Bezpe nostní audit e-business ení

Transkript

1 Vysoká kola ekonomická v Praze Fakulta informatiky a statistiky Katedra informa ních technologií Student : Veronika torková Vedoucí bakalá ské práce : Ing. Jan Karas Recenzent bakalá ské práce : Ing. Jind ich Hlavá TÉMA BAKALÁ SKÉ PRÁCE Bezpe nostní audit e-business ení rok : 2004

2 Prohlá ení Prohla uji, e jsem bakalá skou práci na téma Bezpe nostní audit e-business ení vypracovala samostatn a pou ila jen pramen, které cituji a uvádím v seznamu literatury. V Praze podpis 2

3 Cht la bych touto cestou pod kovat vedoucímu práce Ing. Janu Karasovi za cenné rady a podporu. 3

4 1 ABSTRAKT Tato studie se zabývá bezpe nostním auditem e-business ení. Jejím cílem je uvést tená e do tohoto komplexního tématu.téma je postupn p edstavováno ve ty ech hlavních vzájemn souvisejících ástech, kterými jsou: význam bezpe nosti pro e-business ení, analýza rizik a bezpe nostní audit, automatizované nástroje bezpe nostního auditu, mezinárodní standardy pro informa ní bezpe nost a výb r z eské legislativy vztahující se k informa ní bezpe nosti. Úvodní kapitola p edstavuje pojetí e-business, základní komponenty e-business ení a význam bezpe nosti v prost edí elektronického podnikání. Následuje bezpe nostní audit, který se skládá ze dvou hlavních ástí. První je analýza rizik, která poskytuje vstupní informace pro uskute ní bezpe nostního auditu, p edev ím po adovaný rozsah v jakém má být bezpe nostní audit proveden. Audit sám o sob je pojat v této studii jako jednorázový audit, který provede d kladné zhodnocení úrovn zabezpe ení v organizaci, realizující e-business ení. Zvlá tní d raz le í na auditu web aplikací a server, proto e ten je pova ován autorkou za hlavní rozdíl mezi klasickým bezpe nostním auditem a bezpe nostním auditem e-business ení. Proto e bezpe nostní audit tohoto typu není myslitelný bez nasazení automatizovaných nástroj, v nuje se dal í kapitola stru nému p ehledu n kterých automatizovaných program. Software je len n podle základních komponent e-business ení, vymezených v úvodní kapitole studie. Záv re ná kapitola je nována p ehledu mezinárodních standard a eských právních norem, které souvisí s informa ní bezpe ností. D vodem výb ru je po adavek, e v pr hu auditu by m l také být prozkoumána shoda s t mito normami a standardy. 4

5 2 ABSTRACT The purpose of this paper is to provide the introduction to a security audit conducted in the specific environment of e-business solutions. The aim is to describe the complex view of such an issue as the security audit surely is. The guidance contained in this paper is organized into four main interconected chapters, gradually introducing the topic to a reader. These are: importance of e-business security, risk analysis and security audit itself, automated auditing tools, international standards and introduction into Czech law concerning the information security. Starting with the introduction of the e-business solution, e-business components and specific requirements for the security being ensured in this environment, it then continues with the security audit. The audit itself consists of two steps the risk analysis, which is a fundamental starting point for a security audit because of providing a scope which should be taken by a security audit. The audit itself is then understood in this paper as a one-off audit which undertakes a thorough assessment of the security level in an enterprise conducting e-business solution. The special focus lies at the web-application and web-servers security because this is understood by the author to be the most important difference between a classic IT security audit and e-business security audit. As the security audit conducted in an e-business environment would not be possible without utilization of automated software tools, provides the following chapter a brief overview of auditing software. This is organized into areas corresponding with the fundamental e-business components, as introduced in the initial chapter. The international standards and national legislation compliance assessment is conducted within the security audit, therefore the elementary standards and Czech acts of law are introduced in the concluding chapter. 5

6 3 OBSAH 1 Abstrakt Abstract Obsah Seznam tabulek Seznam obrázk Úvod E-business ení a význam e-bezpe nosti Co je e-business ení Komponenty e-business ení Význam bezpe nosti v e-business Základní po adavky bezpe nosti e-business ení Nástroje bezpe nosti e-business Bezpe nostní audit Analýza a ízení rizik Metodiky pro analýzu a ízení rizik Metodika CRAMM Dal í metodiky Bezpe nostní audit Postup p i realizaci BA Výstup BA Bezpe nostní audit web aplikací a server Nástroje pro automatizovaný bezpe nostní audit Audit opera ních systém AuditPro (MS Windows) SMB Auditing Tool (NetBIOS) Sunbelt Network Security Inspector AuditPro (Unix) Audit web server a aplikací Nixu IISSecurityAudit AppScann Databázový audit ApexSQL Log Pervasive AuditMaster AppDetective TM

7 7.4 Audit sít a komunika ních kanál Retina Network Scanner SAINT Scanning Engine Standardy a právní po adavky ISO/IEC Code of Practice for Information Security Management BS 7799 Information Security Management Standard ISO/IEC Common Criteria for IT Security Evaluation ISO/IEC Guidelines for the Management of IT Security eské právní normy vztahující se k informa ní bezpe nosti Obecná právní úprava ochrany osob a obchodního tajemství Zákon.101/2000 Sb. o ochran osobních údaj Zákon.227/2000 Sb. o elektronickém podpisu Záv r Literatura Terminologický slovník ílohy SEZNAM TABULEK Tab. 1 Po et nahlá ených bezpe nostních událostí Tab. 2 Po et nahlá ených bezpe nostních nedostatk SEZNAM OBRÁZK Obr. 1 Zapojení komponent e-business ení Obr. 2 Postup analýzy a ízení rizik Obr. 3 P íklad zaznamenání záv z analýzy souladu s ISO/IEC 17799:2000 (CRAMM) Obr. 4 Grafický výstup analýzy dopad na innost organizace Obr. 5 Schéma zavád ní e-business ení a vstup bezpe nostního auditu Obr. 6 Jednotlivé kroky bezpe nostního auditu

8 4 ÚVOD Rozvoj Internetu nabral za posledních n kolik let a neuv itelné tempo. Kdo by si p ed pár lety edstavoval, e se tato komunika ní cesta a médium v jednom infiltruje zásadním zp sobem do ivota ka dého z nás. e se nap. v tehdej í dob v R dostane z univerzitních a výzkumných center do domácností, z drahé zále itosti pro firmy se stane tém automatický po adavek v ech ivatel kabelových televizí apod.stejn jak Internet p il ot es splasknutí dot-com ílenství na konci 90. let minulého století, stejn tak nyní elí nebezpe í, které zde bylo od doby vzniku prvních po íta ových systém a sítí, které ale narostlo stejn tak, jako se Internet roz il. Tím je internetová bezpe nost, spí by se cht lo íci nebezpe nost. Na e závislost na Internetu a technologickém rozvoji se stále zv uje. Nedostate nost zabezpe ení starých i nových technologií a zárove na e neznalost t chto hrozeb a jejich mo ných d sledk, které se u mnoho let projevují, nyní jen nabývají na objemu a mocnosti. asto jim nev nujeme dostate nou pozornost a tak se vytvá í ideální prost edí pro zasazení smrtelného úderu - a z pouhé neznalosti nebo úmysln - jakémukoliv po íta ovému systému z libovolného místa na sv. Otázka, která se nabízí, je, komu by takový úder u kodil nejvíce? Firmám podnikajícím na Internetu, nám jako to jejich zákazník m a b ným u ivatel m, vládám, výzkumným a vzd lávacím centr m, armádám? Nebo spí e v em, kdo vyu ívají tuto komunika ní superdálnici? Odpov není jednoduchá a její hledání není prvoplánovým cílem této studie, by je touto situací významn ovlivn na. Zde se budeme zabývat zp soby ochrany firem a organizací podnikajících na Internetu v rámci tzv. B2B nebo B2C komerce p ed podobným ne ádoucím útokem na po íta ové systémy, které zaji ují jejich podnikatelskou innost. Roz ení, pom rn snadná, levná a zárove ve svém principu nebezpe ná implementace Internetu do podnikových aktivit umo nila mnoha firmám vstoupit na celosv tový, globální tedy vzájemn propojený trh. Zp sobem ochrany myslíme zaji ní bezpe nosti pomocí revize systém p ipojených do Internetu, které umo ují takový druh obchodní innosti. Revizí systému, tedy hloubkovou kontrolou, z hlediska bezpe nosti budeme rozum t bezpe nostní audit. V této studii se budeme novat p edev ím jednorázovému bezpe nostnímu auditu na jednom lánku celého systému tvo ícího e-business ení, tak jak je vymezen dále v textu. Systémový bezpe nostní audit, resp. ný bezpe nostní audit, zde chápeme jako integrální sou ást bezpe nostních opat ení uplat ovaných v organizaci, které poskytují data pro jednorázový bezpe nostní audit. tená jist chápe, e zde pojednáme o tématu komplexním, jen v sob zahrnuje mnoho oblastí s nimi se postupn seznámíme. Pro ujasn ní výchozí pozice si na za átku vymezíme, co chápeme v této studii, ale vlastn i obecn, co je vnímáno odbornou ve ejností, jako e-business ení. Jakou roli v n m hrají jednotlivé komponenty z hlediska technologického a jaká je úloha ebezpe nosti. Na tuto kapitolu navazuje analýza rizik, která identifikuje aktiva e-business vy adující ochranu. Pro kvalitní zabezpe ení je v dy nutné v t, co máme chránit, aby tato ochrana byla smysluplná a ne samoú elná. Analýza rizik nám proto osv tlí, jak zjistit, která aktiva vy adují ochranu, do jaké míry, jaká rizika mohou hrozit, kdo resp. co je p edstavuje a jak dále ke zji ným skute nostem p istupovat. Bezpe nostní audit, který následuje po analýze rizik, provede kontrolu nad získanými daty v souladu s technickými po adavky, s po adavky mezinárodních standard a právní úpravy zaji ování informa ní bezpe nosti. Zam íme se p edev ím na specifické stránky e-business ení, které dodávají prvek odli nosti od klasického bezpe nostního auditu informa ního systému. Audit sám o sob by byl nemyslitelný, z asových a technických d vod, bez nasazení automatizovaných auditních nástroj. Proto se následn zam íme na stru ný p ehled aplikací. Ty jsou schopny za pomoci srovnání se seznamy známých bezpe nostních nedostatk jednotlivých komponent e-business ení, p ípadn s vyu itím heuristických analýz a um lé inteligence, rychle a efektivn ov it a zkontrolovat úrove zabezpe ení a aktuálnost ochranných mechanism systému. Auditní nástroje jsou rozd leny do skupin podle jednotlivých ástí e-business ení. 8

9 Záv re ná kapitola v novaná mezinárodním standard m vyzdvihuje význam jejich zapojení v pr hu auditu. Ty nabývají stále v í d le itosti, proto e standardy jsou vhodným nezávislým ítkem pro kontrolu souladu bezpe nostních politik a procedur, zavedených ve firm. Zárove dodávají po adovanou objektivitu celému bezpe nostnímu auditu, kdy auditor, resp. tým auditor, e op ít sv j záv re ný výrok nejen o své vlastní odborné znalosti, ale i o know-how expert z oboru, kte í se na p íprav standard podíleli. Legislativní po adavky si budeme demonstrovat na vybraných zákonech R, jmenovit na zákonu o ochran osobních údaj a zákonu o elektronickém podpisu. Mezi cíle této studie a hlavní p edpokládané p ínosy k danému tématu pat í: úvod do problematiky bezpe nostního auditu e-business ení v ir ích souvislostech, srovnání klasického bezpe nostního auditu a e-bezpe nostního auditu, poskytnutí p ehledu n kterých d le itých mezinárodních standard a jejich zam ení, stru ný vý et sou asných automatizovaných auditních nástroj, které mohou být vyu ity v pr hu bezpe nostního auditu. 9

10 5 E-BUSINESS ENÍ A VÝZNAM E-BEZPE NOSTI E-business ení je pojmem sou asného obchodního sv ta sklo ovaným ve v ech pádech. Je prosazováno jak v pr myslových odv tvích, tak i v oblasti poskytování slu eb. E-business se prakticky stal synonymem pokrokového smý lení a správné tr ní orientace firemních management. Samoz ejm se nabízí otázka: Pro? V sou asné dob se odhaduje, e tr by B2C se pohybují mezi 1% a 2 % celkových maloobchodní tr eb (v roce 2002 tvo ily ve Spojených státech finan ní p íjem ve vý i 93 mld. $, tedy se podílely na maloobchodu p ibli 1,5% 1 ). Tedy mezi d vody zjevn pat í nap. dopln ní stávajících trh, mo nost zvý ení tr eb a tím i zisku, které podle p edpoklad mají velký potenciál k r stu, oslovení budoucích zákazník, které by bez Internetu bylo jen t ko realizovatelné, nenasycený trh, resp. trh dopl ující klasický prodej. Proto e firma, která neroste je odsouzena k zániku. Pro vedení firem tedy potenciální ínosy e-business ení zní jako rajská hudba. Jak velké jsou pak mo nosti B2B, které p edcházelo samotnému B2C? Podle odhad 2 byly v roce 2003 p inejmen ím desetkrát v í ne B2C. Z tohoto d vodu a dal ích, jako jsou: globálnost trhu, místa, kde i nevelké firmy mají anci na finan zajímavý úsp ch, p edpovídané úspory náklad atd., je ji n kolik let elektronický obchod atraktivní a p ímo vybízí k zamy lení, jestli má firma stat stranou a jen p ihlí et, a nebo se odvá vrhnout do sv ta obchodu, který tém nezná mezí. P esto e elektronický obchod, tak jak je dále vymezen (vým na informací, transakce a operace realizované pomocí po íta ových sítí a v elektronickém formátu), existuje v této podob ji tém ty icet let (na platform EDI), o samotném e-businessu se za alo hovo it a s masivním nasazováním Internetu jako to komunika ní platformy. Mo nosti globálního trhu, který e-business otevírá v em ú astník m, rostou s ka dým dnem, stejn tak se zvy uje dosah Internetu a po et jeho u ivatel. Internet zde hraje roli základního komunika ního média, jen svými pozitivy roz eností a relativn nízkými implementa ními náklady umo uje rychlé a p ijatelné propojení mezi obchodními partnery. Samoz ejm vyvstává na mysli my lenka o bezpe nosti e-business ení, postaveném na zapojení internetových technologií. Prvotním impulsem pro zkoumání bezpe nosti v rámci elektronického obchodu je toti vým na informací mezi objekty zapojenými do e-business ení. Implementace Internetu, jako komunika ní platformy, sebou p iná í rizika, stejn významná jako jsou pozitiva, o kterých se zmíníme v podkapitole Význam bezpe nosti v e-business. 5.1 CO JE E-BUSINESS ENÍ Pod pojem e-business je mo né obecn zahrnout jak p ímý obchod mezi firmami a kone nými spot ebiteli (B2C Business-To-Consumer), tak mezi firmami samotnými (B2B Business-To- Business), kdy zákazníky, resp. spot ebiteli produkt jsou firmy. Hlavní rozdíly mezi B2B a B2C lze nap. spat ovat v objemech nákup /prodej /transakcí, finan ní hodnot t chto obchod nebo pom rn pevn stanovených po adavcích na v asné doru ení, p esnost. Dále v textu budeme pojem e-business pou ívat ve smyslu zast ujícího pojmu pro B2C a B2B elektronický obchod. 1 [KOZ] 2 [LEE] 10

11 Pokud chceme charakterizovat e-business, je vhodné pou ít vymezení pomocí aktivit, které pod tento pojem spadají. Mezi klí ové aktivity pat í: elektronická tr (z ízená prodejci, zprost edkovateli nebo nákup ími; horizontální a vertikální) o vznikla na základ stejné architektury pou ité pro B2C, ale mají jiný obsah (pr myslové zbo í, slu by firmám), o velké mno ství vertikálních e-tr (tak nazývaných burzy, proto e ve v in ípad se obchod ú astní velké mno ství prodejc a kupujících), o velké nákupní firmy budují svá vlastní e-tr, aby mohly manipulovat se svými nabídkami a mohly propojit nákupní proces se svými virtuáln internalizovanými e-tr ti; on-line podnikové aplikace (ERP systémy); elektronické systémy pro ízení nákup o tyto systémy podporují management vnitrofiremních nákup a jejich integraci s externími e-tr ti; vývoj a p echod od EDI platformy na Internet o zabezpe ené extranety jsou stále populárn í jejich implementa ní a provozní náklady jsou podstatn ni í; systémy ízení dodavatelských et zc o hlavním d vodem pro spolupráci tohoto typu je sni ování kapacit, inventá a efektivní sdílení informací mezi sp ízn nými stranami, o velké maloobchodní firmy zp ístup ují dodavatel m své datové sklady p es privátní elektronické centrály/centra na Internetu, o umo ují dodávky zbo í/materiálu práv v as (JIT just-in-time); sdílené databáze a virtuální organizace o prodejci mohou s velkou p esností sledovat chování on-line zákazník a ukládat tyto informace do databází, o vzrostla popularita získávání informací z t chto databází pro ízení vztah se zákazníky, tzv. datamining. Takto získané informace umo ují snadn ji a rychleji identifikovat potenciální zákazníky, nákupní zvyklosti stávajících zákazníku a podle toho nap. upravit prodejní strategii; obchod mezi agenty-kupci a agenty-prodejci (agent based commerce) o pro sní ení transak ního zatí ení mezi nákupními a prodejními agenty se stále zvy uje nasazení softwarových agent, které vedou k dal ímu vývojovému stupni elektronického obchodu; integrace XML standard s EDI platformou a softwarovými agenty; online katalogy zbo í a slu eb; virtuální vzd lávání a kurzy atd [LEE] 11

12 Souhrnn m eme e-business ení chápat jako technologické a aplika ní ení, které umo ní firm realizovat alespo jednu z vý e uvedených aktivit. P íkladem m e být propojení firemního ERP systému s externím nákupním systémem dodavatelské firmy pro zaji ní automatizovaných objednávek zbo í na sklad. 5.2 KOMPONENTY E-BUSINESS ENÍ Zavád ní a provozování e-business ení zahrnuje integraci aplikací p esahující hranice organizace/firmy, nap. mezi obchodními partnery, zp ístupn ní slu eb a produkt p es webové rozhraní pro koncové u ivatele a mnoho dal ího. Realizace slo itých obchodních proces pak vy aduje ucelenou integraci a spolupráci velkého po tu r zných aplikací 4. Jednu z mo ností technologické podpory t chto aplikací a podnikových proces, zaji ovanou základními komponentami e-business ení, schématicky zobrazuje následující obrázek. Router Firma 1 - LAN DMZ Firma 2 LAN PC 1 PC 2 PC n Aplikacni server Databazovy server Databaze Web server Internet Firewall IDS Sun Solaris server Windows server Firewall DMZ Firewall IDS Web server Databázový server PC 1 PC 2 PC n Aplikacni servery Router IDS Databáze Linux server Sun Solaris Server Obr. 1 Zapojení komponent e-business ení Firma 1 p edstavuje malou a st ední firmu, která má e-business ení zapojené v rámci místní sít (LAN). Pro p ístup zam stnanc m k aplika nímu serveru a dále do databáze vyu ívá tzv. silné klienty (fat clients) nebo integra ní brokery. Celá sí se nachází v DMZ (DeMilitarized Zone), p ístup k e-business komponentám zven í prochází p es zabezpe ený firewall. Firma 2 je velkou firmou, která má celé e-business ení umíst né na r zných místech (nap. aby se zajistila stability systému p i výpadcích dodávky elektrického proudu) v DMZ (tj. webové a aplika ní servery, databázové servery, mail servery atd.). Komunikace mezi interní sítí LAN a DMZ se uskute uje p es bezpe nou firewall, stejn jako jsou p es firewall a router (logické nebo fyzické prvky sítí) sm rována ve kerá data, jak ven, tak i dovnit systému. 4 [FEU2] 12

13 V rámci obou ení se vyskytuje systém detekce pr niku (IDS Intrusion Detection System), který sleduje d ní v rámci systému (resp. subsystém ), zda-li nejsou poru ovaná nastavená pravidla a v p ípad zji ní neobvyklé aktivity doká e varovat správu systém. E-business ení se skládá z 1) aplika ní architektury a 2) technické infrastruktury Technická architektura je asto základním faktorem determinujícím úsp ch nebo selhání e- business ení. B, p i návrhu e-business systému, se projektuje aplika ní architektura a technická infrastruktura s ohledem na po adavky na dostupnost, robustnost/odolnost, výkon, bezpe nost, transak ní integritu, spolehlivost, kálovatelnost a otev enost systému. Jimi se pak ídí výb r konkrétních ení. Revize jednotlivých prvk systému, které utvá ejí e- business ení, jsou sou ástí bezpe nostního auditu. Proto si zde popí eme podrobn ji základní komponenty a nej ast ji nasazovaná ení. Opera ní systém Výb r opera ního systému má významný vliv p i designu e-business ení. Volba konkrétního OS toti ovlivní celou dal í aplika ní architekturu. Z velkého mno ství dostupných OS, z nich mnohé mají vícemén marginální význam, jsou nej ast ji nasazované OS typu Unix/Linux nebo MS Windows, p íp. OS/400 od IBM. Jako reprezentanty OS typu Unix/Linux m eme uvést Unix Sun Solaris, HP-UX, IBM AIX, Linux RedHat, Suse. Webové a aplika ní servery Webové a aplika ní servery jsou jedním ze základních komunika ních prost edk firem se zákazníky nap. informují, zprost edkují objednávky, dodávky produkt (pokud jde o zbo í a slu by v elektronické form ), elektronické platby a jejich prost ednictvím je zaji ována podpora zákazník. Web server je tvá í e-business ení, tedy tím, co u ivatel vidí. Jeho úkolem je zprost edkovat enos dat mezi klientským browserem a aplika ním/databázovým serverem. Je vstupní bránou do celého systému, tedy padne-li pod p ímým útokem web server, je vysoká pravd podobnost, e se hacker dostane dál do systému bez v ích problém. Aplika ní server obsahuje aplikace, které zaji ují p íslu né slu by u ivatel m, je zde implementována business logika (nap. akceptace objednávek, realizace on-line plateb atd.), a na této úrovni se sestavuje prezenta ní vrstva, dále zobrazovaná web serverem. Poskytuje základní strukturu, která podporuje pot ebné technologie (J2EE,.NET). Zárove zaji uje komunika ní kanály pro integraci s interními systémy (nap. databázové servery). Pro u ivatele zdánliv 13

14 neviditelná vrstva e-business ení, ale díky tomu, e obsahuje celou logiku ení hraje velkou roli p i zaji ování funk nosti systému. Sou asn nasazované webové a aplika ní servery, tedy 2 v1 ení, p edstavují dva servery ící na obou nejroz en ích platformách (Unix/Linux nebo MS Windows). Server Apache (v zných distribucích má podporu v ech hlavních OS tedy Unix, Linux i Windows). Server IIS je pouze pro MS Windows. Jako reprezentanty si m eme uvést: Apache Tomcat, Oracle Application Server 9i, Sun One Application Server 7 (zam eno na EAI), WebSphere (IBM), BEA WebLogic, iplanet (Sun) - v ude je frameworkem J2EE. IIS v.6 od verze 6 je hlavním frameworkem.net. Databázové servery Databáze jsou pam tí e-business uchovávají data o zbo í, obchodních transakcích (nap. objednávkách, dodávkách a platbách), zákaznících (jejich nákupní historie), klientech (jim poskytovaných slu eb), zam stnancích firmy, obchodních partnerech (dodavatelé, odb ratelé) atd. Výb r vhodného databázové ení je dal ím faktorem ovliv ujícím výkon celého e-business ení rychlost zpracování dotaz nad databází m e mít kritický význam p i volb konkrétního databázového systému. Producent je op t více, zde si uvedeme nejvýznamn í zástupce. Oracle, IBM DB2 (nejv í) pro Unix i MS Windows, Informix, Sybase, SAP DB (st ední) - v e pro MS Windows i Unix, MS SQL server (ve v ech kategoriích) - jen pro MS Windows. Sít a komunika ní kanály Sít tvo í páte e-business ení, proto e zaji ují fyzický p enos dat. Krom samotných hardware prvk (jako jsou kabely, huby, switche atd.) zde hrají významnou roli logické prvky - firewally, routery, proxy servery, brány (gateways). Tyto logické prvky se podstatn podílejí na zaji ování bezpe nosti, proto je kontrola sítí ned litelnou sou ástí kvalitního bezpe nostního auditu. 5.3 VÝZNAM BEZPE NOSTI V E-BUSINESS Vzr stající závislost na informacích, informa ních systémech a komunikacích, které doru ují tyto informace; rozsah a náklady sou asných stejn jako budoucích investic do informací; a potenciál technologií dramaticky m nit organizace a obchodní praktiky, vytvá í nové p íle itosti pro firmy a sni uje náklady 5. V ude je ov em nutné brát v úvahu bezpe nost, resp. její dopad na zavád ná ení. Bezpe nost je nyní pokládána nejen za konkuren ní výhodu e-business ení, ale zárove je otázkou d ry obchodních partner a zákazník v danou firmu. Cílem informa ní bezpe nosti je ochrana zájm t ch, kte í se spoléhají na informace, a zabezpe ení informa ních systém a komunikací, které doru ují informace, p ed po kozením plynoucím ze selhání dostupnosti, utajení a integrity. Organizace proto musí ohodnotit rizika pro informa ní systém. Ta musí být uva ována v kontextu mo ných hrozeb pro organizaci, pravd podobnosti jejich uskute ní a dopad jejich realizace 6. E-business nabízí nesmírné mo nosti, které má p ed sebou tém ka dá firma. Pokud se rozhodne pro pomyslnou cestu sv tem e-businessu, nesmí zapomenout, e krom nápadu, dob e naplánované cesty (firemní strategie a plánu), rozvr ení zdroj (plánování výrobních/pracovních 5 [DOU1] 6 [DOU1] 14

15 zdroj ), pot ebuje i zaji ní co nejv ího mo ného a p itom efektivního stupn bezpe nosti. Pot ebuje mít velmi dobrou p edstavu o rizicích, která jí na cest hrozí a jejich d sledcích (plán ízení rizik) a také mít v záloze ení pro p ípad havárie (plán pro ení nouzových situací), ale edev ím dob e zpracované postupy, aby k bezpe nostním událostem, jak v d sledku vn ích, tak i vnit ních událostí nedocházelo (bezpe nostní politiku). 7 Proto, kdykoliv mluvíme o e-business ení, je nutné uva ovat bezpe nost (transakcí, p enosu dat, komunikace, propojených IS atd.) jako základní kámen, prakticky jeden z nejd le it ích prvk, bez kterého není úsp ný e-business myslitelný. Pokud je bezpe nost ohro ena, v závislosti na intenzit ohro ení existuje pravd podobnost korelující s mírou rizika, e bude po kozeno dobré jméno firmy, b ný provoz nutný pro zaji ní chodu firmy, nebo existence podniku na trhu v bec. íve byla bezpe nost managementem firem asto vnímána jako vynucený náklad, který prodra oval celkový provoz firmy. Dnes je v inou prozíravých firem chápána jako neodmyslitelná sou ást ízení firmy, která m e zvý it ance na dosa ení úsp chu, dokonce m e znamenat i konkuren ní výhodu. Pro firmu, která vsadila na e-business ení, jsou informace, které si vym uje se svými obchodními partnery, zákazníky, orgány státní správy atd., jedním z nejd le it ích aktiv. Ty se spoléhají na bezpe nou vzájemnou komunikaci, která se zakládá na d e podlo ené spolehlivými komunika ními prost edky, bezpe nými komunika ními cestami, funk ními aplikacemi, zabezpe enými databázemi a zodpov dným jednáním zapojených ú astník e- businessu. Jak jsme ji uvedli, práv proto e Internet je v sou asné dob nej ast ji vyu ívanou komunika ní platformou e-business ení, nelze bezpe nost IS a komunikaci p es Internet pova ovat za dostate zabezpe enou. Toto si m eme demostrovat na jednoduchém p íkladu: v okam iku, kdy je zpráva vyslána z relativního bezpe í firemní sít, je v základní form nechrán na a tedy odchytitelná a itelná ve v ech bodech, kterými prochází, ne dosáhne svého cíle. I v p ípad, e je chrán na nap. za ifrováním, není mo né zajistit, e nebude odchycena a e ifrovací algoritmus nebude prolomen a obsah zprávy zji n a zneu it proti firemním zájm m. V poslední dob se zárove z eteln ukazuje, e zatímco po et u ivatel p ipojených k Internetu nar stá, stejn jako slo itost technologií, pov domí u ivatel o bezpe nostních rizicích se zvy uje eobecn zanedbateln. Podle statistik CERT/CC nar stá po et bezpe nostních událostí od roku 1998 n kdy a o více jak sto procent ro. A p itom se zmi ují pouze o takových, které byly nahlá ené. Zajímavé je, e princip, na kterém drtivá v ina sou asných (a pravd podobn i budoucích) útok funguje, se p íli nem ní a vyu ívá stále stejných chybných krok u ivatel systém a systémových, aplika ních a bezpe nostních chyb, které nejsou dostate o et eny a as odstran ny. Následující tabulky shrnují n které údaje: Rok Po et Tab. 1 Po et nahlá ených bezpe nostních událostí 8 7 Jist není bez zajímavosti, e (podle odhadu Gartner Group) p vodci 70% bezpe nostních událostí, které bu zp sobí firm nep íjemnosti nebo dokonce finan ní ztráty, jsou vnit ní u ivatelé po íta ového systému, tedy nej ast ji zam stnanci firmy Number of incidents reported 15

16 Rok Po et Tab. 2 Po et nahlá ených bezpe nostních nedostatk 9 Pro je otázka bezpe nosti v e-business tak d le itá? Po adavek na zaji ní bezpe nosti vyplývá z principu samotných základních inností e-businessu: z efektivní vzájemné vým ny zpráv, z realizace transakcí a operací, ze vzdálených p ístup do databází a systém smluvn zavázaných t etích stran. Z toho vyplývá, e bezpe nost je pro e-business nezbytn nutnou podmínkou dobrého chodu firmy. Za nejd le it í m eme pova ovat ochranu komunika ních cest, zaji ní integrity zpráv a nepopiratelnosti u in ných transakcí/operací, ochranu p ijatých, zpracovaných a ulo ených informací, chrán ný a odstín ný p ístup jen do ur itých ástí systému pro r zné skupiny u ivatel, autentizaci a autorizaci u ivatel oprávn ných pro vstup a práci v systému. Podle Smejkala a Raise bezpe nost IS chápeme jako souhrn bezpe nosti automatizované i neautomatizované ásti IS. V této studii se zabýváme p evá automatizovanou ástí IS, pro úplnost uvedeme v echny slo ky bezpe nosti IS, jak je auto i zmi ují. Bezpe nost IS organizace sestává z následujících ástí: personální bezpe nosti jedná se o soubor opat ení, jeho cílem je, povolit p ístup k ur itým informacím a k nakládání s nimi pouze pov ené osob ; sou ástí by m la zárove ochrana této osoby, administrativní bezpe nosti jedná se o soubor opat ení, jeho cílem je ochrana t chto informací ji p i jejich tvorb, p íjmu, zpracování, evidenci, p eprav, ukládání, vy azování, skartaci a archivaci, p ípadn i jiné manipulaci, objektové bezpe nosti jedná se o soubor opat ení, jeho cílem je zabránit nepovolané osob v p ístupu do objekt nebo prostor, nebo zabránit po kození, znehodnocení, zni ení nebo ohro ení informací a systému, hardwarové bezpe nosti jedná se o soubor opat ení, která mají zabránit úmyslnému i neúmyslnému fyzickému po kození, zni ení nebo zcizení technických prost edk zaji ujících chod systému, softwarové bezpe nosti jedná se o soubor opat ení, která mají zabránit úmyslnému i neúmyslnému po kození, zni ení nebo zcizení softwarového vybavení (tj. programových prost edk ), které zaji uje funk nost systému, datové bezpe nosti jedná se o soubor opat ení, která mají zajistit integritu dat a chránit je p ed nepovolanými u ivateli, Vulnerabilities reported 16

17 komunika ní bezpe nosti jedná se o soubor opat ení, která mají zajistit ochranu komunika ních kanál (nejen cest do Internetu, ale i soukromých datových sítí (VPN), telefonních, faxových linek apod.) 10. Rozdíl mezi bezpe ností klasického IS a e-business bezpe ností je, e první z nich se zam uje na to, co je uvnit organizace a p edev ím na ochranu firemních aktiv dat v maximální mo né mí e. Oproti tomu je cílem e-business bezpe nost navázat, vyu ívat a udr et kontakt s ostatními astníky trhu, samoz ejm v nejvý e bezpe né mí e, p es dostupné a zabezpe ené komunika ní prost edky. Otázkou, která se nabízí, je, kdy se má za ít o bezpe nosti uva ovat a z eho vycházet. Pokud chce firma obstát v náro ném konkuren ním prost edí a dostát svým povinnostem a závazk m, které jí vyplývají nap. ze zákona (firma nakládá s utajovanými skute nostmi), musí být bezpe nost (slovn formulována a vyjád ena v bezpe nostní politice) bezpodmíne sou ástí firemní strategie. Za výchozí bod, který m e být dobrým startem nastavení kvalitní bezpe nostní politiky, je vhodné a mezinárodními standardy doporu ované vyu ít analýzu rizik. Té se budeme novat v následující kapitole Základní po adavky bezpe nosti e-business ení které prvky bezpe nosti klasického IS jsou mnohonásobn výrazn í, uva ují-li se v kontextu e-business. Jejich význam nar stá s rostoucím mno stvím rizik. Samotné výdaje na bezpe nost by ov em m ly být v rovnováze s hodnotou firemních aktiv, které mají být chrán ny. Tím se budeme zabývat dále v ásti v nované analýze rizik. Za základní prvky bezpe nosti e-business lze z obecného hlediska pova ovat: identifikaci (rozpoznání entity systémem, na základ ur itého identifikátoru, který je spojen s ur itou osobou, reprezentuje jeho identitu) a autentizaci (ov ení proklamované identity subjektu), autorizaci, integritu dat obsa ených v systému a integritu systém samotných, rnost (stupe utajení, informace je dostupná pouze u ivatel m s povoleným a oprávn ným p ístupem) a dostupnost (v inou 24 hodin 7 dní v týdnu), nepopiratelnost provedených operací/transakcí (non-repudiation musí být zaji né prost edky o potvrzení provedení ur ité operace), pravidelné záplatování komponent (server, aplikací, databází atd.), zabezpe ený a ádn nastavený p ístup u ivatel (osob i systém ) ke komponentám, nastavenou politiku nakládání s daty v systémech a dal í Nástroje bezpe nosti e-business Z povahy e-business vyplývá, e hlavní d raz p i zkoumání e-bezpe nosti le í na komunika ních kanálech mezi zú astn nými stranami, firemních sítích a aplika ních serverech to v e v závislosti na pou itém e-business modelu. Bezpe nostní po adavky lze té odvodit z trend, které se v poslední dob v B2B objevují. Za hlavní reprezentanty t chto zm n je mo né pova ovat stále ast í implementace webových slu eb (web services), datovou a aplika ní integraci. 10 [SME] 17

18 Nástroje pro zaji ní e-business bezpe nosti a vý e uvedených po adavk m eme podle Bassanesové a Titteringtona 11 rozd lit do ty ech kategorií podle oblastí e-bezpe nosti, kterou mají podporovat. D líme je na: nástroje p ístupové bezpe nosti ízení u ivatelské autentizace a autorizace, ivatelské identifikace (v etn vyu ívání tzv. smart cards, identifikace na základ biometrických m ení a heslo/pin generujících klí ), ízení u ivatelských skupin a práv jim p id lených, nástroje komunika ní bezpe nosti ifrování zpráv a virtuální soukromé sít, tzv. VPNs (Virtual Private Networks), nástroje obsahové bezpe nosti filtrování obsahu s cílem sní it ne ádoucí obsah webových stránek, soubor, databází a komunikace; za ifrované databáze a souborových prostor ; virová detekce, nástroje správy bezpe nosti zhodnocení bezpe nosti; detekce pr niku; ohodnocení zranitelných míst systému; podpora pro vývoj a zavád ní bezpe nostních politik. Záv r V této kapitole jsme se seznámili se sou asným pojetím e-business ení, p íklady n kterých aktivit, které spadají do oblasti e-business (nap. e-tr, sdílení databází atd.). Dále jsme identifikovali základní komponenty, které jsou nezbytn nutné pro vytvo ení a provozování e- business ení a uvedli jsme si p íklady nej ast ji nasazovaných systém. Zárove jsme vymezili základní po adavky na zaji ování e-bezpe nosti, jako jsou nap. integrita dat, ízení p ístupu ke komponentám a autorizace u ivatel e-business ení. Na záv r jsme obecn vymezili nástroje pro zaji ování po adavk e-bezpe nosti. 11 [BASS] 18

19 6 BEZPE NOSTNÍ AUDIT Velká ást bezpe nostních nedostatk je v eobecn dob e známá. Informace o nich jsou ve ejn dostupné a jejich aktualizace se provádí prakticky denn na webových stránkách sv tových institucí, které se zabývají po íta ovou bezpe ností (viz nap. CERT/CC 12, SANS 13 ). P esto nejsou tyto bezpe nostní problémy ve v in p ípad v as nebo v bec odstran ny. D vody bývají r zné: vysoké pracovní vytí ení (n kdy a p etí ení) správc systém, sí ových administrátor a pracovník IT odd lení, kte í se sna í it denní provozní problémy systému a as na údr bu, pravidelnou kontrolu a patchování (záplatování bezpe nostních d r systém ) jim nezbývá. Nebo se po ítá s tím, e se firm bezpe nostní událost (napadení systému zven í, zneu ití u ivatelských práv zam stnanci firmy atd.) p ihodit nem e. Takovéto d vody bývají ve v in p ípad práv p inou nejr zn ích bezpe nostních událostí. Cílem správn a kvalitn provedeného bezpe nostního auditu je poskytnou p ehled nechrán ných a zranitelných míst systému a ohodnotit míru jejich nebezpe nosti pro celé e-business ení. Bezpe nostnímu auditu p edchází, pokud ji nebyla zpracována d íve, analýza a ohodnocení rizik. Jejím cílem je ur it aktiva a jejich hodnotu, na které se auditor zam í. Následný bezpe nostní audit ur í problematická místa systému, stanoví jejich prioritu a doporu í v souladu s nejlep ími praktikami a mezinárodními standardy vhodné ení. Tak usnadní jejich opravu a správu a zárove má preventivní charakter. Je nutné zd raznit, e jednorázový bezpe nostní audit se zásadn li í od b ného systémového auditu p edev ím svým rozsahem a náro ností, jak na as, zdroje a odborné znalosti. Zatímco systémový audit by m l být rutinní zále itostí ka dodenního provozu systému, jednorázový audit se v inou koná v d sledku n jaké události, nebo pokud má zadavatel podez ení na mo ný bezpe nostní problém a vy ené stanovisko k n mu má být nezávislé. V inou je provád n externími odborníky na bezpe nost. Podrobn se tomuto rozdílu v nujeme je v samotné podkapitole této ásti. V této kapitole se je detailn zmíníme o jednotlivých fázích auditu a na co se zam uje audit webových aplikací a server. D vod pro výb r auditu web aplikací jako názorné ukázky je ten, e audit této ásti e-business ení pova uji za hlavní odli nost mezi klasickým bezpe nostním auditem ICT a bezpe nostním auditem e-business ení. 6.1 ANALÝZA A ÍZENÍ RIZIK Analýza a ízení rizik jsou vstupním p edpokladem pro kvalitní bezpe nostní politiku, schopnou reagovat na reálnou situaci, tím zprost edkovan jsou také p edpokladem pro kvalitní bezpe nostní audit. Dob e zpracovaná analýza rizik pom e nastavit vhodná bezpe ností opat ení, která jsou zárove p ijatelná z hlediska náklad na n nutn vynalo ených. Firma musí zvá it, která aktiva je nezbytné p ísn chránit a která svou hodnotou nevyrovnají náklady na bezpe nostní opat ení spojená s jejich ochranou. Pokud chce firma dosáhnout stanovených a asto i legislativou vy adovaných cíl v oblasti bezpe nosti, musí v novat bezpe nosti pozornost neustále. V p ípad, e tomu tak není, m e dojít k bezpe nostní události, která s sebou nese vysokou pravd podobnost ohro ení chodu celé firmy sekce Vulnerability Notes Database

20 Pokud v organizaci neexistuje funk ní bezpe nostní politika s platností pro celou firmu (nejen nap. pro u ivatelské stanice), je vhodné za ít práv analýzou rizik, která doká e poskytnout podklady pro vhodn zam enou bezpe nostní politiku. Aktiva Hrozby Zranitelná místa Rizika Protiopatrení Implementace Analýza rizik Rízení rizik Audit Obr. 2 Postup analýzy a ízení rizik Analýza rizik je jedním z po adavk BS 7799, který je p edpokladem nasazení co nejvhodn ích opat ení, tak aby korespondovala s pot ebami organizace 14. Analýza rizik (risk analysis = RA) zahrnuje identifikaci a ohodnocení míry rizik, vypo ítaných na základ známých hodnot aktiv, míry hrozeb a zranitelných míst daných aktiv 15. Analýza rizik se podle Crafta zabývá esti základními ástmi. Hodnocením firemních aktiv, zranitelných míst, hrozeb, dopad, pravd podobnosti uskute ní se t chto hrozeb, bezpe nostních opat ení 16. Mezi základní rizika/hrozby, která je nutné vzít v úvahu b hem analýzy, mohou pat it následující: ztráta, po kození nebo odmítnutí p ístupu ke klí ovým slu bám infrastruktury; 14 [INS1] 15 [CHI97] 16 [CRA] 20