Bezepečnost IS v organizaci

Transkript

1 Bezepečnost IS v organizaci

2 analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost jejich zneužití. Nutno upřesnit možnosti obrany a zjistit možné škody případných útoků. Dle toho navrhnout protiopatření (administrativní, fyzické, preventivní, heuristické - snížení rizika, minimalizace jejich dopadů). Bezpečnostní opatření jsou charakteru personálního, administrativního, objektového a technického (kryptografická ochrana).

3 formální postup budování bezpečnosti is v organizaci Stanovit východiska pro studii bezpečnosti IS definovat požadavky na bezpečnost IS, cíle zabezpečení současný stav zabezpečení současný stav HW, SW...

4 Analýza rizik - AR Je nejdůležitější etapou při budování bezpečnosti v organizaci. Jejím cílem je identifikace (zvládnutí, odstranění) událostí, které mají nežádoucí vliv na aktiva organizace; zjištění hrozeb a rizik, kterým je IS vystaven; (Hrozbou pro informační systém je využití zranitelného místa k napadení, ať již úmyslné či neúmyslné.) určení škod, které mohou útokem vzniknout; určení opatření, která tato rizika minimalizují nebo odstraní a kolik tato opatření budou stát.

5 Postup při AR: 1. identifikace a ocenění aktiv; 2. nalezení zranitelných míst; 3. odhad pravděpodobností využití zranitelných míst; 4. výpočet očekávaných ztrát; 5. přehled použitelných opatření a jejich cen; 6. odhad ročních úspor zvolených aplikací někdy se provádí tzv. orientační AR, jejím výsledkem je zvolení jedné ze 4 následujících strategií analýzy rizik elementární AR jedná o převzetí již vytvořených standardů na základě podobných systémů +: rychlá, velmi nízké N, vynaložené na AR -: nemusí dojít ke zvolení optimálních opatření (příliš silná/slabá, příliš drahá...)

6 neformální AR stanovení na základě jednotlivých odborníků z oblasti bezpečnosti IS (interních/externích) +: rychlá, poměrně nízké N vynaložené na AR -: vyšší pravděpodobnost opomenutí některých rizik detailní AR použití standardizovaných strukturovaných metod ve všech zmíněných fázích AR +: malá pravděpodobnost opomenutí některých rizik -: vysoké finanční a čas. N na provedení AR kombinovaná AR kombinace předchozích přístupů +: dosažení optimální výše N vynaložených na AR

7 Stanovení bezpečnostní politiky - BP Bezpečnostní politika představuje souhrn bezpečnostních zásad a předpisů, určující přístup k datům a informačnímu systému a proškolování. Definuje způsob zabezpečení organizace od fyzické ostrahy, přes ochranu profesních zájmů až po ochranu soukromí a lidských práv. Aktiva informačního systému je nutno chránit - hardware, software, data. Celý informační systém se skládá z aktiv a lidí. Objekt informačního systému je pasivní soubor zpřístupňovaný aktivním subjektům (procesy, lidé). Citlivé informace jsou informace, které kdyby byly odcizeny, mohou firmu poškodit. Zranitelnost firmy je místní - špatně provedená analýza, složitost software nebo fyzická - loupež, povodeň, zemětřesení nebo se nebezpečí nachází v hardwaru, softwaru, či špatně nastaveném firewallu. Potenciální velmi významný zdroj nebezpečí představuje lidský faktor.

8 (Firewall je obecné řešení zajištění bezpečnosti, realizované pouze organizačními opatřeními, nebo jen pomocí softwaru (konfigurací směrovačů), nebo je to software i hardware. Každý Firewall má část zajišťující blokování a část zajišťující prostupnost toho, co je povoleno. Blokování se provádí konfigurací směrovačů (nepropuštění určitého druhu provozu) a pomocí paketových filtrů.)

9 BP vymezuje co vyžaduje ochranu proti jakým hrozbám je ochrana budována jakým způsobe se bude ochrana realizovat

10 Cíle BP: obecně je třeba zajistit: důvěrnost (ochrany soukromých dat, k datům má přístup pouze autorizovaná osoba, zamezení zneužití informací..) lze zajistit šifrováním, firewally, řízením přístupu k souborům... integritu (změnu dat může provést jen ten, kdo k tomu má právo) lze zajistit různými kryptografickými kontrolními součty... autentičnost (musí být jasné s jakým partnerem je vedena komunikace jeho identita, kdo provedl změnu v DB...) lze zajistit používáním hesel, el. podpisem... nepopiratelnost (nikdo nemůže popřít transakci, které se zúčastnil) např. pomocí el. podpisu dostupnost (je třeba oprávněným uživatelům umožnit přístup k datům) spolehlivost

11 Typy BP: podle úrovně zabezpečení se BP dělí do 4 obecných typů: promiskuitní BP pouze minimální nebo vůbec žádná bezpečnost, nikoho neomezuje, velmi nízké N na zřízení liberální BP každý může dělat vše až na věci explicitně zakázané, vyšší zabezpečení než předchozí, ekonomická nenáročnost opatrná (racionální) BP zakazuje dělat vše, co není explicitně povoleno, je nákladnější, ale zajišťuje vyšší zabezpečení paranoidní BP zakazuje dělat vše co by mohlo být potenciálně nebezpečné, tzn. i to co není zakázáno, zajišťuje nejvyšší zabezpečení.

12 Celková BP Uvádí zabezpečení IS na obecné úrovni. Specifikuje cíle, citlivá data, odpovědnosti za data, bezpečnostní infrastrukturu organizace, omezení, která musí bezpečnost IT organizace respektovat. Je vytvářena nezávisle na konkrétních používaných IT v organizaci. Je to veřejný dokument, který je závazný a je normou. Jeho cílem je ochrana majetku, činnosti, pověsti organizace. Jasně stanovuje hierarchii povinností odpovědností, pravomocí, jak pro lidi tak pro data. Musí být stručný a srozumitelný. Neobsahuje konkrétně jména ale pouze pozice z organizační struktury. Vypracovává se na delší dobu (5 10 let)

13 Systémová BP Definuje způsob implementace celkové BP v konkrétních podmínkách IT organizece. Vypracovává se na kratší časový horizont (2 5 let). Stanovuje soubor konkrétních principů a pravidel pro ochranu IS (cíle, hrozby, rizika, opatření, bezpečnostní fce). Je li IS organizace příliš rozsáhlý, vypracovává se zvlášť: Fyzická syst. BP (fyz. ochrana budov, PC, místností, serverů...) Personální syst. BP (ochrana před různými lidmi zákazníky, hackery, zaměstnanci.) Komunikační syst. BP (ochrana přenosu dat, komunikace, telefonů, faxů, dopisů) Provozní syst. BP (systém školení, jak postupovat při útoku, havárii...)

14 Bezpečnostní projekt realizace bezpečnostních opatření, plynoucích z AR a BP bezpečnostní funkce - bf (fce prosazující bezpečnost, bezpečnostní opatření) Tyto funkce realizují bezpečnostní cíle organizace. Ke stanovení BF je třeba znát zranitelná místa IS a možné formy útoků na tato místa. Podle okamžiku uplatnění je lze dělit na: preventivní: (odstranění některých zranitelných míst: antiviry, zamezení přístupu zaměstnancům na internet, školení...) heuristické: snižují riziko dané nějakou hrozbou (firewall, antivir) detekční a opravné: minimalizují účinek útoku (zálohování)

15 Podle způsobu implementace je lze dělit: SW charakteru (logické): dig. podpis, antiviry, zřizování uživ. účtů, kódování, šifrování Administrativního a správního charakteru: školení, normy, zákony, vyhlášky... HW charakteru: identifikační karty, šifrovače, firewally, záložní kopie dat a programů Fyzického charakteru: stínění, trezory, zámky, záložní zdroje...

16 HAVARIJNÍ PLÁN Určuje co dělat v případě, že dojde k některému z útoků a jak postupovat aby se udržela kontinuita organizace. Každá organizace, které hrozí nějaký útok by ho měla mít (ale většinou tomu tak není) Měl by být uložen na takovém místě, aby byl každému dostupný. Pracovníci by s ním měli být seznámeni. Je třeba aby byl v aktuální verzi >> je třeba ho testovat a aktualizovat vzhledem k rychlému vývoji IS/IT. Obsahuje: průběh reakce na incident jak se zachovat v případě útoku, co a komu a kam nahlásit, stanovení týmu pro řešení incidentu... plán činnosti po útoku vymezuje pravidla chování po útoku (kdo, co dělá) plán obnovy jak postupovat při obnově činnosti IS po havárii: priority funkcí, které mají být obnoveny, role jednotlivých pracovníků, jejich povinnosti a odpovědnost...