Keresés

Hírek

Hírarchívum

Partnerek

Termékmonitor

Adatfeldolgozási tanácsadás, és revízió Adathozzáférés elleni védelem Adatkisugárzás elleni védelem Beszéd -, és jeltitkosító eszközök Biztonsági szoftverfejlesztés Dokumentum - megsemmisítő készülékek Lehallgatás elleni eszközök Villámvédelem

Audió és videó kaputelefonok Azonosító eszközök Behatolásjelzők (9) Beléptető rendszerek (2) CCTV biztonsági rendszerek (35) Inteligens épület felügyeleti rendszerek (2) Kapcsolóórák, őrjárat ellenőrző rendszerek Kapu és ajtónyitás vezérlő rendszerek Kártyakészítő eszközök Kül- és beltéri figyelőrendszerek (42) Kültéri objektumőrző rendszerek (8) Lakásriasztók (12) Riasztóközpontok (9) Robbanóanyag - keresők Személy és csomagvizsgáló eszközök (3) Személyi riasztó, segélyhívó eszközök, pánikkapcsolók (1) Távfelügyeleti rendszerek (11) Áruvédelmi rendszerek (1)

Autóriasztók GPS rendszerek Gépjármű távfelügyeleti rendszerek, elfogó szolgálattal Gépjárművek biztonsági átalakítása Gépjármü azonosító rendszerek, eredetvizsgálat

GSM/GPRS kommunikációtechnika Híradástechnikai kiegészítők Kárhely rádiók Személyi hívó URH – rádiókészülékek

Bankbiztonsági mechanikus eszközök Biztonsági zárak Biztonsági nyílászárók Forgalomkorlátozó eszközök Határoló elemek Értéktárolók

Biztonságvédelmi szolgáltatások Élőerős szolgáltatások

Oltás technika Tűzjelző központok (4) Tűzérzékelés (1)

biometrikus mágneskártyás (2) számkódos

Kamerák (39) multiplikálók rögzítők (3) vezérlők

GPRS alapú rendszerek rádiós telefonos (11)

bankjegyvizsgálók pénzszállító táskák átadóablakok

hevederzárak lakatok láncok reteszek vasalások ólomzárak

ajtók biztonsági üvegek fóliák redőnyök szelepek

gátak keresztek reteszek sorompók

drótok hálók kapuk kerítések rácsok

fegyvertárolók kazetták páncélszekrények trezorok

Biztonságtechnikai felülvizsgálat Biztonságvédelmi rendszerek tervezése, szervezése Biztonági képzés, továbbképzés, tréningek Biztosítók, biztosítások Kiadók, publikációk Átvilágítás, tanácsadás Őrszolgálati tervek készítése

Magánnyomozás Objektumőrzés Pénz és értékszállítás Pénz és értékőrzés Rendezvénybiztosítás Személyvédelem

Hírarchívum

Kiberbiztonsági keretrendszer segíti a védekezést

Elérhetővé vált annak a biztonsági keretrendszernek a végleges kiadása, amely a Fehér Ház felkérésére készült az elmúlt egy év során.

Egy évvel ezelőtt Barack Obama elnök arra utasította az amerikai Nemzeti Szabványügyi és Technológiai Intézetet (NIST – National Institute of Standards and Technology), hogy dolgozzon ki egy olyan biztonsági keretrendszert, amely iránymutatóként szolgálhat a kiberinfrastruktúrák által biztosított létfontosságú szolgáltatások épségének megőrzéséhez. Ebből a szempontból a kritikus infrastruktúrák, a banki, szállítási és telekommunikációs rendszerek is a figyelem középpontjába kerültek. Végül azonban egy olyan dokumentum született, amely nemcsak a legnagyobb intézmények és vállalatok számára lehet előnyös, ugyanis minden szervezetnek tartogat megfontolandó tanácsokat.

A keretrendszer kialakításában több száz biztonsági szakértő vett részt. Az előzetes kiadásokhoz megannyi észrevétel érkezett, amelyek részben be is kerültek a dokumentumba. A végleges változat végül tartalmazza mindazon alapvető védelmi intézkedéseket, mechanizmusokat, amelyek alkalmazásával a rendszerek támadásokkal szembeni ellenálló képessége növelhető, miközben jobban átláthatóvá és mérhetővé válik a biztonság.

Nem maradtak el a kritikák

A 41 oldalas keretrendszernek a dicséretekből és a kritikákból is kijutott. Ez pedig elsősorban arra vezethető vissza, hogy sokszor nem volt megfelelően tisztázott a dokumentum szerepe és célcsoportja. Több kritika látott napvilágot azzal kapcsolatban, hogy a keretrendszer túl homályosan fogalmaz, és így nem képvisel igazi értéket. Ennek kapcsán Harriet Pearson szakértő, aki maga is részt vett az iránymutatások összeállításában, azt nyilatkozta, hogy a keretrendszer elsősorban a felsővezetők számára szól, például az igazgatóknak, a biztonsági főnököknek, az auditorok vezetőinek, és mindazoknak, akik egy adott szervezeten belül felelnek a biztonságért. Véleménye szerint a keretrendszer választ adhat például egy biztonsági vezetőnek a következő kérdésre: "Honnan tudhatom, hogy amit csinálok az elégséges-e?". A szakember azt is hangsúlyozta, hogy a dokumentum ugyan nem tartalmaz technológiai javaslatokat, azonban az irányítási feladatokra és a védelmi intézkedésekre rámutat.

Andrew Wild, a Qualys biztonsági vezetője szerint a keretrendszer alapvetően egy szép munka, és jól rávilágít arra, hogy a szervezeteknek miként kellene alkalmazniuk a kockázatközpontú megközelítést a biztonság fokozása érdekében. Ugyanakkor azt is mondta, hogy ez a dokumentum sem lesz csodaszer a problémák kezelésében. Elvégre a legtöbb biztonságért felelős szakember eddig is átlátta, hogy miként kellene megvédenie a rábízott rendszereket. A baj inkább az erőforrások hiányával van, ugyanis a felsővezetők sokszor nem biztosítanak megfelelő körülményeket a védelem kialakításához. "Hogyan segíthet egy keretrendszer a védelem megerősítésében, ha az erőforrások nem adottak?" – tette fel a kérdést Wild.

A keretrendszer

Az új keretrendszerben szó van az alapvető védelmi feladatokról, a megvalósítási lehetőségekről és a kiberbiztonsági stratégiákhoz, tervekhez kötődő integrálási kérdésekről. A magját azok a tevékenységek adják, amelyek különféle kategóriákba (eszközmenedzsment, hozzáférés-szabályozás, fenyegetettségelemzés,...) és alkategóriákba sorolhatók. A legfontosabb feladatok között a következőket említi: azonosítás, védelem, felismerés, reagálás és helyreállítás. E teendők más ajánlások kapcsán is sokszor előtérbe kerülnek, de ez azért sem meglepő, mert az NIST a keretrendszerének összeállításakor igyekezett már meglévő szabványokra támaszkodni, és megtalálni az azok közötti egyensúlyt. Így például az egyes biztonsági teendők részletezése nem is történt meg mély szinten, ehelyett a szerzők nemes egyszerűséggel egyéb előírásokra vonatkozó hivatkozásokat illesztettek a dokumentumba.

"A keretrendszer nem helyettesíti vagy cseréli le a szervezetek által jelenleg is alkalmazott üzleti vagy kiberbiztonsági kockázatmenedzsment folyamatokat, hanem sokkal inkább kiegészíti azokat" - hangsúlyozták a szerzők. Egyben hozzátették, hogy az új ajánlások révén a vállalatok, intézmények a jelenlegi folyamataik mentén azonosíthatják a kockázatokat, és ilyen módon erősíthetik a kockázatmenedzsmentet.

Forrás: biztonsagportal.hu

2014.02.20 08:54:47

Vissza