1 / 50

Üzemeltetésbiztonság

Üzemeltetésbiztonság. Krasznay Csaba. Emlékeztetőül. Az információvédelem tárgya maga az információ. Az információt három alaptulajdonságon keresztül tudjuk megvédeni: bizalmasság, sértetlenség, rendelkezésre állás. A három alaptulajdonsághoz biztonsági szabályzatok köthetők.

mirabelle
Download Presentation

Üzemeltetésbiztonság

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Üzemeltetésbiztonság Krasznay Csaba

  2. Emlékeztetőül • Az információvédelem tárgya maga az információ. • Az információt három alaptulajdonságon keresztül tudjuk megvédeni: bizalmasság, sértetlenség, rendelkezésre állás. • A három alaptulajdonsághoz biztonsági szabályzatok köthetők. • A biztonsági szabályzatot biztonsági mechanizmusokon keresztül tartatjuk be. • A biztonsági mechanizmusok lehetnek megelőzők, felderítők és javítók. Ez a PreDeCo elv.

  3. Emlékeztetőül • Vagyonleltár: a vagyontárgy azonosítása, értékelése • Sebezhetőségvizsgálat • a lehetséges, releváns fenyegető tényezők számba vétele • a sikeres támadáshoz szükséges támadható felületek (sebezhetőségek) azonosítása • Kockázatértékelés: a sikeres támadás valószínűségének, és az azon keresztül a vagyontárgyban okozott kár mértékének becslése • Védelmi intézkedés tervezése és bevezetése • Védelmi intézkedés működtetése, ellenőrzése • Kockázatok újraértékelése

  4. Emlékeztetőül • A hozzáférés-ellenőrzés olyan biztonsági mechanizmusok gyűjteménye, mely meghatározza, hogy a felhasználók mit tehetnek a rendszerben, azaz milyen erőforrásokhoz férhetnek hozzá, és milyen műveleteket hajthatnak végre. • Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó • milyen felhatalmazással férhet a rendszerhez, • milyen alkalmazásokat futtathat, • mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból. • Két lépésből áll: azonosítás (identification) és hitelesítés (authentication). • A hozzáférés-ellenőrzés része az elszámoltathatóság.

  5. Emlékeztetőül Folyamatos fenyegetések/ Védelmi intézkedések Nyílt/zárt forrás Első kockázatelemzés Kockázatelemzés Common Criteria

  6. Bevezetés • A biztonságot nem elég „megvenni”, azt fent is kell tartani. • Az információbiztonság tehát nem egy atomi esemény, hanem egy életcikluson átívelő folyamat. • A rendszer életciklusának leghosszabb része az üzemeltetés, emiatt különösen fontos az üzemeltetés biztonságával foglalkoznunk. • A legtöbb információbiztonsági szabvány ebben segít. • Pl.: ISO/IEC 17799, COBIT, NIST SP 800-53, BSI IT-Grundschutz Manual 2004

  7. IT környezet • Az üzemeltetés azt a környezetet érinti, amelyben az információt a szervezeten belül kezelik. • A környezet jelenthet hardvereket, szoftvereket, hálózatot, embereket, épületeket, stb. • Ezt a környezetet többféle fenyegetés érinti, például: • Kiszivárgás (bizalmasság) • Erőforrások megsemmisülése (rendelkezésre állás) • A feldolgozás megakadása (rendelkezésre állás) • Sérülés/módosítás (sértetlenség) • Lopás/eltávolítás (rendelkezésre állás)

  8. A rendszer üzemeltetett elemei • Különböző szabványok különbözőképp közelítik meg az üzemeltetésbiztonságot. • Mi a NIST SP 800-53 alapján készült felosztását használjuk • Az üzemeltetés a következő területeket érinti: • Hardver/szoftver, • Kommunikációs eszközök (később), • Fenntartási eljárások, • Adathordozók, • Fizikai és környezeti eszközök (később), • Személyzet, • Tudatosság és képzés, • Konfigurációmenedzsment, • Folytonossági terv (később), • Incidenskezelés (később),

  9. Hardver/szoftver • Azok a hardverek és szoftverek tartoznak ide, melyek az információ feldolgozásában részt vesznek, pl. számítógépek, perifériák, fénymásológépek, operációs rendszerek, alkalmazások, stb. • A hardveres környezetre vonatkozó fenyegetések: • Nem jogosult hozzáférés a tárolt adatokhoz • Az erőforrások nem jogosult felhasználása • Túlterheléses támadások • Eszközhibák • Rendszergazdák által elkövetett támadások • Nem jogosult csatlakozás a hardvereszközökhöz • A szoftverekre vonatkozó fenyegetések megtalálhatók az előző előadás anyagában.

  10. Hardver/szoftver • Az alábbiakban a teljesség igénye nélkül néhány fontos védelmi intézkedést tárgyalunk (a BSI IT-Grundschutz Manual 2004 alapján) • Jelszóvédelem az IT rendszerekre: • BIOS jelszavak használata, mely segít megakadályozni a rendszerbeállítások megváltoztatását. • Operációs rendszerek jelszavai. • Egyéb hardveres megoldások is szóba jöhetnek (pl. hardverkulcs). • Képernyőzár: • Automatikusan induljon el néhány perc inaktivitás után. • Csak jelszóval lehessen kilépni belőle. • A Windows és a Linux ablakozó felületek ezt támogatják. • Víruskereső rendszeres futtatása: • Folyamatos védelem működtetése (on-access scan) • Igény szerinti futtatás hetente (on-demand scan) • Rendszeres frissítés (naponta)

  11. Hardver/szoftver • Külső adattárolók (CD, DVD, USB pendrive) kezelése: • Külső adattárolók eltávolítása a munkaállomásokból. • Letiltás BIOS-ból vagy operációs rendszerből. • Speciális szoftver használata (pl. Devicelock) • Előre beállított jelszavak kicserélése: • A rendszer egyik elemén sem szabad default jelszót hagyni. • Különösen igaz ez a határvédelem (router, gateway, tűzfal, PBX) eszközein. • Titkosító szoftverek használata a hordozható eszközökön (laptop, PDA, mobiltelefon): • A hordozható eszközök elvesztése egy nagy szervezetnél mindennapos. • Néha az eszközön tárolt információ értéke nagyobb, mint az eszközé.

  12. Hardver/szoftver • Az alkalmazások beépített biztonsági funkcióinak használata: • Sok alkalmazást szállítanak olyan kiegészítésekkel, amik biztonságosabbá teszik a működését, de alapbeállításban nem működnek. • Ezeket érdemes minden esetben bekapcsolni. • Nem szükséges szolgáltatások tiltása: • Az operációs rendszerek általában sok olyan szolgáltatást tesznek elérhetővé, amire nincs szükség. • Ezek hosszú távon csak gyengítik a rendszert. • Új hardverek és szoftverek tesztelése • Semmilyen eszközt nem szabad egyből az üzemi környezetbe telepíteni. • Ezért szükséges egy tesztkörnyezetet is üzemeltetni.

  13. Vagyonleltár fontossága • Sokszor fordul elő, hogy a szervezet működése szempontjából legkritikusabb rendszerek futnak a legrosszabb hardvereken. • A vagyonleltárból kiderül, hogy mire kell a legjobban odafigyelni. • Ezeknél a kritikus rendszereknél figyeljünk a pótalkatrészekre és a terméktámogatás idejére!

  14. Hardening • Általában célszerű a rendszerben található szoftverek biztonsági beállításainak használata. • Ezeket beállítani azonban nem egyszerű. • Szinte minden komolyabb termékhez külön kiadnak egy biztonsági beállításokat tartalmazó kiadványt. • Nem lehet azonban egyből a legnagyobb biztonságot beállítani, mert lehet, hogy lesz olyan alkalmazás, ami nem fut az ilyen beállítások mellett. • Először tesztelni, csak utána lehet élesüzembe állítani!!! • Az alábbi helyeken lehet hardening guide-okat találni: • NIST: http://www.csrc.nist.gov/publications/nistpubs/index.html • NIAP: http://www.nsa.gov/ia/industry/niap.cfm • CIS: http://www.cisecurity.org/index.html • Microsoft: http://www.microsoft.com/technet/security/guidance/default.mspx • Linux: http://www.linuxsecurity.com/

  15. Cluster • A clusterek olyan gyors helyi hálózaton szorosan összekapcsolt számítógépek, melyek kívülről egy számítógépnek látszanak. • Olyan helyeken érdemes használni, ahol a rendelkezésre állás a fontos. • Típusai: • High-availability (HA) cluster: elsősorban a rendelkezésre állást javító megoldás, mely redundáns (azaz legalább kettő) elemekből áll. • Terhelésmegosztásos (load-balancing) cluster: a szerverek felé érkező kéréseket tudja a frontenden dinamikusan elosztani, így tehermentesíteni a backendet. Hatékony a DoS támadások ellen. • High-performance computing (HPC) cluster • Grid computing • Új kihívás a virtuális gépek terjedése!

  16. Cluster

  17. Fenntartási eljárások • A személyzet által ellátott, eszközöket érintő fenntartási eljárások tartoznak ide, pl. karbantartás, leállítás, elindítás, stb. • A fenntartási eljárásokra vonatkozó fenyegetések: • Érzékeny adatok átirányítása • Rendszerek szándékos/véletlen leállítása • Szoftverek betöltése nem megfelelő biztonsági beállításokkal • Elszámoltathatóság kikerülése

  18. Fenntartási eljárások • A fenntartási eljárásokhoz a COBIT alapján a következő lépések tartoznak. • A feldolgozási üzemeltetési eljárások és utasítások kézikönyve: • A menedzsmentnek dokumentálnia kell a szabványos IT műveleteket. • Minden IT rendszert ez alapján kell működtetni. • Az indítási folyamat és egyéb üzemeltetési eljárások dokumentációja • Egy rendszer különböző elemeit a biztonságos működés érdekében megfelelően kell elindítani. • A gépi műveletek ütemezése: • Minden IT-vel kapcsolatos műveletet megfelelően kell ütemezni ahhoz, hogy ne okozzanak fennakadást a rendszerben.

  19. Fenntartási eljárások • Eltérések a gépi műveletek előírt ütemezésétől: • Bizonyos esetekben el kell térni a normál munkamenettől, ezt azonban gondosan meg kell tervezni. • Ilyen eljárás szükséges pl. egy tervezett leállásnál. • A feldolgozás folytonossága: • Az üzemeltető megváltozásánál is folyamatosnak kell lennie az üzemeltetésnek. • Az üzemeltetőváltást nagyon gondosan kell előkészíteni. • Üzemeltetési naplók: • A visszaállításhoz, áttekintéshez és vizsgálathoz szükséges minden információnak rendelkezésre kell állnia. • Távoli üzemeltetés: • Sokszor előfordul, hogy az üzemeltető fizikailag máshol tartózkodik, mint az általa üzemeltett rendszer. • Erre az esetre speciális eljárásokat kell kidolgozni.

  20. A rendszer elemeinek frissítése • Lépései: • Készítsünk vagyonleltárt! • Az új fenyegetések felderítése érdekében figyeljük a biztonsági forrásokat (Bugtraq, MS Security Bulletin, stb.)! • Állapítsuk meg, hogy melyik sérülékenységnek nagyobb a prioritása! • Készítsünk adatbázist a javítandó sérülékenységekről! • Teszteljük le az új frissítéseket a tesztkörnyezetben! • Tekintsük át az eredményeket! • Tájékoztassuk a helyi rendszergazdákat az eredményekről és teendőkről! • Alkalmazzunk automatikus patchelési eszközöket (pl. WSUS)! • Az alkalmazásokat állítsuk be automatikus frissítésre! • Futtassunk végig automatikus sérülékenységteszteket (pl. MBSA)!

  21. A rendszer elemeinek frissítése

  22. Logmenedzsment • A naplóállományok gyűjtése sokszor kötelező, de mindenképp hasznos hibák vagy visszaélések kiderítésére. • Lépései: • Készítsünk szabályzatot és eljárásrendet a logmenedzsmentre! • Állítsunk fel prioritásokat! • Állítsunk fel logmendzsment infrastruktúrát (pl. syslog)! • Oktassuk az érintett alkalmazottakat! • Működtessük a logmenedzsmentet!

  23. Logmenedzsment • A logmenedzsment működésének lépései: • Minden logforrás naplózási állapotának ellenőrzése. • A logcsere és archiválás folyamatának ellenőrzése. • A naplózó szoftver frissítéseinek folyamatos ellenőrzése. • Minden logforrás idejének hozzáigazítása a központi órához. • A logolás hozzáigazítása a mindenkori szabályzatokhoz. • Az anomáliák dokumentálása és jelentése.

  24. Logmenedzsment

  25. Adathordozók • Olyan adattároló eszközök tartoznak ebbe a körbe, melyek részt vesznek az információ feldolgozásának folyamatában. • Tárolhatnak érzékeny fájlokat, alkalmazásokat, naplóállományokat, biztonsági mentéseket. • Ide tartozik a papír, a mikrofilm, a mágneses, az elektronikus és az optikai adattárolók is. • Az adattárolókra vonatkozó fenyegetések: • Kukabúvárkodás • Nem biztonságos megsemmisítés • Objektum újrafelhasználás

  26. Adathordozók • A COBIT szerint az adatokkal, adattárolókkal kapcsolatban többek között a következő teendők vannak. • A bizalmas információk védelme adattovábbítás és szállítás közben: • Gondoskodni kell a védelemről a jogosulatlan hozzáférés, módosítás és a helytelen címzés ellen. • A megsemmisítendő bizalmas információk védelme: • A leselejtezett adathordozókból semmilyen információ ne legyen visszaállítható. • Megőrzési idő és tárolási feltételek: • Minden információnak van egy bizonyos tárolási ideje, mely akár jogszabályból is eredhet. • Ennek megfelelően kell kialakítani a tárolás rendet.

  27. Adathordozók • Adathordozó-könyvtár kezelő rendszer: • Az adathordozókat rendszeresen leltárazni és ellenőrizni kell. • Mentés és helyreállítás: • Ki kell dolgozni a megfelelő mentési stratégiákat. • Mentések tárolása: • A mentéseket a telephelyen és a telephelyen kívül is (offsite backup) lehet tárolni. • Archiválás: • A biztonsági mentéstől különbözik, az archiválás sokkal hosszabb ideig tartó folyamat. • A tárolt adatok sértetlenségének folyamatos fenntartása: • A mágneses, optikai és elektronikai úton tárolt adatok is sérülhetnek, ezért folyamatosan ellenőrizni kell őket.

  28. Biztonsági mentések • Típusai: • Strukturálatlan: szisztéma nélküli mentés, pl. CD-re. Tipikusan ilyen az otthoni mentés. • Teljes + Inkrementális: első lépésben minden adatot lementenek, majd egy inkrementális mentés jön, ami az utolsó teljes, vagy az utolsó inkrementális mentés óta megváltozott fájlokat tartalmazza. • Előnye, hogy szofisztikáltan lehet visszaállítani, hátránya, hogy nagy mennyiségű adatot kell tárolni. • Pl. pénteken egy teljes mentés, majd naponta egy inkrementális mentés. Így egy hét alatt 1 teljes és 6 inkrementális mentés keletkezik. • Teljes + Differenciális: a differenciális mentés a teljes mentés utáni összes megváltozott fájlt tartalmazza. • Előnye az egyszerű visszaállíthatóság. • Pl. pénteken egy teljes mentés, utána naponta egy differenciális mentés. Így egy teljes és egy differenciális mentés keletkezik egy hét alatt.

  29. Biztonsági mentések • A mentés időbeliségét tekintve az alábbi lehetőségek vannak: • On-line: a mentés néhány milliszekundumon belül történik. Pl. merevlemez, SAN. Előnye a gyors visszaállítás, hátránya, hogy egy véletlen törlést nem lehet belőle visszaállítani. • Közel azonnali: valamilyen mechanikus eszköz igénybevételét feltételező mentés, melyről néhány percen belül megkezdődhet a visszaállítás. Pl. tape library. • Off-line: A visszaállítás elindításához emberi beavatkozásra van szükség. Ez akkor történik, ha a mentések egy raktárban vannak, ahonnan elő kell hozni őket. • Más helyszínen történő tárolás: A mentett adatok földrajzilag más helyen vannak, mint a rendszer. Ez katasztrófahelyzetek kivédésére alkalmas. • Részletesen: http://en.wikipedia.org/wiki/Backup

  30. Biztonsági mentések

  31. RAID • Több merevlemezből álló adattárolási megoldás, mely a sértetlenségi és a rendelkezésre állási szintet tudja növelni. • Lehet szoftveres és hardveres megoldása is. • Típusai: • RAID 0: Redundancia nélküli diszkfüzér, mely teljesítmény és kapacitásnöveléssel jár, de a hibatűrést nem biztosítja. • RAID 1: Tükrözés, mely véd a lemezhibáktól, és növeli az olvasási sebességet. Gyakorlatilag két merevlemez ugyanazzal a tartalommal. • RAID 5: Elosztott paritás blokkok, melyhez legalább 3 lemez kell. Nagy teljesítményű megoldás, mely a sértetlenséget tudja védeni.

  32. RAID RAID 0 RAID 1 RAID 5 Forrás: www.biztostu.hu

  33. Biztonságos megsemmisítés • Típusai: • Ártalmatlanítás: olyan eljárás, amik az adathordozót egyszerűen kidobják, további törlési eljárások nélkül. Pl. nyilvános anyagot tartalmazó papírok kidobása. • Törlés: Ezen a szinten az adathordozóról a törlés után nem lehet adatot visszaállítani hagyományos módszerekkel (pl. undelete). Általában megoldható egyszeri felülírással. • Tisztítás: Ezen a szinte az adathordozóról a tisztítás után nem lehet adatot visszaállítani laboratóriumi körülmények között sem. Pl. lemágnesezés. • Megsemmisítés: az adathordozó teljes megsemmisítését jelenti. Pl. bezúzás, elégetés, elolvasztás, szétszedés, darálás.

  34. Biztonságos megsemmisítés

  35. Személyzet • Hiába automatizált a legtöbb dolog egy IT környezetben, az emberek kihagyhatatlanok. • A tapasztalatok alapján azonban elmondható, hogy az ember a leggyengébb láncszem. • Biztosítani kell tehát, hogy az emberek megfelelően és megbízhatóan végezzék el a munkájukat. • A személyzeti biztonság területére tartozik az alkalmazottak felvételénél a biztonsági szempontok figyelembevétele, a megfelelő ellenőrzés kialakítása. • A személyzetre vonatkozó fenyegetések: • Privilégiumok, kontrollok megváltoztatása • Védelmi funkciók, paraméterek megváltoztatása • Erőforrások hozzárendelése • A rendszer leállítása • Hozzáférés érzékeny információkhoz • Figyelmetlenség, az üzemeltetési rutinok be nem tartása • Naplóállományok megváltoztatása

  36. Személyzet • A személyzeti biztonság a következő dolgokat érinti a NIST SP 800-53 alapján. • Személyzeti biztonsági szabályzat és eljárások: • Legyen egy olyan szabályzat, ami tartalmazza a felelősségeket, szerepköröket, stb. • Legyen leírva, hogy az alkalmazottakkal milyen módon kell foglalkozni. • Pozíció kategorizálás: • Minden betöltött szerepkörhöz tartozzon egy kockázatelemzés, és a szerepkört ennek megfelelően kezeljék. • A személyzet ellenőrzése • Mielőtt valakinek hozzáférést adnak a rendszerhez, le kell ellenőrizni a személyt.

  37. Személyzet • Elbocsátás: • Legyenek kidolgozott eljárások arra az esetre, ha valakit el kell bocsátani a szervezettől. • Személy áthelyezése: • Legyenek kidolgozott eljárások arra az esetre, ha valakit a szervezeten belül áthelyeznek. • Felhasználási nyilatkozat: • Minden alkalmazott írjon alá egy nyilatkozatot a rendszer használatáról. • Tipikusan ilyen a titoktartási nyilatkozat.

  38. Személyzet • Külső felhasználók kezelése • Alvállalkozók, megbízottak rendszerhez való hozzáférést sokkal alaposabban kell megvizsgálni, mint egy saját alkalmazottat. • Büntetések: • Bizonyos esetekben, pl. az információbiztonsági szabályzat megsértésekor az alkalmazottal szemben valamilyen büntetést célszerű foganatosítani. • Ilyen lehet pl. a fizetésmegvonás.

  39. Kulcsemberek • Elvileg nincs pótolhatatlan ember – gyakorlatilag azonban van. • Az egyik legnagyobb veszély egy szervezetre nézve, ha egy dolgozó a fejére nő, hiszen őt eltávolítani igen nehéz. • Megoldás: • Szerepkörök szétválasztása • Feladatok körbeforgatása

  40. Eljárások az elbocsátásnál • A kulcsok, belépőkártyák visszakérése, amivel a fizikai hozzáférést lehet megakadályozni. • A felhasználónevek, jelszavak törlése/letiltása, amivel a rendszerhez való hozzáférést lehet megakadályozni. • Itt egyéni megállapodás köthető arról, hogy az elbocsátott személy milyen adatot vagy azonosítót vihet magával. • A biztonsági személyzet és az érintett munkatársak értesítése az elbocsátásról. • Az elbocsátott alkalmazott lehúzása a fizetési listáról. • A cég tulajdonában álló eszközök (különösen informatikai) eszközök visszaszerzése.

  41. Tudatosság és képzés • Egy szervezet nem tud biztonságosan működni, ha azok az emberek, akik az IT rendszereket használják és működtetik, • nem ismerik szerepüket és felelősségüket a rendszerben, • nem értik meg a szervezet IT biztonsági szabályzatát, gyakorlatát és eljárásait, • nincs legalább alapvető képük a különböző menedzsment, üzemeltetési és technikai eljárásokról. • A szerepkörtől függően három szintet különböztetünk meg: • Tudatosság az összes felhasználónak, • Képzés az összes IT-vel kapcsolatba kerülő felhasználónak a biztonsági alapokról, • Oktatás az IT rendszerben felelősséggel rendelkező embereknek a gyakorlatról, különböző szinteken. • Fenyegetések a tudatossággal és képzéssel kapcsolatban: • A felhasználók nincsenek tudatában a veszélyeknek • Az üzemeltetők nem ismerik az üzemeltetési jógyakorlatokat • A felelősök nem tudják számon kérni az üzemeltetőktől a biztonságos működést

  42. Tudatosság és képzés • A COBIT szerint a következőkkel kel foglalkozni. • Az oktatási igények meghatározása: • Az előzőek alapján valamennyi alkalmazotti csoportnak ki kell dolgozni egy képzési tematikát. • A képzés megszervezése: • Minden oktatás más igényt támaszt. A megrendelőnek el kell tudnia dönteni, hogy milyen oktatást akar. • A biztonsági alapelvekre és a tudatosságra irányuló képzés: • A biztonsági alapokkal minden dolgozónak tisztában kell lennie. • Ezt a tudást rendszeresen frissíteni kell. • A képzés minimálisan tartalmazza az etikai szabályokat, a CIA sérülések elleni védelmet és a biztonságos felhasználást.

  43. Konfigurációmenedzsment • Az a folyamat, melynek során a termékek, a környezet és az eljárások követelményeit (különösen a változásukat) menedzselik, így biztosítva a megfelelőséget minden esetben. • A jó konfigurációmenedzsment képes a következőkre: • Illeszkedjen a változásokhoz, • Illeszkedjen a szabványokhoz és jógyakorlatokhoz, • Biztosítsa, hogy minden követelmény világos, lényegretörő és érvényes, • Biztosítsa a megfelelő kommunikációt, • Biztosítsa, hogy az eredmények megismételhetők • Fenyegetések a konfigurációmenedzsmenttel kapcsolatban: • A CM hiányában a rendszer CIA tulajdonságai sérülnek

  44. Konfigurációmenedzsment • A COBIT szerint a következő teendők vannak: • A konfiguráció nyilvántartása: • A rendszer elemeiről leltárt kell vezetni. • A konfiguráció bázisának nyilvántartása: • A bázis az, melyhez a változások után ellenőrzésként vissza lehet térni. • A státusz nyilvántartása: • Minden tétel aktuális státusza legyen nyilvántartva a múltbeli változásokkal együtt. • A konfiguráció nyilvántartás kontrollja: • A nyilvántartás meglétét és konzisztenciáját rendszeresen ellenőrizni kell.

  45. Konfigurációmenedzsment • Engedély nélküli szoftverek: • Egyértelmű szabályok alapján licenszelt szoftvereket kell használni. • A szoftverek tárolása: • Minden szoftver tárolását meg kell oldani, elválasztva a fejlesztési, tesztelési és éles üzemi fájlokat. • A szoftverekre vonatkozó elszámoltathatóság: • A szoftvereket azonosítóval kell ellátni, nyilvántartásba kell venni és megfelelő licensszel kell ellátni.

  46. Olvasnivalók • NIST SP 800-53: Recommended Security Controls for Federal Information Systems, http://www.csrc.nist.gov/publications/nistpubs/800-53-Rev1/800-53-rev1-final-clean-sz.pdf • BSI IT-Grundschutz Manual 2004: http://www.bsi.bund.de/english/gshb/ • NIST SP 800-40: Creating a Patch and Vulnerability Management Program, http://www.csrc.nist.gov/publications/nistpubs/800-40-Ver2/SP800-40v2.pdf • NIST SP 800-92: Guide to Computer Security Log Management, http://www.csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

  47. Olvasnivalók • NIST SP 800-88: Guidelines for Media Sanitization, http://www.csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf • NIST SP 800-50: Building an Information Technology Security Awareness and Training Program, http://www.csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

  48. Összefoglalás • Jó tervezés után az üzemeltetés egyszerű. • A gyakorlatban nem szoktak jól tervezni. • És az üzemeltetést is el szokták rontani. • A jó üzemeltetésre nincs egyértelműen jó recept, de a fentieket mindenképpen figyelembe kell venni. • És hozzáalakítani a szervezethez.

  49. A témához tartozó kérdések • Állítson össze egy üzemeltetési forgatókönyvet a szervezet számára! Tüntesse fel, hogy a feladatokat milyen gyakorisággal kell végrehajtani! • Legalább két oldal terjedelemben kérjük leírni a forgatókönyvet!

  50. Köszönöm szépen! krasznay.csaba@kancellar.hu Az előadás letölthető: www.krasznay.hu/presentation/elte_05.pdf

More Related