Úvod - Podniková informační bezpečnost PS1-2

Transkript

1 VŠFS; Aplikovaná informatika / Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2

2 VŠFS; Aplikovaná informatika / Literatura Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management Doporučená Smejkal V.; Rais K.:Řízení rizik, Grada 2003 Frimmel M.: Elektronický obchod, Prospektum 2002 Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001

3 VŠFS; Aplikovaná informatika / Osnova II principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;

4 VŠFS; Aplikovaná informatika / Technologie Strategické úvahy musí odpovědět na otázku jak je informační technologie vhodná pro integraci bezpečnostních opatření. Bezpečnostní program řeší: komplexní bezpečnostní architekturu rozdělení informačního prostředí na digitální zóny úrovňové pojetí bezpečnosti akční plán (roadmap) strategických i taktických cílů bezpečnostní modely

5 VŠFS; Aplikovaná informatika / Víceúrovňová bezpečnost Bezpečnost koncového bodu Komunikační bezpečnost Zabezpečení perimetru Autentizace uživatele Neoprávněný přístup z prostředí sítě Bezpečnost síť. prostředí Oddělení dobrých a špatných dat Ochrana před škodlivým SW a transakcemi Secure Network access switch

6 VŠFS; Aplikovaná informatika / Víceúrovňová bezpečnost Příklad architektury podnikového informačního systému

7 VŠFS; Aplikovaná informatika / Technologie Architektonický pohled - hodnocení technologických komponent při plnění násl.. bezpečnostních požadavků: autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat šifrování

8 VŠFS; Aplikovaná informatika / Technologie Hierarchie realizace bezpečnostní architektury autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat management

9 VŠFS; Aplikovaná informatika / Technologie efektivita vynakládaných financí Zdroj: Gartner efektivnost vynaložení financí na jednotlivé bezpečnostní technologie

10 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti Bezpečnostní cíle se soustřeďují na zajištění integrity, dostupnosti, důvěrnosti informací, které se v daném podniku vytváří a dále zpracovávají, přenáší a distribuují uchovávají, archivují a skartují

11 VŠFS; Aplikovaná informatika / Integrita, Důvěrnost, Dostupnost Integrita informace není modifikována, systém provádí dané operace s očekávaným výstupem; Důvěrnost služba systému pro zajištění ochrany informací před neoprávněným využitím; Dostupnost vlastnost systému, která zabraňuje zadržování informací určených oprávněným uživatelům odmítnutí služby;

12 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti Program obecně vychází ze stanovení 4 základních hranic v prostředí podniku a ve vnějším elektronickém světě - externí (Internet), extranet, intranet a zóna kritických dat. Perimetr elektronická hradba okolo podniku Síťové servery (gateways) vstupní brány do interního prostředí

13 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti vycházet z oddělených zón a v každé z těchto zón jsou požadovány příslušné bezpečnostní Podnikový bezpečnostní program musí produkty. Internet - uživatelé Elektronické tržiště - partneři, zákazníci, klienti El. pracovní prostředí pracovníci, smluvní zaměstnanci Zóna citlivých dat pracovníci s definovaným přístupem

14 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost servisní protokoly informační aktiva aplikace programová volání procesy vzdálená volání procedur systémové prostředí operační systémy aplikační SW HW systémy přenosu FW Intranet Extranet router switch gateway

15 VŠFS; Aplikovaná informatika / Firewally; VPN Firewall prvek elektronického perimetru Základní třídy: firewally s filtrováním paketů; - kontrola hlaviček paketů firewally s povolováním služeb; - monitoring stavu transakcí proxy firewally na aplikační úrovni; - přepis paketů Nebezpečné porty nutno zajistit restrikci těchto portů

16 VŠFS; Aplikovaná informatika / Firewally; VPN Virtuální privátní sítě Virtual private networks => vytvoření chráněného spojení mezi dvěma místy sítě Využití protokolu SSL (Secure Socket Layer), který poskytuje zabezpečený přenos s využitím kryptografických metod. Protokol je umístěn v síťové vrstvě OSI nad TCP/IP. Mohou jej využít vyšší protokoly viz např. HTTPS Je zajištěna: důvěrnost přenášených dat šifrování; integrita dat krypto kontrolní součet; autentizace využití certifikátů

17 VŠFS; Aplikovaná informatika / Antivirová ochrana Antivirová ochrana je požadovaná součást programu informační bezpečnosti. Antivirový SW využívá při ochraně počítačového systému proti škodlivému SW dvou základních metod: identifikace charakteristických značek viru. Identifikace značky viru jsou podobné zkoumání otisků prstů jedná se o metody reaktivní heuristické metody, vyhledávání vzorků, které lze v daném viru identifikovat metody proaktivní

18 VŠFS; Aplikovaná informatika / Správa bezpečnostních zranitelností a rizik Vulnerability management - Správa bezpečnostních zranitelností Nástroje použité při správě zranitelností porovnávají prostředí podnikového informačního systému vůči databázi známých zranitelných míst a ukazují zda jsou tato místa obsažena v systému či nikoliv. Dvě základní metody na bázi: sítě; host počítače. V prvním případě se používá síťových nástrojů k tomu, aby se kontroloval provoz sítě a zjišťovaly její slabiny v druhém případě se monitorují výpočetní systémy jako např. servery.

19 VŠFS; Aplikovaná informatika / Filtrování obsahu dat Metody zahrnují filtrování web stránek a elektronické pošty. Filtrování obsahu lze použít k blokování přístupu k určitým webovým stránkám, obsahujícím nevhodný obsah. Velký problém současnosti spam Implementace nástrojů filtrujících obsah přináší otázky legálnosti i omezování lidských práv - musí být v souladu s bezpečnostní politikou.

20 VŠFS; Aplikovaná informatika / Kryptografická ochrana dat Šifrování je proces převedením dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptografie využívá dvou základních směrů symetrickou a asymetrickou šifru. Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci.

21 VŠFS; Aplikovaná informatika / Realizace bezpečnostního modelu Jednotlivé kroky: přijmout základní strategii, kdy informační infrastruktura vytváří podporu pro činnosti podniku. Část podniku, která je zodpovědná za správu informačního systému musí být koncipována jako dodavatel služeb pro obchodní úseky; vytvořit bezpečnostní politiku - spolupráce s obchodními úseky; využít nejvýhodnějších opatření využití norem - obecná politika = ISO 13335, bezpečnostní procesy = ISO 17799;