Június - 2017
H K S C P S V
  01 02 03 04
05 06 07 08 09 10 11
12 13 14 15 16 17 18
19 20 21 22 24 25
26 27 28 29 30  

Informatikai biztonság

 Az ISZK Informatikai Biztonsági Szabályzata letölthető innen.

Bevezetés

Az informatikai biztonságért felelős 2006 végéig a Központi Alkalmazások  Osztályán a hálózati csoport vezető volt megosztva felelősségét és idejét a hálózati rendszerek felügyelete és a biztonsági kérdések között. Mivel az egyetemi adatbiztonsági rendszerek felügyeletét is ez a csoport látta el ezért ez elégséges megoldás volt. A 2006-os audit és revízió eredményeképpen indult meg egy átalakulás, melynek eredményeképpen a technológiai osztályok feletti IT biztonságért felelős pozíciót alakított ki az ISZK. Ennek eredményeképpen úgy érezzük már szervezetileg is kellő fontossággal van reprezentálva ez a feladat – így a Szolgáltató Központ vezetősége is kellő súlyt helyezhet az IT manegemantből az IT governance irányába tett lépésekre. 

Biztonsági felelős

Az informatikai biztonság hatékony megvalósításához a legfontosabb a felelőségi körök meghatározása, elhatárolása. Az átfogó, teljes szervezetet lefedő biztonsági folyamatokhoz azonban nem elegendő az egyéni felelősségi körök kiosztása. Az Informatikai Szolgáltató Központban (ISZK) ezért ezek összehangolására, ellenőrzésére egy a szervezeti fából kiemelt Security Officer poszt létrehozására volt szükség.

 

 A Security Officer felelőssége három fő részből áll:

  • Egyrészt (a többi felelőssel együttműködésben) elkészíti az Informatikai Biztonsági Szabályzatot. Feladata továbbá ennek karbantartása, frissítése, aktualizálása, egyrészt változások esetén, másrészt rendszeresen (évente) revízió. További ezzel kapcsolatos feladata a szabályzatok közzététele, megismertetése az üzemeltetőkkel, felhasználókkal.
  • Másrészt, hogy az egyes részterületek felelősei saját felelőségi körükkel tisztában legyenek, azok közt szükségtelen átfedések, hiányok ne legyenek. A Security Officer folyamatos kommunikációt folytat a felelősökkel, és megfigyelőként vagy tevőlegesen részt vesz az egyes főbb munkafolyamatok meghatározásában. Ilyen módon folyamatosan tisztában van a szervezetet érintő főbb kihívásokkal, változásokkal.
  • Harmadrészt feladata a bekövetkezett biztonsági események elemzése. A biztonsági esemény kezelésének összevetése az irányelvekkel, ezáltal az esetleges hiányosságok feltárása, szükséges változások beépítése az előbbi mechanizmusok útján. A biztonsági eseményekről jelentést ír az adott részterületek képviselőivel együttműködésben.

Biztonsági politika

Az ISZK naprakész biztonsági politikával rendelkezik, amelyet az Informatikai Biztonsági Szabályzat (IBSZ) tartalmaz. A Biztonsági Politikának nem az a célja, hogy konkrét és részletes cselekvési terveket és eljárásokat rögzítsen, ellenben tisztáznia kell azokat az elveket, általános elvárásokat és etikai normákat, amelyek – a hatályban lévő jogszabályokkal és a CORNET számára egyébként irányadó szabályokkal összhangban – a hálózat felhasználásának kereteit megalapozzák. Az aktuális problémákat, felvetéseket ez alapján lehet és kell kezelni. A Biztonsági Politika – az IBSZ részeként – kötelező erejű az egyetemi közösségre nézve.

Szoftver jogtisztaság

A szoftverek jogtisztaságának kérdése kiterjed a beszerzés, az üzemelétetés, a licenszelés kérdéseire és egyszerre kell megfelelnie a jogi, a pénzügyi és technikai követelményeknek. Ennek érdekében több rendszerelem összhangja szükséges:

Az egyetemek, oktatási intézmények számára elérhető úgynevezett Campus licensz keretében számos alapvető jelentőségű szoftver jogtisztasága megoldott.

A felhasználói gépekre feltelepített szoftverek nyilvántartását teszi lehetővé, illetve könnyíti meg nagyban az Microsoft Active Directoryval együttműködő Microsoft Systems Management Server (SMS) használata. Ez nem csak magát a telepítést, de a nyilvántartást is egységes keretbe helyezi, amely ilyen nagy darabszámú PC-s infrastruktúra esetén elengedhetetlen.

A leltározás kiterjed a szoftvertermékekre is. Az egyetemen belül nem az Informatikai Szolgáltató Központ, hanem a leltározási feladatokat is végző Gazdasági és Műszaki Igazgatóság (GMI) leltározza a szoftvereket a TÜSZ rendszer keretein belül.

Az egyetemi szintű licenc megfelelőségi, jogtisztasági kérdések elengedhetetlen feltétele, hogy egyes felhasználók, szervezeti egységek ne tudjanak az ISZK tudta és jóváhagyása nélkül szoftvert telepíteni. Ennek érdekében a gépek Active Directory-ban úgy vannak konfigurálva, hogy az egyes gépekre csak az ISZK PC-támogatási osztálynak munkatársai rendelkeznek rendszergazdai jogokat biztosító hozzáféréssel, így csak ők tudnak szoftvert telepíteni (illetve eltávolítani).

Dokumentáltság, naplók, jelentések, jegyzőkönyvek

A biztonság elengedhetetlen feltétele, hogy a biztonsági kérdésekkel kapcsolatos dokumentumok naprakészen és elérhetően megtalálhatóak legyenek.

A biztonsággal összefüggő összes nyilvános dokumentum elérhető az egyetemi weben.

A hálózati eszközök és szerverek naplóznak, a naplók biztonsági okokból a nyilvánosság számára nem elérhetőek. Az ISZK dolgozói a saját felelőségi körükben elérik és feldolgozzák a naplókimeneteket.

A mindennapi történések dokumentálása mellet kiemelten fontos a biztonsági kockázatot, kritikus üzemeltetési nehézséget okozó rendszerek monitorozása, azokon előzetes kritikus helyzeteket szimuláló méréseket végezni. A Security Officer kinevezése kapcsán az ilyen mérések előkészítése végrehajtása, illetve a végrehajtott vizsgálatokról szóló mérési jegyzőkönyvek elkészítése felgyorsult.

Eddig ilyen jellegű mérés történt az egyik legkritikusabb rendszert kiszolgáló Neptun rendszeren (tanulmányi rendszer). A többlépcsős megtervezett „stressz teszt” (tulajdonképpen egy szimulált DDoS támadás) eredményi alapján a rendszer finomhangolása, részben áttervezése megtörtént, amelynek hatására a biztonság és a performancia is jelentősen, és mérhetően növekedett.

Hasonló, DDoS-t szimuláló stressz tesztre kerül sor az egyetemi Webszervert vizsgálva, ezen mérés eredményinek kiértékelése jelenleg van folyamatban.

Informatikai Biztonsági Szabályzat

Utolsó frissítés: 2016.07.28.