150 likes | 238 Views
02.11. A biztonság általános értelmezése. A biztonság nem termék , hanem egy kedvező állapot. A biztonság állapot , melynek megváltozása nem valószinű, de megváltozása nem is zárható ki. Pl: jogbiztonság, üzembiztonság, vagyonbiztonság, informatikai biztonság stb.
E N D
A biztonság általános értelmezése • A biztonság nem termék, hanem egy kedvező állapot. • A biztonság állapot, melynek megváltozása nem valószinű, de megváltozása nem is zárható ki. • Pl: jogbiztonság, üzembiztonság, vagyonbiztonság, informatikai biztonság stb. • A biztonságmenedzsment ennek a kedvező állapotak a fenntartására tett intézkedések összessége • Tudatosan vállalat kockázok
A biztonság menedzsment során használt fogalmak • Értékek, erőforrások • Fenyegetés, fenyegetettség (állapot) • Sebezhetőségek, gyengeségek, veszélyforrások • Ellenintézkedések • Kompromisszumok • Maradék kockázat
Mi az IT biztonság? • Az informatikai erőforrások biztonsága • Informatikai erőforrások a COBIT3 szerint: • emberek • alkalmazások • berendezések • technológia • adat • Üzleti követelmény
Az IT biztonság értelmezése 1. • Informatikai biztonság elemei: • Bizalmaság (Confidentiality): azt jelenti, hogy valamit csak korlátozott számú kevesek ismerhetnek. • Sértetlenség (Integrity): azt jelenti, hogy valami az eredeti állapotnak megfelel, teljes. • Rendelkezésreállás (Availability): a rendszer olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (funkcionalitás), a meghatározott helyen és időben (elérhetőség).
Az IT biztonság értelmezése 2. • Informatikai erőforrások biztonsága: • Hitelesség (Authenticity): az információ forrása az, amit megjelölnek és tartalma eredeti. • Letagadhatatlanság (Non-repuditation): hiteles információ (bizonyíték) egy cselekvéssel kapcsolatban.
Védekezési területek • Fizikai védelem • Logikai védelem • Adminisztratív védelem
Intézkedési formák • Preventív • Detektív • Korrektív
Védekezési alapfogalmak • „Crystal-box” elv Egy megoldás nem azért biztonságos, mert nem látható át, hanem mert megfelelõen van megtervezve, megcsinálva. • „Minimal privilage” Mindenki csak ahoz férjen hozzá, amihez szükséges. • „Leggyengébb láncszem” A teljes rendszer erőssége a leggyengébb láncszem erősségétől függ
Üzleti folyamatok • Az IT biztonsággal kapcsolatos irányítási folyamatok • Az IT biztonságirányítás • Az IT kockázatmenedzsment • Az IT biztonsági program menedzsment • Az IT biztonság menedzsment • A válaszmenedzsment
A biztonságmenedzsment öt kérdése(Bruce Schneier) • Milyen értéket védünk? • Milyen fenyegetések veszélyeztetik az erőforrásainkat? • Hogyan csökkentik az ellenintézkedések a kockázatokat? • Milyen új kockázatokat okoz a ellenintézkedés? • Milyen költségeket és kompromisszumokat jelentenek az ellenintézkedések.
Mit védünk, mennyiért? Védekezés csak annyit ér meg, mint maximum a védendõ érték. (Kockázattal súlyozott érték!) • Attack-tree:
Ajánlott irodalom • www.securityfocus.com • BUGTRAQ • VULNDEV • www.schneier.com • http://www.schneier.com/paper-attacktrees-ddj-ft.html • www.ranum.com
Új szorgalmi feladat • Cél: vizsga védelme lehetséges támadásokkal szemben • Módszer: attack tree • Részletek: költségek, valószínûség, speciális igények, stb. • Lehetõségek: bármi ami az eszedbe jut • Idõ: pénz
Emlékeztető! • Jövő héten (02.18.) az előadás elmarad :(