Konrád
8 °C
26 °C

Az információbiztonság és a rend II/II

2004.03.08. 14:48
Cikksorozatunk előző részében az informatikai rendszer felméréséről ejtettünk szót annak a gondolatnak a mentén, mely szerint az információbiztonság megteremtése elképzelhetetlen a "rend fenntartása" nélkül, ez pedig folyamatos tőrödést igényel. Ez a tőrödés rideg szakmai nyelvre lefordítva egy ciklikusan ismétlődő, visszacsatolt ellenőrzési/módosítási/végrehajtási folyamatot takar. Ennek elemeit boncolgatjuk cikkünkben.
Legális hackelés

A versenyképességük, eredményességük és hatékonyságuk növelésére törekvő szervezetek napjainkban már nem engedhetik meg maguknak, hogy figyelmen kívül hagyják az Internet által nyújtott üzleti lehetőségeket. Az Internet használatával azonban ezek a szervezetek kinyitják addig teljesen zárt és elszigetelt informatikai hálózatukat a külvilág felé. Ezért kap ma egyre nagyobb szerepet az informatikai rendszerek behatolás elleni védelmének vizsgálata. E vizsgálat egyik hatékony - és egyre inkább elterjedőben levő - eszköze a legális hackelés.

A legális hackelésnél szakemberek ugyanolyan, vagy hasonló eszközöket, módszereket alkalmaznak, mint amilyeneket egy valódi támadó használna. A legális hackelés végrehajtása előtt annak technológiáját, kockázati tényezőit részletesen ismertetni kell a megrendelővel, így az esetleges károk minimalizálhatók vagy elkerülhetők. Természetesen az ilyen jellegű vizsgálatok eredményes végrehajtása kizárólag csak a kölcsönös bizalom megléte esetén lehetséges.

A behatolás elleni védelem vizsgálatakor az adott szervezetnél alkalmazott informatikai eszközökre (hardver, szoftver) meghatározzák a hiányosságokat és a gyenge pontokat, amihez felhasználják a hozzáférhető szakirodalmat és adatbázisokat, továbbá benchmarking vizsgálatokat végeznek. A gyakorlati behatolás teszteket az így feltárt gyenge pontokra alapozva hajtják végre.

A vizsgálat során - az esetek döntő többségében - a következő alapvető módszerek kerülnek alkalmazásra:

  1. automatizált betörési kísérletek és sérülékenység-vizsgálatok célszoftverek segítségével;
  2. célzott információgyűjtés a hálózati struktúráról, a telepített hardver- és szoftverelemekről, illetve a hálózati forgalomról;
  3. a fentiekben szerzett tapasztalatok elemzése alapján további, egyedi vizsgálatok és betörési kísérletek.

A vizsgálatok három irányból végezhetők:

  1. a belső hálózatról (LAN), az alkalmazottak által is használt szegmensről;
  2. az Intranet kapcsolatok felől;
  3. az Internet felől.

Vizsgálat alá kell vonni a szervezet dolgozóinak általános informatikai kultúráját, és hogy az informatikai biztonsági előírások, szabályok mennyire fedik le a behatolás elleni védelem területét, illetve melyek azok a területek, ahol további szabályozásra, fejlesztésre, oktatásra van szükség.

A vizsgálatok eredményét jegyzőkönyvben kell rögzíteni, és az informatikai rendszer átfogó felülvizsgálatáról készült részletes jelentésben is be kell mutatni.

Független informatikai audit

Mi a legnehezebb feladat az információbiztonság megteremtésében?
Valószínűleg mindenki a biztonság folyamatos szinten tartására szavazna, és joggal: a szervezetek informatikai rendszereinek valóban ez az egyik legkritikusabb pontja. A biztonság szinten tartásának ellenőrzése kettős feladat: részét képezi egyfelől a jól kialakított informatikai biztonsági rendszer működésébe beépített folyamatos visszacsatolás, másfelől a rendszeres külső audit végrehajtása.

Az informatikai biztonsági audit nem más, mint annak megállapítása, hogy a vizsgált rendszer az adott követelményeknek (meghatározott biztonsági szinteknek, előírásoknak) megfelel-e, vagy sem. Az informatikai biztonság auditálásakor a hatályos jogszabályok, a biztonságpolitika, illetve az ennek alapján készült társasági szabályozások, követelmények érvényre jutását is ellenőrizni kell. Ez esetenként, a szervezet igényeinek megfelelően, kiegészülhet további követelményekkel, illetve speciális feladatokkal.

Az informatikai biztonsági audit lényegében az informatikai felmérés lépéseit követi, azzal a különbséggel, hogy a fenyegetettségeket a szabályzatok, előírások teljesülésének mértékében vizsgálja. Ennek megfelelően az informatikai kockázatelemzés elmarad, viszont hangsúlyozottan figyelembe kell venni az egyes szabályzóknak való megfelelést, illetve az attól való eltérést.

Az informatikai audit megvalósításához természetesen ugyanazokat a nemzetközi és hazai szabványokat és ajánlásokat kell figyelembe venni, amelyekre az egész szervezet információs technológiája épül (COBIT, ISO 15408, ISO 17799, valamint az Informatikai Tárcaközi Bizottság megfelelő ajánlásai).

Az audit megvalósítása során az ellenőr felülvizsgálja az adott szervezet informatikai rendszerét és az üzemeltető informatikai szervezetet. Az informatikai rendszer az audit után tanúsításra kerül, amely során dokumentálják, hogy a vizsgált rendszer az adott, a hazai és nemzetközi informatikai szabványok által előírt követelményrendszerben meghatározott biztonsági feltételeknek megfelel (vagy nem felel meg).