Az IT biztonság nem orosz rulett, azaz hogyan alakítsuk ki a védelmi mechanizmusokat? ("Utazás az IT biztonság világában" blogsorozat 2. rész)

2020-06-23
Márky Donát


Egy rendszer védelmének tervezésénél a biztonsági követelmények rögzítése után a védelmi mechanizmus kialakítása a következő lépés. Az egyik, igen széles körben elfogadott és a gyakorlatban is használt védelem-tervezési elv a PreDeCo elv, ami háromszorosan egymásra épülő és kiegészítő kontrollokra bontja a védelmet. A módszer lényege, hogy a lehetséges veszélyek teljes kizárása helyett (ami szinte teljesen lehetetlen) a veszélyek fölötti kontrollra fókuszál. 

A biztonsági kontrollok csoportosíthatók funkciójuk szerint:

  • Preventív (megelőző) kontroll
  • Detektív (észlelő) kontroll
  • Korrektív (elhárító) kontroll

Preventív (megelőző) kontroll

A szabálysértések megelőzésére irányuló cselekmények. Megakadályozzák egy adott esemény bekövetkeztét (pl. kerítés megakadályozza illetéktelen személy átlépését a telekhatáron, lakat megakadályozza az ajtó kinyitását, stb.).

Pl.: (tűz)falak, zárak, biztonsági frissítések telepítése.  

Detektív (észlelő) kontroll

A szabálysértések felderítésére irányuló cselekmények. Korlátozza a nem kívánt hatás tovább terjedését (pl. vírusfertőzés), lehetővé téve, hogy az elhárító, helyreállító tevékenység minél előbb fejtse ki hatását. Pl.: naplók átnézése, IDS (Intrusion Detection Systems, behatolás-érzékelő rendszerek), jogosultságok felülvizsgálata, audit.  

Korrektív (javító) kontroll

A szabálysértések bekövetkezése utáni elhárításra irányuló cselekmények. Beavatkoznak az esetleges rendellenes események folyásába, hogy kiküszöböljék a későbbiek során ennek kapcsán felmerülő esetleges károkat. Cél a hibamentes, normál állapot minél előbbi visszaállítása. A visszaállítási idő pedig megfelelő felkészüléssel biztosítható csak.  Pl.: katasztrófa-elhárítási terv készítése, biztonsági mentések.    

 

Védelmi intézkedések típusai

Adminisztratív védelem

A védelem érdekében hozott szervezési, szabályozási, ellenőrzési és oktatási intézkedések (kockázatmenedzsment, biztonsági szabályzatok, szabványok, ajánlások, törvényi szabályozás, eljárások, oktatás és tájékoztatás, HW – SW nyilvántartás, jogosultságok, felülvizsgálat).

Fizikai védelem

A fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, a klimatizálás, és a tűzvédelem (zárak, beléptető rendszerek, tűzjelzős rendszerek). Személy- és vagyonvédelmi szempontból a biztonság valakinek a létét, vagy valaminek a rendeltetésszerű működését veszélyeztető szándékos jogellenes magatartás és az azokkal szemben alkalmazott védelmi erőforrások együtt hatása (vagyonvédelem, fizikai hozzáférés elleni védelem, környezeti védelem, szállítási védelem).

Technikai/Logikai védelem

Az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem; titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, hálózati architektúra, audit (jogosultságkezelés, jelszókezelés, biztonsági mentés, rosszindulatú kódok elleni védelem, naplózás, titkosítás, anonimizálás, törlés).     

 

Az informatikai rendszert fenyegető főbb tényezők

A szervezési hiányosságokból adódó fenyegető tényezők:

  • hiányzó vagy nem megfelelő rendelkezések ill. szabályok;
  • hiányzó vagy nem megfelelő oktatás;
  • hiányzó vagy nem alkalmas eszközök;
  • az informatikai rendszer nem megfelelő ellenőrzése;
  • hiányos vagy nem megfelelő karbantartás;
  • a védett adatok bizalmasságának elvesztése;
  • a rejtjelezés nem megfelelő kulcskezelése;
  • nem megfelelő teszt és átadás-átvételi eljárások;
  • a szerverek nem biztonságos elhelyezése;
  • a biztonsági rendszer hiányos, nem megfelelően aktivált;
  • rendezetlen felhasználóváltás a munkaállomásokon;
  • nem biztonságos adathordozó szállítás és tárolás;
  • a rendszergazdák és munkatársak nem megfelelő képzettsége.

Technikai hiányosságok tényezői:

  • áramellátás kiesése, feszültségingadozás;
  • az intranet hálózat kiesése;
  • a biztonsági berendezések meghibásodása;
  • hibás adathordozók;
  • a hitelesítési lehetőség hiánya a szerver és a munkaállomás között;
  • tárolt adatok elvesztése;
  • rossz címre történő adatküldés, pl. kapcsolási hiba miatt, adatátviteli hiba;
  • adatvesztés a nem megfelelő tárolókapacitás miatt;
  • az adatbank egészének, egy részének vagy integritásának elvesztése;
  • az informatikai rendszer egyes egységeinek meghibásodása.

Emberi tényezőre visszavezethető veszélyek:

Emberi szándékos károkozás:

  • illetéktelen behatolás az informatikai rendszerek környezetébe;
  • számítógép vírusok, trójai faló, stb.;
  • illetéktelen hozzáférés (adat, eszköz);
  • adatok, eszközök eltulajdonítása;
  • az IT eszközök (adatok, hardver, szoftver, vezetékek stb.) károsítása;
  • megtévesztő adatok bevitele és képzése;
  • zavarás (feldolgozások, munkafolyamatok);
  • jogosulatlan, rossz szándékú IT használat;
  • karbantartáskor megszerzett információk alapján történő visszaélés.

  Emberi gondatlan, vétlen károkozás: 

  • figyelmetlenség (ellenőrzés hiánya);
  • szakmai hozzá nem értés;
  • a gépi és eljárásbeli biztosítékok beépítésének elhanyagolása; 
  • a megváltozott körülmények figyelmen kívül hagyása;
  • vírusfertőzött adathordozó behozatala;
  • biztonsági követelmények be nem tartása;
  • gyári előírások be nem tartása;
  • adathordozók megrongálása (hanyag tárolás, kezelés);
  • a karbantartási műveletek elmulasztása;
  • az IT rendszer nem engedélyezett, saját célra történő használata.

Környezeti infrastruktúra okozta ártalmak (Vis maior tényezők): 

  • természeti katasztrófa: földrengés, árvíz, villámcsapás
  • tűz
  • adatvesztés nagy teljesítményű elektromágneses térerő miatt
  • a levegő nedvességtartalmának felszökése vagy leesése
  • piszkolódás (pl. por)
  • feszültség-kimaradás vagy ingadozás
  • elektromos zárlat
  • magas hőmérséklet
  • víz- gázcsőtörés
  • harci cselekmény

Az emberi tényező továbbra is a leggyengébb láncszem az informatikai rendszerekben, ezért folyamatosan növelni kell a felhasználói tudatosságot, illetve ellenőrizni kell a szabályok betartását. Ezen a területen az egyik legjobb megoldás a social engineering – a szervezetek munkavállalóinak a viselkedését és biztonságtudatosságát ellenőrző vizsgálat, melynek során ellenőrzik a munkavállalók biztonságtudatos viselkedését, hogy egy előre meghatározott módon történő kapcsolatfelvétel során (e-mail, telefon, közösségi háló, kártékony alkalmazás letöltése, stb.) rávehetők-e arra, hogy a szervezet IT rendszereinek biztonságát megsértsék, akár információ (jelszavak és egyéb érzékeny adat) átadásával, akár ehhez hozzásegítő műveletek elvégzésével.    

 

Az adatbiztonság követelményei

A biztonsági stratégiai tervezés kulcsfontosságú feladat, mivel így lehetséges a szükséges erőforrásokat fókuszba állítani, illetve rendet teremteni a szervezet működésében. Az informatikai rendszerben biztosítani kell informatikai és nem informatikai eszközök és módszerek, illetve szabályzatok kombinációjával a szükséges és elégséges információbiztonsági szintet. Az egyes rendszerek tervezése és megvalósítása során a rendszerben kezelt adatok biztonsági szintjének megfelelően kell a konkrét biztonsági intézkedéseket meghatározni. A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.    

 

Az IT biztonsági stratégia kialakítása

„A biztonság nem termék, hanem folyamat.”

Valamennyi informatikai biztonsági intézkedés, folyamat, illetve beruházás alapja az átfogó informatikai kockázatbecslés kell, hogy legyen. Ennek alapján tud a szervezet kockázat arányos védelmi intézkedéseket megvalósítani. Az informatikai kockázatelemzés majd kockázatkezelés során arra kell törekedni, hogy felmérjük és csökkentsük a vállalat működési kockázatait. A meglévő védelmi intézkedések figyelembevételével határozzuk meg, hogy mennyire sérülékenyek a rendszerek a különböző típusú fenyegetésekkel szemben. A fenyegetés bekövetkezési valószínűségének csökkentésére, illetve a bekövetkezéskor jelentkező kár csökkentésére szervezési, vagy technikai eszközökkel védelmi intézkedéseket kell alkalmazni, ezért meg kell teremteni az 5E (elmélet, előírások, eszközök, emberek, ellenfelek) harmóniáját.

Vissza