Article Options
Biztonsági Termékek és Szolgáltatások
Fedezze fel az IT Biztonsági Termékek és Szolgáltatások Magyarország Blogot, mely a biztonsági termékekkel és szolgáltatásokkal kapcsolatos tanácsokkal és technológiai trendek elemzésével hív aktív párbeszédre.

Naplózás e-kormányzati rendszerekben - Alkalmazásnaplók ( 8. rész) - Krasznay Csaba

krasznay| February 25, 2011 - last edited February 21, 2011
Post a Comment
0

Incidenskezelés

A biztonsági incidensek kezelése fontos, de Magyarországon kevéssé ismert területe az informatikai biztonságnak. A biztonságilag fontos fenyegetések nem csak számban, hanem a károkozás nagyságában is egyre jelentősebbek. Napról napra újabb fenyegetések jelennek meg, melyekre nem feltétlenül van meg a szervezetnél a megfelelő megelőző védelem. Az incidenskezelési eljárás segítségével azonban a nem kivédhető támadások, esetleges csalások észlelése és a károk minimalizálása és a működés mielőbbi visszaállítása hatékonyan támogatható.

A folyamat bevezetése nem egyszerű, komplex tervezést igényel, valamint új erőforrásokat is. Használata feltételezi a működő naplózási és -elemzési folyamatok meglétét. Bevezetésének a folyamat a következő.

  • Az incidenskezelési képesség megteremtése
    • Incidenskezelési szabályzatok és eljárások kidolgozása
    • Incidenskezelési csapat felállítása, akár outsource-olt erőforrások bevonásával
    • A csapatot támogató belső erőforrások kijelölése
  • Általános incidenskezelési eljárás kidolgozása az előkészületektől az incidens elhárítása utáni értékelésig és büntetőfeljelentésig.
  • Speciális események kezelésének leírása
    • Túlterheléses támadások (Denial of Service – DoS)
    • Kártékony kódok
    • Nem jogosult hozzáférés
    • Nem megfelelő használat
    • Összetett támadások elhárítása

A formális incidenskezelési képesség kialakításában segítséget nyújthat a Cert-Hungary Központ, mely a közigazgatáson belül látja el ezt a feladatot. A velük való formális együttműködés az elektronikus közigazgatási szolgáltatást nyújtó szervezeteknek több, mint ajánlott.

Büntetőeljárás
11.jpgA magyar jogrend már évek óta foglalkozik az elektronikus úton keletkezett bizonyítékok kezelésének szabályaival, a gyakorlatban azonban mégsem alakult ki az az egyértelmű műszaki megoldás, aminek segítségével a naplóállományok bizonyítékként fel lehetne használni.

 A 1998. évi XIX. törvény a büntetőeljárásról 115. § (1) szerint „Tárgyi bizonyítási eszköz minden olyan tárgy (dolog), amely a bizonyítandó tény bizonyítására alkalmas, így különösen az, amely a bűncselekmény elkövetésének vagy a bűncselekmény elkövetésével összefüggésben az elkövető nyomait hordozza, vagy a bűncselekmény elkövetése útján jött létre, amelyet a bűncselekmény elkövetéséhez eszközül használtak, vagy amelyre a bűncselekményt elkövették.
A (2) szerint „E törvény alkalmazásában tárgyi bizonyítási eszköz az irat, a rajz és minden olyan tárgy, amely műszaki, vegyi vagy más eljárással adatokat rögzít. Ahol e törvény iratról rendelkezik, ezen az adatot rögzítő tárgyat is érteni kell.” Ennek tehát megfelel az elektronikus formában keletkezett naplóállomány.

Problémát jelent azonban, hogy milyen módon lehet ennek az eseményregisztrációnak a sértetlenségét biztosítani. Ugyanennek a törvénynek a 158/A. §-a foglalkozik a számítástechnikai rendszer útján rögzített adatok megőrzésére kötelezésről. Ennek (3) szerint „A megőrzésre kötelezett a határozat vele történő közlésének időpontjától köteles a határozatban megjelölt számítástechnikai rendszer útján rögzített adatot változatlanul megőrizni, és - szükség esetén más adatállománytól elkülönítve - biztosítani annak biztonságos tárolását.

A megőrzésre kötelezett köteles a számítástechnikai rendszer útján rögzített adat megváltoztatását, törlését, megsemmisülését, valamint annak továbbítását, másolat jogosulatlan készítését, illetőleg az adathoz való jogosulatlan hozzáférést megakadályozni.” A (4) szerint „A megőrzésre kötelezést elrendelő a megőrzéssel érintett adatot fokozott biztonságú elektronikus aláírással láthatja el.
Ha az adat eredeti helyen történő megőrzése az érintettnek az adat feldolgozásával, kezelésével, tárolásával vagy továbbításával kapcsolatos tevékenységét jelentősen akadályozná, az elrendelő engedélyével az adat megőrzéséről annak más adathordozóra vagy más számítástechnikai rendszerbe történő átmásolásával gondoskodhat. Az átmásolást követően az elrendelő az eredeti adatot tartalmazó adathordozóra és számítástechnikai rendszerre a korlátozásokat részlegesen vagy teljesen feloldhatja.”

Bár ez a paragrafus nem konkrétan a tanulmány elsődleges tárgyával foglalkozik, mégis útmutatást ad arra, hogy milyen körülmények között kell a naplóállományokat tárolni, hogy azok bizonyítékként felhasználhatók legyenek. Az elsődleges feladat nyilvánvalóan a sértetlenség biztosítása, melyre javasolt a fokozott biztonságú elektronikus aláírás használata. Ez praktikusan azt jelenti, hogy minden logrotálásnál a rotált fájlt elektronikusan alá kell írni és lehetőleg időbélyegezni kell. További lehetőségeket mutat be a 2/2002. (IV. 26.)
 MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről 63. pontja, mely szerint „A naplóadatok sértetlenségének védelme érdekében a megbízható rendszereknek gondoskodniuk kell olyan eszközről és eljárásról (így különösen elektronikus aláírás, kulcsolt lenyomatfüggvény, hitelesítési kód), mely a napló, illetve naplóbejegyzések módosításának kimutatására alkalmas.”

Önmagukban természetesen a naplóállományok sem mindig lehetnek kizárólagos bizonyítóeszközök, ám a kellőképpen zárt és a sértetlenséget megoldó rendszerekben készült bejegyzések erős támogatást nyújthatnak egy bírósági tárgyalás során.

Összefoglalás

A megfelelő naplózás kialakítása számos feltétel együttes teljesítésétől függ, nem lehet pusztán technológiára alapozni. A helyes megközelítés szerint az adminisztratív és műszaki intézkedések harmóniáját kell elérni, mely minden más információbiztonsági intézkedéshez hasonlóan kockázatarányosan alakul ki. A piacon elérhető eseményrögzítési keretrendszereket az adott szervezetre kell szabni, azok önmagukban nem csökkentik a biztonsági kockázatokat.

Az elektronikus közigazgatási rendszerekben ez fokozottan igaz. Az egymással sok esetben szervezeten belül és kívül is együttműködő szakrendszerek olyan bonyolult infrastruktúrát alkotnak, melyekben a támadások, visszaélések vagy működési hibák könnyen észrevétlenek maradhatnak. Egy ilyen incidens viszont a közigazgatáson belül nagy kiterjedésű zavarhoz vezethet. A naplózás csak egy, de igen fontos eleme az informatikai eredetű hibák megelőzésének, felfedezésének és javításának.

 

Az ArcSight és a HP Naplózás programjáról bővebb információt a arcsight.com oldalon találhat, illetve a HP IT Security Facebook oldalán részletesen választ adunk kérdéseire.

 

Források

Tags: biztonság| HISC| history| hp| log| View All (8)
Leave a Comment

We encourage you to share your comments on this post. Comments are moderated and will be reviewed
and posted as promptly as possible during regular business hours

To ensure your comment is published, be sure to follow the community guidelines.
Be sure to enter a unique name. You can't reuse a name that's already in use.
Be sure to enter a unique email address. You can't reuse an email address that's already in use.
Type the characters you see in the picture above.Type the words you hear.
 
Search
turn on suggestions Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.

About Channel HP Subscribe

Connect with technologists and business leaders from across HP and around the world. Channel HP brings you blogs about a variety of subjects, written by the people at HP. Please read our community guidelines here and legal information here.

Follow Us