Keresés

DetektorPlusz Magazin

Partnerek

Termékmonitor

Adatfeldolgozási tanácsadás, és revízió Adathozzáférés elleni védelem Adatkisugárzás elleni védelem Beszéd -, és jeltitkosító eszközök Biztonsági szoftverfejlesztés Dokumentum - megsemmisítő készülékek Lehallgatás elleni eszközök Villámvédelem

Audió és videó kaputelefonok Azonosító eszközök Behatolásjelzők (9) Beléptető rendszerek (2) CCTV biztonsági rendszerek (35) Inteligens épület felügyeleti rendszerek (2) Kapcsolóórák, őrjárat ellenőrző rendszerek Kapu és ajtónyitás vezérlő rendszerek Kártyakészítő eszközök Kül- és beltéri figyelőrendszerek (42) Kültéri objektumőrző rendszerek (8) Lakásriasztók (12) Riasztóközpontok (9) Robbanóanyag - keresők Személy és csomagvizsgáló eszközök (3) Személyi riasztó, segélyhívó eszközök, pánikkapcsolók (1) Távfelügyeleti rendszerek (11) Áruvédelmi rendszerek (1)

Autóriasztók GPS rendszerek Gépjármű távfelügyeleti rendszerek, elfogó szolgálattal Gépjárművek biztonsági átalakítása Gépjármü azonosító rendszerek, eredetvizsgálat

GSM/GPRS kommunikációtechnika Híradástechnikai kiegészítők Kárhely rádiók Személyi hívó URH – rádiókészülékek

Bankbiztonsági mechanikus eszközök Biztonsági zárak Biztonsági nyílászárók Forgalomkorlátozó eszközök Határoló elemek Értéktárolók

Biztonságvédelmi szolgáltatások Élőerős szolgáltatások

Oltás technika Tűzjelző központok (4) Tűzérzékelés (1)

biometrikus mágneskártyás (2) számkódos

Kamerák (39) multiplikálók rögzítők (3) vezérlők

GPRS alapú rendszerek rádiós telefonos (11)

bankjegyvizsgálók pénzszállító táskák átadóablakok

hevederzárak lakatok láncok reteszek vasalások ólomzárak

ajtók biztonsági üvegek fóliák redőnyök szelepek

gátak keresztek reteszek sorompók

drótok hálók kapuk kerítések rácsok

fegyvertárolók kazetták páncélszekrények trezorok

Biztonságtechnikai felülvizsgálat Biztonságvédelmi rendszerek tervezése, szervezése Biztonági képzés, továbbképzés, tréningek Biztosítók, biztosítások Kiadók, publikációk Átvilágítás, tanácsadás Őrszolgálati tervek készítése

Magánnyomozás Objektumőrzés Pénz és értékszállítás Pénz és értékőrzés Rendezvénybiztosítás Személyvédelem

Információ bizt Holló ügyv iroda

Lehetséges információbiztonságot teremteni pénz nélkül?

BARANYA ZSOLT (Black Cell Magyarország Kft.) ÉS A HOLLÓ ÜGYVÉDI IRODA PUBLIKÁCIÓJA

Nagyon sok helyről lehet hallani az információbiztonsági felelősöktől, információbiztonsági vezetőktől, egyéb informatikai- vagy információbiztonsági szakemberektől, hogy egyszerűen nem lehet pénz nélkül információbiztonságot építeni. Jelen cikk megvizsgálja, hogy lehet-e információbiztonságot teremteni extra költségek, ráfordított pénz nélkül. Nem számolva a szervezet dolgozóinak munkavégzésére fordított bérköltségeivel, kizárólag az informatikai eszközökre, vagy a tanácsadásra, esetleg informatikai biztonsági szolgáltatásra fordítandó költségekről van szó, amikor az információbiztonság pénz nélkül történő megvalósításáról beszélünk.

■ Információbiztonság, IT biztonság
– Rengeteg „szakember” a mai napig összetéveszti az informatikai biztonságot az információbiztonsággal.
Az informatikai biztonság szűkebb keresztmetszet, ahol az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága (confidentiality), sértetlensége (integrity) és
rendelkezésre állása (availability) biztosított (CIA elv), valamint a rendszer elemeinek biztonsága szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos (1). Az információbiztonság
tágabb fogalom, mint az informatikai biztonság.
Beleértjük az információ minden – nem csak elektronikus – megjelenési formájának, az információs szolgáltatásoknak és az ezeket biztosító információs rendszereknek a védelmét(2).
• Valószínűleg ez a fogalombéli zavar az egyik oka, hogy a szakemberek azt gondolják, az informatikai biztonság csak úgy biztosítható, ha a megfelelő hardverek és szoftverek, tool-ok rendelkezésre állnak. A vizsgálathoz a 41/2015. (VII. 15.) BM rendelet (3) kontrollistája kerül felhasználásra. Fontos kiemelni, hogy az információbiztonság adminisztratív, fizikai és logikai védelmi intézkedéseket is magában foglal.
Az információbiztonság nem kizárólag a megelőzésről szól, hanem az észlelésről és a regálásról is, ezt is szükséges figyelembe venni.

■ Adminisztratív védelmi intézkedések
– Az adminisztratív védelmi intézkedések egyik alapja a szervezet Informatikai- vagy információbiztonsági Szabályzata (a továbbiakban: IBSZ).
Bármely böngészőben történő kereséssel számos IBSZ letölthető, amelyek sorvezetőként használhatók, és a tartalmi követelmények ez alapján meghatározhatók.
• A kockázatelemzés elvégzéséhez is több ajánlás és szabvány áll rendelkezésre. Ezek közül az Amerikai Nemzeti Szabványügyi és Technológiai Hivatal NIST SP 800-37 ajánlása ingyenesen elérhető, és a kontrollpontok alapján szervezetre szabható. Szaktudás hiányában is megfelelő részletességgel fejti ki a kockázatmenedzsmentrendszer felépítését, a kockázatok azonosításától azok kezeléséig.
• Az üzletmenet-folytonosság tervezése üzleti hatáselemzés alapján kell, hogy megvalósuljon. Ehhez is rendelkezésre állnak ingyenesen hozzáférhető kiadványok, ilyen például a Business Continuity Management: Global Best Practices (4), mely dokumentum a fogalmak magyarázata mellett segít felépíteni egy szervezet üzletmenet- folytonossági tervét.
• A biztonsági események kezeléséhez incidenskezelési eljárásrend szükséges, melyhez számos Playbook (5) áll rendelkezésre szintén a világhálón. Ilyenek például a Defacement segédletek, szolgáltatásmegtagadásos támadás kivédését lehetővé tevő útmutatók, ransomware (6) eltávolítási segédletek stb. • Az információbiztonsági képzések szintén megvalósíthatók nyilvánosan közzétett tudatosító anyagok segítségével, ezek angol és magyar nyelven is megtalálhatók az interneten egyszerű kereséssel, melyek felhasználhatók a tudatosítás során.

■ Fizikai védelmi intézkedések
– A fizikai védelmem megvalósítása nem lehetséges pénzbeli ráfordítás nélkül. A beléptetési rendszerek, kisugárzásgátló eszközök és -megoldások, kerítések, kamerarendszer, riasztóberendezések, tűzvédelmi rendszerek mind pénzbe kerülnek. Ezen megoldások, rendszerek azonban szükségesek, hogy az elektronikus információs rendszerek, valamint az egyéb információhordozók (papíralapú dokumentumok, hordozható külső meghajtók, eszközök) biztonsága biztosított legyen. Előfordulhat, hogy bizonyos már meglévő fizikai védelmi rendszerek nem megfelelően, vagy egyáltalán nincsenek használva. Ebben az esetben egy felülvizsgálat után a hatékonyság növelhető, amennyiben kihasználásra kerülnek a rendszerekben rejlő lehetőségek.

■ Logikai védelmi intézkedések
– A rendelkezésre álló hardver és szoftver beállítások kizárólag szaktudás birtokában valósíthatók meg. Megfelelő szaktudás nélkül több kár okozható, mint amennyi haszon hajtható. A logikai védelemnek számos adminisztratív vonzata van, mert a konfigurációkezelési eljárásrendek, a logikai hozzáférés ellenőrzési eljárásrendek vagy a naplózási eljárásrendek csak
a meglévő szaktudás felhasználásával alakíthatók ki. Ezen eljárásrendekben foglalt beállítások akkor végezhetők el, amennyiben arra az adott hardver vagy szoftver alkalmas. Itt tehát szükséges lehet a logikai védelem kialakításához hardver és/vagy szoftverbeszerzés, esetleg licenszmegújítás, amely pénzügyi forrást igényelhet. Léteznek ingyenes tool-ok is, amelyek beállításai nagy szakértelmet igényelnek, alkalmazásuk azonban költségmegtakarítást eredményezhet.
• Egy penetrációs teszt vagy sérülékenységvizsgálat szakértőkkel történő elvégeztetése is jelentős pénzügyi ráfordítást követel meg, azonban egy ilyen vizsgálat eredménytermékében meghatározott javaslatok megfogadása, és az intézkedések elvégzése nagyban hozzájárul a logikai biztonság növeléséhez.
• Azonban a rendelkezésre álló szaktudás megléte esetén elérhetők az interneten bizonyos hardening guide (7)-ok, amelyek ingyenesek, és rendkívül jól használhatók.
• A sérülékenységek követése és a frissítések menedzsmentje sem feltétlenül igényel extra kiadást, ha menedzselhető számú hardverről és szoftverről van szó. A sérülékenység menedzsment kisebb szervezetek esetében megvalósítható az ismert rendszerek gyártói-, vagy egyéb kutatók által publikált sérülékenységek követésével, és a frissítések, vagy egyéb kockázatkezelési javaslatokban foglalt intézkedések implementálásával.

■ Összegzés
– Összességében elmondható, hogy a teljes információbiztonság kialakítása nem lehetséges anyagi ráfordítás nélkül, azonban van olyan szegmens, amely megvalósítható költségek hiányában is, főleg az adminisztratív intézkedésekben, a kockázatok elemzése, a tudatosítás vagy az ajánlások és nyilvánosan elérhető tudásbázis használata révén. Az információbiztonság szintje tehát egy szervezeten belül növelhető, azonban teljes mértékben nem megvalósítható pénzügyi ráfordítás nélkül.
■
Megjegyzés: A cikkben található információk csupán tájékoztató jellegûek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való elôzetes konzultáció nélkül.

1 Forrás: KIFÜ; KÖZÉRTHETŐEN (nem csak) AZ IT BIZTONSÁGRÓL • 2 Forrás: KIFÜ; KÖZÉRTHETŐEN (nem csak) AZ IT BIZTONSÁGRÓL • 3 Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai, biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet • 4 Business Continuity Management: Global Best Practices, Andrew Hiles, 4. kiadás, 2014. • 5 Playbook: bizonyos egyedi támadás elleni védekezés lépéseinek meghatározása, segédlet az incidens kezeléséhez. • 6 Zsarolóvírus • 7 Hardening guide: Olyan dokumentum, amely segít a konfigurációs beállítások megadásával biztosítani a magasabb szintű biztonságot.