Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Transkript

1 Audit Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit (z lat. auditus, slysen) { uredn prezkoum an a zhodnocen dokument u a jin ych objekt u nez avislou osobou. Ucel auditu { zjistit, zda doklady pod avaj platn e a spolehliv e informace o skutecnosti a obvykle tak e zhodnotit kvalitu vnitrn kontroly rmy. Vzhledem k rozsahu dokumentace se audit obvykle zab yv a jen vzorky a jeho v ysledek tedy neznamen a naprostou jistotu, n ybrz jen rozumnou pravd epodobnost konecn eho hodnocen. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 1 Prvn cl predn asky { porozum en auditu ISMS ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing Cl auditu ISMS { vyhodnocen: { zda ISMS adekv atn e identikuje a res pozadavky informacn bezpecnosti { trval e primerenosti cl u ISMS stanoven ych vedenm a { postup u pro udrzbu a pro ucinn e zlepsov an ISMS. Druh y cl predn asky { porozum en auditu opatren ISO/IEC TR 27008: 2011, Information technology Security techniques Guidelines for auditors on information security controls Cl { porozum et princip um prezkoum av an, tj. veden auditu, implementac a pouzv an bezpecnostnch opatren zaveden ych na z aklad e doporucen dan ych procesy rzen rizik s clem redukovat rizika pro informacn bezpecnosti D uvod prezkoum av an, veden auditu, opatren je: zjisten jsou tato opatren v souladu se standardy a s vnitrnmi predpisy o InfSec zaveden ymi v organizaci Clem auditu bezpecnostnch opatren (politik,... ) je zjistit, { zda jejich dokumentace pod av a platn e a spolehliv e informace o skutecnosti a { zda jejich implementace a provozov an odpovd a jejich specikaci Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 2 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 3

2 Typick e oblasti auditu ISMS Res pouzit a metodologie posuzov an a hodnocen rizik, v ysledn eho posouzen a zvl adnut rizik relevantn pozadavky? Odpovd a prohl asen o aplikovatelnosti v ysledk um posouzen rizik? Je implementace opatren prijat ych pro snzen rizika efektivn? Prov ad se m eren ucinnosti implementovan ych opatren? Sleduj se a posuzuj procesy a opatren ISMS? Prov adej se intern audity a posuzov an ISMS managementem? Prijmaj opravn a opatren po vyhodnocen ucinnosti ISMS? Typick e oblast auditu ISMS Je auditovan y provozovan y syst em v souladu s denovan ymi cli, politikami a procedurami? Dodrzuj se konkr etn pr avn, smluvn a jin e pozadavky, kter e se t ykaj auditovan eho subjektu a maj dopad na informacn bezpecnost? Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 4 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 5 Ocek av an od auditu ISMS, auditorsk y t ym by mel... Proverit, zda je oblast a hranice auditovan eho ISMS jasne denov ana { z hledisek { charakteristiky podnik an, { umst en majetku a technologi organizace, { a to vcetne zd uvodnen jak ychkoli vyloucen z oblasti. Potvrdit, ze auditovan y subjekt spl nuje pozadavky ISO / IEC na zaveden oblasti ISMS. Prov erit, ze hodnocen rizik informacn bezpecnosti a zvl adnut rizik v auditovan em subjektu odpovd a cinnostem organizace a hranici oblasti ISMS a potvrdit, ze se to odr az v prohl asen o aplikovatelnosti Ocek av an od auditu ISMS, auditorsk y t ym by mel... Prov erit rozhran sluzeb a/nebo cinnost, kter e nejsou plne zahrnut e v oblasti ISMS: { zda jsou v denici oblasti ISMS zmnen e a { zda jsou zahrnuty do hodnocen rizik informacn bezpecnosti auditovan eho subjektu (jedn a se typicky o prpady sdlen IT syst em u, datab az, telekomunikacn syst em u,... s jin ymi organizacemi). Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 6 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 7

3 Z avery z uvodu k auditu Organizace by m ela pravideln e kontrolovat, prezkoum avat zda m a r adne instalov any a provozov any implementace bezpecnostnch standard u, politik, predpis u,... Audit je pro tento ucel velmi ucinn y n astroj Condition sine qua non : Kontrolu, formou auditu, mus prov adet role, kter e nejsou poveren e rdicmi ci exekutivnmi funkcemi v auditovan e oblasti vlastnk syst emu, pracovnci z odd. vnitrn kontroly, intern nebo extern odbornci z oblasti informacn bezpecnosti Metody prezkoum av an, v ycet Vysetrov an, cl { porozumet/objasnit/zskat d ukazy Podle typu: Vseobecn e, clen e, detailn Podle rozsahu, sre setren: Reprezentativn, specick e, upln e (vycerp avajc) Interview, cl { porozumet/objasnit/zjistit kde zskat d ukazy Podle typu: Vseobecn e, clen e, detailn Podle hloubky setren: Reprezentativn, specick e, upln e (vycerp avajc) Test, cl { porovn an skutecn eho a ocek avan eho chov an objektu Blind, black-box, na slepo Double blind, dublovane na slepo Gray-box, s c astecn ym odhalenm objektu Double gray-box, Tandem, white-box, s pln ym odhalenm Reversal, simulovan y utok Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 8 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 9 Metody prezkoum av an, vysetrov an Proces kontrolov an, prohlzen, prezkoum av an, pozorov an, studov an nebo anal yzy jednoho nebo vce prezkoum avan ych objekt u Clem vysetrov an je porozum et, objasnit nebo zskat d ukazy V ysledky vysetrov an slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda plne pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Vysetrov an lze podporovat automatizovan ymi n astroji Metody prezkoum av an, interview Proces veden rozhovor u s jednotlivci nebo se skupinami v organizaci Clem interview je porozum et, objasnit nebo zjistit, kde zskat d ukazy V ysledky interview slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda plne pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Interview nelze podporovat automatizovan ymi n astroji Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 10 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 11

4 Metody prezkoum av an, test Proces cvicn eho provozov an jednoho nebo vce prezkoum avan ych objekt u, za urcit ych specikovan ych podmnek Clem je porovn an skutecn eho a ocek avan eho chov an objektu V ysledky testu slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda pln e pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Testov an mus b yt provedeno s velkou p ec kvalikovan ymi odbornky Mozn e dopady testov an na fungov an organizace mus b yt posouzeny a schv aleny vedenm pred zah ajenm testov an Metody prezkoum av an, test Je nutn e zv azit moznost testov an mimo provozn dobu Testov an mus b yt reprodukovateln e, opakovateln e Poruchy nebo nedostupnost syst em u kv uli testov an m uze mt v yznamn y vliv vlastn podnikatelsk e procesy organizace (nancn d usledky, dopad na pov est organizace) Pl anov an test u mus br at ohled na smluvn z avazky (vcetn e posouzen pr avnch aspekt u) Auditor opatren mus pecliv e vyhodnotit prpadnou falesnost pozitivnch a negativnch v ysledk u test u jest e pred provedenm jak ehokoliv z av eru Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 12 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 13 Metody prezkoum av an, test Mezi typick e prezkoum avan e objekty patr mechanismy (napr. hardware, software, rmware) a procesy (napr. z oblast provozu syst emu, administrace, rzen,... ) Testov an lze podporovat automatizovan ymi n astroji Vysetrov an, typicky vysetrovan e objekty specikace napr. politiky, pl any, postupy, pozadavky na syst em, n avrhy,... mechanismy napr. funkce implementovan e v hardware, software, rmware procesy napr. z oblast provozu syst emu, spr avy, rzen, zaskolov an,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 14 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 15

5 Prklady vysetrovacch akc auditor u informacn bezpecnosti Klasikace typ u setren, vseobecn e setren prezkoum av an politik informacn bezpecnosti, pl an u a postup u anal yza projektov e dokumentace syst em u a specikac rozhran sledov an cinnosti syst emu z alohov an a prezkoum av an v ysledk u cvicen podle pl an u zachov an cinnosti pozorov an procesu reakce na incidenty studium technick ych prrucek a n avod u pro uzivatele a spr avce kontrola, studium nebo pozorov an provozu IT mechanism u v hardware / software informacnch syst em u Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce prezkoum avan eho objektu Je k dispozici omezen e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, vysoko urov nov e popisy proces u aktu aln specikacn dokumentace) Setren na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb kontrola, studium a pozorov an zmenov eho rzen a protokolov an cinnost t ykajcch se informacnch syst em u kontrola, studium nebo pozorov an fyzick ych bezpecnostnch opatren souvisejcch s provozem informacnch syst em u Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 16 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 17 Klasikace typ u setren, clen e setren Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce a hlubs studium / anal yza zkouman eho objektu Je k dispozici podstatn e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, a tam kde jsou vhodn e a dostupn e vysoko urov nov e n avrhy mechanism u, vysoko urov nov e popisy proces u a implementacn procedury proces u a aktu aln dokumentace a specikacn dokumentace) Setren na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb. Poskytuje rovn ez presv edciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem Klasikace typ u setren, detailn setren Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce a detailn, d ukladn e studium / anal yza prezkoum avan eho objektu Je k dispozici velk e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, a tam kde jsou vhodn e a dostupn e vysoko urov nov e a detailn n avrhy mechanism u a informace o jejich implementaci, detailn n avrhy vysoko urov nov e popisy proces u a detailn implementacn procedury proces u a aktu aln dokumentace a specikacn dokumentace) Setren na t eto urovni umozn porozumet opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb, Poskytuje rovnez presvedciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 18 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 19

6 Reprezentativn setren Klasikace setren dle rozsahu Setr reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) ze kter eho lze urcit, ze opatren jsou implementovan a a bez zjevn ych chyb Specikovan e setren Pouzv a reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) a dals konkr etn prezkoum avan e objekty povazovan e za d ulezit e pro dosazen cle setren, aby bylo mozn e urcit, ze opatren jsou implementovan a a bez zjevn ych chyb Poskytuje rovnez presvedciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem Klasikace setren dle rozsahu Upln e, vycerp avajc setren Pouzv a reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) a dals konkr etn prezkoum avan e objekty povazovan e za d ulezit e pro dosazen cle setren, aby bylo mozn e urcit, ze opatren jsou implementovan a a bez zjevn ych chyb. Poskytuje rovnez presvedciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 20 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 21 Prklady osob / skupin, se kter ymi se vedou interview Klasikace typ u interview podle hloubky setren management vlastnci informacnch aktiv, proces u,... spr avci informacn bezpecnosti manazeri informacn bezpecnosti personalist e, spr avci lidsk ych zdroj u spr avci technick ych zarzen skolitel e a manazeri skolen oper atori informacnch syst em u administr atori st a syst emov administr atori spr avci are al u spr avci fyzick e bezpecnosti uzivatel e Vseobecn e interview Siroce pojat a diskuse na vysok e (konceptu aln) urovni s jednotlivci nebo skupinami Diskuse se vede pomoc sady vseobecn ych (generick ych) ot azek na vysok e (konceptu aln) urovni Diskuse na t eto urovni umozn porozumet opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb Clen e interview Nad r amec vseobecn eho interview se zahrnuje do interview detailnejs diskuse clen a na konkr etn dlc oblasti Odpovedi na detailnejs ot azky vyzaduj hlubs setren Diskuse na t eto urovni umozn porozumet opatrenm do t e hloubky, ze lze urcit, ze implementovan a jsou a bez zjevn ych chyb a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 22 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 23

7 Klasikace typ u interview podle hloubky setren Detailn interview Nad r amec clen eho interview se zahrnuj do interview detailn vysetrovac ot azky clen e na konkr etn oblasti Odpovedi na tyto ot azky vyzaduj velmi hlubok e, detailn setren nebo prpadn e vyvol an prezkumn ych procedur Diskuse na t eto urovni umozn porozumet opatrenm do t e hloubky, ze lze urcit, ze implementovan a jsou a bez zjevn ych chyb a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Klasikace typ u interview podle z ab eru ucastnk u Prehledov e interview vseobecn e interview Diskuse s reprezentativnm vzorkem jednotlivc u v klcov ych rolch organizace volen ych tak, aby bylo mozn e urcit, ze prezkoum avan a opatren jsou implementovan a a bez zjevn ych chyb Specikovan e interview clen e interview Diskuse s dostatecne velk ym vzorkem jednotlivc u v klcov ych rolch organizace a dalsch stanoven ych jednotlivc u povazovan ych za zvl aste d ulezit e pro urcen, ze opatren jsou implementovan a a bez zjevn ych chyb a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem Podrobn e interview detailn interview Diskuse s dostatecne velk ym vzorkem jednotlivc u v klcov ych rolch organizace a dalsch stanoven ych jednotlivc u povazovan ych za zvl aste d ulezit e pro urcen, ze opatren jsou implementovan a a bez zjevn ych chyb a ze existuj presvedciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 24 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 25 Prklady testovacch akc auditor u informacn bezpecnosti Typy test u testov an rzen prstupu, identikacnch a autentizacnch mechanism u testov an nastaven bezpecnostnch kongurac testov an fyzick ych zarzen pro rzen prstupu prov aden penetracnch test u klcov ych prvk u informacnch syst em u testov an z alohovacch operac informacnch syst emu testov an reakc na incidenty proverov an procedur zachov an cinnosti v krizov ych situacch testov an reakc bezpecnostnch syst em u urcen ych pro detekci, varov an a reakce na pr uniky testov an algoritm u sifrovacch a hasovacch mechanism u testov an mechanism u tvorby uzivatelsk ych jmen a opr avnen testov an autorizacnch mechanism u overen odolnosti bezpecnostnch opatren,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 26 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 27

8 Typy test u, Blind Testing (Black Box Testing), testov an "naslepo\ Auditor prezkoum av a objekt pouze na z aklad e znalost verejn e dostupn ych informac o objektu, zkoum a funkcnost objektu, aniz by nahlzel do jeho vnitrnch struktur nebo operac Prezkoum avan y objekt je na prezkum pripraven predem, vsechny podrobnosti o prezkoum av an objekt predem zn a Blind Testing je predevsm testov anm schopnostmi auditora, sre a hloubka Blind Testing mohou b yt pouze tak velk e, jak to dovoluj znalosti a schopnosti auditora Tento typ testu m a pri prezkoum av an informacn bezpecnosti omezen e pouzit a je treba se mu spse vyhnout Blind Testing se casto ch ape jako etick e hackov an. Typy test u, Blind Testing (Black Box Testing), testov an "naslepo\ Tester bezpecnosti aplikacnho syst emu je v roli hackera. Testuje s minimem informac, k aplikaci nem a ani login ani nejak a opr avnen S verejne dostupn ymi informacemi se tester pokous vyuzt aplikaci vsemi mozn ymi zp usoby Testy se zameruj na obejit autentizace a na vyuzit zranitelnost v provoznm prostred Do testovan e oblasti se vedle vlastn aplikace zahrnuje i aplikacn server a operacn syst em Test se obvykle prov ad po nasazen aplikace do provozu Testerem je obvykle externista bez apriorn znalosti aplikace Black Box Testing) pom uze objasnit jakou sanci uspesne utocit m a utocnk z Internetu, kter y o aplikaci nic nev Black Box Testing) nepom uze pri zkoum an, jakou skodu m uze zp usobit utocnk s validnmi prihlasovacmi informacemi Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 28 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 29 Typy test u, Double Blind Testing, dublovan e slep e testov an Auditor prezkoum av a objekt pouze na z aklad e znalost verejn e dostupn ych informac o objektu, zkoum a funkcnost objektu, aniz by nahlzel do jeho vnitrnch struktur nebo operac Prezkoum avan y objekt nen predem informovan y ani o rozsahu testov an, ani o pouzit em testovacm vektoru vstup u Double Blind Testing testuje pripravenost prezkoum avan eho objektu na nezn am e podnety Typy test u, Gray Box Testing, testov an s c astecn ym odhalenm Auditor prezkoum av a objekt na z aklad e omezen ych znalost jeho ochran a jm reprezentovan ych aktiv, ale zato s uplnou znalost dostupn ych testovacch vektor u, Auditor c astecn e zn a vnitrn strukturu objektu, m a napr. prstup k dokumentaci vnitrnch datov ych struktur a algoritm u Prezkoum avan y objekt je na prezkum pripraven predem, vsechny podrobnosti o prezkoum av an objekt predem zn a Gray Box Testing je testov anm schopnostmi auditora Hlavn prnos Gray Box Testing je ucinnost { rozsah a hloubka z avis na jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 30 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 31

9 Typy test u, Gray Box Testing, testov an s c astecn ym odhalenm Gray Box Testing se nekdy naz yv a test zranitelnosti a nejcasteji je spoust en autorem objektu jako sebehodnocen Tester testuje jak m uze narusit bezpecnost validn uzivatel Pokud se takto testuje aplikace pred nasazenm, testuje bezpecnostn nedostatky v aplikaci Pokud se takto testuje aplikace po nasazen do provozu, testuj se navc i bezpecnostn nedostatky v provoznm prostred Tester mus b yt znal y aplikace, test se vesmes del a manu alne, nikoli automatizovan e Typy test u, Double Gray Box Testing Auditor prezkoum av a objekt na z aklad e omezen ych znalost jeho ochran a jm reprezentovan ych aktiv, ale zato s uplnou znalost dostupn ych testovacch vektor u, Auditor c astecn e zn a vnitrn strukturu objektu, m a napr. prstup k dokumentaci vnitrnch datov ych struktur a algoritm u Prezkoum avan y objekt je na prezkum c astecn e pripraven predem, zn a rozsah a casov y r amec, nezn a test. vektory Double Gray Box Testing testuje pripravenost prezkoum avan eho objektu na nezn am e podnety Prnos Double Gray Box Testing je ucinnost { rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 32 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 33 Typy test u, Tandem Testing(White Box Testing), test. s pln ym odhalenm Auditor i prezkoum avan y objekt jsou pln e pripraveni na prezkoum an, ob e strany znaj vsechny detaily predem Tandemov e zkoum an testuje ochrany a opatren v objektu. Nejedn a se ale o test pripravenosti cle na nezn am e vstupy. B azov y prnos tandemov eho testov an je d an d ukladnost { auditor m a upln y prehled o vsech testech a jejich reakcch. Rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Tandem Testing se casto naz yv a jako in-house review a auditor m a v celkov em procesu zabezpecov an casto aktivn roli. Typy test u, Tandem Testing(White Box Testing), test. s pln ym odhalenm Tester m a k dispozici upln y zdrojov y k od Zranitelnosti se ve zdrojov em k odu vyhled avaj jak na urovni n avrhu, tak i na urovni implementace Uplat nuje se pred nasazenm aplikace do provozu Anal yza k odu se neres r adek po r adku, ale posuzuje se resen identikovan ych hrozeb pro danou aplikaci Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 34 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 35

10 Typy test u, Reversal, simulovan y utok White-box testing vs. black-box testing vs. Gray-box testing Auditor prezkoum av a objekt na z aklade upln e znalost jeho proces u a provozn bezpecnosti a prezkoum avan y objekt nev nic o tom co, jak nebo kdy bude auditor testovat Hlavnm clem testu tohoto typu je posoudit pripravenost cle na nezn am e podnety reektujc podmnky v re aln em svete Rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech, schopnostech a kreativit e auditora. Test je veden y jako simulovan y utok Black-box testing testov an funkcnosti software testov an na z aklade znalosti validnch v ystup u na denovan e vstupy black-box testing detekuje, ze neco je spatne, nekde je chyba White-box testing testov an software testov anm vnitrn struktury Control flow testing, Data flow testing, Branch testing Path testing, Statement coverage, Decision coverage,... white-box testing m a za cl odhalit detekovanou chybu Casto je naz yv an Red Team exercise Gray-box testing (translucent testing) kombinace White-box testing a Black-box testing Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 36 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 37 Prprava auditu Prprava auditu Cinnosti v prpravn e f azi auditu se maj t ykat probl em u souvisejcch s n aklady, pl anem, dostupnost odbornku a provedenm auditu Typick e prpravn e cinnosti ze strany organizace zajisten dostupnosti politiky souvisejcch s auditem zajisten, aby se ukoncily vsechny implementacn pr ace na opatrench pl anovan e pred provedenm auditu identikace a v yber nez avisl eho auditora opatren, resp. auditorsk eho t ymu, kter y odpovedne povede prezkoum av an shrom azden artefakt u poskytovan ych auditorovi (dokumentace opatren, vc. organizacnch sch emat, politik, pl an u, specikac, n avrh u, z aznam u, manu al u spr avc u / obsluhy, manu al u informacnch syst em u, dohod, v ysledk u predchozch audit u) vytvoren mechanism u pro minimalizaci nejasnosti a nedorozumen mezi organizac a auditorem stanoven cle a rozsahu auditu ( ucelu a predmetu) informov an klcov ych funkcion ar u organizace o blzcm se auditu a pridelen zdroj u potrebn ych k jeho proveden ustanoven prslusn ych komunikacnch kan al u mezi organizacnmi funkcion ari zainteresovan ymi na auditu stanoven casov eho r amce pro dokoncen auditu a etap a klcov ych termn u Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 38 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 39

11 Prprava auditu Typick e prpravn e cinnosti ze strany auditora porozumen provozu organizace (vcetne posl an, funkc a podnikov ych proces u) a porozumen jak k nemu prispvaj informacn aktiva v auditovan e oblasti porozumen strukture informacnch aktiv (tj. architekture syst emu), d ukladn e pochopen vsech auditovan ych opatren, Prprava auditu zsk an v ysledk u predchozch audit u, kter e lze vhodne znovu pouzt pro audit (napr. auditn zpr avy, anal yzu zranitelnost, inspekce fyzick e bezpecnosti, testov an v yvoje a hodnocen) setk an s relevantnmi funkcion ari organizace zajist'ujc jednoznacn y v yklad jak cl u auditu tak jeho hloubky a rozsahu prezkumu, vypracov an pl anu auditu nastudov an publikac referencovan ych v auditovan ych opatrench, identikace jednotek organizace odpovedn ych za vypracov an a implementaci auditovan ych opatren stanoven vhodn ych organizacnch stycn e body potrebn ych k proveden auditu, zsk an artefakt u potrebn ych pro audit (dokumentace opatren, vc. organizacnch sch emat, politik, pl an u, specikac, n avrh u, z aznam u, manu al u spr avc u / obsluhy, manu al u informacnch syst em u, dohod, v ysledk u predchozch audit u) Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 40 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 41 Vypracov an pl anu auditu Vypracov an pl anu auditu Vymezen prezkoum avan e oblasti zacn a se s opatrenmi popsan ymi v dokumentaci a bere se do uvahy cl auditu Urcen auditnch, prezkumn ych procedur proceduru vymezuj cl, metody zkoum an a auditovan e objekty cl je uzce v azan y na funkcnost opatren Rozhodnut o prebr an v ysledk u predchozch audit u Vypracov an detailnho pl anu postupu auditu pomoc urcen ych procedur Specikace v ystup u auditu Odsouhlasen pl anu funkcion ari organizace v yber metody auditu (setren, interview, testov an) mus br at ohled na dopady v organizaci a z arove n mus zajistit, aby se splnily cle auditu zkoumaj se procesy, procedury, specikace, mechanismy, osoby,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 42 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 43

12 V ystup z auditu, anal yza v ysledk u Prklady klasikac zjist en ych nedostatk u auditem Z avaznost A { zjisten y nedostatek je velmi z avazn y (velmi v yznamn y). Velmi v yznamne narusuje bezpecnost syst emu. Doporucujeme co nejrychlejs (pokud mozno okamzit e) odstranen nedostatku. V prpade nov eho syst emu doporucujeme odstranen nedostatku jeste pred jeho nasazenm. Z avaznost B { zjisten y nedostatek je stredne z avazn y (v yznamn y). Ohrozuje bezpecnost syst emu, avsak ohrozen nen bezprostredn nebo nen velmi z avazn e. Nedostatek by mel b yt odstranen pri nejblizs vhodn e prlezitosti. Z avaznost C { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Hodnotitel e doporucuj odstranen tohoto nedostatku pri vhodn e prlezitosti, nerespektov an tohoto doporucen nemus v est k ohrozen bezpecnosti syst emu. V ystup z auditu, anal yza v ysledk u Z avaznost nen { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Vetsinou se jedn a o prpady, kdy hodnotitel e si jsou vedomi skutecnosti, ze za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto relevantn odstranilo Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 44 Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 45