ahhoz, hogy a kzigazgatsba bekerl fiatalok biztonsgi tudsszintjre mr csak a
szervezet sajtossgait kelljen rpteni.
Nagyon fontos a szles kzssgekre hatssal lev szervezetek, pldul a mdia cgek, vagy hrforml bloggerek bevonsa trsadalmi szinten az informcibiztonsg tudatossg nvelsben.
Tjkoztat televzis msorok, a hrekben a rendkvli biztonsgi esemnyek magyarzata s a
tanulsgok levonsa eredmnyes eszkz lehet. Tapasztalatok azt mutatjk, hogy a mdia bevonsnak hinya inkbb akadlyozza a biztonsgtudatostst, minthogy semleges lenne: az informci hsget kielgteni kvn bulvr hrek gyakran szakmailag nem megalapozott, vagy hibs
informcikat tartalmaznak, amely inkbb nveli az emberek fejben a tmtl val flelmet, s
rossz gyakorlatokat terjeszt.
A szervezeten belli program sikere azon mlik, hogy ne csak egy kvlrl jtt ktelez gyakorlatknt
tekintsen r a szervezet vezetse, hanem rtse meg az adott szervezetre ennek a hatst, s lljon a
program lre szemlyes pldamutatssal, s a szksges forrsok biztostsval. Fontos mg, hogy
a szervezeten belli program ne csak kvlrl kapott konzerv tjkoztat anyagra pljn, hanem
jl alkalmazhat, az adott szervezeten bell is rtelmezhet gyakorlati mdszereket is adjon, s lehetleg kszljenek olyan segdletek, amelyek a napi munkavgzsben is hasznlhatak (pl. Outlook
biztonsgi belltsa).
Fel kell hvni a figyelmet mg arra, hogy a szervezeten bell betlttt szerephez illeszkedve kell az
ismereteket tadni:
ltalnos informci s IT biztonsgi ismeretek ismertetse minden munkatrs rszre,
ktelezen.
Az informcis rendszerek felhasznli szmra az informci s IT biztonsggal kapcsolatban
ktelez kpzs biztostsa, a jrtassg megszerzsre a biztonsgos munkavgzs rdekben.
34
A szervezet dntshoz illetve vezet munkatrsai rszre a felelssgi szintjknek s szerepknek megfelel, ktelez kpzs, s kpessgfejleszts biztostsa.
A biztonsgi szakemberek s vezetk tovbbkpzsi rendszernek kidolgozsa, a szervezetet
rint j veszlyek s kezelsk mdjra vonatkoz kpzs, s a gyakorlati eljrsok tadsa.
A biztonsgi kultra fejlesztst a kvetkez lpsenknt clszer megtenni:
1. A szervezeti biztonsgi kultra rettsgnek meghatrozsa.
2. A vezets a szervezetre vonatkoz elvrsok figyelembe vtelvel meghatrozza a biztonsgi
kultra kvnatos rettsgi szintjt.
3. Biztonsgi kultra fejlesztsi programot alaktanak ki s indtanak el.
4. A szksges szablyozsokat, intzkedseket, oktatsokat megvalstjk lpsrl lpre.
5. A program eredmnyessgnek rendszeres mrse.
A gyakorlati letben az itt ismertet j gyakorlatokat csak azt kveten kezdik el alkalmazni, hogy
egy jelents hatssal jr biztonsgi rendkvli esemny bekvetkezett. Megtakarthatunk azonban
jelents erforrst, s megelzhetnk komoly presztzs vesztesget, ha el megynk a rendkvli esemnyeknek s felksztjk a szervezetnket, ezzel megelzve a bekvetkezsket, illetve ha ez nem
lehetsges cskkentve a krt, amit okozhatnak.
35
Szmtgpes visszalsek
A SZMTGP FELHASZNLKAT KZVETLENL FENYEGET VESZLYEK
S KEZELSK
A kvetkez fejezet nem kevesebbre vllalkozik, mint hogy a napjaink leginkbb elterjedt informatikai
biztonsgi veszlyeit ismertesse, s segtse az Olvast azok megrtsben, s a velk kapcsolatos
teendk megismersben.
Mikor gyanakodjunk arra, hogy a szmtgpnk (szervezetnk informcis rendszere) nem
biztonsgos?
Az informatikai biztonsgi problmk esetben is fontos elv a jobb flni, mint megijedni. Ha a
megszokottl eltr mkdst tapasztalunk a szmtgpes eszkzeink hasznlata sorn, clszer
utnajrni annak, hogy mi lehet az oka. Ilyen lehet a rendszer elindulsnak, a rendszer mkdsnek
vagy az internetezs sebessgnek jelents lassulsa, a rendszerek sszeomlsa, a bngszs sorn
felugr ablakokban reklmok megjelense.
Tjkoztatni kell az informatikai rszleget, vagy a szolgltat gyflszolglatt, vagy ennek hinyban
a helyi informatikust a tapasztalt helyzetrl.
Milyen hatssal lehetnek a szmtgpes veszlyek adatainkra s tulajdonunkra?
Szertegaz mdon lehetnek az informcis rendszerekre hat veszlyek hatssal rnk s a szervezetnkre. A hatsuk a jelentktelentl akr a katasztroflisig terjedhet s jval tlmutathat az egynen,
illetve a szervezet hatrain.
Lehetsges hatsok pldul:
szemlyes s klnleges adataink illetktelen kezekbe kerlnek;
visszalnek a jogosultsgainkkal, amely segtsgvel pldul munkahelyi rendszerekbl adatokat
tltenek le, vagy akr internetbankbl pnz utalnak t a nevnkben;
informcis rendszerek mkdst lasstjk, vagy akadlyozzk meg;
az informcis rendszernk erforrsait felhasznlva tovbbi visszalseket kvetnek el (pl.
kretlen levlklds, ms honlapok tmadsa);
36
zleti titkok, vagy minstett informcik srlhetnek;

fizikailag eltulajdonthatjk eszkzeinket, rtkeinket.
A szmtgpes veszlyek bemutatsnl arra trekedtnk, hogy a kzszfrban dolgozk szmra
rtelmezhet, legvalsznbb mdszereket mutassuk be, ezltal is segtve a lnyeges ismeretek
tadst.
37
Veszlyek: jogosulatlan adathozzfrs, mdosts
Mirl beszlnk?
Az informcis rendszerekben kezelt adatok illetktelen szemlyek ltali mdostsa. A jogosulatlan adathozzfrs, vagy mdosts gyakran szemlyhez kttt
felhasznli azonostk s jelszavak megszerzsvel,
az informatikai rendszerek hinyos vdelme miatt,
vagy vdelmnek szndkos kijtszsval trtnik.
Mit veszlyeztet?

Felhasznl: amennyiben nem tudja bizonytani a

felhasznl, akkor lehetsges, hogy a jogosulatlan
adathozzfrsek kvetkezmnyeit neki kell viselnie.
Rendszermkds: az informcis rendszerekben az adatok jogosulatlan mdostsa veszlyeztetheti a rendszer mkdst, srlhet a rendszer
zrtsga.
Informcibiztonsg: a szervezetek ltal kezelt
bizalmas s titkos informcik srlhetnek, kerlhetnek jogosulatlanul nyilvnossgra, amelynek hrnevet veszlyeztet, s anyagi kvetkezmnyei
is lehetnek.
Nemzetbiztonsg: a kzigazgatson bell fokozott hatsa lehet a jogosulatlan adathozzfrsnek,
az orszg rdekeit, nemzetkzi pozcijt veszlyeztetheti, ha egy vdend informci jogosulatlanul nyilvnossgra kerl.
Plda:
A mentsi rendszer belltsainak mdostsval pldul hibs mentsek kszlhetnek, s az adatok
egy rendszersszeomlst kveten nem llthatak helyre.
A szolgltat csdjt okozta pldul egy biztonsgi szolgltatsokat nyjt cg, a DIGINOTAR 2011es feltrse. Ebben az esetben hitelesnek ltsz digitlis tanstvnyokat bocstottak ki felteheten
irni hekkerek hat hten keresztl, s amikor feltrtk a visszalst, a hrnv csorbulsa s az anyagi
kvetkezmnyek miatt hrom ht alatt csdt jelentett a holland cg. Az eset kzvetve hatssal volt a
holland elektronikus kzigazgatsi szolgltatsok mkdsre is.
38
Hogyan elzzk meg?

A jogosulatlan adathozzfrs megelzsre tbb mdszert kell prhuzamosan alkalmaznunk:
Fel kell ksztennk a munkatrsakat arra, hogy krltekintek legyenek. A munkahelyen hasznlt
jelszavaikat csak olyan szmtgpen hasznljk, amelyek biztonsgosnak tekinthetek.
A jelszavakat csak akkor gpeljk be, ha meggyzdtek arrl, hogy a krnyezetkben senki nem
tudja leolvasni, s nem rgztheti biztonsgi kamera.
Kockzatoknak megfelel vdelmi rendszert kell kialaktani, amelyben a felhasznlk a minimlisan szksges jogosultsgokkal rendelkeznek. A vdelmi rendszernek olyan nyomon kvetsi
funkcikkal (monitoring) kell rendelkeznie, hogy a rendkvli biztonsgi esemnyek j esllyel
megelzhetek, azonosthatak vagy helyesbthetek legyenek.
Az informcis rendszerek tervezse sorn olyan kontrollokat kell elrni s megvalsttatni, mely
megakadlyozza, hogy rvnyesen lehessen adatokat mdostani az informcis rendszer felhasznli fellett megkerlve.
Magukat az adatokat lehet pldul egy bortkba zrni digitlis alrs technolgia
felhasznlsval.
Mit tegynk, ha bekvetkezik?
Haladktalanul rtesteni kell a szervezet biztonsgi vezetjt! Az adatokhoz val jogosulatlan hozzfrs, s azok jogosulatlan mdostsa komoly biztonsgi problma magban, de a vdelmi rendszer
nagyobb hinyossgait jelezheti a jghegy cscsaknt egy jogosulatlan hozzfrs.
Ha mg olvasna errl:
http://pcworld.hu/kozosseg/igy-lopjak-el-a-facebookos-jelszavadat.html
http://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/
http://en.wikipedia.org/wiki/DigiNotar
39
Veszlyek: jelszavak feltrse
Mirl beszlnk?
A jelszavak kitallst, vagy szmtstechnikai kdfejt eszkzkkel val megszerzst nevezzk jelsz
feltrsnek. Tipikus mdszer a gyakran hasznlt jelszavak s szemlyes adatok prblgatsa, illetve a
szavak s azok kombincijnak prblgatsa elektronikus sztrak s jelsztr programok segtsvel. Ha ezek nem mkdnek, akkor marad az gynevezett nyers er (brute force) mdszer, amely az
sszes lehetsges karakter kombincijt kiprblva
tallja meg a jelszt.
Mit veszlyeztet?

Felhasznl: a felhasznlk szemlyes s klnleges adatainak biztonsgt veszlyezteti, ha jogosulatlanul hozzfrhetnek az adataikhoz (pldul
elektronikus postafikjba betrnek).
Rendszermkds: a kiemelt felhasznlk s
rendszergazdk jelszavainak megszerzsvel veszlyeztetni lehet a rendszerek zemszer mkdst, vagy meg is lehet lltani. Nagyobb krokozst jelent visszalsek kezdeti lpse lehet a
jelszavak feltrse.
Informcibiztonsg: a kiemelt felhasznlk s rendszergazdk jelszavaival nagy mennyisg
adatot lehet jogosulatlanul megszerezni, s akr az esemny megtrtntnek nyomt is el lehet
tntetni.
Nemzetbiztonsg: a kzigazgatsban hasznlt informcis rendszerek jelszavainak megszerzsvel adott esetben hatvnyozottan nagyobb krt lehet okozni: orszgos rendszerek adatait megszerezni, infrastruktra elemek mkdst veszlyeztetni.
Plda:
A felh szolgltatk zleti modelljnek terjedsvel egyszeren megvsrolhat rucikk vlt 1 ra
szerver kapacitsa, illetve akr prhuzamosan 100 vagy tbb szerver kapacitsa megvsrolhat egy
adott esetben akr lopott hitelkrtya segtsgvel. Innentl kezdve relatvv vlt, hogy egy jelsz
feltrse elvileg egy tlagos asztali gp kthavi kapacitst ignyli, ezrt elg havonta vltoztatni.
40
Nos ez 60 tlagos asztali gp szmra mr csak 1 nap, de ngyprocesszoros szervergpbl mr elg

15, ha ezekben tbb magos processzor van akkor mg kevesebb
Leggyakoribb jelszavak: 123456, password, telefonszmok, szletsi dtumok, szerettek neve,
kisllatok neve, kedvenc csapat.
Hogyan elzzk meg?
Hasznljunk sszetett s kellen hossz jelszavakat, st sokkal inkbb jelmondatokat, amelyek knnyen megjegyezhetk, s lehetleg valamilyen mdostst kveten pldul szmok hasznlata
magnhangzk helyett sztrakban nem szerepl jelsorozatot kapjunk. Fokozottan vdend rendszerek esetn a felhasznlnv-jelsz-azonosts mr nem elg, itt tovbbi kiegszt kontrollokat
indokolt alkalmazni, pldul kdgenerl eszkzket (token). Ha ez nem lehetsges hasznljunk 8
karakternl nagyobb sszetett jelszavakat, amelyeket jelsztrol s generl alkalmazsok segtsgvel tudunk megjegyezni.
Az alkalmazsok bejelentkezsi fellete kiegszthet olyan funkcival, amely az elrontott jelszavak
ismtelt rgztse eltt Touring teszt (CAPTCHA), vagyis kpek felismertetse segtsgvel kizrja
az automatizlt jelsz feltrst.
Ne adjuk ki senkinek a jelszavunkat, s ne is mesljk el, hogy milyen logika szerint vlasztunk
jelszavakat!
Haladktalanul jelentsk a biztonsgi szakterletnek! Ha van lehetsgnk r, azonnal cserljk le a
jelszt, illetve gondoljuk vgig, hogy a megszerzett jelsz segtsgvel esetleg milyen ms szolgltatst kompromittlhatott a tmad. Pldul ha a postafikunkat trte fel ms szolgltatsokhoz ignyelhetett j jelszt, vagy ha mshol is ugyanazt a jelszt hasznltuk, akkor hozzfrhetett azokhoz
a szolgltatsokhoz is.
Ha mg olvasna errl:
http://iesb.hu/logikai-biztonsag/biztonsagos-jelszavak-es-a-gyenge-jelszavak-feltorese/
http://www.roboform.com/hu/
41
Veszlyek: kretlen levelek (spam)
Mirl beszlnk?
A kretlen levelek, ahogy az elnevezse is mutatja,

olyan elektronikus levelek vagy zenetek, amelyet
semmilyen mdon nem krt a cmzett, s nem is
vrta, hogy rszre kldjk. Gyakran reklmokat, felhvsokat tartalmaz, esetenknt illeglis termkek
(pldul hamistott gygyszerek) vsrlsra buzdt,
de rsze lehet ms csalsi mdoknak (pldul egy
rszvny vsrlsra szlt fel). A felad valdi szemlyt szinte mindig elrejtik, vagy meghamistjk.
Fontos tisztban lennnk azzal, hogy magnszemlyek cmeire kretlen leveleket kldeni trvnysrts.
Mit veszlyeztet?

Felhasznl: az idnket rabolja leginkbb a

kretlen levelek trlse, de ha bedlnk nekik,
akkor pldul akr az letnket (nem megfelel
minsg illeglis gygyszer), vagy vagyonunkat
(cskken r rszvny) is veszlyeztetheti.
Rendszermkds: jelents rendszer erforrsokat kt le a kretlen levek tovbbtsa, szrse.
Akr tl is terhelheti a rendszert, ebben az esetben szolgltats kiesst s karbantartsi kltsget
is jelent.
Informcibiztonsg: kretlen levelek segtsgvel kiderthet, hogy egy tartomnyon bell milyen
aktv postafikok vannak, ha figyelik a levelek olvasst, majd ezek jelszavainak feltrsvel hozzfrhetnek a rendszerhez. Veszlyeztethetik a rendszerek rendelkezsre llst a szolgltatsok
leterhelsvel.
Nemzetbiztonsg: az Egyeslt llamokban jelents gazdasgi krt okoz az illeglis szolgltatsok
rtkestse, a gygyszerhamists elleni harcban ptenek pldul a kretlen levelek forrsnak
azonostsra.
Plda:
Jellemz kretlen levl tpusok az illeglis gygyszereket reklmoz levelek, melyek gyakran vgyfokoz kk tablettk utnzatait hirdetik. Egyik ilyen hlzat feltrsa sorn az FBI arra jutott, hogy
42
egy sszetett csalsi hlzat ll a kretlen levelek mgtt: tbb feltrt szerveren keresztl kldtk a
kretlen leveleket, amelyek vgyfokoz gygyszerek megvsrlsra csbtottak. Megrendels alapjn
egy indiai gygyszergyr ksztette a tablettkat, egy volt szovjet tagkztrsasgbeli bank llt a weboldal fizetsi szolgltatsa mgtt, s a megbzk Oroszorszgbl irnytottk az illeglis gazdasgi
tevkenysget.
Hogyan elzzk meg?
A kretlen levelek egyik legjellemzbb forrsa az, hogy weboldalakra kitesszk a keresrobotok ltal is
olvashat formtumban az e-mail cmnket, vagy ktes hr weboldalakon regisztrlunk adott esetben ingyenes erotikus tartalom, vagy nem jogtiszta szoftver remnyben. Ezeket ne tegyk! A rendszergazdk a levelez szerverek megfelel biztonsgi belltsaival, j esllyel kpesek kiszrni ezeket
az zeneteket.
Legjobb tancs a kretlen levelekkel kapcsolatban, hogy olvass nlkl trljk, ha vletlenl a postafikunkban landol! Vletlenl se kattintsunk r a levelekben lev hivatkozsokra, vagy a csatolt llomnyokra, mg a leiratkozs linkre sem! Ha a szervezetnk elektronikus postafikjba kapunk ilyen
zenetet, akkor azt jelezznk a bels szablyzat szerint. Azrt fontos jelezni egy kretlen levelet is,
mert egy sszetett tmads rszei is lehetnek. Jogi lpseket is lehet tenni, ha azonosthat a forrsa,
s bejelenthetik az NMHH rszre.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Spam
http://www.virushirado.hu/oldal.php?hid=44
http://infoter.eu/cikk/magyarorszagon_az_e-mailek_70_szazaleka_spam
43
Veszlyek: hamis lnclevelek (hoax)
Mirl beszlnk?
Olyan elektronikus levl, vagy zenet, amely valamilyen j informcit oszt meg, s arra sztnzi
a cmzettet, hogy a levelet minden ismersvel
nkntes mdon ossza meg. Els formi pldul
egy j fiktv vrusra hvtk fel a figyelmet, amelyek fertzst nhny fjl trlsvel megakadlyozhatjuk, ugyanakkor ezek a fjlok a Windows
szksges rszei voltak, gy trlsk a rendszer
mkdst akadlyozta meg.
Mit veszlyeztet?

Felhasznl: az idnket raboljk leginkbb a

hamis lnclevelek, s gyakran hamis remnyt keltenek. Tovbbkldsk rossz fnyben tntet fel
minket azon ismerseink eltt, akik ismerik az
informcibiztonsgi kockzatokat.
Rendszermkds: jelents rendszer erforrsokat kt le a tovbbtsuk, szrsk.
Informcibiztonsg: egyik legjobb mdszer az aktv elektronikus levlcmek sszegyjtsre,
amelyet a kretlen levelek kldi elszeretettel alkalmaznak. gy a biztonsg elleni tmads elksztsre is hasznlhatjk.
Nemzetbiztonsg: szemlyek kapcsolatrendszernek feltrkpezsre alkalmasak a lnclevelek,
amelyek segtsgvel tovbbi informci szerezhet meg.
Plda:
Idrl idre felbukkannak hasonl lnclevelek, amely minden x. cmzettnek valamilyen ajndk telefont, vagy pnzt grnek. Ajndk telefont, de pnzt sem kapott egyetlen tovbbkldjk sem, viszont
aki indtotta az a hozz visszajut, mkd elektronikus levlcmeket pldul el tudja adni, vagy kretlen reklmokkal tudja megtlteni.
44
Hogyan elzzk meg?

Hvjuk fel csaldtagjaink s ismerseink figyelmt az informcibiztonsg fontossgra, klnsen,
ha kretlen levelet, vagy hamis lnclevelet kldenek, akkor kldjk vissza nekik azt az oldalt, ami igazolja, hogy tvers az zenet. Nha srtdshez vezet a mdszer, de hossz tvon bevlik.
Honnan ismerhetjk fel a lncleveleket? Legknnyebb dolgunk akkor van, ha mr az elejn szerepel
egy utasts: Kldd el ezt a levelet minl tbb embernek!, emellett gyans, ha szlssges mdon
a pozitv rzelmeinkre hat (pl. hallos beteg utols kvnsga), vagy komoly veszllyel fenyeget (pl.
vrus tnkreteszi a gped). Szoktak mg hres emberekre, vagy nagyvllalatokra hivatkozni, hogy hihetbbnek tnjenek.
Legjobb tancs a hamis lnclevelekkel kapcsolatban, hogy olvass nlkl trljk, ha vletlenl a postafikunkban landol! Vletlenl se higgyk el, ami le van benne rva, ne kldjk tovbb szeretteinknek
vagy rosszakarinknak. Ha gyans egy levl szvege, akkor a levl jellemz fogalmait (kulcsszavait)
rjuk be egy keres programba, s j esllyel egy lnclevelekrl szl oldalt fogunk kapni.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Hoax
http://wwwold.kfki.hu/cnc/email/hoax.html
http://www.infoter.eu/cikk/gitaros_a_libiai_csataban_avagy_a_photoshop_arnyeka
http://www.origo.hu/techbazis/internet/20100924-hoax-uzenetek-amiket-semmikepp-sem-szabadtovabbkuldeni.html
45
Veszlyek: vrusok
Mirl beszlnk?
Olyan programrszlet, amely a megfertztt program

mkdtetse sorn msolja nmagt. Valamilyen
meghatrozott felttel (pl. egy adott napon az vben)
bekvetkezse esetn figyelmeztet, vagy rombol
tevkenysget vgez. Gyakran komoly krokat okoz,
szolgltatsok megszakadst, vagy adatvesztst.
Tbb tpusuk van, terjedsk szerint lehetnek a fjlokat fertz vrusok (pl. makro vrus) s a rendszerek
indtshoz szksges bootszektort fertz vrusok.
Abban klnbznek, hogy hogyan kerlnek a szmtgpre. A fjlokat fertz vrusok indthat llomnyok, vagy dokumentumok segtsgvel terjednek,
magukat belerva az llomnyba. Ha egy ilyen programot elindtunk, akkor a vrus aktivizldik.
A makrovrusok tbbnyire olyan, szvegszerkesztkkel ltrehozott dokumentumokkal terjednek,
amelyek rendelkeznek programozsi lehetsggel,
makronyelvvel, pl. a doc fjlok. Tblzatkezel programok esetben az elforduls ritkbb, de nem kizrt.
A bootszektor vrusok a szmtgpek opercis rendszert betlt terlett fertzik meg. A rendszerek indtsval aktivizldnak teht.
Mit veszlyeztet?
Felhasznl: klnfle kellemetlen kvetkezmnnyel jrhatnak: adatveszts, szmtgpnk hasznlhatatlann vlsa, adatszivrgs, stb.
Rendszermkds: fejlettebb vrusok a vdelmi rendszerek megkerlsvel kpesek szaporodni,
akr teljes szervezet hlzatt megfertzni, ezzel erforrsokat ktnek le s a norml munkavgzst akadlyozzk.
Informcibiztonsg: vrusok segtsgvel szerezhet jogosulatlan hozzfrs rendszerekhez.
Nemzetbiztonsg: az informcis rendszerek elleni sszetett tmads egy elemeknt krtev
kdok rendszerekbe juttatst vgezhetik.
46
Plda:
Az els vrus lltlag egyids az els szmtgppel, s az els szemlyi szmtgp (PC) vrus
(BRAIN)is elg korn elszabadult. Az egyik vrusirt cg utnajrt a vrus megjelensnek 25. vforduljn, s meg is talltk a szerzket Pakisztnban. Ez mg csak informcit terjesztett.
Ezt kveten jelentek meg a vicces vrusok (pl. potyogs vrus), a figyelemfelhv vrusok a 90-es
vek elejn, majd az irodai alkalmazsok terjedsvel prhuzamosan a dokumentumokon keresztl
terjed makrovrusok, amelyek az elmlt vtizedben mr sokkal inkbb a feketegazdasg termelsi
eszkzeiv vltak, lehetv tve adatlopsokat, s lebntva a szolgltatsokat.
Hogyan elzzk meg?
A vrusfertzseket napraksz automatikusan frissl vruskeres szoftver, s tzfal alkalmazsval j esllyel megelzhetjk. Fontos megelz intzkeds mg a kls adathordozk vrusellenrzse a rajtuk lev llomnyok hasznlata eltt. Ne lltsuk le a rendszeresen temezett vruskeresst
a munkahelyi gpnkn, azok feladata a vrusok feldertse.
Ha vrust feltteleznk a gpen, jelezzk a szervezet szablyzatnak megfelelen, ltalban a kzponti hibabejelentn. Ne prbljuk magunk leirtani.
Ha az otthoni gpnk vrusos, akkor szksgnk lesz egy napraksz vrus rtra, s egy vrusmentes
indtlemezre / USB memrira. A gp vrusmentes indtlemezrl val jraindtsval meggyzdhetnk a vrusfertzsrl a vruskeres teljes keress funkcijnak futtatsval. A fertztt llomnyokat, ha szerencsnk van, tudja javtani a vrusirt, ha nem, akkor ezeket trlnnk kell. Az rintett
fjlok alapjn azonosthat, hogy honnan szrmazik a fertzs. A trlt llomnyokat mentsbl
vissza kell lltani. Elfordulhat, hogy a teljes rendszer jrateleptsvel tudunk csak megszabadulni a
vrustl, ebben az esetben a lnyeges rendszerbelltsok (pl. elektronikus postafik cm, felhasznlnv) s az adataink mentst el kell vgezni, hogy ne szenvedjnk adatvesztst.
Ha mg olvasna errl:
http://www.cert.hu/content/amit-v%C3%ADrusirt%C3%A1sr%C3%B3l-tudni-kell
http://www.virushirado.hu/oldal.php?hid=43
http://campaigns.f-secure.com/brain/
http://computerworld.hu/computerworld/40-eves-az-elso-komputer-virus.html
47
Veszlyek: freg (worm)
Mirl beszlnk?
A szmtgpes frgek olyan krtev programok,

amelyek a hlzatok hibit, vagy hinyos biztonsgi belltsait hasznljk fel arra, hogy terjesszk
magukat. Az nsokszorostson kvl a freg sokfle
dologra beprogramozhat, pl. fjlok trlsre. Egyik
jellemz kvetkezmnyk, hogy hts ajtt nyitnak
a rendszerekre, amin keresztl adatokat szereznek
meg, illetve zombi hlzat rszv teszik a tmadott
szmtgpet.
Mit veszlyeztet?

Felhasznl: felemszthetik a szmtgp

memrijt.
Rendszermkds: ha ms krt nem is okoznak, akkor is terhelik a rendszerek kapacitst,
s cskkentik a rendelkezsre ll adathlzati
svszlessget.
Informcibiztonsg: a frgek ltal nyitott hts ajtk segtsgvel adatok lophatak el a rendszerekbl, ezrt komolyan veszlyeztetik az informcibiztonsgot.
Nemzetbiztonsg: a frgek nem kmlik a kzszfra rendszereit sem, ezrt az adatok ellopsa
ebben az esetben rintheti a nemzeti rdekeket is.
Plda:
A frgek nagy rszt csak arra terveztk, hogy terjedjenek. Ezltal felhvjk a figyelmet valamilyen biztonsgi hibra. Azonban mg ezek (pl. a MyDoom) is jelents krt kpesek okozni. 2009-ben pldul
a francia lgier gpeit tbb tmaszponton is fldre knyszertette egy freg (Conficker) fertzse,
mert a replsi terveket nem tudtk eljuttatni a piltkhoz az informatikai rendszer biztonsgi zrlata miatt. Angliban krhzi rendszereket s hadihajkon hasznlt szmtgpeket is megfertztek.
Egyes felttelezsek szerint kormnyzati forrst is hasznltak egyes frgek fejlesztshez, amely segtsgvel clzott kibertmadsokat kpesek megvalstani.
48
Hogyan elzzk meg?

A szmtgpek s hlzatbiztonsgi eszkzk s szoftverek rendszerek frisstsvel, az ismert frgek ltal alkalmazott kommunikcis csatornk tzfalakban val blokkolsval elzhetjk meg a
terjedsket.
A fregfertzs bekvetkezst kveten a fertztt gpek hlzatbl val kizrsval cskkenthet a
kr. A helyrellts ezt kveten a hlzat biztonsgoss ttelvel folytatdhat, majd a krtevk egyenknt trtn leirtsval, vagy a fertztt gpek jrateleptsvel oldhat meg teljesen.
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Computer_worm
http://en.wikipedia.org/wiki/Conficker
http://www.infoter.eu/cikk/a_nagy_conficker-konspiracio_a_titkosszolgalat_is_erintett_lehet
http://www.digitalthreat.net/2009/05/worm-evolution/#
49
Veszlyek: Trjaik
Mirl beszlnk?
A grg mitolgiban szerepl trjai falovakhoz

hasonlan, az embereket megtvesztsvel ri el,
hogy a szmtgpre teleptsk. A trjai programok olyan hamis szoftverek, amelyek a ltszlagos
funkcijuk mellett ms nem jogszer tevkenysget
vgeznek. Az egyszerbb vltozatai csak a hasznossg ltszatt mutatjk, mg fejlettebb vltozataik valban kpesek az grt funkcik elvgzsre.
A leggyakoribb fertzsi mdszert a letltsek s a
veszlyes honlapok jelentik. A szmtgpnk trjaival fertzdhet egy zenet csatolmnynak megnyitsval, azonnali zenetkld programon keresztl,
de megkaphatjuk valamilyen adathordozn keresztl is.
Mit veszlyeztet?

Felhasznl: a felhasznlk szemlyes s rzkeny adatait veszlyezteti a trjai programok jelenlte.

Rendszermkds: a rendszernk biztonsga srl, ha arrl adatokat szivrogtatnak kifel, vagy
tvolrl kpesek hozzfrni a csalk.
Informcibiztonsg: a szervezeteknl lev fertztt gpek fokozott veszlyt jelentenek a szervezet
ltal kezelt informci biztonsgra.
Nemzetbiztonsg: az adatlopsok rinthetnek olyan informcit, hlzatok mkdsre, munkahelyi informcikra vonatkozan, amelyek veszlyeztethetik a nemzetbiztonsgot is.
Plda:
Egyik legismertebb trjai a Zeus nev krtev: banki informcikat, s felhasznli azonostkat s
jelszavakat gyjttt ssze s lopott el fleg 2007 s 2011 kztt. Becslsek szerint 70 milli dollrt
tulajdontottak el a segtsgvel s felszmolsra irnyul FBI akciban 100 embert tartztattak le az
Egyeslt llamokban, az Egyeslt Kirlysgban s Ukrajnban.
50
Fbb tpusai:
a hlzat feldert programok;
trjaiba beptett vrus terjesztk (adott felttel teljeslse esetn szabadon engedi a vrust);
idztett bombt tartalmaz programok (adott id eltelte utn megsznik mkdni, vagy egy
adott idpontban aktivizldik).
Hogyan elzzk meg?
A szmtgpek s hlzatbiztonsgi eszkzk s szoftverek rendszerek frisstsvel, az ismert
trjaik ltal alkalmazott kommunikcis csatornk tzfalakban val blokkolsval elzhetjk meg a
terjedsket.
A trjai fertzs bekvetkezst kveten a fertztt gpet hlzatbl le kell vlasztani, s vrusirt
programmal vagy manulisan le kell telepteni, vagy trlni a szoftvert. A helyrellts esetenknt csak
a fertztt gpek jrateleptsvel trtnhet meg.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Tr%C3%B3jai_program
http://www.sg.hu/cikkek/77211/irani_uzemeket_tamadott_a_stuxnet
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)
http://www.infoter.eu/cikk/nemet_hackerek_trojai_haboruja
51
Veszlyek: rootkit-ek (rendszermagot fertz krtev)
Mirl beszlnk?
A rootkit olyan szoftvercsomag, amelyek segtsgvel egy hekker egyszeren bejuthat a korbban
feltrt rendszerbe. A szmtgpes rendszerek kzponti rszt, a rendszermagot nevezik angolul rootnak (gykr) s a telept programot kit-nek. Ennek
segtsgvel bizalmas adatokat gyjthet, vagy irnythatja a fertztt szmtgpet.
A legtbbszr gy teleptik magukat, hogy a rendszerfjlokat megfertzik ugyan, de azok tovbbra
is elltjk feladatukat. A rootkit vgs clja a krtkony kiber-tevkenysg tmogatsa, pldul a billenty-letsek naplzsa vagy a hlzati kapacits
illetktelen felhasznlsa adatok kiszivrogtatsra,
kretlen levelek kldsre. Gyakran Windows rendszerekre kszlnek, annak npszersge miatt.
Mit veszlyeztet?
Felhasznl: az tlagos felhasznlk gyakran szre sem kpesek venni egy rootkit jelenltt a szmtgpn. Lnyegben lthatatlan mdon kpes a szmtgp mkdsnek befolysolsra, s
adatok megszerzsre.
Rendszermkds: gyakran ltszlag nem befolysoljk a rendszerek mkdst, azonban alapveten veszlyeztetik a rendszerek biztonsgt.
Informcibiztonsg: segtsgkkel srl a fertztt rendszerekben kezelt informcik biztonsga,
jogosulatlanul megismerhetik s letlthetik azokat.
Nemzetbiztonsg: idegen llamok gyakran hasznljk hrszerzsi clra, vagy gazdasgi trsasgok
esetben ipari kmkedsre is.
Plda:
Windowson elszr 1999-ben talltak rootkit-et (NTRootkit), Mac opercis rendszeren 2009-ben,
a kzelmltban pedig ipari rendszereket fertz rootkit-et is talltak (Stuxnet). 2005-ben hvta fel a
52
figyelmet a rootkit-ek re a Sony BMG ltal kiadott CD lemez, amely szerzi joga vdelme rdekben
egy Extended Copy Protection nev programot teleptett a httrben, amely korltozta a CD-hez val
hozzfrst. Nagy botrny s brsgi gy is lett belle, mivel a Sony BMG az ltala forgalmazott
lemezekkel a felhasznlkra veszlyes, s akr anyagi krt okoz szoftvert teleptett anlkl, hogy
megfelel tjkoztatst nyjtott volna. A rosszindulat krtevkre, frgekre s trjai programokra
jellemz mdon rejtzkd, Windowst futtat gpekre szrevtlenl telepl s szablyosan, a Windows segtsgvel el nem tvolthat DRM-programok10 ismert biztonsgi rst knlnak a bnzk
szmra a rendszer eredmnyesebb megfertzsre, valamint a licencszerzdssel ellenttben adatokat gyjtenek s tovbbtanak a Sony BMG szerverei fel.
Hogyan elzzk meg?
A szmtgpek rootkit-tel val megfertzdst gy elzhetjk meg, ha tfog vgpont vdelmi
szoftvercsomagot hasznlunk, azaz vrusvdelmi szoftvert (anti-virus), szoftveres tzfalat (firewall),
tovbb odafigyelnk arra, hogy rendszeresen frisstsk a szmtgpre teleptett szoftvereket. Ezeket
megfelel belltsokkal automatikuss lehet tenni.
Ha arra gyanakszunk, hogy nem csak mi irnytjuk a gpnket, frisstsk a vdelmi szoftvereinket,
majd kapcsoljuk ki a hlzatot s teljes keresst indtsunk el rajtuk.
Munkahelynkn a vonatkoz szablyzatoknak megfelel eljrsrendet kvessk! ltalban ez kzponti hibabejelentn val bejelents megttelt jelenti. A rootkit-eket esetenknt csak clzott keresssel, specilis biztonsgi szoftverekkel lehetsges azonostani, s eltvoltani.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Rootkit
http://www.infoter.eu/cikk/iden_is_szamithatunk_a_rejtozkodo_kartevokre
http://www.virushirado.hu/hirek_tart.php?id=1980
10
DRM: Digital Rights Management, digitlis jogkezel eljrs.
53
Veszlyek: zombihlzat (botnet)
Mirl beszlnk?
Az illeglis zombi gpek hlzatt olyan htkznapi

gpek alkotjk, amelyeket otthon, az iskolban, vagy
rosszul vdett vllalati hlzatok rszeknt hasznlunk. Azrt nevezzk zombi hlzatnak, mert tudtunk s engedlynk nlkl olyan rejtett program fut
rajtuk, amely egy kzponti vezrl szmtgptl
idkznknt utastsokat fogad, s az utastsok
szerint szmolsi feladatot vgez, kretlen levelek
milliit tovbbtja, szemlyes adatokat lop el, elrejti
a hackerek eredeti IP cmt vagy akr szolgltats
megtagadsra irnyul tmadst (DoS) indtatnak
rla. Egy-egy nagyobb zombi hlzat tbb tzezer
gpet kpes irnytani.
Mit veszlyeztet?

Felhasznl: a nem jl vdett otthoni gpeket

tmadhatja, a gpek erforrsainak hasznlatval a felhasznl szmra lasstja a gpet. Ha illeglis tevkenysgre hasznljk a gpet, akkor a
felhasznlnak szmolnia kell jogi eljrssal, ahol akr bizonytania is kell tudnia, hogy nem szndkosan intzett tmadst a gprl.
Rendszermkds: vllalati hlzatok gpein megtelepedve jelents szmtsi kapacitst kthet le,
illeglis tevkenysgek kiindulpontja lehet.
Informcibiztonsg: a zombihlzat adatok ellopshoz is eszkzl szolglhat, de a rajta keresztl vgzett DoS tmads a szolgltatsok rendelkezsre llst akadlyozza.
Nemzetbiztonsg: lteznek olyan fejlett zombi hlzatok, amelyeket kormnyok, illetve bnszervezetek pttettek ki hrszerzs, vagy akr ipari kmkeds cljbl.
Plda:
Az elmlt vekben tbb, eurban is millis nagysgrend krt okoz sszehangolt visszals sorozatot trtak fel a rendvdelmi szervek s biztonsgi szolglatok. A BlueFrog DDoS tmadst valstott
meg egy izraeli internet biztonsgi cg ellen, 2006-ban heteken keresztl akadlyoztk a cg oldalainak mkdst. Hasznlnak zombi hlzatokat internetes reklmozsi csalsra, ahol a botnet vgzi
54
a felhasznlk helyett a reklmokra kattintst, tverve a reklmok hatkonysgt mr rendszereket,

gy gyakran dollr millikat is juttatva a reklmokat megjelent oldalaknak. Szintn gyakori a zombi
hlzatok kretlen levlkldsre val felhasznlsa.
A teljes kormnyzat mkdst akadlyozta napokig az sztorszg elleni botnet tmads, tovbb a
banki rendszerekben is komoly gondokat okozott.
Hogyan elzzk meg?
A szmtgpek krtev programokkal val megfertzdst gy elzhetjk meg, ha tfog vgpont
vdelmi szoftvercsomagot hasznlunk, azaz vrusvdelmi szoftvert (anti-virus), szoftveres tzfalat
(firewall), krtev program feldert szoftvert (anti-malware), tovbb odafigyelnk arra, hogy rendszeresen frisstsk a szmtgpre teleptett szoftvereket. Ezeket megfelel belltsokkal automatikuss lehet tenni.
Mit tegynk, ha bekvetkezik:
Ha arra gyanakszunk, hogy nem csak mi irnytjuk a gpnket, pldul ha nem lnk a gp eltt,
akkor is energiatakarkos mdba lps helyett folyamatosan mkdik frisstsk a vdelmi szoftvereinket, majd kapcsoljuk ki a hlzatot s teljes keresst indtsunk el rajtuk. Munkahelynkn a vonatkoz szablyzatoknak megfelel eljrsrendet kvessk! ltalban ez kzponti hibabejelentn val
bejelents megttelt jelenti. A zombi hlzatoktl csak kvetkezetes vdelmi intzkedsekkel lehet
megszabadulni, mert egyre fejlettebb mdszereket alkalmaznak, s jabban nvdelmi eljrsokat is
beljk programoztak (szleli, ha fel akarjk trni a mkdst, s megvltoztatja azt).
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Botnet
http://www.infoter.eu/cikk/tavaly_ev_vegen_is_jelentos_karokat_okoztak_a_tomeges_halozati_
elarasztasos_tamadasok
http://www.itbusiness.hu/Fooldal/itpeople/technologia/Zombihalozat_zombiszoftver.html
http://www.biztonsagosinternet.hu/tippek/a-botnetekrol
55
Veszlyek: reklmprogramok (adware)
Mirl beszlnk?
A reklmprogram clja, hogy egy termket, szmtgpes programot, annak ksztjt vagy egy cget
reklmozzon, ltalban trjaiknt, vagy kereskedelmi programok ingyenes vltozatainak rszeknt
telepl a szmtgpre. Alapveten nem jelentennek nagy veszlyt, ha ennek a modellnek a leple alatt
olyan vltozatok nem jelentek volna meg, amelyek a
szemlyes adatainkat, bngszsi tevkenysgnket
gyjtik s tovbbtjk.
Mit veszlyeztet?

Felhasznl: a tevkenysg vgrehajtst megelzen, vagy azzal prhuzamosan a kperny

egy rszt reklmok takarjk el, elterelik a felhasznlk figyelmt. A reklmprogramok egy rsze
szemlyes adatok gyjtst vgzi, ami a magnszfrnk srlsvel jr.
Rendszermkds: a rendszer s hlzat erforrsait a reklmok megjelentsvel terhelik.
Informcibiztonsg: a tevkenysgeink, szoksaink megfigyelse adatvdelmi kockzat.
Nemzetbiztonsg: a jogosulatlanul hasznlt szoftverek adatszivrgst tehetnek lehetv.
Plda:
ltalban kereskedelmi szoftverek ingyenes vltozatainak rszeknt, vagy trjai krtev programknt
teleplnek az adware programok. jabban klnsen megntt a szmuk a mobiltelefonra kszlt
alkalmazsok kztt (pl. Android alkalmazsbolt).
Hogyan elzzk meg?
Szmtgpnkre csak a felhasznli felttelek tolvasst kveten teleptsnk szoftvereket, s csak
megbzhat forrsbl: szakzletbl, ismert web ruhzbl, ismert szoftvergyjtemnybl. Szervezetek esetben praktikus a felhasznli gpekre trtn egyes szoftverek teleptst megtiltani, ez a
reklmszoftverek teleptsre is vonatkozik.
56

ltalban hasznos gyakorlat, ha olyan szoftvereket, amelyekre mr nincsen szksgnk, eltvoltunk
a szmtgpnkrl. Ezzel rendszer erforrsok szabadulnak fel, s cskkentjk a biztonsgi kockzatokat. Amennyiben a reklmszoftver illeglis tevkenysget is vgez, akkor a krtev programokhoz
hasonlan kell eljrni velk.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Adware
http://pcforum.hu/szotar/?term=adware
http://www.technet.hu/hir/20120625/veletlenul_orult_nyomtatasba_kezdhet_egy_trojai/
57
Veszlyek: kmprogramok (spyware), krtev programok (malware)
Mirl beszlnk?
Az interneten terjed olyan programok sszessge,

amelyek clja, hogy a felhasznl tudomsa nlkl
megszerezzk a megfertztt szmtgp felhasznljnak szemlyazonost, banki vagy ms szemlyes adatait. Ezeket ltalban bngszsi szoksaink megfigyelsre, vagy visszalsek elkvetsre
hasznljk fel. Felteleplskre ltalban a felhasznl figyelmetlensge s/vagy a rendszerek biztonsgi hinyossgai adnak lehetsget.
A kmprogramok jabban mr tbb funkci elvgzst lehetv tev modulokbl llnak, amely a
kmkeds mellett a rendszerek mkdsbe tbb
mdon kpes beavatkozni. A kzelmltban megjelentek olyan krtevk (ransomware), amelyek vltsgdjat prblnak meg kicsikarni a felhasznlkbl,
az adatok/szmtgp hasznlhatatlann ttelvel.
Mit veszlyeztet?
Felhasznl: az interneten keresztl vezrelhet kmprogramok veszlyeztetik szemlyes s rzkeny adatainkat, jelszavainkat, bankkrtya adatainkat, internetbank adatainkat.
Rendszermkds: a rendszerek mkdst ltalban kevss befolysoljk, ezzel is elsegtve
azt, hogy rejtve maradjanak.
Informcibiztonsg: a kmprogramok jabban az informci bizalmassgnak srlse mellett,
a vdelmi rendszerek egyb mdon val kijtszst is lehetv teszik.
Nemzetbiztonsg: a kzelmlt tapasztalatai azt mutatjk, hogy idegen llamok agresszv mdon
hasznljk a kmprogramokat informciszerzse, ipari kmkedsre, s esetenknt rendszerek
elleni szndkos krokozsra.
Plda:
A kmprogramok hozzsegtik a tmadkat msok nevben kttt szerzdsek s ms ktelezettsgek elvllalsra (megszerzett szemlyazonost adatokkal), de banki folyszmlkrl is emeltek le pnzt ilyen mdon.
58
A Duqu olyan krtkony program (felfedezje egybknt a BMGE CrySyS Adat- s Rendszerbiztonsg Laboratriuma), amely klnbz programrszekbl ll: pl. informci gyjt, kernel driver, kd
beinjektl modul. A krtev modulris felpts, tbb egyedi vltozata ltezik, ezrt a megtallsa
is nehezebb.
Hogyan elzzk meg?
A hagyomnyos informcis rendszer s hlzat vdelmi funkcik (vruskeres, tzfal) alkalmazsa
s napraksz frisstse fontos, de nem felttlenl elg a kmprogramok megelzsre.
A szervezet eljrsrendje szerint tjkoztassuk a biztonsgi szakterletet. Fontos, hogy a kmprogramok, s mkdtetik elleni sikeres kzdelemhez szksg van az program mkdsi mintira, a
rendszer naplesemnyeire, ezrt ezeket a feltrst megelzen ne trljk.
Ha vrusvdelmi rendszernk mkdse ellenre kmprogram kerl a gpnkre, akkor az adott kmprogram clzott eltvoltst lehetv tev kmprogram eltvolt szoftvert hvhatunk segtsgl.
Az ersen fertztt rendszerek esetn gyakran csak a rendszer teljes jrateleptse ad megoldst.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/K%C3%A9mprogram
http://hu.wikipedia.org/wiki/K%C3%A1rt%C3%A9kony_programok
http://hu.wikipedia.org/wiki/Duqu
http://www.virushirado.hu/hirek_tart.php?id=708
59
Veszlyek: hamis szoftverek (rogue software, scareware)
Mirl beszlnk?
Illeglis, illetve leglisnak ltsz, de a ltszlagos

funkcik mellett illeglis tevkenysget is vgz
szoftverek. Ilyenek pldul az gynevezett trjai falovak, amelyek pldul ltszlag jtkprogramok, de
emellett megfigyelik a felhasznlk tevkenysgt.
Mit veszlyeztet?

Felhasznl: a felhasznlk tudta nlkl olyan

funkcikat lest a szmtgpen, amelyeket a
felhasznl nem kvnt lesteni, ennek kvetkeztben a program adatokat gyjthet a gprl.
A licenc felttelektl eltren rtkestett, pldul
msolt DVD lemezen rtkestett szoftverek,
mg ha meg is egyeznek az eredetileg kiadott
szoftverrel, jogszablyi megfelelsi kockzatot
jelentenek.
Rendszermkds: a hamis, illetve illeglis szoftverek hibs mkdse esetn nincs lehetsgnk a gyrti tmogats ignybevtelre.
Informcibiztonsg: a hamis, illetve illeglis szoftverek hasznlata arra utal, hogy az informcibiztonsgi kontroll rendszer nem megfelelen mkdik a szervezetnl.
Nemzetbiztonsg: amennyiben kormnyzati rendszerekbe jutnak be, veszlyeztethetik az informcis rendszerek biztonsgt.
Plda:
Az egyik jellemz lcja a krtev programoknak, hogy vruskeresnek lczzk magukat. A gyantlan
felhasznl figyelmt arra hvjk fel, hogy vrus van a gpn, amit ez a program ingyenesen eltvolt,
ha teleptjk. A httrben pedig reklmokat jelentenek meg, felhasznli szoksokat gyjtenek, vagy
adatgyjtsi tevkenysget vgeznek.
60
Hogyan elzzk meg?

A hamis szoftverek teleptst megelzhetjk, ha megbzhat forrsbl szrmaz szoftvereket tltnk le, vagy vsrolunk. Megbzhat forrs lehet egy ismert gyrt sajt weboldala, vagy ingyenes
s shareware alkalmazsok gyjtoldala. Ha ktelkednk egy szoftver megbzhatsgrl, akkor egy
internetes keress ltalban megfelel informcit biztost az adott szoftverrl, vagy weboldalrl. Ha
valakinek korbban problmja volt vele, akkor j esllyel felhvta r msok figyelmt.
Ha hamis szoftvert teleptettnk, s rjttnk, akkor nincs ms htra, mint a program eltvoltsa, ezt
az opercis rendszernek a programok eltvoltsa funkcijval tehetjk meg. Ha csak letrljk a
programot, akkor a belltsai mg gondot okozhatnak. A belltsok kzzel val trlse pedig halad
szmtgpes ismereteket felttelez. Ha a munkahelyi gpnkn talltunk hamis szoftvert, akkor a
bels szablyzatban lertak szerint jelentsk be!
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Rogue_security_software
https://en.wikipedia.org/wiki/List_of_rogue_security_software
http://www.sg.hu/cikkek/71552/minden_napra_jut_egy_uj_hamis_biztonsagi_szoftver
http://www.infoter.eu/cikk/karterites_a_hamis_biztonsagi_szoftvert_terjeszto_bunbanda_
aldozatainak
61
Veszlyek: adathalszat (phising)
Mirl beszlnk?
Egy csal weboldal egy ismert szervezet vagy vllalat hivatalos oldalnak lttatja magt, s megprbl
szemlyes adatokat, pldul felhasznli azonostkat, jelszavakat, bankkrtya adatokat megszerezni.
A csalk gyakran elektronikus levelet vagy azonnali
zenetet kldenek a cmzettnek, amiben elrik, hogy
az zenetben szerepl hivatkozsra rkattintson,
amely egy talaktott weboldalra vezeti. Ha kveti az
ott szerepl utastsokat, akkor ldozatt vlhat.
Mit veszlyeztet?

Felhasznl: leginkbb a felhasznlk rzkeny s bizalmas adatait, pnzgyi informcit

veszlyeztetik.
Rendszermkds: a rendszereink mkdst
ltalban nem akadlyozzk, kretlen levelekknt
jelennek meg. Ha a tmads a szervezet informcis rendszerei ellen irnyul, akkor a szervezet
rendszereiben hasznlt felhasznl nevek s jelszavak megszerzsvel a rendszer mkdst is
befolysolhatjk.
Informcibiztonsg: srlhetnek a szemlyes adataink, pnzgyi adataink a tmads
kvetkeztben.
Nemzetbiztonsg: ha a tmads a kzszfra valamely informcis rendszere ellen irnyul, akkor
nemzetbiztonsgi kockzatot jelent.
Plda:
Gyakran vals bankok internetbank oldalt imitlva, kretlen hamis elektronikus levelekkel kvnjk
rvenni a felhasznlkat arra, hogy megadjk felhasznl nevket, jelszavukat, PIN kdjukat, s egyb
azonostikat, majd ezek ismeretben megszerzik a pnzket. A hazai nagybankok tbbsgt rte
mr ilyen jelleg tmads, de a bankok kztti sszefogssal ezek ltal okozott krokat cskkenteni
tudtk.
62
Hogyan elzzk meg?

Az adathalszatot a felhasznlk s az gyfelek kpzsvel, biztonsgtudatostsval elzhetjk meg.
Emellett tbb bngszhz telepthet olyan kiegszt, amely jelez adathalsz oldalra lpskor.
Ha adathalszat gyanjt tapasztaljuk jelentsk a szervezet szablyzatnak megfelelen, s pldul a
bankunknl. Ha anyagi kr r minket, rdemes feljelentst tenni a rendrsgen.
A szervezetek gy cskkenthetik a hatst, hogy monitoring rendszerek segtsgvel mr a prblkozsokat is kiszrik, s gyorsan reaglnak a csal weboldalak betiltsa rdekben.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Adathal%C3%A1szat
http://www.antiphishing.org/
http://computerworld.hu/computerworld/valogatas-nelkul-tamadnak-a-vilag-legveszelyesebbadathalaszai-20091030.html
http://www.infoter.eu/cikk/hitelkartya_adatok_megszerzesere_iranyulo_adathalasz_tamadasok_a_
facebook-on
63
Veszlyek: fertz honlapok
Mirl beszlnk?
A veszlyes honlapok alatt olyan internetes oldalakat rtnk, amelyeknek mr akr a megltogatsa is
veszlyezteti a szmtgpnk biztonsgt. A weboldalba gyazott krtev kd ltalban ismert rendszer
srlkenysgeket kihasznlva, krtev programokat
telept a felhasznl gpre.
Mit veszlyeztet?

Felhasznl: a fertz honlapokon keresztl

telepl krtev programok veszlyeztetik a
szemlyes s rzkeny adatainkat, jelszavainkat,
bankkrtya adatainkat, internetbank adatainkat.
Rendszermkds: a rendszerek mkdst
ltalban kevss befolysoljk, ezzel is elsegtve azt, hogy rejtve maradjanak.
Informcibiztonsg: a fertz honlapokon
keresztl telepl kmprogramok az informci
bizalmassgnak srlse mellett a vdelmi rendszerek egyb mdon val kijtszst is lehetv
teheti.
Nemzetbiztonsg: a kormnyzati informatikai rendszerek tbbsgben elrhet a munkatrsak
szmra az Internet, mg a biztonsgi szoftverekkel vdett rendszerekben is egy j krtev eljuthat a felhasznl gpre a bngszn keresztl s adatszivrgst segthet el.
Plda:
Az interneten tbb milli fertz honlap tallhat, a tbbsgket nem a ksztjk akarta fertzv
tenni, hanem hekkerek trtk fel, s teleptettek r krtev programokat. A kifejezetten krtevk terjesztsre ltrehozott oldalak pedig gy kszlnek, hogy minl tbb ember figyelmt keltsg fel, ilyenek lehetnek pldul a feltrt programokat terjeszt oldalak, vagy a felntt tartalmat terjeszt oldalak.
64
Hogyan elzzk meg?

Els lps az alapvet tuds megszerzse a szmtgp s az internet mkdsrl, s kockzatairl.
Segti a szmtgpnk vdelmt vgpont vdelem teleptse, s hasznos kiegszt biztonsgi funkci a bngszkbe bepl kiegszt segdprogram (WoT11), amely a nem megbzhat oldalak megltogatsa eltt figyelmeztetst jelent meg. Lehetsgnk van mg a weboldal tanstvny rvnyessgnek ellenrzse.
Az aktv tartalmak, mint pldul az Active-X, a Flash, vagy a Java nagy kockzatot hordoz a szmos
biztonsgi srlkenysg miatt. Ezek gyakori frisstse, vagy letiltsa nveli a biztonsgot.
A szervezeteknl frisstett hlzati tartalomszr rendszerek kpesek biztostani a megltogathat
weboldalak korltozst. Ha a fertz honlapot mr szleltk korbban, s beptettk a tartalomszr szablyrendszerbe, akkor ez is kpes megelzni a fertzst.
A weboldalakat mkdtet rendszereink frisstse s figyelemmel ksrse szintn szksge.
Ha arra gyanakszunk, hogy weboldalon keresztl fertzs rte a gpnket, frisstsk a vdelmi szoftvereinket, majd kapcsoljuk ki a hlzatot s teljes keresst indtsunk el rajtuk.
Munkahelynkn a vonatkoz szablyzatoknak megfelel eljrsrendet kvessk! ltalban ez kzponti hibabejelentn val bejelents megttelt jelenti.
Ha mg olvasna errl:
http://www.virusoshonlap.hu/
https://support.google.com/webmasters/answer/163635
http://www.technet.hu/hir/20111015/700_000_weboldalt_fertozott_meg_egy_uj_virus/
http://biztonsag.computerworld.hu/index.php/uj-vizekre-eveznek-a-virusterjesztok.html
11
WoT: Web of trust megbzhatsgi hlzat. Olyan oldalak gyjtemnye, amelyet a felhasznlk krtkonynak talltak.
65
Veszlyek: adatforgalom eltrtse (Man-in-the-middle)
Mirl beszlnk?
Az adatforgalom eltrtsre irnyul, vagy kzbekeldses tmadsok ltalban a felhasznl s

a szolgltat kztti kommunikciba bekeld
programokkal vgzik, amely segtsgvel a belpett
felhasznlk adatforgalmt szerzik meg, s mdostjk, gy nem szksges a jelsz ismerete a csal
ltal kldtt parancsok futtatsra.
A sikeres tmadshoz a tmadnak hozz kell frnie
a kommunikcis csatornhoz, kpesnek kell lennie
elkapnia a rajta kldtt informcit s meg kell akadlyoznia, hogy eljussanak a valdi cmzetthez.
Mit veszlyeztet?

Felhasznl: ltalban rtkes clpontokra fejlesztenek ki ilyen tmadst, ezrt a felhasznlkat

leginkbb nemzetkzi internet bank szolgltatsok hasznlata sorn veszlyeztetheti.
Rendszermkds: a felhasznlk szmtgpn a tmadott szolgltats mkdst mdostja az
adatforgalom eltrtssel jr tmads.
Informcibiztonsg: a tmadott szolgltatson keresztl kldtt zentek bizalmassga s srtetlensge srl.
Nemzetbiztonsg: kzszfrban hasznlt rendszerek clzott tmadsa esetn kockzatot jelent.
Plda:
A csalk egy internetbanki kzbekeldses tmadsnl egy krtev program segtsgvel a felhasznl szmra internetbanknak ltszanak, a bank szmra pedig felhasznlnak. Volt plda olyan visszalsre, ahol a felhasznl ltal elutalt 10 EUR helyett a krtev 1000 EUR-t utalt el sajt magnak,
s az internetbank bankszmlakivonatn 10 EUR-t jelentett meg az eredeti cmzetthez val utalsknt, amikor a felhasznl lekrdezte az internetbank felletn a krdses tranzakcit. A csalsra
akkor derl fny, ha a felhasznl a hagyomnyos bankkivonatot a kezbe veszi, vagy fedezethiny
miatt a bankkrtyja hasznlhatatlann vlik.
66
Hogyan elzzk meg?

Vgpont vdelem teleptse segti a szmtgpnk vdelmt. Lehetsgnk van a weboldal tanstvnyok rvnyessgnek ellenrzsre is. Fontos, hogy fokozott biztonsgot ignyl tevkenysgeket
megbzhat szmtgpen s helysznen vgezznk, gy az internetkvz nem ajnlott banki tranzakcik vgzsre, de pldul egy bevsrlkzpontban tallt ingyen WiFi kapcsolat mg a sajt
szmtgpnkrl sem tekinthet biztonsgosnak.
Ha arra gyanakszunk, hogy eltrtik az adatforgalmunkat, akkor egy msik szmtgpen, amely ms
hlzaton csatlakozik a szolgltatshoz, prbljuk ki a felttelezheten tmadott szolgltatst (pldul munkahelyi szmtgp, tblagp mobil internettel). Ha eltr eredmnyt kapunk ugyanarra a
krsre, akkor akr ilyen tmads ldozata is lehetnk.
Munkahelynkn a vonatkoz szablyzatnak megfelel eljrsrendet kvessk! ltalban ez kzponti
hibabejelentn val bejelents megttelt jelenti.
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Man-in-the-middle_attack
http://hu.wikipedia.org/wiki/K%C3%B6zbe%C3%A9kel%C5%91d%C3%A9ses_t%C3%A1mad%C3%A1s
http://computerworld.hu/computerworld/felelotlenul-kattintunk-mindenre-20090804.html
67
Fizikai visszalsek
AZ INFORMCIBIZTONSGOT FENYEGET FIZIKAI HOZZFRST
IGNYL VISSZALSEK
Szmos olyan mdszer ismert, amely segtsgvel a tmad adatokat szerezhet meg az informcis
rendszerekbl anlkl, hogy magt az informcis rendszert szmtstechnikai eszkzkkel tmadn.
ltalban gyorsabb, olcsbb az embereket megtveszteni, vagy megvesztegetni, mint az informatikai
rendszerekbe betrni!
A kvetkezkben nhny jellemz, emberi hibra s megtvesztsre irnyul veszlyt ismertetnk.
68
Veszlyek: jelszavak ellesse (observing passwords attack)
Mirl beszlnk?
Jelszavak ellesse alatt informcis rendszerekhez

val felhasznli hozzfrsek olyan jogosulatlan
megszerzst rtjk, amikor nem a jelszavak feltrsvel szerzik meg azt, hanem pldul egy msik
szemly a jelsz berst kzvetlenl, vagy kamera
rendszeren keresztl ltja. Hasonl eredmny rhet
el, ha egy felhasznl szmtgpre olyan szoftver
telept valaki, ami a felhasznl minden billentyzet
letst rgzti s tovbbtja a telept szemly fel.
Mit veszlyeztet?

Felhasznl: szemlyes s rzkeny adatok nyilvnossgra kerlse, j hrnv srlse, s anyagi

kr is lehet a kvetkezmny attl fggen, mely
rendszer jelszavt szerzi meg a tmad.
Rendszermkds: amennyiben kiemelt felhasznlk jelszavt szerzi meg a tmad, jelents krt okozhat a rendszer adatainak trlsvel, ellopsval, a mkds akadlyozsval, vagy
felfggesztsvel.
Informcibiztonsg: srl az informci bizalmassga, ha az jogosulatlanul ms tulajdonba
vagy nyilvnossgra kerl.
Nemzetbiztonsg: kormnyzati s egyb minstett adatokhoz val hozzfrst is megknnytheti
a jelszavak megszerzse.
Plda:
Egy okmnyirodban az egyik munkatrs jelszavt ellesve kvetett el egy megtvedt kollega okirat
hamistst, ezltal leplezve a tevkenysge nyomait. Az elkvett rgztette az pletben lev biztonsgi kamera, ennek ksznheten a vizsglat eredmnyekppen felmentettk az visszalshez
hasznlt felhasznlnv tulajdonost.
69
Hogyan elzzk meg?

Kzigazgatsi informatikai szolgltatst csak olyan szmtgpen engedlyezett hasznlni , amelynek alapvet biztonsgrl (frisstett szoftverek, vrusvdelem, tzfal) meggyzdtnk. Lehetsg
szerint a jelszavunkat akkor rjuk be, amikor nincs krlttnk olyan szemly, aki rlt a billentyzetnkre kzvetlenl, vagy akr ablakon, tkrn keresztl, s nem is rgzti kamera a helyisgben zajl
tevkenysgeket.
A rendszereket is biztonsgosabb tehetjk, adott esetben jelsz helyett biztonsgi kdgenerl eszkz ltal adott idszakos kd segtsgvel, gy az ellesett jelszval nem lesz kpes a tmad a rendszerbe belpni.
A jelszavainkat ha szksges biztonsgos helyre jegyezzk fel, ne a trcnkban hordjuk! Elrhetk
olyan ingyenes, titkostott, jelsz szfprogramok, amelyeket USB memrin magunkkal vihetnk. A
legtbb intzmnyben a felhasznlk nem jogosultak ilyen programok hasznlatra s teleptsre,
de clszer a biztonsgi terlet ltal is megfelelnek tlt szfprogramok engedlyeztetse.
A bngszkkel val jelsz megjegyeztets biztonsgi szempontbl szintn nem ajnlott, mert ha a
szmtgp belpsi jelszavt illetktelen szemly megszerzi, a bngsz segtsgvel hozzfrhet
tbb, ltalunk hasznlt szolgltatshoz is.
Azonnal vltoztassuk meg a jelszavunkat, s jelentsk a szervezet biztonsgi vezetjnek, hogy gyannk szerint hozzfrt valaki a felhasznli fikunkhoz.
Tovbbi teendkrl a szervezet bels szablyzatai rendelkeznek, minden esetben az ebben foglaltak
szerint kell eljrni!
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Shoulder_surfing_(computer_security)
http://en.wikipedia.org/wiki/One-time_password
http://buhera.blog.hu/2009/06/28/mutasd_a_jelszavad
http://tesztelesagyakorlatban.testing.hu/keres_cikk.php?mit=7
70
Veszlyek: megtvesztsen alapul csalsok (Social engineering)
Mirl beszlnk?
A bnzk olyan pszicholgiai manipulcis mdszereket hasznlnak, amellyel rveszik a felhasznlkat vdett
adataik, felhasznlneveik, akr jelszavaik elmondsra.
ltalban rijeszts mdszert hasznljk, vagy azt hasznljk ki, hogy sztnsen segteni akarunk msoknak.
Klasszikus esete, hogy az illetktelen szemly valamilyen legitim indokkal bejut a ltestmnyekbe , s
ott informcikat gyjt. Gyakori mdszer erre az
informcis rendszerekbe val belpst lehetv
tev azonostk, jelszavak telefonon keresztl trtn megszerzse vltozatos, kitallt trtnetekkel.
Msik technikja az adathalszat (phising) hamistott elektronikus levelek kldsvel tvesztik meg a
clpontot. A komolyabb tmadsoknl akr egynre
szabott megtveszt levelek is elfordulnak.
Mit veszlyeztet?
Felhasznl: az azonostk s jelszavak kiadsa klnfle kvetkezmnnyel jrhat, a szemlyes adataink
megszerzstl kezdve, a hivatali rendszerekbl val adatlopson keresztl a szndkos krokozsig.
Rendszermkds: illetktelen szemlyek egy megfelel jogosultsggal rendelkez felhasznl
nevnek s jelszavnak segtsgvel hozzfrhetnek rendszerek zemeltetsi funkciihoz, megvltoztathatnak paramtereket, a rendszereket lassthatjk, lellthatjk.
Informcibiztonsg: a tmadk a megszerzett felhasznli azonostkat s jelszavakat szinte
mindig adatok megszerzse, illetve egyb elnyszerzs cljbl hasznljk fel.
Nemzetbiztonsg: a kzszfra ltal hasznlt rendszerek azonostinak s jelszavainak megszerzsvel vdett informcik szerezhetek meg.
Plda:
Azok a telefonos megkeressek lehetnek akr banlisan egyszerek, vagy vad kitalcik , amelyek
arra irnyulnak, hogy valamilyen szemlyes adatot, vagy szmtgpes rendszerbe val belpshez
71
szksges adatot prbljanak tlnk megszerezni, szinte mindig rt szndkkal trtnnek.

Volt plda olyan clzott adathalsz tmadsra, amikor a klgyminisztriumi dolgoz kifejezetten egy,
a szakterlethez tartoz, legitimnek tn helyrl szrmaz elektronikus levelet kapott, csatolt rendezvny meghvval. Maga a dokumentum olyan fertz kdrszletet tartalmazott, amely a hivatal
rendszernek tvoli jogosulatlan elrst tette volna lehetv.
Hogyan elzzk meg?
Tbb mdszere van annak, hogy csals ldozatv vljunk. A megelzs a biztonsgtudatossg javtsra pl:
Egy nem vrt, gyans zenetben lev hivatkozsra ne kattintson r. Pldul ha azt rja a levl,
hogy visszakldik javtsra a kulcsos gpkocsi ignyllapjt, s nem is ignyelt kulcsos gpkocsit,
akkor ne nyissa meg a csatolmnyt, vagy a beszrt hivatkozst. Trlje az zenetet.
Legyen gyans, ha gy nyert internetes lottn, hogy nem is jtszott rajta, ez is csalsra utal.
Ha gyansnak tnik egy weboldal, akkor valamelyik keresprogramban keressnk r az oldal cmt
tartalmaz tallatokra, hogy megtudjuk, mit gondolnak rla msok, tnyleg legitim weboldal-e.
Mieltt egy levlben, vagy dokumentumban feltntetett hivatkozsra rkattintana, hzza fl az
egeret, s ellenrizze, hogy a felugr ablakban megjelen cm egyezik-e a hivatkozs cmvel.
Ha indokolatlanul szemlyes vagy rzkeny adatokat krnek ntl elektronikus levlben, akkor ne
adja meg azokat.
Gyakran a csal weboldalak felugr ablakainak lczott krtevk krnek be informcikat rlunk. A
rendes oldalak nem hasznljk ezt a mdszert. Ne adjunk meg felugr ablakban rzkeny adatokat.
Minl hamarabb cskkentsk a lehetsges krokat. Jelentsk az illetkes vezetnek, ha a szervezeti
munkval sszefggsben trtnt a megtveszts.
Ha ismeretlen emberrel tallkozunk a munkahelynkn, ksret nlkl, krdezzk meg, hogy segthetnk-e neki, s ha gyans, akkor a biztonsgi terletet haladktalanul rtestsk.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Pszichol%C3%B3giai_manipul%C3%A1ci%C3%B3_(informatika)
http://en.wikipedia.org/wiki/Red_October_(malware)
http://www.biztonsagosinternet.hu/tippek/a-social-engineering-rol
72
Veszlyek: IT szemlyisglops (megszemlyests eltulajdontsa informcis rendszerekben)
Mirl beszlnk?
ltalunk ltrehozott felhasznlk s felhasznli

profilok megszerzse, vagy a nevnkben ms ltal
ltrehozott felhasznli profil kialaktsa informcis rendszerekben.
Mit veszlyeztet?

Felhasznl: szemlyes adatainkat, j hrnevnket, s vagyonunkat is veszlyeztetheti, ha ellopjk a felhasznli azonostnkat. Rejtett titkainkat
megismerhetik, a nevnkben tevkenykedhetnek.
Rendszermkds: a rendszermkdsre akkor
lehet hatssal, ha a szemlyisglopst kveten a
megszerzett felhasznli jogosultsgokkal befolysoljk a rendszer mkdst, pldul kretlen
leveleket kldenek, vagy krtev programot teleptenek a nevnkben.
Informcibiztonsg: szemlyes, zleti s kormnyzati adatok kiszivrgshoz vezethet.
Nemzetbiztonsg: felhasznli profilok megszerzsvel hozzjuthatnak szolgltatsok jelszavaihoz, ami a kormnyzati informatikai rendszerekben hasznlt jelszavak feltrshez vezethet.
Plda:
Vrosi legenda, hogy rgebben tiltottk a nemzetbiztonsgi szolglatok munkatrsai szmra, hogy
kzssgi hlzatokon regisztrljanak sajt nevkben. A szolgltatsok rohamos terjedse (pl. iwiw)
viszont azt eredmnyezte, hogy nagyobb kockzat volt egy id utn, ha a kollgk nem regisztrltak,
mert mr szinte csak k nem voltak a kzssgi oldalakon jelen, gy bizonyos felttelekkel engedlyeztk szmukra.
Tvol-keleti hrszerzk a NATO tbb tisztje nevben ltrehozott Facebook profilok segtsgvel szereztek nhny vvel ezeltt informcikat ms NATO alkalmazottakrl. De hazai politikusok is estek
ldozatul annak, hogy a nevkben hoztak ltre profilt a kzssgi oldalakon.
73
A szemlyes adatok segtsgvel pldul Angliban gyakran hitelt, vagy hitelkrtyt ignyelnek ms
nevben, majd nem trlesztik azokat. Ezzel anyagi krt okozhatnak, s az illet hitelkpessgt is
ronthatjk.
Hogyan elzzk meg?
A profilunk jelszavnak megszerzst gy elzhetjk meg, hogy hossz s sszetett jelszavakat hasznlunk, rendszeresen vltoztatjuk azokat, s olyan szmtgpen,ami felteheten nem
biztonsgos,nem gpeljk be a jelszt. Azt hogy ms nyisson a nevnkben felhasznli fikot, nehz
megelzni, de segthet, ha az ismertebb szolgltatsokon ltrehozzuk sajt profilunkat, mg ha nem
is hasznljuk rendszeresen, hiszen ez esetben mg egy profil a nevnkben nem nyithat. Tipikusan
ismertebb szemlyisgek, vezetk szmra javasolt, hogy hozzanak ltre profilt a kzssgi hlzatokon, nehogy a nevkben ms tegye meg.
Keressk meg a szolgltatt, s ha nem ad vlaszt a megkeressnkre, forduljunk szakrt jogszhoz,
illetve komolyabb esetekben javasolt feljelentst tenni a rendrsgen.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Identity_theft
http://www.technet.hu/hir/20091104/szemelyiseglopas_-_mi_az/
http://www.biztonsagosinternet.hu/tippek/a-szemelyazonossag-lopasrol
74
Veszlyek: eszkzk s adathordozk eltulajdontsa
Mirl beszlnk?
Abban az esetben, ha egy szervezetnl a fizikai biztonsg nem megfelel, vagy a felhasznlk nem
vigyznak rtktrgyaikra, elfordulhat a szmtgpes eszkzk s adathordozk gyakran hordozhat eszkzk eltulajdontsa.
Mit veszlyeztet?

Felhasznl: a szmtgpes eszkznk, s az

adathordoznk rtktrgy, ellopsuk vagyoni krt
okoz, de a rajta lev adatok elvesztse gyakran
nagyobb vesztesget okoz.
Rendszermkds: a szervetek ltal hasznlt szmtgpek, vagy egyb eszkzk eltulajdontsa
akadlyozhatja a rendszerek mkdst.
Informcibiztonsg: az eltulajdontott eszkzkn, s adathordozkon ltalban az rtkk
tbbszrst r adatok tallhatak, amelyek, ha
nem titkostva troljk ket, visszalsekre buzdtjk a tolvajt.
Nemzetbiztonsg: a kzszfra ltal hasznlt adatokat tartalmaz eszkz, vagy adathordoz eltulajdontsa nemzetbiztonsgi kvetkezmnnyel is jrhat.
Plda:
2008-ban titkosts nlkli lemezek tntek el a HSBC Banktl, amelyeken 370.000 gyfl letbiztostsnak adatai szerepeltek.
vente nhnyszor a kzszfrban is el fordul, hogy egy munkatrs elhagyja a telefonjt, vagy ellopnak egy laptopot. Nem jellemz, hogy nyilvnossgra kerlnek a trolt adatok, vagy, hogy azok megfelelen voltak-e vdve, de a nemzetkzi tapasztalatok alapjn megvan az eslye az adatvesztsnek.
75
Hogyan elzzk meg?

Az ellopott adathordozkon keresztli adatvesztst az adatok, illetve az adathordozk titkostsval
elzhetjk meg. Ne troljunk szksgtelenl adatokat hordozhat eszkzkn.
Az adatvesztst haladktalanul jelentsk a bels szablyozsnak megfelelen, hogy a biztonsgi terlet idben megtehesse a szksges lpseket. Gyakran nagyobb problma keletkezik abbl, ha egy
adathordozt elvesztettnk, s nem jelentjk be, mert a biztonsgi elhrt lpsek nem tehetk meg
idben, s a bejelents elmulasztsa miatt is szmon krnek minket.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Data_theft
http://biztonsag.computerworld.hu/index.php/adatlopasok-nem-eleg-aggodni-vedekezni-is-kell-20120621.html
http://mysec.hu/magazin/uezleti-vilag/283-rengeteg-laptopnak-vesz-nyoma
76
Veszlyek: eszkzk selejtezse, kidobsa
Mirl beszlnk?
Az otthoni felhasznlk, a szervezetek ltal hasznlt szmtgpek s kiegszt eszkzk (pl. kls
adathordozk), illetve ms szmtgpes adatokat
tartalmaz eszkzk (pl. multifunkcis nyomtatk,
telefonok) nhny v alatt hasznlaton kvl kerlnek. Ezeket ltalban raktrozzk mg egy ideig , de
selejtezst kveten legtbbszr szemtknt vgzik.
Az eszkzktl val megszabaduls eltt vgre kell
hajtani az adatok vgleges trlst. Ennek hinyban az eszkzrl megszerzett adatok felhasznlsa
vagy nyilvnossgra hozatala jelents krokat okozhat a szervezet szmra.
Mit veszlyeztet?

Felhasznl: klnsen a gyorsan elavul mobiltelefonok selejtezsekor clszer krltekinten

eljrni a kszlken trolt telefonszmok, kpek,
s zenetek vdelme rdekben.
Rendszermkds: egy rendszer feljtsa, vagy bvtse miatt feleslegess vl eszkz, vagy adathordoz olyan informcikat tartalmazhat a rendszer felptsrl s biztonsgrl, amely megknnytheti a mg mkd rendszerelemek tmadst.
Informcibiztonsg: a selejtezett adathordozkon trolt, vagy egyszer trlssel is letrlt adatok
visszallthatak, az rtkes informcik pedig megtalljk azokat, akik fizetnnek rtk.
Nemzetbiztonsg: minstett adatokat trol hordozk selejtezse sorn nem engedhet meg,
hogy visszallthat legyen rluk az adat. Ezrt minden selejtezs magas kockzatot jelent.
Plda:
A felhasznlk 1-2 vente cserlik telefonjaikat, a hasznlt kszlkeket sokszor rtkestik. Ritka, hogy
a felhasznl kpes szemlyes adatainak visszallthatatlan mdon valtrlsre. Ugyanez egy szervezet esetn nagyobb krt is okozhat az eszkzn trolt telefonszmok, elektronikus levelek, s bizalmas zenetek nyilvnossgra kerlsnek kockzata miatt.
77
IT biztonsggal foglalkoz cgek a kiselejtezett szmtgpeken tbbszr vgeztek teszteket a visszallthat adatokrl. Gyakran bizalmas vllalati adatokat talltak.
Tbb szzezer gpet importlnak a fejlett orszgokbl csak Nigriba, a szmtgpek gyrtsi anyagainak jrahasznostsa rdekben. A bnzk szmra azonban a gpek manyag burkolatnl,
vagy a benne lev nemesfmeknl rtkesebb lehet a merevlemezekrl visszallthat adat.
Hogyan elzzk meg?
Az eszkzk selejtezse eltt visszallthatatlanul trljnk minden adatot, vagy ha ez nem lehetsges, fizikailag semmistsk meg az adathordozkat.
A selejtezett adathordozkon kikerl adatok arra hvjk fel a figyelmet, hogy a szervezet bels kontroll rendszere nem megfelel. Ha ilyen bekvetkezik, akkor vizsgljuk fell a vonatkoz szablyzatokat, legyen kvetkezmnye a szablyok be nem tartsnak, s biztostsuk a technolgit az adatok
megfelel trlshez.
Ha mg olvasna errl:
http://biztonsagportal.hu/elajandekozott-adatok-nem-torodunk-az-adattorlessel.html
http://mysec.hu/magazin/kiemelt-hirek/327-elhanyagolta-az-adattoerlest-a-nasa
http://www.uzletihirszerzes.hu/%C3%BCzleti-biztons%C3%A1g/inform%C3%A1ci%C3%B3-%C3%A9s-adatv%C3%A9delem/2705-bizalmas-informcik-a-lecserlt-mobil-minden-titkot-kiad.html
78
Veszlyek: szemtbe dobott informci (kukabvrkods)
Mirl beszlnk?
A jogosulatlan informciszerzs egyik legrgebbi

mdszere a szemt tvizsglsa; a fellelt iratok, szmtgpes adathordozk temrdek informcival
szolglhatnak a kukabvrnak.
Mit veszlyeztet?

Felhasznl: az egynek felelsek a rjuk bzott

informcik kezelsrt. Egy tvesen kinyomtatott
irat kidobsa az els kukba ugyan cskkentheti
a frusztrcinkat, m gy a kollegktl kezdve a
szervezetbe ltogat vendgeken s a takartkon
keresztl, a szemtben kotorszk, a szemetesek,
s a szndkos hrszerzk is hozzfrhetnek.
Rendszermkds: a rendszerek mkdst
akkor kpes veszlyeztetni, ha a kidobott informci segtsgvel a rendszerhez val hozzfrs lehetv vlik, vagy a jelszavak feltrhetv
vlnak. ilyenkor a jogosulatlan hozzfrshez hasonl veszlyek trtnhetnek meg.
Informcibiztonsg: maga a kidobott adathordozn lev informci, s a fellelt informcik
sszessge olyan eszkzt biztost, amely az adott informcin tlmen kvetkeztetsek levonsra alkalmas, illetve jogosulatlan informciszerzst tesz lehetv.
Nemzetbiztonsg: a szemtbe dobott informci jellegtl s mennyisgtl fggen idegen
orszgok hrszerzi szmra is rtkes lehet egy llami szervezet szemete.
Plda:
Feleslegessg vlt munkaverzik s szksgtelenl nyomtatott msolati pldnyok darls nlkli
kidobsa rtkes informci lehet, adott esetben egy munkaanyagban szerepl megjegyzsek tbblet
informcit is tartalmazhatnak. A papr fecnire, pizzs dobozra rt zenetek, jegyzetek, telefonszmok
szintn rtkes informcit jelenthetnek.
Az informatikai rendszerekre vonatkozan rulhat el informcit az eszkzk dobozainak kidobsa,
amely dobozok ltalban pontosan tartalmazzk az eszkz konfigurcijt is.
79
Hogyan elzzk meg?

A szervezet mretnek megfelel szm s kapacits iratmegsemmist gpet vsroljunk, vagy
biztonsgos mdon gyjtsk kln az irodai selejtet, s kzponti darln, vagy kls szolgltat
segtsgvel biztonsgos mdon semmistsk meg.
Fontos, hogy a biztonsgtudatostsi kpzs kitrjen az iratok s egyb adathordozk szakszer selejtezsre, megsemmistsre. Legelterjedtebb mdszer a paprok feldarabolsa, a mgneses s optikai adathordozk fizikai megsemmistse pldul iratmegsemmistben.
Az adathordozk, fnymsol gpek, szmtgpek s egyb eszkzk selejtezse sorn szintn az
adatok visszallthatatlan trlst szksges elvgezni.
J gyakorlat letszer pldk felhasznlsa a bels kpzsek sorn. Kis munkabefektetssel a szervezet egynapi irodai szemetnek sszegyjtsvel s kirtkelsvel olyan letszer pldhoz juthatunk,
amely hossz ideig szbeszd trgya lehet, s segtheti a biztonsgtudatos magatarts szokss
ersdst a munkatrsakban.
Biztonsgi esemnyek szlelse, vagy annak gyanja esetn rtestsk a biztonsgi szakterletet!
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Dumpster_diving
http://www.nethirlap.hu/printme.php?cikk=13267
http://www.uzletihirszerzes.hu/uzleti-hirszerzes/5262-hogyan-dolgoznak-az-ipari-kmek.html
80
Veszlyek: szemlyes / hivatali adatok megosztsa kzssgi hlzatokon
Mirl beszlnk?
Szndkosan, vagy vletlenl olyan adatokat oszthatunk meg az interneten magunkrl, amelyek magukban, vagy sszessgben veszlyt jelenthetnek rnk,
vagy a munkltatnkra. Adott esetben az is ilyen
informci lehet, hogy ha jelljk, hogy ppen hol
tartzkodunk (pl. 4square), vagy feltrkpezhet a
kapcsolati rendszernk. Vigyzni kell az olyan kzssgi oldalakkal, amelyen zenfalunkon zenet
kzvetthet.
Mit veszlyeztet?

Felhasznl: szemlyes adatok megosztsa

vagyoni krt okozhat, vagy egyb mdon sodorhat veszlybe minket.
Rendszermkds: a rendszerek biztonsgt
veszlyeztethetik a bnzk a kzssgi hlzatokon sszegyjttt informcik segtsgvel.
Informcibiztonsg: a kzssgi hln val kzzttel srti az informci bizalmassgt.
Nemzetbiztonsg: hivatali, vagy katonai informcik kzzttele veszlyeztetheti
nemzetbiztonsgot.
Plda:
Ha kzztesszk magunkrl, hogy milyen rtkes ajndkokat kaptunk karcsonyra, a szemlyes adatainkbl kiderl a lakcmnk, ezt kveten megosztjuk, hogy hov megynk 10 napra selni, s mg be is jelentkeznk a splyrl, akkor a betrk biztosak lehetnek abban, hogy szinte vdtelenl vrja ket a laksunk.
Megtrtnt eset volt itthon is a kzlkeny felhasznl laksnak elkltztetse. A szomszdok furcslltk,
hogy a lak nem szlt elre, de itthon ltalban nincsenek ilyen j viszonyban egymssal a szomszdok.
A brit hadgyminisztrium online kampnyban hvja fel a katonk figyelmt arra, hogy ne osszanak
meg harctri informcikat a kzssgi hlzatokon, ne tegyenek kzz videkat, s nyilvnos helyen
ne beszljenek harctri tevkenysgrl, mert a terroristk brit fldn is tmadhatjk ket, illetve a
kifecsegett informci a harctren szolglatot teljest bajtrsaikat sodorhatja veszlybe.
81
Hogyan elzzk meg?

Az informci megosztsa sorn legynk tudatosak , ami veszlyt jelenthet rnk, vagy krnyezetnkben brkire, ne tegyk kzz. Lehetsg szerint olyanokkal tartsunk kapcsolatot kzssgi hlzatokon, akiket jl ismernk, a programok biztonsgi belltsait pedig tudatosan vgezzk. Az informci hasznos lehet, ha csak a clkznsggel osztjuk meg, de veszlyt jelenthet, ha brki szmra
elrhetv tesszk.
Ha veszlyt szlelnk, akkor mielbb trljk az zenetet, informcit, kpet, vagy akr a profilunkat,
majd rtestsk a biztonsgi terletet, hogy a szksges intzkedseket megtehessk. rtestsk azokat is, akiket veszlyeztethet az informci nyilvnossgra hozatala.
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Privacy_concerns_with_social_networking_services
http://www.biztonsagosinternet.hu/tippek/adatbiztonsag-kozossegi-oldalakon
http://www.infoter.eu/cikk/veszelyes_jatszoter_a_kozossegi_oldal
82
Biztonsgos irodai alkalmazsok

IRODAI ALKALMAZSOK BIZTONSGTUDATOS HASZNLATA
Az irodai IT kockzatok cskkentsnek leghatkonyabb mdszere a megelzs. Minden felhasznli

csoportnak fontos ismernie, hogyan vdje az informcit, s hogy hol kerlhetnek ki rzkeny adatok
egy irodai munkakrnyezetben. A kls eredet veszlyekre korbbi fejezetekben rszletesen felhvtuk
a figyelmet, most azok kzl a veszlyek kzl mutatjuk be a legfontosabbakat, amelyekkel az elterjedt
irodai alkalmazsok hasznlata sorn akr tudtunk nlkl szemlyes adatot, vagy ms vdend informcit tehetnk kzz. Ezek az alkalmazs funkcik kikapcsolhatak, illetve tudatos hasznlatukkal
csak a jvhagyott informci kerlhet nyilvnossgra.
Az irodban dolgoz munkatrsaknak ismernik kell az ltaluk hasznlt irodai szoftvercsomagok
mkdst, a napi munkban jl kihasznlhat funkcikat. Jelen kiadvnynak nem clja a funkcik
ismertetse, de nhny, nem felttlenl kzismert adatbiztonsgi s adatvdelmi funkcira fel kvnjuk hvni a figyelmet a kvetkez oldalakon.
Az albbi tematikus oldalakon kpernykpekkel illusztrlva mutatjuk be a j gyakorlatokat, amelyek
alapvet szmtgpes ismeretekkel is alkalmazhatk.
A pldk tbbsge a Microsoft Office 2010 vltozata alapjn kszlt. Ezek a funkcik ltalban
ms vltozatokban is elrhetek, btortjuk az olvast, hogy a gyrt oldaln keresse meg a pontos
belltsokat, ha szksge van r. A Word alkalmazsra vonatkoz informcikat pldul itt tallja:
http://office.microsoft.com/hu-hu/word-help/.
A szemlyes adatok trlse a dokumentumokbl

Az irodai rendszerek, mint pldul a Microsoft Office, magukban a dokumentumokban trolnak
olyan adatokat, amelyek alapjn beazonosthat, hogy melyik gpen kszlt, s ki ksztette. Ha ezt
valamirt nem szeretnnk, pldul meg szeretnnk osztani egy dokumentum elektronikus msolatt
a munkatrsainkkal, vagy gyfelekkel, akkor ellenrizni kell, hogy a dokumentum nem tartalmaz-e
rejtett adatokat, szemlyes informcikat (pldul a dokumentumtulajdonsgok fln). A rejtett
83
informcik, a szervezetre vagy dokumentumra vonatkozan olyan adatokat tehetnek nyilvnoss,

amelyek krt okozhatnak. Pldul egy munkaanyag megjegyzsei nem tartozik a nyilvnossgra, vagy
egy szervezet nevben kszlt dokumentumrl sem felttlen kvnjk kzztenni, hogy ki ksztette,
ezrt ajnlatos ezeket az adatokat eltvoltani.
A Word alkalmazs Dokumentumfelgyel szolgltatsval megtallhatk s eltvolthatk a dokumentumokban elrejtett informcik. A funkci a Fjl men, Informci menpont, Problmk ellenrzse gomb, Dokumentum vizsglata ikonnal hvhat el:
A Dokumentumfelgyel ablakban hat klnbz helyen trolt szemlyes adatok azonostsra s

trlsre van lehetsg, az adatokat trlhetjk mindenhonnan, vagy szelektltan. Nem clszer
minden trlsi lehetsget gondolkods nlkl alkalmazni. ltalban a vgleges anyagban a korrektrkra s megjegyzsekre nincs szksg, de a fejlcekre s lblcekre igen.
84
Vgl ne felejtsk el azt sem, hogy maga a dokumentum fjl neve is hordoz informcikat. Ott is
szerepelhet a szerz, vagy a szervezet neve, kszts dtuma. Javasoljuk, hogy a kzzttelre ksztett dokumentumok fjl nevt is gy vlasszk meg, hogy segtse a fjl knny azonostst. Pldul
a szervezet rvidtse, a dokumentum rvid cme, verziszma, s a kzzttel dtuma. Lehetleg
nem hasznlva kezetes s specilis karaktereket. Jelen kiadvny esetben ez pldul lehet: KIFU
_biztonsagtudatositas_v1_2013.pdf.
Ha mg olvasna errl:
http://office.microsoft.com/hu-hu/word-help/rejtett-adatok-es-szemelyes-informaciok-eltavolitasa-adokumentumokbol-HA010354329.aspx
85
A dokumentumok jelszavas vdelme

Az Office dokumentumok beptett jelszavas dokumentum vdelme, klnsen az Office XP eltti
vltozatok, ma mr alacsony szint vdelmet jelent, mg akkor is, ha a gyrt oldaln jelenleg is az
szerepel, hogy adataink elrse lehetetlenn vlik, ha a jelszt elfelejtjk.
J gyakorlat azonban a fjlokhoz rendelt jelszavak biztonsgos helyen val trolsa. Sok bosszsgtl megkmlhet minket a jvben, ha ksztnk gynevezett jelsz szfet. Az interneten tbbfle
ingyenes alkalmazs is elrhet erre a clra, amelyek ers titkosts mellett troljk el a jelszavainkat. Itt lnyegben elg a jelsz szfet elindt jelszt megjegyeznnk, a tovbbi jelszavak a szfbl
kinyerhetek.
Br az Office alaprtelmezett titkostsi algoritmusai viszonylagosan ersek, a mai szmtsi kapacits, s fejlett kdfejt eljrsok segtsgvel lehetsgess vlt az Office 2003 s korbbi vltozataival
ltrehozott fjlok tartalmnak megismerse, fggetlenl a jelsz hossztl s bonyolultsgtl. Erre
mr online szolgltatsok is elrhetek, akr magyar nyelven is.
A ksbbi Office verzikban nveltk a jelszavas vdelem biztonsgt, ezrt megfelelen sszetett s
hossz jelszavak esetn kellen sok idbe telik a jelszavas vdelem visszafejtse. A rendszergazdk
az az adott szervezeten bell az Office kzponti belltsaival (csoporthzirend-szablyok) megkerlhetetlenn tehetik biztonsgi ignyeknek nem megfelel jelszavak hasznlatt, gy ers jelszhzirend valsulhat meg. Fontos mg tudni, hogy a szmtgpek a jelszavakban megklnbztetik a kis
s nagybetket, ezrt nagyon pontosan szksges megjegyezni, illetve eltrolni azokat.
Br az Office beptett dokumentum vdelme nem tkletes, mgsem rdemes rgtn elvetni a
hasznlatt. A jelszavas vdelem az egyszer kvncsiskodstl, s a vletlen mdostsok ellen is
vdi a dokumentum tartalmt. A jelszavas dokumentumvdelem belltsa radsul egyszer. A Fjl
men, Informci menpontban a Dokumentumvdelem gomb Titkosts jelszval funkcijt kell
kivlasztanunk. sszessgben minstett informci vdelmt nem biztostja az Office titkostsa,
de a fenti clok elrsre praktikusan hasznlhat.
Ha mg olvasna errl:
http://office.microsoft.com/hu-hu/excel-help/a-jelszohazirend-HA010355926.aspx
86
A dokumentumok titkostsa
A dokumentumok titkostsra tbb lehetsg ll a felhasznlk rendelkezsre. Lehetsges pldul
a vllalati Windows verziban a teljes fjlrendszer titkostsa, gy minden dokumentum titkostsra
kerl. Ennek az az elnye, hogy pldul egy eltulajdontott laptoprl nem nyerhetk ki az adatok.
Az ismert informatikai biztonsgi szoftvergyrtk ltalban rendelkeznek dokumentum- s mappatitkostst lehetv tev szoftver modulokkal is, ezeket vagy a vrusvdelemre megvsrolt licencnk
tartalmazza, vagy kedvezmnyes megvsrlst teszi lehetv. A szervezeteknl val szleskr kiterjesztse az adott megolds tesztelst s oktatst ignyli. rdekldjn szervezete biztonsgi vezetjnl a tmogatott titkostsi mdszerekrl!
Ha a szervezetnl nincsen hivatalosan tmogatott dokumentum titkostsi megolds rendszerestve,
s a bels szablyozs nem tiltja a titkostst, akkor lehetsgnk van a dokumentumok titkostsra
akr nylt forrskd szoftverrel is.
Az egyik legnpszerbb program, a Truecrypt, lehetv teszi teljes merevlemezek, USB memrik, de
akr egyedi dokumentumok titkostst is. Titkost programokat, mint ltalban brmilyen programot is, csak megbzhat helyrl tltsnk le. Ilyen pldul a hivatalos oldala: http://www.truecrypt.org/
downloads.
rdemes a titkostst gy vgezni, hogy olyan, a hasznlt dokumentum mretnek megfelel mret
trolt (volume) ksztnk, amely a levelez programok mretkorltjba is belefr, 2-5 Mbyte mrett.
Ezt hozzadva a rendszerhez (mount) a gyakorlatban egy j rendszer merevlemez meghajtknt ltszik. A trol titkostva trol minden belehelyezett llomnyt, msik szmtgpen is csak a Truecrypt
segtsgvel olvashat, a jelsz ismeretben.
Ha mg olvasna errl:
http://www.truecrypt.org/faq
http://hvg.hu/tudomany/20080828_usb_titkositas
http://computerworld.hu/cio/titkositott-hordozhato-adattarolok.html
87
Outlook hasznlat biztonsgi kockzatai

Az Outlook a csoportmunkt tmogatja, ezrt beptett informcimegoszt kpessgekkel rendelkezik. Ha ennek a felhasznl nincs tudatban, srlhet az informci biztonsga.
Nhny plda:
A titkostatlan levl tartalmt, amerre eljut a hlzaton, brki elolvashatja.
Naptrbejegyzseket, vagy azok trgyt olvashatjk azok a munkatrsak is, akikkel nem osztottuk
meg teljes kren az elfoglaltsgi adatainkat.
zenetek trgyt olvashatjk a kretlen levl szrt kezel informatikusok.
Az elektronikus levelekben zajl kommunikcis sorn teht tudatban kell lennnk, hogy nem felttlenl csak mi s az zenet cmzettje olvashatja az informcit. Ebbl kifolylag pldul nemzeti
minstett adatokat nem szabad a levelez rendszerben zenetek szvegben kldeni, de zleti titok
esetn is clszer az informci titkostsa.
Hasznos a cmzettek figyelmt a levlben szerepl adatok bizalmas jellegre. m ha azokat titkosts
nlkl kldjk, felhvjuk a tmadk figyelmt, hogy az zenet relevns, rtkes informcit tartalmaz.
Tvoli hozzfrs esetn fontos, hogy biztonsgos szmtgprl hasznljuk a rendszereket azrt,
hogy a jelszavunkat ne lophassk el. Ha az elektronikus levelezsnkhz olyan szmtgprl vagyunk
knytelenek hozzfrni, amelynek a biztonsgrl nem tudunk meggyzdni, akkor a gyakori billentyzetlop programokat knnyedn kicselezhetjk. Ha a Start men Futtats ablakba berjuk az
osk parancsot, akkor egy virtulis billentyzet jelenik meg a kpernyn, amelyen egy egr segtsgvel rhatjuk be a jelszavunkat, vagy akr rvidebb leveleket is rhatunk vele.
88
Az Internet Explorer bngszben a bngszsnk nyomait az Eszkzk men Bngszsi elzmnyek trlse menpontban trlhetjk. A felugr ablakban vlaszthatunk, hogy pontosan mely
elemeket szeretnnk eltvoltani, az ideiglenes fjloktl kezdve egszen a bert, elmentett jelszavakig
trlhetnk adatokat.
Fontos funkci mg az adatvdelmi belltsok kre, amely befolysolja, hogy milyen informcit kld az
Office a gpnkrl a Microsoftnak, illetve hogy mi milyen adatokat tlthetnk le a Microsofttl.
A klnbz Office programokban s programverzikban eltr lehet a belltsok kre, illetve a menk
pontos elnevezse. ltalban a Fjl men Belltsok pontjt kell kivlasztani, majd az Adatvdelmi kzpont Adatvdelmi belltsok funkcivlaszt menben mdosthatunk a belltson.
89
Az Office 2010-es programjai esetben, pldul ha a felhasznl bejelli a Frisstett tartalmak keresse az Office.com webhelyen funkcit, akkor internetkapcsolat meglte esetn mindig letltheti a
legfrissebb sgtartalmakat az Office.com oldalrl. A program csak azokat a sgkat tlti le, amelyek
a Keress eredmnyben szerepelnek. Itt kapcsolhatjuk ki pldul, hogy informcikat kldjn-e a
gpnk a Microsoftnak a felhasznli szoksainkrl (Felhasznli lmny fokozsa program).
Ha van lehetsgnk sajt programokat futtatni, akkor ingyenes szoftverek segtsgvel is trlhetjk a szmtgpen vgzett tevkenysgnk nyomait. Ilyen program a Ccleaner, amely az ideiglenes llomnyokat, a megtekintett dokumentumokat, a gpen trolt stiket, s az internetezsi elzmnyeket is kpes gombnyomsra
trlni. Van lehetsg ezek manulis trlsre is, azonban a teljes kr trlshez halad felhasznli ismeretek szksgesek (pldul Windows registry kulcsok mdostsa), ezrt erre most nem trnk ki bvebben.
Amikor az Outlook informciit telefonra, vagy szmtgpre szinkronizljuk, ne feledkezznk meg
arrl, hogy onnantl azokat az eszkzket is az zenetekben trolt adatok vdelmi szintjnek megfelelen vdennk kell. Clszer nhny napra korltozni azt az idtartamot, ameddig az eszkz trolja
az zeneteket, gy cskken a kr mrtke, ha elhagyjuk az eszkzket. Ha ms alkalmazsok szmra
is engedlyezzk az adatokhoz hozzfrst, akkor knnyen eljuthatunk oda, hogy ingyenes levelez
rendszerekbe betltjk a teljes partner adatbzisunkat.
Ha mg olvasna errl:
http://office.microsoft.com/hu-hu/word-help/az-adatvedelmi-beallitasok-megtekintese-HA010354327.aspx
http://www.piriform.com/ccleaner/builds
90
Eszkzk kztti adatszinkronizls kockzatai

Egyre tbb klnbz eszkzt hasznlunk munknk sorn, mr gyintzi szinten is megjelenik a
telefonokon val elektronikus levelezs ignye, vezeti szinteken pedig a hordozhat szmtgpek
s tblagpek munkavgzs cl hasznlata.
Az okostelefonok, kziszmtgpek s tblagpek hasznlata sorn kzenfekv felhasznli igny
a munkallomsok s a mobil eszkzk kztti adatszinkronizci. Ez azzal jr ltalban a gyakorlatban, hogy a levelezs, a naptr, s bizonyos dokumentum knyvtrak elre meghatrozott szablyok szerint szinkronizlnak, azaz tmsolja a rendszer ket minden eszkzre. Amennyiben itt nem
lltanak be szktseket, gy a mobil eszkzk elvesztse, vagy eltulajdontsa esetn jelents krt
okozhat az adatok illetktelen kezekbe kerlse.
Adatszinkronizls belltsa eltt meg kell gyzdni arrl, hogy a szervezet bels szablyai lehetv
teszik-e az adott eszkz (hivatali, vagy sajt) munkavgzs cl hasznlatt. Csak olyan eszkzre
tegynk hivatali adatokat, amelyre engedlyezett!
A szinkronizls sorn felmerlhet, hogy a hivatali adatokat, nem csak a hivatal ltal jvhagyott
alkalmazsokba troljuk (pldul: gmail, facebook), ltalban ez a hivatali szablyokkal nincsen sszhangban, ezrt errl is meg kell elzetesen gyzdni!
J gyakorlat a szinkronizls korltozsa a tnylegesen szksges adatkrkre (nem minden knyvtr), s idtartamra (pldul az elmlt 1 ht adataira), belertve a levelez program belltsait is.
A okostelefonok, s tblagpek beptett vdelmi funkciit clszer alkalmazni (pl. jelsz, kperny
zrols), gy illetktelenek nem frhetnek olyan knnyen hozz az adatainkhoz.
Amennyiben van mobil eszkz vdelmi szoftver teleptve az eltulajdontott gpen, akkor lehetsges az
eszkz adattartalmnak tvoli trlse, s az eszkz fldrajzi helyzetnek meghatrozsa (GPS lokalizci). Ezt ltalban a szervezet biztonsgi vezetje vgezheti el.
Ha mg olvasna errl:
http://support.apple.com/kb/HT1296?viewlocale=hu_HU&locale=hu_HU
http://www.windowsphone.com/hu-hu/how-to/wp8/people/sync-contacts-and-calendars-fromoutlook-on-my-pc-to-my-phone
http://computerworld.hu/computerworld/mobil-eszkozok-menedzselese-avagy-mire-is-figyeljunk-abyod-eseten.html
91
Vezetk nlkli internet (WiFi) hasznlat kockzatai

A WIFI hlzatok korbban elkpzelhetetlen rugalmassgot biztostanak informatikai hlzatokhoz
val kapcsoldsra, ugyanakkor a biztonsgos belltsok s a biztonsgtudatos hasznlat hinyban
korltlan hozzfrst biztosthatnak adatainkhoz egy tmad szmra.
A nyilvnos WiFi hlzatok tbb kockzatot hordoznak magukban, egyrszt pldul egy kls tmad
lehallgathatja a hozzfrsi ponthoz csatlakoz felhasznlk adatforgalmt, illetve ha sajt hozzfrsi pontot mkdtet, akkor web oldalak eltrtsvel tovbbi adatokat szerezhet meg a felhasznlk
megtvesztsvel. Klnsen fontos ezrt nyilvnos helyeken gyelni arra, hogy milyen kapcsolaton
keresztl interneteznk. Bizalmas informcikat, jelszavakat pldul sosem adjunk meg ilyen kapcsolaton keresztl, ha biztonsgban szeretnnk tudni rtkeinket, s adatainkat. Klnsen fontos ez
nagy forgalm helyeken (pl. szlloda, repltr, klfldi konferencia), mert itt a bnzk mellett adott
esetben akr idegen llamok hrszerzi igyekszenek informcis ignyket kielgteni.
A leggyakoribb kockzat az otthoni mkdtets szempontjbl az, hogy elmulasztjk jrakonfigurlni
a hlzati belltsokat, azaz az alapbelltsokkal mkdtetik. Az illetktelen bejuts ilyenkor nagyon
egyszer, mivel a gyri belltsok ismertek a betrk szmra. A bellts sorn hlzat vdelme
rdekben a biztonsgi funkcikat be kell kapcsolni, pldul ers titkostst kell engedlyezni (WPA2),
tovbb a hozzfrshez szksges jelszt megfelelen kell megvlasztani. A jelsz hossza, s sszetettsge nveli a jelsz feltrsnek idejt, a jelenlegi mszaki megoldsokkal ltalban egy egyszer
tmadnak egy hnapra van szksge egy sszetett WiFi jelsz feltrsre, ezrt j gyakorlat, ha 30
naponta cserljk.
Hivatali, illetve vllalati krnyezetben WiFi hlzatot csak indokolt esetben javasolt engedlyezni,
s akkor is megfelel szint biztonsgot garantl megoldsok teleptse szksges (pl. CISCO,
ARUBA). Van teht biztonsgos WiFi, akr katonai szint biztonsg is elrhet vele.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Wi-Fi
http://www.tutorial.hu/wifi-halozatunk-biztonsagossa-tetele/
http://infoter.eu/cikk/repulotereken_kockazatos_a_wifi_hasznalata
http://computerworld.hu/cio/biztonsagos-vallalati-wi-fi-halozatok.html
92
Biztonsgos zemeltets
A RENDSZERGAZDKAT FENYEGET VESZLYEK
Az informcis rendszerek biztonsgos zemeltetsrl rszletes mdszertanok, egyetemi specializcik, s nemzetkzi szakmai vizsgk szlnak. Jelen tjkoztat nem kvn ezekkel versenyezni,
azonban fel kvnja hvni a figyelmet a kzelmltban tapasztalt lnyeges kockzatokra.
Klnsen a nemzetkzi s hazai tapasztalatok fggvnyben fontos, hogy az informcis rendszerek mkdtetsrt felels munkatrsak tisztban legyenek a felelssgeikkel, s mshol mr bekvetkezett hibk hatsaival.
A kzszfrban pldul a Nemzeti Biztonsgi Felgyelet, a Nemzeti Hlzatbiztonsgi Kzpont, s
az Alkotmnyvdelmi Hivatal vgez tjkoztat tevkenysget. A nemzetkzi s a hazai biztonsgi
szakmai szervezetek is szmos rendezvnyen, s kiadvnyok formjban biztostjk a figyelem felhvst, s a szakemberek tjkoztatst. Ilyen az ISACA, a KIBEV, s a HTE rendezvnyei, de zleti
konferencik tmjn is rendszeresen szerepel.
A biztonsgos zemeltets kpessgnek megvalstsa a szervezet els szm vezetjtl indul, fontos hogy
ezt clknt hatrozza meg a szervezet szmra, biztostsa az ehhez szksges eszkzket, s szakembereket.
A gyakorlatban az zemeltets biztonsga viszont a rendszereket mkdtet informatikus szakembereken, a rendszergazdkon, s kzvetlen vezetiken mlik. Fel kell kszteni a szakembereket a
munkjuk vgzsre:
az alapvet informcibiztonsgi ismeretekkel rendelkeznik kell,
a biztonsgos zemeltetshez szksges alapvet ismeretekkel rendelkeznik kell,
s a felelssgi krkbe tartoz rendszerek pontos mkdst, s biztonsgi funkciit ismernik kell.
nmagban egy felkszlt rendszergazda nagyon fontos, de nem elgsges a biztonsgos zemeltetshez, biztostani kell a helyettesthetsgt s az elvgzett zemeltetsi tevkenysgek dokumentlst.
Ha mg olvasna errl:
http://www.kibev.hu/index.php/sans-top-20-kibev-poszter
93
Veszlyek: tlterhelses tmads (DoS, DDoS)
Mirl beszlnk?
Egy kiszolgl gp, vagy pldul egy szervezet

kiszolgli ltal kezelt honlapok csoportjnak a clzott leterhelse, gyakran zombi hlzatok segtsgvel. DoS tmads esetn rvid idn bell olyan sok
informcikrs rkezik a szolgltatst kiszolgl
szerverhez, hogy fizikailag nem kpes r vlaszolni.
Ez a rendszerek tlterhelshez s a szolgltatsok tmeneti elrhetetlensghez, vagy lellshoz
vezet.
Mit veszlyeztet?

Felhasznl: a felhasznlk nem kpesek elrni

az rintett szolgltatst.
Rendszermkds: srl a rendszerek rendelkezsre llsa, akr hosszabb idre is elrhetetlenn vlhat.
Informcibiztonsg: esetenknt a tlterhelses
tmadst sszetett kibertmads rszt kpezi, ilyenkor pldul a rendszerekben lev adatokat is
megszerezhetik, amg a biztonsgi szakemberek a leterhelsek elhrtsn dolgoznak.
Nemzetbiztonsg: amennyiben a kzszfra rendszereit ri a tmads, nemzetbiztonsgi kvetkezmnyei is lehetnek.
Pldk:
Az Anonymous kormnyzati honlapokat is tmadott a kzelmltban tiltakozskppen bizonyos kormnyzati intzkedsre, illetve a mdia figyelmt is ennek segtsgvel sikerlt felkeltenik.
A Sony internetes jtkrendszere elleni sszetett tmads sorn a rendszert feltrtk, s hozzfrtek
a felhasznlk adataihoz. Azonban az adatok megszerzst a vdelmi rendszer nem tette lehetv,
amg egy sszehangolt tlterhelses tmads nem bntotta meg a mkdst. Amg a biztonsgi
szakemberek a rendszereket prbltk letben tartani, addig a tmadssal jr nagy forgalom elleplezte a szemlyes adatok letltst a rendszerbl.
94
Hogyan elzzk meg?

A rendszerek tervezsekor szksges olyan rendszer krnyezetet kialaktani, amely a szolgltatst rt
terhelseket megosztja a szolgltatst biztost tbb kiszolgl kztt.
Ugyancsak a tervezskor kell biztostani olyan biztonsgi funkcikat, pldul betrs megelz rendszer (IPS) megvalstst, amely kpes a tmad szmtgprl jv forgalom felismersbe, s a
tmadktl jv tranzakcik eldobsra, gy tehermentestve a szervereket.
Javasolt mg intzkedsi tervek kidolgozsa DoS tmads esetre, amely tmutatst biztost az zemeltetk rszre a tmads sorn, s azt kveten megteend intzkedsekrl.
Tbb oldalrl kell megkzeltennk a tmads elleni vdekezst. Lehetsges tovbbi kapacitsok biztostsval a nagy terhels ellenre letben tartani a szolgltatst. A tzfal s IPS belltsok mdostsval kizrni a tmadktl rkez forgalmat. Ebben segtsgkre lehet az internetszolgltat, s a
hlzatbiztonsgi kzpontok segtsge is.
A Nemzeti Hlzatbiztonsgi Kzpont tmutatja rszletes segtsget biztost DoS tmadsok
kezelsre.
Ha mg olvasna errl:
http://tech.cert-hungary.hu/sites/default/files/uploads/nhbk_vedekezes_a_dos_tamadasokkal_szemben.pdf
http://hu.wikipedia.org/wiki/Szolg%C3%A1ltat%C3%A1smegtagad%C3%A1ssal_j%C3%A1r%C3%B3_t%C3%A1mad%C3%A1s
http://infoter.eu/cikk/informatikai_tamadas_europai_szimulacios_gyakorlata_-_cyber_europe_2012
95
Veszlyek: hlzati letapogats (network / port scanning)
Mirl beszlnk?
Az internetre csatlakoztatott rendszerek eltt lev biztonsgi szoftverekben (tzfal, IPS) rendszeresen
tallkozhatunk olyan jelleg informcikrsi prblkozsokkal, amelyeknek az a clja, hogy az adott
rendszerrl minl tbb informcit gyjtsenek be.
Mit veszlyeztet:
Felhasznl: a felhasznlk ltalban csak az otthoni szmtgpk tzfal napljban tallkozhatnak ezzel, ha elmlyednek benne.
Rendszermkds: a clzott hlzat letapogats s felderts a szolgltats minsgnek cskkenshez vezethet tmenetileg. Ha a letapogats nem tall ismert hibt s nem kveti betrs,
vagy jelszfeltrsi prblkozs akkor nincsen hatsa.
Informcibiztonsg: a rendszerekre vonatkoz informcik segtsgvel eredmnyes betrsekre kerlhet sor, ekkor vezethet az informcibiztonsg srlshez.
Nemzetbiztonsg: idegen llamok ltal vgzett tevkenysgknt veszlyeztetheti a
nemzetbiztonsgot.
Plda:
Szmos technikai mdszer s program elrhet a hlzatok letapogatsra, s megelzsi clbl is
hasznlhatjuk sajt rendszernk gyenge pontjainak feldertsre.
Sok esetben az ismeretlen forrsbl rkez hlzati krsek, n. hlzat letapogatsok egy jvbeni
tmads lehetsgt foglaljk magukban. gy kvnnak informcit gyjteni a rendszernk gyenge
pontjairl, illetve rendszereink ismert srlkenysgeirl.
Hogyan elzzk meg?
A korszer tzfalaknak figyelnik kell az egyes hlzati portokon foly forgalmat. rzkelnik kell, ha
valaki letapogatja a nyitott portokat (port scanning), s kpesnek kell lennie az egyes portok lezrsra, vagy a letapogatst vgz fell jv teljes forgalom kizrsra.
A rendszereink biztonsgi frisstse cskkenti a kls tmadsok eredmnyessgt, ezrt itt is j
megelzsi mdszer. Mert azt az informcit jelzi a tmadnak vissza, hogy a rendszernk nem
tmadhat ismert mdon.
96

nmagban mg a letapogats ltalban nem okoz krt. Ha a hlzatunk letapogatsnak gyakorisga, vagy intenzitsa megn, akkor fokozott figyelemmel indokolt figyelni a hlzati biztonsgi
szoftvereink jelzseit.
Ha mg olvasna errl:
https://en.wikipedia.org/wiki/Port_scanner
https://en.wikipedia.org/wiki/Vulnerability_scanner
http://www.center.hu/tudastar/cikkek/a_port_scan_muveszete.html
97
Veszlyek: tvoli adminisztrtor eszkzk
Mirl beszlnk?
A szmtgpek tvoli felgyelett s karbantartst a Windows beptett funkcii, s egyb tvoli

adminisztrcit lehetv tev szoftverek is biztostjk. Ezek nagyban knnytik s gyorstjk a hibaelhrtst, azonban nem megfelel belltsuk biztonsgi kockzatokat hordoz magban, mert jogosulatlan tvoli hozzfrst tehet lehetv.
Mit veszlyeztet?
Felhasznl: felhasznlk rendszerhez s adataihoz val hozzfrst tehet lehetv, ha nem
megfelel a belltsa.
Rendszermkds: a rendszerek tvoli vezrlse vletlenl, vagy szndkos krokozs esetn a
mkdst veszlyeztetheti.
Informcibiztonsg: a rendszerekhez val teljes kr hozzfrs az ott kln vdelem nlkl
trolt informcikat is veszlyezteti.
Nemzetbiztonsg: hrszerzk is elszeretettel alkalmaznak olyan eszkzket, hts ajtkat, amelyek tvoli hozzfrst tesznek lehetv. Ezek veszlyeztethetik a nemzetbiztonsgot.
Plda:
Szmos trjai program rendelkezik hts ajt funkcival, ami tvoli adminisztrcit tesz lehetv.
Olyan funkciik vannak, mint pldul:
fjlok tnevezse, letltse;
rendszerbelltsok mdostsa;
jelszavak ellopsa;
vrusok teleptse;
kpernykp ellopsa.
Hogyan elzzk meg?
A tvoli hozzfrst biztost szoftverek megfelel belltsa megelzheti azt, hogy illetktelenek
hozzfrjenek.
Ebben az esetben is fontos a szmtgpek vgpontvdelme s a hlzatok alapvet biztonsga,
hogy a krtevknt telepl tvoli adminisztrcis programokat teleplst megakadlyozzuk, illetve
mielbb feltrjuk s trlhessk.
98

A szoftverek biztonsgi belltsait vizsgljuk fell, a jogosulatlanul teleptett eszkzket trljk le,
s tfog vruskeresst vgezznk a teljes rendszernkben.
Ha krt is szenvedtnk a tmads eredmnyeknt, akkor figyeljnk arra, hogy tmads idszaknak
rendszernaplit mentsk le tovbbi vizsglatokhoz!
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Remote_administration_software
http://www.microsoft.com/hu-hu/windowsserver2012/remote.aspx
99
Veszlyek: adatveszts
Mirl beszlnk?
A rendszereink ltal kezelt adatok mentst, ha nem

megfelelen tervezzk meg, vagy a mentsek megvalstsa hibs, akkor rendszerhiba, vletlen esemny,
vagy szndkos krokozs esetn elveszhetnek adatok.
Mit veszlyeztet?

Felhasznl: gyakori, hogy a szmtgpnkn

trolunk egyedl valamilyen adatot, egy pldnyban. Ez knnyen srlhet, elveszhet.
Rendszermkds: a munkahelyi rendszerek mentsnek hinyossgai jelents krt
okozhatnak.
Informcibiztonsg: ments hinyban az
egy pldnyban meglev adatok srlkenyek,
mdostsuk, vagy trlsk jelents krt okozhat.
Nemzetbiztonsg: kzszfra rendszerei esetn
kiemelten fontos az adatok megfelel vdelme.
Plda:
Hardver hiba miatt volt mr plda arra, hogy megsrlt adathordozkon a srlt adatok a biztonsgi
tartalk adathordozra is automatikusan tmsolsra kerltek (RAID).
Ha a minimlisan szksges mentend adatmennyisg (RPO) nem megfelelen kerl meghatrozsra, akkor a mkdst veszlyeztethet akr egy mszaki hiba is, amely adatvesztssel jr, mivel
ebben az esetben csak az elz mentsbl llthat vissza az adat, ami egy ht, vagy egy nap teljes
munkjnak ptlsval is jrhat.
Hogyan elzzk meg?
Fontos a rendszereinkben kezelt adatok krnek pontos ismerete, azokra vonatkoz mentsi kvetelmnyek azonostsa s vezeti jvhagysa. Ennek ismeretben vgezheti el az zemeltets a
megfelel mentsi megoldsok kialaktst.
100
A felhasznlk tudatostsa is szksges az adatments megelzse rdekben. ltalban a felhasznlk ltal hasznlt asztali, vagy hordozhat szmtgpek merevlemezt kzpontilag nem mentik,
ezrt nem is szabad fontos adatokat trolni rajtuk. A felhasznl, vagy a szervezeti egysg kzponti
meghajtjt szksges hasznlni a munkavgzs sorn. gy biztosthat az adatok visszallthatsga.
Idelis esetben vegyk el az utols mentst, amelyet az zleti ignyeknek megfelelen hatroztunk
meg, gy elviselhet mrtk az adatvesztsnk, amelyet nhny tlrban a szervezet kpes ptolni.
Ha szerencsnk van, akkor nem dolgoztunk az adattal az elz ments ta, gy az informatika adatveszts nlkl vissza kpes lltani.
Ha azt tapasztaljuk, hogy mgsem az szervezet ignyeinek megfelel a mentsi szablyzat, akkor
vizsgljuk fell azt, hogy a jvben nem kerljnk ismt ilyen helyzetbe!
Ha az adathordoznk srlse miatt van adatvesztsnk, akkor megprblkozhatunk az adatment
szolgltats ignybevtelvel, ezeknek azonban jelents kltsgk van, gy csak indokolt esetben javasolt ignybevtelk.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Adatment%C3%A9s
http://computerworld.hu/computerworld/nincs-orvossag-az-adatvesztesre-20090212.html
http://www.infoter.eu/cikk/ot_tanacs_a_katasztrofa-helyreallitasi_terv_felepitesehez
101
Veszlyek: rendszerfrisstsek hibi, hinya
Mirl beszlnk?
A tmadk szmra a legkzenfekvbb tmadsi

mdszer a rendszerek ismert hibinak kihasznlsa.
Sok esetben clzott tmadst lehetv tev programok kszlnek, amelyeket a rendszerek frisstsnek
hinyban sikeresen alkalmazhatnak. Fontos ezrt
a rendszerek hibit javt frisstsek rendszeres
teleptse.
Mit veszlyeztet?

Felhasznl: az otthoni felhasznlkat is veszlyezteti a hibs szoftverek hasznlata, klnsen

az opercis rendszer s a JAVA krnyezet frisstsnek hinya okozott problmkat.
Rendszermkds: slyos krt okozhat a frisstsek hinya, tvolrl akadlyozhatjk a rendszer
mkdst, vagy le is llthatjk.
Informcibiztonsg: a rendszerek hibit kihasznlva hozzfrhetnek a rendszerekben kezelt adatokhoz is.
Nemzetbiztonsg: kzszfrban hasznlt rendszerek esetben fokozottan indokolt a rendszerek
frisstse, hogy hinyukbl fakad kockzatok cskkenthetek legyenek.
Plda:
A JAVA futtatkrnyezetben a kzelmltban feltrt hibk olyan biztonsgi kockzatot jelentettek, hogy
a vdelmi szakemberek a teljes letiltsukat javasoltk addig, amg nem javtjk a hibt.
Az ingyenes web szerverek pl. Apache ismert hibit kihasznlva, akr weboldalakat is megfertzhetnek, gy akaratunk ellenre vrusok s krtev programok terjesztiv vlhatunk.
Hogyan elzzk meg?
Clszer a rendszerfrisstseket automatizlni. Az otthoni felhasznls esetn ltalban tbb elnnyel jr a frissts teleptse, mint elmulasztsa.
102
A szervezetek rendszereiben javasolt a frisstsek temezett teleptse, azaz nhny tipikus gpre
teleptsk elszr, vizsgljuk fell, hogy van-e valamilyen hatsa a szoksosan hasznlt informatikai
rendszerekre, s ha nem okoz hibs mkdst, akkor terjesszk ki a tbbi gpre.
A szoksos Windows frisstsek mellett nagyon fontos a szerverek frisstse, klnsen a kls hlzatra kttt gpek, de nem kevsb fontos a bels hlzaton levk sem, mert ha a hatrvdelmen
tjn egy tmad, akkor a bels rendszerek fell is kpes tmadni az informatikai szolgltatsokat.
Ha elmulasztottunk egy rendszert frissteni, akkor mielbb frisstsk, ha tudomsunkra jut.
Mkdtethetnk automatizlt srlkenysg vizsgl szoftvert, amely rendszeresen feltrja a hinyz
frisstseket.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Windows_Update
http://hu.wikipedia.org/wiki/Nulladik_napi_t%C3%A1mad%C3%A1s
103
Biztonsgtudatos vezets
MIT TEHETNEK A VEZETK AZ INFORMCIBIZTONSGRT
A menedzsment mdszertanok a biztonsgi kultra eredmnyes megvalstst lehetv tev sikertnyezk kztt els helyen tartalmazzk a fels vezets elktelezettsgt. St, tbb mdszertan
odig megy, hogy azt mondja, ennek hinyban neki kezdeni sem rdemes, mert eleve kudarcra van
tlve a kezdemnyezs.
Biztonsgirnyts kvetelmnyei
A kvetkez ngy alfejezetben ismertetjk az ISACA nemzetkzi felmrsn alapul kvetelmnyeket,
amelyeket az informcibiztonsgi irnytssal szemben a szervezeteknek tmasztaniuk kell.
Informcibiztonsg irnytsa
A szervezetnek olyan informcibiztonsg irnytsi keretrendszert s erre pl mkdsi folyamatrendszert kell kialaktania s fenntartania, amely biztostja az informcibiztonsgi stratgia sszhangjt a szervezet cljaival, ktelez s vllalt feladataival, a szervezetet veszlyeztet kockzatokkal,
tovbb a megvalstsra biztosthat forrsokkal.
Az informcibiztonsg irnytst a szervezet irnytsi rendszernek szerves rszve kell tenni,
s irnytsi mdszert (keretrendszert) kell alkalmazni.
Meg kell szerezni a szervezet vezetje (fels vezets) tmogatst az informcibiztonsgi stratgia sikeres megvalstsa rdekben.
Az informcibiztonsgi stratgit a szervezet stratgijbl (ktelez feladataibl) levezethet
clokhoz illeszkedve kell kialaktani.
Az informcibiztonsgi stratgia megvalstst folyamatos informcibiztonsgi programknt
kell vgrehajtani.
Informcibiztonsg irnytst s menedzselst szt kell vlasztani.
104
Az informcibiztonsgi beruhzsokrl szl dntst tmassza al rszletes megtrls vizsglat (business case).
Az informcibiztonsgra hatssal lev kls s bels tnyezket rendszeresen azonostani s
rtkelni kell.
Meg kell hatrozni a szervezet minden szintjn az informcibiztonsgrt val felelssgeket,
szerepeket a fels vezetstl a beosztott munkavllalk szintjig.
Olyan visszamrsi mutatszmrendszert kell kialaktani, amely biztostja a kockzatok feltrst
(KRI) az elrehalads mrtknek meghatrozst (KPI), s a clok elrst (KGI), ezltal eredmnyesen biztostva az informcibiztonsgi stratgia elrst, s a szervezet ktelez s vllalt
feladatainak vgrehajtst.
Informcis kockzatkezels s megfelels az elrsoknak

Az informcis rendszereket veszlyeztet kockzatokat olyan mdon kell kezelni, hogy azt a jogszablyok ltal elrt s a szervezet vezetje ltal elfogadott szinten tartsuk.
Az informcis vagyonelemek rtkelsre s biztonsgi osztlyba sorolsra folyamatokat kell
kialaktani, azrt, hogy a vagyonelemeknek az rtkknek megfelel vdelmet biztostsuk.
Meg kell hatrozni az informcis rendszerekkel kapcsolatos sszes elvrst (jogszablyi, hatsgi, tulajdonosi, szerzdses s ms kvetelmnyek), ezrt hogy a kvetelmnyek nem teljestsnek kockzatt kezelhessk.
Rendszeresen el kell vgezni a srlkenysgek, fenyegetsek felmrst az informcit fenyeget
kockzatok azonostsa rdekben.
A kockzatvllalsi szintnek megfelel kockzatkezelsi intzkedseket kell alkalmazni.
rtkelni kell az informcibiztonsgi kontrollokat, hogy megfelelek-e a kockzatok cskkentsre, s tnylegesen megfelelen mkdnek-e.
A jelenlegi kockzati szint s az elvrt kockzati szint kztti klnbsget meg kell hatrozni.
Az informcibiztonsgi kockzatok kezelsnek tevkenysgeit be kell pteni a szervezet minden mkdsi folyamatba annak rdekben, hogy egysges legyen a kockzatok kezelse.
Folyamatosan figyelemmel kell ksrni a kockzatoknak, s a kockzatok mrtknek a vltozst,
hogy megfelelen kezelhessk ket.
A szervezet megfelel szintjn lv vezetket tjkoztatni kell a kockzatok vltozsrl, s a
kvetelmnyek esetleges srlsrl azrt, hogy megalapozott dntseket hozhassanak.
105
Informcibiztonsgi program kidolgozsa s megvalstsa

Az informcibiztonsgi programot az informcibiztonsgi stratgival sszhangban kell kialaktani
s megvalstani.
Biztostani kell az informcibiztonsgi program informcibiztonsgi stratgival val
sszhangjt.
Az integrltsg nvelse rdekben a szervezet alap- s mkdsi folyamataihoz illeszkedve kell
az informcibiztonsgi programot megvalstani.
Az informcibiztonsgi program vgrehajtshoz szksges bels s kls erforrsokat azonostani, rendelkezsre llsokat pedig biztostani s menedzselni kell. Az informcibiztonsgi
program vgrehajtsnak megfelel informcibiztonsgi architektrt (emberek, folyamatok,
mszaki megoldsok) ki kell alaktani s fenn kell tartani.
A szervezet informcibiztonsgi szabvnyait, eljrsait, tmutatit s ms, vonatkoz dokumentumokat az informcibiztonsgi politiknak megfelelen kell kialaktani, kommuniklni s
karbantartani.
A biztonsgos krnyezet, s a tnylegesen biztonsgtudatos szervezeti kultra elsegtsre
informcibiztonsg-tudatostsi programot s kpzsi rendszert kell kialaktani s fenntartani.
A szervezet alapvet biztonsgi szintjnek fenntartsa rdekben az informcibiztonsgbl
fakad kvetelmnyeket bele kell pteni a szervezet folyamataiba (pl.: vltoztatsok felgyelete,
katasztrfa helyrellts, stb.).
A szervezet alapvet biztonsgi szintjnek fenntartsa rdekben a harmadik felekkel (pl. informatikai szolgltat, takart cg) ktend szerzdsekbe be kell pteni az informcibiztonsgi
kvetelmnyeket.
Az informcibiztonsgi program eredmnyessgnek s hatkonysgnak rtkels rdekben
meg kell teremteni a program vgrehajtsnak feltteleit s ki kell dolgozni a mkdst mr
mutatszm rendszert. A mutatszmok alakulst figyelemmel kell ksrni, s a vezets szmra idszakonknt jelentseket kell kszteni.
Informcibiztonsgi rendkvli esemnykezels

A szervezetet r krok cskkentse rdekben meg kell tervezni, megvalstani s menedzselni
az informcibiztonsgi esemnyek azonostsnak, kivizsglsnak, rjuk val reaglsnak s a
helyrelltsuknak a kpessgt.
A rendkvli informcibiztonsgi esemnyekre val reagls akcitervt ki kell alaktani s
karban kell tartani azrt, hogy minden esemnyre eredmnyesen s idben legyen kpes
reaglni a szervezet.
106
A rendkvli informcibiztonsgi esemnyek kezelsnek folyamatt ki kell alaktani azrt, hogy

idben azonosthatak legyenek.
Ki kell alaktani s karban kell tartani a rendkvli informcibiztonsgi esemnyek kivizsglsnak s jegyzknyvezsnek folyamatt azrt, hogy megfelel vlaszt adhassunk az esemnyekre,
valamint minden esetben meg kell hatrozni az esemnyek okt a jogi, hatsgi s szervezeti
kvetelmnyek szerint.
Ki kell alaktani s karban kell tartani a rendkvli esemnyekrl val tjkoztats rendszert s
azok eszkallsnak a folyamatt azrt, hogy a rendkvli esemnyekre adott vlaszok meghatrozsba s vgrehajtatsba az rintetteket a szervezet be tudja vonni.
Meg kell szervezni, ki kell kpezni s fel kell szerelni a rendkvli informcibiztonsgi esemnyekre idben s eredmnyesen reaglni kpes csapatot.
Idszakonknt tesztelni kell, s fell kell vizsglni a rendkvli esemnykezelsi tervet azrt, hogy
az informcibiztonsgi rendkvli esemnyekre eredmnyes vlaszt adhassunk s javtsuk a
reaglsi kpessget.
Ki kell dolgozni s karban kell tartani a kommunikcis tervet s folyamatot azrt, hogy a bels
s kls rintettekkel val kommunikcit kzben tudjuk tartani.
A rendkvli esemnyek elhrtst kveten fellvizsglatot kell tartani;meg kel hatrozni az
informcibiztonsgi rendkvli esemnyek gykr okt, a helyesbt intzkedseket, jra fel kell
mrni a kockzatokat, jra kell rtkelni az elhrts eredmnyessgt s, ha szksges, megfelel helyesbt intzkedseket kell hozni.
Ki kell alaktani s karban kell tartani a rendkvli esemnykezelsi tervek, a katasztrfa elhrtsi tervek, s
az zletfolytonossgi tervek integrcijt.
A kvetkez oldalakon a fels vezeti elktelezettsg fontos elemeit mutatjuk be s kvnunk gyakorlati tancsokat adni annak eredmnyes megvalstsa rdekben.
Szemlyes pldamutats
A felsvezetk tudatos elktelezettsge fontos kezdete a biztonsgtudatos vllalati kultra kialaktsnak, ugyanakkor ez csak a kezdet. Fel kell figyelnie a vezetknek arra, hogy a biztonsggal kapcsolatos
tevkenysgeiket krltekinten vgezzk.
Tbb olyan rossz gyakorlat, vezeti szoks van, amely htrltatja a biztonsgi kultra fejldst:
Ha egy problmt figyelmen kvl hagyunk, attl nem oldjuk meg. Knnyen lehet, hogy sokkal
nagyobb krt okozva fog ismt felmerlni!
Ha tzolts jelleggel, rvidtv megoldsokkal kezelnk problmkat, akkor jra
felbukkanhatnak!
107
Ha gy gondoljuk, hogy mindenki elengedi a fle mellett, ha vletlenl a szervezetnkrl nyilvnossgra kerl egy biztonsgi esemny, akkor tvednk! Npszer sajthr lesz belle!
Ha egyszeri alkalommal ruhzunk be a biztonsg rdekben, de sprolunk a karbantartson s a
mkdtetsen, akkor nem biztostjuk a biztonsg fenntartst!
Ha azt gondoljuk azrt mert a biztonsgi rendszer egy elemt, pldul a tzfalat egy nagyobb
sszegrt rendbe raktuk, akkor biztonsgos a rendszer, tvton jrunk. Az jabb tmadsok
vgan keresztlmennek a tzfalakon legitim forgalomnak lczva magukat. A rendszer egyen
szilrd vdelmre kell trekednnk!
Ha a szervezet vdelmnek kialaktsa sorn a fizikai biztonsgot tartjuk eltrben, akkor nem
ismerjk fel a szervezet mkdsnek prioritsait! Sokkal jelentsebb lehet a gyenge informcibiztonsgi szablyok kvetkezmnye!
Ha nvleg jelljk csak ki az informcibiztonsgi felelst, de nem biztostjuk a folyamatos kpzst szmra, vagy biztostjuk a feladat vgrehajtshoz szksges kapacitst, akkor nem tudjuk
a kell mrtkben kzben tartani a biztonsgi kockzatokat!
sszessgben, ha nem foglalkozunk a biztonsggal, ha kampnyszeren vesznk egy biztonsgi
eszkz, vagy ha gy tesznk, mintha foglalkoznnk vele, de nem sznjuk r a szksges kapacitst
s anyagi forrsokat, akkor nem jrunk el kell gondossggal, s a vonatkoz jogszablyoknak sem
felelnk meg az elektronikus informcibiztonsg, a bels kontroll rendszer kialaktsa vagy pldul
a ltfontossg infrastruktra elemek vdelme tekintetben.
Tjkoztats, bels szervezeti kultra fejlesztse

A biztonsg tudatossg nvelse irnyba tett lpseket stratgiai befektetsnek kell tekintennk. Az
emberi tzfal, vagyis a munkatrsak tudatos viselkedse az, amelynek kialaktsa s folyamatos fejlesztse a legfontosabb, legjobban megtrl befektets. Minden rintett csoportnak sajt tevkenysghez
kapcsoldan fel kell hvni a figyelmt a jellemz biztonsgi kockzatokra, s kezelsk j gyakorlataira.
A kpzs rendszert az elvrt elsajttand kszsgek, valamint a szmonkrs szintjn clcsoportonknt definilni kell, s az ehhez szksges erforrsokat a szervezetnek folyamatosan biztostania kell
dolgozi szmra. Ez azt jelenti, hogy egy ltalnos felkszts mellett az informatikai szakembereket
az informatikai zemeltetsi s fejlesztsi biztonsgi kockzatokra kell felkszteni, a gazdasgi terlet dolgozinak pldul a beszmol ksztshez kapcsold biztonsgi kockzatokra kell felhvni a
figyelmet. Vezetk rszre pedig j megolds gyakorlati pldkon keresztl a biztonsgra vonatkoz
ismeretek tadsa vezeti rtekezletek napirendi pontjaknt.
A bels kommunikcis csatornkon, bels hrlevlben rendszeresen fel kell hvni a kollgk figyelmt
az aktulis biztonsgi kockzatokra, s vlaszt is kell adni arra, hogyan reagljon a kollga, ha ilyen
108
helyzetbe kerl. A legjelentsebb kockzatokra kln figyelemfelkelt posztereket kszttethetnk, s

a bels hlzaton tjkoztatst tehetnk kzz. Az egyik legnpszerbb biztonsgtudatossgi mdszer a tjkoztatsra pl krdv volt, amely sikeres megvlaszoli kztt kisebb nyeremnyeket (pl.
toll, egraltt) sorsoltak ki.
A biztonsgtudatossgi oktats eredmnyessgnek f sikertnyezje, hogy a hallgatk szmra relevns, rdekes s informciban gazdag legyen, s megfelel legyen a motivci a kpzsen val
rszvtelre s az ismeretanyag elsajttsra. ltalban olyan vizsgt clszer a rsztvevk szmra
elrni, amely mgtt olyan krdsadatbzis van, amelybl vletlenszeren teszi fel a rendszer a krdseket. Szintn segti a tuds bevsdst, ha a munkatrsak tisztban vannak vele, hogy a szablyok megsrtsnek kvetkezmnye (szankci), esetleg a betartsnak elnye (bnusz) van.
A szervezetek biztonsgi szintjt tbbfle modell szerint lehet rtkelni, jelen tjkoztat cljnak
leginkbb a CMM12 szerinti rettsgi modell felel meg:
rettsgi szint
0
nem ltez
kezdeti / ad-hoc
ismtld
2
szablyozott
3
menedzselt
4
optimalizlt
kpessg
eredmny
a kpessg hinyzik
a szervezet felismerte
a biztonsgi kultra
fontossgt, de nem
tudatosan kszti fel a
munkatrsakat
a szervezet vezetse
elvrja a biztonsgi
kultra kialaktst,
de nem trekszenek
tervszeren r.
a szervezet ltrehozta
a biztonsgi kultra
fejlesztsi programot,
de korltozottak a
megvalsts eszkzei
eredmnyes a program
megvalstsa,
tudatosan rszt vesznek
benne a felhasznlk
a biztonsgi kultra
fejlett, thatja a
szervezetet, s a kultra
fejlesztse beplt a
szervezet folyamataiba
megindult a biztonsgi
kultra fejlesztse
trekszenek a
jogszablyi megfelelsre
jogszablyoknak
megfelels valszn
szablyok szerint
folyamatosan megfelel
szinten menedzselt
mutatszm rendszer
segtsgvel irnytott s
fejlesztett
12
Capability Maturity Model (Kpessg-rettsg modell) A modellben t fokozat tallhat, amely alapjn kirtkelhet egy szervezet
fejlettsge a szabvnyos folyamatok kifejlesztse s kvetse tekintetben.
109
Az alapelveket figyelembe vev, a szksges biztonsgi szint elsegtst szolgl szervezeti biztonsgi kultrt az albbi felsorols szerint clszer megvalstani.: A Vasvri Gyrgy ltal javasolt, jelen
dokumentum bevezet rszben ismertetett, egyni s szervezeti kultra jellemzk meghatrozsa
segthet szemlyre szabni a fejlesztsi programot.
1. A szemlyisgjegyek feltrsa: az egynek s a szervezetek szemlyisgjegyeinek azonostsa trtnhet krdvek kitltsvel, illetve szemlyes beszlgetsek tjn. Amennyiben nem anonim
mdszert alkalmazunk, szksges a munkatrsak hozzjrulsa a szemlyes adatok kezelshez.
2. A szemlyisgjegyek rtkelse: az egynek szemlyisgjegyeinek azonostsa a szervezet szmra legkedvezbb szemlyisgjegyek figyelembe vtelvel trtnhet, ennek fggvnye lehet a
szemlyi sszettel mdostsa, s a szervezetfejleszts meghatrozsa.
3. A teendk megllaptsa:az egynek tpusjegyeinek fejlesztse a szervet szmra legkedvezbb
sszettel elrse rdekben, clirnyos terv alapjn.
A kockzatkezels
Tkletes biztonsgot akkor tudunk elrni, ha beszntetjk az sszes tevkenysg vgzst, azaz
nem csinlunk semmit. Belthat, hogy ez ritkn vlaszthat megolds. Azonban a veszlyek s
lehetsgek ismeretben eredmnyesen kezelhetjk a tevkenysgek vgzsbl fakad kockzatokat
a szksges kontrollok kialaktsval, s mkdtetsvel. A bels kontroll rendszer kialaktsa sorn
klnfle vdelmi intzkedsek kombincijaknt alaktjk ki a biztonsgi szakemberek azt a kontroll
rendszert, amely a fels vezets ltal felvllalt kockzat vllalsi szintnek megfelel vdelmet biztostja a szervezet szmra.
Kontroll alatt az ellenrzsi szakma (COBIT 4.113 alapjn) olyan irnyelveket, szablyzatokat, eljrsokat, mdszereket s szervezeti struktrt rt, amelyet azrt hoztak ltre, hogy sszer bizonyossgot adjanak a szervezeti clkitzsek elrsre, a nemkvnatos esemnyek megelzhetsgre,
felismerhetsgre, s helyesbthetsgre. Ez teht egy tgabb megfogalmazs, ugyanakkor fontos
korltozsokat tartalmaz: az sszer bizonyossg nem jelent teljes bizonyossgot. Annyit jelent, hogy
a bevlt mdszerekkel, s a rendelkezsre ll erforrsok felhasznlsval a kontroll kialaktst a
legjobb mdon vgeztk el. Msik korltozs, hogy a kontrollnak a szervezet clkitzseit kell szolglnia, azaz az ncl biztonsgi intzkedseknek nincs helye egy jl kontrolllt szervezetben.
13
http://www.mtaita.hu/hu/Publikaciok/ISACA_HU_COBIT_41_HUN_v13.pdf
110
Az informcibiztonsg szempontjbl kockzat alatt az adott informcis rendszer, vagy az informci fenyegetettsgnek mrtkt rtjk. A kockzat elemzs sorn fel kell trni a rendszerek gyenge
pontjai (sebezhetsg) s az azt r fenyegetseket, majd meg kell hatrozni a bekvetkezs valsznsgt s a vrhat krt.
Az informcis rendszer sebezhetsge a rendszer tervezsnek, megvalstsnak, vagy mkdsnek olyan gyengesge, amely a rendszer elleni tmads sorn kihasznlhat, s emiatt fennll a
biztonsg srlsnek lehetsge.
Az informcis rendszer szempontjbl fenyegetsnek tekintnk minden olyan krlmnyt vagy esemnyt, amely az adatok, vagy informcis rendszerek biztonsgt fenyegethetik. Ide soroljuk pldul
a szemlyektl ered tmadsokat (pl. szmtgpes betrs), s a kls behatsokat (pl. fldrengs).
A kzigazgatsi informcis rendszerek mkdsben tapasztalt tipikus biztonsgi kockzatok:
egy j rendszer a bezemelst kvet nhny hten bell tbb napra megbnul;
vezet munkatrsak adathordozi illetktelenek kezbe kerlnek a rajta lev szemlyes levelezssel, nem nyilvnos adatokkal;
a munkjban el nem ismert rendszergazda az zemeltetsi feladatok napraksz pontos dokumentlsa nlkl tvozik;
a munkatrsak thelyezsket kveten is hozzfrnek a korbbi szervezeti egysgk anyagaihoz.
Mi okozza a biztonsgi kockzatok nvekedst:

az informatikai szolgltatsoktl s az adatkapcsolat folyamatossgtl val fggs;

a szndkos krokozs megnvekedett motivcija;
a nagy informatikai beruhzst is tartalmaz projektek kudarcai;
a hardver, illetve szoftver eszkzk meghibsodsa;
a virtulis vllalatok terjedse;
az idjrs vltozsa.
Az informcibiztonsgi kockzatok kezelsnek ngy alapmdszere van:

a tevkenysgek beszntetse (kockzat megsznik);
a tevkenysg kockzataira biztosts ktse (kockzatot thrtottuk a biztostra);
a felels vezet a kockzatot megismeri s nem tart tovbbi intzkedst szksgesnek (kockzatot a szervezet felvllalta);
a felels vezet vdelmi intzkedseket (kontroll) valst meg, vagy szntet meg (kockzati
vlasz meghatrozsa s megvalstsa).
111
Akkor tekintjk jnak a vdelmi rendszert, ha egy kellen nagy idintervallumon bell ami jellemz
a szervezet tevkenysgre a kockzatok cskkentsre fordtott kltsgek (vdelem) arnyosak a
kockzat bekvetkezsbl fakad vrhat kr mrtkvel.
Megfelels az elrsoknak
Megfelels (compliance) alatt a kzigazgatsi szervezetek ktelezettsgei bemutatsnak, s a ktelezettsgteljests bemutatsnak kpessgt rtjk, amely ltal a jogszablyi, hatsgi, bels szablyozsbl fakad, illetve a szerzdses elrsokat, elvrsokat folyamatosan teljesti.
A kvetelmnyek azonostsa s a megfelels biztostsa a bels vdelmi vonalak rszt kpez bels
kontroll funkci, amely elsegti a szervezet prudens, megbzhat az elrsoknak megfelel mkdst. Feladata a megfelelsget veszlyeztet kockzatok azonostsa s kezelse.
Az elrsoknak megfelels rdekben az sszes szakterletnek egytt kell mkdnie az albbi tevkenysgek vgrehajtsban. Szervezetenknt eltr, hogy mely szakterlet irnytja, illetve vgzi
ezeket:

megfelelsgi kockzatok meghatrozsa; mrse, kontrollkrnyezet rtkelse;

megfelelsgi program tervezse s megalkotsa (fellvizsglata);
szervezet megfelelsgi tevkenysgnek figyelemmel ksrse;
felgyeleti s hatsgi kapcsolattarts;
tancsads a fels vezets szmra;
munkatrsak kpzse;
pnzmoss s csals megelzs;
sszefrhetetlensg kezelse.
Szervezetek felels irnytsa s a biztonsgirnyts

A vllalatirnyts fogalmt az OECD defincija szerint gy hatrozhatjuk meg, hogy mindazon
irnyelveknek, folyamatok s vezetsi gyakorlatoknak az sszessge, amelyek segtsgvel a trsasgok igazgat tancsa, vagy fels vezetse a trsasgot igazgatja s kontrolllja. Kiterjed a szervezetben rintettek (gyfelek, menedzsment, alkalmazottak, tulajdonosok, kormnyzat, helyi kzssg) kztti jogok s felelssgek megosztsra. Az llami tulajdon trsasgokra is alkalmazzk az
OECD ajnlsait, pldul az MNV Zrt. a Felels vllalatirnytsi ajnlsait ez alapjn ksztette el.
Ezeknek az irnytsi gyakorlatoknak rsze a mkdsi s biztonsgi kockzatkezels is.
112
Az informcibiztonsgi irnyts fogalomkre a CISM ISACA tanstvnyok megszerzshez szksges ismeretanyag rszv vlt 2004-ben. Az informatikai irnytsi s kontroll mdszertanokba
az informatika feletti irnyts gyakorlatainak szlesebb kr elterjedst, az informatikai irnyts
modelljnek beplst 2008-ban a COBIT 4.1, majd 2011-ben a COBIT 5 hozta meg, amely a hazai
informcibiztonsgi szablyozsba is beplt. Szintn tartalmazza a tmakr ismeretanyagainak
jelents rszt az ISC2 CISSP nemzetkzi vizsgja, ez szakrti szint vizsga (nem vezeti). Tovbbi
nemzetkzi vizsgk is lteznek, ezek az ltalnostl (pl. CompTIA Security+) a nagyon specilis rszterletig (pl. CISCO CCNA Security), illetve a vdelmi szakember jelleg vizsgtl a tmad szakember srlkenysg vizsgl - biztonsgi vizsgkig terjednek. A vizsgkra pl tanstvnyok mutatjk a szakmai irnti elktelezettsgek, igazoljk a szakismeretet s bizonytjk, hogy tulajdonosuk
kpes rtket teremteni a szervezet szmra.
Jelen fejezet Informcibiztonsg irnytsa alfejezetben felsoroltuk a biztonsgirnyts teendit,
alapkvetelmnyeit. Azonban sok esetben a szervezetek vezeti nem tudjk pontosan meghatrozni
szakszer tmogats, s vezeti biztonsgtudatostsi kpzsek hinyban hogy mit is rtenek
informci biztonsgi alapkvetelmnyeken. Ennek kvetkezmnyeknt gyakran mr csak akkor trtnnek lpsek, amikor mr ks. Valamilyen nem vrt rendkvli biztonsgi esemny breszti r a
vezetst arra, hogy megfelel vezeti szinten s a kockzatokkal arnyos intzkedsekkel szksges
kezelni az informcibiztonsgi kockzatokat. A jelenlegi krnyezetben, ahol a szervezet szmra
rvid tv clok kerltek leginkbb meghatrozsra, a rvid tv megtrlst felmutatni nem tud,
vagy a megtrlsket szmszersteni nem tud beruhzsok httrbe kerlnek. Ha az a krds,
hogy j informatikai szolgltatst valstsunk meg, vagy a teljes rendszer mkdsnek biztonsgt
nveljk, gyakran az elbbire esik a dnts. A biztonsgi vezetk feladata, hogy a szervezet vezetjt
dntsi helyzetbe hozzk a mkdst veszlyeztet kockzati tnyezk, s a kezelsk legmegfelelbb mdjnak tudatostsval. Ekkor hozhat felels dnts a szervezet kockzattr kpessgnek ismeretben az ltaluk felvllalt kockzat mrtkrl.
Biztonsgi szablyozsi s kontroll rendszer

Az nllan alkalmazott biztonsgi funkcik kialaktsa s fenntartsa arnytalanul drga, ugyan
akkor nem biztost hatkony vdelmet. A biztonsg kialaktst rendszer szinten kell kialaktani, azaz
az informatikai kontrollok mellett a fizikai s humn kontrollokat egyarnt alkalmazni kell, trekedve
a kontrollok egyenszilrdsgra.
A biztonsgi szablyozsi s kontroll rendszert integrlt mdon, bevlt szabvnyok s ajnlsok felhasznlsval kell megvalstani. Az gy kialaktott vdelmi rendszert informcibiztonsg irnytsi
rendszernek (IBIR) nevezzk.
113
Az informcibiztonsgi szablyozsi rendszer felptse hromszint:

1. a szervezet vezetse ltal megfogalmazott irnyelvek, magas szint elvrsok (informcibiztonsgi irnyelv / politika, IBP);
2. az informcibiztonsgi irnyelvek megvalstst meghatroz operatv szablyozs, (informcibiztonsgi szablyzat);
3. az egyes gyakorlati krdsek rszletes szablyozst tartalmaz eljrsrendek, munkautastsok,
ellenrz listk, amelyek az IBSZ rszeknt lehetnek ktelezek, vagy ajnlottak.
A kontroll rendszer megvalstsa sorn, a kockzatok ismeretben hrom alapvet kontroll tpus
kombincijt kell alkalmazni:
megelz kontroll: olyan ellenrzsi eljrs, amely megelzi, vagy korltozza egy hiba bekvetkezst, mint pldul a fizikai hozzfrs megakadlyozsa, vagy a szoftverek jogosultsgainak
korltozsa;
feltr kontroll: olyan ellenrzsi eljrs, amely lehetsg szerint mielbb feltrja a bekvetkezett
hibkat, hinyossgot, mint pldul az ellenrz sszeg a szmtsi mveleteknl;
helyesbt kontroll: olyan ellenrzsi eljrs, amely a bekvetkezett hibkat, hinyossgokat segt
megszntetni, hatsukat cskkenteni , az informatikai katasztrfa-helyrelltsi terv alapjn.
A kontroll rendszer tervezse sorn minden tevkenysgben rejl kockzatot (benne rejl kockzat)
a szervezet vezetje ltal elfogadhatnak tartott szintre kell cskkenteni.
Biztonsgi monitoring
Amikor egy j hzat felpttetnk, termszetes, hogy nem csak a funkcionlis kvetelmnyeket hatrozzuk meg, hanem elvrjuk azt is, hogy az folyamatosan karbantarthat legyen, s a szksges
vdelemmel el legyen ltva az illetktelen ltogatkkal szemben. Az informatika terletn viszont
gyakran szembeslhetnk azzal, hogy egy j szolgltats bevezetse sorn a kifejleszts s telepts
vgeztvel magunkra hagy a szllt. A hzpts analgijval lve ez azt jelenti, hogy lakhat a hz,
de egy csavarhz, vagy pajszer segtsgvel msodpercek alatt betrhetnek.
A telepts pillanatban ismert s elvrhat biztonsgi belltsok elvgzst a rendszer teleptjtl
kell elvrni, azonban nmagban ez nem nyjt sokig vdelmet. A vdelmi rendszerbe folyamatosan
be kell illeszteni az jonnan megjelen vdelmi szolgltatsokat s intzkedni kell a felmerl kockzatok kezelsrl.
ltalban a gyakorlatban a biztonsgot annak hinyval mrjk, az adott idszakban bekvetkezett
rendkvli informcibiztonsgi esemnyek szma megmutatja, hny alkalommal srlhetett a biztonsg. A feltrt bels visszalsek szma j mutat lehet az etikus s biztonsgtudatos magatarts
114
szintjnek megtlshez. Ezek a mutatk azonban nem tekinthetk objektvnek. A rendkvli esemnyek szmt befolysolja pldul, hogy milyen az ellenrzsi rendszernk megbzhatsga, azaz, ha
magas sznvonal a hlzatfelgyeleti rendszernk, akkor szrevesznk minden lnyeges biztonsgi
esemnyt, ezltal a feltrt biztonsgi esemnyek szma megn, de a biztonsg kevsb srl . Ugyancsak befolysolja a nyilvntartott biztonsgi esemnyek szmt, hogy minden esemnyt bevezetnek-e
a nyilvntartsba.
A cl az, hogy mind a rendszerek mkdst, mind a bekvetkezett biztonsgi esemnyeket figyelemmel ksrjk. Erre egyrszt a hagyomnyos rendszer- s hlzatfelgyeleti szoftverek hasznlata, msrszt a biztonsgi esemnyek elemzshez kzponti naplgyjt rendszer s naplelemzsi jelentsek
kialaktsa szksges, amely a lnyeges kockzatok szoros felgyelett teszi lehetv. A fejlett biztonsgi monitoring rsze ma mr az automatikus srlkenysg vizsgl eszkzk alkalmazsa, amelyek
segtik a rendszerek napraksz frisstst, s javaslatot tesznek a szksges vltoztatsok teleptsre.
j rendszerek bevezetsnek tervezsekor nem szabad elfelejtkezni a biztonsgi kontroll s monitoring funkcik szksgessgtl. Korszer szervezetirnytsi rendszerek (pl. SAP, ORACLE) olyan
beptett kontrollokat tartalmaznak, amelyek bizonyos felttelek esetn (pl. 10 MFt feletti tranzakci,
trzsadat vltozs) azonnali, vagy napi jelentst kldhetnek a felhasznl felettesnek. A biztonsgi, vagy ellenrzsi terlet ignyeit is kpesek ezek a rendszerek kielgteni, n. folyamatos kontroll
monitoring funkcikkal, amelyek lehetv teszik ellenrzsi szempontok minden egyes tranzakcin
val vals idej futtatst.
A tervezskor ignyelt biztonsgi funkcionalits lnyegesen olcsbban megvalsthat, mint annak
utlagos fejlesztse, vagy kiegszt funkciknt val megvalstsa.
Adatgazdai szerep, Adatok biztonsgi osztlyozsa

Egy informcis rendszer adatgazdjnak a szervezetnek azt a vezetjt, vagy a vezetje ltal felhatalmazott munkatrsat tekintjk, aki jogosult az informcis rendszerben kezelt adatok minstsre,
s biztonsgi osztlyba sorolsra.
A biztonsgi osztlyba sorols olyan rtkelsi tevkenysg, amely sorn a kockzat mrtkt az adatok rtkt, az adatok kezelsnek mdjt, krlmnyeit, a vdelem eszkzeit figyelembe vve meghatrozzk a vdelmi szintet. A kzigazgats keretn bell vdelmi szinteket az Ibtv. vgrehajtsi
rendelete hatroz meg.
Az informcis rendszerek vdelmi intzkedseit annak megfelelen kell meghatrozni, hogy azokban trolt, feldolgozott vagy kzvettett adatokat milyen biztonsgi osztlyba soroltk az adatgazdk.
115
A biztonsgi osztlyba sorols sorn meghatrozzk, hogy milyen kategriba (pl. alacsony, fokozott,
kiemelt) kerlnek bizalmassg, srtetlensg, s rendelkezsre lls szempontjbl. Ezen szempontok
aggreglsa sorn a legszigorbb kategrit kapja maga az informcis rendszer. Azaz amennyiben
bizalmassg, s srtetlensg szempontjbl alacsony kategriba soroltuk az adatokat, de a rendelkezsre lls szempontjbl kzepes kategriba kerlt, akkor a rendszert kzepes kategriba kell sorolni.
A biztonsgi osztlyba sorols sorn ugyanazon kategriba sorolt vagyonelemeket clszer hasonl
vdelemmel elltni. Az ingatlanok, s az informcis rendszerek vdelme esetn is beszlhetnk
klnbz vdelmi szintrl. A vdelmet ezek szerint biztonsgi znkra lehet osztani. gy beszlhetnk f kategria szerint nyilvnos znrl, korltozott hozzfrs, s fokozottan vdett znrl.
Esetenknt ezeken bell tovbbi kategrik kialaktsa indokolt lehet.
Folyamatos mkds biztostsa

A szervezetek folyamatos mkdsi biztonsga a szervezetek alapvet rdeke. A kzszfra szervezetei esetn ez jogszablyi ktelezettsg is.
A szervezetek mkdsfolytonossgnak biztostsra kln irnytsi rendszert kell kialaktani, ez
a mkdsfolytonossgi irnyt rendszer (BCMS), amelynek f rsze a mkdsfolytonossgi terv
(BCP). A BCMS clja a szervezet kritikus zleti folyamatainak legalbb minimlisan elvrt szinten val
fenntartsa rendkvli helyzetben is. Ezltal a szervezet mkdsi folyamataival kapcsolatos kockzatokat tervezett mdon kpes kezelni azokban az elre meghatrozott esetekben (kockzati forgatknyv), amelyekre a mkdsfolytonossgi tervek elkszltek, s a mkdtetsk feltteleit kialaktottk. A tervezs sorn feltrt szksges intzkedseket a tervek megvalsthatsgra val felkszls
szakaszban kell megvalstani. Lthat, hogy a folytonossgtervezs nem egy egyszeri tevkenysg,
alapos elksztst s felkszlst kveten, a szervezeti vltoztatsokat kvetve s a mkdshez
hasznlt krnyezet vltozsait figyelembe vve rendszeresen fell kell vizsglni, s szksg szerint
mdostani kell.
A mkdsfolytonossgi tervezs fbb lpsei:
mkdsfolytonossg irnytsi rendszer kialaktsa (szablyozs, szervezet);
mkdsi folyamatok feltrkpezse;
mkdsi folyamatok kiessnek hatsvizsglata (BIA): meg kell becslni a kiess vrhat hatst, meg kell hatrozni a folyamatok fontossgt, a helyrellts sorrendjt;
kritikus folyamatokat veszlyeztet kockzatok elemzse: jellemz kockzati forgatknyvek
bekvetkezse esetn szksges teendket el kell vgezni, megelz intzkedsek jra kell
vizsglni;
116
a mkdsfolytonossgi tervek elksztse;

a tervek mkdtetshez szksges felkszls (pl. oktats, katasztrfa-helyrelltsi tervek
[DRP]), s intzkedsek vgrehajtsa;
a tervek tesztelse;
a tervek letbe lptetse.
A mkdsfolytonossgi kezdemnyezsek fontos eleme a kritikus informatikai szolgltatsok folytonossgnak biztostsa, amelyet a szervezet informatikai rszlege, illetve informatikai szolgltatja
ltal kidolgozott s tesztelt informatikai katasztrfa-helyrelltsi tervek (DRP), s azok mkdtetst
segt folyamatok biztostjk, amelyeket a mkdsfolytonossg tervezshez szksges felkszls
keretben kell megvalstani. Fontos, hogy a rendszerek s szervezeti folyamatok vltozsait figyelembe vve mdostani kell a terveket.
A tervezs sorn clszer a KIB 25 s KIB 28 ajnlsok figyelembe vtele, s a vonatkoz ISO szabvnyok, klnsen az ISO 22301:2012 alkalmazsa.
Bels ellenrzs szerepe IT audit s tancsads

A kzszfra bels kontroll rendszert a kltsgvetsi szervek esetn a 370/2011. kormnyrendelet
hatrozza meg. A kzszfra gazdasgi trsasgai esetn is javasolt ennek az alkalmazsa, mivel
elremutat gyakorlatokat tartalmaz, s sok esetben az llami gazdasgi trsasgok bels kontroll
gyakorlata kevsb fejlett. A bels kontroll rendszerek kialaktsa sorn a vezeti ellenrzs, a folyamatokba ptett ellenrzs, s az informatikai rendszerekbe ptett ellenrzsek megfelel kivlasztsval trtnik, a szervezetre rtelmezhet kockzatok vrhat hatsnak figyelembe vtelvel.
A szervezeteknl a bels kontroll rendszerben rszt vev szervezeti funkcik feladatait pontosan meg
kell hatrozni, s kln kell vlasztani. Az informcibiztonsg szempontjbl pldul a szablyozsi feladat a Biztonsgi terlet feladatkrbe tartozik, az zemeltetsi tevkenysg az informatikai
zemeltets feladatkrbe, az zemeltets biztonsgnak felgyelete szintn a biztonsgi terlet feladata, s vgl a szablyszersg, s eredmnyessg vizsglata a bels ellenrzs feladatkrbe.
A kvetkezkben a bels ellenrzs szerept mutatjuk be az informcibiztonsg szempontjbl.
A szmtstechnika alkalmazsnak els vtizedeiben az ellenrzsi szakterlet a szmtstechnikai rendszerektl fggetlenl zajl zleti tranzakcik nyomon kvetsvel foglalkozott, f clja
az adatokkal val visszals megelzse volt. A feladat a nyolcvanas vektl kezdve folyamatosan
bvlt, mivel a tranzakcik egyre nagyobb rsze zajlik a szmtgpes rendszerekben. Megersdtt a szmtgpes rendszerekben zajl tranzakcik biztonsgnak fenntartsra vonatkoz igny
117
az adatok biztonsgnak ignye mellett. Ennek rdekben az ellenrzsek sorn a vizsglatokat

eltr mlysgben vgzik a vizsglat cljnak megfelelen:
A megfelelsgi teszt (compliance) azt vizsglja, hogy a vizsglat trgya sszhangban van-e a r
vonatkoz jogszablyokkal, szablyzatokkal, szabvnyokkal, szerzdsekkel.
A lnyegi teszt (substantive) azt vizsglja, hogy egy megadott idszakban milyen minsgben
mkdtt a kontroll rendszer. Informcis rendszerben adott tranzakcik megltre, pontossgra, minsgre, illetve teljessgre vonatkozik.
ltalban gyakoribbak s olcsbban a megfelelsgi vizsglatok, azonban ezek csak jl mkd kontroll
rendszerek esetben alkalmazhatak. Ha nem tallja az ellenrzs kielgtnek a kontroll rendszer mkdst, akkor szles kr lnyegi tesztelst kell vgezni a kockzat pontos mrtknek meghatrozsa rdekben.
Az ellenrzs mellett vgezhet a bels ellenrzs szakrti tevkenysget is abban az esetben, ha ez
nem sszefrhetetlen az ellenrzsi feladataival. ltalban szakmai vlemnyt mondhat szablyzatokrl, rendszerek kvetelmnyspecifikcijrl, vagy felmerlt biztonsgi krdsekrl. Szksg esetn kls szakrtt vonhat be, ha nem ll rendelkezsre a szaktuds, vagy a kapacitst.
Meg kell emltennk az ellenrzsi kockzat fogalmt, amely annak a kockzata, hogy egy szakszeren megtervezett s vgrehajtott informatikai rendszerellenrzs sorn egy lnyeges hinyossg
feltrsa nem trtnik meg. Ez minden ellenrzsi tevkenysg velejrja. Az oka lehet, hogy az ellenrzst a sokasg egy rszn mintavtelezssel vgeztk, nem vizsgltak meg minden elemet, illetve
a vizsglati mdszert nem megfelelen terveztk meg, vagy valstottk meg.
A szmtgppel tmogatott ellenrzsi mdszerek (CAAT) segtsgvel nvelhet az ellenrzsi
tevkenysgek hatkonysga s eredmnyessge. Ilyen eszkz pldul egy szakrti rendszer, tesztadat generl rendszer, stb.
Kiszervezs
Az elmlt vtizedben egyre tbb szervezet, intzmny szervezi ki az alaptevkenysghez szorosan
nem kapcsold tevkenysgeket ms szervezetekhez. Ezt feladat vagy erforrs kiszervezsnek,
outsourcing-nak nevezzk. Elnye, hogy a szervezetek magas sznvonal, az elvrsaiknak megfelel szolgltatst kapnak versenykpes kltsg szinten, amely sszessgben alacsonyabb, mintha
sajt maguk alaktottk volna ki, s vgeznk el a tevkenysget.
Fontos tudni, hogy a feladat kiszervezse nem jelenti a felelssg kiszervezst, az elsdleges felelssg tovbbra is a szervezet vezetjt vagy menedzsmentjt terheli, amelyet ksbb polgri peres ton
a szerzdtt cg fel is rvnyesthet.
118
Az kiszervezs lnyege, hogy bizonyos feladatokat vagy annak egy rszt tadja egy msik, erre specializldott szervezetnek, vagy vllalkozsnak. Legfontosabb elnyei:
A szolgltatsok rendelkezsre llst a szolgltat biztostja.
Az erre specializlt szervezet hatkonyabb, rugalmasabb s biztonsgosabb szolgltatst
garantlhat.
A kltsgek elre tervezhetek.
Nincs jelents kialaktsi (beruhzsi) kltsg.
Az amortizci nem terheli a szervezetet.
A munkaer felvtele, s a munkaer brkltsge nem a megrendelt terheli.
A munkatrsak kpzse, helyettestse is a szolgltat feladata.
A szolgltat rdekelt a korszer mszaki megoldsok megvalstsban.
A kontroll rendszerrel szemben tmasztott elvrsokat a szervezet harmadik fllel kttt szerzdseibe is be kell pteni; gy klnsen informatikai szolgltats ignybevtele esetn el kell rni a szolgltatsi szerzds, vagy szolgltatsi szint megllapods rszeknt az ltalnos (pl. rendelkezsre
lls) s specilis (pl. kommunikcis csatornk titkostsnak mdja) biztonsgi kvetelmnyeket,
azok mrsnek mdszert, gyakorisgt, s a jelentskszts mdjt.
Fel kell hvni a szolgltat figyelmt, hogy a megrendelre rvnyes jogszablyi kvetelmnyeket neki
is s az alvllalkozinak is be kell tartania. Klnsen az informatikai kiszervezsekkel kapcsolatban
fontos a szksges biztonsgi intzkedsek megtervezse s folyamatos mkdtetse (pl. naplllomnyok gyjtse s elemzse, szemlyes adatok vdelme).
A kzszfrban bizonyos informatikai szolgltatsok nyjtsa esetn mr a jogalkot lt a kiszervezs
lehetsgvel, st esetenknt (pl. Nemzeti Tvkzlsi Gerinchlzat, NTG) ktelezv is tette ilyen
szolgltatsok ignybevtelt. Ebben az esetben a szolgltatsok ignybevtelnek felttelei jellemzen szablyozottak, de fontos a szervezet specilis ignyei alapjn ttekinteni, hogy szksges-e
azok mdostsa, vagy kiegsztse.
Ha mg olvasna errl:
http://www.pszaf.hu/data/cms2151158/Kiszervezesi_palyazat_PRAUDIT_2010_04_07_v10.pdf
119
Munkagy szerepe
Az emberi tnyez
Az informatikai rendszerekben ltalban a legnagyobb kockzati tnyez az ember. Nem csak a szervezetben informatikai rendszert hasznl munkatrsak, hanem a rendszerek tervezi, megvalsti,
zemelteti, a kls szolgltatk munkatrsai, s mindazok, akik valamilyen mdon hatssal vannak
a rendszerre. A kockzat fakadhat hozz nem rtsbl, vletlen hibbl, j szndkbl, vagy krokozs cljbl.
A szemlyek ltal okozott adatveszts jellemz okai a kvetkezek:
Gondatlansg: pldul a Horvth Gergely Krisztinnak kldend levelet ugyanannl a szervezetnl egy Horvth Gergely nev msik munkatrsnak kldi valaki, annak, aki nem lenne jogosult a
levl tartalmnak megismersre.
Fokozott terhels, csaldi problmk, stressz: stressz kvetkeztben cskkenhet a koncentrlkpessgnk, s hibt vtnk egy adatrgzts sorn, vagy a trlend llomnyok helyett mst
trlnk le.
Ismerethiny: j szablyozs, vagy mdosult rendszer mkds ismeretnek hinyban hibsan
rgztnk egy parancsot, vagy nem minden bergztett adatot mentnk el.
Hibsan megtervezett folyamatok, a kontrollok hinya: ltalban j rendszerek elindulsakor
fordul el, hogy nem minden lnyeges s sszer kontrollt ptettek be a rendszerbe, pldul
adatrgztskor hagyja a rendszer, hogy hibsan rgztsk az gyfl nevt, ha azt a trzsadatokkal nem veti ssze.
Hibs rendszermkds: szmos lehetsg van a rendszerek mkdse sorn a hibra, pldul
egy lejrt tartozs ksedelmi kamatszmtsakor nem megfelel kamatlbbal szmol.
Szndkos szablyszegs: pldul jelents munkt ignyl, de kevss kontrolllt tevkenysgek
elvgzse elmaradhat, anyagi elnyrt cserbe egy felhasznl informcit adhat ki, vagy a rendszer belltsait mdosthatja.
Hinyos biztonsgtudat: gyakran a vals veszlyek fel nem ismerse vezet el egy biztonsgi
esemnyhez. Pldul egy parkolban tallt memria krtya hivatali gpbe val beolvassa krtev
szoftvert kpes a rendszerbe juttatni a felhasznl szmra szrevtlen mdon.
Tl kompliklt kezels: egy informcis rendszerben ltalban a bonyolultsggal arnyosan n
a hibk szma, pldul, ha tbb aloldalon kell az adatokat rgzteni, akkor elmaradhat az oldal
elmentse, vagy kimaradhat 1-1 lps.
Szndkos krokozs: egy konfliktus helyzet (pl. fegyelmi eljrs, msok eltti megalzs) kvetkeztben az elgedetlen munkatr, a megfelel jogosultsgok, vagy a helyzet adta lehetsgek
kihasznlsval jelents krt kpes okozni.
120
Mindezek felhvjk a figyelmet arra, hogy a munkagy, vagy ms nven a humn erforrs kezelsi
szakterlet munkja nem elhanyagolhat rsze az informcibiztonsgnak. A munkatrsak megfelel kivlasztsa, felksztse, motivlsa, s szankcionlsa ezen okokat j esllyel kpes megelzni,
illetve a hatst cskkenteni.
Alkalmazst megelz tvilgts

A munkagyi funkci s a vezetk felelssge, hogy a felvteli eljrs sorn egy pozcira ne alkalmazzanak olyan munkatrsat, akinek dominns szemlyisgjegyei a munkakrtl elvrt kpessgekre
nem igazn teszik alkalmass. A biztonsg megvalstsa szempontjbl ez is megelz intzkeds.
A munkagyi s a biztonsgi szakterletek kzs feladata meggyzdni a jellt korbbi tevkenysgrl, eredmnyeirl. Ennek mlysge eltr, ltalban az adott pozci jelentsgvel arnyos. Beosztotti, kevs felelssggel jr munkakrben elg lehet erklcsi bizonytvnyt krni s elbeszlgetni a
jellttel, kvetkez lps lehet pldul referencia levelet krni korbbi vezetitl, s felhvni a referencit ad vezett, hogy megerstse a levlben lertakat.
A kzigazgatsban nemzetbiztonsgi tvilgtst kvetel meg a trvnyhoz a fontos beosztsban dolgoz munkatrsaktl. Ezen a krn kvl fels vezeti, vagy fokozott kockzattal jr pozcikban akr
magnnyomozi tvilgtst is vgeztetnek azrt, hogy a legmegfelelbb jelltet vlasszk az adott
pozcira, extrm esetben elfordulhat a hazugsgvizsglattal egybekttt felvteli beszlgets is.
Felelssgek sztvlasztsa s egyb humn kockzat cskkentsi mdszerek

Az emberi tnyez okozta kockzatok cskkentsnek viszonylag egyszeren kivitelezhet mdszere
az, hogy a feladatok szervezsvel, s kontroll pontok beptsvel cskkentjk az egy szemly tevkenysgbl fakad kockzatok mrtkt.
A ngy szem elvnek alkalmazsa azt jelenti, hogy az informcis rendszerben a magasabb kockzat
tevkenysgeket egyetlen felhasznl nem tudja vgigvinni . Adott esetben rgztheti az adatokat, elksztheti a tranzakcit, de a vgrehajtshoz egy msik felhasznl (pl. az osztlyvezet) jvhagysa
szksges.
Az sszefrhetetlen tevkenysgek meghatrozsa s megszntetse segtsgvel szintn megelzhetjk a krokozst. Pldnak okrt, ha a pnzgyi terleten a pnztros munkatrsnak utalvnyozsi joga is van, akkor a kt tevkenysg kontroll nlkl sszefrhetetlen.
121
Fokozott kockzat terleten elterjedt megolds a ktelez szabadsg elrendelse. Kt ht szabadsg

elg hossz id arra, hogy kiderljn, mennyire kpes helyettesteni a szervezet az adott munkatrsat
(kulcsember kockzat), illetve ha visszalt valamivel, akkor vrhatan ennyi id az esemny feltrhat.
Ha a szervezet ltszma nem teszi lehetv a feladatok teljes kr sztvlasztst, akkor kiegszt
kontrollokkal cskkenthet a kockzat mrtke. A tevkenysgek kell rszletessggel val dokumentlsa segti az ellenrzst. Ha a tevkenysgeket az informcis rendszerek nem mdosthat
mdon naplzzk, akkor teljes bizonyossgot szerezhetnk a naplban szerepl esemnyekrl.
Biztonsgtudatos viselkedst elismer motivcis rendszer

A biztonsgi kultra megteremtse a vezeti pldamutatson mlik leginkbb. Ennek rsze az, hogy
milyen mdon kpes a vezets ersteni a biztonsgtudatos magatartst.
Gyakori krds s biztonsgi kockzat a szmtgphez val hozzfrs megakadlyozsa. Mszaki
megoldsokkal termszetesen automatikuss lehet tenni a kperny lezrst, azonban itt is fontos,
hogy a munkavgzst ne akadlyozzuk, ezrt ltalban 10 percre szoktk lltani, s a felhasznlkra
bzzk, hogy amikor elhagynk a munkahelyket, akkor zrjk le a kpernyt. Ez sokszor nem trtnik
meg. Az adott munkatrs szmtgpes jogosultsgaitl fggen akr nagy kockzatot is jelenthet:
gyflszolglaton, vagy pnzgyi terleten dolgoz munkatrs rzkeny s szemlyes adatokhoz fr
hozz, ezrt itt fokozottan be kell tartatni az alapvet informcibiztonsgi lpseket is.
Egy nagy informatikai szolgltat vllalat biztonsgi vezetse pldul bevezette azoknak a jutalmazst, akik feltrjk a biztonsgot veszlyeztet viselkedst, illetve ms kockzatokat. Ezt nem az 1950es vek besg rendszereknt kell elkpzelni, hanem olyan gyakorlati megoldsknt rtkelni, amely
jtkos, egyben jelents szbeszdet keltett a szervezetben, gy a kollgk gyorsan elsajttottk a
biztonsgi lpseket. Egy nagyobb informatikai rszlegben pldul aki anlkl hagyta ott a kzs irodateret, hogy jelszval vdte a szmtgpe kpernyjt, annak a nevben brki kldhetett egy elektronikus levelet egy kzponti cmre, s ezltal jogosultt vlik arra, hogy a hibt elkvet munkatrs
egy Tr Rudival ajndkozza meg. Rvid id alatt beplt kollegk rutinjba a kpernyk zrolsa,
ha fellltak az asztaltl.
Kisebb szervezetnk trtnt meg, hogy az egyik biztonsgtudatos kollega gy hvta fel munkatrsai
figyelmt, hogy a lezratlan gpeken megnyitotta a rajzol programot s egy hallfej jelet rajzolt a
kperny kzepre. Ez is elgg mly benyomst okozott a munkatrsaknak, s segtett szmukra
tudatostani a kpernyk jelszval val vdelmnek szksgessgt.
122
Biztonsgot veszlyeztet tevkenysgek kvetkezetes szankcionls

Kzvetve a nagy szolgltat vllalatok lte fgg attl, hogy kpesek-e az gyfeleik bizalmt megszerezni s megtartani. A bizalom fontos sszetevje a biztonsg kvnatos szintjnek fenntartsa. Jogosan vrhatja el egy gyfl, hogy a szervezet s annak munkatrsai rzkeny s szemlyes adatait csak
az arra jogosult munkatrsak, s csak a munkavgzskhz szksges mrtkben ismerik meg. A
bizalmat alapveten shatja al, a fenti pldnl maradva, ha a munkatrsak a szmtgpk kpernyjt nem zrjk le, vagy a felhasznlnevket tadjk msnak, esetleg az rasztalukon rzkeny
informcikat trolnak.
Alapveten a pozitv motivci, azaz a helyes viselkeds jutalmazsa humnusabb s eredmnyesebb
mdszer. Mgis, a pozitv motivci sem hatkony, ha nincs szankcionlsa a jelents kockzatot
jelent szablysrt viselkedsnek. Kisebb szankci lehet a szablyt megsrt munkatrssal val fels
vezeti elbeszlgets, vagy tovbbkpzsre kldse. Tovbbi lehetsgeket a Munka trvnyknyve
tartalmaz. Gyakorlatban a szbeli figyelmeztets, rsbeli figyelmeztets, visszaminsts / lefokozs
/ thelyezs, illetve a felmonds jhet mg szba, ebben a sorrendben.
Az egyik szervezet gyakorlata, ahol kiemelt fontossg a biztonsg, egy szablyozott szankcionlsi
folyamat, amelyet a humn szakterlet folytat le: hrom rsos figyelmeztetst adnak a bels szablyokat megsrt munkatrsaknak s ezt kveten a munkatrsakat elbocstjk, ha ismt szablyt
srtenek.
123
KIF
Jogszablyok
ELEKTRONIKUS INFORMCIBIZTONSGOT RINT FONTOSABB

JOGSZABLYOK A KZSZFRBAN (2013.06.30-n hatlyos)
Mellklet
124
A kzszfra jelents rsze szmra ktelez a kltsgvetsi szervek bels kontrollrendszerrl s

bels ellenrzsrl szl 370/2011. (XII. 31.) Korm. rendelet (tovbbiakban: Bkr.), valamint ezek
alapjn az llamhztartsrl szl, tbbszr mdostott 1992. vi XXXVIII. trvny (a tovbbiakban:
ht.), az llamhztarts mkdsi rendjrl szl, tbbszr mdostott 292/2009. (XII.19.) Korm.
rendelet (a tovbbiakban: mr.), elrsainak megfelelen, mint a kzpnzek felhasznlsban, az
llami vagyon kezelsben rsztvev szervezet kteles bels ellenrzsi rendszert mkdtetni abbl
a clbl, hogy a szervezet vezetje szmra bizonyossgot nyjtson az ltala kiptett s mkdtetett
bels kontrollrendszerek megfelelsgt illeten.
Az adatkezelkre vonatkozan szmos jogszably tartalmaz elrsokat. Az llami s nkormnyzati
szervezetek esetben 2013 hozta meg az ttrst a rszletes szablyozsban:
Magyarorszg Kiberbiztonsgi Stratgija rgzti, hogy az elsdleges cl a kibertrben jelentkez
s a kibertrbl rkez fenyegetsek s az ezzel jr kockzatok kezelse, az ehhez szksges
kormnyzati koordinci s eszkztr erstse a megelzsre pl hatkony vdelmi intzkedseken keresztl.
Az llami s nkormnyzati szervek elektronikus informcibiztonsgrl szl 2013. vi L. trvnyre (tovbbiakban: Ibtv.) s vgrehajtsi rendeleteire (tovbbiakban: Vhr.) azon szervezetek is
pthetik az informcibiztonsgi kezdemnyezseiket, akikre nzve ez a szablyozs nem ktelez. Az Ibtv. hatlya al nem es szervezetek hasznlhatnak nemzetkzi s hazai szabvnyokat,
ajnlsokat is. A minstett adatok kezelst a 2009. vi CLV. trvny szablyozza, amely fokozottan megkveteli az informatikai rendszerekben kezelt minstett adatok vdelmt.
A minstett adatok kezelst a 2009. vi CLV. trvny szablyozza. Az informatikai rendszerekben
kezelt minstett adatok vdelmt fokozottan megkveteli.
Az adatok kezelsnek, gyjtsnek, tovbbtsnak jogszablyi alapjait az informcis nrendelkezsi jogrl s az informciszabadsgrl szl 2011. vi CXII. trvny fekteti le.
309/2011. (XII.23.) Kormnyrendelet a kzpontostott informatikai s elektronikus hrkzlsi szolgltatsokra vonatkozan hatroz meg kzponti kontroll feladatokat.
A ltfontossg rendszerek s ltestmnyek azonostsrl, kijellsrl s vdelmrl szl
2012. vi CLXVI. trvny a kritikus infrastruktra vdelmnek alapvet szablyozsa. A kapcsold kormnyrendeletekkel egytt az infrastruktra elemek kijellst, vdelmnek szablyait
s hatsgi ellenrzst tartalmazza. A kzszfra gazdasgi trsasgaira tovbbi jogszablyok
vonatkoznak:
125
A gazdasgi trsasgokrl szl 2006. vi IV. trvny;

A cgnyilvnossgrl, a brsgi cgeljrsrl s a vgelszmolsrl szl 2006. vi V. trvny;
Az llami vagyonrl szl 2007. vi CVI. trvny nevesti az llami adatvagyon vdelmt;
A kztulajdonban ll gazdasgi trsasgok takarkosabb mkdsrl szl 2009. vi CXXII. trvny;
A szmvitelrl szl 2000. vi C. trvny.
126
KIF
Tovbbi informcik
Tovbbi hazai s nemzetkzi forrsok a biztonsg

tudatosts tmakrben
Mellklet
127
Nemzetkzi szervezetek, mdszertanok, tmutatk rvid ismertetse s a kapcsold hivatkozsok:

Eurpai Hlzatbiztonsgi gynksg (ENISA) URL: http://www.enisa.org
Gazdasgi Egyttmkdsi s Fejlesztsi Szervezet (OECD), informcibiztonsgi bizottsg,
URL: http://www.oecd.org/internet/ieconomy/informationsecurityandprivacy.htm
SANS biztonsg tudatost honlap, URL: https://www.securingthehuman.org/ouch
Az llami Szmvevszk informatikai ellenrzsi mdszertana (2004):
SZ Mdszertan az informatikai rendszerek kontrolljainak ellenrzshez, alapveten a szmtgpes rendszerekben trolt s kezelt adatok megbzhatsgt, srtetlensgt s rendelkezsre llst
vizsglja azok pnzgyi beszmolra gyakorolt hatsnak szempontjbl.
ITB - KIB KIETB ajnlsok (2008, 2009)
KIB 25 - MIBA (Magyar Informatika Biztonsgi Ajnlsok, 2008)
A Magyar Informatikai Biztonsgi Ajnls (MIBA) a Kzigazgatsi Informatikai Bizottsg 25. szm
ajnlssorozata, amely az Informatikai Trcakzi Bizottsg korbbi 8, 12 s 16 szm ajnlsait vltja
ki. Az ajnlsok a 2008-ban hatlyos (s azta tbbszr lnyegesen megvltozott) elektronikus kzigazgatsra vonatkoz kvetelmnyrendszert kvettk amelyek a nemzetkzi bevlt gyakorlatok honostsa sorn a magyar kzszfra korltait is figyelembe vettk.
Az ajnlsok hatkre az ltalnos cl rzkeny informcik, s zleti titkok vdelme. Nem terjed
ki a hazai, vagy klfldi minstett adatot feldolgoz informatikai rendszerekre,ezekre kln jogszablyok vonatkoznak, amelyek elrjk a vonatkoz kvetelmnyeket, s felelssgeket. Az ajnlsok
szablyzatok, eljrsrendek, s a kapcsold dokumentcik elksztst teszik lehetv, s az rtkels- illetve tansts is elvgezhet ezek alapjn.
MIBA nemzetkzi szabvnyokon alapul tbbek kztt az MSZ ISO/IEC 27001, MSZ ISO/IEC 27002,
amely a Common Criteria fontosabb elemeit is tartalmazza, felptse a PDCA elvet kveti. Alkalmazst gyakorlati tmutat is segti.
A MIBIK a biztonsgi politikbl s kockzatelemzsbl kiindulva segt megfogalmazni az informatikai termkekkel, szolgltatsokkal szemben tmasztott biztonsgi kvetelmnyeket, amelyet fel lehet
hasznlni a MIBTS ktet ltal definilt biztonsgi elirnyzat biztonsgi s garancilis elvrsai
megfogalmazsnl.
Az ajnlsok egyttes alkalmazsval, a szervezet sajtossgait is figyelembe vve rhet el a kvnt
biztonsg. Adott esetben egy termkbl hinyz biztonsgi funkcit kiegszt termkkel, vagy egy
szablyozsi intzkedssel ptolva rhetjk el a megfelel megoldst.
128
Az IBIV egy MSZ ISO/IEC 27001:2005 szabvny szerinti megfelelst bizonyt tanstvny megszerzsre val felkszls alapja lehet, ami ltal cskkenthet a kls felkszttl ignybe veend szksges kapacits, felkszlt bels szakemberek rendelkezsre llsa esetn.
URL: http://www.ekk.gov.hu/hu/kib/ajanlasok
KIB 28 E-Kzigazgatsi Keretrendszer
Az E-Kzigazgatsi Keretrendszer projekt eredmnyeknt llt el szintn 2008-ban a KIB 28. szm
ajnlsa, amely az elektronikus kzigazgats fejlesztshez szksges teljes eszkztrat tartalmazza,
azaz az informatikai biztonsgi kvetelmnyeken tlmenen a funkcionlis s a mdszertani kvetelmnyeket egyarnt. Az eszkztr kidolgozsa sorn kiemelt cl volt, hogy az nllan megvalsul
szakgazati s nkormnyzati rendszerek kztt az egyttmkds (interoperabilits) kpessge biztostott legyen.
URL: http://www.ekk.gov.hu/hu/kib/ajanlasok
A Pnzgyi Szervezetek llami Felgyelete is tbb ajnlst s mdszertani tmutatt dolgozott ki az
informatikai rendszerekkel kapcsolatban:

10/2001. szm ajnls a pnzgyi szervezetek mkdsnek biztonsgi feltteleirl;
2/2003. szm ajnls a hitelintzetek, a befektetsi szolgltatk, az rutzsdei szolgltatk s a

biztostk adatkezelsi szablyairl;
7/2011. szm mdszertani tmutat az internetbanki szolgltatsok biztonsgrl;

6/2013. (III. 11.) szm ajnls a bels vdelmi vonalak kialaktsrl s mkdtetsrl, a pnzgyi szervezetek irnytsi s kontroll funkciirl.
129
KIF
Hogyan mondjuk magyarul
Angol-magyar elektronikus informcibiztonsgi kissztr

A dokumentumban tallhat szakszavak, s a rvidtsek jegyzke s
magyarzata
Mellklet
130
Antivirus software
vrusvdelmi szoftver
Application controls
alkalmazs-kontrollok
Application security
alkalmazs-biztonsg
Assurance
bizonyossgnyjts
Awareness
Computer emergency Hlzatbiztonsgi

response team
Kzpont (CERT)
(CERT)
tudatossg
Computer-assisted
audit technique
(CAAT)
szmtgppel tmogatott ellenrzsi

mdszerek (CAAT)
Backup
ments
Control
kontroll
Biometrics
biometria
Control risk
kontroll kockzat
Black box testing
feketedoboz tesztels
Botnet
zombihlzat
Corporate
governance
felels
vllalat-irnyts
Browser
bngsz
Corrective control
helyesbt kontroll
Brute force attack
nyersers tmads
Critical infrastructure
Business continuity
zletfolytonossg,
Ltfontossg
infrastruktra
Business impact
analysis (BIA)
zleti hatselemzs
(BIA)
Cryptography
kriptogrfia
Data classification
adatosztlyozs
Capability Maturity
Model CMM)
kpessg rettsgi
modell (CMM)
Data security
adatbiztonsg
Decryption
rejtjelfejts
Certificate
(Certification)
authority (CA)
hitelests-szolgltat (HSZ)
Denial-of-service
attack (DoS)
szolgltats-megtagadssal jr tmads (DOS)
Change management vltozskezels
Detective control
feltr kontroll
Ciphertext
rejtjelezett szveg
Digital signature
digitlis alrs
Cleartext
nylt szveg (nem

rejtjelezett)
Disaster
katasztrfa
Compensating
control
kiegszt kontroll
Disaster recovery
plan (DRP)
katasztrfaterv (DRP)
Completely
Automated Public
Touring test to tell
Computers and
Humans Apart
(CAPTCHA)
teljesen nmkd
nyilvnos Touring
teszt szmtgpek
s emberek megklnbztetsre
(CAPTCHA)
Encryption key
titkost kulcs
Enterprise risk management (ERM)
vllalati
kockzatkezels
Event
esemny
Forensic examination
trvnyszki vizsglat
Honeypot
mzesbdn
Compliance testing
megfelelsg-tesztels
Incident response
rendkvli
esemnyre adott
vlaszintzkeds
131
Information security
informcibiztonsg
Public key encryption
Internal control
environment
bels
kontrollkrnyezet
nyilvnos kulcs
titkosts
Quality
minsg
Intrusion detection
system (IDS)
behatols-szlel
rendszer (IDS)
Reputation risk
hrnevet veszlyeztet kockzat
IT risk
IT kockzat
Residual risk
maradvnykockzat
Key performance
indicator (KPI)
kulcsfontossg
teljestmnymutat
Risk factor
kockzati tnyez
Risk tolerance
kockzattrs
Log
naplllomny
Root cause analysis
gykrok-elemzs
Malware
rosszindulat
programkd
Security incident
Man-in-the-middle
attack
kzbekeldses
tmads
biztonsgi rendkvli
esemny (biztonsgi
incidens)
Sign-on procedure
bejelentkezsi eljrs
Maturity model
rettsgi modell
Social engineering
megtveszts
Outsourcing
kiszervezs
Spyware
kmprogram
Password
jelsz
Substantive testing
lnyegi tesztels
Password cracker
jelsztr (program)
Telecommunications
tvkzls
Penetration testing
behatols-tesztels
Token
hitelest eszkz
Total cost of
ownership (TCO)
tulajdonls teljes
kltsge (TCO)
Trojan horse
trjai fal
Personal
szemlyes azonost
identification number kd (PIN)
(PIN)
Phishing
adathalszat
Policy
irnyelv
Two-factor
authentication
ktfaktoros
hitelests
Preventive control
megelz kontroll
Validity check
Procedure
eljrs
rvnyessgi
ellenrzs
Process
folyamat
Public key
nyilvnos kulcs
Virtual private
network (VPN)
virtulis magnhlzat (VPN)
Vulnerability
sebezhetsg
132
Rvidtsek jegyzke
BCMS business continuity management system, ISO 22301 szerinti menedzsment rendszer a folyamatos mkds (zletfolytonossg) fenntartsra,
BCP business continuity plan, A folyamatos mkds fenntartsra vonatkoz terv egy mkdsi
folyamatra vonatkozan (zletfolytonossgi terv),
BMIS Business model for information security, az ISACA holisztikus informcibiztonsg menedzsment mdszertana, mely beplt a COBIT 5 keretrendszerbe.
CAAT computer assissted audit tool, szmtgpes tmogatst biztost ellenrzsi szoftver, amelyet biztonsgi vagy ellenrzsi szakemberek hasznlnak.
CERT hlzatbiztonsgi kzpontok, amelyek f feladata a hlzatbiztonsgi incidensek kezelse,
az llami szfra vagy egyes gazatok informatikai rendszereinek hlzatbiztonsgi tmogatsa.
A CERT-ek megfelel technikai httrrel rendelkeznek ahhoz, hogy idben reagljanak s kezeljenek minden hlzatbiztonsgra s ltfontossg informcis infrastruktrra veszlyes esemnyt.
A bejelentett esemnyeket a kzpontok bizalmasan vezetik.
CIA elv Az informatikai biztonsg az informatikai rendszer olyan kedvez llapota, amelyben a kezelt
adatok bizalmassga (confidentiality), srtetlensge (integrity) s rendelkezsre llsa (availability)
biztostott, valamint a rendszer elemeinek biztonsga szempontjbl zrt, teljes kr, folytonos s a
kockzatokkal arnyos.
CISA Certified information systems auditor, tanstott informcirendszer ellenr cm, melyet az
ISACA szakmai vizsga s a tanstsi felttelek teljestse esetn, folyamatos tovbbkpzs, a szakmai s etikai szablyok betartsa mellett viselheti a tanstott szemly, az ISACA szakmai szervezet
tanstvnya.
CISM Certified information security manager, tanstott informcibiztonsgi vezet cm, melyet az
ISACA szakmai vizsga s a tanstsi felttelek teljestse esetn, folyamatos tovbbkpzs, a szakmai s etikai szablyok betartsa mellett viselheti a tanstott szemly, az ISACA szakmai szervezet
tanstvnya.
CISSP Certified information systems security professional tanstott informatikai biztonsgi szakrt, az ISC2 szakmai szervezet tanstvnya,
CMM Capability Maturity Model (Kpessg-rettsg modell) A modellben t fokozat tallhat, amely alapjn kirtkelhet egy szervezet fejlettsge a szabvnyos folyamatok kifejlesztse s kvetse tekintetben.
133
COBIT Az ISACA, mely az informcirendszer ellenrk, az informcibiztonsgi, informatikai irnytsi s informatikai kockzatkezelsi szakemberek nemzetkzi szervezete az informatikai irnyts,
kockzatkezels, informcibiztonsg irnyts s informatikai ellenrzs j gyakorlatait magba foglal keretrendszer. A mdszertan elssorban a szakmai vezetknek ad segtsget ahhoz, hogy felmrhessk, s elfogadhat szintre cskkenthessk azokat a kockzatokat, amelyeket az informatika zleti
folyamatokba plse jelent. Irnymutatsokat tartalmaz egy IT kontroll rendszer kialaktshoz s
annak a folyamatos mkdtetshez. www.isaca.org
DoS tmads A szolgltatsmegtagadsos (Denial of Service vagy DoS) tmads egy meghatrozott alkalmazs, opercis rendszer ismert gyengesgeit, vagy valamilyen specilis protokoll tulajdonsgait (gyengit) tmadja meg. Clja, hogy az alkalmazs, vagy rendszer elrsre feljogostott
felhasznlkat megakadlyozza a szmukra fontos informcik, a szmtgp-rendszer vagy akr a
szmtgp-hlzat elrsben.
DDoS tmads elosztott, azaz szmos klnbz helyrl egy idben indtott DoS tmads.
DRM Digital Rights Management, digitlis jogkezel eljrs jogvdett adatok vdelme rdekben.
DRP Disaster recovery plan (informatikai) Katasztrfa-terv
IBP Informatikai Biztonsgi Politika,
IBSZ Informcibiztonsgi szablyzat
MIBA Magyar Informatikai Biztonsgi Ajnlsok, a KIB 25. rsze,
MIBIK Magyar Informatikai Biztonsg Irnytsi Keretrendszer, a KIB 25. rsze,
NEIH Nemzeti Elektronikus Informcibiztonsgi Hatsgot,
OECD Organisation for Economic Co-operation and Development - Gazdasgi Egyttmkdsi s
Fejlesztsi Szervezet
WoT: Web of trust megbzhatsgi hlzat. Olyan oldalak gyjtemnye, amelyet a felhasznlk krtkonynak talltak.
134
Irodalomjegyzk
A szakmai tartalom sszelltsa sorn felhasznltk a tmra vonatkoz oktatsi anyagokat,
internetes szakmai forrsokat, s hrforrsokat.
Hatsgok ajnlsai, tjkoztat anyagai:
ENISA eurpai informcibiztonsgi gynksg
NIST amerikai kormnyzati szabvnygyi testlet
PSZF magyar pnzgyi felgyelet
Internetes informciforrsok:
Wikipedia, kzssgi enciklopdia (www.wikipedia.com, www.wikipedia.hu)
Buhera Blog (buhera.blog.hu)
Mysec portl (www.mysec.hu)
Szakmai szervezetek kiadvnyai:
ISACA (www.isaca.org, www.isaca.hu)
ISC2 (www.isc2.org)
CERT Hungary (www.cert-hungary.hu)
OWASP (www.owasp.org)
INFOTR (www.infoter.eu)
Internetes hazai sajttermkek:
www.index.hu
www.origo.hu
www.hirado.hu
www.itbusiness.hu
www.computerworld.hu
Felsoktatsi tananyagok s segdletek:
VASVRI GYRGY, CISM, A BIZTONSGI KULTRA S AZ EGYN, AJNLS v2.6,
2008, INFORMCIS TRSADALOMRT ALAPTVNY, BIZTONSGMENEDZSMENT
KUTATCSOPORT
Horvth Gergely Krisztin, Adatbiztonsg s IT audit eLearning oktatsi anyag, BGF, 2013
135

IT Biztonság Érthetően

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IT Biztonság Érthetően

Cargado por

Copyright:

Formatos disponibles

o o oo o o o o o o

Informci s IT biztonsgi kultra

KZRTHETEN (nem csak)

Jelen tjkoztat kiadvny clja, hogy elsegtse a biztonsgtudatos

szerz: Horvth Gergely Krisztin, CISA CISM

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

Informatikai biztonsg napjainkban

A BIZTONSG RAJTAD MLIK!

Segtsg az IT biztonsg megismershez

A BIZTONSG RAJTAD MLIK!

Egy lehetsges feldolgozsa az anyagnak:

A BIZTONSG RAJTAD MLIK!

Az adott oldal cme (oldalminta)

Veszly bemutatsa (Mirl beszlnk?)

Jellemz hatsa: Alacsony, Kzepes, Magas

Veszly elhrtsa: (Mit tegynk, ha bekvetkezik?)

Tovbbi informci: hivatkozsok

A BIZTONSG RAJTAD MLIK!

IT biztonsgi krds - felelek

A BIZTONSG RAJTAD MLIK!

Mirt fontos az IT s az informcibiztonsg?

Az ISACA, mely az informcirendszer ellenrk, az informcibiztonsgi, informatikai irnytsi s informatikai kockzatkezelsi

A BIZTONSG RAJTAD MLIK!

Srtetlensg a vllalati rtkek s elvrsok szerinti pontossg, teljessg, s rvnyessg.

A BIZTONSG RAJTAD MLIK!

Informcibiztonsg: fizikai, logikai s humn biztonsg

A BIZTONSG RAJTAD MLIK!

Vdelmi rendszerek tbb szint vdelem

Az informatikai biztonsg alapveten fgg az informcis rendszerek elemeibl integrlt komplex

A BIZTONSG RAJTAD MLIK!

Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme

A BIZTONSG RAJTAD MLIK!

Informcibiztonsg: llami s nkormnyzati elektronikus informci, s infrastruktrk jogszablyi vdelme

A BIZTONSG RAJTAD MLIK!

Informcis rendszerek elemei

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti?

A BIZTONSG RAJTAD MLIK!

Mindenki ugyangy ltja a biztonsg fontossgt?

A BIZTONSG RAJTAD MLIK!

Milyen a biztonsgtudatos szervezet?

Vasvri Gyrgy: Vllalati biztonsgirnyts Informatikai biztonsgmenedzsment, Info-Szakknyv Bt., 2007.

A BIZTONSG RAJTAD MLIK!

Megelzs mdszerei: ismeretszerzs, tudatosts

A BIZTONSG RAJTAD MLIK!

Megelzs mdszerei: adatments

A legkzenfekvbb megolds, amely biztostja az elektronikus informcik megsemmisls elleni

A BIZTONSG RAJTAD MLIK!

Megelzs mdszerei: felhasznlk szmtgpeinek vdelme

A kzszfrban dolgoz munkatrsak a szemlyes tulajdonukban lev szmtgpek tekintetben

A BIZTONSG RAJTAD MLIK!

Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

Biztonsgi kultra megvalstsnak alapelvei

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

A BIZTONSG RAJTAD MLIK!

A biztonsgi kultra fejlesztse