Információbiztonság

1. Információbiztonság Dr. Michelberger Pál Óbudai Egyetem, Keleti Károly Gazdasági Kar, Szervezési és Vezetési Intézet michelberger.pal@kgk.uni-obuda.hu

2. Tematika • Informatikai- és információbiztonság kapcsolata • Üzletmenet folytonossági- és katasztrófa elhárítási tervek • Szabványok, ajánlások (Common Criteria, ITIL, ISO/IEC 27001, CObIT,…) • Információbiztonsági irányítási rendszer (bevezetés és üzemeltetés) • Integrált (minőség-, környezet- és információbiztonsági) irányítási rendszerek • Az információbiztonság emberi tényezői

3. Szakirodalom • Vasvári György: Vállalati biztonságirányítás (Informatikai biztonságmenedzsment). Time-Clock Kft., 2007 • Muha Lajos (szerk.): Az informatikai biztonság kézikönyve. Verlag-Dashöfer, Budapest, 2000- • Muha Lajos – Bodlaki Ákos: Az informatikai biztonság. Pro-Sec Kft., Budapest, 2003. • Ködmön István (szerk.): Hétpecsétes történetek (Információbiztonság az ISO 27001 tükrében). Hétpecsét Infor-mációbiztonsági Egyesület, Budapest, 2008. • Dósa Imre (szerk.): Az informatikai jog nagy kézikönyve. Complex Kiadó. 2008. • Lábodi Csaba – Michelberger Pál: Kis pénzhez tíz jó tanács (Információbiztonsági követelmények teljesítése a KKV szektorban). Economica – Szolnoki Főiskola Tudományos Közleményei 2010/4. pp.78-85. (www.szolf.hu/economica) • Godányi Géza: Katasztrófavédelem és üzletmenet folytonosság az információtechnológiában (A DR/BC tervezés alapjai). Híradástechnika, LIX. ÉVFOLYAM 2004/4, pp. 47-52.

4. Információbiztonság (állapot) és információvédelem (tevékenység) Az állapot…: • bizalmasság, • sértetlenség, • rendelkezésre állás… • +hitelesség, számon-kérhetőség, letagadhatatlanság, megbízhatóság. A tevékenység…: • védendő információk meghatározása, • külső és belső fenyegetések felmérése és azok kockázatának mérlegelése, • védelemhez szükséges szabályozás kialakítása és eszközrendszer biztosítása. információbiztonság ≠ informatikai (IT) biztonság >

5. Kockázat A kockázat kifejezhető időegységre eső összeggel [Ft/év], ill. „osztályzattal”, ami a kockázat nagyságrendjét és elviselhetőségét mutatja… Figyelembe véve a szóba jöhető fenyegetéseket, a kockázat függ egy adott káros esemény bekövetkezésének valószínűségétől [1/év] és az esemény bekövetkezéséből származó kártól [Ft].

6. Kockázatkezelés folyamata (AS/NZS 4360)

7. Információs rendszerek védelme 1. Fizikai védelem: • megfelelő környezet kialakítása a környezeti ártalmak, a szándékos vagy véletlen rongálás ellen, • külön helyiség a szoftver másolatoknak és az adatbázis-mentéseknek, • szünetmentes energiaellátás, • térfigyelés, • beléptetés, • tűz- és vízkár elhárítás.

8. Információs rendszerek védelme 2. Operatív (logikai) védelem: • munkavégzés módjának szabályozása (naplózási szabályok, vírusfertőzés elleni tevékenység), • felhasználók azonosítása és illetékességük meghatározása, • illetéktelen hálózati behatolások megakadályozása, • katasztrófa elhárítási terv (Disaster Recovery Plan) kidolgozása, • titkosítás.

9. Információs rendszerek védelme 3. Szervezeti, ill. adminisztratív védelem(humán tényezők): • a belső csalások, visszaélések kezelése, • szándékos és vétlen károkozások megelőzése, • „Workflow” és „Role Management”.

10. Fenyegetettségek

11. Fenyegetettségek (strukturáltan): • Közüzemek (elektromos áram, távközlés, gázellátás, víz, csatorna), • Környezet (viharok, földrengés, áradás, tűzvész), • IT (szoftverhibák, frissítés, verzióváltás, hardverhiba, informatikai szállító kiesése, adatvesztés, vírustámadás, rossz szállító, illetéktelen hozzáférés), • Infrastruktúra (szerverszoba klimatizálás, beázás, hálózat sérülése), • Emberi tényezők (kulcsemberek, belső visszaélés, járvány, bosszú, szakképzetlenség, rongálás, illegális szoftverhasználat, dokumentálatlanság, szakszerűtlen IT tervezés és üzemeltetés, sztrájk, adatlopás, betörés, szabotázs).

12. Üzletmenet-folytonossági modell

13. Információs rendszerek üzemszerű működésének fenntartása 1. Üzletmenet folytonossági terv (BCP – Business Continuity Plan): Célja az üzleti folyamatokat támogató informatikai erőforrások meghatározott időben és funkcionális szinten történő rendelkezésre állásának biztosítása, valamint váratlan események által okozott károk minimalizálása. Gyakorlatilag feladatok összessége, amely számba veszi az egyes folyamatok fenyegetettségeit és ezek valószínűségét, valamint a folyamat kieséséből származó esetleges károkat. A kockázatelemzés eredményeképpen (üzleti hatás elemzés – Business Impact Analysis) adja meg a szervezet működésének fenntartáshoz szükséges eljárásokat…

14. Információs rendszerek üzemszerű működésének fenntartása 2. Katasztrófa elhárítási terv (DRP – Disaster Recovery Plan): Helyettesítő megoldások megadása súlyos károkat és az informatikai szolgáltatás tartós meghiúsulását okozó események bekövetkezésére, úgy, hogy a következmények negatív hatásai minimalizálhatók, és az eredeti állapot visszaállítása elfogadható költségek mellett meggyorsítható legyen. A katasztrófa elhárítási terv az üzletmenet-folytonossági terven is alapulhat. Olyan intézkedési terveket és feladatokat tartalmaz, amelyeket abban az esetben kell végrehajtani, ha szervezet működése szempontjából kritikus folyamatok, illetve az azokat támogató (IT) erőforrások súlyosan sérültek. (A kritikus folyamatok nem tarthatók fenn.)

15. A BCP és DRP kialakításának szempontjai • folyamatközpontúság, • kockázatarányosság, • tesztelhetőség, • karbantarthatóság, • illeszkedés a vállalati célokhoz, folyamatokhoz és szervezethez, • a felső vezetés támogatása. Szükséges továbbá: • külső szakértők és belső munkatársak bevonása • üzleti folyamatok felmérése és belső interjúk • többhónapos kialakítási- és bevezetési idő

16. Üzleti folyamatok vizsgálataés üzleti hatáselemzés (BIA) Függés • a többi folyamattól, • az IT alkalmazásoktól, • az egyéb erőforrásoktól, • a külső szolgáltatóktól. BIA • folyamatok osztályozása (alacsony-, közepes- és magas prioritás), • a legnagyobb megengedhető kieső idők meghatározása (MTD – maximum tolerable downtime), • fenyegetettségek hatásvizsgálata, bekövetkezési valószínűségek megállapítása és kockázatelemzés.

17. Kockázatok értékelése – példa(L – alacsony; M – közepes; H – magas)

18. BIA űrlap egy egyszerű banki folyamatról

19. Ellenőrzés Átmeneti Normál 100% 100% Visszaállás működés működés 0% 0% folyamatok folyamatok Válasz Felkészülés 100% Esemény Aktiválás 0% Krízis Az üzletmenet-folytonosság fenntartása Jakab Péter bankbiztonsági igazgató előadása alapján… (MKB Bank)

20. BCP-DRP bevezetés • folyamatok kiegészítő szabályozása (alternatív folyamatok megadása is…), • működtető szervezet kialakítása (állandó és ideiglenes tagok; döntési algoritmusok), • folyamatos fejlesztések, • oktatás (felső vezetők – elfogadtatás; középvezetők – felelősség és karbantartás; közvetlen felhasználók – részletek + gyakorlat), • karbantartás (szakterületek felelőssége és feladata; informatikai támogatás; változáskezelés; ismételt tesztek)

21. Információbiztonsági „szintek” • Információtechnológiai infrastruktúra • Információkezelés (adatfelvétel, -módosítás, -törlés, -informálódás) • Ügyviteli folyamatok • Szervezet (információbiztonsági stratégia, kockázatkezelés) (Ji-Yeu Park, et al., 2008) • Információtechnológiai elemek (hardver, alapszoftver, hálózati eszközök) • Szervezet informatikai tudása és gyakorlata („humán információtechnológia”) • Információszolgáltatás és -megosztás vállalaton belül • Vállalati alkalmazások üzemeltetése (pl. ERP rendszer) (Hangbae Chang, et al., 2006)

22. Információbiztonsági irányítási rendszer alapja (ld. később) ISO/IEC 2700x – brit eredetű szabványcsomag, útmutató a információvédelmi tevékenységhez (11 védelmi terület, 39 célkitűzés, 133 óvintézkedés – ISO/IEC 27001 alapján…) A szervezeteknek gondoskodni kell az információs vagyon kockázatokkal arányos biztonságáról. Ehhez nem elegendő az számítástechnikai biztonság… Fontos a kockázatok elfogadható szintre csökkentése is. „Az információ olyan vagyon, melynek értéke van, és ezt az értéket – más fontos üzleti javakhoz hasonlóan – a szervezet alkalmas módon védi.” Vagyonelem: a szervezet által kezelt adat. Ennek életciklusa is van (létrehozás, tárolás, feldolgozás, megsemmisítés…). 2011 elején több, mint 7000 tanúsított szervezet volt világszerte (www.iso27001certifacates.com), amiből 161 magyarországi (www.hetpecset.hu)…

23. Szoftverminőség értékelése 1. Boehm és McCall szoftverminősítő modellek Többlépcsős szempontrendszerek, (felhasználói alapszempontok, minőségtényezők, szoftverjellemzők) amelyek alapján megítélhető az adott szoftvertermék hasznossága…

24. Szoftverminőség értékelése 2. MSZ ISO/IEC 9126 Szoftvertermékek értékelése,minőségi jellemzők és használatuk irányelvei A minőségi jellemzők 6 csoportba vannak sorolva, törekedve az átfedések elkerülésére és a teljességre… • funkcionalitás (mit kell kielégíteni a szoftvernek?) • megbízhatóság (adott ideig tartó működőképesség megtartása, meghatározott körülmények között) • használhatóság (a felhasználóktól elvárt, a rendszer használatához szükséges erőfeszítések mértéke) • hatékonyság (a szoftver alkalmazásával biztosított teljesítmény és a használathoz szükséges erőforrások viszonya) • karbantarthatóság (hibafelismerés, javítás, fejlesztés, adaptálás elvégzéséhez szükséges erőfeszítések) • hordozhatóság (a rendszer egyik környezetből a másik környezetbe történő áttelepítésének nehézsége és kockázata)

25. Szoftverminőség értékelése 3/a. ISO/IEC 14598-x Software Engineering. Product Evaluation.* • -1 General Overview • -2 Planning and Management • -3 Process for Developers • -4 Process for Acquirers • -5 Process for Evaluators A szoftverminősítéssel kapcsolatos szinteket a szabvány 4 szintre bontja és e mellett 4 kockázati típust ad meg… * nincs magyarnyelvű változat…

26. Szoftverminőség értékelése 3/b.

27. Szabványok, ajánlások, módszertanok ISO/IEC 15408-1,-2,-3 – Az informatikai biztonságértékelés közös szempontjai (modell, funkcionális és általános követelmények értékelőknek, fejlesztőknek és felhasználóknak; ld. Common Criteria) ISO/IEC 2700x – brit eredetű szabványcsomag, útmutató a információvédelmi tevékenységhez (11 védelmi terület, 39 célkitűzés, 133 óvintézkedés – ISO/IEC 27001 alapján…) MSZ ISO/IEC 12207 –Informatika. Szoftver életciklus folyamatok ISO/IEC 20000-1, -2 – elfogadható informatikai szolgáltatások formális követelményrendszere (1. rész) és útmutató a szolgáltatás irányításához valamint az 1. rész szerinti audithoz (2. rész); ld. ITIL CObIT – ajánlás információtechnológia irányításához, kontrolljához (4 fejezetbe foglalt 34 folyamat 215 részletes célkitűzéssel, a legjobb üzleti gyakorlatok alapján…) ISO/IEC 38500 – ausztrál eredetű szabványcsomag; vezetői keretrendszer ICT technológiák vállalaton belüli irányításához…

28. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 1/a. Common Criteria for Information Technology Security Evaluation (CC – USA) – közös követelményrendszer az informatikai biztonság minősítéséhez MSZ ISO/IEC 15408-x* Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai -1 Bevezetés és általános modell -2 A biztonság funkcionális követelményei -3 A biztonság garanciális követelményei * A CC szabványos változata, tanúsítható követelmény szabvány…

29. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 1/b. ISO/IEC 15408-1, Bevezetés és általános modell • védelmi profil (biztonsági követelmények gyűjteménye) • termékre vonatkozó biztonsági előirányzatok • konkrét termék értékelés ISO/IEC 15408-2, A biztonság funkcionális követelményei pl. jogosultság, hitelesítés, titkosítás… ISO/IEC 15408-3, A biztonság garanciális követelményei pl. auditálhatóság, karbantarthatóság, tesztelési követelmények… (1-7-ig lehet értékelni…)

30. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 1/c. A CC alapján mérhető és értékelhető az informatikai termékek és rendszerek biztonsági szintje. A biztonsági vizsgálatokat végző szervezetek (értékelők) számára egyértelműen meghatározza, hogy a rendszernek mit kell nyújtania és ezt, hogyan kell megismételhetően megvizsgálni… A fejlesztők számára biztosítja a biztonsági megoldások egyértelmű leírását és megadja a szállítandó termékkel szemben támasztott követelményeket. A „fogyasztóknak” (felhasználóknak) lehetővé teszi, hogy világosan megfogalmazhassák a termékek és rendszerek biztonsági funkcióival szembeni elvárásaikat és összehasonlítsák a különböző biztonsági megoldásokat

31. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 2/a. Szabványos információbiztonsági irányítási rendszer (brit eredetű…) MSZ ISO/IEC 17799:2006 * • rendszer, amely információvédelmi tevékenységhez ad útmutatót • a biztonsági követelményeket és az ezzel kapcsolatos intézkedéseket az üzleti célok és a szervezeti stratégia alapján határozza meg • kiemelt szerepet kap az információbiztonság (sértetlenség, bizalmasság, rendelkezésre állás) • nem kötődik egyetlen információtechnológiához sem * A teljes cím: Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve

32. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 2/b. Tanúsítási lehetőség A „szabványcsomag” Magyarországon jelenleg két részből áll. Az MSZ ISO/IEC 27001 tárgyalja a: • a megfelelőségi követelményeket, • az ellenőrzési követelményeket, • és az irányítási rendszer kialakítását. Az így kialakított információbiztonsági irányítási rendszer auditálása független tanúsító szervezet által elvégezhető… * A teljes cím: Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények

33. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 2/c. Szabványos információbiztonsági irányítási rendszer követelmények struktúrája (ISO/IEC 27001) 11 védelmi területen 39 célkitűzés és 133 óvintézkedés: • Biztonsági szabályzat • Az információbiztonság szervezete • Vagyontárgyak kezelése • Az emberi erőforrások biztonsága • Fizikai védelem és a környezet védelme • A kommunikáció és az üzemeltetés irányítása • Hozzáférés ellenőrzés • Beszerzés, fejlesztés, fenntartás • Információbiztonsági incidensek kezelése • A működés folytonosságának irányítása • Jogi és műszaki megfelelőség

34. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 2/d. • A szabványcsomag felépítése: • ISO 27000 – szótár és definíciók a szabványcsomag használatához • ISO 27001 – Információbiztonsági Irányítási Rendszer követelményei • ISO 27002 – gyakorlati útmutató az információvédelem irányításához (ld. MSZ ISO/IEC 17799) • ISO 27003 – bevezetési útmutató • ISO 27004 – szabvány az információbiztonság számszerűsítéséről és mérési lehetőségeiről • ISO 27005 – információbiztonsággal kapcsolatos kockázatok kezelése (ld. BS 7799-3) • ISO 27006 – tanúsító és auditáló szervezetek számára előírt követelmények • … (www.iso27001security.com)

35. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 3. Informatika. Szoftver életciklus folyamatok (MSZ ISO/IEC 12207) A szabvány dokumentum rendszerek, szoftvertermékek és szoftverszolgáltatók beszerzői, valamint szoftvertermékek szállítói, fejlesztői, üzemeltetői, karbantartói és felhasználói számára készült… A szoftver életciklusának felosztása a szabvány szerint: • beszerzés • szállítás • fejlesztés • üzemeltetés • karbantartás Az életciklushoz kapcsolódnak támogató folyamatok (dokumentálás, konfiguráció kezelés, minőségbiztosítás, igazolás, érvényesítés, együttes átvizsgálás, felülvizsgálás, problémamegoldás) és szervezeti folyamatok (irányítás, infrastruktúrabiztosítás, megújítás, képzés)

36. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 4/a. Informatikai rendszerek ellenőrzése és irányítása Control Objectives for Information and related Technology – CObIT (by ISACF, IT Governance Institute, USA) Széles körben elfogadott ipari „szabvány” ill. módszertan, amelyből 1996 óta már a 4. változatnál tartunk…

37. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 4/b. A CObIT jellemzői: • a legjobb gyakorlatot meghatározott szempontok szerint csoportosító dokumentumok gyűjteménye az informatikai irányítás, szabályozás és ellenőrzés számára • alapfeltételezés, hogy a szervezeti (üzleti) célok teljesítéséhez szükséges információk biztosítása érdekében az informatikai erőforrásokat összetartozó eljárások keretében kell kezelni • segítségével áthidalható az üzleti kockázatok, az ellenőrzési igények és a technikai jellegű kérdések közötti szakadék (a vállalati és az informatikai irányítás szorosan összefügg…) • használható a felsővezetés, a felhasználók, az informatikusok és a információs rendszer ellenőrei számára…

38. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 4/c. CObIT felépítése • vezetői összefoglaló • keretrendszer • részletes kontroll irányelvek (34 db eljárás, ill. folyamat) + vezetői útmutatók és érettségi modell (maturity model) + auditálási útmutató*, kritikus sikertényezők, kritikus cél és teljesítménymutatók (mérhetőség) • mellékletek (összefoglaló áttekintés, esettanulmányok, GYIK, stb.) * A szervezet CobiT szerint auditálható, de nem tanúsítható…

39. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 4/d. Az információs rendszer életciklusa a CObIT szerint négy fő szakaszra osztható (a 34 folyamat ezek között oszlik el…): • tervezés és szervezet (pl. emberi erőforrások kezelése) • beszerzés és bevezetés (pl. alkalmazói szoftverek beszerzése és karbantartása) • informatikai szolgáltatás és támogatás (pl. felhasználók képzése) • felügyelet és ellenőrzés (pl. független ellenőrző vizsgálat végzése) A 34 folyamat mellett megfogalmazásra kerül 215 db részletes célkitűzés v. kontroll irányelv.

40. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 4/e. A CObIT célja (az üzleti követelmények alapján): nem igazi irányítási rendszer kialakítása, hanem az informatikai (!) biztonság elérése és megtartása… Minimális kockázat • bizalmasság (confidentality) • sértetlenség (integrety) • rendelkezésre állás (availability) Maximális haszon • eredményesség (effectiveness) • hatékonyság (efficiency) • szabályosság, megfelelés (compliance) • megbízhatóság (reliability)

41. A CObIT kocka…

42. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 5/a. ITIL – Information Technology Infrastructure Library (Office of Government Commerce (OGC) – GB) IT Infrastruktúra Könyvtár célkitűzései: • az informatikai szolgáltatást a jelen és jövő igényeihez kell igazítani. • javítani kell ezen szolgáltatások minőségét • hosszútávon csökkenteni kell a szolgáltatások költségét „Szabvány háttér” az ITIL-lel összhangban ISO/IEC 20000-1 formális követelményrendszer elfogadható minőségű informatikai szolgáltatásokkal kapcsolatban ISO/IEC 20000-2 útmutató a szolgáltatásirányításhoz és az ISO/IEC 20000-1 szerinti audithoz… (2007-től már magyarul is elérhetők…) Ld. még www.itsmf.org és www.itsmf.hu

43. Szolgáltatás-biztosítás szolgáltatási szint menedzsment, rendelkezésre állás menedzsment, informatikai szolgáltatás-folytonosság menedzsment, kapacitásmenedzsment, informatikai szolgáltatás pénzügyi irányítása Szolgáltatás-támogatás ügyfélszolgálat, incidens menedzsment, problémakezelés, változáskezelés, konfiguráció-kezelés, jóváhagyott változások dokumentálása Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 5/b. A szolgáltatás menedzsment területei az ITIL két kötetes dokumentációja szerint… Az ITIL-hez több kiegészítő kötet tartozik, amelyek esettanulmány szerűen mutatják be a legjobb „vállalati” gyakorlatot (best practice)…

44. Az információs rendszerek üzemeltetésének „szabványi” háttere

45. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 6/a. ISO/IEC 38500 Ausztrál eredetű irányítási szabvány, amely az üzleti folyamatok információtechnológiai oldalról történő kiszolgálását felügyeli és értékeli (foglalkozik a vezetők felelősségével és a vállalati stratégia információtechnológiai vonatkozásaival, IT eszközök beszerzésével és azok teljesítményével és az üzleti céloknak történő megfeleléssel, valamint az emberi viselkedéssel is)… GRC modell elemei: • Irányítás (Governance), • Kockázatkezelés (Risk Management) • Megfelelés (Compilance)

46. Információs rendszerek biztonságával és üzemeltetésével foglalkozó szabványok és ajánlások 6/b. GRC modell az ISO/IEC 38500 alapján

47. Versenyképesség… „Egy nemzetgazdaságban azokat a vállalatokat tekintjük versenyképesnek, amelyek társadalmilag elfogadható normák betartása mellett a számukra elérhető erőforrásokat minél nagyobb nyereségfolyammá képesek transzformálni, képesek a működésüket befolyásoló környezeti és vállalatukon belüli változások észlelésére és az ezekhez való alkalmazkodásra annak érdekében, hogy nyereségfolyam lehetővé tegye tartós működőképességüket.” (Chikán-Czakó-Zoltayné, 2002.)

48. A kis- és közepes vállalkozások egy versenyképességi modellje (Szerb-Ulbert, 2009.)

49. Versenyképesség és információbiztonság kapcsolata • A vállalati folyamatok nem egyenletesen szabályozottak… • Bizalomhiány, ill. bizalmatlanság az üzleti partnerek között… Megoldás lehet egy új irányítási rendszer kialakítása, vagy a meglévő (pl. minőség- és/vagy környezet-) irányítási rendszer információvédelem központú átalakítása…

50. Informatikai biztonság v. információvédelem? Az információk sértetlenségéhez, rendelkezésre állásukhoz és bizalmas kezelésükhöz nem elegendő az IT biztonság… Megoldási javaslat: Szabványos, folyamatorientált információvédelmi irányítási rendszer (ISO/IEC 27001 és ISO/IEC 27002 alapján…)