BEZPEČNOST INFORMACÍ

Transkript

1 Předmět Bezpečnost informací je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytvářeného bezpečnostního programu v organizacích. Tyto prvky technologie, procesy a lidé jsou posuzovány zejména v teoretické rovině, ale s těsnou vazbou na praktické využití. Mezioborové zaměření předmětu ilustruje současné trendy v prolínání matematické vědy s technickými, manažerskými, informačními aj. problematikami v rámci bezpečnostních požadavků u zpracovávaných informací. Zároveň lze tento předmět považovat za úvod do kryptologie. Požadavky na posluchače: Znalosti základů vysokoškolské matematiky, orientace v pojmech teorie informací, znalosti z oblasti práce s výpočetní technikou a výhodné jsou též základní znalosti z architektury informačních systémů. Tématické okruhy předmětu: Tématické okruhy předmětu Bezpečnost informací jsou společné pro presenční a kombinované studium. Náplň předmětu je rozdělena na následující tématické okruhy: Úvod - podniková bezpečnost informací; Bezpečnostní aspekty informačních a komunikačních systémů; Správa přístupu; Šifrová ochrana informací historie; Šifrová ochrana informací věk počítačů; Bezpečnostní normy a standardy; Směry rozvoje v oblasti ochrany informací. Členění tématických okruhů do rozpisu přednášek Předmětu Bezpečnost informací je v případě kombinovaného studia vyhrazena výuka jednoho tématického okruhu do rámce jednoho soustředění. Závěrečné soustředění je věnováno praktickým příkladům z probrané tématiky. Doporučená literatura: Menezes,A.J.,van Oorschot, P.C.; Vanstone, S.A.: Handbook of Applied Cryptography, CRC Press, 1997 Schneier, B.: Applied Cryptography, John Wiley & sons, 1996 Singh S.: Kniha kódů a šifer, Argo, 2003 Horák J.: Bezpečnost malých počítačových sítí, Grada 2003 Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management 1

2 Metodický list č.1 Úvod - podniková bezpečnost informací principy informační bezpečnosti; program informační bezpečnosti v podniku; o bezpečnostní program - požadavky na pracovníky podniku; o procesy v oblasti bezpečnosti informací; o bezpečnostní informační technologie; realizace bezpečnostního programu. Zavedení programu bezpečnosti informací do podnikové oblasti vyžaduje v současné době správnou a vyváženou kombinací tří základních aspektů: technologií procesů pracovníků podniku Řešení jednotlivých projektů i zajišťování provozu podniku musí probíhat v souladu s bezpečnostními opatřeními. Investice do nových technologií musí být v souladu s tzv. úrovňovou informační bezpečností. Efektivní bezpečnostní program musí vycházet z bezpečnostního vědomí a relevantních výsledků bezpečnostních hodnocení. Cílem bezpečnostních aktivit je realizace efektivního programu informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj. Po probrání tématického okruhu budou mít posluchači základní přehled o řešené problematice při realizaci bezpečnostních opatření v podnikové sféře, zároveň budou seznámeni se základními bezpečnostními aspekty, které je nutné vzít do úvahy při integraci bezpečnostního prostředí do podnikové infrastruktury. 2

3 Metodický list č. 2 Bezpečnostní aspekty informačních a komunikačních systémů integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; realizace vícevrstvé ochrany informací; o jednotlivé komponenty vícevrstvé ochrany; správa bezpečnostních opatření. Informační technologie přináší do programu informační bezpečnosti řadu aktuálních otázek. Kromě toho má zásadní vliv na efektivnost realizovaného bezpečnostního programu. Většina nastolených otázek vychází z důležitého faktu že samotná technologie tyto požadavky a problémy nevyřeší. Při přecenění možností technologií se snadno přijme nesprávné rozhodnutí, které často přivede podnik do situace, kdy musí hledat opatření proti zbytečně vzniklým rizikům. Ze systémového pohledu plyne nutnost řešit na úrovni technologií zejména následné požadavky: autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa rizik správa detekce narušení systému filtrování obsahu dat šifrování Po probrání tématického okruhu budou znát posluchači hlavní oblasti a směry při realizaci bezpečnostních opatření v prostředí podnikových informačních a komunikačních systémů, zároveň budou seznámeni se základními bezpečnostními opatřeními, která je nutno přijmout v souvislosti se zajištěním eliminace bezpečnostních rizik. 3

4 Metodický list č. 3 Správa přístupu základní metody pro zajištění oprávněného přístupu; o autentizace; o autorizace; o správa uživatelských účtů; srovnání současných metod ochrany proti neoprávněnému přístupu; nové technologické možnosti. Bezpečnostní problémy vzniknou vždy, když k našim datovým zdrojům získají přístup neoprávněné osoby, nebo když uživatelé překročí úroveň jim definovaného přístupu k daným systémům. V rámci Informačních technologií lze využít tří základních metod pro kontrolu přístupu do informačních a komunikačních systémů, které umožní regulovat přístupy uživatelů tak, aby se chovali ve shodě s jejich potřebami a ve vymezených oblastech. Jedná se o autentizaci, autorizaci a správu uživatelských účtů. Důležité je aby při realizaci bezpečnostního programu u této problematiky byla dána do souladu bezpečnostní opatření a hodnota chráněných informací. Po probrání tématického okruhu se posluchači seznámí s jedním ze základních bezpečnostních požadavků, který je nezbytné ošetřit při realizaci podnikového bezpečnostního programu. V tomto směru budou seznámeni se základními používanými bezpečnostními metodami i novými možnostmi, které vývoj technologií umožní realizovat. 4

5 Metodický list č. 4 Šifrová ochrana informací historie úvod, definice pojmů; o substituční šifry; o transpoziční šifry; první prakticky používané šifrové systémy; o Caesarova šifra; o Polyalfabetické systémy; mechanizace a vývoj šifrovacích strojů; Enigma; základní metody kryptoanalýzy. Kryptologie nepojednává o kryptách, což se mnoho lidí stále ještě domnívá, ale řeší otázky šifer. Šifrování je proces převedení dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptologie využívá dvou základních směrů využívajících symetrický a asymetrický šifrovací algoritmus. Než ale metody šifrové ochrany dospěly do tohoto stádia musela kryptologie projít velmi dlouhým a složitým vývojem. Cílem tématu je ukázat hlavní mezníky při tomto vývoji, využití mechanizačních nástrojů a následky boje mezi tvůrci a luštiteli šifer a zároveň též pojednat o základních nevýhodách historických šifrových systémů. V rámci tohoto tématu lze i ukázat praktické využití některého ze šifrových systémů. Po probrání tématického okruhu se posluchači seznámí s principy a metodami šifer. Budou seznámeni s pojmy používanými při řešení šifrové ochrany, praktickým použitím šifer a s hlavními zásadami šifrových systémů přijatými i u soudobých bezpečnostních produktů. 5

6 Metodický list č. 5 Šifrová ochrana informací věk počítačů šifrová ochrana využívající výpočetní techniku např. Feistelova šifra; symetrické a asymetrické šifry; základní symetrické šifrovací algoritmy; o algoritmus DES; o algoritmus AES; o odolnost soudobých symetrických šifrovacích algoritmů; základní asymetrické šifrovací algoritmy; o algoritmus RSA; o algoritmy na bázi eliptických křivek; o odolnost soudobých asymetrických šifrovacích algoritmů;; elektronický podpis. Moderní kryptografie využívá dvou základních směrů symetrickou a asymetrickou šifru. Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci zprávy. U asymetrického šifrování zná odesilatel pouze veřejný klíč příjemce a jím zašifruje svou zprávu. Příjemce pak použije svůj privátní klíč pro dešifrování této zprávy. Nikdo jiný nemůže dešifrovat tuto zprávu např. použitím veřejného klíče ani nemá možnost odhalit privátní klíč příjemce. S asymetrickým šifrováním je spojena nová služba v elektronickém světě elektronický podpis. Po probrání tématického okruhu posluchači budou seznámeni s pojmy používanými při řešení současné šifrové ochrany. Zároveň se seznámí s postupem při šifrování informace symetrickou a asymetrickou šifrou. Budou mít přehled o tvorbě a možnostech použití elektronického podpisu. 6

7 Metodický list č. 6 Bezpečnostní normy a standardy historický vývoj bezpečnostních norem bezpečnostní normy zabezpečených informačních systémů; současné trendy ve standardizaci bezpečnostních procesů norma ISO 17799; standardizace šifrovacích algoritmů; vazby mezi bezpečnostními normami. Spolu s rozvojem šifrové ochrany informací hrají stále důležitější roli standardizační činnosti mezinárodních i státních organizací. Přijímané normy a standardy dávají doporučení a stanovují principy a postupy vývoje, testování a ověřování parametrů i podmínky provozu šifrovacích zařízení či celých informačních systémů s integrovanou bezpečnostní nadstavbou. Cílem bezpečnostních norem je unifikace vytvářených produktů i informačních systémů. Zároveň jsou nezbytnou součástí při hodnocení bezpečnostních parametrů realizovaných komponent a systémů. Po probrání tématického okruhu posluchači budou seznámeni se současnými aktivitami a výstupy standardizačních organizací. Zároveň budou znát základní přístupy a pojmy používané při hodnocení technických i technologických celků současné šifrové ochrany. 7

8 Metodický list č. 7 Směry rozvoje v oblasti ochrany informací vývoj symetrických a asymetrických metod; kvantové šifrování; bezpečnostní protokoly; PKI; šifrová ochrana v Internetu; elektronický obchod. Současné směry rozvoje v oblasti ochrany informací jsou těsně spojeny se stále významnějším používáním Internetu. Při celosvětové podpoře elektronického obchodu se stává efektivní ochrana zpracovávaných a přenášených dat stále aktuálnějším parametrem budovaných systémů. S tím souvisí neustálý rozvoj v oblasti vývoje i provozu bezpečnostních protokolů, ale též i hledání cest pro principiální změnu koncepce šifrové ochrany informací. S prvními úspěchy kvantového počítání se ukazuje již reálná možnost totální změny v návrhu šifrové ochrany. Po probrání tématického okruhu posluchači budou seznámeni s novými zásadními trendy ve vývoji nástrojů šifrové ochrany dat. Dokáží se orientovat i oblasti elektronického obchodu pochopí pojmy používané v systémech distribuce klíčů užívaných při řešení současné ochrany informací. 8