Biztonsági tesztelés gyakorlat

Abstract

Információbiztonsági problémák, különböző kockázati besorolású incidensek nap, mint nap előfordulnak az összetett informatikai rendszerekben, melyek azonosítására, kezelésére, kiküszöbölésére, a keletkezett károk elhárítására, csillapítására jelentős anyagi és emberi erőforrások kerülnek felhasználásra. E költségek egy része kiküszöbölhetetlen és az informatikai rendszerek működésének sajátosságai alapján mindig is jelen lesznek a rendszerekben, azonban van a teljes információbiztonságra fordított költségeknek egy igen jelentős része, mely feleslegesen terheli a szervezetek, fejlesztési projektek költségvetését. Ezek tipikusan olyan, az informatikai rendszerekbe beágyazott alrendszerek tervezési és implementálási hiányosságaira vezethetőek vissza, melyek jó része a megtervezett, időben végrehajtott és lépésről lépésre lekövetett biztonsági tesztelésekkel megelőzhetőek lehetnének. A felszínre bukkanó problémák utólagos kezelése a költségvonzat tekintetében akár több nagyságrendi eltérést is mutathat a megalapozott tervezés, fejlesztés és implementálás erőforrásigényeihez képest, de ami talán még ennél is fontosabb az az, hogy az éles működés alatt véletlenszerűen bekövetkező incidensek, működési zavarok az alapvető elvárásként megfogalmazható informatikai rendszer rendelkezésre állásásának folytonosságát megszakíthatják, a rendszer működését megbéníthatják, akár a teljes rendszer vonatkozásában. Látható tehát, hogy a biztonsági tesztelések elhagyása, vagy felületes elvégzése súlyos következményekkel járhat adott szervezet, fejlesztési projekt vagy akár termék vonatkozásában, mind költség oldalon mind az információ biztonság tekintetében. Felmerül a kérdés, hogy akkor általában miért nem fordítanak kellő erőforrást a biztonsági tesztelések elvégzésére? A tananyag kísérletet tesz a kérdésre adott válasz kifejtésére, azonban a válasz megfogalmazásakor fontos figyelembe venni, hogy a biztonsági tesztelések rendszeres és tervezett elvégzése önmagában nem oldja meg az informatikai rendszerek információ biztonsági problémáit. Az azonban kijelenthető, hogy a biztonsági tesztelések rendszerének megfelelő kialakítása és fenntartása hozzásegítheti mind a rendszereket fenntartó szervezeteket, mind a rendszerek üzemeltetésében résztvevő szakembereket, továbbá a felelős döntéshozókat abban, hogy adott rendszer biztonsági szintje, rendelkezésre állása külön, jelentősebb pénzügyi erőforrás bevonása nélkül meghatározó mértékben javulhasson. A tananyag célja többrétű. Egyrészt megpróbálja a fent nevezett probléma eredetét meghatározni, annak érdekében, hogy hatékonyan segítse ezzel a képzésben résztvevő szakemberek biztonsági tesztelésekkel kapcsolatos feladatainak szervezeti szintű beazonosítását. Másrészt a tananyag kiemelten foglalkozik a szervezeteknél elvégzett biztonsági tesztelések értelmezésével és felhasználásával annak érdekében, hogy támogassa a felelős biztonsági vezetőket a tárgykörrel kapcsolatos döntéshozatali folyamatokban. A tapasztalatok az mutatják, hogy a biztonsági vezetők a leghatékonyabban a biztonsági tesztelések közül is a sérülékenység vizsgálatok elrendelésével tudják elősegíteni az adott szervezet elvárt információbiztonsági szintjének elérését, így a tananyag gyakorlati része erre a témakörre helyezi a hangsúlyt, legyen szó akár sérülékenység vizsgálat megrendeléséről, a vizsgálatok lefolytatásáról, vagy akár a vizsgálatok eredménye alapján az intézkedési tervek végrehajtásáról.