4) Az alapvető elektronikus információbiztonsági követelmények Flashcards
Bizalmasság
- „Az adat azon tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.”
- Azaz egy információt tudhat meg, aki erre fel van hatalmazva.
- Legtriviálisabb megvalósítása a titkosítás.
Sértetlenseg
- „Az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség), és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanság) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.”
- Az információ úgy értékes, ha az eredeti formájában adódik át a csatornán.
- Általában az eredeti forma megőrzése a cél.
- Tipikus alkalmazása pl. a digitális aláírás.
Rendelkezésre állás
- „Az elektronikus információs rendszer vagy annak elemének tulajdonsága, amely arra vonatkozik, hogy (ideértve az abban vagy az által kezelt adatot is) a szükséges időben és időtartamban használható.”
- Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni.
- Tipikus alkalmazása pl. mentés.
Védelmi intézkedések
A védelmi intézkedések három tulajdonsággal rendelkezhetnek, emlékezzünk a PreDeCo elvre!
És három típusát különböztetjük meg:
Fizikai:
Logikai
Adminisztratív:
Fizikai védelem
A fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a beléptetőrendszer, a megfigyelő-rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem.
Logikai
Az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem.
Adminisztratív:
A védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás.
Példák a védelmi intezkedesekre
Behatolási teszt:
Az informatikai rendszer, vagy annak elemének olyan ellenőrzése, melynek során megállapíthatóak, hogy vannak-e a gyakorlatban kiaknázható, ismert gyenge pontok. Angolul: Penetration Testing.
Bejelentkezés:
Logikai kapcsolat kezdeményezése az operációs rendszerrel vagy egy alkalmazással, amelynek során az azonosítás és - ha szükséges - a hitelesítés eredményesen végrehajtára után az operációs rendszer, illetve az alkalmazás a bejelentkezést végrehajtó számára megengedett funkcióinak használata lehetővé válik.
Kriptográfia
Mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak kutatását, alkalmazását jelenti, amelyek információnak illetéktelenek előli elrejtését hivatottak megvalósítani.
Virtuális Magánhálózat: Olyan logikai hálózat, amelyben a nyilvános hálózat egyes végpontjai biztonságos átviteli csatornán keresztül vannak összekapcsolva, és így a nyilvános hálózaton belül védett kommunikációt valósít meg. Angolul: Virtual Private Network (VPN
Biztonsági mechanizmusok
- A biztonsági mechanizmusoknak is három típusát ismerjük:
- Preventív, azaz megelőző: a fenyegetés hatása bekövetkeztének elkerülése.
- Detektív, azaz észlelő: a biztonsági esemény bekövetkezésének felismerése.
- Korrektív, azaz reagáló: a bekövetkezett biztonsági esemény terjedésének megakadályozására vagy késleltetésére, a további károk mérséklésére tett intézkedés.
- Összefoglalóan ezt PreDeCo elvnek hívjuk.
