Bezpečnost informačních systémů

Transkript

1 Ing. Ludmila Kunderová 2011/2012

2 Okruhy modulu Bezpečnost IS Základní principy a pojmy bezpečnosti IS/ICT (informačních systémů/informačních technologií) Některé technologie pro implementaci informační bezpečnosti Systém managementu informační bezpečnosti ISMS v informačních systémech podniků a organizací Standardy a legislativní rámec 2

3 (IS) informační bezpečnost Významná oblast oboru ICT Klíčová složka IS podniků a organizací Součást bezpečnostní politiky organizace Řada strategických rozhodnutí managementu organizace přímo či nepřímo s informační bezpečností souvisí 3

4 Co je informační systém? Data Technologie (HW, SW, síť) Lidé 4

5 Proč je nutné IS zabezpečit? IS zpracovává a uchovává podniková data, která jsou majetkem podniku/organizace. Proti čemu? IS ohrožují bezpečnostní hrozby, které využívají bezpečnostní rizika, která v IS existují. Jak? Prosazováním bezpečnostní politiky IS/IT v podniku/organizaci. 5

6 Základní bezpečnostní politika IS/IT podnikový dokument Podporuje ochranu majetku organizace. Určuje strategii pro dosažení bezpečnostních cílů. Stanoví odpovědnost za dodržování a prosazování bezpečnostních postupů a pravidel. Odkazuje na další dokumenty specifikující bezpečnostní technologie a na bezpečnostní směrnice pro uživatele IS Systémovou bezpečnostní politiku IT. 6

7 Další složky Systémové bezpečnostní politiky IT Havarijní plán Určuje postupy po odhalení útoku Určuje personální zodpovědnost za provedení jednotlivých činností Plán obnovy Stanoví priority pro obnovu určitých služeb IS Stanoví priority pro obnovu kritických dat Bezpečnostní politika IS/IT je základem systému managementu informační bezpečnosti (ISMS Information Security Management System). 7

8 Jaké jsou bezpečnostní cíle? Integrita informace nedojde ke změně obsahu dat Autentičnost informace pravost dat Dostupnost informace data jsou k disposici oprávněnému subjektu, pokud je to požadováno Důvěrnost informace obsah dat má k disposici pouze oprávněný subjekt Nepopiratelnost původu informace/dat 8

9 Čím je ohrožena bezpečnost IS (tj. majetek podniku)? Bezpečnostními útoky/bezpečnostními incidenty směřujícími proti bezpečnostním cílům Co umožní, že k útokům dojde? Bezpečnostní rizika, která v IS existují Jak se bezpečnostní rizika sníží nebo eliminují? Implementováním bezpečnostních technologií v kritických místech IS 9

10 10

11 Bezpečnostní útoky jsou úmyslné a neúmyslné Úmyslné záměrně vedené fyzickou osobou (útočník, hacker,..) Neoprávněný přístup k HW nebo SW složkám IS Neoprávněný odposlech přenášených informací (sniffing) Neoprávněná modifikace nebo zfalšování SW složek (počítačové viry, ) Znepřístupnění aplikací nebo IT služeb Fyzické poškození nebo zcizení HW/SW komponent 11

12 Neúmyslné mohou mít také velmi vážný dopad na funkci IS. Vzniknou z nedbalosti, z nedostatečné kvalifikace uživatele nebo technického personálu, z nedostatečného technického návrhu (např. špatná konfigurace programu, nevhodný typ zařízení, apod.), z extrémních klimatickými podmínek a přírodních pohrom, atd. 12

13 Nástroje útočníků Speciální programy Znalosti a zkušenosti Dostatek času a trpělivosti Sociální inženýrství Obrana proti útočníkům Preventivní opatření Monitoring provozu IS, generování odezev na podezřelé aktivity a situace Provádění auditu systémových záznamů 13

14 Bezpečnostní funkce (bezpečnostní opatření) se aplikují k dosažení bezpečnostních cílů Preventivní (zabraňují útokům) Heuristické (snižují rizika) Detekční a opravné (snižují dopad útoků) Bezpečnostní mechanismy provádějí bezpečnostní funkce SW charakter HW a fyzický charakter Administrativně správní charakter 14

15 Bezpečnostní technologie postupy pro dosažení jednoho nebo více bezpečnostních cílů (preventivní, detekční, následné) Identifikace a autentizace Autorizace a řízení přístupu Prokazatelnost odpovědnosti Integrita Důvěrnost Podle technického principu (HW, SW,.) Podle účinnosti (slabé, střední, silné) 15

16 Nejobvyklejší bezpečnostní technologie Firewally Antivirové programy Kryptografické SW moduly Čipové autentizační karty Kryptografické čipové karty Elektronické podpis Zálohovací zařízení 16

17 Antivirové programy dodatečná bezpečnostní protiopatření ochrana proti modifikaci SW komponent škodlivým SW (malware) Preventivní (on-access) Detekční (on-demand) Heuristické Typy virů (rezidentní, nerezidentní, trójské koně, BackDoors, červi, spyware, adware,.) Šíření virů (neautorizované kopie, elektronická pošta, download z nedůvěryhodných internetových zdrojů) 17

18 Ochrana antivirovými programy Jednoúčelové pro určitý virus (detekce a desinfekce) Antivirové systémy komplexní ochrana, aktualizace přes Internet, zabudovaný PC firewall AVG, Norton Antivirus (Symantec), Kaspersky Antivirus, Avast, NOD 32, McAfee Virus Scan) Certifikce ICSA labs 18

19 Firewall (FW) odděluje sítě s různým stupněm bezpečnosti (typicky podnikový intranet a veřejnou síť internet) Na FW jsou nastavena pravidla pro řízení provozu ve směru do a z chráněné sítě (která data mohou projít do/z a která ne) 19

20 Implementace síťových FW SW nebo HW Typy FW Paketové filtry Stavové inspekční filtry Aplikační brány PC firewall SW aplikace Určuje pravidla pro provoz na osobním počítači v souladu se zásadami BP IS/IT 20

21 Autentizační technologie implementují proces ověření identity subjektu IS (uživatele, počítače, programu ) Způsob autentizace Oboustranná Jednostranná Principy autentizace Znalost hesla, šifrovacího klíče Jednoduchým zadáním hesla Autentizačními protokoly typu výzva-odpověď Vlastnictví autentizačního tokenu (identifikační karta) Biometrické znaky (jen pro fyzické osoby) 21

22 Digitální podpis elektronický podpis (EP) Bezpečnostní technologie na principu asymetrické kryptografie Klíč veřejný používá podepisující (odesílatel) Klíč privátní používá příjemce Zabezpečuje integritu podepsané zprávy autentičnost podepsané zprávy neodmítnutelnost zodpovědnosti za podepsanou zprávu 22

23 Základní kryptografické techniky Symetrické algoritmy Asymetrické algoritmy Hash funkce 23

24 Způsoby použití asymetrických algoritmů 24

25 Digitální podpis 25

26 Certifikace veřejných klíčů Důvěryhodná třetí strana certifikační autorita (CA) potvrdí propojení veřejného s určitým subjektem (fyzická/právnická osoba, server, program, atd.) Technické provedení elektronický dokument se standardním obsahem, který se připojí k podepsané zprávě Postup certifikace 26

27 Obsah certifikátu Jméno vlastníka certifikátu Sériové číslo certifikátu Doba platnosti certifikátu Kopie veřejného klíče vlastníka certifikátu Jméno CA Digitální podpis CA 27

28 Formát certifikátu 28

29 Certifikát Hierarchie ověření certifikátu 29

30 Princip hierarchie certifikačních autorit Umožňuje zpětné ověření platnosti certifikátu (chain of trust) Kořenová CA je identifikována certifikátem s vlastním podpisem (self-signed certicate) 30

31 Správa veřejných klíčů systém PKI (Public Key Infrastructure) zajišťuje CA registrace uživatelů certifikátů vydávání certifikátů k veřejným klíčům odvolávání platnosti certifikátů vytváření a zveřejňování seznamu certifikátů odebírání platnosti certifikátům zveřejňování zneplatněných certifikátů v seznamu CRL (Certificate Revocation List) ukázka CRL správa klíčů po dobu jejich platnosti (životního cyklu) dodatkové služby např. poskytování časových známek (timestamping) 31

32 Složky zajišťující digitální podpis Asymetrické kryptografické systémy Hash funkce Správa veřejných klíčů PKI (Public Key Infrastructure) Certifikát veřejného klíče certifikační autorita (CA) 32

33 Odkazy na zdroje zabývající se problematikou elektronické podpisu

34 ISMS - systém managementu informační bezpečnosti Má být zabudován do IS organizace Rozvíjí se v souladu se změnami v IS (nasazení nové technologie do IS přináší nová rizika) a se změnami v oblasti informační bezpečnosti (nové typy útoků, nové viry, atd.) Výstavba ISMS se specifikována v technických normách - standardech 34

35 Plan DO Check - Act 35

36 Postup výstavby ISMS Analýza rizik klíčová fáze Odhad aktiv Určení rizik a dopadů Návrh protiopatření Vyhodnocení úspor Zpětná vazba do všech fází dynamické změny Spoluúčast všech složek IS 36

37 Normalizace v oblasti BIS výběr základních standardů Postupy a metody vytváření ISMS ČSN ISO/IEC TR (1-4) Informační technologie Směrnice pro řízení IT bezpečnosti ČSN ISO/IEC (Soubor postupů pro management bezpečnosti informací) ČSN ISO/IEC (Požadavky) Bezpečnost informačních technologií ČSN ISO/IEC (1-3) Kritéria pro hodnocení bezpečnosti IT (tzv. Common Criteria) 37

38 11 klíčových oblastí ČSN ISO/IEC

39 Návaznost standardů 39

40 Legislativní rámec informační bezpečnosti v České republice Ochrana utajovaných skutečností Ochrana osobních údajů Zákon o elektronickém podpisu Obchodní zákoník Autorský zákon Antispamový zákon. 40

41 Ochrana utajovaných skutečností Informace, které je nutné v zájmu státu chránit obrana, rozvědka, atd. Zákon č. 148/1998 Sb. O ochraně utajovaných skutečností (jedna z podmínek vstupu ČR do NATO) za plnění zákona odpovídá NBÚ Seznamy utajovaných skutečností stanoví Nařízení vlády č. 246/1998 Sb. informace se stávají položkou seznamu 41

42 Další související vyhlášky Vyhláška NBÚ č. 244/1998 Sb. o podrobnostech stanovení a označení stupně utajení a o postupech při tvorbě, evidenci,přenášení, přepravě, zapůjčování, ukládání, jiné manipulaci a skartaci utajovaných písemností - administrativní opatření Vyhláška NBÚ č. 245/1998 Sb. o osobní způsobilosti a vzorech tiskopisů používaných v oblasti personální bezpečnosti personální zajištění Vyhláška NBÚ č. 263/1998 Sb. o stanovení způsobu a postupu ověřování bezpečnostní spolehlivosti organizace specifikace bezpečnostní politiky, bezpečnostního projektu, bezpečnostních opatření, apod. 42

43 Vyhláška NBÚ č. 339/1998 Sb. o objektové bezpečnosti způsoby fyzického zabezpečení Vyhláška NBÚ č. 12/1999 Sb. o zajištění technické bezpečnosti utajovaných skutečností a certifikaci technických prostředků bezpečnostní technologie Vyhláška NBÚ č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu příprava IS, které mají zpracovávat utajované skutečnosti Vyhláška NBÚ č. 76/1999 Sb. o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu kryptografické technologie. 43

44 Utajované skutečnosti se klasifikují do následujících tříd (stupňů utajení) podle výše újmy, ke které by došlo v případě neoprávněného nakládání (vyzrazení, zneužití, poškození, znehodnocení, zničení, porušení ochrany, ztráta) utajovaných skutečností. V seznamech jsou utajované skutečnosti označeny jako: Přísně tajné (PT) Tajné (T) Důvěrné (D) Vyhrazené (V) 44

45 Do stupně utajení přísně tajné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit mimořádně vážnou újmu zájmům České republiky; tento stupeň utajení se označuje slovy "Přísně tajné" nebo zkratkou "PT". Do stupně utajení tajné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit vážnou újmu zájmům České republiky; tento stupeň utajení se označuje slovem "Tajné" nebo zkratkou "T". 45

46 Do stupně utajení důvěrné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit prostou újmu zájmům České republiky; tento stupeň utajení se označuje slovem "Důvěrné" nebo zkratkou "D". Do stupně utajení vyhrazené se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo být nevýhodné pro zájmy České republiky; tento stupeň utajení se označuje slovem "Vyhrazené" nebo zkratkou "V". 46

47 Povinné bezpečnostní prověrky organizací, v jejichž IS jsou utajované skutečnosti zpracovávané certifikace IS/IT (soulad s bezpečnostními normami ČSN ISO/IEC a ČSN IS/IEC TR 13335). Další prověřované oblasti: Administrativní bezpečnost Objektová bezpečnost Technická bezpečnost (certifikace technických prostředků). Podrobný popis požadavků na bezpečnost v jednotlivých oblastech (výše uvedené vyhlášky + řada metodických pokynů). 47

48 Ochrana osobních údajů Osobní údaj citlivý údaj vypovídající o národnostním, rasovém nebo etnickém původu jednotlivce. Dále o jeho politických postojích, členství v odborových organizacích, náboženství a filosofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě. Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů a jeho novela č. 177/2001 Sb. 48

49 Rozlišení mezi citlivými a ostatními osobními údaji IS nakládající s citlivými osobními údaji mají zákonnou oznamovací povinnost o způsobu zabezpečení citlivých osobních údajů u Úřadu na ochranu osobních údajů (výjimka pro IS sloužící výhradně pro vnitřní potřebu provozovatele). 49

50 Digitální podpis ve státní správě ČR podpora elektronická komunikace mezi občany a útvary státní správy uvnitř státní správy (mezi jednotlivými útvary) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který současně upravuje kontrolu povinností stanovených tímto zákonem a sankce za jejich porušení. Prováděcím předpisem k tomuto zákonu je nařízení vlády č. 304/2001 Sb. a vyhláška č. 366/2001 Sb. 50

51 Pro účely tohoto zákona se rozumí elektronickým podpisem (EP) údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky: je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, 51

52 EP byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat; datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, 52

53 podepisující osobou fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby, poskytovatelem certifikačních služeb subjekt, který vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy, akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona, 53

54 certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost, kvalifikovaným certifikátem certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikačních služeb, splňujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávající kvalifikované certifikáty, 54

55 Akreditovaný poskytovatel certifikačních služeb v ČR První certifikační autorita, a.s. Postsignum, Česká pošta, s. p. eidentity, a.s. Kontaktní místa registrační autority Zveřejnění celkové bezpečnostní politiky CA a certifikační politiky CA 55

56 Typy certifikátů testovací komerční kvalifikované (dle zákona o elektronickém podpisu) Časové razítko elektronický důkaz o existenci určitého dokumentu v určitém čase 56

57 Shrnutí BP má pro bezpečnost podnikových IS/IT zcela zásadní význam ISMS udržuje úroveň informační bezpečnosti stanovenou v BP Bezpečnostní opatření jsou implementována v bezpečnostních technologiích, které jsou součástí podnikového IS (FW, antivirové programy, autentizační nástroje, elektronický podpis, atd.) Dotazy? 57

58 Děkuji za pozornost Prezentace vznikla s podporou OP Vzdělávání pro konkurenceschopnost CZ.1.07/1.3.00/ Inovace studia k výkonu specializovaných činností koordinace v oblasti ICT 58