Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Informatikai biztonság

2012
by

Sz Z

on 16 January 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Informatikai biztonság

Az informatikai biztonság szükségessége Informatikai Biztonság Miért kell? Hol van szükség a biztonságra? Miért kell vele foglalkozni? Mit védünk? Az informatikai biztonság szükségessége:

Az élet minden területén egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak ki. Az intézmények tevékenységét és működését mind intenzívebben támogatják informatikai alkalmazások. Ezzel együtt emelkedik az informatikai biztonság szerepe és jelentősége.

AZ INFORMÁCIÓ:
érték, vagyon,hatalom mindenhol, hiszen egész életünket behálózzák az információk, amik főleg informatikai rendszerekben vannak tárolva.

Egy olyan világban, ahol az autót laptoppal szerelik, a pékségek kemencéit számítógépek irányítják, és még a villamos csengetése is szoftveresen van megoldva, ne számítsunk semmi jóra.

És akkor még nem is beszéltünk a legfőbb veszélyforrásról: arról az 1.1 milliárd közveszélyes emberről, akit internet-felhasználónak hívnak. A védelem tárgya mindig az INFORMÁCIÓ!!! Sokféle definíció létezik az információra, de a legjobb talán ez a Wikipediából származó:

„Az információ az adat feldolgozásának, átalakításának és rendezésének az eredménye oly módon, hogy az plusz tudást adjon annak a személynek, aki megkapja.”

És mi az adat?

„Az adat egy olyan állítás, ami a valóságra vonatkozik. Az adat minden, amit fel lehet dolgozni.”

Fenyegetések
Elektronikus dokumentumok bizalmasságának vagy hitelességének megsértése;
Támadás rosszindulatú programokkal;
Szolgáltatás igénybevételének letagadása;
Web lapok tartalmának illegális megváltoztatása;
Adatlopás „védett” szerverekről;
Szolgáltatások megbénítása terheléses támadással (ang.: Denial of Service, DoS). Ki (mi) fenyeget? kiberterrorizmus (cyberterrorizm);
információs műveletek (információs hadviselés);
gazdasági hírszerzés;
ipari kémkedés;
hackerek, crackerek;
rosszindulatú, bosszúálló munkatársak;
képzetlen, hanyag, felelőtlen munkatársak;
természeti csapások;
műszaki hibák. A támadás tárgya az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége vagy rendelkezésre állása, illetve a rendszerelemek sértetlensége vagy rendelkezésre állása ellen irányuló fenyegetés.

A támadás eszköze az informatikai rendszer, rendszerelem. Szándékos:
Haszonszerzés vagy károkozás céljából, az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége vagy rendelkezésre állása, illetve a rendszerelemek sértetlensége vagy rendelkezésre állása ellen irányuló támadás, ahol az elkövető a következményeket kívánja vagy e következményekbe belenyugszik. Gondatlanság:

Tudatos gondatlanság: ha az elkövető előre látja magatartása következményeinek a lehetőségét, de könnyelműen bízik azok elmaradásában.

Hanyagság: Ha az elkövető nem látja előre magatartása lehetséges következményeit, mert elmulasztotta a „tőle elvárható” figyelmet vagy körültekintést.

Vétlenség: az elkövető nem láthatja előre magatartása lehetséges következményeit . Megéri vele foglalkozni? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására?

Ehhez vannak-e felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel foglalkoznak, akik képesek a kárfelszámolásra? Informatikai Biztonság Történelem és folyamatos fejlődés az ókori egyiptom ie. 1900: nem szabványos egyiptomi hieroglifákat használtak

ie. 800: Káma Szútra, a szerelmesek kommunikációjában fontos a titkosírás

ie. 600: Atbash kódolás a zsidóknál, helyettesítéses titkosítás

ie. 600: a görög által használt szkütalé, keverő titkosítás

ie: 60-50: Julius Caeasar helyettesítésestitkosítása középkor 1000 körül: a kriptoanalízis felfedezése, mely az arab világból származik

1465: Alberti felfedezi a polialfabetikus titkosítást, mely kivédi a korai, gyakoriságalapú töréseket
A titkosítás (az információk védelme) elterjedtté válik a diplomáciai levelezésekben

1518: Megjelenik Johannes Trithemius spanheimi apát Polygraphiae című műve, mely az első kriptográfiával foglakozó nyomtatott könyv

1586: Vigenère titkosító: hosszú ideig a legjobb titkosítási eljárás volt A kriptográfia a XX. századig inkább művészet volt.
Folyamatos, de inkább ad hoc, mint tudatos fejlődésen ment keresztül.

A jelentősebb harctereken ekkor már felhasználják a titkosítási technikákat.

1917-ben a brit hírszerzés elfogja és megfejti Arthur Zimmermann táviratát, ami miatt az USA belép az I. világháborúba.

1918-ban Arthur Scherbius szabadalmaztat egy titkosító gépet, mely később nagy karriert fut be Enigma néven.

1919: Hugo Alexander Koch szabadalmaztatta a rotor alapú titkosító gépet Az elmúlt 100 év eredményei A kriptográfia igazi, nagy áttörése a II. világháborúhoz köthető, amikor az információszerzés minden korábbinál fontosabbá vált.

A háború nem csak a frontokon dúlt, hanem a háttérben, a hírszerzőknél is.

A németek az Enigmát használták minden haderőnemnél.

A szövetségesek komoly erőfeszítéseket tettek ennek feltörésére.

Ennek eredménye a számítógép és számos modern tudományág elindulása. 1948: Claude E. Shannon ihletésére kialakul az információelméletnek nevezett tudományág.

Folyamatosan fejlődik a számítástechnika (Neumann), mely a nagy lökéseket a hadiipartól kapja.

Kialakul az internet, mely alapvetően szintén az információ védelmét szolgálja.

1975: A Data Encryption Standard (DES) szabvány megjelenése

1976: Diffie-Hellman, az aszimmetrikus titkosítás felfedezése, melyből a legismertebb titkosítási szabvány, az RSA kifejlődött.

1991: Phil Zimmermann, a PGP megírása, a kriptográfia megjelenése széles körben, ezzel együtt új, jogi problémák felvetése Az információ biztonsági tulajdonságai Az információnak alapvetően három biztonsági attribútumával foglalkozunk
Ezek együttesen alkotják a csatorna zajforrását, azaz információ védelmi mechanizmusát.

A három tulajdonság a következő:

Bizalmasság – Confidentiality

Sértetlenség – Integrity

Rendelkezésre állás – Availability

Ezt szoktuk CIA követelménynek nevezni. „Olyan tulajdonság, amely biztosítja, hogy az információt jogosulatlan egyének, entitások vagy folyamatok számára nem teszik hozzáférhetővé, és nem hozzák azok tudomására.”

Forrás: ISO/IEC 13335-1:2004

Azaz egy információt tudhat meg, aki erre fel van hatalmazva.
Legtriviálisabb megvalósítása a titkosítás. „Az információ pontosságának és teljességének védelmét biztosító tulajdonság.” Forrás: ISO/IEC 13335-1:2004
Az információ úgy értékes, ha az eredeti formájában adódik át a csatornán.
Általában az eredeti forma megőrzése a cél.
Tipikus alkalmazása pl. a CRC kódolás vagy a lenyomatképzés. Bizalmasság Sértetlenség Rendelkezésre állás Minőségi (quality) követelmények:
eredményesség (effectiveness), hatékonyság (efficiency)
Bizalmi (fiduciary) követelmények: szabályosság (compliance), megbízhatóság (reliability) „Olyan tulajdonság, amely lehetővé teszi, hogy az adott információ – feljogosított entitás által támasztott igény alapján – hozzáférhető és igénybe vehető legyen.” Forrás: ISO/IEC 13335-1:2004
Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni.
Tipikus alkalmazása pl. a szünetmentes tápok vagy a RAID használat. Kötelező hozzáférés-védelem Mandatory Access Control (Kötelező hozzáférés-védelem, előre meghatározott hozzáférés-ellenőrzés)

Amikor egy rendszer mechanizmusa határozza meg az objektum hozzáférés szabályait, és egy egyedi felhasználó nem módosíthat ezen, a szabályozást mandatory access controlnak (MAC) nevezzük.

Az operációs rendszer MAC-ot kényszerít ki. Sem a szubjektum, sem az objektum tulajdonosa nem határozhatja meg, hogy a hozzáférés engedélyezett legyen.

Tipikusan egy rendszereljárás ellenőrzi a szubjektumhoz és az objektumhoz tartozó információkat, és ez alapján dől el, hogy a szubjektum hozzáférhet-e az objektumhoz.
Szabályok írják le, hogy milyen feltételek mellett engedélyezett a hozzáférés. Tetszőleges hozzáférés-védelem Discretionary Access Control (Belátáson alapuló hozzáférés-ellenőrzés, diszkrecionális védelmi stratégia, Tetszőleges hozzáférés-védelem, önkényes hozzáférés kontroll)

Ha egy egyéni felhasználó beállíthatja a hozzáférési szabályokat egy objektumhoz való hozzáférés engedélyezésére vagy tiltására, akkor ezt az eljárást discretionary access controlnak (DAC) nevezzük.

A DAC hozzáférési jogosultsága a szubjektum identitásán alapszik, és az objektum identitása is bele van számítva. Bell-LaPadula modell David Elliott Bell és Len LaPadula dolgozta ki 1973-ban.
Célja az USA Védelmi Minisztériuma által kidolgozott többszintű biztonsági szabályzat (multilevel security, MLS) formalizálása.
Tulajdonképpen egy formális állapot-átmenet modell, amely hozzáférési szabályokat határoz meg.
A hadseregnél használt fogalmakat és minősítéseket használja. Az objektumokat a biztonsági címkéjükkel (security label) lehet jellemezni.

A szubjektumokat a megbízhatóságukkal (clearance) jellemezzük.

Ezek leggyakrabban a következő állapotokat vehetik fel:
SZIGORÚAN TITKOS
TITKOS
BIZALMAS
NEM MINŐSÍTETT Magyarázat:
Egyszerű biztonsági modell:
Az őrmester olvashatja azokat a titkokat, amik az egységénél keletkeznek, de a NATO titkaihoz nem férhet hozzá.
*-tulajdonság: A tábornok hozzáférhet a NATO titkokhoz, de azt nem helyezheti az őrmester egységének páncélszekrényébe, hiszen ahhoz az őrmester is hozzáférhet.
Tetszőleges biztonsági tulajdonság: Hadi helyzet esetén a vezérkari főnök engedélyezheti az őrmesternek is a NATO titkokhoz való hozzáférést. A modell a későbbiekben kiterjesztésre került, pontosították, de az alapelvek változatlanok maradtak.
Az alapmodell gyakorlati megvalósítása nehézkes, de a módosított, kiegészített változatok több operációs rendszerben is használják, tipikusan különböző Linux disztribúciókban.
A modellt alkalmazzák még pl. a FreeBSD-ben is. Biba modell Kenneth J. Biba 1977-ben publikálta a sértetlenségi szabályzatról szóló modelljét.
Célja a Bell-LaPadula modellből teljesen hiányzó sértetlenségi követelmények megalkotása.
Szintén formális állapot-átmenet modell, ugyanazokkal a fogalmakkal, mint a másik modell.
A Bell-LaPadula modell ellentéte. Magyarázat:
"A" bankár az ügyfél hitelbírálatánál csak a hivatalos iratokból (munkáltatói igazolás, BAR lista, stb.) olvasva hozhat döntést, az ügyfél által hozott iratokból nem.
"A" bankár átírhatja a számítógépén az ügyfél személyes adatait, de nem változtathatja meg a folyószámlájának tartalmát.
Az APEH utasítására "A" bankár zárolhatja az ügyfél számláját, pedig erre nem lenne felhatalmazása. A gyakorlatban ez is inkább a hadi alkalmazásokra alkalmazható.
A megvalósítás ugyanúgy történik, mint a Bell-LaPadula modellnél, hiszen a címkék felcserélésével egyszerűen összehangolhatóak. Clark-Wilson modell David D. Clark és David D. Wilson publikálta 1987-ben.
Teljesen más megközelítést alkalmaz a sértetlenség meghatározására, mint Biba.
Az alapvető művelet a tranzakció, ami sokkal életszerűbb egy üzleti környezetben, mint a különböző besorolások, címkék.
A tranzakcióval kapcsolatban három alaptézist fogalmaz meg:
Egy jól formázott tranzakció olyan műveletek sorozata, melynél a rendszer egy konzisztens állapotból egy másikba kerül.
A sértetlenségi szabályzat a tranzakció sértetlenségére vonatkozik.
A felelősségek szétválasztásának elvét be kell tartani ahhoz, hogy egy tranzakció jóváhagyója és megvalósítója különböző entitás legyen. Értelmezése egy banki példa esetében:
A rendszernek érvényes számlaadatokat kell tartalmaznia az ellenőrzés idejében (X1) vagy el kell végezni az átutalási műveleteket ennek érdekében (X2).
A számlaműveleteket csak a meghatározott szoftverek (A1) és a mögöttük álló banktisztviselők végezhetik el (A2).
A számla terhelését és az átutalást más személyeknek kell elvégeznie (X3), akiket a tranzakció előtt hitelesíteni kell (A3). A műveletet naplózni kell (X4).
A rendszerbe kerülő adatokat a végrehajtás előtt ellenőrizni kell, és vagy végre kell hajtani, vagy el kell utasítani (X5).
A banki szoftverek felhasználóit egy felelős embernek kell kijelölnie (A4).

Gyakorlatilag minden modern operációs rendszer eszerint működik. Kínai fal modell David F. C. Brewer és Michael J. Nash publikálta 1989-ben.
A feladat az angol törvényi környezetből jött, ahol meg kellett oldani a tőzsdéken az összeférhetetlenség problémáját.
Ötvözi a bizalmassági és sértetlenségi szabályzatok tulajdonságait. A modell hatalmas gyakorlati haszonnal jár.
Az adatbázis-kezelésben, a munkafolyamatoknál a gyakorlatban is sokszor használják. Informatikai védelem és biztonság A rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának védelme. Az informatikai rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Rendszerelemek személyek az alkalmazás előtt:
a felvétel és a munkaköri leírások; a személyzet biztonsági átvilágítása és a személyzeti politika; a foglalkoztatás feltételei;
az alkalmazás alatt:
a vezetőség felelősségei; az informatikai biztonsági oktatás és képzés; fegyelmi eljárás
az alkalmazás megszűnésekor vagy változásakor:
a munkaviszony megszüntetésének biztonsági kérdései; az eszközök visszaadása; a hozzáférési jogok visszavonása; az átszervezés biztonsági kérdései fizikai környezet és infrastruktúra építészeti (statikai) védelem;
vagyonvédelem;
tápáramellátás;
klimatizálás;
tűzvédelem;
vízvédelem;
ki- és besugárzás elleni védelem. hardver Hibatűrés
a hibaáthidalás folyamatának kialakítása;
az újraindítási képesség megvalósítása;
funkcionális redundancia:
redundáns struktúrák és redundáns struktúrákból felépülő összetett rendszerek;
ki- és besugárzás elleni védelem. szoftver azonosítás és a hitelesítés;
hozzáférés-jogosultsági és ellenőrzési rendszer;
rosszindulatú programok elleni védelem;
biztonságos programozás;
adatbázis biztonság. kommunikáció és hálózat kriptográfia és biztonsági protokollok:
rejtjelzés; digitális aláírás; SSL; VPN; WiFi;
Hálózatszegmentálás:
routerek; switchek; WAP; DMZ;
Határvédelem:
tűzfalak; behatolás érzékelők és elhárítók; rosszindulatú programok elleni védelem. adathordozók adatredundancia;
kriptográfia és kódolás:
rejtjelzés; digitális aláírás; hibadetektáló és javító kódok; tömörítő kódok;
kezelés:
nyilvántartás; címkézés; tárolás. szabályozás és dokumentáció szervezeti biztonság;
személyi biztonság;
az eszközök biztonsági besorolása és ellenőrzése;
fizikai és környezeti biztonság;
számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje;
hozzáférés menedzsment
fejlesztés és karbantartás;
biztonsági incidensek kezelése;
működésfolytonosság;
jogszabályi (és társadalmi) megfelelőség. INFOSEC számítógép biztonság (COMPUSEC);
kommunikációs biztonság (COMSEC);
rejtjel biztonság (CRYPTOSEC);
átviteli biztonság (TRANSEC);
hálózati biztonság (NETSEC);
kisugárzás biztonság ( EMSEC). fizikai környezet és infrastruktúra építészeti (statikai) védelem;
vagyonvédelem;
tápáramellátás;
klimatizálás;
tűzvédelem;
vízvédelem;
ki- és besugárzás elleni védelem. tápáramellátás külső tápáramellátás;
szünetmentes tápegységek;
szükségáramforrások;
villám- és túlfeszültség-védelem;
a tápáramellátás zavarvédelme. tűzvédelem passzív tűzvédelem;
tűzjelzés;
tűzoltóeszközök;
automatikus tűzoltórendszerek. ki- és besugárzás elleni védelem elektromágneses kisugárzás elleni védelem;
szórt és vezetett elektromágneses zavarok elleni védelem;
elektromágneses kompatibilitás (EMC). védelem vagy biztonság? A védelem A magyar nyelvben – tevékenység, illetve tevékenységek sorozata, amely arra irányul, hogy megteremtse, fejlessze, vagy szinten tartsa azt az állapot, amit biztonságnak nevezünk. Tehát a védelem tevékenység, amíg a biztonság egy (a pszichében meg-jelenő) állapot. Figyelem: az (amerikai) angol nem tesz különbséget a biztonság és a védelem között, általában mindkettőre a security (és/vagy a safety) szót használja. Mint tevékenységet modellezve egy egyszerűsített helyzetet képzeljünk el, amelyben a támadókat és a védőket egyszerűsítéssel egy-egy személy, a védő és a támadó testesíti meg. A támadó az egyik oldalról támad, és ez a támadás mindig valamilyen, a támadás végső célját képező értékre, a védett értékre irányul. „kétszemélyes,
nullától különböző összegű játék” A védelem feladatai megelőzés és korai figyelmeztetés

észlelés

reagálás

incidens vagy krízis menedzsment A biztonság A rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben annak védelme zárt, teljes körű, folytonos és a kockázatokkal arányos. r: a kockázat [Ft/év],
T: a releváns fenyegetések halmaza,
pt: egy adott kockázat bekövetkezésének gyakorisága [1/év],
dt: egy adott kockázat bekövetkezéséből származó kár [Ft]. Zárt védelem: az összes releváns fenyegetést figyelembe veszi;

Teljes körű védelem: a rendszer valamennyi elemére kiterjed;

Folytonos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul; A biztonság összetevői A kockázattal arányos védelem Egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezzel a kockázat a védő számára még elviselhető, vagy annál kisebb. Ezt az arányt a biztonságpolitika határozza meg, és mint a védelem erősségét is értékelhetjük. Az informatikai biztonsággal kapcsolatos szabványok és ajánlások Common Criteria A Common Criteria (CC, Közös Követelmények) az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával került kidolgozásra.
A CC követelmény­rendszerének első három fejezetét kitevő „CC 2.0” dokumentumot ISO/IEC 15408 számon nemzetközi szabványként is kiadták. A CC megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre egyedi követelményeket szabni, a biztonsági követelmények és funkciók leírása differenciáltabb.
A CC a biztonságos termékek bevizsgálását , a CEM (Common Evaluation Methodology) a biztonságos termékek fejlesztését támogatja. BS7799 A BS 7799 szabvány két részből áll. Az „Informatikai biztonság irányítása kézikönyve” (ISO/IEC 27002:2005). A BS7799-2:2002 „Az informatikai biztonsági irányítási rendszer specifikációja” (ISO/IEC 27001:2005). ISO/IEC 270xx A 270xx szabványsorozat kifejezetten a felhasználók számára nyújt segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére a vonatkozó követelményrendszer kidolgozásával. A 270xx szabványsorozat kifejezetten a felhasználók számára nyújt segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére a vonatkozó követelményrendszer kidolgozásával. ISO/IEC 27000 – Szószedet és terminológia (definíciók a sorozat összes szabványához). Fejlesztés alatt.
ISO/IEC 27001 – Az informatikai biztonság irányítási rendszere (BS 7799-2:2002), a szervezet auditálásához szükséges (megfelelőségi) előírások. Az ISO/IEC 27001 szabványt 2005.10.14-én tették közzé ISO/IEC 27001:2005 számon. ISO/IEC 27002 – Az ISO/IEC 17799:2005 szabvány utódja, azzal gyakorlatilag megegyezik. Az informatikai biztonság irányítása gyakorlati előírásait, ellenőrzési célokat és a legjobb gyakorlatot (best practice) írja le.
ISO/IEC 27003 – Az ISO/IEC 27000 szabvány implementálásához szükséges tanácsokat és útmutatókat fogja tartalmazni. A szabvány még csak terv. ISO/IEC 27004 – Egy új szabvány lesz, amely az informatikai biztonság mérésével fog foglalkozni, abból a célból, hogy az informatikai biztonság irányítási rendszerének hatékonyságát mérni tudjuk. ISO/IEC 27005 – Az informatikai biztonság kockázatkezelésével foglalkozik. Az ISO/IEC 13335-3 és 13335-4 szabványok felülvizsgálatával készül. Fejlesztés alatt áll. ISO/IEC 27006 – az ISO/IEC IEC 27001 szabványnak való megfelelést vizsgáló szervezetek számára tartalmaz követelményeket.
ISO/IEC 27011 – informatikai biztonságirányítási irányelvek a telekommunikációnak. Jelenleg ez a szabvány fejlesztés alatt áll. NATO Security within theNorth Atlantic Treaty Organisation
Az INFOSEC (information security) az informatikai biztonságnak az információbiztonságon belüli értelmezése.
Az INFOSEC két nagy területet foglal magába: a kommunikációs biztonságot (ComSec) és a számítógépes rendszerek biztonságát (CompSec). Caesar titkosító (Caesar Cipher)
a legkorábbi ismert helyettesítő titkosító
Julius Caesartól
az első bizonyítottan használt háborús
alkalmazása a kriptográfiának
helyettesítsünk minden betűt az ábécé rendben
utána következő harmadik betűvel
például:
meet me after the toga party
PHHW PH DIWHU WKH WRJD SDUWB
CryptTool bemutató: http://www.cryptool.com/ írjuk le a nyílt szöveget
􀂾írjuk fölé a kulcsszót ciklikusan ismételve
􀂾alkalmazzuk minden betűre a felette levő
betűvel való eltolást
􀂾pl. ha a kulcsszó deceptive
kulcs: deceptivedeceptivedeceptive
nyíltszöveg: wearediscoveredsaveyourself
titkosított: ZICVTWQNGRZGVTWAVZHCQYGLMGJ
􀂾CryptTool bemutató: http://www.cryptool.com/ Első generáció: XVI-XVII. századig, főleg egyábécés helyettesítések (pl. Caesar)

Második generáció: XVI-XIX században,
többábécés helyettesítések (pl. Vigenére)

Harmadik generáció: XX sz. elejétől
Mechanikus és elektromechanikus eszközök
(pl. Enigma, Hagelin, Putple, Sigaba)

Negyedik generáció: a XX. század második felétől
produkciós titkosítók, számítógépekkel
(pl. DES, Triple DES, Idea, AES)

Ötödik gemneráció: kvantumelvű titkosítások, sikeres kisérletek vannak rá, de gyakorlati alkalmazásuk ma még futurisztikus ötletnek tűnhet MeH ITB 8. sz. ajánlás A Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága 1994-ben kiadott „Informatikai biztonsági módszertani kézikönyv” című MeH ITB 8. számú ajánlása tájékoztató az informatikai biztonság megteremtésének legfontosabb elemeiről és célja felkészíteni a szervezetet az informatikai biztonsági koncepciójának kialakítására.
A MeH ITB 8. számú ajánlást, mint – CRAMM alapú – kockázatelemzési módszertanát használják. MeH ITB 12. sz. ajánlás Az Informatikai Rendszerek Biztonsági Követelményei című, 1996-ban kiadott MeH ITB 12. számú ajánlás hazánkban de facto szabvánnyá vált.

Az Informatikai Rendszerek Biztonsági Követelményei a logikai védelem területén elsősorban az ITSEC-re épül, de figyelembe vesz egyéb szabványokat és ajánlásokat is.

Az Informatikai Rendszerek Biztonsági Követelményei nem csak a logikai védelem előírásait tartalmazza, hanem – a BS 7799-hez hasonlóan – részletes követelményeket és védelmi intézkedéseket tartalmaz az informatikai biztonság adminisztratív és a fizikai védelem területeire, a szervezeti, személyi és fizikai biztonság kérdéseire is. MeH ITB 16. sz. ajánlás A Common Criteria 1.0 változatának hazai feldolgozását a Miniszterelnöki Hivatal 1998-ban a MeH ITB 16. számú ajánlásaként, „Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana” címmel adta ki. MIBÉTS Magyar Informatika Biztonság Értékelési és Tanúsítási Séma

A Common Critéria egyezményhez (2003. október) való csatlakozás után kezdődött meg egy magyar „lite CC” kidolgozása MIBIK A Magyar Informatikai Biztonság Irányítási Keretrendszere (MIBIK)

Az ISO 27000, az ISO/IEC TR 13335 szabványok, továbbá a Security within the North Atlantic Treaty Organisation és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata figyelembe vételével készült. KIB 25. számú ajánlás MIBIK
MIBÉTS
IBIX biztonságpolitika és szabályzat informatikai biztonságpolitika A szervezet teljes egészére, egységes szemlélettel megfogalmazza azt a vezetői akaratot, amely meghatározza minden munkatárs viszonyát az informatikai rendszerekben kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának és funkcionalitásának megőrzéséhez. Informatikai Biztonsági Szabályzat (IBSZ) szervezeti biztonság;
személyi biztonság;
az eszközök biztonsági besorolása és ellenőrzése;
fizikai és környezeti biztonság;
számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje;
hozzáférés menedzsment
fejlesztés és karbantartás;
biztonsági incidensek kezelése;
működésfolytonosság;
jogszabályi (és társadalmi) megfelelőség. A társasági szintű Informatikai Biztonsági Szabályzat egy olyan belső szabályzat, amely a társaság minden szervezeti egységére általános érvénnyel meghatározza az informatikai rendszerrel és környezetével kapcsolatos biztonsági szabályokat és intézkedéseket, szervesen illeszkedve a szervezet egyéb működési, ügyrendi és biztonsági előírásaihoz, továbbá meghatározza az eljárások rendjét, a felelősöket, az ellenőrzés rendjét és a szankcionálás módját. Az informatikai biztonsággal kapcsolatos jogszabályok Minősített adat A 2009. évi CLV. törvény a minősített adat védelméről
nemzeti minősített adat: azok az adatok, amelyek érvényességi időn belüli nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása, illetéktelen személy részére hozzáférhető̋vé, valamint az arra jogosult részére hozzáférhetetlenné tétele a minősítéssel védhető̋ közérdekek közül bármelyiket közvetlenül sérti vagy veszélyezteti.
külföldi minősített adat: az EU valamennyi intézménye és szerve, továbbá az EU képviseletében eljáró tagállam, a külföldi részes fél vagy nemzetközi szervezet által készített és törvényben kihirdetett nemzetközi szerző̋dés vagy megállapodás alapján átadott adat. A Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Kormány rendelet;

Az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Kormány rendelet;

Az Észak-atlanti Szerződés Szervezete Biztonsági Beruházási Programja keretében kiírásra kerülő pályázatokon való részvételi jogosultság feltételeiről, a jogosultság megszerzésével kapcsolatos eljárás szabályairól és az eljáró szervezetről szóló 164/2002. (VIII. 26.) Kormány rendelet;

A minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Kormány rendelet;

Security Within The North Atlantic Treaty Organisation (NATO): C-M(2002)-49;

NATO Security Commitee Directive on the Security of Information: AC/35-D/2002-REV2; Üzleti titok Az 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról tiltja az üzleti titok tisztességtelen módon való megszerzését vagy felhasználását, jogosulatlanul mással való közlését vagy nyilvánosságra hozatalát. Ilyennek minősül az is, ha az üzleti titkot a jogosult hozzájárulása nélkül, a vele fennálló vagy korábban fennállt bizalmi viszony vagy üzleti kapcsolat felhasználásával szerzik meg. Az érintett személyek titoktartási kötelezettsége tehát a bizalmi viszony, üzleti kapcsolat megszűnése után is fennáll, ha a tudomásukra jutott információ üzleti titoknak minősül. Banktitok, értékpapírtitok Az 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról meghatározásában banktitok a pénzügyi intézménynél az ügyfélről rendelkezésre álló adat, tehát az ügyfél titka, amit a pénzintézet kezel – és köteles megvédeni.

Az értékpapírok forgalomba hozataláról, a befektetési szolgáltatásokról és az értékpapír tőzsdéről szóló 1996. évi CXI. törvény meghatározásában értékpapírtitok a befektetési szolgáltatónál, a tőzsdénél, az elszámolóháznál az ügyfélről rendelkezésre álló adat. Adatvédelem Az 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (röviden adatvédelmi törvény) – a személyes adatokra vonatkozó része – abból indul ki, hogy a személyes adataival mindenki maga rendelkezik, vagyis információs önrendelkezési jogot deklarál, de e jog nem korlátlan, így a személyes adatok kezelését törvény vagy egyes esetekben a helyi önkormányzat rendelete is elrendelheti. Nem titokvédelem Az adatvédelmi törvény nem általában az adatok védelméről szól, hanem kizárólag a természetes személyek adatainak védelméről – ez a szabályozás nem alkalmas más, pl. üzleti adatok védelmére! Orvosi titok 1997. évi CLIV. törvény az egészségügyről
1997. évi LXVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről

A gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat. Ügyvédi titok 1988. évi XI. törvény az ügyvédekről
Az ügyvédet - ha törvény másként nem rendelkezik - titoktartási kötelezettség terheli minden olyan adatot, tényt illetően, amelyről a hivatásának gyakorlása során szerzett tudomást Gyónási titok sigillum sacramentale – szentségi pecsét
Titoktartási fegyelem, amely védi a gyónást (bűnvallomás, az elkövetett bűnök megvallása), és a bűnbánat szentségét (a keresztség után elkövetett bűnök eltörlésére – Jézus Krisztus által – rendelt szentség). A gyónási titok értelmében a gyóntatónak tilos a gyónót elárulnia, a gyónás során szerzett ismereteket még akkor sem használhatja fel, ha ezzel nem árulja el a gyónót. Elektronikus aláírás Az elektronikus aláírásról szóló 2001. évi XXXV. törvény a digitális aláírásról, és különösen ezen belül a hitelesítési hatóság (Certificate Authority, röv.: CA) szerepéről szól, valamint az elektronikus okiratok kérdése is megjelenik.

Az EU normák és követelmények alapján került kidolgozásra.
194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekről E-társadalom 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről E-közigazgatás 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről

223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról
Full transcript