Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Transkript

1 Normy ISO/IEC Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013

2 Soubor norem řady ISO/IEC ISO/IEC Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde o otevřený soubor norem s postupným vydáváním poskytující podrobný návod na implementaci bezpečnostních mechanizmů, které jsou zmíněny v normě ISO/IEC Týkají se bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, informací přenášených po síti a také správy těchto bezpečnostních opatření. Síťová bezpečnost je pojem označující soubor norem obsahující doporučení pro implementaci opatření, které se vztahují k bezpečnosti sítí (vnitřní ochrany a ochrany perimetru). Bezpečnost č síťové éinfrastruktury znamená stupeň ň zabezpečení č digitálního itál přenosového prostředí zajišťujícího důvěrnost a neporušenost komunikace. Poznámka: Pojem perimetr sítě značí přípojné body vnitřní sítě s externími (cizími) sítěmi. Normy ISO/IEC

3 ISO/IEC ISO/IEC Informační technologie Bezpečnostní techniky Síťová bezpečnost navazuje na normy ISO/IEC pro standardy síťové bezpečnosti, která obsahuje 5 částí > > vychází z normy ISO/IEC > > Tabulka přechodu od řady norem ISO/IEC k ISO/IEC Normy ISO/IEC

4 ISO/IEC ISO/IEC :2009 vydaná první část - popisuje cesty a principy a koncept řešení Součástí je přehled definic souvisejících se síťovou bezpečností, návod jak rozpoznat a analyzovat bezpečnostní rizika sítě a stanovení požadavků na síťovou o bezpečnost. Popisuje způsob, jak vytvořit technicky bezpečný návrh sítě. Zabývá se riziky, návrhem a kontrolou bezpečnostních aspektů sítí z technického hlediska. Obsahuje slovník termínů používaných v síťové bezpečnosti a strukturovaný návod k procesu identifikace a analýzy bezpečnostních rizik a tím pádem stanovuje i požadavky na kontrolní o bezpečnostní mechanizmy. Zmiňuje další požadavky, např. nepopiratelnost nebo spolehlivost informací, které doplňují klasickou trojici důvěrnost, integritu a dostupnost. Snaží se poskytnout srozumitelný přehled síťové bezpečnosti bez jakékoli zmínky o síťovém modelu OSI. Normy ISO/IEC

5 ISO/IEC ISO/IEC :2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato ) 2012) Určuje architekturu síťové bezpečnosti, která zajišťuje bezpečný přenos mezi koncovými zařízeními. Tato architektura může být aplikována na nejrůznější typy sítí bez ohledu na technologii nižších síťových vrstev. Slouží jako základ pro podrobná doporučení ohledně bezpečnosti koncových zařízení. Zabývá se problematikou rizik, návrhu, technik a kontrolních mechanizmů. Normy ISO/IEC

6 ISO/IEC ISO/IEC :2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí. Cílem je definovat rizika, specifika návrhu a problematiku kontroly pro typické síťové scénáře. Pojednává zejména o konkrétních hrozbách, různé typy rizik nejsou podrobně řešeny. Normy ISO/IEC

7 ISO/IEC ISO/IEC :2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran - definuje rizika, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi. Cílem je poskytnout návod, jak rozpoznat a analyzovat síťové bezpečnostní hrozby spojené s bezpečnostními branami a definovat požadavky na síťovou o bezpečnost s nimi spojenou. Poskytuje přehled bezpečnostních bran prostřednictvím různých architektur. Vysvětluje, jak bezpečnostní brány analyzují a kontrolují síťový provoz pomocí: filtrování paketů stavové kontroly paketů aplikační proxy překladu adres NAT analýzy a filtrování obsahu Normy ISO/IEC

8 ISO/IEC pokračování ISO/IEC : zabezpečená komunikace v sítích VPN - bude definovat rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN. ISO/IEC : IP konvergence bude popisovat rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC : příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy - bude definovat rizika, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí. ISO/IEC : příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového u, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC

9 ISO/IEC Typická ukázka síťové architektury, jejíž bezpečnost řeší 5 oddílů normy ISO/IEC Normy ISO/IEC

10 ISO/IEC Bezpečnost koncového uživatele 8 dimenzí bezpečnosti Úrovně bezpečnosti Signálová a kontrolní bezpečnost Management bezpečnosti ZRANITELNOST Bezpečnost aplikací Bezpečnost služeb Bezpečnost infrastruktury Řízení přístupu Autent tizace Nepopira telnost (pod porována kry yptografií) Důvěrn ost dat komunikace Bezpečnost Integri ita dat Dostupn nost dat Souk kromí HROZBA Zničení Zneužití Odstranění Odhalení Přerušení ÚTOK Bezpečnostní vrstvy Model hrozeb dle ISO/IEC 18028, potažmo ISO/IEC aitu-t T X.805 Normy ISO/IEC

11 ISO/IEC Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC Normy ISO/IEC

12 ISO/IEC Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC Normy ISO/IEC

13 ITU-T T X.805 IT» ICT => ITU-T X.805» ISO/IEC (ITU.T T X.1051»» ISO/IEC 27011) ISMS-T je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU (International Telecommunication Union) - Mezinárodní telekomunikační unie ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich j provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Problematika telekomunikační bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T) T). Ta je řešena normativně organizací ITU-T. ITU-T X.805 Security Architecture for Systems Providing End-to-End Communications ITU-T X.1051 Information security management system Requirements for telecommunications (ISMS-T) ITU-T X

14 ISO/OSI model SD SD SD SD L1 až L4 jsou vrstvy ISO/OSI referenčního č modelu ISI/OSI 14

15 Pasivní vrstva počítačové sítě L1 první (fyzická) vrstva ISO/OSI referenčního komunikačního modelu je vrstva fyzická. Je tvořena kabelážním systémem, který je složen ze síťových komponentů. K nim zejména patří: kabely v dané topologii (metalické i optické) kabelové trasy (svazky kabelů) konektory (RJ-45) přípojné boxy (pro konektory RJ-45) rozvodné panely (patch panely) v datovém rozvaděči Zabezpečení na úrovni pasivní vrstvy je dáno fyzickým řešením a lze ho nazvat Management bezpečnosti fyzické vrstvy nebo lépe Management bezpečnosti pasivní vrstvy například NISS. Poznámka: Bezpečnostní opatření dle ČSN ISO/IEC 27002:2006 Soubor popisů pro řízení bezpečnosti informací A9 A.9 Fyzická bezpečnost č a bezpečnost č prostředí A Bezpečnost kabelových rozvodů (ochrana datových linek na úrovni fyzické, EMC, ) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 15