Informatikai biztonsági ellenőrzés

1. Informatikai biztonsági ellenőrzés Budai László IT Biztonságtechnikai üzletágvezető - az ellenőrzés részletes feladatai

2. Informatikai biztonsági ellenőrzés - Bemutatkozás www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

3. Nádor Rendszerház Kft. • Alapítás: 1992 • Magyar tulajdonosok • Alkalmazottak száma: több mint 60 fő • Éves árbevétel: 5,7 milliárd Ft

4. Nádor Rendszerház Kft. - üzletágak • IT eszközök • IT szolgáltatások • IT biztonság • Közbeszerzés • Szoftverfejlesztés • Vonalkód technika és RFID • Távközlés • Irodatechnika

5. Nádor Rendszerház Kft. - minősítések • MSZ EN ISO 9001:2001 Minőségbiztosítási rendszer • MSZ EN ISO/IEC 27001:2006 Információbiztonsági rendszer • MSZ EN ISO 14001:2009 • Környezetirányítási rendszer • NATO Minősített Beszállító cím

6. Nádor Rendszerház Kft. – IT biztonság • Megoldások • Adatszivárgás elleni védelem • Vírus, Spam és URL szűrés • Naplóbejegyzések gyűjtése és kiértékelése • Tűzfalak és behatolás jelző megoldások • Felhasználói azonosítás • Mobileszköz védelem • Archiválás • Wifi hálózatok védelme • PKI rendszerekhez kapcsolódó megoldások • Tempest eszközök • Fájl szerverek, virtuális gépek védelme • Hozzáférés kezelés / felügyelet • Szolgáltatások • Audit • Kockázatelemzés • Szabályzatok és IBIR kialakítás • ITIL v3 bevezetés • Bevezetés és oktatás • EthicalHacking • Sérülékenység vizsgálatok (WiFi, határvédelem, PC/Server) • Biztonsági hardening és monitoring • Spam szűrő szolgáltatás • IT biztonsági szakértői szolgáltatások

7. Informatikai biztonsági ellenőrzés Vizsgálatok www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

8. Informatikai biztonsági ellenőrzés - előkészítés • Ellenőrzés előkészítése • A vizsgálat fókuszának meghatározása (általános, kockázatot jelentő rendszer, alkalmazás) • Törvények, Szabványok összegyűjtése (ISO 27001, Adatvédelmi Törvény, KIB 25., 84/2007 Korm. rendelet) • Dokumentációk bekérése • Kulcsfontosságú személyek kiválasztása (rendszergazdák, IT Vezetők, üzemeltetést végzők, felelősök, IT biztonsági felelős) • Interjúkra, vizsgálatra való felkészülés

9. Informatikai biztonsági ellenőrzés – interjúk és vizsgálatok lefolytatása • Interjúk lefolytatása • Időpontok egyeztetése • Kérdőív alapján, Excel táblázat • Vizsgálatok lefolytatása • Szabályzatok vizsgálata • Sérülékenységi vizsgálatok (Web, Határvédelem, Alkalmazás, Adatbázis, Munkaállomás és szerverek, WiFi) • Biztonsági incidensek felderítését célzó vizsgálatok (Forensicvizsgálatok) • Logok vizsgálata • Adathozzáférések vizsgálata

10. Informatikai biztonsági ellenőrzés – Szabályzatokra vonatkozó vizsgálatok • Informatikai Biztonsági Politika • Informatikai Biztonsági Stratégia • Informatikai Biztonsági Szabályzat • Üzemeltetési Szabályzat • Felhasználói Szabályzat • Vírusvédelmi szabályzat • Mentés és Archiválási Szabályzat • BCP/DRP Szabályzat • Megfelelés a törvényeknek, szabványoknak • Felelősök, feladatok, rendszeres felülvizsgálat, (pl: okostelefonok, multifunkciós eszközök háttértárolói, szerződések SLA-k) • DRP tesztelés

11. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok • Web portálok vizsgálata (pl: Acunetics, Rapid7) • Határvédelem (pl: Nessus, Nmap, Metasploit, Openvas, Backtrack) • Blackbox • Greybox • Whitebox • Munkaállomások és Szerverek vizsgálata (pl: Nessus, Outpost24, McAfeeVulnerability Management) – frissítések telepítésének ellenőrzése, • Adatbázis vizsgálatok, scriptek • WiFi és VPN vizsgálatok • Alkalmazás vizsgálatok • Hozzáférési vizsgálatok (ki milyen adathoz, mennyi időre, milyen metódussal)

12. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok Általánosságban: • Vizsgálatok: fejlesztés után vagy meghatározott időközönként (preventív, detektív, korrektív) • Reakció vizsgálata (idő, felkészültség, riasztási rendszer) • Szoftver jogtisztaság • Informatikával előre egyeztetett időpontban, meghatalmazással • Kiemelt felhasználói jogosultság • Rendszerösszeomlás elkerülése • Feltárt sérülékenység kihasználása is lehet cél, a vizsgálat fókuszát előre meg kell határozni, • Vizsgálati riportok és rendszerlogok (bizonyítékok) összegyűjtése majd a az audit jelentéshez csatolása • Fejlesztés esetén tesztadatok (nem az éles adatokkal)

13. Informatikai biztonsági ellenőrzés – Rendszerekre vonatkozó vizsgálatok • Betörés biztonsági incidensek felderítése - rendszerlogok vizsgálata, speciális tudás és rendszerismeret • Web böngészés, adatszivárgás felderítése, operációs rendszerben végzett műveletek • Merevlemezen tárolt adatok felderítése • Általánosságban: • A vizsgálat megkezdésekor jegyzőkönyv felvétele (ki végzi, mikor végzi, milyen eszközről, milyen adatfolyamon – HASH!) • A vizsgált rendszerről (merevelemez, logok) másolat készítése, sosem a „hiteles” anyagon vizsgálunk

14. Informatikai biztonsági ellenőrzés – Jelentéskésztés • Összefoglaló a feltárt „problémákról” – Nem megfelelő szabályozás, hiányosság, sérülékeny rendszer • A hiányosságok kategorizálásnak M-2, M-1, M (igyekezni kell az objektivitásra) • Kérdőív táblázat csatolása • Sérülékenységi vizsgálat során keletkezett riportok csatolása • Javaslatok – vizsgáló eszköz által adott javaslatok is felhasználhatók

15. Informatikai biztonsági ellenőrzés – Vizsgálatok ismétlése • Sérülékenységek, hiányosságok kijavítását ellenőrizni kell. (M-2) • A vizsgálat megismétlését is célszerű elvégezni. Delta riport.

16. Információbiztonság a közigazgatásban 2013. évi L. Törvény (Ibtv.) www.nador.hu I Tel.: + 36 1 470-5000 I info@nador.hu

17. 2013. évi L. törvény (Ibtv.) - előzmények • 1992 – Adatvédelmi törvény (1992. évi LXII. tv.) • 1994 – 96 – ITB 8. és 12. sz. ajánlása (CRAMM, IBP, IBS) • 2004 – ÁSZ Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez • 2005 – PSZÁF 3/2005 módszertani útmutató (Hpt., Tpt,., Bit, Bszt, Öpt.) • 2007 – 84/2007 (IV.25) Kormányrendelet - ügyfélkapu • 2008 – KIB 25 (IBIR) • 2011 – Adatvédelmi Törvény átdolgozása (2011. évi CXII. tv.) • 2012 – 2012. évi CLXVI. Törvény • …….és a növekvő kiberfenyegetettség

18. 2013. évi L. törvény – áttekintés • Az állami és önkormányzati szervek elektronikus információbiztonságáról (2013. április 15.) • „A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.” „Társadalmi elvárás az állam és a polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.” • Hatályba lépett: 2013. július 01.

19. 2013. évi L. törvény – áttekintés • Hatóság létrehozása – NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság – 301/2013 Korm. Rendelet – 2013. július 30.) • Ellenőrzési/felügyeleti jog • Információbiztonsági Felügyelő • Közigazgatási alanyok: önkorm., állami szervek, kormányhivatalok, adatkezelést végzők, létfontosságú rendszereket üzemeltetők, • Felelős az első számú vezető • IBF kinevezés (2013. aug. 29.) –tanfolyam: Nemzeti Közszolgálati Egyetem • Bejelentési kötelezettség: 2013. augusztus 31. • IBSZ (2013. szept.28. -> 2014. febr. 04.) • Kockázatok elemzés • Rendszer és szervezet besorolás (2014. július 01.) • Cselekvési terv (2014. szept. 30.) • Kiegészítések: • 26/2013 KIM rendelet • 73/2013 NFM rendelet • 77/2013 NFM rendelet • 233/2013 Korm. rendelet • 301/2013 Korm. rendelet

20. Köszönöm a figyelmet Budai László IT Biztonságtechnikai üzletágvezető Telefon: + 36 – 1 470-5038 Mobil: + 36 – 20 – 483-9237 Email: budai.laszlo@nador.hu Kérdések - válaszok