Informatikai biztonsági rendszerek

Tartalom

1. BEVEZETŐ 1
2. A BIZTONSÁG ALAPKÉRDÉSEI 3
2.1. A biztonság fogalma 3
2.2. A biztonság összetevői 6
2.3. A biztonság társadalmi és jogi háttere 8
2.3.1. Globális Információs Társadalom 8
2.3.1.1. Műszaki mozgató erők és trendek 9
2.3.1.2. Gazdasági mozgató erők 10
2.3.1.3. Az információ, mint érték 10
2.3.2. Papír alapú és digitális üzletvitel közötti átmenet 11
3. AZ INFORMÁCIÓ-RENDSZEREK FENYEGETETTSÉGE 15
3.1. A fenyegetettség 15
3.1.1. A fenyegetettség fogalma 15
3.1.2. A veszélyérzet szerepe 17
3.2. az informatikai biztonsági kihívások 17
3.3. Veszélyforrások a biztonsági környezetben 18
3.3.1. A biztonsági környezet fogalma 18
3.3.2. Szervezeti és működési veszélyforrások 19
3.3.2.1. Biztonsági szervezet hiánya 19
3.3.2.2. Titokvédelmi hiányosságok 19
3.3.2.3. Iratkezelési hiányosságok 20
3.3.2.4. Harmadik féllel kötött szerződések gyengeségei 20
3.3.3. Humán veszélyforrások 21
3.3.3.1. A humán erőforrásokat fenyegető veszélyforrások 21
3.3.3.2. A humán erőforrások képezte veszélyforrások 22
3.4. Természeti veszélyforrások 23
3.5. Fizikai veszélyforrások 24
3.5.1. Jogosulatlan fizikai hozzáférés 24
3.5.1.1. Akti v hozzáférés 24
3.5.1.2. Passzív hozzáférés 26
3.5.2. Fizikai rendelkezésre állás megszakadása 29
3.5.2.1. Informatikai eszközök megbízhatósága 29
3.5.2.2. A nem megfelelő légállapot 29
3.5.2.3. A tűz 30
3.5.2.4. A katasztrófa (természeti, ipari) 31
3.5.2.5. Az energiaellátás zavarai 31
3.5.2.6. A hw dokumentáció hiánya 32
3.6. Logikai veszélyforrások 33
3.1.1. Jogosulatlan logikai hozzáférés 33
3.6.1.1. Belépés ellenőrzés 33
3.6.1.2. Passzív és aktív hozzáférés, rejtjelfejtés és kriptográfiai támadások 34
3.6.2. Logikai rendelkezésre állás megszakadása 39
3.6.2.1. Folyamatos működés megszakadása 39
3.6.2.2. Rosszindulatú szoftverek 40
3.6.2.3. Integrált információ-rendszer hiánya 41
3.6.2.4. Logikai rombolás 42
3.6.2.5. A rendszerszoftver, és az alkalmazói szoftver dokumentációja 44
3.6.2.6. Hálózati veszélyforrások 44
3.6.3. Veszélyforrások az információ-rendszer életciklusában 48
3.6.3.1. Fejlesztés/beszerzés
3.6.3.2. Átadás/átvétel 49
3.6.3.3. Üzemeltetés 49
3.6.3.4. Selejtezés 49
3.7. kár következmények 49
4. AZ INFORMÁCIÓ RENDSZEREK VÉDELME 51
4.1. Védelmi módszerek a biztonsági környezetben 51
4.1.1. Szervezet és működésszabályozás 51
4.1.1.1. Biztonsági szervezet és működés 51
4.1.1.2. Titokvédelem 56
4.1.2. Iratkezelés 59
4.1.3. A biztonsági alrendszer szervezése 59
4.1.4. Humán védelmi módszerek 59
4.1.5. Szerződés harmadik féllel 61
4.1.5.1. Szállítók, karbantartók, rendszerkövetők 61
4.1.5.2. Kockázat áthárítás 62
4.2. Technikai védelmi módszerek 62
4.2.1. Fizikai hozzáférés-védelem 52
4.2.1.1. Objektumvédelem 62
4.2.1.2. Belépés és mozgás ellenőrzés 68
4.2.1.3. Behatolás védelem 76
4.2.1.4. Kisugárzás elleni védelem 84
4.2.1.5. Üres íróasztal politika 85
4.2.1.6. Hulladékmegsemmisítés 86
4.2.2. Fizikai rendelkezésre állás 86
4.2.2.1. Eszköz redundancia 86
4.2.2.2. Klimatizálás 86
4.2.2.3. Szünetmentes áramellátás 87
4.2.2.4. Tűzvédelem 88
4.2.2.5. Polgári védelem 93
4.2.3. Logikai hozzáférés-védelem 93
4.2.3.1. Jelszavas hozzáférés-védelem 93
4.2.3.2. Rejtjelező algoritmusok áttekintése 104
4.2.3.3. Klasszikus rejtjelező algoritmusok 111
4.2.3.4. Modern rejtjelező algoritmusok osztályozása a kulcsok jellege szerint 116
4.2.3.5. Kiegészítő kriptográfiai algoritmusok típusai 119
4.2.3.6. Modern kriptográfiai protokollok típusai 120
4.2.3.7. A jelenleg legelterjedtebb számítógépes rejtjelező algoritmusok 128
4.2.3.8. Ma használatos számítógépes rejtjelező protokollok 140
4.2.3.9. Rejtjelező rendszerek 148
4.2.3.10. Biztonsági megfontolások 152
4.2.3.11. Biztonságos elektronikus üzletvitel (e-business) 154
4.2.3.12. A tűzfalak 170
4.2.4. Logikai rendelkezésre állás 173
4.2.4.1. Folyamatos működés biztosítása 173
4.2.4.2. Logikai rombolás elleni védelem 177
4.2.5. Hálózatok védelme 180
4.2.5.1. A nyílt hálózatok felépítése 181
4.2.5.2. A lokális hálózatok 182
4.2.5.3. Az országos hálózatok 184
4.2.5.4. A távközlési módok 184
4.2.6. A védelem az információ-rendszer életciklusa során 190
4.2.6.1. Fejlesztés/beszerzés 190
4.2.6.2. Átadás/átvétel 191
4.2.6.3. Üzemeltetés 191
4.2.6.4. Selejtezés 192
4.3. A védelem erőssége 193
4.3.1. Tévhitek a biztonságról 193
4.3.2. Az egyenszilárdság elve 200
4.3.3. A védelmi intézkedés erőssége 201
4.3.4. A fizikai védelem erőssége 204
4.3.4.1. A MABISZ ajánlás 204
4.3.5. A logikai védelmi intézkedések biztonsági értékelése 207
4.3.5.1. TCSEC 207
4.3.5.2. ITSEC 209
4.3.5.3. CC 212
4.3.5.4. A TCSEC, ITSEC, és a CC összehasonlítása 215
4.3.5.5. FIPSPUB 140-1 216
4.3.6. Az Információ-rendszerek javasolt biztonsági osztályai 218
4.3.7. Az ITB Informatikai rendszerek biztonsági követelményei 220
4.3.8. A védelmi intézkedések kiválasztása 221
5. A BIZTONSÁG SZERVEZÉSE 223
5.1. A biztonsági alrendszer szervezése 223
5.1.1. A rendszer, és a szervezés általában 223
5.1.2. A biztonsági alrendszer, és elemei 223
5.1.3. A rendszer szemléletű biztonságszervezés 224
5.1.4. A biztonságszervezési folyamat 225
5.2. A helyzetfeltárás 228
5.3. A veszélyforrás elemzés 230
5.4. A kockázat elemzés 232
5.5. A biztonsági cél meghatározása 235
5.6. A biztonsági követelmények meghatározása 235
5.7. A részleges védelmi intézkedések specifikálása 236
5.8. Az átfogó védelmi intézkedések specifikálása 239
5.9. A biztonsági szervezet, és a biztonsági alrendszer működésének a szabályozása 244
5.10. Az átadás/átvétel 247
5.11. Üzemeltetés 247
5.12. A biztonság ellenőrzése 250
5.12.1. A biztonsági audit 250
5.12.2. A biztonság belső ellenőrzése 252
6. MELLÉKLETEK 255
6.1. Hatályos hazai jogszabályok 255
6.2. Biztonsági szabványok 255
6.3. Biztonságtechnikai fogalmak 258
6.4. Irodalomjegyzék 264

Témakörök