Úvod do bezpečnosti IS

Rozměr: px
Začít zobrazení ze stránky:

Download "Úvod do bezpečnosti IS"

Transkript

1 Úvod do bezpečnosti IS Obsah modulu Kybernetická bezpečnost Základní pojmy a principy informační bezpečnosti Systém řízení informační bezpečnosti ISMS Standardy a normy Série standardů 27k, OSI Security Architecture Kritéria pro hodnocení bezpečnosti IT Kybernetická bezpečnost - legislativa Nástroje pro implementaci informační bezpečnosti Kryptografie v informační bezpečnosti Elektronický podpis a certifikace Penetrační testování 1

2 Úvod do bezpečnosti IS Základní principy a pojmy Informační bezpečnost zabezpečení informací ve všech formách Kybernetická bezpečnost zabezpečení informací v digitálních (elektronických) formátech (asi 90 % všech podnikových informací) Význam kybernetické bezpečnosti: Klíčová složka informačních systémů (IS) podniků a organizací Součást podnikové bezpečnostní politiky Řada strategických rozhodnutí managementu podniku přímo či nepřímo s informační (kybernetickou) bezpečností souvisí 2

3 Úvod do bezpečnosti IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost (the confidentiality) Integrita (the integrity) Dostupnost (the availability) Autentičnost (the authenticity) Spolehlivost (the reliability) CIA 3

4 Úvod do bezpečnosti IS Informace představují majetek s určitou hodnotou (assets). Informace musí být proto chráněna Před neoprávněným přístupem Před zcizením, zfalšováním a zneužitím Před vyzrazením Před zablokováním přístupu oprávněným subjektům Informace je chráněna v souladu s informační bezpečnostní politikou (BP) organizace, jejímž je majetkem. 4

5 Podnikové informace existují převážně v podnikových informačních systémech (IS) IS poskytuje Úvod do bezpečnosti IS vstup dat (vstup informace) zpracování a vyhodnocování dat přenosy a uložení dat výstup dat (výstup informace) Manipulace s informacemi/daty v IS se provádí prostřednictvím informačních technologií (IT) - pojem kybernetická bezpečnost 5

6 Úvod do bezpečnosti IS Bezpečnostní politika Bezpečnostní politika IS/IT (BP) - základní dokument informační bezpečnosti BP je soubor technických, administrativních opatření a postupů, sloužící k udržení definovaného zabezpečení. Zpracovává se na základě analýzy rizik Složky IS, na které se vztahuje BP (the IS facility the assets) IT (HW tj. počítače, servery, tiskárny, SW tj. operační systémy, programové vybavení, telekomunikační a síťová zařízení tj. směrovače, přepínače, kabeláž..) lidé (zaměstnanci včetně správců systémů a sítě, zákazníci nebo klienti, obchodní partneři atd.) data (tj. podnikové informace v různých fázích zpracování vstupní sestavy, databáze, přenášené datové pakety, výstupní sestavy ) 6

7 Úvod do bezpečnosti IS Řešení informační bezpečnosti je kontinuální proces, jehož jednotlivé aktivity se opakují. Systém řízení informační bezpečnosti (ISMS - Information Security Management System). ISMS je nedílnou složkou informačního systému v podniku a celkového bezpečnostního systému podniku ISMS je dokumentovaný systém, ve kterém: jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací zavedená opatření jsou kontrolována. ISMS zajistí dosažení bezpečnostních cílů stanovených v bezpečnostní politice prostřednictvím managementu rizik (MR). 7

8 Úvod do bezpečnosti IS Základní fáze řešení bezpečnosti IS Určení základních cílů a strategie BP Provedení analýzy rizik (AR) Ustavení celkové bezpečnostní politiky (CPB) Vytvoření prováděcích směrnic, bezpečnostních norem ( systémová bezpečnostní politika - SBP) Implementace bezpečnostního systému Provádění monitoringu a auditu 8

9 Úvod do bezpečnosti IS Výstavba ISMS 9

10 Úvod do bezpečnosti IS ISMS Pojem ISMS primárně zavedla norma ISO/IEC (mezinárodní norma převzatá z Britského standardu BS :1999, publikovaná Mezinárodní organizací pro normalizaci (ISO) v roce Novější revidovaná verze je součástí nové řady norem týkající se bezpečnosti informací ISO (ISO 27k) Související pojmy: hrozba, zranitelné místo, riziko, útok, bezpečnostní cíl, dopad, analýza rizik, řízení rizik, protiopatření, přijatelné riziko. Normalizací v oblasti informační bezpečnosti se budeme podrobněji zabývat v následující kapitole. 10

11 Úvod do bezpečnosti IS Analýza rizik (AR) AR je klíčovým krokem ve výstavbě ISMS AR odpovídá na otázky: 1. Co nastane, když nebudou informace chráněny? (dopad na IS) 2. Jak může být bezpečnost informací porušena? (možnost využití zranitelného místa hrozbou uskutečnění útoku) 3. Jaká je pravděpodobnost, že to nastane? (míra rizika) Termíny, s kterými se v kontextu s AR setkáme: Bezpečnostní cíl Zranitelné místo Hrozba Riziko Útok Dopad 11

12 Úvod do bezpečnosti IS Základní bezpečnostní cíle Zachování důvěrnosti informace Zachování integrity informace Zachování dostupnosti informace Zajištění autenticity informace Zajištění spolehlivosti informace Zajištění prokazatelnosti původu informace Zajištění prokazatelnosti příjmu informace Informace musí mít zajištěnu ochranu v kontextu základních bezpečnostních cílů na definované úrovni 12

13 Úvod do bezpečnosti IS Zranitelné místo Zranitelné místo je vlastnost IS (nedokonalost IS nebo jeho komponent). Zásada: neexistuje IS bez zranitelných míst. Výskyt zranitelných míst: v HW v SW v provozním prostředí v lidech Cíl AR: odhalení zranitelných míst určení přijatelné míry rizik vyplývajících z existence zranitelných míst určení způsobu, jak rizika na přijatelné úrovni udržet 13

14 Úvod do bezpečnosti IS Hrozba primární, neodvozený fenomén - možnost využít zranitelné místo Riziko pravděpodobnost využití zranitelného místa (pravděpodobnost uskutečnění hrozby) Útok úmyslné (subjektivní útok) nebo neúmyslné (objektivní útok) využití zranitelného místa. Základní typy útoků: Přerušení Odposlech Změna Padělání - zfalšování 14

15 Úvod do bezpečnosti IS Typy útoků 15

16 Úvod do bezpečnosti IS 16

17 Úvod do bezpečnosti IS Dopad důsledek útoku vyjádřený v určité hodnotě (zpravidla finanční) Další termíny: Objekt IS pasivní entita IS, obsahuje nebo přijímá informace, používají ji autorizované subjekty Subjekt IS aktivní entita IS autorizovaná k manipulaci s informací v rámci určitého objektu Bezpečnostní funkce opatření k dosažení bezpečnostního cíle Bezpečnostní mechanismus prostředek nebo nástroj k dosažení bezpečnostního cíle implementace bezpečnostní funkce 17

18 Úvod do bezpečnosti IS K dosažení bezpečnostního cíle je nutné zvolit vhodnou bezpečnostní funkci Bezpečnostní funkci lze zajistit vhodným bezpečnostním mechanismem Jedna bezpečnostní funkce může být pokryta jedním nebo několika bezpečnostními mechanismy Jeden bezpečnostní mechanismus může pokrýt jednu nebo více bezpečnostních funkcí (tzn. přispět k dosažení více bezpečnostních cílů) 18

19 Úvod do bezpečnosti IS Typy bezpečnostních funkcí (BF) bezpečnostních opatření (BM) podle času uplatnění preventivní BM vytváří preventivní bezpečnostní subsystémy detekční BM IDS (Intrussion Detection System) opravné BM zálohy.. kontrolní BM monitoring, auditní systémy zastrašovací BM podniková ustanovení, zákonná opatření. podle způsobu implementace fyzické BM zámky, trezory, mříže hardwarové BM identifikační karty, archivní média softwarové BM SW řízení přístupu, aplikace pro digitální podpisování. administrativní BM směrnice, předpisy 19

20 Úvod do BIS Příklady bezpečnostních mechanismů Kryptografické systémy Firewally Systémy IDS Systémy I&A tzv. AAA technologie Monitorovací a auditní systémy Digitální podpis Biometrické systémy Čipové karty Antivirové systémy 20

21 Úvod do bezpečnosti IS 21

22 Postup při provádění analýzy rizik 1. Stanovení rozsahu AR 2. Identifikace a ocenění aktiv 3. Nalezení zranitelných míst kritických oblastí 4. Odhad rizik Úvod do bezpečnosti IS 5. Stanovení nepřijatelných a přijatelných rizik 6. Stanovení očekávaných ročních ztrát 7. Identifikace použitelných bezpečnostních opatření (BM) ke snížení rizik na přijatelnou míru 8. Odhad ročních úspor po zavedení bezpečnostních opatření do IS 22

23 Úvod do bezpečnosti IS Návaznost základní BP na další bezpečnostní dokumenty organizace 23

24 Systémová bezpečnostní politika (SBP) vychází z celkové bezpečnostní politiky, zahrnuje technickou složku (popis technických řešení a postupů) a administrativní složku (směrnice a předpisy, určení pravomocí a zodpovědnosti, plán bezpečnostních školení, atd.). Součástí SBP je Plán obnovy Úvod do bezpečnosti IS Havarijní plán Implementace bezpečnostního systému realizace SBP v konkrétním prostředí Monitoring a audit průběžné a následné sledování účinnosti informačního bezpečnostního systému 24

25 Úvod do bezpečnosti IS Standardy a normy v oblasti informační bezpečnosti Standardy návrhu, implementace a provozu systému managementu informační bezpečnosti (ISMS) Standardy pro hodnocení bezpečnostních záruk informačních technologií (komponenty a subsystémy informačních systémů) Standardy kryptografických algoritmů, certifikátů,.. 25

26 BIS - standardy a normy Kde standardy vznikají Mezinárodní úroveň - International Organization for Standardization (ISO) a International Electrotechnical Commission (IEC) ISO/IEC Státní úroveň - Úřad pro technickou normalizaci, metrologii a státní zkušebnictví - ÚNMZ Evropská agentura pro informační bezpečnost ENISA Pro koho jsou standardy a normy určeny Pro provozovatele IS Pro hodnotitele bezpečnosti IS Pro návrhy a vývoj IS, pro výrobu a prodej HW a SW komponent informačních systémů 26

27 BIS - standardy a normy Series of Standards - (ISO 27k) Řada ISO/IEC 27k výsledek snahy o jednotnou koncepci normalizace informační bezpečnosti Vychází z BS 7799 (později ISO/IEC 27001:2005) Řada 27k obsahuje několik desítek standardů, další postupně vznikají: ISO/IEC 27000:2009 Část normy ISO Fundamentals and Vocabulary podává přehled a jednotný úvod ke standardům ISO 27k a ke speciálnímu slovníku certifikační normy ISO ISO/IEC 27001: Information technology Security techniques Information security management systems Requirements ISO/IEC 27002: Code of practice for information security management 27

28 BIS - standardy a normy K čemu slouží standardy 27k? Národní bezpečnostní úřad považuje ISO/IEC za základní normu pro hodnocení a certifikaci informačních systémů, které zpracovávají informace podléhající zákonu č. 148/1998 Sb. Zákon o ochraně utajovaných skutečností V komerční sféře je standard využíván jako základ pro hodnocení informační bezpečnosti podnikových IS Podmínka obchodních kontraktů Podmínka pro zavádění elektronických technologií do obchodních transakcí e-commerce Zvyšování prestiže, konkurenceschopnosti, důvěryhodnosti...) 28

29 BIS - standardy a normy Některé souvisící ČSN ČSN ISO/IEC Informační technologie Management služeb Část 1: Požadavky na systém managementu služeb ČSN ISO/IEC Informační technologie Management služeb Část 2: Pokyny pro použití systémů managementu služeb ČSN ISO/IEC ( ) Informační technologie Bezpečnostní techniky Systémy managementu bezpečnosti informací Požadavky ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky ČSN ISO/IEC Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC Informační technologie Bezpečnostní techniky Směrnice pro audit systémů řízení bezpečnosti informací 29

30 Struktura knihovny standardů 27k 30

31 Návaznost norem 31

32 BIS - standardy a normy Schéma postupu výstavby ISMS podle standardu ČSN ISO/IEC (Soubor postupů pro řízení bezpečnosti informací) 32

33 BIS - standardy a normy Standard ISO/IEC (Systémy managementu bezpečnostních informací Požadavky) Podpora pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování ISMS Je založen na cyklu PDCA 33

34 PDCA model aplikovaný na procesy ISMS 34

35 Management informační bezpečnosti ČSN ISO/IEC 27002: 2006 (dříve ČSN ISO/IEC 17799:2001) Informační technologie- Soubor postupů pro management informační bezpečnosti Hodnocení rizik Bezpečnostní politika Organizace bezpečnosti Klasifikace a řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Vývoj, údržba a rozšíření informačního systému Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky Bezpečnostní domény 35

36 ČSN ISO/IEC a ČSN ISO/IEC Bezpečnostní domény 1. Bezpečnostní politika 2. Organizace bezpečnosti 3. Klasifikace a řízení aktiv 4. Personální bezpečnost 5. Fyzická bezpečnost a bezpečnost prostředí 6. Řízení komunikací a řízení provozu 7. Řízení přístupu 8. Vývoj a údržba systému 9. Management bezpečnostních událostí 10. Řízení kontinuity činnosti organizace 11. Soulad s požadavky (právní normy, předpisy ) 36

37 Struktura bezpečnostních domén 37

38 38

39 Řízení přístupu - kategorie 1. Požadavky na řízení přístupu 2. Řízení přístupu uživatelů 3. Odpovědnosti uživatelů 4. Řízení přístupu k síti 5. Řízení přístupu k OS 6. Řízení přístupu k aplikacím 7. Monitorování přístupu k systému a jeho použití 8. Mobilní výpočetní prostředky a práce na dálku 39

40 1. Požadavky na řízení přístupu Cíl: Řídit přístup k informacím Přístup k informacím a procesům organizace by měl být řízen na základě provozních a bezpečnostních požadavků. V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž probíhá schvalování. Politika řízení přístupu Politika a provozní požadavky Pravidla řízení přístupu 40

41 2. Řízení přístupu uživatelů Cíl: Předcházet neoprávněnému přístupu k informačním systémům. Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům a službám. Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům a službám již dále nepotřebuje. V případě nutnosti by měla být věnována zvláštní pozornost potřebě řídit přidělování privilegovaných přístupových oprávnění, která umožňují uživatelů překonat kontroly v systému. Registrace uživatele Řízení privilegovaného přístupu Správa uživatelských hesel Kontrola přístupových práv uživatelů 41

42 3. Odpovědnosti uživatelů Cíl: Předcházet neoprávněnému uživatelskému přístupu. Pro účinnou bezpečnost je nezbytná spolupráce oprávněných uživatelů. Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly přístupu, zejména s ohledem na používání hesel, a bezpečnosti prostředků jim náležejících. Používání hesel Neobsluhovaná uživatelská zařízení Politika čistého stolu a prázdné obrazovky 42

43 4. Řízení přístupu k síti Politika užívání síťových služeb Vynucená cesta Autentizace uživatele externího připojení Autentizace uzlů Ochrana portů pro vzdálenou diagnostiku Princip oddělení v sítích Řízení síťových spojení Řízení směrování sítě Bezpečnost síťových služeb 43

44 5. Řízení přístupu k OS Automatická identifikace terminálu Terminálové přihlašovací postupy Identifikace a autentizace uživatelů Systém správy hesel Použití systémových nástrojů Indikace přihlášení pod nátlakem Časové zablokování terminálu Časové omezení spojení 44

45 6. Řízení přístupu k aplikací Omezení přístupu k informací Oddělení citlivých systémů 7. Monitorování přístupu k systému a jeho použití Zaznamenávání událostí Monitorování používání systému Synchronizace času 45

46 8. Mobilní výpočetní prostředky a práce na dálku Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití prostředků pro práci na dálku. Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento způsob práce. Mobilní výpočetní prostředky Práce na dálku 46

47 Bezpečnost produktů informačních technologií ČSN ISO/IEC (1-3) Kritéria pro hodnocení bezpečnosti IT (tzv. Common Criteria) Obsah normy ČSN ISO/IEC Úvod a obecný model ČSN ISO/IEC Katalog požadavků na bezpečnostní funkce (např. pro identifikaci a autentizaci: FIA - Identification and Authentication) ČSN ISO/IEC Katalog požadavků na bezpečnostní záruky Speciální účelová sada úrovně hodnocení záruk 47

48 Klíčové koncepty TOE (Target of Evaluation) předmět hodnocení PP (Protection Profile) bezpečnostní profil ST (Security Target) dokument identifikující bezpečnostní vlastnosti TOE SFR (Security Functional Requirements) identifikuje jednotlivé bezpečnostní funkce, které by měl TOE zajistit (podle katalogu funkcí CC) SAR (Security Assurance Requirements) udává míru zajištění souladu s požadovanými bezpečnostními požadavky (podle katalogu požadavků na bezpečnostní záruky CC) EAL (Evaluation Assurance Level) vyjádření stupně hloubky a rozsahu evaluace 48

49 Common Criteria modular component hierarchy 49

50 Úrovně záruk EAL1 EAL4 1. Funkčně testováno, poskytuje jistou míru důvěry na základě funkční specifikace, vymezení rozhraní a zpracování dokumentace 2. Strukturovaně testováno - nezávislé testování. Vývoj rozšířen o neformální popis architektury a popis ošetření běžných útoků. 3. Metodicky testováno a kontrolováno. Maximální záruky na základě osvědčeného svědomitého přístupu k vývojovému procesu (bez navýšení náročnosti) 4. Metodicky navrženo, testováno a kontrolováno. Vyžaduje velmi kvalitní vývojové praktiky, které ale nevyžadují speciální znalosti a zdroje. Detailní popis návrhu s doložením odolnosti proti útoků s omezenými zdroji. EAL4 je nejvyšší úrovní na komerční únosnosti. 50

51 Úrovně záruk EAL5 EAL7 5. Poloformálně navrženo a testováno. Vyžaduje zapojení specializovaných metod vývoje (formální model). Vyžaduje strukturovaný návrh a základní analýzu skrytých kanálů. 6. Poloformálně ověřený a testovaný návrh, vychází z modulárního vrstveného návrhu. Vývoj v max. řízeném prostředí. Vysoká odolnost proti útokům. 7. Formálně ověřený a testovaný návrh, vychází z plně formálního návrhu. Vývoj vyžaduje nesmírné náklady - prakticky nepoužitelné 51

52 52

53 Web site - Potection Profiles - Certifikované produkty - Příklady: PP pro operační systémy Certifikační zpráva (RedHat Enterprise Linux) Popis certifikovaného OS 53

54 54

55 Bezpečnost sítí Kontext problematiky bezpečnosti sítí ve standardu ČSN ISO/IEC 27002: 2006 bezpečnostní doména Řízení komunikací a provozu 55

56 Bezpečnost sítí Normy a standardy zaměřené na bezpečnost sítí ISO ISO/OSI Security Architecture (http://en.wikipedia.org/wiki/security_service_%28t elecommunication%29) Standardy ISO/IEC :2006, ISO/IEC TR až 5 (Guidelines for the Management of IT Security) a ISO/IEC 17799:2005 dále pokračují ve vývoji společně v řadě ISO/IEC 27k Současná verze ISO :2009 Information technology - Security techniques - Network security 56

57 Pojem distribuované systémy IS jsou provozovány v síťové infrastruktuře na autonomních systémech Bezpečnost DIS = bezpečnost komunikačních procesů Problém komunikační bezpečnosti řeší mezinárodní standard ISO ISO/OSI Security Architecture (dodatek normy RM OSI ) Standard pokrývá problémy: Bezpečnost sítí Bezpečnostní incidenty vztahující se k "otevřeným systémům" (OSI) Obecné prvky bezpečnostní architektury použitelné pro ochranu proti těmto incidentům Okolnosti a podmínky, za kterých lze tyto bezpečnostní prvky použít 57

58 Bezpečnost sítí 58

59 Bezpečnost sítí Uživatelé DIS Osoby Lokální uživatelé Vzdálení uživatelé Externí entity IT Důvěryhodné Nedůvěryhodné 59

60 Bezpečnost sítí Pojmy Lokální uživatel interakce s produktem prostřednictvím jeho vlastních prostředků Vzdálený uživatel interakce s produktem prostřednictvím jiného produktu Relace uživatele časový interval interakce (vytvoření relace je podmíněno různými okolnostmi a podmínkami, např. autentizací) Autorizovaný uživatel uživatel s oprávněním provést určitou operaci Role předdefinovaná sada pravidel určující povolené interakce pro jejich zabezpečení, produkt může podporovat libovolný počet rolí (uživatel, správce účtů, správce auditu.) 60

61 Bezpečnost sítí Referenční model OSI 7. vrstva (aplikační) poskytuje aplikacím přístup ke komunikačně zaměřeným službám 6. vrstva (prezentační) zajišťuje transformaci syntaxe přenášených dat 5. vrstva (relační) synchronizuje a řídí dialog mezi komunikujícími entitami 4. vrstva (transportní) zajišťuje transparentní a dostatečně kvalitní přenos dat mezi komunikujícími otevřenými systémy 3. vrstva (síťová) poskytuje síťové spojení komunikujícím systémům potřebné k přenosu dat 2. vrstva (vrstva datových spojů) organizuje a řídí provoz na datovém spoji 1. vrstva (fyzická) přenáší signál prostřednictvím přenosového média 61

62 Bezpečnost sítí Distribuovaný systém zahrnuje: Aplikační složky informačního systému, které využívají ke komunikačním procesům služby transportní, relační, prezentační a aplikační vrstvy. Telekomunikační složky informačního systému, které využívají k telekomunikaci služby síťové, spojové a fyzické vrstvy Bezpečnostní normy podle ISO dělí bezpečnostní funkce ( bezpečnostní služby ), které mohou být implementovány v různých vrstvách OSI modelu do 5 skupin: Autentizace (autentizace entity a autentizace zdroje), Řízení přístupu, Důvěrnost dat, Integritu dat, Non-repudiation. 62

63 Bezpečnost sítí Bezpečnostní služby 1. Služby pro autentizace - ověřují identitu jedné nebo obou stran komunikace. Dále se dělí na: a. služby autentizace odesílatele (neeliminují útoky duplikace zpráv) b. služby autentizace spojení (provádějí autentizaci všech přenášených zpráv a eliminují útoky duplikace zpráv) 2. Služby pro řízení přístupu - ochrana před neautorizovaným přístupem k prostředku distribuovaného systémy (nejobvyklejší je implementace v operačním systému nebo v aplikačním programu) 63

64 Bezpečnost sítí 3. Služby pro zajištění důvěrnosti - ochrana informace před neutorizovaným odhalením informace. Dělí se na: a. služby pro důvěrnost přenosu zpráv (vhodné pro bezstavové aplikace) b. služby pro důvěrnost spojení - ochrana důvěrnosti v rámci navázaného spojení c. služby pro důvěrnost toku dat (chrání informace na základě atributů toku dat) d. služby selektivní důvěrnosti - ochrana pouze určených částí informace 64

65 Bezpečnost sítí 4. Služby pro zajištění integrity - ochrana přenášené informace proti neautorizované modifikaci. Dělí se na: a. služby integrity přenosu zpráv (ochrana integrity všech přenášených zpráv) b. služba integrity spojení (ochrana přenosů v rámci určitého navázaného spojení) c. služby selektivní integrity spojení a selektivní integrity zpráv d. služba integrity bez oprav (detekce porušení integrity) e. služba integrity s opravami obnova integrity po detekci ztráty integrity 65

66 Bezpečnost sítí Pojmy: slabá integrita pro objektivní útoky (modifikace zprávy šumem, náhodná změna pořadí paketů, náhodná duplicita ) aplikace kontrolních součtů, CRC, pořadová čísla paketů apod. silná integrita subjektivní (úmyslné, aktivní útoky) 5. Služby podvržené pro nepopiratelnost zprávy, úmyslně zodpovědnosti pozměněné zprávy - ochrana prostředky zajišťující pro zajištění možnost slabé prokázat integrity druhé + kryptografické straně prostředky odeslání/příjem zprávy, tzn. znemožnit jí popření odeslání/příjmu zprávy a. prokázání původu (příjemce/odesílatel) b. prokázání doručení (odeslání/přijetí) Autentizace a nepopiratelnost : autentizace vím s kým komunikuji nepopiratelnost vím s kým komunikuji a lze mu to dokázat 66

67 Implementace bezpečnostních funkcí ve vrstvách RM OSI Pro implementaci bezpečnostní funkce je nejvhodnější: 7. vrstva aplikační protokoly 4. vrstva transport dat 3. vrstva - směrování Bezpečnost sítí Bezpečnostní mechanismy jsou zpravidla zabudovány do: aplikačních programů a operačních systémů (7. a 4. vrstva) propojovacích zařízení 3. vrstvy (směrovače) 67

68 Vrstva OSI, kde může být služba zajištěna Bezpečnostní služba Autentizace spojení A A A Autentizace odesilatele A A A Řízení přístupu A A A Důvěrnost spojení A A A A A A Důvěrnost přenosu zpráv A A A A A Selektivní důvěrnost A A Důvěrnost toku dat A A A Integrita spojení s opravou A A Integrita spojení bez opravy A A A Selektivní integrita spojení Integrita přenosu zpráv A A A Selektivní integrita zpráv Nepopiratelnost odesílatele Nepopiratelnost doručení A A A A 68

69 Bezpečnost sítí Bezpečnostní mechanismy vhodné pro implementaci bezpečnostních funkcí podle ISO Kryptografická ochrana důvěrnosti (šifrování) Šifr. Kryptografická ochrana integrity Int. mech. Systémy řízení přístupu Ř. příst. Kryptografická autentizace Aut. Elektronický podpis EP Řízení přenosů zpráv Ř. přen. Zarovnávání zpráv padding (připojení dohodnutých dat pro utajení vlastních dat) Zar. Notářské služby (potvrzení třetí stranou ) Not. sl. 69

70 Bezpečnostní služba Šifr. EP Ř. Bezpečnostní mechanismy příst. Int. mech. Autentizace spojení A A A Autentizace odesilatele A A Řízení přístupu Důvěrnost spojení A A Aut. Zar. Ř. přen. Důvěrnost přenosu zpráv A A Selektivní důvěrnost A A Důvěrnost toku dat A A A Integrita spojení s opravou A A Integrita spojení bez opravy A A Selektivní integrita spojení A A Integrita přenosu zpráv A A A Selektivní integrita zpráv A A A Nepopiratelnost odesílatele A A A A Nepopiratelnost doručení A A A A 70 Not. sl.

71 Bezpečnost sítí Role kryptografických systémů v implementaci bezpečnostních funkcí podle ISO

72 Bezpečnost sítí Definice pojmů podle standardu ISO Bezpečná komunikace Oba komunikující partneři věří na základě vzájemné autentizace, že komunikují s oznámeným partnerem nebo že přijali zprávu z autentizovaného zdroje Přenášená informace nemůže být odposlouchána, neboť je zajištěna její důvěrnost Přenášená informace není změněna, neboť je zajištěna její integrita Komunikace je umožněna pouze autorizované straně, neboť je uplatněno řízení přístupu Komunikace nemůže být popřena, neboť je zajištěna nepopiratelnost odeslání i příjmu zpráv. 72

73 Bezpečnost sítí Bezpečná spojovaná relace zahrnuje kroky 1. Navázání spojení s autentizací prostřednictvím asymetrického kryptografického algoritmu. 2. Výměna symetrických klíčů pro zajištění integrity a důvěrnosti následné výměny zpráv. 3. Bezpečná výměna zpráv. 4. Zrušení spojení včetně všech zbytkových informací. 5. Ověření autenticity, integrity a důvěrnosti přijaté informace. 73

74 Bezpečnost sítí Správa bezpečnosti DIS podle ISO zahrnuje: Implementace bezpečnostních funkcí a bezpečnostních mechanismů (bezpečnostních služeb). Generování zpráv o bezpečnostních funkcích a bezpečnostních mechanismech Generování zpráv o dalších událostech souvisejících s informační bezpečností Zavádí pojem SMIB (Security Management Information Base) (součást báze MIB) spravované objekty z oblastí: Správa systémové bezpečnosti (BP, reakce na události, audit, recovery ) Bezpečnost správy sítě podle OSI Správa bezpečnostních funkcí a mechanismů 74

75 Bezpečnost sítí Implementace bezpečnostních mechanismů v síťové infrastruktuře a v síťových aplikacích 75

76 Bezpečnost sítí ISO/IEC Information technology - Security techniques - Network security (1/2) ISO/IEC :2009 Network security overview and concepts - revize normy ISO/IEC , poskytovat celkový přehled principů a přístupů ostatních norem sady ISO/IEC :2012 Guidelines for the design and implementation of network security - revize normy ISO/IEC , definuje bezpečnostní architekturu sítí ISO/IEC :2010 Reference networking scenarios - Risks, design techniques and control issues - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí ISO/IEC :2014 Securing communications across networks using Virtual Private Networks (VPNs) - definice rizik, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi; 76

77 Bezpečnost sítí ISO/IEC Information technology - Security techniques - Network security (2/2) ISO/IEC :2013 Securing Virtual Private Networks - Risks, design techniques and control issues - revize normy ISO/IEC , definice rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN; ISO/IEC (Draft) IP convergence - norma se bude týkat zabezpečení IP konvergence; ISO/IEC (Proposal) Guidelines for securing wireless networking - Risks, design techniques and control issues - definice rizik, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí 77

78 Bezpečnost sítí Standardy ISO/IEC ISO/IEC :2006 Information technology - Security techniques - IT network security - Part 1: Network security management ISO/IEC :2006 Information technology -- Security techniques - IT network security - Part 2: Network security architecture ISO/IEC :2005 Information technology Security techniques IT network security Part 3: Securing communications between networks using security gateways ISO/IEC :2005 Information technology. Security techniques - IT network security - Part 4: Securing remote access ISO/IEC :2006 Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using virtual private networks 78

79 Bezpečnost sítí Standardy ISO/IEC

80 Network security architecture 80

81 Securing communications between networks using security gateways 81

82 ISO/IEC Information technology Security techniques IT network security Securing remote access Types of remote access connection 82

83 Securing communications across networks using virtual private networks Site-to-site connection 83

84 Bezpečnost sítí Služby důvěryhodných třetích stran Trusted Third Party TTP Poskytují bezpečnostní služby, kterým lze v rámci těchto služeb důvěřovat Požadované vlastnosti TTP: TTP provádí činnosti v právním rámci TTP musí být pod dohledem dozorového orgánu TTP musí dodržovat vlastní odpovídající bezpečnostní politiku TTP má mít akreditaci kvality procesů a operací TTP musí poskytovat záruky za dostupnost a kvalitu svých služeb. 84

85 Bezpečnost sítí Klíčové koncepty TTP Průkazná existence a dodržování odpovídající BP Implementace vhodných bezpečnostních procedur mechanismů Průkazně vhodná komunikační rozhraní a procedury pro komunikaci s uživateli Průkazně provedená akreditace kvality operací a procesů Zaměstnanci průkazně dodržují směrnice a podnik dodržuje smluvní závazky Průkazná definice záruk a zodpovědnosti TTP včetně auditů v právním rámci Průkazné provádění pravidelné revize a vyhodnocování AR 85

86 Bezpečnost sítí Typy důvěryhodných třetích stran In-line TTP - leží přímo v komunikačním kanále mezi dvěma entitami. Jestliže entity neleží v jedné bezpečnostní doméně nemohou spolu bezpečně komunikovat. TTP je společný bezpečnostní mechanismus (pro autentizaci, řízení přístupu, důvěrnost, integritu, nepopiratelnost) 86

87 Bezpečnost sítí On-line TTP - neleží přímo v komunikačním kanále, poskytuje bezpečnostní službu na základě požadavků jedné nebo obou komunikujících stran vyslaných v průběhu komunikace. Na poskytnutí služby a jejím výsledku závisí komunikační proces. Příklady: autentizace, řízení přístupu, distribuce kryptografických klíčů, atd. 87

88 Bezpečnost sítí Off-line TTP - nezúčastní se transakce, své služby poskytuje před uskutečněním komunikace. Buď komunikuje přímo se stranami, nebo komunikuje s jinou třetí stranou účastnící se komunikačního procesu, která pro tento není dostatečně důvěryhodná. Příklady služeb: autentizace (generování certifikátů pro komunikující strany nebo pro on-line adresářovou službu), nepopiratelnost. 88

89 Bezpečnost sítí Konkrétní služby důvěryhodných třetích stran Služby správy klíčů (PKI) Služby nepopiratelnosti Certifikační služby Časová razítka Notářské služby Adresářové služby (LDAP) 89

90 Technologie AAA Autentizace (authentication) Autorizace (authorization) Účtovatelnost (accounting) - zodpovědnost (accountability) Omezení rizika neoprávněných přístupů do podnikové sítě (k OS, k databázím, aplikacím, službám) překročení přidělených oprávnění ( rolí ) Sběr informací k účtování (za služby, přenosy dat apod.) nebo k auditům 90

91 Technologie AAA Autentizace (ověření totožnosti) preventivní bezpečnostní funkce řízené povolení k přihlášení, připojení Metody autentizace Uživatelské jméno a heslo statické (velmi slabá autentizace) s omezenou dobou platnosti Jednorázová hesla (one-time passwords - OTP) např. metoda S/Key (silná autentizace) Identifikační tokeny např. smartcards (velmi silná autentizace) Biometrické prostředky 91

92 Technologie AAA Implementace autentizace - protokoly PAP a CHAP součást specifikace PPP PAP (Password Authentication Protocol) dvoucestná autentizace slabá (přenáší se nezašifrované heslo). Request (autentizační data) response (potvrzení/odmítnutí). CHAP (Challenge Handshake Authentication Protocol) třícestná autentizace (výzva odpověď přijetí/zamítnutí), ověřování periodické v průběhu relace. Výzva řetězec zaslaný přístupovým serverem (může se během relace měnit) Odpověď hash ( společné tajemství + ID + výzva ) Přijetí/odmítnutí generuje přístupový server na základě shody/neshody odpovědi s výsledkem vlastního výpočtu 92

93 Technologie AAA Princip OTP vytváří řadu hesel f(s), f(f(s)), f(f(f(s))),... poslední se uloží na serveru s tajná přístupová fráze (initial seed), f jednosměrná šifra (hash function) uživatel pro autentizaci používá postupně hesla ze seznamu v obráceném pořadí server si spočítá algoritmem hash hodnotu ze zaslaného hesla a porovnává ji s hodnotou, kterou má uloženu z minulé relace atd. až do vyčerpání seznamu 93

94 Technologie AAA S/key Implementace OTP pro unixové platformy na SSL (v PAM Pluggable Authentication Module) 94

95 Technologie AAA Autorizace omezení uživatelských přístupů k službám (přístup do VPN, k síťovým službám, k tiskovým službám, k souborům, spouštění aplikací.) Na základě provedené autentizace zjistí přístupový server autorizační informace z příslušné databáze (seznam rolí) Účtovatelnost sledování přístupu k síťovým prostředkům vytváření záznamů do příslušné databáze (obdoba syslog možnost exportu k dalšímu zpracování - např. účetní aplikaci) 95

96 Technologie AAA Podpora mechanizmu AAA databáze zabezpečení Lokální databáze zabezpečení pro lokální autentizaci, autorizaci a účtovatelnost (dostačující pro malé sítě). Vzdálená databáze zabezpečení podpora centralizovaného systému AAA přístupová zařízení (servery, routery, switche) získají informace ze společné databáze. (vhodné pro střední a velké sítě). Protokoly TACACS+ a RADIUS. 96

97 Technologie AAA Protokol TACACS (Terminal Access Controller Access Controller System) fy. CISCO aplikační protokol sady TCP/IP (Transportní protokoly TCP/UDP port 49 a 65 pro databázové služby) Vývoj: TACACS XTACACS TACACS+ Implementace server (aplikace pro platformu UNIX, Windows NT typu démon + databáze), klient běží na přístupových serverech, směrovačích, přepínačích. Komunikace: klient (request) server (response) Procesy: autentizace, autorizace, účtování 97

98 Technologie AAA Charakteristika protokolu TACACS+ Formát paketů záhlaví + data 3 typy paketů: pole packet type 0x01 (Authentication) 0x02 (Authorization) 0x03 (Accounting) Pakety TACACS+ se přenášejí zašifrované Autentizace prostřednictvím mechanismů PAP a CHAP Podpora zpětného volání (reverze účtování) 98

99 Technologie AAA Protokol RADIUS (Remote Authentization Dial-In User Service) - aplikační protokol sady TCP/IP (Transportní protokoly TCP/UDP port 1812 a 1813 pro účetní služby) Procesy: autentizace a autorizace (port 1812) a účtování (port 1813) technologie AAA Autentizace a autorizace Autentizace: klient přístupový server (OTP, PAP, CHAP, EAP) Autorizace: RADIUS server přístupový server (na výzvu - princip sdíleného tajemství) 99

100 Pojmy RADIUS NAS (Network Access Server) implementuje RADIUS client stranu komunikuje s RADIUS serverem Zajišťuje user-end systému přístup do sítě (autentizace + autorizace) Po připojení spouští proces accounting Roaming umožňuje mobilitu user-end systému mezi IPS sítěmi (viz Eduroam) pojem realm Proxy RADIUS servery Identifikace uživatele realm 100

101 RADIUS Dialog autentizace a autorizace 101

102 RADIUS Dialog accounting 102

103 RADIUS Proxy RADIUS servis 103

104 RADIUS Formát paketů záhlaví + data (atributy) typ, délka, hodnota (formát TLV) Typy paketů: 0x01 (kód Access-Request) 0x02 (kód Access- Accepted) 0x03 (kód Access-Reject) 0x04 (kód Accounting-Request) 0x05 (kód Accounting-Response) 0x11 (kód Access-Challenge) Autentizace PAP, CHAP, EAP Podpora zpětného volání 104

105 RADIUS Formát zprávy protokolu RADIUS 105

106 RADIUS RADIUS data AVP (Attribute Value Pairs) Formát TLV Několik desítek typů AVP, např. 1 User-Name 7 Framed-Protocol 2 User-Password 8 Framed-IP-Address 3 CHAP-Password 9 Framed-IP-Netmask 4 NAS-IP-Address 10 Framed-Routing 5 NAS-Port 11 Filter-Id 6 Service-Type 12 Framed-MTU 18 Reply-Message 19 Callback-Number 20 Callback-Id 106

107 RADIUS 107

108 RADIUS Implementace RADIUS Nekomerční (GPL) FreeRADIUS GNU Radius OpenRADIUS BSDRadius Komerční IAS (Internet Authentication Servervices) MS Windows Podpora v Cisco IOS (AAA) routery, switche 108

109 Příklady standardů pro kryptografické systémy: Kryptografické moduly FIPS PUB : 2000 (Federal Information Proccessing Standards) Security Requirements for Cryptographic Modules Cerifikáty Úvod do kryptografie X.509 Public Key Infrastructure 109

110 Úvod do kryptografie Kryptografické systémy nejpoužívanější bezpečnostní mechanismy současnosti Pojmy kryptografie, kryptoanalýza, kryptologie Kryptografické algoritmy symetrické výhody, nevýhody AES (Advanced Encryption Standard) DES (Data Encryption Standard) IDEA (International Data Encryption Algorithm) RC2 a RC4 (Rivest Cipher) Kryptografické algoritmy asymetrické výhody, nevýhody RSA (Rivest Shamir Adleman) DSS (Digital Signature Standard) EC (Eliptic Curve) 110

111 Úvod do kryptografie Hash funkce Vstupní data libovolné délky jsou transformována do výstupních dat pevné délky (128, 160, 256, 512 bitů) Jednocestná funkce s klíčem nebo bez klíče Principy jednocestné funkce y = F(x) : 1. pro dané x lze snadno spočítat y = F(x) 2. pro dané y je výpočetně nezvládnutelné nalézt x, aby platilo y = F(x) 3. pro dané x je výpočetně nezvládnutelné nalézt takové x (x x), aby platilo F(x) = F (x ) 111

112 Úvod do kryptografie Nejrozšířenější hash algoritmy: MAC (Message Authentication Code) - jednocestná funkce s klíčem (heslem) - výstup algoritmu přiložený ke zprávě ověřuje její autenticitu (heslo) a integritu (hash) MD5 (Message Digest 5) - autor Ronald Rivest. Výstup 128 b., vstupní bloky 512 b. SHA-1 (Secure Hash Algorithm) FIPS PUB180 - výstup 160 b., vstupní bloky 512 b. Srovnání funkcionality MD5 a SHA-1: MD5 má neomezenou délku vstupní zprávy (SHA-1 má limit 2**64-1 bitů) a výpočetně asi dvakrát rychlejší než SHA

113 Úvod do kryptografie 113

114 Úvod do kryptografie Princip hash funkce 114

115 Úvod do kryptografie Princip symetrické kryptografie 115

116 Úvod do kryptografie Princip asymetrické kryptografie 116

117 Úvod do kryptografie Princip asymetrické kryptografie Šifrování veřejným klíčem příjemce 117

118 Úvod do kryptografie Srovnání implementace symetrických a asymetrických kryptografických systémů Symetrická kryptografie: menší výpočetní náročnost - vyšší výpočetní rychlost, problematické šíření klíče, dvě kopie tajemství (obě strany), pro komunikaci s n partnery je třeba mít n klíčů, pro komunikaci s neznámým partnerem je obtížné ověřit jeho identitu Asymetrická kryptografie: značná výpočetní náročnost - až 1000 x nižší výpočetní rychlost než u předchozího, pouze jedna kopie tajemství (pod vlastní kontrolou), snadné šíření klíčů (možnost uložit VK na veřejně dostupném místě), při komunikaci s neznámým partnerem lze poměrně snadno ověřit jeho identitu. 118

119 Distribuce tajného klíče pro symetrickou kryptografii Symetrické systémy Úvod do kryptografie Důvěrnost informace šifrované přenosy Snadná implementace SW i HW Problém výměna tajného klíče Diffie - Hellman - algoritmus výměna tajného klíče TK (session key) založen na obtížnosti výpočtu diskrétních logaritmů nejpoužívanější způsob generování session key v současných SW implementacích. 119

120 Úvod do kryptografie 1/3 120

121 Úvod do kryptografie 2/3 121

122 Úvod do kryptografie 3/3 122

123 Úvod do kryptografie Digitální podpis Digitální podpis zabezpečuje integritu podepsané zprávy autentičnost podepsané zprávy neodmítnutelnost zodpovědnosti podepsaného subjektu Kryptografické složky zajišťující digitální podpis asymetrické kryptografické systémy hash funkce správa veřejných klíčů PKI (Public Key Infrastructure) certifikát veřejného klíče certifikační autorita (CA) 123

124 Úvod do kryptografie Digitální podpis certifikát 124

125 Úvod do kryptografie Digitální podpis Důvěryhodnost DP na principu asymetrického kryptografického systému s veřejným klíčem je podmíněna silným autentizačním mechanismem Jednoznačné spojení podepisujícího subjektu s veřejným klíčem, o kterém prohlašuje, že je jeho vlastníkem Řešení autenticitu VK ověřuje nezávislá třetí strana certifikační autorita (CA) CA je důvěryhodná infrastruktura pod správou důvěryhodného provozovatele, který svým kreditem a certifikační politikou poskytuje dostatečnou bezpečnostní a funkční záruku Elektronický certifikát datová struktura obsahující kromě veřejného klíče údaje o vlastníkovi veřejného klíče a o CA, která certifikát vydala 125

126 Úvod do kryptografie Digitální podpis Automatizovanou správou veřejných klíčů zajišťuje PKI (Public Key Infrastructure) PKI se opírá se o řadu standardů a doporučení sjednocujících přístupy různých poskytovatelů těchto služeb zákonná opatření a obecné normy informační bezpečnosti ISO/IEC :1999 /ITU-T X.509 formát certifikátu LDAP/ X.500 (Lightweight Directory Access Protocol ) - podpora správy úložišť klíčů a certifikátů platných i zbavených platnosti PKCS #6 formát rozšířeného certifikátu PKCS #10 syntaxe žádosti o certifikát ISO/IEC až 3 správa klíčů 126

127 Úvod do kryptografie Princip certifikace veřejného klíče 127

128 Úvod do kryptografie Postup certifikace veřejného klíče 128

129 Úvod do kryptografie Funkce CA registrace uživatelů certifikátů vydávání certifikátů k veřejným klíčům odvolávání platnosti certifikátů vytváření a zveřejňování seznamu certifikátů odebírání platnosti certifikátům zveřejňování zneplatněných certifikátů v seznamu CRL (Certificate Revocation List) správa klíčů po dobu jejich platnosti (životního cyklu) dodatkové služby např. poskytování časových známek (timestamping) 129

130 Úvod do kryptografie Registrační autorita (RA) nepovinná složka PKI vytváří vazbu mezi klientem a CA v souladu s CPS přijímá žádosti o certifikace ověřuje pravdivost uvedených údajů předává certifikát CA k podpisu podepsaný certifikát předá klientovi 130

131 Úvod do kryptografie Hierarchie CA Problém - vzájemné ověření certifikátů, které jsou vydány různými CA. Cíl vytvoření jediné struktury CA s kořenovou (globální) CA Řešení - vzájemné propojení CA Kořenová hierarchie CA - primární CA pro vydávání certifikátů podřízeným CA Křížové ověření CA (tzv. mesh PKI architektura) - na úrovní kořenových CA nebo primárních CA Ověření CA přes brány - při nekompatibilních implementacích CA 131

132 Úvod do kryptografie Hierarchie CA s kořenovou CA 132

133 Úvod do kryptografie Hierarchie CA s více kořenovými CA 133

134 Úvod do kryptografie Certifikát veřejného klíče Formát certifikátu je popsán normou RFC2459 a doporučením ITU X.509 Certifikát je datová struktura popsaná v jazyce ASN.1 a pro přenos je kódovaná podle specifikace DER (Distinguished Encoding Rules). Obsah certifikátu Jméno vlastníka certifikátu Sériové číslo certifikátu Doba platnosti certifikátu Kopie veřejného klíče vlastníka certifikátu Jméno CA Digitální podpis CA 134

135 Úvod do kryptografie Zákon o elektronickém podpisu Digitální podpis ve státní správě ČR podpora elektronická komunikace mezi občany a útvary státní správy uvnitř státní správy (mezi jednotlivými útvary) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který současně upravuje kontrolu povinností stanovených tímto zákonem a sankce za jejich porušení. Prováděcím předpisem k tomuto zákonu je nařízení vlády č. 304/2001 Sb. a vyhláška č. 366/2001 Sb. 135

136 Zákon o elektronickém podpisu Pro účely tohoto zákona se rozumí: elektronickým podpisem (EP) údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky: je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, EP byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat; datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, 136

137 Zákon o elektronickém podpisu Podepisující osobou fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby, Poskytovatelem certifikačních služeb subjekt, který vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy, Akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona, Certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost, Kvalifikovaným certifikátem certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikačních služeb, splňujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávající kvalifikované certifikáty, 137

138 Akreditovaný poskytovatel certifikačních služeb v ČR První certifikační autorita, a.s. Postsignum, Česká pošta, s. p. eidentity, a.s. Úvod do kryptografie Zákon o elektronickém podpisu Kontaktní místa registrační autority Zveřejnění celkové bezpečnostní politiky CA a certifikační politiky CA 138

139 Typy certifikátů testovací komerční Úvod do kryptografie Zákon o elektronickém podpisu kvalifikované (dle zákona o elektronickém podpisu) Časové razítko elektronický důkaz o existenci určitého dokumentu v určitém čase 139

140 Kybernetická bezpečnost Legislativní rámec v ČR Gestor kybernetické bezpečnosti v ČR - Národní bezpečnostní úřad (NBÚ) Základní legislativní norma zákon o kybernetické bezpečnosti Další role NBÚ zajištění ochrany utajovaných informací (zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti č. 412/205 Sb.) 140

141 Kybernetická bezpečnost - legislativa Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) č. 181/2014 Sb. Prováděcí předpisy Kritéria pro určení prvku kritické infrastruktury č. 315/2014 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti č. 316/2014 Sb. Vyhláška o významných informačních systémech a jejich určujících kritériích č. 317/2014 Sb. Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až Národní centrum kybernetické bezpečnosti (NCKB). 141

142 Kybernetická bezpečnost - legislativa Základní obecné pojmy Zranitelnost Hrozba Riziko Hodnocení rizik, řízení rizik Přijatelné riziko Bezpečnostní politika (hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací ) 142

143 Kybernetická bezpečnost - legislativa Významné specifické pojmy Kybernetický prostor digitální informační prostředí (IS, sítě, služby ) Kritická informační infrastruktura (KII) prvek nebo systém z oblasti komunikační a informační systémy náležející do kritické infrastruktury určené zákonem podle průřezových kritérií Oběti na životech Ekonomické dopady Omezení možnosti poskytovat obyvatelstvu základní služby Informační bezpečnost zajištění CIA Významný informační systém (VIS) - IS se zásadním významem pro fungování státní správy 143

144 Kybernetická bezpečnost - legislativa Kritická informační infrastruktura (č. 315/2014 Sb.) (1/1) Odvětví: I. Energetika II. Vodní hospodářství III. Potravinářství a zemědělství IV. Zdravotnictví V. Doprava VI. Komunikační a informační systémy VII. Finanční trh a měna VIII. Nouzové služby Technologické prvky pro: A. pevné sítě el. komunikací B. mobilní sítě el. komunikací C. rozhlasové a televizní vysílání D. satelitní komunikaci E. poštovní služby F. provoz registru domény.cz 144

145 Kybernetická bezpečnost - legislativa Další související pojmy Osoby Garant aktiva Uživatel Administrátor aktiva Aktivum Primární aktivum (informace a služby) Podpůrné aktivum (technické aktivum, zaměstnanci a dodavatelé) Technické aktivum (technické vybavení, komunikační prostředky, programové vybavení a objekty ) 145

146 Kybernetická bezpečnost - legislativa Návaznosti na mezinárodní standardy (ISO/IEC 27k) Organizační opatření ISMS Management rizik Bezpečnostní politika Technická opatření Fyzická bezpečnost Autentizace a řízení přístupu Antivirové systémy IDS, IPS, logy Kryptografické prostředky. 146

147 Kybernetická bezpečnost - legislativa Oblasti uplatnění bezpečnostní politiky a) systém řízení bezpečnosti informací, b) organizační bezpečnost, c) řízení dodavatelů, d) klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, e) bezpečnost lidských zdrojů, f) řízení provozu a komunikací, g) řízení přístupu, h) bezpečné chování uživatelů, i) zálohování a obnova, j) bezpečné předávání a výměna informací, k) řízení technických zranitelností, l) bezpečné používání mobilních zařízení, m) licencování software a informací, n) dlouhodobé ukládání a archivace informací, o) ochrana osobních údajů, p) fyzická bezpečnost, q) bezpečnost sítě, r) ochrana před škodlivým kódem, s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí, t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí, u) používání kryptografické ochrany. 147

148 Kybernetická bezpečnost - Struktura bezpečnostní legislativadokumentace Struktura bezpečnostní politiky musí zahrnovat dokumenty pro oblasti, kde se bezpečnostní politika uplatňuje (viz předešlý snímek) Další dokumentace Zpráva z auditu a z přezkumu ISMS Metodika pro hodnocení aktiv a rizik Výsledky AR, prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Havarijní plán a plán obnovy 148

149 Kybernetická bezpečnost - legislativa Hodnocení a úrovně důležitosti aktiv Jsou stanoveny 4 úrovně důležitosti aktiv (nízká, střední, vysoká, kritická) Bezpečnostní atributy aktiv Důvěrnost Integrita Dostupnost 149

150 Kybernetická bezpečnost - legislativa Hodnocení rizik Pro hodnocení rizik se používá vzorec: riziko = dopad * hrozba/100 * zranitelnost/100 Riziko je funkce: Dopadu Hrozby Zranitelnosti Stupnice pro riziko, dopad, hrozbu a zranitelnost: nízká, střední, vysoká, kritická. 150

151 Kybernetická bezpečnost - legislativa Řízení rizik Stanovení metodiky pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik Identifikace a hodnocení důležitosti aktiv, která patří do rozsahu systému řízení bezpečnosti informací Identifikace rizik, zohlednění hrozby a zranitelnosti, posouzení možných dopadů na aktiva, schválení přijatelných rizik Plán zvládání rizik (zpracování a zavedení) 151

152 Kybernetická bezpečnost - legislativa Technologická podpora kryptografické algoritmy Minimální požadavky Symetrické algoritmy Blokové a proudové šifry (AES, 3DES, Blowfish.) a jejich minimální délky klíčů Módy šifrování, módy šifrování a ochranou integrity) Asymetrické algoritmy Pro digitální podpis (DSA, EC-DSA, RSA s minimálními délkami klíče) Pro výměnu klíčů (Diffie-Hellman, EC DH, RSA ) s minimálními délkami klíče) Algoritmy hash funkcí (SHA-2, SHA-3, ) 152

153 Kybernetická bezpečnost - legislativa Kybernetická bezpečnostní událost/incident Hlášení incidentu ve významné síti, IS KII, komunikačním systému KII nebo VIS ve standardním formuláři odeslaném provozovateli národního CERT(provede poskytovatel/provozovatel/správce příslušného systému/infrastruktury) Evidence (provádí NBÚ) Opatření (vydává NBÚ) Varování Reaktivní opatření Ochranné opatření 153

154 Kybernetická bezpečnost - legislativa Hlášení kybernetického incidentu Kategorie incidentu Kategorie III velmi závažný kybernetický bezpečnostní incident Kategorie II závažný kybernetický bezpečnostní incident Kategorie I méně závažný kybernetický bezpečnostní incident 154

155 Kybernetická bezpečnost - legislativa Typ kybernetického bezpečnostního incidentu: Způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb. Způsobený škodlivým softwarem nebo kódem. Způsobený kompromitací technických opatření. Způsobený porušením organizačních opatření. Ostatní incidenty způsobené kybernetickým útokem. Kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv. Způsobující narušení integrity primárních aktiv. Způsobující narušení dostupnosti primárních aktiv. Způsobující kombinaci dopadů uvedených výše. 155

156 Kybernetická bezpečnost - legislativa CERT (Computer emergency readiness teams) a CSIRT (Computer security incident response team) Vládní CERT (GovCERT.CZ) složka NBÚ Národní CERT týmy - zaštiťuje organizace CZ.NIC (správce domény.cz) Pracovní skupiny CSIRT.cz týmů Mezinárodní spolupráce Národní týmy 156

157 Kybernetická bezpečnost - Odkazy legislativa https://www.kybez.cz ADzen%C3%AD_bezpe%C4%8Dnosti_informac%C3%AD https://www.csirt.cz/ Podpora kybernetické bezpečnosti pro státy a instituce Evropské Unie ENISA (European Union Agency for Network and Information Security) 157

158 Penetrační testy Co je penetrační test Jaký je cíl penetračního testu Kdy se provádí penetrační testy Jaký je postup provádění penetračních testů Jaká jsou omezení a rizika při provádění penetračních testů 158

159 Penetrační testy Co je penetrační test Nástroj k odhalení zranitelných míst v informačním systému Součást bezpečnostní analýzy, ověřující nepřítomnost již zveřejněných bezpečnostních chyb (exploits) v IS Cíl penetračního testu Prevence opatření proti uskutečnění hrozby provedení útoku Snížit rizika využití zranitelných míst útokem 159

160 Penetrační testy Penetrační test v kontextu metodiky ISECOM (The Institute fot Security and Open Methodologies) 160

161 Penetrační testy Metody pro stanovení úrovně informační bezpečnosti informačního systému 161

162 Penetrační testy Související pojmy Exploit Původní význam: speciální program, data nebo sekvence příkazů, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost software a umožňuje tak získat nějaký prospěch. Obvykle se jedná o ovládnutí počítače nebo nežádoucí instalaci software, která dále provádí činnost, o které uživatel počítače neví. (Wikipedia) Rozšířený význam: a script, program, mechanism, or other technique by which a vulnerability is used in the pursuit or achievement of some information assurance objective. It is common speech in this field to use the terms exploit and exploit script to refer to any mechanism, not just scripts, that uses a vulnerability. (OUSPG Glossary of Vulnerability Testing) 162

163 Penetrační testy CVE (Common Vulnerabilities and Exposures) seznam rozpoznatelných zranitelných míst a jejich projevů Vulnerability chyba SW, která může být přímo využita k provedení útoku Exposure chyba v SW, která nepřímo dovoluje neoprávněný přístup do systému nebo sítě Databáze CVE je zajišťována společností MITRE CVE je de facto standard pro identifikaci problémových míst (SW, firmware) u produktů IT (síťová zařízení, operační systémy, aplikace..) 163

164 Penetrační testy Kdy se provádí PT V běžném provozu IS Ve všech fázích výstavby ISMS (Information Security Management System) Jaký je postup provádění penetračních testů Strategie PT Typy PT Příprava, provedení, závěrečná zpráva Standardy a metodiky 164

165 Strategie PT Odkud bude test prováděn. Penetrační testy Podle míry znalosti testera o předmětu testování a vice versa (tj. co ví předmět testování o testu/testerovi). Typy PT Podle oblasti IS, kde se cíl nachází (tzv. channels) Podle konkrétních známých útoků, které se v průběhu PT provádějí 165

166 Penetrační testy Strategie PT odkud je útok veden Externí PT emuluje útok zvenčí, jehož cílem je neoprávněně proniknout do interní podnikové sítě Interní PT emuluje útok vedený uvnitř podnikové sítě zlovolným zaměstnancem (tj. oprávněným uživatelem), cílem je poškození podniku. Výchozí bod útoky má být určen zadavatelem PT 166

167 Penetrační testy Strategie PT podle směru útoku 167

168 Penetrační testy Strategie PT podle míry znalostí zúčastněných stran (tj. PT tým vs. IT management) Blind PT tým má k disposici omezené informace o struktuře a konfiguraci IS. Při testování vychází pouze z veřejných informací (web-site, doménová jména, adresy..). Cíl testu (tj. IT management testovaného IS) je obeznámen s rozsahem PT a časem prováděného testu. Double-blind PT tým neví nic o cíli jako v předchozím případu. IT management testovaného IS není o rozsahu a čase PT vůbec informován. 168

169 Penetrační testy Tandem penetrační tým a IT tým jsou předem informováni o všech detailech PT (rozsah, hloubka, doba) a na test jsou připraveni. Cílem PT je osvědčit bezpečnostní kvality IS za spolupráce IT týmu. Reversal penetrační tým má dostatečné znalosti o cíli, ale IT tým neví kdy a jak bude test probíhat. Test má osvědčit bezpečnostní kvality IS a připravenost IT týmu. 169

170 Penetrační testy Kategorizace PT podle úrovně přístupových práv a míře informací o testovaných objektech přidělených penetračnímu týmu White Box kompletní znalosti o infrastruktuře testované sítě a instalacích na testovaných strojích včetně přístupových oprávnění. Umožňuje rychlejší průběh PT. Vhodné pro simulaci útoků vedených uživatelem testované sítě, který má privilegovaná přístupová práva. Black Box PT se zahájí bez jakýchkoliv předběžných znalostí situace v testovaném prostředí. Provedení PT vyžaduje delší dobu. Vhodné pro simulace útoků vedených externími útočníky. Gray Box kombinace White a Black boxů (částečné znalosti situace a omezená přístupová práva). Vhodné pro simulace útoků vedených běžným interním uživatelem 170

171 Penetrační testy Přiřazení znalostních boxů k základním strategiím PT 171

172 Penetrační testy Strategie PT - oblast/sféra (channel) provádění útoku (podle metodiky OSSTMM 3) Oblast komunikační bezpečnosti (COMSEC) Počítačové sítě Telekomunikace Oblast fyzické bezpečnosti (PHYSSEC) Lidské složky Elektronické a neelektronické elementy IS Oblast spektrální bezpečnosti (SPECSEC) - vyzařování z kabelů, bezpečnost bezdrátových signálů 172

173 Penetrační testy Oblasti penetračního testování (channels) podle metodiky OSSTMM 3 173

174 Penetrační testy Typy penetračních testů podle známých útoků Network sniffing Spoofing Flood attacks DoS, DDoS ICMP ( smurf ) attacks Half-open SYN attack Buffer overflow/overrun Trojan attack Directory/path traversal Brute force attack Cookie theft/poisoning/hijacking Virus, worm Key logging SQL injection Password Cracking Wardriving Wireless sniffing and interception Cross-site scripting (XSS) Botnet attack DNS cache poisoning Social Engineering. 174

175 Penetrační testy Dohoda o provedení PT Výběr testera Stanovení rozsahu, doby a způsobu PT Soulad s legislativou a dalšími ustanoveními: Zákony a mezinárodní úmluvy Průmyslové regulace metodiky PT Podniková politika (směrnice, nařízení) 175

176 Výběr testera Penetrační testy Kritické rozhodnutí představující významné bezpečnostní riziko Penetrační tým a jeho zaměstnavatel dostanou veškeré informace o bezpečnostním stavu podnikového IS (security partner) PT neodhalí významná zranitelná místa Požadovaný cíl nebude dosažen v důsledku špatné nebo nedostatečné komunikace mezi zadavatelem a testerem PT může nechtěně spustit nežádoucí události a odezvy Citlivé informace mohou být vyzrazeny a zneužity ke skutečnému útoku 176

177 Penetrační testy Eliminace střetu zájmů (např. penetrační test neprovádí IT tým!) Projekt PT (rozsah, cíle, doba) je písemně zdokumentován včetně rolí a zodpovědnosti členů penetračního týmu Kvalita společnosti Reference, stabilita, Jaké SW nástroje má k disposici, podle jaké metodiky bude PT prováděn.. Kvalita týmu testerů (Tiger team) Spolehlivost Vysoká kvalifikace, dostatečná praxe 177

178 Penetrační testy Stanovení rozsahu, doby a způsobu PT Jednoznačné určení cílů a hranic (např. které počítače, které aplikace, jaká síťové zařízení, atd.) Test jednorázový nebo opakovaný/periodický v určeném časovém rozmezí. Kdy se test ukončí Po vypršení časového limitu Po úspěšném dokončení útoku/sekvence útoků Způsob PT rozsah vstupních informací, které metody jsou povoleny/zakázány, modifikace nebo destrukce napadených objektů ano/ne. 178

179 Penetrační testy Příklad stanovení rozsahu provádění PT 179

Bezpečnost IS. Základní bezpečnostní cíle

Bezpečnost IS. Základní bezpečnostní cíle Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu V Y H L Á Š K A Úřadu pro ochranu osobních údajů ze dne 3. října 2001 o upřesnění podmínek stanovených v 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu

Více

Bezpečnost informačních systémů

Bezpečnost informačních systémů Ing. Ludmila Kunderová 2011/2012 Okruhy modulu Bezpečnost IS Základní principy a pojmy bezpečnosti IS/ICT (informačních systémů/informačních technologií) Některé technologie pro implementaci informační

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0 D Ů V Ě Ř U J T E S I L N Ý M Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0 Petr Vácha Team Leader Security CCSP, CCSI# 25008, IronPort ICSP, ICSI petr.vacha@alef.com ALEF NULA, a.s.

Více

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Asymetrická kryptografie a elektronický podpis Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Asymetrická, symetrická a hybridní kryptografie Matematické problémy, na kterých

Více

Kybernetická bezpečnost

Kybernetická bezpečnost Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření

Více

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření D Ů V Ě Ř U J T E S I L N Ý M Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření Michal Zedníček Security consultant CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

Certifikační prováděcí směrnice

Certifikační prováděcí směrnice První certifikační autorita, a.s. Certifikační prováděcí směrnice (algoritmus RSA) Certifikační prováděcí směrnice (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační

Více

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20 ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Šifrová ochrana informací věk počítačů PS5-2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova

Více

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Šifrová ochrana informací věk počítačů PS5-2 1 Osnova šifrová ochrana využívající výpočetní techniku např. Feistelova šifra; symetrické a asymetrické šifry;

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Dopravní telematika Elektronický výběr poplatků Směrnice

Více

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015 Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti ISSS 2015 jitesar@cisco.com 14. dubna 2015 Kybernetický zákon a vyhlášky 2 Legislativa Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS A JEHO VLASTNOSTI Uplatnění elektronického podpisu a časového razítka Integrita Identifikace Nepopiratelnost

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

Každý písemný, obrazový, zvukový, elektronický nebo jiný záznam, ať již v podobě analogové či digitální, který vznikl z činnosti původce.

Každý písemný, obrazový, zvukový, elektronický nebo jiný záznam, ať již v podobě analogové či digitální, který vznikl z činnosti původce. 6.4 Slovník archiv původce dokument archiválie Zařízení podle Zákona 499/2004 Sb. o archivnictví a spisové službě a o změně některých zákonů, které slouží k ukládání archiválií a péči o ně. Každý, z jehož

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha Převzetí gesce nad problematikou kybernetické bezpečnosti bezpečnosti, jako

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz

Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz Internet a zdravotnická informatika ZS 2007/2008 Zoltán Szabó Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz č.dv.: : 504, 5.p Dnešní přednáškař Bezpečnost dat Virus, červ a trojský kůň Základní bezpečnostní

Více

Návrh VYHLÁŠKA. ze dne 2014

Návrh VYHLÁŠKA. ze dne 2014 Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE První certifikační autorita, a.s. ZPRÁVA PRO UŽIVATELE KVALIFIKOVANÁ ČASOVÁ RAZÍTKA Stupeň důvěrnosti: veřejný dokument Verze 3.5 Zpráva pro uživatele je veřejným dokumentem, který je vlastnictvím společnosti

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

KVALIFIKOVANÉ CERTIFIKÁTY

KVALIFIKOVANÉ CERTIFIKÁTY Ondřej Ševeček PM Windows Server GOPAS a.s. MCM: Directory Services MVP: Enterprise Security ondrej@sevecek.com www.sevecek.com KVALIFIKOVANÉ CERTIFIKÁTY Slovníček Česky veřejný / soukromý klíč otisk podepsat

Více

Seminář CyberSecurity II

Seminář CyberSecurity II Seminář CyberSecurity II AGENDA 1. Implementace ZKB 2. Organizační opatření 3. Technická opatření 2 Implementace ZKB Michal Zedníček Security Consultant ALEF NULA CÍLE ZKB 1. Formální cíl: soulad se ZKB

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA Verze 2.5 Podpis podepsáno elektronicky Podpis podepsáno elektronicky Datum Datum Garant dokumentu Ing. Miroslav Trávníček Schvalovatel Ing. Pavel Plachý Funkce vedoucí odd. vývoje QCA/VCA Funkce vedoucí

Více

Digitální podepisování pomocí asymetrické kryptografie

Digitální podepisování pomocí asymetrické kryptografie Úvod do kryptologie Digitální podepisování pomocí asymetrické kryptografie Pavel Novotný, 2010 Obsah prezentace 1. Definice podle zákona 2. Definice dalších pojmů 3. Princip digitálního podpisu 4.Vlastnosti

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy egovernment 20:10 Mikulov 2014 Václav Borovička NBÚ / NCKB Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti NBÚ ustaven gestorem

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti

Více

Komunikace mezi doménami s různou bezpečnostní klasifikací

Komunikace mezi doménami s různou bezpečnostní klasifikací Komunikace mezi doménami s různou bezpečnostní klasifikací HP ProtectTools a HP SecureSolutions Bezpečnostní seminář Multi-Level security Marta Vohnoutová Listopad 2013 Copyright 2013 Hewlett-Packard Development

Více

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81 Mgr. Jiří Malý duben 2014, PRAHA Gesce kybernetické bezpečnosti Usnesení vlády ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem

Více

dokumentaci Miloslav Špunda

dokumentaci Miloslav Špunda Možnosti elektronického podpisu ve zdravotnické dokumentaci Možnosti elektronického podpisu ve zdravotnické dokumentaci Miloslav Špunda Anotace Příspěvek se zabývá problematikou užití elektronického podpisu

Více

Jak efektivně ochránit Informix?

Jak efektivně ochránit Informix? Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Systém Přenos verze 3.0

Systém Přenos verze 3.0 Systém Přenos verze 3.0 (bezpečná komunikace a automatizované zpracování dat) CTlabs spol. s r.o. Pernštejnské Janovice 28, 593 01 Bystřice nad Pernštejnem, tel/fax.: 0505-551 011 www.ctlabs.cz info@ctlabs.cz

Více

Autentizace uživatelů

Autentizace uživatelů Autentizace uživatelů základní prvek ochrany sítí a systémů kromě povolování přístupu lze uživatele členit do skupin, nastavovat různá oprávnění apod. nejčastěji dvojicí jméno a heslo další varianty: jednorázová

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy PSP ČR, listopad 2014 SEMINÁŘ Zákon o kybernetické bezpečnosti a řízení bezpečnosti informačních systémů ve veřejné správě a ve zdravotnictví Václav

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.240.15 2003 Bankovnictví - Bezpečný přenos souborů (drobné obchody) ČSN ISO 15668 97 9120 Listopad Banking - Secure file transfer (retail) Banque - Transfert de fichier de

Více

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012 Prokazování dlouhodobé platnosti datových zpráv Jihlava, 31.1.2012 Informační systém datových schránek Aktuální data k 29.1. 2012 431 062 aktivních datových schránek 68 884 490 úspěšně odeslaných datových

Více

Certifikace pro výrobu čipové karty třetí stranou

Certifikace pro výrobu čipové karty třetí stranou Certifikace pro výrobu čipové karty třetí stranou Obsah: 1. Obsah 2. Seznam použitých zkratek 3. Úvod a cíl dokumentu 4. Certifikovaný dodavatel 5. Postup certifikace výroby BČK 6. Popis technologií 7.

Více

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Zákon o kybernetické bezpečnosti. Petr Nižnanský Zákon o kybernetické bezpečnosti Petr Nižnanský Zákon o kybernetické bezpečnosti Předkladatel zákona - NBÚ Účinnost od 1.1.2015 Být v souladu se zákonem do 1.1.2016 Co to vlastně je? Kritická infrastruktura

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu Czech Point Co je Czech Point? Podací Ověřovací Informační Národní Terminál, tedy Czech POINT je projektem, který by měl zredukovat přílišnou byrokracii ve vztahu občan veřejná správa. Czech POINT bude

Více

Správa přístupu PS3-2

Správa přístupu PS3-2 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-2 1 Osnova II základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; srovnání současných

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Elektronický podpis význam pro komunikaci. elektronickými prostředky MASARYKOVA UNIVERZITA V BRNĚ PRÁVNICKÁ FAKULTA Elektronický podpis význam pro komunikaci elektronickými prostředky (seminární práce) Lýdia Regéciová, UČO: 108551 Brno 2005 Úvod Snad každý z nás se v životě

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

Použití čipových karet v IT úřadu

Použití čipových karet v IT úřadu Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1 Použití bezkontaktních čipových karet Přístupové systémy

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006

Více

Akreditovaná certifikační autorita eidentity

Akreditovaná certifikační autorita eidentity Akreditovaná certifikační autorita eidentity ACAeID 35 Zpráva pro uživatele Verze: 1.2 Odpovídá: Ing. Jiří Hejl Datum: 21. 12. 2012 Utajení: Veřejný dokument eidentity a.s. Vinohradská 184,130 00 Praha

Více

Kybernetická bezpečnost III. Technická opatření

Kybernetická bezpečnost III. Technická opatření Reg. č. projektu: CZ 1.04/ 4.1.00/A3.00004 Kybernetická bezpečnost III. Technická opatření Pracovní sešit Materiál vznikl v rámci řešení projektu Vzdělávání v oblasti základních registrů a dalších kmenových

Více

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS uživatele PKI-PČS. SMĚRNICE Věc: Číselná řada: 6/2006 dat pro pracovníka PČS nebo externího uživatele PKI-PČS Ruší se interní předpis č.: Odborný garant: Ing. Antonín Pacák Datum vydání: 1. 2. 2006 Datum

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H : Ročník 2014 SBÍRKA ZÁKONŮ ČESKÁ REPUBLIKA Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H : 314. Nařízení vlády o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti

Více

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory Příloha č. 2 ke smlouvě Rozsah a podmínky provozní podpory Předmět smlouvy v části Provozní podpora zahrnuje zejména: A) Technickou, uživatelskou a administrativní správu a provozní podporu APV IS ROS

Více

Důvěryhodná výpočetní základna -DVZ

Důvěryhodná výpočetní základna -DVZ Důvěryhodná výpočetní základna -DVZ Petr Krůček, ICZ a. s. 12. 4. 2010, Hradec Králové 1 Důvěryhodná výpočetní základna -DVZ Bezpečná platforma budoucnosti Komplexní řešení zabezpečené výpočetní infrastruktury

Více

Technologie počítačových komunikací

Technologie počítačových komunikací Informatika 2 Technické prostředky počítačové techniky - 9 Technologie počítačových komunikací Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: středa 14 20 15 55 Spojení: e-mail: jan.skrbek@tul.cz

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Česká pošta, s.p. Certifikační autorita PostSignum

Česká pošta, s.p. Certifikační autorita PostSignum Česká pošta, s.p. Certifikační autorita PostSignum 6. 12. 2012 Ing. Miroslav Trávníček Služby certifikační autority Kvalifikované certifikáty komunikace s úřady státní správy Komerční certifikáty bezpečný

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

EURO ekonomický týdeník, číslo 17/2001

EURO ekonomický týdeník, číslo 17/2001 EURO ekonomický týdeník, číslo 17/2001 Elektronický podpis Nahradí nová technologie klasický vlastnoruční podpis na papíře nebo se jedná jen o prostředek k dalšímu rozvoji sítě Internet a mohutnému postupu

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více