{autotoc}

Az informatikai biztonság

Az informatika biztonság alatt a szervezeti tevékenységek informatikai összetevőinek a célok eléréséhez szükséges megfelelő állapotban tartását értjük.

Olyan megoldásokra van szükség, amelyek a biztonsági követelményeket a lehető legkisebb kockázattal és egyenlő szinten elégítik ki. Ezek az intézkedések más-más feladatokat jelentenek az informatikai rendszer egyes életszakaszaiban:

  • Az informatikai rendszer tervezésénél már be kell építeni a biztonságot megteremtő eszközöket.
  • A számítástechnikai eszközök (HW, SW) beszerzésénél, elhelyezésénél, üzemeltetésnél fő szempont a biztonság megteremtése.
  • Ezen itézkedéseket nem csak meghozni, hanem betartásukat is folyamatosan ellenőrizni kell.

Az utólagos biztonsági intézkedések legtöbb esetben csak többszörös költségekkel valósíthatóak meg. Egy informatikai biztonsági rendszer tervezése sok lépésből álló, sokféle szaktudást igénylő, feladat.

Az informatikai biztonság tervezés szakaszai

Az informatikai biztonság megteremtésénél a következő kérdések merülnek fel:

  • Milyen információkra van szükség a biztonság eléréséhez?
  • Ezeket az információkat milyen fenyegetések érthetik?
  • Hol jelennek meg az információk a rendszerben?
  • Milyen okok válthatják ki a kárt okozó esemény bekövetkeztét?
  • Mi a kockázata a fenyegetésnek?
  • Hogyan csökkenthető a kockázat?
  • Megéri-e a fenyegetés elkerüléséért tett intézkedések?

Az informatikai biztonság tervezését a feltett kérdéseknek megfelelően a következő 4 szakaszokra lehet felbontani:

    1. A védelmi igény feltárása: Kiválasztjuk azokat az informatikai eszközöket, amelyek a szervezet szempontjából a legfontosabbak, és csak ezekkel foglalkozunk.
    2. Fenyegetettség elemzés: Megkeressük az informatikai rendszer gyenge pontját, és azokat a fenyegetéseket, amelyek a kiválasztott alkalmazásokra veszélyt jelentenek.
    3. Kockázatelemzés: Megvizsgáljuk, hogy az informatikai rendszerre milyen káros hatással lehet a fenyegetés bekövetkezte. Meghatározzuk a lehetséges kár gyakoriságát és kárértékét.
    4. Kockázat-menedzselés: Kiválasztjuk a fenyegető tényezők elleni intézkedéseket és azok hatását értékeljük. Vizsgáljuk hogy az egyes intézkedések mennyire hasznosak és milyen költséggel járnak.

1. A védelmi igények feltárása

Az informatikai-alkalmazások és a feldolgozandó adatok feltérképezése

Vagyis helyzetfelmérés és célmeghatározás, hogy reális képet kapjunk a védendő rendszer felépítéséről. Csak akkor tudjuk megvédeni jól a rendszert ha pontosan tudjuk mi az amit meg kell védeni.

Az informatikai alkalmazások és a feldolgozandó adatok kiértekélése

  • A felhasználó védelmi céljának leírása (mihez ki férhet hozzá, milyen rendszerelem mennyi időre eshet ki)
  • Ötrészes értékskála rögzítése, amellyel meghatározható az informatikai rendszer jelentősége.
    • "0" jelentéktelen kár;
    • "1" csekély kár;
    • "2" közepes kár;
    • "3" nagy kár;
    • "4" kiemelkedő;
    • "4+" katasztrofális kár;
  • Értékelni kell minden kárt, és egy értéket rendelni hozzá

2. Fenyegetettség elemzés

A fenyegetett rendszerelemek feltérképezése

A fenyegető tényezők az informatikai rendszer valamely elemén keresztül támadnak:

  • Környezeti infrastruktúra: "Vis Major", közmű ellátás, jogosulatlan személyek
  • Hardver: eltulajdonítás, külső behatás miatti hiba
  • Adathordozó: könnyen hordozható ezért nehezen ellenőrizhető, ha valaki kiviszi
  • Dokumentum: ellenőrizetlen sokszorosítás
  • Szoftver: kezelési hiba, vírusveszély
  • Adatok: az adatbevitel hiányos, adathordozóra írás ellenőrzés nélkül
  • Kommunikáció: Jelszavak átadása másoknak, üzenetek lehallgatása
  • Személyek: hiányos kiképzés, szándékos ill. szándéktalan hibás viselkedés

Az alapfenyegetés meghatározása

Az a fenti elemekhez meg kell határozni, azt a fenyegetést, ami miatt sérülhetnek. (pl.: A szoftver nem fog működni ha vírusos lesz)

A fenyegető tényezők meghatározása (lásd a 3. pontot)

3. Kockázatelemzés

A fenyegetett rendszerelemek értékelése

Ha egy rendszerelemtől több informatikai alkalmazás is függ, akkor az magasabb értéket fog kapni. Azok az elemek melyek más rendszerelemeket védenek azt az értéket kapják melyet védenek.

A károk gyakoriságának meghatározása

Annak becslése, hogy milyen gyakran következhet be valamely fenyegető tényező, és okoz kárt a rendszerben. A skála szakaszai:

  • "4" nagyon gyakori
  • "3" gyakori
  • "2" közepes
  • "1" ritka
  • "0" nagyon ritka
  • "0-" emberi számítás szerint kizárva

A fennálló kockázat értékelése

Kockázatbecslési mátrix elkészítése, mely a kárérték skála és a gyakorisági skála alapján történik. Meg kell jelölni az elviselhető (E) és a nem elviselhető (N) kockázatokat.

K
Á
R
É
R
T
É
K
4+            
4            
3            
2            
1            
0            
-----            
  0- 0 1 2 3 4
Gyakorisági érték

4. Kockázat-menedzselés

Az intézkedések kiválasztása

  • Biztonsági intézkedések az Infrastruktúra területén: védett elhelyezés, tűzvédelem, vízvédelem, áram biztosítása, betörésvédelem, sugárzásvédelem, belépés ellenőrzése, hozzáférés ellenőrzése.
  • Biztonsági intézkedés a Hardver védelemben: üzemeltetés, javítás, beszerzés.
  • Biztonsági intézkedés az Adathordozó védelemben: Mentések, ellenőrzések.
  • Biztonsági intézkedés a Dokumentum védelemben: eszközök nyilvántartása.
  • Biztonsági intézkedés a Szoftver védelemben: beszerzés, ellenőrzés, vírusvédelem.
  • Biztonsági intézkedés a Adatok védelemben: tranzakció kezelés, adatbevitel ellenőrzése, hozzáférés jogosultságok.
  • Biztonsági intézkedés a Kommunikáció védelemben: azonosítás, hitelesítés.
  • Biztonsági intézkedés a Személyek védelemben: korrekt munkahely (zaj, világitás terén), motiváció fenntartása, biztonságtudat kialakítása fenntartása, előírásaok szabályok,

Intézkedések elemzése

Az intézkedések elfogadhatóságának vizsgálata.

A költség/hatékonyság elemzése

Az intézkedések költségének meghatározása.

Maradványkockázat elemzése

A maradványkockázatok elviselhető mértékűre korlátozása, ha esetleg az intézkedések ellenére némely kockázat még elviselhetetlenül nagy maradt.