Documentos de Académico
Documentos de Profesional
Documentos de Cultura
o o o o o o o o o
o
o
o
o
o
o o o o o oo o o o o o o
o
o
o
o
o
o o o o o o o
oo o o oo o o o o o
o o o o o o o o o
o
o
o o o o oo o o o o
o o o o o o o o o
o
o
o
oo o oo o oo o o o o
o o o o o o o o o
KIF
nemk
csa
KZRTHETEN
AZ IT BIZTONSGRL
Tartalomjegyzk
Ajnls...........................................................................................................................................................6
Bevezets...................................................................................................................................................... 7
Informatikai biztonsg napjainkban............................................................................................................ 7
A tjkoztat clja.........................................................................................................................................8
Segtsg az IT biztonsg megismershez.................................................................................................8
A tjkoztat felptse................................................................................................................................9
Alapvet biztonsg..................................................................................................................................... 11
IT biztonsgi krds - felelek....................................................................................................................... 11
Mi a biztonsg?....................................................................................................................................... 11
Mirt fontos az IT s az informcibiztonsg?....................................................................................13
Vdelmi rendszerek tbb szint vdelem........................................................................................ 16
Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme.................................................17
Informcibiztonsg: llami s nkormnyzati elektronikus informci,
s infrastruktrk jogszablyi vdelme................................................................................................ 18
Informcis rendszerek elemei ........................................................................................................... 19
Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti?..................................................21
Mindenki ugyangy ltja a biztonsg fontossgt?............................................................................ 22
Milyen a biztonsgtudatos szervezet?................................................................................................. 23
Megelzs mdszerei: ismeretszerzs, tudatosts ..........................................................................24
Megelzs mdszerei: adatments..................................................................................................... 25
Megelzs mdszerei: felhasznlk szmtgpeinek vdelme.......................................................26
Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa.............................................................. 27
Mi a felhasznlk felelssge?............................................................................................................. 27
Biztonsgi kultra megvalstsnak alapelvei........................................................................................29
1) Tudatosts elve.................................................................................................................................29
2) Felelssg elve...................................................................................................................................29
3) Vlaszintzkedsek elve....................................................................................................................30
4) Etika elve............................................................................................................................................30
5) Demokrcia elve................................................................................................................................30
6) Kockzatfelmrs elve......................................................................................................................30
7) Biztonsgtervezs s vgrehajts elve..............................................................................................31
8) Biztonsgmenedzsment elve............................................................................................................31
9) jrartkels elve...............................................................................................................................31
Szmtgpes visszalsek....................................................................................................................... 36
Veszlyek: jogosulatlan adathozzfrs, mdosts................................................................................ 38
Veszlyek: jelszavak feltrse.................................................................................................................... 40
Veszlyek: kretlen levelek (spam)............................................................................................................ 42
Veszlyek: hamis lnclevelek (hoax)..........................................................................................................44
Veszlyek: vrusok.......................................................................................................................................46
Veszlyek: freg (worm).............................................................................................................................48
Veszlyek: trjaik......................................................................................................................................... 50
Veszlyek: rootkit-ek (rendszermagot fertz krtev)............................................................................ 52
Veszlyek: zombihlzat (botnet).............................................................................................................. 54
Veszlyek: reklmprogramok (adware)..................................................................................................... 56
Veszlyek: kmprogramok (spyware), krtev programok (malware).................................................... 58
Veszlyek: hamis szoftverek (rogue software, scareware)...................................................................... 60
Veszlyek: adathalszat (phising)..............................................................................................................62
Veszlyek: fertz honlapok.......................................................................................................................64
Veszlyek: adatforgalom eltrtse (Man-in-the-middle).........................................................................66
Fizikai visszalsek....................................................................................................................................68
Veszlyek: jelszavak ellesse (observing passwords attack)...................................................................69
Veszlyek: megtvesztsen alapul csalsok (Social engineering).........................................................71
Veszlyek: IT szemlyisglops (megszemlyests eltulajdontsa informcis rendszerekben).......73
Veszlyek: eszkzk s adathordozk eltulajdontsa..............................................................................75
Veszlyek: szemtbe dobott informci (kukabvrkods)....................................................................79
Veszlyek: szemlyes / hivatali adatok megosztsa kzssgi hlzatokon..........................................81
Biztonsgos irodai alkalmazsok............................................................................................................. 83
A szemlyes adatok trlse a dokumentumokbl................................................................................... 83
A dokumentumok jelszavas vdelme........................................................................................................86
A dokumentumok titkostsa..................................................................................................................... 87
Outlook hasznlat biztonsgi kockzatai.................................................................................................88
Eszkzk kztti adatszinkronizls kockzatai...................................................................................... 91
Vezetk nlkli internet (WiFi) hasznlat kockzatai...............................................................................92
Biztonsgos zemeltets.......................................................................................................................... 93
Veszlyek: tlterhelses tmads (DoS, DDoS).......................................................................................94
Veszlyek: hlzati letapogats (network / port scanning).....................................................................96
Veszlyek: tvoli adminisztrtor eszkzk................................................................................................98
Veszlyek: adatveszts..............................................................................................................................100
Veszlyek: rendszerfrisstsek hibi, hinya............................................................................................ 102
Biztonsgtudatos vezets....................................................................................................................... 104
Biztonsgirnyts kvetelmnyei........................................................................................................... 104
Informcibiztonsg irnytsa.......................................................................................................... 104
Informcis kockzatkezels s megfelels az elrsoknak............................................................105
Informcibiztonsgi program kidolgozsa s megvalstsa........................................................106
Informcibiztonsgi rendkvli esemnykezels.............................................................................106
Szemlyes pldamutats ......................................................................................................................... 107
Tjkoztats, bels szervezeti kultra fejlesztse...................................................................................108
A kockzatkezels..................................................................................................................................... 110
Megfelels az elrsoknak....................................................................................................................... 112
Szervezetek felels irnytsa s a biztonsgirnyts............................................................................ 112
Biztonsgi szablyozsi s kontroll rendszer.......................................................................................... 113
Biztonsgi monitoring...............................................................................................................................114
Adatgazdai szerep, Adatok biztonsgi osztlyozsa.............................................................................. 115
Folyamatos mkds biztostsa.............................................................................................................116
Bels ellenrzs szerepe IT audit s tancsads................................................................................. 117
Kiszervezs.................................................................................................................................................118
Munkagy szerepe............................................................................................................................... 120
Az emberi tnyez............................................................................................................................... 120
Alkalmazst megelz tvilgts....................................................................................................... 121
Felelssgek sztvlasztsa s egyb humn kockzat cskkentsi mdszerek............................ 121
Biztonsgtudatos viselkedst elismer motivcis rendszer...........................................................122
Biztonsgot veszlyeztet tevkenysgek kvetkezetes szankcionls............................................123
1. Mellklet: Jogszablyok...................................................................................................................... 124
2. Mellklet: Tovbbi informcik..........................................................................................................127
3. Mellklet: Hogyan mondjuk magyarul............................................................................................. 130
Rvidtsek jegyzke................................................................................................................................. 133
Irodalomjegyzk........................................................................................................................................ 135
Ajnls
A KIF ELNKNEK AJNLSA AZ OLVASKHOZ
A kiadvnyt kidolgoz projekt gazdjaknt, a Kormnyzati Informatikai Fejlesztsi gynksg elnkeknt kszntm nket!
A hazai kzigazgats fejlesztse a mkdst s a szervezetek egyttmkdst tmogat eszkzknt,
s az llampolgroknak nyjtott szolgltatsok csatornjaknt is tekint az informcis s kommunikcis technolgikra.
Ugyanakkor kzszfrn bell is egyre tbbszr kell szembeslnnk azzal, hogy az adatok nincsenek
biztonsgban. Ezek az esetek sokszor informatikai hinyossgokra, illetve a biztonsgtudatossg hinyra vezethetek vissza. Az informatikai ismeretek hinyossgai kockzatot jelentenek a kzigazgats minden szintjn. A kockzatok a szervezeteken bell a felhasznlk tudsszintjvel, s jogosultsgaik mrtkvel arnyosak: a kockzatok a hamis lnclevelek tovbbkldstl kezdve a jelszavak
tadsn keresztl akr az idegen llamok informciszerzsnek lehetv ttelig terjednek.
Az emberi tnyez okozta kockzat rendkvli informcibiztonsgi esemnyek cskkentsre az egyik
leggazdasgosabb s igazoltan hatkony mdszer a felhasznlk munkakri s felelssgi szintjnek
megfelel tovbbkpzs, s biztonsgi felkszts. A felhasznlk hinyos biztonsgtudatossgbl
ered veszlyeket teht a kzigazgatsban dolgozk felksztsvel, j esllyel, meg is elzhetjk. Az
llamreform Operatv Program ltal finanszrozott ROP 1.1.17 projekt egyik lnyeges eleme jelen
tmutat, mely nem kevesebbre vllalkozik, mint hogy mindenki szmra rthetv teszi az informci s IT biztonsgi alapismereteket, s gyakorlati javaslatot ad a legjellemzbb esetek kezelsre.
Remnyeink szerint minden kzigazgatsban dolgoz kollga szmtgpre eljut ez a tjkoztat, s
hasznos olvasmnyknt lapozzk fel, ha segtsgre van szksgk a helyes dntsek meghozshoz
az elektronikus informci biztonsg terletn.
Kiadvnyunk olvasshoz kvnok hasznos idtltst!
Szijrt Zoltn
Elnk
Bevezets
A TJKOZTAT CLJNAK S FELPTSNEK BEMUTATSA
A tjkoztat clja
A kiadvny az Eurpai Uni tmogatsval az llamreform Operatv Program finanszrozsval az
ROP 1.1.17 plyzatnak megfelelen kszlt el. Jelen tjkoztat kiadvny clja, hogy elsegtse az
elektronikus informci biztonsgi kultra fejlesztst a kzigazgatsban.
A cl elrst a tmakr alapvet informciinak jl felptett szerkezetben, kzrthet nyelvezettel
val kzz adsval trekszik elrni a kzigazgats dolgozi szmra munkavgzsk jellemzbb
lethelyzeteit figyelembe vve. Ezltal az Olvas magabiztosan lesz kpes felismerni az informatikai
biztonsgi kockzatokat a legjabb mszaki eszkzk esetn is (pl. okostelefonok), s megfelel
megoldsokat vlaszthat az elkerlskre, illetve ha mr bekvetkezett, akkor a baj cskkentsre.
Ennek megfelelen az Olvas megismerheti a biztonsg alapelveit, az informcibiztonsgi kockzatok sajtossgait, a kerlend felhasznli szoksokat, s a javasolt kockzatkezelsi mdszereket az
tlagos felhasznlk, az informatikusok s a vezetk szemszgbl.
A tjkoztat felptse
A dokumentum felptse egysges szerkezetet kvet. A fejezetek rvid szveges sszefoglalst tartalmaznak, majd tmnknt 1-2 oldal terjedelemben a bemutatott krdsek lnyeges jellemzit, kockzatait mutatja be kzrthet egyszerstsek segtsgvel. Ezen bell meghatrozzk a problmt,
pldkkal szemlltetik, s megadjk a lehetsges megelzs, illetve vdekezs mdszereit.
A megrtst jellemz kpek, brk segtik. A dokumentumban val tjkozdst, illetve a kockzattal
rintett terletek egyrtelm azonosthatsgt, s a kockzatok mrett vezrl brk/piktogrammok
(vizulis vezrl elemekkel elltott grafikai elemek) biztostjk.
Tovbb tartalmaz hivatkozsokat tovbbi szakmai anyagokra, melyek bvebben trgyaljk a krdst.
Ezrt az informatikai biztonsgi ismeretek alapismerete nlkl s kzpszint ismeretvel is jl forgathat olvasmny. Az a kedves Olvas, aki nemzetkzi informatikai biztonsgi szakvizsgra kszl,
azrt ne csak ezt a kiadvnyt hasznlja, ott biztosan mlyebb ismeretekrl kell szmot adni.
A kiadvny kapcsn felmerlt krdsekre adott vlaszokbl egy tudsbzist (GYIK) ptnk, s terveink szerint vente frisstjk a tjkoztatt is az aktulis kockzatok bemutatsval.
Mit veszlyeztet:
(a felhasznl, a rendszermkds,
az informcibiztonsg,
s a nemzetbiztonsg tern)
Illusztrci / kp
Pldk, rdekessgek:
Veszly megelzse:
10
Alapvet biztonsg
AZ INFORMCIBIZTONSG ALAPELVEINEK BEMUTATSA
mass
ke
sr
al
el
e
Biz
nd
Re
ll
Adat
s
Srtetlensg
A BIZTONSG RAJTAD MLIK!
11
Az informatikai biztonsg az informatikai rendszer olyan kedvez llapota, amelyben a kezelt adatok
bizalmassga (confidentiality), srtetlensge (integrity) s rendelkezsre llsa (availability) biztostott (CIA elv), valamint a rendszer elemeinek biztonsga szempontjbl zrt, teljes kr, folytonos s
a kockzatokkal arnyos. Ahol
bizalmassg: csak az arra jogosultak ismerhetik meg az informcit;
srtetlensg: az informci tartalma s formja az elvrttal megegyezik, belertve az is, hogy az
elvrt forrsbl szrmazik (hitelessg), igazolhat, hogy megtrtnt (letagadhatatlansg), egyrtelmen azonosthat az informcival kapcsolatos mveletek vgzje (elszmoltathatsg),
tovbb rendeltetsnek megfelelen hasznlhat;
rendelkezsre lls: az a tnyleges llapot, amikor egy informatikai rendszer szolgltatsai az arra
jogosultak szmra egy meghatrozott idben rendelkezsre llnak s a rendszer mkdkpessge sem tmenetileg, sem pedig tartsan nincs akadlyozva;
zrtsg: az sszes relevns veszlyt (fenyegetst) figyelembe veszi;
teljes krsg: a rendszer minden elemre kiterjed a vdelem;
folytonossg: idben folyamatosan megvalsul a vdelem;
kockzatokkal arnyossg: a rendszer vrhat mkdsnek idtartamban a vdelem kltsge
arnyban van a lehetsges krral.
Az informcibiztonsg tgabb fogalom, mint az IT biztonsg. Belertjk az informci minden
nem csak elektronikus megjelensi formjnak, az informcis szolgltatsoknak s az ezeket biztost informcis rendszereknek a vdelmt.
12
A szolgltatsmegtagadsos (Denial of Service vagy DoS) tmads egy meghatrozott alkalmazs, opercis rendszer ismert gyengesgeit, vagy valamilyen specilis protokoll tulajdonsgait (gyengit) tmadja meg. Clja, hogy az alkalmazs, vagy rendszer elrsre
feljogostott felhasznlkat megakadlyozza a szmukra fontos informcik, a szmtgp-rendszer vagy akr a szmtgp-hlzat
elrsben.
13
14
Nemzetkzi szabvnyok (ISO 27000 szabvnycsoport) hatrozzk meg az integrlt informcibiztonsgi rendszerekkel kapcsolatos kvetelmnyeket, amelynek jelents eleme az IT biztonsg, de az
informatikai rendszerektl fggetlenl pldul papron trolt informcik vdelmt lefedi.
Az MSZ ISO/IEC 27001 clja, hogy modellknt szolgljon informcibiztonsgi irnytsi rendszerek
(ISMS) kialaktshoz, megvalstshoz, mkdtetshez, figyelemmel kisrshez, tvizsglshoz, fenntartshoz s fejlesztshez. Tovbb tartalmazza a szervezet informcibiztonsgi irnytsi
rendszernek kls szakrt ltali ellenrzsnek kvetelmnyeit, s lehetv teszi a tansthatsgot.
Az MSZ ISO/IEC 27002 az informcibiztonsg menedzsmentjnek gyakorlati kdexe. A korbbi
informatikai biztonsgi ajnlsoktl eltren, a biztonsgi kvetelmnyeket s intzkedseket a szervezet zleti cljaibl s stratgijbl vezeti le szervezeti szint, informatikai biztonsgmenedzsment
kzpont szemlletben. Az ISO 27002, a minsgbiztostsra vonatkoz ISO 9000-es szabvnyokhoz hasonlan, a teljes kr informatikai biztonsg megteremtshez szksges szervezsi, szablyozsi szempontrendszert adja meg.
A szabvny a vdelmi intzkedseket az albbi logikai csoportokba szervezi:
kockzatelemzs;
biztonsgpolitika, szablyzati rendszer;
biztonsgi szervezet;
vagyontrgyak kezelse;
szemlyi biztonsg;
fizikai s krnyezeti biztonsg;
kommunikci s zemeltets biztonsga;
hozzfrs-ellenrzs;
informcis rendszerek beszerzse, fejlesztse s karbantartsa;
incidenskezels;
zletmenet-folytonossg;
megfelelsg.
15
Napjainkban is fontos rsze a vdelemnek a fizikai vdelem, amelynek fbb rszei a kvetkezk:
mechanikai vdelem;
elektronikai jelzrendszer;
lers vdelem;
belptet rendszer;
biztonsgi kamera rendszer;
villm s tlfeszltsg vdelem;
tzvdelem.
16
17
18
19
Informci:
olyan tny, amelynek megismersekor olyan tudsra tesznk szert, amelynek addig nem voltunk
birtokban. Az informci teht rtelmezett adat.
Fontosabb informatikai fogalmak:
URL: egy weboldal cmnek megnevezse, amely alapjn a cmtr a technikai cmet (IP cm)
megtallja, egy cmen egybknt tbb honlap is mkdhet. Az a haszna, hogy knnyen megjegyezhetjk egy honlap elrhetsgt. Van olyan tmadsi mdszer, ahol a cmtr tmadsn
keresztl egy vals, s jogszer URL-t egy krtev IP cmre irnyt. Ha https-sel kezddik, akkor
titkostott kapcsolatot hasznl. Figyeljnk r, hogy pontosan rjuk le a cmet, mert krtev honlapokra is kilyukadhatunk.
QR-kd3: lteznek olyan URL rvidt szolgltatsok, amelyekkel knnyen felrhat lesz egy
hosszabb cm is. Ezeket jabban a segtik a QR kdok is, amelyek ktdimenzis vonalkdok, s
amelyeket tbbek kztt okostelefonokkal val hasznlat sorn vehetnk ignybe.
Nevt az angol Quick Response rvidtsbl kapta (gyors vlasz), amely a gyors visszafejtsi sebessgre, s ebbl addan a gyors
vlaszad kpessgre utal. A QR kd a hagyomnyos vonalkdhoz kpest tbb szzszor annyi adatot kpes kezelni.
20
BMIS Business model for information security, az ISACA holisztikus informcibiztonsg menedzsment mdszertana, mely
beplt a COBIT 5 keretrendszerbe.
21
Az ENTJ szemlyisgek kifejezetten ignylik, hogy egy szablyozott, minden vlasztsi lehetsgre
vlaszt ad szablyrendszer ktttsgei kztt, rendszeresen ismtld, kiszmthat tevkenysgeket vgezzen (pl. termels, adatfeldolgozs), ahol a csoportvezetje rendszeresen ellenrzi a munkjt s visszajelzst ad. Ez a helyzet bnt, frusztrl s elviselhetetlen lesz ISPF szemlyisgek
szmra, akik inkbb olyan problmk megoldsval szeretnek foglalkozni (pl. marketing, termkfejleszts), amelyekkel nem tallkoztak korbban. Szmukra az idelis munkakrnyezet a tgan meghatrozott szablyok kztt, rugalmas munkaidben trtn foglalkoztats jelenti, hogy akkor dolgozhassanak, amikor ihletk van, mert akkor lesznek eredmnyesebbek. Nyilvnval, hogy mindkt
kollega munkjra szksge lehet a szervezetnek.
A megfelel biztonsgi kontroll rendszer kialaktshoz s fenntartshoz fontos a munkavllalk
klnbz szemlyisgnek felismerse, s az ehhez illeszked intzkedsek meghatrozsa. Srl
ugyanis a szervezet biztonsga, ha az egynek nem elrsszeren vgzik feladatukat, egy adott biztonsgi esemnyre nem megfelelen reaglnak.
22
Vasvri Gyrgy5 szerint az albbi krdsek segtik eldnteni, hogy hol tart a biztonsgi kultra kialaktsa, s ezeken a terleteken mit szksges fejleszteni:
1. Tudjk-e, indokoltnak tartjk-e jogaikat, ktelezettsgeiket?
2. Tevkenysgk sorn azok szerint jrnak-e el?
3. Felismerik-e a vdelmi intzkedsek szksgessgt, van-e veszlyrzetk?
4. Felismerik-e, s eltlik-e azokat, akik a biztonsgi szablyokat megsrtik, a vdelmi intzkedseket nem rendeltetsszeren hajtjk vgre?
5. Vllaljk, hogy hatst gyakorolnak a biztonsgi kvetelmnyeket tudatosan vagy vletlenl,
emberi gyengesgk miatt, rszben illetve egszben megsrt kollgkra?
6. Felismerik-e, akarjk-e felismerni a nem erklcss, etikus magatartst tanstkat?
7. Biztonsgi tudatossguk rvn konstruktv rszesv vlnak-e a szervezeti egysg, csoport
szubkultrjnak?
23
szintjnek fenntartsa, vagy emelse nmagban is vdelmi intzkeds. Clszer a biztonsgi kultra
szintjt vente rtkelni.
A biztonsgtudatossg megjelenhet vllalati szoksokban (pl. minden rtekezlet utn a fali tblt
letrljk), a bels kommunikciban hasznlt nyelvezetben, s szimblumok alkalmazsban.
A biztonsgtudatossg hinyban a szervezet nem ismeri fel megfelelen a rendkvli biztonsgi
esemnyeket, s nem kpes felmrni azok kvetkezmnyeit. Ez azt eredmnyezheti, hogy a szervezet
nem lesz kpes a ktelez s vllalt feladatai elltsra.
24
25
26
Mi a felhasznlk felelssge?
A szervezetben a munkatrsak s szerzdses dolgozk szmra ktelez a jogszablyok s a szervezet bels szablyzatainak s a vezeti utastsoknak a betartsa.
ltalban az informcis rendszerek felhasznlitl elvrt viselkedsi normkat felhasznli szablyzatban, vagy ms szablyzatok rszeknt hatrozzk meg. Alapveten azt tartalmazza, hogy a
6
CERT hlzatbiztonsgi kzpontok, amelyek f feladata a hlzatbiztonsgi incidensek kezelse, az llami szfra vagy egyes gazatok informatikai rendszereinek hlzatbiztonsgi tmogatsa. A CERT-ek megfelel technikai httrrel rendelkeznek ahhoz, hogy
idben reagljanak s kezeljenek minden hlzatbiztonsgra s ltfontossg informcis infrastruktrra veszlyes esemnyt. A
bejelentett esemnyeket a kzpontok bizalmasan vezetik.
27
rendszereket kizrlag munkavgzs cljra, a munkavgzshez szksges mrtkben lehet hasznlni. Gyakran kitr a szablyozs arra is, hogy a rendszerek s a szervezet biztonsga rdekben az
informatikai rendszer mkdst, s a felhasznlk tevkenysgt a szervezet figyelemmel ksri.
A Kzigazgatsi s Igazsggyi Minisztrium ltal kiadott etikai kdex tervezet (ZLD KNYV
az llami szerveknl rvnyestend etikai kvetelmnyekrl) s a Magyar Kormnytisztviseli Kar
ltal a kzszolglati tisztviselkrl szl 2011. vi CXCIX. trvny felhatalmazsa alapjn kiadott
Hivatsetikai Kdex7 tovbbi tmutatst nyjt a klnbz szablyzatokban egyrtelmen nem meghatrozott elvrsok tekintetben.
http://mkk.org.hu/node/102
28
OECD: Organisation for Economic Co-operation and Development - Gazdasgi Egyttmkdsi s Fejlesztsi Szervezet
Guidelines for the Security of Information Systems and Networks, OECD, 2002.
29
3) Vlaszintzkedsek elve
Az rintetteknek kell idben, egymssal egyttmkdve kell a vratlan biztonsgi esemnyeket
megelzni, szlelni, illetve az ezekre vonatkoz megfelel vlaszintzkedsek megtenni.
Felismerve az informcis rendszerek s hlzatok sszekapcsoldst, s a gyors s szleskr
krokozs lehetsgt, az rintetteknek idben s egyttmkdve kell a vratlan biztonsgi esemnyeket kezelni. Szksg szerint meg kell osztaniuk egymssal a fenyegetsekkel s sebezhetsgekkel
kapcsolatos informcikat, s gyors s hatkony eljrsokat kell alkalmazniuk, hogy egyttmkdve
megelzzk, szleljk, illetve reagljanak a vratlan biztonsgi esemnyekre. Ahol lehetsges, ez akr
hatrokon keresztli informcicservel s egyttmkdssel is jrhat.
4) Etika elve
Az rintetteknek tiszteletben kell tartaniuk msok jogos rdekeit.
Tekintettel arra, hogy az informcis rendszerek s hlzatok alkalmazsa tszvi a trsadalmunkat,
az egyneknek fel kell ismernik, hogy cselekedeteik vagy azok hinya adott esetben kros hatssal is
lehetnek a tbbi felhasznlra. Az etikus viselkeds ezrt ltfontossg, az rintetteknek trekednik
kell arra, hogy a j gyakorlatokat kialaktsk s alkalmazzk, a biztonsg ignyt elfogadjk, s msok
jogos rdekeit tiszteljk.
5) Demokrcia elve
Az informcis rendszerek s hlzatok biztonsgt megvalst megoldsoknak a demokratikus
trsadalmak alapvet rtkeivel sszefrhetnek kell lennik.
A gondolatok s eszmk cserjnek szabadsgt, az informci szabad ramlst, a szemlyes adatok megfelel vdelmt, a nyitottsgot s az tlthatsgot indokolatlan mrtkben nem szabad
korltozni.
6) Kockzatfelmrs elve
A biztonsg tervezse s megvalstsa sorn a relevns lnyeges kockzatokat fel kell mrni.
A kockzatfelmrs azonostja a fenyegetseket s a sebezhetsgeket, kitrve a legfbb bels s
kls tnyezkre, gymint a technolgia, a fizikai s emberi tnyezk, politikai irnyelvek s harmadik
szemly ltal nyjtott biztonsgi szolgltatsok. A kockzatfelmrs lehetv teszi az elfogadhat
szervezeti kockzati szint meghatrozst, s segtsget nyjt az informcis rendszerek s hlzatok
biztonsgt fenntart megfelel szablyozsok kialaktsban a megvdend informci jellegvel s
30
fontossgval arnyban. Tekintettel az informcis rendszerek sszekapcsolsra, a kockzatfelmrsnek ki kell trni a msoktl szrmaz, vagy a msok rszre okozhat hatsokra.
7) Biztonsgtervezs s vgrehajts elve
Az rintetteknek a biztonsgot az informcis rendszerek s hlzatok kialaktsa sorn lnyeges
szempontknt kell kezelni, s megvalstani.
A rendszereket, hlzatokat s irnyelveket az optimlis biztonsg megvalstsra kell megtervezni,
alkalmazni s koordinlni. Megfelel vintzkedseket kell tervezni s elfogadni annak rdekben,
hogy az azonostott fenyegetsekbl s sebezhetsgekbl szrmaz potencilis krokat elkerljk,
vagy cskkentsk. A szervezet rendszereiben s hlzataiban tallhat informci rtkvel arnyos
mszaki, s nem mszaki vintzkedsekre van szksg. A biztonsgot az sszes termk, szolgltats, rendszer s hlzat alapvet elemv, valamint a rendszertervezs s az architektra szerves
rszv kell tenni. Az tlagos felhasznlk szmra ez leginkbb sajt ignyeik meghatrozsra, a
termkek s szolgltatsok kivlasztsra terjed ki.
8) Biztonsgmenedzsment elve
Az rintetteknek minden szempontra kiterjed mdon kell a biztonsgmenedzsment feladatokat
vgeznik.
A biztonsgmenedzsmentnek kockzatfelmrsen kell alapulnia, fellelve az rintettek tevkenysgnek s mkdsnek minden vonatkozst. A rendkvli esemnyek megelzsre, feltrsra, s
velk kapcsolatos vlaszintzkedsekre, rendszer helyrelltsra, karbantartsra, fellvizsglatra s
ellenrzsre vonatkoz elremutat vlaszokat kell adnia a kialakul fenyegetsekre vonatkozan. Az
informcis rendszerek s hlzatok biztonsgval kapcsolatos irnyelveket, gyakorlatokat, intzkedseket s eljrsokat ssze kell hangolni az sszefgg biztonsgi rendszer kialaktsa rdekben.
A biztonsgmenedzsmentre vonatkoz kvetelmnyek fggenek az rintettsg szintjtl, az rintett
szereptl, a szban forg kockzatoktl s rendszerkvetelmnyektl.
9) jrartkels elve
Az rintetteknek az informcis rendszerek s hlzatok biztonsgt fell kell vizsglniuk s jra
kell rtkelnik. A biztonsgi irnyelvekben, gyakorlatokban, intzkedsekben s eljrsokban
szksges mdostsokat el kell vgeznik.
Folyamatosan jelennek meg j s vltoz fenyegetsek, s sebezhetsgek. Az rintetteknek a biztonsg minden aspektust folyamatosan fell kell vizsglniuk, t kell rtkelnik s vltoztatniuk kell,
hogy a felmerl kockzatokat kezelhessk.
31
32
33
Egy vagy tbb kls szervezettel val kzvetlen egyttmkds szintn segtheti a szervezeten belli
szakemberek munkjt:
Az adott gazat ms szervezeteivel kzsen szervezhetnek biztonsgtudatost programot, tarthatnak biztonsgtudatostst segt szakmai napot, rendezvnyeket.
Az Alkotmnyvdelmi Hivatal biztonsgtudatost programjban val rszvtel kiegszthet a
szervezet bels tudatost programjt.
Az ltalnos informcibiztonsgi tjkoztat honlapok anyagt felhasznlhatjuk a bels tjkoztat anyagok kialaktsa sorn (ha szksges a felhasznlsi engedlyt megkrve).
Informatikai szolgltatkkal egyttmkdve a kzigazgatsi szervezetek leszmolhatnak zombi
hlzatokkal.
Egyetemi s kutat cgekkel egyttmkdve gyorsabban trhatnak fel eddig nem ismert tmadsi formkat, s a kiber fegyvereket.
A kzpiskolai tanrok s a felsoktats oktatinak felksztse, a kpzk kpzse, kzptvon
hozzjrul ahhoz, hogy a kzigazgatsba bekerl fiatalok biztonsgi tudsszintjre mr csak a
szervezet sajtossgait kelljen rpteni.
Nagyon fontos a szles kzssgekre hatssal lev szervezetek, pldul a mdia cgek, vagy hrforml bloggerek bevonsa trsadalmi szinten az informcibiztonsg tudatossg nvelsben.
Tjkoztat televzis msorok, a hrekben a rendkvli biztonsgi esemnyek magyarzata s a
tanulsgok levonsa eredmnyes eszkz lehet. Tapasztalatok azt mutatjk, hogy a mdia bevonsnak hinya inkbb akadlyozza a biztonsgtudatostst, minthogy semleges lenne: az informci hsget kielgteni kvn bulvr hrek gyakran szakmailag nem megalapozott, vagy hibs
informcikat tartalmaznak, amely inkbb nveli az emberek fejben a tmtl val flelmet, s
rossz gyakorlatokat terjeszt.
A szervezeten belli program sikere azon mlik, hogy ne csak egy kvlrl jtt ktelez gyakorlatknt
tekintsen r a szervezet vezetse, hanem rtse meg az adott szervezetre ennek a hatst, s lljon a
program lre szemlyes pldamutatssal, s a szksges forrsok biztostsval. Fontos mg, hogy
a szervezeten belli program ne csak kvlrl kapott konzerv tjkoztat anyagra pljn, hanem
jl alkalmazhat, az adott szervezeten bell is rtelmezhet gyakorlati mdszereket is adjon, s lehetleg kszljenek olyan segdletek, amelyek a napi munkavgzsben is hasznlhatak (pl. Outlook
biztonsgi belltsa).
Fel kell hvni a figyelmet mg arra, hogy a szervezeten bell betlttt szerephez illeszkedve kell az
ismereteket tadni:
ltalnos informci s IT biztonsgi ismeretek ismertetse minden munkatrs rszre,
ktelezen.
Az informcis rendszerek felhasznli szmra az informci s IT biztonsggal kapcsolatban
ktelez kpzs biztostsa, a jrtassg megszerzsre a biztonsgos munkavgzs rdekben.
34
A szervezet dntshoz illetve vezet munkatrsai rszre a felelssgi szintjknek s szerepknek megfelel, ktelez kpzs, s kpessgfejleszts biztostsa.
A biztonsgi szakemberek s vezetk tovbbkpzsi rendszernek kidolgozsa, a szervezetet
rint j veszlyek s kezelsk mdjra vonatkoz kpzs, s a gyakorlati eljrsok tadsa.
A biztonsgi kultra fejlesztst a kvetkez lpsenknt clszer megtenni:
1. A szervezeti biztonsgi kultra rettsgnek meghatrozsa.
2. A vezets a szervezetre vonatkoz elvrsok figyelembe vtelvel meghatrozza a biztonsgi
kultra kvnatos rettsgi szintjt.
3. Biztonsgi kultra fejlesztsi programot alaktanak ki s indtanak el.
4. A szksges szablyozsokat, intzkedseket, oktatsokat megvalstjk lpsrl lpre.
5. A program eredmnyessgnek rendszeres mrse.
A gyakorlati letben az itt ismertet j gyakorlatokat csak azt kveten kezdik el alkalmazni, hogy
egy jelents hatssal jr biztonsgi rendkvli esemny bekvetkezett. Megtakarthatunk azonban
jelents erforrst, s megelzhetnk komoly presztzs vesztesget, ha el megynk a rendkvli esemnyeknek s felksztjk a szervezetnket, ezzel megelzve a bekvetkezsket, illetve ha ez nem
lehetsges cskkentve a krt, amit okozhatnak.
35
Szmtgpes visszalsek
A SZMTGP FELHASZNLKAT KZVETLENL FENYEGET VESZLYEK
S KEZELSK
A kvetkez fejezet nem kevesebbre vllalkozik, mint hogy a napjaink leginkbb elterjedt informatikai
biztonsgi veszlyeit ismertesse, s segtse az Olvast azok megrtsben, s a velk kapcsolatos
teendk megismersben.
Mikor gyanakodjunk arra, hogy a szmtgpnk (szervezetnk informcis rendszere) nem
biztonsgos?
Az informatikai biztonsgi problmk esetben is fontos elv a jobb flni, mint megijedni. Ha a
megszokottl eltr mkdst tapasztalunk a szmtgpes eszkzeink hasznlata sorn, clszer
utnajrni annak, hogy mi lehet az oka. Ilyen lehet a rendszer elindulsnak, a rendszer mkdsnek
vagy az internetezs sebessgnek jelents lassulsa, a rendszerek sszeomlsa, a bngszs sorn
felugr ablakokban reklmok megjelense.
Tjkoztatni kell az informatikai rszleget, vagy a szolgltat gyflszolglatt, vagy ennek hinyban
a helyi informatikust a tapasztalt helyzetrl.
Milyen hatssal lehetnek a szmtgpes veszlyek adatainkra s tulajdonunkra?
Szertegaz mdon lehetnek az informcis rendszerekre hat veszlyek hatssal rnk s a szervezetnkre. A hatsuk a jelentktelentl akr a katasztroflisig terjedhet s jval tlmutathat az egynen,
illetve a szervezet hatrain.
Lehetsges hatsok pldul:
szemlyes s klnleges adataink illetktelen kezekbe kerlnek;
visszalnek a jogosultsgainkkal, amely segtsgvel pldul munkahelyi rendszerekbl adatokat
tltenek le, vagy akr internetbankbl pnz utalnak t a nevnkben;
informcis rendszerek mkdst lasstjk, vagy akadlyozzk meg;
az informcis rendszernk erforrsait felhasznlva tovbbi visszalseket kvetnek el (pl.
kretlen levlklds, ms honlapok tmadsa);
36
37
Mirl beszlnk?
Az informcis rendszerekben kezelt adatok illetktelen szemlyek ltali mdostsa. A jogosulatlan adathozzfrs, vagy mdosts gyakran szemlyhez kttt
felhasznli azonostk s jelszavak megszerzsvel,
az informatikai rendszerek hinyos vdelme miatt,
vagy vdelmnek szndkos kijtszsval trtnik.
Mit veszlyeztet?
38
39
Mirl beszlnk?
A jelszavak kitallst, vagy szmtstechnikai kdfejt eszkzkkel val megszerzst nevezzk jelsz
feltrsnek. Tipikus mdszer a gyakran hasznlt jelszavak s szemlyes adatok prblgatsa, illetve a
szavak s azok kombincijnak prblgatsa elektronikus sztrak s jelsztr programok segtsvel. Ha ezek nem mkdnek, akkor marad az gynevezett nyers er (brute force) mdszer, amely az
sszes lehetsges karakter kombincijt kiprblva
tallja meg a jelszt.
Mit veszlyeztet?
Felhasznl: a felhasznlk szemlyes s klnleges adatainak biztonsgt veszlyezteti, ha jogosulatlanul hozzfrhetnek az adataikhoz (pldul
elektronikus postafikjba betrnek).
Rendszermkds: a kiemelt felhasznlk s
rendszergazdk jelszavainak megszerzsvel veszlyeztetni lehet a rendszerek zemszer mkdst, vagy meg is lehet lltani. Nagyobb krokozst jelent visszalsek kezdeti lpse lehet a
jelszavak feltrse.
Informcibiztonsg: a kiemelt felhasznlk s rendszergazdk jelszavaival nagy mennyisg
adatot lehet jogosulatlanul megszerezni, s akr az esemny megtrtntnek nyomt is el lehet
tntetni.
Nemzetbiztonsg: a kzigazgatsban hasznlt informcis rendszerek jelszavainak megszerzsvel adott esetben hatvnyozottan nagyobb krt lehet okozni: orszgos rendszerek adatait megszerezni, infrastruktra elemek mkdst veszlyeztetni.
Plda:
A felh szolgltatk zleti modelljnek terjedsvel egyszeren megvsrolhat rucikk vlt 1 ra
szerver kapacitsa, illetve akr prhuzamosan 100 vagy tbb szerver kapacitsa megvsrolhat egy
adott esetben akr lopott hitelkrtya segtsgvel. Innentl kezdve relatvv vlt, hogy egy jelsz
feltrse elvileg egy tlagos asztali gp kthavi kapacitst ignyli, ezrt elg havonta vltoztatni.
40
41
Mirl beszlnk?
42
egy sszetett csalsi hlzat ll a kretlen levelek mgtt: tbb feltrt szerveren keresztl kldtk a
kretlen leveleket, amelyek vgyfokoz gygyszerek megvsrlsra csbtottak. Megrendels alapjn
egy indiai gygyszergyr ksztette a tablettkat, egy volt szovjet tagkztrsasgbeli bank llt a weboldal fizetsi szolgltatsa mgtt, s a megbzk Oroszorszgbl irnytottk az illeglis gazdasgi
tevkenysget.
Hogyan elzzk meg?
A kretlen levelek egyik legjellemzbb forrsa az, hogy weboldalakra kitesszk a keresrobotok ltal is
olvashat formtumban az e-mail cmnket, vagy ktes hr weboldalakon regisztrlunk adott esetben ingyenes erotikus tartalom, vagy nem jogtiszta szoftver remnyben. Ezeket ne tegyk! A rendszergazdk a levelez szerverek megfelel biztonsgi belltsaival, j esllyel kpesek kiszrni ezeket
az zeneteket.
Mit tegynk, ha bekvetkezik?
Legjobb tancs a kretlen levelekkel kapcsolatban, hogy olvass nlkl trljk, ha vletlenl a postafikunkban landol! Vletlenl se kattintsunk r a levelekben lev hivatkozsokra, vagy a csatolt llomnyokra, mg a leiratkozs linkre sem! Ha a szervezetnk elektronikus postafikjba kapunk ilyen
zenetet, akkor azt jelezznk a bels szablyzat szerint. Azrt fontos jelezni egy kretlen levelet is,
mert egy sszetett tmads rszei is lehetnek. Jogi lpseket is lehet tenni, ha azonosthat a forrsa,
s bejelenthetik az NMHH rszre.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Spam
http://www.virushirado.hu/oldal.php?hid=44
http://infoter.eu/cikk/magyarorszagon_az_e-mailek_70_szazaleka_spam
43
Mirl beszlnk?
Olyan elektronikus levl, vagy zenet, amely valamilyen j informcit oszt meg, s arra sztnzi
a cmzettet, hogy a levelet minden ismersvel
nkntes mdon ossza meg. Els formi pldul
egy j fiktv vrusra hvtk fel a figyelmet, amelyek fertzst nhny fjl trlsvel megakadlyozhatjuk, ugyanakkor ezek a fjlok a Windows
szksges rszei voltak, gy trlsk a rendszer
mkdst akadlyozta meg.
Mit veszlyeztet?
44
45
Veszlyek: vrusok
Mirl beszlnk?
46
Plda:
Az els vrus lltlag egyids az els szmtgppel, s az els szemlyi szmtgp (PC) vrus
(BRAIN)is elg korn elszabadult. Az egyik vrusirt cg utnajrt a vrus megjelensnek 25. vforduljn, s meg is talltk a szerzket Pakisztnban. Ez mg csak informcit terjesztett.
Ezt kveten jelentek meg a vicces vrusok (pl. potyogs vrus), a figyelemfelhv vrusok a 90-es
vek elejn, majd az irodai alkalmazsok terjedsvel prhuzamosan a dokumentumokon keresztl
terjed makrovrusok, amelyek az elmlt vtizedben mr sokkal inkbb a feketegazdasg termelsi
eszkzeiv vltak, lehetv tve adatlopsokat, s lebntva a szolgltatsokat.
Hogyan elzzk meg?
A vrusfertzseket napraksz automatikusan frissl vruskeres szoftver, s tzfal alkalmazsval j esllyel megelzhetjk. Fontos megelz intzkeds mg a kls adathordozk vrusellenrzse a rajtuk lev llomnyok hasznlata eltt. Ne lltsuk le a rendszeresen temezett vruskeresst
a munkahelyi gpnkn, azok feladata a vrusok feldertse.
Mit tegynk, ha bekvetkezik?
Ha vrust feltteleznk a gpen, jelezzk a szervezet szablyzatnak megfelelen, ltalban a kzponti hibabejelentn. Ne prbljuk magunk leirtani.
Ha az otthoni gpnk vrusos, akkor szksgnk lesz egy napraksz vrus rtra, s egy vrusmentes
indtlemezre / USB memrira. A gp vrusmentes indtlemezrl val jraindtsval meggyzdhetnk a vrusfertzsrl a vruskeres teljes keress funkcijnak futtatsval. A fertztt llomnyokat, ha szerencsnk van, tudja javtani a vrusirt, ha nem, akkor ezeket trlnnk kell. Az rintett
fjlok alapjn azonosthat, hogy honnan szrmazik a fertzs. A trlt llomnyokat mentsbl
vissza kell lltani. Elfordulhat, hogy a teljes rendszer jrateleptsvel tudunk csak megszabadulni a
vrustl, ebben az esetben a lnyeges rendszerbelltsok (pl. elektronikus postafik cm, felhasznlnv) s az adataink mentst el kell vgezni, hogy ne szenvedjnk adatvesztst.
Ha mg olvasna errl:
http://www.cert.hu/content/amit-v%C3%ADrusirt%C3%A1sr%C3%B3l-tudni-kell
http://www.virushirado.hu/oldal.php?hid=43
http://campaigns.f-secure.com/brain/
http://computerworld.hu/computerworld/40-eves-az-elso-komputer-virus.html
47
Mirl beszlnk?
48
49
Veszlyek: Trjaik
Mirl beszlnk?
50
Fbb tpusai:
a hlzat feldert programok;
trjaiba beptett vrus terjesztk (adott felttel teljeslse esetn szabadon engedi a vrust);
idztett bombt tartalmaz programok (adott id eltelte utn megsznik mkdni, vagy egy
adott idpontban aktivizldik).
Hogyan elzzk meg?
A szmtgpek s hlzatbiztonsgi eszkzk s szoftverek rendszerek frisstsvel, az ismert
trjaik ltal alkalmazott kommunikcis csatornk tzfalakban val blokkolsval elzhetjk meg a
terjedsket.
Mit tegynk, ha bekvetkezik?
A trjai fertzs bekvetkezst kveten a fertztt gpet hlzatbl le kell vlasztani, s vrusirt
programmal vagy manulisan le kell telepteni, vagy trlni a szoftvert. A helyrellts esetenknt csak
a fertztt gpek jrateleptsvel trtnhet meg.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Tr%C3%B3jai_program
http://www.sg.hu/cikkek/77211/irani_uzemeket_tamadott_a_stuxnet
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)
http://www.infoter.eu/cikk/nemet_hackerek_trojai_haboruja
51
Mirl beszlnk?
A rootkit olyan szoftvercsomag, amelyek segtsgvel egy hekker egyszeren bejuthat a korbban
feltrt rendszerbe. A szmtgpes rendszerek kzponti rszt, a rendszermagot nevezik angolul rootnak (gykr) s a telept programot kit-nek. Ennek
segtsgvel bizalmas adatokat gyjthet, vagy irnythatja a fertztt szmtgpet.
A legtbbszr gy teleptik magukat, hogy a rendszerfjlokat megfertzik ugyan, de azok tovbbra
is elltjk feladatukat. A rootkit vgs clja a krtkony kiber-tevkenysg tmogatsa, pldul a billenty-letsek naplzsa vagy a hlzati kapacits
illetktelen felhasznlsa adatok kiszivrogtatsra,
kretlen levelek kldsre. Gyakran Windows rendszerekre kszlnek, annak npszersge miatt.
Mit veszlyeztet?
Felhasznl: az tlagos felhasznlk gyakran szre sem kpesek venni egy rootkit jelenltt a szmtgpn. Lnyegben lthatatlan mdon kpes a szmtgp mkdsnek befolysolsra, s
adatok megszerzsre.
Rendszermkds: gyakran ltszlag nem befolysoljk a rendszerek mkdst, azonban alapveten veszlyeztetik a rendszerek biztonsgt.
Informcibiztonsg: segtsgkkel srl a fertztt rendszerekben kezelt informcik biztonsga,
jogosulatlanul megismerhetik s letlthetik azokat.
Nemzetbiztonsg: idegen llamok gyakran hasznljk hrszerzsi clra, vagy gazdasgi trsasgok
esetben ipari kmkedsre is.
Plda:
Windowson elszr 1999-ben talltak rootkit-et (NTRootkit), Mac opercis rendszeren 2009-ben,
a kzelmltban pedig ipari rendszereket fertz rootkit-et is talltak (Stuxnet). 2005-ben hvta fel a
52
figyelmet a rootkit-ek re a Sony BMG ltal kiadott CD lemez, amely szerzi joga vdelme rdekben
egy Extended Copy Protection nev programot teleptett a httrben, amely korltozta a CD-hez val
hozzfrst. Nagy botrny s brsgi gy is lett belle, mivel a Sony BMG az ltala forgalmazott
lemezekkel a felhasznlkra veszlyes, s akr anyagi krt okoz szoftvert teleptett anlkl, hogy
megfelel tjkoztatst nyjtott volna. A rosszindulat krtevkre, frgekre s trjai programokra
jellemz mdon rejtzkd, Windowst futtat gpekre szrevtlenl telepl s szablyosan, a Windows segtsgvel el nem tvolthat DRM-programok10 ismert biztonsgi rst knlnak a bnzk
szmra a rendszer eredmnyesebb megfertzsre, valamint a licencszerzdssel ellenttben adatokat gyjtenek s tovbbtanak a Sony BMG szerverei fel.
Hogyan elzzk meg?
A szmtgpek rootkit-tel val megfertzdst gy elzhetjk meg, ha tfog vgpont vdelmi
szoftvercsomagot hasznlunk, azaz vrusvdelmi szoftvert (anti-virus), szoftveres tzfalat (firewall),
tovbb odafigyelnk arra, hogy rendszeresen frisstsk a szmtgpre teleptett szoftvereket. Ezeket
megfelel belltsokkal automatikuss lehet tenni.
Mit tegynk, ha bekvetkezik?
Ha arra gyanakszunk, hogy nem csak mi irnytjuk a gpnket, frisstsk a vdelmi szoftvereinket,
majd kapcsoljuk ki a hlzatot s teljes keresst indtsunk el rajtuk.
Munkahelynkn a vonatkoz szablyzatoknak megfelel eljrsrendet kvessk! ltalban ez kzponti hibabejelentn val bejelents megttelt jelenti. A rootkit-eket esetenknt csak clzott keresssel, specilis biztonsgi szoftverekkel lehetsges azonostani, s eltvoltani.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Rootkit
http://www.infoter.eu/cikk/iden_is_szamithatunk_a_rejtozkodo_kartevokre
http://www.virushirado.hu/hirek_tart.php?id=1980
10
53
Mirl beszlnk?
54
55
Mirl beszlnk?
A reklmprogram clja, hogy egy termket, szmtgpes programot, annak ksztjt vagy egy cget
reklmozzon, ltalban trjaiknt, vagy kereskedelmi programok ingyenes vltozatainak rszeknt
telepl a szmtgpre. Alapveten nem jelentennek nagy veszlyt, ha ennek a modellnek a leple alatt
olyan vltozatok nem jelentek volna meg, amelyek a
szemlyes adatainkat, bngszsi tevkenysgnket
gyjtik s tovbbtjk.
Mit veszlyeztet?
56
57
Mirl beszlnk?
58
A Duqu olyan krtkony program (felfedezje egybknt a BMGE CrySyS Adat- s Rendszerbiztonsg Laboratriuma), amely klnbz programrszekbl ll: pl. informci gyjt, kernel driver, kd
beinjektl modul. A krtev modulris felpts, tbb egyedi vltozata ltezik, ezrt a megtallsa
is nehezebb.
Hogyan elzzk meg?
A hagyomnyos informcis rendszer s hlzat vdelmi funkcik (vruskeres, tzfal) alkalmazsa
s napraksz frisstse fontos, de nem felttlenl elg a kmprogramok megelzsre.
Mit tegynk, ha bekvetkezik?
A szervezet eljrsrendje szerint tjkoztassuk a biztonsgi szakterletet. Fontos, hogy a kmprogramok, s mkdtetik elleni sikeres kzdelemhez szksg van az program mkdsi mintira, a
rendszer naplesemnyeire, ezrt ezeket a feltrst megelzen ne trljk.
Ha vrusvdelmi rendszernk mkdse ellenre kmprogram kerl a gpnkre, akkor az adott kmprogram clzott eltvoltst lehetv tev kmprogram eltvolt szoftvert hvhatunk segtsgl.
Az ersen fertztt rendszerek esetn gyakran csak a rendszer teljes jrateleptse ad megoldst.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/K%C3%A9mprogram
http://hu.wikipedia.org/wiki/K%C3%A1rt%C3%A9kony_programok
http://hu.wikipedia.org/wiki/Duqu
http://www.virushirado.hu/hirek_tart.php?id=708
59
Mirl beszlnk?
60
61
Mirl beszlnk?
Egy csal weboldal egy ismert szervezet vagy vllalat hivatalos oldalnak lttatja magt, s megprbl
szemlyes adatokat, pldul felhasznli azonostkat, jelszavakat, bankkrtya adatokat megszerezni.
A csalk gyakran elektronikus levelet vagy azonnali
zenetet kldenek a cmzettnek, amiben elrik, hogy
az zenetben szerepl hivatkozsra rkattintson,
amely egy talaktott weboldalra vezeti. Ha kveti az
ott szerepl utastsokat, akkor ldozatt vlhat.
Mit veszlyeztet?
62
63
Mirl beszlnk?
A veszlyes honlapok alatt olyan internetes oldalakat rtnk, amelyeknek mr akr a megltogatsa is
veszlyezteti a szmtgpnk biztonsgt. A weboldalba gyazott krtev kd ltalban ismert rendszer
srlkenysgeket kihasznlva, krtev programokat
telept a felhasznl gpre.
Mit veszlyeztet?
64
11
WoT: Web of trust megbzhatsgi hlzat. Olyan oldalak gyjtemnye, amelyet a felhasznlk krtkonynak talltak.
65
Mirl beszlnk?
66
67
Fizikai visszalsek
AZ INFORMCIBIZTONSGOT FENYEGET FIZIKAI HOZZFRST
IGNYL VISSZALSEK
Szmos olyan mdszer ismert, amely segtsgvel a tmad adatokat szerezhet meg az informcis
rendszerekbl anlkl, hogy magt az informcis rendszert szmtstechnikai eszkzkkel tmadn.
ltalban gyorsabb, olcsbb az embereket megtveszteni, vagy megvesztegetni, mint az informatikai
rendszerekbe betrni!
A kvetkezkben nhny jellemz, emberi hibra s megtvesztsre irnyul veszlyt ismertetnk.
68
Mirl beszlnk?
69
70
Mirl beszlnk?
A bnzk olyan pszicholgiai manipulcis mdszereket hasznlnak, amellyel rveszik a felhasznlkat vdett
adataik, felhasznlneveik, akr jelszavaik elmondsra.
ltalban rijeszts mdszert hasznljk, vagy azt hasznljk ki, hogy sztnsen segteni akarunk msoknak.
Klasszikus esete, hogy az illetktelen szemly valamilyen legitim indokkal bejut a ltestmnyekbe , s
ott informcikat gyjt. Gyakori mdszer erre az
informcis rendszerekbe val belpst lehetv
tev azonostk, jelszavak telefonon keresztl trtn megszerzse vltozatos, kitallt trtnetekkel.
Msik technikja az adathalszat (phising) hamistott elektronikus levelek kldsvel tvesztik meg a
clpontot. A komolyabb tmadsoknl akr egynre
szabott megtveszt levelek is elfordulnak.
Mit veszlyeztet?
Felhasznl: az azonostk s jelszavak kiadsa klnfle kvetkezmnnyel jrhat, a szemlyes adataink
megszerzstl kezdve, a hivatali rendszerekbl val adatlopson keresztl a szndkos krokozsig.
Rendszermkds: illetktelen szemlyek egy megfelel jogosultsggal rendelkez felhasznl
nevnek s jelszavnak segtsgvel hozzfrhetnek rendszerek zemeltetsi funkciihoz, megvltoztathatnak paramtereket, a rendszereket lassthatjk, lellthatjk.
Informcibiztonsg: a tmadk a megszerzett felhasznli azonostkat s jelszavakat szinte
mindig adatok megszerzse, illetve egyb elnyszerzs cljbl hasznljk fel.
Nemzetbiztonsg: a kzszfra ltal hasznlt rendszerek azonostinak s jelszavainak megszerzsvel vdett informcik szerezhetek meg.
Plda:
Azok a telefonos megkeressek lehetnek akr banlisan egyszerek, vagy vad kitalcik , amelyek
arra irnyulnak, hogy valamilyen szemlyes adatot, vagy szmtgpes rendszerbe val belpshez
71
72
Mirl beszlnk?
Felhasznl: szemlyes adatainkat, j hrnevnket, s vagyonunkat is veszlyeztetheti, ha ellopjk a felhasznli azonostnkat. Rejtett titkainkat
megismerhetik, a nevnkben tevkenykedhetnek.
Rendszermkds: a rendszermkdsre akkor
lehet hatssal, ha a szemlyisglopst kveten a
megszerzett felhasznli jogosultsgokkal befolysoljk a rendszer mkdst, pldul kretlen
leveleket kldenek, vagy krtev programot teleptenek a nevnkben.
Informcibiztonsg: szemlyes, zleti s kormnyzati adatok kiszivrgshoz vezethet.
Nemzetbiztonsg: felhasznli profilok megszerzsvel hozzjuthatnak szolgltatsok jelszavaihoz, ami a kormnyzati informatikai rendszerekben hasznlt jelszavak feltrshez vezethet.
Plda:
Vrosi legenda, hogy rgebben tiltottk a nemzetbiztonsgi szolglatok munkatrsai szmra, hogy
kzssgi hlzatokon regisztrljanak sajt nevkben. A szolgltatsok rohamos terjedse (pl. iwiw)
viszont azt eredmnyezte, hogy nagyobb kockzat volt egy id utn, ha a kollgk nem regisztrltak,
mert mr szinte csak k nem voltak a kzssgi oldalakon jelen, gy bizonyos felttelekkel engedlyeztk szmukra.
Tvol-keleti hrszerzk a NATO tbb tisztje nevben ltrehozott Facebook profilok segtsgvel szereztek nhny vvel ezeltt informcikat ms NATO alkalmazottakrl. De hazai politikusok is estek
ldozatul annak, hogy a nevkben hoztak ltre profilt a kzssgi oldalakon.
73
A szemlyes adatok segtsgvel pldul Angliban gyakran hitelt, vagy hitelkrtyt ignyelnek ms
nevben, majd nem trlesztik azokat. Ezzel anyagi krt okozhatnak, s az illet hitelkpessgt is
ronthatjk.
Hogyan elzzk meg?
A profilunk jelszavnak megszerzst gy elzhetjk meg, hogy hossz s sszetett jelszavakat hasznlunk, rendszeresen vltoztatjuk azokat, s olyan szmtgpen,ami felteheten nem
biztonsgos,nem gpeljk be a jelszt. Azt hogy ms nyisson a nevnkben felhasznli fikot, nehz
megelzni, de segthet, ha az ismertebb szolgltatsokon ltrehozzuk sajt profilunkat, mg ha nem
is hasznljuk rendszeresen, hiszen ez esetben mg egy profil a nevnkben nem nyithat. Tipikusan
ismertebb szemlyisgek, vezetk szmra javasolt, hogy hozzanak ltre profilt a kzssgi hlzatokon, nehogy a nevkben ms tegye meg.
Mit tegynk, ha bekvetkezik?
Keressk meg a szolgltatt, s ha nem ad vlaszt a megkeressnkre, forduljunk szakrt jogszhoz,
illetve komolyabb esetekben javasolt feljelentst tenni a rendrsgen.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Identity_theft
http://www.technet.hu/hir/20091104/szemelyiseglopas_-_mi_az/
http://www.biztonsagosinternet.hu/tippek/a-szemelyazonossag-lopasrol
74
Mirl beszlnk?
Abban az esetben, ha egy szervezetnl a fizikai biztonsg nem megfelel, vagy a felhasznlk nem
vigyznak rtktrgyaikra, elfordulhat a szmtgpes eszkzk s adathordozk gyakran hordozhat eszkzk eltulajdontsa.
Mit veszlyeztet?
75
76
Mirl beszlnk?
Az otthoni felhasznlk, a szervezetek ltal hasznlt szmtgpek s kiegszt eszkzk (pl. kls
adathordozk), illetve ms szmtgpes adatokat
tartalmaz eszkzk (pl. multifunkcis nyomtatk,
telefonok) nhny v alatt hasznlaton kvl kerlnek. Ezeket ltalban raktrozzk mg egy ideig , de
selejtezst kveten legtbbszr szemtknt vgzik.
Az eszkzktl val megszabaduls eltt vgre kell
hajtani az adatok vgleges trlst. Ennek hinyban az eszkzrl megszerzett adatok felhasznlsa
vagy nyilvnossgra hozatala jelents krokat okozhat a szervezet szmra.
Mit veszlyeztet?
77
IT biztonsggal foglalkoz cgek a kiselejtezett szmtgpeken tbbszr vgeztek teszteket a visszallthat adatokrl. Gyakran bizalmas vllalati adatokat talltak.
Tbb szzezer gpet importlnak a fejlett orszgokbl csak Nigriba, a szmtgpek gyrtsi anyagainak jrahasznostsa rdekben. A bnzk szmra azonban a gpek manyag burkolatnl,
vagy a benne lev nemesfmeknl rtkesebb lehet a merevlemezekrl visszallthat adat.
Hogyan elzzk meg?
Az eszkzk selejtezse eltt visszallthatatlanul trljnk minden adatot, vagy ha ez nem lehetsges, fizikailag semmistsk meg az adathordozkat.
Mit tegynk, ha bekvetkezik?
A selejtezett adathordozkon kikerl adatok arra hvjk fel a figyelmet, hogy a szervezet bels kontroll rendszere nem megfelel. Ha ilyen bekvetkezik, akkor vizsgljuk fell a vonatkoz szablyzatokat, legyen kvetkezmnye a szablyok be nem tartsnak, s biztostsuk a technolgit az adatok
megfelel trlshez.
Ha mg olvasna errl:
http://biztonsagportal.hu/elajandekozott-adatok-nem-torodunk-az-adattorlessel.html
http://mysec.hu/magazin/kiemelt-hirek/327-elhanyagolta-az-adattoerlest-a-nasa
http://www.uzletihirszerzes.hu/%C3%BCzleti-biztons%C3%A1g/inform%C3%A1ci%C3%B3-%C3%A9s-adatv%C3%A9delem/2705-bizalmas-informcik-a-lecserlt-mobil-minden-titkot-kiad.html
78
Mirl beszlnk?
79
80
Mirl beszlnk?
Szndkosan, vagy vletlenl olyan adatokat oszthatunk meg az interneten magunkrl, amelyek magukban, vagy sszessgben veszlyt jelenthetnek rnk,
vagy a munkltatnkra. Adott esetben az is ilyen
informci lehet, hogy ha jelljk, hogy ppen hol
tartzkodunk (pl. 4square), vagy feltrkpezhet a
kapcsolati rendszernk. Vigyzni kell az olyan kzssgi oldalakkal, amelyen zenfalunkon zenet
kzvetthet.
Mit veszlyeztet?
Plda:
Ha kzztesszk magunkrl, hogy milyen rtkes ajndkokat kaptunk karcsonyra, a szemlyes adatainkbl kiderl a lakcmnk, ezt kveten megosztjuk, hogy hov megynk 10 napra selni, s mg be is jelentkeznk a splyrl, akkor a betrk biztosak lehetnek abban, hogy szinte vdtelenl vrja ket a laksunk.
Megtrtnt eset volt itthon is a kzlkeny felhasznl laksnak elkltztetse. A szomszdok furcslltk,
hogy a lak nem szlt elre, de itthon ltalban nincsenek ilyen j viszonyban egymssal a szomszdok.
A brit hadgyminisztrium online kampnyban hvja fel a katonk figyelmt arra, hogy ne osszanak
meg harctri informcikat a kzssgi hlzatokon, ne tegyenek kzz videkat, s nyilvnos helyen
ne beszljenek harctri tevkenysgrl, mert a terroristk brit fldn is tmadhatjk ket, illetve a
kifecsegett informci a harctren szolglatot teljest bajtrsaikat sodorhatja veszlybe.
81
82
83
84
Vgl ne felejtsk el azt sem, hogy maga a dokumentum fjl neve is hordoz informcikat. Ott is
szerepelhet a szerz, vagy a szervezet neve, kszts dtuma. Javasoljuk, hogy a kzzttelre ksztett dokumentumok fjl nevt is gy vlasszk meg, hogy segtse a fjl knny azonostst. Pldul
a szervezet rvidtse, a dokumentum rvid cme, verziszma, s a kzzttel dtuma. Lehetleg
nem hasznlva kezetes s specilis karaktereket. Jelen kiadvny esetben ez pldul lehet: KIFU
_biztonsagtudatositas_v1_2013.pdf.
Ha mg olvasna errl:
http://office.microsoft.com/hu-hu/word-help/rejtett-adatok-es-szemelyes-informaciok-eltavolitasa-adokumentumokbol-HA010354329.aspx
85
86
A dokumentumok titkostsa
A dokumentumok titkostsra tbb lehetsg ll a felhasznlk rendelkezsre. Lehetsges pldul
a vllalati Windows verziban a teljes fjlrendszer titkostsa, gy minden dokumentum titkostsra
kerl. Ennek az az elnye, hogy pldul egy eltulajdontott laptoprl nem nyerhetk ki az adatok.
Az ismert informatikai biztonsgi szoftvergyrtk ltalban rendelkeznek dokumentum- s mappatitkostst lehetv tev szoftver modulokkal is, ezeket vagy a vrusvdelemre megvsrolt licencnk
tartalmazza, vagy kedvezmnyes megvsrlst teszi lehetv. A szervezeteknl val szleskr kiterjesztse az adott megolds tesztelst s oktatst ignyli. rdekldjn szervezete biztonsgi vezetjnl a tmogatott titkostsi mdszerekrl!
Ha a szervezetnl nincsen hivatalosan tmogatott dokumentum titkostsi megolds rendszerestve,
s a bels szablyozs nem tiltja a titkostst, akkor lehetsgnk van a dokumentumok titkostsra
akr nylt forrskd szoftverrel is.
Az egyik legnpszerbb program, a Truecrypt, lehetv teszi teljes merevlemezek, USB memrik, de
akr egyedi dokumentumok titkostst is. Titkost programokat, mint ltalban brmilyen programot is, csak megbzhat helyrl tltsnk le. Ilyen pldul a hivatalos oldala: http://www.truecrypt.org/
downloads.
rdemes a titkostst gy vgezni, hogy olyan, a hasznlt dokumentum mretnek megfelel mret
trolt (volume) ksztnk, amely a levelez programok mretkorltjba is belefr, 2-5 Mbyte mrett.
Ezt hozzadva a rendszerhez (mount) a gyakorlatban egy j rendszer merevlemez meghajtknt ltszik. A trol titkostva trol minden belehelyezett llomnyt, msik szmtgpen is csak a Truecrypt
segtsgvel olvashat, a jelsz ismeretben.
Ha mg olvasna errl:
http://www.truecrypt.org/faq
http://hvg.hu/tudomany/20080828_usb_titkositas
http://computerworld.hu/cio/titkositott-hordozhato-adattarolok.html
87
88
Az Internet Explorer bngszben a bngszsnk nyomait az Eszkzk men Bngszsi elzmnyek trlse menpontban trlhetjk. A felugr ablakban vlaszthatunk, hogy pontosan mely
elemeket szeretnnk eltvoltani, az ideiglenes fjloktl kezdve egszen a bert, elmentett jelszavakig
trlhetnk adatokat.
Fontos funkci mg az adatvdelmi belltsok kre, amely befolysolja, hogy milyen informcit kld az
Office a gpnkrl a Microsoftnak, illetve hogy mi milyen adatokat tlthetnk le a Microsofttl.
A klnbz Office programokban s programverzikban eltr lehet a belltsok kre, illetve a menk
pontos elnevezse. ltalban a Fjl men Belltsok pontjt kell kivlasztani, majd az Adatvdelmi kzpont Adatvdelmi belltsok funkcivlaszt menben mdosthatunk a belltson.
89
Az Office 2010-es programjai esetben, pldul ha a felhasznl bejelli a Frisstett tartalmak keresse az Office.com webhelyen funkcit, akkor internetkapcsolat meglte esetn mindig letltheti a
legfrissebb sgtartalmakat az Office.com oldalrl. A program csak azokat a sgkat tlti le, amelyek
a Keress eredmnyben szerepelnek. Itt kapcsolhatjuk ki pldul, hogy informcikat kldjn-e a
gpnk a Microsoftnak a felhasznli szoksainkrl (Felhasznli lmny fokozsa program).
Ha van lehetsgnk sajt programokat futtatni, akkor ingyenes szoftverek segtsgvel is trlhetjk a szmtgpen vgzett tevkenysgnk nyomait. Ilyen program a Ccleaner, amely az ideiglenes llomnyokat, a megtekintett dokumentumokat, a gpen trolt stiket, s az internetezsi elzmnyeket is kpes gombnyomsra
trlni. Van lehetsg ezek manulis trlsre is, azonban a teljes kr trlshez halad felhasznli ismeretek szksgesek (pldul Windows registry kulcsok mdostsa), ezrt erre most nem trnk ki bvebben.
Amikor az Outlook informciit telefonra, vagy szmtgpre szinkronizljuk, ne feledkezznk meg
arrl, hogy onnantl azokat az eszkzket is az zenetekben trolt adatok vdelmi szintjnek megfelelen vdennk kell. Clszer nhny napra korltozni azt az idtartamot, ameddig az eszkz trolja
az zeneteket, gy cskken a kr mrtke, ha elhagyjuk az eszkzket. Ha ms alkalmazsok szmra
is engedlyezzk az adatokhoz hozzfrst, akkor knnyen eljuthatunk oda, hogy ingyenes levelez
rendszerekbe betltjk a teljes partner adatbzisunkat.
Ha mg olvasna errl:
http://office.microsoft.com/hu-hu/word-help/az-adatvedelmi-beallitasok-megtekintese-HA010354327.aspx
http://www.piriform.com/ccleaner/builds
90
91
92
Biztonsgos zemeltets
A RENDSZERGAZDKAT FENYEGET VESZLYEK
Az informcis rendszerek biztonsgos zemeltetsrl rszletes mdszertanok, egyetemi specializcik, s nemzetkzi szakmai vizsgk szlnak. Jelen tjkoztat nem kvn ezekkel versenyezni,
azonban fel kvnja hvni a figyelmet a kzelmltban tapasztalt lnyeges kockzatokra.
Klnsen a nemzetkzi s hazai tapasztalatok fggvnyben fontos, hogy az informcis rendszerek mkdtetsrt felels munkatrsak tisztban legyenek a felelssgeikkel, s mshol mr bekvetkezett hibk hatsaival.
A kzszfrban pldul a Nemzeti Biztonsgi Felgyelet, a Nemzeti Hlzatbiztonsgi Kzpont, s
az Alkotmnyvdelmi Hivatal vgez tjkoztat tevkenysget. A nemzetkzi s a hazai biztonsgi
szakmai szervezetek is szmos rendezvnyen, s kiadvnyok formjban biztostjk a figyelem felhvst, s a szakemberek tjkoztatst. Ilyen az ISACA, a KIBEV, s a HTE rendezvnyei, de zleti
konferencik tmjn is rendszeresen szerepel.
A biztonsgos zemeltets kpessgnek megvalstsa a szervezet els szm vezetjtl indul, fontos hogy
ezt clknt hatrozza meg a szervezet szmra, biztostsa az ehhez szksges eszkzket, s szakembereket.
A gyakorlatban az zemeltets biztonsga viszont a rendszereket mkdtet informatikus szakembereken, a rendszergazdkon, s kzvetlen vezetiken mlik. Fel kell kszteni a szakembereket a
munkjuk vgzsre:
az alapvet informcibiztonsgi ismeretekkel rendelkeznik kell,
a biztonsgos zemeltetshez szksges alapvet ismeretekkel rendelkeznik kell,
s a felelssgi krkbe tartoz rendszerek pontos mkdst, s biztonsgi funkciit ismernik kell.
nmagban egy felkszlt rendszergazda nagyon fontos, de nem elgsges a biztonsgos zemeltetshez, biztostani kell a helyettesthetsgt s az elvgzett zemeltetsi tevkenysgek dokumentlst.
Ha mg olvasna errl:
http://www.kibev.hu/index.php/sans-top-20-kibev-poszter
93
Mirl beszlnk?
94
95
Mirl beszlnk?
Az internetre csatlakoztatott rendszerek eltt lev biztonsgi szoftverekben (tzfal, IPS) rendszeresen
tallkozhatunk olyan jelleg informcikrsi prblkozsokkal, amelyeknek az a clja, hogy az adott
rendszerrl minl tbb informcit gyjtsenek be.
Mit veszlyeztet:
Felhasznl: a felhasznlk ltalban csak az otthoni szmtgpk tzfal napljban tallkozhatnak ezzel, ha elmlyednek benne.
Rendszermkds: a clzott hlzat letapogats s felderts a szolgltats minsgnek cskkenshez vezethet tmenetileg. Ha a letapogats nem tall ismert hibt s nem kveti betrs,
vagy jelszfeltrsi prblkozs akkor nincsen hatsa.
Informcibiztonsg: a rendszerekre vonatkoz informcik segtsgvel eredmnyes betrsekre kerlhet sor, ekkor vezethet az informcibiztonsg srlshez.
Nemzetbiztonsg: idegen llamok ltal vgzett tevkenysgknt veszlyeztetheti a
nemzetbiztonsgot.
Plda:
Szmos technikai mdszer s program elrhet a hlzatok letapogatsra, s megelzsi clbl is
hasznlhatjuk sajt rendszernk gyenge pontjainak feldertsre.
Sok esetben az ismeretlen forrsbl rkez hlzati krsek, n. hlzat letapogatsok egy jvbeni
tmads lehetsgt foglaljk magukban. gy kvnnak informcit gyjteni a rendszernk gyenge
pontjairl, illetve rendszereink ismert srlkenysgeirl.
Hogyan elzzk meg?
A korszer tzfalaknak figyelnik kell az egyes hlzati portokon foly forgalmat. rzkelnik kell, ha
valaki letapogatja a nyitott portokat (port scanning), s kpesnek kell lennie az egyes portok lezrsra, vagy a letapogatst vgz fell jv teljes forgalom kizrsra.
A rendszereink biztonsgi frisstse cskkenti a kls tmadsok eredmnyessgt, ezrt itt is j
megelzsi mdszer. Mert azt az informcit jelzi a tmadnak vissza, hogy a rendszernk nem
tmadhat ismert mdon.
96
97
Mirl beszlnk?
98
99
Veszlyek: adatveszts
Mirl beszlnk?
Plda:
Hardver hiba miatt volt mr plda arra, hogy megsrlt adathordozkon a srlt adatok a biztonsgi
tartalk adathordozra is automatikusan tmsolsra kerltek (RAID).
Ha a minimlisan szksges mentend adatmennyisg (RPO) nem megfelelen kerl meghatrozsra, akkor a mkdst veszlyeztethet akr egy mszaki hiba is, amely adatvesztssel jr, mivel
ebben az esetben csak az elz mentsbl llthat vissza az adat, ami egy ht, vagy egy nap teljes
munkjnak ptlsval is jrhat.
Hogyan elzzk meg?
Fontos a rendszereinkben kezelt adatok krnek pontos ismerete, azokra vonatkoz mentsi kvetelmnyek azonostsa s vezeti jvhagysa. Ennek ismeretben vgezheti el az zemeltets a
megfelel mentsi megoldsok kialaktst.
100
A felhasznlk tudatostsa is szksges az adatments megelzse rdekben. ltalban a felhasznlk ltal hasznlt asztali, vagy hordozhat szmtgpek merevlemezt kzpontilag nem mentik,
ezrt nem is szabad fontos adatokat trolni rajtuk. A felhasznl, vagy a szervezeti egysg kzponti
meghajtjt szksges hasznlni a munkavgzs sorn. gy biztosthat az adatok visszallthatsga.
Mit tegynk, ha bekvetkezik?
Idelis esetben vegyk el az utols mentst, amelyet az zleti ignyeknek megfelelen hatroztunk
meg, gy elviselhet mrtk az adatvesztsnk, amelyet nhny tlrban a szervezet kpes ptolni.
Ha szerencsnk van, akkor nem dolgoztunk az adattal az elz ments ta, gy az informatika adatveszts nlkl vissza kpes lltani.
Ha azt tapasztaljuk, hogy mgsem az szervezet ignyeinek megfelel a mentsi szablyzat, akkor
vizsgljuk fell azt, hogy a jvben nem kerljnk ismt ilyen helyzetbe!
Ha az adathordoznk srlse miatt van adatvesztsnk, akkor megprblkozhatunk az adatment
szolgltats ignybevtelvel, ezeknek azonban jelents kltsgk van, gy csak indokolt esetben javasolt ignybevtelk.
Ha mg olvasna errl:
http://hu.wikipedia.org/wiki/Adatment%C3%A9s
http://computerworld.hu/computerworld/nincs-orvossag-az-adatvesztesre-20090212.html
http://www.infoter.eu/cikk/ot_tanacs_a_katasztrofa-helyreallitasi_terv_felepitesehez
101
Mirl beszlnk?
102
A szervezetek rendszereiben javasolt a frisstsek temezett teleptse, azaz nhny tipikus gpre
teleptsk elszr, vizsgljuk fell, hogy van-e valamilyen hatsa a szoksosan hasznlt informatikai
rendszerekre, s ha nem okoz hibs mkdst, akkor terjesszk ki a tbbi gpre.
A szoksos Windows frisstsek mellett nagyon fontos a szerverek frisstse, klnsen a kls hlzatra kttt gpek, de nem kevsb fontos a bels hlzaton levk sem, mert ha a hatrvdelmen
tjn egy tmad, akkor a bels rendszerek fell is kpes tmadni az informatikai szolgltatsokat.
Mit tegynk, ha bekvetkezik?
Ha elmulasztottunk egy rendszert frissteni, akkor mielbb frisstsk, ha tudomsunkra jut.
Mkdtethetnk automatizlt srlkenysg vizsgl szoftvert, amely rendszeresen feltrja a hinyz
frisstseket.
Ha mg olvasna errl:
http://en.wikipedia.org/wiki/Windows_Update
http://hu.wikipedia.org/wiki/Nulladik_napi_t%C3%A1mad%C3%A1s
103
Biztonsgtudatos vezets
MIT TEHETNEK A VEZETK AZ INFORMCIBIZTONSGRT
A menedzsment mdszertanok a biztonsgi kultra eredmnyes megvalstst lehetv tev sikertnyezk kztt els helyen tartalmazzk a fels vezets elktelezettsgt. St, tbb mdszertan
odig megy, hogy azt mondja, ennek hinyban neki kezdeni sem rdemes, mert eleve kudarcra van
tlve a kezdemnyezs.
Biztonsgirnyts kvetelmnyei
A kvetkez ngy alfejezetben ismertetjk az ISACA nemzetkzi felmrsn alapul kvetelmnyeket,
amelyeket az informcibiztonsgi irnytssal szemben a szervezeteknek tmasztaniuk kell.
Informcibiztonsg irnytsa
A szervezetnek olyan informcibiztonsg irnytsi keretrendszert s erre pl mkdsi folyamatrendszert kell kialaktania s fenntartania, amely biztostja az informcibiztonsgi stratgia sszhangjt a szervezet cljaival, ktelez s vllalt feladataival, a szervezetet veszlyeztet kockzatokkal,
tovbb a megvalstsra biztosthat forrsokkal.
Az informcibiztonsg irnytst a szervezet irnytsi rendszernek szerves rszve kell tenni,
s irnytsi mdszert (keretrendszert) kell alkalmazni.
Meg kell szerezni a szervezet vezetje (fels vezets) tmogatst az informcibiztonsgi stratgia sikeres megvalstsa rdekben.
Az informcibiztonsgi stratgit a szervezet stratgijbl (ktelez feladataibl) levezethet
clokhoz illeszkedve kell kialaktani.
Az informcibiztonsgi stratgia megvalstst folyamatos informcibiztonsgi programknt
kell vgrehajtani.
Informcibiztonsg irnytst s menedzselst szt kell vlasztani.
104
Az informcibiztonsgi beruhzsokrl szl dntst tmassza al rszletes megtrls vizsglat (business case).
Az informcibiztonsgra hatssal lev kls s bels tnyezket rendszeresen azonostani s
rtkelni kell.
Meg kell hatrozni a szervezet minden szintjn az informcibiztonsgrt val felelssgeket,
szerepeket a fels vezetstl a beosztott munkavllalk szintjig.
Olyan visszamrsi mutatszmrendszert kell kialaktani, amely biztostja a kockzatok feltrst
(KRI) az elrehalads mrtknek meghatrozst (KPI), s a clok elrst (KGI), ezltal eredmnyesen biztostva az informcibiztonsgi stratgia elrst, s a szervezet ktelez s vllalt
feladatainak vgrehajtst.
105
106
Szemlyes pldamutats
A felsvezetk tudatos elktelezettsge fontos kezdete a biztonsgtudatos vllalati kultra kialaktsnak, ugyanakkor ez csak a kezdet. Fel kell figyelnie a vezetknek arra, hogy a biztonsggal kapcsolatos
tevkenysgeiket krltekinten vgezzk.
Tbb olyan rossz gyakorlat, vezeti szoks van, amely htrltatja a biztonsgi kultra fejldst:
Ha egy problmt figyelmen kvl hagyunk, attl nem oldjuk meg. Knnyen lehet, hogy sokkal
nagyobb krt okozva fog ismt felmerlni!
Ha tzolts jelleggel, rvidtv megoldsokkal kezelnk problmkat, akkor jra
felbukkanhatnak!
107
Ha gy gondoljuk, hogy mindenki elengedi a fle mellett, ha vletlenl a szervezetnkrl nyilvnossgra kerl egy biztonsgi esemny, akkor tvednk! Npszer sajthr lesz belle!
Ha egyszeri alkalommal ruhzunk be a biztonsg rdekben, de sprolunk a karbantartson s a
mkdtetsen, akkor nem biztostjuk a biztonsg fenntartst!
Ha azt gondoljuk azrt mert a biztonsgi rendszer egy elemt, pldul a tzfalat egy nagyobb
sszegrt rendbe raktuk, akkor biztonsgos a rendszer, tvton jrunk. Az jabb tmadsok
vgan keresztlmennek a tzfalakon legitim forgalomnak lczva magukat. A rendszer egyen
szilrd vdelmre kell trekednnk!
Ha a szervezet vdelmnek kialaktsa sorn a fizikai biztonsgot tartjuk eltrben, akkor nem
ismerjk fel a szervezet mkdsnek prioritsait! Sokkal jelentsebb lehet a gyenge informcibiztonsgi szablyok kvetkezmnye!
Ha nvleg jelljk csak ki az informcibiztonsgi felelst, de nem biztostjuk a folyamatos kpzst szmra, vagy biztostjuk a feladat vgrehajtshoz szksges kapacitst, akkor nem tudjuk
a kell mrtkben kzben tartani a biztonsgi kockzatokat!
sszessgben, ha nem foglalkozunk a biztonsggal, ha kampnyszeren vesznk egy biztonsgi
eszkz, vagy ha gy tesznk, mintha foglalkoznnk vele, de nem sznjuk r a szksges kapacitst
s anyagi forrsokat, akkor nem jrunk el kell gondossggal, s a vonatkoz jogszablyoknak sem
felelnk meg az elektronikus informcibiztonsg, a bels kontroll rendszer kialaktsa vagy pldul
a ltfontossg infrastruktra elemek vdelme tekintetben.
108
nem ltez
kezdeti / ad-hoc
ismtld
2
szablyozott
3
menedzselt
4
optimalizlt
kpessg
eredmny
a kpessg hinyzik
a szervezet felismerte
a biztonsgi kultra
fontossgt, de nem
tudatosan kszti fel a
munkatrsakat
a szervezet vezetse
elvrja a biztonsgi
kultra kialaktst,
de nem trekszenek
tervszeren r.
a szervezet ltrehozta
a biztonsgi kultra
fejlesztsi programot,
de korltozottak a
megvalsts eszkzei
eredmnyes a program
megvalstsa,
tudatosan rszt vesznek
benne a felhasznlk
a biztonsgi kultra
fejlett, thatja a
szervezetet, s a kultra
fejlesztse beplt a
szervezet folyamataiba
megindult a biztonsgi
kultra fejlesztse
trekszenek a
jogszablyi megfelelsre
jogszablyoknak
megfelels valszn
szablyok szerint
folyamatosan megfelel
szinten menedzselt
mutatszm rendszer
segtsgvel irnytott s
fejlesztett
12
Capability Maturity Model (Kpessg-rettsg modell) A modellben t fokozat tallhat, amely alapjn kirtkelhet egy szervezet
fejlettsge a szabvnyos folyamatok kifejlesztse s kvetse tekintetben.
109
Az alapelveket figyelembe vev, a szksges biztonsgi szint elsegtst szolgl szervezeti biztonsgi kultrt az albbi felsorols szerint clszer megvalstani.: A Vasvri Gyrgy ltal javasolt, jelen
dokumentum bevezet rszben ismertetett, egyni s szervezeti kultra jellemzk meghatrozsa
segthet szemlyre szabni a fejlesztsi programot.
1. A szemlyisgjegyek feltrsa: az egynek s a szervezetek szemlyisgjegyeinek azonostsa trtnhet krdvek kitltsvel, illetve szemlyes beszlgetsek tjn. Amennyiben nem anonim
mdszert alkalmazunk, szksges a munkatrsak hozzjrulsa a szemlyes adatok kezelshez.
2. A szemlyisgjegyek rtkelse: az egynek szemlyisgjegyeinek azonostsa a szervezet szmra legkedvezbb szemlyisgjegyek figyelembe vtelvel trtnhet, ennek fggvnye lehet a
szemlyi sszettel mdostsa, s a szervezetfejleszts meghatrozsa.
3. A teendk megllaptsa:az egynek tpusjegyeinek fejlesztse a szervet szmra legkedvezbb
sszettel elrse rdekben, clirnyos terv alapjn.
A kockzatkezels
Tkletes biztonsgot akkor tudunk elrni, ha beszntetjk az sszes tevkenysg vgzst, azaz
nem csinlunk semmit. Belthat, hogy ez ritkn vlaszthat megolds. Azonban a veszlyek s
lehetsgek ismeretben eredmnyesen kezelhetjk a tevkenysgek vgzsbl fakad kockzatokat
a szksges kontrollok kialaktsval, s mkdtetsvel. A bels kontroll rendszer kialaktsa sorn
klnfle vdelmi intzkedsek kombincijaknt alaktjk ki a biztonsgi szakemberek azt a kontroll
rendszert, amely a fels vezets ltal felvllalt kockzat vllalsi szintnek megfelel vdelmet biztostja a szervezet szmra.
Kontroll alatt az ellenrzsi szakma (COBIT 4.113 alapjn) olyan irnyelveket, szablyzatokat, eljrsokat, mdszereket s szervezeti struktrt rt, amelyet azrt hoztak ltre, hogy sszer bizonyossgot adjanak a szervezeti clkitzsek elrsre, a nemkvnatos esemnyek megelzhetsgre,
felismerhetsgre, s helyesbthetsgre. Ez teht egy tgabb megfogalmazs, ugyanakkor fontos
korltozsokat tartalmaz: az sszer bizonyossg nem jelent teljes bizonyossgot. Annyit jelent, hogy
a bevlt mdszerekkel, s a rendelkezsre ll erforrsok felhasznlsval a kontroll kialaktst a
legjobb mdon vgeztk el. Msik korltozs, hogy a kontrollnak a szervezet clkitzseit kell szolglnia, azaz az ncl biztonsgi intzkedseknek nincs helye egy jl kontrolllt szervezetben.
13
http://www.mtaita.hu/hu/Publikaciok/ISACA_HU_COBIT_41_HUN_v13.pdf
110
Az informcibiztonsg szempontjbl kockzat alatt az adott informcis rendszer, vagy az informci fenyegetettsgnek mrtkt rtjk. A kockzat elemzs sorn fel kell trni a rendszerek gyenge
pontjai (sebezhetsg) s az azt r fenyegetseket, majd meg kell hatrozni a bekvetkezs valsznsgt s a vrhat krt.
Az informcis rendszer sebezhetsge a rendszer tervezsnek, megvalstsnak, vagy mkdsnek olyan gyengesge, amely a rendszer elleni tmads sorn kihasznlhat, s emiatt fennll a
biztonsg srlsnek lehetsge.
Az informcis rendszer szempontjbl fenyegetsnek tekintnk minden olyan krlmnyt vagy esemnyt, amely az adatok, vagy informcis rendszerek biztonsgt fenyegethetik. Ide soroljuk pldul
a szemlyektl ered tmadsokat (pl. szmtgpes betrs), s a kls behatsokat (pl. fldrengs).
A kzigazgatsi informcis rendszerek mkdsben tapasztalt tipikus biztonsgi kockzatok:
egy j rendszer a bezemelst kvet nhny hten bell tbb napra megbnul;
vezet munkatrsak adathordozi illetktelenek kezbe kerlnek a rajta lev szemlyes levelezssel, nem nyilvnos adatokkal;
a munkjban el nem ismert rendszergazda az zemeltetsi feladatok napraksz pontos dokumentlsa nlkl tvozik;
a munkatrsak thelyezsket kveten is hozzfrnek a korbbi szervezeti egysgk anyagaihoz.
Mi okozza a biztonsgi kockzatok nvekedst:
111
Akkor tekintjk jnak a vdelmi rendszert, ha egy kellen nagy idintervallumon bell ami jellemz
a szervezet tevkenysgre a kockzatok cskkentsre fordtott kltsgek (vdelem) arnyosak a
kockzat bekvetkezsbl fakad vrhat kr mrtkvel.
Megfelels az elrsoknak
Megfelels (compliance) alatt a kzigazgatsi szervezetek ktelezettsgei bemutatsnak, s a ktelezettsgteljests bemutatsnak kpessgt rtjk, amely ltal a jogszablyi, hatsgi, bels szablyozsbl fakad, illetve a szerzdses elrsokat, elvrsokat folyamatosan teljesti.
A kvetelmnyek azonostsa s a megfelels biztostsa a bels vdelmi vonalak rszt kpez bels
kontroll funkci, amely elsegti a szervezet prudens, megbzhat az elrsoknak megfelel mkdst. Feladata a megfelelsget veszlyeztet kockzatok azonostsa s kezelse.
Az elrsoknak megfelels rdekben az sszes szakterletnek egytt kell mkdnie az albbi tevkenysgek vgrehajtsban. Szervezetenknt eltr, hogy mely szakterlet irnytja, illetve vgzi
ezeket:
112
Az informcibiztonsgi irnyts fogalomkre a CISM ISACA tanstvnyok megszerzshez szksges ismeretanyag rszv vlt 2004-ben. Az informatikai irnytsi s kontroll mdszertanokba
az informatika feletti irnyts gyakorlatainak szlesebb kr elterjedst, az informatikai irnyts
modelljnek beplst 2008-ban a COBIT 4.1, majd 2011-ben a COBIT 5 hozta meg, amely a hazai
informcibiztonsgi szablyozsba is beplt. Szintn tartalmazza a tmakr ismeretanyagainak
jelents rszt az ISC2 CISSP nemzetkzi vizsgja, ez szakrti szint vizsga (nem vezeti). Tovbbi
nemzetkzi vizsgk is lteznek, ezek az ltalnostl (pl. CompTIA Security+) a nagyon specilis rszterletig (pl. CISCO CCNA Security), illetve a vdelmi szakember jelleg vizsgtl a tmad szakember srlkenysg vizsgl - biztonsgi vizsgkig terjednek. A vizsgkra pl tanstvnyok mutatjk a szakmai irnti elktelezettsgek, igazoljk a szakismeretet s bizonytjk, hogy tulajdonosuk
kpes rtket teremteni a szervezet szmra.
Jelen fejezet Informcibiztonsg irnytsa alfejezetben felsoroltuk a biztonsgirnyts teendit,
alapkvetelmnyeit. Azonban sok esetben a szervezetek vezeti nem tudjk pontosan meghatrozni
szakszer tmogats, s vezeti biztonsgtudatostsi kpzsek hinyban hogy mit is rtenek
informci biztonsgi alapkvetelmnyeken. Ennek kvetkezmnyeknt gyakran mr csak akkor trtnnek lpsek, amikor mr ks. Valamilyen nem vrt rendkvli biztonsgi esemny breszti r a
vezetst arra, hogy megfelel vezeti szinten s a kockzatokkal arnyos intzkedsekkel szksges
kezelni az informcibiztonsgi kockzatokat. A jelenlegi krnyezetben, ahol a szervezet szmra
rvid tv clok kerltek leginkbb meghatrozsra, a rvid tv megtrlst felmutatni nem tud,
vagy a megtrlsket szmszersteni nem tud beruhzsok httrbe kerlnek. Ha az a krds,
hogy j informatikai szolgltatst valstsunk meg, vagy a teljes rendszer mkdsnek biztonsgt
nveljk, gyakran az elbbire esik a dnts. A biztonsgi vezetk feladata, hogy a szervezet vezetjt
dntsi helyzetbe hozzk a mkdst veszlyeztet kockzati tnyezk, s a kezelsk legmegfelelbb mdjnak tudatostsval. Ekkor hozhat felels dnts a szervezet kockzattr kpessgnek ismeretben az ltaluk felvllalt kockzat mrtkrl.
113
Biztonsgi monitoring
Amikor egy j hzat felpttetnk, termszetes, hogy nem csak a funkcionlis kvetelmnyeket hatrozzuk meg, hanem elvrjuk azt is, hogy az folyamatosan karbantarthat legyen, s a szksges
vdelemmel el legyen ltva az illetktelen ltogatkkal szemben. Az informatika terletn viszont
gyakran szembeslhetnk azzal, hogy egy j szolgltats bevezetse sorn a kifejleszts s telepts
vgeztvel magunkra hagy a szllt. A hzpts analgijval lve ez azt jelenti, hogy lakhat a hz,
de egy csavarhz, vagy pajszer segtsgvel msodpercek alatt betrhetnek.
A telepts pillanatban ismert s elvrhat biztonsgi belltsok elvgzst a rendszer teleptjtl
kell elvrni, azonban nmagban ez nem nyjt sokig vdelmet. A vdelmi rendszerbe folyamatosan
be kell illeszteni az jonnan megjelen vdelmi szolgltatsokat s intzkedni kell a felmerl kockzatok kezelsrl.
ltalban a gyakorlatban a biztonsgot annak hinyval mrjk, az adott idszakban bekvetkezett
rendkvli informcibiztonsgi esemnyek szma megmutatja, hny alkalommal srlhetett a biztonsg. A feltrt bels visszalsek szma j mutat lehet az etikus s biztonsgtudatos magatarts
114
szintjnek megtlshez. Ezek a mutatk azonban nem tekinthetk objektvnek. A rendkvli esemnyek szmt befolysolja pldul, hogy milyen az ellenrzsi rendszernk megbzhatsga, azaz, ha
magas sznvonal a hlzatfelgyeleti rendszernk, akkor szrevesznk minden lnyeges biztonsgi
esemnyt, ezltal a feltrt biztonsgi esemnyek szma megn, de a biztonsg kevsb srl . Ugyancsak befolysolja a nyilvntartott biztonsgi esemnyek szmt, hogy minden esemnyt bevezetnek-e
a nyilvntartsba.
A cl az, hogy mind a rendszerek mkdst, mind a bekvetkezett biztonsgi esemnyeket figyelemmel ksrjk. Erre egyrszt a hagyomnyos rendszer- s hlzatfelgyeleti szoftverek hasznlata, msrszt a biztonsgi esemnyek elemzshez kzponti naplgyjt rendszer s naplelemzsi jelentsek
kialaktsa szksges, amely a lnyeges kockzatok szoros felgyelett teszi lehetv. A fejlett biztonsgi monitoring rsze ma mr az automatikus srlkenysg vizsgl eszkzk alkalmazsa, amelyek
segtik a rendszerek napraksz frisstst, s javaslatot tesznek a szksges vltoztatsok teleptsre.
j rendszerek bevezetsnek tervezsekor nem szabad elfelejtkezni a biztonsgi kontroll s monitoring funkcik szksgessgtl. Korszer szervezetirnytsi rendszerek (pl. SAP, ORACLE) olyan
beptett kontrollokat tartalmaznak, amelyek bizonyos felttelek esetn (pl. 10 MFt feletti tranzakci,
trzsadat vltozs) azonnali, vagy napi jelentst kldhetnek a felhasznl felettesnek. A biztonsgi, vagy ellenrzsi terlet ignyeit is kpesek ezek a rendszerek kielgteni, n. folyamatos kontroll
monitoring funkcikkal, amelyek lehetv teszik ellenrzsi szempontok minden egyes tranzakcin
val vals idej futtatst.
A tervezskor ignyelt biztonsgi funkcionalits lnyegesen olcsbban megvalsthat, mint annak
utlagos fejlesztse, vagy kiegszt funkciknt val megvalstsa.
115
A biztonsgi osztlyba sorols sorn meghatrozzk, hogy milyen kategriba (pl. alacsony, fokozott,
kiemelt) kerlnek bizalmassg, srtetlensg, s rendelkezsre lls szempontjbl. Ezen szempontok
aggreglsa sorn a legszigorbb kategrit kapja maga az informcis rendszer. Azaz amennyiben
bizalmassg, s srtetlensg szempontjbl alacsony kategriba soroltuk az adatokat, de a rendelkezsre lls szempontjbl kzepes kategriba kerlt, akkor a rendszert kzepes kategriba kell sorolni.
A biztonsgi osztlyba sorols sorn ugyanazon kategriba sorolt vagyonelemeket clszer hasonl
vdelemmel elltni. Az ingatlanok, s az informcis rendszerek vdelme esetn is beszlhetnk
klnbz vdelmi szintrl. A vdelmet ezek szerint biztonsgi znkra lehet osztani. gy beszlhetnk f kategria szerint nyilvnos znrl, korltozott hozzfrs, s fokozottan vdett znrl.
Esetenknt ezeken bell tovbbi kategrik kialaktsa indokolt lehet.
116
117
Kiszervezs
Az elmlt vtizedben egyre tbb szervezet, intzmny szervezi ki az alaptevkenysghez szorosan
nem kapcsold tevkenysgeket ms szervezetekhez. Ezt feladat vagy erforrs kiszervezsnek,
outsourcing-nak nevezzk. Elnye, hogy a szervezetek magas sznvonal, az elvrsaiknak megfelel szolgltatst kapnak versenykpes kltsg szinten, amely sszessgben alacsonyabb, mintha
sajt maguk alaktottk volna ki, s vgeznk el a tevkenysget.
Fontos tudni, hogy a feladat kiszervezse nem jelenti a felelssg kiszervezst, az elsdleges felelssg tovbbra is a szervezet vezetjt vagy menedzsmentjt terheli, amelyet ksbb polgri peres ton
a szerzdtt cg fel is rvnyesthet.
118
Az kiszervezs lnyege, hogy bizonyos feladatokat vagy annak egy rszt tadja egy msik, erre specializldott szervezetnek, vagy vllalkozsnak. Legfontosabb elnyei:
A szolgltatsok rendelkezsre llst a szolgltat biztostja.
Az erre specializlt szervezet hatkonyabb, rugalmasabb s biztonsgosabb szolgltatst
garantlhat.
A kltsgek elre tervezhetek.
Nincs jelents kialaktsi (beruhzsi) kltsg.
Az amortizci nem terheli a szervezetet.
A munkaer felvtele, s a munkaer brkltsge nem a megrendelt terheli.
A munkatrsak kpzse, helyettestse is a szolgltat feladata.
A szolgltat rdekelt a korszer mszaki megoldsok megvalstsban.
A kontroll rendszerrel szemben tmasztott elvrsokat a szervezet harmadik fllel kttt szerzdseibe is be kell pteni; gy klnsen informatikai szolgltats ignybevtele esetn el kell rni a szolgltatsi szerzds, vagy szolgltatsi szint megllapods rszeknt az ltalnos (pl. rendelkezsre
lls) s specilis (pl. kommunikcis csatornk titkostsnak mdja) biztonsgi kvetelmnyeket,
azok mrsnek mdszert, gyakorisgt, s a jelentskszts mdjt.
Fel kell hvni a szolgltat figyelmt, hogy a megrendelre rvnyes jogszablyi kvetelmnyeket neki
is s az alvllalkozinak is be kell tartania. Klnsen az informatikai kiszervezsekkel kapcsolatban
fontos a szksges biztonsgi intzkedsek megtervezse s folyamatos mkdtetse (pl. naplllomnyok gyjtse s elemzse, szemlyes adatok vdelme).
A kzszfrban bizonyos informatikai szolgltatsok nyjtsa esetn mr a jogalkot lt a kiszervezs
lehetsgvel, st esetenknt (pl. Nemzeti Tvkzlsi Gerinchlzat, NTG) ktelezv is tette ilyen
szolgltatsok ignybevtelt. Ebben az esetben a szolgltatsok ignybevtelnek felttelei jellemzen szablyozottak, de fontos a szervezet specilis ignyei alapjn ttekinteni, hogy szksges-e
azok mdostsa, vagy kiegsztse.
Ha mg olvasna errl:
http://www.pszaf.hu/data/cms2151158/Kiszervezesi_palyazat_PRAUDIT_2010_04_07_v10.pdf
119
Munkagy szerepe
Az emberi tnyez
Az informatikai rendszerekben ltalban a legnagyobb kockzati tnyez az ember. Nem csak a szervezetben informatikai rendszert hasznl munkatrsak, hanem a rendszerek tervezi, megvalsti,
zemelteti, a kls szolgltatk munkatrsai, s mindazok, akik valamilyen mdon hatssal vannak
a rendszerre. A kockzat fakadhat hozz nem rtsbl, vletlen hibbl, j szndkbl, vagy krokozs cljbl.
A szemlyek ltal okozott adatveszts jellemz okai a kvetkezek:
Gondatlansg: pldul a Horvth Gergely Krisztinnak kldend levelet ugyanannl a szervezetnl egy Horvth Gergely nev msik munkatrsnak kldi valaki, annak, aki nem lenne jogosult a
levl tartalmnak megismersre.
Fokozott terhels, csaldi problmk, stressz: stressz kvetkeztben cskkenhet a koncentrlkpessgnk, s hibt vtnk egy adatrgzts sorn, vagy a trlend llomnyok helyett mst
trlnk le.
Ismerethiny: j szablyozs, vagy mdosult rendszer mkds ismeretnek hinyban hibsan
rgztnk egy parancsot, vagy nem minden bergztett adatot mentnk el.
Hibsan megtervezett folyamatok, a kontrollok hinya: ltalban j rendszerek elindulsakor
fordul el, hogy nem minden lnyeges s sszer kontrollt ptettek be a rendszerbe, pldul
adatrgztskor hagyja a rendszer, hogy hibsan rgztsk az gyfl nevt, ha azt a trzsadatokkal nem veti ssze.
Hibs rendszermkds: szmos lehetsg van a rendszerek mkdse sorn a hibra, pldul
egy lejrt tartozs ksedelmi kamatszmtsakor nem megfelel kamatlbbal szmol.
Szndkos szablyszegs: pldul jelents munkt ignyl, de kevss kontrolllt tevkenysgek
elvgzse elmaradhat, anyagi elnyrt cserbe egy felhasznl informcit adhat ki, vagy a rendszer belltsait mdosthatja.
Hinyos biztonsgtudat: gyakran a vals veszlyek fel nem ismerse vezet el egy biztonsgi
esemnyhez. Pldul egy parkolban tallt memria krtya hivatali gpbe val beolvassa krtev
szoftvert kpes a rendszerbe juttatni a felhasznl szmra szrevtlen mdon.
Tl kompliklt kezels: egy informcis rendszerben ltalban a bonyolultsggal arnyosan n
a hibk szma, pldul, ha tbb aloldalon kell az adatokat rgzteni, akkor elmaradhat az oldal
elmentse, vagy kimaradhat 1-1 lps.
Szndkos krokozs: egy konfliktus helyzet (pl. fegyelmi eljrs, msok eltti megalzs) kvetkeztben az elgedetlen munkatr, a megfelel jogosultsgok, vagy a helyzet adta lehetsgek
kihasznlsval jelents krt kpes okozni.
120
Mindezek felhvjk a figyelmet arra, hogy a munkagy, vagy ms nven a humn erforrs kezelsi
szakterlet munkja nem elhanyagolhat rsze az informcibiztonsgnak. A munkatrsak megfelel kivlasztsa, felksztse, motivlsa, s szankcionlsa ezen okokat j esllyel kpes megelzni,
illetve a hatst cskkenteni.
121
122
123
KIF
Jogszablyok
Mellklet
A BIZTONSG RAJTAD MLIK!
124
125
126
KIF
Tovbbi informcik
Mellklet
127
128
Az IBIV egy MSZ ISO/IEC 27001:2005 szabvny szerinti megfelelst bizonyt tanstvny megszerzsre val felkszls alapja lehet, ami ltal cskkenthet a kls felkszttl ignybe veend szksges kapacits, felkszlt bels szakemberek rendelkezsre llsa esetn.
URL: http://www.ekk.gov.hu/hu/kib/ajanlasok
KIB 28 E-Kzigazgatsi Keretrendszer
Az E-Kzigazgatsi Keretrendszer projekt eredmnyeknt llt el szintn 2008-ban a KIB 28. szm
ajnlsa, amely az elektronikus kzigazgats fejlesztshez szksges teljes eszkztrat tartalmazza,
azaz az informatikai biztonsgi kvetelmnyeken tlmenen a funkcionlis s a mdszertani kvetelmnyeket egyarnt. Az eszkztr kidolgozsa sorn kiemelt cl volt, hogy az nllan megvalsul
szakgazati s nkormnyzati rendszerek kztt az egyttmkds (interoperabilits) kpessge biztostott legyen.
URL: http://www.ekk.gov.hu/hu/kib/ajanlasok
A Pnzgyi Szervezetek llami Felgyelete is tbb ajnlst s mdszertani tmutatt dolgozott ki az
informatikai rendszerekkel kapcsolatban:
6/2013. (III. 11.) szm ajnls a bels vdelmi vonalak kialaktsrl s mkdtetsrl, a pnzgyi szervezetek irnytsi s kontroll funkciirl.
129
KIF
Mellklet
A BIZTONSG RAJTAD MLIK!
130
Antivirus software
vrusvdelmi szoftver
Application controls
alkalmazs-kontrollok
Application security
alkalmazs-biztonsg
Assurance
bizonyossgnyjts
Awareness
tudatossg
Computer-assisted
audit technique
(CAAT)
Backup
ments
Control
kontroll
Biometrics
biometria
Control risk
kontroll kockzat
feketedoboz tesztels
Botnet
zombihlzat
Corporate
governance
felels
vllalat-irnyts
Browser
bngsz
Corrective control
helyesbt kontroll
nyersers tmads
Critical infrastructure
Business continuity
zletfolytonossg,
Ltfontossg
infrastruktra
Business impact
analysis (BIA)
zleti hatselemzs
(BIA)
Cryptography
kriptogrfia
Data classification
adatosztlyozs
Capability Maturity
Model CMM)
kpessg rettsgi
modell (CMM)
Data security
adatbiztonsg
Decryption
rejtjelfejts
Certificate
(Certification)
authority (CA)
hitelests-szolgltat (HSZ)
Denial-of-service
attack (DoS)
Detective control
feltr kontroll
Ciphertext
rejtjelezett szveg
Digital signature
digitlis alrs
Cleartext
Disaster
katasztrfa
Compensating
control
kiegszt kontroll
Disaster recovery
plan (DRP)
katasztrfaterv (DRP)
Completely
Automated Public
Touring test to tell
Computers and
Humans Apart
(CAPTCHA)
teljesen nmkd
nyilvnos Touring
teszt szmtgpek
s emberek megklnbztetsre
(CAPTCHA)
Encryption key
titkost kulcs
vllalati
kockzatkezels
Event
esemny
Forensic examination
trvnyszki vizsglat
Honeypot
mzesbdn
Compliance testing
megfelelsg-tesztels
Incident response
rendkvli
esemnyre adott
vlaszintzkeds
131
Information security
informcibiztonsg
Internal control
environment
bels
kontrollkrnyezet
nyilvnos kulcs
titkosts
Quality
minsg
Intrusion detection
system (IDS)
behatols-szlel
rendszer (IDS)
Reputation risk
IT risk
IT kockzat
Residual risk
maradvnykockzat
Key performance
indicator (KPI)
kulcsfontossg
teljestmnymutat
Risk factor
kockzati tnyez
Risk tolerance
kockzattrs
Log
naplllomny
gykrok-elemzs
Malware
rosszindulat
programkd
Security incident
Man-in-the-middle
attack
kzbekeldses
tmads
biztonsgi rendkvli
esemny (biztonsgi
incidens)
Sign-on procedure
bejelentkezsi eljrs
Maturity model
rettsgi modell
Social engineering
megtveszts
Outsourcing
kiszervezs
Spyware
kmprogram
Password
jelsz
Substantive testing
lnyegi tesztels
Password cracker
jelsztr (program)
Telecommunications
tvkzls
Penetration testing
behatols-tesztels
Token
hitelest eszkz
Total cost of
ownership (TCO)
tulajdonls teljes
kltsge (TCO)
Trojan horse
trjai fal
Personal
szemlyes azonost
identification number kd (PIN)
(PIN)
Phishing
adathalszat
Policy
irnyelv
Two-factor
authentication
ktfaktoros
hitelests
Preventive control
megelz kontroll
Validity check
Procedure
eljrs
rvnyessgi
ellenrzs
Process
folyamat
Public key
nyilvnos kulcs
Virtual private
network (VPN)
Vulnerability
sebezhetsg
132
Rvidtsek jegyzke
BCMS business continuity management system, ISO 22301 szerinti menedzsment rendszer a folyamatos mkds (zletfolytonossg) fenntartsra,
BCP business continuity plan, A folyamatos mkds fenntartsra vonatkoz terv egy mkdsi
folyamatra vonatkozan (zletfolytonossgi terv),
BMIS Business model for information security, az ISACA holisztikus informcibiztonsg menedzsment mdszertana, mely beplt a COBIT 5 keretrendszerbe.
CAAT computer assissted audit tool, szmtgpes tmogatst biztost ellenrzsi szoftver, amelyet biztonsgi vagy ellenrzsi szakemberek hasznlnak.
CERT hlzatbiztonsgi kzpontok, amelyek f feladata a hlzatbiztonsgi incidensek kezelse,
az llami szfra vagy egyes gazatok informatikai rendszereinek hlzatbiztonsgi tmogatsa.
A CERT-ek megfelel technikai httrrel rendelkeznek ahhoz, hogy idben reagljanak s kezeljenek minden hlzatbiztonsgra s ltfontossg informcis infrastruktrra veszlyes esemnyt.
A bejelentett esemnyeket a kzpontok bizalmasan vezetik.
CIA elv Az informatikai biztonsg az informatikai rendszer olyan kedvez llapota, amelyben a kezelt
adatok bizalmassga (confidentiality), srtetlensge (integrity) s rendelkezsre llsa (availability)
biztostott, valamint a rendszer elemeinek biztonsga szempontjbl zrt, teljes kr, folytonos s a
kockzatokkal arnyos.
CISA Certified information systems auditor, tanstott informcirendszer ellenr cm, melyet az
ISACA szakmai vizsga s a tanstsi felttelek teljestse esetn, folyamatos tovbbkpzs, a szakmai s etikai szablyok betartsa mellett viselheti a tanstott szemly, az ISACA szakmai szervezet
tanstvnya.
CISM Certified information security manager, tanstott informcibiztonsgi vezet cm, melyet az
ISACA szakmai vizsga s a tanstsi felttelek teljestse esetn, folyamatos tovbbkpzs, a szakmai s etikai szablyok betartsa mellett viselheti a tanstott szemly, az ISACA szakmai szervezet
tanstvnya.
CISSP Certified information systems security professional tanstott informatikai biztonsgi szakrt, az ISC2 szakmai szervezet tanstvnya,
CMM Capability Maturity Model (Kpessg-rettsg modell) A modellben t fokozat tallhat, amely alapjn kirtkelhet egy szervezet fejlettsge a szabvnyos folyamatok kifejlesztse s kvetse tekintetben.
133
COBIT Az ISACA, mely az informcirendszer ellenrk, az informcibiztonsgi, informatikai irnytsi s informatikai kockzatkezelsi szakemberek nemzetkzi szervezete az informatikai irnyts,
kockzatkezels, informcibiztonsg irnyts s informatikai ellenrzs j gyakorlatait magba foglal keretrendszer. A mdszertan elssorban a szakmai vezetknek ad segtsget ahhoz, hogy felmrhessk, s elfogadhat szintre cskkenthessk azokat a kockzatokat, amelyeket az informatika zleti
folyamatokba plse jelent. Irnymutatsokat tartalmaz egy IT kontroll rendszer kialaktshoz s
annak a folyamatos mkdtetshez. www.isaca.org
DoS tmads A szolgltatsmegtagadsos (Denial of Service vagy DoS) tmads egy meghatrozott alkalmazs, opercis rendszer ismert gyengesgeit, vagy valamilyen specilis protokoll tulajdonsgait (gyengit) tmadja meg. Clja, hogy az alkalmazs, vagy rendszer elrsre feljogostott
felhasznlkat megakadlyozza a szmukra fontos informcik, a szmtgp-rendszer vagy akr a
szmtgp-hlzat elrsben.
DDoS tmads elosztott, azaz szmos klnbz helyrl egy idben indtott DoS tmads.
DRM Digital Rights Management, digitlis jogkezel eljrs jogvdett adatok vdelme rdekben.
DRP Disaster recovery plan (informatikai) Katasztrfa-terv
IBP Informatikai Biztonsgi Politika,
IBSZ Informcibiztonsgi szablyzat
MIBA Magyar Informatikai Biztonsgi Ajnlsok, a KIB 25. rsze,
MIBIK Magyar Informatikai Biztonsg Irnytsi Keretrendszer, a KIB 25. rsze,
NEIH Nemzeti Elektronikus Informcibiztonsgi Hatsgot,
OECD Organisation for Economic Co-operation and Development - Gazdasgi Egyttmkdsi s
Fejlesztsi Szervezet
WoT: Web of trust megbzhatsgi hlzat. Olyan oldalak gyjtemnye, amelyet a felhasznlk krtkonynak talltak.
134
Irodalomjegyzk
A szakmai tartalom sszelltsa sorn felhasznltk a tmra vonatkoz oktatsi anyagokat,
internetes szakmai forrsokat, s hrforrsokat.
Hatsgok ajnlsai, tjkoztat anyagai:
ENISA eurpai informcibiztonsgi gynksg
NIST amerikai kormnyzati szabvnygyi testlet
PSZF magyar pnzgyi felgyelet
Internetes informciforrsok:
Wikipedia, kzssgi enciklopdia (www.wikipedia.com, www.wikipedia.hu)
Buhera Blog (buhera.blog.hu)
Mysec portl (www.mysec.hu)
Szakmai szervezetek kiadvnyai:
ISACA (www.isaca.org, www.isaca.hu)
ISC2 (www.isc2.org)
CERT Hungary (www.cert-hungary.hu)
OWASP (www.owasp.org)
INFOTR (www.infoter.eu)
Internetes hazai sajttermkek:
www.index.hu
www.origo.hu
www.hirado.hu
www.itbusiness.hu
www.computerworld.hu
Felsoktatsi tananyagok s segdletek:
VASVRI GYRGY, CISM, A BIZTONSGI KULTRA S AZ EGYN, AJNLS v2.6,
2008, INFORMCIS TRSADALOMRT ALAPTVNY, BIZTONSGMENEDZSMENT
KUTATCSOPORT
Horvth Gergely Krisztin, Adatbiztonsg s IT audit eLearning oktatsi anyag, BGF, 2013
135